您當前位置:廣東自考網 >> 畢業論文 >> 工學類 >> 瀏覽文章
木馬病毒分析及其防治方法
發布日期:2012/5/29 15:47:13 來源:廣東自考網 閱讀: 【字體:

要:隨著計算機網絡技術的迅速發展和普及,Internet網絡使得全世界的人們可以自由的交流和分享信息,極大的促進了全球一體化的發展。但是人們在交往的同時也面臨著網絡安全的隱患,每天分布在世界各地的計算機無時無刻不在遭受計算機病毒的攻擊。其中有一種與病毒相似但有所區別的、基于遠程控制的、具有很強的隱蔽性和危害性的工具,這就是特洛伊木馬程序。

 

浙江20选5昨天开奖结果查询: 1 前言

2  緒論

2.1木馬病毒的現狀

浙江20选5风采网 www.cavfz.com 目前,木馬已經形成了多個派系的共存,結合了傳統電子郵件病毒的破壞性,產生更多的混合型木馬病毒。有關報告顯示:截至20086,所截獲的新增病毒樣本總計有111 474,其中,新增的這些木馬病毒中,盜號木馬尤其嚴重,占到木馬總數的70%,高達58 245種。從這些數據中可以看出,木馬數量成倍增長,而且病毒制造者更傾向于制造、傳播木馬病毒者。現在,病毒疫情主要呈現出互聯網進入木馬/病毒經濟時代;木馬數量迅猛增加,變種層出不窮;網頁掛馬與ARP欺騙危害加劇;U盤是病毒傳播的主要途徑;病毒/木馬瘋狂反撲,病毒/木馬商業化運作出現團隊化協同方式;病毒的變種數量已經成為衡量其危害性的新標準等特點。

2.2 論文研究背景及意義

 隨著互聯網技術的發展和普及,計算機網絡得到了廣泛應用,利用廣泛開放的網絡環境進行全球通信已經成為時代發展的趨勢,人們日常的經濟和社會生活也越來越依賴互聯網。但網絡技術給人們帶來巨大的便利的同時也帶來了各種各樣的安全威脅,例如黑客攻擊,計算機病毒、特洛伊木馬泛濫等。研究在目前開放的網絡環境下,如何保證自己的信息安全就顯的非常重要。

特洛伊木馬(簡稱木馬)是一種具有運行非預期或未授權功能的程序,例如可以記錄用戶鍵入的密碼,遠程傳輸文件,甚至可以完全遠程控制計算機等。一般黑客在攻擊目標得手之后,就會在主機上安裝后門,即特洛伊木馬。特洛伊木馬可以在用戶毫不知情的情況下泄漏用戶的密碼、用戶的秘密資料等,甚至可以遠程監控用戶的操作,因此,某些行業,如國防、外交和商務部門,特洛伊木馬的危害性更大,一旦這些部門被安裝了木馬,損失就會非常慘重。

人們常常將特洛伊木馬看成是計算機病毒,其實,它們之間還是有比較大的區別的。計算機病毒具有數據的破壞性,而特洛伊木馬最大的危害在于數據的泄密性,當然不乏有將病毒技術和木馬技術結合使用的惡意軟件,即利用病毒的傳染性使較多的計算機系統植入木馬。但特洛伊木馬本身一般沒有復制能力,不會感染其他的寄宿文件,一般在同一臺主機上只有一個特洛伊木馬。而病毒具有傳染性,會不斷感染其他的同類文件,在同一臺主機上,會出現很多被感染的文件。

而目前,人們對計算機病毒的研究比較多,而對特洛伊木馬的研究要相對滯后。許多的反病毒軟件也聲稱能反特洛伊木馬,但是,現在的大多數反病毒軟件采用的是特征碼檢測技術,即抽取各種計算機病毒和特洛伊木馬等惡意代碼樣本中的特征碼,放入病毒庫中,將待檢測的軟件與病毒庫中的特征碼比較,如果吻合則判斷為惡意代碼。特征碼技術對于檢測已知惡意代碼,非??旖縈行?,但是對于檢測未知的惡意代碼則無能為力。反病毒軟件的檢測能力總是落后于新的惡意代碼的出現的,在這個時間差內,新的惡意代碼可能就會泛濫,造成重大損失,特征碼技術的這種局限性就決定了其滯后性。

