王玉芳 宋曉峰 魏婷 王喆

摘要：介紹了木馬的工作原理和連接方式，以及木馬常見的連接方式。從防御和查殺兩個方面介紹了防范和清除木馬的方法。

關(guān)鍵詞：木馬;網(wǎng)絡(luò)安全;措施

中圖分類號：TP309.2 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2018）11-0180-02

1 木馬

木馬，全稱是“特洛伊木馬”，英文為 Trojan Horse，來源于古希臘神話《荷馬史詩》中的故事《木馬屠城記》。近年來發(fā)展迅速，經(jīng)常被黑客利用，滲透到計算機(jī)用戶的主機(jī)系統(tǒng)內(nèi)，盜取用戶的各類賬號和密碼，竊取各類機(jī)密文件，甚至遠(yuǎn)程控制用戶主機(jī)。

2 木馬原理

木馬一般都使用C/S架構(gòu)，一個完整的木馬程序通常由兩部分組成：服務(wù)端（服務(wù)器部分）和客戶端（控制器部分）。“服務(wù)器”部分被植入到被攻擊者的電腦中，“控制器”部分在攻擊方所控制的電腦中， 攻擊方利用“控制器”主動或被動的連接“服務(wù)器”，實(shí)現(xiàn)對目標(biāo)主機(jī)的控制。

木馬運(yùn)行后，會打開目標(biāo)主機(jī)的一個或多個端口，以便于攻擊方通過這些端口實(shí)現(xiàn)和目標(biāo)主機(jī)的連接。連接成功后，攻擊方便成功的進(jìn)入了目標(biāo)主機(jī)電腦內(nèi)部，通過控制器可以對目標(biāo)主機(jī)進(jìn)行很多操作，如：增加管理員權(quán)限的用戶，捕獲目標(biāo)主機(jī)的屏幕，編輯文件，修改計算機(jī)安全設(shè)置等等。而這種連接很容易被用戶和安全防護(hù)系統(tǒng)發(fā)現(xiàn)，為了防止木馬被發(fā)現(xiàn)，木馬會采用多種技術(shù)來實(shí)現(xiàn)連接和隱藏，以提高木馬種植和控制的成功率。

3 木馬的連接方式

攻擊者利用木馬對目標(biāo)主機(jī)（攻擊者）的控制，需要通過控制端和服務(wù)器端的連接來實(shí)現(xiàn)。常見的木馬連接方式有正向端口連接、反彈端口連接和“反彈+代理”連接三種方式。

3.1 正向端口連接

正向連接方式是由控制端主動連接服務(wù)器端，即由控制端向服務(wù)器端發(fā)出建立連接請求，從而建立雙方的連接，如圖1。

為了內(nèi)網(wǎng)的安全，通常防火墻會對進(jìn)入系統(tǒng)內(nèi)部的數(shù)據(jù)過濾，允許內(nèi)網(wǎng)連接外網(wǎng)，屏蔽外網(wǎng)向內(nèi)網(wǎng)的連接請求。這種安全策略下，正向連接方式會被防火墻屏蔽，不能實(shí)現(xiàn)“控制器”和“服務(wù)器”的連通。面對防火墻的阻斷，為了保障連通，木馬技術(shù)又出現(xiàn)了新的連接方式，由木馬的“服務(wù)器”主動連接“控制器”，即端口反彈連接方式。

3.2 端口反彈連接

端口反彈連接方式是由“服務(wù)器”主動向“控制器”發(fā)出連接請求，如圖2。這種方式可以有效的繞過防護(hù)墻，例如有名的國產(chǎn)木馬：灰鴿子。然而，反彈連接方式，要在配置“服務(wù)器”時，提前設(shè)置好“服務(wù)器”要連接的IP地址和端口號，也就是“控制器”所在電腦的Ip地址和等待連接的端口。一旦，“控制器”所在電腦IP地址發(fā)生變化，“服務(wù)器”和“控制器”的連接就會失敗，因此，這種端口反彈連接方式的木馬想要種植成功，要求攻擊方的要有固定的IP地址和待連接端口。

但是，隨著網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)用戶越來越多，為了解決IP地址不夠用的問題，各大運(yùn)營商紛紛采用動態(tài)IP 的技術(shù)，普通寬帶上網(wǎng)用戶，一般不具備固定IP地址，上網(wǎng)時由ISP動態(tài)分配給用戶一個暫時的IP地址，這就造成每次上網(wǎng)時，同一臺計算機(jī)的IP地址都會更換，這就給“服務(wù)器”反向連“控制器”端帶來了困難。再次連接時，由于IP地址已經(jīng)改變，“控制器”建立連接，因此，造成攻擊者失去對目標(biāo)主機(jī)的控制。

3.3 “反彈+代理”連接

為了解決動態(tài)IP的問題，又出現(xiàn)了新的木馬連接技術(shù)，利用“反彈+代理”方式實(shí)現(xiàn)“控制器”和“服務(wù)器”的連接。代理的主要作用是保持并實(shí)時更新“控制器”的IP地址和端口號，如圖3，“服務(wù)器”在發(fā)起連接請求時，通過詢問代理服務(wù)器，獲得“控制器”的IP地址和端口號，然后與“控制器”建立連接。這里的代理服務(wù)器通常是已經(jīng)被攻擊者控制的電腦。

這種連接方式利用代理服務(wù)器，一方面解決了控制端IP動態(tài)變化的無法連接的問題，另一方面有效的隱藏了攻擊者的IP的地址，減小了攻擊者被發(fā)現(xiàn)的幾率。

4 木馬的防護(hù)措施

4.1 主動防范

4.1.1 網(wǎng)絡(luò)安全防護(hù)系統(tǒng)和軟件的安裝與維護(hù)

安裝必要的網(wǎng)絡(luò)安全防護(hù)軟件，例如防火墻，入侵檢測，補(bǔ)丁分發(fā)等，合理的設(shè)置防火墻，開始實(shí)時的入侵檢測，做好網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的維護(hù)，下載新的補(bǔ)丁并及時安裝。

4.1.2 計算機(jī)“安全配置”

（1）修補(bǔ)系統(tǒng)漏洞：木馬的種植需要利用系統(tǒng)存在的漏洞，及時修補(bǔ)系統(tǒng)漏洞可以提高系統(tǒng)安全性，防止木馬攻擊。（2）關(guān)閉不必要的端口或服務(wù)：為了保證系統(tǒng)的安全，嚴(yán)格限制開放的端口是非常必要的，一般來講，非必要的端口/服務(wù)都應(yīng)該關(guān)閉。

4.1.3 良好的機(jī)務(wù)作風(fēng)

大部分的網(wǎng)絡(luò)安全事件，是由人為誤操作造成的。因此好的上網(wǎng)習(xí)慣也對計算機(jī)系統(tǒng)的安全有著舉足輕重的作用。上網(wǎng)時不要隨意打開來歷不明的郵件，或下載來歷不明的軟件，以及隨意點(diǎn)擊各種鏈接，因?yàn)?，這些操作都有可能讓自己的電腦中病毒或木馬。

4.2 手動查殺

4.2.1 檢查注冊表

木馬為了實(shí)現(xiàn)對目標(biāo)主機(jī)的長久控制，常常會修改目標(biāo)主機(jī)注冊表的啟動項(xiàng)或?qū)⒆约杭尤氲絾咏M中，來實(shí)現(xiàn)每次開機(jī)時自動運(yùn)行木馬程序。常用的方法是修改注冊表中以“Run”開頭的鍵值。進(jìn)行木馬查殺時，需要注意這個鍵值下有沒有新增可疑的文件名，如果有需要刪除鍵值和相應(yīng)的文件名對應(yīng)的程序（木馬程序），相應(yīng)的木馬程序常常放在C：/windows/system32文件夾下。

4.2.2 EXE文件啟動

如果運(yùn)行了某個EXE文件，木馬便被裝入內(nèi)存，相應(yīng)端口被打開，則說明該EXE文件被關(guān)聯(lián)了木馬，運(yùn)行該文件便會啟動木馬程序，這種情況可以刪除該Exe文件，再找一個這樣的程序，重新安裝。

手動查殺木馬的方法主要是查看注冊表啟動項(xiàng)，網(wǎng)絡(luò)連接和系統(tǒng)進(jìn)程，一些技術(shù)高明的木馬編制者完全可以通過合理的隱藏，使木馬很難被檢測到。因此可以采用手動和殺毒軟件相結(jié)合的方法來清除木馬，提高計算機(jī)的安全性。

Attack Principle and Protection Measures of Trojan Horse

WANG Yu-fang， SONG Xiao-feng， WEI Ting， WANG Zhe

（School of Information and Communication， National University of Defense Technology， Xi'an Shaanxi? 710106）

Abstract：This paper introduces the working principle and connection mode of Trojan horse， as well as the common connection mode of Trojan horse. This paper introduces the methods of preventing and clearing Trojan horses from two aspects of defense and killing.

Key words：trojan horse; network security; measures