学文网木马程序篇1
摘要网络入侵工具如蠕虫、木马等不断涌现,其功能上相互吸收和借鉴,攻击方式和手段也层出不穷,促使计算机安全也向着不断细化的方向发展,其中木马(Trojan Horse)攻击以其攻击范围广、隐蔽性、危害大等特点成为常见的网络攻击技术之一,对网络安全造成了极大的威胁。
关键词:计算机;木马程序;防范
由于计算机系统和信息网络系统本身固有的脆弱性,越来越多的网络安全问题开始困扰着我们,特别是在此基础上发展起来的计算机病毒、计算机木马等非法程序,利用网络技术窃取他人信息和成果,造成现实社会与网络空间秩序的严重混乱。
一、木马程序概述
1.木马的定义
木马的全称是“特洛伊木马”(Trojan Norse),来自古希腊神话,传说古希腊士兵就是藏在木马内进入从而占领特洛伊城的。木马是隐藏在合法程序中的未授权程序,这个隐藏的程序完成用户不知道的功能。当合法的程序被植入了非授权代码后就认为是木马。木马是一个用以远程控制的c/s程序,其目的是不需要管理员的准许就可获得系统使用权。木马种类很多,但它的基本构成却是一样的,由服务器程序和控制器程序两部分组成。它表面上能提供一些有用的,或是仅仅令人感兴趣的功能,但在内部还有不为人所知的其他功能,如拷贝文件或窃取你的密码等。严格意义上来说,木马不能算是一种病毒,但它又和病毒一样,具有隐蔽性、非授权性以及危害性等特点,因此也有不少人称木马为黑客病毒。
2.木马的分类
木马的种类很多,主要有以下几种:其一,远程控制型,如BO和冰河。远程控制型木马是现今最广泛的特洛伊木马,这种木马起着远程监控的功能,使用简单,只要被控制主机联入网络,并与控制端客户程序建立网络连接,控制者就能任意访问被控制的计算机。其二,键盘记录型。键盘记录型木马非常简单,它们只做一种事情,就是记录受害者的键盘敲击,并且在 LOG 文件里进行完整的记录,然后通过邮件或其他方式发送给控制者。其三,密码发送型。密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。这类木马程序大多不会在每次都自动加载,一般都使用 25 端口发送电子邮件。其四,反弹端口型。反弹端口型木马的服务端使用主动端口,客户端使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连接控制端打开的主动端口。为了隐蔽起见,控制端的被动端口一般开在80,稍微疏忽一点, 用户就会以为是自己在浏览网页。
3.木马的特点
第一,隐蔽性。隐蔽性是木马的首要特征。这一点与病毒特征是很相似的,木马类软件的 SERVER 端程序在被控主机系统上运行时会使用各种方法来隐藏自己。例如大家所熟悉的修改注册表和ini文件以便被控系统在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其他程序之中。第二,有效性。由于木马常常构成网络入侵方法中的一个重要内容。它运行在目标机器上就必须能够实现入侵者的某些企***,因此有效性就是指入侵的木马能够与其控制端入侵者建立某种有效联系,从而能够充分控制目标机器并窃取其中的敏感信息。第三,自动运行和自动恢复性。木马程序通过修改系统配置文件,如: win.ini,system.ini,winstart.bat或注册表的方式,在目标主机系统启动时自动运行或加载。现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。系统一旦被植入木马,想利用删除某个文件来进行清除是不太可能的。
二、木马程序的工作机制
木马程序虽然具有很大的隐蔽性,但也有其踪迹可循。因此,要防范木马就必须知道木马的工作原理。
1.木马程序的工作原理
木马程序的结构是典型的客户端/服务器(Client/Server;简称C/S)模式,服务器端程序骗取用户执行后,便植入在计算机内,作为响应程序。所以它的特点是隐蔽,不容易被用户察觉,或被杀毒程序、木马清除程序消灭,而且它一般不会造成很大的危害,计算机还可以正常执行。另外,木马服务器端程序还有容量小的特点,一般它的大小不会超过300KB,最小的木马程序甚至只有3KB,这样小的木马很容易就可以合并在一些可以执行.exe的文件中或网页中而不被察觉,而且这样小的文件也能很快就***至磁盘中,若是再利用UPX压缩技术还可以让木马程序变得更小。
2.木马程序的工作方式
木马客户端程序是在控制台(黑客的计算机)中执行的,木马服务器端程序必须与客户端程序对应,建立起连接。服务器端程序与客户端建立连接后,由客户端发出指令,然后服务器在计算机中执行这些指令,并源源不断地将数据传送至客户端。木马服务器端与客户端之间也可以不建立连接,因为建立连接容易被察觉,如果再使用连接技术只会自断后路。所以就要使用ICMP来避免建立连接或使用端口。木马服务器端与客户端也可以不要间接通讯,因为直接通讯的目的太明显了,很容易被发现,所以木马服务器端可以与客户端采取间接通讯的专式:在服务器端与客户端之间中间层,服务器端程序先将数据传送至某个网站,客户端程序再从那个网站取得数据。这种方式可以让木马程序达到非常隐蔽的通讯效果,但缺点是通信数据交换的速度变慢了。
三、木马程序的防范策略
计算机木马程序已经严重影响到各类计算机使用者的切身利益,当前最重要的是如何有效的防范木马的攻击。
1.使用防火墙阻止木马侵入
防火墙是抵挡木马入侵的第一道门,也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接,防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP,ICMP等其他IP数据包的通讯。防火墙完全可以进行数据包过滤检查,在适当规则的限制下,如对通讯端口进行限制,只允许系统接受限定几个端口的数据请求,这样即使木马植入成功,攻击者也是无法进入到你的系统,因为防火墙把攻击者和木马分隔开来了。
2.避免***使用免费或盗版软件
电脑上的木马程序,主要来源有两种。第一种是不小心***运行了包含有木马的程序。绝大多数计算机使用者都习惯于从网上***一些免费或者盗版的软件使用,这些软件一方面为广大的使用者提供了方便,节省了资金,另一方面也有一些不法分子利用消费者的这种消费心理,在免费、盗版软件中加载木马程序,计算机使用者在不知情的情况下贸然运行这类软件,进而受到木马程序的攻击。还有一种情况是,“网友”上传在网页上的“好玩”的程序。所以,使用者定要小心,要弄清楚了是什么程序再运行。
3、安全设置浏览器
设置安全级别,关掉Cookies。Cookies是在浏览过程中被有些网站往硬盘写入的一些数据,它们记录下用户的特定信息,因而当用户回到这个页面上时,这些信息就可以被重新利用。但是关注Cookies的原因不是因为可以重新利用这些信息,而是关心这些被重新利用信息的来源:硬盘。所以要格外小心,可以关掉这个功能。步骤如下:选择“工具”菜单下的“Internet选项”,选择其中的“安全”标签,就可以为不同区域的Web内容指定安全设置。点击下面的“自定义级别”,可以看到对Cookies和Java等不安全因素的使用限制。
4.加强防毒能力
“常在河边走,哪有不湿脚”,只要你上网就有可能受到木马攻击,但是并不是说没有办法来解决。在计算机上安装杀毒软件就是其中一种方法,有了防毒软件的确会减少受伤的几率。但在防毒软件的使用中,要尽量使用正版,因为很多盗版自身就携带有木马或病毒,且不能升级。新的木马和病毒一出来,唯一能控制它蔓延的就是不断地更新防毒软件中的病毒库。除了防毒软件的保护,还可以多运行一些其他软件。如天网,它可以监控网络之间正常的数据流通和不正常的数据流通,并随时对用户发出相关提示;如果我们怀疑染了木马的时候,还可以从网上***木马克星来彻底扫描木马,保护系统的安全。
参考文献:
[1]卢勇焕.黑客与安全[M].北京:中国青年出版社,2001年
[2]张世永.网络安全原理与应用[M].北京:科学出版社,2003年
[3]秘密客.破解黑客木马屠城计[M].北京:中国水利水电出版社,2005年
木马程序篇2
木马程序一般采用的是客户端/服务器模式,是一种基于C/S模式的远程控制技术,客户端是控制端,用于黑客远程监视和控制植入木马的计算机,主要运行在入侵机中,服务器端是被控端,木马采用欺骗或者漏洞攻击等手段把服务器程序安装到受害者的计算机中,即“植入木马”,也就是我们所说的计算机“中了木马”。如果将木马植入并且成功触发的话,控制端和被控制端就会按TCP/IP协议来进行通信,这样控制者就会获得被控制者的一些信息[7]。木马的工作原理如***1所示,在目标机上执行服务器端以后,木马就会打开一个默认的端口来监听,在客户机向服务器发出连接请求的指令后,服务器上的相关程序就会自动运行该请求,二者建立连接后,客户端发出指令,服务器端在计算机中就会执行该指令,同时把数据传回客户端,以此来控制主机。
2行为分析技术在木马检测中的应用
21木马行为特征行为分析方法在木马检测中的应用,简单来说,就是在运行程序的过程中,如果检测出具有木马的行为特征,如进程隐藏、在注册表设置自启动项等,那么该应用程序则有可能是木马,所以首先应该对木马行为特征进行确定。木马行为特征,是指木马在代码上所具有的共有特点。对其确认的步骤主要是:通过观察大量的己知木马的动态行为,从里面提取出有别于合法程序的比较明显的行为特征,记录下来,再通过和各个木马的行为特征比对,从里面提取出所有的木马或是大多数的木马所具有的行为特征。
2.2行为分析技术行为分析是一种新的检测技术,可以主动进行防御木马攻击。该技术和传统的木马检测技术不同,它通过捕获某个程序行为,再和木马或者病毒所特有的一些行为特征对比分析,然后再通过一些算法像贝叶斯算法、概率论等,或采用数据挖掘技术来对该程序是木马或是病毒的可疑程度进行推断。该检测方法能够及时有效地发现新型恶意代码,是目前国际上反木马技术的新趋势。木马行为特征库可以归纳总结出来,如果单纯依赖木马行为特征库,只要运行的程序中出现了单个具有木马行为特征的行为,就认定其为木马,会带来较大的误报率,比如:修改注册表项,大部分木马程序具有该行为特征,可以将其作为区分合法程序的行为特征,但是一些合法程序也具有在注册表设置自启动项等一些修改注册表项的行为特征,如桌面工具类软件、迅雷、QQ程序的安装等,而且并不是所有的木马程序都会进行注册表项的操作,所以在考虑木马行为特征的同时,还应关注合法程序区别于木马的行为特征,通过多项特征的组合来作为判别木马程序的依据,从而降低误报率和漏报率。M.schultZ等人最早提出了采用朴素贝叶斯算法等来检测未知的恶意程序代码,因其具有较强的概率推理能力,可以通过对样本的多个属性的取值来对样本分类,而且它们都可被用来对未知的类别样本分类,这和把行为分析技术用来判定未知木马的目的一致,所以不仅可以用来检测已知的木马,对未知的木马或是已知的木马变种也能检测出来。
3朴素贝叶斯算法在木马行为分析中的应用
假设已知的木马的个数为m,合法的程序个数为n,行为特征具有k个(m>0,n>0,k>0,且m、n和k均为整数)。把m个木马里具有第i个行为特征的木马数记为(k≥i>0,且i为整数)。假设有一个可执行程序,该程序既不在m个木马程序中,也不在n个合法程序中,但该程序具有k个行为特征中的1个行为特征,不具有另外(k-l)个行为特征,那么需要判别该程序是不是木马程序。
4基于行为分析的木马检测模型
在上述理论的基础上,结合监控技术,设计了一个基于行为分析的木马检测模型,采用朴素贝叶斯算法作为可疑行为分析模块的检测算法。基于行为分析的木马检测模型如***2所示。***2基于行为分析的木马检测模型(参见右栏)各模块主要功能说明如下。程序实时监控模块:对系统内部的可疑行为进行监控,在此归纳了几种常见的木马行为属性,主要有进程隐藏,界面隐藏,注册表修改,自动运行,安装钩子,线程的注入等。这些行为在普通程序中出现的概率远小于在木马中出现的概率,木马在运行过程中会暴露这些属性,它们是分析检测木马的重要依据。目录文件监控模块:本模块对系统存储的重要文件或者对用户重要的文件、文件目录实施操作监控,实时记录下用户对特定文件或目录创建、修改、重命名及删除操作,由于偷窃性是木马的一个重要特征,最终会将偷窃的敏感文件或数据通过网络向外在的控制端进行数据的传输,所以会同时将相关数据发送给网络监控模块进行监控。
网络监控模块:对局域网中各机器网络通信情况进行检测,通过网络监控发现网络通信的异常。主要根据目录文件监控模块传来的进程PID、进程路径名等一些进程信息对网络情况进行监控,由此可以得到该进程打开的端口号和传输情况。而对一些无连接、隐藏通信端口的木马,通过网络监控不易发现时,却也很有可能通过行为特征的分析将这些木马检测出来。本模块和目录文件监控模块除了确定木马在系统中如隐藏、修改注册表等一系列行为特征外,还可以一起来确定另外一个决定性特征:文件偷窃特征。可疑行为分析模块:在此模块中采用朴素贝叶斯算法对木马行为特征进行分析,通过第3节的分析,P(X|T)、P(T)、P(X|LP)和P(LP)做为先验概率是可以事先算出来的,然后再按照公式3-3,3-4和判断条件进行木马行为的判断。由于朴素贝叶斯算法的最大特点是不需要搜索,只需简单地计算各个行为特征发生的频率数,就可以估计出每个行为特征的概率估计值,因而用朴素贝叶斯算法判别木马具有较高的效率。木马杀除和报警响应模块:对检测出的木马做最终处理,当检测到有木马攻击的时候一方面采取切断TCP连接等措施对木马进行阻止或删除;另一方面向用户或管理员发出报警,弹出相应的警告窗体,记录着木马的发送时间,木马类型、其源MAC地址、目的MAC地址、源lP地址、目的IP地址等关键信息。管理员或审计员可以对报警信息进行查看,可以通过电子邮件查收,同时可以根据需要生成审计报告,为其提供决策支持。另一方面将审计结果进行存储,把告警信息存入网络审计数据库。
5结束语
木马程序篇3
关键词:木马 传播木马 运行木马
1、木马配置方法
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两个功能:
木马伪装:木马配置程序为了在服务端尽可能隐藏好木马,会采用多种伪装手段如修改***标、捆绑文件、定制端口、自我销毁等。
信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址、IRC号、ICQ号等等。
2、木马传播方法
传播方式:木马的传播方式主要有两种:一种是通过E-mail,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件就会感染木马;另一种是软件***,一些非正规的网站以提供软件***为名义,将木马捆绑在软件安装程序上,***后,只要一运行这些程序,木马就会自动安装。
伪装方式:鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉欺骗用户的目的。
2.1 修改***标
现在已经有木马可以将木马服务端程序的***标改成HTML,TXT,ZIP等各种文件的***标,有相当大的迷惑性。***标修改往往和文件改名是一起进行的,黑客往往将文件的名称取得非常的诱人,比如“漂亮的妹妹”之类,骗用户去运行它。当木马服务端程序运行以后,服务端程序也会将自己的进程设置为和正常的系统进程相似的名称,从而使用户不容易产生怀疑,被其***。
2.2 捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉情况下,偷偷地进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
2.3 出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了你的系统。
2.4 定制端口
很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多木马都加入了定制端口的功能。
3、木马运行方法
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到Windows的系统文件夹中(c:\Windows,c:\Windows\system或c:\Windows\temp目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。安装后就可以启动木马了,具体过程如***1所示。
3.1 由触发条件激活木马
触发条件是指启动木马的条件,大致出现在下面八个地方:注册表:
打开HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\的Run和RunServices主键,在其中寻找可能是启动木马的键值。
WIN.INI:C:\ Windows目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic],[drivers32]中有命令行,在其中寻找木马的启动命令。
Autoexec.bat和config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传服务端覆盖这两个文件才行。
INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。
注册表:打开HKEY-CLASSES-ROOT\文件类型\shell\open\command主键,查看其键值。不光是TXT文件,通过修改,HTML、EXE、ZIP等文件的启动命令的键值都可以启动木马,不同之处只在于“文件类型”这个主键的差别,TXT是txtfile,ZIP是WINZIP等。
捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。
启动菜单:在“开始-程序-启动”选项下也可能有木马的触发条件。
3.2 木马运行过程
木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下,键入NETSTAT-AN查看端口状态,一般个人电脑在脱机状态下是不会有端口开放的,如果有端口开放,你就要注意是否感染木马了。
在上网过程中要***软件,发送信件等必然打开一些端口。除常用外,如发现还有其它端口打开,尤其是数值比较大的端口,那就要怀疑是否感染了木马。
综上所述,当今的时代是信息时代,电脑的编程技术也是突飞猛进的,木马的功能和特性也在快速发展着,因此,我们还需不断的学习,使我们的防御技术能够不断向前发展。
参考文献
木马程序篇4
关键词:木马;入侵;清除
1. 引言
世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本(事实上,编写PC-Write的Quicksoft公司从未发行过2.72版本),一旦用户信以为真运行该木马程序,那么他的下场就是硬盘被格式化。随着计算机技术的不断发展,编写木马程序的方法、手段及传播途径、逃避查杀的技术也不断地翻新发展。
2.木马的入侵原理和入侵手段
2.1木马的入侵原理
木马都是网络客户/服务模式(C/S),它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。 当攻击者要利用木马进行网络入侵,一般都要完成"向目标主机传播木马","启动和隐藏木马","建立连接","远程控制"等环节。
2.2木马入侵手段
木马能不能完全发挥它的功能和作用,关键一步就是能否成功地进入到目标主机。随着计算机技术的不断发展,编写木马程序的方法、手段及传播途径、逃避查杀的技术也不断地翻新发展。
木马的传统入侵方式主要有三种:
1)电子邮件入侵传播,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;
2)***入侵传播,一些非正规的网站以提供软件***为名义,将木马捆绑在软件安装程序上,***后,只要一运行这些程序,木马就会自动安装。
3)远程入侵传播,黑客通过破解密码和建立IPC$远程连接后登陆到主机,将木马服务端程序拷贝到计算机中的文件夹中,然后通过远程操作让木马程序在某一个时间运行。
木马入侵手段的发展:
1)反弹端口型木马
目前,由于大部分防火墙对于连入的连接往往会进行非常严格的过滤,能对非法端口的IP包进行有效的过滤,非法连接被拦在墙外,客户端主动连接的木马,现已很难穿过防火墙。与一般的软件相反,反弹端口型木马是把客户端的信息存于有固定IP的第三方FTP服务器上,服务端从 FTP 服务器上取得信息后计算出客户端的IP和端口,然后主动连接客户端。另外,网络神偷的服务端与客户端在进行通信,是用合法端口,把数据包含在像HTTP或FTP的报文中,这就是黑客们所谓的"隧道"技术。
2)缓冲区溢出植入型木马
木马设计者利用缓冲区溢出漏洞,首先将木马攻击代码(ShellCode)加载到被攻击进程的地址空间中。此攻击代码是由可执行机器码组成的字符串,通常以参数的形式传递给被攻击程序并被加载到其堆栈段。然后编写恶意溢出程序在缓冲区中造成溢出,覆盖函数返回地址的内容或者更改void类型的函数指针,使其指向缓冲区可执行恶意代码(ShellCode)的起始地址,就可以运行攻击代码。缓冲区溢出植入型木马利用目标机器的溢出漏洞进行木马植入,不需用户进行激活即可完成植入,对目标主机影响小。造成被攻击程序溢出的代码由木马控制端计算机传人,且只存在于目标主机的内存之中,隐蔽性好,难以查杀。
3.木马病毒的清除
3.1DLL型木马查杀
DLL木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常看看系统的启动项中有没有多出不明的项目,这是DLL木马Loader可能存在的场所之一。如果用户有一定的编程知识和分析能力,还可以在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL。对普通用户来说,最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。
3.2反弹端口型木马查杀
目前发现的反弹端口型木马有网络神偷和灰鸽子(辐射版)两种。如果中了反弹端口型的木马,对于网络神偷,我们可以用下面的方法清除:
在中了木马的机器上运行客户端程序,可以再生成并运行新的配置正确的服务端,就会把原来的服务端冲掉。重新运行客户间 ,在客户端的"服务端***列表"找到自己并连接上,再用菜单"网络" - >"远程卸载" ,就可以彻底清除。
3.3工具检测查杀
在手工检测的情况下,如果不能发现木马入侵的蛛丝马迹,可以借助一些反病毒软件。对于伪装过的木马,可以使用MT捆绑克星软件,MT捆绑克星通过分析程序的文件头特征码.可以查看文件是否捆绑了木马。
4.后言
木马的入侵方法是多种多样的,新的木马会不断出现, 要检测木马的入侵和彻底清除木马也不是一件很容易的事。计算机用户必须提高警惕,采用预先防护措施,通过端口, 网络连接, 注册表以及一些查杀木马工具的运用,对发现的异常情况采取补救,如为系统打补丁,或升级软件版本;对于多余的网络服务和系统功能,应该禁止,并从技术和管理两个方面入手,完善安全防护体系,不断提高网络系统的安全性。
参考文献:
[1] 连一峰.王航编著.网络攻击原理与技术.科学出版社.2008.4.
木马程序篇5
为了让大家能够提升自己操作系统的安全指数,确保重要数据不被泄露。我们特意选择了奇虎360安全卫士v3.5、杀马4.O.0.770、木马克星2007 0619、木马杀客2007 6.Obuild 0620、QQ医生1.3这几款木马查杀专用工具,从多角度进行评测,希望大冢能从中选择到最适合自己的产品。
查杀木马能力
首先直击要害,验证一下各款工具查杀木马的功力。为公平起见,我们特意选择制作了两个木马压缩包,一个内含25个木马样本文件,其中21个是加壳的木马;另个为8个木马文件,其中有7个为加壳后的木马。然后分别将它们作为测试对象,以逐一考证每款查杀木马工具。
360安全卫士
号称自带的查杀木马功能能查杀10万种木马,有效保护个人信息安全。我们在确保程序拥有最新特征库的情况,在主界面上单击“常用”按钮,选择“查杀流行木马”选项卡,对木马样本测试包进行查杀操作。
但结果差强人意,居然连一个木马也发现。然后又将木马测试包解压后。再对它们进行查杀。结果安全卫士仍然没有查到任何木马,不免让人感到遗憾。
难道它的木马查杀功能仅是一个摆设?还是因为捆绑卡巴斯基的缘故而像程序主界面的广告所说“360安全卫士+卡巴斯基KAV6.0给你带来更安全的保障”取消木马的查杀呢?
最后我们利用360安全卫士的合作伙伴卡巴斯基对这两个木马测试包进行查杀,发现并查杀了所有木马文件。
木马克星
非注册版的木马克星不具备木马清除功能,在查杀两个木马测试压缩包时,同样没有查出任何木马。
将木马压缩包解压后,在开启的扫描所有文件类型及慢速扫描功能的情况下,木马克星分别在两个文件夹内查出所有25个和8个木马。
木马杀客
木马杀客其分为木马清道夫和木马防火墙两个客户端。其中在利用木马清道夫对两个木马样本压缩包进行查杀时。查杀出其中一个,在此次评测中对压缩包的检测表现尚属不错。
而在扫描两个解压缩的木马样本文件夹时,分别扫描到25个木马和1个木马,表现中等。
杀马
该程序无需安装即可使用。在查杀两个木马病毒压缩包时,可全部将它们“捉拿归案”,非常不错。
在扫描两个解压后的木马病毒文件夹时,文件夹所有木马都被识别出来。打开“概述”页面,还能够列出具体的木马名称,实属优异。
QQ医生
无法查杀更多的木马病毒,仅可对盗号木马和QQ尾巴病毒进行查找。因此此项查杀成绩为零。
扫描速度
时间就是金钱,效率就是生命。为了考察各款工具扫描速度,我们分别使用各款木马查杀工具,对一个存有2.26GB文件的分区进行扫描操作。具体结果见表1。
操作便利性
360安全卫士
可对指定的分区或文件夹进行扫描操作。通过切换各功能选项卡便能在打开的页面中进行相应的操作,较为方便。不过,在鼠标右键上没有提供相应的扫描选项,就将影响它的执行效率。
木马克星
可非常方便地对指定的目标进行扫描,同时也提供了鼠标右键的扫描功能,这样更便于用户执行木马查杀操作。对于查杀到的不明或可疑木马,可以让其纳入到隔离区中,以防被误清除。
木马杀客
与木马克星类似,它同样可以完成自定义目标文件的扫描,也能够通过右键菜单上的扫描选项高效扫描所选文件夹,非常方便。此外,它还能够对注册表、进程以及可疑模块进行扫描。进一步杜绝木马的危害。
杀马
能够自由定制扫描目标,可通过设置将扫描选项集成在右键菜单中。对于扫描到木马病毒,提供了包括直接删除、隔离等多种处理方法。令用户有多种选择。
QQ医生
在开启QQ主界面后,单击登录面板上“启用00医生”按钮,就能够进行查杀木马操作。
监控功能
一款查杀木马工具,光靠用户手动查杀木马病毒总归非常被动。只有拥有实时监控功能,进行主动防御才是上策。
360安全卫士
安全卫士拥有系统实时保护功能。当用户将这些功能开启后,可以对恶意插件、网页中自动运行程序、u盘病毒进行拦截;同时可以防止系统关键位置被恶意篡改,如注册表、系统文件夹等。
木马克星
在程序“选项”对话框的“木马拦截”页面中勾选相关的监视选项,然后将程序最小化驻留在系统托盘中,便能够监视网络、邮件等位置,从而最快拦截不请自到的木马。
木马杀客
因木马杀客中另一个客户端“木马防火墙”的存在,故令其监控功能大增。
杀马
具备实时监控功能,对于木马等恶意程序对系统、注册表的修改,能够立即发现并让用户查看。
QQ医生
不具备实时监控功能。
升级
368安全卫士
该工具为免费工具,可非常地方便地对程序版本以及特征库进行升级。
木马克星
注册用户只需单击左侧功能面板上的“更新”按钮,就能够非常方便升级病毒库。同时,还能够通过主菜单上相关选项去***最新版本,以避免BUG的发生。
木马杀客
注册用户可以通过程序所提供的“智能升级”功能对病毒库及程序进行更新处理。
杀马
利用驻留在系统托盘区上程序***标的右键菜单,选择其上的“智能更新”按钮即可对程序进行免费升级处理,非常不错。
QQ医生
不带自动更新功能。
以上各项评测见表2。
总结
木马程序篇6
我们平时所见到的木马大多都是可执行文件,这些木马在系统中隐藏自己的本领有限,很容易暴露。而DLL木马则不同,它只有一个文件,依靠动态链接程序库,由某一个EXE做为载体,或者使用RunDLL32.exe来肩动,插入到系统进程中,以达到隐藏自身的目的。因此DLL木马在隐藏技术上比普通小马有了质的飞跃,当然危害性也就大大增加了。下面就让我们通过一款DLL木马“bits”来了解如何防护和清除DLL木马。
什么是DLL木马
DLL(Dynamic Link Library)即系统的动态链接库文件。DLL文件本身不可以运行,需要应用程序调用。当程序运行时,Windows将DLL文件装入内存中,开寻找文件中出现的动态链接库文件。DLL木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成DLL文件,我们知道正在运行的程序是不能被关闭的,而DLL木码插入到一个正在运行的应用程序内存模块中,因此同样死法删除,这就是DLL木马的高明之处。
DLL木马的危害
DLL木马的危害主要分为两方面:一是隐蔽性,由于它可以“寄宿”丁任一应用程序的进程(包括系统进程),因此我们很难发现木马的存在;二是难删除,上文中我们提到被DLL木马插入的进程是无法结束的,因此要想清除它并不容易。
下面结合实例来看看DLL木马的使用和运作过程。bits是一款著名的DLL木马,具备了DLL木马的所有特点,没有进程,也不开肩端口,隐蔽性很强。bits只有一个DLL文件“bits.dll”,运行命令“RUNDLL32.exe bits.dll,install”即可让bits进驻系统。假设运行bits的计算机IP地址为192.168.0.1,黑客可以使用一款网络工具“no”,在命令提示符中运行它后输入命令“nc 192.168.0.180”,回车后会发现没有回显,此时再输入“123456@dancewithdolphin[xell]:777”才能命令bits。这条命令的作用是绑定一个shell到本机的777端口,此时黑客再连接目标主机的777端口,就可以存目标汁算机上执行任意命令了。一般的DLL木马都需要通过类似方法来安装和使用,虽然比普通木马要来得麻烦,但是威力是相当大的。
bits的清除还是比较简单的,首先运行注册表编辑器,定位到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasAuto\Parameters],将serviceDLL的键值更改为“%SystemRoot%\System32\rasauto.dll”,然后将系统目录system32文件夹下的bits.dll文件删除即可(如***1)。
DLL木马的防范
DLL木马虽然强大,但是只要注意还是可以防范的。当系统存在问题时,可以使用Windows优化大师的组件“进程管理大师”查看进程中的DLL文件,找出隐藏在其中的DLL木马。在程序上方列表中选中某个进程,再点击下方的“模块列表”标签,列表中就会出现该进程包含的DLL文件。如果是系统进程,那么DLL文件的发行商必是“Microsoft”,否则就很有可能是DLL木马。找到DLL木马后将进程结束,再根据路径删除DLL木马即可(如***2)。
木马程序篇7
关键词:木马;端口;杀毒
中***分类号:TP309.5文献标识码:A文章编号:1007-9599 (2011) 04-0000-01
Working Principle and Prevention of Trojan Virus
Zhang Li
(Shandong Vocational College of Technology,Jining272000,China)
Abstract:Trojan can invade a computer by certain ways,and then hide itself for a long time.When the controlled system starts,its files and datas would be stolen,changed and deleted by Trojan.This paper will explain the working principle of Trojan,how to prevent and kill it.
Keywords:Trojan;Port;Antivirus
随着计算机和网络的普及,我们的日常生活与他们愈加紧密的联系在了一起。但是木马病毒的出现,使得电脑用户的重要信息遭到破坏或者被盗,造成了无法弥补的损失。要想从根本上预防木马病毒的入侵,我们必须要深入了解木马病毒的工作原理。
一、什么是木马病毒
木马病毒(Trojan)这个名字由古希腊传说“木马计”的故事而来。“木马”与病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件。它采用各种方法将自身伪装起来,一旦用户***执行,“木马”即植入成功。此时,受害主机的门户已经对施种者敞开。施种者可以“窥视”到受害主机中的所有文件、盗取重要的口令、信息、破坏系统资源,甚至远程操控受害主机。
二、木马工作原理
特洛伊木马通常包含两个部分:服务端和客户端。服务端植入受害主机,而施种者利用客户端侵入运行了服务端的主机。木马的服务端一旦启动,受害主机的一个或几个端口即对施种者敞开,使得施种者可以利用这些端口进入受害主机,开始执行入侵操作。
木马服务端和客户端首先要建立连接,然后才能进行信息交换。建立连接又包含首次握手和建立通道两个步骤。首次握手的主要目的是客户端获得服务端的IP地址。这主要通过两种方法实现:信息反馈和端口扫描。信息反馈是指,服务端一旦登录互联网,可通过邮件、UDP通知等方式将IP地址发送给控制端。如:广外女生。端口扫描是指,控制端扫描IP地址,一旦发现特定端口开发的IP就认定其为服务端,首次握手成功。当服务端与控制端实现首次握手后,控制端给服务端木马传送通道的配置参数,配置成功后,服务端返回相应参数给控制端。至此,木马通道成功建立。
三、预防措施
在谈预防措施之前,我们必须先要了解木马的传播方式:
1.通过邮件附件传播。
2.通过QQ传播.。
3.通过***软件传播。
4.通过有较强传播能力的病毒传播。
5.通过带有木马的光盘和磁盘进行传播。
木马有着如此多的传播方式,为了避免中毒,我们应该:
(1)不要执行任何来历不明的软件。一些黑客将木马程序捆绑在某些免费的软件安装程序上。因此在***软件的时候需要特别注意,推荐去一些信誉比较高的站点。在安装软件之前用专门查杀木马的软件进行检查,确定无毒后再使用。
(2)不要随意打开邮件附件。现在绝大部分木马病毒都是通过邮件来传递的,将木马程序伪装成常用工具软件,或者将木马程序隐藏在某个有意思的视频短片中,然后将该木马程序添加到附件中发送出去。只要收件人打开附件就会感染木马。因此对邮件附件的运行尤其需要注意。
(3)不要因为对方是好友,就轻易接收他发过来的文件。在QQ聊天时,通过文件传送功能发送给对方伪装过的木马程序。一旦接收,就会感染木马。
(4)将资源管理器设置成显示已知文件扩展名。在资源管理器中设置显示已知文件的扩展名。因为木马病毒的特征文件的扩展名多为vbs、pif、shs,一旦碰到这些可疑的文件扩展名就应引起注意。
(5)运行反木马实时监控程序。上网时开启反木马实时监控程序能够有效地防范木马。一般的反木马软件都能够实时显示当前运行的所有程序及其详细描述信息。再加上实时升级的专业杀毒软件和个人防火墙进行监控基本上就安全了。
四、清除方法
虽然我们有多种方法预防木马入侵,但不能够完全避免。一旦计算机中了木马,我们该怎么做呢?
1.端口扫描:检查远程计算机是否中了木马的最好办法就是端口扫描。其原理很简单:尝试用扫描程序连接某个端口,若成功,则端口开放,中了某种木马;若失败或超过特定的时间,则端口关闭,没有中木马。
2.查看进程/内存模块:借助PS进程/内存模块查看工具,我们可以看到当前系统中的所有进程及其详细信息。通过对信息的比较我们可以发现DLL木马,同时该软件也可以自动查找可疑模块。
3.查找文件:查找木马特定的文件也是常用的方法之一。上面几种方法都是用手工方式来检测、清除木马,但实际操作中木马不会那么容易就被发现。好在一些反木马软件可以帮助我们。
比较有效地木马查杀软件有以下几类:
1.常用的杀毒工具软件。从某种意义上来说木马也是一种病毒。我们常用的杀毒软件如:瑞星、金山等,也可以实现对木马的检查,但不能够彻底清除。因为木马在电脑启动时都会自动加载,而杀毒软件不能完全清除木马文件。
2.常用的网络防火墙软件。现在网络防火墙软件比较多,如金山网镖等。防火墙启动后,一旦有木马或可疑的网络连接要控制电脑,防火墙就会立即报警,同时显示接入端口、对方的IP地址等信息。我们进行相关设置后对方就无法进行攻击了。利用防火墙只能发现木马并预防其攻击,但不能彻底清除它。
3.专门的木马查杀软件。对木马我们不能只采用防范手段,还要想办法将其斩草除根。一些专用的木马查杀软件带有这些特性。比如:木马终结者、木马克星、木马清道夫等。
参考文献:
木马程序篇8
关键词:远程控制;木马病毒;网络安全
中***分类号:TP393文献标识码:A文章编号:1009-3044(2010)21-5731-04
远程控制技术,始于DOS时代,随着信息网络的高度发展,自由穿透的远程操作及控制技术越来越引起人们的关注,具有广泛的发展空间和应用空间。笔者曾运用远程控制软件技术(当然亦可用Windows自带的远程协助功能)实现单位管理层共享大院探测环境录像监控资源,其实现过程的应用原理自然而然地让人想起可以严重影响信息网络安全的木马病毒。
1 远程控制与木马病毒技术
远程控制软件可以为我们的气象网络管理做很多工作,以保证网络和计算机操作系统的安全。这类程序的监听功能,也是为了保证网络的安全而设计的。为了达到远程控制的目的,就必须将这些软件隐蔽起来,例如远程控制程序本身附着在某些Windows程序上,以增强驻留系统的可靠性。然而,正是由于这种功能,才使远程控制变得可怕起来,也使远程控制软件、病毒和木马程序之间的区别变得越来越模糊。
1.1 远程控制软件技术原理
远程控制必须通过网络才能进行,需要良好的硬件支持和关键的远程控制软件协助来实现,支持LAN、WAN、拨号方式、互联网方式。有的还支持通过串口、并口、红外端口;一般使用NETBEUI、NETBIOS、IPX/SPX、TCP/IP等协议。随着网络技术的发展,目前很多远程控制软件提供通过Web页面以Java技术来控制远程电脑,实现不同操作系统下的远程控制。
远程控制软件一般分两个部分:一部分是客户端(或叫主控端)程序Client,另一部分是服务器端(或叫被控端)程序Server,在使用前需要将客户端程序安装到主控端电脑上,将服务器端程序安装到被控端电脑上(应先知晓或设置好进入被控端电脑用户账户、密码)。它的控制的过程一般是先在主控端电脑上
执行客户端程序,像一个普通的客户一样向被控端电脑中的服务器端程序发出信号,建立一个特殊的远程服务,然后通过这个远程服务,使用各种远程控制功能发送远程控制命令,控制被控端电脑中的各种应用程序运行。远程控制软件控制方式基于远程服务,为控制和被控制双方提供隧道。通过远程控制软件,我们可以进行很多方面的远程控制。
1.2 木马病毒技术原理、特征
1.2.1木马
木马就是远程控制软件的一种,也称为后门软件,以实现远程控制被控端达到窃取密码、文件操作、修改注册表、系统操作等为目的。利用操作系统的漏洞或者使用者的疏忽来进入系统并在远程控制下从系统内部攻击系统。木马亦属于客户/服务模式,分两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。在木马进行配置木马传播木马运行木马信息泄露建立连接远程控制的网络入侵过程中,传播木马(涉及到传播方式与伪装方式)是重要的一步。
木马传播方式一是由控制端通过E-MAIL方式将木马程序以附件形式从邮件中发出,收信人只要打开附件系统就会感染木马;另一种是软件***,一些非正规网站以提供软件***为名义,将木马捆绑在软件安装程序上,***后,只要一运行这些程序,木马则自动安装。
木马伪装方式有:修改***标、捆绑文件、出错显示、定制端口(以在1024~65535之间任选一个端口作为木马端口而一般不选1024以下端口,定制端口给判断所感染的木马类型带来了麻烦,)、自我销毁、木马更名等方式。其隐藏方式方法如下:任务栏里隐藏(在Visual Basic中,把form的Viseble属性设置为False,ShowInTaskBar设为False)、任务管理器里隐藏(将木马设为“系统服务”)、端口隐藏(使用1024到49151的注册端口及49152到65535的动态和/或私有端口,极少用公认端口0~1023,且呈越来越大的趋势,可提供端口修改功能的木马更不易被发现)、加载方式隐藏(不断进步的网站互动化促使多样化木马的传播介质,导致木马的快速进化)、木马名字的隐藏(改为和系统文件名差不多的名字)、最新隐身技术[修改虚拟设备驱动程序(vxd)或修改动态链接库(DLL),变原有木马监听端口模式为替代系统功能的方法]。
从木马进行网络入侵的过程看,木马具有隐藏性、自动运行性、网络通讯、欺骗性特征。一个成功的木马程序必须具备这四个特征,缺一不可。因此,我们可以利用其中的任何一个特征来防范木马的入侵。一旦阻止了木马的上述特征中的某一环的实现,就可以成功阻止木马的入侵。
从木马网络入侵所具有的特征中亦可以看出:木马与远程控制软件的最大区别就是木马具有隐蔽性而远程控制软件没有。
1.2.2计算机病毒
计算机病毒是能够通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一种程序或指令集合。计算机病毒一般具有以下几个特征:破坏性,凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒破坏;隐蔽性,病毒程序大多夹在正常程序中,难以被发现;潜伏性,病毒入侵后,一般不立即活动,需要等一段时间,条件成熟后再作用;传染性,通过修改别的程序,并把自身的拷贝包括进去,从而达到扩散的目的。
从计算机病毒的定义及其特征中可以看出,木马程序与病毒最基本的区别就在于病毒有很强的传染性,而木马程序没有。
1.2.3木马病毒
随着病毒技术的发展,计算机病毒也在向木马程序靠近,使病毒具有远程控制的功能。木马病毒,顾名思义,就是木马与病毒技术的结合体,一种伪装潜伏的网络病毒,等待时机成熟,一经触发即可威胁到数据、系统、网络安全。:通过电子邮件附件发出、捆绑在其他的程序中是其传染方式;修改注册表、驻留内存、在系统中安装后门程序、开机加载附带木马是其特性;而木马病毒的破坏性则表现在:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
远程控制软件与木马病毒都具有远程控制的功能,前者为方便网络维护与管理、给我们的气象工作带来便利的同时,木马病毒程序却作为少数害群之马入侵网络的工具,盗取重要信息,从中获取利益,破坏被攻击的计算机中的信息等,肆意威胁信息网络的安全与稳定。只有熟悉远程控制与木马病毒的运行机制原理特征,才能使有益的技术为我所用,而对网络安全则应防患于未然。
2 县级气象网络安全隐患现状
随着我省气象业务技术体制改革的纵深发展,省、市、县气象信息网络互联、气象业务现代化、办公自动化程度加快,更多的业务与办公平台依托Internet。俗语说,千里之堤,溃于蚁穴,做好技术水平相对薄弱的县级气象网络安全工作更具重要意义。目前县级气象网络安全易受恶意远程控制、木马病毒入侵进而遭致破坏的现状隐患主要表现在以下几点:
① 网络安全管理松散,造成外来存储介质随意使用、外来人员随意上网;上不正当网站,随意利用Internet网络上传、***软件、***片、视频文件,安装使用与气象业务无关的聊天与游戏软件、插件等,不及时清理上网信息;人为修改系统设置与破坏系统文件,随意共享文件(夹)与硬盘等,直接为恶意远程控制、木马病毒的传播、种植、感染提供便利,从而开启网络安全的大门。
② 县级气象局域网外电脑设置入网,直接或间接泄露本局网络结构(含拓扑结构、组网技术、硬件技术重要参数、IP地址、网络帐号与密码);
③ 用户帐户管理混乱,密码保护不严密;网络密码过于简单,使用期限长;
④ 敞开不必要服务端口,打开不必要的网络协议;
⑤ 系统IP存在被盗用或泄露的安全隐患;
⑥ 任由系统漏洞存在,杀毒软件及防火墙不及时升级;
⑦ 盲目使用系统优化软件;
⑧ 数据备份不及时。
3 结合县级气象信息网络安全隐患提出防范措施
3.1 从工作、管理制度入手
建立健全气象信息网络安全工作、管理制度,从行为上约束外来存储介质使用、外来人员上网、上不正当网站、随意利用Internet、***网络上传、***软件、***片、视频文件,做到及时清理上网信息,严禁安装使用与气象业务无关的聊天与游戏等其它软件、人为修改系统设置与破坏系统文件、随意共享文件(夹)与硬盘、严禁局内人员泄露网络结构或局外计算机入网等。从源头上杜绝或减少发生恶意远程控制端隐性配置、木马的传播与病毒感染的可能性。
3.2 技术防范措施
3.2.1 重命名和禁用默认的帐户,使用复杂的密码
刚安装好Windows的系统会自动建立两个账户:***istrator(拥有最高权限)和Guest,这样的账户设置若有黑客或者遭遇其他恶意破坏可严重危害系统的安全。应在安全模式下把***istrator账户的名称改掉,然后建立一个几乎没有任何权限的假***istrator账户,用以迷惑入侵者。
创建强密码(含帐户、软件、登陆网站等密码)的要领是:①密码要足够长(8≤X≤16),忌:使用全部或部分登录名;②包括大小写字母、数字和符号,忌:使用任何语言中的实际词;③第六位必须至少有一个符号字符,忌:使用数字代替类似的字母来构成单词;④至少使用四个不同的字符,忌:使用连续字母或数字;⑤使用随机数和字母,忌:使用键盘中的邻近键。密码的管理应注意三项:秘密;不在网上使用“记住我的密码”功能;至少每六个月更改一次密码。
3.2.2 为系统漏洞打上补丁,及时升级应用软件
快速的系统、软件升级周期,会造成问题系统、软件的出现,出现操作系统和应用程序存在新的攻击漏洞而留下隐患。开启系统自动更新,或从网站,或利用瑞星的杀毒、防火墙和上网助手中的系统漏洞扫描***安装。及时升级气象业务等软件至最新版本。
3.2.3 关闭气象业务用机系统不必要的端口(服务)、协议,终止非法进程
网络技术中逻辑端口(一般是指TCP/IP或UDP协议中的端口,下同)即服务,一个服务对应一个或多个端口,一个系统开了哪些端口,就可确定提供了哪些服务。一台机器由65536个端口,一般用户不会注意而木马就很注意目标计算机的端口。在xp系统中,有90多个服务,默认开启了30多个服务,而事实上只需要其中几个就够用了。
① 关闭不必要的端口(服务)
可利用“netstat -a -n”命令查看端口连接状态;利用专用软件、防火墙配置IP规则、系统控制面板上 “管理工具”中的“本地安全策略”“服务”板块均可实现开启与关闭端口。
为了提高气象信息网络中系统的安全性,应该封闭这些端口,主要有:TCP 135、139、445、593、1025端口和 UDP 123、135、137、138、445、1900等端口,一些流行病毒的后门端口如 TCP 2513、2745、3127、6129端口等,以及远程服务访问端口3389。前面提到,木马病毒使用的端口号呈越来越大的趋势,在系统无特别要求情况下,可参照详细地有关“端口-服务”分配表把大部分注册端口和私有端口一并关闭掉;宜设置为“禁用”或根据需要设为“手动”的服务有:Alerter 、ClipBook 、clipbook、Human Interface Device Access、Indexing Service 、Messenger、Network DDE 、Network DDE DSDM、NetMeeting Remote Desktop Sharing、Protected Storage、Remote Registry、Remote Desktop Help Session Manager、Remote Procedure Call (RPC) Locator (“恢复”设置皆为“不操作”)、 Routing and Remote Access、 Security Accounts Manager、Shell Hardware Detection、Server、SSDP Discover Service 、Telnet、TCP/IP NetBIOS Helper 、Terminal Services。
② 关闭不必要的协议
对于服务器和主机来说,一般只安装TCP/IP协议就够了。如NETBIOS协议是为实现共享而开的,有很多安全缺陷的根源,可根据需要对其进行关闭。在上面提到的关闭137、138、139、445端口即可实现其关闭,也可在“本地连接”的“属性”的“常规”中选择后“卸载”。
③ 终止非法进程
进程需要依靠服务才能运行,分系统进程和用户进程。病毒和木马可以以用户进程的形式出现或获得SYSTEM权限伪装成系统进程出现。可利用瑞星防火墙的相关功能或调用“任务管理器”进行查看进程;也可通过系统的“管理工具”里面的“服务”查看目前的全部进程(这里重点要看服务中启动选项为“自动”的那部分进程,检查它们的名字、路径以及登录账户、服务属性的“恢复”里面有没有重启计算机的选项)。一旦发现可疑的名字需要马上禁止此进程的运行。
终止非法进程的两种方法:一是先查看这个进程文件所在的路径和名称。重启系统,按F8键进入安全模式,然后在安全模式下删除这个程序;二是彻底删除木马、病毒程序进程可以用下面的办法:打开注册表编辑器,展开分支“HKEY_LOCAL_MACHINE//SYSTEM//Current//Control SetServices”,在右侧窗格中显示的就是本机安装的服务项,如果要删除某项服务,只要删除注册表中相关键值即可。
3.2.4 为共享资源设置访问密码、权限并隐藏共享
文件和打印等共享应该是一个非常有用的功能,但它也是引发黑客入侵的安全漏洞。没有必要"文件和打印共享"时,应将其关闭。即便确实需要共享,也应该为共享资源设置访问密码,设置权限并隐藏。
隐藏共享:用鼠标右击要隐藏的共享文件夹(或硬盘),点中“共享”标签项,在共享名中填入共享文件夹的名称,然后在后面加上美元符“$”,如“共享文件夹$”,再填入密码。访问时,必须在地址栏中输入“\计算机名称(或者是IP地址)\共享文件夹$”,再回车填入密码确认,才能访问。若再在注册表编辑器中依次打开“HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\Network\LanMan\共享文件夹$”,将DWORD值“Flags”的键值由“192”改为“302”,重启。就是在本机的资源浏览器中也无法看出该文件夹被共享了。
3.2.5 局域网内互访设限三关(必要时反向设置即可)
①禁止建立空连接:操作系统默认利用ipc$通道可以建立空连接,即任何用户都可以通过空连接连上服务器,枚举帐号并猜测密码。因此我们必须禁止建立空连接。操作:首先运行regedit,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous(DWORD)的键值改为:00000001
②管理工具--本地安全策略--安全选项--帐户:使用空白密码的本地帐户只允许进行控制台登录。系统默认值是:已启用,改为“已停用”。
③ 控制面板--防火墙--例外--文件和打印机共享。利用系统默认:不选。
3.2.6 针对系统IP地址安全的解决方案
① 对“IP地址盗用”的解决,绑定MAC地址与IP地址的确存在很大的缺陷,无法有效地防止内部IP地址被盗用,应在业务用机中绑定交换机网关的IP地址和MAC地址、或在交换机上绑定用户主机的IP地址和网卡的MAC地址,如此可最大限度的杜绝ARP欺骗攻击的出现。
② 泄露系统IP地址,攻击者可以向这个IP发动各种进攻,如DoS(拒绝服务)攻击、Floop溢出攻击等。可设置采取使用服务器IP的方法隐藏本机真实IP地址。
3.2.7 防火墙及杀毒软件的配置(以瑞星为例)
3.2.7.1 防火墙配置
主要是访问规则的配置。“规则设置”配置前应明确:“黑名单”和“白名单”中都设置了同一IP地址,“黑名单”优先;同样的条件下,“拒绝”优先于“允许”; 操作性越高(方便),安全性越低,如“可信区”;“IP规则”主要是让用户能够手动设定以下综合条件的规则:规则名称、地址、协议、报警方式等,“访问规则”是简单地针对某个程序是否允许访问网络而已。“访问规则”优先于“IP规则”;“端口开关”适合在某些特定情况下,简单地开关本地与远程的端口。
主要配置:①如前面为提高系统安全而提到需关闭的具有潜在危险的木马、远程控制端口、流行病毒的后门端口等均可以配置入“IP规则”,设“规则匹配成功后的动作”为“禁止”; ②根据需要利用“端口开关”配置来实现特定情况功能,如屏蔽21、23、25、80、443、3389、4000端口分别达到禁止FTP(上传***)、Telent(远程登录)、***TP(邮件发送)、HTTP(网页浏览)、HTTPS(提供加密和通过安全端口传输的另一种HTTP)、超级终端、QQ客户端等;③ARP欺骗防御:根据本机IP与MAC地址、路由器地址进行设置;④实现系统登录前启动防火墙及避免他人对防火墙进行错误的设置:从设置-详细设置-选项-高级,默认设置并勾选“设置管理员帐户密码”设定。
3.2.7.2 杀毒软件的配置
瑞星杀毒2008版的设置含:“详细设置”、“监控设置”、“防御设置”。 涉及到的安全级别均设为默认级别(“防御设置”除外)。
①“详细设置”配置:有手动与快捷方式查杀、定制任务、嵌入式查杀、其它设置等项目设置。
发现病毒、杀毒失败、隔离失败、杀毒结束的处理方式均分别设为“清除病毒”、“询问我”“清除病毒”“返回”;“查杀文件类型”设为“所有文件”,对于设定为嵌入式杀毒数据收发软件的“查杀方式”应勾选“发送邮件时查杀病毒”、“ 接收邮件时查杀病毒”。特别地,“定制任务”设置如下:勾选定时查杀与开机查杀,定时查杀频率为“每天一次”并设置时间,对象为“全部硬盘”;开机查杀对象设为“所有的驱动和服务”;在定时升级中勾选“静默升级”并选择频率为“即时升级”。
②“监控设置”配置:文件、邮件、网页监控设置。
发现病毒处理、查杀方式同上。特别地,文件监控、邮件监控根据需要分别可“设置排除目标”“设置端口”进行监控,并配有“高级设置”(除考虑文件修改时监控带来麻烦外,其余全部勾选)
③“防御设置”配置:主要是“系统加固”配置
选择自定义级别,在默认级别设置基础上做如下配置:
“系统动作监控”勾选“挂全局钩子”,触发规则选“提示”;
“注册表监控”中的“文件关联”勾选“INI/文件默认打开方式”和“INI文件关联”,触发动作:提示;“系统配置”中勾选“浏览器辅助对象”、“引导执行”,触发动作:拒绝;“IE配置”中的内容全部选中,触发动作:拒绝;
“关键进程保护”中的“系统进程保护”勾选“EXPLORER*.EXE”,触发动作:提示;
“系统文件保护”中的“系统关键目录”前4项脚本全部选择,触发动作:提示;“系统文件”勾选“用户策略脚本文件”和计算机组策略脚本文件”,触发动作:拒绝,勾选“SYSTEM.INI文件”和“WIN.INI文件” 触发动作:提示。
3.2.8 利用GHOST恢复、备份功能
因误操作等因素使业务系统异常或崩溃时,利用GHOST恢复系统省时省力。为保证系统的完善、安全性,备份系统应注意:①备份前必须先杀毒及清除木马程序;②整理目标盘,清除垃圾文件、程序;③为系统打好最新漏洞补丁,升级各大应用软件系统、工具软件、气象业务软件系统等至最新版本;④镜像文件制作完毕后应利用“Check”功能对制作好的镜像文件进行正确、完整性检查;⑤在新安装了软件和硬件后,最好重新制作映像文件。
4 结束语
本文简要地从远程控制软件技术应用原理入手,概述了木马病毒机制特点及远程控制与木马病毒的异同点,结合县级气象信息网络安全隐患,提出从气象信息网络工作与管理制度、网络安全技术措施两方面进行防范,以提高县级气象信息网络运转安全系数,最大限度地为建立在以INTERNET为依托平台的各轨道业务的正常运行保驾护航。
参考文献:
[1] 王达.计算机网络远程控制[M].北京:清华大学出版社,2003.
[2] 张友生,米安然.计算机病毒与木马程序剖析[M].北京:北京科海电子出版社,2003.
[3] 张千里,陈光英.网络安全新技术[M].北京:人民邮电出版社,2003.
木马程序篇9
几乎所有的计算机都配置了杀毒软件,但面临的病毒攻击却越来越猖獗。尽快实现反病毒技术的根本性变革,不仅是全球反病毒产业的共同课题和新的竞争焦点,更是计算机用户的迫切需求。而主动防御的出现,恰好解决了目前网络安全的需求。颠覆了传统杀毒软件采用病毒特征码识别病毒的反病毒理念,实现了对未知木马和新病毒的主动防御,消除了杀毒软件无法防杀不断出现的未知木马和新病毒的弊端。
杀毒软件对抗病毒处于被动防御状态
杀毒软件识别病毒的核心技术是特征码扫描技术;从病毒体中提取病毒特征值构成病毒特征码库,反病毒软件将用户计算机中的文件或程序等目标,与病毒特征码库中的特征值逐一比对,判断该目标是否是病毒或者被病毒感染。
杀毒软件通过特征码的方式进行病毒扫描,可以很好地识别已知木马、病毒,并进行有效清除。但是这种效果的好坏却依赖于病毒样本的收集,而用户如果不提交相关的样本文件,那杀毒软件公司则无法对该病毒进行查杀。
目前黑客具有多种手法来躲避杀毒软件的查杀,而杀毒软件在不升级的情况下就没有办法检测出新病毒、新木马,同时也没有办法检测经过免杀处理的老病毒。而基于这样的现状,很多用户都是在中毒后给相关反病毒公司提交样本,等反病毒公司分析确认并且升级后,用户再来扫描杀毒,而没有在病毒危害前进行拦截阻止。很明显,这种先中毒,后杀毒的方式是不可取的,而病毒造成的损失是无法挽救的。
传统反病毒技术“出现病毒―收集病毒―分析病毒―升级病毒库”处理模式,尽管能够较好防范已知病毒,用户仍面临大量反病毒公司还未收集到的病毒以及每天数以万计新病毒的威胁,用户的信息安全得不到有效保障。
杀毒软件的出现是为了消灭病毒,而病毒制造者为了自身获取更多的利益,他们就必须使用某些技术对抗杀毒软件,使得自身具有较长的活动周期,降低病毒自身的损失率。以前大规模爆发的熊猫烧香、现在的各种隐蔽性病毒木马都采用了各种不同的技术,与杀毒软件进行对抗。而它们的这种技术对抗,恰好攻击了杀毒软件的弱点,使得杀毒软件永远处于被动防御状态。
实现对木马病毒的主动防御
木马病毒是由反病毒工程师分析判定,而反病毒工程师通过分析程序行为而准确判定一个程序是否是病毒,那么能否将反病毒工程师分析判断木马病毒的过程自动化、程序化、软件化,让计算机直接依据程序行为,完成自主分析判断未知木马和病毒,这样既可以降低对木马病毒样本的依赖程度,同时,又可以改变木马病毒被动防御现状,实现主动防御。
北京东方微点信息技术有限责任公司于2005年自主研发具有完全自主知识产权的微点主动防御软件,在国际上首次实现了主动防御技术体系,直接将程序行为作为分析判断木马和病毒的依据,并依此确立了反病毒技术新标准,实现了对木马和病毒的主动防御,改变了当前杀毒软件被动防御现状。
“熊猫烧香”病毒是一种蠕虫病毒,在2006年10月至2007年2月期间,造成全国数百万台计算机被感染并遭受破坏。为了躲避杀毒软件查杀,病毒编写者每天多次更新修改“熊猫烧香”病毒程序,先后共编写并传播了数百种“熊猫烧香”病毒。病毒编写者甚至还在病毒中留言,公开挑战反病毒公司,展开了一场与反病毒公司之间的激烈较量。
这场残酷的较量中,微点主动防御软件经受住了“熊猫烧香”病毒的严峻考验。当时,微点主动防御软件是国际为数不多且无需升级即可防范“熊猫烧香”病毒的反病毒产品。使用微点主动防御软件的百万用户无一被病毒感染,即使没有升过级的微点主动防御软件2005年版本,同样可以实现对“熊猫烧香”所有变种病毒的准确报毒和自动清除,充分体现了微点主动防御技术的先进性。
主动防御体系结构主要由实时监控系统、反病毒专家分析判断系统、恶意程序处理系统三大系统组成。主动防御的体系结构就好比具有很强反扒能力的警察,实时监控系统就是警察的眼睛,负责监控周围的环境和人的一举一动;反病毒专家分析判断系统就好比警察的大脑,负责将眼睛看到的环境和人的一举一动联系起来,并结合自己判断盗窃者的经验进行分析判断;恶意程序处理系统就好比警察的手和脚,根据反病毒专家分析判断系统的通知做出相应的处理动作。
实时监控系统
实时监控系统是主动防御的眼睛,负责监控电脑中所有运行程序的行为,并将监控的信息发送给反病毒专家分析判断系统进行分析。
实时监控系统由遍布操作系统的众多探针组成,这些探针通过监控应用编程接口(API),记录程序的每个动作,并将程序的每一个动作提交给反病毒专家分析判断系统进行分析判断。
通俗地讲,探针就好比监控摄像头,实时监控系统就好比在家里部署监控摄像头一样。比如:在门口、窗户、存放贵重物品的箱柜等重要位置部署监控摄像头,这样就可以记录哪些人进出大门、窗户,以及打开存放贵重物品的箱柜,是否取出贵重物品。
反病毒专家分析判断系统
反病毒专家分析判断系统是主动防御的大脑,由恶意程序行为识别规则知识库、正常程序行为识别规则知识库、程序行为逻辑分析判断模块组成。
反病毒专家系统根据实时监控系统提交的运行程序的动作,结合恶意程序行为识别规则知识库和正常程序行为识别规则知识库,由程序行为逻辑分析判断模块对程序进行自主分析判断。如果判定程序行为符合木马和病毒的定义,确定该程序是木马、病毒,同时阻断木马、病毒对电脑的侵害,并通知处理系统自动清除病毒。
程序行为逻辑分析判断模块是反病毒专家分析判断病毒的逻辑思维过程,是通过程序代码来实现的。程序行为逻辑分析判断模块将程序的一系列动作通过逻辑关系分析组成有意义的行为,分析这种行为是否符合病毒的定义,如果符合病毒的定义即判定为病毒。仅仅凭借程序单一动作无法判断最终的目的,只有将一系列动作通过逻辑关系分析组成有意义的行为,才能判断程序的目的。
木马程序篇10
网络用语木马是拟声词,主要模拟用力亲吻的声音。
木马通常指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被害者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
(来源:文章屋网 )