木马分析与防范

【摘要】本文针对计算机木马攻击这一主题，介绍了计算机木马的产生、含义、发展历程及传播传播途径。文中提出的使用隐藏计算机IP地址的方法在实际使用过程中能有效的防止计算机木马程序的攻击，相对于手工查杀和使用软件工具查杀木马更具有主动防范的特点，并且从效果上来看基本上杜绝了计算机木马的攻击和其它的一些黑客攻击，达到了预期的目的。

【关键词】木马;攻击;防范

计算机应用以及计算机网络己经成为现实社会中不可缺少的重要组成部分，在遍及全世界的信息化浪潮的作用下，计算机网络除了影响人们正常生活的名个方面，还对公司管理、发展经济和国家机密起着十分重要的作用。使用计算机木马技术进行非法入侵、控制和破坏计算机网络信息系统，获取非法系统信息，并利用获取的这些信息进行非法行为，是目前公认的计算机网络信息安全问题。

1.木马

1.1木马的产生

最早的计算机木马是从Unix平台上诞生出来的，然后随着Windows操作系统的广泛使用，计算机木马在Windows操作系统上被广泛使用的。最早的Unix木马是运行在服务器后台的一个小程序，木马程序伪装成登录过程，与现在流行的计算机木马程序是不同的。

当一台计算机被植入了木马程序后，如果计算机用户从终端上用自己的帐号来登录服务器时，计算机木马将向用户显示一个与正常登录界面一样的登录窗口，让用户输入正确的账号。在得到正确的用户名和口令之后，计算机木马程序会把账号保存起来，然后在第二次显示出真的登录界面，计算机用户看到登录界面又出现了，以为之前输入密码时密码输错了，于是计算机用户再次输入相关帐号进入计算机系统，但此时计算机用户的账号已被偷取，计算机用户却不知道。

1.2木马的定义

在计算机网络安全领域内，具有以下特征的程序被称作计算机木马：（1）将具有非法功能的程序包含在合法程序中的：具有非法功能的程序执行不为用户所知功能。（2）表面看上去好象是运行计算机用户期望的功能，但实际上却执行具有非法功能的程序。（3）能运行的具有非法操作的恶意程序。

1.3木马的发展历程

从计算机木马的出现一直到现在，计算机木马的技术在不断发展，木马的发展已经历了五代：

第一代计算机木马首要任务是非法获取网络密码，完成密码的非法获取、发送等，在其它方面没有特别之处。第二代计算机木马使用客户/服务结构标准，可以进行远程文件管理、监视计算机屏幕等一些功能。第三代计算机木马在结构功能上与第二代木马基本差不多，为防止计算机防火墙的阻挡，改变通信协议进行通信或者采用新的反向连接技术，采用畸形报文传递数据，使计算机难以查杀。第四代计算机木马过在连接方式上，类似于第三代木马或第二代木马使用的连接方式。对计算机的进程方面做了很大的改动，使用了新的嵌入方式。第一代到第三代木马，都有各自独立的木马，可以根据计算机启动项中的内容描述，计算机用户可以很方便的找到计算机木马，然后删除。不同的是，第四代木马选择了修改系统注册表的方法，伪装成动态链接文件形式加到平时正常的启动程序上，打开“任务管理器”看不到已经运行的计算机木马，这种方法比较好的隐藏了计算机木马。第五代计算机木马与计算机病毒互相紧密结合，充分利用现有的计算机操作系统漏洞，直接实现计算机木马的非法入侵。

1.4木马与病毒的相同点与区别

计算机木马程序与计算机病毒程序的相同点都是人为编写的恶意程序，在条件成立时都可激活。二两者的区别在于计算机病毒可以自我复制，具有破坏性和不可控的传染性；即使是病毒制造者也无法控制计算机病毒的传染，它采用自我复制的方式进行传播和感染计算机中其它计算机文件。计算机木马的特殊性是计算机木马能被计算机木马攻击者控制，具有可控性。计算机木马不具有传染性，不主动去传染其它的计算机文件，其主要任务是向攻击者端打开被攻击的用户计算机的端口，使攻击者可以远程控制目标系统，对用户计算机进行一些非法操作。计算机木马在非法入侵用户计算机系统后根据攻击者发出的指令，完成相关的非法操作。

1.5计算机木马的传播方式

1.5.1通过电子邮件

计算机木马攻击者将含有计算机木马程序的附件放在电子邮件中发送给用户，计算机用户在收到电子邮件后如果打开了电子邮件的附件就会被计算机木马感染。

1.5.2软件下载

在共享软件站点里提供的下载软件里往往有计算机木马程序。由于站点的管理人员不可能去检查所有计算机用户每一个上传的文件，所以这就给一些计算机木马的使用者提供了机会。一些非正规的网站为吸引眼球，将计算机木马程序捆绑在软件安装程序上，提供给计算机用户下载。当用户下载后，只要安装这些程序，计算机木马就会随着程序的安装，悄悄地自动安装在用户计算机上。

1.5.3挂马

“挂马”的含义是指在网页中嵌入非法的程序指令，当使用存在安全漏洞的计算机访问这些网页时，计算机木马会非法入侵用户的计算机系统，进行用户信息的获取和攻击。由于计算机用户经常上网浏览信息，所以在网页上“挂马”是攻击者常用的方式。挂马攻击者是利用操作系统和其它软件的漏洞进行非法攻击。由于挂马这种攻击方法计算机用户不易察觉，很难发现，所以危害性更大。计算机用户必须关注操作系统的漏洞公告和相关应用程序的补丁，做好对“挂马”攻击方式的防范。

1.5.4通过移动存储设备复制到计算机

2.使用隐藏计算机的IP地址防范木马攻击

计算机木马在攻击计算机时首先要得到被攻击的计算机的IP。如果将计算机的IP隐藏起来，黑客看到的仅是地址，而不是计算机用户的真实IP地址，这样计算机就不会被攻击了。一般来说，没有非常直接有效的方法来隐藏的IP，只有通过间接的方法来IP地址隐藏，而这种间接的方法，最常用的就是使用服务器(Proxy Server)来进行IP。另外，Proxy Server（服务器）是Internet链路级网关所提供的一种重要的安全措施，它主要工作在开放系统互联（OSI）七层模型的对话层，为企事业单位、教育机构内部网络起到了防火墙（Firewall）的作用。既然有这么大的作用，那计算机用户又该如何去获得服务器的IP地址和端口号（Port）呢？免费的服务器地址是不公开的，在网络上进行搜索。现在有不少搜索免费服务器的软件，其中以国产的免费服务器搜索软件―猎手最为优秀。它将的搜索和验证功能集合于一体，并提供有如管理、调度等的新功能。■

【参考文献】

［１］武新华,孙世宁.黑客及反黑客工具快速精通［M］.电子工业出版社.2009.

［２］武新华,李秋菊.狙击黑客［M］.清华大学出版社.2008.

［３］赵小林.网络安全技术教程［M］.北京:国防工业出版社.2006.