何为“肉鸡”？

肉鸡就是被黑客攻破，种植了木马病毒的电脑，黑客可以随意操纵它并利用它做任何事情，就象傀儡。肉鸡可以是各种系统，如windows、linux、unix等，更可以是一家饿看、企业、学校甚至是政府军队的服务器。其实“肉鸡”又叫做“肉机”，一台被黑客控制的电脑，就是“砧上鱼肉，任人宰割”，就是黑客可以控制你的电脑就相当你自己在电脑操作一样，为所欲为！而你的电脑只能是一只任人宰割的“肉鸡”。

何为木马？

讲到“肉鸡”就不能不讲到木马。古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。后来，人们在写文章时就常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外的活动。我们所说的电脑木马的取名就来自于这典故。缘于两者都是伪装欺骗，最终达到敲开城门的目的，不同的是我们电脑木马 敲开的是电脑用户的门。

木马是一种基于远程控制的黑客工具，其实就我个人而言认为其就是特殊的远程控制软件，它具有隐蔽性和非授权性。

“肉鸡”和木马又有什么的关系呢？一台电脑，如何在好好的状态下沦为“肉鸡”？因为黑客们有一种工—木马。黑客通过给用户的电脑种下木马，从而实现在用户不知情的情况下进行远程控制。木马就是一种具有隐蔽性等性质的远程控制软件。一般来说，黑客在进行种马前都会对木马进行免杀，从而避免被杀毒软件等安全软件发现并删除，然后待到种到用户电脑里，更是神不知鬼不觉的进行潜操作。一切都是在用户不知情的情况下进行的。它会通过一序列的方法让你的电脑一开机就启动它；启动的同时，发送信息到黑客那，黑客就能即时的控制你的电脑。木马分为客户端和服务端，由于连接方式不同，可能哪个端的软件所在的位置也不同。咱们这里称为控制端和被控制端。黑客对“肉鸡”的控制是通网络远程数据传输处理实现的。举个例子把，如电视，黑客那端就是遥控端，而“肉鸡”端就是显示端，黑客通过控制端软件（相当于遥控器）通过网络发送不同的指令，而“肉鸡”上的木马端软件（相当于电视显示端）接受到指令进行处理，从而获取黑客要进行的操作并执行，如查看屏幕等，再通过网络将操作反馈到控制端，就相当于显示端得到遥控器的发来的指令，如换台，那么显示就显示另外频道的内容。对于木马来说，一切都是在暗地下进行的。所以在防范之前，了解下木马是很关键的。

木马的结构

 一个完整的木马由软体部分、硬件部分和具体连接部分等组成。

硬件部分指建立木马连接所必须的硬件实体，一般有控制端（现在的木马一般为服务端，部分木马除外，如冰河）、被控端以及连接需要的Iternet。

软体部分指实现远程控制所需要的软件程序，一般有客户端、服务端对应的控制程序，还有客户端配置程序（冰河等木马称为服务端配置程序）。

具体连接部分指通过Internet连接建立木马通道所必须的元素，一般含有两个端的IP以及对应连接端口。

1.1.1          木马的特性

木马具有隐蔽性、自动运行、欺骗性、自动恢复、自动打开端口、功能特殊等性质。

作为一种算是恶意软件，通常种马者（控制端）给别人种马都是在对方不知情或不愿意的情况下进行的，且一般种马者想达到长久的控制，所以要求木马具有隐蔽性，从而避免木马被被控端发现；而现在的木马一般情况下为了绕过防火墙，采用被控端主动连接的方式，即变换冰河木马的服务端和客户端的方式（冰河木马采用的是被控端为服务端，控制端为客户端，所以需要控制端远程连接服务端，而现在大部分木马采取相反的方式，即被控端设置为客户端，控制端设置为服务端，采用被控端自动连接控制端的方式），所以如果被控端不连接，那么控制端无法控制，所以要求其具有自动运行性质，在系统启动的同时自动运行，主动连接控制端，避免关机下次无法连接，达到长久控制的目的；而欺骗性，同样是为了达到长久控制的目的，如木马文件伪装成系统文件、木马进程或服务伪装成正常系统进程、服务等，从而避免被发现；至于自动恢复，就是为了避免被破坏，从而失去控制，保证不被删除等；自动打开端口是由于木马的功能需要，需要打开相应的端口进行与控制端的连接及信息传递，从而实现功能；而特殊功能性，如木马的键盘记录等功能，就是为了满足控制者不同的目的需要。

因为木马的这些特性，造就了它是木马而非远程控制软件，这也可作为一种分辨远程控制和木马的标准吧。

木马的连接技术

木马可以算使一种特殊的远程控制软件，需要基于网络才能实现，而远程控制技术，始于DOS时代，只是出于种种原因而没有引起人们的重视。而随着网络的不断改进，该技术越来越受到重视，越来越普及，于是防范木马成了安全中不可少的课题，各种层出不穷的方法来防范。而木马作者为了木马的生存，也不断改进，连接技术就是木马技术中必不可少的。今天就和大家来初步探索下。
   1、主动连接
这种连接方式的木马以冰河为代表。冰河是一款功能强大的远程控制木马，基于TCP/IP，可以基本黑客都认识。这种木马的连接技术就是主动连接，即服务端在运行后监听指定端口，而在连接时，客户端会主动发送连接命令给服务端进行连接。这种方法有个很大的弊处，那就是在连接的时可以轻易的被防火墙所拦截。如图。

2、反弹连接
   在“冰河”木马停止开发后，后来出现了一款大名鼎鼎的木马－灰鸽子。相必没有人不认识吧？其连接方式就有采用反弹连接。
   防火墙能阻止外部连接，但是却阻挡不了内部向外连接。反弹连接即使利用这原理。反弹连接分为FTP反弹连接和域名反弹连接。目前仍是木马连接的主流技术之一。
FTP反弹连接原理如图。客户端首先登陆FTP空间，在相关网页上写入客户端电脑目前IP及开放端口。而服务端会定时读取FTP空间网页内容，当发现客户端信息就会主动连接远程服务端。

域名反弹连接技术可能是平常在配置木马中最常遇见的，我们用希网等动态域名作为连接地址，其实就是采用域名反弹连接方式。原理同FTP反弹连接类似。首先我们更新域名信息，服务端通过域名读取客户端信息，然后主动连接客户端。

采用反弹连接也有个缺点，它只能访问拨号上网和NAT代理上网的服务端。
3、HTTP隧道技术
   使用HTTP隧道技术可以访问到局域网里通过HTTP、SOCKS4/5代理上网的服务端。其代表木马有红狼（Gh0st RAT）。
   简单的说，HTTP隧道技术就是将传送的数据封装在HTTP协议里进行传送。因此可以访问到局域网里通过HTTP、SOCKS4/5代理上网的服务端。其几乎支持所有上网方式。这种连接方式同样可以避免防火墙及用户的发现，会被误以为是正常的使用浏览器上网。
4、其他连接方式
   冰河、灰鸽子、红狼都属于C/S型木马，而这里不得不介绍下B/S型木马。
   C/S型木马就是通过客户端（Client）对服务端（Server）进行控制操作；而B/S型木马就是通过浏览器（Browser）对服务端（Server）进行控制操作。
   最早的B/S型木马是1998年第七届”DEF CON“黑客大会，由”死牛崇拜（CDC）“组织拿出的BO2000.国内也有个网络精灵，其实是把BO2000进行汉化精简后重新用VC++进行编译封装。
   还有些其他的不常见或不常用木马连接技术这里就不多加介绍，大家有兴趣的可以去查资料。

木马的入侵途径

   木马的入侵途径有很多，可以通过邮件附件、软件下载等，通过相关的处理，误导用户运行捆绑或包含有木马的文件，从而运行木马。如exe格式的flash播放文件，可以起个吸引人的名字，如“好玩的游戏”，通过剑域联盟捆绑器等捆绑工具将该文件和木马捆绑，发送给用户，当用户由于被文件标题吸引，运行文件玩游戏，自然的也运行了木马。

  一般的木马配置生成的木马很小，只有几十K，最多几百K，上次玩过过一个鸽子集团的小马，配置成的马甚至只有7K。所以将木马捆绑在文件上是很难发现。我们可以采用“魔龙EXE捆绑检测”等相关工具检测文件头从而检测文件是否进行了捆绑。

木马还可以通过Script、ActiveX及ASP.CGI交互脚本的方式植入。由于微软的浏览器在执行Script脚本是存在一些漏洞。攻击者可以利用这些漏洞传播病毒和木马，甚至直接对浏览者电脑进行文件操作等控制。或者其他的相应漏洞等。我曾经利用微软Windows系统中的一个后缀名解析漏洞将木马伪装成txt文件达到了控制目的。最近好像还有个漏洞，可以使文件名倒置，就是说如文件名为“rar.exe”，利用该漏洞倒置后将变成“exe.rar”，但文件仍然是exe文件，如果将图标修改下，那就能很好的伪装成rar文件。具体的方法这里不介绍，主要是讲下通过漏洞达到欺骗入侵的效果。

木马如果成功被运行后会自动加入系统的自动运行项，并且进行进程及服务的伪装，还有文件，隐藏伪装自己，通过特定的端口连接控制端（这里即服务端），从而达到控制目的。并且由于加入了自启动项，木马一般每次系统启动都会进行连接，只要被控端的程序不被发现清理掉，就能达到长久的控制。

在了解了木马的相关知识后，如何防范木马，避免成为“肉鸡”同样是个很重要的话题！

如何检测自己是否成为“肉鸡”
一般情况下成为肉鸡后有以下相关现象：
1、QQ、游戏出现异地登陆，帐号不正常
2、游戏装备丢失等
3、电脑突然无法受自己控制
4、正常上网时，突然电脑网络较差，电脑较卡等
5、出现不明连接，相关端口号被开启（特别是3389，如果已关闭却显示是开启，那比较有问题）
6、杀毒软件等安全软件被异常关闭了或者破坏
7、其他相关不正常现象
其实以上的现象可以说主要是根据经验判断，如果电脑出现太反常的现象，那就可能是成为“肉鸡”受人控制中
如何避免成为“肉鸡”
1、 关闭高危端口
2、 及时打补丁即升级杀毒软件
3、 经常检查系统