反弹式木马知识
现在病毒的种类分很多种,那你知道反弹式木马是什么吗?下面是小编整理的一些关于反弹式木马知识的相关资料,供你参考。
一、什么是反弹式木马?
我们都知道,所谓的“特洛伊木马”,就是一种基于“客户机/服务器”模式的远程控制程序,它让用户的机器运行服务器端的程序,这个服务器端的程序会在用户的计算机上打开监听的端口。这就给黑客入侵用户计算机打开了一扇进出的门,然后黑客就可以利用木马的客户端入侵用户的计算机系统。
随着防火墙技术的提高和发展,基于IP包过滤规则来拦截木马程序可以很有效地防止外部连接,因此黑客在无法取得连接的情况下,也无所作为。
然而,“道高一尺,魔高一丈”这个安全领域里的“规律”无时不在起作用。聪明的木马程序员又发明了所谓的“反弹式木马”——它利用防火墙对内部发起的连接请求无条件信任的特点,假冒是系统的合法网络请求来取得对外的端口,再通过某些方式连接到木马的客户端,从而窃取用户计算机的资料同时遥控计算机本身。
二、怎么防范反弹式木马?
那么,如何防范这类反弹式木马呢?
1、我们推荐大家使用个人防火墙,其采用独特的“内墙”方式——应用程序访问网络规则,专门对付存在于用户计算机内部的各种不法程序对网络的应用。从而可以有效的防御像“反弹式木马”那样的骗取系统合法认证的非法程序。当用户计算机内部的应用程序访问网络的时候,必须经过防火墙的内墙的审核。合法的应用程序被审核通过;而非法的应用程序将会被防火墙个人版的“内墙”所拦截。
2、再就是老生常谈了,千万不要随便运行陌生的程序;收到邮件一定要先查看附件,再运行;不要隐藏文件后缀,发现是“.EXE”一定要小心。这些都是对付木马程序应该注意的地方,在此就不赘述了。
三、反弹式木马的原理是什么?
常见的普通木马,是驻留在用户计算机里的一段服务程序,而攻击者控制的则是相应的客户端程序。服务程序通过特定的端口,打开用户计算机的连接资源。一旦攻击者所掌握的客户端程序发出请求,木马便和他连接起来,将用户的信息窃取出去。这类木马的一般工作模式如图1所示。
特洛伊木马的一般工作原理
可见,此类木马的最大弱点,在于攻击者必须和用户主机建立连接,木马才能起作用。所以在对外部连接审查严格的防火墙下,这样的木马很难工作起来。
而反弹式木马,在工作原理上就于常见的木马不一样。图2是反弹式木马的一般工作原理。
由于反弹式木马使用的是系统信任的端口,系统会认为木马是普通应用程序,而不对其连接进行检查。防火墙在处理内部发出的连接时,也就信任了反弹木马。
“网络神偷”是目前最常见的一种反弹式木马,它的工作原理也就是这样的。这充分说明了另一条至理名言:堡垒总是从内部被突破的。
图反弹式木马骗取防火墙信任
反弹式木马知识的评论条评论