王嘉兴　陈晨　李鹏飞

[摘要]：随着互联网的普及和云计算的广泛运用，计算机网络面临越来越多的非法攻击。本文主要分析了当前主要攻击手段，即木马病毒的特点、原理以及入侵途径，并根据木马病毒的工作原理，提出相应的防御措施。从而提高计算机网络的安全，降低计算机被木马攻击造成的损失。

[关键词]：特洛伊木马 计算机网络 入侵 防御

一、木马病毒对计算机网络的危害

（一）木马的概念。“木马”程序是当前计算机网络安全中比较流行的病毒文件，但是木马病毒不同于一般的计算机病毒，木马病毒不会自我复制，也不会刻意的去污染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者刻意任意毁坏、窃听被种者的文件，甚至远程操控被种主机。因此，木马病毒所带来的危害要远远大于一般计算机网络病毒的危害。

（二）木马的特征。木马作为计算机网络病毒中的一种，它有较多种类的木马程序，但各类木马程序之间具有一些类似的特征。

1.植入性。木马病毒通常作为远程攻击的一种手段。因而，木马病毒通常是通过计算机网络等途径，将木马程序植入到宿主计算机中。此外，由于当前木马技术与计算机蠕虫技术相结合，大大提高了木马病毒的植入能力。

2.隐蔽性。木马病毒在被植入到宿主计算机之后，便通过修改自身自动方式、改变自身存盘位置、修改文件名称或图标等方式实现木马程序的隐藏。

3.自动运行和恢复性。木马程序可以通过修改系统的配置文件实现电脑启动时运行木马程序的工功能。此外，目前很多木马程序的功能模块并不是由单一的文件组成，而是具有相对多重的备份，可以再任何时刻实现相互复制、恢复的目的，防止计算机安全程序对木马病毒的处理。

二、网络服务器木马入侵途径

（一）木马的配置策略。木马的配置策略主要是通过木马的植入隐蔽和信息反馈两个关键步骤实现。首先通过各种植入方式，将木马程序植入宿主计算机，通过各种隐藏手段实现在宿主计算机中的隐藏，然后，通过数据反馈的方式，将宿主计算机内部的各种软硬件配置信息借助互联网传送到入侵主机中，从而最终实现木马程序的配置。

（二）木马的传播方式。木马的传播主要建立在互联网相互通信基础上，通过互联网之间的信息传递实现木马程序的入侵。木马程序入侵主要可通过电子邮件、软件下载和网页传播等方式实现。在电子邮件植入中，控制端将木马程序以附件的方式传送出去，客户端一旦打开邮件就会感染病毒。在软件下载方式中，客户端在软件的安装过程中，木马程序便同时予以启动，导致客户端感染病毒。在网页的传播方式中，客户端在浏览网页的过程中会在客户端和服务器之间的信息传递中，不经意间感染木马病毒。

（三）木马的运行过程。传统的木马运行方式有两种，分别为自启动激活模式和触发式激活模式。自启动激活模式主要是木马程序中存在某些关键值，当系统内部的程序的运算结果达到木马程序的阈值时，木马程序就会自动启动。触发式激活模式则是依靠文件捆绑方式实现，当客户机对捆绑文件进行操作的时候，被捆绑的木马程序就会启动。目前，较为流行的木马入侵方式主要是合并上述两种方式，其方式主要是先通过触发式激活模式，将木马程序植入计算机中，然后，通过自启动的方式激活程序，使程序在计算机内部活跃起来，实现对客户机的监听以及盗窃相应数据的目的。

（四）木马的远程控制。当控制端和客户端通过木马程序建立连接后，控制端和客户端就会形成木马通道，控制端可以通过相应的木马程序借助该通道获取客户端的数据信息，从而实现远程控制。

三、网络服务器木马入侵的防御方法

（一）安装防火墙和杀毒软件。根据当前木马程序的攻击方式统计结果，大部分木马攻击都是利用现有较为成熟的木马程序或者系统软件和应用软件的漏洞进行网络攻击，针对这些网络攻击，客户机可以有针对性的采取安装防火墙或者杀毒软件等方式进行抵制木马程序的攻击，确保客户端的软硬件信息和重要数据信息得到时刻的监控，防止木马病毒的攻击。

（二）阻断网络通信途径。在网络监控环节中，可以利用计算机安全程序对通信网络进行实时监控，对网络通信环节出现的异常要进行及时处理，确保网络正常的通信，此外，可以对客户端计算机的网络数据包进行规则定义，确保该客户端计算机的数据包流通合乎规则，降低木马程序的入侵可能性。另外，通过计算机入侵检查技术，可以再流动数据包中进行木马植入和攻击风险的检测，并对以检测到的攻击进行网络阻断。

（三）网絡端口的实时监控。客户端计算机连接网络的基础的网络端口，通过网络端口的连接作用实现计算机连接网络的目的。通过对网络端口的实时监控可以降低客户端计算机受到木马病毒攻击的可能性。对网络端口的实时监控主要是检测两个方面。一个方面就是监控端口的开启与关闭，如果实时监控系统发现某个端口打开和关闭异常，则表明该端口容易受到或正在受到木马等程序的攻击，通过对该异常端口进行相应的处理，即可相应的降低感染风险。另一个方面就是对通过网络端口数据的监控，防止木马程序通过依附于合法数据包的方式进行远程攻击。

（四）访问注册表行为的控制。当前木马程序在宿主计算机中发挥隐藏功能的主要基础是木马伪装成注册表在系统中存在，加强对系统中注册表的访问机制，就会在一定的程度上降低木马的攻击效果。

一些木马通过修改系统注册表，实现其木马的恶意行为，并且能够实现隐藏和启动的功能，因此，如果能够对系统修改注册表的行为加以控制，那么木马就不会对系统做出非法操作，此外，对注册表中和自启动相关联的项目加以权限限制和实施监控，可以令木马程序不能隐蔽和自启动，提高了系统保护自身的能力。

防范恶意远程控制。由于当前的计算机大部分都连入网络当中，那么连入互联网的计算机就面临着远程控制的风险，正常情况下的合法远程控制对于用户而言，用户未必能够注意到计算机已被远程控制，但是一旦计算机被恶意远程控制，那么计算机的运行性能就会遭到极大的影响，因此，当出现计算机被远程控制的时候，用户需要对计算机采取及时的措施，降低因木马中毒导致计算机被恶意远程控制造成的不必要风险。

参考文献：

[1]周宇晓.网络木马病毒的防范探讨[J].科技信息，2008.

[2]王欣.论计算机网络木马入侵与应对措施[J].电脑编程技巧与维护，2012.