- 浅析木马原理及防范对策
-
- 发布时间:2017-03-22
最近电信诈骗这个话题再次走进大家的视野,再度引起人们对网络安全和个人信息安全的深深担忧。2016年9月4日吉林工商学院一大二男生被电信诈骗骗取5000元学费后失联,随后被证实身亡;清华大学一在职教师遭电信诈骗惨失1760万元;山东一准大学生徐玉玉因电信诈骗被骗走9900元后伤心过度,花季少女不幸离世。在“徐玉玉案件”中,一个至关重要的“窃取个人信息”环节,竟然出自年仅18岁的少年杜天禹之手,他在洞悉高考报名系统的安全漏洞后,经测试上传木马,侵入“山东省2016高考网上报名信息系统”网站,下载了60多万条高考考生信息,高考结束后开始在网上非法出售,给不法分子提供犯罪机会。众多类似案件在我们身边不断重演,我们不能对木马视而不见,更不能望而生畏,要努力提高个人信息安全保护意识,加深对木马的了解,加强防范手段。
一、木马的概念和原理
“木马”全称是“特洛伊木马(Trojan Horse)”。这个名词来源于一个希腊故事,相传希腊与特洛伊之间有一场战争,有位智者给希腊大军献计:制作一个巨大并且中空的木马塑像,里面藏一些精锐的战士,然后烧毁自家兵营假装撤退,让特洛伊人将木马视为战利品带入城后,木马中的战士再悄悄打开城门,里应外合的攻陷特洛伊城。当夜希腊大军攻破了特洛伊城。而特洛伊木马从此成为了打开后门的代名词,专门用于指称为计算机入侵者打开方便之门的程序。
木马通过潜入电脑系统,获得管理员权限,使用种种隐蔽的方式在系统启动时自动在后台执行程序,以“里应外合”的工作方式,用服务器/客户端的通讯手段,在用户上网时控制用户的电脑,以窃取密码、浏览硬盘资源、修改文件或注册表、偷看邮件等等。木马除了能删除或修改文件、格式化硬盘、上传和下载文件之外,还能远程控制计算机系统、窃取用户密码、获取目录路径或用户信用卡等信息。如果用户计算机有连接摄像头,木马还可以远程打开摄像头,窥视用户的一举一动。
二、木马的分类
根据木马对计算机的具体运作方式,可以把木马分为以下几类:
1. 远程访问型木马
这种木马用起来非常简单,只需先运行服务端程序,同时获得远程主机的IP地址,控制者就能任意访问受控端的计算机,进行任意操作,如国产冰河和灰鸽子就是这种类型的木马,它可以自动跟踪目标机屏幕变化,同时完全模拟键盘及鼠标输入。
2. 密码发送型木马
其目的是找到所有隐藏的密码,并在受害者毫无察觉的情况下把它们发送到窃密者指定的邮箱。如密码窃取器,在木马能连接网络的情况下将窃取的密码发送到指定的邮箱。
3. 键盘记录型木马
该木马随Windows的启动而启动,知道受害者在线并且记录每一个用户事件,然后通过邮件或其他方式发送给受害者,只记录受害者的键盘敲击,并在LOG文件里做完整的记录。如由广东外语外贸大学的一个学生团体编写的广外幽灵,除了自动识别和截取Windows窗体中的信号、黑点密码外,还可以记录键盘以及输入法活动。记录的内容可以通过E-mail发送到指定的邮箱,也可以保存到记录文件中。
4. 毁坏型木马
大多数木马只窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并删除文件为主要任务,它们可以自动删除受控者计算机上所有的.dll、.ini或.exe文件,甚至远程格式化受控者硬盘。
5. FTP型木马
FTP型木马打开被控制计算机的21号端口(FTP所使用的默认端口),使每一个人都可以用一个FTP客户端程序来连接受控端计算机,并进行最高权限的上传和下载,窃取受控端的机密文件。
三、木马的防范
对于如何防范木马,提出以下几点建议:
1. 不要轻易相信从未知地方得来的未知文件,其中包括U盘,特别是从网站下载的软件,一些共享软件和免费软件含有捆绑恶意代码的可能,一定要彻底检查,加强防范。
2. 要经常对操作系统的安全漏洞进行修补和更新,对重大的安全漏洞一定要修补。
3. 坚持定期升级反病毒软件和反木马软件程序。
4. 注意检查启动组和Win.ini,System.ini,Winstart.bat,Wininit.ini,Autoexec.bat,Config.sys等文件。
5. 上网时发现计算机运行情况不正常时,如突然发现鼠标不听使唤,在自己不动鼠标的时候,鼠标自己移动并且点击有关按钮操作;发现准备使用摄像头时,系统提示,该设备正在使用中等现象,要立即断开网络连接。虽然造成上网速度突然变慢的原因有很多,但是首先要怀疑被木马入侵,因为木马入侵计算机系统时,会与正常访问网络抢占带宽。
