木馬技術(shù)與網(wǎng)站防護新措施管理運用

　　網(wǎng)站惡意代碼會嚴重威脅網(wǎng)站的安全，本文首先分析了網(wǎng)站惡意代碼的特點與危害，隨后提出了幾點應(yīng)對網(wǎng)站惡意代碼的措施。

　　《計算機安全》(月刊)創(chuàng)刊于2001年，由信息產(chǎn)業(yè)部基礎(chǔ)產(chǎn)品發(fā)展研究中心主辦。本刊是面向國內(nèi)外公開發(fā)行的全面介紹網(wǎng)絡(luò)與計算機信息系統(tǒng)安全的科技月刊，一直以來，我們積極為各行各業(yè)服務(wù)，與社會各界建立密切的聯(lián)系。目前已成為行業(yè)媒體中內(nèi)容豐富、普及實用的技術(shù)刊物。

　　所以根據(jù)目前的發(fā)展現(xiàn)狀，對網(wǎng)站惡意代碼的傳播方式進行分析是很有必要的。本文通過一個實例研究了網(wǎng)站惡意代碼傳播、危害以及解決方法。本文還會繼續(xù)努力深入去研究網(wǎng)站惡意代碼傳播方式以及防護辦法，為互聯(lián)網(wǎng)打造一個健康的休閑、工作、娛樂平臺。

　　一、特洛伊木馬

　　這種病毒是根據(jù)古希臘神話中的木馬來命名的，它從表面上看沒有什么，但實際卻隱含著惡意程序。一部分木馬會通過覆蓋系統(tǒng)中已存在的文件的方式存隱藏于系統(tǒng)之中，它還可以攜帶惡意代碼，還有一些木馬通過一個軟件的身份出現(xiàn)(例如：一個可以下載的游戲)，但是實際上它是一個竊取密碼的工具。這種病毒通常不易被用戶發(fā)現(xiàn)，因為它通常以一個正常的程序的身份在系統(tǒng)中運行。特洛伊木馬可以分成三種模式：

　　(1)一般隱藏在正常的程序應(yīng)用中，攜帶執(zhí)行獨立的惡意操作

　　(2)一般隱藏在正常的程序應(yīng)用中，但會更改正常的程序進行惡意操作

　　(3)完全覆蓋了正常的程序應(yīng)用，并執(zhí)行惡意操作

　　大部分木馬都能使木馬控制者登錄上被感染的計算機上，并且擁有絕大多數(shù)管理員級的控制權(quán)限。為達到此目的，木馬一般包括一個客戶端和一個服務(wù)器端客戶端放在木馬控制者的計算機中，服務(wù)器端放置在被入侵計算機中，木馬控制者通過客戶端與被入侵的計算機中的服務(wù)器端建立遠程連接。一旦連接成功，木馬控制者就可以通過對被入侵的電腦發(fā)送指令來傳輸并修改文件。一般木馬所具有的另一個是發(fā)動DdoS(拒絕服務(wù))的攻擊。

　　二、瀏覽器端網(wǎng)站惡意代碼防護

　　1.要避免被網(wǎng)頁惡意代碼感染，首先關(guān)鍵是不要輕易去一些并不信任的站點，尤其是一些帶有美女圖片等的網(wǎng)址。但是這個并不能真正防止網(wǎng)頁惡意代碼的攻擊，因為這些惡意代碼有可能在任何地方出現(xiàn)。所以也可以參考進行以下步驟的設(shè)置。

