計算機(jī)網(wǎng)絡(luò)木馬入侵與防御方法的分析

王嘉興　陳晨　李鵬飛

[摘要]：隨著互聯(lián)網(wǎng)的普及和云計算的廣泛運用，計算機(jī)網(wǎng)絡(luò)面臨越來越多的非法攻擊。本文主要分析了當(dāng)前主要攻擊手段，即木馬病毒的特點、原理以及入侵途徑，并根據(jù)木馬病毒的工作原理，提出相應(yīng)的防御措施。從而提高計算機(jī)網(wǎng)絡(luò)的安全，降低計算機(jī)被木馬攻擊造成的損失。

[關(guān)鍵詞]：特洛伊木馬 計算機(jī)網(wǎng)絡(luò) 入侵 防御

一、木馬病毒對計算機(jī)網(wǎng)絡(luò)的危害

（一）木馬的概念?！澳抉R”程序是當(dāng)前計算機(jī)網(wǎng)絡(luò)安全中比較流行的病毒文件，但是木馬病毒不同于一般的計算機(jī)病毒，木馬病毒不會自我復(fù)制，也不會刻意的去污染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種主機(jī)的門戶，使施種者刻意任意毀壞、竊聽被種者的文件，甚至遠(yuǎn)程操控被種主機(jī)。因此，木馬病毒所帶來的危害要遠(yuǎn)遠(yuǎn)大于一般計算機(jī)網(wǎng)絡(luò)病毒的危害。

（二）木馬的特征。木馬作為計算機(jī)網(wǎng)絡(luò)病毒中的一種，它有較多種類的木馬程序，但各類木馬程序之間具有一些類似的特征。

1.植入性。木馬病毒通常作為遠(yuǎn)程攻擊的一種手段。因而，木馬病毒通常是通過計算機(jī)網(wǎng)絡(luò)等途徑，將木馬程序植入到宿主計算機(jī)中。此外，由于當(dāng)前木馬技術(shù)與計算機(jī)蠕蟲技術(shù)相結(jié)合，大大提高了木馬病毒的植入能力。

2.隱蔽性。木馬病毒在被植入到宿主計算機(jī)之后，便通過修改自身自動方式、改變自身存盤位置、修改文件名稱或圖標(biāo)等方式實現(xiàn)木馬程序的隱藏。

3.自動運行和恢復(fù)性。木馬程序可以通過修改系統(tǒng)的配置文件實現(xiàn)電腦啟動時運行木馬程序的工功能。此外，目前很多木馬程序的功能模塊并不是由單一的文件組成，而是具有相對多重的備份，可以再任何時刻實現(xiàn)相互復(fù)制、恢復(fù)的目的，防止計算機(jī)安全程序?qū)δ抉R病毒的處理。

二、網(wǎng)絡(luò)服務(wù)器木馬入侵途徑

（一）木馬的配置策略。木馬的配置策略主要是通過木馬的植入隱蔽和信息反饋兩個關(guān)鍵步驟實現(xiàn)。首先通過各種植入方式，將木馬程序植入宿主計算機(jī)，通過各種隱藏手段實現(xiàn)在宿主計算機(jī)中的隱藏，然后，通過數(shù)據(jù)反饋的方式，將宿主計算機(jī)內(nèi)部的各種軟硬件配置信息借助互聯(lián)網(wǎng)傳送到入侵主機(jī)中，從而最終實現(xiàn)木馬程序的配置。

（二）木馬的傳播方式。木馬的傳播主要建立在互聯(lián)網(wǎng)相互通信基礎(chǔ)上，通過互聯(lián)網(wǎng)之間的信息傳遞實現(xiàn)木馬程序的入侵。木馬程序入侵主要可通過電子郵件、軟件下載和網(wǎng)頁傳播等方式實現(xiàn)。在電子郵件植入中，控制端將木馬程序以附件的方式傳送出去，客戶端一旦打開郵件就會感染病毒。在軟件下載方式中，客戶端在軟件的安裝過程中，木馬程序便同時予以啟動，導(dǎo)致客戶端感染病毒。在網(wǎng)頁的傳播方式中，客戶端在瀏覽網(wǎng)頁的過程中會在客戶端和服務(wù)器之間的信息傳遞中，不經(jīng)意間感染木馬病毒。

（三）木馬的運行過程。傳統(tǒng)的木馬運行方式有兩種，分別為自啟動激活模式和觸發(fā)式激活模式。自啟動激活模式主要是木馬程序中存在某些關(guān)鍵值，當(dāng)系統(tǒng)內(nèi)部的程序的運算結(jié)果達(dá)到木馬程序的閾值時，木馬程序就會自動啟動。觸發(fā)式激活模式則是依靠文件捆綁方式實現(xiàn)，當(dāng)客戶機(jī)對捆綁文件進(jìn)行操作的時候，被捆綁的木馬程序就會啟動。目前，較為流行的木馬入侵方式主要是合并上述兩種方式，其方式主要是先通過觸發(fā)式激活模式，將木馬程序植入計算機(jī)中，然后，通過自啟動的方式激活程序，使程序在計算機(jī)內(nèi)部活躍起來，實現(xiàn)對客戶機(jī)的監(jiān)聽以及盜竊相應(yīng)數(shù)據(jù)的目的。