在網絡攻擊與安全防范日益激烈的對抗中,特洛伊木馬攻擊技術在不斷地完善。現在特洛伊木馬攻擊手段已成為網絡攻擊的最常用、最有效的手段之一,是一系列網絡攻擊活動中重要的組成部分,嚴重地威脅著計算機網絡系統的安全。網絡安全迫切需要有效的木馬檢測防范技術。

然而,目前木馬的檢測方法都是基于木馬靜態特征的檢測,是被動的檢測,不能有效地適應木馬的各種檢測對抗技術;其檢測能力完全依賴于檢測系統中根據已知木馬建立和維護的木馬靜態特征庫。為了檢測新型木馬,需要及時收集、提取新型木馬的靜態特征、更新靜態特征庫。這是一項持久繁重的工作,同時也制約著基于靜態特征檢測技術的木馬檢測工具的有效性。

在大量模擬網絡環境下的木馬攻擊行為的前提下,本文首先對木馬的運行形式、通信形式、啟動方式的隱蔽技術以及在宿主機磁盤中的隱藏方法進行了深入分析。在這基礎上,重點研究了基于動態行為的木馬檢測防范方法?;詼形哪韭砑觳夥婪斗椒ㄊ且桓齷諦形?、主動的、動態的檢測防范方法,能夠克服基于靜態特征檢測技術的弱點,是木馬檢測技術的發展方向。

如何區分正常的系統行為和非正常的木馬行為是基于動態行為檢測技術的重點和難點。行為的隱蔽性和目的的惡意性是木馬行為的主要特征。所以,動態檢測防范的主要思想就是:控制木馬生存的系統資源,監控木馬的隱蔽途徑和行為,過濾并分析網絡通信。在這個思想下,通過對綜合檢測和防范技術的深入討論,本文提出了一個基于動態行為進行木馬檢測的入侵檢測防范系統基本框架,把木馬的動態檢測技術運用到網絡安全檢測系統中,提高木馬檢測與防范的可靠性。

3 特洛伊木馬的概述

    木馬病毒和其他病毒一樣都是一種人為的程序,都屬于電腦病毒。大家都知道以前的電腦病毒的作用,其實完全就是為了搞破壞,破壞電腦里的資料數據,除了破壞之外其它無非就是有些病毒制造者為了達到某些目的而進行的威懾和敲詐勒索的作

用,或是為了炫耀自己的技術。木馬病毒則不一樣,它的作用是赤裸裸的偷偷監視別

人的所有操作和盜竊別人的各種密碼和數據等重要信息,如盜竊系統管理員密碼搞破

壞;偷竊ADSL上網密碼和游戲帳號密碼用于牟利;更有甚者直接竊取股票帳號、網

上銀行帳戶等機密信息達到盜竊別人財務的目的。所以木馬病毒的危害性比其他電腦

病毒更加大,更能夠直接達到使用者的目的!這個現狀就導致了許多別有用心的程序

開發者大量的編寫這類帶有偷竊和監視別人電腦的侵入性程序,這就是目前網上大量

木馬病毒泛濫成災的原因。鑒于木馬病毒的這些巨大危害性和它與其他病毒的作用性

質的不一樣,所以木馬病毒雖然屬于病毒中的一類,但是要單獨的從病毒類型中間剝

離出來,獨立地稱之為木馬病毒程序。

2.1木馬的定義

木馬的全稱是“特洛伊木馬”,是一種新型的計算機網絡病毒程序。它利用自身所具有的植入功能,或依附其它具有傳播能力病毒,或通過入侵后植入等多種途徑,進駐目標機器,搜集其中各種敏感信息,并通過網絡與外界通信,發回所搜集到的各種敏感信息,接受植入者指令,完成其它各種操作,如修改指定文件、格式化硬盤等。

2.1木馬病毒的危害

多數惡意程序,只要把它們刪除,危險就算過去,威脅也不再存在。但木馬有些特殊,它和病毒、蠕蟲之類的惡意程序一樣,會刪除或修改文件、格式化硬盤、上傳和下載文件、騷擾用戶等[1]。

