网络木马丛生安全软件如何工作

网络木马丛生安全软件如何工作

“红灯停、绿灯行”这是一个交通规则，但这绝不仅仅是针对司机的，我们每个人都应该了解与遵守。

因为，虽然我们不开车，但却存在被车撞的危险。

所以，本文虽然是以“安全”为主题的，但却绝不仅仅面对安全专业人士，而是每个普通网民都应该了解的。

因为，我们每个人每天都面临着来自木马病毒的威胁。

有人说“我从不用网络银行，所以不怕被偷钱；也从来不玩儿网络游戏，所以也不怕游戏装备、金钱被盗；更不玩儿自拍、写日记神马的，所以也不怕隐私泄露；那我还需要所谓的安全吗？”

请看以下新闻：

“据xxx新闻报道，xxx市的xxx因为散播网络谣言，被拘留15天”

看到这个新闻，您是否会疑惑，警察是如何知道谣言是谁散播的呢？

很简单，上网时，每个机器都会有一个IP，而你在网上的所有行为都可以通过这个IP追踪到你的电脑，从而定位到电脑的主人。

那您可能又问了“我从来不会无聊的传播什么谣言，这新闻与我没什么关系吧？”

当然，正常情况下，是与您无关，但当您中了木马后，就不一定了。

在木马家族中有一类木马为“远程控制木马”，顾名思义，就是可以通过木马来遥控你的机器，看到这里您想到什么没有？

是的，只要木马作者想，那么就可以远程控制你的机器来做一些非法的事情，比如：攻击政府网站、散布谣言等等。

而一旦警方对此进行追查，最终查到的就是你，因为攻击是从你的电脑发起的、谣言是从你的电脑发出的，你有自信能与人民警察解释清楚你的清白吗？

所以，只要你上网，哪怕什么都不做，危险仍然存在。

我有位朋友曾叫嚣“哥在江湖飘，从来不挨刀；上网4、5年，还从来没见过木马长什么样儿呢”。

我很纳闷，他的运气真的这么好？就去实际检查了一下儿。

检查完后，我只想到一个成语“万马奔腾”，好家伙，各种木马集中在一台机器上，那是相当的壮观！

于是，我建议他在电脑前面挂个牌子“此电脑是养马基地，接近时请注意安全”。

木马占领我们的电脑后，并不会插上红旗再挂上“已占领”的铭牌，即使专业人士也需要借助专业工具才能发现隐藏在电脑深处的木马。

而对一个普通网民来说，并没有能力判断自己的电脑是否安全。

那我们应该怎么办呢？

很简单“专业的事情，留给专业的人来做”，我们需要做的就是把安全问题交给安全公司，借助安全软件来保护自己，尤其在安全软件已经免费的现状下，我们实在没有任何理由拿“自己的安全”来测试“自己的运气”。

据统计，大概有三分之一的网民都有过中病毒或木马的经历。

而其中绝大多数人不知道是如何中招的，他们会满腹的疑惑，且非常无辜的说“我没做什么呀？怎么会中招呢？”

真的没做什么吗？

那么仔细看看以下有可能会导致中招的操作，你究竟做没做？

一、仅仅是网上浏览也会被中木马？

是的，仅仅是上网浏览，看看新闻、逛逛微博就可能会被中上木马，而这类木马的传播方式被称为“网页挂马”，木马就挂在某网站的某个网页上面，当你浏览此网页时，就会中招。

有人说，我只访问一些大的门户网站，从不去不知名的小站，也会中招吗？

当然会，你只需要注意一下新闻就会发现，很多门户网站都曾有过被挂马的经历。

网页挂马即可以自己在自己的网站上挂上木马，也可以侵入正常网站的服务器获得相应权限，然后在正常网站中偷偷的挂上自己的木马。

网页挂马如何防护呢？

在我们进行网络浏览的各个环节中，安全软件对网页挂马都有着多层次的防护，比如我们想看“中国航母”的新闻，一般我们会做如下几个操作，而在每个操作中安全软件都在发挥着作用。

1、在搜索引擎中搜索“中国航母”

这时一般会搜索出N多个结果，每条结果都对应着一个网页，而这其中就有可能包括挂了木马的网页，而当你很幸运的点击了那个挂马网页时，那么恭喜你，你即将与木马亲密接触了。

在这个环节中，如果你用的是安全搜索引擎，比如：www.so.com，那么它会对搜索的结果进行检查，发现挂马网页后就会过滤掉，避免用户点击后中马。

如果用的是一般的搜索引擎，那么就要赌运气了，运气好正常浏览，运气不好选了挂马站，那么请继续看……

2、选中其中一个搜索结果，点击进入。

当我们选中一个搜索结果，点击后，就会进入相应的网站，如果在上一个环节，你没有使用安全搜索引擎，而用的是一般的搜索引擎，那么你进入的很可能就是一个挂有木马的网站，想避免中马，就只能指望这个环节的保护了。

在这个环节中，有两种安全软件会发生作用，一个种是安全浏览器；二是网盾。

“安全浏览器”及“网盾”都会对你即将打开的网页进行检查，如果网页是挂马页或存在其它安全问题就会对你进行提示。

如果你用的是一般的浏览器也没有装网盾，或者说它们没有起到作用，那么就将进入第三个环节……

3、浏览网页中的新闻。

当你没有用安全搜索引擎、也没有用安全浏览器、也没有装网盾，或者访问了挂马网页，而它们都没有起作用时。那么在这个环节，木马就开始下载并执行了。

但是，这并不代表你就一定会中木马，因为安全软件在这个环节仍然有两层防护。

首先，杀毒软件会对下载的文件进行扫描，如果此木马的特征已经被采集过，那么，恭喜你，它将被拦截，并失去执行的机会。

如果这是一个全新的还未被杀软捕获过的木马，那么杀毒软件很可能不会拦截它，但你也不用害怕，因为还有一道防线在保护着你，那就是“木马防火墙”

通常木马防火墙会有基于行为的防御规则，就是说哪怕这个木马是一个未被捕获过的全新木马，但只要它有侵害用户电脑的敏感行为，就仍然会被拦截。

这时安全软件通常会提示你，它需要把样本回传公司，它为什么要回传呢？都回传些什么呢？

4、恶意样本及恶意网址上报

我们先说一说，安全软件为什么要回传样本。

请先回顾一下儿我们在上文中提到过的几句话，第一句是在安全搜索中提到过“发现挂马网页后就会过滤掉”；第二句是在安全浏览器中提到的“如果网页是挂马页就会提示”；第三句是在杀毒软件中提到的“如果此木马特征曾被采集，将被拦截。”

