計算機木馬程序及其防范探究

石　經(jīng)

中圖分類號：TP309.5文獻標識碼：A文章編號：1673-0992（2009）05-042-02

摘要網(wǎng)絡入侵工具如蠕蟲、木馬等不斷涌現(xiàn)，其功能上相互吸收和借鑒，攻擊方式和手段也層出不窮，促使計算機安全也向著不斷細化的方向發(fā)展，其中木馬(Trojan Horse)攻擊以其攻擊范圍廣、隱蔽性、危害大等特點成為常見的網(wǎng)絡攻擊技術之一，對網(wǎng)絡安全造成了極大的威脅。

關鍵詞：計算機；木馬程序；防范

由于計算機系統(tǒng)和信息網(wǎng)絡系統(tǒng)本身固有的脆弱性，越來越多的網(wǎng)絡安全問題開始困擾著我們，特別是在此基礎上發(fā)展起來的計算機病毒、計算機木馬等非法程序，利用網(wǎng)絡技術竊取他人信息和成果，造成現(xiàn)實社會與網(wǎng)絡空間秩序的嚴重混亂。

一、木馬程序概述

1.木馬的定義

木馬的全稱是“特洛伊木馬”(Trojan Norse)，來自古希臘神話，傳說古希臘士兵就是藏在木馬內(nèi)進入從而占領特洛伊城的。木馬是隱藏在合法程序中的未授權程序，這個隱藏的程序完成用戶不知道的功能。當合法的程序被植入了非授權代碼后就認為是木馬。木馬是一個用以遠程控制的c/s程序，其目的是不需要管理員的準許就可獲得系統(tǒng)使用權。木馬種類很多，但它的基本構成卻是一樣的，由服務器程序和控制器程序兩部分組成。它表面上能提供一些有用的，或是僅僅令人感興趣的功能，但在內(nèi)部還有不為人所知的其他功能，如拷貝文件或竊取你的密碼等。嚴格意義上來說，木馬不能算是一種病毒，但它又和病毒一樣，具有隱蔽性、非授權性以及危害性等特點，因此也有不少人稱木馬為黑客病毒。

2.木馬的分類

木馬的種類很多，主要有以下幾種：其一，遠程控制型，如BO和冰河。遠程控制型木馬是現(xiàn)今最廣泛的特洛伊木馬，這種木馬起著遠程監(jiān)控的功能，使用簡單，只要被控制主機聯(lián)入網(wǎng)絡，并與控制端客戶程序建立網(wǎng)絡連接，控制者就能任意訪問被控制的計算機。其二，鍵盤記錄型。鍵盤記錄型木馬非常簡單，它們只做一種事情，就是記錄受害者的鍵盤敲擊，并且在 LOG 文件里進行完整的記錄，然后通過郵件或其他方式發(fā)送給控制者。其三，密碼發(fā)送型。密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。這類木馬程序大多不會在每次都自動加載，一般都使用 25 端口發(fā)送電子郵件。其四，反彈端口型。反彈端口型木馬的服務端使用主動端口，客戶端使用被動端口。木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動連接控制端打開的主動端口。為了隱蔽起見，控制端的被動端口一般開在80，稍微疏忽一點, 用戶就會以為是自己在瀏覽網(wǎng)頁。

3.木馬的特點

第一，隱蔽性。隱蔽性是木馬的首要特征。這一點與病毒特征是很相似的，木馬類軟件的 SERVER 端程序在被控主機系統(tǒng)上運行時會使用各種方法來隱藏自己。例如大家所熟悉的修改注冊表和ini文件以便被控系統(tǒng)在下一次啟動后仍能載入木馬程式，它不是自己生成一個啟動程序，而是依附在其他程序之中。第二，有效性。由于木馬常常構成網(wǎng)絡入侵方法中的一個重要內(nèi)容。它運行在目標機器上就必須能夠?qū)崿F(xiàn)入侵者的某些企圖，因此有效性就是指入侵的木馬能夠與其控制端入侵者建立某種有效聯(lián)系，從而能夠充分控制目標機器并竊取其中的敏感信息。第三，自動運行和自動恢復性。木馬程序通過修改系統(tǒng)配置文件，如: win.ini,system.ini，winstart.bat或注冊表的方式，在目標主機系統(tǒng)啟動時自動運行或加載。現(xiàn)在很多的木馬程序中的功能模塊已不再是由單一的文件組成，而是具有多重備份，可以相互恢復。系統(tǒng)一旦被植入木馬，想利用刪除某個文件來進行清除是不太可能的。

二、木馬程序的工作機制

木馬程序雖然具有很大的隱蔽性，但也有其蹤跡可循。因此，要防范木馬就必須知道木馬的工作原理。

1.木馬程序的工作原理

木馬程序的結構是典型的客戶端/服務器(Client/Server；簡稱C/S)模式，服務器端程序騙取用戶執(zhí)行后，便植入在計算機內(nèi)，作為響應程序。所以它的特點是隱蔽，不容易被用戶察覺，或被殺毒程序、木馬清除程序消滅，而且它一般不會造成很大的危害，計算機還可以正常執(zhí)行。另外，木馬服務器端程序還有容量小的特點，一般它的大小不會超過300KB，最小的木馬程序甚至只有3KB，這樣小的木馬很容易就可以合并在一些可以執(zhí)行.exe的文件中或網(wǎng)頁中而不被察覺，而且這樣小的文件也能很快就下載至磁盤中，若是再利用UPX壓縮技術還可以讓木馬程序變得更小。

