名字由来

“木马”这一名称来源于希腊神话特洛伊战争的特洛伊木马。攻城的希腊联军佯装撤退后留下一只木马，特洛伊人将其当作战利品带回城内。当特洛伊人为胜利而庆祝时，从木马来了一队希腊兵，它们悄悄打开城门，放进了城外的军队，最终攻克了特洛伊城。计算机中所说的木马与病毒一样也是一种有害的程序，其特征与特洛伊木马一样具有伪装性，看起来挺好的，却会在用户不经意间，对用户的计算机系统产生破坏或窃取数据，特别是用户的各种账户及口令等重要且需要保密的信息，甚至控制用户的计算机系统。

原理

一个完整的特洛伊木马套装程序包含两部分：服务端（服务器部分）和客户端（控制器部分）。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。

特洛伊木马程序不能自动操作，一个特洛伊木马程序是包含或者安装一个存心不良的程序的，它可能看起来是有用或者有趣的项目（或者至少无害）对一不怀疑的用户来说，但是实际上有害当它被运行。特洛伊木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和丢失。特洛伊木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。

特洛伊木马有两种，universale的和transitive的，universal就是可以控制的，而transitive是不能控制，刻死的操作。

特征

特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的；运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区，之后每次在Windows加载时自动运行；或立刻自动变更档名，甚至隐形；或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作；或浏览器自动连往奇怪或特定的网页。

发展

木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇，或是急于显示自己实力，不断改进木马程序的编写。至今木马程序已经经历六代的改进：

第一代，是最原始的木马程序。主要是简单的密码窃取，通过电子邮件发送信息等，具备木马最基本的功能。

第二代，在技术上有了很大的进步，冰河是中国木马的典型代表之一。

第三代，主要改进在数据传递技术方面，出现ICMP等类型的木马，利用畸形报文传递数据，增加杀毒软件查杀识别的难度。

第四代，在进程隐藏方面有了很大改动，采用内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程。或者挂接PSAPI，实现木马程序的隐藏，甚至在WindowsNT/2000下，都达到良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。

第五代，驱动级木马。驱动级木马多数都使用大量的Rootkit技术来达到在深度隐藏的效果，并深入到内核空间的，感染后针对杀毒软件和网络防火墙进行攻击，可将系统SSDT初始化，导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS，并且很难查杀。

第六代，随着身份认证UsbKey和杀毒软件主动防御的兴起，黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主，后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。

中毒症状

木马的植入通常是利用操作系统的漏洞，绕过对方的防御措施（如防火墙）。中了特洛伊木马程序的计算机，因为资源被占用，速度会减慢，莫名死机，且用户信息可能会被窃取，导致数据外泄等情况发生。

解决办法

特洛伊木马大部分可以被杀毒软件识别清除。但很多时候，需要用户去手动清除某些文件，注册表项等。 不具有破坏防火墙功能的木马可以被防火墙拦截。

著名木马

海外著名木马

中国著名木马

免责声明：以上内容版权归原作者所有，如有侵犯您的原创版权请告知，我们将尽快删除相关内容。感谢每一位辛勤著写的作者，感谢每一位的分享。