正向木马的远程控制与防范措施.pdfVIP

正向木马的远程控制与防范措施

赵得椿

（昆明工业职业技术学院，云南昆明６５０３０２）

摘要：木马是一种窃取用户机密信息的重要恶意软件，它是施种木马者打开被种者计算机的门户，通常

被用于非法入侵他人计算机，攻击者可以任意毁坏、窃取其中的文件或进行其他恶意活动，甚至远程操控计算

机、盗取账号，威胁受攻击者的虚拟财产安全，一般不会对用户系统造成明显的破坏。本文讲述了正向木马的

常见植入方式，分析了正向木马如何进行远程控制，并根据网络安全实践提出了正向木马的防范措施。

关键词：木马；正向连接；远程控制；防范措施

木马，又称为特洛伊木马病毒，是一种基于客户中比较常见，因为当时的网络环境相对简单，动态ＩＰ

机／服务器模式的远程控制程序，它将自身伪装成看和路由器的使用并不广泛。现在随着动态ＩＰ和路由

似无害或吸引人的程序，并隐藏在正常程序中。虽然器的广泛普及，正向木马的使用受到了很大的限制，

其形式多种多样，但本质都是诱使用户下载并执行，因为用户每次拨号上网后，ＩＰ地址都会发生变化，攻

从而使攻击者非法获得目标主机上的信息或者对目击者很难在下次拨号时找到正确的ＩＰ地址。在内网

标主机进行控制。环境下（如使用路由器连接的多个计算机），外界无

一、正向木马的实现原理法直接访问内网中的计算机，攻击者也无法连接到

木马一般有两个可执行程序：一个是客户端即控它。但是，内网中的计算机往往一台设备被种木马

［１］

制端；另一个是服务端即被控制端。控制端由攻后，使用正向连接来进行横向移动，对设备遍历搜寻

击者操控，被控制端在被害人计算机上运行。“中了高价值资产，以此扩大攻击面。

木马”就是安装了木马的服务端程序，就会有一个或二、正向木马的植入方式

多个端口被打开进行监听，当客户机向服务器端提出随着操作系统的安全机制不断更新完善，木马的

连接请求，服务器上的程序就会自动运行来应答客户植入技术也得到长足的发展，使得木马一般都能绕过

机的请求，在服务器端程序与客户端建立连接通道ＵＡＣ及防火墙的限制，并且植入方式越来越隐蔽，对

后，由客户端发出指令，服务器在计算机中执行这些网络安全的危害性也就越来越大。所以，全面认识木

指令，并将数据传送到客户端，以达到攻击者利用打［３］

马的植入方法，将有助于采取应对措施。常见的

开的端口非法入侵计算机系统，窃取信息或进行其他木马植入方式有：

恶意活动。

（１）利用电子邮件附件传播：攻击者通过Ｅ⁃ｍａｉｌ

正向木马，常被称为正向连接木马，是一种常见将木马程序以附件的形式夹在电子邮件中发送给目

的木马类型。它是一种使用合法或看似合法的手段

标用户，防范意识低的目标用户一旦打开附件，木马

诱骗用户下载并执行恶意代码的攻击方式，在内网渗

程序就会立刻在计算机上隐蔽运行并感染。

［２］

透和横向移动中经常使用这种方式。它在被感染

（２）利用软件捆绑传播：很多木马执行文件非常

的计算机（肉鸡）上开放一个特定的端口，等待攻击