木马程序
开篇:润墨网以专业的文秘视角,为您筛选了八篇木马程序范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
木马程序范文第1篇
【关键词】特洛伊木马;计算机网络;入侵;防御
对于计算机网络而言,当前的计算机网络具有一定的脆弱性和易受攻击性,而这些攻击手段主要是以特洛伊木马病毒为主的各种计算机病毒程序。这些程序通过非法的手段入侵他人计算机非法获取信息,扰乱社会和网络空间安全。有鉴于此,客观认识木马病毒并采取相应的措施,具有十分重要的意义。
一、木马病毒对计算机网络的危害
(一)木马的概念。“木马”程序是当前计算机网络安全中比较流行的病毒文件,但是木马病毒不同于一般的计算机病毒,木马病毒不会自我复制,也不会刻意的去污染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者刻意任意毁坏、窃听被种者的文件,甚至远程操控被种主机。因此,木马病毒所带来的危害要远远大于一般计算机网络病毒的危害。
(二)木马的特征
木马作为计算机网络病毒中的一种,它有较多种类的木马程序,但各类木马程序之间具有一些类似的特征。
1.植入性。木马病毒通常作为远程攻击的一种手段。因而,木马病毒通常是通过计算机网络等途径,将木马程序植入到宿主计算机中。此外,由于当前木马技术与计算机蠕虫技术相结合,大大提高了木马病毒的植入能力。
2.隐蔽性。木马病毒在被植入到宿主计算机之后,便通过修改自身自动方式、改变自身存盘位置、修改文件名称或图标等方式实现木马程序的隐藏。
3.自动运行和恢复性。木马程序可以通过修改系统的配置文件实现电脑启动时运行木马程序的工功能。此外,目前很多木马程序的功能模块并不是由单一的文件组成,而是具有相对多重的备份,可以再任何时刻实现相互复制、恢复的目的,防止计算机安全程序对木马病毒的处理。
二、网络服务器木马入侵途径
(一)木马的配置策略。木马的配置策略主要是通过木马的植入隐蔽和信息反馈两个关键步骤实现。首先通过各种植入方式,将木马程序植入宿主计算机,通过各种隐藏手段实现在宿主计算机中的隐藏,然后,通过数据反馈的方式,将宿主计算机内部的各种软硬件配置信息借助互联网传送到入侵主机中,从而最终实现木马程序的配置。
(二)木马的传播方式。木马的传播主要建立在互联网相互通信基础上,通过互联网之间的信息传递实现木马程序的入侵。木马程序入侵主要可通过电子邮件、软件下载和网页传播等方式实现。在电子邮件植入中,控制端将木马程序以附件的方式传送出去,客户端一旦打开邮件就会感染病毒。在软件下载方式中,客户端在软件的安装过程中,木马程序便同时予以启动,导致客户端感染病毒。在网页的传播方式中,客户端在浏览网页的过程中会在客户端和服务器之间的信息传递中,不经意间感染木马病毒。
(三)木马的运行过程。传统的木马运行方式有两种,分别为自启动激活模式和触发式激活模式。自启动激活模式主要是木马程序中存在某些关键值,当系统内部的程序的运算结果达到木马程序的阈值时,木马程序就会自动启动。触发式激活模式则是依靠文件捆绑方式实现,当客户机对捆绑文件进行操作的时候,被捆绑的木马程序就会启动。目前,较为流行的木马入侵方式主要是合并上述两种方式,其方式主要是先通过触发式激活模式,将木马程序植入计算机中,然后,通过自启动的方式激活程序,使程序在计算机内部活跃起来,实现对客户机的监听以及盗窃相应数据的目的。
(四)木马的远程控制。当控制端和客户端通过木马程序建立连接后,控制端和客户端就会形成木马通道,控制端可以通过相应的木马程序借助该通道获取客户端的数据信息,从而实现远程控制。
三、网络服务器木马入侵的防御方法
(一)安装防火墙和杀毒软件。根据当前木马程序的攻击方式统计结果,大部分木马攻击都是利用现有较为成熟的木马程序或者系统软件和应用软件的漏洞进行网络攻击,针对这些网络攻击,客户机可以有针对性的采取安装防火墙或者杀毒软件等方式进行抵制木马程序的攻击,确保客户端的软硬件信息和重要数据信息得到时刻的监控,防止木马病毒的攻击。
(二)阻断网络通信途径。在网络监控环节中,可以利用计算机安全程序对通信网络进行实时监控,对网络通信环节出现的异常要进行及时处理,确保网络正常的通信,此外,可以对客户端计算机的网络数据包进行规则定义,确保该客户端计算机的数据包流通合乎规则,降低木马程序的入侵可能性。另外,通过计算机入侵检查技术,可以再流动数据包中进行木马植入和攻击风险的检测,并对以检测到的攻击进行网络阻断。
