木马程序范文精选
木马程序范文第1篇
关键词:木马程序;攻击;防范
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 16-0050-01
随着信息技术的不断普及和发展,人们越来越多的接触到“木马”这个词语。木马隐蔽性极强,危害性极大,是现阶段来说攻击计算机系统的最主要的手段。因为木马程序所导致的计算机系统遭到破坏的情况日益增加,这对信息系统的保密以及安全带来了极大的危害。尤其是最近几年,利用木马程序进行犯罪的事情层出不穷,造成了巨大的财产和精神损失。
一、关于木马程序的概述
木马,在计算机领域内是指隐藏在合法的程序中或者伪装成合法的程序的恶意代码。这些恶意代码或者执行恶意的行为或者非法的访问未经授权的系统。木马程序本身就具有控制通信、反清除、反检测、隐蔽性高的特点。
常见的木马程序分为两个部分,控制端与被控制端。它的工作原理,是先在本地计算机也就是控制端上面配置而且生成木马程序,然后通过隐含或者直接在其它可执行程序中将木马程序传播到对方计算机也就是被控制端上。然后,通过对控制端的木马程度的控制从而直接的控制被控制端上的木马程序和运行。再接着,控制端通过发送命令的方式,比如说文件操作命令、键盘记录命令、获取敏感信息命令等等,来控制和感染被控制端的木马程序接收、执行这些指令,而且返回控制端以相关的信息和数据。
根据木马对计算机的操作方式,可以分为:远程控制型,密码发送型,键盘记录型,毁坏型,FTP型和多媒体型。
按照木马的进行层次,可以分为内核级木马和应用及木马。内核级木马一般会运行在计算机操作系统的内核之中,采取驱动程序的手段实现木马的加载。这种木马运行在系统的内核之中,隐蔽性相当高而且查杀难度大。应用级木马相对来说对系统的危害性较小。
二、木马攻击的手段和方式
(一)捆绑方式。捆绑方式指的是,把正常程序与木马程序捆绑在一起使用,然后达到入侵与存活的目的。与木马程序捆绑在一起的正常程序一旦被客户下载、安装和使用,木马程序就会自动的加载到电脑上。就算清除了木马,只要运行捆绑的正常程序,木马就会重新载入电脑并且继续存活下去。
(二)QQ和邮件的冒名欺骗。通过盗取他人的QQ,然后冒充主人给其他的好友木马程序,致使其他好友运行木马程序,然后达到相应的目的。邮件的冒名欺骗,指的是冒充单位、大型企业或者好友向他人发送木马附件,一旦他们下载并且运行木马软件就会造成木马病毒。
(三)网页木马方式。网页木马是指在个人的就、空间网页上进行木马捆绑,再利用各种诱惑致使对方链接网页,然后木马病毒就会入侵到这台电脑上。比如说,在网页上面有flash的动画,在网页上呈现流行软件和视频的下载等等。
(四)伪装成一般的普通软件。伪装成一般的普通软件,这是最近才刚刚兴起的一种木马入侵方式。对于操作系统不是很熟悉的用户,往往容易上当受骗。他们把可执行的文件伪装成文本或者图片,通过更改文件扩展名的形式,诱骗用户进行点击,这样的方式隐蔽性相当高。
三、关于木马程序的防范措施
(一)及时的安装木马查杀软件、防火墙和系统补丁。现阶段,我国大部分的黑客是通过网上已有的系统漏洞和木马程序对用户的计算机进行攻击,并不是真正意义的黑客,所以说安装木马克星、the cleaner等木马的查杀软件,同时安装防火墙,比如说“天网”个人版防火墙,“诺顿网络安全特警”等等,这样可以有效的对电脑运行状态进行实施的监控,而且要定期的对电脑进行扫描,从而有效的防止木马病毒的入侵。除此之外,及时的下载并安装官方的系统补丁是非常有必要的。
(二)关闭各种不必要的端口以及隐藏IP。隐藏IP地址皆可以提高提高网络访问的速度和范围,又可以在上网操作的时候预防他人的入侵和攻击。最常见的隐藏IP地址的方式有两种:一是运用“multi proxy”的软件来进行IP地址的隐藏,另一种是利用sockscap32和“qq公布器”进行地址隐藏。
现阶段,使用一些比较通用的黑客工具,对扫描端口进行攻击的方式最普遍,所以说,在我们进行上网的时候,要关闭各种不必要的端口,也就是杜绝了病毒的入侵通道,这样的方式比较的简单、有效。
(三)虚拟计算机的使用。在虚拟计算机的环境下,我们可以进行安全性比较高的操作。比较常用的此类软件VM ware,virtual pc等等。主机要用windows系列的兼容性比较好的操作系统进行日常的工作、办公。
(四)对不必要的服务项进行关闭。Windows操作系统为用户提供了许多的服务来方便管理,但是在其中有很大一部分是用户基本上不需要开启的。这样的话,不仅扩大了整个系统的开销,而且大大增加了木马入侵的机会和可能。因此,我们要经常检查我们的服务器管理,及时的对不必要的服务项进行关闭。
(五)定期对电脑的启动项进行检查。一般来说,木马程序都会在计算的启动项中进行隐藏,所以,要定期的对自己的电脑进行定期的检查的及时的木马清除。
四、结语
综上所述,本文针对木马程序的概念、分类以及运行原理和木马攻击的手段与方式进行入手分析,然后分别从五个大的方面:及时的安装木马查杀软件、防火墙和系统补丁;关闭各种不必要的端口以及隐藏IP;虚拟计算机的使用;对不必要的服务项进行关闭;定期对电脑的启动项进行检查,详细分析了木马程序的防范措施。
参考文献:
[1]李斯.浅析木马程序攻击手段及防范技术[J].网络安全技术与应用,2009,1.
[2]康治平.特洛伊木马可生存性研究及攻防实践[D].重庆大学软件工程学院,2009,10.