例如,經??梢鑰吹焦セ髡甙哉急蝗肭值募撲慊?span lang="EN-US">,控制U,用戶所有的磁盤空間幾乎都被侵占殆盡。除此之外,木馬還有竊取內容”“遠程控制的特點。木馬具有遠程控制計算機系統以及捕獲用戶的屏幕和每一次鍵擊事件、音頻、視頻的能力,這意味著惡意攻擊者能夠輕松地竊取用戶的密碼、目錄路徑、驅動器映射,甚至信用卡、銀行賬戶和個人通信方面的信息。木馬病毒危害程度要遠遠超過普通的病毒和蠕蟲。

2.1.3  木馬的基本特征

木馬是病毒的一種,木馬程序也有不同種類,但它們之間又有一些共同的特性。

1.   隱蔽性:當用戶執行正常程序時,在難以察覺的情況下,完成危害用戶的操作,具有隱蔽性。它的隱蔽性主要體現在以下6個方面,一是不產生圖標,不在系統任務欄中產生有提示標志的圖標;二是文件隱藏,將自身文件隱藏于系統的文件夾中;三是在專用文件夾中隱藏;四是自動在任務管理器中隱形,并以系統服務的方式欺騙操作系統;五是無聲息地啟動;六是偽裝成驅動程序及動態鏈接庫。

2.   自行運行:木馬為了控制服務端,必須在系統啟動時跟隨啟動。所以,它潛入在你的啟動配置文件中,Win.ini,System.ini,Winstart.bat以及啟動組等文件之中。

3.   欺騙性:捆綁欺騙,用包含具有未公開并且可能產生危險后果的功能程序與正常程序捆綁合并成一個文件。

4.   自動恢復:采用多重備份功能???span lang="EN-US">,以便相互恢復。

5.   自動打開端口:用服務器客戶端的通信手段,利用TCP/IP協議不常用端口自動進行連接,開方便之。

6.   功能特殊性:木馬通常都有特殊功能,具有搜索cache中的口令、設置口令、掃描目標IP地址、進行鍵盤記錄、遠程注冊表操作以及鎖定鼠標等功能。

2.1.4 木馬的結構

一個完整的木馬系統由硬件部分,軟件部分和具體連接部分組成。

(1)硬件部分:建立木馬連接所必須的硬件實體??刂貧耍憾苑穸私性凍炭刂頻囊環?。服務端:被控制端遠程控制的一方。INTERNET:控制端對服務端進行遠程控制,數據傳輸的網絡載體。

(2)軟件部分:實現遠程控制所必須的軟件程序??刂貧順絳潁嚎刂貧擻靡栽凍炭刂品穸說某絳?。木馬程序:潛入服務端內部,獲取其操作權限的程序。木馬配置程序:設置木馬程序的端口號,觸發條件,木馬名稱等,使其在服務端藏得更隱蔽的程序。

(3)具體連接部分:通過INTERNET在服務端和控制端之間建立一條木馬通道所必須的元素??刂貧?span lang="EN-US">IP,服務端IP:即控制端,服務端的網絡地址,也是木馬進行數據傳輸的目的地??刂貧碩絲?,木馬端口:即控制端,服務端的數據入口,通過這個入口,數據可直達控制端程序或木馬程序。 

說明1現在網絡上流行的木馬軟件基本都是客戶機/服務器模式也就是所謂的C/S結構,即客戶/服務器體系結構(Client/Server Architecture),由客戶應用程序和服務器程序組成。目前也有一些木馬開始向B/S結構轉變,所謂B/S結構,就是只安裝維護一個服務器,而客戶端采用瀏覽器(運行軟件,即瀏覽器/服務器結構。 客戶端運行軟件,就像我們平時上網瀏覽網頁一樣,不用安裝其它軟件。而且通過電話線也可以運行軟件。B/S結構的軟件所有的維護、升級工作都只在服務器上進行,而客戶端就能獲得最新版本的軟件。(2)控制端也叫客戶端,也就是控制木馬的那一部分程序,他主要在木馬使用者的機器里。而服務端是需要非法潛入其他機器的一種小程序。所以,我們傳統意義上說的種植木馬是指把木馬的服務端置入他人的機器的一種做法,而客戶端就留在我們的機子中,以它來控制遠程服務端。(3)只有在配置好“木馬配置程序”后才會生成你的配置的服務端。一些小木馬無此功能,在它編寫的時候就已經固定好配置類型了。

