第二代木馬的研究與實(shí)現(xiàn)畢業(yè)論文
《第二代木馬的研究與實(shí)現(xiàn)畢業(yè)論文》由會(huì)員分享,可在線(xiàn)閱讀,更多相關(guān)《第二代木馬的研究與實(shí)現(xiàn)畢業(yè)論文(30頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、 Anhui Vocactional & Technical College of Industry & Trade 畢 業(yè) 論 文 第二代木馬的研究與實(shí)現(xiàn) Research and implementation of second generation Trojan 所在系院: 計(jì)算機(jī)技術(shù)系 專(zhuān)業(yè)班級(jí): 2013級(jí)計(jì)算機(jī)應(yīng)用技術(shù)1班 學(xué)生學(xué)號(hào): 2013290108 學(xué)生姓名: 莫 如 指導(dǎo)教師: 商 杰
2、 二〇一六 年 四 月 二十 日 安徽工貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文 第二代木馬的研究與實(shí)現(xiàn) 摘 要; 隨著信息化時(shí)代的到來(lái)人類(lèi)社會(huì)生活對(duì)因特網(wǎng)的需求日益增長(zhǎng),使得計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)迅速發(fā)展和普及。因特網(wǎng)使得全世界都聯(lián)系到了一起。極大的促進(jìn)了全球一體化的發(fā)展。但是隨著互聯(lián)網(wǎng)的普及和應(yīng)用的不斷發(fā)展,各種黑客工具和網(wǎng)絡(luò)手段導(dǎo)致網(wǎng)絡(luò)和用戶(hù)收到財(cái)產(chǎn)損失,其中最嚴(yán)重的就是木馬攻擊手段。它以其攻擊范圍廣、危害大等特點(diǎn)成為常見(jiàn)的網(wǎng)絡(luò)攻擊技術(shù)之一,對(duì)整個(gè)互聯(lián)網(wǎng)照成了極大的危害。本文分析了木馬病毒的基本原理,針對(duì)木馬病毒的特征、傳播途徑等分析結(jié)果,找出計(jì)算機(jī)感染病毒的原因。并且對(duì)木馬病毒
3、的種類(lèi)、加載技術(shù)及現(xiàn)狀進(jìn)行了詳細(xì)的研究,提出了完善的防范建議。 關(guān)鍵詞:木馬病毒;網(wǎng)絡(luò)安全;自動(dòng)加載;文件劫持。 ABSTRACT WiththegrowingdemandforinformationtechnologyeraofhumansociallifeontheInternet,computernetworktechnologyrapiddevelopmentandpopularization.TheInternetmakesthewholeworldislinkedtotogether.Greatlycontributedtothedevelopmentofglob
4、alintegration.ButwiththepopularityoftheInternetandthecontinuousdevelopmentoftheapplication,avarietyofhackingtoolsandnetworkmeansthenetworkandtheuserreceivespropertydamage,themostseriousofwhichisTrojanattacks.Withitswiderangeofattacks,hazardsandothercharacteristicstobecomeoneofthecommonnetworkattackt
5、echniques,theentireInternetaccordingtobecomegreatharm. Keywords: Trojan;networksecurity;Automaticallyloaded;Filehijacked I 目 錄 摘 要; I ABSTRACT II 引言 2 第一章 木馬病毒的概述及現(xiàn)狀 3 1.1 木馬的基本特征 3 1.2木馬的傳播途徑 4 1.3木馬病毒的危害 5 第二章 木馬病毒的現(xiàn)狀 5 2.1 特洛伊木馬的發(fā)展 6 2.2木馬病毒的種類(lèi) 7 第三章 木馬病毒
6、的發(fā)展趨勢(shì) 9 第四章 木馬病毒的基本原理 12 第五章木馬病毒的防范 18 1 引言 隨著信息化時(shí)代的到來(lái)人類(lèi)社會(huì)生活對(duì)因特網(wǎng)的需求日益增長(zhǎng),使得計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)迅速發(fā)展和普及。因特網(wǎng)使得全世界都聯(lián)系到了一起。極大的促進(jìn)了全球一體化的發(fā)展。但是隨著互聯(lián)網(wǎng)的普及和應(yīng)用的不斷發(fā)展,各種黑客工具和網(wǎng)絡(luò)手段導(dǎo)致網(wǎng)絡(luò)和用戶(hù)收到財(cái)產(chǎn)損失,其中最嚴(yán)重的就是木馬攻擊手段。它以其攻擊范圍廣、危害大等特點(diǎn)成為常見(jiàn)的網(wǎng)絡(luò)攻擊技術(shù)之一,對(duì)整個(gè)互聯(lián)網(wǎng)照成了極大的危害。 第1章 木馬病毒的概述及現(xiàn)狀 1.1 木馬的基本特征 1、隱蔽性是其首要的特征 當(dāng)用戶(hù)執(zhí)行正常程序時(shí),在難以察
7、覺(jué)的情況下,完成危害影虎的操作,具有隱蔽性。它的隱蔽性主要體現(xiàn)在6個(gè)方面:1.不產(chǎn)生圖標(biāo)、2.文件隱藏、3.在專(zhuān)用文件夾中隱藏、4.自動(dòng)在任務(wù)管理其中隱形、5.無(wú)聲無(wú)息的啟動(dòng)、6.偽裝成驅(qū)動(dòng)程序及動(dòng)態(tài)鏈接庫(kù) 2、它具有自動(dòng)運(yùn)行性 它是一個(gè)當(dāng)你系統(tǒng)啟動(dòng)時(shí)即自動(dòng)運(yùn)行的程序,所以它必需潛入在你的啟動(dòng)配置文件中,如win.ini、system.ini、winstart.bat以及啟動(dòng)組等文件之中。 3、木馬程序具有欺騙性 木馬程序要達(dá)到其長(zhǎng)期隱蔽的目的,就必需借助系統(tǒng)中已有的文件,以防被你發(fā)現(xiàn),它經(jīng)常使用的是常見(jiàn)的文件名或擴(kuò)展名,如“dll\win\sys\explorer等字樣,或者仿制一些
8、不易被人區(qū)別的文件名,如字母“l(fā)”與數(shù)字“1”、字母“o”與數(shù)字“0”,常修改基本文件中的這些難以分辨的字符,更有甚者干脆就借用系統(tǒng)文件中已有的文件名,只不過(guò)它保存在不同路徑之中。還有的木馬程序?yàn)榱穗[藏自己,也常把自己設(shè)置成一個(gè)ZIP文件式圖標(biāo),當(dāng)你一不小心打開(kāi)它時(shí),它就馬上運(yùn)行。等等這些手段那些編制木馬程序的人還在不斷地研究、發(fā)掘,總之是越來(lái)越隱蔽,越來(lái)越專(zhuān)業(yè),所以有人稱(chēng)木馬程序?yàn)椤膀_子程序”。 4、具備自動(dòng)恢復(fù)功能 現(xiàn)在很多的木馬程序中的功能模塊已不再是由單一的文件組成,而是具有多重備份,可以相互恢復(fù)。 5、能自動(dòng)打開(kāi)端口 應(yīng)服務(wù)器客戶(hù)端的通信手段,利用TCP/IP協(xié)議不
