網頁木馬機理與防御方法研究

曾澤軍

摘 要隨著現代計算機網絡的不斷普及，網絡安全問題越來越受到社會各界的重視。網頁木馬具有強大的遠程控制作用，給用戶的網絡安全帶來了巨大的隱患。本研究就網頁木馬的機理和和特點入手，對如何進行木馬的防御進行簡要的探討，以提高網絡應用的安全。

【關鍵詞】網頁木馬 機理 防御方法

網頁木馬是一種以特定的頁面元素作為攻擊對象，利用瀏覽器及插件中的漏洞，在用戶的服務器終端進行攻擊和控制的程序。網頁木馬制作簡單、傳播速度快，而且破壞力強，能夠隱蔽的將惡意的程序植入在用戶的客戶端，給用戶的電腦軟件造成破壞，危害用戶的信息安全。近年來，研究者針對網頁木馬的機理和防御做了很多的研究，現總結如下。

1 網頁木馬的定義

網頁木馬的本質是一組惡意的網頁代碼。黑客通過在特定的網頁或者系統中進行木馬程序的植入。在用戶下載或者執行包含的惡意文件時，隱藏的木馬程序通過計算機的漏洞侵入到客戶端的計算機中，遠程控制客戶端的資源。通過修改客戶端的文件、下載用戶的文件或者隨意的客戶端的計算機注冊表和系統文件，竊取對方的計算機信息資料，甚至造成對方計算機的癱瘓。

一般情況下，網頁木馬表現為一組相互之間有鏈接關系的、含有惡意的程序代碼的網頁界面。相比于蠕蟲等傳統的具有自我復制功能的網絡病毒，網頁木馬還可以在的終端端對用戶的網頁進行實時的控制，而且這種攻擊方式對于防火墻的檢測來說不易發現，可以有效地在用戶的電腦中順利進行惡意代碼的植入，盜取個人信息和破壞電腦程序更加的方便。而且由于現代網絡的普及，黑客可以利用網頁木馬進行盜用股票賬號、信用卡賬號等，以此來獲取經濟利益。因此，現代網頁木馬的危害性更大。

2 網頁木馬的工作原理

現代網頁木馬在進行網頁侵入的時候，通常是采用一種被動攻擊的模式。一般是根據某個瀏覽器或者電腦的插件的具體的常見漏洞而開發的，黑客將網頁木馬設置在服務器的終端，并事先對攻擊的頁面進行設定。當用戶發起特定的網頁訪問請求的時候，網頁木馬的服務器對用戶的行為作出回應，將包含木馬的頁面內容發送到用戶的客戶端。一旦發送成功，隱藏的木馬頁面被瀏覽器加載，而其中的特定程序在瀏覽器中被執行并通過利用電腦程序的漏洞進行下載、安裝、執行某些惡意程序。由此可見，網頁木馬的特點是隱蔽性，可以在不知不覺中對用戶的電腦程序造成影響。其安裝時被動式的，但是可以有效地對抗電腦的防火墻，對于用戶來說很難防范。

通常情況下，木馬的攻擊步驟包括以下幾個方面：首先是木馬的植入，木馬程序在客戶端電腦植入后，能夠自動的進行程序的啟動哈運行，對目標主機進行實施的控制。在此過程中，可以修改系統的文件，實現文件的自動加載；修改計算機系統的注冊表，以掌握計算機的核心配置文件；或者對系統進行服務程序的添加，導致只要系統啟動，就會運行木馬的現象；修改文件的關聯屬性，導致文件的運行與木馬的運行同步；此外還可以利用程序的自動運行的一些程序，實現自動化的運行，對系統的DLL進行更改等。其次，是由于木馬的隱藏功能對計算機用戶造成的危害，木馬可以將其程序注冊為服務，進行深度的隱藏；還可以使用可變的高端口或者系統的服務端口，進行有效的隱藏。在此，木馬程序具有的監控技術?？梢詫崿F對客戶機器的信息竊取，對用戶的實踐進行記錄以及遠程的進行目標機器的鼠標和鍵盤的管理和控制，對于客戶端用戶來說危害極大。

3 網頁木馬的漏洞利用機理

前面提到網頁木馬主要是通過用戶的客戶端瀏覽器或者插件的漏洞以實現對電腦的入侵的。在相應的漏洞下，繞過網絡的防火墻，獲得一定的執行權限，以實現惡意程序的下載與執行的最終目的。現階段，網頁木馬多采用的Java Script 腳本語言進行編寫，一般情況下電腦的瀏覽器可以為此種語言與相關插件（API）之間的交互作用提供便利，網頁木馬程序可以很方便的通過調用其中的不安全語言編程，導致插件出現漏洞。而且，黑客也可以通過對腳本進行靈活的運用，對反病毒引擎的安全檢查進行混淆。因此，網頁木馬可以利用的程序漏洞主要有任意下載 的API 類漏洞和內存破壞漏洞。

前者主要存在與一些瀏覽器的插件中，很多瀏覽器中通常都會存在一些用來下載、上傳、等功能的插件。而插件在安裝的過程中，通常不受到重視。如果在API 中未進行安全檢查，就會存在網頁木馬進行直接的利用的危險。

后者主要主要分為是三種，分別為 use-after-free 型漏洞、溢出漏洞和瀏覽器解析漏洞三種。網頁木馬可以利用Java Script， Vb Script腳本向存在漏洞的瀏覽器內存中進行惡意的傳輸一些執行指令，導致相應的執行流跳轉被觸發，在控制下相應的程序進行下載和執行惡意的程序。

4 網頁木馬的防御方法

4.1 木馬檢測

首先是在日常使用電腦的過程中，尤其是進行文件的下載過程中，應該注意木馬的監測。常見的檢測方法有端口的掃描，對系統的進程進行檢查以及對.ini 文件、計算機的注冊表以及服務進行經常的檢查，或者對網絡的通訊設備進行檢查，通過定期的檢查可以及時的發現木馬，防止電腦被網頁木馬侵入，降低用戶的損失。

4.2 木馬的清除

一旦在電腦中發現木馬的侵入，我們應該明確木馬的加載部位及時的清除木馬的登記部位，切斷木馬開機啟動的功能。但是有些木馬侵入的計算機注冊變，會出現自動恢復的現象，因此操作者應該實現停止木馬程序后再進行刪除的操作。但是，目前的木馬種類眾多，攻擊性和隱藏性越來越強，為了實現有效地查殺，還要借助專業的殺毒軟件進行清除。

4.3 木馬的防范

木馬的防范應該從多方面入手，全面提高計算機的安全性。首先應該對計算機的漏洞進行及時的修補，安裝補丁，防止被惡意的程序利用。其次，我們可以采用反病毒軟件對程序進行實時的監控，經常進行軟件的更新，下載專門的木馬清除軟件，對電腦進行木馬的清除。再者用戶應該增強防范意識，不隨意下載軟件，尤其是不規范網站的軟件，最后，現階段提出的基于網站服務器端進行網頁掛馬的防范，也是一個非常有效的方法。

綜上所述，為了更好的使用計算機為我們的生活服務，我們應該了解網頁木馬的危害，及時的進行檢測、防范和清除，杜絕網頁木馬的出現，提高信息的安全性。

參考文獻

[1]張慧琳，鄒維，韓心慧.網頁木馬機理與防御技術[J].軟件學報，2013，04：843-858.

[2]鄭云鵬.網頁木馬機理與防范對策[J]. 電子技術與軟件工程，2014，12：233.

作者單位

1.上海同濟大學軟件學院 上海市 200096

2.內蒙古集寧師范學院 內蒙古自治區烏蘭察布市 012000