当前位置:文档之家 › _主动防御_思想在木马防范上的应用

_主动防御_思想在木马防范上的应用

  • 格式:pdf
  • 大小:461.45 KB
  • 文档页数:3

下载文档原格式

  / 3

合集下载

常用工具软件 瑞星杀毒2008

常用工具软件 瑞星杀毒2008

常用工具软件瑞星杀毒2008瑞星杀毒2008拥有国内最大木马病毒库,采用“木马病毒强杀”技术,结合“病毒DNA 识别”、“主动防御”、“恶意行为检测”等大量核心技术,可彻底查杀70万种木马病毒。

瑞星全功能最大及最新的技术亮点之一,就是全新打造的“账号保险柜”功能,这是主动防御技术延展出来的全新技术应用模式,用户只需将网游、网银、聊天、股票等软件放到“账号保险柜”中,就可以放心使用,瑞星会有效阻止盗号木马的攻击和盗取。

主动防御是一种阻止恶意程序执行的技术。

它比较好的弥补了传统杀毒软件采用“特征码查杀”和“监控”相对滞后的技术弱点,可以在病毒发作时进行主动而有效的全面防范,从技术层面上有效应对未知病毒的肆虐。

因此,瑞星杀毒2008与前期版本,具有以下特点:●系统加固,强力抵御恶意程序、木马等对系统的侵害。

●应用程序保护,阻止病毒侵害重要程序,预防盗号。

●增强自我保护,使病毒无法破坏瑞星产品本身。

●应用程序访问限制,加固重要服务程序。

●防止指定程序被未知程序启动,使病毒无法破坏。

●恶意行为检测,可用来发现未知病毒。

●隐藏进程检测,检测“任务管理器”中无法查看的进程。

●全新架构的引擎,并优化病毒库。

●支持全系列主流Windows系统。

●安全工具集成平台,提供各类安全工具和专杀工具。

在安装瑞星杀毒软件2008后,执行【开始】|【瑞星杀毒软件】|【瑞星杀毒软件】或者直接双击快捷方式图标,均可打开该软件,如图5-4所示。

菜单栏选项卡快速按钮图5-4 瑞星杀毒软件2008在该窗口中,包含有菜单栏、选项卡和快速按钮。

用户可以执行菜单中的命令,或者在选项卡中,执行相应的命令,对计算机进行查杀病毒。

1.杀毒操作在窗口中,可以单击【全盘杀毒】按钮,对计算机进行查杀病毒。

或者,选择【杀毒】选项卡,如图5-5所示。

此时,在【对象】栏中,可以启用需要查杀病毒的对象,如启用【本地磁盘(C:)】、【SofTWARE(D:)】、【MEDIA(E:)】等复选框。

网络信息安全课后习题答案

网络信息安全课后习题答案

第一章网络安全综述1.什么是网络安全?答:国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

由此可以将计算机网络的安全理解为:通过采用各种技术和管理措施,使网络系统正常运行,从而确保网络数据的可用性、完整性和保密性.美国国家安全电信和信息系统安全委员会(NSTISSC)对网络安全作如下定义:网络安全是对信息、系统以及使用、存储和传输信息的硬件的保护。

2.网络安全包括哪些内容?答:1)物理安全(1)防静电(2)防盗(3)防雷击(4)防火(5)防电磁泄漏2)逻辑安全(1)用户身份认证(2)访问控制(3)加密(4)安全管理3)操作系统安全4)联网安全3.网络安全面临的威胁主要来自哪几方面?答:1)物理威胁(1)身份识别错误。