9、常用端口自動(dòng)進(jìn)行連接,開(kāi)方便之“門(mén)” 6、功能的特殊性 通常的木馬的功能都是十分特殊的,除了普通的文件操作以外,還有些木馬具有搜索cache中的口令、設(shè)置口令、掃描目標(biāo)機(jī)器人的IP地址、進(jìn)行鍵盤(pán)記錄、遠(yuǎn)程注冊(cè)表的操作、以及鎖定鼠標(biāo)等功能,上面所講的遠(yuǎn)程控制軟件的功能當(dāng)然不會(huì)有的,畢竟遠(yuǎn)程控制軟件是用來(lái)控制遠(yuǎn)程機(jī)器,方便自己操作而已,而不是用來(lái)黑對(duì)方的機(jī)器的。 1.2木馬的傳播途徑 1.利用操作系統(tǒng)和瀏覽器漏洞傳播。 2.利用移動(dòng)存儲(chǔ)設(shè)備(U盤(pán))等來(lái)傳播。 3.利用第三方軟件(如realplayer,迅雷,暴風(fēng)影音等)漏洞傳播 4.利用ARP欺騙方式來(lái)傳播 5利用電子郵件,QQ,
10、MSN等通訊軟件傳播 6.利用網(wǎng)頁(yè)掛馬,嵌入惡意代碼來(lái)傳播 1.3木馬病毒的危害 1.利用通訊軟件盜取用戶(hù)個(gè)人信息。 黑客可以利用木馬病毒盜取用戶(hù)的如QQ,MSN等賬號(hào)進(jìn)行盜取用戶(hù)好友個(gè)人信息等。 2.盜取網(wǎng)游賬號(hào),威脅我們的虛擬財(cái)產(chǎn)安全 黑客利用木馬病毒盜取用戶(hù)游戲賬戶(hù)密碼,并將用戶(hù)游戲中的裝備或游戲幣轉(zhuǎn)移,照成損失 3.盜取用戶(hù)的網(wǎng)銀信息,威脅我們的真是財(cái)產(chǎn)安全 黑客利用木馬,采用鍵盤(pán)記錄等方法盜取用戶(hù)的個(gè)人銀行信息,直接到市用戶(hù)的經(jīng)濟(jì)損失 4.給電腦打開(kāi)后門(mén),使電腦可能被黑客控制 如灰鴿子等,當(dāng)我們中了此類(lèi)木馬我們的電腦就可能成為“肉雞”,成為黑客的工具。
11、 第2章 木馬病毒的現(xiàn)狀 目前,木馬病毒結(jié)合了傳統(tǒng)病毒的破壞性,產(chǎn)生了更有危害性的混合型木馬病毒。有關(guān)報(bào)告顯示:截止2011年上半年,所截獲的新增病毒總計(jì)有111474種,而木馬病毒占總數(shù)的64.1%。其中,盜號(hào)木馬占總木馬數(shù)的70%,從數(shù)據(jù)上可以看出,木馬數(shù)量的成倍增長(zhǎng),變種稱(chēng)出不窮,使得計(jì)算機(jī)用戶(hù)的處境更加危險(xiǎn)。 2.1 特洛伊木馬的發(fā)展 計(jì)算機(jī)世界的特洛伊木馬(Trojan)是指隱藏在正常程序中的一段具有特殊功能的惡意代碼,是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤(pán)和攻擊Dos等特殊功能的后門(mén)程序。 第一代木馬:偽裝型病毒
12、 這種病毒通過(guò)偽裝成一個(gè)合法性程序誘騙用戶(hù)上當(dāng)。世界上第一個(gè)計(jì)算機(jī)木馬是出現(xiàn)在1986年的PC-Write木馬。它偽裝成共享軟件PC-Write的2.72版本(事實(shí)上,編寫(xiě)PC-Write的Quicksoft公司從未發(fā)行過(guò)2.72版本),一旦用戶(hù)信以為真運(yùn)行該木馬程序,那么他的下場(chǎng)就是硬盤(pán)被格式化。在我剛剛上大學(xué)的時(shí)候,曾聽(tīng)說(shuō)我校一個(gè)前輩牛人在WAX機(jī)房上用BASIC作了一個(gè)登錄界面木馬程序,當(dāng)你把你的用戶(hù)ID,密碼輸入一個(gè)和正常的登錄界面一模一樣的偽登錄界面后后,木馬程序一面保存你的ID,和密碼,一面提示你密碼錯(cuò)誤讓你重新輸入,當(dāng)你第二次登錄時(shí),你已成了木馬的犧牲品。此時(shí)的第一代木馬
13、還不具備傳染特征 第二代木馬:AIDS型木馬 繼PC-Write之后,1989年出現(xiàn)了AIDS木馬。由于當(dāng)時(shí)很少有人使用電子郵件,所以AIDS的作者就利用現(xiàn)實(shí)生活中的郵件進(jìn)行散播:給其他人寄去一封封含有木馬程序軟盤(pán)的郵件。之所以叫這個(gè)名稱(chēng)是因?yàn)檐洷P(pán)中包含有AIDS和HIV疾病的藥品,價(jià)格,預(yù)防措施等相關(guān)信息。軟盤(pán)中的木馬程序在運(yùn)行后,雖然不會(huì)破壞數(shù)據(jù),但是他將硬盤(pán)加密鎖死,然后提示受感染用戶(hù)花錢(qián)消災(zāi)??梢哉f(shuō)第二代木馬已具備了傳播特征(盡管通過(guò)傳統(tǒng)的郵遞方式) 第三代木馬:網(wǎng)絡(luò)傳播性木馬 隨著Internet的普及,這一代木馬兼?zhèn)鋫窝b和傳播兩種特征并結(jié)合TCP/IP網(wǎng)絡(luò)技術(shù)
14、四處泛濫。同時(shí)還有了兩個(gè)新特征,第一,添加了“后門(mén)”功能;第二,添加了擊鍵記錄功能;第三,有了視頻監(jiān)控和桌面監(jiān)控等功能。 2.2木馬病毒的種類(lèi) 種類(lèi) 特性 傳播途徑 破壞型 唯一的功能就是破壞并且刪除文件,可以自動(dòng)的刪除電腦上的DLL、INI、EXE文件 硬盤(pán)傳播 密碼發(fā)送型 向密碼輸入窗口發(fā)送WM_SETTEXT消息模擬輸入密碼,向按鈕窗口發(fā)送WM_COMMAND消息模擬單擊。在破解過(guò)程中,把密碼保存在一個(gè)文件中,以便在下一個(gè)序列的密碼再次進(jìn)行窮舉或多部機(jī)器同時(shí)進(jìn)行分工窮舉,直到找到密碼為止。 可以找到隱藏密碼并把它們發(fā)送到指定的信箱。也有些黑客軟件長(zhǎng)期潛伏,記錄操作者的
15、鍵盤(pán)操作,從中尋找有用的密碼。 遠(yuǎn)程訪(fǎng)問(wèn)型 最廣泛的是特洛伊馬,只需有人運(yùn)行了服務(wù)端程序,如果客戶(hù)知道了服務(wù)端的IP地址,就可以實(shí)現(xiàn)遠(yuǎn)程控制。 通過(guò)控制internet的UDP協(xié)議進(jìn)行傳播。 鍵盤(pán)記錄木馬 這種特洛伊木馬是非常簡(jiǎn)單的。它們只做一件事情,就是記錄受害者的鍵盤(pán)敲擊并且在LOG文件里查找密碼。 潛伏在計(jì)算機(jī)硬盤(pán)中,通過(guò)記錄使用者的鍵盤(pán)操作進(jìn)行傳播。 DoS攻擊木馬 隨著DoS攻擊越來(lái)越廣泛的應(yīng)用,被用作DoS攻擊的木馬也越來(lái)越流行起來(lái)。當(dāng)你入侵了一臺(tái)機(jī)器,給他種上DoS攻擊木馬,你控制的肉雞數(shù)量越多,你發(fā)動(dòng)DoS攻擊取得成功的機(jī)率就越大。 通過(guò)郵件傳播,一旦機(jī)器被感
16、染,木馬就會(huì)隨機(jī)生成各種各樣主題的信件,對(duì)特定的郵箱不停地發(fā)送郵件,一直到對(duì)方癱瘓、不能接受郵件為止。 代理木馬 “代理木馬”具有自動(dòng)下載木馬病毒的功能,一旦感染系統(tǒng)后,當(dāng)系統(tǒng)接入互聯(lián)網(wǎng),再?gòu)闹付ǖ木W(wǎng)址下載其他木馬、病毒等惡意軟件。 它們可以根據(jù)病毒編者指定 的網(wǎng)址下載木馬病毒或其他惡意軟件,還可以通過(guò)網(wǎng)絡(luò)和移動(dòng)存儲(chǔ)介質(zhì)傳播。 FTP木馬 這種木馬可能是最簡(jiǎn)單和古老的木馬了,它的唯一功能就是打開(kāi)21端口,等待用戶(hù)連接。 控制用戶(hù)的21端口使其運(yùn)行某一指定的命令。 反彈端口型木馬 木馬定時(shí)監(jiān)測(cè)控制端的存在,發(fā)現(xiàn)控制端上線(xiàn)立即彈出端口主動(dòng)連結(jié)控制端打開(kāi)的主動(dòng)端口;即使用戶(hù)使用掃描
17、軟件檢查自己的端口,發(fā)現(xiàn)類(lèi)似TCP的情況。 通過(guò)控制計(jì)算機(jī)防火墻端口進(jìn)行傳播。 7 安徽工貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文 第3章 木馬病毒的發(fā)展趨勢(shì) 早期的病毒僅僅實(shí)現(xiàn)了單一的破壞系統(tǒng)功能,直到1998年CIH病毒的出現(xiàn)。CIH病毒是迄今為止破壞性最嚴(yán)重的病毒,也是世界上首例破壞硬件的病毒。伴隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)病毒的發(fā)展趨勢(shì)也發(fā)生了巨變,目前的計(jì)算機(jī)病毒發(fā)展呈現(xiàn)以下趨勢(shì): 1.綜合利用多種編程新技術(shù)的病毒將成為主流。從Ro-otKit技術(shù)到映像劫持技術(shù),磁盤(pán)過(guò)濾驅(qū)動(dòng)到還原系統(tǒng)SSDTHOOK和還原其它內(nèi)核HOOK技
18、術(shù),病毒為達(dá)到目的所采取的手段已經(jīng)無(wú)所不用。通過(guò)Rootkit技術(shù)和映像技術(shù)隱藏自身的進(jìn)程、注冊(cè)表鍵值,通過(guò)插入進(jìn)程、線(xiàn)程避免被殺毒軟件查殺,通過(guò)實(shí)時(shí)監(jiān)測(cè)對(duì)自身進(jìn)程進(jìn)行回寫(xiě),通過(guò)還原系統(tǒng)SS-DTHOOK和還原其他內(nèi)核HOOK技術(shù)破壞反病毒軟件,甚至一向被認(rèn)為安全至極的數(shù)碼產(chǎn)品都能被其驅(qū)動(dòng)光盤(pán)感染病毒。目前幾乎所有的木馬病毒都具備這些技術(shù)特征,幾乎所有最新的程序應(yīng)用技術(shù)都被病毒一一應(yīng)用,未來(lái)的病毒將綜合利用以上新技術(shù),使得殺毒軟件查殺難度更大,對(duì)病毒的實(shí)時(shí)檢測(cè)更困難,病毒與反病毒軟件之間的對(duì)抗進(jìn)一步加強(qiáng)。 2. ARP病毒仍將成為局域網(wǎng)的最大禍害。ARP病毒已經(jīng)成為近年來(lái)局域網(wǎng)的最大威脅,它
19、采用ARP技術(shù)局域網(wǎng)掛馬攻擊技術(shù),利用MAC地址欺騙,傳播惡意廣告或病毒程序。ARP病毒發(fā)作時(shí),通常會(huì)造成網(wǎng)絡(luò)掉線(xiàn),但網(wǎng)絡(luò)連接正常,內(nèi)網(wǎng)的部分或全部電腦不能上網(wǎng),無(wú)法打開(kāi)網(wǎng)頁(yè)或時(shí)斷時(shí)續(xù),且網(wǎng)速較慢等現(xiàn)象。更為嚴(yán)重的是,ARP病毒新變種能把自身偽裝成網(wǎng)關(guān),在所有用戶(hù)請(qǐng)求訪(fǎng)問(wèn)的網(wǎng)頁(yè)添加惡意代碼,導(dǎo)致殺毒軟件在用戶(hù)訪(fǎng)問(wèn)任意網(wǎng)站時(shí)均發(fā)出病毒警報(bào),用戶(hù)下載任何可執(zhí)行文件,均被替換成病毒。 3.病毒制作更簡(jiǎn)單,傳播速度更快。由于網(wǎng)絡(luò)的普及,使得編寫(xiě)病毒的知識(shí)更容易獲得,同時(shí),各種功能強(qiáng)大而易學(xué)的編程工具,讓用戶(hù)可以輕松編寫(xiě)病毒程序,用戶(hù)通過(guò)網(wǎng)絡(luò)甚至可以獲得專(zhuān)門(mén)編寫(xiě)病毒的工具軟件,只需要通過(guò)簡(jiǎn)單的操作就可
20、以生成具有極強(qiáng)殺傷力的病毒。隨著網(wǎng)速的提高,在數(shù)據(jù)傳輸時(shí)間變短的同時(shí),病毒的傳送時(shí)間會(huì)變得微不足道。同時(shí),可利用的傳播途徑也日趨多樣化,有文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享、ICQ、ICR等,病毒的危害性也日趨多樣化。 目前計(jì)算機(jī)病毒的傳播方式使用技術(shù)以及危害的程度與過(guò)去相比已經(jīng)有了較大的變化在網(wǎng)絡(luò)境下病毒除了具有可傳播性可執(zhí)行性破壞性等計(jì)算機(jī)病毒的共性外還具有一些新的特點(diǎn) 一、破壞性極大 網(wǎng)絡(luò)中計(jì)算機(jī)病毒破壞性極強(qiáng),病毒往往與其它技術(shù)相融合,如:某些病毒集普通病毒、蠕蟲(chóng)、木馬和黑客等技術(shù)于一身,具有混合型特征的“愛(ài)蟲(chóng)”“美麗殺”等CIH病毒都給世界計(jì)算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)帶
21、來(lái)災(zāi)難性的破壞;有的造成網(wǎng)絡(luò)擁塞甚至癱瘓有的成為“肉雞”進(jìn)而造成重要信息被竊取、個(gè)人隱私被偷拍;甚至有的計(jì)算機(jī)被人網(wǎng)絡(luò)控制變成攻擊別人的“網(wǎng)絡(luò)僵尸” 二、利用可移動(dòng)磁盤(pán)傳播的病毒明顯增多 隨著可移動(dòng)磁盤(pán)價(jià)格下降,擁有可移動(dòng)磁盤(pán)的用戶(hù)也大量增加,病毒也開(kāi)始趁機(jī)作亂,除了蠕蟲(chóng),普通的木馬大多都可通過(guò)可移動(dòng)磁盤(pán)進(jìn)行傳播,主要方式是復(fù)制一個(gè)病毒體和一個(gè)autoru.inf文件到各盤(pán)。 由于經(jīng)常使用可移動(dòng)磁盤(pán)在不同計(jì)算機(jī)之間交流數(shù)據(jù)和windows系統(tǒng)自動(dòng)播放功能的存在,很容易造成計(jì)算機(jī)病毒的“交叉感染”。 三、病毒隱蔽性強(qiáng) 現(xiàn)在病毒技術(shù)不斷翻新,更多的VBS病毒只駐留在內(nèi)存
