下载文档原格式
GDGM-QR-03-077-B/1Guangdong College of Industry & Commerce毕业综合实践报告Graduation synthesis practice report题目:计算机木马病毒及防治(in En glish) Computer Trojan virus research and prevention系别:班级:学生姓名:学号:指导老师:完成日期:目录一、计算机木马病毒的概述及现状 (1)(一)计算机木马病毒的概念 (1)(二)木马病毒的原理 (1)(三)木马病毒的特征 (3)(四)木马病毒的危害 (3)(五)计算机木马病毒发展 (4)二、计算机木马病毒的伪装方式 (5)(一)修改图标 (5)(二)捆绑文件 (5)(三)出错显示 (5)(四)定制端口 (5)(五)自我销毁 (5)(六)木马更名 (6)三、计算机木马病毒的防治 (6)(一)如何查出木马 (6)1、检测网络连接 (6)2、禁用不明服务 (6)3、检查系统账户 (6)4、对比系统服务项 (7)(二)如何删除木马病毒 (7)1、禁用系统还原 (7)2、安全模式或VGA模式 (8)(三)如何防范木马病毒 (8)1、截断传染源 (8)2、加强计算机防护 (8)3、善用账号保护工具 (8)四、几款免费的木马专杀工具 (9)(一)冰刃 (9)(二)Windows清理助手 (9)(三)恶意软件清理助手 (9)(四)Atool软件 (9)(五)Windows恶意软件删除工具(mrt.exe) (10)五、结束语 (10)参考文献 (11)内容提要随着信息化时代的到来人类社会生活对因特网的需求日益增长,使得计算机网络技术迅速发展和普及。
因特网使得全世界都联系到了一起。
极大的促进了全球一体化的发展。
但是随着互联网的普及和应用的不断发展,各种黑客工具和网络手段导致网络和用户收到财产损失,其中最严重的就是木马攻击手段。
福建电脑2010年第4期(下转第74页)木马的生存技术王勇刚(孝感学院计算机与信息科学学院湖北孝感432000)【摘要】:本文先介绍木马技术,然后从更名换姓、文件捆绑、冒充图片、修改图标四个方面分析了木马的伪装技术,最后从加壳、修改特征码、加花等方面,分析和介绍了木马的生存技术。
【关键词】:木马;伪装;免杀1、木马技术木马以其隐蔽性强,变化迅速以及窃取文件等手段成为当前网络信息系统面临的安全威胁中危害最为严重的攻击手段之一。
木马其实就是一个网络客户/服务程序。
网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。
作为服务器的主机一般会打开一个默认的端口并进行监听,如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求,这个程序我们称为守护进程。
就我们前面所讲的木马来说,被控制端相当于一台服务器,控制端则相当于一台客户机,被控制端为控制端提供服务。
木马之间传递信息主要是通过端口来进行的。
端口即控制端和服务端之间的数据入口,通过这个入口,数据可直达控制端程序或木马程序。
我们这里所说的端口,不是计算机硬件的I/O 端口,而是软件形式上的概念。
例如,大家浏览网站时就是通过访问服务器的80端口来实现的。
2、木马的伪装技术作为病毒中利用率最高的木马,它的伪装技术也是一流的。
主要有下列几种方式。
伪装方法一:给木马服务端程序更名,木马服务端程序的命名有很大的学问。
木马的命名千奇百怪。
不过大多是改为和系统文件名差不多的名字,如果对系统文件不够了解,那可就危险了。
例如有的木马把名字改为window.exe ,如果不告诉用户这是木马的话,谁也不敢删除。
还有的就是更改一些后缀名,比如把dll 改为d11等(注意看是数字"11"而非英文字母"ll"),不仔细看的话,就不会发现。
伪装方法二:把自己和其它文件捆绑在一起,这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地进入了系统。