问题来了，它们怎么知道哪些网页是挂马网页呢？木马特征又是如何采集的呢？

这个问题就是上传的意义所在了。

上文中我们说了，木马是全新的，还未被捕获过，所以它穿透了安全搜索引擎、穿透了安全浏览器、穿透了杀毒软件，结果被防火墙捕获了。

在这一刻，它被捕获了，因为它被捕获了，所以它将不再具备穿透安全搜索引擎、安全浏览器、杀毒软件的能力，但前提是你允许安全软件将样本回传。

只要你允许回传，那么下一个网友再访问这个挂马网站时，这个安全隐患将在第一关就被解决掉，不会再到最后一关。

即然能把盗贼完美而优雅的解决在小区外面，我们何必要等他进入家里后再通过一番搏斗来解决呢？

在这个案例中，你是第一个遇到这个木马的人，你的允许上传将使全体网友受益，但其它网友也在进行着类似的操作，他们的允许上传也在使你受益。

我为人人、人人为我，这才是一个美好的世界。

那安全软件都会上传些什么呢？对我们个人来说会带来损失么？

首先，木马程序的本身会传回安全公司。

而木马程序通常都会很小，所以回传对用户来说不会带来网络压力，几乎是在一瞬间就可以完成。

其次，会把挂马网址的URL传回去，就是地址栏里的那一串http://www.xxx.com/xxx?xxx类似的东东。

安全公司关心的是哪个网址挂了马，挂了什么样的马，并不关心是谁访问这个网址的，也不会在服务器记录是谁访问了这个网址或是从哪台电脑上传回来了这个网址。

是不是有些失望了？虽然通过你的上传让千万网友受了益，但你也不可能得到安全公司的嘉奖，因为他们跟本不关心、不记录、也不会知道是谁传的。

5、无聊的隐私问题

隐私本身不无聊，但有些别有用心的人每天像被迫害狂似的大喊“我们的隐私被人偷走啦”却是无聊透顶了。（谁是别有用心的人？请看后面“木马的绝地反击”那一章）

什么东西是隐私呢？

自拍照无疑是个人隐私，日记、社区或微博账号、聊天记录等等也算是隐私。

那别人拿到这些隐私又能有什么用呢？

某些变态的人满足自己阴暗的偷窥心理？或延伸之发布到网上再从你的痛苦中获取无聊的快感？或者发个邮件给你进行敲诈勒索冒着把牢底座穿的危险获取些无关痛痒的金钱？除此之外还能做什么呢？

不错，这类烂人的确存在，我们也的确需要提防。但是，说一个安全软件公司偷窃用户隐私？你信么？

上市公司、资产以“xx亿美元”计！！！这样的公司会盗取用户隐私？

从犯罪学来讲，有一个重要的构成要素就是“动机”，那么请问，其动机何在呢？

我们要知道，这不仅仅是道德问题或方法问题，而是实实在在的犯罪，是会坐牢的！

当你有以亿计的美元时，你会有无数的合法途径得到你想要的任何东西，绝没有任何人会做这种风险与收益完全不相匹配的、且触犯法律的事情。

就像一个人捂着口袋里的200元RMB，不断的叫嚷着某某亿万富翁想要偷他的钱一样。是如此的可笑，其根本就不用脑子想一想，“风险”与“收益”的关系。

说句实在话，我们作为一个普通网民，还真没有什么值得人家偷的。

二、运行个程序、玩儿个游戏、打开个文件都会中毒？

在QQ上网友传来一张照片“看看我漂亮不.jpg”，打开瞅了瞅，中毒了；网上购物，卖家发来张“样品图.jpg”，打开看看，中毒了；下载了个游戏，打开看了看，中毒了；下载了个程序，试了试，又中毒了。

这日子没法儿过了！

还让不让人活了？

怎么办？还是那句话“专业的事情交给专业的人来办”。

安全软件在这类事情中能起到什么作用呢？

首先，在文件传输到你的电脑上时，安全软件会对新进入的文件进行扫描，从中发现恶意的程序并提示清除。

这时候的扫描基本上都是基于特征的静态扫描，对已经被捕获过的病毒木马效果较好；当然，也有启发式的扫描来应对一些未知木马病毒。

而当你执行一个程序时，则会触发木马防火墙的防护机制，通过对执行程序行为的视别来判断其是否具有恶意。这种防护，有特征匹配但却并不依赖于特征匹配，对未知木马病毒的防护效果同样很好。

而对于未知的、尚未捕获过的新木马，业内通用的方法都是会上传回公司进行进一步的分析、定位及特征提取。

当你看到安全软件在上传文件“看看我漂亮不.jpg”时，会不会尖声大喊“安全公司在偷窃我的隐私”呢？

首先，建议你先不要叫，好好的用心想一想，人家偷你的照片干嘛呢？难道阁下真的英俊到了人见人爱、花见花开，导致千里之外、从未某面的安全公司的员工都对你迷恋不已？甚至冒着犯罪的危险上传你的照片来收藏？

不是拿去收藏？好，那你告诉我，照片还能用来干嘛？哦，你告诉我你是大明星、你是陈某某……照片可以爆光、八卦、小报……OK，即使这些都是事实，但对安全公司来说整这些又有什么好处呢？他们集体发疯了？想转行当小报记者？

即使他们真的疯了，想转行当小报记者，那他们怎么样才能从每天几十万上百万的上传文件中把大明星你给挑出来啊？

所以，遇事要三思，作为一个普通网民，我们不能决定什么，但也不能让别有用心的人当枪使。（谁是别有用心的人？请看后面“木马的绝地反击”那一章）

其次，这真的就是照片么？你根据什么认为这个文件就是照片呢？名字？还是图标？或者是“.jpg”这几个字符？或者你打开时真的看到了美女的照片？

哥很负责任的告诉你，即使亲眼看到的也不一定就是真实的。

不信？那么请看下面这个木马。

1、伪装图片木马

这是一个真实存在的木马，这个木马的完整名字是“看看我漂亮不.jpg.exe”，按照Windows操作系统的默认文件显示规则，已知文件的扩展名是不显示的，所以我们看不到后面的“.exe”，只能看到“看看我漂亮不.jpg”，虽然其图标也是一个图片的图标，但它真真正正的是一个可以执行的木马程序，因为图标是作者可定制的，想用哪个就可以用哪个。

