大学综合实践报告计算机木马病毒及防治防治版Word文档格式.docx
《大学综合实践报告计算机木马病毒及防治防治版Word文档格式.docx》由会员分享,可在线阅读,更多相关《大学综合实践报告计算机木马病毒及防治防治版Word文档格式.docx(14页珍藏版)》请在冰点文库上搜索。
本文分析了木马病毒的基本原理,特征和危害,找出计算机感染病毒的原因,并且针对木马病毒的伪装方式,提出了完善的防治措施,另外介绍了几款免费的木马专杀工具。
关键词:
木马病毒网络安全远程控制病毒防治
一、计算机木马病毒的概述及现状
木马的全称是“特洛伊木马”(Trojanhorse),来源于希腊神话。
古希腊围攻特洛伊城多年无法攻下,于是有人献出木马计策,让士兵藏匿于巨大的木马中,然后佯作退兵,城中得知解围的消息后,将“木马”作为战利品拖入城内,匿于木马中的将士出来开启城门,与城外部队里应外合攻下特洛伊城,后世称这只大木马为“特洛伊木马”。
网络世界的特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。
它与控制主机之间建立起连接,使得控制者能够通过网络控制受害系统,通信遵照TCP/IP协议,最大的特征在于隐秘性,混入对方的主机里面,但是却没有被对方发现。
就象一个潜入敌方的间谍,为其他人的攻击打开后门,这与战争中的木马战术十分相似,因而得名木马程序。
实际上计算机网络木马不但可以窃取、破坏被植入主机的信息,而且可以通过控制主机来攻击网络中的其它主机。
(1)
(一)计算机木马病毒的概念
木马病毒,是一种新型的计算机网络病毒程序,是一种基于远程控制的黑客工具。
“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;
“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,有很强的隐蔽性。
木马病毒通常有两个可执行程序:
一个是客户端,即控制端,另一个是服务端,即被控制端。
与一般的病毒不同,它不会自我繁殖,也并不"
刻意"
地去感染其他文件,它通过将自身伪装吸引用户下载执行,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统任意毁坏、窃取被种者的文件,甚至远程操控被种主机。
随着病毒编写技术的发展,木马病毒严重危害着现代网络的安全运行。
(二)木马病毒的原理
特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。
当用户运行文档程序时,特洛伊木马才会运行,信息或文档才会被破坏和遗失。
一个完整的特洛伊木马套装程序含了两部分:
服务端(服务器部分)和客户端(控制器部分)。
服务端植入对方电脑,而黑客正是利用客户端进入运行了服务端的电脑。
运行了木马程序的服务端以后,会暗中打开一个或几个端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),甚至可以利用这些打开的端口执行入侵操作。
如图:
1、配置、传播木马
一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现伪装和信息反馈两方面的功能。
传播方式:
一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;
另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
2、运行木马
服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。
首先将自身拷贝到WINDOWS的系统文件夹中(C:
\WINDOWS或C:
\WINDOWS\SYSTEM目录下),然后在注册表、启动组、非启动组中设置好木马的触发条件,这样木马的安装就完成了。
木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。
3、信息反馈
木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号,ICO号等等。
4、建立连接
一个木马连接的建立首先必须满足两个条件:
一是服务端已安装了木马程序;
二是控制端,服务端都要在线。
在此基础上控制端可以通过木马端口与服务端建立连接值得一提的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的。
5、远程控制
木马连接建立后,控制端端口和木马端口之间将会出现一条通道,控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。
(2)
(三)木马病毒的特征
据不完全统计,目前世界上可能有着上数十万种木马程序。
虽然这些程序使用不同的程序语言进行编制,在不同的平台环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。
1、隐蔽性
这一点与病毒特征是很相似的,木马类软件的程序在被控主机系统上运行时,会使用各种方法来隐藏自己。
它的隐蔽性主要体现在6个方面:
(1)不产生图标、
(2)文件隐藏、(3)在专用文件夹中隐藏、(4)自动在任务管理其中隐形、(5)无声无息的启动、(6)伪装成驱动程序及动态链接库。
2、自动运行性
木马不可能等用户来点击运行,也不能只执行一次,它是一个当你系统启动时即自动运行的程序,所以它必需通过修改系统配置文件,如:
win.ini、system.ini、注册表等,在目标主机系统启动时自动运行或加载。
3、欺骗性。
木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防用户发现,它经常使用的是常见的文件名或扩展名,如dll\win\sys\exPlorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”;
字母“o”与数字“0”,有的木马就直接使用系统文件中已有的文件名,只不过它保存在不同路径之中。
这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业。
4、自动恢复性。
现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。
系统一旦被植入木马,只删除某一个木马文件来进行清除是无法清除干净的。
5、功能的特殊性
通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。
(3)
(四)木马病毒的危害
木马是近几年比较流行的危害程度较严重的恶意软件,常被用作网络系统入侵的重要工具和手段。
木马程序不仅可能侵害到个人乃至某些公司的利益和权力,更可能危及整个社会和国家的利益和安全。
如果公安部用于采集处理人们身份证信息的计算机被安装了木马,那么这些信息就可能被木马以有线或无线的方式通过网络泄露出去,后果不堪设想。
木马是受控的,它能分清敌我,所以与分不清敌我的其它病毒和攻击技术相比,具有更大的危险性和破坏性。
2015年金山病毒报告监测显示,木马攻击占当前网络病毒的70%以上,已经成为当前网络危害最严重的网络病毒。
网络上各种“种马”技术加剧了木马的流行和发展,由于木马控制了被植入者的计算机,它几乎可以在被植入主机上为所欲为,破坏程度非常巨大,可以窃取账号密码、删除文件、格式化磁盘,甚至可以打开摄像头进行偷窥等;
木马往往又被用做后门,植入被攻击的系统,以便为入侵者再次访问系统提供方便;
或者利用被入侵的系统,通过欺骗合法用户的某种方式暗中“散发”木马,以便进一步扩大入侵成果和入侵范围,为进行其它入侵活动,如分布式拒绝服务攻击等提供可能。
木马“投放”也有巨大的商业利益驱动,简单的一个木马程序就会带来数十万的收入。
(4)
(五)计算机木马病毒发展
目前,木马病毒结合了传统病毒的破坏性,产生了更有危害性的混合型木马病毒。
有关报告显示:
截止2012年上半年,所截获的新增病毒总计有132474种,而木马病毒占总数的64.1%。
其中,盗号木马占总木马数的70%,从数据上可以看出,木马数量的成倍增长,变种称出不穷,使得计算机用户的处境更加危险。
至今木马程序已经经历了六代的改进:
第一代,是最原始的木马程序。
出现在网络发展的早期,是以窃取网络密码为主要任务,通过电子邮件发送信息,具备了木马最基本的功能。
这种木马通过伪装成一个合法的程序诱骗用户上当。
世界上第一个计算机木马是出现在1986年的PC-Write木马。
它伪装成共享软件PC-Write的
2.72版本(而实际上编写PC-Write的Quicksoft公司从未发行过2.72版本),一旦用户信以为真运行该木马程序,硬盘可能被格式化。
第一代木马还不具有传染性,在隐藏和通信方面也均无特别之处。
第二代,在技术上有了很大的进步,它使用标准的C/S架构,提供远程文件管理、屏幕监视等功能,在隐藏、自启动和操纵服务器等技术上也有很大的发展。
由于植入木马的服务端程序会打开连接端口等候客户端连接,因此比较容易被用户发现。
冰河是第二代木马的典型代表之一。
第三代,主要改进在网络连接方式和数据传递技术方面,不打开连接端口进行侦听,而是使用ICMP通信协议进行通信或使用TCP端口反弹技术让服务器端主动连接客户端,以突破防火墙的拦截,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。
如网络神偷(Netthief)、灰鸽子木马等。
第四代在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,让木马服务器运行时没有进程,网络操作插入到系统进程或者应用进程中完成。
这方面发展的最高境界是rootkit技术,嵌入木马通过替换系统程序、DLL、甚至是驱动程序,替换之后还能够提供原来程序正常的服务,同时还被远程控制,从而实现木马的隐藏。
前三代木马,大多都有独立的进程,通过任务管理器等查看当前运行的进程,很快找到木马并删除。
但是第四代木马不是单独的进程或者以注册服务的形式出现,无法通过“任务管理器”查看到正在运行的木马甚至在WindowsNT/2000下,都达到了良好的隐藏效果。
需要专门的工具才能发现以及专业的木马查杀工具才能清除,这方面的典型木马如蜜蜂大盗、广外男生。
第五代,实现了与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的,而不必象以前的木马那样需要欺骗用户主动激活。
(7)
二、计算机木马病毒的伪装方式
鉴于木马病毒的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
(一)修改图标
当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?
但是我不得不告诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
(二)捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。
至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
(三)出错显示
有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。
当服务端用户打开木马程序时,会弹出一个错误提示框,错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开的!
”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。
(四)定制端口
很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024---65535之间任选一个端口作为木马端口,这样就给判断所感染木马类型带来了麻烦。
(五)自我销毁
这项功能是为了弥补木马的一个缺陷。
我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(C:
WINDOWS或C:
WINDOWSSYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。
而木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。
(六)木马更名
安装到系统文件夹中的木马的文件名一般是固定的,那么只要根据一些查杀木马的文章,按图索骥在系统文件夹查找特定的文件,就可以断定中了什么木马。
所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型了。
三、计算机木马病毒的防治
(一)如何查出木马
在使用目前常见的木马查杀软件及杀软件的同时,系统自带的一些基本命令也可以发现木马病毒:
1、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马,或者是中了病毒,但是手里没有完善的工具来检测是不是真有这样的事情发生,那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是:
netstat-an这个命令能看到所有和本地计算机建立连接的IP,它包含四个部分——proto(连接方式)、localaddress(本地连接地址)、foreignaddress(和本地建立连接的地址)、state(当前端口状态)。
通过这个命令的详细信息,我们就可以完全监控计算机上的连接,从而达到控制计算机的目的。
2、禁用不明服务
很多朋友在某天系统重新启动后会发现计算机速度变慢了,不管怎么优化都慢,用杀毒软件也查不出问题,这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务,比如IIS信息服务等,这样你的杀毒软件是查不出来的。
但是别急,可以通过“netstart”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们就可以有针对性地禁用这个服务了。
方法就是直接输入“netstart”来查看服务,再用“netstopserver”来禁止服务。
3、检查系统账户
很长一段时间,恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。
他们采用的方法就是激活一个系统中的默认账户,但这个账户是不经常用的,然后使用工具把这个账户提升到管理员权限,从表面上看来这个账户还是和原来一样,但是这个克隆的账户却是系统中最大的安全隐患。
恶意的攻击者可以通过这个账户任意地控制你的计算机。
为了避免这种情况,可以用很简单的方法对账户进行检测。
首先在命令行下输入netuser,查看计算机上有些什么用户,然后再使用“netuser用户名”查看这个用户是属于什么权限的,一般除了Administrator是administrators组的,其他都不是!
如果你发现一个系统内置的用户是属于administrators组的,那几乎肯定你被入侵了,而且别人在你的计算机上克隆了账户。
使用“netuser用户名/del”来删掉这个用户,联网状态下的客户端。
对于没有联网的客户端,当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。
不仅省去了用户去手动更新的烦琐过程,也使用户的计算机时刻处于最佳的保护环境之下。
(5)
4、对比系统服务项
点击“开始,运行”输入“msconfig.exe"
回车,打开”系统配置实用程序,然后在“服务”选项卡中勾选“隐藏所有Microsoft服务”,这时列表中显示的服务项都是非系统程序。
再点击“开始,运行”,输入Services.msc"
回车,打开“系统服务管理”,对比两张表,在该“服务列表”中可以逐一找出刚才显示的非系统服务项。
在“系统服务”管理界面中,找到那些服务后,双击打开,在“常规”选项卡中的可执行文件路径中可以看到服务的可执行文件位置,一般正常安装的程序,比如杀毒,MSN,防火墙,等,都会建立自己的系统服务,不在系统目录下,如果有第三方服务指向的路径是在系统目录下,那么他就是“木马”。
选中它,选择表中的“禁止”,重新启动计算机即可。
(8)
要点:
有一个表的左侧:
有被选中的服务程序说明,如果没用,它就是木马。
(二)如何删除木马病毒
1、禁用系统还原
如果您运行的是WindowsMe或WindowsXP,建议您暂时关闭“系统还原”。
此功能默认情况下是启用的,一旦计算机中的文件被破坏,Windows可使用该功能将其还原。
如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows禁止包括防病毒程序在内的外部程序修改系统还原。
因此,防病毒程序或工具无法删除SystemRestore文件夹中的威胁。
这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
(9)
2、安全模式或VGA模式
关闭计算机,等待至少30秒钟后重新启动到安全模式或者VGA模式。
扫描和删除受感染文件启动防病毒程序,并确保已将其配置为扫描所有文件。
运行完整的系统扫描。
如果检测到任何文件被Download.Trojan感染,请单击“删除”。
如有必要,清除InternetExplorer历史和文件。
如果该程序是在TemporaryInternetFiles文件夹中的压缩文件内检测到的,请执行以下步骤:
启动InternetExplorer,单击“工具”中“Internet选项”,单击“常规”选项卡“Internet临时文件”,单击“删除文件”,然后在出现提示后单击“确定”。
在“历史”部分,单击“清除历史”,然后在出现提示后单击“是”。
(10)
(三)如何防范木马病毒
1、截断传染源
首先,作为普通用户,杀毒防护软件是必不可少的。
在用户首次安装完系统之后、首次联网之前就应该将杀毒防护软件安装好,记得开启防护监控。
紧接着应该进行一次全盘的扫描,确保未联网前系统是无毒的。
其次,浏览网页或者下载软件时要特别谨慎,往往木马就是捆绑在不明网页和不明程序上的。
用户应该做到不浏览不健康不正规的网站,尤其不能点击网站上浮动的色情广告。
另外,常用软件要去正规下载站去下载安装。
再次,用户使用电脑方面也要注意,在插入陌生的U盘时应该先对U盘进行病毒查杀。
打开U盘最好不用双击方式,应该用右键选择“打开”或者“资源管理器”的方法打开。
因为双击打开盘符会触发Autorun启发方式的木马病毒。
2、加强计算机防护
及时安装杀毒软件和更新病毒库,可避免因在不可靠的网站寻找破解等信息时候中毒或错将恶意软件当作破解补丁下载。
现在的病毒最爱做的事情就是利用系统漏洞攻击你的电脑,及时安装补丁程序,检查注册表和内存中可疑进程。
禁止自动启动可以用比如360安全卫士、金山卫士等软件中的功能来实现,禁止不必要的开机自启程序。
3、善用账号保护工具
善于利用其它外部的账号工具也可以帮助更好的保障安全。
比如超级密码、手机短信验证、硬件Ukey、手机令牌软件等。
手机令牌软件属于手机客户端软件,采用OTP技术,基于时间同步的方式,每隔60秒钟变化一次密码,用户登陆的时候须输入账户名、静态密码、动态密码三块,这样即使静态密码泄露或者被盗,盗号者在没有动态密码的前提下,也不可能登陆账号。
这种软件是通过一定的算法达到时间同步,所以过程中无需使用流量。
另外多用软键盘,针对木马病毒记录键盘的特征,对于非常重要的账号密码,如网上银行,阿里旺旺,股票账号等等,建议使用软键盘输入账号密码,虽然麻烦但是能大大增加安全性。
四、几款免费的木马专杀工具
计算机木马病毒也可以使用专用的专业分析软件进行查杀和分析,免费木马专杀工具如:
冰刃、Windows清理助手、恶意软件清理助手、Atool软件、Windows恶意软件删除工具(mrt.exe)
等。
(一)冰刃
冰刃(Icesword)是专业查杀木马工具中较好的工具之一,冰刃提供了可以完全删除任何文件的功能。
冰刃的文件操作有些类似于资源管理器,不同之处在于其具备反隐藏、反保护的功能,能够直接显示被隐藏的文件,并删除所有的文件。
可以容易做到删除任意的注册表项和显示所有的注册表项。
冰刃程序可以删除除idle进程、System进程、csrss进程以外的所有进程,
一个木马或病毒采用多线程保护技术创建进程,IceSword可以发现是什么线程又创建了这个线程,把它们一并杀除。
(二)Windows清理助手
Windows清理助手(ARSwp)发布于2006年10月,运行于Windows2000以上平台,是一款用户拥有完全控制权的Windows清理工具。
实现的功能主要是全面扫描系统,帮助用户清理Windows无法清理或清理不干净的软件、IE信息和程序。
清理助手根据脚本文件扫描系统,将符合脚本文件所属特征的文件和注册表信息在用户自主选择的情况下进行删除。
(三)恶意软件清理助手
下载得到压缩包并解压到任意目录,不需安装,直接双击“RogueCleaner.exe”即可启动程序,恶意软件清理助手的使用很简单,单击“开始检测”按钮开始检测系统,检测完毕后再通过“开始清理”按钮即可进行清理。
其特点是它的清理功能非常彻底,它甚至能将其它软件清理过的流氓软件的残留信息全部列举出来;
如果扫描的可疑文件比较多,可以通过XX查询相关可疑文件的信息然后删除。
(四)Atool软件
它是木马专杀厂商提供的一款免费的、向高级用户群体设计的专业系统安全检测及辅助处置工具,其界面类似于冰刃。
其优点是除了冰刃提供的功能外,还提供其它的一些如插件管理,SPI修复等功能,软件经常更新,提供新的功能,而冰刃更新速度较慢。
(五)Windows恶意软件删除工具(mrt.exe)
是Microsoft所提供的的一个免费的,删除恶意软件使用工具,并由Microsoft定期公布其更新版本。
该工具可以检查运行当前流行的各种Windows版本是否受到恶意软件的感染,帮助删除所有找到的感染病毒。
该工具一般在后台自动运行,当检测到恶意软软件时,当下次以计算机管理员身份登录到计算机时,将会出现一个气球以通知检测结果,当然也可以自己启动进行全面扫描,启动方式为运行命令mrt.exe。
五、结束语
计算机木马病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。
网络管理应该积极主动,从硬件设备和软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程,建立“防杀结合、以防为主、以杀为辅、软硬互补、标本兼治”的最佳安全模式。
总之,计算机病毒在形式上越来越难以辨别,造成的危害也越来越严重,我们需要高度重视病毒的发展趋势,加强计算机病毒防范知识的普及和应用,加强安全防范意识和技术,加强计算机病毒知识的研
升级会员 