木马的7种分类随着计算机技术的不断发展,木马病毒也不断地演化和发展,出现了各种不同类型的木马病毒,本文将介绍木马病毒的七种基本分类。
1.远程控制木马远程控制木马可以通过网络,远程控制受感染电脑的操作系统。
黑客可以远程操作受害者的计算机,以获取其个人信息、机密资料和密码等。
这种木马病毒非常隐蔽,很难被发现,因此危害性相对较大。
2.间谍木马间谍木马主要用于监控用户的行动,例如记录用户的浏览历史记录、键盘输入等。
这种木马病毒通常会将窃取到的数据发送给黑客来实现监控。
3.下载木马下载木马病毒具有下代码、过滤HTML代码等功能,可以从远程服务器下载感染电脑所需的程序或文件。
当这种木马病毒感染到用户的计算机后,可以在后台下载恶意程序或软件。
4.钓鱼木马钓鱼木马通常通过电子邮件、社交网络等方式来欺骗受害者,使其下载木马病毒。
这种木马病毒的危害性非常高,因为它可以窃取受害者的个人信息,例如社交网络的用户账户和密码、银行账户信息等。
5.后门木马后门木马是指在计算机上预留出的一些未经授权的入口,可以让黑客在未经授权的情况下远程访问受害者的计算机系统。
这种木马病毒可以在用户不知情的情况下进行远程控制,非常隐蔽,难以发现。
6.窃密木马窃密木马可以获取用户的账户和密码等个人信息,并将这些信息上传到黑客服务器。
这种木马病毒通常隐藏在诱骗受害者下载的文件、恶意链接等背后。
7.多功能木马多功能木马是一种综合了多种木马病毒功能的复合木马病毒。
它可以通过网络来获取用户的个人信息、远程访问受害者计算机、窃取银行账号密码等敏感信息。
这种木马病毒的危害性非常高,可以严重威胁用户的安全和隐私。
⽊马程序开发技术:病毒源代码详解近年来,⿊客技术不断成熟起来,对⽹络安全造成了极⼤的威胁,⿊客的主要攻击⼿段之⼀,就是使⽤⽊马技术,渗透到对⽅的主机系统⾥,从⽽实现对远程操作⽬标主机。
其破坏⼒之⼤,是绝不容忽视的,⿊客到底是如何制造了这种种具有破坏⼒的⽊马程序呢,下⾯我对⽊马进⾏源代码级的详细的分析,让我们对⽊马的开发技术做⼀次彻底的透视,从了解⽊马技术开始,更加安全的管理好⾃⼰的计算机。
1、⽊马程序的分类 ⽊马程序技术发展⾄今,已经经历了4代,第⼀代,即是简单的密码窃取,发送等,没有什么特别之处。
第⼆代⽊马,在技术上有了很⼤的进步,冰河可以说为是国内⽊马的典型代表之⼀。
第三代⽊马在数据传递技术上,⼜做了不⼩的改进,出现了ICMP等类型的⽊马,利⽤畸形报⽂传递数据,增加了查杀的难度。
第四代⽊马在进程隐藏⽅⾯,做了⼤的改动,采⽤了内核插⼊式的嵌⼊⽅式,利⽤远程插⼊线程技术,嵌⼊DLL线程。
或者挂接PSAPI,实现⽊马程序的隐藏,甚⾄在Windows NT/2000下,都达到了良好的隐藏效果。
相信,第五代⽊马很快也会被编制出来。
关于更详细的说明,可以参考ShotGun的⽂章《揭开⽊马的神秘⾯纱》。
2.⽊马程序的隐藏技术 ⽊马程序的服务器端,为了避免被发现,多数都要进⾏隐藏处理,下⾯让我们来看看⽊马是如何实现隐藏的。
说到隐藏,⾸先得先了解三个相关的概念:进程,线程和服务。
我简单的解释⼀下。
进程:⼀个正常的Windows应⽤程序,在运⾏之后,都会在系统之中产⽣⼀个进程,同时,每个进程,分别对应了⼀个不同的PID(Progress ID, 进程标识符)这个进程会被系统分配⼀个虚拟的内存空间地址段,⼀切相关的程序操作,都会在这个虚拟的空间中进⾏。
线程:⼀个进程,可以存在⼀个或多个线程,线程之间同步执⾏多种操作,⼀般地,线程之间是相互独⽴的,当⼀个线程发⽣错误的时候,并不⼀定会导致整个进程的崩溃。
引言木马通常需要利用一定的通信方式进行信息交流(如接收控制者的指令、向控制端传递信息等)。
系统和应用程序一般采用TCP/UDP通信端口的形式与控制端进行通信。
木马一般也是利用TCP/UDP端口与控制端进行通信。
通常情况下,木马进行通信时直接打开一个或几个属于自己的TCP/UDP端口。
早期的木马在系统中运行后都是打开固定的端口,后来的木马在植入时可随机设定通信时打开的端口,具有了一定的随机性。
