网络安全等级保护：特洛伊木马特征及预防措施

特洛伊木马的症状

很难确定您的系统是否是特洛伊木马的受害者。有许多症状可能表明您感染了特洛伊木马。当然，假设您或其他合法用户没有进行这些更改，此类症状包括：

·您的浏览器主页正在更改

·对密码、用户名、账户等的任何更改。

·对屏幕保护程序、鼠标设置、背景等的任何更改。

·任何看起来可以独立工作的设备（例如 CD 门）

任何这些变化都是特洛伊木马的症状，表明您的系统可能已被感染。

为什么有这么多特洛伊木马？

为什么我们会看到这么多特洛伊木马？我其实想知道为什么我们看不到更多。互联网上有多种免费工具可以用来创建特洛伊木马。一个简单的例子是 eLiTeWrap，如图 10-5所示，您可以在 Google 上搜索后免费下载。它是一个简单的命令行工具，非常易于使用：

步骤1。打开命令窗口。

步骤2。导航到您放置 eLiTeWrap 的文件夹。

步骤 3.确保文件夹中有两个程序（一个是运营商程序，另一个是您要附加的程序）。

步骤4。输入您要运行的可见文件名。

步骤 5。输入操作：

1.仅包装

2.打包并执行，可见，异步

3.打包并执行、隐藏、异步

4.打包并执行，可见，同步

5.打包并执行，隐藏，同步

6.只执行、可见、异步

7.仅执行、隐藏、异步

8.只执行、可见、同步

9.仅执行、隐藏、同步

步骤 6 转到命令行。

步骤 7 输入第二个文件（您正在秘密安装的项目）。

步骤 8 输入操作。

步骤 9.完成文件后，按 Enter 键。

图 10-5 eLiTeWrap

在实践中

在考虑任何可能被视为“黑客工具”的工具时，您应该首先检查它是否违反了您公司的政策，甚至拥有此类工具。其次，带着这样的工具去出国旅行可能不是一个明智的主意。各个国家/地区的法律各不相同，我无法保证如果某个特定国家/地区的当局在您的笔记本电脑、便携式媒体或您拥有的其他设备上发现此类工具会有何反应。

eLiTeWrap 只是一个例子。互联网上还有许多其他工具可以让您创建特洛伊木马。如果您确保这两个程序实际上无害并且仅用于演示目的，则可以在课堂环境中使用该工具。该程序将向您展示创建特洛伊木马是多么容易，以及为什么您应该小心下载程序和实用程序。

预防特洛伊木马

我们已经研究了几种现实世界中的特洛伊木马，这应该可以让您很好地了解它们的工作原理。真正的问题是，如何防止您的系统被特洛伊木马利用？答案是采用技术措施和政策措施的混合方法。

技术措施

有多种技术措施可以保护您的系统免受特洛伊木马的威胁。当然，这些措施并不能保证防止特洛伊木马攻击，但它们肯定可以提供合理的安全级别：

·回想一下，NetBus 使用端口20034 工作。这是阻止所有计算机（而不仅仅是服务器或防火墙）上所有不需要的端口的另一个原因。在所有服务器、工作站和路由器上阻止端口 20034 的系统不易受到 NetBus 的影响。如果其中一台网络机器被 NetBus 感染，攻击者将无法使用它。

·防病毒软件是减少特洛伊木马攻击危险的另一种方法。大多数防病毒软件都会扫描已知的特洛伊木马和病毒。保持所有计算机上的防病毒软件更新并正确配置对于防止特洛伊木马感染有很大帮助。

·阻止浏览器中的活动代码也有助于降低特洛伊木马的风险。它将阻止用户观看某些动画，但它也可以阻止将特洛伊木马引入系统的多种途径。至少您的浏览器应设置为在运行任何活动代码之前警告用户并获得他们的批准。

·您可能已经意识到，作为一般计算机安全策略的问题，您应该始终为用户提供执行其工作任务所需的最低权限。此策略对于防范特洛伊木马特别有帮助。如果最终用户无法在她的计算机上安装软件，那么她就更难无意中安装特洛伊木马。

政策措施

在计算机安全的任何方面，技术的发展都有限，防范特洛伊木马也不例外。最终用户策略是防范特洛伊木马的关键部分。幸运的是，一些简单的策略可以极大地帮助保护您的系统。您可能会注意到，其中许多策略与用于保护您的网络免受病毒攻击的策略相同。

·除非您完全确定附件是安全的，否则切勿下载任何附件。这意味着，除非您特别请求附件，或者至少是预期的附件，并且除非该附件符合您的预期（即名称适当、格式正确等），否则不要下载它。

·如果不需要端口，请将其关闭。表10-1列出了知名特洛伊木马所使用的端口。此列表并不详尽，但应该让您了解如果不关闭不需要的端口，您的系统有多脆弱。

·请勿在计算机上下载或安装任何软件、浏览器外观、工具栏、屏幕保护程序或动画。如果您需要其中一项，请先让 IT 部门扫描以确保安全。

·小心隐藏的文件扩展名。例如，您认为是图像的文件可能是恶意应用程序。它实际上可能是mypic.jpg.exe，而不是 mypic.jpg。

表众所周知的特洛伊木马使用的端口

使用的端口	特洛伊木马
57341	网络袭击者
31339和7300	Net Spy（请注意，Net Spy 也出现在其他端口上）
37651	又一个木马 (YAT)
33270	三位一体
31337、31338	后孔
12624	布特曼
9872–9872, 3700	末日之门 (POD)
7300–7308	网络监控
2583	崩溃
22222	锌
1001	消音器

参考：

网络安全等级保护基本要求

等级保护技术基础培训教程

原文始发于微信公众号（河南等级保护测评）：网络安全等级保护：特洛伊木马特征及预防措施