王嘉興　陳晨　李鵬飛

[摘要]：隨著互聯(lián)網(wǎng)的普及和云計算的廣泛運用，計算機網(wǎng)絡(luò)面臨越來越多的非法攻擊。本文主要分析了當(dāng)前主要攻擊手段，即木馬病毒的特點、原理以及入侵途徑，并根據(jù)木馬病毒的工作原理，提出相應(yīng)的防御措施。從而提高計算機網(wǎng)絡(luò)的安全，降低計算機被木馬攻擊造成的損失。

[關(guān)鍵詞]：特洛伊木馬 計算機網(wǎng)絡(luò) 入侵 防御

一、木馬病毒對計算機網(wǎng)絡(luò)的危害

（一）木馬的概念?！澳抉R”程序是當(dāng)前計算機網(wǎng)絡(luò)安全中比較流行的病毒文件，但是木馬病毒不同于一般的計算機病毒，木馬病毒不會自我復(fù)制，也不會刻意的去污染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種主機的門戶，使施種者刻意任意毀壞、竊聽被種者的文件，甚至遠程操控被種主機。因此，木馬病毒所帶來的危害要遠遠大于一般計算機網(wǎng)絡(luò)病毒的危害。

（二）木馬的特征。木馬作為計算機網(wǎng)絡(luò)病毒中的一種，它有較多種類的木馬程序，但各類木馬程序之間具有一些類似的特征。

1.植入性。木馬病毒通常作為遠程攻擊的一種手段。因而，木馬病毒通常是通過計算機網(wǎng)絡(luò)等途徑，將木馬程序植入到宿主計算機中。此外，由于當(dāng)前木馬技術(shù)與計算機蠕蟲技術(shù)相結(jié)合，大大提高了木馬病毒的植入能力。

2.隱蔽性。木馬病毒在被植入到宿主計算機之后，便通過修改自身自動方式、改變自身存盤位置、修改文件名稱或圖標(biāo)等方式實現(xiàn)木馬程序的隱藏。

3.自動運行和恢復(fù)性。木馬程序可以通過修改系統(tǒng)的配置文件實現(xiàn)電腦啟動時運行木馬程序的工功能。此外，目前很多木馬程序的功能模塊并不是由單一的文件組成，而是具有相對多重的備份，可以再任何時刻實現(xiàn)相互復(fù)制、恢復(fù)的目的，防止計算機安全程序?qū)δ抉R病毒的處理。

二、網(wǎng)絡(luò)服務(wù)器木馬入侵途徑

（一）木馬的配置策略。木馬的配置策略主要是通過木馬的植入隱蔽和信息反饋兩個關(guān)鍵步驟實現(xiàn)。首先通過各種植入方式，將木馬程序植入宿主計算機，通過各種隱藏手段實現(xiàn)在宿主計算機中的隱藏，然后，通過數(shù)據(jù)反饋的方式，將宿主計算機內(nèi)部的各種軟硬件配置信息借助互聯(lián)網(wǎng)傳送到入侵主機中，從而最終實現(xiàn)木馬程序的配置。

（二）木馬的傳播方式。木馬的傳播主要建立在互聯(lián)網(wǎng)相互通信基礎(chǔ)上，通過互聯(lián)網(wǎng)之間的信息傳遞實現(xiàn)木馬程序的入侵。木馬程序入侵主要可通過電子郵件、軟件下載和網(wǎng)頁傳播等方式實現(xiàn)。在電子郵件植入中，控制端將木馬程序以附件的方式傳送出去，客戶端一旦打開郵件就會感染病毒。在軟件下載方式中，客戶端在軟件的安裝過程中，木馬程序便同時予以啟動，導(dǎo)致客戶端感染病毒。在網(wǎng)頁的傳播方式中，客戶端在瀏覽網(wǎng)頁的過程中會在客戶端和服務(wù)器之間的信息傳遞中，不經(jīng)意間感染木馬病毒。

（三）木馬的運行過程。傳統(tǒng)的木馬運行方式有兩種，分別為自啟動激活模式和觸發(fā)式激活模式。自啟動激活模式主要是木馬程序中存在某些關(guān)鍵值，當(dāng)系統(tǒng)內(nèi)部的程序的運算結(jié)果達到木馬程序的閾值時，木馬程序就會自動啟動。觸發(fā)式激活模式則是依靠文件捆綁方式實現(xiàn)，當(dāng)客戶機對捆綁文件進行操作的時候，被捆綁的木馬程序就會啟動。目前，較為流行的木馬入侵方式主要是合并上述兩種方式，其方式主要是先通過觸發(fā)式激活模式，將木馬程序植入計算機中，然后，通過自啟動的方式激活程序，使程序在計算機內(nèi)部活躍起來，實現(xiàn)對客戶機的監(jiān)聽以及盜竊相應(yīng)數(shù)據(jù)的目的。

