木马病毒工作原理与防治

开篇：润墨网以专业的文秘视角，为您筛选了一篇木马病毒工作原理与防治范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：木马病毒通过某些手段入侵到对方计算机中，并能够长期潜伏下来。当被控系统启动时，木马病毒能够窃取、篡改、删除文件和数据。本文从木马病毒的工作原理、预防和查杀三个方面对其进行阐述。

关键词：木马；端口；杀毒

中图分类号：TP309.5文献标识码：A文章编号：1007-9599 (2011) 04-0000-01

Working Principle and Prevention of Trojan Virus

Zhang Li

(Shandong Vocational College of Technology,Jining272000,China)

Abstract:Trojan can invade a computer by certain ways,and then hide itself for a long time.When the controlled system starts,its files and datas would be stolen,changed and deleted by Trojan.This paper will explain the working principle of Trojan,how to prevent and kill it.

Keywords:Trojan;Port;Antivirus

随着计算机和网络的普及，我们的日常生活与他们愈加紧密的联系在了一起。但是木马病毒的出现，使得电脑用户的重要信息遭到破坏或者被盗，造成了无法弥补的损失。要想从根本上预防木马病毒的入侵，我们必须要深入了解木马病毒的工作原理。

一、什么是木马病毒

木马病毒（Trojan）这个名字由古希腊传说“木马计”的故事而来。“木马”与病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件。它采用各种方法将自身伪装起来，一旦用户下载执行，“木马”即植入成功。此时，受害主机的门户已经对施种者敞开。施种者可以“窥视”到受害主机中的所有文件、盗取重要的口令、信息、破坏系统资源，甚至远程操控受害主机。

二、木马工作原理

特洛伊木马通常包含两个部分：服务端和客户端。服务端植入受害主机，而施种者利用客户端侵入运行了服务端的主机。木马的服务端一旦启动，受害主机的一个或几个端口即对施种者敞开，使得施种者可以利用这些端口进入受害主机，开始执行入侵操作。

木马服务端和客户端首先要建立连接，然后才能进行信息交换。建立连接又包含首次握手和建立通道两个步骤。首次握手的主要目的是客户端获得服务端的IP地址。这主要通过两种方法实现：信息反馈和端口扫描。信息反馈是指，服务端一旦登录互联网，可通过邮件、UDP通知等方式将IP地址发送给控制端。如：广外女生。端口扫描是指，控制端扫描IP地址，一旦发现特定端口开发的IP就认定其为服务端，首次握手成功。当服务端与控制端实现首次握手后，控制端给服务端木马传送通道的配置参数，配置成功后，服务端返回相应参数给控制端。至此，木马通道成功建立。

三、预防措施

在谈预防措施之前，我们必须先要了解木马的传播方式：

1.通过邮件附件传播。

2.通过QQ传播.。

3.通过下载软件传播。

4.通过有较强传播能力的病毒传播。

5.通过带有木马的光盘和磁盘进行传播。

木马有着如此多的传播方式，为了避免中毒，我们应该：

（1）不要执行任何来历不明的软件。一些黑客将木马程序捆绑在某些免费的软件安装程序上。因此在下载软件的时候需要特别注意，推荐去一些信誉比较高的站点。在安装软件之前用专门查杀木马的软件进行检查，确定无毒后再使用。

（2）不要随意打开邮件附件。现在绝大部分木马病毒都是通过邮件来传递的，将木马程序伪装成常用工具软件，或者将木马程序隐藏在某个有意思的视频短片中，然后将该木马程序添加到附件中发送出去。只要收件人打开附件就会感染木马。因此对邮件附件的运行尤其需要注意。

（3）不要因为对方是好友，就轻易接收他发过来的文件。在QQ聊天时，通过文件传送功能发送给对方伪装过的木马程序。一旦接收，就会感染木马。

（4）将资源管理器设置成显示已知文件扩展名。在资源管理器中设置显示已知文件的扩展名。因为木马病毒的特征文件的扩展名多为vbs、pif、shs，一旦碰到这些可疑的文件扩展名就应引起注意。

（5）运行反木马实时监控程序。上网时开启反木马实时监控程序能够有效地防范木马。一般的反木马软件都能够实时显示当前运行的所有程序及其详细描述信息。再加上实时升级的专业杀毒软件和个人防火墙进行监控基本上就安全了。

四、清除方法

虽然我们有多种方法预防木马入侵，但不能够完全避免。一旦计算机中了木马，我们该怎么做呢？

1.端口扫描：检查远程计算机是否中了木马的最好办法就是端口扫描。其原理很简单：尝试用扫描程序连接某个端口，若成功，则端口开放，中了某种木马；若失败或超过特定的时间，则端口关闭，没有中木马。

2.查看进程/内存模块：借助PS进程/内存模块查看工具，我们可以看到当前系统中的所有进程及其详细信息。通过对信息的比较我们可以发现DLL木马，同时该软件也可以自动查找可疑模块。

3.查找文件：查找木马特定的文件也是常用的方法之一。上面几种方法都是用手工方式来检测、清除木马，但实际操作中木马不会那么容易就被发现。好在一些反木马软件可以帮助我们。

比较有效地木马查杀软件有以下几类：

1.常用的杀毒工具软件。从某种意义上来说木马也是一种病毒。我们常用的杀毒软件如：瑞星、金山等，也可以实现对木马的检查，但不能够彻底清除。因为木马在电脑启动时都会自动加载，而杀毒软件不能完全清除木马文件。

2.常用的网络防火墙软件。现在网络防火墙软件比较多，如金山网镖等。防火墙启动后，一旦有木马或可疑的网络连接要控制电脑，防火墙就会立即报警，同时显示接入端口、对方的IP地址等信息。我们进行相关设置后对方就无法进行攻击了。利用防火墙只能发现木马并预防其攻击，但不能彻底清除它。

3.专门的木马查杀软件。对木马我们不能只采用防范手段，还要想办法将其斩草除根。一些专用的木马查杀软件带有这些特性。比如：木马终结者、木马克星、木马清道夫等。

参考文献：

[1]刘功中.计算机病毒及防范技术[M].北京:清华大学出版社,2008,2,1

[2]程胜利.计算机病毒及其防治技术[M].北京:清华大学出版社,2007,1