《计算机木马病毒研究与防范毕业论文.doc》由会员分享,可在线阅读,更多相关《计算机木马病毒研究与防范毕业论文.doc(24页珍藏版)》请在三一办公上搜索。
1、 学校代码: 10184学 号: 2094030562 延 边 大 学 本科毕业论文本科毕业设计(题 目:计算机木马病毒研究与防范学生姓名: 学 院:经济管理学院专 业:信息管理与信息系统班 级:2009级指导教师: 二 一 三 年 五 月 摘 要随着信息化时代的到来人类社会生活对因特网的需求日益增长,使得计算机网络技术迅速发展和普及。因特网使得全世界都联系到了一起。极大的促进了全球一体化的发展。但是随着互联网的普及和应用的不断发展,各种黑客工具和网络手段导致网络和用户收到财产损失,其中最严重的就是木马攻击手段。它以其攻击范围广、危害大等特点成为常见的网络攻击技术之一,对整个互联网照成了极大的
2、危害。本文分析了木马病毒的基本原理,针对木马病毒的特征、传播途径等分析结果,找出计算机感染病毒的原因。并且对木马病毒的种类、加载技术及现状进行了详细的研究,提出了完善的防范建议。关键词:木马病毒;网络安全;自动加载;文件劫持AbstractWith the growing demand for information technology era of human social life on the Internet, computer network technology rapid development and popularization. The Internet makes th
3、e whole world is linked to together. Greatly contributed to the development of global integration. But with the popularity of the Internet and the continuous development of the application, a variety of hacking tools and network means the network and the user receives property damage, the most serio
4、us of which is Trojan attacks. With its wide range of attacks, hazards and other characteristics to become one of the common network attack techniques, the entire Internet according to become great harm.Keywords: Trojan; network security; Automatically loaded ;File hijacked 目录引言1第一章.木马病毒的概述21.1木马病毒的
5、基本特征21.2木马病毒的传播途径21.3木马病毒病毒的危害3第二章木马病毒的现状42.1特洛伊木马的发展42.2 木马病毒的种类4第三章.木马病毒的发展趋势7第四章.木马病毒的基本原理104.1木马病毒的加载技术124.1.1 系统启动自动加载124.1.2 文件劫持124.2 木马病毒的隐藏技术13第五章.木马病毒的防范145.1基于用户的防范措施145.2基于服务器端的防范措施155.3加强计算机网络管理17总结18参考文献19引言随着信息化时代的到来人类社会生活对因特网的需求日益增长,使得计算机网络技术迅速发展和普及。因特网使得全世界都联系到了一起。极大的促进了全球一体化的发展。但是随
6、着互联网的普及和应用的不断发展,各种黑客工具和网络手段导致网络和用户收到财产损失,其中最严重的就是木马攻击手段。它以其攻击范围广、危害大等特点成为常见的网络攻击技术之一,对整个互联网照成了极大的危害。第一章 木马病毒的概述及现状1.1木马的的定义木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序,是一种基于远程控制的黑客工具,它利用自身具有的植入功能,或依附具有传播功能的病毒,进驻目标机器监听、修改。窃取文件。1.2木马的基本特征1、隐蔽性是其首要的特征当用户执行正常程序时,在难以察觉的情况下,完成危害影虎的操作,具有隐蔽性。它的隐蔽性主要体现在6个方面:1.不产生图标、2.文件隐藏、
7、3.在专用文件夹中隐藏、4.自动在任务管理其中隐形、5.无声无息的启动、6.伪装成驱动程序及动态链接库2、它具有自动运行性它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。3、木马程序具有欺骗性木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dllwinsysexplorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本文件中的这些难以分辨的字符,更有甚者干脆就借