2.木馬程序的工作方式

木馬客戶端程序是在控制臺(黑客的計算機)中執(zhí)行的，木馬服務器端程序必須與客戶端程序?qū)⑵疬B接。服務器端程序與客戶端建立連接后，由客戶端發(fā)出指令，然后服務器在計算機中執(zhí)行這些指令，并源源不斷地將數(shù)據(jù)傳送至客戶端。木馬服務器端與客戶端之間也可以不建立連接，因為建立連接容易被察覺，如果再使用連接技術只會自斷后路。所以就要使用ICMP來避免建立連接或使用端口。木馬服務器端與客戶端也可以不要間接通訊，因為直接通訊的目的太明顯了，很容易被發(fā)現(xiàn)，所以木馬服務器端可以與客戶端采取間接通訊的專式：在服務器端與客戶端之間中間層，服務器端程序先將數(shù)據(jù)傳送至某個網(wǎng)站，客戶端程序再從那個網(wǎng)站取得數(shù)據(jù)。這種方式可以讓木馬程序達到非常隱蔽的通訊效果，但缺點是通信數(shù)據(jù)交換的速度變慢了。

三、木馬程序的防范策略

計算機木馬程序已經(jīng)嚴重影響到各類計算機使用者的切身利益，當前最重要的是如何有效的防范木馬的攻擊。

1.使用防火墻阻止木馬侵入

防火墻是抵擋木馬入侵的第一道門，也是最好的方式。絕大多數(shù)木馬都是必須采用直接通訊的方式進行連接，防火墻可以阻塞拒絕來源不明的TCP數(shù)據(jù)包。防火墻的這種阻塞方式還可以阻止UDP，ICMP等其他IP數(shù)據(jù)包的通訊。防火墻完全可以進行數(shù)據(jù)包過濾檢查，在適當規(guī)則的限制下，如對通訊端口進行限制，只允許系統(tǒng)接受限定幾個端口的數(shù)據(jù)請求，這樣即使木馬植入成功，攻擊者也是無法進入到你的系統(tǒng)，因為防火墻把攻擊者和木馬分隔開來了。

2.避免下載使用免費或盜版軟件

電腦上的木馬程序，主要來源有兩種。第一種是不小心下載運行了包含有木馬的程序。絕大多數(shù)計算機使用者都習慣于從網(wǎng)上下載一些免費或者盜版的軟件使用，這些軟件一方面為廣大的使用者提供了方便，節(jié)省了資金，另一方面也有一些不法分子利用消費者的這種消費心理，在免費、盜版軟件中加載木馬程序，計算機使用者在不知情的情況下貿(mào)然運行這類軟件，進而受到木馬程序的攻擊。還有一種情況是，“網(wǎng)友”上傳在網(wǎng)頁上的“好玩”的程序。所以，使用者定要小心，要弄清楚了是什么程序再運行。

3、安全設置瀏覽器

設置安全級別，關掉Cookies。Cookies是在瀏覽過程中被有些網(wǎng)站往硬盤寫入的一些數(shù)據(jù)，它們記錄下用戶的特定信息，因而當用戶回到這個頁面上時，這些信息就可以被重新利用。但是關注Cookies的原因不是因為可以重新利用這些信息，而是關心這些被重新利用信息的來源:硬盤。所以要格外小心，可以關掉這個功能。步驟如下:選擇“工具”菜單下的“Internet選項”，選擇其中的“安全”標簽，就可以為不同區(qū)域的Web內(nèi)容指定安全設置。點擊下面的“自定義級別”，可以看到對Cookies和Java等不安全因素的使用限制。

4.加強防毒能力

“常在河邊走，哪有不濕腳”，只要你上網(wǎng)就有可能受到木馬攻擊，但是并不是說沒有辦法來解決。在計算機上安裝殺毒軟件就是其中一種方法，有了防毒軟件的確會減少受傷的幾率。但在防毒軟件的使用中，要盡量使用正版，因為很多盜版自身就攜帶有木馬或病毒，且不能升級。新的木馬和病毒一出來，唯一能控制它蔓延的就是不斷地更新防毒軟件中的病毒庫。除了防毒軟件的保護，還可以多運行一些其他軟件。如天網(wǎng)，它可以監(jiān)控網(wǎng)絡之間正常的數(shù)據(jù)流通和不正常的數(shù)據(jù)流通，并隨時對用戶發(fā)出相關提示；如果我們懷疑染了木馬的時候，還可以從網(wǎng)上下載木馬克星來徹底掃描木馬，保護系統(tǒng)的安全。

參考文獻：

[1]盧勇煥.黑客與安全[M].北京：中國青年出版社,2001年

[2]張世永.網(wǎng)絡安全原理與應用[M].北京:科學出版社,2003年

[3]秘密客.破解黑客木馬屠城計[M].北京：中國水利水電出版社,2005年

[4]鐘力.網(wǎng)絡欺騙安全防護技術[J].軍事通信技術,2001(1)

[5]替遠、程波財.特洛伊木馬的防范策略[J].計算機與現(xiàn)代化,2003(5)