(2)偷窃。

(3)间谍行为。

(4)废物搜寻。

2)系统漏洞造成的威胁(1)不安全服务。

(2)乘虚而入。

(3)配置和初始化。

3)身份鉴别威胁(1)编辑口令。

(2)口令破解。

(3)口令圈套。

(4)算法考虑不周。

4)线缆连接威胁(1)拨号进入。

(2)窃听。

(3)冒名顶替。

5)有害程序(1)病毒。

(2)更新或下载。

(3)特洛伊木马。

(4)代码炸弹。

4.在网络安全中,什么是被动攻击?什么是主动攻击?答:被动攻击本质上是在传输中的窃听或监视,其目的是从传输中获得信息.被动攻击分为两种,分别是析出消息内容和通信量分析。

被动攻击非常难以检测,因为它们并不会导致数据有任何改变.然而,防止这些攻击是可能的。

因此,对付被动攻击的重点是防止而不是检测。

攻击的第二种主要类型是主动攻击,这些攻击涉及某些数据流的篡改或一个虚假信息流的产生。

这些攻击还能进一步划分为四类:伪装、重放、篡改消息和拒绝服务.5.简述访问控制策略的内容.答:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。

web动态主动防御原理

web动态主动防御原理

web动态主动防御原理Web动态主动防御原理是指在Web应用程序中采取主动措施,以防止各种网络攻击和安全漏洞的利用。

这些措施旨在保护网站和用户的信息安全,确保系统的可靠性和稳定性。

Web动态主动防御原理的核心在于主动防御。

传统的安全防御方式往往是被动的,即通过检测和阻止已知攻击,但对于新型攻击往往力不从心。

而主动防御则是指在系统设计和开发阶段就考虑到各种攻击方式,并采取相应的措施进行防范。

Web动态主动防御原理需要从多个层面进行保护。

首先是在网络层面,通过防火墙和入侵检测系统等技术手段,对网络流量进行监测和过滤,防止恶意攻击的入侵。

其次是在应用层面,通过安全编码和漏洞扫描等措施,对应用程序进行安全加固,防止各种代码注入和跨站脚本攻击等漏洞的利用。

Web动态主动防御原理还需要定期更新和升级。

随着攻击技术的不断演进和新型漏洞的不断出现,保持系统的安全性就需要及时修补漏洞和更新安全策略。

因此,定期的安全审计和漏洞扫描是至关重要的。

Web动态主动防御原理的实施需要全员参与。

无论是开发人员、管理员还是用户,都应该对安全问题保持高度的警惕性和责任心。

开发人员应该具备安全编码的意识,遵循安全开发规范;管理员应该及时更新和维护系统,确保系统的安全性;用户应该加强对个人信息的保护意识,避免在不安全的网络环境下进行敏感操作。

