王嘉興　陳晨　李鵬飛

[摘要]：隨著互聯(lián)網(wǎng)的普及和云計算的廣泛運用，計算機網(wǎng)絡面臨越來越多的非法攻擊。本文主要分析了當前主要攻擊手段，即木馬病毒的特點、原理以及入侵途徑，并根據(jù)木馬病毒的工作原理，提出相應的防御措施。從而提高計算機網(wǎng)絡的安全，降低計算機被木馬攻擊造成的損失。

[關鍵詞]：特洛伊木馬 計算機網(wǎng)絡 入侵 防御

一、木馬病毒對計算機網(wǎng)絡的危害

（一）木馬的概念?！澳抉R”程序是當前計算機網(wǎng)絡安全中比較流行的病毒文件，但是木馬病毒不同于一般的計算機病毒，木馬病毒不會自我復制，也不會刻意的去污染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種主機的門戶，使施種者刻意任意毀壞、竊聽被種者的文件，甚至遠程操控被種主機。因此，木馬病毒所帶來的危害要遠遠大于一般計算機網(wǎng)絡病毒的危害。

（二）木馬的特征。木馬作為計算機網(wǎng)絡病毒中的一種，它有較多種類的木馬程序，但各類木馬程序之間具有一些類似的特征。

1.植入性。木馬病毒通常作為遠程攻擊的一種手段。因而，木馬病毒通常是通過計算機網(wǎng)絡等途徑，將木馬程序植入到宿主計算機中。此外，由于當前木馬技術與計算機蠕蟲技術相結(jié)合，大大提高了木馬病毒的植入能力。

2.隱蔽性。木馬病毒在被植入到宿主計算機之后，便通過修改自身自動方式、改變自身存盤位置、修改文件名稱或圖標等方式實現(xiàn)木馬程序的隱藏。

3.自動運行和恢復性。木馬程序可以通過修改系統(tǒng)的配置文件實現(xiàn)電腦啟動時運行木馬程序的工功能。此外，目前很多木馬程序的功能模塊并不是由單一的文件組成，而是具有相對多重的備份，可以再任何時刻實現(xiàn)相互復制、恢復的目的，防止計算機安全程序?qū)δ抉R病毒的處理。

二、網(wǎng)絡服務器木馬入侵途徑

（一）木馬的配置策略。木馬的配置策略主要是通過木馬的植入隱蔽和信息反饋兩個關鍵步驟實現(xiàn)。首先通過各種植入方式，將木馬程序植入宿主計算機，通過各種隱藏手段實現(xiàn)在宿主計算機中的隱藏，然后，通過數(shù)據(jù)反饋的方式，將宿主計算機內(nèi)部的各種軟硬件配置信息借助互聯(lián)網(wǎng)傳送到入侵主機中，從而最終實現(xiàn)木馬程序的配置。

（二）木馬的傳播方式。木馬的傳播主要建立在互聯(lián)網(wǎng)相互通信基礎上，通過互聯(lián)網(wǎng)之間的信息傳遞實現(xiàn)木馬程序的入侵。木馬程序入侵主要可通過電子郵件、軟件下載和網(wǎng)頁傳播等方式實現(xiàn)。在電子郵件植入中，控制端將木馬程序以附件的方式傳送出去，客戶端一旦打開郵件就會感染病毒。在軟件下載方式中，客戶端在軟件的安裝過程中，木馬程序便同時予以啟動，導致客戶端感染病毒。在網(wǎng)頁的傳播方式中，客戶端在瀏覽網(wǎng)頁的過程中會在客戶端和服務器之間的信息傳遞中，不經(jīng)意間感染木馬病毒。

（三）木馬的運行過程。傳統(tǒng)的木馬運行方式有兩種，分別為自啟動激活模式和觸發(fā)式激活模式。自啟動激活模式主要是木馬程序中存在某些關鍵值，當系統(tǒng)內(nèi)部的程序的運算結(jié)果達到木馬程序的閾值時，木馬程序就會自動啟動。觸發(fā)式激活模式則是依靠文件捆綁方式實現(xiàn)，當客戶機對捆綁文件進行操作的時候，被捆綁的木馬程序就會啟動。目前，較為流行的木馬入侵方式主要是合并上述兩種方式，其方式主要是先通過觸發(fā)式激活模式，將木馬程序植入計算機中，然后，通過自啟動的方式激活程序，使程序在計算機內(nèi)部活躍起來，實現(xiàn)對客戶機的監(jiān)聽以及盜竊相應數(shù)據(jù)的目的。

