論木馬技術(shù)與網(wǎng)站惡意代碼防護(hù)

【摘要】網(wǎng)頁木馬是利用網(wǎng)頁來進(jìn)行破壞的病毒，它包含在惡意網(wǎng)頁之中，使用腳本語言編寫惡意代碼，依靠系統(tǒng)的漏洞，如IE瀏覽器存在的漏洞來實(shí)現(xiàn)病毒的傳播。當(dāng)用戶登陸了包含網(wǎng)頁病毒的惡意網(wǎng)站時(shí)，網(wǎng)頁木馬便被激活，受影響的系統(tǒng)一旦感染網(wǎng)頁病毒，就會(huì)遭到破壞，輕則瀏覽器首頁被修改，標(biāo)題改變，系統(tǒng)自動(dòng)彈出廣告，重則被裝上木馬，感染病毒，使用戶無法進(jìn)行正常的使用。甚至?xí)鹣到y(tǒng)崩潰，敏感信息丟失等嚴(yán)重后果。由于腳本語言易于掌握，所以網(wǎng)頁木馬非常容易編寫和修改，造成很難提取特征值，增加了殺毒軟件查殺以及用戶預(yù)防的困難。本文重點(diǎn)對(duì)網(wǎng)站惡意代碼傳播方式進(jìn)行分析，并重點(diǎn)介紹了網(wǎng)站惡意代碼傳播防護(hù)的保護(hù)與防范。

【關(guān)鍵詞】木馬；網(wǎng)站；防范

一、特洛伊木馬

這種病毒是根據(jù)古希臘神話中的木馬來命名的，它從表面上看沒有什么，但實(shí)際卻隱含著惡意程序。一部分木馬會(huì)通過覆蓋系統(tǒng)中已存在的文件的方式存隱藏于系統(tǒng)之中，它還可以攜帶惡意代碼，還有一些木馬通過一個(gè)軟件的身份出現(xiàn)（例如：一個(gè)可以下載的游戲），但是實(shí)際上它是一個(gè)竊取密碼的工具。這種病毒通常不易被用戶發(fā)現(xiàn)，因?yàn)樗ǔＲ砸粋€(gè)正常的程序的身份在系統(tǒng)中運(yùn)行。特洛伊木馬可以分成三種模式：

（1）一般隱藏在正常的程序應(yīng)用中，攜帶執(zhí)行獨(dú)立的惡意操作

（2）一般隱藏在正常的程序應(yīng)用中，但會(huì)更改正常的程序進(jìn)行惡意操作

（3）完全覆蓋了正常的程序應(yīng)用，并執(zhí)行惡意操作

大部分木馬都能使木馬控制者登錄上被感染的計(jì)算機(jī)上，并且擁有絕大多數(shù)管理員級(jí)的控制權(quán)限。為達(dá)到此目的，木馬一般包括一個(gè)客戶端和一個(gè)服務(wù)器端客戶端放在木馬控制者的計(jì)算機(jī)中，服務(wù)器端放置在被入侵計(jì)算機(jī)中，木馬控制者通過客戶端與被入侵的計(jì)算機(jī)中的服務(wù)器端建立遠(yuǎn)程連接。一旦連接成功，木馬控制者就可以通過對(duì)被入侵的電腦發(fā)送指令來傳輸并修改文件。一般木馬所具有的另一個(gè)是發(fā)動(dòng)DdoS（拒絕服務(wù)）的攻擊。

二、瀏覽器端網(wǎng)站惡意代碼防護(hù)

1.要避免被網(wǎng)頁惡意代碼感染，首先關(guān)鍵是不要輕易去一些并不信任的站點(diǎn)，尤其是一些帶有美女圖片等的網(wǎng)址。但是這個(gè)并不能真正防止網(wǎng)頁惡意代碼的攻擊，因?yàn)檫@些惡意代碼有可能在任何地方出現(xiàn)。所以也可以參考進(jìn)行以下步驟的設(shè)置。

2.運(yùn)行IE時(shí)，點(diǎn)擊“工具→Internet選項(xiàng)→安全→Internet區(qū)域的安全級(jí)別”，把安全級(jí)別由“中”改為“高”。網(wǎng)頁惡意代碼主要是含有惡意代碼的ActiveX或Applet、javascript的網(wǎng)頁文件，所以在IE設(shè)置中將ActiveX插件和控件、Java腳本等全部禁止就可以減少被網(wǎng)頁惡意代碼感染的幾率。具體方案是：在IE窗口中點(diǎn)擊“工具”→“Internet選項(xiàng)”，在彈出的對(duì)話框中選擇“安全”標(biāo)簽，再點(diǎn)擊“自定義級(jí)別”按鈕，就會(huì)彈出“安全設(shè)置”對(duì)話框，把其中所有ActiveX插件和控件以及與Java相關(guān)全部選項(xiàng)選擇“禁用”。但是，這樣做在以后的網(wǎng)頁瀏覽過程中有可能會(huì)使一些正常應(yīng)用ActiveX的網(wǎng)站無法瀏覽。而對(duì)于使用Windows98的計(jì)算機(jī)用戶，請(qǐng)打開C：＼WINDOWS＼JAVA＼Packages＼CVLV1NBB.ZIP，把其中的“ActiveXComponent.class”刪掉；對(duì)于使用Windows Me的計(jì)算機(jī)用戶，請(qǐng)打開C：＼WINDOWS＼JAVA＼Packages＼5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”刪掉。這個(gè)也只是一種折中的方案，我們可以有其它方法（如下）來保證IE的安全。