22、中,不寫(xiě)到硬盤(pán)上,根本就沒(méi)有特征代碼和惡意代碼,病毒啟動(dòng)時(shí)在內(nèi)存中無(wú)法找到病毒體,即使有的病毒有特征代碼或惡意代碼,也都采用了加密技術(shù),將病毒特征代碼和惡意代碼進(jìn)行隱藏可以逃過(guò)普通的特征碼匹配查找方法,隱藏性更強(qiáng),使發(fā)現(xiàn)病毒變得更加困難。為了更好的隱藏自己陰險(xiǎn)的一面,病毒常常偽裝成各種能對(duì)人感興趣的東西,例如:“世界杯病毒(scriptworldcup)”是利用世界杯熱潮以竟猜世界杯冠軍獲獎(jiǎng)信息為內(nèi)容的惡意網(wǎng)絡(luò)腳本病毒,還有一些病毒偽裝成玩笑、動(dòng)畫(huà)、甚至病毒修復(fù)程序等形式出現(xiàn)。 四、對(duì)抗安全軟件的病毒明顯增多 “機(jī)器狗”系列病毒直接操作磁盤(pán)以繞過(guò)系統(tǒng)文件完整性的檢驗(yàn),通過(guò)感染系統(tǒng)文件
23、(比如explorer.exe,winhlp32.exe,serinit.exe等)達(dá)到隱蔽啟動(dòng);通過(guò)底層技術(shù)穿透冰點(diǎn)、影子等還原系統(tǒng)軟件導(dǎo)致大量用戶(hù)感染病毒;通過(guò)修復(fù)SSDT、映像挾持、進(jìn)程操作、修改注冊(cè)表等方法使得流行的安全軟件失去用,用聯(lián)網(wǎng)下載大量的盜號(hào)木馬。終結(jié)者AV最大特點(diǎn)是禁用所有殺毒軟件以及大量的安全輔助工具,讓用戶(hù)電腦失去安全保障;破壞安全模式,致使用戶(hù)根本無(wú)法進(jìn)入安全模式清除病毒;強(qiáng)行關(guān)閉帶有病毒字樣的網(wǎng)頁(yè),只要在網(wǎng)頁(yè)中輸入“病毒”相關(guān)字樣,網(wǎng)頁(yè)遂被強(qiáng)行關(guān)閉,即使是一些安全論壇也無(wú)法登陸,用戶(hù)無(wú)法通過(guò)網(wǎng)絡(luò)尋求解決辦法。2008年年末出現(xiàn)的“超級(jí)AV終結(jié)者”結(jié)合了AV終結(jié)者、機(jī)
24、器狗、震蕩波、autorun病毒的特點(diǎn),是金山毒霸“云安全”中心捕獲的新型計(jì)算機(jī)病毒。它對(duì)用戶(hù)具有非常大的威脅。 五、網(wǎng)頁(yè)掛馬式傳播 網(wǎng)頁(yè)掛馬已經(jīng)成為木馬病毒傳播的主要途徑之一。入侵網(wǎng)站,篡改網(wǎng)頁(yè)內(nèi)容,植入各種木馬,用戶(hù)只要瀏覽被植入木馬的網(wǎng)站,即有可能遭遇木馬入侵,甚至遭遇更猛烈的攻擊,造成網(wǎng)絡(luò)財(cái)產(chǎn)的損失。2008年,網(wǎng)站被掛馬現(xiàn)象屢見(jiàn)不鮮,大到一些門(mén)戶(hù)網(wǎng)站,小到某地方電視臺(tái)的網(wǎng)站都曾遭遇掛馬問(wèn)題。 伴隨著互聯(lián)網(wǎng)的日益普及。網(wǎng)頁(yè)掛馬已經(jīng)成為木馬病毒傳播的主要途徑之一的今天,金山毒霸反病毒工程師預(yù)測(cè)2009年網(wǎng)絡(luò)掛馬問(wèn)題將更加嚴(yán)峻,更多的網(wǎng)站將遭遇木馬攻擊。 六、病毒制
25、造經(jīng)濟(jì)化、產(chǎn)業(yè)化、低門(mén)檻化 早期的計(jì)算機(jī)病毒都是編程高手制作的,編寫(xiě)病毒是為了顯示自己的技術(shù)。而現(xiàn)在的病毒編寫(xiě)者不再單純炫耀技術(shù),更多是以經(jīng)濟(jì)利益為目的。2008年年截獲的新木馬病毒中,80%以上都與盜取網(wǎng)絡(luò)游戲帳號(hào)密碼有關(guān)。同時(shí),網(wǎng)上販賣(mài)病毒、木馬和僵尸網(wǎng)絡(luò)的活動(dòng)不斷增多,且公開(kāi)化;利用病毒木馬技術(shù)傳播垃圾郵件和進(jìn)行網(wǎng)絡(luò)攻擊、破壞的事件呈上升趨勢(shì)。種種跡象表明。病毒的制造、傳播者追求經(jīng)濟(jì)利益的目的越來(lái)越強(qiáng)。“病毒制造機(jī)”是網(wǎng)上流行的一種制造病毒的工具,病毒作者不需要任何專(zhuān)業(yè)技術(shù)就可以手工制造生成病毒,在網(wǎng)絡(luò)上可以輕易找到有諸多此類(lèi)廣告,病毒作者可根據(jù)自己對(duì)病毒的需求,在相應(yīng)的制作工具
26、中定制和勾選病毒功能,這種病毒傻瓜式制作導(dǎo)致制作病毒門(mén)檻更低。 第4章 木馬病毒的基本原理 木馬病毒通常飽飯兩個(gè)部分:服務(wù)器和客戶(hù)端。服務(wù)端植入危害主機(jī),而施種者利用客戶(hù)端侵入運(yùn)行了服務(wù)端的主機(jī)。木馬的服務(wù)端一旦啟動(dòng),受害主機(jī)的一個(gè)或幾個(gè)端口即對(duì)施種者敞開(kāi),使得施種者可以利用這些端口受害主機(jī),開(kāi)始執(zhí)行入侵操作。如圖: 圖表1-1 木馬病毒傳播的基本原理 1、配置、傳播木馬 一般來(lái)說(shuō)一個(gè)設(shè)計(jì)成熟的木馬都有木馬配置程序,從具體的配置內(nèi)容看,主要是為了實(shí)現(xiàn)偽裝和信息反饋兩方面的功能。
27、 傳播方式: 木馬的傳播方式主要有兩種:一種是通過(guò)E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去,收信人只要打開(kāi)附件系統(tǒng)就會(huì)感染木馬;另一種是軟件下載,一些非正規(guī)的網(wǎng)站以提供軟件下載為名義,將木馬捆綁在軟件安裝程序上,下載后,只要一運(yùn)行這些程序,木馬就會(huì)自動(dòng)安裝。 2、運(yùn)行木馬 服務(wù)端用戶(hù)運(yùn)行木馬或捆綁木馬的程序后,木馬就會(huì)自動(dòng)進(jìn)行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中(C:\WINDOWS或C:\WINDOWS\SYSTEM目錄下),然后在注冊(cè)表,啟動(dòng)組,非啟動(dòng)組中設(shè)置好木馬的觸發(fā)條件,這樣木馬的安裝就完成了。木馬被激活后,進(jìn)入內(nèi)存,并開(kāi)啟事先定義
28、的木馬端口,準(zhǔn)備與控制端建立連接。這時(shí)服務(wù)端用戶(hù)可以在MS-DOS方式下,鍵入NETSTAT-AN查看端口狀態(tài),一般個(gè)人電腦在脫機(jī)狀態(tài)下是不會(huì)有端口開(kāi)放的,如果有端口開(kāi)放,你就要注意是否感染木馬了。 3、信息反饋 木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置,如設(shè)置信息反饋的郵件地址,IRC號(hào),ICO號(hào)等等。 4、建立連接 一個(gè)木馬連接的建立首先必須滿(mǎn)足兩個(gè)條件:一是服務(wù)端已安裝了木馬程序;二是控制端,服務(wù)端都要在線(xiàn)。在此基礎(chǔ)上控制端可以通過(guò)木馬端口與服務(wù)端建立連接值得一提的要掃描整個(gè)IP地址段顯然費(fèi)時(shí)費(fèi)力,一般來(lái)說(shuō)控制端都是先通過(guò)信息反饋獲得服務(wù)端的IP地址,由于撥號(hào)上網(wǎng)
