石　經(jīng)

中圖分類(lèi)號(hào)：TP309.5文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1673-0992（2009）05-042-02

摘要網(wǎng)絡(luò)入侵工具如蠕蟲(chóng)、木馬等不斷涌現(xiàn)，其功能上相互吸收和借鑒，攻擊方式和手段也層出不窮，促使計(jì)算機(jī)安全也向著不斷細(xì)化的方向發(fā)展，其中木馬(Trojan Horse)攻擊以其攻擊范圍廣、隱蔽性、危害大等特點(diǎn)成為常見(jiàn)的網(wǎng)絡(luò)攻擊技術(shù)之一，對(duì)網(wǎng)絡(luò)安全造成了極大的威脅。

關(guān)鍵詞：計(jì)算機(jī)；木馬程序；防范

由于計(jì)算機(jī)系統(tǒng)和信息網(wǎng)絡(luò)系統(tǒng)本身固有的脆弱性，越來(lái)越多的網(wǎng)絡(luò)安全問(wèn)題開(kāi)始困擾著我們，特別是在此基礎(chǔ)上發(fā)展起來(lái)的計(jì)算機(jī)病毒、計(jì)算機(jī)木馬等非法程序，利用網(wǎng)絡(luò)技術(shù)竊取他人信息和成果，造成現(xiàn)實(shí)社會(huì)與網(wǎng)絡(luò)空間秩序的嚴(yán)重混亂。

一、木馬程序概述

1.木馬的定義

木馬的全稱(chēng)是“特洛伊木馬”(Trojan Norse)，來(lái)自古希臘神話(huà)，傳說(shuō)古希臘士兵就是藏在木馬內(nèi)進(jìn)入從而占領(lǐng)特洛伊城的。木馬是隱藏在合法程序中的未授權(quán)程序，這個(gè)隱藏的程序完成用戶(hù)不知道的功能。當(dāng)合法的程序被植入了非授權(quán)代碼后就認(rèn)為是木馬。木馬是一個(gè)用以遠(yuǎn)程控制的c/s程序，其目的是不需要管理員的準(zhǔn)許就可獲得系統(tǒng)使用權(quán)。木馬種類(lèi)很多，但它的基本構(gòu)成卻是一樣的，由服務(wù)器程序和控制器程序兩部分組成。它表面上能提供一些有用的，或是僅僅令人感興趣的功能，但在內(nèi)部還有不為人所知的其他功能，如拷貝文件或竊取你的密碼等。嚴(yán)格意義上來(lái)說(shuō)，木馬不能算是一種病毒，但它又和病毒一樣，具有隱蔽性、非授權(quán)性以及危害性等特點(diǎn)，因此也有不少人稱(chēng)木馬為黑客病毒。

2.木馬的分類(lèi)

木馬的種類(lèi)很多，主要有以下幾種：其一，遠(yuǎn)程控制型，如BO和冰河。遠(yuǎn)程控制型木馬是現(xiàn)今最廣泛的特洛伊木馬，這種木馬起著遠(yuǎn)程監(jiān)控的功能，使用簡(jiǎn)單，只要被控制主機(jī)聯(lián)入網(wǎng)絡(luò)，并與控制端客戶(hù)程序建立網(wǎng)絡(luò)連接，控制者就能任意訪(fǎng)問(wèn)被控制的計(jì)算機(jī)。其二，鍵盤(pán)記錄型。鍵盤(pán)記錄型木馬非常簡(jiǎn)單，它們只做一種事情，就是記錄受害者的鍵盤(pán)敲擊，并且在 LOG 文件里進(jìn)行完整的記錄，然后通過(guò)郵件或其他方式發(fā)送給控制者。其三，密碼發(fā)送型。密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。這類(lèi)木馬程序大多不會(huì)在每次都自動(dòng)加載，一般都使用 25 端口發(fā)送電子郵件。其四，反彈端口型。反彈端口型木馬的服務(wù)端使用主動(dòng)端口，客戶(hù)端使用被動(dòng)端口。木馬定時(shí)監(jiān)測(cè)控制端的存在，發(fā)現(xiàn)控制端上線(xiàn)立即彈出端口主動(dòng)連接控制端打開(kāi)的主動(dòng)端口。為了隱蔽起見(jiàn)，控制端的被動(dòng)端口一般開(kāi)在80，稍微疏忽一點(diǎn), 用戶(hù)就會(huì)以為是自己在瀏覽網(wǎng)頁(yè)。

3.木馬的特點(diǎn)

