淺析木馬的原理及預防措施

呂秀鑒 賈永勝

[摘要]木馬(Trojan)這個名字來源于古希臘傳說,它是指通過一段特定的程序(木馬程序)來控制另一臺計算機。木馬通常有兩個可執行程序:一個是客戶端,即控制端,另一個是服務端,即被控制端。木馬的設計者為了防止木馬被發現,而采用多種手段隱藏木馬。因此,分析對木馬的入侵方式、隱藏手段,并提出了一些預防措施。

[關鍵詞]木馬安全威脅預防

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1220041-01

木馬的危害性在于它對電腦系統強大的控制和破壞能力,竊取密碼、控制系統操作、進行文件操作等等,一個功能強大的木馬一旦被植入你的機器,攻擊者就可以像操作自己的機器一樣控制你的機器,甚至可以遠程監控你的所有操作。

一、木馬的入侵途徑

一般的木馬都有客戶端和服務器端兩個執行程序,其中客戶端是用于攻擊者遠程控制植入木馬的機器,服務器端程序即是木馬程序。攻擊者在使用木馬攻擊系統時,第一步是要把木馬的服務器端程序植入到被攻擊的電腦里面。

目前木馬入侵的主要途徑是先通過一定的方法把木馬執行文件復制到被攻擊者的電腦系統里,如通過郵件、下載等途徑,然后通過精心構造的提示誤導被攻擊者打開執行文件。一般的木馬執行文件非常小,從幾KB到幾十KB不等,如果攻擊者把木馬捆綁到其它正常文件上,受害者很難發現,所以,有一些網站提供的軟件下載往往是捆綁了木馬文件的,在受害者執行這些下載的文件,也同時運行了木馬。

其次,木馬可以通過Script、ActiveX及Asp、Cgi等交互腳本的方式植入,由于微軟的瀏覽器在執行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞傳播病毒和木馬,甚至直接對瀏覽者電腦進行文件操作等控制。如果攻擊者有辦法把木馬執行文件上載到攻擊主機的一個可執行Web文件夾里面,他可以通過編制Cgi程序在被攻擊主機上執行木馬程序。

木馬還可以利用系統的一些漏洞進行植入,如微軟著名的IIS服務器溢出漏洞,通過一個IISHACK攻擊程序使目標IIS服務器崩潰,同時在被攻擊服務器執行遠程木馬文件。

二、攻擊者竊取受害主機信息的手段

木馬在被植入攻擊主機后,它一般會通過一定的方式把入侵主機的信息,如主機的IP地址、木馬植入的端口等發送給攻擊者,這樣攻擊者有這些信息才能夠與木馬里應外合控制攻擊主機。

在早期的木馬里面,大多都是通過發送電子郵件的方式把入侵主機信息告訴攻擊者,有一些木馬文件干脆把主機所有的密碼用郵件的形式通知給攻擊者,這樣攻擊都就不用直接連接攻擊主機即可獲得一些重要數據,如攻擊OICQ密碼的GOP木馬即是如此。

使用電子郵件的方式對攻擊者來說并不是最好的選擇,因為如果木馬被發現,可以能過這個電子郵件的地址查出攻擊者。還有一些木馬采用的是通過發送UDP或者ICMP數據包的方式通知攻擊者。

三、木馬隱藏的手段

在運行前,木馬通常會將自己偽裝成Txt、Html等常用文件的圖標,這樣很容易誘騙用戶把它打開。在運行中,木馬大多都以彈出某種欺騙性質的錯誤窗口使用戶不起疑心,比如操作系統版本錯誤等等。木馬在運行后需要自我銷毀和隱藏,又分為兩種類型,一種是隨系統自動啟動的,另一種附加或者捆綁在Windows系統或者其它應用程序上,或者干脆替代原文件。如果是前者,木馬會把自己拷貝到windows系統目錄夾下面一個隱蔽的地方,文件屬性設為隱藏,執行后再刪除自己。如果是后者,木馬會尋找系統程序把自己捆綁或者替換到它們身上,這樣用戶運行這些系統程序的時候就會激活木馬。

在win9X系統里面,簡單的注冊為系統進程即可以從任務欄里消失,但在windows2000系統里面,任何一個運行的進程都會在系統管理員權限下顯示出來,并且可以直接關閉掉。在最新的一些木馬里面,開始采用了先進的DLL陷進技術,DLL陷阱技術是一種針對DLL(動態鏈接庫)的高級編程技術,編程者用木馬文件替換系統原有的DLL文件,并對所有的函數調用進行過濾,對于正常的調用,使用函數轉發器直接轉發給被替換的原系統DLL,對于一些滿足觸發條件的情況,偽裝的木馬會執行一些相對應的破壞操作。

四、防治木馬的方法

1.對于安裝新的計算機系統,要注意及時進行系統漏洞掃描,并根據提示下載安裝系統補丁,這樣可以防止通過系統漏洞傳播的惡意代碼。

2.必須安裝殺毒軟件和個人防火墻,并及時升級。把個人防火墻設置好安全等級,防止未知程序向外傳送數據。這樣即使中了木馬,當有程序要連線上網時,防火墻會有所提示,就有可能發現木馬。此外,可以考慮使用安全性比較好的瀏覽器和電子郵件客戶端工具。

3.如果使用IE瀏覽器,應該安裝系統監控軟件如卡上網助手,防止惡意網站在自己電腦上安裝不明軟件和瀏覽器插件,以免被木馬趁機侵入。

4.不要運行來歷不明的軟件,即使通過一般反病毒軟件的檢查也不要輕易運行。現在的反病毒軟件把特洛伊木馬定性為病毒,但還有相當數量的木馬是這些軟件所不能檢查出來的,尤其是一些有一定編程技術的人自己編的后門程序。對于此類軟件要用專門的黑客程序清除軟件去檢查。

5.保持警惕性,對不熟悉的人發來的電子郵件不要輕易打開,帶有附件的就更要小心。另外,就算是熟人發來的E-MAIL,對其中的附件也要小心,因為感染木馬的主機可能會自動向當前地址簿中的用戶列表發送垃圾郵件。

相信我們在對木馬的原理有了一定了解的前提下,預防木馬的目的是可以實現的。

參考文獻:

[1]http://baike.baidu.com/view/931.htm.