下载文档原格式
实验1 木马攻击与防范一、实验目的通过对木马的练习,使读者理解和掌握木马传播和运行的机制;通过手动删除木马,掌握检查木马和删除木马的技巧,学会防御木马的相关知识,加深对木马的安全防范意识。
二、实验原理木马的全称为特洛伊木马,源自古希腊神话。
木马是隐藏在正常程序中的具有特殊功能的恶意代码,是具备破坏、删除和修改文件、发送密码、记录键盘、实施DoS攻击甚至完全控制计算机等特殊功能的后门程序。
它隐藏在目标计算机里,可以随计算机自动启动并在某一端口监听来自控制端的控制信息。
1.木马的特性木马程序为了实现其特殊功能,一般应该具有以下性质:(1)伪装性:程序将自己的服务器端伪装成合法程序,并且诱惑被攻击者执行,使木马代码会在未经授权的情况下装载到系统中并开始运行。
(2)隐藏性:木马程序同病毒程序一样,不会暴露在系统进程管理器内,也不会让使用者察觉到木马的存在,它的所有动作都是伴随其它程序进行的,因此在一般情况下使用者很难发现系统中有木马的存在。
(3)破坏性:通过远程控制,攻击者可以通过木马程序对系统中的文件进行删除、编辑操作,还可以进行诸如格式化硬盘、改变系统启动参数等恶性破坏操作。
(4)窃密性:木马程序最大的特点就是可以窥视被入侵计算机上的所有资料,这不仅包括硬盘上的文件,还包括显示器画面、使用者在操作电脑过程中在硬盘上输入的所有命令等。
2.木马的入侵途径木马入侵的主要途径是通过一定的欺骗方法,如更改图标、把木马文件与普通文件合并,欺骗被攻击者下载并执行做了手脚的木马程序,就会把木马安装到被攻击者的计算机中。
木马也可以通过Script、ActiveX及ASP、CGI交互脚本的方式入侵,由于微软的浏览器在执行Script 脚本上存在一些漏洞,攻击者可以利用这些漏洞诱导上网者单击网页,这样IE浏览器就会自动执行脚本,实现木马的下载和安装。
木马还可以利用系统的一些漏洞入侵,如微软的IIS服务器存在多种溢出漏洞,通过缓冲区溢出攻击程序造成IIS服务器溢出,获得控制权限,然后在被攻击的服务器上安装并运行木马。
毕业论文木马病毒分析随着计算机与网络技术的发展,个人电脑和互联网在人们的日常生活中占据了越来越重要的位置。
但是,随着网络和计算机技术的快速发展,黑客和计算机病毒的数量也不断增加,给我们的计算机和互联网使用带来了很大的威胁。
在这种情况下,研究计算机病毒的原理和特征,在保护计算机安全方面具有特殊的意义。
因此,本文就木马病毒进行了研究和分析。
一、木马病毒的概念及特征木马病毒是指那些以其他程序为外壳进行自身隐藏的恶意程序,通常它们伪装成正常的、合法的程序,被用户误认为是合法的,从而达到了攻击的目的。
木马病毒一般都具有以下特点:1.潜伏性木马病毒的宿主可以是任何一个文件,因此木马病毒具有极高的潜伏性。
木马病毒一旦被宿主程序感染成功,就可以隐蔽地运行在系统中,一般用户很难发现。
2.渗透性木马病毒通常会利用系统漏洞等方式,渗透到受害系统内部,获取系统权限,从而实现对系统的控制。
3.多样性木马病毒有多种类型,每种类型有着不同的传播方式和攻击方式,其多样性使得木马病毒更加难以被发现和清除。
4.攻击目的性木马病毒可以用于窃取用户的敏感信息,也可以用于破坏系统、传播病毒等攻击目的。
二、木马病毒的传播方式木马病毒有多种传播方式,下面介绍几种常见的传播方式。
1.网络攻击黑客可以通过远程攻击利用系统漏洞,将木马病毒传播到受害者的计算机上。
2.社交网络黑客可以通过社交网络发送木马病毒链接或伪装成正常的文件或图片,通过欺骗用户的方式传播木马病毒。
3.邮件传播黑客可以通过发送伪装成正常的邮件附件等方式,将木马病毒传播到受害者的电脑上。
三、木马病毒的危害1.窃取用户信息木马病毒可以通过记录键盘输入等方式,窃取用户的敏感信息,如用户的用户名和密码等。
2.破坏系统木马病毒可以通过修改系统配置文件等方式,破坏系统的稳定性和安全性,使得系统出现崩溃等问题。
3.传播病毒木马病毒可以通过篡改系统安全设置等方式,传播病毒,导致计算机网络的瘫痪。
木马攻击与防范技术姓名:焦伟班级:08级电子信息工程技术学号:2008113014 当你在网上尽情畅游之时,你是否知道网上正有不少窥探者正伺机窃取你的个人隐私、破坏你的机器呢?网上有陷阱,网上有窃贼,这已经不是一个危言耸听的话题,而是实实在在发生在你我身边的事。
了解一些木马入侵的手段,采取一定的防范措施关键字:木马、木马原理、木马攻击、木马防范一、木马程序的技术原理木马程序也叫特洛伊(Trojan)木马程序,来源于希腊神话中的希腊士兵藏在木马内进入特洛伊城从而占领它的故事。
木马程序是一种基于客户机/服务器架构的网络通信软件,与正规的远程控制软件相比,它存在着隐蔽安装、非授权操作、破坏用户机器、窃取个人信息等特征,是一种危害极大的程序。
一般将受害计算机称作服务器端,对受害计算机进行远程控制的计算机称作客户机端,真正建立联系后,二者的角色是可以互换的。
木马程序依托的网络环境一般为采用TCP/IP协议的计算机网络。
木马程序相应分为客户端程序和服务器端程序两部分,其中服务器端在目标计算机上驻留,获取目标计算机的操作权限,完成对目标计算机的操控;客户端由控制者操纵,向服务器端传输指令,用以控制远程目标计算机。
通常情况下,服务器端程序通过隐蔽手段驻留目标计算机后,篡改本机的网络设置,开放本地网络端口,通过一定的手段向客户端传递宿主计算机的网络信息,如IP地址、网络端口等,并实时监听网络连接请求;客户端程序获得受害计算机的相关信息后,主动向服务器端程序发出连接请求,建立通信关系,实现对目标计算机进行操控,也有由服务器端主动向客户端发出连接请求并建立通信关系的。
一旦服务器端和客户机端建立通信联系,服务器端计算机就完全处于木马程序的控制之下,客户端可以通过预先约定好的命令来操控服务器程序执行非授权的行为,如删除文件、修改注册表、打开或关闭服务、重启计算机、监视宿主机的操作、传输宿主机上的相关资料等,也可以以受控计算机为跳板,向网络上其它主机发起攻击。
关于木马病毒的论文计算机0901班李丹 090521125摘要:木马(Trojan)这个名字来源于古希腊传说。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。
以下是关于木马病毒的相关介绍与防治。
关键字:木马病毒的介绍、危害、防御、查找、删除正文:一、木马病毒的介绍:木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。
植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。
运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据。
特洛伊木马有两种,universal的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作。
特洛伊木马不经电脑用户准许就可获得电脑的使用权。
程序容量十分轻小,运行时不会浪费太多资源,因此没有使用杀毒软件是难以发觉的;运行时很难阻止它的行动,运行后,立刻自动登录在系统引导区,之后每次在Windows加载时自动运行;或立刻自动变更文件名,甚至隐形;或马上自动复制到其他文件夹中,运行连用户本身都无法运行的动作。
二、木马病毒的危害:1、盗取我们的网游账号,威胁我们的虚拟财产的安全。
木马病毒会盗取我们的网游账号,它会盗取我们帐号后,并立即将帐号中的游戏装备转移,再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。
2、盗取我们的网银信息,威胁我们的真实财产的安全。
浅谈木马病毒的发展与防范措施摘要近年来,计算机硬件和软件的技术发展迅猛,通过相对应的配到设施,人们的生活和工作中离不开计算机的帮助,但越是快速发展,越要重视其繁华后的黑暗。
计算机技术发展同时,也伴随着木马病毒的扩张,这将对人们的信息安全和财产安全增加了极大的隐患。
木马病毒是隐藏在用户计算机系统中的一种破坏程序,会影响系统的正常运行,严重时还会泄露用户的个人信息。
本文基于大数据背景下,分析了木马病毒的发展现状,并提出了一些对于病毒的防范措施,以期为相关人员提供参考。
关键词互联网;计算机;木马病毒人类中有违法犯罪的不良个体,那么在计算机的世界中,可以把木马病毒看作是计算机犯罪的一种体现,并且该类犯罪并不像人类社会中只会对有限的区域和个体产生危害。
得益于计算机的广泛的传播学和共享本质,木马病毒极易感染和造成强大破坏。
当计算机感染到了木马病毒之后,不法分子通過远程操作,就能调取用户电脑中的个人信息。
因此,有必要通过分析木马病毒的发展以及防范措施,有助于健全网站的管理和监督以及网民识别木马病毒,保证个人信息安全。
1 木马病毒的发展1.1 木马病毒的更新换代木马病毒从问世以来,就是以窃取密码为主要目的,然后通过e-mail把信息进行传播的一种非常程序。
随后,木马病毒逐渐在数据传递技术方面、进程隐藏方面、驱动级等方面进行发展、演变,形成了各种各样的病毒。
其中,比较典型的木马病毒有熊猫烧香病毒、中国黑客病毒等。
1.2 互联网的普及为木马病毒的发展提供了有利条件木马病毒主要是存在于用户的计算机系统中,它有着极强的破坏能力,能够盗取用户的个人信息。
而且在互联网时代下,网络几乎已经成为新时代的一种“代名词”,这也为木马病毒的传播提供了非常便利的条件。
由于木马病毒会通过各种手段来隐藏自己,欺骗用户去下载和安装它,当用户在不知情的时候,下载了木马,就会造成一定的危害。
比较典型的就是一些黑客建立了恶意网站,将病毒植入到软件中,让正常的软件和木马病毒一起安装,当用户在运行软件的时候,也会激活木马病毒[1]。
计算机病毒的原理和防范毕业论文计算机病毒的原理和防范摘要:计算机病毒是指能够自我复制的程序,能够感染和破坏计算机系统和文件的恶意程序。
计算机病毒的存在使得计算机用户和企业面临着巨大的安全威胁。
本文主要通过分析计算机病毒的原理和分类,以及防范计算机病毒的有效方法,探讨如何保障计算机系统和网络的安全。
关键词:计算机病毒、原理、分类、防范一、介绍计算机病毒是指能够自我复制的程序,能够感染和破坏计算机系统和文件的恶意程序。
计算机病毒的存在使得计算机用户和企业面临着巨大的安全威胁。
近年来,随着计算机技术的不断更新和发展,病毒攻击的手段和方式也在不断变化和升级,给计算机系统和网络的安全带来了严重威胁。
因此,有效防范计算机病毒的攻击是每一位计算机用户和企业必须要关注的问题。
本文主要通过分析计算机病毒的原理和分类,以及防范计算机病毒的有效方法,探讨如何保障计算机系统和网络的安全。
二、计算机病毒的原理和分类1. 计算机病毒的原理计算机病毒通常是一个程序,由计算机病毒制造者利用程序漏洞或者网络脆弱性制造出来的。
一旦感染了主机,病毒就会自己复制并将自己的代码插入到其他程序或者操作系统中,从而进一步感染更多的计算机。
计算机病毒可以通过多种方式进行繁殖和传播,例如通过电子邮件、文件共享、网络聊天或者软件安装等途径。
一旦感染,计算机病毒就可以破坏计算机系统,窃取用户隐私信息,或者用计算机作为网络攻击的跳板,给计算机用户和企业带来巨大损失。
2. 计算机病毒的分类计算机病毒的种类繁多,按照不同的分类标准,可以将计算机病毒分为以下几种:(1) 按照病毒传播方式分类:病毒可以通过多种方式进行传播,例如蠕虫病毒可以通过网络脆弱性来传播,而磁盘病毒则需要通过磁盘和移动介质来传播。
(2) 按照病毒影响范围分类:病毒可以影响计算机系统、文件、程序等不同的范围,例如脚本病毒通常只影响脚本文件,而文件病毒可以感染多种不同类型的文件。
(3) 按照病毒功能分类:病毒的功能也各不相同,例如木马病毒可以偷取用户隐私信息,而勒索病毒则可以加密用户文件并索要赎金。
毕业论文(设计)论文(设计)题目:木马攻击技术彻底剖析学院:理工学院专业(方向):计算机科学与技术(网络工程)年级、班级:网络1101 学生姓名:指导老师:2015 年 5 月 15 日论文独创性声明本人所呈交的毕业论文(设计)是我个人在指导教师指导下进行的研究工作及取得的成果。
除特别加以标注的地方外,论文中不包含其他人的研究成果。
本论文如有剽窃他人研究成果及相关资料若有不实之处,由本人承担一切相关责任。
本人的毕业论文(设计)中所有研究成果的知识产权属三亚学院所有。
本人保证:发表或使用与本论文相关的成果时署名单位仍然为三亚学院,无论何时何地,未经学院许可,决不转移或扩散与之相关的任何技术或成果。
学院有权保留本人所提交论文的原件或复印件,允许论文被查阅或借阅;学院可以公布本论文的全部或部分内容,可以采用影印、缩印或其他手段复制保存本论文。
加密学位论文解密之前后,以上声明同样适用。
论文作者签名:年月日木马攻击技术彻底剖析摘要如今是大数据的时代,有效的信息能够带来巨大的效益,它作为一种普遍性、共享性、增值型、可处理性和多效用性的资源,使其对于人类具有特别重要的意义。
信息安全的实质就是要保护信息系统或网络信息传输中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。
信息安全是一个不容忽视的国家安全战略,任何国家、政府、部门、行业都不可避免的问题。
因此,在计算机信息安全领域,对计算机木马技术的研究已成为一个重点和热点。
本文对计算机木马攻击技术进行了系统的分析和研究,主要工作如下:1.对木马的基本概念进行说明、攻击机制进行剖析。
2.采用“冰河”实例进行剖析说明。
3.在研究了木马隐蔽技术的基础上,提出了一个动静特征相结合的行为木马特征检测技术基本框架。
尽最大能力去检测与防范木马攻击。
【关键词】木马攻击,计算机信息安全,木马检测,木马防范Trojan horse attack technologys ThoroughanalysisAbstractToday is the era of big data, effective information can bring huge benefits, it is a kind of universality, sharing, value-added, processing and multi utility of resources, which is of special significance for human. The essence of information security is to protect the information systems or information transmission network information resources from various types of threats, interference and destruction, which is to ensure the safety of information. Information security is an important national security strategy, any country, government, departments, industries are inevitable problems. Therefore, in the field of computer information security, research on computer Trojan technology has become a key and hot. This paper carried out a systematic analysis and Research on computer technology of the Trojan horse attack, the main work is as follows:1. analyze the attack mechanism of basic concepts of Trojan horse.2. by the analysis of examples to illustrate the "ice age".3.According to the static characteristics of the Trojan based on theweaknesses and Trojan hidden methods, put forward the basic framework of the Trojan detection system of the static characteristics of Trojan detection and dynamic behavior of Trojan detection combined, as much as possible to prevent the Trojan horse attack.[Key words]Trojan attacks, computer information security, Trojan detection, Trojan guard目录1 绪论 (1)1.1木马研究的背景与意义 (1)1.2本课题研究的内容 (2)2 木马攻击机制剖析 (3)2.1概述 (3)2.2木马的定义 (4)2.3木马的攻击模式剖析 (4)2.4木马的攻击特点剖析 (5)2.5木马攻击能力剖析 (6)2.6木马实施攻击的步骤剖析 (7)2.7木马伪装方法剖析 (8)2.7.1 木马启动方式的隐藏技术 (11)2.7.2木马运行形式的隐藏技术 (17)2.7.3 木马通信形式的隐藏技术 (19)2.7.4木马程序在宿主机磁盘上的隐藏 (25)2.8木马的传播途径剖析 (26)3 “冰河”木马实例分析 (27)3.1“冰河”起源与发展 (27)3.2服务端与客户端实现原理 (27)3.3隐藏的实现原理 (28)3.4木马的启动实现 (28)3.5远程控制的实现原理 (29)3.6实现冰河服务器的配置 (30)3.7冰河在目标主机中的隐藏 (31)3.8冰河在目标主机中的控制 (33)3.9冰河木马的查杀 (33)4 动静结合的木马检测防范技术 (34)4.1基于动态行为的木马检测防范技术 (34)4.1.1 行为监控检测防范木马的基本思想 (34)4.1.2 动态检测与防范木马的主要方法 (35)4.2动静结合的木马检测防范体系的分析 (37)4.3动静结合的木马检测防范技术评价 (39)5 结论 (41)参考文献 (42)致谢 (43)1 绪论1.1 木马研究的背景与意义如今计算机科学技术的迅猛发展和广泛应用,使计算机之间的网络通信成为现代社会不可缺少的基本组成部分,具有全球化的互联网技术影响着人类经济、政治、社会的方方面面,对经济可持续发展、国家信息安全、国民教育和现代化管理都起着重要的作用。
计算机病毒原理与防护论文由于计算机病毒自身具有破坏性、多态性和不可预测性等一些显著性特点,它们早已成为现代信息社会的重要威胁之一。
下面是店铺为大家整理的计算机病毒原理与防护论文,供大家参考。
计算机病毒原理与防护论文范文一:计算机病毒防护软件搭配使用分析1计算机病毒防护软件原理及使用常见问题计算机病毒防护软件也称防病毒软件或杀毒软件,主要用于消除恶意软件、电脑病毒或特洛伊木马。
该类型软件集合了多种功能,如病毒扫描、集成监控识别及自动升级,是计算机防御系统的重要组成部分。
病毒防护软件的工作原理也经历了多个过程,第一代即单纯的判断病毒特征,从带毒文件中清除病毒,随着加密和变形技术等病毒技术的发展,这种简单的静态扫描逐渐失去了作用。
第二代反病毒技术可以检测出更多地变形病毒,采用静态光谱特征对病毒进行扫描检测,但有很高的误报率,较易造成文件和数据的破坏。
后续发展起来的反病毒技术主要为静态扫描和动态仿真跟踪的相结合或基于多位CRC校验及扫描原理、内存解读模块、启发式智能代码分析模块、自身免疫模块等技术,弥补了以往防毒技术的不足。
然而在使用计算机病毒防护软件中要主要每款杀毒软件都只针对特定病毒,计算机中的所有种类病毒不能查杀,因此不能单纯使用一款软件,应该有搭配性使用。
杀毒并不是将病毒清楚,部分软件只执行杀毒动作,一些存在于计算机中病毒依旧没有被清除,所以要使用病毒防护软件附带软件强力清除病毒。
计算机病毒防护软件适量即可,不是越多越好,特别联网使用共享计算机病毒防护软件需不停的安装和删除,一定程度上会威胁系统安全,影响其正常运行。
2计算机病毒防护软件的搭配使用技巧2.1瑞星杀毒软件(国产)与McAfee杀毒软件(欧美)瑞星杀毒软件具有多种应用特性,采用了欧盟及中国专利的六项核心技术,安全保障和实用价值高。