6. 经常观察计算机系统上进程列表和性能表上的CPU使用记录。如有不正常现象,务必查清原因。
安全是一个持续性的过程,防范木马入侵只是保护个人信息安全的其中一个重要手段,并不是一劳永逸的。网络结构在变化,攻击在变化,服务器的操作系统、应用程序也在变化,这些都会造成原有安全部署的部分失效,防不胜防。所以,提高网络安全意识,从细节入手,对于保证个人网络信息安全不无裨益。
(越秀区国家保密局 梁樱枝)
一、木马的概念和原理
“木马”全称是“特洛伊木马(Trojan Horse)”。这个名词来源于一个希腊故事,相传希腊与特洛伊之间有一场战争,有位智者给希腊大军献计:制作一个巨大并且中空的木马塑像,里面藏一些精锐的战士,然后烧毁自家兵营假装撤退,让特洛伊人将木马视为战利品带入城后,木马中的战士再悄悄打开城门,里应外合的攻陷特洛伊城。当夜希腊大军攻破了特洛伊城。而特洛伊木马从此成为了打开后门的代名词,专门用于指称为计算机入侵者打开方便之门的程序。
木马通过潜入电脑系统,获得管理员权限,使用种种隐蔽的方式在系统启动时自动在后台执行程序,以“里应外合”的工作方式,用服务器/客户端的通讯手段,在用户上网时控制用户的电脑,以窃取密码、浏览硬盘资源、修改文件或注册表、偷看邮件等等。木马除了能删除或修改文件、格式化硬盘、上传和下载文件之外,还能远程控制计算机系统、窃取用户密码、获取目录路径或用户信用卡等信息。如果用户计算机有连接摄像头,木马还可以远程打开摄像头,窥视用户的一举一动。
二、木马的分类
根据木马对计算机的具体运作方式,可以把木马分为以下几类:
1. 远程访问型木马
这种木马用起来非常简单,只需先运行服务端程序,同时获得远程主机的IP地址,控制者就能任意访问受控端的计算机,进行任意操作,如国产冰河和灰鸽子就是这种类型的木马,它可以自动跟踪目标机屏幕变化,同时完全模拟键盘及鼠标输入。
2. 密码发送型木马
其目的是找到所有隐藏的密码,并在受害者毫无察觉的情况下把它们发送到窃密者指定的邮箱。如密码窃取器,在木马能连接网络的情况下将窃取的密码发送到指定的邮箱。
3. 键盘记录型木马
该木马随Windows的启动而启动,知道受害者在线并且记录每一个用户事件,然后通过邮件或其他方式发送给受害者,只记录受害者的键盘敲击,并在LOG文件里做完整的记录。如由广东外语外贸大学的一个学生团体编写的广外幽灵,除了自动识别和截取Windows窗体中的信号、黑点密码外,还可以记录键盘以及输入法活动。记录的内容可以通过E-mail发送到指定的邮箱,也可以保存到记录文件中。
4. 毁坏型木马
大多数木马只窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并删除文件为主要任务,它们可以自动删除受控者计算机上所有的.dll、.ini或.exe文件,甚至远程格式化受控者硬盘。
5. FTP型木马
FTP型木马打开被控制计算机的21号端口(FTP所使用的默认端口),使每一个人都可以用一个FTP客户端程序来连接受控端计算机,并进行最高权限的上传和下载,窃取受控端的机密文件。
三、木马的防范
对于如何防范木马,提出以下几点建议:
1. 不要轻易相信从未知地方得来的未知文件,其中包括U盘,特别是从网站下载的软件,一些共享软件和免费软件含有捆绑恶意代码的可能,一定要彻底检查,加强防范。
2. 要经常对操作系统的安全漏洞进行修补和更新,对重大的安全漏洞一定要修补。
3. 坚持定期升级反病毒软件和反木马软件程序。
4. 注意检查启动组和Win.ini,System.ini,Winstart.bat,Wininit.ini,Autoexec.bat,Config.sys等文件。
5. 上网时发现计算机运行情况不正常时,如突然发现鼠标不听使唤,在自己不动鼠标的时候,鼠标自己移动并且点击有关按钮操作;发现准备使用摄像头时,系统提示,该设备正在使用中等现象,要立即断开网络连接。虽然造成上网速度突然变慢的原因有很多,但是首先要怀疑被木马入侵,因为木马入侵计算机系统时,会与正常访问网络抢占带宽。
6. 经常观察计算机系统上进程列表和性能表上的CPU使用记录。如有不正常现象,务必查清原因。
安全是一个持续性的过程,防范木马入侵只是保护个人信息安全的其中一个重要手段,并不是一劳永逸的。网络结构在变化,攻击在变化,服务器的操作系统、应用程序也在变化,这些都会造成原有安全部署的部分失效,防不胜防。所以,提高网络安全意识,从细节入手,对于保证个人网络信息安全不无裨益。
(越秀区国家保密局 梁樱枝)
