木马分析

木马分析（共12篇）

木马分析 篇1

摘要：本文介绍远端控制工具特洛伊木马, 并用DELPHI编写的木马程序阐述木马的工作原理。在此基础上介绍了发现和清除木马的基本方法。

关键词：木马,分析,识别

1 什么是特洛伊木马

特洛伊木马 (以下简称木马) , 英文叫做“Troja n house”, 其名称取自希腊神话的特洛伊木马记。木马就是指那些内部包含为完成特殊任务而编制的代码程序, 这些特殊功能处于隐藏状态, 执行时不为人发觉。特洛伊木马是一种基于远程控制的工具, 类似于远端管理软件, 其特点是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现, 会采用多种手段隐藏木马;非授权性是指一旦控制端与服务端建立连接后, 控制端将窃取服务端的资料及大部分操作权限, 包括修改文件、修改注册表、重启或关闭服务端操作系统、断开服务端网络连接、控制服务端的鼠标及键盘、监视服务端桌面操作、查看服务端进程等。这些权限并不是服务端赋予的, 而是通过木马程序窃取的。

2 木马的工作原理

完整的木马系统由硬件和软件二部分组成。硬件部分是建立木马连接所必须的硬件实体, 包括控制端、服务端和数据传输的网络载体 (Internet/Intranet) ;软件部分是实现远程控制所必须的较件程序, 包括控制端程序和木马程序。利用木马窃取信息, 恶意攻击的整个过程可以分为3个部分, 下面详细介绍。

2.1 获取并传播木马

术马可以用C或C++语言编写。木马程序非常小, 一般只有3-5KB, 以便隐藏和传播。木马的传播方式主要有3种: (1) 通过E—MAIL; (2) 软件下载; (3) 依托病毒传播。2001年4月赛门铁克防病毒研究中心发现了植人木马程序的新蠕虫病毒 (W32 BACTRANS 1 3312@MM) 。该病毒一旦被执行, 木马程序就会修改注册表键值和win.ini文件。当计算机被重启时, 该蠕虫会等候5分钟, 然后利用MAPI回复所有未读邮件, 并将自己作为邮件的附件, 使用不同的名称继续传播。

2.2 运行木马

服务端用户在运行木马或捆绑了木马的程序后, 木马首先将自身拷贝到WINDOWS的系统文件夹中 (C:WINDOWS或C:WINDOWSSYSTEM目录下) , 然后在注册表启动组和非启动组中设置好木马触发条件, 这样木马的安装就完成了。以后, 当木马被触发条件激活时, 它就进人内存, 并开启事先定义的木马端口, 准备与控制端建立连接。

2.3 建立连接并控制

建立一个木马连接必须满足2个条件: (1) 服务端已安装有木马程序; (2) 控制端、服务端都要在线。初次连接时还需要知道服务端的IP地址。IP地址一般通过木马程序的信息反馈机制或扫描固定端口等方式得到。木马连接建立后, 控制端端口和木马端口之间将会有一条通道, 控制端程序利用该通道与服务端上的木马程序取得联系, 并通过木马程序对服务端进行远程控制。

3 用DELPHI编写的木马程序

下面用DELPHI编写的一个木马程序来说明木马程序的工作原理。

(1) 用DELPHI建立2个程序:客户端程序Client和服务器端程序Server;

(2) 在Client工程中建立一个窗体, 加载Win Sock控件, 并建立连接。代码如下:

procedure TForm1.Button1Click (Sender:TObject) ;//建立连接

var

ca:sockaddr_in;

hostaddr:u_long;

begin

//创建客户端的Socket

client:=socket (pf_inet, sock_stream, ipproto_ip) ;

ca.sin_family:=pf_inet;

ca.sin_port:=htons (strtoint (trim (edit2.text) ) ) ;

hostaddr:=inet_addr (pchar (trim (edit1.text) ) ) ;

if (hostaddr=-1) then//判断IP地址是否合法

begin

messagebox (handle, 'IP地址错误', '错误', mb_ok) ;exit;

end

else

ca.sin_addr.s_addr:=hostaddr;

if connect (client, ca, sizeof (ca) ) <>0 then//连接服务器

begin

Application.Message Box ('建立连接失败!!', '错误', mb_ok) ;

exit;

end

else

Application.Message Box ('建立连接成功', '错误', mb_ok) ;

end;

(3) 建立连接后就可以处理事先定义好的事件了;

(4) 在服务器端Server工程中也建立一个窗体, 窗体的visible属性设置为False.加载Win Sock控件, 称为Win—Server, 协议选择TCP。在Form_Load事件中加人以下代码:

WSAStartup ($0101, awsadata) ;//初始化WINSOCK, 要求最低版本是2.0

server:=socket (pf_inet, sock_stream, ipproto_ip) ;//建立Socket

ip) ;//建立Socket

if server=invalid_socket thenbegin

//创建接收Socket错误!;exit;

end;

(5) 准备应答客户端程序的请求连接, 监听指定的端口, 代码如下:

ca.sin_family:=pf_inet;

ca.sin_port:=htons (810) ;//端口

ca.sin_addr.s_addr:=inaddr_any;

if bind (server, ca, sizeof (ca) ) =socket_error thenbegin

closesocket (server) ;//绑定接收端SOCKET错误!请更改接收端口

exit;

end

else

listen (server, 5) ;//绑定接收端SOCKET成功!//执行指定的事件

end.

(6) 这样在客户端程序按下连接按钮后, 服务器端程序的监听事件即被触发, 执行以上代码。如果不出意外, 连接将被建立起来;

以上是一个最基本的特洛伊木马程序。只要机器运行了服务器端程序, 别人就可以在千里之外控制这台计算机了。

4 发现和清除木马

杀毒软件主要是针对已知病毒设计的, 而新病毒却层出不穷, 特别是在有些特洛伊木马病毒刚出现时, 由于杀毒软件没有建立病毒库, 大都无能为力。因此, 学习一些手工检查特洛伊木马的方法是很有必要的。下面简单介绍一种在Win XP系统下手工发现和清除木马的方法。

TCP服务程序都需要listen在某个端端口 (port) 上, 客户端程序才能与其建立连接, 进行数据传输。可以用Winxp的命令netstat—an查看所有的活动连接, 典型输出如下:

C:Documents and Settingsxiaoma>netstat-an

Active Connections

Proto Local Address Foreign Address State

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:443 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1000 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING

TCP 0.0.0.0:1433 0.0.0.0:0 LISTENING

TCP 0.0.0.0:3306 0.0.0.0:0 LISTENING

TCP 127.0.0.1:1031 0.0.0.0:0 LISTENING

TCP 172.16.0.54:139 0.0.0.0:0 LISTENING

TCP 172.16.0.54:1069 121.14.101.163:8000CLOSE_WAIT

T C P 172.16.0.5 4:1398 172.16.0.6:80CLOSE_WAIT

TCP 172.16.0.54:1625 121.14.11.200:80CLOSE_WAIT

TCP 172.16.0.54:4687 172.16.0.24:8000ESTABLISHED

其中“Local Address”栏即本机IP地址, 冒号后为port号。正常情况下没有安装其它TCP服务时, 上述输出只有80, 135, 443, 445等几个port处于listen状态;若未安装其它TCP服务程序, 但在netstat—an的输出中发现有别的port处于listen状态则该机器已经被感染了木马。这里需要说明2点: (1) “Local Address”栏中IP地址若为127.0.0.4则无害, 而IP地址若为59.34.5.4且port不是熟悉的则要引起注意了。 (2) 有的木马比较隐蔽, 平时是看不到它, 只有当机器接入Internet时它才处于listen状态在上网过程中要下载软件, 收发信件, 网上聊天等必然打开一些端口, 下面是一些常用的端口:

(1) 1~1024之间的端口:这些是保留端口, 是某些对外通信程序专用的, 如FTP使用21, SMTP使用25, POP3使用110等。木马很少使用这些保留端口。

