木马攻击的研究与防范

2024年4月29日发(作者：)

木马攻击的研究与防范

发布时间：2022-08-29T10:23:32.034Z 来源：《科学与技术》2022年第30卷第8期 作者： 林宏泽

[导读] 随着科技的快速发展，信息化时代的来临已然成为生活中所必不缺少的因素。

林宏泽

黑龙江多宝山铜业股份有限公司 黑龙江 嫩江

161416

摘 要：随着科技的快速发展，信息化时代的来临已然成为生活中所必不缺少的因素。在当今网络信息飞速传播的时代中，特洛伊木马

（简称木马）已然成为骇客非法入侵他人网络窃取机密借此牟利的重要手段。随着木马技术的快速发展，木马的功能变得更加完善与隐

秘。传播的途径与手段更是防不胜防。严重威胁到了我们的信息安全。

本文的主要就隐秘型木马的攻击和防御技术进行了研究与讨论。论文主要阐述了特洛伊木马的概念、木马的实现原理与攻击步骤， 通过

研究木马的运行原理，从而针对性的提出更好的木马防御与应对措施。

关键词：木马 骇客 信息安全 信息化

1.木马的定义

木马的是一种基于C/S架构的远程控制程序，分为客户端和服务端。是一种不具备传染性、破坏性，主要以窃取主要信息为目的木马病

毒程序。骇客主要通过各种传播途径，诱骗受害者下载木马服务端，通过操纵客户端进行和服务端进行交互达到入侵获取个人信息，甚至

勒索、修改、伤害受害者电脑数据、文件完整性的目的。甚至直接操纵受害者电脑沦为诱骗、传播木马服务端的跳板。其次木马十分隐

蔽，可以潜藏起来不被发现，甚至达到自启动，留下后门等目的，影响局域网甚至广域网范围内的电脑。

2.木马的分类

网络安全技术发展至今，木马技术也越发完善，木马数量多达万种，其中根据木马程序对计算机的攻击动作，可以大致这几类：（1）

远程控制型：远程控制木马是骇客和木马初学者最喜欢的一种基于C/S架构的木马程序，使用简单，功能强大。攻击者通过在受害者电脑上

种植木马，并成功建立链接即可使用客户端窃取被控主机的信息，甚至控制对方电脑进行DDOS攻击，网络欺骗等等（2）密码发送型：密

码发送型木马目的是找到受害者电脑上所有的密码，并通过邮件的形式发送给攻击方。从而获取到关键账户信息。这类木马的启动方式通

常很简单通过触发插件等形式启动。（3）键盘记录型：键盘记录型木马是一种功能单一木马程序，顾名思义即记录用户的键盘，并在日志

类文件里进行记录，通过邮件等渠道发送攻击方。（4）毁坏型：毁坏型木马的出现打破了木马常规的行为，通常型木马程序行为只是窃取

文件信息，控制电脑等，但毁坏型木马针对受控主机上ini文件或者exe文件进行删除，甚至恶意的进行格式化硬盘，破坏系统。导致主机瘫

痪。

3.木马攻击步骤

①配置木马：木马基于受害者的服务器端和攻击者的客户端程序进行交互控制，攻击者通过主动植入和被动植入传播木马服务端控制程

序。主动植入是指攻击者主动把服务器程序安装至受害者主机。被动方式是指攻击者通过网络攻击在用户不知情情况下安装并运行木马程

序。②传播木马：电子邮件是最早被攻击者利用传输木马的途径。早期攻击者通过发送电子邮件附带木马程序诱导受害者下载，进而获取

重要信息数据。之后随着捆绑软件变成了携带木马的另一快速传播有效途径。当受害者下载捆绑软件时，木马就会随即被下载到目标电脑

上。尤其是非正规下载渠道已经变成木马重灾区。而后木马也可以通过打开图片，音乐等方式进行椽笔执行。隐秘的传播方式让人防不胜

防。③运行木马：木马程序的运行通常依附于其他程序、系统组件、自启动插件、甚至压缩包和图片的运行。其中以单体程序显示的木马

病毒很容易被反杀软件检测清除，但还是少部分木马借助系统自带程序或进程运行，躲避查杀。

4．木马的防御技术

4.1 木马检测

（1）端口扫描：木马服务端程序通常会在受害者主机上打开一个不规则端口与攻击者客户端进行流量数据的通讯传输。使用“netstat-

an”命令可以查看当前主机打开的所有端口，包括与本机端口相连的对方IP地址。监视当前主机是否有异常端口打开。（2）检查系统进

程：在主机系统中，运行程序皆无法脱离进程存在，木马自然也不例外。查看本机是否存在异常进程也是判断是否中马的有效方法；（3）

监听网络通讯：基于ICMP的反弹式木马在受害者主机没有通过TCP端口进行数据通讯传输，而是通过ICMP使用原始套接字进行网络层的通

讯交流。此时无法通过观察端口判断是否有木马程序，需要通过wireshark此类网络抓包软件监听网卡，抓取流量报文，分析字段判断是否

种马。

4.2木马的清除

木马清除可分为手动和自动：自动清除：自动清除木马也就是利用当下流行杀毒软件进行病毒木马的查杀，例如火绒、360杀毒，迈克

菲等等。手动清除：（1）查看系统启动项和注册列表，删除可疑程序。（2）使用正常的和备份文件还原文件配置。（3）

在任管理器中停止名称可疑的进程。（4）一旦中马，在专业的网络安全论坛上面下载专用木马查杀工具进行杀毒清理。

4.3 木马的防范

增强网络安全意识，禁止打开来历不明的邮件、信息及网址，尤其是需要下载附件的网址，当您打开邮件或者是附件时也许已经成功运

行木马服务器端程序。在打开来历不明的附件之前，需要利用杀毒工具进行查杀；定期使用反病毒软件查杀电脑系统病毒并查找电脑中存

在的系统漏洞和软件漏洞，及时更新windows和软件的安全补丁，关闭可疑的端口，定期更新病毒库；企业非必要情况下少建立共享文件

夹。如果建立最好设置采用混合加密方式的字符串作为登录账号和密码。

5.结束语

木马病毒程序是一种隐蔽且功能强大的恶意程序，在企业网络或者工控网络当中，在日常的办公当中，如果没有加强防范意识，很容易

中招，轻者泄露个人隐私信息，重者泄露公司核心商业信息乃至影响公司业务网络的运行，造成预经济损失。为此我们必须对木马程序有

一个系统化的认识，做好自身防范，共建和谐的企业和工控健康网络，维护企业的良好运行。

参考文献：

[1] 赵雪莲.木马攻击原理及安全防范[J]. 网络安全技术与应用 2015.

[2] 王超.木马攻击原理及防御技术[J].信息与电脑（理论版） 2016.