木马程序范文

时间:2023-03-10 20:33:14

木马程序

木马程序范文第1篇

关键词:计算机;病毒;木马;程序;网络;杀毒

0 前言

计算机技术及计算机网络在近些年来发展尤其迅速,计算机网络已经成为人们生产、生活不可或缺的一部分,也是国家进行各项建设的有力工具。但是任何事物都有其双面性,计算机和计算机网络能给人们带来便利,同时其自身的安全性又给人们带来新的困扰,计算机病毒与木马程序是计算机和计算机网络的主要威胁之一[1]。

在计算机和计算机网络被大范围应用的同时,人们的计算机和网络也更加频繁的受到病毒和木马程序的攻击和破坏。现在的计算机网络用户日益增多,计算机网络的压力越来越大,许多黑客利用计算机自身弱点和计算机网络的漏洞,通过病毒和木马对计算机和计算机网络进行攻击,并且这些病毒和木马种类数量繁多,会使计算机用户的计算机或者网络出现故障,影响其正常使用。由于网络信息流通性非常快,而且具有一定的开放新,所以计算机病毒和木马程序传播速度会非常快,如果不积极采取防护措施,很可能影响整个网络的正常使用。

1 计算机病毒与木马程序

计算机病毒和木马程序严格意义上将是两种不同的区别,两者有着各自的特点[2]。

1.1计算机病毒程序病毒程序

我国规定计算机病毒能够在计算机中不断的进行自我复制,而且可以按照编织者编写意图对中毒计算机功能或者数据进行破坏,影响计算机正常使用的一组指令或者程序代码,计算机病毒程序有很强的繁殖能力、破坏能力和传染能力,并且有一定的潜伏性、隐蔽性和可触发性。计算机病毒能够在一定的条件下发作,如制定时间、关闭电源、打开某些软件等,计算机病毒程序还有较好的潜伏性和隐蔽性,病毒通常不能够容易被用户所发觉,它能够单独存在也能够“寄生”在计算机的某些程序之中,一旦病毒发作会对计算机或者计算机网络造成破坏和攻击,影响用户计算机正常使用。

计算机病毒的产生实际意义上是以自我保护和对盗版软件使用者进行打击为意图的,在1986年巴基斯坦兄弟两巴斯特和阿姆捷特两人为了保护自身正版软件,并且惩罚盗版他们软件的人,研制了一种能够吞噬拷贝者计算机硬盘剩余空间的病毒,这是真正意义上第一个流行的病毒。但是并不是所有病毒都会对计算机或者计算机网络进行攻击和破坏,有的病毒只是实质性的存在或者进行传播,并不会造成任何影响如,玩笑病毒和良性病毒等。计算机病毒程序传播途径也很多,最容易和快速的传播是通过网络,其次是传输设备(U盘、移动硬盘),光盘也能够进行病毒的传播。现在较为流行的病毒传播方法为“钓鱼网”,这种“钓鱼网”通常是不法分子自己建立的网站,伪造成某些官方网站的样子,让许多用户难以分辨出真假,然后进行一些游戏、购物等页面的布置,骗取个人账号和密码,使登陆着的隐私泄露,甚至造成财产损失。计算机病毒程序的产生困扰着许多的计算机用户,导致信息和资源的传播、分享受到阻碍,甚至破坏计算机用户和计算机网络的性能和正常运作。

1.2计算机木马程序

木马程序是为了某些特定目的进行编写的,并且偷偷植入目的计算机中的程序中的总称,其名称来源于希腊神话“特洛伊木马”,后来希腊人使用了一个计策,用木头造一些大的木马,空肚子里藏了很多装备精良的勇士,然后佯装又一次攻打失败,逃跑时就把那个大木马遗弃。守城的士兵就把它当战利品带到城里去了。到了半夜,木马肚子里的勇士们都悄悄的溜出来,和外面早就准备好的战士们来了个漂亮的里应外合,一举拿下了特洛伊城。这就是木马的来历。从这个故事,我们很容易联想到木马程序的作用,现在的木马通常是黑客用于对目的计算机进行远程控制,并且能够对用户的资料、信息进行破坏和窃取。计算机木马程序破坏性非常大,受到人们的重视,现在国内较为知名并且影响范围较广的木马有,“熊猫烧香”、“黑洞”、“广外女孩”等。

木马程序一般包括两个部分,即木马服务端和控制端,服务端指的是远程控制计算机,控制端指通过网络和软件向地方计算机指令的部分。木马传播方法较多,最为普遍的有利用电子邮件进行传播,通过用户下载文件或者软件进行传播,利用网页进行传播如钓鱼网,还有就是利用各种交流工具进行传播,国内最为常见的聊天工具为QQ、ICQ、YY语音等。计算机受到木马攻击的一些征兆表现为,计算机频繁重新启动、死机,硬盘被频繁访问或者数据丢失、数据和资料被更改,系统反应速度很慢,系统资源被占用和侵蚀等。计算机木马程序虽然没有病毒程序那样的传染能力,但是其破坏性非常大,对个人信息、隐私,对国家安全、机密的威胁都非常大,较为著名的木马程序有,“冰河”、“灰鸽子”、“小熊宝宝”、“网游猎手14合一”等。

2 计算机病毒与木马的防御措施

由于计算机病毒和木马程序的破坏性较大,会对计算机用户和计算机网络进行破坏,造成较大的损失,所以要对计算机病毒和木马程序进行防御和消除[3]。

2.1计算机病毒程序防御措施

(1)安装杀毒软件,进行实时监测

目前计算机用户大多会安装杀毒软件和实时防护检测软件,对计算机进行保护,这种方法对病毒的预防和查杀较为直观和便捷。安装完杀毒软件并且启动使用时,能够对电脑已存在的病毒进行检测并且查杀,对即将入侵的病毒及时防范,做到防范于未然。

(2)及时升级系统和进行漏洞修复

目前病毒更多的是通过系统和软件的漏洞对计算机用户的数据和资料进行篡改、破坏或者攻击,并且开始传播,所以要对系统进行及时的升级,定期进行漏洞扫描,一旦发现漏洞立即修复漏洞,不给病毒入侵的机会。现在WINDOWS操作系统会进行定期的升级,主要也是进行系统的漏洞修复,否则会使系统很容易受到病毒的攻击。

(3)正确安装系统、软件,绿色上网

计算机用户安装系统和软件要尤其注意,不能忽视每一个细节,由于某些软件和系统自身已经有病毒的存在,在安装后病毒后对计算机或者网络进行攻击。而且在上网时我们要提倡绿色上网,不浏览不正当和不合法网页、网站等,仔细辨别钓鱼网等不法网站。

2.2计算机木马程序防御措施

计算机木马程序防御措施除了病毒防御的几种方法之外,计算机用户还要规范、谨慎上网,不轻易接受陌生人发来的信息,不打开和浏览匿名邮件,对于非法软件和网页要谨慎进入,以防止被黑客的病毒和木马入侵。计算机木马程序预防需要格外受到重视,它的破坏性较强,造成的损失也不能用实际的数据来估计,所以要对木马程序进行严格预防和查杀。

3 结束语

计算机病毒与木马程序是威胁计算机用户和计算机网络的重要因素之一,对个人和集体的信息、资料、利益造成破坏较大。所以我们要严厉打击病毒和木马的传播行为[4],规范计算机网络,净化计算机网络环境,才能够使互联网技术和计算机技术能够更好的为人们服务,使信息更好的得到传递和交流,为人类创造更大的价值。(作者单位:华中科技大学文华学院)

参考文献:

[1]李剑, 刘正宏, 沈俊辉, 计算机病毒防护[TP], 北京邮电大学出版社, 2009.06.01.

[2]张友生, 计算机病毒与木马程序剖析, 北京科海电子出版社, 2003.0.3.01.

[3]《黑客防线》编辑部, 木马技术揭秘与防御[TP], 电子工业出版社, 2011.09.01.

木马程序范文第2篇

关键词:木马程序;攻击;防范

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 16-0050-01

随着信息技术的不断普及和发展,人们越来越多的接触到“木马”这个词语。木马隐蔽性极强,危害性极大,是现阶段来说攻击计算机系统的最主要的手段。因为木马程序所导致的计算机系统遭到破坏的情况日益增加,这对信息系统的保密以及安全带来了极大的危害。尤其是最近几年,利用木马程序进行犯罪的事情层出不穷,造成了巨大的财产和精神损失。

一、关于木马程序的概述

木马,在计算机领域内是指隐藏在合法的程序中或者伪装成合法的程序的恶意代码。这些恶意代码或者执行恶意的行为或者非法的访问未经授权的系统。木马程序本身就具有控制通信、反清除、反检测、隐蔽性高的特点。

常见的木马程序分为两个部分,控制端与被控制端。它的工作原理,是先在本地计算机也就是控制端上面配置而且生成木马程序,然后通过隐含或者直接在其它可执行程序中将木马程序传播到对方计算机也就是被控制端上。然后,通过对控制端的木马程度的控制从而直接的控制被控制端上的木马程序和运行。再接着,控制端通过发送命令的方式,比如说文件操作命令、键盘记录命令、获取敏感信息命令等等,来控制和感染被控制端的木马程序接收、执行这些指令,而且返回控制端以相关的信息和数据。

根据木马对计算机的操作方式,可以分为:远程控制型,密码发送型,键盘记录型,毁坏型,FTP型和多媒体型。

按照木马的进行层次,可以分为内核级木马和应用及木马。内核级木马一般会运行在计算机操作系统的内核之中,采取驱动程序的手段实现木马的加载。这种木马运行在系统的内核之中,隐蔽性相当高而且查杀难度大。应用级木马相对来说对系统的危害性较小。

二、木马攻击的手段和方式

(一)捆绑方式。捆绑方式指的是,把正常程序与木马程序捆绑在一起使用,然后达到入侵与存活的目的。与木马程序捆绑在一起的正常程序一旦被客户下载、安装和使用,木马程序就会自动的加载到电脑上。就算清除了木马,只要运行捆绑的正常程序,木马就会重新载入电脑并且继续存活下去。

(二)QQ和邮件的冒名欺骗。通过盗取他人的QQ,然后冒充主人给其他的好友木马程序,致使其他好友运行木马程序,然后达到相应的目的。邮件的冒名欺骗,指的是冒充单位、大型企业或者好友向他人发送木马附件,一旦他们下载并且运行木马软件就会造成木马病毒。

(三)网页木马方式。网页木马是指在个人的就、空间网页上进行木马捆绑,再利用各种诱惑致使对方链接网页,然后木马病毒就会入侵到这台电脑上。比如说,在网页上面有flash的动画,在网页上呈现流行软件和视频的下载等等。

(四)伪装成一般的普通软件。伪装成一般的普通软件,这是最近才刚刚兴起的一种木马入侵方式。对于操作系统不是很熟悉的用户,往往容易上当受骗。他们把可执行的文件伪装成文本或者图片,通过更改文件扩展名的形式,诱骗用户进行点击,这样的方式隐蔽性相当高。

三、关于木马程序的防范措施

(一)及时的安装木马查杀软件、防火墙和系统补丁。现阶段,我国大部分的黑客是通过网上已有的系统漏洞和木马程序对用户的计算机进行攻击,并不是真正意义的黑客,所以说安装木马克星、the cleaner等木马的查杀软件,同时安装防火墙,比如说“天网”个人版防火墙,“诺顿网络安全特警”等等,这样可以有效的对电脑运行状态进行实施的监控,而且要定期的对电脑进行扫描,从而有效的防止木马病毒的入侵。除此之外,及时的下载并安装官方的系统补丁是非常有必要的。

(二)关闭各种不必要的端口以及隐藏IP。隐藏IP地址皆可以提高提高网络访问的速度和范围,又可以在上网操作的时候预防他人的入侵和攻击。最常见的隐藏IP地址的方式有两种:一是运用“multi proxy”的软件来进行IP地址的隐藏,另一种是利用sockscap32和“qq公布器”进行地址隐藏。

现阶段,使用一些比较通用的黑客工具,对扫描端口进行攻击的方式最普遍,所以说,在我们进行上网的时候,要关闭各种不必要的端口,也就是杜绝了病毒的入侵通道,这样的方式比较的简单、有效。

(三)虚拟计算机的使用。在虚拟计算机的环境下,我们可以进行安全性比较高的操作。比较常用的此类软件VM ware,virtual pc等等。主机要用windows系列的兼容性比较好的操作系统进行日常的工作、办公。

(四)对不必要的服务项进行关闭。Windows操作系统为用户提供了许多的服务来方便管理,但是在其中有很大一部分是用户基本上不需要开启的。这样的话,不仅扩大了整个系统的开销,而且大大增加了木马入侵的机会和可能。因此,我们要经常检查我们的服务器管理,及时的对不必要的服务项进行关闭。

(五)定期对电脑的启动项进行检查。一般来说,木马程序都会在计算的启动项中进行隐藏,所以,要定期的对自己的电脑进行定期的检查的及时的木马清除。

四、结语

综上所述,本文针对木马程序的概念、分类以及运行原理和木马攻击的手段与方式进行入手分析,然后分别从五个大的方面:及时的安装木马查杀软件、防火墙和系统补丁;关闭各种不必要的端口以及隐藏IP;虚拟计算机的使用;对不必要的服务项进行关闭;定期对电脑的启动项进行检查,详细分析了木马程序的防范措施。

参考文献:

[1]李斯.浅析木马程序攻击手段及防范技术[J].网络安全技术与应用,2009,1.

[2]康治平.特洛伊木马可生存性研究及攻防实践[D].重庆大学软件工程学院,2009,10.

[3]张红梅,范明钰.人工免疫在未知木马检测中的应研究[J].计算机应用研究,2009,10.

木马程序范文第3篇

首先查看自己的电脑中是否有木马

1.集成到程序中

其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。

2.隐藏在配置文件中

木马实在是太狡猾,知道菜鸟们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心哦。

3.潜伏在Win.ini中

木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然,木马也早有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果有后跟程序,比方说是这个样子:

run=c:\windows\file.exe load=c:\windows\file.exe

这时你就要小心了,这个file.exe很可能是木马哦。

4.伪装在普通文件中

这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本――在程序中把图标改成Windows的默认图片图标, 再把文件名改为*.jpg.exe, 由于Windows默认设置是“不显示已知的文件后缀名”,文件将会显示为*.jpg, 不注意的人一点这个图标就中木马了(如果你在程序中嵌一张图片就更完美了)。

5.内置到注册表中

上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是快哉!然而好景不长,人类很快就把它的马脚揪了出来,并对它进行了严厉的惩罚!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里快活,赶快检查一下,有什么程序在其下,睁大眼睛仔细看了,别放过木马哦:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curren

tVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft

\Windows\CurrentVersion下所有以“run”开头的键值;HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。

6.在System.ini中藏身

木马真是无处不在呀!什么地方有空子,它就往哪里钻!这不,Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,打开这个文件看看,它与正常文件有什么不同,在该文件的[boot]字段中,是不是有这样的内容,那就是shell=Explorer.exe file.exe,如果确实有这样的内容,那你就不幸了,因为这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。

7.隐形于启动组中

有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法都无法将它赶跑(哎,这木马脸皮也真是太厚了),因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:

HKEY_CURRENT_USER\Software\Microsoft

Windows\CurrentVersion\Explorer\ShellFold

ers Startup="C:\windows\start menu\programs\startup"。要注意经常检查启动组哦!

8.隐蔽在Winstart.bat中

按照上面的逻辑,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件,它多数情况下为应用程序及Windows自动生成,在执行了并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。

9.捆绑在启动文件中

即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。

10.设置在超级链接中

木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解它,信任它,为它“死”了也愿意等等。

下面再看木马的清除方法

1.检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址, 再将可疑的删除。

2.删除上述可疑键在硬盘中的执行文件。

3.一般这种文件都在WINNT、SYSTEM、SYSTEM32这样的文件夹下,它们一般不会单独存在,很可能是由某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe、.com或.bat文件,有则删除之。

4.检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项(如Local Page),如果被修改了,改回来就可以。

5.检查HKEY_CLASSES_ROOT\inifile

shell\open\command和HKEY_CLASSES_R

OOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让病毒“长生不老,永杀不尽”的。

6.如果有可能,对病毒的母文件进行反汇编,比如我上次中的那个病毒,通过用IDA反汇编,发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll 文件,把密码送到一个邮箱中,由于我用的是W2K,所以它当然没有得手。

木马程序范文第4篇

[关键词]:特洛伊木马 计算机网络 入侵 防御

一、木马病毒对计算机网络的危害

(一)木马的概念。“木马”程序是当前计算机网络安全中比较流行的病毒文件,但是木马病毒不同于一般的计算机病毒,木马病毒不会自我复制,也不会刻意的去污染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者刻意任意毁坏、窃听被种者的文件,甚至远程操控被种主机。因此,木马病毒所带来的危害要远远大于一般计算机网络病毒的危害。

(二)木马的特征。木马作为计算机网络病毒中的一种,它有较多种类的木马程序,但各类木马程序之间具有一些类似的特征。

1.植入性。木马病毒通常作为远程攻击的一种手段。因而,木马病毒通常是通过计算机网络等途径,将木马程序植入到宿主计算机中。此外,由于当前木马技术与计算机蠕虫技术相结合,大大提高了木马病毒的植入能力。

2.隐蔽性。木马病毒在被植入到宿主计算机之后,便通过修改自身自动方式、改变自身存盘位置、修改文件名称或图标等方式实现木马程序的隐藏。

3.自动运行和恢复性。木马程序可以通过修改系统的配置文件实现电脑启动时运行木马程序的工功能。此外,目前很多木马程序的功能模块并不是由单一的文件组成,而是具有相对多重的备份,可以再任何时刻实现相互复制、恢复的目的,防止计算机安全程序对木马病毒的处理。

二、网络服务器木马入侵途径

(一)木马的配置策略。木马的配置策略主要是通过木马的植入隐蔽和信息反馈两个关键步骤实现。首先通过各种植入方式,将木马程序植入宿主计算机,通过各种隐藏手段实现在宿主计算机中的隐藏,然后,通过数据反馈的方式,将宿主计算机内部的各种软硬件配置信息借助互联网传送到入侵主机中,从而最终实现木马程序的配置。

(二)木马的传播方式。木马的传播主要建立在互联网相互通信基础上,通过互联网之间的信息传递实现木马程序的入侵。木马程序入侵主要可通过电子邮件、软件下载和网页传播等方式实现。在电子邮件植入中,控制端将木马程序以附件的方式传送出去,客户端一旦打开邮件就会感染病毒。在软件下载方式中,客户端在软件的安装过程中,木马程序便同时予以启动,导致客户端感染病毒。在网页的传播方式中,客户端在浏览网页的过程中会在客户端和服务器之间的信息传递中,不经意间感染木马病毒。

(三)木马的运行过程。传统的木马运行方式有两种,分别为自启动激活模式和触发式激活模式。自启动激活模式主要是木马程序中存在某些关键值,当系统内部的程序的运算结果达到木马程序的阈值时,木马程序就会自动启动。触发式激活模式则是依靠文件捆绑方式实现,当客户机对捆绑文件进行操作的时候,被捆绑的木马程序就会启动。目前,较为流行的木马入侵方式主要是合并上述两种方式,其方式主要是先通过触发式激活模式,将木马程序植入计算机中,然后,通过自启动的方式激活程序,使程序在计算机内部活跃起来,实现对客户机的监听以及盗窃相应数据的目的。

(四)木马的远程控制。当控制端和客户端通过木马程序建立连接后,控制端和客户端就会形成木马通道,控制端可以通过相应的木马程序借助该通道获取客户端的数据信息,从而实现远程控制。

三、网络服务器木马入侵的防御方法

(一)安装防火墙和杀毒软件。根据当前木马程序的攻击方式统计结果,大部分木马攻击都是利用现有较为成熟的木马程序或者系统软件和应用软件的漏洞进行网络攻击,针对这些网络攻击,客户机可以有针对性的采取安装防火墙或者杀毒软件等方式进行抵制木马程序的攻击,确保客户端的软硬件信息和重要数据信息得到时刻的监控,防止木马病毒的攻击。

(二)阻断网络通信途径。在网络监控环节中,可以利用计算机安全程序对通信网络进行实时监控,对网络通信环节出现的异常要进行及时处理,确保网络正常的通信,此外,可以对客户端计算机的网络数据包进行规则定义,确保该客户端计算机的数据包流通合乎规则,降低木马程序的入侵可能性。另外,通过计算机入侵检查技术,可以再流动数据包中进行木马植入和攻击风险的检测,并对以检测到的攻击进行网络阻断。

(三)网j端口的实时监控。客户端计算机连接网络的基础的网络端口,通过网络端口的连接作用实现计算机连接网络的目的。通过对网络端口的实时监控可以降低客户端计算机受到木马病毒攻击的可能性。对网络端口的实时监控主要是检测两个方面。一个方面就是监控端口的开启与关闭,如果实时监控系统发现某个端口打开和关闭异常,则表明该端口容易受到或正在受到木马等程序的攻击,通过对该异常端口进行相应的处理,即可相应的降低感染风险。另一个方面就是对通过网络端口数据的监控,防止木马程序通过依附于合法数据包的方式进行远程攻击。

(四)访问注册表行为的控制。当前木马程序在宿主计算机中发挥隐藏功能的主要基础是木马伪装成注册表在系统中存在,加强对系统中注册表的访问机制,就会在一定的程度上降低木马的攻击效果。

一些木马通过修改系统注册表,实现其木马的恶意行为,并且能够实现隐藏和启动的功能,因此,如果能够对系统修改注册表的行为加以控制,那么木马就不会对系统做出非法操作,此外,对注册表中和自启动相关联的项目加以权限限制和实施监控,可以令木马程序不能隐蔽和自启动,提高了系统保护自身的能力。

防范恶意远程控制。由于当前的计算机大部分都连入网络当中,那么连入互联网的计算机就面临着远程控制的风险,正常情况下的合法远程控制对于用户而言,用户未必能够注意到计算机已被远程控制,但是一旦计算机被恶意远程控制,那么计算机的运行性能就会遭到极大的影响,因此,当出现计算机被远程控制的时候,用户需要对计算机采取及时的措施,降低因木马中毒导致计算机被恶意远程控制造成的不必要风险。

参考文献:

[1]周宇晓.网络木马病毒的防范探讨[J].科技信息,2008.

木马程序范文第5篇

判断是否存在木马

倘若怀疑自己的Windows系统,已经被意外感染木马程序,而手头恰好又没有专门工具进行扫描确认时,不妨巧妙通过Windows系统自身的力量,来判断木马攻击是否存在。

着眼帐号进行判断

进入Windows系统的MS-DOS工作窗口,通过内置的“net user”命令,弄清楚当前Windows系统中究竟存在哪些用户账号,之后在命令行提示符下,执行“net user + xxx”命令(“xxx”为陌生用户的账号名称),了解陌生用户处于哪种权限级别。

正常来说,只有用户自己添加的账号和系统自带的administrator账号隶属于administrator组外,倘若看到一个Windows系统自带的用户拥有administrator组访问权限时,那很可能意味着本地计算机已经被木马入侵了,而且还在本地系统中进行了账号克隆操作。为了避免安全威胁,我们可以在DOS命令行中,使用“net user xxx /del”命令,将存在可疑的用户账号给删除掉,禁止木马程序利用该陌生账号攻击计算机。

着眼服务进行判断

有些狡猾的木马程序,往往会将自己伪装成不易让人发现的系统服务,所以,我们应该定期打开系统服务列表界面,检查正在运行的系统服务,有哪些是不明来历的服务。当然,也可以进入MS-DOS工作窗口,执行“net start”命令,从返回的如图1所示结果界面中,就能直观查明有什么系统服务在启动运行。一旦有陌生系统服务处于启动状态时,可以执行“net stop xxx”命令(“xxx”为陌生系统服务名称),强行将其工作状态停用掉。

当然,如果想查看某个陌生系统服务的详细属性信息时,建议大家依次单击“开始”、“运行”命令,弹出系统运行对话框,在其中执行“services.msc”命令,切换到系统服务列表界,用鼠标双击某个服务选项,在对应选项设置对话框中,就能看到目标系统服务的工作状态、登录性质和启动类型等信息。

当确认某个陌生服务,就是木马程序所启动的服务时,只要在对应服务属性对话框中,点击“停止”按钮,将其工作状态强行停止,之后将它的启动类型参数选择为“已禁用”,以避免该木马服务日后跟随Windows系统自动启动运行,确认后保存设置操作即可。

着眼连接进行判断

一些木马程序常常会占用本地计算机中的网络端口,如果我们能够对Windows系统的网络端口进行及时监控,一旦发现有数值比较大的端口被占用时,那多半是木马程序已经感染了计算机系统。在查看本地计算机中所有网络端口的开启状态时,可以依次单击“开始”|“运行”命令,弹出系统运行对话框,输入“cmd”命令并回车,切换到DOS命令行工作窗口,输入“netstat -na”命令,单击回车键后,从返回的如图2所示结果界面中,就能直观看到所有网络端口的状态信息,包括源地址端口号和目标地址端口号。

寻找木马文件踪迹

当确认本地系统中存在木马攻击时,我们就需要努力将躲藏起来的木马攻击文件找到,并将其及时删除掉,以避免它继续威胁系统安全。考虑到木马文件都具有隐藏属性,只有先开启Windows系统的隐藏文件显示功能,才能方便寻找木马文件踪迹。在打开隐藏文件显示功能时,只要先打开系统资源管理器窗口,依次点击“组织”|“文件夹和搜索选项”命令,弹出文件夹选项设置框,选择“查看”标签,切换到如图3所示的标签设置页面,选中“显示隐藏的文件、文件夹和驱动器”选项,同时取消选中“隐藏受保护的操作系统文件”选项,单击“确定”按钮后保存设置操作。

考虑到很多木马程序都会将自身拷贝到系统文件夹中,同时会添加到系统启动项,这是因为要是木马程序不这么操作,很容易被用户发现,不添加到系统启动项中,重新启动Windows系统后,木马程序就不能自动发作运行了。所以,要想寻找木马文件踪迹,必须要检查以下一些位置。

检查启动文件夹

木马将自身隐藏在系统启动文件夹中,尽管隐蔽效果不是很好,不过能方便自动加载运行。系统启动文件夹位置一般位于“C:\Documents and Settings\xxx\开始菜单\程序\启动”,这里的“xxx”为当前登录用户账号。还有一个系统启动文件夹对所有用户有效,无论哪种权限的用户登录进入系统,只要将程序添加到该文件夹中,都能达到自动启动目的,该启动文件夹位置常位于“C:\Documents and Settings\All Users\开始菜单\程序\启动”。

检查系统注册表

系统注册表中的许多启动分支下面,可以寻找到木马文件踪迹,所以我们应该定期查看下面分支中的一些键值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run、HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run、HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon。

当然,也有一些特别的木马程序,会将自己伪装为系统服务,隐藏到系统注册表中,日后它们会以系统服务方式发作运行,从而给本地计算机带来安全威胁。为了能查找到这类木马的“身影”,我们需要打开系统注册表,将鼠标定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支上,仔细检查该分支下的键值,就能将木马文件寻找出来了。

为了禁止木马文件日后继续将自身隐藏到注册表启动分支中,我们可以对特定分支的编辑权限进行控制。在进行这种操作时,先选中目标注册表分支,依次选择“编辑”|“权限”选项,切换到目标分支权限编辑对话框(如图4所示),在“组或用户名称”设置项处,将“everyone”账号的“读取”权限修改为“允许”,将其他权限修改为“拒绝”,再将其他一些用户账号全部删除,确认后保存设置即可。

检查IE主页面

有些木马程序可能会修改IE浏览器主页面,同时将恶意文件隐藏到对应主页面中,一旦IE浏览器开启运行时,这些狡猾的木马程序就能自动发作运行。要找到这类木马文件,可以依次检查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\UrlSearchHooks等分支,通过这些分支下面的键值,就能找到木马文件的详细路径,并及时将木马文件删除。

检查系统文件

为了达到自动启动目的,木马程序也会悄悄修改System.ini、Win.ini等系统配置文件,所以检查这类系统文件,或许能够发现木马文件踪迹。打开系统运行对话框,输入“System.ini”关键字,单击回车键后,弹出System.ini文件编辑对话框,从中找到“Boot”字段,检查“Shell=Explorer.exe”后面是否存在“*.exe”之类的内容,如果存在的话,那么多半是本地系统遭遇到了木马程序的攻击,而“*.exe”程序文件自然也就是恶意文件了。当然,该配置文件中的“drivers”、“mic”、“drivers32”等字段下面,也可能潜藏有木马文件,所以,我们也要认真检查这些字段内容。

按照同样的操作方法,打开Win.ini文件编辑对话框,检查该文件中是否存在“run=”、“load=”等启动命令,这些命令后面默认是空白的,如果存在其他的应用程序,比方说存在“C:\Windows\Command.exe”程序时,那该程序多半就是木马文件。

检查文件关联

不少木马程序常常会通过编辑注册表的方法,调整文件关联设置,这样当用户日后启动运行txt、inf、exe格式的文件时,木马程序就能随之启动运行。所以,要寻找这类木马文件的踪迹,可以先检查系统注册表中的HKEY_CLASSES_ROOT\exefile\shell\open\command分支(如图5所示),看看该分支下的默认键值是否为“"%1" %*”,如果不是的话,那就说明exe类型文件的关联设置被木马程序修改了,只有将数值修改回来,才能阻止木马程序的攻击。同样地,检查HKEY_CLASSES_ROOT\txtfile\shell\open\command分支下的默认键值是否为“C:\windows\notepad.exe %1”,检查HKEY_CLASSES_ROOT\inffile\shell\open\command分支下的默认键值是否为“%SystemRoot%\system32\NOTEPAD.EXE %1”,如果不正常的话,也要将它们修改回来。

检查文件扩展名

为了躲避普通用户的查杀,一些狡猾的木马程序,有时会将恶意文件图标,伪装成普通文本、图像、视频文件的图标,同时将文件名称修改为“*.txt.exe”格式,之后利用Windows系统默认不显示已知文件扩展名的特点,达到隐藏目的。普通用户在默认状态下,会认为“*.txt.exe”格式的木马文件属于常见文本文件,不经意间双击文件图标时,就能启动运行木马文件了。

要对付这类木马文件,只要打开系统资源管理器窗口,依次点击“组织”|“文件夹和搜索选项”命令,弹出文件夹选项设置框,选择“查看”标签,切换到查看标签设置页面,取消选中“隐藏已知文件类型的扩展名”选项,单击“确定”按钮后保存设置操作。这样,日后每次双击某个文件时,只要遇到有文件属于“*.txt.exe”格式,那么该文件肯定是木马文件。

检查系统组策略

还有一些木马程序隐蔽性很强,它们有时会将恶意文件隐藏到系统组策略中,让一般用户不能找到它们的“身影”。为了弄清楚系统组策略中是否存在木马文件,我们可以依次选择“开始”、“运行”选项,在弹出的系统运行对话框中,输入“gpedit.msc”命令并回车,切换到系统组策略控制台窗口,将鼠标定位到该窗口左侧列表中的“用户配置”、“管理模板”、“系统”、“登录”分支上。找到该分支下的“在用户登录时运行这些程序”选项,并用鼠标双击之,打开如图6所示的选项设置框,将“已启用”选中,同时按下“显示”按钮,切换到应用程序默认启动列表框。在这里应该没有任何应用程序出现才对,一旦看到有陌生程序存在,那该陌生程序多半就是木马程序,此时只要将它们清空删除,再找到并删除木马程序源文件。

巧妙删除木马程序

1. 删除常规木马

当采取上述措施,寻找到木马文件的踪迹后,就需要立即将本地计算机与网络断开,以避免木马程序通过网络对自己进行攻击和监控。之后,通过已经查找到的木马程序名称,搜索系统注册表,寻找到相关键值,定位到木马源文件在硬盘中的具置,手工删除源头木马文件。当发现某个木马文件无法被删除时,可以打开DOS命令行窗口,或者直接启动到纯DOS工作状态,执行del命令强行删除木马文件。倘若木马文件的属性是系统的、隐藏的、只读的,那么可以使用“attrib -s -r -h”命令,将木马文件的属性调整为普通属性,再执行删除操作即可。

2. 删除DLL木马

有的木马程序会通过DLL文件来替代系统文件,达到既能启动木马程序,又能保持原来DLL文件的功能。在删除这类特殊木马文件时,可以先在系统工作正常的情况下,进入DOS命令行工作窗口,使用“cd”命令将当前目录设置为“system32”,执行“dir *.dll > 111.txt”命令(如图7所示),将对应目录下面所有的Dll文件备份到“111.txt”文件中。

日后,当怀疑本地计算机中遇到DLL木马袭击时,可以按照上述操作方法,再次执行“dir *.dll > 222.txt”命令,将感染了DLL木马之后的所有DLL文件备份到“222.txt”文件中。之后,输入字符串命令“fc 111.txt 222.txt > 333.txt”,单击回车键后,对系统感染木马前后两次的DLL文件进行比较,并将比较的结果保存到“333.txt”文件中。打开该文本文件,就能了解到系统多出了哪些DLL文件,根据文件创建的时间、版本等信息,就能知道哪些文件是DLL木马文件了。进入DLL木马文件所在的目录,强行对其执行删除操作,这样就能将木马清除干净了。使用相同的操作方法,还可以删除EXE木马文件。

3. 删除捆绑木马

与常规木马相比,捆绑型木马十分狡猾,常常会和正常的应用程序绑定在一起,让人防不胜防。有鉴于此,我们可以使用LaunchSupervisor这款专业工具,来轻松对付捆绑型木马,该工具是专门用于查杀使用免杀技术和与软件捆绑技术的木马程序或病毒。

开启LaunchSupervisor工具的运行状态后,它就能对预先设定的应用程序活动状态进行监控,一旦探测到它尝试运行第三方陌生程序时,就能对其自动拦截,避免恶意程序偷偷攻击本地计算机。用鼠标右键单击系统托盘区域处的目标工具快捷图标,选择“Open LaunchSupervisor Control Panel”命令,选中其后界面中的“Enable LaunchSupervisor”命令(如图8所示),启动运行该工具的监控功能。如果要启动运行目标工具的拦截提示功能,可以选中“Show notification”选项,这样目标工具一旦探测到捆绑在正常程序的木马尝试启动时,不但会自动对其拦截,而且还会出现提示对话框,建议用户采取合适的安全防范措施。

按下“Internet Programs List”按钮,切换到网络程序列表对话框,从中选择需要监控的程序选项,默认状态下,目标工具已经将大量常见的网络程序列写出来了。如果需要监控的程序不在列表中,可以自行添加。比方说,为了避免木马程序利用QQ工具传播,不妨在网络程序列表对话框底部区域输入“qq.exe”,按下“Quick Add”按钮,将QQ工具手工加入到网络程序监控列表中。如此一来,当用户尝试在QQ聊天窗口中,启动存在木马的陌生文件时,目标工具就能自动对该操作进行拦截。

木马程序范文第6篇

在网络上,如今专门通过盗取和贩卖他人网络游戏装备和网上银行账号来年利的,已经形成了一条完整的产业链。这样的产业链大致分为老板、病毒编写者、流量商、盗号者和贩卖商等多个环节,各个环节分工明确,其中“老板”处于整个链条的顶端,他对产业链的各个环节进行分工和协调。而那些层出不穷的木马病毒程序,往往都是按照这些老板的要求,由专门编写病毒的程序员开发出来的。

这些由病毒编写者专门开发出来的木马程序往往具有针对性,技术含量高。通常的杀毒软件很难进行有效查杀。

产业链中的所谓“老板”在得到想要的木马程序后,就开始在互联网中寻找下手目标,可一个一个去寻找网络游戏玩家和网上银行用户显然效率太低,这个时候,链条中的流量商就该发挥作用了。

“肉鸡”是黑客产业里的一个专用名词。在产业链中,有专门一些人,他们把一些带有远程控制功能的病毒程序通过网络植入别人的电脑中,这些电脑就成了他们手中的猎物,任由他们操纵控制,而且主人往往很难察觉,圈子里的人把这些被控制住的电脑称做“肉鸡”,那些控制肉鸡的人则被称为流量商。

做一个流量商,利润要比做老板少一些,流量商每天要做的,就是到网上抓“鸡”,并对抓到的“肉鸡”进行分类管理。

黑客抓“鸡”的方法很多,从技术上来说并不复杂,最常用的方法是,事先在一个访问量比较多的网页上种植一个木马程序,只要有人访问这个页面,那么访问者的电脑就会被这个木马程序入侵,黑客就可以通过这个木马程序控制访问者的电脑。比如QQ当中,和对方针对某一感兴趣的话题进行聊天以后,发给对方一个程序让他接收,或让他访问一个含有病毒的网页。对方在不知不觉中接收了带有远程控制功能的木马程序后,黑客就可以随时向对方的电脑指令。

何谓木马

木马,它来自古希腊的传说――特洛伊木马。在互联网中,有很多人设计病毒程序,当把这些病毒程序秘密植入到别人的电脑里后。就可以对别人的电脑进行远程控制,窥探隐私,盗取信息,这样的病毒程序就被统称为“木马”。“木马”程序是目前比较流行的病毒文件,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。

木马是如何通过网页进入电脑

经常看到有人说,在输入自己账号与密码后提示密码错误,那么八九不离十就是中了木马了,其实这种是最早期的木马程序。现在已经很少有骗木马程序的程序员还按照这种监听键盘记录的思路去鳊写木马程序。现在的木马程序已经发展到通过内存提取数据来获得用户的帐号和密码。

相信大家都知道,现在有很多图片木马,就是把木马exe文件的文件头换成bmp文件的文件头,然后欺骗IE浏览器自动打开该文件,然后利用网页里的一段JAVA-script小程序调用Debug把临时文件里的bmp文件还原成木马8XO文件并拷贝到启动项里。接下来的事情很简单,你下次启动电脑的时候就是噩梦的开始了。

EML木马更是传播方便,把木马文件伪装成au-dio/x―wav声音文件,这样你接收到这个文件的时候只要浏览一下,不需要你点击任何连接,Windows就会为你代劳自动播放这个它认为是wav的音乐文件,木马就这样轻松地进入你的电脑,这种木马还可以嵌入到网页里,只要打开网页,木马就会自动运行。

木马程序范文第7篇

关键词:行为序列;模糊判定;计算机;木马;检测;方法

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 16-0000-01

Behavioral Sequence Gray Fuzzy Detection Method in the Computer Trojan Determine Analysis

Zhang Liang

(Weifang Branch of China Unicom,Weifang261041,China)

Abstract:Computer Trojan is hidden in the computer for malicious software,the need for clear,to ensure the normal operation of computer and data puter Trojan is difficult to determine,for this problem,a behavior sequence to determine the gray blur of the computer Trojan detection.Determination of the specific method for computer network communication,boot,run and hide aspects of self-protection to detect Trojans,allow the computer to normal procedures and an effective distinction between Trojan horse programs.Discuss the principle of detection of Trojan horses,to improve computer security protection.

Keywords:Behavior sequence;Fuzzy decision;Computer;Trojans;

Detection;Method

木马是计算机中严重威胁数据安全、影响运行的一种恶意程序,木马的检测和判定一般分为动态和静态两类。动态检测是对系统的资源条件进行监控,将程序在启动、安装和运行中的动作同木马动作匹配后进行判定。比如在Windows操作系统下,木马隐藏启动的主要方式是修改系统启动脚本文件、写注册表、注入系统文件等,在动态检测中,通过监视系统文件和注册表项状态判定木马。静态检测是指对木马程序进行静态特征分析提取,然后根据木马特征,对程序使用判定规则进行推理判定。比如通过静态分析PE文件,对程序运行时可能调用的API集合进行获取,再拿来匹配木马攻击常用的API调用序列,结合静态危险指数判定木马程序。木马检测方法有很多,但是对于单一的检测方法来说,漏报和误报的问题仍然得不到有效解决。探讨行为序列灰色模糊判定下,木马检测的方法,为实现计算机木马程序的有效判定起到促进作用。

一、木马检测

木马检测有基于行为的木马检测和基于行为序列的木马检测。基于行为的木马检测是先将一系列的异常行为规定为规则,在系统运行的过程中,通过监视在运行的程序的行为,再与规则相比较,从而判定该程序是否为木马。在分析木马行为的时候,又可以从主机资源访问行为、网络行为、主机系统调度行为三个方面进行。其中主机资源访问行为是指木马程序对目录、文件、键盘、注册表、屏幕等操作,常常发生在木马进行隐藏运行和开机启动的时候。网络行为主要是指木马使用协议发起端口复用、打开端口、建立连接、域名解析、传输数据等操作,常常在木马网络通信中使用。而主机系统调度行为主要是指木马对运行中系统的线程、进程、系统函数、加载的模块等的操作,常常在木马自我防护和隐藏允许的时候使用。基于行为序列的木马检测是对木马程序行为分析的基础上进行的判定操作,难点在于异常行为的界定。在计算机的发展中,特别是恶意代码实现技术中的隐藏技术的长期发展,以及大规模的应用自动升级和P2P技术,已经越来越难界定木马与正常应用程序,如果是单一角度的行为检测已经完全不能解决问题了。但是,木马程序从根本上还是显著区别于正常程序的,将木马行为序列和可疑行为序列进行比较,可以提高木马检测的检出率。

二、灰色模糊判定下计算机木马检测方法

木马设计方案为行为检测方法得到的多个可疑程序的行为序列,而设计方案的评价指标为实现隐藏运行、网络通信、自我防护、开机启动二级目标使用方法可能被木马使用的概率,这样,就将木马的判定问题转换为了木马决策问题。而评价的四个指标都是定性的,首先使用模糊数量化处理指标,在灰色关联分析的基础上,使用模糊优选模型对木马方案进行排序,再结合危险指数判定木马程序。

在这个木马检测方法中,首先是要量化处理评价指标。木马程序使用不同方法实现隐藏运行、网络通信、自我防护和开机启动的概率不同,在对程序行为判定是否为木马的时候常常使用很可能、可能和不太可能等进行定性描述,然后使用梯形模糊数量化处理这些评语。量化处理评价指标过后是对方案属性指标的规范化,而规范化的第一步是确定理想方案指标序列,是比较属性指标的优劣。第二步是模糊数的规范化,在评判的时候,需要消除量纲的影响,使度量尺度统一,规范化处理属性指标,使评判保证等效性。然后还要确定灰色模糊的优属度,通过对方案的理想参照序列和比较序列进行关联分析,得到方案指标相对其理想值的灰色隶属度,再确定灰色模糊的优属度。最后,结合危险指数,判定行为序列是否为木马。

三、讨论

行为序列灰色模糊判定下计算机木马检测方法,是使用主机资源访问行为、网络行为和主机系统调度行为检测技术,实现对木马攻击树叶子节点方法的全部检测,通过对可疑程序行为序列的构建,计算灰色模糊的优属度,结合危险指数,判定木马程序。当然,在本文中仅仅在大致上说明了此方法的原理以及总体思路,具体实施起来还需要很多的细节进行完善、很多的具体数据进行探讨,才能最终形成一个完整的行为序列灰色模糊判定下计算机木马检测方法,从而更好的保证计算机数据的安全。

参考文献:

[1]高伟.基于灰色模糊优选模型的上市公司投资价值评价[J].财会通讯,2010,19:95

[2]杨玲,孟传良.基于启发式分析的木马检测技术研究[J].现代机械,2006,4:58

木马程序范文第8篇

图标伪装画皮

在Windows操作系统里面,不同的文件类型都有其对应的文件图标,通过这些图标用户就可以判断出文件的类型。而黑客正是利用了这一特点,将木马程序的图标替换成一些常见的文件图标。用户运行了这些伪装的木马程序后,就会被黑客成功的远程控制。

画皮分析:以一个木马程序为例,先为它加上个Word的图标(见图1),不知道的人双击后,还以为打开的是Word资料,但其实打开的是EXE木马程序。

粉碎方法:黑客对木马进行了特殊处理。最好的方法就是看图标是什么程序,例如图标是Word,那就先打开Word程序,再在Word程序里打开该文件。如果word不能打开,就说明是木马了。

后缀伪装画皮

由于网络中的资源浩如烟海,要让各位用户搜索到伪装的文件,就必须在文件的名称上下功夫。因此,取一个吸引入眼球的亮丽名称就是一种简单易行的伪装画皮。比如最近周杰伦推出了他的最新专辑,这样黑客就可以将木马名词伪装成“稻香.Mp3”这类。对于周杰伦的粉丝来说,定会下载后毫不犹豫地马上运行,从而掉进黑客设置的陷阱。

画皮分析:由于木马程序是一个可执行程序,因此无论木马如何伪装自己的名称,它的扩展名都必须是一个可执行文件的扩展名,比如EXE、COM、BAT等。因为Windows系统默认设置是隐藏文件扩展名的,例如木马的文件名称伪装成“中国古代txt.exe”,但是由于扩展名“.exe”被隐藏,所以最终木马的文件名称会显示为“中国古代.txt”。

粉碎方法:现在大家只需要换一种激活方法,比如根据对文件类型的判断,首先打开运行这类文件的应用软件,然后通过工具栏中的“打开”命令,在弹出的对话框中选择这个文件。如果打开这个文件后出现乱码,那么就说明这个文件有问题(见图2)。其实,很多时候在弹出的对话框中,根本看不见需要运行的那个文件。因为弹出对话框的“文件类型”会过虑掉非程序关联的文件,这时就可以肯定这个文件是伪装的。

如果要看程序的后缀名,打开系统的资源管理器,点击“工具”菜单中的“文件夹选择”命令。然后在弹出的“文件夹选择”窗口,去掉“隐藏已知文件类型的扩展名”复选框中的钧即可。

网页伪装画皮

随着互联网的普及,网络已经成为知识获取的主要途径,与此同时也成为木马传播的主要途径。网页木马是隐蔽性最强的一种伪装方式,因为木马的载体就是平时最常见的网页信息。这样就使得很多看似“正常的”网页,背后可能就隐藏着不为人知的陷阱。

画皮分析:网页木马并非全新的木马类型,而是目前流行的一种木马伪装及传播方法。黑客首先将木马转化为网页可以识别的脚本文件、ActiveX组件、图片文件等文件形式,然后利用微软的Windows系统和应用软件存在的某些漏洞来传播。在用户访问网页木马后,网页木马首先会判断系统是否存在指定的安全漏洞,如果存在就激活该漏洞并下载木马程序在后台运行。

木马程序范文第9篇

关键词 木马 计算机病毒 木马病毒防治 木马原理

中图分类号:TP309.5 文献标识码:A

0 前言

每一个上网的用户都会和计算机病毒打交道,其中木马病毒也是最常见的病毒之一,今天让我们揭去它神秘的面纱,看看他到底是什么真面目。

木马病毒全称为特洛伊木马病毒,名字来自于古老的古希腊传说,在《荷马史诗》中的木马计中以特洛伊指代了特洛伊木马,木马的英文全称Trojan,也是取自于木马计的故事。

之所以将此种病毒命名为木马,是因为它的特点和木马计中的特洛伊木马极其相似,在木马计中,特洛伊木马是为了隐藏破坏,里应外合的,而这种计算机程序也起到了相同的作用,他不会自我繁殖,仅仅在计算机中以独立的个体存在,不会主动去感染其他文件,所以从表面上看来,它是一个十分安静的病毒。它会以各种方式吸引受害者去下载执行,进而控制受害者的电脑,向木马病毒施种者提供打开被种者电脑的门户,让施种者可以对被种者的电脑内的任何文件进行破坏,窃取等恶意操作。如果条件允许的情况下,木马病毒的施种者可以直接对被施种者电脑进行控制操作。

1 木马的原理及发展

1.1 木马病毒的原理

这种卑鄙的程序原理其实十分简单,对于一个完整的木马程序成品,会具有两个部分,即服务端(服务器部分)和客户端(控制器部分)。木马病毒的使用者会使用一切手段将服务端(服务器部分)植入被害者电脑,而其自身操作客户端来控制服务端。当被害者运行了服务端后,木马自身会伪装产生一个用于迷惑被害者的名称进程,进而打开向指定地点发送数据的端口。当然,如果条件允许的话,木马施种者也可以通过这些开放的端口来进入被害者的电脑,对被害者电脑系统进行破坏。

但是这种程序不能自动运行,这也是其一大特点,一般的木马施种者会把它伪装成一种对被害者有用的东西或者一份十分有趣的计划,木马则暗含在一些用户下载的文档中,当被害者选择运行这些文档程序的时候,连带着激活了木马程序,只有这样才能使木马病毒开始运行,对被害者的文件和重要资料进行窃取和破坏。虽然它具有对文件的窃取功能,但从定义上来讲,木马和后门程序之间还是有本质的区别的,后门是指隐藏在程序内部,为后门操作者日后随时进入被害者计算机系统而留下的设置程序。

1.2 木马病毒的发展

木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经历了六代的改进:

第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能,开始了木马程序的开端。

第二代,在技术上有了很大的进步,冰河是中国木马的典型代表之一。冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。

第三代,主要改进在数据传递技术方面,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度,出现了ICMP等类型的木马,代表性的木马是ICMP监控型木马。“ICMP木马”监控,木马程序英文名字Win32.Troj.IcmpCmd,该木马可以向指定的已经被植入该木马的IP地址发送命令,可以直接对感染的计算机进行口令修改,获得最高管理权,实现重启计算机打开远程SHELL、注入远程SHELL等,会给用户的机器带来不可预知的破坏。

第四代, 在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。

第五代,驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果,并深入到内核空间的,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。

第六代,随着身份认证UsbKey和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。

1.3 木马病毒的未来可能发展趋势

1.3.1 关于winPE的发展方面的发展

R0级内核攻防的技术不断进化,现在发展了内核驱动(各种HOOK)木马,MBR病毒以及BIOS病毒。只要被病毒或木马成功运行一次,整个系统的核心防线就会被直接打穿,瞬间就会导致崩溃。现在,感染了恶性病毒或木马后,基本上都会选择进入WinPE环境下进行查杀和修复。那问题来了:

会不会木马或病毒不仅在正常的Windows环境下可以运行,在WinPE环境一样可以运行,然后进行各种破坏?

预计发展进程:内核驱动木马MBR病毒BIOS病毒PE病毒

1.3.2 关于不被广大用户注意的硬件木马

目前的广大计算机木马病毒制造者都会把硬件方面的主要目标定位在CPU等重要硬件,但是2013年NVIDIA显卡驱动爆出漏洞,引起人们注意。未来,除CPU以外的如显卡,声卡,网卡等以前不太惹人注意的硬件设备会被木马病毒利用,所以不被广大用户注意的硬件会成为木马的目标。

2 伪装手段

首先最常见的还是修改图标和捆绑文件,起一种方式的伪装效果不是很好,一般情况下,木马病毒程序制造者会使用一些手段把木马的服务端的图标改成TXT,ZIP,HTML等看似没有什么伤害的各种文件图标,但是此种方法如果在显示扩展名的系统文件显示条件下,伪装就会暴露自己,因为文件后面和图标不符的扩展名就会暴漏自己。而后一种方法捆绑文件,一般会将木马程序绑在一种可执行性文件上,也可以防止看出扩展名带来的问题,当这种程序和被捆绑的程序一起运行时,就可以开始工作了

当然,木马设计者还会找出更好的方法,因为木马程序在运行的时候会出现点击文件后无响应,这样很容易暴漏自己,所以设计者会设计出一个文件出错的方法,当运行这个文件后就会有显示一个错误提示框,当被害者认为是真的时候,设计者的目的就达到了。也有的设计者会选择对木马进行更名,将木马安装成功后就对木马的文件名进行自由定制的权限放开,使用户难辨真伪。

更高端的伪装还有自我销毁和定制端口两者方法,自我销毁则是为了解决很多老木马病毒的缺点,即在木马运行后将自身销毁,使用户无法找到源文件。而定制端口方式是为了解决老木马病毒端口固定的问题,控制端的木马施种者可以在1024-65535之间随意定制,作为木马病毒的端口,但一般不选择1024以下的端口,因为不方便于隐藏。

3 木马病毒的分类与隐藏手段

3.1 木马病毒的分类

常见的为网游木马和即时通讯木马,面对当下网游的普及和对QQ等即时通讯工具软件的使用,木马设计者对网游下手,以盗取网游账号密码为目的,常见的为键盘记录,HOOK游戏进程API函数等手段。因为目前网游在中国处于上升的发展阶段,加上不法人员对木马病毒生成器和一些不法网站对木马病毒的公开销售,使该种病毒的种类和数量一直处于顶峰。而即时通讯类木马则目的多种,常见的有发送消息型,盗号型和传播自身型,主要用于发送有毒链接,偷窃聊天记录,倒卖账号,传播自身病毒等目的,也是目前种类和数量排名前列的木马种类。

还有一部分木马病毒和个人习惯有关,比如专门研制为了盗取网银的网银木马病毒,喜欢在网页中点击窗口的人则容易成为网页点击型木马的攻击目标,但此类木马一般是为了赚取较高的推广流量,所以设计简单。还有些伪装性较强,如下载类木马将自身安装成功后向被害者电脑中下载各种其他病毒程序或广告插件。类木马则在本机开启HTTP,SOCKS等服务功能,实现了跳板效果。面对FTP型木马,则控制21号端口,是每个人可以用一个FTP客户端程序不用密码就可以连接到受控计算机,并上传,下载,窃取其机密文件,在近些年的FTP木马中部分加入了密码功能,只有攻击者自身才能进入受害者计算机。

3.2 木马病毒的隐藏手段

对于木马,伪装不但要有表面功夫,还要找到合适的地点,所以计算机中很多阴暗角落就成了良好的隐藏的地点,现在就让我们一起发现他们,把他们拉到光天化日之下吧。

木马设计者采用很多种方法隐藏自己的程序,常见方法并不多。第一项,把自己的木马程序放入集成程序中,这也是目前广泛使用的方法,将自身和一款应用程序捆绑,如和操作系统绑住,那么只要运行了WINDOWS就可以自动运行了。第二项,木马可以藏身在Win.ini中,在win.ini中Windows字段后面如有启动命令“Load=”和“Run=”,一般“=”后面为空白的,若有其他文件,则有可能为木马程序。第三项,藏身于注册表,这种方法主要是利用注册表的复杂性,这着实让人痛苦。也有的木马会伪装到普通文件中,将自身后缀修改成“XXX.EXE”,也可以迷惑一些对计算机并不了解的人。类似的,木马也可以在Autoexec.bat和Config.sys中加载,利用配置文件运行自己。当然,有的木马设计者会在自己的网站上安置恶意代码,引诱受害者点击。

4 查杀木马

从专杀的角度来说,因为就木马自身很多本质性特点来讲,它不完全具备一个标准病毒的完整属性含义,所以从某种角度上来讲,木马不属于病毒,所以将其从广大病毒大军中剥离出来。现在大多软件制造者单独制作木马专杀,这样可以有效提高查杀效率,毕竟节约时间就是保护机密文件和信息不被泄漏的最好方式,越早处理,损失就越少。像瑞星,江民等大型杀毒案件公司单独制作的木马专杀工具已经基本普及,而类似于“木马杀客”等专业查杀木马的软件也毫不逊色。

从自身手动查杀角度讲,可以利用计算机上的命令提示符录入一些指令,也可以完成自己查杀的效果。首先在命令提示符中录入netstat-an命令,观察计算机上的链接。其次,利用net start找到不明服务项,利用net stor serve来禁用。

5 木马病毒的正常防范

5.1 木马病毒防范基本原理

经常使用木马专杀对系统内文件进行全盘检查,并且安装防火墙,过滤掉网上的一些危险文件包和不明恶意代码。另外不随意访问来历不明的网站,不用来历不明的软件,及时对系统的漏洞进行修复更新等,虽然我们手中握着杀死木马的利器,但是防范于未然,提高自身防范意识,才能让木马设计制造者无机可乘。

5.2 木马病毒防范细节

在面对木马病毒的防范,有一些小细节当然也需要注意:

(1)禁用OE自动收发邮件功能。

(2)安装杀毒软件,并及时更新。

(3)禁用文件系统对象FILESYSTEM OBJECT.

(4)对于文件的扩展名不进行隐藏,及时对新建文件的扩展名的进行检索,出现异常的文件要及时进行检索查杀。

木马程序范文第10篇

关键词:文件关联;木马;自启动

中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)17-4055-02

Implement of Trojan Horse's Auto-start by File Relationship

ZHUANG Xiao-mei

(Guangdong Peizheng College, Guangzhou 510830, China)

Abstract: Trojan horse is a computer program with remote control function. File relationship is one of the methods of Trojan horse's auto-start which has three main techniques. We analysis the tree main techniques in detail, then implement the Trojan horse's auto-start in VC++ programming to reveal the principle of the method deeply.

Key words: file relationship; trojan horse; auto-start

1 木马启动的方式

木马是一种能实现远程控制的黑客程序,具有窃取密码,屏幕控制,文件传输等危害[1]。从广义上来讲,木马是一种病毒,但不具有自我复制的特点,因此,木马要使用各种方法让程序在计算机上运行而又不被用户发现。木马首次被执行后可能被用户关闭或木马程序随着计算机的重启或关闭,因此木马还需要解决自启动的问题,以达到长期控制被害机器的目的。木马常用的启动方法有以下几种:

1.1 通过注册表

Windows操作系统的注册表提供了一个注册表项,它的具体路径是:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。通过该表项可以实现程序的自启动,一些重要的程序也是通过该表项来实现自启动的,例如输入法程序,防火墙程序等。而该表项也为木马的启动提供了可乘之机,一些木马就是利用该表项来实现自启动,例如冰河。

1.2 通过服务

Windows的很多后台服务是通过系统“服务”程序来启动的,例如www服务,telnet服务等。一些木马程序也会注册成后台服务从而随着计算机的启动而运行。例如某些版本的灰鸽子就是使用这个方法。一些论文[2]详细讨论了这种方法的实现。

1.3 通过文件关联

文件关联是指木马与某一种类型的文件或程序关联在一起,当打开文件或程序被运行时,木马也悄悄随着运行。木马一般选择与常用的文件建立关联,否则即使建立了关联,木马也可能由于文件没有被打开而不能自启动。冰河除了使用注册表的方法外,也使用了关联的方法,它通常关联文本文件,当然也可能关联其它类型的文件。而广外女生则关联了EXE文件和COM文件,因此,任何一个EXE文件运行都启动了木马程序。一些论文[5]讨论了另类的文件关联的方法。

2 文件关联的关键技术

用文件关联的方法实现木马自启动有三个关键技术,一是如何与文件或程序建立关联;二是调用正常的程序;三是如何获得用户需要打开的文件名或程序名。本文以关联文本文件为例进行讨论,并在VC++下编程实现。

2.1 建立文件关联

一个文件可以用某个程序打开,也可以用另外一个程序打开,但有一个默认的打开程序。默认的打开程序其实是由注册表来决定的。在Windows的注册表HKEY_CLASSES_ROOT表项中,包括很多类型的文件的相关信息,例如文件的图标,文件打开程序等。如果想修改文件的默认打开程序,修改这个注册表项就可以了。因此,当我们要与文本文件建立关联,通过程序修改注册表项HKEY_CLASSES_ROOT\txtfile中的shell\open\command键的键值为木马程序就可以了。正常情况下,该键值的内容为notepad.exe %1,其中%1表示txt文件名。

2.2 调用正常的程序

通过修改注册表,木马能够随着用户双击文件而悄悄运行了,但如果默认的正常程序没有运行,便会引起用户的怀疑,所以木马还需要解决运行正常程序的问题。对于文本文件,默认的打开程序是记事本程序,因此木马还需要调用记事本程序,也就是notepad程序。

2.3 获得文件名

木马调用记事本程序的同时,还要获得用户所需要打开的文件名(一般是用户双击的文件名),同时把文件名传递给记事本程序,这样用户所看到的就是文本文件被正常打开了。

3 编程思路及实现

在本文中,我们的木马程序命名为server.exe,我们的目标是server程序首次执行时(server程序的首次执行可以通过欺骗用户或捆绑文件等方法来实现),把server程序与txt文件建立关联,此后每当用户双击一个txt文件时,server程序就悄悄地运行,同时txt文件能正常地显示在记事本程序中。因为server程序是悄悄运行,所以用户看到的仅仅是一个记事本程序把txt文件打开了。程序首先实现文件关联,主要通过修改注册表实现;程序获得txt文件完整路径及正确文件名;调用notepad程序,并把获得的文件名传递给notepad程序。当然,server程序作为木马还应包括其它功能,但这些功能不在本文讨论之列。

3.1 文件关联的实现

与txt建立关联的方法是,修改注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command项,把它的键值修改为server.exe程序。这需要用到注册表RegOpenKeyEx()函数以及RegSetValueEx()函数。这部分关键程序代码如下:

//写入注册表,建立关系

HKEY hKey;

HKEY hKey1;

//找到注册表项

LPCTSTR lpCommand="txtfile\\shell\\open\\command";

//打开注册项Key

long

lRet1=RegOpenKeyEx(HKEY_CLASSES_ROOT,lpCommand,0,KEY_WRITE,&hKey1);

if(lRet1==ERROR_SUCCESS)

{// 定义并获得木马程序名

char pFileName[100]={0};

DWORD dwRet = GetModuleFileName(NULL, pFileName, MAX_PATH);

char tt[200]={0};

strcpy(tt,pFileName);

strcat(tt," %1"); //%1表示txt文件本身

//添加一个子Key,并设置值

lRet1=RegSetValueEx(hKey1,NULL,0,REG_EXPAND_SZ,(BYTE*) tt,strlen(tt));

//关闭注册表

RegCloseKey(hKey1);

3.2 调用正常程序的实现

在server中调用notepad主要用ShellExceute()函数,详细的函数调用见“获得文件名的实现”部分的代码。

3.3 获得文件名的实现

由于已经建立关系,当用户双击一个txt文件时,server.exe则会启动,而txt文件名则需要用GetCommandLine()函数进行并且进行处理,这是GetCommandLine()函数所获得的文件名包括一些空字符以及server程序路径以及程序名等。

char *ptr=(char *)GetCommandLine();//获得文件名,如果没有双击txt文件名,则这个文件名是server程序名

int j,k;

j=0;

j=strlen(ptr);

k=strlen(pFileName);//server路径及程序名长度

k=k+3;

if (j>k) //用户双击txt文件

ShellExecute(0,NULL,"notepad.exe",ptr+k,NULL,1);//调用notepad 并且把txt文件名传递给notepad程序。

4 小结

木马的自启动方法对黑客实现控制被害机器是至关重要的一项功能。关联文件的方法是木马实现自启动的常用方法之一。建立关联,调用正常程序以及获取用户打开文件名是这种方法的三个关键技术。本文讨论木马关联txt文件的实现技术和方法,并在VC++中编程实现。木马的自启动还应考虑是否运行多个木马程序的问题,也就是程序互斥的实现,程序在这一方面并没有解决和实现这个问题,如果解决了这个问题,则程序则更加完善。

参考文献:

[1] 赵树升.计算机病毒分析与防治简明教程[M].北京:清华大学出版社,2007.

[2] 刘功申.计算机病毒及其防范技术[M].北京:清华大学出版社,2007.

[3] 石志国.计算机网络安全教程[M].北京:清华大学出版社,2009.

[4] 曹光辉,鄂旭,杜颖,马雨时.一种全新的木马自启动方案[J].渤海大学学报(自然科学版),2008,(29):390-393.

上一篇:vb程序设计范文 下一篇:听证程序范文