木马的攻击与防范技术研究.docx

??

?

??

木马的攻击与防范技术研究

?

?

?

?

?

??

?

?

?

关潮辉，薛琴

（湖北警官学院，湖北武汉430034）

摘要：木马技术是最常见的网络攻击手段之一，它对网络环境中计算机信息资源造成了很大的危害。文中介绍了木马程序的概念、基本原理和分类，针对常见的木马攻击方式提出了一些防范措施。

关键词：木马程序；攻击手段；防范技术

TP309.5：A：1671-1122(2010)12-0020-02

0引言

随着计算机的日益普及，人们对于“木马”一词已不陌生。木马危害性大，隐蔽性强，是目前攻击计算机信息系统的主要手段之一，由木马所造成的信息系统破坏的情况越来越多，对计算机信息系统的安全保密构成了极大威胁，特别是近几年来利用木马犯罪的手段层出不穷，给人民带了来巨大损失。尽管相关查杀软件不断更新换代，但是由于木马程序自身固有的特点及其相应的隐藏技术的不断提高，对木马程序的检测也变得更加困难。因此，深入对木马的攻击与防范技术的研究意义重大。

1木马概述

1.1木马的定义及特点

木马全称是特洛伊木马(TrojanHorse)，原指古希腊士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在计算机界把伪装成合法程序或隐藏在合法程序中的恶意代码形象的称之为木马。这些代码或执行恶意行为，或为非授权访问系统的特权功能而提供后门。木马具有隐藏性、反检测、反清除以及与控制端通信的特性。

1.2木马的工作原理

木马程序可分为两部分：控制端和被控制端。首先，在控制端本地计算机）上配置并生成木马程序。接着，通过直接或隐含在其他的可执行程序中的方式传播木马程序至被控制端对方计算机）。然后，在被控制端上运行木马程序，同时运行控制端上的控制程序对服务端进行连接进而控制对方。最后，控制端一般会发送命令，如[来自wW]键盘记录命令、文件操作命令以及敏感信息获取命令等，感染木马程序的被控制端接收并执行这些命令，并返回相应结果到控制端。木马工作原理图如图l所示。

1.3木马的分类

根据木马程序对计算机的具体操作方式，可以把现在的木马程序分为以下几类：1）远程控制型；2）密码发送型；3）键盘记录型；4）毁坏型；5）FTP型；6）多媒体型。

按木马运行的层次，可分为应用级木马和内核级木马。应用级木马，工作在操作系统Ring3级，由于计算机底层的操作系统中的程序、库以及内核都未受影响，这种木马对系统的影响相对较小。典型的应用级木马有：Bingle、网络神偷、ZXshell、灰鸽子等。内核级木马，运行在操作系统内核中，常采用驱动程序技术实现内核级木马的加载工作。内核级木马与一般检测工具一样运行在系统内核，隐蔽性较高，查杀难度大，是当前的主流发展趋势。典型的内核级木马有：Hackerdoor、HE4HOOK、FURootkit等。

2常见的木马攻击手段

2.1捆绑方式

所谓捆绑方式，是指将一个木马程序与正常程序捆绑在一起，从而达到入侵和“存活”的目的。譬如使用“EXE文件合并粉碎机”，把2个程序选择进去，然后提取正常程序的图标，点击开始合并即可完成捆绑工作。接着把捆绑好木马的程序到各大软件下载网站上发布，加点迷惑信息以吸引用户下载，一旦用户下载和安装所谓的应用程序后，木马的服务端程序就自动加载到用户的计算机中。即使木马被删除了’只要运行捆绑了木马的应用程序，木马又会被安装上去，继续“存活”下去。

2.2邮件和QQ冒名欺骗

邮件冒名欺骗是指用匿名邮件工具冒充好友或大型网站、机构、单位向别人发木马附件，别人下载附件并一旦运行就会中木马。如冒充单位的系统管理员，向各个客户端发送系统补丁或是其它安装程序。同样，通过盗取别人的QQ号码，然后使用这个QQ号码给该QQ号码中的好友们发去木马程序，由于信任被盗号码的主人，好友们会毫不犹豫地运行木马程序，从而达到目的。这就是常用的QQ冒名欺骗方式。

2.3网页木马方式

利用网页木马生成器，在个人网页空间上捆绑木马，然后用各种方式诱使别人链接到入侵者个人网页上，使其计算机种上入侵者的木马。常用的方法有：在个人网页上提供各类流行的视频、软件等，并在各大网站当中粘贴入侵者的URL吸引网友访问其网页；利用各大论坛允许粘贴Flash动画的特点，在各论坛上粘贴加工过的Flash（捆绑URL），当别人浏览该帖时，就会自动访问入侵者木马网页。

2.4伪装成普通文件

此方法出现的比较晚，不过现在很流行，对于Windows操作系统不熟练的操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本，在程序中把图标改成Windows的默认图片图标，再把文件名改为*．jpg．exe。由于Windows默认设置是“不显示已知的文件后缀名”的，文件将会显示为*．JPG的形式。不注意的人下载并点击这个图标就会中木