論計算機木馬病毒的分析與防治

摘要：在網(wǎng)絡(luò)信息系統(tǒng)中，木馬技術(shù)已成為黑客攻擊或不法分子入侵或控制他人網(wǎng)絡(luò)或計算機系統(tǒng)的重要工具。系統(tǒng)地分析木馬病毒的起源和種類、工作原理、木馬種植的技巧、木馬自啟動以及隱藏的方法，并對木馬攻擊提出了相應(yīng)的解決方法和防范辦法。

關(guān)鍵詞：特洛伊木馬；木馬病毒；計算機病毒；木馬防治

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)25-1407-02

The Analysis and Prevention to the Trojan Horse Virus

XIE Yu-rong

(Quanzhou Institute of Trade Commerce， Quanzhou 362000， China)

Abstract: In the network information systems， the Trojan technique has been used as the important tool by hackers or lawless persons to invade or other network or computer. This thesis systematically studies and analyzes the principle and function of various trojan horses， the techniques and ideas of trojan loading，the startup methods and hidden methods of the trojan horses， and a corresponsive resolvent for those typical trojan horse attack.

Key words: Trojan horse; Trojan horse virus; computer virus; Trojan detecting

在網(wǎng)絡(luò)信息系統(tǒng)中，特洛伊木馬（簡稱木馬）由于其隱蔽性、遠程可植入性和可控制性等特點，已成為黑客攻擊或不法分子入侵或控制他人網(wǎng)絡(luò)或計算機系統(tǒng)的重要工具，由木馬所造成的信息系統(tǒng)破壞和損失的情況越來越多，對計算機信息系統(tǒng)的安全保密構(gòu)成了極大的威脅，因此對計算機木馬技術(shù)的研究已成為計算機信息安全領(lǐng)域的一個重點和熱點。

1 木馬病毒的起源

“木馬”是“特洛伊木馬”的簡稱，譯自Trojan horse。Trojan horse源于一個古希臘神話故事：傳說希臘人圍攻特洛伊城，久久不能得手，后來想出了一個木馬計，讓士兵藏匿于巨大的木馬中，大部隊假裝撤退而將木馬擯棄于特洛伊城，讓敵人將其作為戰(zhàn)利品拖入城內(nèi)。木馬內(nèi)的士兵則乘夜晚敵人慶祝勝利、放松警惕時從木馬中爬出來，與城外的部隊里應(yīng)外合而攻下了特洛伊城。

而計算機網(wǎng)絡(luò)中的木馬（Trojan），是指隱藏在正常程序中的一段具有特殊功能的代碼，它實質(zhì)上也是一種遠程控制軟件，但它和常規(guī)遠程控制軟件的本質(zhì)區(qū)別：木馬是未經(jīng)用戶授權(quán)，通過網(wǎng)絡(luò)攻擊或欺騙手段安裝到目標計算機中，而常規(guī)遠程控制軟件是用戶有意安裝的。

2 病毒的特點、原理、隱藏和加載

2.1 木馬病毒的特點

一個典型的木馬病毒通常具有以下四個特點：有效性、隱蔽性、頑固性和易植入性。

2.1.1 有效性

有效性就是指入侵的木馬能夠與其控制端建立某種有效聯(lián)系，從而能夠充分控制目標機器并竊取其中的某些信息。

2.1.2 隱蔽性

木馬病毒必須有能力長期潛伏于目標機器中而不被發(fā)現(xiàn)，一個隱蔽性差的木馬往往會很容易暴露自己，進而被殺毒，這樣這類容易暴露自己的木馬變得毫無價值。

2.1.3 頑固性

頑固性是指有效清除木馬病毒的難易程度。若一個木馬在檢查出來之后，仍然無法將其一次性有效清除，那么該木馬病毒就具有較強的頑固性。

2.1.4 易植入性

任何木馬病毒必須首先能夠進入（植入）目標機器，因此易植入性就成為木馬病毒有效性的先決條件。木馬病毒植入技術(shù)目前主要分為3種：偽裝欺騙、利用系統(tǒng)漏洞和入侵后直接植入，其中，欺騙性是木馬病毒最常見的植入手段。

