端口·木马·安全·扫描应用知识

二、木马

什么是木马，简单的说就是在未经你许可偷偷在你的计算机中开个后门，木马开后门主要有两种方式。

1、有服务端口的木马，这类木马都要开个服务端口的后门，成功后该后门处于LISTENING状态，它的端口号可能固定一个数，也可能变化，还有的木马可以与正常的端口合用，例如你开着正常的80端口（WEB服务），木马也用80端口。这种木马最大的特点就是有端口处于LISTENING状态，需要远程计算机连接它。这种木马对一般用户比较好防范，将防火墙设为拒绝从外到内的连接即可。比较难防范的是反弹型木马。

2、反弹型木马，反弹型木马是从内向外的连接，它可以有效的穿透防火墙，而且即使你使用的是内网IP，他一样也能访问你的计算机。这种木马的原理是服务端主动连接客户端（黑客）地址。木马的服务端软件就像你的InternetExplorer一样，使用动态分配端口去连接客户端的某一端口，通常是常用端口，像端口80。而且会使用隐避性较强的文件名，像iexpiore.exe、explorer（IE的程序是IEXPLORE.EXE）。如果你不仔细看，你可能会以为是你的Internet Explorer。这样你的防火墙也会被骗过。如果你在TcpView中看到下面这样的连接一定要注意，很有可能是种木马了。 iexpiore.exe 192.168.1.10(本机IP)：1035（你的端口） Y.Y.Y.Y（远程IP）：80（远程端口）

或 Rundll32.exe 192.168.1.10(本机IP)：1035（你的端口） Y.Y.Y.Y（远程IP）：80（远程端口）

或 explorer.exe192.168.1.10(本机IP)：1035（你的端口） Y.Y.Y.Y（远程IP）：80（远程端口）