淺談計算機木馬

[摘要] 隨著網絡的發展，越來越多的人們開始依賴網絡。他們在享受網絡帶來的方便和快樂的同時，也受到木馬等病毒的侵害。因此，從木馬的本質、組成、傳播途徑以及攻擊步驟等幾個方面，全面介紹木馬，使計算機用戶更深層次地認識和預防木馬，保障自己的切身利益。

[關鍵詞] 木馬 傳播途徑 攻擊步驟

一、什么是木馬

木馬本質上是一種經過偽裝的欺騙性程序，它通過將自身偽裝吸引用戶下載執行，從而破壞或竊取使用者的重要文件和資料。

木馬程序與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它是一種后臺控制程序。它的主要作用是向施種木馬者打開被種者電腦的門戶，使其可以任意毀壞、竊取被種者的文件，甚至遠程操控其電腦。

二、木馬的組成

一個完整的木馬系統以下幾部分組成:

1.硬件部分。建立木馬連接所必須的硬件實體，一般由控制端、服務端和INTERNET三部分組成。

2.軟件部分。實現遠程控制所必須的軟件程序，主要包括控制端程序、木馬程序和木馬配置程序等。

3.建立連接的必要元素。構建服務端和控制端連接所必須的元素。主要包括控制端IP、服務端IP、控制端端口以及木馬端口等。

三、木馬的發展歷史

木馬的發展大致經歷了三個階段，第一階段的木馬也叫偽裝型病毒。這種木馬通過偽裝成一個合法性程序誘騙用戶上當。世界上第一個計算機木馬是出現在1986年的PC-Write木馬，它偽裝成共享軟件PC-Write的2.72版本，一旦用戶運行該木馬程序，硬盤被格式化。第二代木馬叫AIDS型木馬，它最早出現于1989年。雖然它不會破壞數據，但能將硬盤加密鎖死，然后提示受感染用戶往制定賬戶匯款以解除硬盤加密。隨著Internet的普及，出現了兼備偽裝和傳播兩種特征，并結合TCP/IP網絡技術的第三代木馬——網絡傳播性木馬。這個階段的木馬已經具備了“后門”功能。所謂后門，就是一種可以為計算機系統秘密開啟訪問入口的程序。一旦被安裝，攻擊者就能繞過安全程序進入系統，收集系統中的重要信息;同時，第三代木馬還具有鍵盤記錄功能，記錄用戶所有的擊鍵內容，形成包含用戶重要信息的擊鍵記錄日志文件發送給種馬者。這一代木馬比較有名的有國外的BO2000(BackOrifice)和國內的冰河木馬。它們的共同特點是:基于網絡的客戶端/服務器應用程序，具有搜集信息、執行系統命令、重新設置機器、重新定向等功能。

四、木馬的傳播途徑

1.通過電子郵件的附件傳播。

2.通過下載文件傳播。主要通過兩種方式:一種是直接把下載鏈接指向木馬程序;另一種是將木馬捆綁到需要下載的文件中。

3.通過網頁傳播。木馬程序加載在網頁內，使瀏覽器自動下載并執行。

4.通過聊天工具傳播。

五、木馬攻擊的步驟

木馬實現網絡入侵大致可分為配置、傳播、運行、信息泄露、連接建立和遠程控制六步:

1.配置木馬

一個設計成熟的木馬，必須有木馬配置程序，木馬配置主要實現以下兩方面功能:

(1)木馬偽裝。木馬配置程序為了在服務端盡可能的好的隱藏木馬，通常采用以下幾種偽裝手段:①修改圖標。將木馬服務端程序的圖標改成HTML，TXT， ZIP等各種文件的圖標，以迷惑網絡用戶。②捆綁文件。將木馬捆綁到一個安裝程序上，隨著該程序的安裝，木馬被植入系統。③出錯顯示。當服務端用戶打開木馬程序時，彈出一個錯誤提示框，伴隨用戶的操作木馬便植入系統。④定制端口。新式木馬通過定制端口的手段，控制端用戶可以在1024—65535之間任選一個數字作為木馬端口，增大木馬檢測的難度。⑤自我銷毀。新式木馬安裝后，原文件將自動銷毀，木馬的來源就很難找到，增大木馬檢測難度。⑥木馬更名。新式木馬更改植入系統的木馬文件名，增大木馬檢測難度。