3.一定要在計(jì)算機(jī)上安裝網(wǎng)絡(luò)防火墻，并要時(shí)刻打開“實(shí)時(shí)監(jiān)控功能”。

4.設(shè)置注冊(cè)表編輯器中的相關(guān)項(xiàng)值：

（1）運(yùn)行打開注冊(cè)表編輯器命令regedit.exe進(jìn)入注冊(cè)表；

（2）KEY_CURRENT_USER＼Software＼.....＼CurrentVersion＼Policies＼System下，增加名為DisableRegistryTools的DWORD值項(xiàng)，將其值改為“1”，即可禁止使用注冊(cè)表編輯器命令regedit.exe。因?yàn)樘厥庠蛐枰薷淖?cè)表，可應(yīng)用如下解鎖方法：

用記事本編輯一個(gè)任意名的.reg文件，其中的內(nèi)容如下：

REGEDIT4

HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼

Policies＼System

\"DisableRegistryTools\"=dword：00000000

雙擊運(yùn)行recover.reg即可。

5.隨時(shí)升級(jí)IE瀏覽器的補(bǔ)丁。

三、服務(wù)端網(wǎng)站惡意代碼傳播防護(hù)

據(jù)介紹，現(xiàn)在網(wǎng)頁掛馬不僅僅通過嵌入惡意特征代碼，還會(huì)利用很多應(yīng)用軟件的漏洞來進(jìn)行傳播。由于使用這些應(yīng)用軟件的用戶群比較多，受到惡意木馬入侵的機(jī)會(huì)就會(huì)增大，因此惡意攻擊者常常會(huì)把目標(biāo)鎖定在利用這些應(yīng)用軟件的漏洞來傳播惡意木馬程序。一些防范措施如下：

1.網(wǎng)站管理者要加強(qiáng)網(wǎng)站的監(jiān)督管理

網(wǎng)站管理者要加強(qiáng)網(wǎng)站的監(jiān)督管理，定期對(duì)上傳的Web網(wǎng)頁文件進(jìn)行比對(duì)，包括文件的創(chuàng)建、更新時(shí)間，文件大小等，一旦發(fā)現(xiàn)異常文件，應(yīng)立即刪除并更新。定期維護(hù)升級(jí)網(wǎng)站服務(wù)器，檢查服務(wù)器所存在的漏洞和安全隱患。

2.務(wù)必打開計(jì)算機(jī)系統(tǒng)中防病毒軟件

網(wǎng)站管理者在Web網(wǎng)頁時(shí)，務(wù)必打開計(jì)算機(jī)系統(tǒng)中防病毒軟件的“網(wǎng)頁監(jiān)控”功能。同時(shí)，及時(shí)下載安裝操作系統(tǒng)已安裝應(yīng)用軟件的最新漏洞補(bǔ)丁或新版本，防止惡意木馬利用漏洞進(jìn)行入侵感染操作系統(tǒng)。

四、結(jié)論

當(dāng)今網(wǎng)絡(luò)，反病毒軟件日益增多，使用的反病毒技術(shù)越來越先進(jìn)，查殺病毒的能力逐漸提高，但病毒制作者并不會(huì)罷休，反查殺手段不斷升級(jí)，新的病毒層出不窮，形式也越來越多樣化，為了躲避查殺，病毒自身的隱蔽性越來越高，針對(duì)反病毒軟件對(duì)傳統(tǒng)的病毒傳播途徑的監(jiān)控能力提高，造成病毒傳播困難的問題，越來越多的病毒，利用多數(shù)反病毒軟件產(chǎn)品對(duì)惡意腳本監(jiān)控能力的缺陷，開始利用網(wǎng)頁木馬這一危害面最廣泛，傳播效果最佳的方式來傳播。所以根據(jù)目前的發(fā)展現(xiàn)狀，對(duì)網(wǎng)站惡意代碼的傳播方式進(jìn)行分析是很有必要的。本文通過一個(gè)實(shí)例研究了網(wǎng)站惡意代碼傳播、危害以及解決方法。本文還會(huì)繼續(xù)努力深入去研究網(wǎng)站惡意代碼傳播方式以及防護(hù)辦法，為互聯(lián)網(wǎng)打造一個(gè)健康的休閑、工作、娛樂平臺(tái)。

【參考文獻(xiàn)】

[1]Skoudis E.決戰(zhàn)惡意代碼[M].北京：電子工業(yè)出版社，2009.

[2]李永革.基于瀏覽器的安全問題研究[J].計(jì)算機(jī)工程，2008.

[3]鮑欣龍.可用于惡意腳本識(shí)別的注冊(cè)表異常行為檢測(cè)技術(shù)[J].計(jì)算機(jī)工程，2007.

[4]曹國(guó)均.Windows98/2000注冊(cè)表應(yīng)用460例[M].北京：科學(xué)出版社，2006.

[5]姬占禮.網(wǎng)絡(luò)安全技術(shù)的應(yīng)用研究[D].南京：南京理工大學(xué)，2004.

[6]何鯤鵬.網(wǎng)站木馬研究與防范[D].哈爾濱：哈爾濱工程大學(xué)，2004.

[7]宋瑞子.惡意腳本全攻略[D].哈爾濱：哈爾濱工程大學(xué)，2002.

[8]孫楓.網(wǎng)站安全架構(gòu)系統(tǒng)[M].哈爾濱：哈爾濱工程大學(xué)出版社，2006.