计算机木马攻击原理及防范措施

计算机木马攻击原理及防范措施

作者：汪洋

来源：《中国科技博览》2017年第32期

[摘要]本文阐述了计算机木马的起源和破坏性，主要研究了木马的攻击原理。主要包括入侵的步骤：配置木马、传播木马、运行木马、建立连接、远程控制。经过分析可以有针对性的对木马进行有效的防范。

[关键词]木马技术木马防范远程控制

中图分类号：TH139 文献标识码：A 文章编号：1009-914X（2017）32-0000-01

1 木马起源

木马（Trojan）一词最早出先在希腊神话传说中。相传，希腊人远征特洛伊，但久攻不下。他们想出了一个主意：就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外，佯装退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城内。到了夜间，埋伏在木马中的勇士跳出来打开了城门，希腊将士一拥而上攻下了城池。后来，人们就用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。在计算机领域中，它是指一种基于远程控制或自动控制的黑客工具，具有隐蔽性、危害性和非授权等特点。

所谓隐蔽性是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马，这样在电脑感染木马之后无法被管理者立即发现，即使能够发现异常，也无法对其准确定位。不法分子就是利用这一点来窃取资料和进行其他方式的网络犯罪。

在木马诞生的早期，编写木马门槛较高，木马的设计者需要掌握底层编程语言以及丰富的网络知识和操作系统系统知识。而现阶段，木马使用者的门槛大大降低，很多无编程基础的人利用现有工具都可以制作和传播木马。木马发展到今天，种类越来越多且威胁越来越大，电脑一旦被木马控制，则毫无秘密可言。

2 木马攻击的基本原理

特洛伊木马是一种基于C/S架构的网络通讯软件，一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。硬件部分是建立木马连接所必须的硬件实体；控制端是对服务端进行远程控制的一方；服务端是被控制端远程控制的一方。控制端对服务器端进行远程控制是通过局域网、Internet等作为网络载体的。软件部分则是基于所处操作系统，需要实现远程控制所必须的软件程序；针对硬件部分中控制端程序则是控制端用以远程控制服务端的程序；木马程序是嵌入服务端内部，获取系统操作权限的程序；除此之外，还要有相应的程序设置木马程

序的端口号，触发条件等，使其在服务端藏的更隐蔽的程序，我们称其为木马配置程序。这些软硬件的共同作用使得木马得以生效。

木马软件从配置到生效在过程上可分为六步：

（1）配置木马。主要实现木马伪装和信息反馈两个功能。其中伪装一般采用更改文件名称和图标、捆绑正常文件等手段。信息反馈是指木马成功安装后会搜集一些电脑的软硬件信息，将反馈结果通过E-MAIL，QQ等方式告知木马传播者。

（2）传播木马。木马通过多种渠道以极其隐蔽的方式传播。有的通过E-MAIL，将木马以邮件附件的形式发送给收件人，收件人收到邮件只需打开附件就会感染木马；还有通过网页传播的，一些非正规的网站会以提供软件下载为名义，将木马捆绑在该程序上供用户下载，用户下载后只需要运行一次这些程序，木马就会自动安装；另外QQ文件传播、局域网自动传播和移动储存介质传播也是近年来的常见的传播方式。

（3）运行木马。在服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中（C：WINDOWS或C：WINDOWS＼SYSTEM 目录下），然后在注册表、启动组、非启动组中设置好木马的触发条件，这样木马的安装就完成了。随后，当满足了木马的触发条件，木马将被激活。此时木马被读入内存，并开启事先定义的木马端口，准备与控制端建立连接。

（4）建立连接。一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是控制端，服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接。

（5）远程控制。木马连接建立后，控制端端口和木马端口之间将会出现一条通道。控制端上的控制程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制。从而实现窃取密码、文件访问和对操作系统的控制。

3 木马的防范措施

通过了解木马的攻击过程使得我们可以通过破坏其中任何一个环节来达到防范的目的。以下列举的方法中有的可以同时对几个环节进行破坏。

（1）安装杀毒软件和个人防火墙，并及时升级病毒库。这是普通用户最简单有效的防范手段。如果能正确安装杀软和防火墙，特别是一些安全性更好的付费产品，将可以从木马的传播、运行和连接建立三个方面进行防范，有效的限制了木马的行动。

（2）使用安全性较高的浏览器和邮件收发工具。由于IE浏览器用户众多，导致了大部分木马会对其实施有针对性的攻击，所以在有条件的情况下使用其他安全性更好的浏览器以及专业邮件收发工具可以更好降低感染木马的风险。

（3）将操作系统的安全级别调高。虽然更改系统的安全级别会导致用户使用起来更加繁琐，但这样可以屏蔽许多不常用的端口，使木马不能轻易的在局域网传播，并且可以切断大部分木马与控制端的连接。另外，在运行不明程序以及不明程序试图向外传送数据的时候，操作系统会进行提示，使得用户可以对程序的身份进行判断，如果该程序不是常见程序，用户可以对其单独查杀或直接阻止。

（4）不点击不明链接，谨慎接收文件。在上网的时候应养成良好习惯，比如记忆一些常用网站的网址，而不是仅仅通过搜索引擎或第三方网站的链接来访问。在下载文件的时候，应该通过文件后缀名，文件大小等信息来综合判断文件的真实性。另外，在接收文件的时候，比如邮件，QQ文件等，应该小心谨慎，下载以后提前进行离线或在线杀毒。有的木马隐藏成图片或excel文档等进行传播，在不确定文件安全性的时候不要试图将其打开。

（5）在使用移动储存设备前后应对其进行病毒查杀，在使用公用储存设备或将个人储存设备插入公用电脑的时候需要格外小心，警惕交叉感染的可能性。

5 结语

以上的叙述，主要揭示了木马运行的基本原理和防范木马的基本措施，当今的时代是信息时代，电脑的编程技术日新月异，同时木马的功能和特性也在以突飞猛进的速度发展着。因此，我们还需要不断的学习，并且时刻保持防范意识，才能将木马拒之门外，避免不必要的损失。

参考文献

[1] 赵玉明.木马技术揭秘与防御.电子工业出版社.2011（9）.

[2] 孙建国.特种木马防御与检测技术研究.人民邮电出版社2015（12）.