可是通过端口扫描很容易发现这些可疑的通信端口。
事实上,目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。
木马通信端口成为暴露木马形踪一个很不安全的因素。
为此采用新技术的木马对其通信形式进行了隐蔽和变通,使其很难被端口扫描发现。
2木马通信形式的隐蔽技术木马为隐蔽通信形式所采用的手段有:端口寄生、反弹端口、潜伏技术,嗅探技术。
2.1端口寄生端口寄生指木马寄生在系统中一个已经打开的通信端口,如TCP80端口,木马平时只是监听此端口,遇到特殊的指令才进行解释执行。
此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的,因此,在扫描或查看系统中通信端口时是不会发现异常的。
在Windows9X系统中进行此类操作相对比较简单,但是在WindowsNT/2K系统中实现端口寄生相对比较麻烦。
在控制端与木马进行通信时,如木马所在目标系统有防火墙的保护,控制端向木马发起主动连接就有可能被过滤掉。
2.2反弹端口反弹端口就是木马针对防火墙所采用的技术[1]。
防火墙对于向内的链接进行非常严格的过滤,对于向外的连接比较信任。
与一般的木马相反,反弹端口木马使用主动端口,控制端使用被动端口。
木马定时监测控制端的存在,发现控制端上线,立即主动连接控制端打开的被动端口。
为了隐蔽起见,控制端的被动端口一般开在TCP80。
这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCPUSERIP:1026CONTROLLERIP:80ESTABLISHED这种情况,用户可能误认为是自己在浏览网页。
木马的入侵技术木马要进入用户系统,首先要过杀毒软件这一关。
否则一旦杀毒软件报警,木马就无隐蔽性可言了,会立马被杀毒软件赶出系统。
因此,面对杀毒软件,木马使尽浑身解数,通过各种手段隐藏自己。
经过处理后的木马,可以完全无视杀毒软件的存在,正大光明地进入到用户的系统中。
到底木马使用了什么手段能有如此之大的威力呢?请看本文。
如何防范经过处理的木马?木马躲过杀毒软件常用的方法有:寄宿于正常文件、木马加壳加密、修改木马特征码。
结合正文我们来了解一下如何防范经过这些手段处理后的木马。
针对捆绑法,我们使用“木马捆绑克星”这款软件就可以让木马原形毕露。
单击程序界面上的“扫描”按钮,浏览选择可疑文件,如果程序下方的“包含多个可执行文件”选项被打上了钩,这就表示文件被捆绑了。
至于对木马程序进行加壳,根据壳的原理我们可以得知:加壳木马运行后,会将其中的木马程序在内存中还原。
还原后的木马是不受壳的保护的,因此大部分的杀毒软件都会抓住这个机会,将木马铲除。
唯一能对杀毒软件造成一点危害的,就只剩下修改木马特征码这种隐藏手段了。
不过不同的杀毒软件提取同一木马程序的特征码是不同的。
这就意味着我们改一处特征码只能躲避一款杀毒软件的查杀,如果要躲避多款杀毒软件,就需要修改多处特征码,这会对木马隐藏自己造成一定的困难。
因此如果有条件,安装两款杀毒软件也是一个不错的办法。
寄宿于正常文件这个方法就是将木马程序与正常的文件捆绑在一起,当用户运行这个捆绑后的文件时,正常文件和木马程序会同时运行,这样木马就可以隐藏自己,悄悄进入用户的系统。
要让木马实现这个目的只需要下载一个文件捆绑器即可。
以木马老大“灰鸽子”出品的文件捆绑器为例。
单击“文件捆绑器”上的“增加文件”按钮,选择一个正常的可执行文件,例如Flash小游戏等。
再次单击该按钮将我们的木马程序也添加进来,最后单击“捆绑文件”,即可将两个文件捆绑成一个可执行文件。
捆绑木马程序木马加壳加密“壳”是一种专门保护软件的程序,当运行一款加过壳的软件时,首先会运行这个软件的壳,壳会将包含在其中的程序进行还原,给予使用。
常见木马技术和手动检测方法2篇标题一:常见木马技术木马技术是黑客利用的一种非法手段,通过在目标主机上植入木马程序,以获取非法掌控权和窃取敏感信息。
下面将介绍一些常见的木马技术。
第一种常见的木马技术是远控木马。
远控木马是指黑客通过互联网远程连接到目标主机,并可以通过该木马程序完全操控这台主机。
远控木马具有隐蔽性强、控制能力广泛等特点,能够实现多种恶意动作,如窃取机密文件、监视用户行为等。
第二种常见的木马技术是键盘记录木马。
键盘记录木马通过记录用户在键盘上的操作,包括输入的账号、密码等敏感信息。
当用户输入账号密码时,键盘记录木马会将这些信息上传给黑客。
这种木马技术通常会潜伏在系统内核中,很难被发现和清除。
第三种常见的木马技术是反向连接木马。
反向连接木马是指木马程序主动连接到黑客控制的服务器上,以获取指令并发送被监控的敏感信息。
相比于传统的远程连接木马,反向连接木马具有更强的隐蔽性和稳定性。
第四种常见的木马技术是网页木马。
网页木马是指黑客通过在网页上插入木马脚本,使访问该网页的用户受到木马程序的感染。
网页木马通常通过浏览器漏洞进行攻击,一旦用户访问了被植入木马的网页,木马程序就能够在用户主机上执行恶意操作。
第五种常见的木马技术是邮件木马。
邮件木马是指黑客通过发送带有恶意附件或链接的邮件,诱骗用户点击下载或访问,从而感染用户的主机。
邮件木马常常伪装成重要文件或信息,以此引诱用户打开附件或访问链接。
总结起来,常见的木马技术包括远控木马、键盘记录木马、反向连接木马、网页木马和邮件木马。
这些木马技术都具有不同的攻击方式和特点,对个人和组织的信息安全构成了严重威胁。
标题二:手动检测方法面对日益复杂的木马攻击,手动检测成为了保护个人和组织信息安全的重要环节。
下面将介绍一些常用的手动检测方法。
第一种手动检测方法是端口扫描。
通过使用端口扫描工具,可以扫描目标主机上开放的端口,从而发现是否有可疑的端口。
一些木马程序常常会监听特定的端口,因此端口扫描可以有效帮助检测木马的存在。
木马的种类及其技术特征常见的木马病毒,按照其功能划分,有以下几类:●网络游戏木马●网银木马●即时通讯软件木马●网页点击类木马●下载类木马●代理类木马下面一一详细介绍。
1.网络游戏木马随着网络在线游戏的普及和升温,我国拥有规模庞大的网游玩家。
网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。
与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。
网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。
窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。
网络游戏木马的种类和数量,在国产木马病毒中都首屈一指。
流行的网络游戏无一不受网游木马的威胁。
一款新游戏正式发布后,往往在一到两个星期内,就会有相应的木马程序被制作出来。
大量的木马生成器和黑客网站的公开销售也是网游木马泛滥的原因之一。
2.网银木马网银木马是针对网上交易系统编写的木马病毒,其目的是盗取用户的卡号、密码,甚至安全证书。
此类木马种类数量虽然比不上网游木马,但它的危害更加直接,受害用户的损失更加惨重。
网银木马通常针对性较强,木马作者可能首先对某银行的网上交易系统进行仔细分析,然后针对安全薄弱环节编写病毒程序。
如2004年的“网银大盗”病毒,在用户进入工行网银登录页面时,会自动把页面换成安全性能较差、但依然能够运转的老版页面,然后记录用户在此页面上填写的卡号和密码;“网银大盗3”利用招行网银专业版的备份安全证书功能,可以盗取安全证书;2005年的“新网银大盗”,采用API Hook等技术干扰网银登录安全控件的运行。
随着我国网上交易的普及,受到外来网银木马威胁的用户也在不断增加。
3.即时通讯软件木马现在,国内即时通讯软件百花齐放。
QQ、新浪UC、网易泡泡、盛大圈圈……网上聊天的用户群十分庞大。
常见的即时通讯类木马一般有3种:一、发送消息型。
通过即时通讯软件自动发送含有恶意网址的消息,目的在于让收到消息的用户点击网址中毒,用户中毒后又会向更多好友发送病毒消息。