木马程序范文第2篇
摘要网络入侵工具如蠕虫、木马等不断涌现,其功能上相互吸收和借鉴,攻击方式和手段也层出不穷,促使计算机安全也向着不断细化的方向发展,其中木马(Trojan Horse)攻击以其攻击范围广、隐蔽性、危害大等特点成为常见的网络攻击技术之一,对网络安全造成了极大的威胁。
关键词:计算机;木马程序;防范
由于计算机系统和信息网络系统本身固有的脆弱性,越来越多的网络安全问题开始困扰着我们,特别是在此基础上发展起来的计算机病毒、计算机木马等非法程序,利用网络技术窃取他人信息和成果,造成现实社会与网络空间秩序的严重混乱。
一、木马程序概述
1.木马的定义
木马的全称是“特洛伊木马”(Trojan Norse),来自古希腊神话,传说古希腊士兵就是藏在木马内进入从而占领特洛伊城的。木马是隐藏在合法程序中的未授权程序,这个隐藏的程序完成用户不知道的功能。当合法的程序被植入了非授权代码后就认为是木马。木马是一个用以远程控制的c/s程序,其目的是不需要管理员的准许就可获得系统使用权。木马种类很多,但它的基本构成却是一样的,由服务器程序和控制器程序两部分组成。它表面上能提供一些有用的,或是仅仅令人感兴趣的功能,但在内部还有不为人所知的其他功能,如拷贝文件或窃取你的密码等。严格意义上来说,木马不能算是一种病毒,但它又和病毒一样,具有隐蔽性、非授权性以及危害性等特点,因此也有不少人称木马为黑客病毒。
2.木马的分类
木马的种类很多,主要有以下几种:其一,远程控制型,如BO和冰河。远程控制型木马是现今最广泛的特洛伊木马,这种木马起着远程监控的功能,使用简单,只要被控制主机联入网络,并与控制端客户程序建立网络连接,控制者就能任意访问被控制的计算机。其二,键盘记录型。键盘记录型木马非常简单,它们只做一种事情,就是记录受害者的键盘敲击,并且在 LOG 文件里进行完整的记录,然后通过邮件或其他方式发送给控制者。其三,密码发送型。密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。这类木马程序大多不会在每次都自动加载,一般都使用 25 端口发送电子邮件。其四,反弹端口型。反弹端口型木马的服务端使用主动端口,客户端使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连接控制端打开的主动端口。为了隐蔽起见,控制端的被动端口一般开在80,稍微疏忽一点, 用户就会以为是自己在浏览网页。
3.木马的特点
第一,隐蔽性。隐蔽性是木马的首要特征。这一点与病毒特征是很相似的,木马类软件的 SERVER 端程序在被控主机系统上运行时会使用各种方法来隐藏自己。例如大家所熟悉的修改注册表和ini文件以便被控系统在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其他程序之中。第二,有效性。由于木马常常构成网络入侵方法中的一个重要内容。它运行在目标机器上就必须能够实现入侵者的某些企图,因此有效性就是指入侵的木马能够与其控制端入侵者建立某种有效联系,从而能够充分控制目标机器并窃取其中的敏感信息。第三,自动运行和自动恢复性。木马程序通过修改系统配置文件,如: win.ini,system.ini,winstart.bat或注册表的方式,在目标主机系统启动时自动运行或加载。现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。系统一旦被植入木马,想利用删除某个文件来进行清除是不太可能的。
二、木马程序的工作机制
木马程序虽然具有很大的隐蔽性,但也有其踪迹可循。因此,要防范木马就必须知道木马的工作原理。
1.木马程序的工作原理
木马程序的结构是典型的客户端/服务器(Client/Server;简称C/S)模式,服务器端程序骗取用户执行后,便植入在计算机内,作为响应程序。所以它的特点是隐蔽,不容易被用户察觉,或被杀毒程序、木马清除程序消灭,而且它一般不会造成很大的危害,计算机还可以正常执行。另外,木马服务器端程序还有容量小的特点,一般它的大小不会超过300KB,最小的木马程序甚至只有3KB,这样小的木马很容易就可以合并在一些可以执行.exe的文件中或网页中而不被察觉,而且这样小的文件也能很快就下载至磁盘中,若是再利用UPX压缩技术还可以让木马程序变得更小。
2.木马程序的工作方式
木马客户端程序是在控制台(黑客的计算机)中执行的,木马服务器端程序必须与客户端程序对应,建立起连接。服务器端程序与客户端建立连接后,由客户端发出指令,然后服务器在计算机中执行这些指令,并源源不断地将数据传送至客户端。木马服务器端与客户端之间也可以不建立连接,因为建立连接容易被察觉,如果再使用连接技术只会自断后路。所以就要使用ICMP来避免建立连接或使用端口。木马服务器端与客户端也可以不要间接通讯,因为直接通讯的目的太明显了,很容易被发现,所以木马服务器端可以与客户端采取间接通讯的专式:在服务器端与客户端之间中间层,服务器端程序先将数据传送至某个网站,客户端程序再从那个网站取得数据。这种方式可以让木马程序达到非常隐蔽的通讯效果,但缺点是通信数据交换的速度变慢了。
三、木马程序的防范策略
计算机木马程序已经严重影响到各类计算机使用者的切身利益,当前最重要的是如何有效的防范木马的攻击。
1.使用防火墙阻止木马侵入
防火墙是抵挡木马入侵的第一道门,也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接,防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP,ICMP等其他IP数据包的通讯。防火墙完全可以进行数据包过滤检查,在适当规则的限制下,如对通讯端口进行限制,只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。
2.避免下载使用免费或盗版软件
电脑上的木马程序,主要来源有两种。第一种是不小心下载运行了包含有木马的程序。绝大多数计算机使用者都习惯于从网上下载一些免费或者盗版的软件使用,这些软件一方面为广大的使用者提供了方便,节省了资金,另一方面也有一些不法分子利用消费者的这种消费心理,在免费、盗版软件中加载木马程序,计算机使用者在不知情的情况下贸然运行这类软件,进而受到木马程序的攻击。还有一种情况是,“网友”上传在网页上的“好玩”的程序。所以,使用者定要小心,要弄清楚了是什么程序再运行。
3、安全设置浏览器
设置安全级别,关掉Cookies。Cookies是在浏览过程中被有些网站往硬盘写入的一些数据,它们记录下用户的特定信息,因而当用户回到这个页面上时,这些信息就可以被重新利用。但是关注Cookies的原因不是因为可以重新利用这些信息,而是关心这些被重新利用信息的来源:硬盘。所以要格外小心,可以关掉这个功能。步骤如下:选择“工具”菜单下的“Internet选项”,选择其中的“安全”标签,就可以为不同区域的Web内容指定安全设置。点击下面的“自定义级别”,可以看到对Cookies和Java等不安全因素的使用限制。
4.加强防毒能力