第一，隱蔽性。隱蔽性是木馬的首要特征。這一點(diǎn)與病毒特征是很相似的，木馬類(lèi)軟件的 SERVER 端程序在被控主機(jī)系統(tǒng)上運(yùn)行時(shí)會(huì)使用各種方法來(lái)隱藏自己。例如大家所熟悉的修改注冊(cè)表和ini文件以便被控系統(tǒng)在下一次啟動(dòng)后仍能載入木馬程式，它不是自己生成一個(gè)啟動(dòng)程序，而是依附在其他程序之中。第二，有效性。由于木馬常常構(gòu)成網(wǎng)絡(luò)入侵方法中的一個(gè)重要內(nèi)容。它運(yùn)行在目標(biāo)機(jī)器上就必須能夠?qū)崿F(xiàn)入侵者的某些企圖，因此有效性就是指入侵的木馬能夠與其控制端入侵者建立某種有效聯(lián)系，從而能夠充分控制目標(biāo)機(jī)器并竊取其中的敏感信息。第三，自動(dòng)運(yùn)行和自動(dòng)恢復(fù)性。木馬程序通過(guò)修改系統(tǒng)配置文件，如: win.ini,system.ini，winstart.bat或注冊(cè)表的方式，在目標(biāo)主機(jī)系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行或加載?，F(xiàn)在很多的木馬程序中的功能模塊已不再是由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。系統(tǒng)一旦被植入木馬，想利用刪除某個(gè)文件來(lái)進(jìn)行清除是不太可能的。

二、木馬程序的工作機(jī)制

木馬程序雖然具有很大的隱蔽性，但也有其蹤跡可循。因此，要防范木馬就必須知道木馬的工作原理。

1.木馬程序的工作原理

木馬程序的結(jié)構(gòu)是典型的客戶(hù)端/服務(wù)器(Client/Server；簡(jiǎn)稱(chēng)C/S)模式，服務(wù)器端程序騙取用戶(hù)執(zhí)行后，便植入在計(jì)算機(jī)內(nèi)，作為響應(yīng)程序。所以它的特點(diǎn)是隱蔽，不容易被用戶(hù)察覺(jué)，或被殺毒程序、木馬清除程序消滅，而且它一般不會(huì)造成很大的危害，計(jì)算機(jī)還可以正常執(zhí)行。另外，木馬服務(wù)器端程序還有容量小的特點(diǎn)，一般它的大小不會(huì)超過(guò)300KB，最小的木馬程序甚至只有3KB，這樣小的木馬很容易就可以合并在一些可以執(zhí)行.exe的文件中或網(wǎng)頁(yè)中而不被察覺(jué)，而且這樣小的文件也能很快就下載至磁盤(pán)中，若是再利用UPX壓縮技術(shù)還可以讓木馬程序變得更小。

2.木馬程序的工作方式

木馬客戶(hù)端程序是在控制臺(tái)(黑客的計(jì)算機(jī))中執(zhí)行的，木馬服務(wù)器端程序必須與客戶(hù)端程序?qū)?yīng)，建立起連接。服務(wù)器端程序與客戶(hù)端建立連接后，由客戶(hù)端發(fā)出指令，然后服務(wù)器在計(jì)算機(jī)中執(zhí)行這些指令，并源源不斷地將數(shù)據(jù)傳送至客戶(hù)端。木馬服務(wù)器端與客戶(hù)端之間也可以不建立連接，因?yàn)榻⑦B接容易被察覺(jué)，如果再使用連接技術(shù)只會(huì)自斷后路。所以就要使用ICMP來(lái)避免建立連接或使用端口。木馬服務(wù)器端與客戶(hù)端也可以不要間接通訊，因?yàn)橹苯油ㄓ嵉哪康奶黠@了，很容易被發(fā)現(xiàn)，所以木馬服務(wù)器端可以與客戶(hù)端采取間接通訊的專(zhuān)式：在服務(wù)器端與客戶(hù)端之間中間層，服務(wù)器端程序先將數(shù)據(jù)傳送至某個(gè)網(wǎng)站，客戶(hù)端程序再?gòu)哪莻€(gè)網(wǎng)站取得數(shù)據(jù)。這種方式可以讓木馬程序達(dá)到非常隱蔽的通訊效果，但缺點(diǎn)是通信數(shù)據(jù)交換的速度變慢了。

三、木馬程序的防范策略

計(jì)算機(jī)木馬程序已經(jīng)嚴(yán)重影響到各類(lèi)計(jì)算機(jī)使用者的切身利益，當(dāng)前最重要的是如何有效的防范木馬的攻擊。