（四）木馬的遠(yuǎn)程控制。當(dāng)控制端和客戶端通過木馬程序建立連接后，控制端和客戶端就會形成木馬通道，控制端可以通過相應(yīng)的木馬程序借助該通道獲取客戶端的數(shù)據(jù)信息，從而實現(xiàn)遠(yuǎn)程控制。

三、網(wǎng)絡(luò)服務(wù)器木馬入侵的防御方法

（一）安裝防火墻和殺毒軟件。根據(jù)當(dāng)前木馬程序的攻擊方式統(tǒng)計結(jié)果，大部分木馬攻擊都是利用現(xiàn)有較為成熟的木馬程序或者系統(tǒng)軟件和應(yīng)用軟件的漏洞進(jìn)行網(wǎng)絡(luò)攻擊，針對這些網(wǎng)絡(luò)攻擊，客戶機(jī)可以有針對性的采取安裝防火墻或者殺毒軟件等方式進(jìn)行抵制木馬程序的攻擊，確保客戶端的軟硬件信息和重要數(shù)據(jù)信息得到時刻的監(jiān)控，防止木馬病毒的攻擊。

（二）阻斷網(wǎng)絡(luò)通信途徑。在網(wǎng)絡(luò)監(jiān)控環(huán)節(jié)中，可以利用計算機(jī)安全程序?qū)νㄐ啪W(wǎng)絡(luò)進(jìn)行實時監(jiān)控，對網(wǎng)絡(luò)通信環(huán)節(jié)出現(xiàn)的異常要進(jìn)行及時處理，確保網(wǎng)絡(luò)正常的通信，此外，可以對客戶端計算機(jī)的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行規(guī)則定義，確保該客戶端計算機(jī)的數(shù)據(jù)包流通合乎規(guī)則，降低木馬程序的入侵可能性。另外，通過計算機(jī)入侵檢查技術(shù)，可以再流動數(shù)據(jù)包中進(jìn)行木馬植入和攻擊風(fēng)險的檢測，并對以檢測到的攻擊進(jìn)行網(wǎng)絡(luò)阻斷。

（三）網(wǎng)絡(luò)端口的實時監(jiān)控?？蛻舳擞嬎銠C(jī)連接網(wǎng)絡(luò)的基礎(chǔ)的網(wǎng)絡(luò)端口，通過網(wǎng)絡(luò)端口的連接作用實現(xiàn)計算機(jī)連接網(wǎng)絡(luò)的目的。通過對網(wǎng)絡(luò)端口的實時監(jiān)控可以降低客戶端計算機(jī)受到木馬病毒攻擊的可能性。對網(wǎng)絡(luò)端口的實時監(jiān)控主要是檢測兩個方面。一個方面就是監(jiān)控端口的開啟與關(guān)閉，如果實時監(jiān)控系統(tǒng)發(fā)現(xiàn)某個端口打開和關(guān)閉異常，則表明該端口容易受到或正在受到木馬等程序的攻擊，通過對該異常端口進(jìn)行相應(yīng)的處理，即可相應(yīng)的降低感染風(fēng)險。另一個方面就是對通過網(wǎng)絡(luò)端口數(shù)據(jù)的監(jiān)控，防止木馬程序通過依附于合法數(shù)據(jù)包的方式進(jìn)行遠(yuǎn)程攻擊。

（四）訪問注冊表行為的控制。當(dāng)前木馬程序在宿主計算機(jī)中發(fā)揮隱藏功能的主要基礎(chǔ)是木馬偽裝成注冊表在系統(tǒng)中存在，加強(qiáng)對系統(tǒng)中注冊表的訪問機(jī)制，就會在一定的程度上降低木馬的攻擊效果。

一些木馬通過修改系統(tǒng)注冊表，實現(xiàn)其木馬的惡意行為，并且能夠?qū)崿F(xiàn)隱藏和啟動的功能，因此，如果能夠?qū)ο到y(tǒng)修改注冊表的行為加以控制，那么木馬就不會對系統(tǒng)做出非法操作，此外，對注冊表中和自啟動相關(guān)聯(lián)的項目加以權(quán)限限制和實施監(jiān)控，可以令木馬程序不能隱蔽和自啟動，提高了系統(tǒng)保護(hù)自身的能力。

防范惡意遠(yuǎn)程控制。由于當(dāng)前的計算機(jī)大部分都連入網(wǎng)絡(luò)當(dāng)中，那么連入互聯(lián)網(wǎng)的計算機(jī)就面臨著遠(yuǎn)程控制的風(fēng)險，正常情況下的合法遠(yuǎn)程控制對于用戶而言，用戶未必能夠注意到計算機(jī)已被遠(yuǎn)程控制，但是一旦計算機(jī)被惡意遠(yuǎn)程控制，那么計算機(jī)的運行性能就會遭到極大的影響，因此，當(dāng)出現(xiàn)計算機(jī)被遠(yuǎn)程控制的時候，用戶需要對計算機(jī)采取及時的措施，降低因木馬中毒導(dǎo)致計算機(jī)被惡意遠(yuǎn)程控制造成的不必要風(fēng)險。

參考文獻(xiàn)：

[1]周宇曉.網(wǎng)絡(luò)木馬病毒的防范探討[J].科技信息，2008.

[2]王欣.論計算機(jī)網(wǎng)絡(luò)木馬入侵與應(yīng)對措施[J].電腦編程技巧與維護(hù)，2012.