29、的IP是動(dòng)態(tài)的,即用戶(hù)每次上網(wǎng)的IP都是不同的。 5、遠(yuǎn)程控制 木馬連接建立后,控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道,控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系,并通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。 6、木馬病毒的傳播及植入 由于木馬病毒是一種非自我復(fù)制的惡意代碼,因此她需要依靠用戶(hù)向其他人發(fā)送其拷貝。木馬病毒可以作為電子郵件附件或者隱藏在用戶(hù)與其他用戶(hù)進(jìn)行交互的文檔或者其他文件中。他們還可以被其他惡意代碼所攜帶,如蠕蟲(chóng)。木馬病毒有時(shí)也會(huì)隱藏在從互聯(lián)網(wǎng)上下載的捆綁軟件中。當(dāng)用戶(hù)安裝此軟件是,病毒就會(huì)在后臺(tái)秘密安裝。木馬植入技術(shù)主要是指木馬病毒利用各自途
30、徑進(jìn)入到目標(biāo)機(jī)器的具體方法。 7、木馬病毒植入技術(shù) 木馬病毒植入技術(shù),主要是指木馬病毒利用各種途徑進(jìn)入目標(biāo)機(jī)器的具體實(shí)現(xiàn)方法。 (1)利用電子郵件進(jìn)行傳播:攻擊者將木馬程序偽裝成E-mail附件的形式發(fā)送過(guò)去,收信方只要查看郵件附件就會(huì)使木馬程序得到運(yùn)行并安裝進(jìn)入系統(tǒng)。 (2)利用網(wǎng)絡(luò)下載進(jìn)行傳播:一些非正規(guī)的網(wǎng)站以提供軟件下載為名,將木馬捆綁在軟件安裝程序上,下載后,只要運(yùn)行這些程序,木馬就會(huì)自動(dòng)安裝。 (3)利用網(wǎng)頁(yè)瀏覽傳播:這種方法利用JavaApplet編寫(xiě)出一個(gè)HTML網(wǎng)頁(yè),當(dāng)我們?yōu)g覽該頁(yè)面時(shí),JavaApplet會(huì)在后臺(tái)將木馬程序下載到計(jì)算機(jī)緩存中,然后修改注冊(cè)表,使指向
31、木馬程序。 (4)利用一些漏洞進(jìn)行傳播:如微軟著名的IIS服務(wù)器溢出漏洞,通過(guò)一個(gè)IISHACK攻擊程序即可把IIS服務(wù)器崩潰,并且同時(shí)在受控服務(wù)器執(zhí)行木馬程序。由于微軟的瀏覽器在執(zhí)行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞傳播病毒和木馬,甚至直接對(duì)瀏覽者主機(jī)進(jìn)行文件操作等控制。 (5)遠(yuǎn)程入侵進(jìn)行傳播:黑客通過(guò)破解密碼和建立IPC遠(yuǎn)程連接后登陸到目標(biāo)主機(jī),將木馬服務(wù)端程序拷貝到計(jì)算機(jī)中的文件夾(一般在C:\WINDOWS\system32或者C:\WINNT\sys-tem32)中,然后通過(guò)遠(yuǎn)程操作讓木馬程序在某一個(gè)時(shí)間運(yùn)行。 (6)基于DLL和遠(yuǎn)程線(xiàn)程插入的木馬植入:這
32、種傳播技術(shù)是以DLL的形式實(shí)現(xiàn)木馬程序,然后在目標(biāo)主機(jī)中選擇特定目標(biāo)進(jìn)程(如系統(tǒng)文件或某個(gè)正常運(yùn)行程序),由該進(jìn)程將木馬DLL植入到本系統(tǒng)中。而DLL文件的特點(diǎn)決定了這種實(shí)現(xiàn)形式的木馬的可行性和隱藏性。首先,由于DLL文件映像可以被映射到調(diào)用進(jìn)程的地址空間中,所以它能夠共享宿主進(jìn)程(調(diào)用DLL的進(jìn)程)的資源,進(jìn)而根據(jù)宿主進(jìn)程在目標(biāo)主機(jī)的級(jí)別未授權(quán)地訪(fǎng)問(wèn)相應(yīng)的系統(tǒng)資源。其次,因?yàn)镈LL沒(méi)有被分配獨(dú)立的進(jìn)程地址空間,也就是說(shuō)DLL的運(yùn)行并不需要?jiǎng)?chuàng)建單獨(dú)的進(jìn)程,增加了隱蔽性的要求。 (7)利用蠕蟲(chóng)病毒傳播木馬:網(wǎng)絡(luò)蠕蟲(chóng)病毒具有很強(qiáng)的傳染性和自我復(fù)制能力,將木馬和蠕蟲(chóng)病毒結(jié)合在一起就可以大大地提高木
33、馬的傳播能力。結(jié)合了蠕蟲(chóng)病毒的木馬利用病毒的特性,在網(wǎng)絡(luò)上進(jìn)行傳播、復(fù)制,這就加快了木馬的傳播速度。 4.1木馬病毒的加載技術(shù) 當(dāng)木馬病毒成功植入目標(biāo)機(jī)后,就必須確保自己可以通過(guò)某種方式得到自動(dòng)運(yùn)行。常見(jiàn)的木馬病毒加載技術(shù)主要包括:系統(tǒng)啟動(dòng)自動(dòng)加載、文件關(guān)聯(lián)和文件劫持等。 4.1.1系統(tǒng)啟動(dòng)自動(dòng)加載 系統(tǒng)啟動(dòng)自動(dòng)加載,這是最常的木馬自動(dòng)加載方法。木馬病毒通過(guò)將自己拷貝到啟動(dòng)組,或在win.ini,system.ini和注冊(cè)表中添加相應(yīng)的啟動(dòng)信息而實(shí)現(xiàn)系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載。這種加載方式簡(jiǎn)單有效,但隱蔽性差。目前很多反木馬軟件都會(huì)掃描注冊(cè)表的啟動(dòng)鍵(信息),故而新一代木馬病毒都采用了更加隱蔽
34、的加載方式。 4.1.2文件劫持 文件劫持,是一種特殊的木馬加載方式。木馬病毒被植入到目標(biāo)機(jī)后,需要首先對(duì)某個(gè)系統(tǒng)文件進(jìn)行替換或嵌入操作,使得該系統(tǒng)文件在獲得訪(fǎng)問(wèn)權(quán)之前,木馬病毒被率先執(zhí)行,然后再將控制權(quán)交還給相應(yīng)的系統(tǒng)文件。采用這種方式加載木馬不需要修改注冊(cè)表,從而可以有效地躲過(guò)注冊(cè)表掃描型反木馬軟件的查殺。這種方式最簡(jiǎn)單的實(shí)現(xiàn)方法是將某系統(tǒng)文件改名,然后將木馬程序改名。這樣當(dāng)這個(gè)系統(tǒng)文件被調(diào)用的時(shí)候,實(shí)際上是木馬程序被運(yùn)行,而木馬啟動(dòng)后,再調(diào)用相應(yīng)的系統(tǒng)文件并傳遞原參數(shù)。 4.2木馬病毒的隱藏技術(shù) 為確保有效性,木馬病毒必須具有較好的隱蔽性。木馬病毒的主要隱蔽技術(shù)包括:偽裝、進(jìn)
