木马检测范文
时间:2023-10-01 07:07:54
木马检测篇1
关键词:
中图分类号: TP393 文献标识码:A 文章编号:2095-2163(2011)01-0032-03
0引言
随着计算机网络的普及与广泛应用,计算机网络信息系统已成为企业、院校、政府等各部门最重要的基础设施和信息交流工具。然而,目前的网络信息系统还存在严重的安全问题,木马、病毒等各种网络攻击行为正严重威胁着广大用户的数据和信息的安全。
木马是一种由攻击者秘密安装在受害者计算机上的窃听及控制的后门程序。
根据国家互联网应急中心(CNCERT/CC)自2011-01到2011-03以来的《网络安全信息与动态周报》,统计境内被木马控制的IP地址数量如下:1月份12万个,2月份13万个,3月份41.4万个。
由上述数据可知木马事件愈发猖獗,网络安全迫切需要快速有效的木马检测技术。
目前,主流的木马检测方法包括:端口识别[1]、注册表监控[2]、特征码检测[1]、静态文件信息检测[3]和内存完整性检测[4]等。但是上述方法都存在不足。端口识别的方法可以在一定程度上检测到木马,但高级木马程序都有在植入到目标系统前定制新的通信端口的能力,从而逃过这种方法的检测[1]。注册表监控方法很难发现诸如采用文件关联方法实现自动运行的木马,而对于只运行一次的木马,因其无需设置自动运行信息,无法使用该方法进行检测[2]。由于木马的种类日益增多,很难全面、准确地提取所有木马的特征码,所以基于特征码检测的方法存在明显的漏检问题[1]。静态文件信息检测是指在Windows环境下,根据从PE可执行文件中提取的静态信息判断文件是否为木马文件[3]。与特征码检测方法类似,该方法只有在拥有大量具有代表性的样本的情况下才能作为检测木马的有效方法,对新出现的木马容易出现漏检问题。内存完整性检测多是通过检测代码区块的完整性来判断木马的存在,但无法检测到改变内存其他区域的木马[4]。
针对上述检测方法的不足,现提出木马动态检测方法。该方法将行为分析与ID3算法产生的决策树相结合,将程序运行时的行为作为判定依据。
本文在Windows系统下实现了基于ID3决策树的木马动态检测系统。经测试,该决策树的准确率达到97.2%,错检率2.8%,漏检率0.0%,证明采用ID3决策树进行木马动态检测是可行的。
1ID3决策树
1.1ID3算法与木马动态检测
ID3算法的优点是实现简单,判定速度快。ID3算法的缺点主要是倾向于取值较多的属性,对噪声敏感[5]。但在本文的木马动态检测中,所有的判定属性均只有两个值:0和1;另外,木马文件跟正常文件相比,会出现正常文件所不会有的行为特点,即“噪声”,ID3算法对噪声敏感的特性有利于木马的检测。
选择使用行为分析进行木马动态检测是为了从根本上判断出文件是否合法。根据文件运行时的行为进行判断更有说服力。
将ID3算法与行为分析相结合就是为了能够快速、准确地进行木马动态检测。
1.2ID3决策树生成公式
下面介绍ID3算法公式的定义[6-7]。
定义1:若有n个消息,其给定的概率分布为p=(p1,…,pn),则该分布传递的信息量称为p的熵,记为
定义4:信息增益度的公式为:
Gain(X,T)=Info(T)-Info(X,T) (3)
1.3ID3决策树生成算法
通过学习ID3算法[8-9],现给出ID3决策树的生成算法。
算法:Generate_decision_tree(samples, attribute)。由给定的训练数据产生一棵判定树。
输入:训练样本samples,离散值;候选属性的集合attribute_list。
输出:一棵决策树。
算法伪代码:
Generate_decision_tree(samples, attribute_list)
(1)创建结点 N;
(2)ifsamples 都在同一个类C
thenreturn N 作为叶结点,以类C 标记;
endif
(3)ifattribute_list 为空
thenreturn N 作为叶结点,标记为 samples 中最普通的类;
else
(4)选择attribute_list 中具有最高信息增益的属性best_attr-ibute;
(5)标记结点 N 为best_attribute;
endif
(6)forbest_attribute 的每个属性值aiDo
(7)由结点 N 长出一个条件为 best_attribute = ai 的分枝;
(8)设si 是samples 中best_attribute =ai 的样本的集合;
(9)ifsi 中样本为同一类
then加上一个树叶,标记为 si中样本的类;
(10)else
加上一个由 Generate_decision_tree(si,attribute_list-best_attribute)返回的结点;
endif
endfor
2基于ID3决策树的木马动态检测系统的实现
2.1ID3算法训练数据的获取
本文主要研究Windows系统下的木马动态检测。所提到的木马文件均由国家互联网应急中心提供,类型有文本,文档,图片,音频文件,视频文件和邮件等,这些文件均嵌有不同类型的木马程序。
ID3决策树的建立需要训练样本和候选属性。本文中,将含有木马文件和正常文件作为训练样本,候选属性则是指样本运行时调用的API集合。