8、用系统文件中已有的文件名,只不过它保存在不同路径之中。还有的木马程序为了隐藏自己,也常把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。4、具备自动恢复功能现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。5、能自动打开端口应服务器客户端的通信手段,利用TCP/IP协议不常用端口自动进行连接,开方便之“门”6、功能的特殊性通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口
9、令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。1.3木马的传播途径1.利用操作系统和浏览器漏洞传播。2.利用移动存储设备(U盘)等来传播。3.利用第三方软件(如realplayer,迅雷,暴风影音等)漏洞传播4.利用ARP欺骗方式来传播5利用电子邮件,QQ,MSN等通讯软件传播6.利用网页挂马,嵌入恶意代码来传播1.4木马病毒的危害1利用通讯软件盗取用户个人信息。黑客可以利用木马病毒盗取用户的如QQ,MSN等账号进行盗取用户好友个人信息等
10、。 2盗取网游账号,威胁我们的虚拟财产安全黑客利用木马病毒盗取用户游戏账户密码,并将用户游戏中的装备或游戏币转移,照成损失。3盗取用户的网银信息,威胁我们的真是财产安全黑客利用木马,采用键盘记录等方法盗取用户的个人银行信息,直接到市用户的经济损失4给电脑打开后门,使电脑可能被黑客控制如灰鸽子等,当我们中了此类木马我们的电脑就可能成为“肉鸡”,成为黑客的工具。第二章 木马病毒的现状目前,木马病毒结合了传统病毒的破坏性,产生了更有危害性的混合型木马病毒。有关报告显示:截止2011年上半年,所截获的新增病毒总计有111474种,而木马病毒占总数的64.1%。其中,盗号木马占总木马数的70%,从数据上
11、可以看出,木马数量的成倍增长,变种称出不穷,使得计算机用户的处境更加危险。2.1特洛伊木马的发展计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。 第一代木马 :伪装型病毒这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本(事实上,编写PC-Write的Quicksoft公司从未发行过2.72版本),一旦用户信以为真运行该木马程序,那么他的下场就是硬盘被格式化。在我刚刚上大学的时
12、候,曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序,当你把你的用户ID,密码输入一个和正常的登录界面一模一样的伪登录界面后后,木马程序一面保存你的ID,和密码,一面提示你密码错误让你重新输入,当你第二次登录时,你已成了木马的牺牲品。此时的第一代木马还不具备传染特征。 第二代木马 :AIDS型木马 继PC-Write之后,1989年出现了AIDS木马。由于当时很少有人使用电子邮件,所以AIDS的作者就利用现实生活中的邮件进行散播:给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品,价格,预防措施等相关信息。软盘中的木马
13、程序在运行后,虽然不会破坏数据,但是他将硬盘加密锁死,然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征(尽管通过传统的邮递方式)。 第三代木马:网络传播性木马 随着Internet的普及,这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时还有了两个新特征,第一,添加了“后门”功能;第二,添加了击键记录功能;第三,有了视频监控和桌面监控等功能。2.2 木马病毒的种类种类特性传播途径破坏型唯一的功能就是破坏并且删除文件,可以自动的删除电脑上的DLL、INI、EXE文件硬盘传播密码发送型向密码输入窗口发送WM_SETTEXT消息模拟输入密码,向按钮窗口发送WM_CO
14、MMAND消息模拟单击。在破解过程中,把密码保存在一个文件中,以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举,直到找到密码为止。可以找到隐藏密码并把它们发送到指定的信箱。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。远程访问型最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户知道了服务端的IP地址,就可以实现远程控制。通过控制internet的UDP协议进行传播。键盘记录木马这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。潜伏在计算机硬盘中,通过记录使用者的键盘操作进行传播。DoS攻击木马随着DoS攻击越来
