安全知识之木马新技术　反弹式木马

特洛伊木马这样一种黑客技术，一出现，就引起了人们的关注。除了从不同的角度防范木马行为的发生，在防火墙技术上的发展，也有效地遏止了木马的泛滥。

但是有些用户还是发现，即使将自己的防火墙设置为禁止外来主动连接，防范了理论上的木马，也无法排除信息泄露的可能。网络利用率常常居高不下，不正常的连接还是会频繁出现。

那么，我们现在就不得不关注木马技术的新发展——反弹式木马。

一、什么是反弹式木马

我们都知道，所谓的“特洛伊木马”，就是一种基于“客户机/服务器”模式的远程控制程序，它让用户的机器运行服务器端的程序，这个服务器端的程序会在用户的计算机上打开监听的端口。这就给黑客入侵用户计算机打开了一扇进出的门，然后黑客就可以利用木马的客户端入侵用户的计算机系统。

随着防火墙技术的提高和发展，基于IP包过滤规则来拦截木马程序可以很有效地防止外部连接，因此黑客在无法取得连接的情况下，也无所作为。

然而，“道高一尺，魔高一丈”这个安全领域里的“规律”无时不在起作用。聪明的木马程序员又发明了所谓的“反弹式木马”——它利用防火墙对内部发起的连接请求无条件信任的特点，假冒是系统的合法网络请求来取得对外的端口，再通过某些方式连接到木马的客户端，从而窃取用户计算机的资料同时遥控计算机本身。

二、反弹式木马的原理

常见的普通木马，是驻留在用户计算机里的一段服务程序，而攻击者控制的则是相应的客户端程序。服务程序通过特定的端口，打开用户计算机的连接资源。一旦攻击者所掌握的客户端程序发出请求，木马便和他连接起来，将用户的信息窃取出去。

可见，此类木马的最大弱点，在于攻击者必须和用户主机建立连接，木马才能起作用。所以在对外部连接审查严格的防火墙下，这样的木马很难工作起来。

而反弹式木马，在工作原理上就于常见的木马不一样。由于反弹式木马使用的是系统信任的端口，系统会认为木马是普通应用程序，而不对其连接进行检查。防火墙在处理内部发出的连接时，也就信任了反弹木马。

“网络神偷”是目前最常见的一种反弹式木马，它的工作原理也就是这样的。这充分说明了另一条至理名言：堡垒总是从内部被突破的。

三、如何防范反弹式木马

那么，如何防范这类反弹式木马呢？

1、我们推荐大家使用个人防火墙，如《天网个人防火墙》或者《金山网镖个人防火墙》，这两款防火墙在防范反弹式木马上有优秀的表现：它们采用独特的“内墙”方式——应用程序访问网络规则，专门对付存在于用户计算机内部的各种不法程序对网络的应用。从而可以有效的防御像“反弹式木马”那样的骗取系统合法认证的非法程序。当用户计算机内部的应用程序访问网络的时候，必须经过防火墙的内墙的审核。合法的应用程序被审核通过；而非法的应用程序将会被天网防火墙个人版的“内墙”所拦截。

2、再就是老生常谈了，千万不要随便运行陌生的程序；收到邮件一定要先查看附件，再运行；不要隐藏文件后缀，发现是“.EXE”一定要小心。这些都是对付木马程序应该注意的地方，在此就不赘述了。