利用微软公司提供的开源Detours库对底层API进行拦截,就可以获知哪些API被调用,哪些API没有被调用,被拦截的API集合就是程序运行时的行为属性集合。为了便于利用样本运行后的行为数据计算出决策树的决策属性节点,用0和1代表API是否被调用:0代表没有调用,1代表被调用。样本运行前,所有被设置拦截的API都对应0;样本运行后,被拦截到的API对应的数值变成1。如100101代表API1、API4和API6被调用,API2、API3和API5没有被调用。
训练样本是有类别标识的,将所有样本文件运行结束后,就得到了建立决策树所需要的训练数据。
ID3算法需要的候选属性即所有被调用的API,这些属性均只有两个值:0和1。
2.2ID3决策树的建立
本文中,使用了300个木马文件,300个正常文件作为训练样本。设置拦截的API分为文件操作、网络通信、注册表操作、系统服务操作和进程线程操作五部分。
编程实现ID3算法,将样本文件运行后得到的训练数据经ID3算法的计算后,得到了有决定性意义的API,建立的决策树如下图1所示。
说明:单线箭头表示该API被调用,双线箭头表示该API未被调用。
尽管在使用Detours库时设置了对25个API的拦截(CopyFile、DeleteFile、MoveFile、CreateFile、WriteFile、Create-Process、CreateThread、TerminateProcess、RegSetValue、RegCr-eateKey、RegReplaceKey、ExitWindowsEx、ChangeSeric-eConfig、ClearEventLog、CreateService、DeleteService、socket、bind、send、sendto、connect、listen、recv、recvfrom、accept), 但由于每种API都不是独立出现的,如可能bind、connect和socket同时出现,RegSetValue、RegCreateKey和DeleteFile同时出现,CreateProcess和CreateThread同时出现,所以并不是所有的API在最终的决策树中都作为判定过程的一部分而出现。
2.3ID3决策树判定规则的应用
本文中,木马动态检测系统的判定规则就是图1中的决策树。通过Detours库对底层API进行拦截,拦截后得到的API通过该决策树的规则进行判定。
如:一个文件调用的API有Socket、CreateFile、WriteFile、 RegSetValue和RegCreateKey,判定过程就是:
第一步:DeleteFile为0,到Socket;
第二步:Socket为1,判定该文件是木马文件。
结束。
3基于ID3决策树的木马动态检测系统的测试
及结果
为了获得该决策树的性能,进行了测试,测试文件没有参加决策树的建立。参加测试的有250个木马文件,250个正常文件。木马文件的类型如2.1节所述。
测试环境是样本文件和木马动态检测程序。测试过程如下:检测程序依次自动运行样本文件,获得样本调用的API集合,将API集合利用决策树的判定规则进行判定。由于测试样本的类型是已知的,将判定结果与已知的样本类型进行比对,就可以得知判定结果是否正确。测试结果如表1所示。
虽然该决策树的准确率比较高,但也存在错检问题。分析错检原因主要有两个。一个原因是对于压缩包文件,打开时会调用CreateFile、WriteFile和DeleteFile,就导致了正常的压缩包文件被判定为了木马文件;另一个原因可能在于ID3算法是一种单变量决策树算法,忽略了属性间的相互联系[9]。另外还可能用于建立决策树的训练样本的种类不是足够多,可以使用更多种类的木马文件进行训练以得到更完善的决策树。
4结束语
本文总结了常用的木马检测方法的弊端,提出了行为分析与数据挖掘中的ID3决策树相结合的动态检测方法。首先得到包含木马文件和正常文件的训练样本的行为数据;编码实现了ID3算法;通过ID3算法对行为数据进行计算,得到了用于木马动态检测的决策树;将该决策树的判定规则嵌入到木马动态检测系统中,对未知的程序进行动态判定。最后,为了验证该决策树的判定能力,进行了验证测试。测试结果表明该决策树能有效地检测到木马文件。
下一步的研究重点是考虑各属性间的关联性,尽可能地减少相关度小的候选属性;收集更多的木马样本来进行决策树的训练和建立,进一步完善决策树。
参考文献:
[1] 陈桂清,伍乃骐,滕少华. 通过进程监视检测木马攻击[J]. 计算 机应用,2003,23(ll):130-133.
[2] 李伟斌,王华勇,罗平. 通过注册表监控实现木马检测[J]. 计算 机工程与设计,2006,27(l2):2220-2222.
[3] 戴敏,黄亚楼,王维. 基于文件静态信息的木马检测[J]. 计算机 工程,2006,32(6):198-200.
[4] 齐琪. 基于内存完整性的木马检测[D]. 武汉:华中科技大学,2006.
[5] 栾丽华,吉根林. 决策树分类技术研究[J]. 计算机工程,2004, 30(9):94-97.
[6] 黄晓芳. 数据挖掘中决策树算法及其应用[J]. 网络信息技术, 2005,24(2):36.
[7] 张维东,张凯,董青,等. 利用决策树进行数据挖掘中的信息熵 计算[J]. 计算机工程,27(3):71-72.
[8] 杨学兵,张俊. 决策树算法及其核心技术[J]. 计算机技术与发 展,2007,17(1):44-45.