15、越广泛的应用,被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器,给他种上DoS攻击木马,你控制的肉鸡数量越多,你发动DoS攻击取得成功的机率就越大。通过邮件传播,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。代理木马“代理木马”具有自动下载木马病毒的功能,一旦感染系统后,当系统接入互联网,再从指定的网址下载其他木马、病毒等恶意软件。它们可以根据病毒编者指定的网址下载木马病毒或其他恶意软件,还可以通过网络和移动存储介质传播。FTP木马这种木马可能是最简单和古老的木马了,它的唯一功能就是打开21端口,等待用户连接。控制用
16、户的21端口使其运行某一指定的命令。反弹端口型木马木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;即使用户使用扫描软件检查自己的端口,发现类似TCP的情况。通过控制计算机防火墙端口进行传播。第三章 木马病毒的发展趋势早期的病毒仅仅实现了单一的破坏系统功能, 直到1998年CIH病毒的出现。CIH病毒是迄今为止破坏性最严重的病毒,也是世界上首例破坏硬件的病毒。伴随着计算机技术和网络技术的发展,计算机病毒的发展趋势也发生了巨变,目前的计算机病毒发展呈现以下趋势:1.综合利用多种编程新技术的病毒将成为主流。从Ro-otKit技术到映像劫持技术, 磁盘过滤驱动到还原系
17、统SSDTHOOK和还原其它内核HOOK技术, 病毒为达到目的所采取的手段已经无所不用。通过Rootkit技术和映像技术隐藏自身的进程、注册表键值, 通过插入进程、线程避免被杀毒软件查杀, 通过实时监测对自身进程进行回写, 通过还原系统SS-DTHOOK和还原其他内核HOOK技术破坏反病毒软件, 甚至一向被认为安全至极的数码产品都能被其驱动光盘感染病毒。目前几乎所有的木马病毒都具备这些技术特征, 几乎所有最新的程序应用技术都被病毒一一应用, 未来的病毒将综合利用以上新技术, 使得杀毒软件查杀难度更大, 对病毒的实时检测更困难, 病毒与反病毒软件之间的对抗进一步加强。2. ARP病毒仍将成为局域
18、网的最大祸害。ARP病毒已经成为近年来局域网的最大威胁,它采用ARP技术局域网挂马攻击技术, 利用MAC地址欺骗,传播恶意广告或病毒程序。ARP病毒发作时, 通常会造成网络掉线, 但网络连接正常, 内网的部分或全部电脑不能上网,无法打开网页或时断时续, 且网速较慢等现象。更为严重的是, ARP病毒新变种能把自身伪装成网关, 在所有用户请求访问的网页添加恶意代码, 导致杀毒软件在用户访问任意网站时均发出病毒警报, 用户下载任何可执行文件, 均被替换成病毒。3.病毒制作更简单, 传播速度更快。由于网络的普及, 使得编写病毒的知识更容易获得,同时,各种功能强大而易学的编程工具, 让用户可以轻松编写病
19、毒程序, 用户通过网络甚至可以获得专门编写病毒的工具软件, 只需要通过简单的操作就可以生成具有极强杀伤力的病毒。随着网速的提高,在数据传输时间变短的同时, 病毒的传送时间会变得微不足道。同时, 可利用的传播途径也日趋多样化, 有文件、电子邮件、Web服务器、网络共享、ICQ、ICR等, 病毒的危害性也日趋多样化。目前计算机病毒的传播方式 使用技术以及危害的程度与过去相比已经有了较大的变化 在网络境下病毒除了具有可传播性 可执行性破坏性等计算机病毒的共性外 还具有一些新的特点一、破坏性极大网络中计算机病毒破坏性极强,病毒往往与其它技术相融合,如:某些病毒集普通病毒、蠕虫、木马和黑客等技术于一身,
20、具有混合型特征的“爱虫”“美丽杀”等CIH病毒都给世界计算机信息系统和网络带来灾难性的破坏;有的造成网络拥塞甚至瘫痪有的成为“肉鸡”进而造成重要信息被窃取、个人隐私被偷拍;甚至有的计算机被人网络控制变成攻击别人的“网络僵尸”二、利用可移动磁盘传播的病毒明显增多随着可移动磁盘价格下降,拥有可移动磁盘的用户也大量增加,病毒也开始趁机作乱,除了蠕虫,普通的木马大多都可通过可移动磁盘进行传播,主要方式是复制一个病毒体和一个autoru.inf文件到各盘。由于经常使用可移动磁盘在不同计算机之间交流数据和windows系统自动播放功能的存在,很容易造成计算机病毒的“交叉感染”。三、病毒隐蔽性强现在病毒技术