Web动态主动防御原理是一种全方位、主动防御的安全策略。

通过在系统设计和开发阶段考虑安全问题,从多个层面进行保护,并定期更新和升级,可以有效提高Web应用程序的安全性和可靠性。

同时,各方参与并共同努力,也是实施Web动态主动防御原理的重要前提。

只有这样,我们才能更好地保护网络安全,实现信息共享和交流的安全可靠。

病毒木马的工作原理及其防范

病毒木马的工作原理及其防范

病毒的定义和分类
计算机病毒的特点 1)可执行性 当用户运行正常程序时,病毒伺机窃取到系统的控制 权,得以抢先运行。 2)破坏性 无论何种病毒程序,一旦侵入系统都会对操作系统的 运行造成不同程度的影响。 3)传染性 把自身复制到其他程序中的特性。 是计算机病毒最重要的特征,是判断一段程序代码是 否为计算机病毒的依据。 病毒可以附着在其它程序上,通过磁盘、光盘、计算 机网络等载体进行传染,被传染的计算机又成为病毒的生存 的环境及新传染源。
缓冲区溢出与病毒攻击的原理
二、缓冲区溢出的根源在于编程错误 缓冲区溢出是由编程错误引起的。如果缓冲区被写满,而 程序没有去检查缓冲区边界,也没有停止接收数据,这时缓冲 区溢出就会发生。 缓冲区溢出之所以泛滥,是由于开放源代码程序的本质决 定的。某些编程语言对于缓冲区溢出是具有免疫力的,例如 Perl能够自动调节字节排列的大小,Ada 95能够检查和阻止缓 冲区溢出。但是被广泛使用的C语言却没有建立检测机制。标 准C语言具有许多复制和添加字符串的函数,这使得标准C语 言很难进行边界检查。C++语言略微好一些,但是仍然存在缓 冲区溢出情况。一般情况下,覆盖其他数据区的数据是没有意 义的,最多造成应用程序错误,但是,如果输入的数据是经过 “黑客”或者病毒精心设计的,覆盖缓冲区的数据恰恰是“黑 客”或者病毒的攻击程序代码,一旦多余字节被编译执行, “黑客”或者病毒就有可能为所欲为,获取系统的控制权。
毒。由于通过电子邮件系统传播,宏病毒在短短几天内狂袭
全球数以百万计的电脑。包括微软、Intel等公司在内的众多 大型企业网络系统瘫痪,全球经济损失达数十亿美元。2004 年爆发的“新欢乐时光”病毒也给全球经济造成了巨大损失。
VBS病毒的起源与发展及其危害

信息系统主动防御解决方案

信息系统主动防御解决方案

综合应用病毒识别规则 知识 , 实现 自动判定新病 和机会 ,使 得企业信 息安全管理成为企业管理越来越重要 的一 间 的逻辑关系 , 部 分。但是 It n t ne e 的开放性 、 r 国际性和 自由性在增加 企业应用 毒 , 达到主动防御的 目的。
自由度 的同时 , 信息安全问题也 日益凸显 。 为了防止企 业信 息泄 漏 和 被攻 击 ,企业 内 网边缘 一般 均采 取 了许 多安 全措 施 , 如 2 自动准确 判定 新病 毒 、 系统在操作 系统 中安插众多探针 ,这些探针动态监视 所运

3 办公 自动 化 杂志 4‘
算机正在运行哪些程序 ,其 中哪些是 系统程序 ,哪些是应用 程 用和安全管理的难度 。 序 , 可进 一步 了解 程序是何 时安 装 , 么时候运行 , 还 什 运行 时是
3 依照控制 中心通信量小 , 、 客户端消耗资源低原则设计 , 优 4 解决 了安全仅 限于单点防御 、 、 单一 防御 , 无整体安全威胁 5 丰富 的安全事件信息 , 、 能全局感知 网络 主机系统 的安全 态势 , 精确把握具体主机系统的安全情况 。 依靠全局安全统计评
统的学习工具 。
络使用状况等等。 用户直 观掌握系统运行状态 , 并依 据其分析 系 防御评估 的弊端 。
二 、 动 防 御 明 确 需 求 主
为了使信息系统更 安全 可靠 ,主动防御 系统必须能 主动有 体式的了解 整个 网络安全运行状况 ,极大的降低 了安全管理难 为安全审计取证提供了依据 。 效防御黑客对计算 机的深度攻击 以及 已知或是未知病毒 、 木马 、 度 ,
的安全威胁 , 安全 防御不再滞后 , 防御更有力 。系统拥有六 大主 可 以完成服务器 的参数设置 、 用户分类 、 安全报表 等 内容设置 ,

木马的危害与防范

木马的危害与防范

木马的危害与防范木马的危害与防范一、木马的危害木马这个名称来源于古希腊的特洛伊木马神话。

传说希腊人攻打特洛伊城久攻不下,希腊将领奥德修斯献了一计,把一批勇士埋伏在一匹巨大的木马腹内,放在城外,然后佯作退兵。

特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。

到了夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。

后来,人们就常用“特洛伊木马”比喻在敌方营垒里埋下伏兵里应外合的活动。

如今借用其名比喻黑客程序,有“一经潜入,后患无穷”的意思。

计算机领域中所谓的木马是指那些冒充合法程序却以危害计算机安全为目的的非法程序。

它是具有欺骗性的文件,是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。

隐蔽性是指木马设计者为了防止木马被发现,会采用多种手段隐藏木马,这样用户即使发现感染了木马,也难以确定其具体位置;非授权性是指一旦木马控制端与服务器端连接后,控制端将获得服务器端很多操作权限,如操作文件、修改注册表、控制外设等。