木马检测篇2
关键词 木马 入侵 清除
随着社会信息化技术的发展,网络已成为人们生活中不可缺少的部分。人们在工作、学习和业余等时间运用电脑,在感受网络带来益处的同时,各种各样的病毒也让使用者头痛不已,木马病毒就是其中一种。有的黑客会利用木马来盗取计算机用户的隐私去谋取利益,这给人们的生活带来了巨大的损失和危害。木马是黑客最常用的基于远程控制的工具,目前比较有名的主要有:“冰河”、“黑洞”、“黑冰”、“Bo2000”等。计算机一旦被木马病毒侵入,可能会造成信息的丢失、系统的破坏甚至系统瘫痪,所以计算机的安全问题是目前急需解决的问题。
1 木马病毒
所谓木马(全称是特洛伊木马)是利用计算机程序漏洞侵入后窃取文件的程序,它是一种与远程计算机之间建立起连接,使远程计算机能够通过网络控制本地计算机的程序。它包含两部分:服务器和控制器,黑客利用控制器进入运行了服务器(被入侵的电脑)的计算机。运行了程序的服务器,其计算机就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入计算机系统。
2 木马病毒的入侵
木马入侵计算机,一般都要完成“向目标主机传播木马”、“启动和隐藏木马”、“建立连接”、“远程控制”等环节。它的入侵方式主要有:
(1)电子邮件传播。攻击者将木马程序伪装成邮件的附件发送出去,收件人只要打开附件系统就会感染木马;(2)网络下载传播。一些非正规的网站利用木马小的特点将木马捆绑在软件安装程序上提供给用户下载,只要用户一运行这些程序,木马就会自动安装;(3)远程入侵传播。黑客通过破解密码和建立IPC$远程连接后登录到主机,将木马服务端程序复制到计算机中的文件夹,然后通过远程操作来控制木马进而达到目的;(4)利用系统漏洞植入。有时候服务器会出现漏洞,黑客便利用这些漏洞将木马植入计算机。譬如MIME漏洞,因为MIME简单有效,加上宽带网的流行,令用户防不胜防;(5)修改文件关联。隐蔽是木马常用的攻击手段,它们通常采用修改文件打开关联来达到加载的目的。著名的木马冰河就是采用这种方式。
3 木马的检测
(1)进程和端口检测。木马一般是以exe后缀形式的文件存在,因此当木马的服务器端运行时,一定会出现在进程中。查看端口的方法一般有三种:使用Windows本身自带netstat的工具,命令是C:\> netstat -an ;使用Windows命令行工具fport,命令是E:\software>Fport.exe ;使用图形化界面工具Active Potrs,这个工具可以监视到计算机所有打开的TCP/IP/UDP端口,还可以显示所有端口所对应程序的所在的路径。
(2)检查Win.ini和System.ini系统配置文件。在win.ini文件中,[WINDOWS]下面如果“Run=”和“Load=”等号后面结果不是空的,很可能是计算机中了木马病毒。在System.ini文件中,[BOOT]下面“shell= 文件名”,如果不是“shell=Explorer.exe”,也很可能是中了木马病毒。
(3)查看启动程序。如果木马自动加载的文件是直接通过Windows菜单上自定义添加的,一般都会放在主菜单的“开始->程序->启动”处。检查是否有可疑的启动程序,便很容易查到是否中了木马。
(4)检查注册表。注册表中木马一旦被加载,一般都会被修改。一般情况修改HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN, HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN SERVICES,HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN。目录下,查看有没有不熟悉的扩展名为EXE的自动启动文件。
(5)使用检测软件。除了手工检测木马外,还可以通过各种杀毒软件、防火墙软件和各种木马查杀工具等检测木马。
4 木马病毒的清除
检测到计算机中了木马后,马上将计算机与网路断开,然后根据木马的特征来进行清除。清除方法有:
(1)停止可疑的系统进程。木马程序在运行时会在系统进程中留下痕迹,通过查看系统进程可以发现运行的木马程序。清除木马时,首先停止木马程序的系统进程,其次修改注册表,最后清除木马文件。
(2)用木马的客户端程序清除。查看系统启动程序和注册表是否存在可疑的程序后,判断是否中了木马,如果存在木马,则查出木马文件并删除外,同时将木马自动启动程序删除。
(3)杀毒软件和查杀工具。木马程序大部分都是利用操作系统的漏洞将木马加载到系统中,利用较好较新的杀毒软件加上补丁程序,可自动清除木马程序。常用杀毒软件包括Kill3000、瑞星、木马终结者等。
(4)手工清除。在不知道木马属于何种程序的情况下应用手工清除,打开系统配置实用程序对Win.ini、System.ini进行编辑,在Win.ini中将“Run=文件名”或“Load=文件名”更改为“Run= ”或“Load= ”, 在System.ini中将“Shell=文件名”更改为“Shell=Explorer.exe”,屏蔽非法启动项,用Regedit打开注册表的键值及注册项的默认值或正常值,删除木马。
5 QQ卓越木马的查杀程序设计
掌握了木马的入侵和检测等相关知识后,我们做了一个针对QQ卓越木马的杀毒程序。整个程序的查杀毒流程如图1所示。
该程序查杀过程,首先扫描内存,接着是系统目录,然后注册表,最后对硬盘进行扫描。
内存中扫描木马进程主要用到了自定义函数FindProcByName,进程扫描开始及结束都会在状态栏及查杀结果栏中显示相应信息。自定义函数FindProcByName应用CreateToolhelp32Snapshot获取进程快照,若列表中有进程存在,用Process32First获取第一个进程的信息,若进程文件名与木马进程名字相同,则记录木马EXE程序同时记录木马DLL的程序并把他们添加到查杀列表,循环比较列表中的每个进程。若停止的话就直接跳出杀毒程序。内存扫描完之后,如果发现内存中有卓越QQ木马时,找到该木马程序的执行程序所在目录,并检测此目录下有没有木马文件,若有则进行查杀。
接着扫描注册表。主要查看系统及用户启动项的Run键值下是否有卓越QQ木马键值,若有将其删除,同时将木马计数器TrojanCnt及注册表木马计数器RegTrojanCnt加一。然后查看是否有木马文件,若有木马文件,根据卓越QQ木马键值找到其真实路径,将其.exe及.dll程序添加到查杀列表,扫描并中止该木马进程后再删除木马文件。
最后扫描硬盘。要对硬盘进行木马查杀,找到文件,经判断如果为病毒文件,将木马计数器及硬盘木马计数器加一,然后将检测结果在查杀结果中显示出。用自定义函数Length,Copy、ScanDir、CompareFileNames可以实现。
6 结束语
木马检测篇3
【关键词】扫描 权限后门
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
1.特征匹配
找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等等。
2.统计分析
预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析
若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
1.行为监测法
由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。
监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
2.文件完备性检查
对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
3.系统快照对比检查
对系统中的公共信息,如系统的配置参数,环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。
4.虚拟机技术
通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
三、后门留置检测的常用技术
1.对比检测法
检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法
文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
3.系统资源监测法
系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源(例如网络、CPU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。
4.协议分析法
协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。
参考文献
[1]张普兵,郭广猛,廖成君.Internet中的电子欺骗攻击及其防范[J].计算机应用,2001,21(1):32-34.