它在查杀病毒方面支持查杀的文件类型和详细配置查杀目录,以及发现病毒后的处理方式。
McAfee 杀毒软件具备强大的监控能力和保护规则,融合了WebScanX功能,不仅可侦测和清除病毒,还会常驻在SystemTray自动侦测文件的安全性。
简单木马分析与防范电脑已经走进我们的生活,与我们的生活息息相关,感觉已经离不开电脑与网络,对于电脑安全防范,今天小编在这里给大家推荐一些电脑病毒与木马防范相关文章,欢迎大家围观参考,想了解更多,请继续关注。
一、前言病毒与木马技术发展到今天,由于二者总是相辅相成,你中有我,我中有你,所以它们之间的界限往往已经不再那么明显,相互之间往往都会采用对方的一些技术以达到自己的目的,所以现在很多时候也就将二者直接统称为“恶意代码”。
这次我打算用两篇文章的篇幅来讨论病毒与简单的木马相互结合的分析与防范方法。
本篇也就是第一篇,讨论的是利用只有服务器端的木马程序实现“病毒”的启动。
而在下一篇中,我会讨论既有服务器端又有客户端的木马程序与“病毒”相结合的分析与防范。
二、简单木马的原理由于木马技术与计算机网络息息相关,所以也就离不开Socket套接字编程。
这里我不打算详述Socket套接字编程的细节,这个在MSDN上有非常详细的讲述,无非就是根据套接字的编程的流程,将相应的内容填入“模板”。
而既然要实现通信的效果,就需要遵循一个通信模型,木马一般都是C/S(客户端/服务端)模式的。
本篇文章所要论述的,虽然不涉及客户端的编写,但实际上我只不过是把cmd程序当成了客户端,因此本质上还是C/S模式的。
C/S模型的开发,需要在服务器端(欲攻击的计算机)上绑定一个IP 地址和一个端口号,然后进行监听,等待客户端(攻击方)的连接。
客户端则是向相应的IP地址和端口号发起连接,服务器端接受后,双方就可以开始进行通信,这就是基于TCP协议的通信,也是接下来要用到的方法。
另外还有一种基于UDP协议的方法,这种方法是在服务器端进行相应的绑定后,客户端不需要进行连接直接就可以和服务器进行通信。
可见,TCP要比UDP可靠,而UDP要比TCP效率高。
本篇文章所论述的服务器端编程的基本原理如下:1、打开一通信通道(绑定某个端口)并告知本地主机,它在某一个地址上接收客户请求。
木马病毒原理与防范摘要:随着信息化时代的到来人类社会生活对因特网的需求日益增长,使得计算机网络技术迅速发展和普及。
因特网使得全世界都联系到了一起。
极大的促进了全球一体化的发展。
但是随着互联网的普及和应用的不断发展,各种黑客工具和网络手段导致网络和用户收到财产损失,其中最严重的就是木马攻击手段。
它以其攻击范围广、危害大等特点成为常见的网络攻击技术之一,对整个互联网照成了极大的危害。
本文分析了木马病毒的基本原理,针对木马病毒的特征、传播途径等分析结果,找出计算机感染病毒的原因。
并且对木马病毒的种类、加载技术及现状进行了详细的研究,提出了完善的防范建议。
关键词:木马病毒网络安全计算机病毒原理检测防范研究Abstract :With the growing demand for information technology era of human social life on the Internet, computer network technology rapid development and popularization. The Internet makes the whole world is linked to together. Greatly contributed to the development of global integration. But with the popularity of the Internet and the continuous development of the application, a variety of hacking tools and network means the network and the user receives property damage, the most serious of which is Trojan attacks. With its wide range of attacks, hazards and other characteristics to become one of the common network attack techniques, the entire Internet according to become great harm.Keywords:Trojan Network security Computer virus principle Testing Prevention1.简介计算机病毒对大多数的计算机使用者而言应该是再耳熟能详不过的名词, 有些人也许从来不曾真正碰到过计算机病毒, 而吃过计算机病毒亏的人却又闻毒色变, 其实在个人计算机这么普遍的今天, 即使您不是一个计算机高手, 也应该对计算机病毒有些基本的认识, 就好比我们每天都会关心周围所发生的人事物一样, 毕竟计算机病毒已经不再像过是遥不可及的东西,在当今科技迅速发展的时代,计算机和网络技术不仅给人们带来了便利与惊喜,同时也在遭受着计算病毒带来的烦恼和无奈,自从Internet潮流席卷全球以来,计算机信息以每秒千里的速度在传送, 我们每天可以透过Internet收到来自全球各地不同的消息,。
因为计算机病毒不仅破坏文件,删除有用的数据,还可导致整个计算机系统瘫痪,给计算机用户造成巨大的损失。
与此同时,病毒技术在战争领域也曾广泛的运用,在海湾战争、科索沃战争中,双方都曾利用计算机病毒向敌方发起攻击,破坏对方的计算机网络和武器控制系统,达到了一定的政治目的与军事目的。
可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒越来越受到各国的高度重视。
目前计算机病毒可以渗透到信息社会的各个领域,给计算机系统带来了巨大的破坏和潜在的威胁。
为了确保信息的安全与畅通,因此,研究计算机病毒的防范措施已迫在眉睫。
2.木马病毒概述2.1木马病毒定义及特征木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序。
它利用自身所具有的植入功能,或依附其它具有传播能力病毒,或通过入侵后植入等多种途径,进驻目标机器,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的各种敏感信息,接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等[1]。
木马病毒的基本特征如下[1]:1、隐蔽性是其首要的特征当用户执行正常程序时,在难以察觉的情况下,完成危害影虎的操作,具有隐蔽性。
它的隐蔽性主要体现在六个方面:①不产生图标②文件隐藏③在专用文件夹中隐藏④自动在任务管理其中隐形⑤无声无息的启动⑥伪装成驱动程序及动态链接库2、它具有自动运行性它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
3、木马程序具有欺骗性木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。
还有的木马程序为了隐藏自己,也常把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。
等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。
4、具备自动恢复功能现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。
5、能自动打开端口应服务器客户端的通信手段,利用TCP/IP协议不常用端口自动进行连接,开方便之“门”6、功能的特殊性通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。
2.2木马病毒的传播途径1、通过硬件存储介质传播[3]如果U盘、MP3、SD卡、软盘、移动硬盘等移动存储设备如果接入感染了病毒的计算机后,其本身可能也会被感染病毒,如果再接入没有被感染病毒的计算机后,该计算机可能也会被传染病毒。