　　2.運行IE時，點擊“工具→Internet選項→安全→Internet區(qū)域的安全級別”，把安全級別由“中”改為“高”。網(wǎng)頁惡意代碼主要是含有惡意代碼的ActiveX或Applet、javascript的網(wǎng)頁文件，所以在IE設(shè)置中將ActiveX插件和控件、Java腳本等全部禁止就可以減少被網(wǎng)頁惡意代碼感染的幾率。具體方案是：在IE窗口中點擊“工具”→“Internet選項”，在彈出的對話框中選擇“安全”標簽，再點擊“自定義級別”按鈕，就會彈出“安全設(shè)置”對話框，把其中所有ActiveX插件和控件以及與Java相關(guān)全部選項選擇“禁用”。但是，這樣做在以后的網(wǎng)頁瀏覽過程中有可能會使一些正常應(yīng)用ActiveX的網(wǎng)站無法瀏覽。而對于使用Windows98的計算機用戶，請打開C：\WINDOWS\JAVA\Packages\CVLV1NBB.ZIP，把其中的“ActiveXComponent.class”刪掉;對于使用Windows Me的計算機用戶，請打開C：\WINDOWS\JAVA\Packages\5NZVFPF1.ZIP，把其中的“ActiveXComponent.class”刪掉。這個也只是一種折中的方案，我們可以有其它方法(如下)來保證IE的安全。

　　3.一定要在計算機上安裝網(wǎng)絡(luò)防火墻，并要時刻打開“實時監(jiān)控功能”。

　　4.設(shè)置注冊表編輯器中的相關(guān)項值：

　　(1)運行打開注冊表編輯器命令regedit.exe進入注冊表;

　　(2)KEY_CURRENT_USER\Software\.....\CurrentVersion\Policies\System下，增加名為DisableRegistryTools的DWORD值項，將其值改為“1”，即可禁止使用注冊表編輯器命令regedit.exe。因為特殊原因需要修改注冊表，可應(yīng)用如下解鎖方法：

　　用記事本編輯一個任意名的.reg文件，其中的內(nèi)容如下：

　　REGEDIT4

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

　　Policies\System

　　"DisableRegistryTools"=dword：00000000

　　雙擊運行recover.reg即可。

　　5.隨時升級IE瀏覽器的補丁。

　　三、服務(wù)端網(wǎng)站惡意代碼傳播防護

　　據(jù)介紹，現(xiàn)在網(wǎng)頁掛馬不僅僅通過嵌入惡意特征代碼，還會利用很多應(yīng)用軟件的漏洞來進行傳播。由于使用這些應(yīng)用軟件的用戶群比較多，受到惡意木馬入侵的機會就會增大，因此惡意攻擊者常常會把目標鎖定在利用這些應(yīng)用軟件的漏洞來傳播惡意木馬程序。一些防范措施如下：

　　1.網(wǎng)站管理者要加強網(wǎng)站的監(jiān)督管理

　　網(wǎng)站管理者要加強網(wǎng)站的監(jiān)督管理，定期對上傳的Web網(wǎng)頁文件進行比對，包括文件的創(chuàng)建、更新時間，文件大小等，一旦發(fā)現(xiàn)異常文件，應(yīng)立即刪除并更新。定期維護升級網(wǎng)站服務(wù)器，檢查服務(wù)器所存在的漏洞和安全隱患。

　　2.務(wù)必打開計算機系統(tǒng)中防病毒軟件

　　網(wǎng)站管理者在Web網(wǎng)頁時，務(wù)必打開計算機系統(tǒng)中防病毒軟件的“網(wǎng)頁監(jiān)控”功能。同時，及時下載安裝操作系統(tǒng)已安裝應(yīng)用軟件的最新漏洞補丁或新版本，防止惡意木馬利用漏洞進行入侵感染操作系統(tǒng)。

　　四、結(jié)論

　　當今網(wǎng)絡(luò)，反病毒軟件日益增多，使用的反病毒技術(shù)越來越先進，查殺病毒的能力逐漸提高，但病毒制作者并不會罷休，反查殺手段不斷升級，新的病毒層出不窮，形式也越來越多樣化，為了躲避查殺，病毒自身的隱蔽性越來越高，針對反病毒軟件對傳統(tǒng)的病毒傳播途徑的監(jiān)控能力提高，造成病毒傳播困難的問題，越來越多的病毒，利用多數(shù)反病毒軟件產(chǎn)品對惡意腳本監(jiān)控能力的缺陷，開始利用網(wǎng)頁木馬這一危害面最廣泛，傳播效果最佳的方式來傳播。