而如果它是一个真正的图片，那么我们看到的应该是“看看我漂亮不”而不是“看看我漂亮不.jpg”。因为“.jpg”也是已知的文件，默认是不显示的。

那我们打开那个文件时，真实的看到美女图了，又是怎么回事呢？很简单，木马在程序里捆绑了一张图片，在执行后把图片打开了而已。

就这么简单的一招，却让很多人确信那真的是张照片，中了木马而不自知。

2、捆绑型木马

下载了个游戏玩儿为什么也中了木马呢？那是捆绑型木马，捆绑类的工具很多，其特征就是把两个或更多的程序捆在一起，外表看起来就是一个程序。而当你打开这个程序时，捆绑在一起的几个程序，都会顺序得到执行。

所以，看起来你是下载并运行了一款游戏，其实，你也把与游戏程序捆绑在一起的木马程序下载并运行了起来。

3、进程防火墙是什么东东？

要明白这个，先要搞清楚“进程”是什么玩意儿，没什么复杂的，简单来说程序执行起来后就是一个“进程”。顾名思义，进程防火墙就是针对已经执行起来的程序进行扫描、检测、防护的一个功能，它是上面提到过很多次的“木马防火墙”的一部分。

也是上面两种木马的重要检测手段。

本来不准备说这个的，因为这个太技术化了，也没啥可说的，可有些别有用心的人把这个拿来说事，说进程防火墙监控用户电脑中程序的执行又是什么侵犯了隐私，我勒了个去的，这都哪儿跟哪儿啊！所以，只好单独开一节聊一聊这个了。

进程的监控与扫描是整个安全体系中非常重要的一部分，尤其是对付还未被安全公司捕获过的新木马时，这种不依赖于特征而基于行为的方法是很有效的。

而正因为其有效，才会被某些别有用心的人忌恨。

进程是隐私吗？你开个QQ跟美女A聊人生，那QQ进程是什么呢？就是这一行字符："C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe"，你没看错，这并不仅仅是部分而是全部！

然后你跟美女聊烦了，又开始与帅哥B聊事业，那QQ的进程仍然是："C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe"，不会多一个字符也不会少一个。

你浏览你的生活照，进程是：C:\Windows\System32\dllhost.exe；你观赏你的写真集，进程仍然是C:\Windows\System32\dllhost.exe。（系统进程：依OS的不同进程也会不同）

安全软件扫描、记录的就是这些很可能大多数非专业人士都看不懂的东西，你真的认为这些字符侵犯了你的隐私？这些真的是隐私？你确定？如果你仍然肯定的说“这就是隐私”，那我无比真诚的说“您去告他们吧”

其实说到底，还是“别有用心”这四个字，如果想让这些人满意，那么安全软件就什么都不能做。

但什么都不做这还是安全软件么？什么人才希望安全软件什么都不做，只是老老实实的在用户电脑中混日子呢？

安全软件，就像小区的保安，请来是保我们安全的，不是请来当大爷的。

结果刚做了点事儿，就随便来了个人跳出来高喊：“这保安有问题啊？他侵犯用户隐私啦，他在门口安了摄像头；他还对每个进出小区的陌生人员进行盘问，这不仅是侵犯隐私还侵犯人权啊”。

我们怎么办呢？是让保安把摄像头拆掉，不许再盘问进出的陌生人？

还是冷静的想一想，小区门口的摄像头对我们生活真的有影响吗？是哪一种人才不希望装摄像头，哪一种人才想进出小区不被盘查？

那个跳出来高喊的人到底是谁？是我们小区的么？也许他只是一个贼而已。

三、即使什么都不做，只要开机连网，就可能中毒！

是不是听起来很玄？但这就是事实，有兴趣的话，搜一搜“冲击波”、“震荡波”，看看它们当年是如何横扫网络的。

这类木马，被称为主动攻击型木马，它们自动按IP段扫描，一旦发现有漏洞的计算机，就会自动发起攻击。而一旦该计算机被攻陷，被攻陷的计算机又会成为一个新的攻击源，继续攻击下一波计算机，想象一下儿这种成倍数的扩散后果吧。