35、程隱藏、DLL技術(shù)等。 偽裝,從某種意義上講,偽裝是一種很好的隱藏。木馬病毒的偽裝主要有文件偽裝和進(jìn)程偽裝。前者除了將文件屬性改為隱藏之外,大多通過(guò)采用一些比較類(lèi)似于系統(tǒng)文件的文件名來(lái)隱蔽自己;而后者則是利用用戶(hù)對(duì)系統(tǒng)了解的不足,將自己的進(jìn)程名設(shè)為與系統(tǒng)進(jìn)程類(lèi)似而達(dá)到隱藏自己的目的。 進(jìn)程隱藏,木馬病毒進(jìn)程是它駐留在系統(tǒng)中的最好證據(jù),若能夠有效隱藏自己的進(jìn)程,顯然將大大提高木馬病毒的隱蔽性。在windows98系統(tǒng)中可以通過(guò)將自己設(shè)為系統(tǒng)進(jìn)程來(lái)達(dá)到隱藏進(jìn)程的目的。但這種方法在windows2000/NT下就不再有效,只能通過(guò)下面介紹的DLL技術(shù)或設(shè)備驅(qū)動(dòng)技術(shù)來(lái)實(shí)現(xiàn)木馬病毒的隱藏。 DLL
36、技術(shù),采用DLL技術(shù)實(shí)現(xiàn)木馬的隱蔽性,主要通過(guò)以下兩種途徑:DLL陷阱和DLL注入。DLL陷阱技術(shù)是一種針對(duì)DLL(動(dòng)態(tài)鏈接庫(kù))的高級(jí)編程技術(shù),通過(guò)用一個(gè)精心設(shè)計(jì)的DLL替換已知的系統(tǒng)DLL或嵌入其內(nèi)部,并對(duì)所有的函數(shù)調(diào)用進(jìn)行過(guò)濾轉(zhuǎn)發(fā)。DLL注入技術(shù)是將一個(gè)DLL注入到某個(gè)進(jìn)程的地址空間,然后潛伏在其中并完成木馬的操作。 第五章木馬病毒的防范 計(jì)算機(jī)病毒的防范措施針對(duì)病毒的發(fā)展趨勢(shì),從上面的討論知道木馬程序是非常危險(xiǎn)的,計(jì)算機(jī)一旦感染病毒是非常危險(xiǎn)的,所以在前人研究的基礎(chǔ)上我認(rèn)為以下幾種方法也有助于病毒的防
37、范。如: (1)不隨意打開(kāi)來(lái)歷不明的郵件,阻塞可疑郵件。 (2)不隨意下載來(lái)歷不明的軟件。 (3)及時(shí)修補(bǔ)漏洞和關(guān)閉可疑的端口。 (4)盡量少用共享文件夾。 (5)運(yùn)行實(shí)時(shí)監(jiān)控系統(tǒng)。 (6)經(jīng)常升級(jí)系統(tǒng)和更新殺毒軟件。 (7)限制不必要的具有傳輸能力的文件。 (8)關(guān)閉不常使用端口。 我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全形勢(shì)十分嚴(yán)峻,采用有效的病毒防范措施顯得尤其重要。計(jì)算機(jī)網(wǎng)絡(luò)中最主要的軟硬件實(shí)體就是服務(wù)器和工作站,防治病毒首先要考慮這兩部分: 5.1基于用戶(hù)的防范措施 (1)在網(wǎng)絡(luò)接口卡上安裝防病毒芯片。 是一種硬件防病毒技術(shù),與操作系統(tǒng)相配合,可以防范大部分針對(duì)緩沖區(qū)溢出漏洞的攻擊
38、。Intel的防病毒技術(shù)是EDB,AMD的防病毒技術(shù)是EV,但不管叫什么,它們的原理都是大同小異的。嚴(yán)格來(lái)說(shuō),目前各個(gè)CPU廠(chǎng)商在CPU內(nèi)部集成的防病毒技術(shù)不能稱(chēng)之為“硬件防毒”。這樣可以更加實(shí)時(shí)有效地保護(hù)工作站及通向服務(wù)器的橋梁。 (2)創(chuàng)建緊急引導(dǎo)盤(pán)和最新緊急修復(fù)盤(pán)。 緊急引導(dǎo)盤(pán)就是常說(shuō)的啟動(dòng)盤(pán),當(dāng)電腦無(wú)法進(jìn)入操作系統(tǒng)時(shí),可以用它引導(dǎo)系統(tǒng),進(jìn)入dos狀態(tài),然后對(duì)系統(tǒng)進(jìn)行各種修復(fù)。計(jì)算機(jī)病毒的防治措施中創(chuàng)建的緊急修復(fù)盤(pán)是對(duì)當(dāng)前計(jì)算機(jī)的分區(qū)表,引導(dǎo)區(qū)信息等重要信息進(jìn)行的備份,當(dāng)計(jì)算機(jī)的這些信息被病毒破壞后,可以通過(guò)這張盤(pán)進(jìn)行恢復(fù),盡量減少損失。 (3)盡量不用外來(lái)的軟件和閃盤(pán),用前要用最
39、新正版的殺毒軟件查殺。 正版殺毒軟件非常穩(wěn)定,不會(huì)出現(xiàn)各種未知問(wèn)題,如病毒庫(kù)不能及時(shí)更新等;遇到疑問(wèn)時(shí)可獲取殺毒軟件官方客服支持,以便及時(shí)解決問(wèn)題;能及時(shí)的更新病毒庫(kù)和正版殺毒軟件版本,更為有效的防范網(wǎng)絡(luò)威脅;可避免因在不可靠的網(wǎng)站尋找破解等信息時(shí)候中毒或錯(cuò)將惡意軟件當(dāng)作破解補(bǔ)丁下載??上硎芨喔玫陌踩?wù),這些服務(wù)是破解或盜版殺毒軟件所不可能有的。能夠享受官方為正版用戶(hù)提供的增強(qiáng)服務(wù),比如諾頓、邁克菲的數(shù)據(jù)在線(xiàn)存儲(chǔ)等。 (4)重要文件和數(shù)據(jù)不要安裝在系統(tǒng)盤(pán)上,注意及時(shí)做好數(shù)據(jù)的備份。 數(shù)據(jù)庫(kù)的數(shù)據(jù)全在電腦上,如果出現(xiàn)一些意外(系統(tǒng)崩潰,認(rèn)為破壞,硬盤(pán)損壞等),會(huì)造成數(shù)據(jù)丟失,而要數(shù)據(jù)
40、恢復(fù)的話(huà),需要花很多時(shí)間和金錢(qián)。 (5)對(duì)計(jì)算機(jī)系統(tǒng)軟件及時(shí)安裝補(bǔ)丁程序,檢查注冊(cè)表和內(nèi)存中可疑進(jìn)程。 系統(tǒng)必須打補(bǔ)丁,這是一個(gè)安全常識(shí),現(xiàn)在的病毒最?lèi)?ài)做的事情就是利用系統(tǒng)漏洞攻擊你的電腦,所以一位說(shuō)可以不打補(bǔ)丁的朋友的說(shuō)法是嚴(yán)重錯(cuò)誤的,不過(guò)補(bǔ)丁也可以用360來(lái)打,應(yīng)該說(shuō)360下載的補(bǔ)丁最多只是存在判斷不正確的問(wèn)題,就是說(shuō)出現(xiàn)實(shí)際無(wú)需安裝的補(bǔ)丁的下載提示,一般安裝補(bǔ)丁是以WindowsUpdate上的提示為準(zhǔn),而況你是正版的,更加無(wú)需擔(dān)心正版驗(yàn)證的問(wèn)題。絕大多數(shù)時(shí)候就算安裝了多余的補(bǔ)丁,也不會(huì)引起系統(tǒng)崩潰,你這崩潰和補(bǔ)丁可能存在關(guān)系,但也可能實(shí)際上是無(wú)關(guān)的,你在重啟之后WIN7自動(dòng)進(jìn)行了修
41、復(fù),也就自然恢復(fù)正常了。 (6)接收電子郵件、從網(wǎng)絡(luò)下載各種免費(fèi)和共享軟件要進(jìn)行必要的檢查和殺毒后才能打開(kāi)、安裝和使用。 (7)提高自身素質(zhì),上網(wǎng)瀏覽時(shí)不要訪(fǎng)問(wèn)不良網(wǎng)站。當(dāng)前,網(wǎng)絡(luò)病毒的最新趨勢(shì)是: ①不法分子或好事之徒制作的匿名網(wǎng)頁(yè)直接提供了下載大批病毒活樣本的便利途徑。 ②由于學(xué)術(shù)研究的病毒樣本提供機(jī)構(gòu)同樣可以成為別有用心的人的使用工具。 ③由于網(wǎng)絡(luò)匿名登錄才成為可能的專(zhuān)門(mén)關(guān)于病毒制作研究討論的學(xué)術(shù)性質(zhì)的電子論文、期刊、雜志及相關(guān)的網(wǎng)上學(xué)術(shù)交流活動(dòng),如病毒制造協(xié)會(huì)年會(huì)等等,都有可能成為國(guó)內(nèi)外任何想成為新的病毒制造者學(xué)習(xí)、借鑒、盜用、抄襲的目標(biāo)與對(duì)象。 ④散見(jiàn)于網(wǎng)站上大批病毒制作
42、工具、向?qū)?、程序等等,使得無(wú)編程經(jīng)驗(yàn)和基礎(chǔ)的人制造新病毒成為可能。 ⑤新技術(shù)、新病毒使得幾乎所有人在不知情時(shí)無(wú)意中成為病毒擴(kuò)散的載體或傳播者。其傳播方式和速度之快,讓人防不勝防,由此可見(jiàn)反病毒過(guò)程任重道遠(yuǎn)。 ⑥發(fā)現(xiàn)病毒后要立刻關(guān)機(jī),因?yàn)檎jP(guān)機(jī)操作,Windows會(huì)做備份注冊(cè)表等很多寫(xiě)盤(pán)操作,剛剛被病毒誤刪的文件可能被覆蓋,一旦被覆蓋就沒(méi)有修復(fù)的可能,即把電源切掉,操作系統(tǒng)自身的完整性和其他應(yīng)用程序還可能大部分保存完好,然后用計(jì)算機(jī)恢復(fù)工具或殺毒軟件來(lái)處理。 5.2基于服務(wù)器端的防范措施 網(wǎng)絡(luò)服務(wù)器是計(jì)算機(jī)網(wǎng)絡(luò)的中心,是網(wǎng)絡(luò)的支柱。目前基于服務(wù)器的防治病毒方法大部分采用防治病毒可裝載模
43、塊(NLM),以提供實(shí)時(shí)掃描病毒的能力。有時(shí)也結(jié)合利用在服務(wù)器上的插防毒卡等技術(shù),保護(hù)服務(wù)器不受病毒的攻擊。具體措施有: (1)建立有效的計(jì)算機(jī)病毒防護(hù)體系。 有效的計(jì)算機(jī)病毒防護(hù)體系應(yīng)包括多個(gè)防護(hù)層。一是訪(fǎng)問(wèn)控制層;二是病毒檢測(cè)層;三是病毒遏制層;四是病毒清除層;五是系統(tǒng)恢復(fù)層;六是應(yīng)急計(jì)劃層。上述六層計(jì)算機(jī)防護(hù)體系,須有有效的硬件和軟件技術(shù)的支持,如防火墻技術(shù)、網(wǎng)絡(luò)安全設(shè)計(jì)、身份驗(yàn)證技術(shù)等。入侵檢測(cè)作為一種積極的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊,外部攻擊和錯(cuò)誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)收到危害前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全建立縱身,多層次防御的角度出發(fā)。 (2)安裝和設(shè)置防火墻。 防火
44、墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)的安全。在服務(wù)器端和客戶(hù)端都要安裝使用病毒防火墻,建立立體的病毒防護(hù)體系,一旦遭受病毒攻擊,立即采取隔離措施。 (3)安裝服務(wù)器端防病毒系統(tǒng),以提供對(duì)病毒的檢測(cè)、清除、免疫和對(duì)抗能力,同時(shí)及時(shí)對(duì)病毒庫(kù)進(jìn)行在線(xiàn)升級(jí)。 有些人以為只要他們保護(hù)了自己的電子郵件網(wǎng)關(guān)和內(nèi)部的桌面計(jì)算機(jī),就無(wú)需基于電子郵件
45、服務(wù)器的防病毒解決方案了。這在幾年前或許是對(duì)的,但是目前隨著基于Web的電子郵件訪(fǎng)問(wèn)、公共文件夾以及訪(fǎng)問(wèn)存儲(chǔ)器的映射網(wǎng)絡(luò)驅(qū)動(dòng)器等方式的出現(xiàn),病毒可以通過(guò)多種方式進(jìn)入電子郵件服務(wù)器。這時(shí),就只有基于電子郵件服務(wù)器的解決方案才能夠檢測(cè)和刪除受感染項(xiàng)。攔截受感染的附件。許多利用電子郵件傳輸方式的病毒傳播者(又稱(chēng)“海量寄件者”)經(jīng)常利用可在大多數(shù)計(jì)算機(jī)中找到的可執(zhí)行文件,如EXE、VBS和SHS散布病毒。實(shí)際上,大多數(shù)電子郵件用戶(hù)并不需要接收帶這類(lèi)文件擴(kuò)展的附件,因此當(dāng)它們進(jìn)入電子郵件服務(wù)器或網(wǎng)關(guān)時(shí)可以將其攔截下來(lái)。 安排全面隨機(jī)掃描。即使能夠保證使用所有最新的手段防范病毒,新型病毒也總是防不勝防。
46、它們有可能乘人們還沒(méi)來(lái)得及正確識(shí)別,防病毒產(chǎn)品廠(chǎng)商也尚未相應(yīng)地制定出新的定義文件之前,進(jìn)入系統(tǒng)。通過(guò)使用最新定義文件,對(duì)所有數(shù)據(jù)進(jìn)行全面、隨機(jī)地掃描,確保檔案中沒(méi)有任何受感染文件蒙混過(guò)關(guān),就顯得尤為重要。 利用試探性?huà)呙?,可以尋找已知病毒的特征,以識(shí)別是已知病毒變異的新病毒,提供較高級(jí)別的保護(hù),但缺點(diǎn)是它需要更多的處理時(shí)間來(lái)掃描各項(xiàng)病毒,而且偶爾還會(huì)產(chǎn)生錯(cuò)誤的識(shí)別結(jié)果。不管怎樣,只要服務(wù)器配置正確,根據(jù)性能的需要,利用試探性?huà)呙杼峁╊~外保護(hù),還是值得一試的。 用防病毒產(chǎn)品中的病毒發(fā)作應(yīng)對(duì)功能。海量郵寄帶來(lái)的病毒可以迅速傳遍一個(gè)系統(tǒng)。對(duì)于管理員而言,沒(méi)有防病毒廠(chǎng)商所提供的適當(dāng)?shù)臋z測(cè)驅(qū)動(dòng)程序,
47、要根除這些病毒是極其費(fèi)力的。幸運(yùn)的是,某些病毒防護(hù)產(chǎn)品提供了系統(tǒng)設(shè)置功能,一旦出現(xiàn)特定病毒發(fā)作的特征,這些產(chǎn)品就會(huì)自動(dòng)發(fā)出通知或采取修正措施。 重要數(shù)據(jù)定期存檔。并非所有病毒都立即顯示出自己的特征;根據(jù)感染位置以及系統(tǒng)的設(shè)置情況,有些病毒可能要潛伏一段時(shí)間才能被發(fā)現(xiàn)。最好是至少每月進(jìn)行一次數(shù)據(jù)存檔,這樣,如前所述,在防病毒解決方案的自動(dòng)刪除功能不起作用時(shí),就可以利用存檔文件,成功地恢復(fù)受感染項(xiàng)。 5.3加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)管理 計(jì)算機(jī)網(wǎng)絡(luò)病毒的防治,單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來(lái),提高人們的防范意識(shí),才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全
48、運(yùn)行。網(wǎng)絡(luò)管理應(yīng)該積極主動(dòng),從硬件設(shè)備和軟件系統(tǒng)的使用、維護(hù)、管理、服務(wù)等各個(gè)環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度,對(duì)網(wǎng)絡(luò)系統(tǒng)的管理員及用戶(hù)加強(qiáng)法制教育和職業(yè)道德教育,規(guī)范工作程序和操作規(guī)程,建立、防殺結(jié)合、以防為主、以殺為輔、軟硬互補(bǔ)、標(biāo)本兼治的最佳安全模式。 總之,計(jì)算機(jī)病毒在形式上越來(lái)越難以辨別,造成的危害也越來(lái)越嚴(yán)重,我們需要高度重視病毒的發(fā)展趨勢(shì),加強(qiáng)計(jì)算機(jī)病毒防范知識(shí)的普及和應(yīng)用,加強(qiáng)安全防范意識(shí)和技術(shù),加強(qiáng)計(jì)算機(jī)病毒知識(shí)的研究,在技術(shù)上更先進(jìn),功能上更全面,構(gòu)建較完善的病毒防范體系,確保體系的有效性和先進(jìn)性。
49、 結(jié)論 總之,計(jì)算機(jī)病毒在形式上越來(lái)越難以辨別,造成的危害也越來(lái)越嚴(yán)重,我們需要高度重視病毒的發(fā)展趨勢(shì),加強(qiáng)計(jì)算機(jī)病毒防范知識(shí)的普及和應(yīng)用,加強(qiáng)安全范意識(shí)和技術(shù),加強(qiáng)計(jì)算機(jī)病毒知識(shí)的研究,在技術(shù)上更先進(jìn),功能上更全面,構(gòu)建較完善的病毒防范體系,確保體系的有效性和先進(jìn)性。 參考文獻(xiàn) [1]張又生,.計(jì)算機(jī)病毒與木馬程序剖析[M].北京:北京科海電子出版社,2009. [2]張小磊.計(jì)算機(jī)病毒診斷與防治[M].北京:中國(guó)環(huán)境科學(xué)出
50、版社,2008. [3]DavidHarley[美],RobertSlade[美],UrsE.Gattiker[美].計(jì)算機(jī)病毒揭秘[M].北 京:人民郵電出版社,2005.9. [4]李光明.中文VisualBasice6.0程序設(shè)計(jì)教程[M].北京:冶金工業(yè)出版社,2008. [5]張爭(zhēng)平,審校.新編windowsAPI參考大全[M].北京:電子工業(yè)出版社,2008.3. [6]張玉生.VisualBasic程序設(shè)計(jì)與上機(jī)實(shí)驗(yàn)指導(dǎo).上海:華東理工大學(xué)出版社. [7]龔沛曾.VB程序設(shè)計(jì)簡(jiǎn)明教程(第二版).高等教育出版社.2002.8. [8]郝強(qiáng),趙中華.WindowsXP注
51、冊(cè)表大全[M].北京:電子工業(yè)出版社,2010.4. [9]崔彥鋒,許小榮.VB網(wǎng)絡(luò)與遠(yuǎn)程控制實(shí)例編程[M].北京:北京希望電子出版 社,2009. [10]楊云偉.VisualBasic實(shí)驗(yàn)教程[M].武漢大學(xué)出版社,2010. [11]黑鷹基地.VB木馬-VIP教程[M].網(wǎng)絡(luò)資料,2011-05-03 謝辭 彈指一揮間,兩年的大學(xué)生活即將結(jié)束,這是一段增長(zhǎng)知識(shí)和積淀師生情、友情的難忘的時(shí)光,是一個(gè)不斷地為追逐自己的夢(mèng)想而奮斗,不斷地充實(shí)自我,提升自我的過(guò)程。在此,我想對(duì)培育和幫助我成長(zhǎng)的老師、父母、同學(xué),表示我最衷心的感謝,沒(méi)有他們,就不可能有今天
52、的我。 該篇畢業(yè)論文是本人大學(xué)兩年年的知識(shí)總結(jié),在論文的寫(xiě)作過(guò)程中,商杰老師為我指點(diǎn)迷津,幫助我開(kāi)拓研究思路,精心點(diǎn)撥、熱忱鼓勵(lì)。商老師一絲不茍的作風(fēng),嚴(yán)謹(jǐn)求實(shí)的態(tài)度,踏踏實(shí)實(shí)的精神,不僅授我以文,而且教我做人,雖歷時(shí)三載,卻給以終生受益無(wú)窮之道。對(duì)商杰老師的感激之情是無(wú)法用言語(yǔ)表達(dá)的。 感謝安徽工貿(mào)學(xué)院和所有任課老師對(duì)我多年的培養(yǎng)。 感謝我的父母,焉得諼草,言樹(shù)之背,養(yǎng)育之恩,無(wú)以回報(bào),你們永遠(yuǎn)健康快樂(lè)是我最大的心愿。 感謝我的同學(xué)、朋友們,我將永遠(yuǎn)記得你們伴我走過(guò)的每一個(gè)有歡笑有淚水的日子,是你們的關(guān)心和幫助,讓我感受到踏實(shí)的溫暖。 在論文即將完成之際,我的心情無(wú)法平靜,從開(kāi)始進(jìn)
53、入課題到論文的順利完成,有多少可敬的師長(zhǎng)、同學(xué)、朋友給了我無(wú)言的幫助,在這里請(qǐng)接受我誠(chéng)摯的謝意! 25 安徽工貿(mào)職業(yè)技術(shù)學(xué)院 畢業(yè)設(shè)計(jì)(論文)指導(dǎo)教師評(píng)語(yǔ) 專(zhuān)業(yè)、班級(jí) 軟件1班 學(xué)生姓名 莫如 完成日期 2015.4.20 題 目: 第二代木馬的研究與實(shí)現(xiàn) 畢業(yè)設(shè)計(jì)
54、(論文)共 19 頁(yè),其中:圖1幅,表1個(gè) 指導(dǎo)教師評(píng)語(yǔ):
55、 建議成績(jī) 指導(dǎo)教師(簽名): 年 月 日 畢業(yè)設(shè)計(jì)(論文)指導(dǎo)小組評(píng)定意見(jiàn): 畢業(yè)論文成績(jī)的評(píng)定: 指導(dǎo)教師審閱成績(jī)(70%) 評(píng)閱教師評(píng)閱成績(jī)(30%) 總 分 系(院)負(fù)責(zé)人簽名: 年 月 日 26
- 溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年銀行業(yè)年終工作總結(jié)8篇
- 電工年度工作總結(jié)11篇
- 鄉(xiāng)鎮(zhèn)衛(wèi)生院護(hù)士述職報(bào)告6篇
- 中專(zhuān)期末總結(jié)個(gè)人總結(jié)7篇
- 醫(yī)技科個(gè)人總結(jié)范文6篇
- 展望未來(lái)年終總結(jié)8篇
- 品質(zhì)年度工作總結(jié)報(bào)告4篇
- 市場(chǎng)月總結(jié)5篇
- 年終個(gè)人工作總結(jié)
- 檔案管理工作的自查報(bào)告8篇
- 護(hù)士近五年工作總結(jié)6篇
- 部門(mén)助理個(gè)人總結(jié)7篇
- 專(zhuān)項(xiàng)資金使用自查報(bào)告5篇
- 教師教研教學(xué)工作總結(jié)7篇
- 迎新晚會(huì)個(gè)人總結(jié)10篇