计算机木马程序及其防范探究中图分类号：TP309.5文献标识码：A文章编号：1673-0992(2009)05-042-02摘要网络入侵工具如蠕虫、木马等不断涌现，其功能上相互吸收和借鉴，攻击方式和手段也层出不穷，促使计算机安全也向着不断细化的方向发展，英中木马(TrojanHorse)攻击以其攻击范围广、隐蔽性、危害大等特点成为常见的网络攻击技术之一，对网络安全造成了极大的威胁。关键词：计算机；木马程序；防范由于计算机系统和信息网络系统本身固有的脆弱性，越来越多的网络安全问题开始困扰着我们，特别是在此基础上发展起来的计算机病毒、计算机木马等非法程序，利用网络技术窃取他人信息和成果，造成现实社会与网络空间秩序的严重混乱。一、木马程序概述1•木马的定义木马的全称是“特洛伊木马”(TrojanNorse),来自古希腊神话，传说古希腊士兵就是藏在木马内进入从而占领特洛伊城的。木马是隐藏在合法程序中的未授权程序，这个隐藏的程序完成用户不知道的功能。当合法的程序被植入了非授权代码后就认为是木马。木马是一个用以远程控制的c/s程序，其目的是不需要管理员的准许就可获得系统使用权。木马种类很多，但它的基本构成却是一样的，由服务器程序和控制器程序两部分组成。它表面上能提供一些有用的，或是仅仅令人感兴趣的功能，但在内部还有不为人所知的其他功能，如拷贝文件或窃取你的密码等。严格意义上来说，木马不能算是一种病毒，但它又和病毒一样，具有隐蔽性、非授权性以及危害性等特点，因此也有不少人称木马为黑客病毒。2•木马的分类木马的种类很多，主要有以下几种：其一，远程控制型，如B0和冰河。远程控制型木马是现今最广泛的特洛伊木马，这种木马起着远程监控的功能，使用简单，只要被控制主机联入网络，并与控制端客户程序建立网络连接，控制者就能任意访问被控制的计算机。其二，键盘记录型。键盘记录型木马非常简单，它们只做一种事情，就是记录受害者的键盘敲击,并且在LOG文件里进行完整的记录，然后通过邮件或其他方式发送给控制者。其三，密码发送型。密码发送型木马的目的是找到所有的隐藏密码,并但在受害者不知道的情况下把它们发送到指定的信箱。这类木马程序大多不会在每次都自动加载，一般都使用25端口发送电子邮件。其四，反弹端口型。反弹端口型木马的服务端使用主动端口，客户端使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连接控制端打开的主动端口。为了隐蔽起见，控制端的被动端口一般开在80,稍微疏忽一点，用户就会以为是自己在浏览网页。3•木马的特点第一，隐蔽性。隐蔽性是木马的首要特征。这一点与病毒特征是很相似的，木马类软件的SERVER端程序在被控主机系统上运行时会使用各种方法来隐藏自己。例如大家所熟悉的修改注册表和ini文件以便被控系统在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其他程序Z中。第二，有效性。由于木马常常构成网络入侵方法中的一个重要内容。它运行在目标机器上就必须能够实现入侵者的某些企图，因此有效性就是指入侵的木马能够与其控制端入侵者建立某种有效联系，从而能够充分控制目标机器并窃取其中的敏感信息。第三，自动运行和自动恢复性。木马程序通过修改系统配置文件，如：win.ini,system,ini,winstart,bat或注册表的方式，在冃标主机系统启动时自动运行或加载。现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。系统一旦被植入木马，想利用删除某个文件来进行清除是不太可能的。二、木马程序的工作机制木马程序虽然具有很大的隐蔽性，但也有其踪迹可循。因此，要防范木马就必须知道木马的工作原理。1.木马程序的工作原理木马程序的结构是典型的客户端/服务器（Client/Server；简称C/S）模式，服务器端程序骗取用户执行后，便植入在计算机内，作为响应程序。所以它的特点是隐蔽，不容易被用户察觉，或被杀毒程序、木马清除程序消灭，而且它一般不会造成很大的危害，计算机还可以止常执行。另外，木马服务器端程序还有容量小的特点，一般它的大小不会超过300KB,最小的木马程序甚至只有3KB,这样小的木马很...