浅谈计算机木马病毒的解析与防范

  • 格式:pdf
  • 大小:152.25 KB
  • 文档页数:2

54 福 建 电脑 201 1年第3期 

浅谈计算机木马病毒的解析与防范 

刘申晓 ,王艳杰 ,仝艳艳 (1、黄河科技学院信息工程学院实验教学中心河南郑州450000 2、黄河科技学院信息工程学院计算机科学系河南郑州450000 3、郑州大学西亚斯国际学院日语系河南新郑451150) 

【摘要】:随着电脑的普及和网络的迅猛发展,计算机木马病毒呈现愈演愈烈的趋势,严重地干扰了 正常的人类社会生活.给计算机系统带来了巨大的潜在威胁和破坏。为了确保信息的安全与畅通,从木马 的概念入手,分析计算杌木马病毒的内涵及特征,并对计算机木马病毒的发展方向进行分析,最后介绍计 算机常见木马病毒的查杀方法。 【关键词】:计算机木马病毒查杀 一、计算机木马病毒的内涵、特征 木马的全称叫做特洛伊木马,来源于希腊故事:特 洛伊木马。在计算机领域里面.叉被解释为非法命令、 病毒.一套隐藏在合法程序中的命令.指示计算机进行 不合法的运作 木马程序的本质就是一个远程控制软 件。其结构是一个标准的C/S(client/server)程序,其原 理是一台主机提供服务.另一台主机接受服务。 木马的两大特征: 1.隐蔽性 很多人的对木马和远程控制软件有点分 不清.实际上他们两者的最大区别就是在于其隐蔽性. 木马类的软件的server端在运行的时候应用各种手段 隐藏自己 2.功能特殊性 木马除了普通的文件操作以外,一 般还具有搜索cache中的口令、设置口令、扫描ip发现 中招的机器、键盘记录、远程注册表的操作、颠倒屏幕 以及锁定鼠标等功能比较特殊的操作.而远程控制软 件当然不会有这么多的特殊功能。 二、计算机木马病毒的发展方向 1.跨平台性:主要是针对windows系统而言,木马 可以在各种windOWs系统上使用.现在的一些木马也 的确做到了这一点。 2.模块化设计:似乎模块化设计是一种潮流, winamp就是模块化的典范.现在的木马也有了模块化 设计的概念.象bo.netbus,sub7等经典木马都有一些优 秀的插件在纷纷问世就是一个很好的说明。 3.更新更强的感染模式:传统的修改ini文件和注 册表的手法已经不能适应更加隐秘的需要.目前的很 多的木马的感染方式已经开始在悄悄转变.象病毒一 样感染windows下的文件 4.即时通知:现在的木马已经有了即时通知的功 能,如EMAIL通知等.即:当中招的计算机ip发生变化 时.木马可以用EMAIL方式自动通知入侵者。 三、计算机常见木马病毒及其查杀方法 l、冰河 冰河可以说是最有名的木马.冰河的服务器端程 序为G—server.exe.客户端程序为G—client.exe,默认连 接端口为7626 清除方法: f 1)删除C:\Windowsksystem下的Kernel32.exe和 Sysexplr.exe文件。 (2)冰河会在注册表HKEY—LOCAL_MACHINE ̄sof twarehnicrosofl\windows\CurrentVersion\Run下扎根,键 值为C:\wind0Ws\system\Kernel32.exe,删除它。 (3)在注册表的HKEY_LOCAL_MACHINEksoftware kmicrosofl\windows\CurrentVersion\Runservices下。还有 键值为C:\windowsksystemkKeme132.exe的.也要删除。 (4)最后,改注册表HKEY_CLASSES_ROO'IXtxtfile kshell\open\command下的默认值.由中木马后的C: \windowsksystem ysexplr.exe%1改为正常情况下的C: \windowsknotepad.exe%1.即可恢复TXT文件关联功 能 2、广外女生 广外女生是广东外语外贸大学”广外女生”网络小 组的处女作.是一种新出现的远程监控工具。 清除方法: (1)由于该木马程序运行时无法删除该文件,因此 启动到纯DOS模式下.找到System目录下的DIAGFG. EXE。删除它: (2)由于DIAGCFG.EXE文件已经被删除了,因此 在Wind0ws环境下任何.exe文件都将无法运行。我们 找到Windows目录中的注册表编辑器”Regedit.exe”。将 它改名为”Regedit.COB”: (3)回到WindOWs模式下,运行Windows目录下的 Regedit.com程序(就是我们刚才改名的文件);