木马检测篇4
随着计算机网络技术的迅速发展,网络安全问题已变得越来越受到人们的重视,网络攻击形式多种多样,很多蠕虫病毒、木马病毒等植入到某些网页中,给网络用户带来了很大的安全隐患,网页木马通过利用浏览器或插件的一些漏洞,在客户端下载并执行一些恶意程序进行网络攻击,它已经成为了目前恶意程序传播的一种重要方式,本文主要阐述了网页木马的机理和特点,重点分析了木马的检测以及木马的特征,并针对这些特点进行了一些相应防范对策的探讨。
【关键词】网页木马 木马机理 攻击 防范
由于网页木马制作简单、传播速度快、破坏力强。挂马形式多等原因,已经成为恶意程序传播中最常见的形式之一,给互联网用户造成严重的安全威胁。
目前国内外很多研究人员围绕网页木马的防御进行了深入的探讨与研究,同时攻击者也在采用一些更先进的手段来提高木马的攻击隐蔽性,用以提高木马的攻击成功率,因此,网页木马的机理与防范对策研究已成为了当前计算机工作者的一个重要课题。
1 网页木马工作机理与特征
(1)网页木马定义。网页木马是在宏病毒、木马等恶意代码基础上发展出来的一种新形态的恶意代码。类似于宏病毒通过Word 等文档中的恶意宏命令实现攻击。网页木马一般通过 HTML 页面中的一段恶意脚本达到在客户端下载、执行恶意可执行文件的目的,而整个攻击流程是一个“特洛伊木马式”的隐蔽的、用户无察觉的过程,因此,国内研究者通常称该种攻击方式为“网页木马”。
(2)网页木马典型攻击流程。网页木马采用的是一种被动的攻击模式,攻击者将网页木马部署在服务器端,被动的等待客户端发起访问请求,一旦有客户端访问攻击页面,服务器就将页面内容反馈给客户端,页面通过浏览器及插件漏洞将客户端攻破,进而下载、安装、执行恶意程序。其攻击流程图如图1。
(3)网页木马的漏洞利用机理。网页木马的漏洞利用机理主要是通过利用客户端浏览器以及插件的漏洞来获取攻击权限,一旦获取攻击权限后就会进行恶意程序的下载和执行。这些漏洞的脚本语言主要是JavaScript等,一方面在于浏览器提供了脚本语言与插件间进行交互的 API,攻击脚本通过畸形调用不安全的 API 便可触发插件中的漏洞;另一方面,攻击者也可以利用脚本的灵活特性对攻击脚本进行一定的混淆处理来对抗反病毒引擎的安全检查。网页木马利用的漏洞主要有两类,一类是任意下载 API 类漏洞,另一类是内存破坏类漏洞。
(4)网页木马涉及的关键手段。网页木马采用基于Web的客户端攻击方式,它作为一种新型的恶意代码,在结构和组成上与普通的病毒恶意代码有很大区别,在木马程序中,攻击者通常采用一些灵活多变的攻击技术和手段来提高网页木马的成功率和隐蔽性。攻击者通常采用“环境探测+动态加载”的模式来应对客户端环境的复杂多样性,采用一种all-in-one 的方式将针对不同漏洞的攻击代码全部包含进单个攻击页面中。但这种方式能使得浏览器反应迟缓,容易引起用户的察觉,为了提高攻击的隐蔽性和成功率,攻击者采用“一个探测页面+多个攻击脚本/攻击页面”的“环境探测+动态加载”模式,这种模式在提升攻击成功率的同时,也增加了攻击的隐蔽性和攻击效率。此外,网页木马还具有增强自身隐蔽性的手段,攻击者往往采用混淆免杀、人机识别、动态域名解析等一些技术手段来提升攻击的隐蔽性。
2 网页木马防范对策研究
根据网页木马的防范位置,可以从三个方面入手,它们分别是基于网站服务器端的网页挂马防范、基于的网页木马防范以及基于客户端网页木马防范。
(1)基于网站服务器端网页挂马防范。网站服务器端网页挂马防范是网页木马防范中的第一个环节,网站挂马的主要途径有:利用网站服务器系统漏洞、利用内容注入等应用程序漏洞、通过广告位和流量统计等第三方内容挂马等。利用网站服务器系统漏洞来进行攻击是一种常见的网页挂马途径,攻击者利用服务器的漏洞获取权限后,可以对页面进行篡改。因此,网站服务器应打好系统漏洞补丁,或按照一些入侵检测系统来防范这些木马程序的攻击。
3用网站服务器系统漏洞
(1)基于的网页木马防范。基于的网页木马防范是在页面被客户端浏览器加载之前,在一个 shadow 环境(即)中对页面进行一定的检测或处理。主要可以从几个方面着手:一是“检测-阻断”式的网页木马防范方法,这种方法是在处进行网页木马检测;二是基于脚本重写的网页木马防范方法;三是基于浏览器不安全功能隔离的网页木马防范方法。这种方法主要由来解析页面并执行脚本,它需要大量的时间,在实际应用中难以适应。(2)基于客户端网页木马防范。基于客户端网页木马防范主要应用在客户端,比较常见的方法有URL 黑名单过滤、浏览器安全加固、操作系统安全扩展等。通过Google来检测索引库中的页面,生成一个URL黑名单,然后Google的搜索引擎会将URL黑名单中的搜索结果进行标记。浏览器安全加固是通过在浏览器中增加一些检测功能来对浏览器进行安全加固,操作系统安全扩展主要用来阻断网页木马攻击流程中未经用户授权的恶意可执行文件下载、安装/执行环节。
