網(wǎng)頁木馬機理與防御方法研究

曾澤軍

摘 要隨著現(xiàn)代計算機網(wǎng)絡的不斷普及，網(wǎng)絡安全問題越來越受到社會各界的重視。網(wǎng)頁木馬具有強大的遠程控制作用，給用戶的網(wǎng)絡安全帶來了巨大的隱患。本研究就網(wǎng)頁木馬的機理和和特點入手，對如何進行木馬的防御進行簡要的探討，以提高網(wǎng)絡應用的安全。

【關鍵詞】網(wǎng)頁木馬 機理 防御方法

網(wǎng)頁木馬是一種以特定的頁面元素作為攻擊對象，利用瀏覽器及插件中的漏洞，在用戶的服務器終端進行攻擊和控制的程序。網(wǎng)頁木馬制作簡單、傳播速度快，而且破壞力強，能夠隱蔽的將惡意的程序植入在用戶的客戶端，給用戶的電腦軟件造成破壞，危害用戶的信息安全。近年來，研究者針對網(wǎng)頁木馬的機理和防御做了很多的研究，現(xiàn)總結(jié)如下。

1 網(wǎng)頁木馬的定義

網(wǎng)頁木馬的本質(zhì)是一組惡意的網(wǎng)頁代碼。黑客通過在特定的網(wǎng)頁或者系統(tǒng)中進行木馬程序的植入。在用戶下載或者執(zhí)行包含的惡意文件時，隱藏的木馬程序通過計算機的漏洞侵入到客戶端的計算機中，遠程控制客戶端的資源。通過修改客戶端的文件、下載用戶的文件或者隨意的客戶端的計算機注冊表和系統(tǒng)文件，竊取對方的計算機信息資料，甚至造成對方計算機的癱瘓。

一般情況下，網(wǎng)頁木馬表現(xiàn)為一組相互之間有鏈接關系的、含有惡意的程序代碼的網(wǎng)頁界面。相比于蠕蟲等傳統(tǒng)的具有自我復制功能的網(wǎng)絡病毒，網(wǎng)頁木馬還可以在的終端端對用戶的網(wǎng)頁進行實時的控制，而且這種攻擊方式對于防火墻的檢測來說不易發(fā)現(xiàn)，可以有效地在用戶的電腦中順利進行惡意代碼的植入，盜取個人信息和破壞電腦程序更加的方便。而且由于現(xiàn)代網(wǎng)絡的普及，黑客可以利用網(wǎng)頁木馬進行盜用股票賬號、信用卡賬號等，以此來獲取經(jīng)濟利益。因此，現(xiàn)代網(wǎng)頁木馬的危害性更大。

2 網(wǎng)頁木馬的工作原理

現(xiàn)代網(wǎng)頁木馬在進行網(wǎng)頁侵入的時候，通常是采用一種被動攻擊的模式。一般是根據(jù)某個瀏覽器或者電腦的插件的具體的常見漏洞而開發(fā)的，黑客將網(wǎng)頁木馬設置在服務器的終端，并事先對攻擊的頁面進行設定。當用戶發(fā)起特定的網(wǎng)頁訪問請求的時候，網(wǎng)頁木馬的服務器對用戶的行為作出回應，將包含木馬的頁面內(nèi)容發(fā)送到用戶的客戶端。一旦發(fā)送成功，隱藏的木馬頁面被瀏覽器加載，而其中的特定程序在瀏覽器中被執(zhí)行并通過利用電腦程序的漏洞進行下載、安裝、執(zhí)行某些惡意程序。由此可見，網(wǎng)頁木馬的特點是隱蔽性，可以在不知不覺中對用戶的電腦程序造成影響。其安裝時被動式的，但是可以有效地對抗電腦的防火墻，對于用戶來說很難防范。

通常情況下，木馬的攻擊步驟包括以下幾個方面：首先是木馬的植入，木馬程序在客戶端電腦植入后，能夠自動的進行程序的啟動哈運行，對目標主機進行實施的控制。在此過程中，可以修改系統(tǒng)的文件，實現(xiàn)文件的自動加載；修改計算機系統(tǒng)的注冊表，以掌握計算機的核心配置文件；或者對系統(tǒng)進行服務程序的添加，導致只要系統(tǒng)啟動，就會運行木馬的現(xiàn)象；修改文件的關聯(lián)屬性，導致文件的運行與木馬的運行同步；此外還可以利用程序的自動運行的一些程序，實現(xiàn)自動化的運行，對系統(tǒng)的DLL進行更改等。其次，是由于木馬的隱藏功能對計算機用戶造成的危害，木馬可以將其程序注冊為服務，進行深度的隱藏；還可以使用可變的高端口或者系統(tǒng)的服務端口，進行有效的隱藏。在此，木馬程序具有的監(jiān)控技術(shù)。可以實現(xiàn)對客戶機器的信息竊取，對用戶的實踐進行記錄以及遠程的進行目標機器的鼠標和鍵盤的管理和控制，對于客戶端用戶來說危害極大。

3 網(wǎng)頁木馬的漏洞利用機理

前面提到網(wǎng)頁木馬主要是通過用戶的客戶端瀏覽器或者插件的漏洞以實現(xiàn)對電腦的入侵的。在相應的漏洞下，繞過網(wǎng)絡的防火墻，獲得一定的執(zhí)行權(quán)限，以實現(xiàn)惡意程序的下載與執(zhí)行的最終目的。現(xiàn)階段，網(wǎng)頁木馬多采用的Java Script 腳本語言進行編寫，一般情況下電腦的瀏覽器可以為此種語言與相關插件（API）之間的交互作用提供便利，網(wǎng)頁木馬程序可以很方便的通過調(diào)用其中的不安全語言編程，導致插件出現(xiàn)漏洞。而且，黑客也可以通過對腳本進行靈活的運用，對反病毒引擎的安全檢查進行混淆。因此，網(wǎng)頁木馬可以利用的程序漏洞主要有任意下載 的API 類漏洞和內(nèi)存破壞漏洞。

前者主要存在與一些瀏覽器的插件中，很多瀏覽器中通常都會存在一些用來下載、上傳、等功能的插件。而插件在安裝的過程中，通常不受到重視。如果在API 中未進行安全檢查，就會存在網(wǎng)頁木馬進行直接的利用的危險。

后者主要主要分為是三種，分別為 use-after-free 型漏洞、溢出漏洞和瀏覽器解析漏洞三種。網(wǎng)頁木馬可以利用Java Script， Vb Script腳本向存在漏洞的瀏覽器內(nèi)存中進行惡意的傳輸一些執(zhí)行指令，導致相應的執(zhí)行流跳轉(zhuǎn)被觸發(fā)，在控制下相應的程序進行下載和執(zhí)行惡意的程序。

4 網(wǎng)頁木馬的防御方法

4.1 木馬檢測

首先是在日常使用電腦的過程中，尤其是進行文件的下載過程中，應該注意木馬的監(jiān)測。常見的檢測方法有端口的掃描，對系統(tǒng)的進程進行檢查以及對.ini 文件、計算機的注冊表以及服務進行經(jīng)常的檢查，或者對網(wǎng)絡的通訊設備進行檢查，通過定期的檢查可以及時的發(fā)現(xiàn)木馬，防止電腦被網(wǎng)頁木馬侵入，降低用戶的損失。

4.2 木馬的清除

一旦在電腦中發(fā)現(xiàn)木馬的侵入，我們應該明確木馬的加載部位及時的清除木馬的登記部位，切斷木馬開機啟動的功能。但是有些木馬侵入的計算機注冊變，會出現(xiàn)自動恢復的現(xiàn)象，因此操作者應該實現(xiàn)停止木馬程序后再進行刪除的操作。但是，目前的木馬種類眾多，攻擊性和隱藏性越來越強，為了實現(xiàn)有效地查殺，還要借助專業(yè)的殺毒軟件進行清除。

4.3 木馬的防范

木馬的防范應該從多方面入手，全面提高計算機的安全性。首先應該對計算機的漏洞進行及時的修補，安裝補丁，防止被惡意的程序利用。其次，我們可以采用反病毒軟件對程序進行實時的監(jiān)控，經(jīng)常進行軟件的更新，下載專門的木馬清除軟件，對電腦進行木馬的清除。再者用戶應該增強防范意識，不隨意下載軟件，尤其是不規(guī)范網(wǎng)站的軟件，最后，現(xiàn)階段提出的基于網(wǎng)站服務器端進行網(wǎng)頁掛馬的防范，也是一個非常有效的方法。

綜上所述，為了更好的使用計算機為我們的生活服務，我們應該了解網(wǎng)頁木馬的危害，及時的進行檢測、防范和清除，杜絕網(wǎng)頁木馬的出現(xiàn)，提高信息的安全性。

參考文獻

[1]張慧琳，鄒維，韓心慧.網(wǎng)頁木馬機理與防御技術(shù)[J].軟件學報，2013，04：843-858.

[2]鄭云鵬.網(wǎng)頁木馬機理與防范對策[J]. 電子技術(shù)與軟件工程，2014，12：233.

作者單位

1.上海同濟大學軟件學院 上海市 200096

2.內(nèi)蒙古集寧師范學院 內(nèi)蒙古自治區(qū)烏蘭察布市 012000