木马是一种后门程序,就象先前所说的,它进去了,而且是你把它请进去的,要怪也只能怪自己不小心,混进去的希腊士兵打开了特洛伊的城门,木马程序也会在你的系统打开一个“后门”,黑客们从这个被打开的特定“后门”进入你的电脑,就可以随心所欲地摆布你的电脑了。

黑客们通过木马进入你的电脑后能够做什么呢?可以这样说,你能够在自己的电脑上做什么,他也同样可以办到。

你能够写文件,他也可以写,你能够看图片,他也可以看,他还可以得到你的隐私、密码,甚至你鼠标的每一下移动,他都可以尽收眼底!而且还能够控制你的鼠标和键盘去做他想做的任何事,比如打开你珍藏的照片,然后在你面前将它永久删除,或是冒充你发送电子邮件、进行网上聊天、网上交易等活动,危害十分严重。

想到木马,人们就想到病毒,这里要为木马澄清一下,木马确实被杀毒软件认为是病毒,但是,木马本身不是病毒。

反之,病毒也不是木马。

电脑病毒是破坏电脑里的资料数据,而木马不一样,木马的作用是偷偷监视别人的操作和窃取用户信息,比如偷窃上网密码、游戏账号、股票账号、网上银行账号等。

木马的工作原理

木马的工作原理
木马是一种恶意软件,通过欺骗或者胁迫方式侵入电脑系统,并在背后执行不被用户知晓的操作。

木马的工作原理可以描述为以下几个步骤:
1. 渗透:木马首先要渗透到受害者的电脑系统中。

这可以通过诱骗用户点击恶意链接、下载感染文件、插入感染的移动存储设备等方式实现。

2. 安装:一旦成功渗透,木马会开始安装自己到受害者电脑系统中,通常是将木马隐藏在合法的程序或文件中,来避免受到用户的怀疑。

3. 打开后门:安装完成后,木马会打开一个后门,以便攻击者可以远程操作受感染的电脑。

通过这个后门,攻击者可以执行各种恶意操作,比如窃取敏感个人信息、操控计算机、启动其他恶意软件等。

4. 隐蔽行动:为了不被用户察觉,木马会尽可能隐藏自己的存在。

这可以包括隐藏进程、修改注册表、关闭安全软件和防护机制等操作。

5. 通信与命令控制:木马通常会与控制服务器建立连接,通过命令控制来获取指令、向攻击者报告信息以及接收新的命令和更新。

6. 恶意行为:木马还可以执行各种其他恶意行为,比如窃取账
户密码、传播自身到其他系统、发起拒绝服务攻击等。

总之,木马的工作原理是通过欺骗和操控来在电脑系统中埋下后门,并获取对目标系统的控制权限,以实现攻击者的目的。

用户需要保持警惕,避免点击可疑链接、下载非信任来源的文件,以及定期更新和使用安全软件来防护自己的电脑。

木马病毒的工作原理

木马病毒的工作原理
木马病毒是一种恶意软件,通过伪装成正常的程序或文件,悄悄地侵入计算机系统,然后进行各种恶意活动。

木马病毒的工作原理如下:
1. 伪装:木马病毒通常伪装成合法、有吸引力的文件或程序,比如游戏、应用程序、附件等。

用户误以为它们是正常的文件,从而下载、安装或打开它们。

2. 入侵:一旦用户执行了木马病毒,它会开始在计算机系统中执行。

木马病毒通常利用系统漏洞或安全弱点,通过各种方式渗透计算机系统,比如通过网络连接、邮件附件、插入可移动存储设备等。

3. 操作控制:一旦木马病毒成功入侵,黑客就可以获取对该计算机的远程控制权限。

黑客可以通过远程命令控制木马病毒执行各种恶意活动,比如窃取用户敏感信息、监控用户活动、劫持计算机资源等。

4. 数据盗窃:木马病毒可以通过键盘记录、屏幕截图、摄像头监控等方式获取用户的敏感信息,比如账号密码、银行信息、个人隐私等。

