網絡安全技術複習資料

第一章

1.網絡安全定義

通用定義指網絡信息系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的破壞、更改、泄露，系統能連續、可靠、正常地運行，服務不中斷。

簡單的說是在網絡環境下能夠識別和消除不安全因素的能力。

2.CIA

保密性(Confidentiality）：保密性是防止未授權的用戶訪問數據。

完整性(Integrity）：完整性是防止未授權的修改數據。

可用性(Availability)：保證經過授權的客戶能及時準確的不間斷的訪問數據。

第二章

1.掃描器

掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。

它集成了常用的各種掃描技術，能自動發送數據包去探測和攻擊遠端或本地的端口和服務，並自動收集和記錄目標主機的反饋信息，從而發現目標主機是否存活、目標網絡內所使用的設備類型與軟件版本、服務器或主機上各TCP/UDP端口的分配、所開放的服務、所存在的可能被利用的安全漏洞。據此提供一份可靠的安全性分析報告，報告可能存在的脆弱性。

2.網絡掃描器的功能

1. 掃描目標主機識別其工作狀態（開/關機）
2. 識別目標主機端口的狀態（監聽/關閉）
3. 識別目標主機操作系統的類型和版本
4. 識別目標主機服務程序的類型和版本
5. 分析目標主機、目標網絡的漏洞（脆弱點）
6. 生成掃描結果報告

3.掃描的三部曲

1. 第一階段：發現目標主機或網絡
2. 第二階段：發現目標後進一步蒐集目標信息，包括操作系統類型、運行的服務以及服務軟件的版本等。如果目標是一個網絡，還可以進一步發現該網絡的拓撲結構、路由設備以及各主機的信息
3. 第三階段：根據收集到的信息判斷或者進一步測試系統是否存在安全漏洞

網絡安全掃描技術包括PING掃描、操作系統探測、穿透防火牆探測、端口掃描、漏洞掃描等

PING掃描用於掃描第一階段，識別系統是否活動

OS探測、穿透防火牆探測、端口掃描用於掃描第二階段

漏洞掃描用於安全掃描第三階段，通常是在端口掃描的基礎上，進而檢測出目標系統存在的安全漏洞

4.端口掃描

21/tcp   open  ftp  

23       telnet

25/tcp   open  smtp

42/tcp   open  nameserver

53/tcp   open  dns

80/tcp   open  http

1）全掃描

掃描主機嘗試使用三次握手與目標主機的某個端口建立全TCP連接。

連接由系統調用connect()開始。如果端口開放，則連接將建立成功；否則，返回-1，則表示端口關閉。

過程：

開放

（1）Client端發送SYN；

（2）Server端返回SYN/ACK，表明端口開放；

（3）Client端返回ACK，表明連接已建立；

（4）Client端主動斷開連接。

未開放

（1）Client端發送SYN；

（2）Server端返回RST/ACK，表明端口未開放。

優點：是實現簡單，對操作者的權限沒有嚴格要求，掃描速度快。

缺點：掃描方式不隱蔽，容易被檢測出來，在日誌文件中大量的記錄並容易被防火牆發現和屏蔽

2）半掃描

掃描主機向目標主機的端口發送標記SYN的數據包。

如果應答是RST，那麼，說明端口是關閉的，按照設定繼續探聽其他端口；

如果應答中包含SYN和ACK，說明目標端口處於監聽狀態。

（全連接尚未建立）

過程：

開放

（1）Client端發送SYN；

（2）Server端返回SYN/ACK，表明端口開放；

（3）Client端返回RST，中斷連接；

未開放

（1）Client端發送SYN；

（2）Server端返回RST/ACK，表明端口未開放。

優點：日誌記錄比全掃描少很多，更安全。

缺點：是需要系統權限構造專用的數據包。

3）祕密掃描

使用含FIN標記的數據包探測目標端口

過程：

當一個FIN數據包到達一個關閉的端口，數據包會被丟掉，且返回一個RST數據包。

當一個FIN數據包到達一個打開的端口，數據包只是簡單丟掉（不返回RST數據包）。

不包含標準的TCP三次握手協議的任何部分，所以無法被記錄下來。

優點：祕密掃描能躲避IDS、防火牆、包過濾器和日誌審計，從而獲取目標端口的開放或關閉的信息。

缺點：需要系統權限構造專用的數據包。

 

