新木马屠城防杀木马病毒实用方法(3)

　　再后来，随着网络防火墙技术诞生和病毒防火墙技术的成熟，木马作者被迫紧跟着防病毒厂商的脚步更新他们的作品以避免马儿过早“殉职”，同时由于网络防火墙技术的出现，让计算机与网络之间不再直接，尤其是网络防火墙实现的“拦截外部数据连接请求”与“审核内部程序访问网络请求”的策略，导致大部分木马纷纷失效，这时期的木马逐渐分裂成两个派别：一种依然采用客户端连接服务器端的方式，只是改为了其他传输途径，如E-MAIL、FTP等，或者在内部除掉网络防火墙，以便自己畅通无阻；另一种则改变了入侵的思维，把“客户端连接服务器端”变为“服务器端连接客户端”，再加上一点社会工程学技术，从而突破了网络防火墙的限制，也因此诞生了一种新的木马技术――“反弹型”木马。这一时期里，入侵者与受害者之间的战争终于提升到技术级别，若想保护自己，除了安装网络防火墙和病毒防火墙，以及接触网络攻防技术以外别无他法，这个“基础互动”一直保持到今天的XP时代。

　　到了XP时代，网络速度有了质的飞跃，黑客攻防战更是越来越多的浮上水面，因为系统变了，一个专门为网络应用而诞生的操作系统，必定会存在与网络有关的缺陷。没错，WinXP相对于Win9x的弱点就是它的网络漏洞太多了，无论是利用MIME漏洞传播的信件木马，还是通过LSASS溢出而放下的木马，都能在XP系统上分到一块肉。你也许会说，Win9x同样有许多漏洞，但是为什么它没有XP的烦恼？这是因为Win9x的网络功能太弱了，几乎没有什么系统组件需要依靠网络运行！所以现在的用户，除了使用网络防火墙和病毒防火墙把自己包裹得严严实实以外，还要三天两头去微软的系统更新站点安装各种漏洞修复程序……

　　别让士兵们下马！――防止木马启动

　　话说藏在木马里的希腊士兵入城以后，并没有急着下马屠城，而是待到夜深人静之时，才出来打开了牢固的城门，为特洛伊的毁灭奏响了哀歌。而计算机内部没有人类社会的地理和时间关系，即使你的硬盘里现在就存放着100个木马程序，它们也比特洛伊海滩上那只大木马的处境好不到哪里去，因为对于操作系统来说，任何有害程序只要没有运行，它就可以等同于那些未能下马的士兵，一律视为无害。要让系统变成特洛伊城的黑夜，唯一的方法只能是启动木马的服务器端，而启动木马的最简单途径，就是通过“启动项”加载运行。