2.1.5  木馬原理

木馬是一個程序,它駐留在計算機里,隨計算機自動啟動,并對某一端口偵聽、識別到所接收的數據后,對目標計算機執行特定的操作[2]。木馬的實質只是一個通過端口進行通信的網絡客戶/服務程序,其原理是一臺主機提供服務(服務器),另一臺主機接受服務(客戶機)。作為服務器的主機,一般會打開一個默認的端口并進行監聽(Listen),如果有客戶機向服務器的這一端口提出連接請求(Connect Request),服務器上的相應程序就會自動應答客戶機的請求。木馬程序是由客戶端和服務端兩個程序組成,其中客戶端是攻擊者遠程控制終端程序,服務端程序即木馬程序。當木馬的服務端程序在被入侵的計算機系統上成功運行以后,攻擊者就可以使用客戶端與服務端建立連接,并進一步控制被入侵的計算機系統。在客戶端和服務端通信協議的選擇上,絕大多數木馬程序使用的是TCP/IP協議,也有一些木馬由于特殊的原因,使用UDP協議進行通信。當服務端在被入侵計算機上運行以后,它盡量把自己隱藏在計算機系統的某個角落里,以防用戶發現;同時監聽某個特定的端口,等待客戶端(攻擊者)與其取得連接;為了下次重啟計算機時能正常工作,木馬程序一般會通過修改注冊表或者其他的方法讓自己成為固定的啟動程序。

2.2 木馬病毒的現狀

目前,木馬已經形成了多個派系的共存,結合了傳統電子郵件病毒的破壞性,產生更多的混合型木馬病毒。有關報告顯示:截至20086,所截獲的新增病毒樣本總計有111 474,其中,新增的這些木馬病毒中,盜號木馬尤其嚴重,占到木馬總數的70%,高達58 245種。從這些數據中可以看出,木馬數量成倍增長,而且病毒制造者更傾向于制造、傳播木馬病毒者。現在,病毒疫情主要呈現出互聯網進入木馬/病毒經濟時代;木馬數量迅猛增加,變種層出不窮;網頁掛馬與ARP欺騙危害加劇;U盤是病毒傳播的主要途徑;病毒/木馬瘋狂反撲,病毒/木馬商業化運作出現團隊化協同方式;病毒的變種數量已經成為衡量其危害性的新標準等特點。

 

3木馬病毒的植入及傳播技術

由于木馬病毒是一個非自我復制的惡意代碼,因此它們需要依靠用戶向其他人發送其拷貝。木馬病毒可以作為電子郵件附件傳播,或者它們可能隱藏在用戶與其他用戶進行交流的文檔和其他文件中。它們還可以被其他惡意代碼所攜帶,如蠕蟲。木馬病毒有時也會隱藏在從互聯網上下載的捆綁免費軟件中。當用戶安裝這個軟件時,木馬病毒就會在后臺被自動秘密安裝。

3.1木馬病毒植入技術

木馬病毒植入技術,主要是指木馬病毒利用各種途徑進入目標機器的具體實現方法。

(1)利用電子郵件進行傳播:攻擊者將木馬程序偽裝成E-mail附件的形式發送過去,收信方只要查看郵件附件就會使木馬程序得到運行并安裝進入系統。

(2)利用網絡下載進行傳播:一些非正規的網站以提供軟件下載為名,將木馬捆綁在軟件安裝程序上,下載后,只要運行這些程序,木馬就會自動安裝。

(3)利用網頁瀏覽傳播:這種方法利用Java Applet編寫出一個HTML網頁,當我們瀏覽該頁面時,JavaApplet會在后臺將木馬程序下載到計算機緩存中,然后修改注冊表,使指向木馬程序。

(4)利用一些漏洞進行傳播:如微軟著名的IIS服務器溢出漏洞,通過一個IISHACK攻擊程序即可把IIS服務器崩潰,并且同時在受控服務器執行木馬程序。由于微軟的瀏覽器在執行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞傳播病毒和木馬,甚至直接對瀏覽者主機進行文件操作等控制。