pdf木马原理引言概述:PDF木马是一种利用PDF文件进行恶意攻击的技术手段,它可以通过植入恶意代码或链接来感染用户的设备,并获取用户的敏感信息。
本文将从六个大点来详细阐述PDF木马的原理。
正文内容:1. PDF文件的结构:1.1 PDF文件的基本结构:PDF文件由头部、交叉引用表、对象和内容流等组成。
1.2 PDF文件的对象类型:PDF文件中的对象可以是字典、数组、字符串等不同类型,这些对象可以通过对象引用进行关联。
2. PDF木马的植入方式:2.1 恶意代码的植入:攻击者可以通过在PDF文件中嵌入恶意代码,如JavaScript脚本或Flash动画等,以实现对用户设备的攻击。
2.2 恶意链接的植入:攻击者可以将恶意链接嵌入到PDF文件中,当用户点击该链接时,将被导向恶意网站或下载恶意文件。
3. PDF木马的执行过程:3.1 用户打开PDF文件:用户双击或通过浏览器打开PDF文件时,PDF阅读器将解析文件并加载其中的内容。
3.2 恶意代码或链接的触发:当PDF文件中存在恶意代码或链接时,阅读器在加载过程中会执行这些代码或触发链接,从而进行攻击。
3.3 攻击行为的实施:一旦恶意代码或链接被执行,攻击者可以利用该漏洞进行各种攻击行为,如窃取用户信息、传播病毒等。
4. PDF木马的危害:4.1 用户信息泄露:攻击者可以通过PDF木马获取用户的敏感信息,如账号密码、银行卡信息等。
4.2 设备感染与控制:PDF木马可以感染用户的设备,控制设备执行恶意指令,从而对用户设备进行控制。
4.3 恶意文件传播:攻击者可以通过PDF木马将恶意文件传播给其他用户,进一步扩大攻击范围。
5. 防范PDF木马的措施:5.1 更新PDF阅读器:及时更新PDF阅读器的版本,以修复已知的漏洞。
5.2 谨慎打开PDF文件:不要打开来历不明的PDF文件,尤其是从不可信的来源下载的文件。
5.3 安装杀毒软件:在设备上安装杀毒软件,及时进行病毒扫描,以防止PDF 木马的感染。
【木马各种隐藏技术全方位大披露】被木马隐藏的文件以前,我曾认为只要不随便运行网友发来的文件就不会中病毒或木马,但后来出现了利用漏洞传播的冲击波、震荡波;以前,我曾认为不上小网站就不会中网页木马,但后来包括国内某知名游戏网站在内的多个大网站均在其首页被黑客挂上了木马。
从此,我知道:安全,从来没有绝对的。
虽然没有绝对的安全,但如果能知已知彼,了解木马的隐藏手段,对于木马即使不能百战百胜,也能做到及时发现,使损失最小化。
那么,木马究竟是如何躲在我们的系统中的呢?最基本的隐藏:不可见窗体+隐藏文件木马程序无论如何神秘,但归根究底,仍是Win32平台下的一种程序。
Windows下常见的程序有两种:1.Win32应用程序(Win32 Application),比如QQ、Office等都属于此行列。
2.Win32控制台程序(Win32 Console),比如硬盘引导修复程序FixMBR。
其中,Win32应用程序通常会有应用程序界面,比如系统中自带的"计算器"就有提供各种数字按钮的应用程序界面。
木马虽然属于Win32应用程序,但其一般不包含窗体或隐藏了窗体(但也有某些特殊情况,如木马使用者与被害者聊天的窗口),并且将木马文件属性设置为"隐藏",这就是最基本的隐藏手段,稍有经验的用户只需打开"任务管理器",并且将"文件夹选项"中的"显示所有文件"勾选即可轻松找出木马(见图1),于是便出现了下面要介绍的"进程隐藏"技术。
第一代进程隐藏技术:Windows 98的后门在Windows 98中,微软提供了一种能将进程注册为服务进程的方法。
尽管微软没有公开提供这种方法的技术实现细节(因为Windows的后续版本中没有提供这个机制),但仍有高手发现了这个秘密,这种技术称为RegisterServiceProcess。
只要利用此方法,任何程序的进程都能将自己注册为服务进程,而服务进程在Windows 98中的任务管理器中恰巧又是不显示的,所以便被木马程序钻了空子。