（四）木馬的遠程控制。當(dāng)控制端和客戶端通過木馬程序建立連接后，控制端和客戶端就會形成木馬通道，控制端可以通過相應(yīng)的木馬程序借助該通道獲取客戶端的數(shù)據(jù)信息，從而實現(xiàn)遠程控制。

三、網(wǎng)絡(luò)服務(wù)器木馬入侵的防御方法

（一）安裝防火墻和殺毒軟件。根據(jù)當(dāng)前木馬程序的攻擊方式統(tǒng)計結(jié)果，大部分木馬攻擊都是利用現(xiàn)有較為成熟的木馬程序或者系統(tǒng)軟件和應(yīng)用軟件的漏洞進行網(wǎng)絡(luò)攻擊，針對這些網(wǎng)絡(luò)攻擊，客戶機可以有針對性的采取安裝防火墻或者殺毒軟件等方式進行抵制木馬程序的攻擊，確保客戶端的軟硬件信息和重要數(shù)據(jù)信息得到時刻的監(jiān)控，防止木馬病毒的攻擊。

（二）阻斷網(wǎng)絡(luò)通信途徑。在網(wǎng)絡(luò)監(jiān)控環(huán)節(jié)中，可以利用計算機安全程序?qū)νㄐ啪W(wǎng)絡(luò)進行實時監(jiān)控，對網(wǎng)絡(luò)通信環(huán)節(jié)出現(xiàn)的異常要進行及時處理，確保網(wǎng)絡(luò)正常的通信，此外，可以對客戶端計算機的網(wǎng)絡(luò)數(shù)據(jù)包進行規(guī)則定義，確保該客戶端計算機的數(shù)據(jù)包流通合乎規(guī)則，降低木馬程序的入侵可能性。另外，通過計算機入侵檢查技術(shù)，可以再流動數(shù)據(jù)包中進行木馬植入和攻擊風(fēng)險的檢測，并對以檢測到的攻擊進行網(wǎng)絡(luò)阻斷。

（三）網(wǎng)絡(luò)端口的實時監(jiān)控。客戶端計算機連接網(wǎng)絡(luò)的基礎(chǔ)的網(wǎng)絡(luò)端口，通過網(wǎng)絡(luò)端口的連接作用實現(xiàn)計算機連接網(wǎng)絡(luò)的目的。通過對網(wǎng)絡(luò)端口的實時監(jiān)控可以降低客戶端計算機受到木馬病毒攻擊的可能性。對網(wǎng)絡(luò)端口的實時監(jiān)控主要是檢測兩個方面。一個方面就是監(jiān)控端口的開啟與關(guān)閉，如果實時監(jiān)控系統(tǒng)發(fā)現(xiàn)某個端口打開和關(guān)閉異常，則表明該端口容易受到或正在受到木馬等程序的攻擊，通過對該異常端口進行相應(yīng)的處理，即可相應(yīng)的降低感染風(fēng)險。另一個方面就是對通過網(wǎng)絡(luò)端口數(shù)據(jù)的監(jiān)控，防止木馬程序通過依附于合法數(shù)據(jù)包的方式進行遠程攻擊。

（四）訪問注冊表行為的控制。當(dāng)前木馬程序在宿主計算機中發(fā)揮隱藏功能的主要基礎(chǔ)是木馬偽裝成注冊表在系統(tǒng)中存在，加強對系統(tǒng)中注冊表的訪問機制，就會在一定的程度上降低木馬的攻擊效果。

一些木馬通過修改系統(tǒng)注冊表，實現(xiàn)其木馬的惡意行為，并且能夠?qū)崿F(xiàn)隱藏和啟動的功能，因此，如果能夠?qū)ο到y(tǒng)修改注冊表的行為加以控制，那么木馬就不會對系統(tǒng)做出非法操作，此外，對注冊表中和自啟動相關(guān)聯(lián)的項目加以權(quán)限限制和實施監(jiān)控，可以令木馬程序不能隱蔽和自啟動，提高了系統(tǒng)保護自身的能力。

防范惡意遠程控制。由于當(dāng)前的計算機大部分都連入網(wǎng)絡(luò)當(dāng)中，那么連入互聯(lián)網(wǎng)的計算機就面臨著遠程控制的風(fēng)險，正常情況下的合法遠程控制對于用戶而言，用戶未必能夠注意到計算機已被遠程控制，但是一旦計算機被惡意遠程控制，那么計算機的運行性能就會遭到極大的影響，因此，當(dāng)出現(xiàn)計算機被遠程控制的時候，用戶需要對計算機采取及時的措施，降低因木馬中毒導(dǎo)致計算機被惡意遠程控制造成的不必要風(fēng)險。

參考文獻：

[1]周宇曉.網(wǎng)絡(luò)木馬病毒的防范探討[J].科技信息，2008.

[2]王欣.論計算機網(wǎng)絡(luò)木馬入侵與應(yīng)對措施[J].電腦編程技巧與維護，2012.