(2) 1025以上的连续端口:在上网浏览时, 浏览器会打开多个连续的端口将文字、图片下载到本地硬盘。这些端口都是1025以上的连续端口。

(3) 4000端口是OICQ的通信端口, 6667端口是IRC的通信端口。

上述的端口基本可以排除在外。若发现还有其它端口打开, 尤其是数值比较大的端口, 就要怀疑是否感染了木马。当然如果木马有定制端口的功能, 则任何端口都有可能是木马端口。如果用netstat—an发现了异常 (有时在使用系统时也能感到异常) , 应该从以下8个方面检查:

(1) WIN.INI:用文本方式打开WINDOWS目录下的配置文件win.ini.在『windows]字段中有启动命令“load=”和“n.n=”, 一般情况下“=”右边是空白的, 否则就有可能是木马。

(2) SYSTEM.INI:用文本方式打开WINDOWS目录下的配置文件system ini:若发现字段【386Enh】, 【mci】和【drivers32】中有命令行, 则需要检查其中是否有木马的启动命令。此外, [BOOT]字段下面有条命令“shell=explorer.exe”, 如果是“shell=explorer.exe程序名”, 则后面跟着的那个程序就是“术马”程序。

(3) Autoexec.bat和Config.sys:系统盘根目录下的这2个文件也可以启动木马。但这种加载方式需要控制端用户与服务端建立连接后, 将已加入木马启动命令的同名文件上传到服务端覆盖这二个文件。

(4) INI:即应用程序的启动配置文件。控制端利用这些文件能启动程序的特点, 将制作好的带有木马启动命令的同名文件上传到服务端覆盖相应文件, 就可以启动术马。

(5) 注册表1:打开HKEY—LOCAL MACHINE, software, MicrosoftWindows current Version, 下5个以Run和Run—Services开头的主键, 在其中寻找可能是启动木马的键值。

(6) 注册表2:打开HKEY—CLASSES—ROOT文件类型shell%pencommand主键。查看其键值。如国产木马得此类信息。这些信息可以从一定程度上帮助网站建设者分析人们在网络上的行为习惯。传播者通过了解用户, 从而达到从用户角度出发, 提供更优质的服务的目的, 不论何种形式的调查或信息收集都要尊重人们的合法权益, 保护大众的隐私不受侵犯, 保障受众的信息安全。

(7) 捆绑文件:实现该触发条件首先要控制端和服务端已通过木马建立连接, 接着控制端用户用工具软件将木马文件和某个应用程序捆绑在一起, 然后上传到服务端覆盖原文件。这样即使木马被删除了, 只要运行捆绑着木马的应用程序, 术马就又会重新安装。

(8) 启动菜单:在“开始/程序/启动”选项下也可能有木马的触发条件。

如果在以上8项检查中发现有可疑程序, 则将其连同该注册表项一同删除, 再重启系统, 木马就会清除。这里还需要几点说明:

(1) 木马正在运行时, 无法删除其程序。须停止相关进程, 重新启动, 进入DOS方式将其删除。

(2) 有的木马能够自动检查它在注册表中的自启动项。如果在木马处于活动时删除该项, 它可以自动恢复。此时只能重启进入DOS方式, 将其程序删除后再进入Winxp下, 将其注册表中的自启动项剔除 (操作顺序不能错) 。

(3) 在删除和修改注册表前一定要先做备份 (注册表的备份与恢复可以用regedit中的“导出注册表”和“引入注册表”来完成) 。

木马分析 篇2

病毒resvr.exe在用户的电脑上创建监听绑定本地IP=127.0.0.1的套接字端口号为40118，将用户的电脑变成了病毒作者能控制的service服务端。

病毒resvr.exe创建的本地监听套接字成功之后，等待接收病毒作者client方发来的控制命令CmdMsg，对用户的电脑进行恶意的操作。

病毒作者对用户电脑的远程控制操作有9组命令并且对用户电脑的控制操作也比较多，后面会详细的分析每一种远程控制命令的操作。对于病毒作者client端发来的控制命令的recvCmdMsgBuffer的数据格式为“dwCmdMsg+数据内容”即接受到的数据的前8个字节是病毒作者控制用户电脑的具体的命令类型也就是下面的9组命令类型。

第1组dwCmdMsg=0x3EB的控制操作：

很简单，向病毒作者的client端发送控制操作结果的反馈信息例如21 43 65 87 (4个字节)的数据。

第2组dwCmdMsg=0x450的控制操作：

根据病毒作者client端发来的数据创建C:Program FilesCommon FilesMicrosoft SharedIndex.bat文件，系统本地提权瞬间关闭用户的计算机进行掩饰。

第3组dwCmdMsg=0x451的控制操作：

根据病毒作者client端发来的数据创建C:Program FilesCommon FilesMicrosoft SharedIndex.bat文件，然后创建线程用于创建用户系统桌面右下角的弹窗对话框。

第4组dwCmdMsg=0x455的控制操作：

设置当前病毒进程感染用户文件的感染方式的标记 0xAABBCCDD，遍历用户电脑的所有逻辑盘里的文件进行“加密”方式的感染用户的所有文件。创建线程对用户电脑的26个软盘“ABCDEFGHIJKLMNOPQRSTUVWXYZ”里的.doc、.xls、.jpg、.rar格式的文件进行感染处理。

对用户文件的感染方式1，对用户文件的头0x400个字节进行xor异或的加密处理，

对用户文件的感染方式2，仅仅对用户的.doc、.xls、.jpg、.rar格式的文件进行感染处理。

第5组dwCmdMsg=0x453的控制操作：

创建线程用于使用DOS入侵的命令数据创建C:Program FilesCommon FilesMicrosoft SharedX.bat文件用。执行DOS入侵命令在用户的电脑上创建拥有更大权限的系统登录账户Guest。

第6组dwCmdMsg=0x458的控制操作：

创建线程用于获取当前病毒进程资源类型为RT_RCDATA且资源名称ResourceName = 0x69=105的资源数据，创建“Message.exe”文件然后运行该病毒文件Message.exe创建病毒进程。对于病毒文件Message.exe，后面详细分析。

第7组dwCmdMsg=0x7的控制操作：

对于控制命令“7”，应该比较熟悉了吧。前面的病毒分析中提到病毒母体resvr.exe感染文件产生的衍生病毒会发送命令数据“7”。具体的病毒行为是对病毒作者client端或者病毒母体resvr.exe感染文件产生的衍生病毒client端发送的“7+文件路径”中指定文件路径的.doc、.xls、.jpg、.rar格式的文件进行感染处理即对感染病毒作者或者衍生病毒指定的.doc、.xls、.jpg、.rar格式的文件进行感染。

第8组dwCmdMsg=0x452的控制操作：

向0x451中在用户桌面右下角创建的弹窗对话框投递WM_CLOSE消息，用以关闭在用户桌面右下角创建的弹窗对话框。

第9组dwCmdMsg=0x454的控制操作：

高潮东／木马专栏 篇3

大树遮天蔽日，树下小草很难见到阳光，通常情况下往往光秃秃一片，什么都不长。这是自然现象，但说也奇怪，人类社会居然也会出现类似情况。比如，大文豪，大艺术家的后代很难再有类似成绩；大资本家后代也往往难以望其项背。这种情况通通被我们称其为大树底下不长草，这样的规律自然存在，但到底是为什么？通过和儿子的接触我似乎找到了答案。

本人虽然称不上大主持人，在北京小有名气还是事实，也算一棵小白杨吧，哈哈。可我发现，小白杨底下居然也难长草。

我在电台电视台工作多年，觉得主持人这行儿还不错，看儿子也挺机灵的，就想在这方面培养他一下，但后来的很多事情让我始料不及。

儿子三四岁时，就傻小子一个。我经常带他去电台看我录节目，偶尔也出出声儿。当时他很高兴，见到大明星也不怯场。我就问他，将来想干点儿什么，儿子脆生生地说长大要当主持人！当时我这叫美，儿子，有出息！

儿子慢慢长大了，今年已经十一岁了。最近，我又带他录了两场电视节目，他的表现只能用一般来形容，甚至比不上毫无电视经验的小朋友。一场是首都经济报道6.1特别节目，我们找到几个小朋友当小主持人，以他们的视角来解读评论儿童消费的话题。比如，小朋友要过生日，家长给他一百块钱，你会怎么花？我是个自私的人，这样的机会当然要叫上儿子。没想到儿子先是不同意去，后来勉强同意却紧张得要命。是不是直播？万一答错怎么办？如果是您会怎么答？自己表现不好让老师看到是不是很丢人……凡是问题他都问到了。我虽然一再鼓励，但收效甚微。节目开录后，儿子没说几句话，始终怯生生地看我。另外一场是参加李彬主持的超级插班生，让大人和孩子一起回答孩子正在学的知识。我和儿子一组，儿子还是因为紧张成了我的手下败将。要知道，那天考的可是儿子常常得满分的数学。后来我问儿子怎么了，儿子说怕比不过我。

其实儿子还是有很多强项的，而且他的强项恰巧是我的弱项。我羽毛球不行，儿子却很好；我没什么音乐细胞，儿子电子琴马上要考六级。回想自己和爸爸也是这样，我爸老实巴交，我却能说会道。慢慢的，我明白了。孩子的潜意识里都有好胜的一面，会不自觉地和人比，但承受力又不强，所以就会比得过就比，越比越优秀；比不过就逃，越逃越远。

现在我想，今后和儿子接触中，是否应该表现得稍微弱一些，把赢的机会留给孩子，这样大树底下就会长草了？

我们害怕这个世界吗？

第一次见到那个孩子，他正在楼门口的台阶上犹豫，奶奶要牵着他的手下楼，他却一直退缩，嘴里说着“我害怕”，只肯从旁边的自行车道慢慢地走，很小心。

后来又遇到一次，不到一岁的小木正被我一手扶着，咯咯咯地站在一个大方向盘上玩开海盗船一样的把戏。那个小男孩手里拿着两朵小花和一只蒲公英走来，带他的奶奶鼓励他也去玩，可是他还是那句话，“我害怕，我害怕啊”。两岁的他对这个世界小心翼翼的态度，不象个初生的牛犊。当他说“害怕”的时候，我觉得他是很认真的。想起木木的怕与不怕。

刚生下来，给他游泳，爱哭的他一到水里就开心起来。我嘴上快乐地唱着“一天到晚游泳的鱼”，其实心里很忐忑，生怕泳圈突然泄气或者他的小脑袋一动溜到水下去。但他才不管，在水里有力地扑腾，哈哈地笑出声音来……

一直到他长到7个月的某天。放下水去不到一分钟他开始突然大哭。用小手扒住桶沿一直往上倾，好象要爬出来的样子。那次只是以为他累了，或是饿了，或是有其他的不开心。我们又试了几次，但情况好象越来越糟，以至于游泳圈一带到脖子上，这小家伙就变脸。游泳的问题似乎就要搁浅下来，我们从隔天游泳到三天一次到一周一次，到后来几乎要放弃。

直到有一天，奶奶放游泳水，因为热水烧的不够多，只放了平时的三分之二。这一次却没有听到意料之中的啼哭。

水只放到木木的胸脯处，可以站起来，他一只手抓着桶沿，一只手开始抓会喷水的小鸭子。然后，我很小心地鼓励他放开另外那只手，用两只手去玩。他往前一扑，松开手，往前走了两步，竟然回头乐了。

那一刻，我突然明白，这些日子小木的啼哭是因为害怕。突然对水的畏惧，或者是一个人漂浮在水里的感觉让他害怕游泳，而双脚着地则让他找回了安全感。

基于行为分析的木马检测 篇4

随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势。网络信息系统已经成为社会,政府,企业,学校,科研院所,军队的重要基础设施和交流的工具,其作用日趋重要。但是,出现了各种黑客攻击和网络攻击手段,而木马攻击以其隐蔽性强,攻击范围比较广,危害比较大等特点成为了最为常见的网络攻击技术之一,对网络安全造成了非常大的威胁。网络安全迫切需要有效的木马防范技术。

1 特洛伊木马概述

1.1 特洛伊木马的定义

特洛伊木马是指附着在应用程序中或者单独存在的一些恶意的程序,利用网络远程响应网络另一端的控制程序,实现对感染木马程序的计算机控制。控制者可以控制被秘密植入木马的计算机的一切动作和资源,是恶意攻击者进行窃取信息等的工具。木马程序以C/S模式为主,木马服务器的端程序在被控制的主机上运行,客户端来控制。

1.2 特洛伊木马的种类

后门型木马:这种木马在目标系统中会打开一个特定的后门以便攻击者进入此系统。后门类型主要有:Ftp Server, Proxy Server,HTTP Server, Telnet Server等。

远程控制型木马:这种木马是目前最流行的木马,由控制端和服务端两部分组成。这类木马的服务端必须得先植入目标系统并且运行,接着将控制端连接到服务端。

信息收集型木马:这种木马会记录或收集系统各种重要信息,比如获取登录口令,MSN密码,邮箱密码,也可以记录系统操作,键盘按键情况,然后发送给特定的攻击者。

系统配置修改型:这种木马会修改系统配置。比如修改注册表使磁盘共享随后关闭。

1.3 特洛伊木马的隐蔽技术

特洛伊木马的隐蔽性是指木马设计者为了防止木马程序被发现而采取的各种隐蔽手段。即使被发现,木马也会因为无法具体定位而无法清除掉。木马在被植入目标系统的运行空间中,必须以进程,线程的运行形势。在用户角度可以观察到进程,而线程是观察不到的。木马可以隐蔽自己的 运行形式来防止目标系统的用户管理员发现。比如可以在自身植入目标系统后生成DLL文件,把其主要的完成恶意操作或者通信功能代码放在DLL中,采用各种方法把DLL插入其他进程执行。这个时候插入的木马DLL以线程形式运行在其他进程中。有的木马启动后会在远程进程中创建一个线程将恶意操作代码拷贝到创建的远程线程中运行。

2 常用木马检测方法

常用的按行为特征分类的木马检测方法有:基于静态特征的木马检测方法和基于动态行为的木马检测方法。

2.1 基于静态特征的木马检测方法

木马静态特征归类如下:

(1)在目标系统中运行时进程的名称。

(2)在目标系统中生成的文件及木马原始文件的特征字符串。

(3)在目标系统中具体的启动加载方式。

(4)在目标系统中的生成文件名,文件大小及所在目录。

(5)打开的固定的TCP/UDP端口。

2.2 基于动态行为特征的木马检测

正在不断发展壮大的木马隐蔽技术使得木马在被植入的系统中越来越难以发现。基于静态特征的木马检测技术检测已知木马的各种隐蔽和变化能力已经严重不足,并且基本无法应对未知的木马。

而基于动态行为分析的木马检测方法控制木马的隐蔽,恶意操作,植入等行为的所需要的各种资源条件,可以监控木马的通信,启动的隐蔽行为和恶意操作,以及运行行为来对木马进行检测和防范的。

2.3 木马检测的趋势

现有的木马检方式略有两种:

(1)通过监控发现网络通信异常,阻断木马的网络通信。

采用这种方式的有防火墙,入侵检测,它们对通信端口和网络连接做严格的限制和严密的监控。入侵检测还能自动探测网络流量中潜在的入侵和攻击。

但是,目前有许多的木马趋向于采用无连接的网络通信协议,同时采取特殊的技术使通信端口很难被发现,有的甚至没有端口通信,于此同时又限制了通信流量,所以使用该方法已经越来越难将侧和阻断木马通信。

(2)检查木马特征码文件来判断木马。

采用检测特征码的方式有特征码静态扫描,虚拟机和实时监控。

这种方式无法检测特征码没有包含于特征库中的木马,即使是已知木马,也可以通过加壳等技术避免被检测到,使得木马服务器有机会进行与客户端的通信,带来信息邪路,系统破坏等损失。另外由于新木马及各类木马变种产生的速度非常快,特征码数量也循迅速增加,试用这种方式必然需要非常大的时间开销,使得检测效率不断下降。