4 总结
网络木马是恶意程序在网络中传播的一种常见方式,它主要是通过网络客户端对服务器的访问,利用系统安全漏洞隐蔽的将网页木马恶意程序植入到客户端,客户端通过浏览网页,执行恶意程序后感染木马病毒,给计算机用户带来严重危害,基于Web的被动攻击模式能将网页木马感染到大量的客户端,它具有隐蔽性高、传染快等特点,因此,安全研究人员必须对网页木马高度重视,应针对网页木马的机理、特征进行多方面的研究,才能针对其结果做出相应的防范措施,避免网页木马的扩散与传播,对于网络安全人员来说,网页木马的防范工作将是一项任重而道远的工作。
作者单位
木马检测篇5
一、快捷:快速修复系统漏洞
安装并运行金山卫士,如果第一次使用,金山卫士会对你的电脑进行一次安全体检,包括漏洞检测、恶意插件检测等数十项。检测完毕后,在软件主界面中,我们可以看到一些红色的提示,红色部分表示当前存在的一些安全隐患,比如发现系统漏洞、实时保护功能未开启等。(图1)
点击发现漏洞后面的“立即修复”链接,或者点击主界面上方的“修复漏洞”按钮,将会打开漏洞修复窗口,这里对漏洞安全等级进行了分类,包括严重、重要等几个等级,勾选相应的漏洞,之后点击下方的“立即修复”按钮即可快速进行漏洞修复。(图2)
在接下里的窗口中,我们可以看到,漏洞补丁在不断地下载,与此同时,下载完一个漏洞补丁后,将会自动进行补丁的安装,整个过程非常智能化,完全不用用户操心。(图3)
二、双引擎:木马查杀更可靠
金山卫士与其他安全软件不同,采用了双引擎的木马查杀方式,即通过云引擎和本地引擎来进行查杀。云引擎能查杀上亿已知木马,独有的本地V10引擎可全面清除感染型木马。具体操作如下:
首先,在软件首页的“双引擎杀木马”中,需要开启本地V10引擎,具体操作是点击首页上的“立即开启”链接即可。之后,金山卫士会下载本地V10引擎,从而实现双引擎查杀。(图4)
之后就可以点击主界面上的“查杀木马”按钮开始查杀了,在窗口中,我们可以看到,金山卫士查杀木马有两个窗口,左侧是云引擎在查杀木马,而右侧则为本地V10引擎查杀木马,通过双引擎方式查杀,更加可靠,不放过任何一个木马。(图5)
三、防挂马:网页防护让你省心
网页挂马是最近两年一些木马和恶意代码的新招,即将木马或者恶意代码嵌入到正常的网页中,让用户浏览网页时就不知不觉中招。网页挂马由于是嵌入普通网页中,因而具有很强的隐蔽性,而网页挂马通常还会选择一些大网站,因而浏览的用户也非常多,直接导致受害人群众多。
其实,面对这类问题,开启金山卫士的“网页防护”功能即可自动检测这些恶意网页,并提示用户不能访问,从而有效避开挂马网页。具体操作如下:
首先在软件主界面上点击“实时保护”下的“修改设置”,在打开的窗口中根据你的需要将实时防护的各项功能开启,包括漏洞防护、进程防护、关键位置防护、网页防护、U盘防护等,建议大家都开启。其中网页防护是金山卫士此次新增功能。(图6)
开启各项实时防护之后,窗口中的红色的提示将变成绿色了。这里我们在对网页防护功能进行测试,为此我们找到网友上网中遇到的恶意网站,然后在浏览器中正常打开这个网址,很快可以看到,金山卫士弹出一个提示窗口,表明当前网页中含有恶意程序,而且被识别为木马,建议用户“阻止并删除”。(图7)
看似非常复杂的网页挂马问题,金山卫士为广大用户解决了,大家只需要开启网页防护功能,之后按照通常的方式上网,一旦浏览有问题的网页,金山卫士就会提示你,非常简单。网页防护功能不仅支持IE,还支持搜狗、maxthon和TT浏览器等。
木马检测篇6
【关键词】 关木通 炮制品 马兜铃酸A
关木通为马兜铃科植物东北马兜铃Aristolochia manshuriensis Kom.的干燥藤茎,主要含马兜铃酸类化合物。近年来,关于马兜铃酸引起肾损害的报道较多,称之为马兜铃酸肾病[1]。虽然含马兜铃酸的中药肾毒性是确定无疑的,但同时该类中药使用历史悠久,疗效确切,临床使用广泛,如果因噎废食,采取一刀切的办法,全部取消含马兜铃酸中药在临床上的使用,既不可能,也不现实。中药的应用是以传统炮制和复方配伍为特色的。关于关木通的复方配伍降低毒性的研究目前有很多,但是用传统炮制方法是否能降低其毒性尚未见系统研究报道。为降低毒性,本实验以炒焦、滑石粉炒和麦麸炒这3种方法对关木通进行处理[2],并采用HPLC法测定了关木通药材及其炮制品中马兜铃酸A的含量,定量分析关木通炮制前后其马兜铃酸A的含量变化,从一个侧面探讨中药炮制理论的依据。
1 仪器与试药
日本岛津LC-10ADVP高效液相色谱仪,岛津SPD-10AVP紫外检测器,HW色谱工作站。甲醇为色谱纯,水为二次重蒸水,其余试剂均为分析纯。马兜铃酸A对照品(中国药品生物制品检定所,批号110746-200406);关木通药材经南京中医药大学药学院生药教研室王春根教授鉴定。
2 方法与结果
2.1 色谱条件 采用Lichrospher-C18柱(4.6 mm×200 mm,5 μm),流动相为甲醇-0.1%冰醋酸溶液(70∶30);流速1.0 ml/min;检测波长310 nm;柱温为30℃;进样20 μl。色谱图见图1~2。
图1马兜铃酸A对照品的HPLC图(略)
图2关木通药材的HPLC图(略)
2.2 溶液的制备
2.2.1 供试品及炮制品的制备 取关木通原药材,除去杂质,过40目筛。
炒焦:称取关木通饮片100.0 g,置炒制容器内,用中火加热,炒至表面焦黄或焦褐色,断面深黄色,有香气逸出,取出,晾凉,装至密封袋封口。
滑石粉炒:称取关木通饮片50.0 g,滑石粉20.0 g。先将滑石粉至热锅内,用中火加热炒至灵活状态时,投入关木通饮片,不断翻炒,炒至饮片表面颜色加深时,取出,筛去滑石粉,晾凉,装至密封袋封口。
麸炒:称取关木通饮片100.0 g,麦麸10.0 g。先将锅烧热,撒入麦麸,用中火加热,待冒烟时投入关木通饮片,不断翻炒,炒至深黄色时,取出,筛去麦麸,晾凉,装至密封袋封口。
2.2.2 对照品溶液的制备 精密称取在五氧化二磷干燥器中真空干燥至恒重的马兜铃酸A对照品适量,加甲醇溶解,制成每毫升含1.025 mg的溶液,作为母液。精密吸取1.025 mg/ml的母液4 ml,加甲醇定容至50 ml的量瓶,得0.082 mg/ml的对照品溶液,备用。
2.2.3 供试品溶液的制备 精密称取关木通样品粉末2 g,置圆底烧瓶中,加入甲醇30 ml/20 ml,水浴加热回流提取2次,第1次2 h,第2次1 h,滤过,合并滤液,回收甲醇后,定容至25 ml量瓶中;取1 ml并定容至10 ml量瓶中,即作为药材供试品溶液。按该法制得“2.2.1”项下3种炮制品的供试品溶液。每种供试品均按此法做3份。
2.3 线性关系考察 精密吸取浓度为0.082 mg/ml的对照品溶液1,2,3,4,5,6 ml,甲醇稀定容释至10 ml。在上述色谱条件下进样20 μl进行测定。以浓度C(μg/ml)为横坐标,以马兜铃酸A平均峰面积Y为纵坐标进行线性回归,得回归方程,C=4×10-5Y-0.466 5,r=0.999 8,线性范围是8.2~49.2 μg,结果表明马兜铃酸A在8.2~49.2 μg范围内线性关系良好。
2.4 精密度实验 精密吸取浓度为24.6 μg/ml的对照品溶液20 μl,连续进样5次,测得马兜铃酸A峰面积值的RSD为1.11%,结果表明精密度良好。
2.5 稳定性实验 精密吸取同一份药材供试液20 μl,分别于0,3,6,9,12,15 h进样,记录峰面积,其RSD为1.15%,结果表明在15 h内基本稳定。
2.6 重复性实验 精密称取同一批关木通药材2 g,共5份,用与“2.2.3”项下相同的方法制得供试液,测得的马兜铃酸A的含量RSD=2.80%,结果表明重复性良好。
2.7 加样回收率实验 精密称取已知含量的关木通药材1 g,共6份,分别置圆底烧瓶中,各精密加入一定量的马兜铃酸A对照,用与“2.2.3”项下相同的方法制得供试液。结果见表1。
表1 马兜铃酸A加样回收率实验结果(略)
2.8 药材及炮制品的测定精密吸取各供试液20 μl,注入液相色谱仪,各进3针,样品色谱图见附图用外标一点法计算含量(见表2)。由关木通生药材和炮制品含量测定结果计算,生药材与各炮制品之间马兜铃酸A含量有显著性差异(P
表2 关木通原药材及炮制品中马兜铃酸A的含量(略)
3 讨论
稳定性实验结果表明,供试品溶液立即测定与放置24 h后测定的相对标准差在测定误差范围内,供试液在24 h内是稳定的。
马兜铃酸是3,4-次甲二氧基-10-硝基-1-菲酸的衍生物,具有羧基[3]。本实验供试品图谱中主成分峰前有一杂质峰,最初采用甲醇-水作为流动相,结果峰形对称性不好,峰形宽,理论塔板数低,分离度达不到1.5以上,同一份样品多次进样重复性和稳定性差,加入冰醋酸后,分离度达到1.7,峰形可以得到改善,样品重复性好,稳定性好,随着甲醇的比例增大,保留时间缩短。本法简单,准确,快捷,可作为关木通药材中马兜铃酸A的含量测定方法。
关木通在中国有悠久的用药历史和坚实的临床基础,常配伍使用,几乎不单独应用。本实验中考察了关木通炮制前、后马兜铃酸A煎出量的变化,结果表明,炮制后马兜铃酸A的煎出量较炮制前关木通药材明显降低,从一个侧面说明了通过炮制降低关木通毒性的合理性。另外,这3种炮制方法均是以药化的角度来考虑的,但是药理上是否一致,还需要进一步的实验研究。
【参考文献】
[1] 蒋 晔,郝 福. HPLC测定关木通配伍前后马兜铃酸A煎出量的变化[J].华西药学杂志,2007,22(1):93.
[2] 龚千锋.中药炮制学[M].北京:中国中医药出版社,2003:307.