(三)网络端口的实时监控。客户端计算机连接网络的基础的网络端口,通过网络端口的连接作用实现计算机连接网络的目的。通过对网络端口的实时监控可以降低客户端计算机受到木马病毒攻击的可能性。对网络端口的实时监控主要是检测两个方面。一个方面就是监控端口的开启与关闭,如果实时监控系统发现某个端口打开和关闭异常,则表明该端口容易受到或正在受到木马等程序的攻击,通过对该异常端口进行相应的处理,即可相应的降低感染风险。另一个方面就是对通过网络端口数据的监控,防止木马程序通过依附于合法数据包的方式进行远程攻击。
(四)访问注册表行为的控制。当前木马程序在宿主计算机中发挥隐藏功能的主要基础是木马伪装成注册表在系统中存在,加强对系统中注册表的访问机制,就会在一定的程度上降低木马的攻击效果。
一些木马通过修改系统注册表,实现其木马的恶意行为,并且能够实现隐藏和启动的功能,因此,如果能够对系统修改注册表的行为加以控制,那么木马就不会对系统做出非法操作,此外,对注册表中和自启动相关联的项目加以权限限制和实施监控,可以令木马程序不能隐蔽和自启动,提高了系统保护自身的能力。
(五)防范恶意远程控制。由于当前的计算机大部分都连入网络当中,那么连入互联网的计算机就面临着远程控制的风险,正常情况下的合法远程控制对于用户而言,用户未必能够注意到计算机已被远程控制,但是一旦计算机被恶意远程控制,那么计算机的运行性能就会遭到极大的影响,因此,当出现计算机被远程控制的时候,用户需要对计算机采取及时的措施,降低因木马中毒导致计算机被恶意远程控制造成的不必要风险。
参考文献:
木马程序范文第2篇
病毒危害:
关于勒索木马我们这个栏目已经介绍过很多了,最近又出现了一款名为GoldenEye的全新木马程序。和以前的木马程序相似的是,这款木马主要是通过发送求职邮件的形式进行传播,一旦进入到系统里面以后就会对重要的文件进行加密。不过与其他勒索木马最大的不同点是,这款木马程序在进入系统以后会感染系统的引导分区。也就是说,即使是用户对操作系统进行了格式化重新安装,在重新启动操作系统以后就会再次感染这款木马程序,所以它的危害相对于其他的勒索木马来说将更加可旧。
防范措施:
虽然这款木马程序和以前的勒索木马有很多的不同,但是鉴于它们的传播方式非常的相似,所以我们一定要从传播方式上进行拦截。也就是说,对于不熟悉的附件文件,一定不要随意地进行下载运行,避免勒索木马趁虚而入进入到系统里面。病毒仿冒11内某知名应用市场
病毒各称:EvilPea病毒
病毒危害:
以前我们曾经听说过,黑客为了迷惑用户,常常将一些手机病毒伪装成知名的手机应用供用户下载。最近有一款名为EvilPea的恶意程序,直接将它伪装成一款知名的手机应用市场。一旦用户下载运行了这款恶意程序,就会引导用户安装正规的应用程序,从而对自身的图标进行隐藏,方便恶意程序在系统后台继续运行。接下来恶意程序会利用插件机制,实行一系列的恶意行为,包括窃取用户短信、@取用户地理位置、屏幕截图等。虽然这些恶意行为本身不会直接造成用户的经济损失,但是这些恶意行为结合键盘记录,可以大量窃取用户的隐私信息。
防范措施:
无论是下载手机应用还是应用商店程序,都建议用户直接到官方网站里面进行下载。不过好在现在很多手机都自带有应用商店,利用它就可以下载到安全的手机应用程序了,避免通过不正规的渠道进行下载安装操作。全新安全漏洞造成系统蓝屏
漏洞名称:Windows SMBv3
远程攻击oday漏洞
漏洞危害:
最近国外的技术网站Github曝光了一个WindOWS系统的Oday漏洞,该漏洞会影响到Windows 8、Windows 8.1以及Windows10等系统。由于漏洞发生在系统的服务器消息块(SMB)协议上面,所以黑客可以模拟出一个SMB服务器,接着可以通过139、445等远程端口,以及中间人方式“毒化”SMB回应,甚至以包含UNC路径的邮件、文档或网页诱骗用户点击触发漏洞。一旦这个安全漏洞被触发,就会引起拒绝服务的操作,甚至出现系统蓝屏等一系列的问题,所以必须要引起用户的高度注意才可以。
木马程序范文第3篇
【关键词】网页木马 机理 防御方法
网页木马是一种以特定的页面元素作为攻击对象,利用浏览器及插件中的漏洞,在用户的服务器终端进行攻击和控制的程序。网页木马制作简单、传播速度快,而且破坏力强,能够隐蔽的将恶意的程序植入在用户的客户端,给用户的电脑软件造成破坏,危害用户的信息安全。近年来,研究者针对网页木马的机理和防御做了很多的研究,现总结如下。
1 网页木马的定义
网页木马的本质是一组恶意的网页代码。黑客通过在特定的网页或者系统中进行木马程序的植入。在用户下载或者执行包含的恶意文件时,隐藏的木马程序通过计算机的漏洞侵入到客户端的计算机中,远程控制客户端的资源。通过修改客户端的文件、下载用户的文件或者随意的客户端的计算机注册表和系统文件,窃取对方的计算机信息资料,甚至造成对方计算机的瘫痪。