这种木马传播的关键是“漏洞”，即目标计算机要存在特定的漏洞。

而“漏洞”又是什么呢？其实这里说的漏洞就是一种程序缺陷，毕竟程序是人设计编写的，受各种因素的影响，没谁敢说自己的程序不存在任何问题。

但缺陷与缺陷不同，有些程序缺陷会导致内存占用过大、有些会导致程序崩溃、而有些则成为了可被木马利用的高危漏洞。

什么样子的漏洞是高危的呢？

举个例子吧，Windows操作系统一直都有一个远程管理的功能，也就是说你可以通过这种功能在任意一台电脑上远程管理另外的世界上任意地方的任意一台的电脑。

当然，这个前提是两台电脑都连接了网络，并且你要知道被操作电脑的IP、用户名及密码。

假设远程管理程序对用户名的验证是这样的：

“接受用户输入用户名：______ 输入结束后与本机储存的名字做比较，相等则进入下一个环节，不等则拒绝连接”。

我们假设用户输入的名字在下划线上，其它部分是远程管理程序的处理逻辑。

那么试想一下儿，如果这个程序没有检查输入用户名的长度，会发生什么问题？

很显然，超过下划线长度的名字会把后面的程序处理逻辑覆盖掉。

这样，只要我们能构造一个特殊的长名字就可以修改这个远程管理程序的处理逻辑，比如改为：“不相等则进入下一环节，相等则拒绝连接”，这样我们就可以输入任意一个不正确的用户名而进入下一环节了。

而这，就是一个典型的可远程执行代码的栈溢出漏洞。（当然这只是为了方便理解的假设，事实上漏洞的利用要比这个复杂的多）

存在这种漏洞的机器，将是无比危险的，你的机器将被人任意控制。

那这种安全问题如何解决呢？

最直接的方法就是“打补丁”，打补丁其实就是把有漏洞的程序替换掉，换成无漏洞的。而Windows的发展史一直就是一个漏洞不断被发现，再不断修补的历史。

而一台不打补丁的电脑，就像一个墙上全是可任人出入大洞的房子一样，有可能会安全么？

所以，当安全软件提示你，需要打补丁时，你需要做的就是一件事，在第一时间打上。

四、木马的绝地反击

上面曾不断的提到“别有用心的人”，而此节就是让大家看看这些人都是什么人。

上面说了Windows的发展史是一个不断修补的历史，那么安全软件的发展史又是什么呢？安全软件的发展史就是一个生命不息战斗不止的历史。

与谁战斗？

当然是安全软件的天生敌人：木马、病毒、各种恶意程序与广告程序等等。

在不同的阶段，战斗的方式也不同，在描述最新的战斗方式之前，我先带着大家去回顾一遍这隐藏在每个人的电脑深处的、永远不会停歇的战争史。

电脑病毒的前身其实就是贝尔试验室的几个程序员之间的游戏，两个人写了两个以保护自己并吃掉对方为目的的程序，输入一台电脑中让其互相争斗。

而当某个具有恶趣味的程序员将“可以自动的自我复制、传播”的程序放出去后，世界被改变了，游戏的战场变成了世界网民的电脑，而这种游戏程序也被正式命名为“电脑病毒”

最早时电脑病毒并不存在什么功利的目的，其表现方式也仅仅是在屏幕上打上一行字“xxx 我爱你”或显示几个不断跳动的小球或显示个其它东东，吓用户一跳而已。

但其带来的副作用就是对计算机性能与稳定性的影响。

于是，杀毒软件也随之诞生了，而注定一旦开始就将永不落幕的战斗也正式拉开了序幕。

早期病毒是无功利性的，写病毒并不能给作者带来物质上的收益。

而杀毒软件也比较简单，更新很慢，有时候需要单独发行更新软盘，用户的更新周期也很长。

一直到网络的普及，大多数电脑都连上了互联网，带有特定目的的病毒开始出现，而传播也不再是简单的自我复制与感染，而是变的多种多样。对这种具有特定目的的、不以感染为唯一手段的恶意程序，人们给了个新名字“木马”。

而在这个时期，木马已经带有了名显的功利性，盗QQ、游戏、邮箱、社区、网银的账户与密码；远程控制进行大规模DDOS攻击；强制弹出广告等等。

而这个阶段的木马主要特征则是“功利性与可控性”，受木马作者的控制，并可以为木马作者带来物质上的收益。

由于其功利性，使得这个黑色的产业产生了爆发式的发展，短短时间病毒木马无论是从数量还是质量上，都得到了飞速的发展。

而其可控制性，则使得这个阶段的木马变得极其的灵活，按照木马作者的意愿而不断的变形、不断的更新以对抗杀毒软件。

而传统的杀毒软件面对新型的病毒木马，却显得心有余而力不足，那几年，是病毒木马泛滥成灾的几年。

而时势造英雄，新的安全公司、新的查杀理念、新的查杀方式也在这个阶段不断出现。

启发式扫描、基于行为的主动防御、木马防火墙等等的出现，终于让这场战争不再一面倒。

而木马不甘势弱的开始了新的反击，针对安全软件本身的攻击在此阶段开始兴起，偷偷的卸载安全软件、强行删除安全软件的文件、禁止安全软件启动、禁止安全软件联网等等。

安全软件当然不会坐以代毙，纷纷推出了自我保护措施，至使在今天几乎已经见不到没有自我保护的安全软件。

而接着云查杀、驱动强制签名校验、基于白名单的启动项查杀等等却把木马作者逼到了绝路，他们的反击终于不再限于技术手段……

木马的绝地反击开始了！

木马想突破安全软件的防护，最佳方法是什么呢？当然是把安全软件干掉。

但安全软件有自我保护怎么办？极富创意的木马作者们采用了一种让安全人员目瞪口呆的方法，发动人民战争！

“xxx安全软件耍流氓啦，你看看他的进程居然结束不掉”

“xxx安全软件耍流氓啦，你看看他的文件居然删除不了”

“xxx安全软件耍流氓啦，你看看他的启动项居然无法禁止”

“xxx安全软件耍流氓啦，你看看卸载它居然还要输验证码”

……

……

然后很多头脑简单的人就试了试，咦？果然是啊，也就跟着开始喊“耍流氓啦！”

而稍微有点智商的人都知道：

谁会去结束安全软件的进程呢？当然是木马！

谁又会去删除安全软件的文件呢？当然也是木马！

谁会禁止安全软件启动呢？还是木马！

谁希望安全软件可以无声无息的被偷偷卸载？仍然是木马!

……

……

当一个安全软件可以被随意的干掉时，这还是一个安全软件吗？就像一个可以被居委会老太太轻易打倒的警察，他的保护你放心吗？

还有人假借民意提出一些非常可笑的诉求，比如：

“你说你没问题，那你把源码开放让大家看看呀？”，噗，哥都笑喷了。这哥们儿就差在额头上写上“我是木马作者”这几个字了。

好牛掰的逻辑啊！

好有一比：“你说你没偷东西？那你脱光了让我看看啊？不脱？不脱就是偷了！”。

源码用户看得懂么？又有谁最希望看到安全软件的源代码？傻子都知道吧。

把木马的需求伪装为用户的需求，挟持民意以达其私利的都是些什么人呢？当然是“别有用心的人”！

但可悲的是，总有一些人会分不清敌我，安全软件并不是我们的敌人，而是我们的战友，我们与安全软件有着共同的敌人，那就是“木马、病毒、恶意程序”

我们的目标是一致的，那就是保护我们的电脑安全。

有些言论我们无法区分正确与否，但我们至少应该维持着“战友与战友之间那最基本的信任”。

说什么耍流氓、搞霸王、盗隐私巴拉巴拉的，作为一个普通的网民，我没啥子感觉，也没体会，呃，不怕您笑话偶也看不懂。

但我知道有一点是真的、也是感受最深的，那就是我一直在用安全软件保卫我的安全，却没有为此支付过哪怕一分钱！

你让我为那些虚无飘渺、不分真假的东东，放弃我的安全？你傻缺啊？还是把我当傻缺了？别做梦了！