 201 1年第3期 福建 电脑 55 (4)找到HKEY CLASSES ROOT ̄exefile\shell\open\ command.将其默认键值改成”%1”%¥; f5)找到HKEY LOCAL MACHINEkS0兀WARE\ Microsoft\Windows\CurrentVersion\RunServices.删除其 中名称为”Diagnostic Configuration”的键值: (6)关掉注册表编辑器,回到Windows目录,将” Regedit.con”改回”Regedit.exe”.即可。 3、黑洞2001 黑洞2001是国产木马程序.默认连接端口2001。 清除方法: f1 1将HKEY CLASSES ROOT ̄txtfile\shell\open\com mand下的默认键值由S SERVER.EXE%1改为C: \WINDOWS\N0TEPAD.EXE%1 f21将HKEY L0CAL MACHINEkSoftware\CLASSE S\txtfile\shell\open\COmmand下的默认键值由S SERV— ER.EXE%1改为C:\WINDOWS\NOTEPAD.EXE%1 r31将HKEY LOCAL MACHINEkSoftware\Microsofl\ Windows\CurrentVersion\RunServiees\下的串值win. dows删除 f41将HKEY CLASSES ROOT和HKEY L0CAL MACHINE\Soffware\CLASSES下的Winvxd主键删除 (51到C:\WINDOWSkSYSTEM下,删除windoWs.exe 和S Server.exe这两个木马文件 要注意的是如果已经 中了黑洞2001.那么windows.exe这个文件在windoWs 

(上接第56页) 环境下是无法直接删除的.这时我们可以在DOS方式 下将它删除.或者用进程管理软件终止windows.exe这 个进程.然后再将它删除即可。 上面介绍的国内最流行三大木马.都是按默认情 况下来讲的.也就是在服务端没有被配置f服务端配置 后,就可以任意改名、改连接端口、改关联文件……)的 情况下来讲的,但万变不离其宗,掌握了上面的方法, 木马再怎么隐藏也能被发现!从上面我们所讲,不难看 出.木马的隐蔽之所无非就是注册表、Win。ini、System. ini Autoexec.bat Congfig sys Winstart bat Wininit ini 启动组等地方,只要你小心仔细.查杀木马也不难! 

参考文献: [1】韩莜卿.计算机病毒分析与防范大全【M】.北京:电子工业出版 社.2006. 【2】吴世昌.清除杀毒软件不能删除的木马病毒.石油工业计算机 应用,2007,6 【3】谢玉榕.论计算机木马病毒的分析与防治.电脑知识与技术, 2008,9 【4】张淑萍.浅析木马病毒的清除与防御.计算机与网络,2009,1 【5】辛淑霞.解析木马病毒及其防范措施.电脑编程技巧与维护, 2010.7 

但效率较低,对数据量大的访问不适合。 本地API驱动方式:这种方式通过加载本地AH 访问数据库,如图4所示。特点是速度较快,但需要在 客户端装载相应的数据库厂商代码库.难以在网络上 应用。 

图3 JDBC一0DBC桥方式 图4本地API驱动方式 

图5网络协议驱动方式 图6本地协议方式 网络协议驱动:这种方式由客户端提供了一个网 络协议.JDBC驱动通过调用服务器上的中间件将请求 转化为相应的具体AH调用。如图5所示。其特点通过 服务器可以对多个数据库进行访问,但需要进行配置, 速度不是很快 本地协议驱动:这种方式可以保证客户端和数据 库之间直接通讯,如图6所示。其特点是访问速度快, 可以直接用Java实现.但对不同的数据库要求使用不 同的驱动程序 5、小结 MDAC技术是微软的统一化数据访问(Univergal Data Access)解决方案的内核组成;ADO.NET Entity Framework技术是基于微软公司.NET平台.用面向对 象的技术访问数据:JDBC技术是基于Java平台的数 据库访问技术。这些技术各有特色,保证了程序设计师 在不同环境下对数据库的访问 参考文献: 【1]http://zh.wikipedia.org/zh—cn/ADO.NET#_note一4 【2]http://support.microsoK.com/kb/1 90463/zh—cn [3]曾德胜,基于ADO的数据库操作技术研究Ⅱ],荆楚理工学院 学报。2009.7,Vo1.24 No.7:32-35 【4】翁小兰,基于ADO.NET的数据库访问技术研究Ⅱ】,石河子 大学学报(自然科学版),2006.8,Vo1.24 No.4:521—523 【5]http://msdn.microsoft.com/en-us/library/ms

973217