一般情况下,网页木马表现为一组相互之间有链接关系的、含有恶意的程序代码的网页界面。相比于蠕虫等传统的具有自我复制功能的网络病毒,网页木马还可以在的终端端对用户的网页进行实时的控制,而且这种攻击方式对于防火墙的检测来说不易发现,可以有效地在用户的电脑中顺利进行恶意代码的植入,盗取个人信息和破坏电脑程序更加的方便。而且由于现代网络的普及,黑客可以利用网页木马进行盗用股票账号、信用卡账号等,以此来获取经济利益。因此,现代网页木马的危害性更大。
2 网页木马的工作原理
现代网页木马在进行网页侵入的时候,通常是采用一种被动攻击的模式。一般是根据某个浏览器或者电脑的插件的具体的常见漏洞而开发的,黑客将网页木马设置在服务器的终端,并事先对攻击的页面进行设定。当用户发起特定的网页访问请求的时候,网页木马的服务器对用户的行为作出回应,将包含木马的页面内容发送到用户的客户端。一旦发送成功,隐藏的木马页面被浏览器加载,而其中的特定程序在浏览器中被执行并通过利用电脑程序的漏洞进行下载、安装、执行某些恶意程序。由此可见,网页木马的特点是隐蔽性,可以在不知不觉中对用户的电脑程序造成影响。其安装时被动式的,但是可以有效地对抗电脑的防火墙,对于用户来说很难防范。
通常情况下,木马的攻击步骤包括以下几个方面:首先是木马的植入,木马程序在客户端电脑植入后,能够自动的进行程序的启动哈运行,对目标主机进行实施的控制。在此过程中,可以修改系统的文件,实现文件的自动加载;修改计算机系统的注册表,以掌握计算机的核心配置文件;或者对系统进行服务程序的添加,导致只要系统启动,就会运行木马的现象;修改文件的关联属性,导致文件的运行与木马的运行同步;此外还可以利用程序的自动运行的一些程序,实现自动化的运行,对系统的DLL进行更改等。其次,是由于木马的隐藏功能对计算机用户造成的危害,木马可以将其程序注册为服务,进行深度的隐藏;还可以使用可变的高端口或者系统的服务端口,进行有效的隐藏。在此,木马程序具有的监控技术。可以实现对客户机器的信息窃取,对用户的实践进行记录以及远程的进行目标机器的鼠标和键盘的管理和控制,对于客户端用户来说危害极大。
3 网页木马的漏洞利用机理
前面提到网页木马主要是通过用户的客户端浏览器或者插件的漏洞以实现对电脑的入侵的。在相应的漏洞下,绕过网络的防火墙,获得一定的执行权限,以实现恶意程序的下载与执行的最终目的。现阶段,网页木马多采用的Java Script 脚本语言进行编写,一般情况下电脑的浏览器可以为此种语言与相关插件(API)之间的交互作用提供便利,网页木马程序可以很方便的通过调用其中的不安全语言编程,导致插件出现漏洞。而且,黑客也可以通过对脚本进行灵活的运用,对反病毒引擎的安全检查进行混淆。因此,网页木马可以利用的程序漏洞主要有任意下载 的API 类漏洞和内存破坏漏洞。
前者主要存在与一些浏览器的插件中,很多浏览器中通常都会存在一些用来下载、上传、等功能的插件。而插件在安装的过程中,通常不受到重视。如果在API 中未进行安全检查,就会存在网页木马进行直接的利用的危险。
后者主要主要分为是三种,分别为 use-after-free 型漏洞、溢出漏洞和浏览器解析漏洞三种。网页木马可以利用Java Script, Vb Script脚本向存在漏洞的浏览器内存中进行恶意的传输一些执行指令,导致相应的执行流跳转被触发,在控制下相应的程序进行下载和执行恶意的程序。
4 网页木马的防御方法
4.1 木马检测
首先是在日常使用电脑的过程中,尤其是进行文件的下载过程中,应该注意木马的监测。常见的检测方法有端口的扫描,对系统的进程进行检查以及对.ini 文件、计算机的注册表以及服务进行经常的检查,或者对网络的通讯设备进行检查,通过定期的检查可以及时的发现木马,防止电脑被网页木马侵入,降低用户的损失。
4.2 木马的清除
一旦在电脑中发现木马的侵入,我们应该明确木马的加载部位及时的清除木马的登记部位,切断木马开机启动的功能。但是有些木马侵入的计算机注册变,会出现自动恢复的现象,因此操作者应该实现停止木马程序后再进行删除的操作。但是,目前的木马种类众多,攻击性和隐藏性越来越强,为了实现有效地查杀,还要借助专业的杀毒软件进行清除。
4.3 木马的防范
木马的防范应该从多方面入手,全面提高计算机的安全性。首先应该对计算机的漏洞进行及时的修补,安装补丁,防止被恶意的程序利用。其次,我们可以采用反病毒软件对程序进行实时的监控,经常进行软件的更新,下载专门的木马清除软件,对电脑进行木马的清除。再者用户应该增强防范意识,不随意下载软件,尤其是不规范网站的软件,最后,现阶段提出的基于网站服务器端进行网页挂马的防范,也是一个非常有效的方法。
综上所述,为了更好的使用计算机为我们的生活服务,我们应该了解网页木马的危害,及时的进行检测、防范和清除,杜绝网页木马的出现,提高信息的安全性。
参考文献
[1]张慧琳,邹维,韩心慧.网页木马机理与防御技术[J].软件学报,2013,04:843-858.
