现在我们来看看木马在黑客学习中的作用。首先学习者要明确木马究竟是什么，同时还要搞清楚木马的类型，并且学习一些流行的木马程序的用法，这是一个相辅相成的学习进程，当黑客利用漏洞进入服务器之后，就可以选择两条路：一、破坏系统、获得资料、显示自己；二、利用木马为自己开辟一个合法的登录账号、掌管系统、利用被入侵系统作为跳板继续攻击其他系统。

由此看来，木马程序是为第二种情况涉及的一种可以远程控制系统的程序，根据实现木马程序的目的，可以知道这种程序应该具有以下性质：

1、伪装性：程序将自己的服务端伪装成合法程序，并且具有诱惑力的让被攻击者执行，在程序被激活后，木马代码会在未经授权的情况下运行并装载到系统开始运行进程中；

2、隐藏性：木马程序通病毒程序一样，不会暴露在系统进程管理器内，也不会让使用者察觉到木马的存在，它的所有动作都是伴随其他程序的运行进行的，因此在一般情况下使用者很难发现系统中木马的存在；

3、破坏性：通过远程控制，黑客可以通过木马程序对系统中的文件进行删除、编辑操作，还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作；

4、窃密性：木马程序最大的特点就是可以窥视被入侵电脑上的所有资料，这不仅包括硬盘上的文件，还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。

看了上面的介绍，学习者应该对木马程序的用途有了一个初步了解，并且区分清除木马程序和病毒之间的相同点和不同点，由于黑客手段的日益增多，许多新出现的黑客手段（例如 D.O.S）经常会让学习者思维混乱，但实际上这些新出现的黑客手段都是从最开始的溢出、木马演变出来的，因而对于初学者来说，并不需要急于接触过多的新技术，而是要对最基本的也是最有效的黑客技术进行深入学习。

一、木马的原理：

大多数木马程序的基本原理都是一样的，他们是由两个程序配合使用——被安装在入侵系统内的Server程序；另一个是对Server其控制作用的Client程序。学习者已经了解了木马和病毒的区别，大多数Server程序不会像病毒一样主动传播，而是潜伏在一些合法程序内部，然后由目标操作者亲手将其安装到系统中，虽然这一切都是没有经过目标操作者授权的，然而从某种程度上说，这的确是在经过诱惑后目标“心甘情愿”接收木马的，当Server安装成功后，黑客就可以通过Client控制程序对Server端进行各种操作了。

木马程序的Server端为了隐藏自己，必须在设计中做到不让自己显示到任务栏或者系统进程控制器中，同时还不会影响其他程序的正常运行，当使用者电脑处于断线状态下，Server段不会发送任何信息到预设的端口上，而会自动检测网络状态直到网络连接好，Server会通过email或者其他形式将Server端系统资料通知Client端，同时接收Client发送出来的请求。

二、木马实战：

说说国产木马老大，冰河——你不得不了解的工具。

（编者残语：）说到冰河，也许在2005年的今天显得很落后，但冰河创造了一个时代，一个人人能做黑客的时代。使用方便简单，人人都能上手。图形界面，中文菜单，了解木马，先从了解远程控制软件冰河开始。

(使用冰河前，请注意：如果你的机器有杀毒软件，可能会出现病毒提示。说实话，他还真是一个病毒。呵呵。所以在使用前，请慎重考虑，出了问题，小编可担当不起。建议使用不管是客户端还是服务端都请关闭杀毒软件以达到更好的使用效果。)

软件功能概述:

该软件主要用于远程监控，具体功能包括:

1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕(局域网适用)；

2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息，且1.2以上的版本中允许用户对该功能自行扩充，2.0以上版本还同时提供了击键记录功能；

3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；

4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；

5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；

6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；

7．发送信息：以四种常用图标向被控端发送简短信息；

8．点对点通讯：以聊天室形式同被控端进行在线交谈。

一.文件列表:

1. G_Server.exe: 被监控端后台监控程序(运行一次即自动安装，可任意改名)，在安装前可以先通过'G_Client'的'配置本地服务器程序'功能进行一些特殊配置，例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)；

2. G_Client.exe: 监控端执行程序，用于监控远程计算机和配置服务器程序。

二.准备工作:

冰河是一个基于TCP/IP协议和WINDOWS操作系统的网络工具，所以首先应确保该协议已被安装且网络连接无误，然后配置服务器程序(如果不进行配置则取默认设置)，并在欲监控的计算机上运行服务器端监控程序即可。

三.升级方法:

由于冰河2.0的改版较大，所以2.0以后版本与以前各版本完全不兼容。为此只能向老用户提供一套升级方案：对于1.1版本的用户(好象已经没什么人用了)，可以先用1.1或1.2版的CLIENT端将新版本的SERVER程序上传至被监控端，然后执行'文件打开'命令即可；对于1.2版本的用户相对简单，只要通过1.2版的CLIENT远程打开新版本的SERVER程序就可以自动升级了。2.0以后的各版本完全兼容。

'DARKSUN专版'中还提供了另一种升级方法，可以免去在不同版本中切换的麻烦。如果您不能确定远程主机的冰河版本，在用'文件管理器'浏览目录前，最好先在工具栏下的'当前连接'列表框中选择打算连接的主机，然后直接点'升级1.2版本'按钮进行升级，如果返回的信息是'无法解释的命令'，那说明远程主机安装了2.0以上版本，具体的版本及系统信息可以通过'命令控制台'的'口令类命令\系统信息及口令\系统信息'来查看。

四.各模块简要说明:

安装好服务器端监控程序后，运行客户端程序就可以对远程计算机进行监控了，客户端执行程序的各模块功能如下:

1. "添加主机": 将被监控端IP地址添加至主机列表，同时设置好访问口令及端口，设置将保存在'Operate.ini'文件中，以后不必重输。如果需要修改设置，可以重新添加该主机，或在主界面工具栏内重新输入访问口令及端口并保存设置；

2. "删除主机": 将被监控端IP地址从主机列表中删除(相关设置也将同时被清除)；

3. "自动搜索": 搜索指定子网内安装有'冰河'的计算机。(例如欲搜索IP地址'192.168.1.1'至'192.168.1.255'网段的计算机，应将'起始域'设为'192.168.1',将'起始地址'和'终止地址'分别设为'1'和'255')；

4. "查看屏幕": 查看被监控端屏幕(相当于命令控制台中的'控制类命令\捕获屏幕\查看屏幕')；

5. "屏幕控制": 远程模拟鼠标及键盘输入(相当于命令控制台中的'控制类命令\捕获屏幕\屏幕控制')。其余同"查看屏幕"；

6. "冰河信使": 点对点聊天室，也就是传说中的'二人世界'；

7. "升级1.2版本": 通过'DARKSUN专版'的冰河来升级远程1.2版本的服务器程序；

8. "修改远程配置": 在线修改访问口令、监听端口等服务器程序设置，不需要重新上传整个文件，修改后立即生效；

9. "配置本地服务器程序": 在安装前对'G_Server.exe'进行配置(例如是否将动态IP发送到指定信箱、改变监听端口、设置访问口令等)。

五.文件管理器操作说明:

文件管理器对文件操作提供了下列鼠标操作功能：

1. 文件上传：右键单击欲上传的文件，选择'复制'，在目的目录中粘贴即可。也可以在目的目录中选择'文件上传自'，并选定欲上传的文件；

2. 文件下载：右键单击欲下载的文件，选择'复制'，在目的目录中粘贴即可。也可以在选定欲下载的文件后选择'文件下载至'，并选定目的目录及文件名；

3. 打开远程或本地文件：选定欲打开的文件,在弹出菜单中选择'远程打开'或'本地打开'，对于可执行文件若选择了'远程打开'，可以进一步设置文件的运行方式和运行参数(运行参数可为空)；

4. 删除文件或目录：选定欲删除的文件或目录，在弹出菜单中选择'删除'；

5. 新建目录：在弹出菜单中选择'新建文件夹'并输入目录名即可；

6. 文件查找：选定查找路径,在弹出菜单中选择'文件查找'，并输入文件名即可(支持通配符)；

7. 拷贝整个目录(只限于被监控端本机)：选定源目录并复制，选定目的目录并粘贴即可。

六.命令控制台主要命令:

1. 口令类命令: 系统信息及口令、历史口令、击键记录；

2. 控制类命令: 捕获屏幕、发送信息、进程管理、窗口管理、鼠标控制、系统控制、其它控制(如'锁定注册表'等)；

3. 网络类命令: 创建共享、删除共享、查看网络信息；

4. 文件类命令: 目录增删、文本浏览、文件查找、压缩、复制、移动、上传、下载、删除、打开(对于可执行文件则相当于创建进程)；

5. 注册表读写: 注册表键值读写、重命名、主键浏览、读写、重命名；

6. 设置类命令: 更换墙纸、更改计算机名、读取服务器端配置、在线修改服务器配置。

七.使用技巧: