木马检测范文

木马检测范文第1篇

木马程序一般采用的是客户端/服务器模式，是一种基于C/S模式的远程控制技术，客户端是控制端，用于黑客远程监视和控制植入木马的计算机，主要运行在入侵机中，服务器端是被控端，木马采用欺骗或者漏洞攻击等手段把服务器程序安装到受害者的计算机中，即“植入木马”，也就是我们所说的计算机“中了木马”。如果将木马植入并且成功触发的话，控制端和被控制端就会按TCP/IP协议来进行通信，这样控制者就会获得被控制者的一些信息[7]。木马的工作原理如图1所示，在目标机上执行服务器端以后，木马就会打开一个默认的端口来监听，在客户机向服务器发出连接请求的指令后，服务器上的相关程序就会自动运行该请求，二者建立连接后，客户端发出指令，服务器端在计算机中就会执行该指令，同时把数据传回客户端，以此来控制主机。

2行为分析技术在木马检测中的应用

21木马行为特征行为分析方法在木马检测中的应用，简单来说，就是在运行程序的过程中，如果检测出具有木马的行为特征，如进程隐藏、在注册表设置自启动项等，那么该应用程序则有可能是木马，所以首先应该对木马行为特征进行确定。木马行为特征，是指木马在代码上所具有的共有特点。对其确认的步骤主要是：通过观察大量的己知木马的动态行为，从里面提取出有别于合法程序的比较明显的行为特征，记录下来，再通过和各个木马的行为特征比对，从里面提取出所有的木马或是大多数的木马所具有的行为特征。

2．2行为分析技术行为分析是一种新的检测技术，可以主动进行防御木马攻击。该技术和传统的木马检测技术不同，它通过捕获某个程序行为，再和木马或者病毒所特有的一些行为特征对比分析，然后再通过一些算法像贝叶斯算法、概率论等，或采用数据挖掘技术来对该程序是木马或是病毒的可疑程度进行推断。该检测方法能够及时有效地发现新型恶意代码，是目前国际上反木马技术的新趋势。木马行为特征库可以归纳总结出来，如果单纯依赖木马行为特征库，只要运行的程序中出现了单个具有木马行为特征的行为，就认定其为木马，会带来较大的误报率，比如：修改注册表项，大部分木马程序具有该行为特征，可以将其作为区分合法程序的行为特征，但是一些合法程序也具有在注册表设置自启动项等一些修改注册表项的行为特征，如桌面工具类软件、迅雷、QQ程序的安装等，而且并不是所有的木马程序都会进行注册表项的操作，所以在考虑木马行为特征的同时，还应关注合法程序区别于木马的行为特征，通过多项特征的组合来作为判别木马程序的依据，从而降低误报率和漏报率。M.schultZ等人最早提出了采用朴素贝叶斯算法等来检测未知的恶意程序代码，因其具有较强的概率推理能力，可以通过对样本的多个属性的取值来对样本分类，而且它们都可被用来对未知的类别样本分类，这和把行为分析技术用来判定未知木马的目的一致，所以不仅可以用来检测已知的木马，对未知的木马或是已知的木马变种也能检测出来。

3朴素贝叶斯算法在木马行为分析中的应用

假设已知的木马的个数为m，合法的程序个数为n，行为特征具有k个(m>0，n>0，k＞0，且m、n和k均为整数)。把m个木马里具有第i个行为特征的木马数记为(k≥i＞0，且i为整数)。假设有一个可执行程序，该程序既不在m个木马程序中，也不在n个合法程序中，但该程序具有k个行为特征中的1个行为特征，不具有另外(k-l)个行为特征，那么需要判别该程序是不是木马程序。

4基于行为分析的木马检测模型

在上述理论的基础上，结合监控技术，设计了一个基于行为分析的木马检测模型，采用朴素贝叶斯算法作为可疑行为分析模块的检测算法。基于行为分析的木马检测模型如图2所示。图2基于行为分析的木马检测模型(参见右栏)各模块主要功能说明如下。程序实时监控模块：对系统内部的可疑行为进行监控，在此归纳了几种常见的木马行为属性，主要有进程隐藏，界面隐藏，注册表修改，自动运行，安装钩子，线程的注入等。这些行为在普通程序中出现的概率远小于在木马中出现的概率，木马在运行过程中会暴露这些属性，它们是分析检测木马的重要依据。目录文件监控模块：本模块对系统存储的重要文件或者对用户重要的文件、文件目录实施操作监控，实时记录下用户对特定文件或目录创建、修改、重命名及删除操作，由于偷窃性是木马的一个重要特征，最终会将偷窃的敏感文件或数据通过网络向外在的控制端进行数据的传输，所以会同时将相关数据发送给网络监控模块进行监控。

网络监控模块：对局域网中各机器网络通信情况进行检测，通过网络监控发现网络通信的异常。主要根据目录文件监控模块传来的进程PID、进程路径名等一些进程信息对网络情况进行监控，由此可以得到该进程打开的端口号和传输情况。而对一些无连接、隐藏通信端口的木马，通过网络监控不易发现时，却也很有可能通过行为特征的分析将这些木马检测出来。本模块和目录文件监控模块除了确定木马在系统中如隐藏、修改注册表等一系列行为特征外，还可以一起来确定另外一个决定性特征：文件偷窃特征。可疑行为分析模块：在此模块中采用朴素贝叶斯算法对木马行为特征进行分析，通过第3节的分析，P(X|T)、P(T)、P(X|LP)和P(LP)做为先验概率是可以事先算出来的，然后再按照公式3-3，3-4和判断条件进行木马行为的判断。由于朴素贝叶斯算法的最大特点是不需要搜索，只需简单地计算各个行为特征发生的频率数，就可以估计出每个行为特征的概率估计值，因而用朴素贝叶斯算法判别木马具有较高的效率。木马杀除和报警响应模块：对检测出的木马做最终处理，当检测到有木马攻击的时候一方面采取切断TCP连接等措施对木马进行阻止或删除；另一方面向用户或管理员发出报警，弹出相应的警告窗体，记录着木马的发送时间，木马类型、其源MAC地址、目的MAC地址、源lP地址、目的IP地址等关键信息。管理员或审计员可以对报警信息进行查看，可以通过电子邮件查收，同时可以根据需要生成审计报告，为其提供决策支持。另一方面将审计结果进行存储，把告警信息存入网络审计数据库。

5结束语

目前，行为分析技术是国内外反病毒、反木马等安全领域研究的热点，其优点是在一定程度上可检测出新型木马。本文提出一种基于行为分析的木马检测模型，结合监控技术，采用朴素贝叶斯算法通过对木马运行起来所表现出来的木马行为特征进行判定，可对各种已知和未知的木马进行查杀，从而达到有效地防御、检测木马的目的。

木马检测范文第2篇

关键词：HTTP隧道木马；原理；检测方法

中图分类号：TP309.5文献标识码：A文章编号：16727800（2012）009015202

0引言

随着互联网的飞速发展以及网络中病毒木马程序的日益泛滥，防火墙已经成为保护局域网络中主机免受恶意程序侵害的一道屏障。随着防火墙技术的日益成熟，很多传统远控型木马程序已经失去了其发展空间，然而一种新型的利用HTTP协议隧道的木马又出现了。本文将主要介绍该类木马的运行原理以及目前针对该类木马的主流检测方法。

1HTTP协议隧道

HTTP协议隧道位于应用层，是将需要传输的数据封装在HTTP协议格式数据包中，通过HTTP协议在网络中进行传输，当HTTP数据包抵达目的地后对HTTP数据包进行解包，得到真实的数据。HTTP协议隧道分为直接型和中转型两种模式。

1.1直接型模式

此模式中每台主机都既作客户端又作服务器，可以相互通信。在客户端中，数据经过HTTP隧道软件使用HTTP协议进行封装，然后通过80端口或者8080端口发送到对方主机。服务器端收到数据后对HTTP包进行解包操作得到实际传输的数据。

1.2中转型模式

此模式中有一个专门的HTTP隧道服务器，负责接收客户机的请求，然后与目标主机通信，将客户端传过来的数据交付给目标主机。在客户端与目标主机之间仍使用HTTP协议对数据进行封装后传输。

2HTTP隧道木马原理

HTTP隧道木马与传统木马程序在功能上基本一致，主要差别在于通信方式上。传统木马，不论是正向连接型还是反向连接型，基本都是通过高于1024端口进行通信，然而现在的很多杀毒软件以及防火墙对于这些端口的检测会较为严格，从而使得木马程序容易暴露身份。而随着B/S模式的广泛应用，越来越多的网上流量都是通过HTTP协议进行传输，因此绝大多数防火墙对于HTTP协议都采取进行简单协议结果判定后直接允许其通过的策略，而这样的策略就给了木马程序以可乘之机。

HTTP隧道木马利用HTTP协议隧道，将自己需要传输的数据利用HTTP协议进行封装，然后经由HTTP协议专用端口80端口或者8080端口与外部服务器进行连接，服务器在得到数据以后进行简单的HTTP协议解包就可以得到实际的数据。

一般此类木马选择的HTTP协议隧道类型均为上一节中介绍的中转型模式。在木马实际运行过程中，客户端（即控制端）首先将待执行的命令以文件的形式存放在HTTP隧道服务器中，而对于服务端（及被控端），每次上线后会主动请求连接HTTP隧道服务器，然后用GET或者POST命令请求服务器中的特定文件（预先设定好的存放命令的文件）。如果文件中有需要执行的命令，则在被控端主机上执行相应操作，然后将数据封装成HTTP数据包回送给HTTP隧道服务器，如果文件中没有命令需要执行，则服务端断开连接，一段时间后再次以相同方式询问是否有命令，如此往复。通过此流程，HTTP隧道木马就可以借用HTTP协议躲避防火墙的阻拦与控制端进行通信。

3主流检测方法

针对HTTP隧道木马的检测方法目前主要存在下面的三大类：基于签名的检测、基于协议的检测以及基于操作行为的检测。下面分别对3种检测方法进行介绍。

3.1基于签名的检测（SIGNATUREBASED DETECTION）

该方法主要通过检测HTTP协议数据包定的数据式样来判断是否是可疑的HTTP数据包。这里所谓的特定的数据式样，指的是比如“cat c：”、“cat d：”、“del c：”、“PWD”、“RETR ”、“cmdc：”、“cmd net start”等字串。这些字串一般为计算机的一些操作指令，如果HTTP数据包中含有这些数据式样则将其判定为使用HTTP隧道进行传输。

然而这种方法也存在一些问题，比如很难准确找到有哪些数据样式只存在于HTTP隧道木马传递的数据包中而不可能或很少出现在正常网页里，因为HTTP协议是基于对象的协议，可以传输任何类型的文件，我们不能保证这些文件中不会出现所定义的“数据式样”，因此此方法在实际运用中可行性较低。

3.2基于协议的检测

由于很多HTTP隧道木马在进行HTTP隧道传输时都只是进行了一个简单的HTTP协议封装，即在数据外加上了一个HTTP头部，然而这种简单的协议封装往往在很多时候不符合实际的HTTP协议正常的格式。并且在数据交互的过程中，HTTP隧道木马一般只是简单发送单个HTTP数据包，而不会完整执行整个HTTP协议中规定的一整套交互流程。根据这些协议上的特点可以对HTTP隧道木马进行检测。

然而在有些情况下这种方式仍不能正确地对该类木马进行准确识别。比如木马程序为了伪装而进行一系列虚假的HTTP协议交互过程，从协议层面上看该过程完全无法分辨出是否为木马程序。

3.3基于操作行为的检测

该方法主要提取了HTTP隧道木马程序在网络会话上的一系列特征，如：数据包大小、数量、会话时长、会话上传数据量、会话上传数据量和下载数据量之比以及会话平局上传速率等。然后基于这些特征采取数据挖掘技术，对HTTP隧道木马进行分类，对其建立相应木马网络会话特征模型，根据此模型对其进行检测。

资料显示，此种检测方法在HTTP隧道木马程序检测方面的效果较好。此方向研究者较多，各研究者之间差别在于采取的特征选取有细微不同，以及采取的分类算法存在一定差异。

3.4分析比较

分析了3种当前主流HTTP隧道木马检测技术以后，我们可以看到，第一种技术基本无法单独运用于真实环境下的木马检测，在某些情况下可以作为辅助条件进行木马判定；基于协议的检测方法存在一定的适用性，但是也很容易被木马绕过，因此会导致实际使用的效果不佳；而第三种方式则相对显得效果更好，有很好的实用性。

4结语

本文主要就HTTP隧道木马的运行原理进行了介绍，然后对目前主流的HTTP隧道木马检测方法进行了分析比较。通过分析几种当前提出较多的HTTP隧道木马检测方法，得到当前检测该类木马程序最有效的方法在于对木马网络回话中的一些特征进行分类处理，建立该类木马特征模型，然后进行检测。

参考文献：

[1]许治坤，王伟，郭添森，等.网络渗透技术[M].北京：电子工业出版社，2005.

[2]李俊林.通用性HTTP隧道检测技术研究[D].成都：电子科技大学，2006.

[3]CASTRO，SIMON. Covert Channel and Tunneling over the HTTP protocol Detection：GW implementation theoretical design[J]. Nov，2003（16）.

木马检测范文第3篇

关键词：木马 基因

1　木马程序简介

木马是一种新型的计算机网络病毒程序。它利用自身所具有的植入功能，或依附其它具有传播能力的病毒，或通过入侵后植入等多种途径，进驻目标计算机，搜集其中各种敏感信息，并通过网络与外界通信，发回所搜集到的各种信息，并能接受植入者指令，完成其它各种操作，如修改指定文件、格式化硬盘等。当木马被应用在入侵和攻击方面时，它显示出巨大的危害性。一个典型的木马程序通常具有以下四个特点：有效性、隐蔽性、顽固性和易植入性。

(1)有效性：是指入侵的木马能够与其控制端建立某种有效联系，从而能够充分控制目标机器并窃取其中的敏感信息；(2)隐蔽性：木马病毒必须有能力长期潜伏于目标机器中而不被发现：(3)顽固性：是指有效清除木马病毒的难易程度；(4)易植入性：木马病毒有效性的先决条件。木马技术与蠕虫技术的结合使得木马病毒具有类似蠕虫的传播性，这也极大提高了木马病毒的易植入性。

2　木马病毒的新发展

2．1加壳技术

所谓“壳”就是专门压缩的工具。是针对exe、tom和dll等程序文件进行压缩，在程序中加入一段如同保护层的代码，使原程序文件代码失去本来面目，从而保护程序不被非法修改和反编译，这段如同保护层的代码，称之为程序的壳。程序的壳有以下作用：(1)保护程序不被修改和反编译；(2)对程序专门进行压缩，以减小文件大小，方便传播和存储。

目前的防火墙和杀毒软件虽然也具有了一定的脱壳能力。但病毒加壳又使用了新技术。

(1)加多层壳。这个加壳方法就是用两种相同或者不同的加壳工具对木马进行双重加壳，这样就等于将木马程序进行了两次压缩计算，自然就会逃脱杀毒软件和防火墙的第一层过滤。使用的加壳算法越多，逃脱防火墙和杀毒软件查杀的几率就越高。

(2)换壳。就是把原来的壳脱了换另一种壳。如FSG就是使用这种方法。还有就是用GUW32脱了再加壳，对于脱壳不干净的软件用UPXpr技术处理再加壳，也可以定制加壳软件和定制壳。

2．2多态和变形技术

病毒多态是使病毒能够改变自身存储形式的技术，使传统的依靠特征值检测的技术失效。变形则在多态的基础上更进一步。对整个病毒体都进行处理，使不同病毒实例的代码完全不同，不但没有固定的特征码，而且也无需还原成没有任何变化的病毒体。

3 引入基因机制检测木马病毒

目前，木马程序的查杀主要还是使用特征码的查杀毒方法，但是它的弊端也是众所周知的。在入侵检测领域，无论是基于统计的入侵检测还是基于规则的入侵检测，它们的数据源都是从病毒的攻击或者是表象出发，首先获得病毒或者黑客的攻击表象，然后提取出特征，再抽取表达成模式或者规则，供入侵检测系统进行检测和识别。对这种杀毒机制而言，高频的升级都是滞后的。并且难以发现未知的木马模式，也是制约它们进一步发展的瓶颈。我们必须透过病毒程序的表象看到它们的本质特征，即借鉴生物体的生物机理和机制，将基因机制引入信息安全领域。针对病毒的变形和多态，可以追溯到病毒和恶意软件的本质，即运行时的核心序列和动作，如系统调用序列等，也就是基因层。在基因层面上，部分多态病毒和恶意软件，有的基因一样，有的能从它们的相似度上面找到多态和变形病毒程序之间的亲缘关系，找到查杀抑制病毒的多态和变形的方法，指导一条切实可行，而且高效的途径。对于基因机制引入病毒检测和防护领域，包括以下几个方面：

(1)表象到本质(基因)。从病毒的表象出发，找出病毒程序的本质或者是深层次的根源如系统调用序列，提取出类似生物体中的基因片段，每一个基因片段都对应一个或者多个病毒表象。

(2)单个基因入手。找出病毒基因，关注基因变异(称病毒的基因片段为病变基因，相应的正常程序那部分为正常基因)，进而使用基因疗法，用好的基因来置换和修复病变基因、基因修饰和基因失活。

(3)基因片段组合入手。恶意软件中对应的一些基因片段，孤立地看它们都是正常的，但是当它们组合以后，便是一个恶意程序，如木马程序。在这种情况下，我们关注的是基因片段之间的关联关系，打破这种关联，也就可以达到防止这些恶意软件的目的。

(4)已知基因到未知基因。对基因进行诱发变异，产生新的基因。使用的具体方法是：一是定向诱变，就是使用一些领域的知识进行启发式诱变；二是表型诱变，对未知基因进行诱变，发现新的显性和隐性基因突变体及功能改变。

4 引入基因机制的可行性分析

(1)计算机病毒单基因存在的可行性：在信息安全中有些病毒或者恶意程序自身的复制能力很强，也就是具有自我复制性。

针对这类病毒，如果能够找出它们自我复制的那部分基因片段或者强行向EXE文件中写入代码的基因片段，就可以借鉴生物上面的基因疗法，首先是报警，然后可以用正常的基因片段来对病变基因进行替换，从根本上达到检测和防治病毒的目的。所以引入单个计算机病毒基因机制是可行的。

(2)计算机病毒基因组存在的可行性：计算机中的程序基因从单个基因角度看时是正常程序也拥有的基因片段，但是它们组合后产生的症状就是恶意程序的典型表现。

5　结束语

木马检测范文第4篇

关键词：行为序列；模糊判定；计算机；木马；检测；方法

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 16-0000-01

Behavioral Sequence Gray Fuzzy Detection Method in the Computer Trojan Determine Analysis

Zhang Liang

(Weifang Branch of China Unicom,Weifang261041,China)

Abstract:Computer Trojan is hidden in the computer for malicious software,the need for clear,to ensure the normal operation of computer and data puter Trojan is difficult to determine,for this problem,a behavior sequence to determine the gray blur of the computer Trojan detection.Determination of the specific method for computer network communication,boot,run and hide aspects of self-protection to detect Trojans,allow the computer to normal procedures and an effective distinction between Trojan horse programs.Discuss the principle of detection of Trojan horses,to improve computer security protection.

Keywords:Behavior sequence;Fuzzy decision;Computer;Trojans;

Detection;Method

木马是计算机中严重威胁数据安全、影响运行的一种恶意程序，木马的检测和判定一般分为动态和静态两类。动态检测是对系统的资源条件进行监控，将程序在启动、安装和运行中的动作同木马动作匹配后进行判定。比如在Windows操作系统下，木马隐藏启动的主要方式是修改系统启动脚本文件、写注册表、注入系统文件等，在动态检测中，通过监视系统文件和注册表项状态判定木马。静态检测是指对木马程序进行静态特征分析提取，然后根据木马特征，对程序使用判定规则进行推理判定。比如通过静态分析PE文件，对程序运行时可能调用的API集合进行获取，再拿来匹配木马攻击常用的API调用序列，结合静态危险指数判定木马程序。木马检测方法有很多，但是对于单一的检测方法来说，漏报和误报的问题仍然得不到有效解决。探讨行为序列灰色模糊判定下，木马检测的方法，为实现计算机木马程序的有效判定起到促进作用。

一、木马检测

木马检测有基于行为的木马检测和基于行为序列的木马检测。基于行为的木马检测是先将一系列的异常行为规定为规则，在系统运行的过程中，通过监视在运行的程序的行为，再与规则相比较，从而判定该程序是否为木马。在分析木马行为的时候，又可以从主机资源访问行为、网络行为、主机系统调度行为三个方面进行。其中主机资源访问行为是指木马程序对目录、文件、键盘、注册表、屏幕等操作，常常发生在木马进行隐藏运行和开机启动的时候。网络行为主要是指木马使用协议发起端口复用、打开端口、建立连接、域名解析、传输数据等操作，常常在木马网络通信中使用。而主机系统调度行为主要是指木马对运行中系统的线程、进程、系统函数、加载的模块等的操作，常常在木马自我防护和隐藏允许的时候使用。基于行为序列的木马检测是对木马程序行为分析的基础上进行的判定操作，难点在于异常行为的界定。在计算机的发展中，特别是恶意代码实现技术中的隐藏技术的长期发展，以及大规模的应用自动升级和P2P技术，已经越来越难界定木马与正常应用程序，如果是单一角度的行为检测已经完全不能解决问题了。但是，木马程序从根本上还是显著区别于正常程序的，将木马行为序列和可疑行为序列进行比较，可以提高木马检测的检出率。

二、灰色模糊判定下计算机木马检测方法

木马设计方案为行为检测方法得到的多个可疑程序的行为序列，而设计方案的评价指标为实现隐藏运行、网络通信、自我防护、开机启动二级目标使用方法可能被木马使用的概率，这样，就将木马的判定问题转换为了木马决策问题。而评价的四个指标都是定性的，首先使用模糊数量化处理指标，在灰色关联分析的基础上，使用模糊优选模型对木马方案进行排序，再结合危险指数判定木马程序。

在这个木马检测方法中，首先是要量化处理评价指标。木马程序使用不同方法实现隐藏运行、网络通信、自我防护和开机启动的概率不同，在对程序行为判定是否为木马的时候常常使用很可能、可能和不太可能等进行定性描述，然后使用梯形模糊数量化处理这些评语。量化处理评价指标过后是对方案属性指标的规范化，而规范化的第一步是确定理想方案指标序列，是比较属性指标的优劣。第二步是模糊数的规范化，在评判的时候，需要消除量纲的影响，使度量尺度统一，规范化处理属性指标，使评判保证等效性。然后还要确定灰色模糊的优属度，通过对方案的理想参照序列和比较序列进行关联分析，得到方案指标相对其理想值的灰色隶属度，再确定灰色模糊的优属度。最后，结合危险指数，判定行为序列是否为木马。

三、讨论

行为序列灰色模糊判定下计算机木马检测方法，是使用主机资源访问行为、网络行为和主机系统调度行为检测技术，实现对木马攻击树叶子节点方法的全部检测，通过对可疑程序行为序列的构建，计算灰色模糊的优属度，结合危险指数，判定木马程序。当然，在本文中仅仅在大致上说明了此方法的原理以及总体思路，具体实施起来还需要很多的细节进行完善、很多的具体数据进行探讨，才能最终形成一个完整的行为序列灰色模糊判定下计算机木马检测方法，从而更好的保证计算机数据的安全。

参考文献：

[1]高伟.基于灰色模糊优选模型的上市公司投资价值评价[J].财会通讯,2010,19:95

[2]杨玲,孟传良.基于启发式分析的木马检测技术研究[J].现代机械,2006,4:58

木马检测范文第5篇

木马特征综合分析

木马的大肆传播已给国家造成了巨大损失。2009年5月,工业和信息化部下发了关于印发《木马和僵尸网络监测与处置机制》的通知,明确了相关主管机构与广大的互联网用户各自的责任和义务,规定了对木马和僵尸网络的“监测和通报”、“处置和反馈”两个主要流程及通报内容。

北京鼎普科技股份有限公司总裁于晴说,木马本身也是一段能够完成一定功能的代码,与其他合法应用程序在程序结构、程序运行机理方面并没有本质的差异。因此从程序内在结构、程序运行机理等方面无法从正常的合法应用程序中检测出木马程序。

合法应用程序是为目标系统和用户应用服务的,其运行和各种操作都是善意的,因此不需要进行刻意隐蔽。但是,木马程序的目的是危害和破坏被攻击的目标系统。如果木马的运行和各种恶意操作“光明正大”地进行,就会被目标系统的用户或管理软件及时发现。所以木马会采用各种手段对其自身的行为进行隐蔽。

因此,木马与合法程序的区别就在于木马行为的隐蔽性和目的的恶意性。于晴说,从这两点区别入手,控制木马植入、隐蔽和恶意操作行为所需要的资源条件,监控木马运行、通信、启动的隐蔽行为和恶意操作,就可以对木马的检测和防范起到较为理想的效果。

记者了解到,鼎普木马监测与评估系统可以对已知或未知木马进行监测与评估,综合分析木马行为特征,如目的IP地址、端口等已获取的特征及注册表、启动服务等未知动态活动特征;与此同时,对木马的最终目的――窃取关键信息进行分析判断,直接对关键信息进行内容匹配来判定有无感染木马或被窃取重要信息。

根据不同的应用环境需求,鼎普科技提供了两套解决方案:单机版木马检测方案与网络版木马检测方案。单机版木马检测主要通过对木马静态特征的分析以及动态行为的判断进行检测,而网络版木马检测方案则可以高效地检查整个网络中是否存在木马,准确地判断出网络中感染木马的主机,并协同单机版木马做进一步的深度检查。

掀开木马的外衣

木马隐蔽技术的发展使得木马植入目标系统后在目标系统中越来越隐蔽。传统的基于静态特征的木马检测技术,不仅面对已知木马的各种隐蔽和变化,检测能力不足,对于未知的木马更是无能为力。鼎普科技通过控制木马的植入、隐蔽、恶意操作所需资源以防范木马;通过扫描监控注册表、文件和目录、端口进程关联和可疑调用行为、过滤分析网络通信等来检测木马。

单机版木马检测系统以光盘或防病毒U盘为载体,可以对未知木马变种进行动态特征的深度检查和分析。通常人们在查木马的时候都是利用查杀软件在每一台电脑上逐一扫描检查。这样的检查方式对于个人应用来说,还是很方便的,但对信息安全监管部门来说,如果要检查某一个网络中是否会因为存在木马而导致信息泄露,这样的逐台检查就非常费时费力了。

于晴表示,鼎普科技根据这一需求,开发了网络版木马监测与分析评估系统。该系统首先通过专用网络木马扫描设备扫描并分析网络中的所有主机,并进行木马特征分析与重要信息匹配,准确判断并定位网络中感染木马的主机,然后再用单机版木马检测系统去做深入检查,从而可以大大的提高整个网络中木马检测与分析的效率。

木马检测范文第6篇

准备工作

首先，准备自己需要免杀的木马，这里我们选择了查杀率最高的木马之一――上兴木马。上兴木马是除灰鸽子外最为流行的木马之一，各大杀毒软件都针对这类木马准备了多套查杀特征码及手段，因此免杀上兴木马是比较困难的，这也正好用以检测我们所使用的免杀方法效果到底怎么样。

另外，以前要制作免杀木马时，往往必须在系统中安装多款杀毒软件以进行免杀效果检测，反复安装卸载杀毒软件非常的麻烦。这里我们准备了一个在线查毒的网站“VlrSCANorg”。这是一个用于检测文件是否有病毒的多病毒引擎查毒站点，上传文件后可调用数十款杀毒软件引擎进行病毒检测，其中包括国内常用的各大杀毒软件，如金山、瑞星、江民、卡巴斯基、趋势、诺顿、Macefee等。

用VirSCAN网站检测刚制作好的上兴木马，检测结果显示，大部分杀毒软件都报警有病毒。下面就看看我们如何让检测结果中的红色报警全部变成正常通过吧!

修政PE文件头

下载“MaskPE 2.0”工具，这个工具可修改PE文件，用于生成免杀的木马或病毒。不过现在MaskPE已经不能实现免杀的效果了，我们只是用它来修改一下上兴木马的PE文件头，用于增加杀毒软件查杀的难度。至于一些普通不常用的木马，也可以省略这个步骤。

运行MaskPE，点击“LoadFile”按钮，浏览指定刚才生成的上兴木马文件。然后在下方最右边的下拉列表中选择加密类型为“Type2”或“Type3”，对于Tvpel加密的程序在运行时会还原，所以可能无法通过内存检测。最后点击“Make File”按钮。就可完成木马文件的PE修改了。

修改后的PE文件上传到VirSCAN网站上检测，发现经过修改后。仅免杀了其中一款不常见的杀毒软件。不过我们的目的仅仅是为后面的免杀作准备而已。另外，需要备份并运行PE修改后的木马文件，看看木马是否能够正常上线。

核心――加密壳

现在到了今天我们免杀技术的核心――加密壳。加壳是一种常见的免杀方法，但是以前我们介绍的都只是加上Aspack、UPX之类的普通壳，这些壳只属于压缩壳。虽然可以对木马起到加密的作用，但是现在各款杀毒软件早就能轻松的脱壳反查出木马了。今天要使用的是“加密壳”，这类壳与普通壳不同，是由一些厂商为保护软件而开发的特殊壳，可对程序的所有资源进行特殊的加密，根本无法进行反编译脱壳和还原破解。用加密壳加密过后的木马。杀毒软件无法进行脱壳查杀，因此可以突破杀毒软件实现免杀!

Themida加壳

Themida一款优秀的商业保护壳，强度非常高。直接下载运行“Themida 18.5.5正式版”会提示缺少文件，需要再下载“ThemidaFiles”，解压后将所有文件复制到“Themida1.8.5.5正式版”目录中，即可正常运行。

运行Themida后，点击窗口中“lnput Filename”后的浏览按钮，浏览指定刚才修改过PE的木马文件，在“OutputFilename”处浏览指定木马加密保护后的文件路径。然后点击工具栏“Protect”按钮，即可打开加密保护对话框，点击“Protect”按钮即可开始进行加密保护了。

加密保护完成后，将生成文件上传到VirSCAN网站上检测，发现加密后的木马文件。已经躲过了大部分杀毒软件的查杀。国内的三大杀毒软件及卡巴斯基等，已经对木马视而不见了!

ASProtct　SKE加密壳

ASProtect SKE是一款非常著名的加宿壳，用它来对木马加密免杀的效果也非常好!

运行“ASP rotect SKE 2.3 build 05.14 beta”，在“Options”选项页中，点击“File to Protect”处浏览按钮。指定修改过PE的文件，在“Output To Filename”处指定生成加密文件路径。在加密选项“Protections Options”处勾选“Resou rces Protetion”以加密资源，其它保护项可根据需要设置。在“CompressiORS Options”处设置压缩率为最高“Good Compression”。

再切换到“Mode”选项页。点击“Add Mode”按钮，添加一个加密模式“1”。在列表中选择压缩模式1，勾选下方的“IsThis Mode Active?”，将该模式激活。点击工具栏上的“Start Protection”按钮，即可开始进行加密压缩了。

用VirSCAN在线扫描ASProtect SKE$11密后的木马，结果显示国内常见的杀毒软件全部检测无毒，仅有几款来自国外的少见杀毒软件能够查杀!

补充――过主动防御

现在的杀毒软件不只用被动的查杀方式防御病毒木马，还采用了主动防御的方案，过主动防御也是病毒免杀的一个重要步骤。在国内的杀毒软件中，金山没有提供主动防御功能，可以不必考虑，瑞星的主动防御很脆弱，用Byshefl、evllotus之类生成的木马就可以轻松突破；而卡巴斯基的主动防御功能，一般是通过修改系统时间来突破的，在上兴之类的木马中都提供了修改系统时间功能：而对于江民杀毒软件的主动防御突破是比较困难的。可以使用一个叫作“过主动免杀壳1.0”的工具来实现。

运行过主动免杀壳工具，将刚才生成的免杀木马拖到程序窗口中，点击“加壳”按钮即可直接加壳完成。生成的文件可过常见杀毒软件的主动防御。效果不错。

MaskPE 2.0 http：//www．3800hk．com/Soft/lmhb/12113htmI

Themida 1.8.5.5正式版http：//www．pediy．com/tools/PACK/Protectors/Themida/Themida 1.8.5.5.rar

ThemidaF_les http：//WWW．pediy．com/tools/PACK，Protectors/Themida/ThemidaFiles，rar

ASProtect SKE 2.3 build 05.14 beta．http：//wwwpediy．com/tools/PACK/Protectors/ASP rotect/ASProtect_SKE_2.3beta0514．zip

木马检测范文第7篇

日前,360安全卫士正式了7.0正式版本,软件使用全新UI界面引擎,支持换肤,有效优化软件主程序,大幅提高软件启动速度,降低整体资源占用。并优化了包括插件、垃圾文件清理等功能,同时对评分、插件检测、识别等功能进行了完善;新增的新版流量管理,更可有效查阅流量状态;新版软件管理器,更可方便检测软件版本、升级和进行管理。

抢先下载:奇虎360安全卫士V7.0版

.cn/detail/36/358176.shtml

相关下载:360手机安全卫士

.cn/detail/16/156215.shtml

1.安装新版卫士 定制炫彩皮肤

通过官网下载自动安装文件,运行后会自动下载360安全卫士7.0版的核心组件,下载完成后自动启动安装。根据提示,选择好相应的安装路径后,即可快速完成安装,并随即启动,加载相应防护模块。

启动完成后,提示360安全卫士7.0版本的相关功能特性,如其提供有“炫彩换肤”功能,使得我们可以打造个性的安全卫士软件。并提供有新版的插件清理和网络流量监控功能,使得我们可以享受到专业安全工具提供的优质服务。

下载并安装360安全卫士7.0正式版(安装包、离线安装包)

360安全卫士7.0版新增功能(换肤、插件、流量监控新版)

360安全卫士7.0版提供的多套“炫彩”软件皮肤(部分)

同样,软件依然可通过“常用”快速检测系统安全隐患,并对系统当前的安全状态进行评分,以及提供相应解决方案来快速修复。通过“杀木马”来调用360安全卫士的“云查杀”引擎,调取“杀毒”模块(可自动调用360杀毒软件),启闭和设置实时保护状态、网盾状态,开启并使用360“防盗号”(保管箱)和调用软件管家功能等。特别是在检测、修复方面,新版的功能更为强劲。

360安全卫士7.0版软件评测项目:

一键检测威胁,新增模块体验;

体验“云查杀”,剿杀病毒木马;

最新木马样本,实测查杀效果;

威胁实时防护,抵御潜在威胁;

冲浪网盾随行,极速拦截修复;

切实“防盗号”,保管数据安全;

360软件管家,丰富实用组件。

2.一键检测威胁新增模块体验

在360安全卫士7.0版的“常用”功能模块中,通过检测和“评分”体系,一键检测安全状态,并根据提示快速完成修复。手动调取清理插件、漏洞修复和垃圾、历史痕迹清理,以及实时查看当前网络流量状态等。当检测到,如系统潜在恶意漏洞,急需修补,或存在隐患,如检测到“后门”程序试图运行或联机时,检测过程中也会弹出相应提示。

根据提示,我们快速进行相关恢复工作,比如查阅系统潜在的漏洞情况并快速在线修复、修复浏览器被篡改的信息、升级新版软件等。

通过360安全卫士快速检测、修复操作系统漏洞

修复模块(清理插件、漏洞扫描等)

同时,本次360安全卫士7.0版,还对插件监控和流量监控进行了升级。对此,我们先期植入部分恶意插件后,进行检测,可以看到,新版检测工具可以第一时间查出恶意威胁,并快速对其进行修复。

通过360安全卫士快速检测并清除不慎装入的恶评软件

而在“网络流量查看”中,则会详细罗列当前联机程序所占用和耗费的带宽资源(支持所有拨号和无线网络),我们选中对应程序后,通过邮件也可对其进行详细设定,比如禁止其访问网络等。新版同时提供了“网络查看悬浮窗”,开启后,通过桌面右下角的提示,可以实时了解当前的网络带宽利用状态。

通过360安全卫士“流量管理”实时查看带宽使用状态

当然,在一键检测也未能有效查找到潜在隐患,且意识到系统可能已“中招”,如出现运行速度缓慢,频繁弹出错误窗口,上网变慢,浏览器遭篡改等现象后,则可通过“杀木马”功能快速进行检测,而为真实检测360安全卫士7.0版本的木马检测能力,我们还将通过木马样本包,来对其进行实测。

3.体验“云查杀”剿杀病毒木马

在木马“云查杀”检测模块中,360安全卫士7.0版分别提供了“快速扫描”、“全面扫描”和自定义扫描三种方式,快速扫描系统关键位置,全面检测系统所有文件和根据实际所需,定位到对应目录,执行扫描和查杀操作。同时通过“更改设置”,还能设定其在检测到木马后的处理方式,选择是否在检测到威胁后,加入“云查杀”计划并提交分析(推荐)。

加入360安全卫士7.0木马“云查杀”计划

新版提供了包括快速、全盘、自定义三种扫描方式

启动扫描后,首先检测系统管理目录、启动对象和浏览设置信息,并开始对相关磁盘目录,或用户自定义的扫描区域进行检测。

同时,软件还提供有“隐私控制”和信任程序编辑功能,我们可关闭默认检测到威胁后自动上传的功能,并通过信任程序列表,添加部分程序到白名单中,这些文件将在执行包括全盘扫描时,不会接受检测,防止出现误杀。

在检测到系统内存在木马病毒时,则会第一时间进行提示,并在检测完成后,提示对应的处理方案。同时,为实际考量新版卫士的扫描能力,我们也对其进行了实际测试。通过木马样本包来考量360安全卫士的检测功底。

4.最新木马样本实测查杀效果

为真实检测360安全卫士7.0版本的木马检测能力,我们特别从相关安全论坛和社区中,单独搜集、打包成一组存在26个木马病毒样本的文件,并将其整合在单独目录当中。使用360安全卫士“自定义”检测功能,来对其进行扫描。扫描过程中,软件检测到存在恶意威胁后,会快速进行提示。

检测到存在木马,360安全卫士快速进行提示

经过扫描,360安全卫士7.0版成功检测到存在的所有木马样本,并对其进行“隔离”操作。同时,在扫描结果中,还会详细显示木马特征信息,如经过检测,此木马可能会带给用户的威胁,及木马样本此前的所在路径、可能感染的路径等。当然如果出现意外,如将部分关键文件判定为木马,我们也可选择“信任此程序”来跳过检测。

检测到木马病毒后,会第一时间进行提示并进行处理

立即处理木马,将其转移到360安全卫士的隔离区中

处理完毕,360新版已成功检测到所有潜在木马威胁

通过“隔离区”恢复或彻底清除潜在木马威胁

这样在木马病毒肆虐的当前,通过360安全卫士7.0版,能有效检测系统内潜在的恶意威胁,这在木马已经取代传统病毒,成为用户电脑安全、个人隐私的主要威胁的情况下,为用户提供最为贴心的安全保护。配合如360杀毒、卡巴斯基等专业杀毒软件(通过主界面“杀毒”模块获取),快速扫描并“剿杀”潜在病毒威胁。同时同样得到增强的,还有软件出色的实时防护的防“挂马”(360网盾)功能。我们同样将对其进行测试。

5.威胁实时防护抵御潜在威胁

360安全卫士7.0版,当前为用户提供了包括漏洞防火墙、注册表防护、进程防护、文件防护、U盘防火墙、ARP防火墙和“网盾”(反挂马、钓鱼网站)等功能。同时通过实时保护模块,还可详细查阅实时保护状态和安全日志。在检测到存在异常,或有某些行为,如修改注册表信息,新增进程、启动项等,都会进行提示,并阻止部分恶意行为。

例如:检测到运行某文件,并试图修改浏览器属性时,会自动弹出提示。

检测到修改浏览器插件设置,会自动弹出拦截提示

检测到试图修改浏览器默认首页时,弹出相应拦截提示。

试图修改浏览器默认主页时,360会自动弹出提示

不慎运行木马文件,自动对其进行拦截并提示“清除”。

自动拦截木马运行,并提示用户进行快速清除

同时,有了出众的木马病毒查杀、实时防护功能。网络防护,也成为了用户所关心的重点。对此,我们也特别对其进行了实际检测,通过来自安全社区和360木马分析中心的相关最新“网马”地址,来实测360安全卫士7.0版本的防护能力。

6.冲浪网盾随行 极速拦截修复

我们知道,360安全卫士在此前的6系列中,就已经加入了网盾功能,而在互联网安全形势日益严峻的当前,网友最关心的,肯定还是其实际的防护能力,因为纵然宣传得“天花乱坠”,但实际能力才是根本。对此,我们也特别通过一些“挂马”网站,和收集到的最新“钓鱼”网址,来实测其实际防护能力。

经过测试可以看到,开启360“网盾”的情况下,360安全卫士7.0版可有效拦截不慎访问的挂马网址,自动对其进行屏蔽操作。

开启“网盾”情况下,自动拦截和屏蔽“挂马”网址

而嵌入到浏览器地址栏中的提示图标,也会实时为您显示当前浏览网址的安全状态,鼠标移动到图标处,查阅相应提示。

访问不同站点,360网盾也会弹出不同安全提示

同时,360网盾还分别提供有:快速修复浏览器潜在隐患、拦截木马对浏览器的劫持、锁定主页等功能,防止黑客对浏览器进行篡改,保护您的上网安全。

通过360“网盾”快速检测并修复浏览器潜在问题

至此,我们就可以基本看到,360网盾在拦截各类恶意地址方面的特色所在,同时,新版同样保留了很受用户喜爱的搜索引擎保护功能和网址检测功能,全面保护用户的上网安全。

7.切实“防盗号”保管数据安全

如何保护在线交易、网游、聊天安全,也同样是用户所关心的话题,也是360安全卫士所不断奋斗的目标。对此在新版360安全卫士中,我们依然可以调用360保管箱(需手工下载)来保护账号安全。

手工下载和安装360保管箱,保护在线财产安全

在360保管箱中,提供有包括安全桌面、保护状态、历史和网游宝库等功能。通过安全桌面的添加向导,我们可以将部分网银、商城和网游加入到保管箱的保护列表当中。这样,添加其中的程序,当进行启动时,360保管箱都会自动对其安全状态进行检测。一旦检测到存在异常,则会快速弹出提示。

添加常用网银、商城等到保管箱保护列表当中

保护程序每次启动前,会对运行环境进行完整扫描

检测到存在异常或可疑进程,会快速弹出安全预警

8.360软件管家丰富实用组件

360软件管家也是目前颇受用户喜爱的软件管理工具,通过它,我们同样可以快速查看当前系统内的软件装载情况,并根据软件升级提示,来快速了解当前哪些软件已经推出新版,并快速升级。通过360为您提供的“装机必备”来选择和下载推荐的常用软件,如QQ、MSN、酷我音乐盒、酷狗音乐盒等。

通过软件管家“装机必备”下载安装相关常用软件

同时,通过软件管家的高级工具,我们还能开启或关闭开机小助手(提示开机时间)、一键优化启动项、快速设置系统默认软件,如默认浏览器、播放器、图片查看器等,方便我们快速调整关联和优化操作系统。

通过360安全卫士一键优化操作系统启动项目

通过360设置默认浏览、输入法和播放器软件

9.资源占用状况软件评测总结

经过对应实测和体验,相信大家也对360安全卫士7.0版本的新增功能和性能有所了解,同时,新版软件优化了产品的资源占用。在执行扫描的状态下,我们可以看到,360安全卫士7.0版也仅占用约20MB的内存资源。

安全卫士7.0版本在扫描状态下的资源占用情况

木马检测范文第8篇

针对木马的网络检测技术指通过对主机本身网络通信的监控严格限制通信端口与网络的连接，当发现通信异常的情况下马上对木马的运行进行组织，这种技术普遍的是以误用检测为基础的。网络检测技术包括防火墙技术，入侵检测技术等，根据防火墙检测原理的不同，防火墙技术又可以分为状态检测类型、过滤包型和应用三类。入侵检测技术能够通过对计算机中某些关键点的信息进行收集与分析，并发现违反安全策略的迹象与行为，IDS可以作为防火墙的补充，对提高信息安全基础结构自身的完整性能够发挥出重要的作用，但是由于IDS的检测速度小于网络的传输速度并且模式识别的技术也有待完善，所以存在一定的不可靠性与误报率。

2完整性检测技术。

完整性检测能够通过对文件系统或者目录快照的检查与系统中原始的可信任版本进行对比来查对其一致性来检测目录或者文件的变动，从而检测出系统中恶意程序是否存在。其检测方法包括基于文件内容的检测、基于文件基本属性的检测和基于文件数字签字的检测。完整性检测能够在很大程度上实现对系统安全的保护，但是其缺点也十分明显：一是完整性检测计算文件的工作量较大，其检测速度以及检测效率也必然会较慢；二是检测本身的成功率与管理员对文件计算数字签名的间隔有很大关系，但是由于其检测较慢，所以入侵者能够在此时间内将入侵的痕迹进行清理；三是完整性检测虽然能够检测出恶意程序，但是对其类型却不能识别；四是计算机中文件信息的修改也可能是由正常的程序引起的，所以完整性检测技术具有一定的误报可能性。

3特征码扫描技术。

特征码扫描技术是许多杀毒软件公司用来进行木马检测的工具，其方法包括特征扫描法和特征代码扫描法两类。作为最实用、最简单的对已知恶意程序进行检测的方法，其技术的关键是提取恶意程序的特征码，并在此基础上对恶意程序进行精确的查杀，所以这种方法对已知病毒和木马的检测准确率很好，误报率也较低，但是这种方法本身也存在一定的缺陷：一是不能检测出变形、加壳等具有隐蔽性的木马，也不能检测出未知的、新的木马；二是对病毒库具有很大的依赖性，而木马数量的增加会导致病毒库的扩大，其扫描时间也会随之延长；三是病毒库本身的更新滞后于新木马的产生，所以特征码扫描技术也就有了滞后性。

4实时监控技术。

实时监控是指对许多不同角度的流入、流入数据进行严格过滤，并对其中可能存在的恶意程序代码进行检测与处理，其中包括内存监控、文件监控、邮件监控、脚本监控等。实时监控所具有的实时性是与其他方法相比最突出的优势，当系统一旦遭到恶意程序的入侵，会被立即监控并清除，从而控制恶意程序在系统中造成的破坏。而这种技术对脚本以及邮件的监控还能够阻断恶意程序代码传播的途径，从而使恶意程序代码的传播减少。其缺点是只能够对已知的恶意程序进行检测，而这种缺点产生的原因是因为实时监控是建立在特征码的基础上运行的。

5虚拟机技术。

通过一个软件对CPU的模拟可以形成虚拟机，虚拟机可以执行、取指和译码，能够模拟代码在真实CPU上运行的效果。在虚拟的计算机环境中，程序锁具有的任何动态如内存的变化、寄存器的变化等都能够被反映出来，在此过程中，恶意程序代码的传染性也自然会被反映出来。虚拟机中执行的病毒虽然能够模拟出病毒程序执行的效果，但是却不会对真实的系统造成破坏，对一些变形的、加密的病毒的检测具有建好的效果。但是虚拟机技术的缺点则体现为在运行过程中会占用较大的系统资源，这也是虚拟机技术自身缺乏较高实用性的表现，并且一些木马也加入了对虚拟机进行检测的代码，能够判断自身运行的环境，而当发现自身处于虚拟机中使，木马可以中断执行行为或改变操作行为以避免被虚拟机检测。

6行为分析技术。

行为分析技术能够将一系列做好规定的恶意程序定位规范，在此基础上对程序的行为进行监视以判断程序是否存在恶意代码，也就是说，行为分析对程序的判断是以程序自身的动态行为为依据。而行为分析技术与传统的以特征码为基础的检测技术不同的是，行为分析技术并没有对特征码的依赖性，所以它能够对已知和未知两类恶意程序进行检测，但是目前在木马检测中应用的行为分析技术也存在一些问题：一是具有较高的误报率。当规范制定缺乏完善性时，会对合法程序与木马难以做出有效的区分；二是较低的智能化。许多应用行为分析技术的木马检测和查杀产品在发现可以程序后一般将处理程序的决策权交给用户，而这对一般缺乏木马知识的人而言具有一定的困难，同时也可能妨碍用户对系统的正常使用。

木马检测范文第9篇

网页:“我本善良”

很多人在遇到网站威胁时,可能都归罪于网站,但其实网站的制作者更是冤枉,除了很少网站是黑客专门制作的挂马陷阱网站外,包含木马的网站都是被黑客利用(见图1),本身就是受害者。黑客会利用扫描工具查找网站的漏洞,并实施攻击,获取管理权限,然后就可以轻松植入木马了。例如在网站中插入:＜iframe src=网页木马地址width=0 height=0＞＜/iframe代码＞,这样当电脑访问网站时就会自动弹出木马程序(现在网页木马可以实现后台运行模式),让浏览的电脑用户运行木马。

要保安全 需知“管马”三招

了解了这个情况,很多人又开始问了,木马如何防御呢?那些杀毒软件怎么知道网页被植入木马了呢?其实网页木马不是新的品种,它和普通木马的区别只是载体的不同,以前都是放在文件、邮件中,现在大家的防范意识高了,浏览网页的频率也高了,所以黑客将木马代码放在网页上,增加感染机会。

理解了这个,安全软件防御网页木马的过程也就出来了,他们防御的原理是一样的,只是途径要首先在网络传输中完成。目前,主要的方式有以下三种

1.攻击代码识别:如果网页中被植入了木马,那么在传输中,安全软件就可以先检测代码,如果它的特征属于木马,那么就会提示网页不安全,并进行拦截了。

2.行为识别:前面是简单的代码特征检测,而高级一点的方式就是分析代码的行为,不单单考察特征。如有程序对系统目录进行修改,一起删除整个分区文件等这些危险操作,那么杀毒软件都会认为有病毒攻击,从而加以阻止这些网页。

3.中毒清理:网页木马攻击成功后会释放木马程序到用户计算机中,木马程序一般会生成DLL文件、修改注册表等操作,杀毒软件检测到这些,就会提示用户某些程序是病毒程序,与用户互动实现对木马运行的阻止(见图2),算是网页木马的后期防御。

火速连接

关于网页木马的防御可以参考2009年第12期《网马随处“跑” 手动如何“逃”》和11期《欲练此功必先自功 另类电脑防护》。

现代社会现代化“管马”

针对网马攻击还有一种简洁的防御软件:外挂式浏览器防御软件,如金山网盾。此类防御系统对木马的防御原理与杀毒软件的防火墙基本相似,访问含有网马的网站时,外挂防御系统会对IE、FireFox等浏览器的Cookies进行内容过滤保护,从而过滤网马自我释放的程序,从攻击行为防御上实现对0-DAYS类的攻击防护。

进入云安全时代,网页木马的防御也有了新的应用,例如,诺顿、迈克菲等安装软件增加了网页安全的预检测机制,当我们在谷歌等搜索引擎中搜索时(谷歌也推出过安全浏览功能,是利用算法来分析网页本身,有威胁的会给予提示),在结果信息的返回过程中,安装在浏览器中的安全组件会先对返回的网页进行预读,并首先对比已知的安全网页名单,如果没有则重新检测,一旦发现威胁就将结果直接在搜索结果类别中列出(见图3),这也就是使用这类软件搜索时,结果出现的时间会落后一秒的原因。云安全的引入,将这些检测更加快速,例如一旦发现某个网站挂马,那么这个信息就会迅速与全球用户共享,其他人浏览到该网页就会提示有木马,阻止网民浏览,当然,当检测到该网站消除了木马威胁后,这个网站也就又放行了。

小提示

木马检测范文第10篇

黑客；网页挂马；检测方法；预防对策

1.网页挂马的概念

网页挂马又称之为网页隐藏式恶意连结。网页挂马与钓鱼网站（Phishing）不同之处，钓鱼网站通常是设置一个以假乱真的网站，来欺骗网络浏览者上当；网页挂马则是攻击一个正常的网站，利用网路浏览者对于正常网站的信任感，让使用者在不知不觉中被植入木马程式，或者是骇客自行设立一个网站或虚设部落格，以各种方式吸引民众浏览，再送出恶意程式。

2.网页挂马的危害

如果一台正常的网络服务器被恶意用户入侵，其网页被挂马，在一定程度上可以说是网页被篡改，其危害是巨大的，对于服务器而言，其一方面是带宽与系统资源的占用巨大，另一方面直接导致该服务器成为木马传播之源，而对于受害网民来说，个人资料信息的安全将成为公众目标，其电子银行帐户和密码、游戏帐号和密码、邮箱帐户和密码、QQ/MSN帐号和密码等都不再安全。

3.网页挂马的方式

网页挂马中所使用的木马隐蔽性都很高。黑客为躲避杀毒软件对所挂木马的查杀，常使用2种方法对所挂木马进行特殊处理：加壳处理，即对源文件经过特殊的算法进行压缩、变形，经过这道工序后木马程序就会逃过大部分杀毒软件的查杀；修改特征码，即黑客对木马征码部分的代码进行修改，将其加密或使用汇编指令将其跳转，致使杀毒软件无法找到病毒特征码，从而不能将其判定为病毒。

常见的挂马方式如下：将木马伪装为页面元素，木马则会被浏览器自动下载到本地；利用脚本运行的漏洞下载木马；利用脚本运行的漏洞释放隐含在网页脚本中的木马；将木马伪装为缺失的组件，或和缺失的组件捆绑在一起（例如：flash播放插件）这样既达到了下载的目的，下载的组件又会被浏览器自动执行；通过脚本运行调用某些com组件，利用其漏洞下载木马；在渲染页面内容的过程中，利用格式溢出放木马；在渲染页面内容的过程中，利用格式溢出下载木马。

木马的执行方法。木马在完成下载之后，执行的方式有：利用页面元素渲染过程中的格式溢出执行shellcode进一步下载的木马；利用脚本运行的漏洞执行木马；伪装成缺失组件的安装包被浏览器自动执行；通过脚本调用com组件利用其漏洞执行木马；利用页面元素渲染过程中的格式溢出直接执行木马；利用com组件与外部其他程序通讯，通过其他程序启动木马。

为了躲开杀毒软件的查杀，一些网马还会进行以下操作：修改系统时间，使杀毒软件失效；摘除杀毒软件的HOOK挂钩，使杀毒软件检测失效；修改杀毒软件病毒库，使之检测不到恶意代码；通过溢出漏洞不直接执行恶意代码，而是执行一段调用脚本，以躲避杀毒软件对父进程的检测。

4.网页挂马的防御及预防

网页木马的检测及防御。网页的漏洞主要有注入漏洞、跨站漏洞、旁注漏洞、上传漏洞、暴库漏洞和程序漏洞等等，网站管理员要利用入侵检测等安全工具定期对自己的网站进行安全性检测，及时对安全设置错误或代码进行修证与改写。

网页挂马的检测。检测伪装文件格式。通过对文件格式精确的识别，判断页面元素是否为伪装的恶意代码。检查页面元素来源是否为长期散布网页挂马的站点。

检测特定函数调用堆栈实现。

区分用户下载文件，浏览器自动下载文件。

检测已知缓冲区漏洞。

检测进程创建调用堆栈、调用参数是否和浏览器常规一致，以检测未知漏洞造成的文件执行。对文件执行进行监控，检测文件执行参数等特征。对部分目录写文件操作进行监控。

检测系统时钟修改。检测对系统DLL内存镜像修改（导入、导出表、函数体内容）。检查PE文件和CAB包裹的数字签名。特定文件格式检测，检测已知的格式溢出。通过对以上几项的加权处理，可以实现有效对已知和未知网页挂马的检测。

客户端检测防御方式。特征匹配。将网页挂马的脚本按脚本病毒处理进行检测。但由于网页脚本变形方式、加密方式比起传统的PE格式病毒更为多样，检测起来也更加困难。主动防御，禁止浏览器安装危险小插件。当浏览器要做出某些动作时，会做出提示，例如：下载了某插件的安装包，会提示是否运行，比如浏览器创建一个暴风影音播放器时，提示是否允许运行。在多数情况下用户都会点击是，网页木马会因此得到执行。检查父进程是否为浏览器。许多木马很容易躲过这种方法，并且会对很多插件造成误报。及时补漏。网页木马的运行原理是利用IE浏览器的漏洞，因此用户要开启系统“自动更新”功能，或者使用360安全卫士或其他专业检测工具对系统及应用软件进行实时漏洞扫描，及时打上最新漏洞补丁，并定期检查各种应用软件的更新，以杜绝木马利用应用软件的漏洞进行传播。

网站防御方法。合理设置服务器，反注册，卸载危险组件。对网站首页及其他主要页面的源代码进行检查，用记事本打开这些页面，检查是否有挂马代码。建议用户通过ftp来上传、维护网页，尽量不安装asp的上传程序。对asp上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。这其中包括各种新闻、商城及论坛程序，只要可以上传文件的asp都要进行身份认证！asp程序管理员的用户名和密码要有一定复杂性，不能过于简单，要注意定期更换。到正规网站下载asp程序，下载后要对其数据库名称和存放路径进行修改，数据库文件名称应具有一定的复杂性。要尽量保持程序为最新版本。不要在网页上加注后台管理程序登陆页面的链接。为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再通过ftp上传即可。要时常备份数据库等重要文件。日常要多维护，并注意空间中是否有来历不明的asp文件。一旦发现被入侵，除非自己能识别出所有木马文件，否则要删除所有文件。重新上传文件前，所有asp程序用户名和密码都要重置，并要重新修改程序数据库名称和存放路径以及后台管理程序的路径。定期利用网站挂马检测软件进行检测。

网站挂马恢复措施。整站被挂马，最快速的恢复方法是：除开数据库、上传目录之外，替换掉其他所有文件；仔细检查网站上传目录存放的文件，很多木马伪装成图片保存在上传目录，你直接把上传文件夹下载到本地，用缩略图的形式，查看是不是图片，如果不显示，则一律删除；数据库里面存在木马，则把数据库的木马代码清除！可以采用查找替换；如果网站源文件没有，则需要FTP下载网站文件，然后再DW里面，用替换清除的方式一个个清除，注意网站的木马数，如果被挂了很多不同的，必须多多检查！

5.避免网页挂马的安全措施

加强教育和宣传，提高公众网络的安全意识。信息安全意识是指人们在上网的过程中，对信息安全重要性的认识水平，发现影响网络安全行为的敏锐性，维护网络安全的主动性。采用多重网络技术，保证网络信息安全。目前，常用的网络安全技术，主要包括：防火墙，物理隔离，VPN（虚拟专用网）。

运用密码技术，强化通信安全。应围绕数字证书应用，为电子政府信息网络中各种业务应用提供信息的真实性、完整性、机密性和不可否认性保证。在业务系统中建立有效的信任管理机制、授权控制机制和严密的责任机制。

加强技术管理，努力做到使用安全。在内部严格控制企业内部人员对网络共享资源的随意使用。在内网中，除有特殊需要不要轻易开放共享目录，对有经常交换信息要求的用户，在共享时应该加密，即只有通过密码的认证才允许访问数据。