为克服这些缺陷,研究人员从行为的角度考虑应对方法,即行为分析:根据程序行为特征判断其是否可疑。

3 基于行为分析的木马检测

木马入侵计算机过程有三个阶段:投放,运行和安装木马服务器,木马服务器与木马客户端的通信。

选择在木马安装阶段拦截与查杀木马。因为木马在通信阶段表现的行为主要是接受和发送数据,这些行为与许多正常网络通信程序一致,并不适合作为区分木马的行为特征。木马在安装阶段具有显著不同于一般正常程序的行为特征,容易辨别。木马行为作用的主要对象是木马程序本身,易于获取木马程序的信息和定位木马,并将其清除。也及早保护系统注册表,系统文件等不被破坏,这样避免了清除木马的同时再对这些文件进行修复。

3.1 木马在安装阶段的行为特征

木马安装有2个步骤:隐藏木马程序和木马服务器自启动设置,以便木马服务器在计算机每次开机或者重启时都自动运行。

木马行为及行为作用的对象归纳如表1所示。

3.2 API钩子技术的应用

钩子,是Windows消息处理机制的一个平台,应用程序可以在上面设置子程以监视指定窗口的某种消息,而且所监视的窗口可以是其他进程所创建的。当消息到达后,在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理Windows消息或特定事件。

钩子是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。

为了能够拦截木马,可以拦截木马上述行为表现的不同的API调用。

钩子能够作用于系统中所有的进程和线程。预先定义一个钩子函数,安装针对某个API调用的钩子,就可以在真正API调用发生前,先调用钩子函数。

3.3 木马检测框架

(1)木马行为特征库。

木马行为特征库存储了行为作用对象和关于行为描述信息,API名称。

(2)注册表保护模块。

拦截所有修改注册表的行为,同时报警。因为修改注册表的程序比较少,用户自身也很少会去修改注册表,所以当注册表发生修改时,很有可能是木马所为。

(3)系统服务保护模块。

系统服务保护模块会拦截所有程序注册系统服务的行为,一般软件是很少会去注册系统服务保护模块的。

(4)当行为对象可被木马用来实现隐藏或者自启动时,会被拦截,并报警。

整个模块如图1所示。

3.4 本木马检测方法的特点

这个检测方法能停止木马的安装,保护注册表系统文件不被破坏,同时可以在停止木马后继进行网络监控做不到的查杀木马。木马安装阶段的程序隐蔽和自启动设置实现途径有限,所以大量木马在这个阶段的行为具有非常大的相似性,甚至相同。木马的行为特征库比较稳定,变化频率较小。木马的行为如果包含于现有的行为特征库中,就会被拦截。因为发现新的隐藏和自启动设置途径有很大的技术难度,木马常常会使用已知途径中的一种或者几种,也就是说其行为特征一般是已知的,所以已被本方法成功拦截查杀。而且有些木马是隐藏通信端口和无连接的的,网络监控较难发现,却可以根据行为特征轻易检测出来。

4 结束语

木马攻击技术发展至今,木马植入方式,隐蔽技术发生了巨大变化。随着互联网的广泛应用越来越多的新木马会泛滥起来,给网络安全构成极大的威胁。基于行为分析的木马检测方法能够较容易地识破木马的各种检测对抗技术,对各种未知的木马也有比较好的防范能力,是一种较为可靠的木马检测方法。

但是随着技术的发展,木马制作者已经开始将木马技术继续发展,木马朝着功能多样化,嵌入内核级隐蔽,嵌入应用级远程控制的方向发展。木马会与病毒结合起来产生新的针对系统漏洞的复合物会以更快的传播方式对网络安全构成更大的威胁和破坏。

攻与防永远是网络安全领域中恒久不变的主题。能够深入了解木马如何展开攻击行动,对于更好地实施网络安全保障具有很好的借鉴意义。

参考文献

[1]Haykin S Neural Networks-A Comprehensive Foundation[M].机械工业出版社,2004.

[2]戴敏.基于文件静态信息的木马检测模型[J].计算工程,2003.

[3]李进,李伟.Windwos9X/NT注册表技术内幕[M].清华大学出版社,2000.

[4]Jeffery Richter.Programming Applicatiions for Microsoft Windows[M].4th ed.

木马分析 篇5

初次拿到样本KWSUpreport_感染.exe.v文件，通过使用PE工具，并不能辨别出该样本是那种感染类型，使用了一个比较直接的方法，从网上查资料，获取到了该样本的正常EXE文件的一些信息，资料表明：KWSUpreport.exe是版金山网盾程序的一个上传用户报告的程序模块，因此从网上下载了该版本的金山网盾程序，获取到了正常的KWSUpreport.exe文件，经过OD的调试以及与感染KWSUpreport.exe文件的对比，能够确定获取到的KWSUpreport.exe文件是该感染样本的正常文件，

下面使用StudPE工具查看感染KWSUpreport.exe文件与正常KWSUpreport.exe文件的不同，感染文件和正常的文件的文件头的信息不同，主要表现在：

1. 程序的入口点发生了改变

2. 整个PE文件的镜像大小改变了

注意：PE文件的区段的数量没有改变

感染文件和正常的文件的区段信息不同，主要表现在：

1. 区段的RVA发生了改变

2. 区段的大小发生了改变

注意：变化的部分主要集中在.text段即代码段

结论：初步可以判定样本文件KWSUpreport.exe的感染类型为节缝隙插入代码的感染。

二、病毒样本的具体分析

正常文件的OEP为00014F9D，感染文件的OEP为00015359.

对感染文件进行具体的分析：

==========================================================================

附上获取Kernel32的基址的函数GetKernel32Instance的分析：

==========================================================================

从重定位的代码位置拷贝到申请堆内存空间0015C010的代码，大小为720H字节的大小，如下图：

==========================================================================

附上重定位函数DoRelocateFun的分析：

==========================================================================

下面对关键函数0015C240进行具体的分析：

地址00415359处的代码的对比：

木马旋转旧时光 篇6

你1岁，我5岁。

我不喜欢你，实话。不信你问妈。

你从医院出来第一次回家，我就不进房间看你。原因很简单，你睡的是我原本的地盘，现在我被赶出来自己一个人睡了，都是因为你。

你浪费我的娱乐时间，大好时光就消磨在照顾你上，你还总是拉尿到我裤子上，还傻呵呵地笑，我极其鄙视你。

你的出现，全家从围着我转到围着你转，我感觉我被忽视了……

总结，你，我真的不喜欢。

二

你5岁，我10岁。

你很烦，很欠扁。

我写作业，你抢笔；我看偶像剧，你抢遥控器；我去玩，你死拉着我衣角要我带你一起去；我睡觉，你大清早的拖我被子叫我起床……

别忘了，你5岁，我也才10岁，我们可都是孩子，我没学会孔融让梨的精神。你抢笔，我打你手心；你抢遥控器，我关电视；你要跟我，我扒开你的手努力跑开；你吵我睡觉，我锁住你房间门不让你出来……

你很烦，很粘人。

三

你8岁，我13岁。

你很拽。是世界大战的发起人。

我们像仇人，不像姐弟。仇人相见，分外眼红。只要我们在一起，就会发生战争。我们都是真打，谁也不让谁。妈每次被我们气得不顾形象地数落我们，“谁家的姐弟会像你们一样，看看人家多团结，相亲相爱……”还记得吗，那时我们唯一的默契就是对妈妈还嘴说，“谁愿意跟ta是姐弟了，上辈子倒霉了才会这样……”

你在我眼里，就是伪君子。在家总是跟我打架，还都是玩真的，没有一点绅士风度。在外面，总是忽悠大家，大人夸你乖，小孩儿全部都屁颠屁颠地跟你混。每次出门大人见我说：

“筱旋，好福气有那么乖的弟弟，你以后要多让着点弟弟哦……”

小孩儿见到我说：“占元呢？我们有糖果，要给他吃，他在家吗……”

你在外面的形象真假，伪君子，是应该叫你让着我点才对！

四

你13岁，我18岁。

你还算马马虎虎。

距离产生美，这话挺有道理。高中，我一个月回一次家，一次一天半。

我们不打架了（打不过你了，没那么笨还跟你打），我们斗嘴、吵架。每次我回家，回去当晚你特别听话，叫你干吗你就干吗，什么都让着我，让我以为你终于像个男人不欺负女孩子了。结论总是不能下太早！过了一晚，你那邪恶的本质就出来了。

“帮我买冰棒吧！”