[2]郑云鹏.网页木马机理与防范对策[J]. 电子技术与软件工程,2014,12:233.
作者单位
木马程序范文第4篇
关闭磁盘文件运行权限
无论是什么类型的病毒、木马程序,如果希望通过移动磁盘分区进行传播扩散,并攻击网络中的其他计算机系统,都必须要先让移动磁盘分区中的可执行文件拥有发作运行权限。要是能够切断移动磁盘分区中的病毒文件运行发作权限,那么病毒木马程序就没有任何威胁了,这样就能实现防范病毒扩散的目的了。在切断病毒、木马程序发作运行通道时,不妨进行如下设置操作:
首先打开本地系统的“开始”菜单,点选“运行”选项,弹出系统运行文本框,输入“gpedit.msc”字符串命令,单击回车键后,弹出系统组策略控制台界面,将鼠标定位到该界面左侧列表中的“本地计算机策略/计算机配置/Windows设置/安全设置/软件限制策略”分支上。
其次用鼠标右击“软件限制策略”分支选项,从弹出的快捷菜单中点选“新建软件限制策略”选项,这样会在目标分支下看到“其他规则”子项,之后再用鼠标右键单击“其他规则”子项,执行右键菜单中的“新路径规则”命令,弹出如图1所示的组策略属性对话框,在“路径”位置处选择好移动磁盘分区使用的盘符,并按“确定”按钮执行设置保存操作,这样移动磁盘分区中日后即使被感染了病毒程序,病毒也无法随意传播、扩散了。
关闭磁盘自动播放功能
不少网络病毒都是通过磁盘分区根文件夹中的“autorun.inf”文件实现自动发作运行的,只要用户不小心双击一下磁盘分区图标,隐藏在其中的病毒文件就会自动发作运行,并感染计算机系统。所以,如果用户切断了磁盘分区自动播放通道,那么病毒木马程序自动发作运行的机率会大大降低,下面就是具体的操作步骤:
首先打开本地系统的“开始”菜单,点选“运行”选项,弹出系统运行文本框,输入“gpedit.msc”字符串命令,单击回车键后,弹出系统组策略控制台界面,将鼠标定
位到该界面左侧列表中的“本地计算机策略/计算机配置/管理模板/Windows组件/自动播放策略”分支上。
其次找到目标分支下的“关闭自动播放”组策略选项,用鼠标双击该选项,切换到如图2所示的组策略选项设置框,检查“已启用”选项是否被选中,如果发现其还没有被选中时,应该将其重新选中,并激活下面的选项设置,从选项列表中选择“所有驱动器”,并单击“确定”按钮执行设置保存操作,这样躲藏在任何一个磁盘分区中的病毒木马程序,日后都无法自动运行发作了。
关闭磁盘隐藏共享功能
为了方便远程控制和管理,局域网中的许多计算机系统默认将所有磁盘分区设置成隐藏共享状态,用户借助这项功能可以很方便在局域网环境中进行共享控制或交流,不过这项功能在给用户带来方便的同时,也给病毒、木马程序带来了可趁之机。为了防止病毒木马程序通过局域网中的隐藏共享进行扩散传播,用户应该立即停用所有磁盘分区的隐藏共享,这样病毒木马可以利用的传播通道就会大大减少:
首先右击“计算机”图标,从弹出的右键菜单中执行“管理”命令,将鼠标定位到计算机管理界面中的“系统工具/共享文件夹/共享”分支上,在目标分支右侧显示区域,所有分区的隐藏共享都会被自动显示出来,通过Ctrl键将这些隐藏共享一次性选中,并用鼠标右击选中的隐藏共享,点选右键菜单中的“停止共享”选项,就能轻松切断隐藏共享通道了。
当然,上述方法所能达到的效果只是临时性的,当计算机系统重新启动后,隐藏共享又会自动生成。为了让切断操作一劳永逸,用户可以启动运行记事本程序,并将下面的命令代码正确输入到文本编辑界面中,同时将代码内容保存为“aaa.bat”批处理文件:
@echooff
netsharec$/delete
netshared$/delete
netshareadmin$/delete
netshareipc$/delete
……
接着依次单击“开始”|“运行”命令,在系统运行对话框中输入“gpedit.msc”命令,按回车键后,切换到系统组策略编辑界面,将鼠标定位到“本地计算机策略/用户配置/Windows设置/脚本(登录/注销)”分支上,用鼠标双击“登录”组策略,弹出如图3所示的组策略属性对话框,按“添加”按钮,导入之前创建的“aaa.bat”批处理文件,再单击“确定”按钮执行设置保存操作,这样“aaa.bat”批处理文件就会变成本地系统的开机脚本了,日后每次开机启动本地系统时,“aaa.bat”批处理文件都会被自动执行,那么本地系统中的所有隐藏共享也就会被自动切断了。
智能查杀磁盘漏网之鱼
无论采用什么防范措施,一些狡猾的病毒、木马程序仍有可能潜藏到移动磁盘分区中,封锁这些潜藏的漏网之鱼,最有效的办法就是启动最新版本的杀毒软件自动查杀病毒功能,来对移动磁盘分区执行扫描操作。当然,自己平时使用的移动磁盘分区多半是“干净”的,如果让杀毒软件每次自动扫描这样的磁盘,需要花费很长时间,显然这会影响工作效率。其实,通过正确设置杀毒软件,仅让其自动扫描陌生的移动磁盘分区,就能有效封锁潜藏在陌生磁盘分区中的病毒、木马程序了。
比方说,客户端系统中安装了NOD32杀毒软件,要让该杀毒软件自动扫描陌生的移动磁盘分区时,可以先打开该杀毒程序界面中的“ESETSmartSecurity”对话框,在“文件系统实时防护”区域处点击“高级设置”按钮,切换到高级设置对话框,之后按下“可移动磁盘上的文件时采用高级启发式扫描”处的“例外”按钮,弹出目录选择对话框,从中将移动磁盘分区对应的盘符逐一添加进来。经过上述设置,平时经常使用的移动磁盘插入到客户端系统后,杀毒软件是不会对它进行自动扫描的,而有陌生的移动磁盘分区插入时,杀毒软件就能对它进行自动扫描查杀了,这样潜藏在陌生移动磁盘分区中的病毒在破坏系统运行状态之前,就会被杀毒软件自动消灭干净。
降低磁盘随意访问权限
服务器系统的磁盘分区中一般有比较重要的系统文件,要是允许病毒、木马程序自由访问或编辑,容易造成服务器工作状态不正常。为了让服务器系统远离病毒、木马程序攻击,不少网络管理员往往会通过隐藏磁盘分区的方法,来拒绝病毒木马偷偷访问服务器中的重要文件。不过这种方法给合法用户的访问带来了麻烦,其实比较有效的措施就是对保存有重要数据的磁盘分区进行授权访问设置,让不合法的用户没有访问权限,具体设置步骤为:
首先打开本地系统的“开始”菜单,点选“运行”选项,弹出系统运行文本框,输入“gpedit.msc”字符串命令,单击回车键后,弹出系统组策略控制台界面,将鼠标定位到该界面左侧列表中的“本地计算机策略/用户配置/管理模板/Windows组件/Windows资源管理器”分支上。
其次从目标分支下找到“防止从‘我的电脑’访问驱动器”选项,用鼠标双击该选项,打开如图4所示的选项设置对话框,将“已启用”选项选中,激活“下列组合中的一个”选项,再从对应选项列表中将需要禁止访问的磁盘驱动器选中,再单击“确定”按钮返回,日后病毒访问服务器中的目标磁盘分区时,就会遇到限制访问的错误。
关闭磁盘写入保存通道
如果计算机系统已经感染了网络病毒,那么网络病毒就有可能悄悄写入保存到连接到该系统的优盘中,并通过优盘进行传播扩散。这时,只切断移动磁盘分区的写入保存通道,病毒木马程序才不会轻易通过优盘之类的移动磁盘进行扩散,要做到这一点,可以按照如下步骤来设置:
首先打开本地系统的“开始”菜单,点选“运行”选项,弹出系统运行文本框,输入“gpedit.msc”字符串命令,单击回车键后,弹出系统组策略控制台界面,将鼠标定位到该界面左侧列表中的“本地计算机策略/计算机配置/管理模板/系统/可移动存储访问”分支上。
其次从目标分支下找到“可移动磁盘:拒绝写入权限”选项,用鼠标双击该组策略选项,打开如图5所示的选项设置对话框,将“已启用”项目选中,并点击“确定”按钮执行设置保存操作即可。
不过,直接切断移动磁盘分区的写入保存通道,将会影响合法用户的正常工作。为了既能预防病毒传播扩散,又能保证合法用户正常使用磁盘分区,不妨为优盘之类的移动磁盘设备设置一个写保护开关。在进行设置时,先在系统运行框中执行“regedit”命令,将鼠标定位到注册表界面的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Storage\StorageDevicePolicies分支上,在指定分支下手工创建好“WriteProtect”双字节键值,同时将其数值设置为“1”,最后重新启动计算机系统即可。日后,合法用户自己想使用优盘之类的移动磁盘分区时,只要将“WriteProtect”注册表键值的数值修改为“0”即可。
谨防磁盘病毒自我复制
目前杀毒软件在查杀病毒文件时,一般无法做到一次性根除,不少顽固病毒只有在系统重新启动之后,才能被真正删除干净。可是,在计算机重新启动过程中,残留下来的病毒文件自我复制能力非常强,它可能通过抑制杀毒软件的方法保护自身运行。为了不让顽固病毒卷土重来,必须严格控制病毒程序的自我复制。要实现这个目的,不妨利用Windows系统内置的“磁盘配额”程序,来禁止病毒程序向本地硬盘写入文件,从而拒绝病毒以自我复制方式传播扩散。
虽然系统自带的“磁盘配额”程序一般是用来控制用户自由向NTFS格式的磁盘分区拷贝文件,以防止非法用户随意占用硬盘空间,保护系统稳定运行的。可是,在遭遇病毒程序自动拷贝病毒文件入到本地硬盘的情况时,我们完全可以借用该程
木马程序范文第5篇
寻找启动威胁
如果能赶在Windows 7系统下次启动之前,发现并揪出系统启动过程中可能存在的种种威胁,就能及时阻止这些威胁破坏Windows 7系统的正常启动运行了。一般来说,启动威胁往往藏身于系统注册表的各个启动分支下面,例如Winlogon、load、Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce等分支下面,一旦发现有陌生的启动键值时,我们最好将其删除掉,因为该陌生启动键值在系统重新启动时,会跟着自动运行,如果它们真是病毒、木马的话,Windows 7系统的启动过程就会受到病毒、木马程序的干扰,从而可能会出现无法安全启动的现象。
