特洛伊木马病毒的隐藏技术
李军丽
云南大学信息学院 云南 650031
摘要:隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。
关键词:木马病毒;网络安全;隐藏技术
0 引言
随着计算机网络技术的迅速发展和普及,人们也开始面临着越来越多的网络安全的隐患,特别木马对网络用户的网络数据和隐私安全产生了极大的威胁;据调查,目前在国内,68.26%的用户怀疑受到过木马病毒的攻击,63%的电脑用户曾受到过木马病毒攻击。隐藏技术是木马的关键技术之一,其直接决定木马的生存能力。本文对木马病毒的隐藏技术从几个方面进行了研究,并对木马病毒的预防和检测提出了自己的一些建议。
1 木马的隐藏技术
木马区别与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。木马的隐藏技术主要包括以下几个方面:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏和内核模块隐藏和协同隐藏等。
1.1 本地文件伪装隐藏
木马文件通过将木马文件设置为系统、隐藏或是只读属性来实现木马问的隐藏,或是通过将木马文件命名为和系统文件的文件名相似的文件名,从而使用户误认为系统文件而忽略。或是将文件的存放在不常用或难以发现的系统文件目录中,或是将木马存放的区域设置为坏扇区。
1.2 木马的启动隐藏方式
(1) 本地文件伪装
最常用的文件隐藏是将木马病毒伪装成本地文件。木马病毒将可执行文件伪装成图片或文本----在程序中把图标改成WINDOWS的默认图片图标,再把文件名改为.JPG.EXE。由于WINDOWS默认设置是不显示已知的文件后缀名,文件将会显示为.JPG.,不注意的人一点击这个图标就在无意间启动了木马程序。
(2) 通过修改系统配置来实现木马的启动隐藏
利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行。像Autoexec.bat和Config.sys。特别是系统配置文件MSCONFIG.SYSMSCONFIG.SYS中的系统启动项——
system.iniwindow.ini是众多木马的隐藏地。Windows安装目录下的system.in的[boot]字段中,正常情况下为boot=“Explorer.exe”,如果后面有其他的程序,如这样的内容,boot=“Explorer.exe file.exe”,这里的file.exe,可能就是木马服务端程序。另外,在System.ini中的[386enh]字段,要注意检查在此段内的driver=路径\程序名。这里也有可能被木马所利用。再有System.ini中的[drivers],[drivers32],[mci]这3个字段,也是起到加载驱动程序的作用,因此也是增添木马程序的好场所。
(3) 利用系统路径遍历优先级欺骗
Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则,它会由系统所在的盘符的根目录开始向系统目录深处递进查找,而不是精确定位;这就意味着,如果有两个同样名称的文件分别放在“C:\”和“C:\WINDOWS”下,WINDOWS会执行C:\下的程序,而不是C:\WINDOWS下的。这样的搜寻逻辑就给入侵者提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件里,并复制到比原文件要浅一级的目录里,WINDOWS就会想当然的执行这个木马程序。要提防这种占用系统启动项而作到自动运行的木马,用户必须了解自己机器里所有正常的启动项信息,才能知道木马有没有混进来。
(4) 替换系统文件
木马病毒就利用系统里那些不会危害到系统正常运行而又经常会被调用的程序文件,像输入法指示程序INTERNAT.EXE。让动态链接库可以像程序一样运行的RUNDLL32.EX等。木马程序会替换掉原来的系统文件,并把原来的系统文件名改成只有它自己知道的一个偏僻文件名。只要系统调用那个被替换的程序,木马就能继续驻留内存了。木马作为原来的程序被系统启动时,会获得一个由系统传递来的运行参数,木马程序就把这个参数传递给被改名的程序执行。1.3 进程隐藏
进程隐藏有两种情况,一种隐藏是木马程序的进程仍然存在,只是不在进程列表里;采用APIHOOK
技术拦截有关作者简介:李军丽(1980-),女,云南大学信息学院05级硕士研究生,研究方向:计算机网络安全,嵌入式系统。
系统函数的调用实现运行时的隐藏,替换系统服务等方法导致无法发现木马的运行痕迹。另外一种方法是木马不以一个进程或者服务的方式工作。将木马核心代码以线程或DLL的方式插入到远程进程中,由于远程进程是合法的用户程序,用户又很难发现被插入的线程或DLL,从而达到木马隐藏的目的。
在Windows系统中常见的真隐藏方式有:注册表DLL插入、特洛伊DLL、动态嵌入技术、CreateProrocess插入和调试程序插入等。
1.4 内核模块隐藏
有些木马在运行时能够删除自身启动运行及存在的痕迹,当检测到操作系统重新启动再重新在系统中设置需要启动自身的参数,这类木马存在的问题:当系统失效时(如断电、死机时)无法再次恢复运行。内核模块隐藏,使木马程序依附到操作系统部件上,或成为操作系统的一部分。
1.5 原始分发隐藏
软件开发商可以在软件的原始分发中植入木马。其主要思想是:
(1)修改编译器的源代码A,植入木马,包括针对特定程序的木马(如login程序)和针对编译器的木马。经修改后的编译器源码称为B。
(2) 用干净的编译器C对D进行编译得到被感染的编译器D。
(3) 删除B,保留D和A,将D和A同时发布。
以后,无论用户怎样修改login源程序,使用D编译后的目标login程序都包含木马。而更严重的是用户无法查出原因,因为被修改的编译器源码B已被删除,发布的是A,用户无法从源程序A中看出破绽,即使用户使用D对A重新进行编译,也无法清除隐藏在编译器二进制中的木马。相对其它隐藏手段,原始分发的隐藏手段更加隐蔽。
1.6 通信隐藏
主要包括通信内容、流量、信道和端口的隐藏。木马常用的通信隐藏方法是对传输内容加密,隐藏通信内容。采用网络隐蔽通道技术隐藏通信信道。在TCP/IP协议族中,有许多信息冗余可用于建立网络隐蔽通道。木马可以利用这些网络隐蔽通道突破网络安全机制,比较常见的有:ICMP畸形报文传递、HTTP隧道技术,自定义TCP/UDP报文等。
采用网络隐蔽通道技术,如果选用一般安全策略都允许的端口通信,如80端口,则可轻易穿透防火墙和避过入侵检测系统等安全机制的检测,从而具有很强的隐蔽性。
通信流量的隐藏,当存在其他通信流量时,木马程序也启动通信。当不存在任何其他通信流量时,木马程序处于监听状态,等待其他进程通信。
有些木马为了能更好地实现隐藏,达到长期潜伏的目的,通常融合多种隐藏技术,如采用多线程方式,线程间相互实时保护,一旦一方被删除,另一方可以通过备份恢复并远程启动。或是通过一个木马程序(称为“主木马”),在局域网内
部繁殖生产“子木马”,统一协调完成工作。各子木马根据主木马分派的任务,各自负责一独立任务。达到相互之间的保护,同时可以分散传输数据量,达到目的地址接受数据,增大追查源地址的难度。而且主木马和子木马寄生于不同主机,并且相互联系,增强了木马的抗查杀的能力。
2 木马病毒的检测及清除方法
2.1 本地隐藏方式木马的监测与清除
本地隐藏的木马比较容易发现。我们可以通过以下几种方法来查杀。
(1)设置文件的查看方式
通过设置文件的查看方式将文件的扩展名显示出来,查看是否存在多扩展名的程序。同时检查系统文件是否处于正常的系统文件夹内。如果发现存在多个同样的系统文件,那么就要小心查看是否为病毒文件。可先做备份,然后再将可疑文件删除。
(2)检查注册表和系统配置文件
对于通过修改系统配置文件和注册表启动项来达到自启动的木马,需要常查看容易被修改的那些键值,看是否有新的程序加入。如果有异常程序添加进了启动项,如果有异常程序,则可以先将系统配置文件备份。然后,根据文件路径找到可疑文件源,查找注册表中所有相关项,删除源文件并同时删除注册表中的启动项和所有相关信息。
(3)检查HKEY——CLASSES——ROOT项
检查HKEY——CLASSES——ROOT项下每类文件所对应的打开程序是否异常,如果发现异常则可能是系统进了木马。特别是HKEY——CLASSES——ROO\EXEFILE\SHELL\OPEN\COMMAND,是否被修改。如果有木马修改了该项,则只需要查看EXE文件的打开方式被指向了什么程序,立即停止这个程序的进程,如果它还产生了其他的木马文件的话,也一起停止,然后在保持注册表编辑器开启的情况下(否则所有程序都打不开了),删除掉所有木马文件,把EXEFILE的打开方式项“HKEY——CLASSES——ROOT\EXEFIEL\
SHELL\OPEN\COMMAND”改回原来的”%1”%*”即可。2.2 替换系统文件或是远程线程注入木马的检测与清除
对替换了系统文件或是远程线程注入木马的检测与清除,需要我们首先找出被替换的是哪些系统文件。保留一份系统文件备份,特别是重要的系统程序和所有的DLL链接库文件。如果知道病毒替换了系统程序,则只需要找出病毒文件,从系统盘或备份文件复制一个覆盖病毒文件即可。如果是有DLL 木马线程注入,调用系统进程启动。则可以通过开始->运行输入cmd,打开命令窗口,转到windows\system32下,输入命令dir *.dll >x:\dllback.txt,对系统DLL文件备份,在命
令窗里输入命令fc dllback.txt xitongd.txt > x:\qubie.txt ,将DLL
[下转41页]
通信主机只能看到本地地址和区域转交地址,无法看到本地转交地址。除了在路由代理和移动主机本身所在的链路上,移动主机的位置无法被获知,本地转交地址出现在该链路的隧道头中。管理地址的技术通常也称为局部移动性管理,因为路由代理域中的移动性管理是相当严格的。HMIPv6就是移动IPv6局部移动性管理协议的一个实例。在HMIPv6中,路由代理称为移动锚点(MAP)。图2描述了HMIPv6如何隐藏移动主机的位置信息。
图2 位置隐私协议HMIPv6
路由代理的另一个优势是可以为管理绑定更新时间和信令负荷提供额外效率。当移动主机进入路由代理的覆盖域时,它必须发送一条绑定更新给路由代理。但是,如果使用了路由最优化,每次当移动主机运动至新子网时,绑定更新必须发送给本地代理和所有的通信主机。发送绑定更新的开销是相当大的,尤其是需要迂回路由安全协议时或接收方位于另一个大陆时。
路由代理的主要缺点是他们在路由基础设施中引入了单
点故障。路由代理包含了所有移动主机的绑定信息,这些移动主机横跨宽的地理区域或大型组织。如果路由代理工作不正常,这些主机将无法实现正常的业务。引入单点故障可靠性技术(如复制和超级可靠系统)的成本是相当高的。路由基础设施本身可以使用冗余技术来实现可靠性,这样当任意单个路由器无法工作时,其他的路由器将接管其工作负荷。不需要专门设置备份路由器,这些路由器平时都可以正常运行。局部移动性管理在路由代理和移动主机之间增加了一条额外的隧道层。当无线链路的带宽非常有限时或当无线链路上的帧尺寸比较小时,这将成为一个问题。
4 结论
由于Internet最初是基于固定主机和路由器开发的,移动性无法自然地从Internet协议(IP)分组路由演变过来。IP移动性管理要求增加一个新协议——移动IP协议,来处理由移动主机带来的路由变化问题。但移动性管理不仅仅包括简单的路由变化。在公共接入无线网络中,用户访问网络无须固定的连接,通常是来自其他业务提供商处的漫游者。对新接入的用户进行认证,决定是否授权某个用户接入某项网络应用,并生成计费记录,来为业务提供商收费提供必要的依据。因
此,移动IP安全问题目前显得尤为重要。
参考文献
[1]郎为民.下一代网络技术原理与应用.北京: 机械工业出版社.2006.
[2]郎为民.下一代移动通信系统:3G/B3G.北京: 机械工业出版社.2007.
[3]戴希云,邹进兴,李兆宏.WCDMA系统技术演进——全IP的WCDMA.中国无线电.2005.
文件备份和原来的DLL文件备份xitongd.txt文件相比较,多余的DLL文件则会重新存进文件qubie.txt中,找出多出的DLL文件,备份后,删除多余的文件。如果删除后系统异常,通过备份仍可恢复。
2.3 监测网络端口
通过网络端口监测查看是否有异常端口开放,已建立的连接,建立连接的程序,如果有未知的程序与外界建立了连接,则可查找出程序源文件的地址,所调用的系统进程。然后断开连接,删除源文件,查找注册表,删除所有相关项。
3 木马的发展趋势及木马病毒预防的几点建议
随着各种杀毒软件的升级及各种防火墙技术的应用,木马为了绕过防火墙的隔绝和各种杀毒软件的查杀。木马的隐藏技术也越来越复杂,越来越不容易被发现。开始出现融合多种特点的新型病毒。而且一些复杂型的病毒越来越趋向与感染操作系统底层,使得木马的检测和清除更加困难。
预防木马病毒首先需要加强系统本身的防护能力,对于重要的系统文件应该做到拒绝用户操作。例如修改系统文件名称,系统文件的复制,移动和删除。对系统程序或进程调用的进程或模块,应做严格的认证,对于没有经过认证的进程或模块应拒绝加载,并给出提示信息;或是提供具有这种功能的一种操作模式,当用户怀疑系统感染木马病毒时,可以启动进入。这样,用户便可以知道哪些模块或进程是木马病毒,进而清除掉。
参考文献
[1]查找与清除线程插入式木马.计算机与网络.2005.[2]陈蓉.病毒分析及其防治方法.农业网络信息.2006.[3]认识木马的本质.焚烧木马.软件信息安全.2005.
[4]康志平.特洛伊木马隐藏技术研究及实践.计算机工程与应用.2006.
[5]柳红.如何缉拿木马病毒.中国检验检疫.2006.
[上接23页]
病毒营销定义 各位读友大家好!你有你的木棉,我有我的文章,为了你的木棉,应读我的文章!若为比翼双飞鸟,定是人间有情人!若读此篇优秀文,必成天上比翼鸟! [摘要]病毒营销是企业通过优质的人性化服务来赢得顾客的广泛认同和赞誉,使企业所在行业或目标市场的意见领袖利用自己巨大的人际关系网络,借助于互联网主动向亲朋好友热情传播产品或服务,达到营销连锁反应和销售倍增的效果。[关键词]病毒营销;情感意见领袖一、从“六度分隔”理论看病毒营销美国心理学教授米尔格兰姆在其提出的著名的“六度分隔”假说(又称为“小世界现象”)中提到,“你和任何一个陌生人之间所间隔的人不会超过六个,也就是说,最多通过六个人你就能够认识任何一个陌生人。”该假说的出现使得人们对于自身的人际关系网络的威力有了新的认识。后来,美国哥伦比亚大学和俄亥俄州大学的社会学家使用网络时代的新型
通讯手段——Email——来对“小世界现象”进行了验证。无论是人际网络,还是万维网的架构,还是通过超文本链接的网络、经济活动中的商业联系网络,有着完全相似的组织结构。通过网络使“六度分隔”理论对人人之间都可以构成弱纽带,理想的状态是人人都置身在连接的世界中,这个目标在不断接近。社会中普遍存在的“弱纽带”,通过弱纽带人与人之间的距离变得非常“相近”,这在社会关系中发挥着非常强大的作用。病毒营销,是通过用户的口碑宣传网络,借助于因特网,利用快速复制的方式将有利于企业的营销信息像病毒一样传递给他人,使之在曝光率和影响上产生几何级增长速度的一种营销推广策略。这种策略可以耗费较少的人力物力,将信息在短暂的时间内快速地、爆炸式地传递给成千上万的消费者,就像病毒,具有快速繁殖,以一生千,以至百万。病毒营销是通过电子邮件来实现的,它是口碑营销早互联网上的表现形式。企业通
电脑病毒定义介绍 电脑病毒定义是怎么样的!你有去了解过吗!下面由我给你做出详细的!希望对你有帮助! : 电脑病毒定义一、计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒"指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码"。 电脑病毒定义二、计算机病毒的长期性:病毒往往会利用计算机操作系统的弱点进行传播,提高系统的安全性是防病毒的一个重要方面,但完美的系统是不存在的,过于强调提高系统的安全性将使系统多数时间用于病毒检查,系统失去了可用性、实用性和易用性,另一方面,信息保密的要求让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在,两种技术都将随计算机技术的发展而得到长期的发展。 电脑病毒定义三、计算机病毒的产生:病毒不是来源于突发或偶然的原因.一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分
析来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,处于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也有因政治,军事,宗教,民族.专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒. 电脑病毒定义四、计算机病毒的特点, 电脑病毒具有以下几个特点: (1) 寄生性计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。 (2) 传染性计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,井使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机井得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)会被感染。而被感染的文件又成了新的传染源,再与其他机器进行数据交换或通过网络接触,病毒会继续进行传染。正常的计算机程序一般是不会将自身的代码强行连接
关于计算机病毒论文 摘要:计算机病毒就是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行 破坏作用的一组程序或指令集合。广义的计算机病毒还包括逻辑炸弹、特洛伊木马和系统陷阱入口等。 关键词:计算机;防范;病毒 1病毒的起源 2计算机病毒的特点 2.1计算机病毒的程序性(可执行性):计算机病毒与其他合法程 序一样,是一段可执行程序,但它不是一个完整的程序,而是寄生 在其他可执行程序上,因此它享有—切程序所能得到的权力。 2.3计算机病毒的潜伏性:一个编制精巧的计算机病毒程序,进 入系统之后一般不会马上发作,潜伏期长,可以在几周或者几个月 甚至几年内隐藏在合法文件中,对其他系统进行传染,而不被人发现。有的可以长期潜伏在计算机系统而不发作,等达到激发条件后,就发作并破坏系统。 2.4计算机病毒的可触发性:病毒因某个事件或数值的出现,诱 使病毒实施感染或进行攻击的特性。 2.5计算机病毒的破坏性:计算机病毒破坏力大。系统被病毒感 染后,病毒一般不即时发作,而是潜藏在系统中,等条件成熟后, 便会发作,计算机病毒一旦发作,轻则干扰系统的正常运行,重则 破坏磁盘数据、删除文件,甚至导致整个计算机系统的瘫痪。 2.6攻击的主动性:病毒对系统的攻击是主动的,计算机系统无 论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击,而保护措施仅是一种预防的手段而已。
2.8隐蔽性:病毒可以在毫无察觉的情况下感染计算机而不被人 察觉,等到发现时,就已经造成了严重后果。 3计算机病毒的技术分析 长期以来,人们设计计算机的目标主要是追求信息处理功能的提高和生产成本的降低,而对于安全问题则不够重视。计算机系统的 各个组成部分,接口界面,各个层次的相互转换,都存在着不少漏 洞和薄弱环节。硬件设计缺乏整体安全性考虑,软件方面也更易存 在隐患和潜在威胁。对计算机系统的测试,目前尚缺乏自动化检测 工具和系统软件的完整检验手段,计算机系统的脆弱性,为计算机 病毒的产生和传播提供了可乘之机;全球万维网(www)使“地球一村化”,为计算机病毒创造了实施的空间;新的计算机技术在电子系统 中不断应用,为计算机病毒的实现提供了客观条件。国外专家认为,分布式数字处理、可重编程嵌入计算机、网络化通信、计算机标准化、软件标准化、标准的信息格式、标准的数据链路等都使得计算 机病毒侵入成为可能。实施计算机病毒入侵的核心技术是解决病毒 的有效注入。其攻击目标是对方的各种系统,以及从计算机主机到 各式各样的传感器、网桥等,以使他们的计算机在关键时刻受到诱 骗或崩溃,无法发挥作用。从国外技术研究现状来看,病毒注入方 法主要有以下几种: 3.1无线电方式:主要是通过无线电把病毒码发射到对方电子系 统中,此方式是计算机病毒注入的最佳方式,同时技术难度也最大。可能的途径有:①直接向对方电子系统的无线电接收器或设备发射,使接收器对其进行处理并把病毒传染到目标机上。②冒充合法无线 传输数据。根据得到的或使用标准的无线电传输协议和数据格式, 发射病毒码,使之能够混在合法传输信号中,进入接收器,进而进 入信息网络。③寻找对方信息系统保护最差的地方进行病毒注放。 通过对方未保护的数据链路,将病毒传染到被保护的链路或目标中。 3.2“固化”式方法:即把病毒事先存放在硬件(如芯片)和软件中,然后把此硬件和软件直接或间接交付给对方,使病毒直接传染 给对方电子系统,在需要时将其激活,达到攻击目的。这种攻击方 法十分隐蔽,即使芯片或组件被彻底检查,也很难保证其没有其他
一、计算机病毒的概念 定义:计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。(国外) 定义:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码,就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。 (国内) 病毒产生的原因: 计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大。 1)寻求刺激:自我表现;恶作剧; 2)出于报复心理。 病毒的特征: 传染性;寄生性;衍生性; 隐蔽性;潜伏性; 可触发性;夺取控制权; 破坏性与危害性; 病毒的分类: 按破坏性分为:良性;恶性。按激活时间分为:定时;随机 按传染方式分为: 引导型:当系统引导时进入内存,控制系统; 文件型:病毒一般附着在可执行文件上; 混合型:既可感染引导区,又可感染文件。 按连接方式分为: OS型:替换OS的部分功能,危害较大; 源码型:要在源程序编译之前插入病毒代码;较少; 外壳型:附在正常程序的开头或末尾;最常见; 入侵型:病毒取代特定程序的某些模块;难发现。 按照病毒特有的算法分为: 伴随型病毒:产生EXE文件的伴随体COM,病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。 “蠕虫”型病毒:只占用内存,不改变文件,通过网络搜索传播病毒。 寄生型病毒:除了伴随和“蠕虫”型以外的病毒,它们依附在系统的引导扇区或文件中。 变型病毒(幽灵病毒):使用复杂算法,每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。 引导型病毒种类大麻病毒香港病毒米氏病毒Pakistani Brain(巴基斯坦大脑) Stoned(石头)ExeBug Monkey 病毒的组成: 安装模块:提供潜伏机制; 传播模块:提供传染机制; 触发模块:提供触发机制; 其中,传染机制是病毒的本质特征,防治、检测及 杀毒都是从分析病毒传染机制入手的。 计算机病毒的传播过程可简略示意如下: 病毒的症状 启动或运行速度明显变慢;文件大小、日期变化;死机增多;莫名其妙地丢失文件;磁盘空间不应有的减少;有规律地出现异常信息;自动生成一些特殊文件;无缘无故地出现打印故障。 计算机病毒的传播途径
计算机病毒的定义及特征 一、计算机病毒(Computer Virus)在《中华人民共和国计算机信息系统安全 保护条例》中被明确定义,病毒指“编制或者在计算机程序中插入的破坏计 算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指 令或者程序代码”。 二、计算机病毒的特征 1、寄生性计算机病毒寄生在其他程序之中,当执行这个程序时,病 毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。 2、传染性计算机病毒不但本身具有破坏性,更有害的是具有传染性, 一旦病毒被复制或产生变种,其速度之快令人难以预防。计算机病毒是一段 人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它 就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码 插入其中,达到自我繁殖的目的。 3、潜伏性一个编制精巧的计算机病毒程序,进入系统之后一般不会 马上发作,可以在几周或者几个月内甚至几年内隐藏在合法文件中,对其他 系统进行传染,而不被人发现,潜伏性愈好,其在系统中的存在时间就会愈 长,病毒的传染范围就会愈大。 4、隐蔽性计算机病毒具有很强的隐蔽性,有的可以通过病毒软件检 查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起 来通常很困难。 5、破坏性计算机中毒后,可能会导致正常的程序无法运行,把计算 机内的文件删除或受到不同程度的损坏。通常表现为:增、删、改、移。 计算机病毒的传播途径 最易传播的途径是网络,其次是U盘,再次是光盘,由于硬盘一般在机器内,不会传播到其它电脑上,除非你把有毒的硬盘换到其它机器上。最可恶的传播是通过网络,可以通过系统漏洞,IE,办公软件漏洞,无需运行病毒服务端,直接可以获得最高权限,从而控制对方机器,还有一类网络攻击是在提供互联网服务的主机(一般通过网页方式),在被访问的网页中植入病毒或恶意代码,客户通过访问这种页面就会中毒,传播面很大(知名网站的访问量也很大),一天之内(也可能更短)可以传播到全世界。其它的传播方式是通过E-MAIL,在图片中植入木马等方式用得也多,不过危害面比第一种稍小,第一类网络传播途径中,还有一种所谓的“钓鱼”网站,现在也流行,就是不法分子通过收买,自建一个网站,伪造一个某官方网站(一般客户看不出真假),通常是一些游戏、银行、购物网站被仿冒,目的是为了骗取账号密码,赚取钱财或个人隐私!受害面也大! 计算机病毒的破坏机理 计算机病毒是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒(Computer Virus)。具有破坏性,复制性和传染性。 电脑容易中毒原因有几种:1.电脑漏洞多 2.程序版本低3.下载了一些未杀毒或不知名网站的资料等。
目录 一木马的概述 (1) 二基础知识 (3) 三木马的运行 (4) 四信息泄露 (5) 五建立连接 (5) 六远程控制 (6) 七木马的防御 (7) 八参考文献 (7)
一 .木马的概述 特洛伊木马,英文叫做“Trojanhorse”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,对此无可奈何;所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段,最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。而后随着Windows平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练地操作木马,相应的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 木马的种类繁多,但是限于种种原因,真正广泛使用的也只有少数几种,如BO,Subseven,冰河等。 1、BO2000有一个相当有用的功能,即隐藏木马进程,一旦将这项功能设备为enable,用ATM察看进程时,BO的木马进程将不会被发现。 2、在版本较高的Subseven中除常规的触发条件外,还提供有less know method和not know method两种触发方法。选择前者,运行木马后将SYSTEM.INI 中的Shell改为Shell=explorer.exe msrexe.exe,即用SYSTEM.INI触发木马,选择后者则会在c:\Windows\目录下创建一个名为Windows.exe程序,通过这个程序来触发木马,并将\HKEY-ROOT\exefile\shell\open\command\的键值“%1”、“%X”改为“Windows.exe”%1”、“%X,也就是说,即使我们把木马删除了,只要一运行EXE文件,Windows.exe马上又将木马安装上去,对于这种触发条件,我们只要将键值改回原值,并删除Windows.exe即可。 3、冰河的特殊触发条件和Subseven极为相似,它将\
西安翻译学院 XI’AN FANYI UNIVERSITY 毕业论文 题 目: 网络木马病毒的行为分析 专 业: 计算机网络技术 班 级: 103120601 姓 名: 彭蕊蕊 指 导 教 师: 朱滨忠 2013年5月 学号:10312060108 院系: 诒华学院 成绩:
目录 1 论文研究的背景及意义...................................................................................... - 3 - 2 木马病毒的概况 .................................................................................................. - 4 - 2.1 木马病毒的定义......................................................................................... - 4 - 2.2 木马病毒的概述......................................................................................... - 4 - 2.3 木马病毒的结构......................................................................................... - 4 - 2.4 木马病毒的基本特征................................................................................. - 5 - 2.5木马病毒的分类.......................................................................................... - 5 - 2.6木马病毒的危害.......................................................................................... - 6 - 3 木马程序病毒的工作机制.................................................................................. - 6 - 3.1 木马程序的工作原理................................................................................. - 6 - 3.2 木马程序的工作方式................................................................................. - 7 - 4 木马病毒的传播技术.......................................................................................... - 7 - 4.1 木马病的毒植入传播技术......................................................................... - 8 - 4.2 木马病毒的加载技术................................................................................. - 9 - 4.3 木马病毒的隐藏技术................................................................................ - 11 - 5 木马病毒的防范技术......................................................................................... - 11 - 5.1防范木马攻击............................................................................................. - 11 - 5.2 木马病毒的信息获取技术...................................................................... - 12 - 5.3 木马病毒的查杀...................................................................................... - 12 - 5.4 反木马软件............................................................................................... - 12 - 6 总结 .................................................................................................................... - 13 -
第十二讲 网络安全与管理 教师:汪洪祥 项目4 计算机病毒及防治 项目1 双机互连对等网络的组建 2013/11/24 本讲的主要内容: 一、项目提出 二、项目分析 三、相关知识点 1.病毒的定义与特征 2.病毒的分类 3.宏病毒的蠕虫病毒 4.木马 5.反病毒技术 4.1 项目提出 有一天,小李在QQ聊天时,收到一位网友发来的信息,如图4-1所示,出于好奇和对网友的信任,小李打开了网友提供的超链接,此时突然弹出一个无法关闭的窗口,提示系统即将在一分钟以后关机,并进入一分钟倒计时状态,如图4-2所示。
小李惊呼上当受骗,那么小李的计算机究竟怎么了? 4.2 项目分析 小李的计算机中了冲击波(Worm.Blaster)病毒。 2002年8月12日,冲击波病毒导致全球范围内数以亿计的计算机中毒,所带来的直接经济损失达数十亿美金。 病毒运行时会不停地利用IP扫描技术寻找网络上系统为Windows 2000或XP的计算机,找到后就利用RPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重新启动、甚至导致系统崩溃。 另外,该病毒还会对Microsoft的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。 4.2 项目分析 病毒手动清除方法:用DOS系统启动盘启动进入DOS环境下,删除C:\windows\msblast.exe文件;也可安全模式下删除该文件。 预防方法:打上RPC漏洞安全补丁。 据北京江民新科技术有限公司统计,2011年上半年最为活跃的病毒类型为木马
病毒,其共占据所有病毒数量中60%的比例。其次,分别为蠕虫病毒和后门病毒。这三种类型的病毒共占据所有病毒数量中83%的比例,如图4-3所示,可见目前网民面临的首要威胁仍旧来自于这三种传统的病毒类型。 防范计算机病毒等的有效方法是除了及时打上各种安全补丁外,还应安装反病毒工具,并进行合理设置,比较常见的工具有360杀毒软件、360安全卫士等。 6 4.3 相关知识点 4.3.1 计算机病毒的概念与特征 1. 计算机病毒的定义 计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 4.3 相关知识点 2 计算机病毒的特征 ①传染性。计算机病毒会通过各种媒介从已被感染的计算机扩散到未被感染的计算机。这些媒介可以是程序、文件、存储介质、网络等。 ②隐蔽性。不经过程序代码分析或计算机病毒代码扫描,计算机病毒程序与正常程序是不容易区分的。在没有防护措施的情况下,计算机病毒程序一经运行并取得系统控制权后,可以迅速感染给其他程序,而在此过程中屏幕上可能没有任何异常显示。这种现象就是计算机病毒传染的隐蔽性。 ③潜伏性。病毒具有依附其他媒介寄生的能力,它可以在磁盘、光盘或其他介质上潜伏几天,甚至几年。不满足其触发条件时,除了感染其他文件以外不做破坏;触发条件一旦得到满足,病毒就四处繁殖、扩散、破坏。 ④触发性。计算机病毒发作往往需要一个触发条件,其可能利用计算机系统时钟、病毒体自带计数器、计算机内执行的某些特定操作等。如CIH病毒在每年4月26日发作,而一些邮件病毒在打开附件时发作。 4.3 相关知识点 ⑤破坏性。当触发条件满足时,病毒在被感染的计算机上开始发作。根据计算机病毒的危害性不同,病毒发作时表现出来的症状和破坏性可能有很大差别。从显
特洛伊木马屠城从古至今,人类发动战争的理由各式各样,有的为了权力,有的为了名利,有的为了荣誉,有的为了爱情. 在古希腊历史上最着名的一对爱人,特洛伊城的王子帕里斯,以及斯巴达的皇后海伦,两人的爱情引发了一场毁灭文明的战争.当帕里斯把海伦从斯巴达之王身边偷走后,对他造成了无法忍耐的羞辱。他找到了自己的哥哥,迈锡尼国王阿伽门农,请求他的帮忙,阿伽门农正好也希望征服特洛伊,于是借此机会建立了一支希腊联军以讨伐特洛伊。在这支联军中,第一勇士自然是阿基里斯,桀骜不逊的阿基里斯并不打算向任何人臣服,他向特洛伊进发,是在为自己的名誉而战,而在影片中,我们将会发现,最终决定了他的命运的,是爱。 这本是希腊神话中的一个经典故事,也曾被写入《荷马史诗》中,现在被排成了电影,那么我们就先从电影本身来欣赏一下。 先谈一下画面效果吧,影片中古式战争的大场面拍的非常好,比武场面比较有吸引力。其中,第一勇士阿基里斯的跳跃式打法,显然吸收了一些东方的功夫样式,但不会像其他一些大片里边,动作过于夸张,就想空中飞人一样,给人一种不真实感。特洛伊王子赫克托屡次在乱军中勇战杀敌,真实感更强,有血有肉。到了双雄决斗,便达到了整部影片的高潮。希腊大军从海上登陆看上去更像是第二次世界大战诺曼底登陆的古装版,但效果却有待于提高。真正精彩的是特洛伊大军夜袭希腊大军营地,火攻情景设计独特,气势也是非常的磅礴。导演在整个影片中所有的设计都是以人类的自然力量出发,人力毕竟有限,尤其是人性中常有弄巧成拙的缺陷,所以影片中也存在很多令人扼腕的场景。影视作品嘛,来源于生活却又高于生活。其实史诗中特洛伊战争长达数十年,并不像影片中那样,一夜变被成功屠城的。本片大大浓缩,这个浓缩只是对时间上的浓缩,精华被没有被删除掉,这也是值得人们欣慰的一点。本片中,从海伦与二王子私奔到木
1. 特洛伊木馬程式原理7n 一、引言otnpy 特洛伊木馬是Trojan Horse 的中譯,是借自"木馬屠城記"中那只木馬的名稱。古希臘有大軍圍攻特洛伊城,逾年無法攻下。有人獻計製造一隻高二丈的大木馬假裝作戰馬神,攻擊數天後仍然無功,遂留下木馬拔營而去。城中得到解圍的消息,及得到"木馬"這個奇異的戰利品,全城飲酒狂歡。到午夜時份,全城軍民盡入夢鄉,匿於木馬中的將士開暗門垂繩而下,開啟城門及四處縱火,城外伏兵湧入,焚屠特洛伊城。後世稱這只木馬為"特洛伊木馬",現今電腦術語借用其名,意思是"一經進入,後患無窮"。特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣,只是一種遠端管理工具。而且本身不帶傷害性,也沒有感染力,所以不能稱之為病毒(也有人稱之為第二代病毒);但卻常常被視之為病毒。原因是如果有人不當的使用,破壞力可以比病毒更強。iagavi ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt 特洛伊木馬是一個程式,它駐留在目標電腦裡,可以隨電腦自動啟動並在某一連接進行偵聽,在對接收的資料識別後,對目標電腦執行特定的****作。木馬,其實只是一個使用連接進行通訊的網路客戶/伺服器程式。e2/ 基本概念:網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端),另一台主機接受伺服器(客戶端)。作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen),如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request),伺服端上的相對應程式就會自動執行,來回覆客戶端的請求。對於特洛伊木馬,被控制端就成為一台伺服器。DJ ?摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請 G5 iCf 三、特洛伊木馬隱身方法= 木馬程式會想盡一切辦法隱藏自己,主要途徑有:在工作程序中隱形:將程式設為「系統伺服器」可以偽裝自己。當然它也會悄無聲息地啟動,木馬會在每次使用者啟動時自動載入伺服器端,Windows系統啟動時自動載入應用程式的方法,「木馬」都會用上,如:win.ini、system.ini、註冊表等等都是「木馬」藏身的好地方。/x$l_ 在win.ini檔案中,在[WINDOWS]下面,「run=」和「load=」是可能載入「木馬」程式的途徑,一般情況下,它們的等號後面什麼都沒有,如果發現後面跟有路徑與檔案名稱不是您熟悉的啟動檔案,電腦就可能中「木馬」了。當然也得看清楚,因為好多「木馬」,如「AOL Trojan木馬」,它把自身偽裝成command.exe 檔案,如果不注意可能不會發現它不是真正的系統啟動檔案。g(hmry 在system.ini檔案中,在[BOOT]下面有個「shell=檔案名稱」。正確的檔案名稱應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程式名」,那麼後面跟著的那個程式就是「木馬」程式,就是說已經中「木馬」了。H 在註冊表中的情況最複雜,使用regedit指令開啟註冊表編輯器,在點擊至:「HKEY-LOCAL-MACHINE \Software \Microsoft \Windows \Current Version \Run」目錄下,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名為EXE,這裡切記:有的「木馬」程式產生的檔案很像系統自身檔案,想使用偽裝矇混過關,如「Acid Battery v1.0木馬」,它將註冊表「HKEY-LOCAL-MACHINE \SOFTWARE
实验6 特洛伊木马 6.1 实验类型 综合型,2学时 6.2 实验目的 理解木马工作的原理;掌握典型的木马清除方法。 6.3 实验要求与内容 (1)利用灰鸽子木马模拟木马的工作流程,要求能够完成以下任务: ●生成木马服务端,尽可能的生成能诱惑用户的服务端,比如修改安装路径, 修改图标,修改服务端名称,修改服务名称等。 ●控制对方电脑,要求能够浏览对方的文件,修改对方的注册表,终止对方的 进程,捕获对方的屏幕等操作 (2)清除木马,受害者根据灰鸽子木马的原理清除掉本机上的木马,包括程序,服务等 6.4 实验设备 ●两人合作完成,其中一人为控制端,另一人为服务器端 ●灰鸽子远程控制2007VIP疯狂魔鬼破解版 ●Windows XP Professional作为客户操作系统(Guest OS),要求关闭防火墙功能 6.5 相关知识 1.什么是木马(Trojan)? ?基于远程控制的黑客工具 ?恶意程序,非法获取授权权限,肆意篡改用户电脑中的文件,注册表,控制鼠标,截取用户信息 ?木马一般是C/S(客户/服务器)结构,控制程序处于客户端,被控制程序处于服务器端。 2.木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成。 配置程序 木马程序 控制程序
3.木马实施入侵的基本步骤 4.特洛伊木马具有如下特性: 隐蔽性,主要体现在意下几个方面: (1)启动的隐蔽性 (2)运行的隐蔽性 (3)通信的隐蔽性 开机自动运行 欺骗性,比如JPEG 木马 自动恢复,多重备份,相互恢复 非授权 5. 木马按照传输方式进行分类: 主动型 反弹端口型:木马服务器主动连接控制端端口,一般去连接80端口 嵌入式木马 6. 6.6 实验指导 特别注意:本次实验需要分析的病毒具有破坏性,仅限于信息安全实验室内使用。请严格遵守《信息安全实验室操作规程》,切勿拷贝、传播等,否则后果自负。 6.6.1 特洛伊木马的配置步骤 1)生成服务端 点击“配置服务程序”,在“IP 通知HTTP 地址”那一栏填入控制端的IP 地址(这里一定要填正确,否则木马不能上线,IP 地址是以10开头的),通过设置“安装选项”,“启动项设置”等可以构造出迷惑用户的木马服务端程序。 木马信息控制端Internet 服务端 ①配置木马②传播木马 ③运行木马④信息反馈⑤建立连接 ⑥远程控制
姓名:XXX 部门: XX部YOUR LOGO Your company name 2 0 X X 病毒营销定义
病毒营销定义 [摘要]病毒营销是企业通过优质的人性化服务来赢得顾客的广泛认同和赞誉,使企业所在行业或目标市场的意见领袖利用自己巨大的人际关系网络,借助于互联网主动向亲朋好友热情传播产品或服务,达到营销连锁反应和销售倍增的效果。 [关键词]病毒营销;情感意见领袖 一、从“六度分隔”理论看病毒营销 美国心理学教授米尔格兰姆在其提出的著名的“六度分隔”假说(又称为“小世界现象”)中提到,“你和任何一个陌生人之间所间隔的人不会超过六个,也就是说,最多通过六个人你就能够认识任何一个陌生人。”该假说的出现使得人们对于自身的人际关系网络的威力有了新的认识。后来,美国哥伦比亚大学和俄亥俄州大学的社会学家使用网络时代的新型通讯手段——Email——来对“小世界现象”进行了验证。无论是人际网络,还是万维网的架构,还是通过超文本链接的网络、经济活动中的商业联系网络,有着完全相似的组织结构。通过网络使“六度分隔”理论对人人之间都可以构成弱纽带,理想的状态是人人都置身在连接的世界中,这个目标在不断接近。社会中普遍存在的“弱纽带”,通过弱纽带人与人之间的距离变得非常“相近”,这在社会关系中发挥着非常强大的作用。 病毒营销,是通过用户的口碑宣传网络,借助于因特网,利用快速复制的方式将有利于企业的营销信息像病毒一样传递给他人,使之在曝 第 2 页共 6 页
光率和影响上产生几何级增长速度的一种营销推广策略。这种策略可以耗费较少的人力物力,将信息在短暂的时间内快速地、爆炸式地传递给成千上万的消费者,就像病毒,具有快速繁殖,以一生千,以至百万。 病毒营销是通过电子邮件来实现的,它是口碑营销早互联网上的表现形式。企业通过优质的人性化服务来赢得顾客的广泛认同和赞誉,用户成为免费的推销员,主动向亲朋好友热情传播产品或服务,口耳相传如病毒感染式的广泛蔓延,达到营销连锁反应和销售倍增的效果。这种营销传播方式,正是“六度分隔”理论的应用。根据“六度分隔”理论,每一个人都拥有一个巨大的人际关系网络,那么口碑可以使营销信息传达到这个世界上的所有人,借助于互联网,信息传播、扩散的速度更快,时间更短;另一方面,人又属于不同的群体,能够激发口碑传播欲望的产品肯定可以在被激发的人所在的某个群体里传播,这样也保证了营销信息向目标市场传播的有效性。 二、病毒营销的情感因素 病毒式营销是基于营销理念的重大变革。比如说,同样是做广告,电视广告是建立在以打扰为基础上的推销方式,它不管目标群体受众的感受如何,也不管他们愿不愿看,在电视连续剧看得津津有味的时候,突然插进来一大段广告。他们更不是为了看广告而看电视,而是为了节目而观看,因此会有对商业广告的反感情绪。病毒式营销理念则恰巧相反,是建立在以允许为基础上的推销方式。它像病毒一样在不知不觉中侵入你的肌体,“病毒信息”是经过“伪装”的、具有亲和力的商品和品牌信息, 第 3 页共 6 页
特洛伊木马分析 摘要在计算机如此普及的网络时代,病毒对于我们来说早已不是一个新鲜的名词,而通常被称为木马病毒的特洛伊木马也被广为所知,为了更好的保护自己的电脑我们应该了解跟多有关特洛伊病毒的信息。本文对该病毒原理、预防和清除进行了详细的阐述,并对此发表了一些个人的看法。 关键词特洛伊木马病毒木马 特洛伊木马是一种特殊的程序,它们不感染其他文件,不破坏系统,不自身复制和传播。在它们身上找不到病毒的特点,但它们们仍然被列为计算机病毒的行列。它们的名声不如计算机病毒广,但它们的作用却远比病毒大。利用特洛伊木马,远程用户可以对你的计算机进行任意操作(当然物理的除外),可以利用它们传播病毒,盗取密码,删除文件,破坏系统。于是这个在网络安全界扮演重要角色,课进行超强功能远程管理的“功臣”,自然而然也被列为受打击的行列。 在网络上,各种各样的特洛伊木马已经多如牛毛,它们和蠕虫病毒、垃圾邮件一起构成了影响网络正常秩序的三大害。下面我就来说说特洛伊木马的特点、工作原理、预防和清除的方法,以及我自己对木马病毒及其防护方法的一些见解。 一.什么是特洛伊木马 特洛伊木马简称木马,英文名为Trojan。它是一种不同于病毒,但仍有破坏性的程序,普通木马最明显的一个特征就是本身可以被执行,所以一般情况下它们是由.exe文件组成的,某些特殊木马也许还有其他部分,或者只有一个.dll文件。 木马常被用来做远程控制、偷盗密码等活动。惯用伎俩是想办法让远程主机执行木马程序,或者主动入侵到远程主机,上传木马后再远程执行。当木马在远程主机被执行后,就等待可控制程序连接,一旦连接成功,就可以对远程主机实施各种木马功能限定内的操作。功能强大的木马可以在远程主机中做任何事情,就如同在自己的机器上操作一样方便。 可见,木马实际上就是一个具有特定功能的可以里应外合的后门程序,将其与其他的病毒程序结合起来造成的危害将会是相当大的。 二.木马的工作原理
特洛伊木马工作原理分析及清除方法 1 什么是特洛伊木马 特洛伊木马(Trojan Horse,以下简称木马)的名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码的程序,这些特殊功能处于隐藏状态,执行时不为人发觉。特洛伊木马是一种基于远程控制的工具,类似于远端管理软件,其区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现,会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后,控制端将窃取服务端的密码及大部分操作权限,包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的,而是通过木马程序窃取的。 2 木马的工作原理 完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体,包括控制端、服务端和数据传输的网络载体(Internet/Intranet);软件部分是实现远程控制所必须的软件程序,包括控制端程序和木马程序。利用木马窃取信息、恶意攻击的整个过程可以分为3个部分,下面详细介绍。 2.1 获取并传播木马 木马可以用C或C++语言编写。木马程序非常小,一般只有3~5KB,以便隐藏和传播。木马的传播方式主要有3种:(1)通过E-MAIL。(2)软件下载。(3)依托病毒传播。200 1年4月赛门铁克防病毒研究中心发现了植入木马程序的新蠕虫病毒(W32.BACTRANS.13 312@MM)。该病毒一旦被执行,木马程序就会修改注册表键值和win.ini文件。当计算机被重启时,该蠕虫会等候3 分钟,然后利用MAPI, 回复所有未读邮件,并将自己作为邮件的附件,使用不同的名称继续传播。 2.2 运行木马 服务端用户在运行木马或捆绑了木马的程序后,木马首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表、启动组和非启动组中设置好木马触发条件,这样木马的安装就完成了。以后,当木马被触发条件激活时,它就进入内存,并开启事先定义的木马端口,准备与控制端建立连接。 2.2 建立连接,进行控制 建立一个木马连接必须满足2个条件:(1)服务端已安装有木马程序。(2)控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后,控制端端口和木马端口之间将会有一条通道,控制端程序利用该通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。 3 用VB6.0编写的木马程序 下面用VB6.0编写的一个木马程序来说明木马程序的工作原理。 (1)用VB建立2个程序:客户端程序Client和服务器端程序Server。 (2)在Client工程中建立一个窗体,加载WinSock控件,称为Win_Client,协议选择TCP。
一、病毒的发现及概念 病毒的发现:1892年俄国的植物病理学家D.Ivanovsky研究了烟草花叶病的病原, 认为它是一种能通过细菌滤器的“细菌毒素”或极小的“细菌”。1898年荷兰学者,首次提出其病原是一种“传染性的活性液体”或称“病毒”。从此,许多学者陆续发现了各种植物病毒、动物病毒和细菌病毒——噬菌体。 二、病毒的个体特点 形体极其微小,必须在电子显微镜下才能观察; 无细胞构造; 主要成分仅为核酸和蛋白质; 每一种病毒只含一种核酸,DNA或RNA;根据病毒的核酸类型可以将其分为两大类:DNA 病毒与RNA病毒 无产能酶系,也无蛋白质合成系统; 不存在个体的生长; 营细胞内专性寄生; 在离体条件下,以无生命的大分子存在。 三、病毒的结构 蛋白质在病毒中所占比例很大,主要构成病毒的衣壳(capsid)。 核衣壳(nucleocapsid):由核酸(DNA或RNA)芯和蛋白质构成。 各种病毒所含的遗传信息量不同,少的只含有3个基因,多的可达300个基因。 有的病毒衣壳外面有被膜(envelope),来源于宿主细胞的质膜,被膜中含有病毒融合蛋白。组成病毒衣壳的亚单位称壳微粒(capsomer)。 二、病毒的结构 三、病毒的结构 一个成熟有感染性的病毒颗粒称“病毒体”(virion)。其装配形式有二十面体对称、螺旋对称和复合对称三种类型。 螺旋对称形 壳粒沿病毒基因螺旋对称排列,形成杆状的核衣壳,如烟草花叶病毒、狂犬病病毒、正粘和副粘病毒。 烟草花叶病毒为杆状; 狂犬病病毒为弹状; 正粘病毒(流感病毒)和副粘病毒为多形性结构,且有包膜 四、病毒的结构 病毒有五种形态:①球形(Sphericity):大多数人类和动物病毒为球形,如脊髓灰质炎病毒、疱疹病毒及腺病毒等;②丝形(Filament) :多见于植物病毒,如烟草花叶病病毒;