“你自己不会去，又不是没手没脚。”

“我……你中邪了吧？不买拉倒，我自己去！”

“等我，我也要跟你去。”你拉着我的衣角说。

“不要跟我！不想跟你一起走。”我像小时候一样推开你的手，努力跑出去。

“就你这龟速还想跑？我让你先跑我也追得上你。”没跑多远，就让你逮住了。

“跑步厉害了不起啊？放手！”我试图挣脱你牵着我的手。

“不放！走吧，我们买冰棒去，你付钱……”你欠扁的拉紧我的手向商店走去。

好吧，我承认，我很享受这样的感觉。

五

你15岁，我20岁。

高考结束，按爸的坚持我在厦门读书，基本半年回一次家。

这一年，学校很变态，开学异常迟，2月25日才开学。所有人都问怎么大家都上课了，我还在家。我受不了大家的询问，决定提前去厦门。

“我准备买19号的车票去厦门。”我跟你说。

“为什么那么早去？不是25号才开学吗？不要，你25号才可以走！”你生气了，是舍不得我吗？

没有下文，我们没说话。我知道你下午返校，我不想看你离开的背影，就借口困，回房间睡觉。

3:45你来我房间，坐了很久才开口说：“我知道你没睡着，你起来吧，我要去学校了，不打算送我吗？”我知道我瞒不过你，早在不知不觉中你熟记我睡觉时间，装睡怎么能瞒得过你的眼睛。

“等我回来，周五我回来要看到你在家！不然你死定了！”你又威胁我。

“好啦，不那么早走，听你的25号再走可以了吧！”半年回一次家，那，就趁现在多留几天，多跟你相处几天吧。

“哎，快起来送我啦！”你总是这样凶我。

送你上车，你还跑下来抱着我说，“等我回来，不可以先走！”

我笑你什么时候像个女孩子了，“好啦，快去学校吧，别在这里毁我淑女形象，我25号再走，等你回来。”

[编辑：围子]

木马分析 篇7

在以往的研究中,学者们着重探讨《木马赢家》中的俄狄浦斯情结问题,探讨人物形象特征或小说的写作技巧和方法。本文将从一个新的视角,对主人公保罗的人格进行深入分析。

1 弗洛伊德的人格结构理论

弗洛伊德认为人格的整体由本我、自我、超我三个主要部分所构成。本我是原始的、与生俱来的、无意识的结构,是人们所有热情、本能和习惯的来源。它追求一种绝对不受任何约束的本能欲望的满足。也就是说,“本我的唯一功能就是尽快发泄由于内部或外部刺激所引起的兴奋,本我的这一功能是实现生命最基本的原则”。[2]自我是本我中分化出来的一部分,它是社会的产物,是本我与外部世界、欲望和满足之间的居中者。自我的功能是控制和指导本我与超我、促进人格的协调发展。它一方面能更精明有效地满足本我的要求,另一方面能够保护本我不致因盲目的冲动而在与外部的冲突中遭到毁灭。超我是人格在道义方面的表现,是理想的东西,需要努力才能达到。超我是完美而非快乐或实际的,它是禁忌、道德、伦理的规范和标准以及宗教戒律的体现者。它像一个监督者或警戒者,设法用引导自我走向更高的途径。当自我对本我的要求屈服时,它会惩罚自我,使人感到内疚,自卑甚至有罪。而对自我和本我斗争的胜利给予奖励,产生自豪感。本我、自我与超我并不是彼此绝缘的,相互分离的,他们只是用来表达整个人各种不同的过程、作用、机制和精神动力的一种简略方法。当本我、自我和超我三者处于平衡状态时,个性就会正常发展;当三者处于矛盾状态时,精神就会趋于非正常,个性发展就会受到阻碍。

在弗洛伊德看来,人的本质就体现在这样一个三大人格分层相互影响相互制约的循环模式中。由于三重人格理论不仅从人性伸出,而且从人的本质高度解析的精神活动模式,所以它自诞生之日起,就收到了文艺界的亲来,这一理论运用在文艺批评中可以是分析文本中人物特性或是其中能搞代表人格三要素的象征意义,从而帮助读者从新的角度重新认识和解读文学作品。《木马赢家》是劳伦斯短篇小说中的杰出作品,这主要基于他运用一个近似神话的故事巧妙的批判了当时社会贪婪的物质欲及其对人们心灵的腐蚀。本文就将用三重人格理对析主人公保罗的人格结构进行深入的分析。

2 保罗的人格结构分析

2.1 本我—渴望母爱

本我是人类个体与生俱来的、先天存在着的各种本能和欲望的总和,它所遵循的是快乐原则。主人公保罗的本我表现为对母爱的强烈渴望。小男孩保罗生活在一个比较富裕的家庭,可家里却总是被紧张的气氛笼罩着,总有一个声音在说“要有更多的钱”。家里的大人总为要有更多的钱而发愁,因为对他们来说维持社会地位和奢华的生活方式才是最重要的。对金钱和物质的追求,使得他们忽视了对孩子的关爱。保罗就是生活在这样的一个家庭中,尽管父母给他提供了良好的物质生活,但他的内心却被“要有更多的钱”这一声音压抑和腐蚀着,带花园的房子、体贴的仆人和高人一等的生活并没有让他感受到爱的温暖,因此保罗生活的并不快乐。虽然母亲表面上表现出对孩子的温柔与关爱,但是“只有她本人和她的孩子们知道事实并非如此。他们从彼此的眼神中读懂这一点。”[1]小男孩保罗还很小,没有到上学的年纪。在这一年龄阶段的孩子,本应该在家人的呵护与关爱中享受无忧无虑的生活,但是保罗纯洁的心灵却被父母对金钱的贪念所渐渐侵蚀,让他不得不承受着父母的价值观所带来的压力与紧张。年幼的保罗渴望被关心、渴望被爱,但他并不知道为什么母亲对他是冷漠的。在和母亲的对话中,保罗得到了答案,母亲想要的是运气,有了运气就会有钱,而有了钱她就会活的快乐。可怜的保罗认为,如果自己能找到幸运让母亲开心,不再像现在那样为金钱紧张忧虑,或许这样他就能得到母亲的关注和渴望已久的母爱。

2.2 自我—借助赌马赢得金钱

自我是本我与外部世界之间起桥梁作用的复杂心理过程与心理结构。它不仅要满足本我,也满足超我,并对两者起着调节作用。自我遵循的不是快乐原则,而是唯实原则。“它掌握着行动的通路,选择它要反应的环境特征,决定有哪些需要满足,满足需要的先后如何”。[3]保罗的自我表现在他决定借助赌马来获得金钱,从而试图解决现实生活中所面临的问题。小说中,主人公保罗一方面想要得到母亲的关爱,另一方面他希望家里能够停止“要有更多的钱”这样的声音,并且母亲能够不再为钱担忧而快乐起来。在本我与超我的调和过程中,保罗决定通过赌马来赢得金钱。当保罗把赢来的五千英镑通过律师寄给母亲作为生日礼物时,他本认为现实问题可以由此解决,而事实却把保罗吓坏了。保罗的母亲拿到五千英镑后,“那栋房子的声音突然变得发疯似的,像春夜青蛙齐鸣一样。家里购置了几件新家具,保罗也有了家庭教师”。[1]房间里到处都可以听到和原来同样的声音:“要更多的钱!”从这以后,保罗意识到依靠赌马赢钱还远远不能结束,而这只是刚刚开始。他必须坚持下去,靠赌马赢得更多的钱来满足母亲永无止尽的物质欲。渐渐的,保罗的自我发生了转变。他本想着用赌马赚来的钱让那压抑的声音停止并且让母亲得到满足和快乐。也许那样做,母亲会把注意力转移到他的身上,给予他母爱的呵护。可是事实并非如此,他这样做并没有得到母亲的关爱,反而使母亲的贪婪更加地无限膨胀。于是最终,保罗还是选择继续赌马赚钱。此时此刻,他自我的调节作用已经失去平衡,强烈的超我已经压抑了本我。他明知道在赌马赢钱的过程中,自己是不快乐的,是紧张忧虑的,甚至根本得不到母亲的爱,但是为了满足母亲的欲望并让她开心,保罗选择了压抑自己内心的渴望。为了母亲,他选择牺牲自己的快乐并最终为此付出了生命。

2.3 超我—让母亲得到满足和快乐

超我是以道德原则为指导的。弗洛伊德认为:“超我所要求的是完美的,它的功能是按照至善原则,指导自我,限制本我,达到自我典范。”[4]“它是在童年时代由父母和师长的指示、约束、禁律、习惯通过自居作用的内化而形成的结构,是根据社会行为的标准和要求而在人的内部世界中起作用,‘是内部世界的代表’”。[3]超我是通过父母的奖惩权威竖立起来的良心,道德律令和我自我理想,它们阻止本能的能量直接在冲动性行为和愿望满足中释放出来,或间接地在自我机制中释放出来,竭力中止行使快乐原则和现实原则。良心和道德律令对本能的命令“不准”,自我理想把本能的能量全部投注到对至善至美的理想的能量发泄作用上。下面是对主人公保罗超我的具体分析。

保罗的超我就表现在他宁愿牺牲自己儿童的快乐甚至是生命,也要让母亲得到金钱而满足和快乐。《木马赢家》揭露了当时资本主义工业社会下金钱与物质对人们人生观价值观和道德观的腐蚀。在小说中,保罗的父母成为了金钱的奴隶,他们一心只想获得更多的钱。而他们得到钱的目的却只是想要过上体面、上流社会的生活。奢侈的生活方式让他们被欲望和贪婪所淹没。生活在这样的家庭和这样的社会环境下,保罗似乎也懂得了金钱的重要性,并且认为有了钱之后母亲就会高兴。于是,保罗开始骑上他的木马寻找“幸运”。他能通过在疯狂摇动木马的状态下预知赛马中获胜的马匹。事实上,在这样的过程中,保罗并不快乐。保罗深蓝的大眼睛中总是透着忧郁。每当姐姐们还在享受童年的快乐在一边玩玩具时,保罗却在另一边疯狂的骑着木马,努力地预知赛马中获胜的马匹。因为他知道,他必须是幸运的。保罗纯洁的心灵此时已经被物质金钱的观念所侵蚀,他的超我在当时的价值观和道德观的影响下开始变得扭曲。然而,当保罗通过赛马使母亲得到很多钱后,母亲变得更加痴狂了,她对金钱的欲望更加膨胀。家里切切私语的声音变地更加频繁了,比任何时候都要多。到处都是同样的声音:“要有更多的钱”。保罗也因此变得更加内疚,因为自己的努力没有让这个声音停止,反而愈演愈烈。为了满足母亲,可怜的保罗不得不迫使自己竭尽全力赢得更多的钱。可是,随着赛马比赛的临近,他的压力越来越大,身体也变得越来越脆弱。保罗疯狂地摇动木马,支持他的信念就是赢得金钱让母亲开心满足。而最终在超我的驱使下,保罗在赢得了赌马却因此而付出了生命的代价。母亲最终获得了八万多英镑,而保罗幼小的生命却以悲剧而告终。

3 结论

《木马赢家》这部小说充分的体现了本我、自我、超我三者对人物性格特征和发展的影响。主人公保罗处于本能渴望母亲的爱,而超我支配他牺牲自己的快乐,借助赌马赢得金钱而使母亲得到满足和快乐。随着母亲贪婪的欲望无限扩大,保罗的自我在调和本我与超我中失去了平衡。强烈的超我压抑了保罗的本我,从而使本我、自我和超我三者处于了矛盾状态。因此,在这一过程中,保罗的人格发展受到了阻碍,性格也变得扭曲,以生命为代价的悲剧命运也就不可避免了。与此同时,对物质和金钱的贪欲不仅严重影响了人与人之间本应和谐的关系,还腐蚀了儿童纯洁的心灵,这一点也值得人们进行深刻的反思。

摘要：弗洛伊德的精神分析学说已经普遍应用于文学批评和文学研究中。人格结构理论是精神分析学说的重要组成部分,弗洛伊德认为人格的整体由本我、自我、超我三个主要部分所构成。该文运用弗洛伊德的人格结构理论对劳伦斯的短篇小说《木马赢家》予以新的解读,从“本我”、“自我”和“超我”三个方面剖析主人公保罗的人格特点及发展,揭示其悲剧命运的必然性。

关键词：本我,自我,超我,母爱,悲剧性

参考文献

[1]卢敏.劳伦斯作品导读[M].武汉:武汉大学出版社,2003:101137.

[2]卡尔文·斯·霍尔.弗洛伊德心理学与西方文学[M].长沙:湖南文艺出版社,1986:23.

[3]邱运华.文学批评方法与案例[M].北京:北京大学出版社,2006:85-86.

[4]高清海.弗洛伊德文明的代价[M].沈阳:辽海出版社,2006:206.

[5]马永忠.对弗洛伊德人格的再认识[J].甘肃高师学报,2004(4).

[6]李军.弗洛伊德文学思想述评[J].集宁师专学报,2003(2).

[7]毛钢.浅谈精神分析学与文学[J].兰州大学学报:社会科学版,1988(4).

木马分析 篇8

Android系统是当今使用最广泛的智能手机系统,基于Andoird系统的手机程序类型丰富,功能多样。逆向分析是指在没有程序源代码的情况下,通过将可执行文件反编译成汇编代码,阅读分析汇编代码分析出程序逻辑的方法。Smali汇编码是Android虚拟机使用的机器码。研究Android程序的Smali汇编码逆向分析,对Android系统的程序功能改进、打补丁和恶意代码分析有重要的意义。基于此,设计和完成了一个实验,在没有源代码的情况下,通过对一个真实的Android短信木马程序9555.apk进行反汇编逆向分析,梳理出程序功能。实验的过程和思路对研究Android程序的逆向分析有积极的意义。

1实验过程

1.1将apk程序包反编译为smali文件

使用apktool工具,将9555.apk反汇编为smali文件,命令如下:

其中,9555.apk是要反编译的Android程序包,outdir为输出路径。得到的输出文件如图1所示。

如图1所示,res文件夹中包含了程序的各种资源文件,如图片、 定义界面的xml文件、字符串资源、资源索引文件,等;smali文件夹里包含了反编译得到的Smali代码文件,每个Smali文件对应源代码中的一个Java文件;Android Manifest.xml是此程序的配置文件。

1.2定位程序入口

通常一个程序工程中包含多个Java文件,反编译也会得到多个Smali文件,在逆向分析过程中,可以在Android Manifest.xml的application节点中找到程序入口,如图2所示。

如图2所示,9555.apk的程序入口是A.smali。系统地分析smali代码,应从程序入口开始,梳理逻辑,定位程序的走向, 根据程序走向依次分析项目中的各个文件。

1.3分析Smali汇编码逻辑

在锁定程序入口文件后,从入口文件开始,以此对每个Smali文件进行分析。一个Smali文件代码的结构与一个Java Class对应,包含了实例变量和方法。与X86汇编代码不同,Smali汇编码中只有“寄存器”概念,而没有“内存地址”的概念。实际上,除了真正的物理寄存器,对内存的调用也被Smali抽象成了虚拟寄存器的调用。Smali代码中的寄存器以字母v开头,后接编号, 如v0、v1、v2等。对于Smali代码分析人员来说,分析程序中数据的处理和流向,需要注意各个寄存器中数值的类型和变化。

1.4归纳流程图

整理每个Smali文件的代码,将每个Class的类名、父类, 以及主要的功能整理成矩形形式,并用虚线箭头标注出调用关系,如图3所示。

2实验总结

实验过程中,以一个真实的Android短信木马9555.apk为例, 进行了一次完整的Smali汇编码逆向分析过程。通过本次实验, 总结出Android程序逆向分析基本流程如下:

(1)通过apktool或类似的反汇编工具,将apk程序包反汇编成Smali文件。

(2)在Android Manifest.xml中查看程序入口。

(3)从程序入口开始,依次分析每个Smali文件,梳理程序逻辑。

(4)根据分析结果,绘制流程图,归纳程序功能。

3结语

本文所述的实验,在没有源代码的情况下,对一个真实的Android木马程序进行了反汇编和逆向分析,并梳理出程序功能。 基于Smali代码的Android程序反汇编逆向分析,是分析Android程序功能的有效方法,在恶意代码调查、改进软件功能等领域有重要意义。本文所述的实验,为后续更深入的Android程序逆向分析研究打下基础。在今后的研究中,我们会重点关注在没有源代码的情况下,对Android程序进行动态调试的方法和技巧。

参考文献

[1]张志远,万月亮,翁月龙.糜波.Android应用逆向分析方法研究[J].信息网络安全,2013.