（四）木馬的遠程控制。當控制端和客戶端通過木馬程序建立連接后，控制端和客戶端就會形成木馬通道，控制端可以通過相應的木馬程序借助該通道獲取客戶端的數(shù)據(jù)信息，從而實現(xiàn)遠程控制。

三、網(wǎng)絡服務器木馬入侵的防御方法

（一）安裝防火墻和殺毒軟件。根據(jù)當前木馬程序的攻擊方式統(tǒng)計結(jié)果，大部分木馬攻擊都是利用現(xiàn)有較為成熟的木馬程序或者系統(tǒng)軟件和應用軟件的漏洞進行網(wǎng)絡攻擊，針對這些網(wǎng)絡攻擊，客戶機可以有針對性的采取安裝防火墻或者殺毒軟件等方式進行抵制木馬程序的攻擊，確保客戶端的軟硬件信息和重要數(shù)據(jù)信息得到時刻的監(jiān)控，防止木馬病毒的攻擊。

（二）阻斷網(wǎng)絡通信途徑。在網(wǎng)絡監(jiān)控環(huán)節(jié)中，可以利用計算機安全程序?qū)νㄐ啪W(wǎng)絡進行實時監(jiān)控，對網(wǎng)絡通信環(huán)節(jié)出現(xiàn)的異常要進行及時處理，確保網(wǎng)絡正常的通信，此外，可以對客戶端計算機的網(wǎng)絡數(shù)據(jù)包進行規(guī)則定義，確保該客戶端計算機的數(shù)據(jù)包流通合乎規(guī)則，降低木馬程序的入侵可能性。另外，通過計算機入侵檢查技術，可以再流動數(shù)據(jù)包中進行木馬植入和攻擊風險的檢測，并對以檢測到的攻擊進行網(wǎng)絡阻斷。

（三）網(wǎng)絡端口的實時監(jiān)控?？蛻舳擞嬎銠C連接網(wǎng)絡的基礎的網(wǎng)絡端口，通過網(wǎng)絡端口的連接作用實現(xiàn)計算機連接網(wǎng)絡的目的。通過對網(wǎng)絡端口的實時監(jiān)控可以降低客戶端計算機受到木馬病毒攻擊的可能性。對網(wǎng)絡端口的實時監(jiān)控主要是檢測兩個方面。一個方面就是監(jiān)控端口的開啟與關閉，如果實時監(jiān)控系統(tǒng)發(fā)現(xiàn)某個端口打開和關閉異常，則表明該端口容易受到或正在受到木馬等程序的攻擊，通過對該異常端口進行相應的處理，即可相應的降低感染風險。另一個方面就是對通過網(wǎng)絡端口數(shù)據(jù)的監(jiān)控，防止木馬程序通過依附于合法數(shù)據(jù)包的方式進行遠程攻擊。

（四）訪問注冊表行為的控制。當前木馬程序在宿主計算機中發(fā)揮隱藏功能的主要基礎是木馬偽裝成注冊表在系統(tǒng)中存在，加強對系統(tǒng)中注冊表的訪問機制，就會在一定的程度上降低木馬的攻擊效果。

一些木馬通過修改系統(tǒng)注冊表，實現(xiàn)其木馬的惡意行為，并且能夠?qū)崿F(xiàn)隱藏和啟動的功能，因此，如果能夠?qū)ο到y(tǒng)修改注冊表的行為加以控制，那么木馬就不會對系統(tǒng)做出非法操作，此外，對注冊表中和自啟動相關聯(lián)的項目加以權限限制和實施監(jiān)控，可以令木馬程序不能隱蔽和自啟動，提高了系統(tǒng)保護自身的能力。

防范惡意遠程控制。由于當前的計算機大部分都連入網(wǎng)絡當中，那么連入互聯(lián)網(wǎng)的計算機就面臨著遠程控制的風險，正常情況下的合法遠程控制對于用戶而言，用戶未必能夠注意到計算機已被遠程控制，但是一旦計算機被惡意遠程控制，那么計算機的運行性能就會遭到極大的影響，因此，當出現(xiàn)計算機被遠程控制的時候，用戶需要對計算機采取及時的措施，降低因木馬中毒導致計算機被惡意遠程控制造成的不必要風險。

參考文獻：

[1]周宇曉.網(wǎng)絡木馬病毒的防范探討[J].科技信息，2008.

[2]王欣.論計算機網(wǎng)絡木馬入侵與應對措施[J].電腦編程技巧與維護，2012.