这些信息被黑客用于非法活动,比如盗用用户账号、进行网络钓鱼、进行网络诈骗等。

5. 破坏和传播:除了窃取信息,木马病毒还可能被黑客用于多种恶意用途。

它们可以删除、修改或破坏计算机上的文件和系统设置,导致系统崩溃或数据丢失。

木马病毒还可以充当“下
载器”,从远程服务器下载其他恶意软件,继续对计算机系统
进行攻击,或者利用计算机系统作为“僵尸网络”中的一员,传播垃圾邮件、进行分布式拒绝服务攻击等。

总结起来,木马病毒工作原理是通过伪装和入侵获取远程控制权限,然后执行各种恶意活动,包括窃取用户信息、破坏系统、传播其他恶意软件等。

用户应采取安全措施,比如安装防病毒软件、保持系统更新、谨慎下载和打开文件,以防止木马病毒的入侵。

当今网络时代木马病毒及其防范措施

当今网络时代木马病毒及其防范措施1认识木马病毒木马病毒是指寄生于用户计算机系统中,盗窃用户信息,并通过网络发送给木马设计者的病毒程序。

木马通常有两个可执行程序:一个是客户端(Client),即控制端,另一个是服务端(Server),即被控制端。

客户端程序用于远程控制计算机;而服务端程序,则隐藏到远程计算机中,接收并执行客户端程序发出的命令。

所以当黑客通过网络控制一台远程计算机时,第一步就需要将服务端程序植入到远程计算机。

为了能够让用户执行木马程序,黑客常常通过各种方式对它进行伪装。

木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。

2几种常见的木马病毒(1) 反弹端口型木马:木马开发者分析了防火墙的特性后,发现防火墙对于连入的链接会进行非常严格的过滤,但是对于连出的链接却疏于防范。

于是,与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端) 使用被动端口。

(2) 信息窃取型/密码发送型:这种木马可以找到目标机的隐藏密码,并且在受害者不知道的情况下,把它们发送到指定的信箱。

(3) 键盘记录木马:这种木马是非常简单的。

它们只做一件事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。

这种木马随着Windows 的启动而启动。

(4) 远程控制型:这种木马是现在使用最广泛的木马,它可以远程访问被攻击者的硬盘。

只要有人运行了服务端程序,客户端通过扫描等手段知道了服务端的IP地址,就可以实现远程控制。

(5)FTP木马:这种木马可能是最简单和古老的木马,它的唯一功能就是打开21端口,等待用户连接。

(6) 程序杀手木马:上面列举的木马功能虽然形形色色,要想在对方机器上发挥自己的作用,须绕过防木马软件。

程序杀手木马的功能就是关闭对方机器上运行的这类程序,让其他木马更好地发挥作用。

(7) 破坏型:唯一的功能就是破坏并且删除文件。

简单木马分析与防范

简单木马分析与防范电脑已经走进我们的生活,与我们的生活息息相关,感觉已经离不开电脑与网络,对于电脑安全防范,今天小编在这里给大家推荐一些电脑病毒与木马防范相关文章,欢迎大家围观参考,想了解更多,请继续关注。

一、前言病毒与木马技术发展到今天,由于二者总是相辅相成,你中有我,我中有你,所以它们之间的界限往往已经不再那么明显,相互之间往往都会采用对方的一些技术以达到自己的目的,所以现在很多时候也就将二者直接统称为“恶意代码”。

