特洛伊木马的攻击原理与防护措施

王玉芳 宋晓峰 魏婷 王喆

摘要：介绍了木马的工作原理和连接方式，以及木马常见的连接方式。从防御和查杀两个方面介绍了防范和清除木马的方法。

关键词：木马;网络安全;措施

中图分类号：TP309.2 文献标识码：A 文章编号：1007-9416（2018）11-0180-02

1 木马

木马，全称是“特洛伊木马”，英文为 Trojan Horse，来源于古希腊神话《荷马史诗》中的故事《木马屠城记》。近年来发展迅速，经常被黑客利用，渗透到计算机用户的主机系统内，盗取用户的各类账号和密码，窃取各类机密文件，甚至远程控制用户主机。

2 木马原理

木马一般都使用C/S架构，一个完整的木马程序通常由两部分组成：服务端（服务器部分）和客户端（控制器部分）。“服务器”部分被植入到被攻击者的电脑中，“控制器”部分在攻击方所控制的电脑中， 攻击方利用“控制器”主动或被动的连接“服务器”，实现对目标主机的控制。

木马运行后，会打开目标主机的一个或多个端口，以便于攻击方通过这些端口实现和目标主机的连接。连接成功后，攻击方便成功的进入了目标主机电脑内部，通过控制器可以对目标主机进行很多操作，如：增加管理员权限的用户，捕获目标主机的屏幕，编辑文件，修改计算机安全设置等等。而这种连接很容易被用户和安全防护系统发现，为了防止木马被发现，木马会采用多种技术来实现连接和隐藏，以提高木马种植和控制的成功率。

3 木马的连接方式

攻击者利用木马对目标主机（攻击者）的控制，需要通过控制端和服务器端的连接来实现。常见的木马连接方式有正向端口连接、反弹端口连接和“反弹+代理”连接三种方式。

3.1 正向端口连接

正向连接方式是由控制端主动连接服务器端，即由控制端向服务器端发出建立连接请求，从而建立双方的连接，如图1。

为了内网的安全，通常防火墙会对进入系统内部的数据过滤，允许内网连接外网，屏蔽外网向内网的连接请求。这种安全策略下，正向连接方式会被防火墙屏蔽，不能实现“控制器”和“服务器”的连通。面对防火墙的阻断，为了保障连通，木马技术又出现了新的连接方式，由木马的“服务器”主动连接“控制器”，即端口反弹连接方式。

3.2 端口反弹连接

端口反弹连接方式是由“服务器”主动向“控制器”发出连接请求，如图2。这种方式可以有效的绕过防护墙，例如有名的国产木马：灰鸽子。然而，反弹连接方式，要在配置“服务器”时，提前设置好“服务器”要连接的IP地址和端口号，也就是“控制器”所在电脑的Ip地址和等待连接的端口。一旦，“控制器”所在电脑IP地址发生变化，“服务器”和“控制器”的连接就会失败，因此，这种端口反弹连接方式的木马想要种植成功，要求攻击方的要有固定的IP地址和待连接端口。

但是，随着网络的发展，网络用户越来越多，为了解决IP地址不够用的问题，各大运营商纷纷采用动态IP 的技术，普通宽带上网用户，一般不具备固定IP地址，上网时由ISP动态分配给用户一个暂时的IP地址，这就造成每次上网时，同一台计算机的IP地址都会更换，这就给“服务器”反向连“控制器”端带来了困难。再次连接时，由于IP地址已经改变，“控制器”建立连接，因此，造成攻击者失去对目标主机的控制。

3.3 “反弹+代理”连接

为了解决动态IP的问题，又出现了新的木马连接技术，利用“反弹+代理”方式实现“控制器”和“服务器”的连接。代理的主要作用是保持并实时更新“控制器”的IP地址和端口号，如图3，“服务器”在发起连接请求时，通过询问代理服务器，获得“控制器”的IP地址和端口号，然后与“控制器”建立连接。这里的代理服务器通常是已经被攻击者控制的电脑。

这种连接方式利用代理服务器，一方面解决了控制端IP动态变化的无法连接的问题，另一方面有效的隐藏了攻击者的IP的地址，减小了攻击者被发现的几率。

4 木马的防护措施

4.1 主动防范

4.1.1 网络安全防护系统和软件的安装与维护

安装必要的网络安全防护软件，例如防火墙，入侵检测，补丁分发等，合理的设置防火墙，开始实时的入侵检测，做好网络安全防护系统的维护，下载新的补丁并及时安装。

4.1.2 计算机“安全配置”

（1）修补系统漏洞：木马的种植需要利用系统存在的漏洞，及时修补系统漏洞可以提高系统安全性，防止木马攻击。（2）关闭不必要的端口或服务：为了保证系统的安全，严格限制开放的端口是非常必要的，一般来讲，非必要的端口/服务都应该关闭。

4.1.3 良好的机务作风

大部分的網络安全事件，是由人为误操作造成的。因此好的上网习惯也对计算机系统的安全有着举足轻重的作用。上网时不要随意打开来历不明的邮件，或下载来历不明的软件，以及随意点击各种链接，因为，这些操作都有可能让自己的电脑中病毒或木马。

4.2 手动查杀

4.2.1 检查注册表

木马为了实现对目标主机的长久控制，常常会修改目标主机注册表的启动项或将自己加入到启动组中，来实现每次开机时自动运行木马程序。常用的方法是修改注册表中以“Run”开头的键值。进行木马查杀时，需要注意这个键值下有没有新增可疑的文件名，如果有需要删除键值和相应的文件名对应的程序（木马程序），相应的木马程序常常放在C：/windows/system32文件夹下。

4.2.2 EXE文件启动

如果运行了某个EXE文件，木马便被装入内存，相应端口被打开，则说明该EXE文件被关联了木马，运行该文件便会启动木马程序，这种情况可以删除该Exe文件，再找一个这样的程序，重新安装。

手动查杀木马的方法主要是查看注册表启动项，网络连接和系统进程，一些技术高明的木马编制者完全可以通过合理的隐藏，使木马很难被检测到。因此可以采用手动和杀毒软件相结合的方法来清除木马，提高计算机的安全性。

Attack Principle and Protection Measures of Trojan Horse

WANG Yu-fang， SONG Xiao-feng， WEI Ting， WANG Zhe

（School of Information and Communication， National University of Defense Technology， Xi'an Shaanxi  710106）

Abstract：This paper introduces the working principle and connection mode of Trojan horse， as well as the common connection mode of Trojan horse. This paper introduces the methods of preventing and clearing Trojan horses from two aspects of defense and killing.

Key words：trojan horse; network security; measures