第三章 

1.網絡監聽

網絡監聽技術又叫做網絡嗅探技術(Network Sniffing)，是一種在他方未察覺的情況下捕獲其通信報文或通信內容的技術。

侷限性：目前只限於局域網。

第四章

1.詞典攻擊

詞典，本質上是一個單詞列表文件，但是這些單詞是有特殊意義的，是根據人們設置自己賬號口令的習慣總結出來的常用口令。

使用一個或多個詞典文件，利用裏面的單詞列表進行口令猜測的過程，就是詞典攻擊。

窮舉攻擊沒有這麼一個頻率詞典。詞典攻擊檢查系統安全性的好處是能針對特定的用戶或者公司制定。

2.強行攻擊

用速度足夠快的計算機能嘗試字母、數字、特殊字符所有的組合，將最終能破解所有的口令。這種攻擊方式叫做強行攻擊（也叫做暴力破解）。

結合一些其他條件，如系統規定口令長度。

3.組合攻擊

    在使用詞典單詞的基礎上對單詞進行了重組，在單詞的後面串接幾個字母和數字進行攻擊的攻擊方式。

4.比較特點

第五章 

1.盲目分行攻擊

攻擊者使用假冒的IP地址向一臺機器發送數據包，但沒有收到任何返回的數據包，這被稱之爲盲目飛行攻擊（flying blind attack），或者叫做單向攻擊（one-way attack）。

只發不收

特點：

無法建立完整的TCP連接；

對於UDP這種面向無連接的傳輸協議就不會存在建立連接的問題，數據包都會被髮送到受害者的系統中。

2.TCP會話劫持

會話劫持就是接管一個現存動態會話的過程，換句話說，攻擊者通過會話劫持可以替代原來的合法用戶，同時能夠監視並掌握會話內容。

攻擊者需要積極攻擊使被冒充用戶下線。（這是於一般欺騙的區別）

過程：

1. step1：發現攻擊目標
   • 希望這個目標是一個准予TCP會話連接；在攻擊的時候需要猜測序列號，所以要檢測數據流。
   • 嗅探和ARP欺騙
2. step2：確認動態會話
   • 高峯時會話選擇多，發現機率小
3. step3：猜測序列號
4. step4：使客戶主機下線
   • 拒絕服務攻擊
5. step5：接管會話

特點：

（1）基於TCP協議漏洞，不依賴於操作系統，且可以用來積極攻擊，危害大。

（2）越過了被攻擊者對訪問者的認證，讓攻擊者可以直接進入攻擊的訪問狀態；

（3）由於需要嗅探數據包，往往受限於局域網範圍；

序列號：

序列號是一個32位計數器，用來說明接收方下一步將要接收的數據包的順序。TCP區分正確數據包和錯誤數據包僅通過它們的SEQ/ACK序列號。序列號是隨着傳輸數據字節數遞增的。

數據傳輸過程中序列號和應答號之間的關係：

• 第二個數據包（B－>A）的SEQ = 第一個數據包（A－> B）的ACK；
• 第二個數據包（B－>A）的ACK = 第一個數據包（A－> B）的SEQ +第一個數據包（A－> B）的傳輸數據長度。

法1：通過嗅探或者ARP欺騙，先發現目標機正在使用的序列號，再根據序列號機制，可以猜測出下一對SEQ/ACK序列號。

法2：攻擊者若以某種方法擾亂客戶主機的SEQ/ACK，服務器將不再相信客戶主機正確的數據包，從而可以僞裝爲客戶主機，這樣就搶劫一個會話連接。

3.ARP欺騙

ARP(Address Resolution Protocol)：地址解析協議，用於將計算機的網絡地址（IP地址32位）轉化爲物理地址（MAC地址48位）。

ARP協議有兩種數據包

• ARP請求包：我想與目的IP通信，arp who-has 192.168.1.1 tell 192.168.1.2
• ARP應答包：發現請求解析的IP地址與本機IP地址相同，就會返回一個ARP應答包。arp reply 192.168.1.1 is-at 00:00:0c:07:ac:00

原理：

ARP欺騙攻擊是利用ARP協議本身的缺陷進行的一種非法攻擊。

協議缺陷：

主機在實現ARP緩存表的機制時，當主機收到一個ARP應答包後，它並不會去驗證自己是否發送過這個ARP請求，而是直接將應答包裏的MAC地址與IP對應的關係替換掉原有的ARP緩存表裏的相應信息。

利用：

第一種ARP欺騙的原理是——截獲網關數據。使用應答包通知PCA自己是網關MAC地址，通知網關自己是PCA的MAC地址，就在網關和真實PC間插入了一個橋，獲取流過的數據。

第二種ARP欺騙的原理是——僞造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。

第六章 

1.DOS定義

拒絕服務（ Denial of Service，簡稱DoS），是利用傳輸協議中的漏洞、弱點，對目標系統發起大規模的進攻，耗盡可用帶寬資源和服務器存儲緩衝區資源，致使其無法處理合法用戶的正常請求，無法提供正常服務。

DoS攻擊可以分爲：

• 濫用合理的服務請求
• 製造高流量無用數據
• 利用傳輸協議缺陷
• 利用服務程序的漏洞

分佈式拒絕服務DDoS (Distributed Denial of Service)攻擊指藉助於客戶/服務器技術，將多個計算機聯合起來作爲攻擊平臺，對一個或多個目標發動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。

2.ping of death

早期操作系統在處理ICMP協議數據包存在漏洞。

ICMP協議的報文長度是固定64KB，早期很多操作系統在接收ICMP數據報文的時候，只開闢64KB的緩存區用於存放接收到的數據包。一旦發送過來的ICMP數據包的實際尺寸超過64KB，操作系統將收到的數據報文向緩存區填寫，從而產生一個緩存溢出，結果將導致TCP/IP協議堆棧的崩潰，造成主機的重啓動或是死機。

Ping -l 65540 192.168.1.140

 

3.淚滴

“淚滴”也被稱爲分片攻擊，它是一種典型的利用TCP/IP協議的問題進行拒絕服務攻擊的方式。

入侵者僞造數據報文，向服務器發送含有重疊偏移信息的分段包到目標主機，目的主機收到後，在堆棧中重組時，由於畸形分片的存在，會導致重組出錯，由於協議重組算法，會導致內存錯誤，引起協議棧的崩潰。

分片：

傳輸的數據量較大，無法在一個數據報文中傳輸完成，就會將數據拆分成多個分片，爲了能在到達目標主機後進行數據重組，IP包的TCP首部中包含有信息說明該分段是原數據的哪一段。

4.IP欺騙DoS攻擊

假設現在有一個合法用戶(61.61.61.61)已經同服務器建立了正常的連接，攻擊者構造攻擊的TCP數據，僞裝自己的IP爲61.61.61.61，並向服務器發送一個帶有RST位的TCP數據段。服務器接收到這樣的數據後，認爲61.61.61.61發送的連接有錯誤，就會清空緩衝區中建立好的連接。

攻擊者會僞造大量的IP地址，向目標發送RST數據，使服務器不對合法用戶服務，從而實現了對受害服務器的拒絕服務攻擊。

5.UDP洪水

UDP洪水（UDP flood）主要是利用主機能自動進行回覆的服務來進行攻擊。

使一方的輸出成爲另一方的輸入，兩臺主機間會形成大量的UDP數據包。

例如：當我們向echo服務的端口發送一個數據時，echo服務會將同樣的數據返回給發送方，而chargen服務則會隨機返回字符。當兩個或兩個以上系統存在這樣的服務時，攻擊者僞造其中一臺主機向另一臺主機的echo或者chargen服務端口發送數據，echo和chargen服務會自動進行相互回覆。

6.SYN洪水

利用TCP協議缺陷（TCP三次握手），僞造IP發送大量的SYN標記的TCP連接請求，並不做出ACK迴應，使被攻擊方資源耗盡(CPU滿負荷或內存不足)的攻擊方式。

協議缺陷：

一個客戶端向服務器發送了SYN報文後突然死機或掉線，那麼服務器在發出SYN/ACK應答報文後是無法收到客戶端的ACK報文的，這種情況下服務器端一般會重試，並等待一段時間後丟棄這個未完成的連接。這段時間的長度我們稱爲SYN Timeout。一般來說這個時間是分鐘的數量級。

7.Land攻擊

向目標機發送大量的源地址和目標地址相同的包，造成目標機解析Land包時佔用大量的系統資源，從而使網絡功能完全癱瘓。

協議缺陷：

向目標主機發送一個特殊的SYN包，包中的源地址和目標地址都是目標主機的地址。目標主機收到這樣的連接請求時會向自己發送SYN/ACK數據包，結果導致目標主機向自己發回ACK數據包並創建一個連接。

 

8.smurf

Smurf攻擊是利用IP欺騙和ICMP迴應包引起目標主機網絡阻塞，實現DoS攻擊。

Smurf攻擊原理：在構造數據包時將源地址設置爲被攻擊主機的地址，而將目的地址設置爲廣播地址，於是，大量的ICMP echo迴應包被髮送給被攻擊主機，使其因網絡阻塞而無法提供服務。

第七章 

1緩衝區溢出

緩衝區：它是包含相同數據類型實例的一個連續的計算機內存塊。是程序運行期間在內存中分配的一個連續的區域，用於保存包括字符數組在內的各種數據類型。

溢出，其實就是所填充的數據超出了原有的緩衝區邊界。

緩衝區溢出，就是向固定長度的緩衝區中寫入超出其預分配長度的內容，造成緩衝區中數據的溢出，從而覆蓋了緩衝區周圍的內存空間。

原理：

當程序運行時，計算機會在內存區域中開闢一段連續的內存塊，包括代碼段、數據段和堆棧段三部分。

如果在堆棧中壓入的數據超過預先給堆棧分配的容量時，就會出現堆棧溢出，從而使得程序運行失敗；如果發生溢出的是大型程序還有可能會導致系統崩潰。

2.棧溢出

向棧的局部變量寫入了超出限定長度的數據，溢出的數據會覆蓋可能會覆蓋掉EBP甚至RET(返回地址)，從而影響程序的運行。

認識棧：

棧是先進後出(FILO), 隨着函數調用層數的增加，函數棧幀是一塊塊地向內存低地址方向延伸的。 棧幀大小隨着函數的性質的不同而不等，由函數的局部變量的數目決定。

引用棧幀需要藉助兩個寄存器：

一個是SP(ESP)，即棧頂指針，它隨着數據入棧出棧而發生變化。一個是BP(EBP)，即基地址指針，它指向一個棧幀的棧底。

函數調用步驟：

（1）參數入棧：將參數從右向左依次壓入系統棧中。

（2）返回地址入棧：將當前代碼區調用指令的下一條指令地址壓入棧中，供函數返回時繼續執行。

（3）代碼區跳轉：處理器從當前代碼區跳轉到被調用函數的入口處。

（4）棧幀調整：具體包括。

• 保存當前棧幀狀態值，已備後面恢復本棧幀時使用（EBP 入棧）；
• 將當前棧幀切換到新棧幀（將 ESP值裝入 EBP，更新棧幀底部）；
• 給新棧幀分配空間（把 ESP 減去所需空間的大小，擡高棧頂）；

函數返回步驟：

（1）保存返回值：通常將函數的返回值保存在寄存器 EAX 中。

（2）彈出當前棧幀，恢復上一個棧幀。具體包括：

 在堆棧平衡的基礎上，給 ESP 加上棧幀的大小，降低棧頂，回收當前棧幀的空間。

 將當前棧幀底部保存的前棧幀 EBP 值彈入 EBP 寄存器，恢復出上一個棧幀。

 將函數返回地址彈給 EIP 寄存器。

（3）跳轉：按照函數返回地址跳回母函數中繼續執行。

圖例說明：

在 main 函數調用 func_A 的時候，首先在自己的棧幀中壓入函數返回地址，然後爲func_A創建新棧幀並壓入系統棧。

 注意：這裏面有一個錯誤，即：“保存的寄存器、局部變量和臨時值”處應該是ebp-4。

在 func_A 返回時，func_A 的棧幀被彈出系統棧，main 棧幀中的返回地址被“露”在棧頂，此時處理器按照這個返回地址重新跳到 main代碼區中執行。

push 參數 3  ;假設該函數有 3 個參數，將從右向左依次入棧

push 參數 2

push 參數 1

call 函數地址;call 指令將同時完成兩項工作：a）向棧中壓入當前指令在內存中的位置，即保存返回地址。b）跳轉到所調用函數的入口處

push ebp  ;保存舊棧幀的底部

mov ebp，esp  ;設置新棧幀的底部（棧幀切換）

sub esp，xxx  ;設置新棧幀的頂部（擡高棧頂，爲新棧幀開闢空間）

3.PE文件格式

PE  文件格式把可執行文件分成若干個數據節（ section ），不同的資源被存放在不同的節中。

DOS頭是用來兼容MS-DOS操作系統的，包含MZ頭和一個提示信息。

NT 頭包含 windows PE 文件的主要信息，其中包括一個‘PE’字樣的簽名，PE 文件頭（IMAGE_FILE_HEADER）和 PE 可選頭（IMAGE_OPTIONAL_HEADER32）。

節（塊）表是 PE 文件後續節的描述，Windows 根據節表的描述加載每個節。

每個節（塊）實際上是一個容器，可以包含代碼、數據等等。

.text由編譯器產生，存放着二進制的機器代碼，也是我們反彙編和調試的對象。

.data初始化的數據塊，如宏定義、全局變量、靜態變量等。

.idata可執行文件所使用 的動態鏈接庫等外來函數與文件的信息。

.rsrc存放程序的資源，如圖標、菜單 等。

在內存的位置：

（ 1 ） PE  文件中的數據按照磁盤數據標準存放，以  0x200  字節爲基本單位進行組織。當一個數據節（ section ）不足  0x200  字節時，不足的地方將被  0x00  填充；當一個數據節超過  0x200字節時，下一個  0x200  塊將分配給這個節使用。因此  PE  數據節的大小永遠是  0x200  的整數倍。

（ 2 ）當代碼裝入內存後，將按照內存數據標準存放，並以  0x1000  字節爲基本單位進行組織。類似的，不足將被補全，若超出將分配下一個  0x1000  爲其所用。因此，內存中的節總是0x1000  的整數倍。

 

（ 1 ）文件偏移地址（ File Offset ）

數據在PE文件中的地址叫文件偏移地址，這是文件在磁盤上存放時相對於文件開頭的偏移。

（ 2 ）裝載基址（ Image Base ）

PE裝入內存時的基地址。默認情況下，EXE 文件在內存中的基地址是  0x00400000 ， DLL文件是0x10000000 。

（ 3 ）虛擬內存地址（ Virtual Address ， VA ）

PE文件中的指令被裝入內存後的地址。

（ 4 ）相對虛擬地址（ Relative Virtual Address ， RVA ）

相對虛擬地址是內存地址相對於映射基址的偏移量。

軟件偏移是相對於文件開始處0字節的偏移，RVA（相對虛擬地址）則是相對於裝載基址0x00400000處的偏移。

指令的虛擬內存地址-裝載基址=相對虛擬地址

文件偏移 = 指令的虛擬內存地址-裝載基址-節偏移=相對虛擬地址-節偏移

4.shellcode

所植入的代碼一般由shellcode、返回地址、填充數據這三種元素按照一定的結構和構造類型組成。

shellcode是植入代碼的核心組成部分，是一段能完成特殊任務的自包含的二進制代碼。最初是用來生成一個高權限的shell。

構造類型：

1. 1. S代表shellcode，
   2. R代表返回地址，
   3. N代表填充數據，

NSR模式

在shellcode的後面安排一定數量的返回地址，在前面安排一定數量的填充數據。

原理是：只要全部的N和S都處於緩衝區內，並且不覆蓋RET，而使R正好覆蓋存放RET的棧空間，這樣只要將R的值設置爲指向N區中任一位置，就必然可以成功地跳轉到我們預先編寫的shellcode處執行。

非精確定位，適合於溢出緩衝區較大、足夠放下我們的shellcode的情況。N元素越多成功率越大，其缺點是緩衝區必須足夠大。

RNS

原理是：只要把整個緩衝區全部用大量的返回地址填滿，並且保證會覆蓋存放RET的棧空間，再在後面緊接N元素和shellcode，這樣就可以很容易地確定返回地址R的值，並在植入代碼中進行設置。

對大的和小的緩衝區都有效。而且RET地址較容易計算。

5.0 day

未被公佈、未被修復的被攻擊者找到的漏洞往往被稱做0day。

0 day漏洞是危害最大的漏洞，當然對攻擊者來說也是最有價值的漏洞。

GS

1）針對緩衝區溢出時覆蓋函數返回地址這一特徵，微軟在編譯程序時使用了安全編譯選項——GS。

GS 編譯選項爲每個函數調用增加了一些額外的數據和操作，用以檢測棧中的溢出：

在所有函數調用發生時，向棧幀內壓入一個額外的隨機DWORD，這個隨機數被稱做“canary”（ IDA中是“Security Cookie”）。Security Cookie位於EBP之前，系統還將在.data的內存區域中存放一個 Security Cookie的副本。在使用返回地址時要校驗cookie。

DEP

2）溢出攻擊的根源在於現代計算機對數據和代碼沒有明確區分這一先天缺陷，DEP（數據執行保護，Data Execution Prevention）就是用來彌補計算機對數據和代碼混淆這一天然缺陷的。

DEP的基本原理是將數據所在內存頁標識爲不可執行，當程序溢出成功轉入 shellcode時，程序會嘗試在數據頁面上執行指令，此時 CPU 就會拋出異常，而不是去執行惡意指令。

第八章 

1. SQL

攻擊者可以提交一段精心構造的數據庫查詢代碼，根據返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection。

存在與調用數據庫的動態頁面。

本質：把用戶輸入的數據當作代碼執行。

2. XSS

XSS是跨站腳本攻擊(Cross Site Script) 。它指的是惡意攻擊者往Web頁面裏插入惡意html代碼，當用戶瀏覽該網頁時，嵌入其中Web裏面的html代碼會被執行，從而達到惡意用戶的特殊目的。

存儲型：存儲型XSS又被稱爲持久性XSS。存儲於數據庫中的。

反射型：反射型XSS也被稱爲非持久性XSS，觸發在URL請求中，服務器端接收數據後處理，然後把帶有XSS代碼的數據發送到瀏覽器，瀏覽器解析這段帶有XSS代碼的數據後，最終造成XSS漏洞。這個過程就像一次惡意腳本，只會出現在遊覽器端。

DOM型：基於文檔對象模型Document Objeet Model,DOM)的一種漏洞。基於DOM型的XSS是不需要與服務器端交互的，它只發生在客戶端處理數據階段。

這種類型的XSS並非按照“數據是否保存在服務器端”來劃分，效果是反射型的，通過修改頁面的DOM節點形成的XSS。

3. 文件上傳

文件上傳漏洞是指用戶上傳了一個可執行的腳本文件，並通過此腳本文件獲得了執行服務器端命令的能力。

服務端代碼未對客戶端上傳的文件進行嚴格的驗證和過濾。

4. 文件包含

PHP中提供了四個文件包含的函數，分別是include()、include_once()、 require()和require_ once()。這四個函數都可以進行文件包含。

使用這4個函數包含一個新的文件時，該文件將作爲PHP代碼執行，PHP內核並不會在意該被包含的文件是什麼類型。所以如果被包含的是txt文件、圖片文件、遠程URL,也都將作爲PHP代碼執行。這一特性，在實施攻擊時將非常有用。

5. 命令注入

用戶可以隨意執行系統命令。

命令連接符和管道符等。

命令執行只是針對系統命令，而遠程代碼執行鍼對的是編程代碼，兩者互不能替換。

6. CSRF

跨站請求僞造，也稱XSRF，本質是攻擊者盜用受害者的身份去發送惡意請求。

當我們打開或登錄某個網站後，瀏覽器與網站所存放的服務器將會產生一個會話，在這個會話沒有結束時，你就可以利用你的權限對網站進行某些操作。CSRF攻擊是建立在會話之上的。

這裏區分一下XSS：

CSRF是藉助用戶的權限完成攻擊，攻擊者從頭到尾沒有拿到用戶的權限（獲取cookie等），然後就可以在受害者不知情的情況下執行了惡意操作；

第九章 

1. 木馬定義

計算機系統中：“特洛伊木馬”指系統中被植入的、人爲設計的程序，目的包括通過網絡遠程控制其他用戶的計算機系統，竊取信息資料，並可惡意致使計算機系統癱瘓。

大多數專家：特洛伊木馬是一段能實現有用的或必需的功能的程序，但是同時還完成一些不爲人知的功能。

2. 木馬程序企圖

試圖訪問未授權資源；

試圖阻止訪問；

試圖更改或破壞數據和系統。

3. 木馬的特點

有效性、隱蔽性、頑固性、易植入性

4. 木馬植入類型

主動植入：攻擊者主動將木馬程序種到本地或者遠程主機

被動植入：攻擊者依據用戶的可能操作進行被動等待，觸發植入目標系統

5. 常見技術

鉤子技術：

鉤子(Hook) 是Windows消息處理機制的一個平臺，實質是處理消息的程序段。當消息到達後，在目標窗口處理函數之前處理它，鉤子機制允許應用程序截獲處理Windows消息或特定事件。

Windows有兩種鉤子，一種是特定線程鉤子(Thread Specific Hooks)，另-種是全局系統鉤子(SystemwideHooks)。

端口反彈：

常見的普通木馬是駐留在用戶計算機中的一段服務程序，而攻擊者控制的則是相應的客戶端程序。服務程序通過特定的端口，打開用戶計算機的連接資源。一旦攻擊者所掌握的客戶端程序發出請求，木馬便和他連接起來，將用戶的信息竊取出去。

反彈式木馬使用的是系統信任的端口，系統會認爲木馬是普通應用程序，而不對其連接進行檢查。防火牆在處理內部發出的連接時，也就信任了反彈木馬。

註冊表技術：