“木马”这一名称来源于希腊神话特洛伊戰爭的特洛伊木馬。攻城的希腊联军佯装撤退后留下一只木马，特洛伊人将其当作战利品带回城内。当特洛伊人为胜利而庆祝时，从木马中出来了一队希腊兵，它们悄悄打开城门，放进了城外的军队，最终攻克了特洛伊城。计算机中所说的木马与病毒一样也是一种有害的程序，其特征与特洛伊木马一样具有伪装性，表面上没有危害、甚至还附有使用者需要的功能，却会在使用者不经意间，对使用者的计算机系统产生破坏或窃取数据，特别是使用者的各种账户及口令等重要且需要保密的信息，甚至控制使用者的计算机系統。

一個完整的特洛伊木馬套裝程式包含兩部分：服務端（伺服器部分）和用戶端（控制器部分）。植入對方電腦的是服務端，而駭客正是利用用戶端進入運行了服務端的電腦。運行了木馬程式的服務端以後，會產生一個有著容易迷惑用戶的名稱的進程，暗中打開埠，向指定地點發送資料（如網路遊戲的密碼，即時通訊軟體密碼和用戶上網密碼等），黑客甚至可以利用這些打開的埠進入電腦系統。

特洛伊木馬程式不能自動操作， 一個特洛伊木馬程式是包含或者安裝一個存心不良的程式，它可能看起來是有用或者有趣的計畫（或者至少無害）對一不懷疑的用戶來說，但是實際上有害當它被執行。 特洛伊木馬不會自動執行，它是暗含在某些用戶感興趣的文檔中，用戶下載時附帶的。當用戶執行文檔程式時，特洛伊木馬才會運行，資訊或文檔才會被破壞和遺失。 特洛伊木馬和後門不一樣，後門指隱藏在程式中的秘密功能，通常是程式設計者為了能在日後隨意進入系統而設置的。

特洛伊木馬分為兩種，「Universal」和「Transitive」，「Universal」是可以控制，「Transitive」是無法控制，刻死的操作。

特洛伊木馬不經電腦用戶准許就可獲得電腦的使用權。程式容量十分輕小，執行時不會浪費太多資源，因此沒有使用防毒軟件是難以發覺的；執行時很難阻止它的行動，執行後，立刻自動登錄在系統啟動區，之後每次在Windows載入時自動執行；或立刻自動變更檔名，甚至隱形；或馬上自動複製到其他資料夾中，執行連用戶本身都無法執行的動作；或瀏覽器自動連入奇怪或特定的網頁。

一旦安装，木马程序可能会执行一系列恶意行为。许多木马倾向于联系一个或多个命令与控制(C2)服务器并等待指令。由于个别的木马通常使用一组特定的端口进行通信，检测木马可能相对简单。此外，其他恶意软件可能会“接管”该木马，将其作为恶意行动的代理。^[1]

木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇，或是急于显示自己实力，不断改进木马程序的编写。至今木马程序已经经历六代的改进：

• 第一代，是最原始的木马程序。主要是简单的密码窃取，通过电子邮件发送信息等，具备木马最基本的功能。

• 第二代，在技术上有了很大的进步。

• 第三代，主要改进在数据传递技术方面，出现ICMP等类型的木马，利用畸形报文传递数据，增加杀毒软件查杀识别的难度。

• 第四代，在进程隐藏方面有了很大改动，采用内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程。或者挂接PSAPI，实现木马程序的隐藏，甚至在Windows NT/2000下。

• 第五代，驱动级木马。驱动级木马多数都使用大量的Rootkit技术来达到在深度隐藏的效果，并深入到内核空间的，感染后针对杀毒软件和网络防火墙进行攻击，可将系统SSDT初始化，导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS，并且很难查杀。

• 第六代，随着身份认证UsbKey和杀毒软件主动防御的兴起，黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主，后者以动态口令和硬证书攻击为主。

木马的植入通常是利用操作系统的漏洞，绕过对方的防御措施（如防火墙）。中了特洛伊木马程序的计算机，因为资源被大量佔用，速度会减慢，莫名死机，且使用者資訊可能會被竊取，導致資料外洩等情況發生。

特洛伊木马大部分可以被杀毒软件识别清除。但很多时候，需要用户去手动清除某些文件，注册表项等。 不具有破坏防火墙功能的木马可以被防火墙拦截。

• 防火墙
• 计算机病毒
• 黏虫技术
• 杀毒软件

1. ^ Crapanzano, Jamie. Deconstructing SubSeven, the Trojan Horse of Choice (Report). SANS Institute. 2003 [2021-05-10]. （原始内容于2010-03-30）.