特洛伊木马（以下简称木马）， 英文叫做“ Trojan House", 是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马， 这样服务端即使发现感染了木马， 由于不能确定其具体位置，往往只能望“ 马” 兴啋所谓非授权性是指一旦控制端与服务端连接后，控制端将享有服务端的大部分操作权限，包括修改文件，修改注册表， 控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。

特洛伊木马叫做后门工具

每个木马所打开的端口不同， 根据端口号， 可以识别不同的木马，但是， 有些木马的端口号是可以改变的，通过控制器可以将端口号改变

木马启动： 一般在注册表启动组中

木马需要在内存中

木马会打开特别的端口进行数据传输

特洛伊木马： 服务器，控制器

如果你的电脑上安装了服务器， 那么黑客就可以使用控制器进入你的电脑。新安装的电脑是没有木马存在的，一般黑客要想你安装上木马的办法是写信给你，告诉你有一个很好的软件，你运行以后没有什么反应，这时候，木马已经安装到你的电脑中了。

木马为了能在每次电脑开机的时候进入内存发挥作用， 主要手法是加载到注册表的启动组中，也有些会捆绑到其他程序中附带进入内存，这些被捆绑程序可以在电脑启动的时候由Windows自动运行的，也可以由用户自己需要而运行的。

当木马在你的电脑中存在的时候， 黑客就可以通过控制器命令木马做事情了。这些命令足在网络上传递的， 需要遵守TCP/IP 协议。TCP/IP协议规定电脑的端口有256 X 256=65536个， 在0-65535号端口中， 木马打开其中一个或者几个端口，黑客所使用的控制器就是通过木马的端口进入你的电脑的。

（1）破坏型：破坏并且删除文件，与计算机病毒有些相似

（2）密码发送型：找到目标机的隐藏密码，并发送到指定的信箱

（3）远程访问型：在受害者主机上运行一个服务端，监听某个特定端口；入侵者则使用木马的客户端连接到该端口上，向服务端发送各种指令，访问受害者计算机资源

（4）键盘记录型：记录受害者的键盘敲击并且在LOG 文件里查找密码，会自动将密码发送到黑客指定的邮箱

（5）DoS攻击型：会占用带宽攻击其他服务器，同时影响自身业务的正常运行

（6）FTP木马：打开21 端口，攻击者通过端口访问计算机

（7）反弹端口型：专业级远程文件访问工具，利用它可实现对本地及远程驱动器进行包括文件删除、复制、移动、修改在内的各种操作，而且可以任意修改驱动器属性、修改文件属性。

（8）代理型：给被控制的肉鸡种上代理木马，让其变成攻击者发动攻击的跳板，具有自动下载木马病毒的功能，病毒可以根据病毒编者指定的网址下载木马病毒或其他恶意软件，还可以通过网络和移动存储介质传播

（9）程序杀手型：关闭对方机器上运行的防木马软件

与普通远程控制软件一个不同点在于，木马实现的远程控制功能更为丰富，其不仅能够实现一般远程控制软件的功能，还可以破坏系统文件、记录键盘动作、盗取密码、修改注册表和限制系统功能等。还可能会使用你的机器去攻击别人。

配置木马（伪装木马：修改图标、捆绑文件、出错显示、定制端口、自我销毁）→传播木马（通过Email或者捆绑软件下载）→运行木马（自动安装、自启动、触发式激活木马）→信息泄漏（E-mail、IRC 或ICQ 的方式把你的信息泄露出去）→建立连接→远程控制