2.2 木馬病毒的原理

木馬是一類特殊的計算機程序，其作用是在一臺計算機上監(jiān)控被植入木馬的計算機的情況。“木馬”程序一般分為客戶端（Client）和服務(wù)器端（Server），服務(wù)器端程序是控制者傳到目標計算機的部分，騙取用戶執(zhí)行后，便植入計算機，作為響應(yīng)程序。客戶端是用來控制目標主機的部分，安裝在控制者的計算機，它的作用是連接木馬服務(wù)器端程序，監(jiān)視或控制遠程計算機。

典型的木馬工作原理是:當木馬服務(wù)器端在目標計算機上被執(zhí)行后，木馬打開一個默認的端口進行監(jiān)聽，當木馬客戶機向服務(wù)器端提出連接請求，木馬服務(wù)器上的相應(yīng)程序就會自動運行來應(yīng)答木馬客戶機的請求，木馬服務(wù)器端程序與木馬客戶端建立連接后，由客戶端發(fā)出指令，服務(wù)器在計算機中執(zhí)行這些指令，并將數(shù)據(jù)傳送到客戶端，以達到控制主機的目的。

2.3 木馬病毒的隱藏技術(shù)

木馬的隱蔽性是木馬能否長期存活的關(guān)鍵，為了達到隱蔽目的，木馬開發(fā)者總是采用各種先進技術(shù)來實現(xiàn)木馬的隱藏。木馬病毒的主要隱蔽技術(shù)包括：偽裝、進程隱藏、DLL技術(shù)等。

2.3.1 偽裝隱藏

包括文件偽裝和進程偽裝。前者除了將文件屬性改為隱藏之外， 大多通過采用類似于系統(tǒng)文件的文件名來隱蔽自己；后者則是利用用戶對系統(tǒng)了解的不足，將自己的進程名設(shè)為與系統(tǒng)進程類似而達到隱藏目的。

2.3.2 進程隱藏

術(shù)馬病毒進程是它駐留在系統(tǒng)中的最好證據(jù)，若能夠有效隱藏自己的進程，顯然將大大提高木馬病毒的隱蔽性。

2.3.3 DLL技術(shù)

采用DLL技術(shù)實現(xiàn)木馬的隱蔽性， 主要通過以下兩種途徑：DLL陷阱和DLL注入。DLL陷阱技術(shù)是一種針對DLL的高級編程技術(shù)，用一個精心設(shè)計的DLL替換已知的系統(tǒng)DLL或嵌入其內(nèi)部，并對所有的函數(shù)調(diào)用進行過濾轉(zhuǎn)發(fā)。

2.4 木馬病毒的加載

當木馬病毒成功植入目標機后，就必須通過某種加載技術(shù)來運行。常見的木馬病毒加載技術(shù)主要包括：系統(tǒng)啟動自動加載、文件關(guān)聯(lián)和文件劫持等。

2.4.1 系統(tǒng)啟動自動加載

這是最常用的木馬自動加載方法。木馬病毒通過將自己拷貝到啟動組，或在win.ini、system.ini和注冊表中添加相應(yīng)的啟動信息而實現(xiàn)在系統(tǒng)啟動時自動加載。這種加載方式簡單有效，但隱蔽性差。

2.4.2 文件關(guān)聯(lián)

通過修改注冊表來完成木馬的加載。它不直接修改注冊表中的啟動鍵，而將其與特定的文件類型相關(guān)聯(lián)，如與文本文件、聲音文件或圖像文件相關(guān)聯(lián)，當用戶打開這種類型的文件時，木馬病毒就會被自動加載。

2.4.3 文件劫持

通過替換或修改系統(tǒng)文件來完成木馬的加載。木馬病毒被植入到目標機器后，首先對某個系統(tǒng)文件進行替換或修改，使得該系統(tǒng)文件獲得訪問權(quán)時，木馬病毒首先執(zhí)行，然后再將控制權(quán)交還給相應(yīng)的系統(tǒng)文件。采用這種方式加載木馬不需要修改注冊表，可以有效地躲過注冊表掃描型反術(shù)馬軟件的查殺，隱蔽性強。

3 木馬病毒的防治辦法

木馬的查殺， 可以采用手動和自動兩種方式。最簡單的方式是安裝殺毒軟件，目前很多殺毒軟件，比如瑞星、金山毒霸、安全衛(wèi)士、卡巴斯基、江民殺毒軟件等能刪除網(wǎng)絡(luò)中猖獗的木馬。但殺毒軟件的升級通常滯后于新木馬的出現(xiàn)， 因此，學(xué)會手動殺毒很有必要。

3.1 檢查注冊表

在注冊表中，用regedit對注冊表進行編輯，先在”HKEY－LOCAL－MACHINE\\Software\\Microsoft\\Windows\\Current Version\\Run”下找到”木馬”程序的文件名，再在整個注冊表中搜索并替換掉”木馬”程序，接著到電腦中找到木馬文件的藏身地將其徹底刪除。

3.2 檢查系統(tǒng)配置文件

檢查win.ini文件。在“WINDOWS”下面，正常情況下，“RUN=”和“l(fā)oad=”的等號后面什么都沒有，如果發(fā)現(xiàn)后面跟著不熟悉的啟動程序，那個程序就是木馬程序，殺毒方法：把“run=“木馬”程序”或“l(fā)oad=“木馬”程序”更改為“run=”和“l(fā)oad=”。

檢查system.ini文件。在“BOOT”下面有個“shell=文件名”，正確的文件名應(yīng)該是“explorer．exe”，如果是“shell=explorer．exe程序名”，那么后面跟著的那個程序也是木馬程序。殺毒方法：將[BOOT]下面的“shell=“木馬”文件”，更改為：“shell=explorer.exe”， 然后再在硬盤上找到這個程序進行刪除。

3.3 MS－DOS方式殺毒

有時候還需注意的是：有的“木馬”程序并不是直接將“HKEY－LOCAL－MACHINE\\Software\\Microsoft\\Windows\\Current Version\\Run”下的“木馬”鍵值刪除就行了，因為有的“木馬”如：BladeRunner木馬，如果你刪除它，“木馬”會立即自動加上，你需要的是記下“木馬”的名字與目錄，然后退回到MS－DOS方式下，找到此“木馬”文件并將其徹底刪除掉。

4 防范木馬病毒入侵的辦法

根據(jù)上文所述，提出以下幾種防范木馬病毒入侵的辦法。

1) 禁用文件系統(tǒng)對象FileSystemObject。

2) 卸載Windows Scripting Host。

3) 刪除VBS，VBE，JS，JSE文件后綴名與應(yīng)用程序的映射。

4) 在Windows目錄中，刪除或重命名Wscript.exe文件。

5) 將IE菜單欄里“Internet選項”中安全選項卡里的“ActiveX控件及插件”的全部設(shè)為禁用。

6) 禁用OE的自動收發(fā)郵件功能。

7) 由于木馬經(jīng)常利用文件擴展名作文章，所以要防范它就不要隱藏系統(tǒng)中已知文件類型的擴展名，顯示所有文件類型的擴展名稱。

8) 將系統(tǒng)的網(wǎng)絡(luò)連接的安全級別設(shè)置為“中等”以上，它可以在一定程度上預(yù)防某些有害的Java程序或ActiveX組件對計算機的侵害。

9) 安裝殺毒軟件，并及時升級。同時還必須定時給系統(tǒng)打補丁。

5 結(jié)束語

木馬的目的是“偷竊”性的遠程控制，而木馬病毒本身又在不斷升級其智能性和多功能性，正進一步擴大其對計算機和網(wǎng)絡(luò)安全的危害性，所以把木馬病毒作為課題做較深入的研究是非常實用且有價值的，對以后的工作和學(xué)習(xí)生活都將有莫大的幫助。

參考文獻：

[1] 辜川毅.計算機網(wǎng)絡(luò)病毒的危害[M].機械工業(yè)出版社，2006.

[2] 林柏鋼.網(wǎng)絡(luò)與信息安全[M].機械工業(yè)出版社，2004.

[3] 馮寶坤，陳子鴻.黑客革命[M].河北科學(xué)技術(shù)出版社，2005.

[4] 鄧吉，柳靖.黑客攻防實戰(zhàn)詳解[M].電子信息技術(shù)出版社，2006.