这次我打算用两篇文章的篇幅来讨论病毒与简单的木马相互结合的分析与防范方法。

本篇也就是第一篇,讨论的是利用只有服务器端的木马程序实现“病毒”的启动。

而在下一篇中,我会讨论既有服务器端又有客户端的木马程序与“病毒”相结合的分析与防范。

二、简单木马的原理由于木马技术与计算机网络息息相关,所以也就离不开Socket套接字编程。

这里我不打算详述Socket套接字编程的细节,这个在MSDN上有非常详细的讲述,无非就是根据套接字的编程的流程,将相应的内容填入“模板”。

而既然要实现通信的效果,就需要遵循一个通信模型,木马一般都是C/S(客户端/服务端)模式的。

本篇文章所要论述的,虽然不涉及客户端的编写,但实际上我只不过是把cmd程序当成了客户端,因此本质上还是C/S模式的。

C/S模型的开发,需要在服务器端(欲攻击的计算机)上绑定一个IP 地址和一个端口号,然后进行监听,等待客户端(攻击方)的连接。

客户端则是向相应的IP地址和端口号发起连接,服务器端接受后,双方就可以开始进行通信,这就是基于TCP协议的通信,也是接下来要用到的方法。

另外还有一种基于UDP协议的方法,这种方法是在服务器端进行相应的绑定后,客户端不需要进行连接直接就可以和服务器进行通信。

可见,TCP要比UDP可靠,而UDP要比TCP效率高。

本篇文章所论述的服务器端编程的基本原理如下:1、打开一通信通道(绑定某个端口)并告知本地主机,它在某一个地址上接收客户请求。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机安全�� 2007.12
3.2 “主动防御“的优势
3.2.1 主动防御木马攻击 从操作系统入手,以主动防御方式保证了文件系统的 安全。对任意文件的改动、增加、删除等操作均需根据使 用者身份和强制访问控制策略进行裁决,从而杜绝了使用 (下转第 92 页)
82
服 务
实战指南
破解的。这样便确保了其他人不可能冒充,来通过身份认 证, 从而确保了个人权限范围内的数据只有自己才能访问。
病毒黑客
服 务
“主动防御”思想在木马防范上的应用
阮文锋
(广东电网公司阳江供电局,广东 阳江 529500) 摘 要:该文采用主动防御的思想,对操作系统和应用程序进程进行安全认证,从系统层面上主动防范未知木马的入侵。 关键词:木马;主动防御;进程控制 Abstract : Active defense by the ideological, It should authenticated the process of the operating system and application In accordance with security strategy, Results achieved System level initiative in guarding against the unknown Trojan invasion. Key words:Trojan;Active defense;Process control
3 采用“主动防御”思想防范木马
通过上述对木马程序的原理进行分析, 我们能够发现, 不论木马怎样掩饰和伪装,都只有一个目的:伺机在系统 后台运行木马程序并且不被用户发现。现有的计算机病毒 防杀类产品,都基于“特异性”的被动防御,根据恶意代 码库的“特征库”进行“防、堵、杀” 。这种解决方式的 最大的弱点在于:只有在出现问题之后才能提出解决问题
来随着许多指纹识别产品已经开发和生产,指纹识别技术 的应用将越来越广泛,并且发展迅猛,相信这一技术的普 及应用已经指日可待。
6.2 该访问控制方法的缺点