1.使用防火墻阻止木馬侵入

防火墻是抵擋木馬入侵的第一道門(mén)，也是最好的方式。絕大多數(shù)木馬都是必須采用直接通訊的方式進(jìn)行連接，防火墻可以阻塞拒絕來(lái)源不明的TCP數(shù)據(jù)包。防火墻的這種阻塞方式還可以阻止UDP，ICMP等其他IP數(shù)據(jù)包的通訊。防火墻完全可以進(jìn)行數(shù)據(jù)包過(guò)濾檢查，在適當(dāng)規(guī)則的限制下，如對(duì)通訊端口進(jìn)行限制，只允許系統(tǒng)接受限定幾個(gè)端口的數(shù)據(jù)請(qǐng)求，這樣即使木馬植入成功，攻擊者也是無(wú)法進(jìn)入到你的系統(tǒng)，因?yàn)榉阑饓Π压粽吆湍抉R分隔開(kāi)來(lái)了。

2.避免下載使用免費(fèi)或盜版軟件

電腦上的木馬程序，主要來(lái)源有兩種。第一種是不小心下載運(yùn)行了包含有木馬的程序。絕大多數(shù)計(jì)算機(jī)使用者都習(xí)慣于從網(wǎng)上下載一些免費(fèi)或者盜版的軟件使用，這些軟件一方面為廣大的使用者提供了方便，節(jié)省了資金，另一方面也有一些不法分子利用消費(fèi)者的這種消費(fèi)心理，在免費(fèi)、盜版軟件中加載木馬程序，計(jì)算機(jī)使用者在不知情的情況下貿(mào)然運(yùn)行這類(lèi)軟件，進(jìn)而受到木馬程序的攻擊。還有一種情況是，“網(wǎng)友”上傳在網(wǎng)頁(yè)上的“好玩”的程序。所以，使用者定要小心，要弄清楚了是什么程序再運(yùn)行。

3、安全設(shè)置瀏覽器

設(shè)置安全級(jí)別，關(guān)掉Cookies。Cookies是在瀏覽過(guò)程中被有些網(wǎng)站往硬盤(pán)寫(xiě)入的一些數(shù)據(jù)，它們記錄下用戶(hù)的特定信息，因而當(dāng)用戶(hù)回到這個(gè)頁(yè)面上時(shí)，這些信息就可以被重新利用。但是關(guān)注Cookies的原因不是因?yàn)榭梢灾匦吕眠@些信息，而是關(guān)心這些被重新利用信息的來(lái)源:硬盤(pán)。所以要格外小心，可以關(guān)掉這個(gè)功能。步驟如下:選擇“工具”菜單下的“Internet選項(xiàng)”，選擇其中的“安全”標(biāo)簽，就可以為不同區(qū)域的Web內(nèi)容指定安全設(shè)置。點(diǎn)擊下面的“自定義級(jí)別”，可以看到對(duì)Cookies和Java等不安全因素的使用限制。

4.加強(qiáng)防毒能力

“常在河邊走，哪有不濕腳”，只要你上網(wǎng)就有可能受到木馬攻擊，但是并不是說(shuō)沒(méi)有辦法來(lái)解決。在計(jì)算機(jī)上安裝殺毒軟件就是其中一種方法，有了防毒軟件的確會(huì)減少受傷的幾率。但在防毒軟件的使用中，要盡量使用正版，因?yàn)楹芏啾I版自身就攜帶有木馬或病毒，且不能升級(jí)。新的木馬和病毒一出來(lái)，唯一能控制它蔓延的就是不斷地更新防毒軟件中的病毒庫(kù)。除了防毒軟件的保護(hù)，還可以多運(yùn)行一些其他軟件。如天網(wǎng)，它可以監(jiān)控網(wǎng)絡(luò)之間正常的數(shù)據(jù)流通和不正常的數(shù)據(jù)流通，并隨時(shí)對(duì)用戶(hù)發(fā)出相關(guān)提示；如果我們懷疑染了木馬的時(shí)候，還可以從網(wǎng)上下載木馬克星來(lái)徹底掃描木馬，保護(hù)系統(tǒng)的安全。

參考文獻(xiàn)：

[1]盧勇煥.黑客與安全[M].北京：中國(guó)青年出版社,2001年

[2]張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京:科學(xué)出版社,2003年

[3]秘密客.破解黑客木馬屠城計(jì)[M].北京：中國(guó)水利水電出版社,2005年

[4]鐘力.網(wǎng)絡(luò)欺騙安全防護(hù)技術(shù)[J].軍事通信技術(shù),2001(1)

[5]替遠(yuǎn)、程波財(cái).特洛伊木馬的防范策略[J].計(jì)算機(jī)與現(xiàn)代化,2003(5)