本讲研究一种同计算机历史一样悠久的一种威胁系统安全的技术：特洛伊木马有时简单地称为特洛伊。

特洛伊木马的概念

当特洛伊木马刚出现时很难对其下定义。一般情况下，病毒是依据其能复制的特点而定义的。而特洛伊木马主要是根据它的有效载体，或者是其功能来定义的。我们可以对复制的情况进行准确的判定，要么复制了要么没有复制。但对破坏和意图的判定却是相对的、是不太容易的。特洛伊木马的命名可以追溯到古代一个有关隐藏的故事。

特洛伊木马的由来

大约在公元前12世纪，希腊向特洛伊城宣战。这是因为特洛伊王子劫持了Sparta国王Menelaus的妻子Helen（据说是当时最美的女子）。战争持续了10年，特洛伊城十分坚固，希腊军队无法取得胜利。

最终，希腊军队撤退，在特洛伊城外留下很多巨大的木马，里面藏有希腊最好的战士。特洛伊城的人民看到这些木马，以为是希腊军队留给他们的礼物，就将这些木马弄进城。到了夜晚，藏在木马中的希腊士兵在Odysseus的带领下打开特洛伊城的城门，让希腊军队进入，然后夺下特洛伊城。据说“小心希腊人的礼物”这一谚语就是出自这个故事。

在计算机领域，特洛伊木马是一段吸引人的程序，因为它们可执行某些秘密任务。

特洛伊木马的定义

站点安全手册的第一讨论稿RFC1244中对特洛伊木马进行了较为权威的定义：

“特洛伊木马是具有某些功能或仅仅是有趣的程序。但它通常会做一些令人意想不到的事情，如盗取口令或文件。”

这个定义中包含三点——虽然并不十分完善但是可以澄清一些模糊概念。首先，这个定义说明特洛伊木马并不一定实现某种功能。这个说法可以有多种解释：可以实现恶意功能；也可以是表面实现一些有趣的功能但是实际上相反，就像故事里的特洛伊木马，表面上看上去很美但实际上隐藏着危险。

第二，这个定义说明特洛伊木马实现某种不为人知（受害者不知道，作者知道的）的功能。这是几乎所有特洛伊木马的特点。

第三，这个定义暗示“有效负载”是恶意的。实际上，例子中谈到的窃取密码和复制文件指的是无授权访问而不是破坏数据一致性，这点非常特殊。对于我们来说，这点不是很重要。它所涉及到的安全漏洞的类型很特殊，并表明有不法企图的假定并有标准可言。

大多数安全专家统一认可的定义是：“特洛伊木马是一段能实现有用的或必需的功能的程序，但是同时还完成一些不为人知的功能。”

模糊的概念

像许多定义一样，这个定义也忽略了恶意企图的概念。这样会带来类似复活节彩蛋（程序员在一些软件中加入一些代码隐藏诸如编写小组成员员名单之类的信息）的问题，还是恶作剧代码，在软件安装过程中用旧信息改写系统文件。存在有混淆的概念不是一件坏事情，本章会涉及所有相关的问题，而不是忽略不符合定义的所有问题。

现在特洛伊木马（如恶意软件）同病毒和蠕虫是不同的概念，因为特洛伊木马一般不复制自身。Ian Whalley在向病毒报告提交的一篇文章中指出使用非自我复制的恶意软件代替特洛伊木马一词，这样可以将可自我复制代码（病毒和蠕虫）与静态代码（如特洛伊木马）区分开来。这个想法不错，但是又提到来如何定义恶意的问题（用到恶意代码）。所以，如果我们不想定义恶意的特征，就避免使用类似的字眼。

不考虑特洛伊木马定义中的欺骗含义，仅恶意就涉及到许多方面。

根据传统的数据安全模型的三种分类，特洛伊木马的企图也可分为三种：

·试图访问未授权资源

·试图阻止访问

·试图更改或破坏数据和系统

根据这个分类，次要特洛伊木马（accidental Trojan）也可分成上述三种。现在问题是不论代码完成什么样的功能，只要其目的不是故意的，用户就无法准确知道作者的意图。

Dr.Alan Solomon在《All About Viruses》一文中从另一个角度给出了一个严密的定义：“设想我编写一段程序，它可以准确地检测出其他软件是否在格式化硬盘。难道说这段程序是特洛伊木马吗？要是用户希望格式化硬盘，这段程序就不是特洛伊木马，否则就是。问题的关键是比较程序和用户意图之间的差别，但我们无法知道用户的意图。”

Solomon提出的问题很有用，因为它把焦点从特洛伊木马作者意图转换到用户的意图。这也暗示人为因素也是特洛伊木马定义的一部分。再次表明这个问题还有许多细节需要考虑。根据自我复制特性自动研究病毒很容易；在理论上自动研究病毒自我复制的能力也是可能的。但是通过跟踪代码来研究编程序人的意图或用户的意图却很困难。

有时将病毒和蠕虫看成是特洛伊木马的特例。如果合法程序内嵌非法代码，就称作被特洛伊化了。尽管这样无法区分是代码本身有非法企图还是被恶意代码所感染，这个观点不审有一定道理的。但是，由于无法区分特洛伊木马和病毒，我们还是应该忽略这个定义。