(1)使用指纹特征值来进行自动身份认证,指纹特征 值个数一般为 40-50,而且每一个特征值具有 3 个参量, 数据量较大,增大了网上的传输量,这样需要较高的网络 带宽。但是随着网络技术的发展,网络带宽问题一定会得 到解决的,同时,为了更好地确保传输的安全性而付出的 这种代价是值得的。 (2) 由于指纹身份认证是在院内网络服务器上进行的, 这给负荷较大的院内网络服务器增加了不少的负担。 但是, 我们可以根据具体的情况,可以使用 3 层结构模式来设计 整个院内网络系统,将指纹身份认证放在应用服务器上进 行, 这样可以较好地解决这个问题。 总之,指纹认证技术不仅可以应用到院内网的安全问 题上,在其他方面也有广泛的应用,如,学期的考试系统, 人员管控系统等等。在这些应用中,指纹识别系统将会取 代或者补充许多大量使用照片和 I D 的系统。在不久的将
参考文献:
[1] 校园网络安全问题与对策 : H T T P : / / W W W . C Q V I P . C O M / Q K /98298A /200703/24723942. html [2] 基于指纹识别技术的 Web 访问控制 : H T T P : / / W W W . C Q V I P . C O M / Q K /97360A /200604/21093596. html [3] 凌捷 . 计算机数据安全技术 [ M ] . 北京:科学出版社, 2004.
3.1 防范思想
首先,在系统中采用强制访问控制策略,对系统中的 所有应用程序进行安全控制。访控策略中应该明确规定使 用者和应用程序的关系,只有经过授权的应用程序才能被 用户使用。访问控制策略只有具备管理员权限的用户才能 按照使用者的权限与应用程序间的关系进行策略设置,拥 有授权的用户登录后在访控策略许可的范围内运行与之权 限匹配的应用程序。策略配置完成后,计算机上不能任意 安装应用程序,只能运行访控策略许可的应用程序,从而 可以杜绝计算机感染木马的可能。 其次,在每次程序执行之前,都需要对程序执行安全 控制及文件一致性进行校验,保证只有在程序白名单中, 且通过完整性校验的程序能被系统运行;程序执行后只能 访问该程序授权的数据文件,这样即使木马进入系统,由 于没有被管理员授权许可,则木马程序永远不会被执行; 若木马篡改了系统的合法程序,由于程序在执行前都需要 进行完整性校验,如果校验值与系统中保存的校验值不一 致, 则拒绝执行该程序。这样木马就不会获得执行的机会, 不会在系统中发作,从根本上防止了木马软件的运行。 同时,系统需要具有自我保护功能。保护功能在计算 机上不以进程或服务形式运行,用户无法中止。另外,系统 守护进程监控终端保护软件的相关模块,发现非法篡改行 为立即恢复到受保护状态,防止终端保护软件被随意卸载。 保护程序需要安装在受保护的计算机终端,以无操作 界面的方式在后台运行,不影响用户的使用。
作者简介:任丹 (1976- ) ,硕士在读,研究方向为人工 智能,数字图象处理。 收稿日期:2007-08-22
(上接 82 页) 者任意修改、安装应用程序导致出现病毒的可能,也从根 本上杜绝了木马攻击的可能。 3.2.2 基于操作系统内核级的安全机制和控制 对操作系统的进程控制建立于操作系统内核级,杜绝 了旁路和隐通道,增强了系统安全性。文件系统采用中间 层驱动技术对关键数据进行安全保护。 在操作系统启动时自动装载强制访问控制策略,安全 策略应用时间早,能有效防止安全机制被旁路的风险。 3.2.3 基于中间层驱动技术的外设控制 采用中间层驱动技术,在协议层和硬件之间插入中间 层,在此基础上应采用驱动拦截技术和过滤技术。同时, 由于使用驱动拦截技术并不能实现对所有底层硬件驱动的 完全控制,所以应该在驱动拦截技术的基础上,增加完全 溶入系统内核的线程注入技术,将所需功能以可注入其他 应用程序或驱动程序地址空间的线程的方式实现,采用动 态嵌入技术将保护代码嵌入正在运行的进程中。
2.2 木马运行的必要条件
(1) 木马程序必须以文件的形式存在,不论是硬盘上 的文件,还是 U 盘或者互联网上的文件。总之,只要木 马在系统中运行,就必须以文件的形式存在并且这个文件 能被系统所访问。 (2) 木马必须获取系统的控制权,简单说就是木马要 使自己生效,激活,必须先运行程序本身。木马的运行跟 普通的程序没有什么不同的, 首先需要系统加载程序本身, 并对数据进行初始化后将控制权交给自己,这时木马才真 正开始执行。 根据以上的分析,可以看出,木马在任何情况下是不 可能对自身产生危害的,也就是说木马在没有执行的时候 是不具备任何威胁的,更不要说破坏力。那么我们要做的 就是加强系统的防护,减少木马运行的可能性,才能起到 预防木马的效果。
1 引言
随着中国电子商务逐渐迈入成长期,交易安全一直被 认为是制约中国电子商务发展的最大瓶颈,由病毒、木马 组成的“黑色产业链”严重制约着电子商务的快速发展。 据中国病毒应急处理中心的统计数据显示,从 2004 年 8 月到 2006 年 10 月间,全国感染各类网银木马及其变种的 用户数量增长了 600 倍之多,而通过木马窃取 Q Q 密码、 网游账户、电子支付口令、电子邮件账号等案例更是不胜 枚举。木马业已成为威胁交易安全的头号敌人。 反观我们目前的信息安全市场,仍然主要依靠防火 墙、入侵监测和杀毒软件这“老三样” 。随着“黑色产业 链”带来的巨大经济利益的诱惑,恶意软件制作的手段越 来越高明,导致我们的防火墙越砌越高、入侵检测越做越 复杂、恶意代码库越做越大,对木马的防范却没有达到相 应的安全效果。显然,这种基于“特异性”进行被动防御 的方式已不能跟上时代发展的要求,不能从根本上保护计 算机终端的安全。因此,笔者认为,在木马防范方面,我 们应该可以转换������������������ 一����������������� 下思路,变被动为主动,采用基于“非 特异性”的主动防御理念,对操作系统和应用程序的进程 特征进行“原始性、完整性”的安全认证,实现严格的进 程保护,构筑可信的应用操作平台和全程安全保护的可信 工作空间,打造电子商务的安全边界。
2.1 木马特性
2 木马分析
提起木马,大家一定会想起古希腊古老的故事,古希 腊人用自己的智慧,把士兵藏在木马内进入敌方城市从而 占领敌方城市的故事。而计算机世界中的木马,悄无声息 地潜入你的计算机,窃取你的密码及个人账户信息网民造成了巨 大的损失。木马为什么能造成如此大的破坏力 ? 现在让我
2007.12 ����� 计算机安全
81
服 务
病毒黑客
数进行过滤;而对于一般的函数调用,用函数转发器发送 给被替换的原系统 D L L;对于一些事先约定好的特殊情 况,被替换的 D L L 将会执行一些相应的操作。木马将自 己绑定在一个进程上进行操作。这种做法隐蔽性更强,因 为在系统中没有增加新的文件,不需要打开新的端口,不 增加新的进程,原有木马的检测方法对于采用这种技术的 木马就失效了。在系统正常运行过程中,木马没有任何症 状,而一旦木马的控制端向被控制端发出特定的信息后, 隐藏的木马进程就开始运行了。 2.1.2 自动运行性 木马为了控制系统, 它必须在系统启动时即跟随启动, 所以它必须潜入在系统的启动配置文件中,如 w i n . i n i、 system.ini、winstart.bat 以及启动组等文件之中。 2.1.3 具备自动恢复功能 现在很多的木马程序中的功能模块不再由单一的文件 组成,而是具有多重备份,可以相互恢复。当删除了其中 的一个,以为万事大吉又运行了其他程序的时候,谁知它 又悄然出现,像幽灵一样,防不胜防。
木马程序一般具有如下的几个特点: 2.1.1 隐蔽性 为了不在系统中显示,木马使用了 W i n d o w s 的中文 汉化软件中的陷阱技术,这种陷阱技术是一种针对 D L L 的高级编程技术,使木马摆脱了以前的端口监听模式。木 马采用替代系统功能的方法(修改 V X D 或 D L L) ,将修 改后的 D L L 替换系统中原有的 D L L,并对所有的调用函