例如,Run分支是病毒、木马非常喜欢藏身的地方,该分支主要位于系统注册表中的“HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersion”节点和“HKEY LOCAL MACHINE\Software\MIicrosoft\Windows\CurrentVersion”节点下,Run分支下的所有启动键值在Windows7系统启动后都会依照次序自动执行。当发现Run分支下有自己不熟悉的启动键值时,我们应该在第一时间将它们从系统中删除掉。对于其他分支在注册表中的位置,我们都能在网络中搜索到,本文在这里就不重复描述了;找出各个分支下的陌生启动威胁选项,将它们依次删除掉,就能降低系统在启动过程中遭遇病毒干扰的威胁。当然,一些病毒、木马程序还会以系统服务形式启动运行,为此,我们还应该检查系统注册表“HKEYLOCAL MACHINE\SYSTEMXCurrentControlSet\Services”分支下的选项内容,因为这些内容都代表系统启动时自动运行的服务项目;一旦发现有陌生的服务选项时,应该依次单击“开始”丨“运行”命令,在弹出的系统运行对话框中,执行“services,msc”命令,切换到系统服务列表窗口中,找到目标非法服务项目,打开服务选项设置对话框,按“停止”按钮将其禁用,同时将它的“启动类型”参数调整为“已禁用”。
还有一些启动威胁,会出现在Windows 7系统的系统配置实用程序启动列表中,我们应该进入到该列表中,寻找陌生的启动威胁选项。依次单击“开始”、“运行”命令,弹出系统运行对话框,执行“msconfig”命令,打开系统配置对话框,点选“启动”标签,切换到对应标签页面(如图1所示),在这里能清清楚楚地看到本地系统究竟有哪些启动威胁;一旦发现有不正常的启动选项,选中它们并按“全部禁用”按钮,阻止它们的自动运行。
保护启动安全
当发现Windows 7系统中存在安全威胁,并将它们从系统中删除之后,虽然可以保证系统在下次启动时不受威胁,但是这只能逞强一时,如果不对系统采取安全保护措施的话,说不定哪次启动威胁又会卷土重来了。
禁止运行脚本
很多病毒、木马程序都是通过网页中的活动脚本或ActiveX控件,来将启动威胁项目植入到Windows 7系统中的,如果将IE浏览器的脚本执行功能暂时禁用掉,就能避免许多不必要的安全烦恼。在进行这种设置操作时,先打开上网浏览窗口,依次点选菜单栏中的“工具”l“Internet选项”命令,弹出InternetN项设置窗口;
其次单击“安全”标签,在对应标签页面中按下“自定义级别”按钮,切换到如图2所示的安全设置对话框,从中找到“脚本”设置项,将下面的“活动脚本”和“Java小程序脚本”都选择为“禁用”,再按“确定”按钮保存设置。
在禁用ActiveX控件时,只要找到该对话框的“ActiveX控件”设置项,并将下面的所有ActiveX控件运行权限全部选择为禁用,当然也可以设置为管理员允许。
禁止修改分支
既然大部分启动威胁项目都躲藏在注册表的Winlogon、load、Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce等分支下面,如果我们对这些分支的写入权限进行严格限制,那么任何启动项目都将无法添加到系统注册表的启动分支下,这在很大程度上可以保护Windows 7系统的启动安全。
例如,要预防病毒、木马将启动威胁项目写入到Run分支下时,可以先打开系统注册表编辑窗口,将鼠标定位到“HKEYCURRENT USER\Software\Microsoft\Windows\CurrentVersion"节点上,选中该节点下的Run 分支;
其次逐一点选菜单栏中的“编辑”丨“权限”命令,弹出如图3所示的权限设置对话框,在“组或用户名”列表中,将所有陌生的用户账号依次删除掉。之后按“添加”按钮,从弹出的账号选择对话框中,将自己认为值得信任的用户账号选中并添加进来,同时将该账号的读取权限设置为“允许”,其他权限设置为“拒绝”。同样地,我们还可以对其他启动分支的访问权限进行严格限制,确保任何陌生的启动项目无法入驻到系统注册表中。禁止自动播放
如果使用光盘或优盘等设备来引导并启动Windows 7系统时,我们必须要禁用这些设备的自动播放功能,来保护系统启动安全,因为autorunN毒非常喜欢通过优盘之类的移动存储介质,来传播、复制病毒文件;只有禁止自动播放功能,我们才能阻断autorunN毒通过移动存储介质干扰Windows 7系统的启动运行。
在禁止移动存储设备自动播放时,只要先打开系统运行文本框,执行“gpedit.msc”命令,切换到系统组策略编辑窗口;从左侧列表的“本地计算机策”分支下,逐一展开“计算机配置”丨“管理模板”丨“Windows组件”丨“自动播放策略”选项,在目标选项的右侧列表中用鼠标双击“关闭自动播放”组策略;
其次从弹出的如图4所示组策略选项设置框中,选中“已启用”选项,同时选中“关闭自动播放”列表中的光盘或优盘,并按“应用”按钮执行设置保存操作,再重新启动Windows 7系统即可。
当然,在注册表的“HKEY CURRENTUSER\Software\Microsoft\
WindowskCurrentVersion2Policies\Explorer”分支下,将NoDriveTypeAutoRun键值的数值设置为“十六进制”的“4”,也能达到禁止磁盘自动播放的目的。不过,在修改注册表之前,为了保护系统安全,最好先对目标分支进行备份。
堵住补丁漏洞
一些病毒木马程序还会利用Windows 7系统的漏洞,来感染该系统中的应用程序,并达到将启动威胁项目隐藏到系统中的目的。因此,及时堵住补丁漏洞,可以在某种程度上减少病毒木马感染系统的可能性。在更新漏洞补丁时,可以通过系统控制面板窗口中的“Windows Update”图标,进入系统漏洞补丁检查更新界面,按下“检查更新”按钮,让Windows 7系统自动扫描本地系统,看看是否需要安装新的漏洞补丁程序,如果发现有更新补丁可以利用,只要按“安装更新”按钮,就能自动堵住补丁漏洞。
当然,也有一些系统漏洞或缺陷,还没有补丁程序可以保护,这时可以考虑使用病毒防火墙来阻止病毒、木马的入侵。动态监控威胁
既然病毒、木马会偷偷地将启动威胁项目植入到系统注册表、服务列表中,那么我们能否对Windows 7系统的注册表、服务列表内容进行动态监控,以便及时发现潜在的安全威胁呢?
木马程序范文第6篇
关键词:扫描,权限后门,网络攻击
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。论文大全。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
1、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
(1)特征匹配
找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等。
(2)统计分析
预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
(3)系统分析
若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
2、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
(1)行为监测法
由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。
监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。论文大全。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
(2)文件完备性检查
对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
(3)系统快照对比检查
对系统中的公共信息,如系统的配置参数,环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。
(4)虚拟机技术
通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。论文大全。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
3、后门留置检测的常用技术
(1)对比检测法
检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
(2)文件防篡改法
文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
(3)系统资源监测法
系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源(例如网络、CPU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。
(4)协议分析法
协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。
参考文献:
[1]张普兵,郭广猛,廖成君.Internet中的电子欺骗攻击及其防范[J].计算机应用,2001,21(1):32-34.
[2]苏一丹,李桂.基于DFA的大规模入侵建模方法研究[J].计算机工程与应用,2003,39(28).
[3]蒋总礼,姜守旭.形式语言与自动机理论[M].北京:清华大学出版社,2003.
木马程序范文第7篇
根据江民反病毒中心的监测统计,在其截获的2万余种电脑病毒及木马程序和被感染的72万多台计算机中,有相当的部分是被专门利用Real Player媒体播放器漏洞进行传播的“Real蛀虫”病毒的最新变种所感染的,数字触目惊心!
一、为什么视频木马如此猖獗?
事实上,利用Real Player播放器的固有漏洞,在RM/RMVB格式视频中夹带病毒及木马程序,然后通过固有漏洞对用户进行攻击的事件已经是相当普遍了,其原因一方面是Real Player播放器知名度和覆盖面都非常广,一个.RM或.RMVB格式的视频被植入病毒或恶意木马,就可能会以迅雷不及掩耳之势殃及成百上千台电脑。
另一方面在视频中央带病毒及木马程序的实现技术非常简单,网上甚至有专门的将病毒(木马)捆绑于指定视频文件的应用软件免费提供给所有用户下载,也就是说几乎每一个用户都可以在自己的电脑上制作“带毒”或“挂马”视频。
二、防范视频木马的应对策略
用户一般是很容易发现视频中夹带病毒或恶意木马程序的,比如用户在播放视频短片或影视作品时,网页浏览器会时不时地自动弹出骚扰广告窗口,有时候这些自动弹出的广告网页窗口会越来越频繁,最后以至于耗尽用户的系统资源!
防范木马(病毒)一般有两种常见思路:
一种是“权宜之计”,也就是有效阻止木马的运行,使木马的盗取和破坏功能发挥不到作用,沿着这种思路,用户可以通过设置防火墙的应用程序访问网络的规则来禁止Real Player播放器连接网络,从而使Real Player播放器无法依托网络调用带毒或挂马网页。
不过这种方法毕竟治标不治本,并且以后用户需要使Real Hay-er播放器访问网络时,切换起来也麻烦。
另一种思路就是将木马(病毒)与之相捆绑的正常视频源文件分离,也就是与那些进行视频木马捆绑的操作“反着干”,这当然是既治标又治本的方法。
目前常用的专门根除视频木马的工具虽然有不少,但大都不能支持即时木马(病毒)特征库的升级,能够准确识别和干净清除木马的数量十分有限,并且有很大一部分是有功能限制的共享软件。笔者这里推荐“影音巡警V2.0”,它是没有任何功能限制的绿色环保软件,无须安装,永久免费使用,并且支持木马(病毒)特征库的即时升级。
影音巡警V2.0下载地址:
http://.cn/detail/31/307232.shtml
三、“影音巡警V2.0”使用方法
“影音巡警V2.0”是一款由著名的超级巡警开发团队最新推出的专业视频木马(病毒)查杀软件,可以支持包括RM、RMVB、WMV和WMA等多种格式的视频木马(病毒)的智能检测。
用户将软件下载后,解压即可直接使用了,软件在每一次启动时,会主动检测是否有最新的木马(病毒)特征库更新,如果有,软件会自动完成更新升级。
接下来用户只要在软件的“选择文件或路径”框中指定需要进行检测的视频文件,接着再选择一个检测方式,最后单击“检索”按钮,软件即可自动完成对指定视频文件的木马检测和清除操作,非常快捷和方便。
这里需要说明的是,这款软件支持“快速检测”和“全面检测”两种检测方式,对于视频较大的文件,笔者建议大家可以选择“快速检测”的最优化方式。
木马程序范文第8篇
只会躲起来的木马
木马要想留在受害者的电脑中伺机作案,就必须长期潜伏在系统中,于是它们研究出了各种藏身的方法。
1.启动组
就在“开始所有程序启动”菜单中,对应路径为C:\Documents andSettings\USER\[开始]菜单\程序(USER为用户名称),在注册表中的位置为HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders。藏身于此的木马,要么是自己“找死”,要么异常顽强――即便暴露也难以掉。
2.Svstem.ini
System.ini作为一个重要配置文件,能够自动加载指定程序,位于C:\WINDOWS目录一下。藏身在“[boot]”处“shell=Explorer.exe”字段下,木马就能达到自启动的目的。如传奇木马Win32.Troj.Lmir.ah就会修改此处,达到激活的目的。
3.Win.ini
同system.ini一样,win.ini也是木马自启动的温床,该文件里的“[Windows]”处“Load=”和“Run=”字段常常被修改为木马程序。
4.注册表Run键
木马的藏身之地要数注册表里最多了,这其中又以Run键最为凶险,可谓众多木马必争之地。
例如“熊猫烧香”的栖息之所就在这里,它在HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run处加入了“FuckJacks=%System%FuckJacks.exe”。
懂得穿上伪装的木马
1.Aucorun.inf文件
很多病毒在分区根目录下生成Autorun.inf文件,一旦用户双击分区,就会触发病毒运行。此时,我们可以通过右键菜单的“打开”命令来浏览,从而避免触发木马。
2.利用文件关联
最常见要数TXT文件关联木马了。中了这种木马后,双击任何一个TXT文件,原本应该用Notepad打开,现在就变成了启动木马程序了。
这类木马一般是在注册表的两个地方做手脚,HKEY_cLASSES_ROOT\xxxfile\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\xxxfile\shell\open\command(XXX为扩展名,如txt、exe等)。例如冰河木马,就会在HKEY_CLASSES_ROOT\txtfile\shell\open\command下修改默认值为C:\Windows\system\Sysexplr.exe%1,只要改回默认值C:\Windows\notepad.exe%1即可恢复关联。
修复时可以打开“控制面板文件夹选项”,找到文件类型点击“高级”,编辑“open”操作,在这里修改文件类型关联的应用程序。
3.伪装成服务
有的木马以假乱真,混淆视听,比如用svchost和svchOst考考你的眼力。不过这种障眼法没有技术含量,“有头有脸”的木马对此不屑一顾,于是就有了以“灰鸽子”为代表的实力派木马。