(5)遠程入侵進行傳播:黑客通過破解密碼和建立IPC遠程連接后登陸到目標主機,將木馬服務端程序拷貝到計算機中的文件夾(一般在C:\WINDOWS\system32或者C:\WINNT\sys-tem32),然后通過遠程操作讓木馬程序在某一個時間運行。

(6)基于DLL和遠程線程插入的木馬植入:這種傳播技術是以DLL的形式實現木馬程序,然后在目標主機中選擇特定目標進程(如系統文件或某個正常運行程序),由該進程將木馬DLL植入到本系統中。而DLL文件的特點決定了這種實現形式的木馬的可行性和隱藏性。首先,由于DLL文件映像可以被映射到調用進程的地址空間中,所以它能夠共享宿主進程(調用DLL的進程)的資源,進而根據宿主進程在目標主機的級別未授權地訪問相應的系統資源。其次,因為DLL沒有被分配獨立的進程地址空間,也就是說DLL的運行并不需要創建單獨的進程,增加了隱蔽性的要求。

(7)利用蠕蟲病毒傳播木馬:網絡蠕蟲病毒具有很強的傳染性和自我復制能力,將木馬和蠕蟲病毒結合在一起就可以大大地提高木馬的傳播能力。結合了蠕蟲病毒的木馬利用病毒的特性,在網絡上進行傳播、復制,這就加快了木馬的傳播速度。

3.2  木馬病毒的加載技術

當木馬病毒成功植入目標機后,就必須確保自己可以通過某種方式得到自動運行。常見的木馬病毒加載技術主要包括:系統啟動自動加載、文件關聯和文件劫持等。

3.2.1  系統啟動自動加載

系統啟動自動加載,這是最常的木馬自動加載方法。木馬病毒通過將自己拷貝到啟動組,或在win.ini,system.ini和注冊表中添加相應的啟動信息而實現系統啟動時自動加載。這種加載方式簡單有效,但隱蔽性差。目前很多反木馬軟件都會掃描注冊表的啟動鍵(信息),故而新一代木馬病毒都采用了更加隱蔽的加載方式。

3.2.2  文件關聯

文件關聯,這是通過修改注冊表來完成木馬的加載。但它并不直接修改注冊表中的啟動鍵(信息),而將其與特定的文件類型相關聯,如與文本文件或圖像文件相關聯。這樣在用戶打開這種類型的文件時,木馬病毒就會被自動加載。

修改關聯的途徑是選擇了對注冊表的修改,它主要選擇的是文件格式中的打開、編輯、打印項目,如冰河木馬修改的對象如圖所示。如果感染了冰河木馬,則在[HKEY_CLASS_ROOT\txtfile\shell\open\command]中的鍵值不是“c:\windows\notopad.exe%1”,而是改為“sysexplr.exe%1”

   圖2 修改文件打開關聯的程序流程圖

步驟一:打開注冊表,如果成功打開,則進入步驟二,否則轉步驟八

步驟二:讀取某類文件打開方式的鍵值,如果成功找到,則進入步驟三,否則轉步驟五

步驟三:修改鍵值為希望設定的鍵值,如果成功修改,則進入步驟四,否則轉步驟五

步驟四:給出成功提示信息,轉步驟六

步驟五:給出錯誤提示信息,進入步驟六

步驟六:關閉注冊表,進入步驟七

步驟七:釋放變量空間,退出程序

l        修改文件打開方式的設計界面,如圖3所示

 

 3 修改文件打開方式

 

l        修改文件打開方式的部分設計代碼

…………

//初始化對話框的一些基本信息

BOOL CmodifylinkDlg::OnInitDialog()

{

CDialog::OnInitDialog();

ASSERT((IDM_ABOUTBOX&0xFFF0)==IDM_ABOUTBOX);

ASSERT(IDM_ABOUTBOX<0xF000);

CMenu*pSysMenu=GetSystemMenu(FALSE);

if(pSysMenu!=NULL)

{

CString strAboutMenu;

strAboutMenu.LoadString(IDS_ABOUTBOX);

if(!strAboutMenu.IsEmpty())