木马的生存技术 篇9

木马以其隐蔽性强, 变化迅速以及窃取文件等手段成为当前网络信息系统面临的安全威胁中危害最为严重的攻击手段之一。木马其实就是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务 (服务器) , 另一台主机接受服务 (客户机) 。作为服务器的主机一般会打开一个默认的端口并进行监听, 如果有客户机向服务器的这一端口提出连接请求, 服务器上的相应程序就会自动运行, 来应答客户机的请求, 这个程序我们称为守护进程。就我们前面所讲的木马来说, 被控制端相当于一台服务器, 控制端则相当于一台客户机, 被控制端为控制端提供服务。

木马之间传递信息主要是通过端口来进行的。端口即控制端和服务端之间的数据入口, 通过这个入口, 数据可直达控制端程序或木马程序。我们这里所说的端口, 不是计算机硬件的I/O端口, 而是软件形式上的概念。例如, 大家浏览网站时就是通过访问服务器的80端口来实现的。

2、木马的伪装技术

作为病毒中利用率最高的木马, 它的伪装技术也是一流的。主要有下列几种方式。

伪装方法一:给木马服务端程序更名, 木马服务端程序的命名有很大的学问。木马的命名千奇百怪。不过大多是改为和系统文件名差不多的名字, 如果对系统文件不够了解, 那可就危险了。例如有的木马把名字改为window.exe, 如果不告诉用户这是木马的话, 谁也不敢删除。还有的就是更改一些后缀名, 比如把dll改为d11等 (注意看是数字"11"而非英文字母"ll") , 不仔细看的话, 就不会发现。

伪装方法二:把自己和其它文件捆绑在一起, 这种伪装手段是将木马捆绑到一个安装程序上, 当安装程序运行时, 木马在用户毫无察觉的情况下, 偷偷地进入了系统。被捆绑的文件一般是可执行文件 (即EXE, COM一类的文件) 。例如, 把木马服务端和某个游戏捆绑成一个文件利用QQ或电子邮件发给别人, 运行后他会看到游戏程序正常打开, 却不知木马程序已经悄悄在后台运行了, 这样作对一般人的迷惑性很大, 而且即使他以后重装系统了, 如果他的系统中还保存了那个"游戏"的话, 就有可能再次中招。木马程序这样的伪装很常见, 用来捆绑的工具也很多, 如exe文件捆绑机--ExeBind等, 该类程序可以将指定的黑客程序捆绑到任何一个广为传播的热门软件上, 使宿主程序执行时, 寄生程序 (黑客程序) 也在后台被执行。当用户再次上网时, 已经在不知不觉中被控制住了。

伪装方法三:修改图标。木马服务端所用的图标是很有讲究的, 木马经常故意伪装成txt、HTML等一般用户可能认为对系统没有多少危害的文件图标, 这样很容易诱惑用户把它打开。著名的木马"聪明基因"就把自己伪装成HTML文件, 如果用户的系统设置为不显示文件扩展名, 那么用户就会以为它的服务端是个HTML文件, 很容易上当。

伪装方法四:冒充图片文件。这是许多黑客常用来骗别人执行木马的方法, 就是将木马说成为图像文件, 比如说是照片等, 应该说这样是最不合逻辑的, 但却是最多人中招。只要入侵者扮成美眉及更改服务端程序的文件名为"类似"图像文件的名称, 再假装传送照片给受害者, 受害者就会立刻执行它。那又为什么说这是一个不合逻辑的方法呢?图像文件的扩展名根本就不可能是exe, 而木马程序的扩展名基本上又必定是exe, 多数人在接收时一看见是exe文件, 便不会接收了, 黑客用的方法其实很简单, 他把文件名改变, 例如把"sex.exe"更改为"sex.jpg.exe", 那么在传送时, 对方只会看见sex.jpg了, 而到达对方电脑时, 因为Windows默认值是不显示扩展名的, 所以很多人都不会注意到扩展名这个问题, 而恰好对方的计算机又是设定为隐藏扩展名的话, 那么看到的只是sex.jpg了, 受骗也就在所难免了。

3、木马的生存技术

木马的生存技术主要分为三类:文件免杀、内存免杀和行为免杀。下面主要针对文件免杀和内存免杀分析一下目前木马生存的几种手段。

3.1 加壳

病毒加壳其实目的很简单就是为了躲过杀毒软件查杀, 因为一般的杀毒软件查杀方式都是通过提取文件的特征码和病毒库中的数据相比较来判断出该文件是不是病毒, 而病毒加壳就是为了躲避这一比较或者说干扰这一比较结果, 让杀毒软件对其放行。所以说简单点病毒加壳, 就是病毒编写者为了防止自己病毒被杀毒软件截获, 利用一些软件技术给病毒加了一层外壳, 当然病毒的加壳方式很多样性, 有的是利用特殊的压缩算法将病毒进行压缩或加密, 也有的利用算法将自己伪装成驱动程序等等。而且这些加的"壳"都有一个特性就是他们会先于原始程序运行, 接着壳会把压缩、加密后的代码还原成原始程序代码, 然后再把执行权交还给原始代码。

3.2 修改特征码

修改文件特征代码免杀的通用性比较差, 针对的是某一杀毒软件的特征码, 特征码修改之后, 只能在这种杀毒软件环境下免杀, 除非有其它杀毒软件和这个杀毒软件特征码相同。主要方法是:直接修改法和跳转修改法。其中跳转修改法可以用一些软件来做到, 比如:vmprotect。首先要查找到文件的特征码, 查找方法有两种:直接定位法和折半查找法 (利用数据结构的技术, 折半查找, 加快搜索速度)

3.3 加花

1) 用到工具:OllyDbg, PEditor。

2) 特点:免杀通用性非常好, 加了花指令后, 就基本达到大量杀毒软件的免杀。

3) 操作要点:用OD打开无壳的木马程序, 找到零区域, 把我们准备好的花指令填进去填好后又跳回到入口点, 保存好后, 再用PEditor把入口点改成零区域处填入花指令的地址。

4、结束语

将上面的几种方法结合起来是木马生存的最好的方法, 先加花再加强壳或者先加区建表再加强壳, 这样做隐蔽性良好, 杀毒软件一般不认。最后还流行一种二次加壳的方法, 就是先加一个壳之后, 用资源释放工具将资源释放, 再加一个壳, 这样就可以躲过部分的杀毒软件。

发展方向, 需要不断进行深入研究, 才能在防止泄密、收集情报和打击犯罪等方面发挥积极作用。

参考文献

[1]Whitman M, Mattord H.Principles of information Security[M].北京:清华大学出版社, 2006.

[2]王战浩.木马攻击与防范技术研究[D].上海交通大学, 2007.

[3]张新宇.卿斯汉, 马恒太等.特洛伊木马隐藏技术研究[J].通信学报, 2004, 25 (7) .

[4]刘成光.基于木马的网络攻击技术研究[J].西北工业大学, 2004.

[5]张慧丽.洛伊木马工作原理分析及消除方法[J].微型机与运用.2001 (11) .