木马检测篇7
计算机病毒可分为:蠕虫病毒、木马病毒、宏病毒、引导型病毒和文件型病毒等。其中蠕虫病毒、木马病毒是目前网络上最为常见,且危害最大的两种病毒。
1)蠕虫病毒蠕虫病毒是一种破坏力巨大的网络病毒。2008年底互联网中大规模爆发的“扫荡波”病毒就是一种典型的蠕虫病毒,该病毒在给全球网络用户造成巨大损失的同时。它的主要特征包括:一是这种病毒与普通病毒不同,它一般不需要宿主文件,而是利用系统漏洞、网页和存储介质等。二是不断直接复制自身,在互联网环境下进行传播。三是传播目标不是计算机内的文件系统,而是互联网上的所有计算机、局域网中的共享文件夹、电子邮件、漏洞服务器等。由于传播方式多样,传播速度极快,所以在很短的时间内就能传遍整个互联网,给全球网络用户带来难以估量的损失。除“扫荡波”病毒外,2001年12月爆发的“求职信”蠕虫病毒,迄今已造成数百亿美元损失。2006年12月爆发的“熊猫烧香”病毒,造成国内数百万台电脑受到感染,作者李俊成为中国首个被捕入狱的病毒作者。2010年7月爆发的“超级工厂”病毒,造成45000个工业控制网络受到感染,并使伊朗核设施受到破坏,核发展计划被迫推迟,该病毒并称作首个应用于实战的“网络武器”。
2)木马病毒木马(Trojan)这个名字来源于古希腊“木马计”的传说。“木马”是目前网络上最为流行的病毒(感染比例接近60%)。著名的木马病毒有“冰河”、“灰鸽子”等。“灰鸽子”病毒通常有两个可执行程序:一个是客户端,即控制端,用以实现控制,另一个是服务端,即被控制端,用以植入被种着电脑,“服务端”不会像普通病毒那样自我繁殖,也不“刻意”去感染其它文件,而是通过自身伪装吸引用户下载执行。木马的服务一旦启动,其控制端将享有服务端的大部分操作权限,可以任意浏览、移动、复制、删除文件,可以远程操控被种着电脑,监视对方屏幕,记录键盘输入,修改注册表,更改计算机配置等。
3)宏病毒宏病毒是一种寄生在文档或模板的宏中的计算机病毒。若用户打开一个带毒的文档,病毒就会被激发,此后,病毒会驻留在公共模板(Normal.dot)中,所有自动保存的文档都会“感染”上这种宏病毒,而如果其他用户打开了染毒的文档,宏病毒又会转移到他的计算机上。
4)引导型病毒引导型病毒是利用系统引导区进行传播的病毒。正常情况 下,系统引导指令是存放在磁盘引导区中的,而被引导型病毒感染后,病毒会将其自身放在引导区中,而将真正的引导区内容搬家转移,待病毒程序执行后,再将控制权交给真正的引导区内容,此时这个带毒系统看似运转正常,实际上病毒已隐藏其中,伺机传染和发作。
5)文件型病毒文件型病毒将自己依附在可执行的文件中(通常是.com文件或.exe文件),当宿主程序被执行时,病毒会首先被执行,党病毒完成驻留内存等操作后,再将控制权交给宿主程序,著名的CIH病毒就是一种文件型病毒。
2计算机病毒防御
面对层出不穷的病毒,病毒防御就显得尤为重要,病毒防御通常包括:病毒的预防、检测和清除。
2.1病毒预防
病毒预防十分重要,但我们不得不承认,病毒有时确实“防不胜防”。以前,计算机存在的安全漏洞一般需要数周或数月的时间才能被黑客发现并加以利用。但目前,恶性程序会在安全补丁与瑕疵曝光的同一日内对计算机进行攻击,攻击速度逐渐加快,破坏性也越来越大。当一个安全漏洞刚刚时,多数用户还未打上补丁,此时病毒的传播将如入无人之境,普通用户无从预防。
2.2病毒检测
1)传统检测手段传统检测手段即特征值扫描技术,它是目前应用最广泛的病毒检测技术,这种检测技术就像是针对病毒的“人肉搜索”。它通过一一对比被检程序与病毒库中的特征值,来判断该目标是否被病毒感染。这种检测方法具有明显的缺陷:一是被动性、滞后性。很明显这种方法只能检测已知病毒,并且获取新病毒特征码需要复杂操作才能完成,特征码获取后,再给用户,需要一个过程,对于传播速度迅速,破坏力巨大的现代病毒来说,这种滞后有时将是致命的。而是免杀简单。黑客们不需要对病毒程序重新编写,只需经过修改病毒特征值,加壳等简单操作,就能够避免特征扫描的检测。
2)主动防御手段主动防御手段是在没有获得病毒样本之前检测和阻止未知病毒的运作的防毒防御方法。当前,主动防御技术主要有:虚拟机检测技术,在系统上虚拟一个操作环境,然后在这个虚拟环境下运行待检软件,在病毒现出原形后将其清除;启发式检测技术,采用智能启发式算法,分析文件代码逻辑结构师傅含有病毒特征,或者通过在虚拟安全环境中执行代码,根据程序行为判断是否存在病毒;沙盒检测技术,使用病毒防御程序接管与系统接口(API)相关的所有行为,使本机系统成为一个“沙盒”,让程序在“沙盒”中充分运行,当病毒真正出现后,对其进行清除,然后“沙盒”执行“回滚”机制,对病毒留下的痕迹进行彻底清除,让系统回复到原来的正常状态;云安全检测,通过网状的大量客户端对网络中软件异常行为进行监测,获取互联网中木马等病毒的最新信息,并传送到服务器端进行自动分析和处理,在每个客户端都设置病毒的解决方案,使整个互联网成为一个巨大的“杀毒软件”。主动防御的优点:一是可以检测到未知病毒的攻击;二是具有启发式智能自学习功能;三是能够对网络病毒攻击进行实时监控和响应。主动防御也存在缺点:一是由于依靠智能算法判断是否存在病毒,故容易导致误报或误杀;二是主动防御手段通常是在病毒特征显现后,确认病毒并清除,因此它对不发作的病毒不作处理。
2.3病毒清除
发现病毒后需要及时清除,以免造成不必要的损失。
1)自动清除方式利用病毒防御软件清除病毒。常见病毒防御软件有瑞星、诺顿、360、江民等杀毒软件。有时你可能会遇到连病毒防御软件都束手无策的新病毒,这时你可以试试手工清除方式。
2)手工清除方式蠕虫病毒:你可以更新系统补丁,删除染毒文件、网页及相关注册表项。木马病毒:通常可以删除C盘win.ini、system.ini文件,以及注册表中的可疑启动项,同时删除启动项对应的可执行文件。宏病毒:你可以清除染毒文件及公用模板(Normal.dot)中的自动宏(AutoOpen、AutoClose、AutoNew),并将公用模板设为只读。引导型病毒和文件型病毒:可以用“干净的”引导盘引导,用备份的引导扇区(或文件)覆盖染毒的引导扇区(或文件),同时恢复被破坏的系统数据,如文件分配表(FAT)等。
3结论
尽管现在计算机病毒层出不穷,尽管计算机病毒无处不在,但只要我们了解计算机病毒的基本知识,认识到计算机病毒危害的重要性,掌握计算机病毒检测和防护方法,及时更新系统补丁,安装防火墙,经常检测系统安全性,及时查杀病毒,还是能够使我们的计算机远离病毒的侵害,或者将病毒的侵害降低到最低程度。
木马检测篇8
关键词 黄斑星天牛;防治方法;宁夏固原;原州区
中图分类号 S763.38 文献标识码 B 文章编号 1007-5739(2013)20-0141-01
黄斑星天牛(Anoplophora nobilis Ganglbauer)属鞘翅目天牛科沟胫天牛亚科,是西北地区重要的杨树蛀干害虫之一。在宁夏地区发生规律为2年1代,当年以下幼虫和次年不同年龄期幼虫在树皮下和木质部越冬[1-2]。近年来,该虫在固原市原州区主要在三营、杨朗、彭堡等乡(镇)发生,危害面积达193.33 hm2。黄斑星天牛主要以幼虫蛀害主干,严重受害树木逐渐干枯死亡。现总结黄斑星天牛的防治方法,以供参考。
1 做好宣传工作
宣传工作是做好防治黄斑星天牛的第一要务。认真做好农户的思想工作,同时通过现场解析虫害木,使农户增强对黄斑星天牛的感性认识,有利于提高农户主动配合防治黄斑星天牛的自觉性,在需要砍树以防止黄斑星天牛危害的时候,可以得到农户的广泛理解和支持,营造群防群治的良好局面。
2 做好虫情监测测报工作
在固原市原州区的10个基层林场、2个乡镇设立了专项测报点12处,设置固定测报样15个,有专职测报员12人,定期监测逐项记录,通过检疫技术人员到林地监测虫情,并及时将虫情有关测报数据上报固原市原州区林木检疫站办公室。通过办公室整理、分析后,在每月23日前,将检测结果报自治区森防总站,然后将动态情况报中国森防信息网。
3 化学防治措施
防治木质部中的黄斑星天牛幼虫时,从每年的4月中旬至6月中旬,对新排粪孔用磷化铝片剂0.2 g放入蛀孔内,然后用黏泥堵死;或用注射器将80%敌敌畏的1%药液注入蛀孔内,用黏泥将所有蛀孔堵死。施药后若干天,如果仍有新粪排出,应及时进行补治。防治成虫期的黄斑星天牛,从每年的6月20日至7月1日完成第1遍喷洒,每隔40 d使用8%绿色威雷微胶囊剂0.33%~0.50%液、触破(3%高效氯氰菊酯微胶囊水悬浮剂)0.25%~0.67%药液喷洒[2-5]。8月上旬、9月上旬再各喷洒1次,喷药时注意喷洒地面以上树干及大枝,不能漏防,做到联防联治,不留任何死角。如果防治适时,效果可达92%以上。4—5月或9月初,用40%氧化乐果乳油200~400倍液、50%杀螟松乳油100~200倍液喷射树干毒杀幼虫。4—9月,用杀螟松、马拉松、敌敌畏水溶液注孔或用毒泥堵孔,或去除蛀孔中的粪便木屑,然后插入毒签[6-7]。
4 物理防治措施
8月在成虫羽化高峰期,捕捉成虫。9月至次年3月,人工砸卵。
5 生物防治措施
利用白僵菌、啄木鸟、斑翅马尾寄生蜂等天敌防治黄斑星天牛[1,3-5]。
用白僵菌防治黄斑星天牛,如用虫孔堵塞法、虫孔注射法、菌液喷干法等进行防治。
6 狠抓木材和苗木的检疫工作
加强在集市、木材加工点和建筑单位的不定期检疫工作,不定期地在交通要道上进行路查,防止带有天牛活体的虫害木传入辖区。造林期间,严格检查苗木,防治带虫害苗木入境及造林,同时做好产地检疫工作,防止带虫害苗木传入外境。
7 科学营林,增加生物多样性
及时更新受害树木,将低质林分进行更新,以及营造抗病虫害性较强的混交林。清理虫害苗木,病害苗木具有传染性,在检疫过程中如果发现病害苗木应适时运用火烧等方法进行清理。合理搭配树种,设置抗天牛树种组成隔离带。选择免疫、抗虫树种,积极栽植非寄主植物,少栽或不栽天牛嗜食的树种,增加抗性免疫树种的比例。营造混交林,加强抚育管理,提高林分抗虫性能[8-11]。在林带的边缘栽植1~2排青杨和西丰杨作饵树,等林带主体长成后,砍伐掉饵树。
8 参考文献
[1] 陈立学.杨树天牛发生规律及综合防治[J].安徽林业,2008(1):53.
[2] 张荣根.杨树天牛的发生特点与防治措施[J].现代农业科技,2008(1):87.
[3] 陈军,胡继元.黄斑星天牛的防治方法及措施[J].植物检疫,2006(4):255.
[4] 郭菊文.杨树黄斑星天牛综合防治技术[J].甘肃农业,2005(9):155-156.
[5] 张忠莲,韵文辉.黄斑星天牛的危害特点及综合防治[J].现代农业科技,2008(16):144.
[6] 刘浩宁.黄斑星天牛危害与防治[J].中国林业,1995(4):33-34.
[7] 李建苗,李菊.浅议黄斑星天牛的防治措施[J].中国森林病虫,2003(6):41-42.
[8] 段吉元.浅谈黄斑星天牛对林木的危害及防治措施[J].甘肃科技,2003(12):133-168.
[9] 桑巴叶,朱玉伟,王爱静,等.黄斑星天牛综合防治技术[J].新疆林业,2010(4):60-61.
[10] 马爱霞,马万福.黄斑星天牛的综合防治技术[J].农业科技与信息,2011(9):32.