{

pSysMenu->AppendMenu(MF_SEPARATOR);

pSysMenu->AppendMenu(MF_STRING,IDM_ABOUTBOX,strAboutMenu);

}

}

SetIcon(m_hIcon,TRUE);

SetIcon(m_hIcon,FALSE);

CString str;

str.Format("%s",AfxGetApp()->m_lpCmdLine);

const char*MutexObject="Modifylink";

hMutex=NULL;

hMutex=::CreateMutex(NULL,false,MutexObject);//創建互斥變量,以防止自身程序的多次運行

if(hMutex!=NULL)

{

DWORD err=GetLastError();

if(err==ERROR_ALREADY_EXISTS)

::PostQuitMessage(0);

}

if(str.Find("txt")!=-1)

{//生成文件的全路徑名成

CString temp;

char ch;

int length=str.GetLength();

for(int i=0;i<length;i++)

{

ch=str.GetAt(i);

if(ch=='\\')

temp=temp+"\\\\";

else

temp=temp+ch;

}

temp=temp.Left(temp.GetLength()-2);

temp=temp.Mid(1);

char str1[]="\"%1\"%*";

ShellExecute(NULL,"open","notepad.exe",temp,NULL,SW_SHOW);

}

return TRUE;

}

[2]

…………

void CmodifylinkDlg::OnBnClickedModify()

{

//修改注冊表,改成希望啟動的木馬程序TCHAR str2[256];

//得到程序的全路徑名

GetModuleFileName(NULL,str2,255);

strcat(str2,"\"%1\"%*");

::RegSetValue(HKEY_CLASSES_ROOT,"txtfile\\shell\\open\\command",REG_SZ,(LPCTSTR)str2,strlen-

(str2)+1);

}

void CmodifylinkDlg::OnBnClickedRestore()

{

//把文本文件關聯到記事本程序

char str2[]="NOTEPAD.EXE%1";

::RegSetValue(HKEY_CLASSES_ROOT,"txtfile\\shell\\open\\command",REG_SZ,(LPCTSTR)str2,strlen-

(str2)+1);

}

 

3.2.3  文件劫持

文件劫持,是一種特殊的木馬加載方式。木馬病毒被植入到目標機后,需要首先對某個系統文件進行替換或嵌入操作,使得該系統文件在獲得訪問權之前,木馬病毒被率先執行,然后再將控制權交還給相應的系統文件。采用這種方式加載木馬不需要修改注冊表,從而可以有效地躲過注冊表掃描型反木馬軟件的查殺。這種方式最簡單的實現方法是將某系統文件改名,然后將木馬程序改名。這樣當這個系統文件被調用的時候,實際上是木馬程序被運行,而木馬啟動后,再調用相應的系統文件并傳遞原參數。

 

3.3 木馬病毒的隱藏技術

為確保有效性,木馬病毒必須具有較好的隱蔽性。木馬病毒的主要隱蔽技術包括:偽裝、進程隱藏、DLL技術等。

1.   偽裝。從某種意義上講,偽裝是一種很好的隱藏。木馬病毒的偽裝主要有文件偽裝和進程偽裝。前者除了將文件屬性改為隱藏之外,大多通過采用一些比較類似于系統文件的文件名來隱蔽自己;而后者則是利用用戶對系統了解的不足,將自己的進程名設為與系統進程類似而達到隱藏自己的目的。

2.   進程隱藏。木馬病毒進程是它駐留在系統中的最好證據,若能夠有效隱藏自己的進程,顯然將大大提高木馬病毒的隱蔽性。在windows98系統中可以通過將自己設為系統進程來達到隱藏進程的目的。但這種方法在windows2000/NT下就不再有效,只能通過下面介紹的DLL技術或設備驅動技術來實現木馬病毒的隱藏。

3.   DLL技術。采用DLL技術實現木馬的隱蔽性,主要通過以下兩種途徑:DLL陷阱和DLL注入。DLL陷阱技術是一種針對DLL(動態鏈接庫)的高級編程技術,通過用一個精心設計的DLL替換已知的系統DLL或嵌入其內部,并對所有的函數調用進行過濾轉發。DLL注入技術是將一個DLL注入到某個進程的地址空間,然后潛伏在其中并完成木馬的操作。

4  木馬病毒的防治方法

綜上所述,我們已經知道木馬程序是十分有害的,也是十分狡猾的。計算機一旦感染上木馬程序,后果不堪設想。那么,我們可以采取什么措施來防范木馬的攻擊呢?

4.1防范木馬攻擊技術的研究

1.        運行反木馬實時監控程序

我們在上網時,必須運行反木馬實時監控程序,實時監控程序可即時顯示當前所有運行程序并配有相關的詳細描述信息。另外,也可以采用一些專業的最新殺毒軟件、個人防火墻進行監控。

2.        不要執行任何來歷不明的軟件

對于網上下載的軟件在安裝、使用前一定要用反病毒軟件進行檢查,最好是專門查殺木馬程序的軟件進行檢查,確定沒有木馬程序后再執行、使用。

3.        不要輕易打開不熟悉的郵件

現在,很多木馬程序附加在郵件的附件之中,收郵件者一旦點擊附件,它就會立即運行。所以千萬不要打開那些不熟悉的郵件,特別是標題有點亂的郵件,這些郵件往往就是木馬的攜帶者。

4.        不要輕信他人

不要因為是我們的好朋友發來的軟件就運行,因為我們不能確保他的電腦上就不會有木馬程序。當然,好朋友故意欺騙你的可能性不大,但也許他中了木馬程序自己還不知道呢??鑾醫裉斕幕チ?,到處充滿了?;?,我們也不能保證這一定是好朋友發給我們的,也許,是別人冒名給我們發的文件,或者就是木馬程序本身發來的,比如說最常見的QQ尾巴病毒,經?;崦俺渲魅爍糜遜⒗錘郊?。

5.        不要隨意下載軟件

不要隨便在網上下載一些盜版軟件,特別是一些不可靠的FTP站點、公眾新聞組、論壇或BBS,因為這些地方正是新木馬發布的首選之地。

6.        Windows資源管理器配置成始終顯示擴展名

因為一些擴展名為:VBS、SHS、PIF的文件多為木馬程序的特征文件,一經發現要立即刪除,千萬不要打開。

7.        盡量少用共享文件夾

如果計算機連接在互聯網或局域網上,要少用,盡量不用共享文件夾,如果因工作等其他原因必須設置成共享,則最好單獨開一個共享文件夾,把所有需共享的文件都放在這個共享文件夾中。注意,千萬不能把系統目錄設置成共享。

8.        隱藏IP地址

這一點非常重要。我們在上網時,最好用一些工具軟件隱藏自己計算機的IP地址[23]。

上面,我們講了預防木馬程序攻擊的八個方法,似乎已經很安全了。但是,我們知道的方法,木馬程序設計者自然也會知道,他們會想盡一切辦法,盡量避免被我們預防到。

4.2木馬病毒的信息獲取技術

獲取目標機的各種敏感信息,是木馬病毒有別于其他病毒或蠕蟲的最大特點之一。木馬病毒原則上可以獲取目標機中所有信息,包括:一是基本信息,如系統版本、用戶名、系統目錄等;二是利用鉤子函數獲取用戶鍵入的口令或其他輸入;三是對目標機所在局域網中流動的信息包進行嗅探,以獲得諸如系統口令或其他敏感信息;四是目標機屏幕截取與傳送;五是目標機附近聲音信號的采集與傳輸。

4.3  木馬病毒的查殺

木馬的查殺,可以采用手動和自動兩種方式。最簡單的方式是安裝殺毒軟件,當今國內很多殺毒軟件像瑞星、金山毒霸、KV3000等都能刪除網絡中最猖獗的木馬。但殺毒軟件的升級通常慢于新木馬的出現,因此學會手工查殺很有必要。常用方法有:

檢查注冊表。從開始菜單運行regedit,打開注冊表編輯器。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice,察看鍵值中有沒有自己不熟悉的自啟動文件,它的擴展名一般為EXE,然后記住木馬程序的文件名,再在整個注冊表中搜索,凡是看到了一樣的文件名的鍵值就刪除,接著到電腦中找到木馬文件的藏身地將其徹底刪除。檢查HKEY_LOCAL_MACHINEHKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的幾項(Local Page),如果發現鍵值被修改了,只要根據你的判斷改回去就行了。惡意代碼(萬花谷”)就經常修改這幾項。

檢查HKEY_CLASSES_ROOT\inifile\shell\open\commandHKEY_CLASSES_ROOT\txtfile\shell\open\command等幾個常用文件類型的默認打開程序是否被更改,若有更改一定要改回來,很多病毒就是通過修改.txt.ini等的默認打開程序而清除不了。

在上述操作時要注意的就是,對注冊表修改之前,先要對它進行備份,以防錯誤的操作引起系統崩潰。

(2)檢查系統配置文件。從開始菜單運行msconfig,打開系統配置實用程序。檢查win.ini文件(C:\windows),“WINDOWS”下面“,run=”“load=”是加載木馬程序的一種途徑。一般情況下,在它們的等號后面什么都沒有,如果發現后面跟著不熟悉的啟動程序,那個程序就是木馬程序。比如攻擊OICQd“eGOP”木馬,就會在這里留下痕跡。

檢查system.ini文件(C:\windows),“BOOT”下面有個“shell=文件名。正確的文件名應該是“explorer.exe”,如果是“shell=explorer.exe程序名”,那么后面跟著的那個程序也是木馬程序。

不管出現以上那種情況,先將程序名刪除,然后再在硬盤上找到這個程序進行刪除。

9反木馬軟件

除了以上查殺木馬病毒的方法外,我們還可以用一些反木馬軟件來

清除木馬病毒,Thecleaner,TrojanRemover,冰河清除器,BO2Klean-eng

等。

綜上所述,本文給出了常見病毒的一些預防及處理措施。隨著技術

的不斷發展,木馬病毒必定也會以更隱蔽、破壞力更強的方式出現,

魔高一尺,道高一丈”,相信反病毒方式也會不斷進步,從而確保我們的

信息安全。

5 結束語

    近年來,計算機網絡獲得了飛速的發展。它不知不覺的占據了我們生活的大半部分,成為我們社會結構的一個基本組成部分。從Internet的誕生之日起,就不可避免的面臨著網絡信息安全的問題。而隨著Internet的迅速發展,計算機網絡對安全的要求也日益增高。越來越多的網站因為安全性問題而癱瘓,公司的機密信息不斷被竊取,政府機構和組織不斷遭受著安全問題的威脅等等。

計算機的安全問題正面臨著前所未有的挑戰。在這場網絡安全的攻擊和反攻擊的信息戰中,永遠沒有終點。黑客的攻擊手段不斷翻新,決定了信息安全技術也必須進 行革新,防火墻與端口掃描技術都是防范黑客攻擊的常用手段,但這樣的技術必須與當今最前沿的其他安全技術結合在一起,才能更有效地防范各種新的攻擊手段。

在本次學習中,因為時間緊,加之本身對這方面的知識的不熟悉,論文必定有考慮不周的地方,懇請老師批評指正。

 

  

在即將完成論文之際,我要衷心感謝在寫論文期間一直給我關懷和幫助的人們,正是他們的鼓勵和支持,才使我一如既往地投入到學習中去,并從中學會了面對失敗和困難,體會了成功的歡樂與興奮。

首先要感謝的是湖南農業大學信息與科學技術學院的指導老師朱幸輝老師的悉心指導。在做論文期間,老師一直以來是有問必答,時刻關注我們的寫作進程,對我們提出的問題總是及時答復,對我們的問題總是耐心的批評指正。他的作為讓我懂得了以后不管做任何事都要認真負責,對工作要兢兢業業。

同時還要感謝我朋友和同學的熱心幫助,他們在我寫論文期間盡力幫我找資料,給我提建議讓我少走了許多彎路。

還要感謝本組同學的關心和幫助以及所有老師四年來悉心的關心和教導。

感謝我的親人,一直以來他們都是我求學道路上的堅強后盾!是我的支柱!

感謝所有幫助過我的人,在次我衷心的祝他們身體健康,一生平安!

相關“木馬病毒分析及其防治方法”的文章

廣東自考便捷服務