木马病毒

木马病毒（共11篇）

木马病毒 篇1

改革开放以来, 我国的互联网技术越来越先进, 电脑已经有以前的遥不可及到现在的家家至少有一到两台以上的台式或者便携式电脑。现在社会和人民的生活以及工作以及完全不能离开电脑了。不论是上班发邮件, 还是日常生活和亲人朋友聊天, 都需要利用电脑来完成。这就为一些电脑病毒的出现提供了契机和市场。并且现在的电脑的病毒攻击性也越来越大, 一旦侵入你的电脑就很难将其消灭, 甚至可以直接使你的电脑丧失操作功能, 变成一堆废物。

目前在整个电脑病毒的市场上最具攻击性的应该是所谓的木马病毒了, 它已经利用现在的高速发展的互联网技术, 体现出了无法遏制的态势。根据不完全统计, 现在有大于百分之九十的木马病毒都是利用网络进行依附和传播的, 一旦侵入就会对电脑用户的个人隐私以及一些支付系统造成威胁。因为这些木马病毒就像是细胞分裂一样, 在电脑系统里快速的复制和传播, 造成电脑本身的系统瘫痪, 这个时候, 木马病毒就可以获取任何一项自己所需的资料和文件, 整个计算机系统也就宣布崩溃了。木马病毒之所以具有如此之大的危害性, 这和它的本身特征是分不开的, 它具有很高的秘密性, 而且呈现出的状态也不是一层不变的, 而是随时随地都在发生相应的改变的, 因此, 想要及时并准确的发现并消灭这些木马病毒是一件非常困难的事情。所以, 本文就针对木马病毒的特点、所带来的危害、攻击的手段以及如何防御木马病毒进行了深入透彻的探讨, 旨在增强计算机用户使用电脑的安全意识, 减少由于木马病毒所带来的损失, 尽最大的努力将计算机中毒的概率降到最低。

一、木马病毒的特点

(一) 木马病毒的概述

总所周知, 特洛伊木马的希腊故事讲述了一群士兵将自己藏于木头制成的马身内, 敌人看见木马就将其运进自己的城内, 等到晚上, 士兵能就从木马里跑出来, 一举消灭了敌人。从此, 木马就被后人喻为隐藏在其中的危险。所谓的计算机木马病毒其实是一组程序代码, 这组程序代码被赋予了特定的作用, 它可以融入到计算机系统的健康的程序代码之中。这样它们就可以利用用户的计算机盗取用户的相关个人信息和资料, 用在别的不正当的方面上。这种木马病毒是通过一个很隐蔽的后台程序对用户的计算机进行相应的侵入和攻击的。我们所知道的目前已有的计算机木马病毒可谓是种类繁多。就比如说, 代理木马病毒、FTP木马病毒、D So攻击木马病毒、远程访问型木马病毒、键盘记录木马病毒、密码盗取型木马病毒以及破坏型木马病毒等等。不同的木马病毒之间都存在一定程度上的差异, 同时又存在一定程度上的相同点。

(二) 木马病毒具有隐蔽性

总所周知, 现在流行的木马病毒都具有非常强的自我隐蔽功能, 只有这样才能防止被计算机用户检测到并将其消灭。如果某一个木马病毒它的隐蔽性不强, 那么它就很有可能在侵入的过程中被现在的杀毒软件, 如360安全卫士以及腾讯安全管家等检测出来, 从而对其进行杀毒。或者说如果一个木马病毒不具备很强的隐蔽性, 那么用户通过自身手动检测就能将其检测出来, 那么这样的木马病毒也就失去了自身存在的价值和意义, 通俗的说, 这种木马病毒也就无人问津, 一文不值了。所以, 一个木马病毒隐蔽性的高低直接决定了它的生存和发展。

(三) 木马病毒具有顽固性

凡是中国木马病毒的计算机用户都有同样的感受和体会, 那就是无论怎么清理和杀毒都很难彻底的将木马病毒完全消灭。一个木马程序被检测到的时候, 很难被清除。很多情况可能是这样的, 当用户用杀毒软件对检测到的木马病毒进行查杀时, 电脑显示是已经将木马病毒彻底查杀干净了, 可是等用户用了一段时间后, 会发现自己的电脑还是和以前不太一样, 有的时候还是会不自觉的死机或是卡机等等不正常的情况。这就是木马病毒没有被彻底清除干净而存留在自己的电脑里面造成的后果。因此, 一个木马病毒的顽固性强弱就直接可以通过它存留在用户计算机中的时间长短来进行判断和评估。通常情况下, 如果一个木马病毒很难被检测和清除, 那么我们可以定义这个木马病毒具有很强的顽固性。对于那些虽然已经使用了很多不同的方法进行查杀和清理但是依然不能将其有效消灭的木马病毒, 它们在一定条件下还是可以进行相关程序的操作和控制, 那么这样的木马病毒的顽固性就非常强。

二、木马病毒所造成的危害

大家可能都知道木马病毒是非常可怕的。但是对于其危害的原理并不是很了解。其实木马病毒之所以如此可怕, 是因为它是直接对用户计算机的磁盘进行相应的攻击和破坏, 对计算机内的原有数据库进行修改和破坏, 从而使用户无法获得需要的数据和信息。一旦木马病毒侵入了计算机内部, 就会对计算机原来的数据和程序进行破坏, 这样计算机就无法正确的运行相应的程序和代码, 严重影响了整个计算机的稳定和安全运行。此外, 很多木马病毒还能利用电脑本身自带的磁盘引导区进行相关的附着和侵入。而且这种木马病毒还具有很强的繁殖和传播特性, 可以通过正常的程序将木马病毒传播到外部相关的设备和连接机器上。而且这种木马病毒还能够改变计算机磁盘引导区的磁盘通道, 导致正常的程序无法通过磁盘引导区进行正确的引导。木马病毒经过不断的繁殖慢慢的侵占了整个计算机系统的内部资源, 对系统正常运行产生一定的破坏和干扰, 严重时可能直接导致整个计算机系统瘫痪。

三、木马病毒的合理防御措施

(一) 用户在使用计算机的过程中应该删除可疑的程序

对于那些不是系统自带的程序和软件, 用户不能抱有侥幸心理, 应该坚决的删除掉一些自身觉得可疑的程序和软件。

(二) 用户应该定期检查木马病毒隐藏的位置

因为当木马病毒侵人计算机系统之后, 它就会去寻找一个相对安全的位置, 所以计算机用户只有充分掌握和了解木马病毒隐藏的地方, 才能准确的找出木马病毒并将其消灭。

四、总结

本文首先对木马病毒进行详细的概述, 对木马病毒的特点以及所带来的危害和攻击的手段进行深入到探讨, 从而引出用户该如何防御木马病毒, 指出用户在使用计算机的过程中应该删除可疑的程序, 应该定期检查木马病毒隐藏的位置。旨在增强计算机用户使用电脑的安全意识, 减少由于木马病毒所带来的损失, 尽最大的努力将计算机中毒的概率降到最低。

摘要：本文首先对木马病毒进行详细的概述, 对木马病毒的特点以及所带来的危害和攻击的手段进行深入到探讨, 从而引出用户该如何防御木马病毒, 指出用户在使用计算机的过程中应该删除可疑的程序, 应该定期检查木马病毒隐藏的位置。旨在增强计算机用户使用电脑的安全意识, 减少由于木马病毒所带来的损失, 尽最大的努力将计算机中毒的概率降到最低。

关键词：木马病毒,防御措施探讨

参考文献

[1]贺子瑶, 朱雪峰.关于"ARP欺骗"木马病毒的分析和防御[J].西部大开发:中旬刊, 2012.

[2]王文交, 马志强, 钱宗峰等.摆渡木马及其防御措施研究[J].信息技术, 2012.

[3]葛晏君.医院计算机网络安全隐患的来源与检测防御措施[J].电子测试, 2014.

木马病毒 篇2

上完这一节“木马和病毒”课，不禁要进行反思，学生在这堂课上学到了哪些知识？学生是否真正地学到并掌握好了这些内容呢？通过本节课的教学，学生反映非常的热烈，学生基本上都认识到计算机木马和病毒的危害性，掌握了一些预防和清除病毒的操作技能，以保证计算机的正常工作。

今后还要加强学生的小组合作的能力，因为这样做既能表现学生的团队精神，又能让他们互帮互助。还要注意课堂秩序的管理，需要加强学生上课常规的教育。课堂秩序会影响一节课质量的好坏，对于小学生而言，课堂上有小动作、小声说话的现象是比较常出现的，在今后的教学中，有必要在课堂上继续强调课堂的纪律，加强教学组织能力。

还有师生的互动要增多，如何把课上得生动活泼，需要教师汲取多方面知识，改变上课方式，是我今后努力的方向。

让病毒木马丧失自启动本领 篇3

限制启动文件夹权限

为了达到自启动目的，一些狡猾的病毒木马程序在成功入侵系统后，会悄悄将其可执行文件放置到系统启动文件夹中，下次它就能跟随Windows系统启动而自动运行了。现在，我们只要禁止所有用户账号访问系统启动文件夹，就能限制病毒木马将恶意文件隐藏到其中，从而达到让其丧失自启动本领的目的。

要做到这一点，可以先打开Windows 7系统资源管理器窗口，将鼠标定位到“C：＼Users＼zhoujy＼AppData＼Roaming＼Microsoft＼Windows＼Start Menu＼Programs”文件夹上（“zhoujy”为当前登录账号名称），用鼠标右键单击“启动”子文件夹，点击右键菜单中的“属性”命令，打开启动文件夹属性对话框。选择“安全”标签，打开如图1所示的标签设置页面，在这里选中administrators用户账号，点击“编辑”按钮，在其后界面中将其所有权限都设置为“拒绝”，确认后返回。同样地，将其他用户账号的访问权限也设置为“拒绝”。值得注意的是，不同版本的操作系统，其启动文件夹所处位置不同。例如，Windows XP系统的启动文件夹，默认路径为“C：＼Documents and Settings＼用户名＼开始菜单程序＼启动”。

限制启动项访问权限

病毒木马程序有时会利用编辑注册表键值的方式，来将恶意文件设置成自动运行。为了禁止病毒木马强行添加启动项到注册表中，我们可以对Run、RunService、RunOnce等分支的访问权限进行合适设置，不允许everyone用户账号拥有写入或运行权限，下面就是具体的操作步骤：

首先依次点击“开始”、“运行”命令，弹出运行文本框，在其中执行“regedit”命令，开启系统注册表编辑器运行状态。将鼠标定位到编辑窗口左侧区域中的“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run”分支上，打开该分支的右键菜单，选择“权限”命令，弹出目标分支选项的权限对话框，如图2所示。在这里将everyone之外的用户帐号依次删除，之后选中everyone用户帐号，同时在权限列表中将“读取”权限调整为“允许”，其他权限都改为“拒绝”，确认后保存设置即可。同样地，我们也要让everyone账号只能拥有RunService、RunOnce等分支的只读权限。

为了躲避杀毒软件的查杀，部分顽固的病毒木马程序，有时会以系统服务形式自行启动，而从上面的注册表分支中，是找不到这类病毒木马程序自启动项的。为了让这类病毒木马程序丧失自启动本领，我们可以打开系统注册表编辑窗口，依次展开“HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services”注册表分支，并用鼠标右键单击该分支选项，执行快捷菜单中的“权限”命令，弹出目标分支的权限设置对话框。从“组或用户名称”列表中，只保留everyone用户账号，其他账号全部删除，再为everyone用户账号赋予只读权限，其他权限全部设置为“拒绝”。

值得注意的是，注册表中“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows NT＼CurrentVersion＼Windows”分支下“LOAD”、“RUN”等子项，也会被病毒木马悄悄修改，添加它们的自启动项。由于这种情况出现机率不高，很多朋友不清楚这些子项在注册表中的位置，在注册表编辑器中对它们的访问权限进行编辑，经常会找不到编辑目标。此时，不妨在注册表编辑窗口中，依次点击“编辑”、“查找”命令，来搜索一下需要编辑的自启动分支项目。

限制文件关联修改

有不少病毒木马程序会偷偷修改某些特定文件关联，比方说，常用的TXT、CHM、BMP、DOC，当我们尝试打开这类文件时，Windows系统就会自动调用合适的应用程序来处理，要是该程序是病毒木马时，那就意味着病毒木马程序会自动运行，日后系统的安全运行就会受到威胁，所以我们应该限制普通用户随意修改文件关联。

例如，要限制他人修改CHM类型文件的关联时，可以先打开系统注册表编辑界面，依次跳转到“HKEY_CLASSES_ROOT＼chm.file＼shell＼open＼command”注册表分支上，双击该分支下的“默认”键值，在其后界面中，看看其数值是否为“"%SystemRoot%＼hh.exe" %1”（如图3所示），如果不正确的话，及时将其修改过来。

接着用鼠标右键单击“command”分支选项，点击右键菜单中的“权限”命令，弹出目标分支选项权限编辑框，在这里只保留everyone用户账号，其他账号全部删除，再为everyone用户账号赋予只读权限，其他权限全部设置为“拒绝”。对于其他类型文件的关联权限，也需要按照同样的操作进行修改。

限制陌生程序运行

如果我们事先规定好Windows系统只能运行一些合法、可信程序，其他陌生的应用程序都不允许运行，那么日后各种自启动型病毒木马程序即使已经潜入到了本地计算机系统中，它们也无法自动运行发作。要限制陌生程序的运行，可以利用Windows系统的白名单功能来实现，下面就是具体的操作步骤：

首先以系统管理员权限登录Windows系统桌面，依次点击“开始”、“运行”命令，弹出系统运行对话框，在其中执行“gpedit.msc”命令，切换到系统组策略控制台界面。在该界面左侧列表中，依次跳转到“本地计算机策略”、“用户配置”、“管理模板”、“系统”节点上，找到该节点下面的“只运行许可的Windows应用程序”组策略，并用鼠标双击该选项，打开如图4所示的选项设置对话框。

nlc202309020759

其次选中“已启用”选项，激活“允许的应用程序列表”位置处的“显示”按钮，点击该“显示”按钮，切换到显示内容对话框，在其中输入合法应用程序的可执行文件名称，例如，输入Winword.exe、Poledit.exe等文件名称，点击“确定”按钮保存设置操作。设置结束后，在Windows系统中除了事先指定的合法程序外，其他各类应用程序都将无权自动运行。这么一来，病毒木马程序即使将自己添加到系统启动项中，也无法在系统开机时自动运行。

限制优盘自动播放

现在，优盘使用频率很高，有些病毒木马程序专门利用优盘，来达到让病毒自动运行、传播目的。一旦染毒优盘插入到计算机系统中，Windows系统默认会自动弹出优盘窗口，以帮助用户快速访问文件。而自动弹出优盘窗口的操作，有利于病毒木马程序自动运行。所以，我们只要限制优盘自动播放功能，就能切断这类病毒木马程序的启动运行通道，日后它们自启动的本领也就随之丧失。

要限制优盘自动播放功能时，使用“Win+R”快捷键，调出系统运行对话框，在其中执行“gpedit.msc”命令，开启系统组策略编辑器运行状态。在该编辑窗口左侧列表中，依次跳转到“本地计算机策”、“计算机配置”、“管理模板”、“系统”分支选项上，找到该分支下的“关闭自动播放”选项，并用鼠标双击之，打开目标组策略选项设置框。

其次检查其中的“已启用”选项是否处于选中状态，如果发现其没有被选中时，应该及时将其重新选中，同时从关闭自动播放列表中，选择移动硬盘或优盘设备对应的分区符号，按下“应用”按钮返回。当然，上述设置操作仅对WinXP系统有效，在Vista之后版本系统中，必须将鼠标定位到“本地计算机策略”、“计算机配置”、“管理模板”、“Windows组件”、“自动播放策略”节点上，才能找到“关闭自动播放”组策略（如图5所示），并将其启用起来。

除了利用组策略编辑方式，来限制优盘自动播放外，对注册表编辑操作很熟悉的朋友，也能利用注册表编辑方式，禁止优盘自动播放。启动运行注册表编辑器，跳转到“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer”注册表分支下面，找到该节点下的“NoDriveTypeAutoRun”键值，用鼠标双击该键值，在其后弹出的编辑键值对话框中，将“十六进制”选项选中，再输入数值“4”，确认后重新启动计算机系统即可。

限制病毒木马藏身

在上网访问网页的时候，潜藏在网页背后的病毒木马程序，可能会不请自来，并且它们会想方设法地将自己隐藏到drivers、system、temp之类的系统文件夹中，以便随时发作运行。如果我们对这些特殊系统文件夹的访问权限进行严格限制，就能轻易地将自动下载的病毒木马程序拦截下来，这样它们就无法藏身到系统文件夹中，日后自然也就不能随意自动运行了。

例如，要拦截病毒木马程序藏身到drivers文件夹时，可以先打开系统资源管理器窗口，依次点击“工具”、“文件夹选项”命令，弹出文件夹选项设置对话框，选择“查看”标签，切换到如图6所示的标签设置页面，将“隐藏受保护的系统文件”选项取消选中，再将“显示隐藏的文件和文件夹”选项选中，单击“确定”按钮保存设置操作。这样，可以确保处于隐藏状态的drivers文件夹显示出来，从而方便对其设置访问权限。

从系统资源管理器窗口中找到drivers文件夹，用鼠标右键单击之，执行快捷菜单中的“属性”命令，打开目标系统文件夹的属性对话框，点击“安全”标签，点击对应标签页面中的“高级”按钮，进入高级安全设置对话框。选中名称为当前用户账号的权限项目，按下“编辑”按钮，在其后界面中将“遍历文件夹/运行文件”权限设置为“拒绝”，将“创建文件/写入数据”权限也设置为“拒绝”，确认后退出设置对话框即可。

如果我们事先规定好Windows系统只能运行一些合法、可信程序，其他陌生的应用程序都不允许运行，那么日后各种自启动型病毒木马程序即使已经潜入到了本地计算机系统中，它们也无法自动运行发作。要限制陌生程序的运行，可以利用Windows系统的白名单功能来实现。

校园网病毒木马防治新方略 篇4

目前在校大学生利用网络, 主要是用来:使用QQ聊天、玩各种网络游戏、看电影、网络购物等。同学们经常遇到自己的QQ号突然无法登陆, 迫不得以使用麻烦的找回手段。有时又突然发现自己的游戏账号突然被洗劫一空, 辛辛苦苦到手的装备被洗劫一空, 虚拟财产遭到巨大的损失。有的同学为了省事, 喜欢把钱打到自己的支付宝账户里面, 可是有时用的时候, 缺发现里面的钱早已经不翼而飞了。

1.1 当今大学生中, 威胁网络安全的问题发生很高, 尤其是木马, 更是猖獗。

我们知道第一代木马只是实现简单的密码窃取、发送等, 在隐藏和通信方面均无特别之处。第二代木马的典型代表是冰河, 它以文件关联方式启动, 通过电子邮件传送信息, 在木马技术发展史上开辟了新的篇章。第三代木马的信息传输方式有所突破, 采用ICMP协议, 增加了查杀的难度。第四代木马在进程隐藏方面获得了重大突破, 采用插入内核的嵌入方式、利用远程插入线程技术、嵌入DLL线程、或挂接PSAPI等, 实现木马程序的隐藏, 利用反弹端口技术突破防火墙限制, 在Windows下取得了良好的隐藏效果。第五代木马与病毒紧密结合, 利用操作系统漏洞, 直接实现感染传播的目的, 而不必象以前的木马那样需要欺骗用户主动激活, 例如最近新出现的类似冲击波病毒的木马—噩梦II。

在校园网中, ARP攻击同样是威胁同学们网络安全的一个重要的因素。ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗, 能够在网络中产生大量的ARP通信量使网络阻塞, 攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目, 造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中, 局域网中若有一个人感染ARP木马, 则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息, 并因此造成网内其它计算机的通信故障。

我想, 校园网一旦瘫痪, 作为一名大学生, 我更能体会到其中的痛苦。

1.2 病毒在局域网中传播, 具有如下特点:

1、感染速度快。在网络中病毒可以通过网络通讯机制进行迅速扩散。如果防护做的不好, 在网络正常工作情况下, 只要有一台工作站有病毒, 就可在几十分钟内将网上的数百台计算机全部感染。2、扩散面广。由于病毒在网络中扩散非常快, 扩散范围很大, 不但能迅速传染局域网内所有计算机, 还能通过远程工作站将病毒在一瞬间传播到千里之外。3、难于彻底清除。单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而网络中只要有一台电脑未能清除干净, 就可使整个网络重新被病毒感染, 甚至刚刚完成杀毒工作的一台电脑, 就有可能被网上另一台带毒电脑所感染。4、破坏性大。网络病毒将直接影响网络的工作, 轻则降低速度, 影响工作效率, 重则使网络崩溃, 破坏服务器信息, 使多年工作毁于一旦。5、潜伏性。有的木马仅仅是盗号, 对系统的运行没有什么影响, 所以同学有时并没有发现自己中了木马。

1.3 当代大学校园网中, 病毒木马的传播途径主要有:

1、用一些来路不明的外挂软件, 如:农场外挂、CF外挂、DNF外挂等, 这些外挂大多是是木马。2、上一些不良网站。3、误入挂马的网站。4、在校园网中, 最重要的一条传播途径就是资源共享。校园网中, 许多同学喜欢用汉魅等软件来共享影视资源、游戏资源、学习资源等。校园网给了这些资源快速传输的平台, 同时也给了病毒木马传播的沃土。

大学生的安全意识。许多大学生一味追求电脑运行的快速, 所以喜欢让电脑不安装任何安全软件“裸奔”, 一旦出了严重的问题, 就重装系统。但是, 这种亡羊补牢的方式, 造成的损失也是非常明显的。目前, 在大学生中安装最多的安全软件就是360安全卫士、360杀毒软件、瑞星、卡巴斯基、江民等杀毒软件, 这些杀毒软件本身都非常优秀, 对付校园网内流行的病毒和木马绰绰有余, 但是由安全问题带来的损失还是时有发生, 其中的问题就是, 许多同学认为全盘查杀浪费时间、占用时间根本就不开启这些安全软件的全盘扫描, 仅靠实时监控, 根本就无法查出什么病毒木马, 导致许多病毒和木马长期潜伏在电脑中危害一方。同样, 账号保险箱的使用并不是很广泛。常见的360账号保险箱、瑞星账号保险箱等, 但是很多同学认为这些软件使启动游戏变得繁琐、占用系统资源, 并没有利用这些软件。由于以上诸多原因, 病毒和木马在校园网中大肆传播, 给同学们造成了不可估量的损失。

2. 增强同学们的安全意识是解决此类问题的最好的方法, 但是同学们的安全意识的增强并非一日之功。

所以我们应当从软件的问题上, 来寻找此类问题的解决方法。

2.1 针对这种现状, 我倡议安全公司参考笔者的新方略, 开发出一种专为庞大的学生群用户打造的安全软件。我的新方略如下:

1、受今年流行的云安全理念的启发, 开发出一种叫做“云响应”的安全规则。此“云响应”机制有别于各安全公司的“云查杀”方略, 也不是一个区域的数据库, 而是一种多台电脑联合共同对某种威胁作出反应的机制。这种规则以一个大学的校园网为单位, 做到一校一个站点。安全公司应做好对各大学的分类工作。

2、一个学校设立一个主机, 或则将搜集到的信息传到安全公司的远程服务器。

3、在安全软件中镶嵌专杀模块, 使安全软件能轻松启动针对某种威胁的专杀工具。

4、“云响应”规则:当安装有“云响应”规则的安全软件的电脑查杀病毒和木马, 然后将查杀的结果反馈给主机, 主机分析这种病毒或木马在这个学校参加此种方略总人数中的发生比例, 当达到一定的比例的时候, 让参加此规则的计算机用户自动启动针对这种病毒或木马的专杀工具。即达到了所有电脑上都清除这种病毒或木马, 防止重复感染, 屡杀不净的问题。同时, 由于启动的专杀此种病毒或木马的小工具, 所以查杀速度快, 占用内存低, 不影响同学们正常使用电脑。

2.2此项新方略所起到的效果。

使用这样的新方略来应对目前大学生电脑中的安全问题, 达到了不影响游戏娱乐等正常使用, 又绝杀木马病毒的目的。

2.3此项新方略应用的前景。

1、对症下药。针对热衷于共享和娱乐, 而又怕占用电脑资源和娱乐时间的大学生, 此方略可以在“不知不觉”的低占用中, 解决安全问题。2、可操作性强。目前大学生的QQ账号失窃、游戏装备被盗等问题日益增多, 而许多大学生仅靠比较鸡肋的实时监控来防毒。此项新方略, 区别于许多安全厂商提出的“云”的概念, 也不是区域性的数据库, 只是一种新的规则, 所以有很强的可操作性。在解决了此项方案中专杀工具的问题前提下, 只用在占用系统内存很小的情况下, 自动剿灭校园网中流行病毒或木马, 杜绝了重复感染, 绝杀病毒和木马。

摘要：大学生网络安全意识较为淡薄, 而校园网又给了病毒和木马绝好的传播平台。传统的查杀方法, 即使你彻底杀掉了病毒或木马, 同在一个校园网中的电脑上的病毒或木马也可能使你重复感染上这种病毒或木马。所以我们必须另辟蹊径, 采用全新的“云响应”查杀方略, 针对每一个学校, 一定的用户查出某种病毒或木马的时候, 全员启动针对该病毒和木马的专杀工具, 做到在占用资源很小, 不影响大学生游戏娱乐的情况下, 云集响应, 绝杀木马, 切实维护大学生的利益。

菜鸟也学会查杀木马病毒 篇5

查杀木马的工具有EWIDO,木马克星、金山木马专杀、木马清除大师、木马分析专家等，其中有些工具，如果想使用全部功能，需要付一定的费用.

查看目前运行的服务

服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一，我们可以通过点击“开始”->“运行”->“cmd”，然后输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们可以进入“服务”管理工具中的“服务”，找到相应的服务，停止并禁用它。

检查系统启动项

由于注册表对于普通用户来说比较复杂，木马常常喜欢隐藏在这里。检查注册表启动项的方法如下：点击“开始”->“运行”->“regedit”，然后检查：

HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion下所有以“run”开头的键值；

HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion下所有以“run”开头的键值；

HKEY-USERS Default Software Microsoft Windows CurrentVersion下所有以“run”开头的键值。

Windows安装目录下的System.ini也是木马喜欢隐蔽的地方，

打开这个文件看看，在该文件的[boot]字段中，是不是有shell=Explorer.exe file.exe这样的内容，如有这样的内容，那这里的file.exe就是木马程序了！

检查网络连接情况

由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”，然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个部分――proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控电脑的网络连接情况。

检查系统帐户

恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户却很少用的，然后把这个账户的权限提升为管理员权限，这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况，可以用以下方法对账户进行检测。

木马病毒 篇6

随着目前网上各种木马、流氓软件的屡杀不尽，电脑软件的不断安装导致系统变慢，广告网页不停弹出……这些问题可能仅凭杀毒软件是不能完全解决的，但也不能整天看着这些病毒、木马来来回回出入我电脑啊，“这走城门呢？”于是我想到养一条“大狼狗”看门吧！这狗还有一个好名字：Winpatrol（看门狗，下载地址：http://www.duote.com/soft/6911.html）。

嗅出电脑异常

单击“最近”选项卡，软件就给出了系统近期运行过的文件，哪怕是DLL文件也都列了出来，病毒文件都会在这里了。再单击“公司”，开头显示的就变成了那些没识别出开发公司的文件，看到可疑的，右键单击选择“WinPatrol日志”就可以看到具体的评价结果，如果是正常的就可以不动，反之选择“重启后删除文件”吧。

再来看下别的修改，单击“文件类型”就可以看到程序和文件的对应关系，一旦文件后面跟的是可疑程序，那就赶紧修改，别再运行这类文件了。

防御木马侵害

Winpatrol这个看门狗和360安全卫士很大的不同就是，Winpatrol能够帮你把病毒给杀掉，下面我们通过一个病毒（Dropper.Win32.Undef.gh，安德夫木马释放器）来看看这条狗的本事。

第一步：病毒运行以后，听见Winpatrol“汪汪”叫了一声，提示有新启动项创建，点击“否”。接下来Winpatrol弹出病毒添加启动项的窗口，并显示出病毒的路径和病毒文件名称，可以看到病毒已经在Windows下释放病毒文件了，点击“否”。

第二步：Winpatrol继续提示病毒正在创建系统服务，这里会看到Winpatrol提示该服务不含有公司名称等信息，点击“否”。病毒已经运行了，但病毒功能基本上都被Winpatrol禁用了。但病毒文件还在系统中，接下来就是使用Winpatrol进行手动杀毒了。

个人电脑的木马病毒防治策略 篇7

1 木马 (Trojan)

“木马”程序是目前比较流行的病毒文件, 它不会自我繁殖, 也并不“刻意”地去感染其他文件, 它通过伪装吸引用户下载执行, 向施种木马者提供打开被种者电脑的门户, 使施种者可以任意毁坏、窃取被种者的文件, 甚至远程操控被种者的电脑。

2 木马病毒的危害

其一, 木马采用键盘记录等方式盗取我们的网银信息, 威胁我们的财产安全。其二, 盗取我们的网游账号, 威胁我们的虚拟财产的安全。其三, 利用即时通讯软件盗取我们的身份, 传播木马病毒。其四, 给我们的电脑打开后门, 使我们的电脑可能被黑客控制。

3 木马病毒的检测与清除

3.1 手工检查木马

(1) 检查网络连接情况。

由于不少木马会主动侦听端口, 或者会连接特定的IP与端口, 所以咱们可以在没有正常程序连接网络的情况下, 通过检查网络连接情况来发现木马的存在。具体步骤为点击“开始”->“运行”->“cmd”, 然后输入netstat-an这个命令能看到所有与自己电脑建立连接的IP以及自己电脑侦听的端口。通过这个命令的详细信息, 咱们就可以完全监控电脑的网络连接情况。

(2) 查看目前运行的服务。

服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之─。咱们可以通过点击“开始”->“运行”->“cmd”, 然后输入“netstart”来查看系统中究竟有什么服务在开启, 如果发现了不为自己开放的服务, 咱们可以进入“服务”管理工具中的“服务”, 找到相应的服务, 停止并禁用它。

(3) 检查系统启动项。

首先检查HKEY_LOCAL_MACHINE S o f t w a r eM i c r o s o f tW i n d o w Current Version下所有以“run”开头的键值然后检查HKEY_CURRENT_USER Soft ware Microsoft Windows Current Version下所有以“run”开头的键值;最后HKEY USERS的DEFAULT Software Microsof Windows Current Version下所有以“run”开头的键值。

(4) 检查系统帐户

恶意的攻击者会激活─个系统中的默认账户, 然后把这个账户的权限提升为管理员权限, 这样就可以通过这个账户任意地控制你的计算机。针对这种情况, 可以用如下方法对账户进行检测:点击“开始”“运行”“cmd”, 然后在命令行下输入netuser, 查看计算机上有些什么用户, 然后再使用“netuser用户名”查看这个用户为属于什么权限的, ─般除了Administrator为administrators组的, 其它均不应该属于administrators组, 如果你发现有系统内置的用户不属于administrators组的, 那几乎可以肯定你被入侵了。

3.2 手工清除木马的方法

(1) 运行任务管理器, 查看异常的进程, 杀掉木马进程。 (2) 检查注册表中RUN、RUNSERVEICE等几项, 先备份, 记下可以启动项的地址, 再将可疑的删除。 (3) ─般这种文件均在W I N N T, S Y S T E M, S Y S-T E M 3 2这样的文件夹下, 它们─般不会单独存在, 很可能为有某个母文件复制过来的, 检查C、D、E等盘下有没有可疑的e x e, c o m或b a t文件, 有则删除之。 (4) 检查注册表H K E Y_L O C A L_M A C H I N E与H K E Y_C U R R E N T_U S E R S O F T W A R E Microsoft Internet Explorer Main中的几项如果被修改了, 改回来就可以。 (5) 检查HKEY_CLASSES_ROOT txtfile shell open c o m m a n d与H K E Y_C L A S S E S_R O O T xmlfile shell open command等等几个常用文件类型的默认打开程序是否被更改。

3.3 利用软件防御和查杀木马病毒

(1) 安装防火墙, 筑起第一道防线。

防火墙, 分硬件和软件防火墙。硬件防火墙价格昂贵适合企业级的用户, 个人电脑一般采用软防火墙。下面推荐几款防火墙其一, Zone Alarm Pro防火墙, 在防火墙软件中, Zone Alarm以其精湛的技术、强大的功能、有效的防护, 一直遥遥领先于同类软件。其二, Outpost Firewall Pro, 世界公认的顶级防火墙, 能够有效抵御来自“黑客”的攻击、屏蔽“挂马”“钓鱼”网页的威胁, 免受木马、蠕虫、间谍软件和各类恶意程序的侵害。其三, Comodo Firewall Pro一款非常优秀的免费防火墙, 是防御各种恶意软件, 网络入侵的第一道防线。其四天网防火墙, 在国产防护墙中天网防火墙算是比较不错的一款。

(2) 安装杀毒软件。

杀毒软件可以有效地防御和查杀各种病毒, 包括木马病毒。它是个人电脑防止病毒入侵的重要防线, 下面推荐几款著名的杀毒软件其一, Bit Defender, 来自罗马尼亚的一流杀毒软件, 包含反病毒系统、网络防火墙、反垃圾邮件、反间谍软件、家长控制中心、系统调整优化、备份等7个安全模块。其二, ESET NOD32占资源超小, 杀毒超快, 监控灵敏。其三, 卡巴斯基, 世界上最优秀、最顶级的网络杀毒软件之一, 它提供了几乎所有类型的抗病毒防护, 查杀病毒性能十分卓越。其四:诺顿:老牌杀毒软件, 不过在出现误杀事件之后, 在广大用户心中的地位有所下降。

(3) 安装木马查杀软件。

由于木马病毒具有较强的伪装性, 因此, 许多情况下普通杀毒软件未必能检测得到。这时, 我们需要安装专门的木马查杀软件。以下几款是其中的佼佼者。

其一:Trojan Hunter, 来自德国的著名反木马、广告软件, 长期占据各大测评榜的第一、二位。其二:AVG, 来自捷克的优秀防木马软件, 能够有效抵御间谍软件、木马、拨号程序、键盘记录程序和蠕虫的威胁。其三:木马克星、木马清除大师等, 国产软件中比较优秀的两款, 不妨一用。

3.4 个人电脑防御木马病毒的防毒软件搭配方案

我们可以综合运用杀毒软件、防火墙和木马查杀软件来防御木马病毒。比如:卡巴斯基+Outpost Firewall Pro+Trojan Hunter或ESET NOD32+Outpost Firewall Pro+AVG等搭配方案。

4 结语

通过本文所阐述的方法, 我们可以使我们的计算机尽可能少地免受木马病毒的侵害。当然, 要完全防住木马病毒几乎是不可能的, 因此我们在使用电脑时一定要细心防范, 尽量降低电脑感染木马的可能性。

参考文献

[1]网管员世界杂志社.网管员世界2009超值精华本[M].电子工业出版社, 2009.

[2]星光科技.无师自通——黑客攻防实战[M].人民邮电出版社, 2008.

[3]胡文启, 徐军, 张伍荣.网络安全大全[M].清华大学出版社, 2008.

[4]WZ坐标工作室.电脑安全设置与病毒防范应用大全[M].中国铁道出版社, 2008.

典型计算机病毒及木马程序剖析 篇8

病毒入侵计算机后, 会想方设法获取系统的运行权, 不然的话, 病毒将失去活力, 变成硬盘上的一个垃圾文件。下面, 我们对几个典型病毒进行分析, 看它们是如何获取系统的运行权。

1、"红色代码"病毒

"红色代码"病毒采用了一种叫做"缓存区溢出"的黑客技术, 利用网络上使用微软IIS系统的服务器来进行病毒的传播。这个蠕虫病毒使用服务器的80端口, 而这个端口正是Web服务器与浏览器进行信息交流的渠道。"红色代码"病毒能够破坏Windows 2000服务器安全体系, 更改系统设置, 修改Windows文件并放置特洛伊木马程序, 最终导致被感染的计算机系统后门大开。

"红色代码"病毒入侵系统后, 将Cmd.exe复制到C:盘及D:盘的目录中, 其文件名为root.exe:inetpubscriptsprogram filescommon filessystemmsadc, 然后, 病毒开始扫描网络, 寻找其它可被攻击的系统, 这一过程在英文Windows 2000系统中将持续24小时, 而在运行中文Windows 2000系统中将持续48小时。接着, 病毒程序在C:盘和D:盘的根目录下生成一个大小为8192字节的Explorer.exe木马程序, 然后重启系统, 执行木马程序。这个木马程序首先运行Windows的Explorer.exe程序, 然后通过修改系统注册表的以下键值, 使Windows丧失对系统文件的保护能力:

HKEY＿LOCAL＿MACHINESOFTWAREMicrosoftWindowsN TCurrentVersionWinlogonSFCDisable=0xFFFFFF9D, 该键值的默认值为0。

修改之后, 木马程序通过修改系统注册表以下键值, 创建两个虚拟IIS目录C和D, 分别映射到系统的C:盘和D:盘。

HKEY＿LOCAL＿MACHINESYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots这些虚拟目录被赋予读写及执行的权限, 这样木马程序通过IIS向所有黑客提供了对被感染服务器C:盘和D:盘的完全控制能力。

2、Win32.Troj.ADNavihelper (广告木马)

该病毒属于广告木马, 一般会捆绑在正常软件中。当用户运行捆绑有该病毒的文件时, 会释放出该文件。病毒通过浏览器帮助对象 (Browser Help Object, 简称BHO) , 注入到IE浏览器中, 然后通过SQL查询, 强行打开指定网页。这样, 浏览器不时地打开广告窗口, 如:"女生宿舍"或"青涩宝贝"等, 给用户使用浏览器带来不便。

"广告木马"入侵系统后

1) 、将自身存放在如下路径中:

%system%Navihelper.dll

2) 、添加如下注册表键值

HKEY＿CURRENT＿USERAppID{13FACA62-5FC4-4817-9175-9C8D00975916}

HKEY＿CURRENT＿USERAppIDNaviHelper.DLL

HKEY＿CURRENT＿USERNaviHelper.NaviHelperObj.1

HKEY＿CURRENT＿USERNaviHelper.NaviHelperObj

HKEY＿CURRENT＿USERCLSID{3E422F49-1566-40D3-B43D-077EF739AC32}

这些键值用于注册BHO, 使得每次开启IE浏览器时都会加载该广告程序。

3) 、从网上下载http://bar.×××××8.com/host.dat到本地的%system%host.dat

4) 、host.dat文件为SQL数据库, 包含了全部要显示的网页地址, 包括以下网址:

http://www.qu123.com/aoyu1.htmlhttp://baby.aoe88.com/ad html

3、冲击波病毒

计算机被"冲击波"病毒感染后, 会产生下列现象:系统资源被大量占用, 有时会弹出RPC服务终止的对话框, 并且系统反复重启, 不能收发邮件, 不能正常复制文件, 无法正常浏览网页, DNS和IIS服务遭到非法拒绝等。下面是弹出RPC服务终止的对话框的现象:

"冲击波"入侵系统后:

1) 、将自身复制到window目录下, 并命名为msblast.exe。

2) 、病毒运行时会在系统中建立一个名为"BILLY"的互斥量, 目的是保证在内存中只有一份病毒体, 避免被用户发现。

3) 、病毒运行时会在内存中创建一个名为msblast.exe的进程, 该进程就是活的病毒体。

4) 、病毒会修改注册表, 在HKEY＿LOCAL＿MA-CHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加以下键值:"windows auto update"="msblast.exe", 以便每次系统启动时, 病毒都会运行。

5) 、病毒每20秒检测一次网络状态, 当网络可用时, 病毒会在本地的UDP/69端口上建立一个tftp服务器, 并启动一个攻击传播线程, 不断地随机生成攻击地址进行攻击, 另外该病毒攻击时, 会首先搜索子网的IP地址, 以便就近攻击。

6) 、当病毒扫描到计算机后, 就会向目标计算机的TCP/135端口发送攻击数据。

7) 、当病毒攻击成功后, 便打开目标计算机的TCP/4444端口作为后门, 并绑定cmd.exe, 然后蠕虫会连接到这个端口, 发送tftp命令, 回连到发起进攻的主机, 将msblast.exe传到目标计算机上并运行。

4、He4Hook

Windows rootkit就是Windows系统中的rootkit, 是一种程序或程序集, 其用途是秘密控制被入侵的计算机的行为。它经常用来隐藏一个后门程序以及其它类似工具程序, 使这些工具程序能在指定计算机中非法存在。当用户查询计算机的当前状况时, 它通过隐藏和这些工具相关的所有信息来欺骗用户, 使用户相信计算机未受到侵害。按照运行时的环境不同, Windows rootki分为两类:内核模式rootkit和用户模式rootkit。内核模式rootkit驻留在内核态中, 以内核驱动程序的方式存在于操作系统中;用户模式rootkit则运行在权限较低的用户态中。

He4Hook是一个内核模式Windows rootkit, 可运行于Windows NT4.0、Windows2000中。在www.rootkit.com网站中, 有它的完整源代码。He4Hook在技术上很先进, 而且也比较稳定。它的执行文件主要包括两个, He4HookInv.sys和He4HookControl exe。其中, He4HookInv.sys是内核模式驱动程序, He4HookControl.exe是用于和He4HookInv.sys进行通信的控制台程序。它的主要特点是使用SystemLoadAndCallImage技术而不是使用服务控制管理器 (SCM) 来装载驱动He4HookInv.sys, 并提供了两种文件系统挂钩方法, 一种使用常规的挂钩系统服务地址表技术, 另一种则使用很少见的挂钩文件系统驱动程序的技术, 它可以隐藏或保护某些目录, 受保护的目录在应用程序中无法访问。

5、冰河木马

冰河由两个程序组成:G＿server.exe (服务端程序, 即木马) 和G＿client.exe (控制端程序) , 它的特性有:

1) 自动跟踪目标机屏幕变化, 同时可以完全模拟键盘及鼠标输入。

2) 记录各种口令信息, 包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息, 记录击键输入。

3) 获取系统信息, 包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。

4) 限制系统功能, 包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。

5) 远程文件操作, 包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件等多项文件操作功能。

6) 注册表操作, 包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。

7) 发送信息, 以四种常用图标向被控端发送简短信息。

8) 点对点通讯, 以聊天室形式同被控端进行在线交谈。

9) 邮件功能, 自动往设定的电子邮箱发送系统信息。

参考文献

[1]天缘, 安全宝典--病毒及攻击防御手册, http://www.yesky.com/SoftChannel/72356682675519488/20040729/1836659.shtml, 2004-7

[2]Microsoft Security Bulletin (MS00-052) .http://www.microsoft.com/technet/security/bulletin/MS00-052.asp, 2000-7-28.

论计算机木马病毒的分析与防治 篇9

1 木马病毒的起源

“木马”是“特洛伊木马”的简称, 译自Trojan horse。Trojan horse源于一个古希腊神话故事:传说希腊人围攻特洛伊城, 久久不能得手, 后来想出了一个木马计, 让士兵藏匿于巨大的木马中, 大部队假装撤退而将木马摈弃于特洛伊城, 让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕时从木马中爬出来, 与城外的部队里应外合而攻下了特洛伊城。

而计算机网络中的木马 (Trojan) , 是指隐藏在正常程序中的一段具有特殊功能的代码, 它实质上也是一种远程控制软件, 但它和常规远程控制软件的本质区别:木马是未经用户授权, 通过网络攻击或欺骗手段安装到目标计算机中, 而常规远程控制软件是用户有意安装的。

2 病毒的特点、原理、隐藏和加载

2.1 木马病毒的特点

一个典型的木马病毒通常具有以下四个特点:有效性、隐蔽性、顽固性和易植入性。

2.1.1 有效性

有效性就是指入侵的木马能够与其控制端建立某种有效联系, 从而能够充分控制目标机器并窃取其中的某些信息。

2.1.2 隐蔽性

木马病毒必须有能力长期潜伏于目标机器中而不被发现, 一个隐蔽性差的木马往往会很容易暴露自己, 进而被杀毒, 这样这类容易暴露自己的木马变得毫无价值。

2.1.3 顽固性

顽固性是指有效清除木马病毒的难易程度。若一个木马在检查出来之后, 仍然无法将其一次性有效清除, 那么该木马病毒就具有较强的顽固性。

2.1.4 易植入性

任何木马病毒必须首先能够进入 (植入) 目标机器, 因此易植入性就成为木马病毒有效性的先决条件。木马病毒植入技术目前主要分为3种:伪装欺骗、利用系统漏洞和入侵后直接植入, 其中, 欺骗性是木马病毒最常见的植入手段。

2.2 木马病毒的原理

木马是一类特殊的计算机程序, 其作用是在一台计算机上监控被植入木马的计算机的情况。“木马”程序一般分为客户端 (Client) 和服务器端 (Server) , 服务器端程序是控制者传到目标计算机的部分, 骗取用户执行后, 便植入计算机, 作为响应程序。客户端是用来控制目标主机的部分, 安装在控制者的计算机, 它的作用是连接木马服务器端程序, 监视或控制远程计算机。

典型的木马工作原理是:当木马服务器端在目标计算机上被执行后, 木马打开一个默认的端口进行监听, 当木马客户机向服务器端提出连接请求, 木马服务器上的相应程序就会自动运行来应答木马客户机的请求, 木马服务器端程序与木马客户端建立连接后, 由客户端发出指令, 服务器在计算机中执行这些指令, 并将数据传送到客户端, 以达到控制主机的目的。

2.3 木马病毒的隐藏技术

木马的隐蔽性是木马能否长期存活的关键, 为了达到隐蔽目的, 木马开发者总是采用各种先进技术来实现木马的隐藏。木马病毒的主要隐蔽技术包括:伪装、进程隐藏、DLL技术等。

2.3.1 伪装隐藏

包括文件伪装和进程伪装。前者除了将文件属性改为隐藏之外, 大多通过采用类似于系统文件的文件名来隐蔽自己;后者则是利用用户对系统了解的不足, 将自己的进程名设为与系统进程类似而达到隐藏目的。

2.3.2 进程隐藏

术马病毒进程是它驻留在系统中的最好证据, 若能够有效隐藏自己的进程, 显然将大大提高木马病毒的隐蔽性。

2.3.3 DLL技术

采用DLL技术实现木马的隐蔽性, 主要通过以下两种途径:DLL陷阱和DLL注入。DLL陷阱技术是一种针对DLL的高级编程技术, 用一个精心设计的DLL替换已知的系统DLL或嵌入其内部, 并对所有的函数调用进行过滤转发。

2.4 木马病毒的加载

当木马病毒成功植入目标机后, 就必须通过某种加载技术来运行。常见的木马病毒加载技术主要包括:系统启动自动加载、文件关联和文件劫持等。

2.4.1 系统启动自动加载

这是最常用的木马自动加载方法。木马病毒通过将自己拷贝到启动组, 或在win.ini、system.ini和注册表中添加相应的启动信息而实现在系统启动时自动加载。这种加载方式简单有效, 但隐蔽性差。

2.4.2 文件关联

通过修改注册表来完成木马的加载。它不直接修改注册表中的启动键, 而将其与特定的文件类型相关联, 如与文本文件、声音文件或图像文件相关联, 当用户打开这种类型的文件时, 木马病毒就会被自动加载。

2.4.3 文件劫持

通过替换或修改系统文件来完成木马的加载。木马病毒被植入到目标机器后, 首先对某个系统文件进行替换或修改, 使得该系统文件获得访问权时, 木马病毒首先执行, 然后再将控制权交还给相应的系统文件。采用这种方式加载木马不需要修改注册表, 可以有效地躲过注册表扫描型反术马软件的查杀, 隐蔽性强。

3 木马病毒的防治办法

木马的查杀, 可以采用手动和自动两种方式。最简单的方式是安装杀毒软件, 目前很多杀毒软件, 比如瑞星、金山毒霸、安全卫士、卡巴斯基、江民杀毒软件等能删除网络中猖獗的木马。但杀毒软件的升级通常滞后于新木马的出现, 因此, 学会手动杀毒很有必要。

3.1 检查注册表

在注册表中, 用regedit对注册表进行编辑, 先在”HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrent VersionRun”下

找到”木马”程序的文件名, 再在整个注册表中搜索并替换掉”木马”程序, 接着到电脑中找到木马文件的藏身地将其彻底删除。

3.2 检查系统配置文件

检查win.ini文件。在“WINDOWS”下面, 正常情况下, “RUN=”和“load=”的等号后面什么都没有, 如果发现后面跟着不熟悉的启动程序, 那个程序就是木马程序, 杀毒方法:把“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”。

检查system.ini文件。在“BOOT”下面有个“shell=文件名”, 正确的文件名应该是“explorer.exe”, 如果是“shell=explorer.exe程序名”, 那么后面跟着的那个程序也是木马程序。杀毒方法:将[BOOT]下面的“shell=“木马”文件”, 更改为:“shell=explorer.exe”, 然后再在硬盘上找到这个程序进行删除。

3.3 MS-DOS方式杀毒

有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrent VersionRun”下的“木马”键值删除就行了, 因为有的“木马”如:Blade Runner木马, 如果你删除它, “木马”会立即自动加上, 你需要的是记下“木马”的名字与目录, 然后退回到MS-DOS方式下, 找到此“木马”文件并将其彻底删除掉。

4 防范木马病毒入侵的办法

根据上文所述, 提出以下几种防范木马病毒入侵的办法。

1) 禁用文件系统对象File System Object。

2) 卸载Windows Scripting Host。

3) 删除VBS, VBE, JS, JSE文件后缀名与应用程序的映射。

4) 在Windows目录中, 删除或重命名Wscript.exe文件。

5) 将IE菜单栏里“Internet选项”中安全选项卡里的“Active X控件及插件”的全部设为禁用。

6) 禁用OE的自动收发邮件功能。

7) 由于木马经常利用文件扩展名作文章, 所以要防范它就不要隐藏系统中已知文件类型的扩展名, 显示所有文件类型的扩展名称。

8) 将系统的网络连接的安全级别设置为“中等”以上, 它可以在一定程度上预防某些有害的Java程序或Active X组件对计算机的侵害。

9) 安装杀毒软件, 并及时升级。同时还必须定时给系统打补丁。

5 结束语

木马的目的是“偷窃”性的远程控制, 而木马病毒本身又在不断升级其智能性和多功能性, 正进一步扩大其对计算机和网络安全的危害性, 所以把木马病毒作为课题做较深入的研究是非常实用且有价值的, 对以后的工作和学习生活都将有莫大的帮助。

摘要：在网络信息系统中, 木马技术已成为黑客攻击或不法分子入侵或控制他人网络或计算机系统的重要工具。系统地分析木马病毒的起源和种类、工作原理、木马种植的技巧、木马自启动以及隐藏的方法, 并对木马攻击提出了相应的解决方法和防范办法。

关键词：特洛伊木马,木马病毒,计算机病毒,木马防治

参考文献

[1]辜川毅.计算机网络病毒的危害[M].机械工业出版社, 2006.

[2]林柏钢.网络与信息安全[M].机械工业出版社, 2004.

[3]冯宝坤, 陈子鸿.黑客革命[M].河北科学技术出版社, 2005.

木马病毒 篇10

一、病毒进程隐藏三法

当我们确认系统中存在病毒, 但是通过“任务管理器”查看系统中的进程时又找不出异样的进程, 这说明病毒采用了一些隐藏措施, 总结出来有以下三方面。

(一) 以假乱真

系统中的正常进程有svchost.exe, explorer.exe, iexplore.exe, winlogon.exe等, 可能会发现系统中存在这样的进程svch0st.exe, explore.exe, iexplorer.exe, winlogin.exe。对比一下, 发现区别了么?这是病毒经常使用的伎俩, 目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0, l改为i, i改为j, 然后成为自己的进程名, 仅仅一字之差, 意义却完全不同。又或者多一个字母或少一个字母, 例如explorer.exe和iexplore.exe本来就容易搞混, 再出现个iexplorer.exe就更加混乱了。如果用户不仔细, 一般就忽略了, 病毒的进程就逃过了一劫。

(二) 偷梁换柱

如果用户比较心细, 那么上面这招就没用了, 病毒会被就地正法。于是病毒也学聪明了, 懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe, 和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也, 其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下 (Windows2000则是C:WINNTsystem32目录) , 如果病毒将自身复制到“C:WINDOWS”中, 并改名为svchost.exe, 运行后, 我们在“任务管理器”中看到的也是svchost.exe, 和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?

(三) 借尸还魂

除了上文中的两种方法外, 病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术, 将病毒运行所需的dll文件插入正常的系统进程中, 表面上看无任何可疑情况, 实质上系统进程已经被病毒控制了, 除非我们借助专业的进程检测工具, 否则要想发现隐藏在其中的病毒是很困难的。

二、系统进程解惑

上文中提到了很多系统进程, 这些系统进程到底有何作用, 其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解, 相信在熟知这些系统进程后, 就能成功破解病毒的“以假乱真”和“偷梁换柱”了。

svchost.exe常被病毒冒充的进程名有svch0st.exe, schvost.exe, scvhost.exe。随着Windows系统服务不断增多, 为了节省系统资源, 微软把很多服务做成共享方式, 交由svchost.exe进程来启动。而系统服务是以动态链接库 (DLL) 形式实现的, 它们把可执行程序指向scvhost, 由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→“服务”, 双击其中“Clip Book”服务, 在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务, 可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe-k Local Service”, 而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe-k netsvcs”。正是通过这种调用, 可以省下不少系统资源, 因此系统中出现多个svchost.exe, 其实只是系统的服务而已。

在Windows2000系统中一般存在2个svchost.exe进程, 一个是RPCSS (Remote Procedure Call) 服务进程, 另外一个则是由很多服务共享的一个svchost.exe。而在Windows XP中, 则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个, 就要小心了, 很可能是病毒假冒的, 检测方法也很简单, 使用一些进程管理工具, 例如Windows优化大师的进程管理功能, 查看svchost.exe的可执行文件路径, 如果在“C:WINDOWSsystem32”目录外, 那么就可以判定是病毒了。explorer.exe常被病毒冒充的进程名有iexplorer.exe, expiorer.exe, explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束, 那么包括任务栏、桌面以及打开的文件都会统统消失, 单击“任务管理器”→“文件”→“新建任务”, 输入“explorer.exe”后, 消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。explorer exe进程默认是和系统一起启动的, 其对应可执行文件的路径为“C:Windows”目录, 除此之外则为病毒。iexplore.exe常被病毒冒充的进程名iexplorer.exe, iexploer.exeiexplorer exe进程和上文中的explorer.exe进程名很相像, 因此比较容易搞混, 其实iexplorer.exe是Microsoft Internet Explorer所产生的进程, 也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了, iexplorer.exe进程名的开头为“ie”, 就是IE浏览器的意思。iexplore exe进程对应的可执行程序位于“C:Program Files Internet Explorer”目录中, 存在于其他目录的则为病毒, 除非将该文件夹进行转移。此外, 有时我们会发现没有打开IE浏览器的情况下系统中仍然存在iexplore.exe进程, 这要分两种情况:一是病毒假冒iexplore.exe进程名, 二是病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀。

rundll32.exe常被病毒冒充的进程名有rundl132.exe和rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数, 系统中存在多少个Rundll32.exe进程, 就表示Rundll32.exe启动了多少个DLL文件。其实我们经常用到rundll32.exe, 它可以控制系统中的一些dll文件。举个例子, 在“命令提示符”中输入“rundll32exe user32.dll, Lock Work Station”, 回车后, 系统就会快速切换到登录界面。rundll32.exe的路径为“C:Windows system32”, 如果在别的目录则可以判定是病毒。

数据挖掘在木马病毒检测中的应用 篇11

1 木马病毒检测中的计算机数据挖掘

木马病毒检测中的计算机数据挖掘, 采取全面数据分析的方式, 借助归纳、归类的方法, 总结计算机网络中潜在的木马病毒程序, 挖掘出目标数据, 表达数据挖掘在木马病毒中的检测结果。计算机数据挖掘在木马病毒检测中的应用, 提高了计算机网络的运行质量, 降低了攻击的频率。

2 分析数据挖掘在木马病毒检测中的应用

根据计算机中的木马病毒, 分析数据挖掘的算法、建模和技术应用, 保护计算机网络系统, 有效抵御木马病毒的干扰, 一方面提高网络的安全性能, 另一方面体现计算机数据挖掘在木马病毒检测中的优势。

2.1 计算机数据挖掘在木马病毒检测中的算法

计算机数据挖掘在木马病毒检测中的算法, 主要表现为三种, 分别是分类分析、聚类分析和序列模式分析。

分类分析按照原本设定好的路径, 分析出大量潜在木马病毒的数据, 具有一定的规则性, 能够准确的描述木马病毒。分析分析根据用户的检测需求, 构建正常、异常的数据领域, 一般情况下是以数据库的形势存在的, 便于实现自主的检测, 常见的算法有神经网络。

聚类分析偏重于未知数据, 根据数据将数据分类, 同属性或属性类型的聚集成一组。聚类分析中包含的算法较多, 如:模糊算法、分解法等, 而且聚类分析与分类分析保持互逆的关系, 找出检测木马病毒的规律。

序列模式利用了木马病毒数据的关联性, 找出检测数据在序列上的前后联系, 能够挖掘到木马病毒的多类信息。序列模式非常注重数据挖掘的应用, 挖掘出病毒木马数据中的信息, 便于检测攻击信息。

2.2 计算机数据挖掘在木马病毒检测中的建模

建模是计算机数据挖掘在木马病毒检测中的核心手段, 也是数据挖掘应用的重点。计算机数据挖掘技术, 在木马病毒检测中通过建模的方式, 实现异常与通用的双重检测, 提高木马病毒检测的准确度。

首先是建模的设计和构建部分, 计算机数据挖掘技术中, 深入研究了木马病毒的系统数据, 准确的发现木马病毒中的序列规则, 统计木马病毒的特征、特性。设计与构建的过程中, 需要体现出数据挖掘技术在检测中的各项步骤, 必要时还要进行数据的进制转换, 转换中以ASC Ⅱ码为主, 建模设计中, 记录了木马病毒的检测数据, 满足计算机用户的检测需求, 待建模设计完成后, 其可在木马病毒检测中重复应用, 逐步优化被检测的数据, 得出准确的检测信息。

然后是计算机数据挖掘的异常检测部分, 捕捉到木马病毒的信息, 模型中提供人工编程的解决方法, 其可有效取代程序计算, 快速挖掘出木马病毒的信息。异常检测是数据挖掘编程中的重要部分, 识别木马病毒的各项特征, 在关联算法的影响下, 构建频繁模式, 汇总了算法、事件, 引导数据挖掘技术在木马病毒中的检测路径。

最后是木马病毒检测建模的审计和聚集。例如:计算机数据挖掘建模运行中, 针对木马病毒攻击的对象实行保护, 被保护的对象, 大多是程序、网络等, 当建模检测到审计和实际有差别时, 审计模块会主动跟踪被保护对象的数据模式, 采取合并的方式, 植入正常的变化规则, 检测目标的具体变化。

2.3 木马病毒检测中的计算机数据挖掘技术

以计算机网络中的分布式入侵检测系统 (以下简称检测系统) 为分析对象, 表明数据挖掘在木马病毒检测中的实践应用。

(1) 获取含有木马病毒网络的数据, 检测系统的协议是IEEE802.3, 不限制接收区域, 按照以太网卡的工作方式, 当网络接收数据包时, 检测系统发挥检测作用, 检测IP、端口等信息, 既可以检测接收的数据, 也可以积累数据源, 为数据挖掘提供有效的信息。

(2) 网关主机对其余主机的管理。因为计算机网络中的各个主机, 始终保持独立工作的状态, 所以当计算机网络进入互相通信的状态时, 检测系统会在对等节点之间发挥作用。例如:网段内木马病毒中的恶意代码, 检测系统需要判断代码是否潜在攻击性, 准确检测到程序中写入的恶意代码, 由此才能在网络激活木马病毒之前, 识别出潜在的风险。

3 基于计算机数据挖掘的木马病毒防御

计算机数据挖掘技术检测到网络中的木马病毒后, 即会采取防护的措施, 数据挖掘的防御, 是检测过程到结论的表达, 其可分为定义问题、准备数据、数据挖掘和表示评论四个模块, 在木马病毒检测中发挥防御的作用。

数据挖掘在木马病毒中的防御应用, 体现了检测的结果, 全面保护计算机网络。例如:某计算机网络运营过程中, 受到木马病毒的影响, 引发安全性问题, 利用计算机数据挖掘技术, 检测被攻击的网络段, 以便高效的防御木马病毒。数据挖掘在防御的过程中, 截获传送到网络段的程序, 先检测数据源信息, 再安排预处理工作, 做好木马病毒防御的基础工作, 有序实现防御作用。

4 结束语

计算机数据挖掘在木马病毒检测中占有重要地位, 同时体现了防御方面的应用。计算机网络的发展速度越来越快, 广泛应用到各行各业中, 必须强化计算机数据挖掘的应用, 才能满足木马病毒检测的需求, 避免增加计算机网络的发展压力。计算机网络在木马病毒的检测中, 推进计算机数据挖掘的应用, 改善网络运营的状态。

摘要：计算机网络处于迅速发展的状态, 随着计算机网络的发展, 其在应用方面面临着木马病毒的干扰, 较容易引起一系列的网络故障。木马病毒是计算机中最常见的攻击, 为了提高网络的运行能力, 提出计算机数据挖掘技术, 以此来检测计算机网络中的木马病毒。因此, 本文通过对计算机数据挖掘进行研究, 分析其在木马病毒检测中的应用。

关键词：计算机,数据挖掘,木马病毒,检测

参考文献

[1]陈鑫.基于数据挖掘的木马病毒检测技术研究[D].福建师范大学, 2013.

[2]李智勇.数据挖掘在计算机网络病毒防御中的应用探究[J].电子测试, 2014, 12:46-48.

[3]吕睿.数据挖掘技术在计算机网络病毒防御中的应用分析[J].电子测试, 2014, 23:132-134.