摘 要:在特洛伊木马病毒日益泛滥的今天,在病毒与杀毒软件激烈的追逐中,我们有必要对特洛伊木马进行深入的了解,从自身加强安全意识。本文从首先阐述了特洛伊木马的发展历程;然后介绍了特洛伊木马的概念、结构、类型及特性;在此基础上,深入剖析了特洛伊木马的工作原理;最后讲解了特洛伊木马的查杀方法。
关键词:特洛伊木马;攻击;查杀
一、特洛伊木马的发展历程
早期网络速度普遍偏慢,木马也是一个新的产物,木马种植手段简单,技术含量低。因此防病毒思想不盛行。那时候的病毒防治基本是用户依靠自己的判断和技术,来免受或摆脱木马之害。当木马技术刚在国内开始的时候,任意一个IP段都有可能存在大量的的受害计算机开放着大门等待入侵者的攻击。
木马技术的不断发展也促使网民安全意识的提高,初期的病毒防火墙应运而生,这时期的木马的隐蔽性提高,但仍然是基于客户端寻找连接服务器端的模式。由于用户防木马意识的提高及病毒防火墙等技术的出现,用户识别和查杀木马的效率大大提高。但是因为病毒防火墙成本等因素的限制,并没有普及,使得许多旧的木马依然可以横行无忌。
后来,网络防火墙技术诞生和病毒防火墙技术的成熟,迫使木马追随着防病毒厂商的脚步更新,但由于计算机与网络之间架设的网络防火墙,在物理上实现了对病毒的隔离,其防护策略也导致大部分木马的失效。
二、特洛伊木马的概念、结构、类型及特性
当特洛伊木马刚出现时很难对其下定义。一般病毒是依据其能复制的特点而定义的。而特洛伊木马主要是根据它的有效载体,或者是其功能来定义的。大多数安全专家统一认可的定义是:“特洛伊木马是一段具有一定功能的程序,但同时还完成一些不为人知的功能。”
一个完整的木马系统由硬件部分,软件部分和连接部分组成。硬件部分主要由控制端、服务端和INTERNET组成。而软件部分则由控制端程序、木马程序和木马配置程序组成。连接部分则由控制端及服务端IP和控制端及木马端端口,组成。
常见木马主要是以下几类:密码发送型,能够找到隐藏面并发送到指定的地方;破坏型,就是破坏并且自动删除文件;键盘记录木马,记录用户的键盘敲击并且在LOG文件查找记录;远程访问型,通过服务器端的IP地址,实现对服务器端的远程控制;代理木马,计算机被控制并植入代理木马,自身变成攻击者发动攻击,从而隐藏入侵者的踪迹;DoS攻击木马,通过入侵给计算机种植DoS攻击木马后,利用中毒的计算机对其他的计算机进行攻击;FTP木马,就是打开21端口,等待用户连接;程序杀手木马,功能就是关闭受害者计算机上运行的防木马软件程序;反弹端口型木马。
特洛伊木马具有的特性:隐藏性;自动运行性;自动恢复功能;具有未公开并且可能产生危险后果的功能程序;自动打开特别的端口;功能特殊。
三、特洛伊木马的工作原理
木马的特点及其功能,使得其危害程度超过普通的病毒和蠕虫。深入了解特洛伊木马的工作原理,并积极采取一定防御措施,可以有效减少其带来的危害。
木马的工作原理,从过程上看大致可分为六步:
1、配置
木马一般都具有木马配置程序,可用来实现木马的伪装,反馈获得的信息。
2、传播
木马主要以两种方式进行传播:一种是将木马程序以附件的形式夹在邮件中发送出去,接收到邮件的就接收了木马病毒;另一种是将木马捆绑在软件安装程序上,提供下载,只要程序被运行,木马就会自动安装。木马在传播过程中具有一定的伪装性,木马安装后的图标一般显示为我们熟悉的TXT、Zip等,起到迷惑的作用;隐蔽性,木马通过捆绑到安装程序上来潜入用户计算机,而且会以出错显示等现象来掩盖其运行;它会扰乱用户的判断;木马安装后安装文件会自动销毁,给木马查杀带来一定的困难。
3、运行
服务端用户运行捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好其触发条件,就完成了木马的安装。
四、特洛伊木马的查杀
1、利用工具:
利用专业的杀毒软件目前主要有:金山毒霸,360,瑞星,卡巴斯基,江民,麦咖啡等。
利用木马专杀工具主要有: LockDown、TheClean、木马杀客、木马克星、金山木马专杀、木马清除大师、木马分析专家等。
随着木马的快速发展,木马的查杀变得越来越困难,杀毒软件已经越来越不堪重负。掌握一定的手工木马查杀方法对木马的防治更加有用。下面介绍手工查杀木马的方法。
2、手工查杀:
1、检查网络连接情况
在没有正常程序连接网络的情况下,通过检查网络连接情况来发现木马的存在。对一些不熟悉的程序和特别的端口的运行,发现后可以及时关闭或跟踪,便于我们追查和删除。
2、查看运行的服务
在Dos窗口中输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,可以管理工具中的“服务”中停止并禁用它。
3、检查系统启动项
4、检查系统帐户
可以在Dos窗口通过net user命令,对账户进行检测,如果一个系统内置的用户是属于administrators组的,那基本肯定你被入侵了。可以使用“net user用户名/del”来删掉用户。
参考文献:
[1]刘强.《木马出师表》.庆出版社.205-206,2003
[2] 钟向群.《黑客大曝光:网络安全机密与解决方案(第6版) 》.清华大学出版社.,2010
[3] 贺民.《计算机安全基础》. 清华大学出版社,2008
[4]Donald L.Pipkin.《拦截黑客—计算机安全入门》(第二版).清华大学出版社,2003