21、不断翻新,更多的VBS病毒只驻留在内存中,不写到硬盘上,根本就没有特征代码和恶意代码,病毒启动时在内存中无法找到病毒体,即使有的病毒有特征代码或恶意代码,也都采用了加密技术,将病毒特征代码和恶意代码进行隐藏可以逃过普通的特征码匹配查找方法,隐藏性更强,使发现病毒变得更加困难。为了更好的隐藏自己阴险的一面,病毒常常伪装成各种能对人感兴趣的东西,例如:“世界杯病毒(script worldcup)” 是利用世界杯热潮以竟猜世界杯冠军获奖信息为内容的恶意网络脚本病毒,还有一些病毒伪装成玩笑、动画、甚至病毒修复程序等形式出现。四、对抗安全软件的病毒明显增多“机器狗”系列病毒直接操作磁盘以绕过系统文件完
22、整性的检验,通过感染系统文件(比如explorer.exe,winhlp32.exe,serinit.exe等)等)达到隐蔽启动;通过底层技术穿透冰点、影子等还原系统软件导致大量用户感染病毒;通过修复SSDT、映像挟持、进程操作、修改注册表等方法使得流行的安全软件失去用,用联网下载大量的盗号木马。 终结者AV最大特点是禁用所有杀毒软件以及大量的安全辅助工具,让用户电脑失去安全保障;破坏安全模式,致使用户根本无法进入安全模式清除病毒;强行关闭带有病毒字样的网页,只要在网页中输入“病毒”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法。2008年年末出现的“超
23、级AV终结者”结合了AV终结者、机器狗、震荡波、autorun病毒的特点,是金山毒霸“云安全”中心捕获的新型计算机病毒。它对用户具有非常大的威胁。五、网页挂马式传播网页挂马已经成为木马病毒传播的主要途径之一。入侵网站,篡改网页内容,植入各种木马,用户只要浏览被植入木马的网站,即有可能遭遇木马入侵,甚至遭遇更猛烈的攻击,造成网络财产的损失。2008年,网站被挂马现象屡见不鲜,大到一些门户网站,小到某地方电视台的网站 都曾遭遇挂马问题。伴随着互联网的日益普及。网页挂马已经成为木马病毒传播的主要途径之一的今天,金山毒霸反病毒工程师预测2009年网络挂马问题将更加严峻,更多的网站将遭遇木马攻击。六、病
24、毒制造经济化、产业化、低门槛化早期的计算机病毒都是编程高手制作的,编写病毒是为了显示自己的技术。而现在的病毒编写者不再单纯炫耀技术,更多是以经济利益为目的。2008年年截获的新木马病毒中,80%以上都与盗取网络游戏帐号密码有关。同时,网上贩卖病毒、木马和僵尸网络的活动不断增多,且公开化;利用病毒木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。种种迹象表明。病毒的制造、传播者追求经济利益的目的越来越强。“病毒制造机”是网上流行的一种制造病毒的工具,病毒作者不需要任何专业技术就可以手工制造生成病毒,在网络上可以轻易找到有诸多此类广告,病毒作者可根据自己对病毒的需求,在相应的制作工具中定制
25、和勾选病毒功能,这种病毒傻瓜式制作导致制作病毒门槛更低。第四章 木马病毒的基本原理木马病毒通常饱饭两个部分:服务器和客户端。服务端植入危害主机,而施种者利用客户端侵入运行了服务端的主机。木马的服务端一旦启动,受害主机的一个或几个端口即对施种者敞开,使得 施种者可以利用这些端口受害主机,开始执行入侵操作。如图:图表 1 木马病毒传播基本原理1、配置、传播木马一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现伪装和信息反馈两方面的功能。传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统
26、就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为 名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。 2、运行木马服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端口状态,一般个人电脑在脱机状态下是不会有端口
27、开放的,如果有端口开放,你就要注意是否感染木马了。3、信息反馈木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等。4、建立连接一个木马连接的建立首先必须满足两个条件:一是服务端已安装了木马程序;二是控制端,服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接值得一提的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的。5、远程控制木马连接建立后,控制端端口和木马端口之间将会出现一条通道,控制端上的控制端程序可藉这条通道与服务端上的木马程序取得
28、联系,并通过木马程序对服务端进行远程控制。6、木马病毒的传播及植入由于木马病毒是一种非自我复制的恶意代码,因此她需要依靠用户向其他人发送其拷贝。木马病毒可以作为电子邮件附件或者隐藏在用户与其他用户进行交互的文档或者其他文件中。他们还可以被其他恶意代码所携带,如蠕虫。木马病毒有时也会隐藏在从互联网上下载的捆绑软件中。当用户安装此软件是,病毒就会在后台秘密安装。木马植入技术主要是指木马病毒利用各自途径进入到目标机器的具体方法。7、木马病毒植入技术木马病毒植入技术,主要是指木马病毒利用各种途径进入目标机器的具体实现方法。(1)利用电子邮件进行传播:攻击者将木马程序伪装成E-mail附件的形式发送过去
29、,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。(2)利用网络下载进行传播:一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。(3)利用网页浏览传播:这种方法利用Java Applet编写出一个HTML网页,当我们浏览该页面时,JavaApplet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。(4)利用一些漏洞进行传播:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者
30、可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。(5)远程入侵进行传播:黑客通过破解密码和建立IPC远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:WINDOWSsystem32或者C:WINNTsys-tem32)中,然后通过远程操作让木马程序在某一个时间运行。(6)基于DLL和远程线程插入的木马植入:这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。而DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先,由于DLL文件映像可以被映射到调
31、用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,增加了隐蔽性的要求。(7)利用蠕虫病毒传播木马:网络蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在网络上进行传播、复制,这就加快了木马的传播速度。4.1木马病毒的加载技术当木马病毒成功植入目标机后,就必须确保自己可以通过某种方式得到自动运行。常见的木马病毒加载技术主要包括:系统启动自动加载
32、、文件关联和文件劫持等。4.1.1 系统启动自动加载系统启动自动加载,这是最常的木马自动加载方法。木马病毒通过将自己拷贝到启动组,或在win.ini,system.ini和注册表中添加相应的启动信息而实现系统启动时自动加载。这种加载方式简单有效,但隐蔽性差。目前很多反木马软件都会扫描注册表的启动键(信息),故而新一代木马病毒都采用了更加隐蔽的加载方式。4.1.2 文件劫持文件劫持,是一种特殊的木马加载方式。木马病毒被植入到目标机后,需要首先对某个系统文件进行替换或嵌入操作,使得该系统文件在获得访问权之前,木马病毒被率先执行,然后再将控制权交还给相应的系统文件。采用这种方式加载木马不需要修改注册
33、表,从而可以有效地躲过注册表扫描型反木马软件的查杀。这种方式最简单的实现方法是将某系统文件改名,然后将木马程序改名。这样当这个系统文件被调用的时候,实际上是木马程序被运行,而木马启动后,再调用相应的系统文件并传递原参数。4.2 木马病毒的隐藏技术为确保有效性,木马病毒必须具有较好的隐蔽性。木马病毒的主要隐蔽技术包括:伪装、进程隐藏、DLL技术等。伪装,从某种意义上讲,伪装是一种很好的隐藏。木马病毒的伪装主要有文件伪装和进程伪装。前者除了将文件属性改为隐藏之外,大多通过采用一些比较类似于系统文件的文件名来隐蔽自己;而后者则是利用用户对系统了解的不足,将自己的进程名设为与系统进程类似而达到隐藏自己
34、的目的。进程隐藏,木马病毒进程是它驻留在系统中的最好证据,若能够有效隐藏自己的进程,显然将大大提高木马病毒的隐蔽性。在windows98系统中可以通过将自己设为系统进程来达到隐藏进程的目的。但这种方法在windows2000/NT下就不再有效,只能通过下面介绍的DLL技术或设备驱动技术来实现木马病毒的隐藏。DLL技术,采用DLL技术实现木马的隐蔽性,主要通过以下两种途径:DLL陷阱和DLL注入。DLL陷阱技术是一种针对DLL(动态链接库)的高级编程技术,通过用一个精心设计的DLL替换已知的系统DLL或嵌入其内部,并对所有的函数调用进行过滤转发。DLL注入技术是将一个DLL注入到某个进程的地址空
35、间,然后潜伏在其中并完成木马的操作。第五章 木马病毒的防范计算机病毒的防范措施针对病毒的发展趋势,从上面的讨论知道木马程序是非常危险的,计算机一旦感染病毒是非常危险的,所以在前人研究的基础上我认为以下几种方法也有助于病毒的防范。如:(1)不随意打开来历不明的邮件,阻塞可疑邮件。(2)不随意下载来历不明的软件。(3)及时修补漏洞和关闭可疑的端口。(4)尽量少用共享文件夹。(5)运行实时监控系统。(6)经常升级系统和更新杀毒软件。(7)限制不必要的具有传输能力的文件。(8)关闭不常使用端口。我国计算机网络安全形势十分严峻,采用有效的病毒防范措施显得尤其重要。计算机网络中最主要的软硬件实体就是服务器
36、和工作站,防治病毒首先要考虑这两部分: 5.1基于用户的防范措施(1)在网络接口卡上安装防病毒芯片。是一种硬件防病毒技术,与操作系统相配合,可以防范大部分针对缓冲区溢出漏洞的攻击。Intel的防病毒技术是EDB,AMD的防病毒技术是EV,但不管叫什么,它们的原理都是大同小异的。严格来说,目前各个CPU厂商在CPU内部集成的防病毒技术不能称之为“硬件防毒”。这样可以更加实时有效地保护工作站及通向服务器的桥梁。(2)创建紧急引导盘和最新紧急修复盘。紧急引导盘就是常说的启动盘,当电脑无法进入操作系统时,可以用它引导系统,进入dos状态,然后对系统进行各种修复。计算机病毒的防治措施中创建的紧急修复盘是
37、对当前计算机的分区表,引导区信息等重要信息进行的备份,当计算机的这些信息被病毒破坏后,可以通过这张盘进行恢复,尽量减少损失。(3)尽量不用外来的软件和闪盘, 用前要用最新正版的杀毒软件查杀。正版杀毒软件非常稳定,不会出现各种未知问题,如病毒库不能及时更新等;遇到疑问时可获取杀毒软件官方客服支持,以便及时解决问题;能及时的更新病毒库和正版杀毒软件版本,更为有效的防范网络威胁;可避免因在不可靠的网站寻找破解等信息时候中毒或错将恶意软件当作破解补丁下载。可享受更多更好的安全服务,这些服务是破解或盗版杀毒软件所不可能有的。能够享受官方为正版用户提供的增强服务,比如诺顿、迈克菲的数据在线存储等(4)重要
38、文件和数据不要安装在系统盘上, 注意及时做好数据的备份。数据库的数据全在电脑上,如果出现一些意外(系统崩溃,认为破坏,硬盘损坏等),会造成数据丢失,而要数据恢复的话,需要花很多时间和金钱。(5)对计算机系统软件及时安装补丁程序, 检查注册表和内存中可疑进程。 系统必须打补丁,这是一个安全常识,现在的病毒最爱做的事情就是利用系统漏洞攻击你的电脑,所以一位说可以不打补丁的朋友的说法是严重错误的,不过补丁也可以用360来打,应该说360下载的补丁最多只是存在判断不正确的问题,就是说出现实际无需安装的补丁的下载提示,一般安装补丁是以Windows Update上的提示为准,而况你是正版的,更加无需担心
39、正版验证的问题。绝大多数时候就算安装了多余的补丁,也不会引起系统崩溃,你这崩溃和补丁可能存在关系,但也可能实际上是无关的,你在重启之后WIN7自动进行了修复,也就自然恢复正常了。(6)接收电子邮件、从网络下载各种免费和共享软件要进行必要的检查和杀毒后才能打开、安装和使用。(7)提高自身素质,上网浏览时不要访问不良网站。当前,网络病毒的最新趋势是: (1)不法分子或好事之徒制作的匿名网页直接提供了下载大批病毒活样本的便利途径。(2)由于学术研究的病毒样本提供机构同样可以成为别有用心的人的使用工具。(3)由于网络匿名登录才成为可能的专门关于病毒制作研究讨论的学术性质的电子论文、期刊、杂志及相关的网
40、上学术交流活动,如病毒制造协会年会等等,都有可能成为国内外任何想成为新的病毒制造者学习、借鉴、盗用、抄袭的目标与对象。(4)散见于网站上大批病毒制作工具、向导、程序等等,使得无编程经验和基础的人制造新病毒成为可能。(5)新技术、新病毒使得几乎所有人在不知情时无意中成为病毒扩散的载体或传播者。其传播方式和速度之快,让人防不胜防,由此可见反病毒过程任重道远。(6)发现病毒后要立刻关机, 因为正常关机操作,Windows会做备份注册表等很多写盘操作, 刚刚被病毒误删的文件可能被覆盖,一旦被覆盖就没有修复的可能,即把电源切掉,操作系统自身的完整性和其他应用程序还可能大部分保存完好, 然后用计算机恢复工
41、具或杀毒软件来处理。5.2基于服务器端的防范措施网络服务器是计算机网络的中心,是网络的支柱。目前基于服务器的防治病毒方法大部分采用防治病毒可装载模块(NLM), 以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,保护服务器不受病毒的攻击。具体措施有: (1)建立有效的计算机病毒防护体系。有效的计算机病毒防护体系应包括多个防护层。一是访问控制层;二是病毒检测层;三是病毒遏制层;四是病毒清除层;五是系统恢复层;六是应急计划层。上述六层计算机防护体系,须有有效的硬件和软件技术的支持,如防火墙技术、网络安全设计、身份验证技术等。入侵检测作为一种积极的安全防护技术,提供了对内部攻击,外
42、部攻击和错误操作的实时保护,在网络系统收到危害前拦截和响应入侵。从网络安全建立纵身,多层次防御的角度出发。(2)安装和设置防火墙。防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 以此来实现网络的安全保护。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动, 保证了内部网络的安全。在服务器端和客户端都要安装使用病毒防火墙, 建立立体的病毒防护体系, 一旦遭受病毒攻击, 立即采取隔离措施。(3)安装服务器端防病毒系统,以提供对病毒
43、的检测、清除、免疫和对抗能力,同时及时对病毒库进行在线升级。有些人以为只要他们保护了自己的电子邮件网关和内部的桌面计算机,就无需基于电子邮件服务器的防病毒解决方案了。这在几年前或许是对的,但是目前随着基于 Web 的电子邮件访问、公共文件夹以及访问存储器的映射网络驱动器等方式的出现,病毒可以通过多种方式进入电子邮件服务器。这时,就只有基于电子邮件服务器的解决方案才能够检测和删除受感染项。 拦截受感染的附件。许多利用电子邮件传输方式的病毒传播者(又称“海量寄件者”)经常利用可在大多数计算机中找到的可执行文件,如EXE、VBS和SHS散布病毒。实际上,大多数电子邮件用户并不需要接收带这类文件扩展的
44、附件,因此当它们进入电子邮件服务器或网关时可以将其拦截下来。 安排全面随机扫描。即使能够保证使用所有最新的手段防范病毒,新型病毒也总是防不胜防。它们有可能乘人们还没来得及正确识别,防病毒产品厂商也尚未相应地制定出新的定义文件之前,进入系统。通过使用最新定义文件,对所有数据进行全面、随机地扫描,确保档案中没有任何受感染文件蒙混过关,就显得尤为重要。 利用试探性扫描,可以寻找已知病毒的特征,以识别是已知病毒变异的新病毒,提供较高级别的保护,但缺点是它需要更多的处理时间来扫描各项病毒,而且偶尔还会产生错误的识别结果。不管怎样,只要服务器配置正确,根据性能的需要,利用试探性扫描提供额外保护,还是值得一
45、试的。 用防病毒产品中的病毒发作应对功能。海量邮寄带来的病毒可以迅速传遍一个系统。对于管理员而言,没有防病毒厂商所提供的适当的检测驱动程序,要根除这些病毒是极其费力的。幸运的是,某些病毒防护产品提供了系统设置功能,一旦出现特定病毒发作的特征,这些产品就会自动发出通知或采取修正措施。 重要数据定期存档。并非所有病毒都立即显示出自己的特征;根据感染位置以及系统的设置情况,有些病毒可能要潜伏一段时间才能被发现。最好是至少每月进行一次数据存档,这样,如前所述,在防病毒解决方案的自动删除功能不起作用时,就可以利用存档文件,成功地恢复受感染项。5.3加强计算机网络管理计算机网络病毒的防治,单纯依靠技术手段
46、是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来, 提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。网络管理应该积极主动, 从硬件设备和软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程,建立、 防杀结合、以防为主、以杀为辅、软硬互补、标本兼治的最佳安全模式。总之, 计算机病毒在形式上越来越难以辨别, 造成的危害也越来越严重,我们需要高度重视病毒的发展趋势, 加强计算机病毒防范知识的普及和应用, 加强安全防范意识和技术, 加强计算机病毒知识的研究, 在技术上更先进, 功
47、能上更全面, 构建较完善的病毒防范体系, 确保体系的有效性和先进性。结论总之, 计算机病毒在形式上越来越难以辨别, 造成的危害也越来越严重,我们需要高度重视病毒的发展趋势, 加强计算机病毒防范知识的普及和应用, 加强安全防范意识和技术, 加强计算机病毒知识的研究, 在技术上更先进, 功能上更全面, 构建较完善的病毒防范体系, 确保体系的有效性和先进性。参 考 文 献1 张又生,.计算机病毒与木马程序剖析M.北京:北京科海电子出版社,2009.2 张小磊.计算机病毒诊断与防治M.北京:中国环境科学出版社,2008.3 David Harley美,Robert Slade美,Urs E.Gattiker美.计算机病毒揭秘M.北 京:人民邮电出版社,2005.9.4 李光明.中文Visual Basice 6.0 程序设计教程M.北京:冶金工业出版社,2008. 5 张争平,审校.新编windows API参考大全M.北京:电子工业出版社,2008.3.6 张玉生.Visual Basic 程序设计与上机实验指导.上海:华东理工大学出版社.7 龚沛曾.VB程序设计简明教程(第二版).高等教育出版社.2002.8.8 郝强,赵中华.Window