(2)信息反饋。木馬配置程序對信息反饋的方式或地址進行設置。

2.傳播木馬

木馬的傳播方式第四節已詳細介紹。

3.運行木馬

木馬在服務端自動安裝，設置觸發條件后，就可啟動運行。木馬的運行方式主要包括以下幾種:

(1)自啟動激活木馬

①在C:WINDOWS目錄下的配置文件system.ini中設置命令行啟動木馬。②控制端用戶與服務端建立連接后，將已添加木馬啟動命令的文件上傳到服務端覆蓋C盤根目錄下的Autoexec.bat和Config.sys。③啟動菜單:在“開始——程序——啟動”選項下也可能有木馬的觸發條件。

(2)觸發式激活木馬

①通過修改打開HTML，EXE，ZIP等文件啟動命令的鍵值來啟動。②捆綁文件:控制端用戶將木馬文件和某一應用程序捆綁在一起，然后上傳到服務端覆蓋原文件，這樣即使木馬被刪除，只要運行捆綁木馬的應用程序，木馬將再次被安裝。③自動播放式:修改AutoRun.inf中的open命令來指向木馬程序。

4.信息泄露

成熟的木馬都有一個信息反饋機制。所謂信息反饋機制，是指木馬成功安裝后會收集一些服務端的軟硬件信息，并通過E-MAIL，IRC或ICO的方式告知控制端用戶。從反饋信息中控制端可以知道服務端的一些軟硬件信息，其中最重要的是服務端的IP，獲取參數，控制端方可與服務端建立連接。

5.建立連接

木馬連接的建立必須滿足以下條件:一是服務端已安裝木馬程序;二是控制端和服務端都必須接入網絡;三是獲取服務端IP地址。

獲得服務端IP地址的方法主要有兩種:信息反饋和IP掃描。信息反饋前面已經介紹，這里主要介紹IP掃描的過程。其過程如下:控制端掃描IP地址段中相應木馬端口號開放的主機，并將該主機的地址記入IP地址列表，同時向該主機發出連接信號，服務端木馬程序收到信號后立即作出響應，控制端收到響應信號后，開啟一個隨即端口并與服務端木馬端口建立連接。

6.遠程控制

控制端與木馬程序建立連接后，通過木馬程序對服務端進行遠程控制?？刂贫丝梢愿`取的權限有以下幾種:

(1)竊取密碼。通過鍵盤記錄功能，竊取用戶的各種密碼或偵測一切以明文形式或者存儲在CACHE中的密碼。 (2)文件操作?？刂贫擞蛇h程控制對服務端上的文件進行刪除、篡改、上傳等一系列操作。(3)修改注冊表。控制端可任意修改服務端注冊表，包括刪除，新建或修改主鍵、子鍵鍵值，甚至鎖住服務端的注冊表。(4)系統操作。對服務端操作主要包括重啟或關閉操作系統、斷開網絡連接以及控制鼠標或鍵盤等。

六、結束語

目前，針對木馬的檢測和清除技術在不斷地提高，但是木馬的變更手段也日益猖狂，正所謂“道高一尺魔高一丈”。在計算機的游戲規則中，總是先有木馬出現，才有查殺和清除木馬的方法。作為一個新時代的計算機用戶，只有深入地了解木馬的攻擊手段，不斷積累經驗，才能盡量減少木馬造成的損失，給自己創造一個良好的網絡生活方式。

參考文獻:

[1]張友生.計算機病毒與木馬程序剖析.北京:科海電子出版社，2003.

[2]陳什云.黑客攻防對策.清華大學出版社，2002.

[3]Donald L.Pipkin著.朱崇高譯.攔截黑客-計算機安全入門(第二版).清華大學出版社，2003.

[4]張仁斌，李鋼，侯整風.計算機病毒與反病毒技術.清華大學出版社，2006.

[5]李旭光.計算機病毒-病毒機制與防范技術.重慶大學出版社，2002.