2、通过局域网共享传播微软的IPC共享就存在严重漏洞,许多病毒可以通过IPC默认共享自动感染局域网内的所有计算机。
(我们在局域网内实现共享打印机、共享文件都是利用IPC来实现共享的)3、通过与应用软件捆绑传播此种手段较为高明,木马制作者把木马程序捆绑到一个比较常用的应用软件上,比如Photoshop、QQ、Realplayer、Word等软件上,然后把这些捆绑了木马程序的应用软件放到互联网上提供给网友下载,当你下载下来安装这些软件的时候,被捆绑其上的木马也被你同时安装到自己的电脑中了,这一过程是不察觉的。
4、通过电子邮件附件传播木马制作者可以直接把木马程序作为附件发送给你,利用社会工程学的知识来骗你打开附件,比如说是你的同学,发给你一张新拍的照片,如果你信以为真,那可能就中计了。
直接发送木马程序对于稍有网络安全意识的人来讲还是可以防范的,因为木马程序既然是应用程序,那么它的后缀名必定是.EXE。
更高级的附件发送木马手法还是挺高明的,比如把木马程序的图标改为图片文件的图标或是Word文档的图标来进行鱼目混珠,还可以利用Word的宏命令直接把木马程序写入Word文档中,这样就更难察觉了。
5、通过网页木马传播利用计算机漏洞构造出的具有特殊功能的网页,当你打开此网页且你的计算机有此网页利用的漏洞时,你的电脑就会自动从指定的网址下载木马程序到你的电脑上并自动运行。
事实上目前的许多网站都存在着各种各样的漏洞,黑客利用这些漏洞可以入侵网站,包括有名的网易、搜狐、新浪等大型知名网站都曾遭遇过黑客入侵而被篡改主页。
6、通过影音文件网页木马传播视频文件是可以添加事件的,可以让它在播放到指定时间时打开一个网页,如果打开的网页是网页木马,那么电脑从此就中毒了。
此种木马常见于一些不正规的小网站提供的电影下载中或是BT等共享视频中。
2.3木马病毒的现状与发展趋势目前,木马已经形成了多个派系的共存,结合了传统电子邮件病毒的破坏性,产生更多的混合型木马病毒。
有关报告显示:截至2008年6月,所截获的新增病毒样本总计有111 474种,其中,新增的这些木马病毒中,盗号木马尤其严重,占到木马总数的70%,高达58 245种。
从这些数据中可以看出,木马数量成倍增长,而且病毒制造者更倾向于制造、传播木马病毒者。
现在,病毒疫情主要呈现出互联网进入木马/病毒经济时代;木马数量迅猛增加,变种层出不穷;网页挂马与ARP欺骗危害加剧;U盘是病毒传播的主要途径;病毒/木马疯狂反扑,病毒/木马商业化运作出现团队化协同方式;病毒的变种数量已经成为衡量其危害性的新标准等特点。
伴随着计算机技术和网络技术的发展,计算机病毒的发展趋势也发生了巨变,目前的计算机病毒发展呈[2]现以下趋势:1、综合利用多种编程新技术的病毒将成为主流。
从Ro-otKit技术到映像劫持技术, 磁盘过滤驱动到还原系统SSDTHOOK和还原其它内核HOOK技术, 病毒为达到目的所采取的手段已经无所不用。
通过Rootkit技术和映像技术隐藏自身的进程、注册表键值, 通过插入进程、线程避免被杀毒软件查杀, 通过实时监测对自身进程进行回写, 通过还原系统SS-DTHOOK和还原其他内核HOOK技术破坏反病毒软件, 甚至一向被认为安全至极的数码产品都能被其驱动光盘感染病毒。
目前几乎所有的木马病毒都具备这些技术特征, 几乎所有最新的程序应用技术都被病毒一一应用, 未来的病毒将综合利用以上新技术, 使得杀毒软件查杀难度更大, 对病毒的实时检测更困难, 病毒与反病毒软件之间的对抗进一步加强。
2、ARP病毒仍将成为局域网的最大祸害。
ARP病毒已经成为近年来局域网的最大威胁,它采用ARP 技术局域网挂马攻击技术, 利用MAC地址欺骗,传播恶意广告或病毒程序。
ARP病毒发作时, 通常会造成网络掉线, 但网络连接正常, 内网的部分或全部电脑不能上网,无法打开网页或时断时续, 且网速较慢等现象。
更为严重的是, ARP病毒新变种能把自身伪装成网关, 在所有用户请求访问的网页添加恶意代码, 导致杀毒软件在用户访问任意网站时均发出病毒警报, 用户下载任何可执行文件, 均被替换成病毒。
