当前位置:文档之家 › 木马病毒的行为分析

木马病毒的行为分析

  • 格式:doc
  • 大小:133.50 KB
  • 文档页数:15

下载文档原格式

  / 15

合集下载

木马病毒的行为分析样本

木马病毒的行为分析样本

西安翻译学院XI’AN FANYI UNIVERSITY毕业论文题目: 网络木马病毒的行为分析专业: 计算机网络技术班级:姓名: 彭蕊蕊指导教师: 朱滨忠5月目录学号:院系: 诒华1 论文研究的背景及意义........................... 错误!未定义书签。

2 木马病毒的概况................................. 错误!未定义书签。

2.1 木马病毒的定义............................ 错误!未定义书签。

2.2 木马病毒的概述............................ 错误!未定义书签。

2.3 木马病毒的结构............................ 错误!未定义书签。

2.4 木马病毒的基本特征........................ 错误!未定义书签。

2.5木马病毒的分类............................. 错误!未定义书签。

2.6木马病毒的危害............................. 错误!未定义书签。

3 木马程序病毒的工作机制......................... 错误!未定义书签。

3.1 木马程序的工作原理........................ 错误!未定义书签。

3.2 木马程序的工作方式........................ 错误!未定义书签。

4 木马病毒的传播技术............................. 错误!未定义书签。

4.1 木马病的毒植入传播技术.................... 错误!未定义书签。

4.2 木马病毒的加载技术........................ 错误!未定义书签。

4.3 木马病毒的隐藏技术........................ 错误!未定义书签。

木马分析报告

木马分析报告

木马分析报告1. 引言木马(Trojan),又称为“特洛伊木马”,是指通过伪装成正常合法程序或文件进入目标系统,并在未被用户察觉的情况下,对系统进行非法操作的恶意软件。

木马程序的存在给系统安全带来了重大威胁,因此,对木马进行深入分析和研究十分必要。

本文将对一款木马进行分析,并对其传播方式、特征和危害进行探讨。

2. 木马的传播方式木马程序主要通过以下几种方式进行传播: 1. 邮件附件:木马程序常常伪装成诱人的附件,通过邮件发送给用户,一旦用户点击或下载附件,木马程序就会悄悄安装和运行。

2. 网络下载:用户在未经过恶意网站的仔细筛选的情况下,下载了含有木马的软件或文件,木马程序就会被安装到用户的系统中。

3. 可移动存储介质:如U盘、移动硬盘等存储介质中含有木马程序,只要用户将这些介质连接到自己的电脑上,木马程序就会被植入系统。

4. 动态链接库:木马程序可能会以DLL(Dynamic-Link Library)的形式出现,通过注入到正常进程中,实现对系统的控制。

3. 木马的特征为了能够更好地进行木马防护,我们需要了解木马的一些特征: 1. 欺骗性:木马程序通常伪装成合法可信的程序或文件,例如常见的.exe、.doc、.pdf等,以迷惑用户进行安装或下载。

2. 启动项修改:木马程序常常会修改系统的启动项,以保证自己能够在系统启动时自动运行,从而实现长期隐藏控制。

3. 远程控制:木马程序通常与远程服务器建立连接,以便黑客能够远程控制被感染的系统,进行各种操控、监控和窃取敏感信息等操作。

4. 系统资源占用增加:木马程序运行时会消耗大量系统资源,例如CPU和内存,从而降低系统的整体性能。

5. 网络流量增加:木马程序会通过网络上传、下载数据,导致网络流量明显增加,对网速造成影响。

4. 木马的危害与预防木马程序给系统带来的危害非常严重,包括但不限于以下几个方面: 1. 数据窃取:木马程序可以利用系统权限,窃取用户的个人隐私数据,例如登录名、密码、银行账号等。

毕业论文木马病毒分析

毕业论文木马病毒分析

毕业论文木马病毒分析随着计算机与网络技术的发展,个人电脑和互联网在人们的日常生活中占据了越来越重要的位置。

但是,随着网络和计算机技术的快速发展,黑客和计算机病毒的数量也不断增加,给我们的计算机和互联网使用带来了很大的威胁。

在这种情况下,研究计算机病毒的原理和特征,在保护计算机安全方面具有特殊的意义。

因此,本文就木马病毒进行了研究和分析。

一、木马病毒的概念及特征木马病毒是指那些以其他程序为外壳进行自身隐藏的恶意程序,通常它们伪装成正常的、合法的程序,被用户误认为是合法的,从而达到了攻击的目的。

木马病毒一般都具有以下特点:1.潜伏性木马病毒的宿主可以是任何一个文件,因此木马病毒具有极高的潜伏性。

木马病毒一旦被宿主程序感染成功,就可以隐蔽地运行在系统中,一般用户很难发现。

2.渗透性木马病毒通常会利用系统漏洞等方式,渗透到受害系统内部,获取系统权限,从而实现对系统的控制。

3.多样性木马病毒有多种类型,每种类型有着不同的传播方式和攻击方式,其多样性使得木马病毒更加难以被发现和清除。

4.攻击目的性木马病毒可以用于窃取用户的敏感信息,也可以用于破坏系统、传播病毒等攻击目的。

二、木马病毒的传播方式木马病毒有多种传播方式,下面介绍几种常见的传播方式。

1.网络攻击黑客可以通过远程攻击利用系统漏洞,将木马病毒传播到受害者的计算机上。

2.社交网络黑客可以通过社交网络发送木马病毒链接或伪装成正常的文件或图片,通过欺骗用户的方式传播木马病毒。

3.邮件传播黑客可以通过发送伪装成正常的邮件附件等方式,将木马病毒传播到受害者的电脑上。

三、木马病毒的危害1.窃取用户信息木马病毒可以通过记录键盘输入等方式,窃取用户的敏感信息,如用户的用户名和密码等。

2.破坏系统木马病毒可以通过修改系统配置文件等方式,破坏系统的稳定性和安全性,使得系统出现崩溃等问题。

3.传播病毒木马病毒可以通过篡改系统安全设置等方式,传播病毒,导致计算机网络的瘫痪。

木马行为分析报告

木马行为分析报告

“木马行为分析”报告一、木马程序概述在计算机领域中,木马是一类恶意程序。

一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。

(1)硬件部分:建立木马连接所必须的硬件实体。

控制端:对服务端进行远程控制的一方。

服务端:被控制端远程控制的一方。

INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。

(2)软件部分:实现远程控制所必须的软件程序。

控制端程序:控制端用以远程控制服务端的程序。

木马程序:潜入服务端内部,获取其操作权限的程序。

木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。

(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。

控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。

控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。

1、木马的定义木马是隐藏在合法程序中的未授权程序,这个隐藏的程序完成用户不知道的功能。

当合法的程序被植入了非授权代码后就认为是木马。

木马是一个用以远程控制的c/s程序,其目的是不需要管理员的准许就可获得系统使用权。

木马种类很多,但它的基本构成却是一样的,由服务器程序和控制器程序两部分组成。

它表面上能提供一些有用的,或是仅仅令人感兴趣的功能,但在内部还有不为人所知的其他功能,如拷贝文件或窃取你的密码等。

严格意义上来说,木马不能算是一种病毒,但它又和病毒一样,具有隐蔽性、非授权性以及危害性等特点,因此也有不少人称木马为黑客病毒。

2、木马的分类木马的种类很多,主要有以下几种:其一,远程控制型,如冰河。

远程控制型木马是现今最广泛的特洛伊木马,这种木马起着远程监控的功能,使用简单,只要被控制主机联入网络,并与控制端客户程序建立网络连接,控制者就能任意访问被控制的计算机。

其二,键盘记录型。

键盘记录型木马非常简单,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里进行完整的记录,然后通过邮件或其他方式发送给控制者。

对有关病毒木马的案例分析

对有关病毒木马的案例分析

对有关病毒木马的案例分析通过学习网络安全法律法规,我们对“大小姐木马”与“熊猫烧香病毒”做出了学习与分析。

一、“大小姐”病毒起因与发展。

2008年5月6日,南京市公安局网络警察支队接江苏省水利厅报案称,该厅政务网站“江苏水利网”页面无法打开,怀疑疑被黑客侵入。

据了解,江苏省水利厅网站主要承担公文办理、汛情下达等重要任务,日访问量在5000人次。

当时,江苏全省已进入汛期,该网站能否正常运行将直接影响全省防汛工作。

南京市公安局网络警察支队将其立为破坏计算机信息系统案侦查,并迅速会同鼓楼公安分局抽调精干警力,成立“5·6”专案组。

攻击是为植入“大小姐”木马专案组围绕省水利厅网站被黑客攻击案,迅速开展勘查取证、侦查侦控、追查抓捕等侦查工作。

去年5月14日至6月6日,专案组在湖北宜昌、广西桂林、湖北潜江等地抓获何某等6名犯罪嫌疑人,成功侦破水利厅网站被攻击案。

在侦破水利厅网站被攻击案件过程中,专案组发现,这些人攻击水利厅网站的目的,是为了在该网站上植入一款名为“大小姐”的木马盗号程序。

而这个“大小姐”木马早已臭名昭著,不少网络游戏账号均被该木马程序盗取过。

这一情况引起公安部高度重视,公安部指定南京市公安局管辖此案,并于7月1日挂牌督办本案。

专案组经艰苦工作,分别于6月13日在上海、6月24日在四川广元、绵阳、10月10日在湖南长沙抓获了制作、传播“大小姐”系列木马,破坏计算机信息系统犯罪团伙的组织者王某、作者龙某及销售总代理周某等10人。

犯罪嫌疑人王某以牟利为目的,自2006年下半年开始,雇用犯罪嫌疑人龙某先后编写了四十余款针对国内流行网络游戏的盗号木马。

王某拿到龙某编写的木马程序后,对外谎称为自己所写,同时寻找代理人进行销售,先后通过周某等人在网上总代理销售木马,该木马系列在传播销售时被命名为“大小姐”木马。

购买了“大小姐”木马的犯罪嫌疑人,则分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻西游”等网络游戏进行盗号。

电脑中病毒或木马后的表现

电脑中病毒或木马后的表现

电脑中病毒或木马后的表现目前计算机病毒的种类很多,计算机感染病毐后所表现出来的症状也各不相同。

下面是店铺跟大家分享的是电脑中病毒或木马后的表现,欢迎大家来阅读学习。

电脑中病毒或木马后的表现方法/步骤1.计算机操作系统运行速度减慢或经常死机win7系统运行缓慢通常是计莽机的资源被大量消耗。

有些病毒可以通过运行自己,强行占用大量内存资源,导致正常的系统程序无资源可用,进而操作系统运行速度减慢或死机。

2.系统无法启动系统无法启动具体症状表现为开机有启动文件丢失错误信息提示或直接黑屏。

主要原因是病毐修改r硬盘的引导信总1或删除了某些启动文件。

以“系统启动文件丟失错误提示”为例介绍,计算机圮动之后会出现以下提示信息。

3.文件打不开或被更改图标很多病毐可以直接感染文件,修改文件格式或文件链接位置,让文件无法正常使用一时的“熊猫烧香”病毒就属于这一类,它可以让所有的程序文件图标变成一只烧香的熊猫阁标。

4. 提示硬盘空间不足在硬盘空间很充足的情况下,如果还弹出提示硬盘空间不足,很可能是中了相关的病毒。

但是打开硬盘查看并没有多少数据。

这一般是病毒复制了大址的病毒文件在磁盘中,而且很多病毒可以将这些复制的病莓文件隐藏。

5. 数据丢失有时候用户杳看A d刚保存的文件时,会突然发现文件找不到了。

这一般是被病毐强行删除或隐藏。

这类病毒中,最近儿年最常见的是“U盘文件央病毒”。

感染这种病毐后,U盘中的所有文件夹会被隐藏,并会內动创建出一个新的同名文件夹,新文件夹的名字后而会多一个“.exe”的后缀。

当用户双击新出现的病毒文件央时,用户的数据会被删除掉,所以在没有还原用户的文件前,不要单击病毒文件夹。

6. 计算机屏幕上出现异常显示计算机屏幕会出现的异常显示有很多,包括悬浮广告、异常图片等。

以中奖广告为例进行介绍,计算机屏幕上会出现如下广告对话框。

计算机木马分析

HKEY_CLASSES_ROOT\txtfile\shell\open\command
Sysexplr.exe %1
4、共享硬盘数据 Windows9X: HKEY_LOCAL_MACHINE\SOFTWARE\Micro soft\Windows\CurrentVersion\Network
Windows2000/NT/XP: HKEY_LOCAL_MACHINE\SYSTEM\ControlS et001\Services\lanmanserver\Shares
三、木马攻击的手段:
1、修改系统文件 A、在win.ini文件中加载
Load= Run= 正常情况下两项为空 这两项分别用来当系统启动时自动运行和加载 程序的 B、在System.ini文件中加载 shell=Explorer.exe
2、修改系统注册表
HKEY_CURRENT_USER\Software\Microsoft\Win dows\CurrentVersion\Run
清除方法:
1. 删除C:\Windows\system下Kernel32.exe和Sysexplr.exe文件;
2. 注册表 HKEY_LOCAL_MACHINE\software\microsoft\windows\ CurrentVersion\Run下键值为 C:\windows\system\Kernel32.exe,删除;
组成
Server(运行于被控制计算机上) Client(安装在控制计算机上)
一个木马工作首先必须满足两个条件:
一 是服务端已安装了木马程序; 二 是控制端、服务端都要在线 。
二、表现症状:
1、通常表现为蓝屏然死机; 2、CD-ROM莫名其妙地自己弹出; 3、鼠标左右键功能颠倒或者失灵或文件被删除; 4、时而死机,时而又重新启动; 5、在没有执行什么操作的时候,却在拼命读写硬盘; 6、系统莫明其妙地对软驱进行搜索; 7、没有运行大的程序,而系统的速度越来越慢,系统资

常见的计算机病案例分析

常见的计算机病案例分析计算机病毒是指一种能够在计算机系统中快速传播、破坏系统功能并且自我复制的恶意软件,给计算机系统和用户带来不同程度的危害。

随着计算机技术的不断发展,各种类型的计算机病毒层出不穷。

本文将对常见的计算机病毒案例进行分析,以便更好地了解计算机病毒的特点和防范措施。

一、蠕虫病毒案例分析蠕虫病毒是一种能够自我复制并在计算机网络中传播的恶意软件。

2001年,“伊洛扎病毒”(ILOVEYOU)的爆发就是蠕虫病毒的典型案例。

该病毒通过电子邮件发送,并自动复制并发送给用户的联系人。

一旦用户打开这个附件,病毒就会释放并开始传播,导致大量计算机系统瘫痪。

针对蠕虫病毒的防范措施主要包括及时更新杀毒软件和系统补丁、不随意打开陌生邮件和链接、加强用户教育等。

此外,建立健全的网络安全策略和完善的防火墙也是重要的预防措施。

二、木马病毒案例分析木马病毒是一种隐藏在合法软件中的恶意代码,通过欺骗用户而进行自我复制和传播。

2005年,“黑客之门”(Blackhole)木马病毒的出现引起了广泛的关注。

该病毒通过网络攻击获取用户终端的控制权,窃取用户的隐私信息和敏感数据。

预防木马病毒的关键是提高用户的信息安全意识和加强软件来源的可信度。

用户应避免下载未知来源的软件,及时更新操作系统和应用程序,并通过安装防病毒软件和防火墙等安全工具进行保护。

三、病毒勒索案例分析病毒勒索是指黑客利用恶意软件对计算机进行攻击,并要求用户支付“赎金”以解密或恢复文件和数据的过程。

2017年,“勒索病毒WannaCry”(WannaCry)的爆发引起了全球范围内的恶性感染。

该病毒通过利用操作系统漏洞进行攻击,并迅速传播至全球数十万台计算机。

预防病毒勒索的关键是定期备份重要数据和文件,并使用强密码对其进行保护。

此外,及时安装系统补丁和防病毒软件、禁用不必要的网络服务和端口也是必要的防范措施。

四、间谍软件案例分析间谍软件是一种监视用户计算机活动并收集用户隐私信息的恶意软件。

木马及行为分析。蒲杨


伪装方式
• • • • • • (1)修改图标 (2)捆绑文件 (3)出错显示 (4)定制端口 (5)自我销毁 (6)木马更名
木马运行过程
• 木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立 连接。这时服务端用 户可以在MS-DOS方式下,键入NETSTAT -AN查看端 口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放, 你就要注意是否感染木马了。下面是电脑感染木马后,用NETSTAT命令查 看端口的两个实例: 其中①是服务端与控制端建立连接时的显示状态,②是服务端与控制端 还未建立连接时的显示状态。 在上网过程中要下载软件,发送信件,网上聊天等必然打开一些端口, 下面是一些常用的端口: (1)1---1024之间的端口:这些端口叫保留端口,是专给一些对外通讯的 程序用的,如FTP使用21, SMTP使用25,POP3使用110等。只有很少木马 会用保留端口作为木马端口 的。 (2)1025以上的连续端口:在上网浏览网站时,浏览器会打开多个连续的 端口下载文字,图片到本地 硬盘上,这些端口都是1025以上的连续端口。 (3)4000端口:这是OICQ的通讯端口。 (4)6667端口:这是IRC的通讯端口。除上述的端口基本可以排除在外, 如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑 是否感染 了木马,当然如果木马有定制端口的功能,那任何端口都有可能是木马端口。
完整的木马系统
• 一个完整的木马系统由硬件部分,软件部 分和具体连接部分组成。 • (1)硬件部分:建立木马连接所必须的硬 件实体。 • (2)软件部分:实现远程控制所必须的软 件程序。 • (3)具体连接部分:通过INTERNET在服 务端和控制端之间建立一条木马通道所必 须的: • (1)通过E-MAIL,控制端将木马程序以附 件的形式夹在邮件中发送出去,收信人只 要打开附件系统就会感染木马; • (2)通过软件下载,一些非正规的网站以 提供软件下载为名义,将木马捆绑在软件 安装程序上,下载后,只要一运行这些程 序,木马就会自动安装。

木马病毒原理及特征分析PPT演示课件

通过提供软件下载的网站(Web/FTP/BBS)传播
木马程序一般非常小,只有是几K到几十K,如果把木马捆绑到 其它正常文件上,用户是很难发现的,所以,有一些网站被人 利用,提供的下载软件往往捆绑了木马文件,在用户执行这些 下载的文件的同时,也运行了木马
通过一般的病毒和蠕虫传播
通过带木马的磁盘和光盘进行传播
2.记录各种口令信息:包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框 中出现过的口令信息;
3.获取系统信息:包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前 显示分辨率、物理及逻辑磁盘信息等多项系统数据;
4.限制系统功能:包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册 表等多项功能限制;
木马病毒的原理及特征分 析
08:47:32
1
特洛伊木马的定义
特洛伊木马(Trojan Horse),简称木马,是一 种恶意程序,是一种基于远程控制的黑客工具, 一旦侵入用户的计算机,就悄悄地在宿主计算 机上运行,在用户毫无察觉的情况下,让攻击 者获得远程访问和控制系统的权限,进而在用 户的计算机中修改文件、修改注册表、控制鼠 标、监视/控制键盘,或窃取用户信息
08:47:32
18
特洛伊木马技术的发展
木马的发展及成熟,大致也经历了两个阶段 Unix阶段 Windows阶段
木马技术发展至今,已经经历了4代 第一代木马
只是进行简单的密码窃取、发送等,没有什么特别之处
第二代木马
在密码窃取、发送等技术上有了很大的进步,冰河可以说是国内木马 的典型代表之一
Infis作为内核模式驱动程序驻留内存,并且挂钩文件 操作,它能够在文件打开时立即感染该文件。
安装程序把病毒拷贝到系统内存中,并在系统注册表 中添加该病毒的注册项。该病毒把自己的可执行代码 连同自己的PE文件头一起追加到目标文件的末尾, 然后从自己代码中提取出一个名为INF.SYS的独立驱 动程序,把这个程序保存在%SystemRoot%\ system32 \drivers目录下,修改注册表,保证下一次 系统启动时病毒也能够进入运行状态。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

学号:***********院系:诒华学院成绩:西安翻译学院XI’AN FANYI UNIVERSITY毕业论文题目:网络木马病毒的行为分析专业:计算机网络技术班级:103120601*名:******师:***2013年5月目录1 论文研究的背景及意义...................................................................................... - 3 -2 木马病毒的概况 .................................................................................................. - 4 -2.1 木马病毒的定义......................................................................................... - 4 -2.2 木马病毒的概述......................................................................................... - 4 -2.3 木马病毒的结构......................................................................................... - 4 -2.4 木马病毒的基本特征................................................................................. - 5 -2.5木马病毒的分类.......................................................................................... - 5 -2.6木马病毒的危害.......................................................................................... - 6 -3 木马程序病毒的工作机制.................................................................................. - 6 -3.1 木马程序的工作原理................................................................................. - 6 -3.2 木马程序的工作方式................................................................................. - 7 -4 木马病毒的传播技术.......................................................................................... - 7 -4.1 木马病的毒植入传播技术......................................................................... - 8 -4.2 木马病毒的加载技术................................................................................. - 9 -4.3 木马病毒的隐藏技术................................................................................ - 11 -5 木马病毒的防范技术......................................................................................... - 11 -5.1防范木马攻击............................................................................................. - 11 -5.2 木马病毒的信息获取技术...................................................................... - 12 -5.3 木马病毒的查杀...................................................................................... - 12 -5.4 反木马软件............................................................................................... - 12 -6 总结 .................................................................................................................... - 13 -网络木马病毒的行为分析彭蕊蕊西安翻译学院诒华学院计算机网络技术 103120601摘要:随着计算机网络技术的迅速发展和普及,Internet网络使得全世界的人们可以自由的交流和分享信息,极大的促进了全球一体化的发展。

但是人们在交往的同时也面临着网络安全的隐患,每天分布在世界各地的计算机无时无刻不在遭受计算机病毒的攻击。

其中有一种与病毒相似但有所区别的、基于远程控制的、具有很强的隐蔽性和危害性的工具,这就是特洛伊木马程序。

关键词:“木马”病毒,恶意程序,危害,防范1 论文研究的背景及意义随着互联网技术的发展和普及,计算机网络得到了广泛应用,利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势,人们日常的经济和社会生活也越来越依赖互联网。

但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁,例如黑客攻击,计算机病毒、特洛伊木马泛滥等。

研究在目前开放的网络环境下,如何保证自己的信息安全就显的非常重要。

特洛伊木马(简称木马)是一种具有运行非预期或未授权功能的程序,例如可以记录用户键入的密码,远程传输文件,甚至可以完全远程控制计算机等。

一般黑客在攻击目标得手之后,就会在主机上安装后门,即特洛伊木马。

特洛伊木马可以在用户毫不知情的情况下泄漏用户的密码、用户的秘密资料等,甚至可以远程监控用户的操作,因此,某些行业,如国防、外交和商务部门,特洛伊木马的危害性更大,一旦这些部门被安装了木马,损失就会非常惨重。

人们常常将特洛伊木马看成是计算机病毒,其实,它们之间还是有比较大的区别的。

计算机病毒具有数据的破坏性,而特洛伊木马最大的危害在于数据的泄密性,当然不乏有将病毒技术和木马技术结合使用的恶意软件,即利用病毒的传染性使较多的计算机系统植入木马。

但特洛伊木马本身一般没有复制能力,不会感染其他的寄宿文件,一般在同一台主机上只有一个特洛伊木马。

而病毒具有传染性,会不断感染其他的同类文件,在同一台主机上,会出现很多被感染的文件。

而目前,人们对计算机病毒的研究比较多,而对特洛伊木马的研究要相对滞后。

许多的反病毒软件也声称能反特洛伊木马,但是,现在的大多数反病毒软件采用的是特征码检测技术,即抽取各种计算机病毒和特洛伊木马等恶意代码样本中的特征码,放入病毒库中,将待检测的软件与病毒库中的特征码比较,如果吻合则判断为恶意代码。

特征码技术对于检测已知恶意代码,非常快捷有效,但是对于检测未知的恶意代码则无能为力。

反病毒软件的检测能力总是落后于新的恶意代码的出现的,在这个时间差内,新的恶意代码可能就会泛滥,造成重大损失,特征码技术的这种局限性就决定了其滞后性。

在网络攻击与安全防范日益激烈的对抗中,特洛伊木马攻击技术在不断地完善。

现在特洛伊木马攻击手段已成为网络攻击的最常用、最有效的手段之一,是一系列网络攻击活动中重要的组成部分,严重地威胁着计算机网络系统的安全。

网络安全迫切需要有效的木马检测防范技术。

2 木马病毒的概况2.1 木马病毒的定义木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序。

它利用自身所具有的植入功能,或依附其它具有传播能力病毒,或通过入侵后植入等多种途径,进驻目标机器,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的各种敏感信息,接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等。

2.2 木马病毒的概述木马病毒和其他病毒一样都是一种人为的程序,都属于电脑病毒。

大家都知道以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或是为了炫耀自己的技术。

木马病毒则不一样,它的作用是赤裸裸的偷偷监视别人的所有操作和盗窃别人的各种密码和数据等重要信息,如盗窃系统管理员密码搞破坏;偷窃ADSL上网密码和游戏帐号密码用于牟利;更有甚者直接窃取股票帐号、网上银行帐户等机密信息达到盗窃别人财务的目的。

所以木马病毒的危害性比其他电脑病毒更加大,更能够直接达到使用者的目的!这个现状就导致了许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马病毒泛滥成灾的原因。

鉴于木马病毒的这些巨大危害性和它与其他病毒的作用性质的不一样,所以木马病毒虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来,独立地称之为“木马病毒”程序。

2.3 木马病毒的结构在计算机领域中,木马是一类恶意程序。

一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。

(1)硬件部分:建立木马连接所必须的硬件实体。

控制端:对服务端进行远程控制的一方。

服务端:被控制端远程控制的一方。

INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。

(2)软件部分:实现远程控制所必须的软件程序。

控制端程序:控制端用以远程控制服务端的程序。

木马程序:潜入服务端内部,获取其操作权限的程序。

木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。

(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。