“常在河边走,哪有不湿脚”,只要你上网就有可能受到木马攻击,但是并不是说没有办法来解决。在计算机上安装杀毒软件就是其中一种方法,有了防毒软件的确会减少受伤的几率。但在防毒软件的使用中,要尽量使用正版,因为很多盗版自身就携带有木马或病毒,且不能升级。新的木马和病毒一出来,唯一能控制它蔓延的就是不断地更新防毒软件中的病毒库。除了防毒软件的保护,还可以多运行一些其他软件。如天网,它可以监控网络之间正常的数据流通和不正常的数据流通,并随时对用户发出相关提示;如果我们怀疑染了木马的时候,还可以从网上下载木马克星来彻底扫描木马,保护系统的安全。
参考文献:
[1]卢勇焕.黑客与安全[M].北京:中国青年出版社,2001年
[2]张世永.网络安全原理与应用[M].北京:科学出版社,2003年
[3]秘密客.破解黑客木马屠城计[M].北京:中国水利水电出版社,2005年
木马程序范文第3篇
关键词:计算机;病毒;木马;程序;网络;杀毒
0 前言
计算机技术及计算机网络在近些年来发展尤其迅速,计算机网络已经成为人们生产、生活不可或缺的一部分,也是国家进行各项建设的有力工具。但是任何事物都有其双面性,计算机和计算机网络能给人们带来便利,同时其自身的安全性又给人们带来新的困扰,计算机病毒与木马程序是计算机和计算机网络的主要威胁之一[1]。
在计算机和计算机网络被大范围应用的同时,人们的计算机和网络也更加频繁的受到病毒和木马程序的攻击和破坏。现在的计算机网络用户日益增多,计算机网络的压力越来越大,许多黑客利用计算机自身弱点和计算机网络的漏洞,通过病毒和木马对计算机和计算机网络进行攻击,并且这些病毒和木马种类数量繁多,会使计算机用户的计算机或者网络出现故障,影响其正常使用。由于网络信息流通性非常快,而且具有一定的开放新,所以计算机病毒和木马程序传播速度会非常快,如果不积极采取防护措施,很可能影响整个网络的正常使用。
1 计算机病毒与木马程序
计算机病毒和木马程序严格意义上将是两种不同的区别,两者有着各自的特点[2]。
1.1计算机病毒程序病毒程序
我国规定计算机病毒能够在计算机中不断的进行自我复制,而且可以按照编织者编写意图对中毒计算机功能或者数据进行破坏,影响计算机正常使用的一组指令或者程序代码,计算机病毒程序有很强的繁殖能力、破坏能力和传染能力,并且有一定的潜伏性、隐蔽性和可触发性。计算机病毒能够在一定的条件下发作,如制定时间、关闭电源、打开某些软件等,计算机病毒程序还有较好的潜伏性和隐蔽性,病毒通常不能够容易被用户所发觉,它能够单独存在也能够“寄生”在计算机的某些程序之中,一旦病毒发作会对计算机或者计算机网络造成破坏和攻击,影响用户计算机正常使用。
计算机病毒的产生实际意义上是以自我保护和对盗版软件使用者进行打击为意图的,在1986年巴基斯坦兄弟两巴斯特和阿姆捷特两人为了保护自身正版软件,并且惩罚盗版他们软件的人,研制了一种能够吞噬拷贝者计算机硬盘剩余空间的病毒,这是真正意义上第一个流行的病毒。但是并不是所有病毒都会对计算机或者计算机网络进行攻击和破坏,有的病毒只是实质性的存在或者进行传播,并不会造成任何影响如,玩笑病毒和良性病毒等。计算机病毒程序传播途径也很多,最容易和快速的传播是通过网络,其次是传输设备(U盘、移动硬盘),光盘也能够进行病毒的传播。现在较为流行的病毒传播方法为“钓鱼网”,这种“钓鱼网”通常是不法分子自己建立的网站,伪造成某些官方网站的样子,让许多用户难以分辨出真假,然后进行一些游戏、购物等页面的布置,骗取个人账号和密码,使登陆着的隐私泄露,甚至造成财产损失。计算机病毒程序的产生困扰着许多的计算机用户,导致信息和资源的传播、分享受到阻碍,甚至破坏计算机用户和计算机网络的性能和正常运作。
1.2计算机木马程序
木马程序是为了某些特定目的进行编写的,并且偷偷植入目的计算机中的程序中的总称,其名称来源于希腊神话“特洛伊木马”,后来希腊人使用了一个计策,用木头造一些大的木马,空肚子里藏了很多装备精良的勇士,然后佯装又一次攻打失败,逃跑时就把那个大木马遗弃。守城的士兵就把它当战利品带到城里去了。到了半夜,木马肚子里的勇士们都悄悄的溜出来,和外面早就准备好的战士们来了个漂亮的里应外合,一举拿下了特洛伊城。这就是木马的来历。从这个故事,我们很容易联想到木马程序的作用,现在的木马通常是黑客用于对目的计算机进行远程控制,并且能够对用户的资料、信息进行破坏和窃取。计算机木马程序破坏性非常大,受到人们的重视,现在国内较为知名并且影响范围较广的木马有,“熊猫烧香”、“黑洞”、“广外女孩”等。
木马程序一般包括两个部分,即木马服务端和控制端,服务端指的是远程控制计算机,控制端指通过网络和软件向地方计算机指令的部分。木马传播方法较多,最为普遍的有利用电子邮件进行传播,通过用户下载文件或者软件进行传播,利用网页进行传播如钓鱼网,还有就是利用各种交流工具进行传播,国内最为常见的聊天工具为QQ、ICQ、YY语音等。计算机受到木马攻击的一些征兆表现为,计算机频繁重新启动、死机,硬盘被频繁访问或者数据丢失、数据和资料被更改,系统反应速度很慢,系统资源被占用和侵蚀等。计算机木马程序虽然没有病毒程序那样的传染能力,但是其破坏性非常大,对个人信息、隐私,对国家安全、机密的威胁都非常大,较为著名的木马程序有,“冰河”、“灰鸽子”、“小熊宝宝”、“网游猎手14合一”等。
2 计算机病毒与木马的防御措施
由于计算机病毒和木马程序的破坏性较大,会对计算机用户和计算机网络进行破坏,造成较大的损失,所以要对计算机病毒和木马程序进行防御和消除[3]。
2.1计算机病毒程序防御措施
(1)安装杀毒软件,进行实时监测
目前计算机用户大多会安装杀毒软件和实时防护检测软件,对计算机进行保护,这种方法对病毒的预防和查杀较为直观和便捷。安装完杀毒软件并且启动使用时,能够对电脑已存在的病毒进行检测并且查杀,对即将入侵的病毒及时防范,做到防范于未然。
(2)及时升级系统和进行漏洞修复
目前病毒更多的是通过系统和软件的漏洞对计算机用户的数据和资料进行篡改、破坏或者攻击,并且开始传播,所以要对系统进行及时的升级,定期进行漏洞扫描,一旦发现漏洞立即修复漏洞,不给病毒入侵的机会。现在WINDOWS操作系统会进行定期的升级,主要也是进行系统的漏洞修复,否则会使系统很容易受到病毒的攻击。
(3)正确安装系统、软件,绿色上网
计算机用户安装系统和软件要尤其注意,不能忽视每一个细节,由于某些软件和系统自身已经有病毒的存在,在安装后病毒后对计算机或者网络进行攻击。而且在上网时我们要提倡绿色上网,不浏览不正当和不合法网页、网站等,仔细辨别钓鱼网等不法网站。
2.2计算机木马程序防御措施
计算机木马程序防御措施除了病毒防御的几种方法之外,计算机用户还要规范、谨慎上网,不轻易接受陌生人发来的信息,不打开和浏览匿名邮件,对于非法软件和网页要谨慎进入,以防止被黑客的病毒和木马入侵。计算机木马程序预防需要格外受到重视,它的破坏性较强,造成的损失也不能用实际的数据来估计,所以要对木马程序进行严格预防和查杀。
3 结束语
计算机病毒与木马程序是威胁计算机用户和计算机网络的重要因素之一,对个人和集体的信息、资料、利益造成破坏较大。所以我们要严厉打击病毒和木马的传播行为[4],规范计算机网络,净化计算机网络环境,才能够使互联网技术和计算机技术能够更好的为人们服务,使信息更好的得到传递和交流,为人类创造更大的价值。(作者单位:华中科技大学文华学院)
参考文献:
[1]李剑, 刘正宏, 沈俊辉, 计算机病毒防护[TP], 北京邮电大学出版社, 2009.06.01.
[2]张友生, 计算机病毒与木马程序剖析, 北京科海电子出版社, 2003.0.3.01.
木马程序范文第4篇
关键词:木马 基因
1 木马程序简介
木马是一种新型的计算机网络病毒程序。它利用自身所具有的植入功能,或依附其它具有传播能力的病毒,或通过入侵后植入等多种途径,进驻目标计算机,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的各种信息,并能接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等。当木马被应用在入侵和攻击方面时,它显示出巨大的危害性。一个典型的木马程序通常具有以下四个特点:有效性、隐蔽性、顽固性和易植入性。
(1)有效性:是指入侵的木马能够与其控制端建立某种有效联系,从而能够充分控制目标机器并窃取其中的敏感信息;(2)隐蔽性:木马病毒必须有能力长期潜伏于目标机器中而不被发现:(3)顽固性:是指有效清除木马病毒的难易程度;(4)易植入性:木马病毒有效性的先决条件。木马技术与蠕虫技术的结合使得木马病毒具有类似蠕虫的传播性,这也极大提高了木马病毒的易植入性。
2 木马病毒的新发展
2.1加壳技术
所谓“壳”就是专门压缩的工具。是针对exe、tom和dll等程序文件进行压缩,在程序中加入一段如同保护层的代码,使原程序文件代码失去本来面目,从而保护程序不被非法修改和反编译,这段如同保护层的代码,称之为程序的壳。程序的壳有以下作用:(1)保护程序不被修改和反编译;(2)对程序专门进行压缩,以减小文件大小,方便传播和存储。
目前的防火墙和杀毒软件虽然也具有了一定的脱壳能力。但病毒加壳又使用了新技术。
(1)加多层壳。这个加壳方法就是用两种相同或者不同的加壳工具对木马进行双重加壳,这样就等于将木马程序进行了两次压缩计算,自然就会逃脱杀毒软件和防火墙的第一层过滤。使用的加壳算法越多,逃脱防火墙和杀毒软件查杀的几率就越高。
(2)换壳。就是把原来的壳脱了换另一种壳。如FSG就是使用这种方法。还有就是用GUW32脱了再加壳,对于脱壳不干净的软件用UPXpr技术处理再加壳,也可以定制加壳软件和定制壳。
2.2多态和变形技术
病毒多态是使病毒能够改变自身存储形式的技术,使传统的依靠特征值检测的技术失效。变形则在多态的基础上更进一步。对整个病毒体都进行处理,使不同病毒实例的代码完全不同,不但没有固定的特征码,而且也无需还原成没有任何变化的病毒体。
3 引入基因机制检测木马病毒
目前,木马程序的查杀主要还是使用特征码的查杀毒方法,但是它的弊端也是众所周知的。在入侵检测领域,无论是基于统计的入侵检测还是基于规则的入侵检测,它们的数据源都是从病毒的攻击或者是表象出发,首先获得病毒或者黑客的攻击表象,然后提取出特征,再抽取表达成模式或者规则,供入侵检测系统进行检测和识别。对这种杀毒机制而言,高频的升级都是滞后的。并且难以发现未知的木马模式,也是制约它们进一步发展的瓶颈。我们必须透过病毒程序的表象看到它们的本质特征,即借鉴生物体的生物机理和机制,将基因机制引入信息安全领域。针对病毒的变形和多态,可以追溯到病毒和恶意软件的本质,即运行时的核心序列和动作,如系统调用序列等,也就是基因层。在基因层面上,部分多态病毒和恶意软件,有的基因一样,有的能从它们的相似度上面找到多态和变形病毒程序之间的亲缘关系,找到查杀抑制病毒的多态和变形的方法,指导一条切实可行,而且高效的途径。对于基因机制引入病毒检测和防护领域,包括以下几个方面:
(1)表象到本质(基因)。从病毒的表象出发,找出病毒程序的本质或者是深层次的根源如系统调用序列,提取出类似生物体中的基因片段,每一个基因片段都对应一个或者多个病毒表象。
(2)单个基因入手。找出病毒基因,关注基因变异(称病毒的基因片段为病变基因,相应的正常程序那部分为正常基因),进而使用基因疗法,用好的基因来置换和修复病变基因、基因修饰和基因失活。
(3)基因片段组合入手。恶意软件中对应的一些基因片段,孤立地看它们都是正常的,但是当它们组合以后,便是一个恶意程序,如木马程序。在这种情况下,我们关注的是基因片段之间的关联关系,打破这种关联,也就可以达到防止这些恶意软件的目的。
(4)已知基因到未知基因。对基因进行诱发变异,产生新的基因。使用的具体方法是:一是定向诱变,就是使用一些领域的知识进行启发式诱变;二是表型诱变,对未知基因进行诱变,发现新的显性和隐性基因突变体及功能改变。
4 引入基因机制的可行性分析
(1)计算机病毒单基因存在的可行性:在信息安全中有些病毒或者恶意程序自身的复制能力很强,也就是具有自我复制性。
针对这类病毒,如果能够找出它们自我复制的那部分基因片段或者强行向EXE文件中写入代码的基因片段,就可以借鉴生物上面的基因疗法,首先是报警,然后可以用正常的基因片段来对病变基因进行替换,从根本上达到检测和防治病毒的目的。所以引入单个计算机病毒基因机制是可行的。
(2)计算机病毒基因组存在的可行性:计算机中的程序基因从单个基因角度看时是正常程序也拥有的基因片段,但是它们组合后产生的症状就是恶意程序的典型表现。
木马程序范文第5篇
首先查看自己的电脑中是否有木马
1.集成到程序中
其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
2.隐藏在配置文件中
木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。
3.潜伏在Win.ini中
木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe load=c:\windows\file.exe
这时你就要小心了,这个file.exe很可能是木马哦。
4.伪装在普通文件中
这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本――在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Windows默认设置是“不显示已知的文件后缀名”,文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。
5.内置到注册表中
上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curren
tVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft
\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
6.在System.ini中藏身
木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
7.隐形于启动组中
有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法都无法将它赶跑(哎,这木马脸皮也真是太厚了),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:
HKEY_CURRENT_USER\Software\Microsoft
Windows\CurrentVersion\Explorer\ShellFold
ers Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
8.隐蔽在Winstart.bat中
按照上面的逻辑,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
9.捆绑在启动文件中
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
10.设置在超级链接中
木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它,为它“死”了也愿意等等。
下面再看木马的清除方法
1.检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。
2.删除上述可疑键在硬盘中的执行文件。
3.一般这种文件都在WINNT、SYSTEM、SYSTEM32这样的文件夹下,它们一般不会单独存在,很可能是由某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe、.com或.bat文件,有则删除之。
4.检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。
5.检查HKEY_CLASSES_ROOT\inifile
shell\open\command和HKEY_CLASSES_R
OOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让病毒“长生不老,永杀不尽”的。
木马程序范文第6篇
【关键词】木马;网络犯罪;盗窃;病毒;网上银行
案情介绍:
2008年4月30日,李某到银行取钱,发现银行卡上的1950元不翼而飞。通过查询消费账单,李某得知这些钱先后被充值给了同一部号码的手机。原来,李某曾用银行卡进行过网上转账,而使用的计算机被赖某植入了木马程序。通过木马程序,赖某获得了李某的银行账号和密码,通过网络以低于市面7%到8%的价格,用李某的钱给他人手机充值。被充值人则将充值款打到赖某指定的账户上。案发后,法院以盗窃罪依法判处赖某有期徒刑一年零六个月,缓刑二年,并处罚金。
该案留给我们的思考
很多人都与网络和银行卡打过交道,但大部分人对利用网络实施的盗窃犯罪却知之甚少,认为这种新型犯罪离自己的生活还很遥远。以上这个例子充分说明了网络犯罪的普遍性以及广泛的流动性。犯罪分子利用人们对于网络犯罪疏于防范,屡屡得手。国家应当大力宣传对网络犯罪危害性极其传播方式的预防以及应对措施,使每一个人都从自身做起,每一个人都明白网络犯罪的实质,尽可能的不上当或者是少上当,还给大家一个健康的网络环境。对于恶意在网络上窃取、诈骗等犯罪行为,国家应当采取一系列的措施予以惩治。
一、网络犯罪之危害及原因
在现代化网络信息时代,网上运行已经逐步代替了许多人为工作,但是与再精密的设备也有疏漏,在精细的人也会犯错一样, 提供服务的运营商安全意识不高,管理制度和用人制度都不够严格。像上述例子就很明显的证明了网络并非十全十美,并不能让人们享受百分之百的安全, 网民的安全意识不高,至今为止已经有许许多多的人因为网络犯罪而蒙受了巨大的损失,是什么原因让网络犯罪这么如此猖獗呢?第一、非法利益驱使。唯利是图是这些犯罪分子的共同特点,而且网络罪犯往往不用怎么花费时间、金钱就可以坐享其成,盗取他人的帐户密码,来转移他人资金到自己帐户里。想想这样低成本,高效率的"工作"方法,就不难了解为什么会出现那么多网络罪犯了。
第二、网络信息时代的高速发展,越来越多的人正在接触网络,所以网络犯罪面临的是打击面是大范围的,预防起来相当困难,所以他的广泛性使千千万万的人蒙受了损失,让一个又一个的罪犯获取不法利益。
第三、控制网络犯罪的困难性,网上违法犯罪侦破困难。由于网络的时空跨度超过了传统的限制而且操作具有长距离、大范围、易修改、不留痕迹等特点,因此网上违法犯罪行为在侦察和取证时都有相当大的难度。违法犯罪者作案,有时只需坐在家里悄无声息的按一下键盘或点一下鼠标,瞬间就完成了,而侦破却要做大量耐心细致的分析核查和筛选工作。
第四、针对犯罪后的惩罚行为,目前对于网络犯罪的惩罚还不够严重,远远达不到对其他网络犯罪的震慑作用。所以才使得很多人敢于冒大不讳进行网络犯罪。
就目前情况来说,人们针对与网络犯罪的意识还比较淡薄,受害者没有明显的自我防护意识,而有的犯罪者有时却不知道自己的行为已经触犯了法律。所以解决网民大众的网络法律意识已经刻不容缓。这是解决犯罪的最佳途径。
二、打击网络犯罪的立法措施
(一)现在我国网络犯罪的立法现状,存在的不足
重庆利用木马盗窃网上银行钱财这个案件的犯罪者,同时在刑法的规定中也有一定的缺陷:罪过单调,犯罪人创作带有欺骗性质的网站以及在网站上非法使用病毒木马软件都归为一起,明显显出规定的不完整。刑种单一,难以发挥刑法惩戒功能,利用木马盗窃网上银行钱财的犯罪人如果是专业计算机从业者和非专业从业者的处罚在这里不能相同,利用专业知识犯罪应当从重处罚。
(二)如何改变这种现状
针对目前网络犯罪猖獗的现象,我们欣喜地看到现在很多地方的公安机关都已经在网站上公布举报电话及举报信箱,比如像赣州市公安局公共信息网络安全监察支队特公开网络违法犯罪举报电话及举报邮箱,很多网民也在从不同的途径了解到一些关于如何预防网络犯罪的方法,通过宣传使很多网友也认识到了网络犯罪的危害性。但是我们也要不断的吸取教训和经验,不断的探索和完善怎样利用法律途径解决类似网络犯罪,才能对抗随之而来的各种网络犯罪。
我们的最终目的不是解决类似重庆木马盗窃案件这样一个或几个犯罪案件,是要解决千千万万的网络犯罪,还给大家一个干净的网络空间,构建起美好而和谐的社会,杜绝一切危害人民群众切身利益的犯罪行为,解决上述情况的具体方法如下:
第一、网络运营商及服务商提高安全意识,严格管理制度,尽量减少犯罪分子可钻的空子。
第二、在网络信息交换中严格控制木马程序的使用,防止一切有害的程序对他人系统进行攻击,一经违反,立即删除。
第三、对广大网民进行积极的网络知识教育,让更多的人远离非法网站,非法程序的攻击。
第四、对于恶意窃取他人利益的行为予以坚决抵制,一旦发现,严惩不待。
第四,设立专门的网络管理人员,定期的检查网络中的危害,达到消灭垃圾于开始阶段
针对网络犯罪与计算机操作的直接关系,建议广泛地适用财产刑和资格刑。比如没收作案用计算机设备及与之有关的一切物品、设备;禁止犯罪分子从事与计算机系统有直接关系的职业等。
总之,信息时代的今天人们越来越离不开网络,信息是人们广阔的交流空间,在此郑重的呼吁人们从自身做起,抵制网络犯罪,为自己营造出一片干净的网络空间。
【参考文献】
[1]《刑法法条》第285、286、287条
[2]案例出自延边信息港生活部分。
木马程序范文第7篇
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)27-6468-02
Analysis Several Testing Environment Methods of Building to Test Trojan Virus and other Dangerous Procedure
YU Hai-wen,LOU Fang
(College of Information Engineering Nanchang University, Nanchang 330031, China)
Abstract: Introduced some methods of building to test several test environment about Trojan virus and other dangerous pro? gram, and analysis of the advantages and disadvantages of these methods.
Key words: virtual machine; powershadow master;sandboxie project;script enviroment
出于教学、研究、学习的需要,我们有时经常需要测试一些网上下载的,或自己编写的木马、病毒之类的恶意程序,但显然,我们也不希望自己的计算机系统在每次测试完之后都崩溃,或多年攒下的资料在测试过程中不小心被毁,因此,搭建一个合适的测试环境,无疑会给我们的研究、学习带来极大的好处。
经过一段时间的研究分析,本人觉得对病毒、木马等危险程序进行测试的几种测试环境的搭建方法主要有如下4种,分别是虚拟机环境、影子系统环境、沙盘安全系统环境、脚本运行环境,等。
下面我们对每种方法分类简单介绍。
1脚本运行环境
脚本语言又被称为扩建的语言,或者动态语言,是为了缩短传统的编写-编译-链接-运行(edit-compile-link-run)过程而创建的计算机编程语言。
脚本语言的主要特征是:程序代码即是脚本程序,亦是最终可执行文件。
脚本语言可分为独立型和嵌入型,独立型脚本语言在其执行时完全依赖于解释器,而嵌入型脚本语言通常在编程语言中被嵌入使用。
1.1 ASP脚本运行环境
ASP(Active Server Page),动态服务器页面,Microsoft公司开发,可以与数据库和其他程序进行交互,是一种简单方便的编程工具;常用于各种动态网站编程中及服务器端脚本的编写。其文件后缀是.asp。
要搭建ASP脚本环境,一般建议最好先搭建起IIS的服务器环境,并建立起各种所需的服务。
1.2 PHP脚本运行环境
PHP(Hypertext Preprocessor),超文本预处理语言,是一种在服务器端执行的、嵌入HTML文档的脚本语言。其功能强大,能实现CGI或JavaScript所有的功能,几乎支持所有流行的数据库和操作系统。
1.3脚本运行环境的应用场合
什么情况下需要搭建脚本测试环境呢?当用户需要测试脚本型木马的话,则一般需要搭建脚本语言运行环境。但脚本测试环境显然不适合于普通用户,一则,其环境的搭建有点复杂;二则,一般是比较专业的脚本代码编写人员测试时需要用到。
对大多数普通用户来讲,搭建安全的、测试EXE类型的木马,建议采用下述三种方法。
虚拟机(Virtual Machine),简单的说,就是在一台计算机(物理机)上安装一个软件,这个软件可以将物理机中的CPU、内存、硬盘等资源按照一定的规则分配给一个或多个虚拟机使用。这样一台物理机就可以变成很多台虚拟机,每个虚拟机上都可以安装独立的操作系统和应用软件。
比如,通过这种技术可以将一台服务器虚拟为多台虚拟的服务器,这就是服务器虚拟化。
因为虚拟机方法的实质,是通过软件虚拟出一个操作系统来,因此,对于个人,完全可以很方便地在一台电脑上虚拟出多个操作系统:windows7、MAC OS、linux….,而且每一个操作系统都独立运行,可以独立地安装所需要的应用软件,互不干扰。
2.2虚拟化软件
实现虚拟机的虚拟化软件有VMWare、Virtual PC、VirtualBox、Citrix、Xen、KVM,等。一般在windows上多用Vmware和virtualbox,在linux上多用Xen、KVM。
比如VMWare(Virtual Machine ware),是Windows平台上虚拟机软件中使用最广的一款,包括VMWare Server、VMWare Worksta tion等,该产品可以使用户在一台物理机上同时运行二个或更多Windows、Linux系统。
Xen是一个基于X86架构、性能稳定、占用资源较少的开源虚拟化技术。Xen可以在一套物理硬件上安全的执行多个虚拟机,与Linux是一个不错的开源组合。
KVM(Kernel-based Virtual Machine)是一个开源的系统虚拟化模块,目前已经集成在Linux的各个主要发行版本中;使用Linux自身的调度器进行管理,所以相对于Xen,其核心源码很少。
3影子系统环境
木马程序范文第8篇
[关键词] 木马 传播途径 攻击步骤
一、什么是木马
木马本质上是一种经过伪装的欺骗性程序,它通过将自身伪装吸引用户下载执行,从而破坏或窃取使用者的重要文件和资料。
木马程序与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它是一种后台控制程序。它的主要作用是向施种木马者打开被种者电脑的门户,使其可以任意毁坏、窃取被种者的文件,甚至远程操控其电脑。
二、木马的组成
一个完整的木马系统以下几部分组成:
1.硬件部分。建立木马连接所必须的硬件实体,一般由控制端、服务端和INTERNET三部分组成。
2.软件部分。实现远程控制所必须的软件程序,主要包括控制端程序、木马程序和木马配置程序等。
3.建立连接的必要元素。构建服务端和控制端连接所必须的元素。主要包括控制端IP、服务端IP、控制端端口以及木马端口等。
三、木马的发展历史
木马的发展大致经历了三个阶段,第一阶段的木马也叫伪装型病毒。这种木马通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马,它伪装成共享软件PC-Write的2.72版本,一旦用户运行该木马程序,硬盘被格式化。第二代木马叫AIDS型木马,它最早出现于1989年。虽然它不会破坏数据,但能将硬盘加密锁死,然后提示受感染用户往制定账户汇款以解除硬盘加密。随着Internet的普及,出现了兼备伪装和传播两种特征,并结合TCP/IP网络技术的第三代木马――网络传播性木马。这个阶段的木马已经具备了“后门”功能。所谓后门,就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装,攻击者就能绕过安全程序进入系统,收集系统中的重要信息;同时,第三代木马还具有键盘记录功能,记录用户所有的击键内容,形成包含用户重要信息的击键记录日志文件发送给种马者。这一代木马比较有名的有国外的BO2000(BackOrifice)和国内的冰河木马。它们的共同特点是:基于网络的客户端/服务器应用程序,具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。
四、木马的传播途径
1.通过电子邮件的附件传播。
2.通过下载文件传播。主要通过两种方式:一种是直接把下载链接指向木马程序;另一种是将木马捆绑到需要下载的文件中。
3.通过网页传播。木马程序加载在网页内,使浏览器自动下载并执行。
4.通过聊天工具传播。
五、木马攻击的步骤
木马实现网络入侵大致可分为配置、传播、运行、信息泄露、连接建立和远程控制六步:
1.配置木马
一个设计成熟的木马,必须有木马配置程序,木马配置主要实现以下两方面功能:
(1)木马伪装。木马配置程序为了在服务端尽可能的好的隐藏木马,通常采用以下几种伪装手段:①修改图标。将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,以迷惑网络用户。②捆绑文件。将木马捆绑到一个安装程序上,随着该程序的安装,木马被植入系统。③出错显示。当服务端用户打开木马程序时,弹出一个错误提示框,伴随用户的操作木马便植入系统。④定制端口。新式木马通过定制端口的手段,控制端用户可以在1024―65535之间任选一个数字作为木马端口,增大木马检测的难度。⑤自我销毁。新式木马安装后,原文件将自动销毁,木马的来源就很难找到,增大木马检测难度。⑥木马更名。新式木马更改植入系统的木马文件名,增大木马检测难度。
(2)信息反馈。木马配置程序对信息反馈的方式或地址进行设置。
2.传播木马
木马的传播方式第四节已详细介绍。
3.运行木马
木马在服务端自动安装,设置触发条件后,就可启动运行。木马的运行方式主要包括以下几种:
(1)自启动激活木马
①在C:WINDOWS目录下的配置文件system.ini中设置命令行启动木马。②控制端用户与服务端建立连接后,将已添加木马启动命令的文件上传到服务端覆盖C盘根目录下的Autoexec.bat和Config.sys。③启动菜单:在“开始――程序――启动”选项下也可能有木马的触发条件。
(2)触发式激活木马
①通过修改打开HTML,EXE,ZIP等文件启动命令的键值来启动。②捆绑文件:控制端用户将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除,只要运行捆绑木马的应用程序,木马将再次被安装。③自动播放式:修改AutoRun.inf中的open命令来指向木马程序。
4.信息泄露
成熟的木马都有一个信息反馈机制。所谓信息反馈机制,是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。从反馈信息中控制端可以知道服务端的一些软硬件信息,其中最重要的是服务端的IP,获取参数,控制端方可与服务端建立连接。
5.建立连接
木马连接的建立必须满足以下条件:一是服务端已安装木马程序;二是控制端和服务端都必须接入网络;三是获取服务端IP地址。
获得服务端IP地址的方法主要有两种:信息反馈和IP扫描。信息反馈前面已经介绍,这里主要介绍IP扫描的过程。其过程如下:控制端扫描IP地址段中相应木马端口号开放的主机,并将该主机的地址记入IP地址列表,同时向该主机发出连接信号,服务端木马程序收到信号后立即作出响应,控制端收到响应信号后,开启一个随即端口并与服务端木马端口建立连接。
6.远程控制
控制端与木马程序建立连接后,通过木马程序对服务端进行远程控制。控制端可以窃取的权限有以下几种:
(1)窃取密码。通过键盘记录功能,窃取用户的各种密码或侦测一切以明文形式或者存储在CACHE中的密码。 (2)文件操作。控制端由远程控制对服务端上的文件进行删除、篡改、上传等一系列操作。(3)修改注册表。控制端可任意修改服务端注册表,包括删除,新建或修改主键、子键键值,甚至锁住服务端的注册表。(4)系统操作。对服务端操作主要包括重启或关闭操作系统、断开网络连接以及控制鼠标或键盘等。
六、结束语
目前,针对木马的检测和清除技术在不断地提高,但是木马的变更手段也日益猖狂,正所谓“道高一尺魔高一丈”。在计算机的游戏规则中,总是先有木马出现,才有查杀和清除木马的方法。作为一个新时代的计算机用户,只有深入地了解木马的攻击手段,不断积累经验,才能尽量减少木马造成的损失,给自己创造一个良好的网络生活方式。
参考文献:
[1]张友生.计算机病毒与木马程序剖析.北京:科海电子出版社,2003.
[2]陈什云.黑客攻防对策.清华大学出版社,2002.
[3]Donald L.Pipkin著.朱崇高译.拦截黑客-计算机安全入门(第二版).清华大学出版社,2003.
木马程序范文第9篇
【关键词】特洛伊木马;计算机网络;入侵;防御
对于计算机网络而言,当前的计算机网络具有一定的脆弱性和易受攻击性,而这些攻击手段主要是以特洛伊木马病毒为主的各种计算机病毒程序。这些程序通过非法的手段入侵他人计算机非法获取信息,扰乱社会和网络空间安全。有鉴于此,客观认识木马病毒并采取相应的措施,具有十分重要的意义。
一、木马病毒对计算机网络的危害
(一)木马的概念。“木马”程序是当前计算机网络安全中比较流行的病毒文件,但是木马病毒不同于一般的计算机病毒,木马病毒不会自我复制,也不会刻意的去污染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者刻意任意毁坏、窃听被种者的文件,甚至远程操控被种主机。因此,木马病毒所带来的危害要远远大于一般计算机网络病毒的危害。
(二)木马的特征
木马作为计算机网络病毒中的一种,它有较多种类的木马程序,但各类木马程序之间具有一些类似的特征。
1.植入性。木马病毒通常作为远程攻击的一种手段。因而,木马病毒通常是通过计算机网络等途径,将木马程序植入到宿主计算机中。此外,由于当前木马技术与计算机蠕虫技术相结合,大大提高了木马病毒的植入能力。
2.隐蔽性。木马病毒在被植入到宿主计算机之后,便通过修改自身自动方式、改变自身存盘位置、修改文件名称或图标等方式实现木马程序的隐藏。
3.自动运行和恢复性。木马程序可以通过修改系统的配置文件实现电脑启动时运行木马程序的工功能。此外,目前很多木马程序的功能模块并不是由单一的文件组成,而是具有相对多重的备份,可以再任何时刻实现相互复制、恢复的目的,防止计算机安全程序对木马病毒的处理。
二、网络服务器木马入侵途径
(一)木马的配置策略。木马的配置策略主要是通过木马的植入隐蔽和信息反馈两个关键步骤实现。首先通过各种植入方式,将木马程序植入宿主计算机,通过各种隐藏手段实现在宿主计算机中的隐藏,然后,通过数据反馈的方式,将宿主计算机内部的各种软硬件配置信息借助互联网传送到入侵主机中,从而最终实现木马程序的配置。
(二)木马的传播方式。木马的传播主要建立在互联网相互通信基础上,通过互联网之间的信息传递实现木马程序的入侵。木马程序入侵主要可通过电子邮件、软件下载和网页传播等方式实现。在电子邮件植入中,控制端将木马程序以附件的方式传送出去,客户端一旦打开邮件就会感染病毒。在软件下载方式中,客户端在软件的安装过程中,木马程序便同时予以启动,导致客户端感染病毒。在网页的传播方式中,客户端在浏览网页的过程中会在客户端和服务器之间的信息传递中,不经意间感染木马病毒。
(三)木马的运行过程。传统的木马运行方式有两种,分别为自启动激活模式和触发式激活模式。自启动激活模式主要是木马程序中存在某些关键值,当系统内部的程序的运算结果达到木马程序的阈值时,木马程序就会自动启动。触发式激活模式则是依靠文件捆绑方式实现,当客户机对捆绑文件进行操作的时候,被捆绑的木马程序就会启动。目前,较为流行的木马入侵方式主要是合并上述两种方式,其方式主要是先通过触发式激活模式,将木马程序植入计算机中,然后,通过自启动的方式激活程序,使程序在计算机内部活跃起来,实现对客户机的监听以及盗窃相应数据的目的。
(四)木马的远程控制。当控制端和客户端通过木马程序建立连接后,控制端和客户端就会形成木马通道,控制端可以通过相应的木马程序借助该通道获取客户端的数据信息,从而实现远程控制。
三、网络服务器木马入侵的防御方法
(一)安装防火墙和杀毒软件。根据当前木马程序的攻击方式统计结果,大部分木马攻击都是利用现有较为成熟的木马程序或者系统软件和应用软件的漏洞进行网络攻击,针对这些网络攻击,客户机可以有针对性的采取安装防火墙或者杀毒软件等方式进行抵制木马程序的攻击,确保客户端的软硬件信息和重要数据信息得到时刻的监控,防止木马病毒的攻击。
(二)阻断网络通信途径。在网络监控环节中,可以利用计算机安全程序对通信网络进行实时监控,对网络通信环节出现的异常要进行及时处理,确保网络正常的通信,此外,可以对客户端计算机的网络数据包进行规则定义,确保该客户端计算机的数据包流通合乎规则,降低木马程序的入侵可能性。另外,通过计算机入侵检查技术,可以再流动数据包中进行木马植入和攻击风险的检测,并对以检测到的攻击进行网络阻断。
(三)网络端口的实时监控。客户端计算机连接网络的基础的网络端口,通过网络端口的连接作用实现计算机连接网络的目的。通过对网络端口的实时监控可以降低客户端计算机受到木马病毒攻击的可能性。对网络端口的实时监控主要是检测两个方面。一个方面就是监控端口的开启与关闭,如果实时监控系统发现某个端口打开和关闭异常,则表明该端口容易受到或正在受到木马等程序的攻击,通过对该异常端口进行相应的处理,即可相应的降低感染风险。另一个方面就是对通过网络端口数据的监控,防止木马程序通过依附于合法数据包的方式进行远程攻击。
(四)访问注册表行为的控制。当前木马程序在宿主计算机中发挥隐藏功能的主要基础是木马伪装成注册表在系统中存在,加强对系统中注册表的访问机制,就会在一定的程度上降低木马的攻击效果。
一些木马通过修改系统注册表,实现其木马的恶意行为,并且能够实现隐藏和启动的功能,因此,如果能够对系统修改注册表的行为加以控制,那么木马就不会对系统做出非法操作,此外,对注册表中和自启动相关联的项目加以权限限制和实施监控,可以令木马程序不能隐蔽和自启动,提高了系统保护自身的能力。
(五)防范恶意远程控制。由于当前的计算机大部分都连入网络当中,那么连入互联网的计算机就面临着远程控制的风险,正常情况下的合法远程控制对于用户而言,用户未必能够注意到计算机已被远程控制,但是一旦计算机被恶意远程控制,那么计算机的运行性能就会遭到极大的影响,因此,当出现计算机被远程控制的时候,用户需要对计算机采取及时的措施,降低因木马中毒导致计算机被恶意远程控制造成的不必要风险。
参考文献:
木马程序范文第10篇
[关键词]:特洛伊木马 计算机网络 入侵 防御
一、木马病毒对计算机网络的危害
(一)木马的概念。“木马”程序是当前计算机网络安全中比较流行的病毒文件,但是木马病毒不同于一般的计算机病毒,木马病毒不会自我复制,也不会刻意的去污染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者刻意任意毁坏、窃听被种者的文件,甚至远程操控被种主机。因此,木马病毒所带来的危害要远远大于一般计算机网络病毒的危害。
(二)木马的特征。木马作为计算机网络病毒中的一种,它有较多种类的木马程序,但各类木马程序之间具有一些类似的特征。
1.植入性。木马病毒通常作为远程攻击的一种手段。因而,木马病毒通常是通过计算机网络等途径,将木马程序植入到宿主计算机中。此外,由于当前木马技术与计算机蠕虫技术相结合,大大提高了木马病毒的植入能力。
2.隐蔽性。木马病毒在被植入到宿主计算机之后,便通过修改自身自动方式、改变自身存盘位置、修改文件名称或图标等方式实现木马程序的隐藏。
3.自动运行和恢复性。木马程序可以通过修改系统的配置文件实现电脑启动时运行木马程序的工功能。此外,目前很多木马程序的功能模块并不是由单一的文件组成,而是具有相对多重的备份,可以再任何时刻实现相互复制、恢复的目的,防止计算机安全程序对木马病毒的处理。
二、网络服务器木马入侵途径
(一)木马的配置策略。木马的配置策略主要是通过木马的植入隐蔽和信息反馈两个关键步骤实现。首先通过各种植入方式,将木马程序植入宿主计算机,通过各种隐藏手段实现在宿主计算机中的隐藏,然后,通过数据反馈的方式,将宿主计算机内部的各种软硬件配置信息借助互联网传送到入侵主机中,从而最终实现木马程序的配置。
(二)木马的传播方式。木马的传播主要建立在互联网相互通信基础上,通过互联网之间的信息传递实现木马程序的入侵。木马程序入侵主要可通过电子邮件、软件下载和网页传播等方式实现。在电子邮件植入中,控制端将木马程序以附件的方式传送出去,客户端一旦打开邮件就会感染病毒。在软件下载方式中,客户端在软件的安装过程中,木马程序便同时予以启动,导致客户端感染病毒。在网页的传播方式中,客户端在浏览网页的过程中会在客户端和服务器之间的信息传递中,不经意间感染木马病毒。
(三)木马的运行过程。传统的木马运行方式有两种,分别为自启动激活模式和触发式激活模式。自启动激活模式主要是木马程序中存在某些关键值,当系统内部的程序的运算结果达到木马程序的阈值时,木马程序就会自动启动。触发式激活模式则是依靠文件捆绑方式实现,当客户机对捆绑文件进行操作的时候,被捆绑的木马程序就会启动。目前,较为流行的木马入侵方式主要是合并上述两种方式,其方式主要是先通过触发式激活模式,将木马程序植入计算机中,然后,通过自启动的方式激活程序,使程序在计算机内部活跃起来,实现对客户机的监听以及盗窃相应数据的目的。
(四)木马的远程控制。当控制端和客户端通过木马程序建立连接后,控制端和客户端就会形成木马通道,控制端可以通过相应的木马程序借助该通道获取客户端的数据信息,从而实现远程控制。
三、网络服务器木马入侵的防御方法
(一)安装防火墙和杀毒软件。根据当前木马程序的攻击方式统计结果,大部分木马攻击都是利用现有较为成熟的木马程序或者系统软件和应用软件的漏洞进行网络攻击,针对这些网络攻击,客户机可以有针对性的采取安装防火墙或者杀毒软件等方式进行抵制木马程序的攻击,确保客户端的软硬件信息和重要数据信息得到时刻的监控,防止木马病毒的攻击。
(二)阻断网络通信途径。在网络监控环节中,可以利用计算机安全程序对通信网络进行实时监控,对网络通信环节出现的异常要进行及时处理,确保网络正常的通信,此外,可以对客户端计算机的网络数据包进行规则定义,确保该客户端计算机的数据包流通合乎规则,降低木马程序的入侵可能性。另外,通过计算机入侵检查技术,可以再流动数据包中进行木马植入和攻击风险的检测,并对以检测到的攻击进行网络阻断。
(三)网j端口的实时监控。客户端计算机连接网络的基础的网络端口,通过网络端口的连接作用实现计算机连接网络的目的。通过对网络端口的实时监控可以降低客户端计算机受到木马病毒攻击的可能性。对网络端口的实时监控主要是检测两个方面。一个方面就是监控端口的开启与关闭,如果实时监控系统发现某个端口打开和关闭异常,则表明该端口容易受到或正在受到木马等程序的攻击,通过对该异常端口进行相应的处理,即可相应的降低感染风险。另一个方面就是对通过网络端口数据的监控,防止木马程序通过依附于合法数据包的方式进行远程攻击。
(四)访问注册表行为的控制。当前木马程序在宿主计算机中发挥隐藏功能的主要基础是木马伪装成注册表在系统中存在,加强对系统中注册表的访问机制,就会在一定的程度上降低木马的攻击效果。
一些木马通过修改系统注册表,实现其木马的恶意行为,并且能够实现隐藏和启动的功能,因此,如果能够对系统修改注册表的行为加以控制,那么木马就不会对系统做出非法操作,此外,对注册表中和自启动相关联的项目加以权限限制和实施监控,可以令木马程序不能隐蔽和自启动,提高了系统保护自身的能力。
防范恶意远程控制。由于当前的计算机大部分都连入网络当中,那么连入互联网的计算机就面临着远程控制的风险,正常情况下的合法远程控制对于用户而言,用户未必能够注意到计算机已被远程控制,但是一旦计算机被恶意远程控制,那么计算机的运行性能就会遭到极大的影响,因此,当出现计算机被远程控制的时候,用户需要对计算机采取及时的措施,降低因木马中毒导致计算机被恶意远程控制造成的不必要风险。
参考文献: