木马传播以及防范剖析.docVIP

木马传播以及防范剖析 　　摘要：　首先从木马病毒的相关概念出发，对其行为特征展开分析，指出植入木马程序的主要工作方式以及相应渠道。而后就上述提出的木马工作特征，提出针对性的安全改善建议，对于相关计算机以及网络使用人员，尤其是非专业使用人员有所帮助。 　　关键词：　木马；传播；防范 　　社会不断向前推进发展，信息时代已经悄然来到每个人的身边。在这场信息化的变革中，最为深入社会生产生活过程的当属各类信息技术。以信息传播作为最终目标的网络技术，以及计算机技术首先得到应用和推广，而随着此类应用的不断深入，病毒侵袭也随之而来。木马作为计算机入侵技术中一个重要的种类，在目前网络与经济越来越紧密结合的环境下，更是得到了全所未有的重视。 　　1　木马病毒的概念与特征 　　特洛伊木马（Trojan　Horse），在目前简称木马，其名称起源于《荷马史诗》中记载的特洛伊战争，将兵力隐藏在一个假象之下诱骗对手接受，从而形成自对手内部向外的攻击力。在计算机领域，木马指隐藏在系统里的一段具有特殊功能的恶意代码，并且通常具有一定的伪装特征，从用户角度看，通常都显示为正常应用或系统程序。从性质上看，木马具有隐藏性、反检测、反清除以及与控制端通信等特性。 　　从木马工作机制角度看，可以将整个程序大体划分为两个部分，即控制端程序与被控制端程序。木马程序由控制端进行生成并且伪装成为正常程序，在被控制端进行下载安装之后，由控制端通过木马程序与被控制端连接并且针对对方加以控制，通过相应的诸如键盘记录命令、文件操作命令以及敏感信息获取命令等，来获取被控制端的相应信息。 　　从木马运行的层面看，可以讲木马划分为应用级木马和内核级木马，应用级木马通常工作在操作系统层面，典型的应用级木马包括Bingle、网络神偷、ZXshell、灰鸽子等；而内核级木马则运行在操作系统内核中，常采用驱动程序技术实现内核级木马的加载工作，典型的内核级木马有诸如Hackerdoor、HE4HOOK、FU　Rootkit等。 　　木马程序产生于20世纪80年代，当时的计算机使用者多为技术人员，使用的系统则多为UNIX，因此当时的木马以内核级木马为主。随着科技的发展和应用，WIBNDOWS系统和TCP/IP网络逐步成熟并获取到更大市场，因此木马也呈现出向应用级过渡的特征，主要寄居在端口通信的客C/S程序中。但是随着反病毒各种技术的逐步成熟，木马病毒也呈现出越来越隐蔽的特征，典型的C/S结构明显已经不能满足入侵要求，现在的入侵过程中，客户端通常不再与服务端直接通信，而是借由代理控制服务端进行数据的发送和接受。而就目前的情况而言，木马发送端为了确保自身的安全并且实现反跟踪和更为隐蔽的攻击，代理和服务端也有可能不直接进行通行，而是由代理将把控制命令按照约定的格式写入到指定的公共服务器上，并且由服务端自动将该服务器上的命令进行读取执行，同样服务端也会按约定把窃取的数据自动上传到指定的某个公共服务器上，代理定期查询该服务器上的数据并接收，最终实现攻击。 　　从木马程序的植入方式看，依据不同的标准可以划分为不同的种类，通常分为被动植入和主动植入两种。相对而言，前者应用更为广泛，其核心思想在于利用各种可能的手法诱骗用户自发运动包含有木马程序的文件，从而实现木马植入。对于这一类的植入方式而言，主要的手法有两个方面，其一是利用漏洞植入，包括操作系统漏洞以及各类应用软件漏洞在内都可以加以利用，当用户操作相关软件的时候，就可能会触发相应木马进行活动。其二则是文件捆绑，即以正常文件作为载体，于其中嵌入木马程序，相对于漏洞式植入，此类植入方式更多注重伪装。此两中植入方式行动目标不明确，并且其成功可能完全取决于用户的操作，缺乏主动性因此被归入被动型。 　　相对于被动型木马植入方式而言，主动型植入方式更有针对性，通常锁定相应的用户并且进行攻击完成木马程序的植入。此类植入方式通常更多具备攻击特征，通常的手法有三种，其一同样是利用漏洞进行植入，但是相对手法更为主动，多是结合端口入侵技术，借助针对性的系统或第三方软件漏洞来实现直接侵入目标系统，获得Shell权限从而实现植入。其二是借由病毒，尤其是蠕虫病毒进行扩散，此外，移动存储设备也是这一类主要的传播途径。其三是借由其他渠道推送，包括软件补丁、各种即时通信软件等渠道。 　　2　木马病毒的防范分析 　　木马病毒的危害基本已经在社会范围内得到普遍认可，其以盗取个人相关信息，间接危害各类账号以及相关资产安全的行为特性令人深恶痛绝。在实际工作过程中，对于木马的防范也已经提上日程，以目前计算机的使用状况看，非专业程序人员使用相对较多，因此在对木马提出相应防范措施的时候，也应当对人群特征酌情考虑。 　　现在对木马主要的拦截手段包括如下几种： 　　2.1　完善管理软件