木马通信的隐蔽技术 篇10

木马通常需要利用一定的通信方式进行信息交流(如接收控制者的指令、向控制端传递信息等)。系统和应用程序一般采用TCP/UDP通信端口的形式与控制端进行通信。木马一般也是利用TCP/UDP端口与控制端进行通信。通常情况下,木马进行通信时直接打开一个或几个属于自己的TCP/UDP端口。早期的木马在系统中运行后都是打开固定的端口,后来的木马在植入时可随机设定通信时打开的端口,具有了一定的随机性。可是通过端口扫描很容易发现这些可疑的通信端口。事实上,目前的许多木马检测软件正是通过扫描本地和远程主机系统中打开的已知木马端口进行木马检测的。木马通信端口成为暴露木马形踪一个很不安全的因素。为此采用新技术的木马对其通信形式进行了隐蔽和变通,使其很难被端口扫描发现。

2 木马通信形式的隐蔽技术

木马为隐蔽通信形式所采用的手段有:端口寄生、反弹端口、潜伏技术,嗅探技术。

2.1 端口寄生

端口寄生指木马寄生在系统中一个已经打开的通信端口,如TCP 80端口,木马平时只是监听此端口,遇到特殊的指令才进行解释执行。此时木马实际上是寄生在系统中已有的系统服务和应用程序之上的,因此,在扫描或查看系统中通信端口时是不会发现异常的。在Windows 9X系统中进行此类操作相对比较简单,但是在Windows NT/2K系统中实现端口寄生相对比较麻烦。在控制端与木马进行通信时,如木马所在目标系统有防火墙的保护,控制端向木马发起主动连接就有可能被过滤掉。

2.2 反弹端口

反弹端口就是木马针对防火墙所采用的技术[1]。防火墙对于向内的链接进行非常严格的过滤,对于向外的连接比较信任。与一般的木马相反,反弹端口木马使用主动端口,控制端使用被动端口。木马定时监测控制端的存在,发现控制端上线,立即主动连接控制端打开的被动端口。为了隐蔽起见,控制端的被动端口一般开在TCP80。这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似TCP USERIP:1026 CONTROLLERIP:80 ESTABLISHED这种情况,用户可能误认为是自己在浏览网页。这种反弹端口的木马常常会采用固定IP的第三方存储空间来进行控制端IP地址的传递。

下面的代码演示了被控制端的客户套接字连接控制端的服务套接字。

2.3 潜伏技术

ICMP(互联网控制报文协议)是IP协议的附属协议,用来传递差错报文以及其他需要注意的消息报文。它是由内核或进程直接处理而不会打开通信端口。采用潜伏技术进行通信的木马一般都是使用ICMP协议。由于不利用TCP/UDP协议,不会打开通信端口,所以不会被一些端口扫描软件和利用端口进行木马防范的软件检测到[2]。通常情况下,木马利用ICMP报文与控制端进行通信时将自己伪装成一个Ping的进程,这样系统就会将ICMP_ECHOREPLY(Ping的回包)的监听、处理权交给木马进程,一旦事先约定好的ICMP_ECHOREPLY包出现(可以判断包大小、ICMP_SEQ等特征,这此包实为控制端发给木马的命令和数据),木马就会接受、分析并从报文中解码出命令和数据尽而采取相应的操作。

有的采用潜伏技术的木马不会完全采用ICMP协议进行通信,它们只是监听ICMP报文,当出现特殊的报文时,例如特殊大小的包,特殊的报文结构等,它会打开TCP端口等待控制端的连接。在本地可以看到状态为ESTABLISHED的木马连接(如果端口的最大连接数设为1,在远程用CONNECT方法进行端口扫描时没有办法发现)。一个严格采用潜伏技术的木马会严格地使用ICMP协议来进行数据和控制命令的传递(数据放在ICMP的报文中)。

木马利用ICMP协议与控制端进行通信的基本过程如下:

为了实现发送/监听ICMP报文,都要首先建立SOCK_RAW(原始套接口)。建立SOCK_RAW之前需要定义一个IP首部,然后定义一个ICMP首部:

随后使用fill_icmp_data子程序填充ICMP报文段,调用Check Sum子程序计算ICMP校验和。然后通过sendto函数发送ICMP_ECHOREPLY报文:

sendto(sock Raw,icmp_data,datasize,0,(structsockaddr*)&dest,sizeof(dest));

木马控制端监听程序的基本操作与木马端相同,只是需要使用recvfrm函数接收ICMP_ECHOREPLY报文并用decoder函数将接收来的报文解码为数据和命令:

recv_icmp=recvfrom(sock Raw,recvbuf,MAX_PACKET,0,(struct sockaddr*)&from,&fromlen);

decode_resp(recvbuf,recv_icmp,&from);

对于严格采用ICMP协议通信的木马,除非过滤分析网络链路层的信息或者监视Windows系统的Socket API调用,否则是很难发现其行踪的。

2.4 嗅探技术

2.4.1 共享环境下嗅探技术原理

嗅探技术即sniffer技术,指在网络上监听数据报文的方法[3]。一般来说,sniffer技术应用环境为共享式以太网(Hub-based Ethernet)。在以太网中,所有的通讯都是广播的,通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据。在实际系统中,数据的收发是由网卡来完成。当收到网络上传输来的数据时,首先由网卡对数据帧的目的MAC地址进行检查,如果目的MAC地址与本地的MAC地址相匹配,则认为应接收该数据并产生相应的中断信号通知CPU,如果不匹配,则直接丢弃该数据帧,本地计算机将根本不知道有数据帧的到来。网卡一般有如下4种接收模式:

1)广播方式,网卡能够接收网络中的广播信息。

2)组播方式,网卡能够接收组播数据。

3)直接方式,只有目的网卡才能接收该数据。

4)混杂模式,网卡能够接收一切通过的数据。

由于所有的物理信号都能被连接在该网络上的计算机所接收,因此可以通过混杂模式(promiscuous mode)方式使网卡能够接收到一切通过它的数据,而不管实际上数据的目的地址是不是计算机。

2.4.2 Sniffer技术的实现

假定攻击者事先知道被攻击主机所在网段的IP地址范围,因此黑客可以构造IP报文,其目的地址为局域网内某台主机的地址(可以随便设定),源地址也可以随意设定,然后向此局域网内发送报文。被攻击主机中的木马程序使用sniffer技术监听网络数据报文,并且依据攻击者事先设定的通信协议来辨别和提取黑客的数据报文。

实现时利用了Win Sock 2的特性,可以不使用驱动程序,因此程序核心部分代码如下。首先打开一个socket,参数必须是AF_INET、SOCK_RAW和IPP不能设置SIO_RCVALL属性:

m_s=socket(AF_INET,SOCK_RAW,IPPROTO_IP);

然后设置该socket的超时参数等选项:

再将该socket与本机的某个网络接口绑定。

接下来就可以设置SIO_RCVALL属性。

此后就可以利用这个socket(m_s)来读取网络上的数据包了。

3 结束语

该文重点研究了木马系统中涉及到的隐蔽通信技术及实现。由于防火墙技术的不断改进和系统对网络协议漏洞的定期修补,木马的通信技术将会变得更为复杂和接近底层。

摘要：服务器和客户机如何通信是木马研究的一个核心技术,该文讲述了如何利用网络协议躲避了防火墙和系统工具的检查,成功实现了木马的隐蔽通信,给出的源代码均调试通过。

关键词：木马通信,隐藏通信

参考文献

[1]朱明,徐蓦,刘春明.木马病毒分析及其检测方法研究[J]计算机工程与应用,2003(28):176-179.

[2]赵树升.计算机病毒分析与防治简明教程[M].北京:清华大学,2007.

戳穿木马黑客 篇11

2010年10月初，住在湖北省襄樊市襄阳区的刘女士匆匆来到襄阳区公安分局报警，称她在淘宝网上购化妆品时，点击店主发来的化妆品图片和介绍文字后，通过网上银行支付三百多元现金，可网站不仅没有如约给她发货，反而称没有收到她的现金，当她再与网店店主联系时，店主的电话已无法打通。

民警根据刘女士的报案，很快查明刘女士的钱系网上黑客从中截留骗走的。此后，襄阳区接二连三发生淘宝网客户受骗的情况，金额在300元至1000元不等，民警经过网上查询得知，这类黑客诈骗现象在北京、天津等大城市频繁发生，辽宁大连一天竟接到三十多起网络诈骗案。频繁发生的网络诈骗案引起了襄阳区公安分局领导的高度重视，指令民警立即立案侦查。

民警在网上发现利用购物网站诈骗方式主要有两种．一种是黑客模拟制作淘宝网的网页页面，利用淘宝网的漏洞链接到淘宝网，吸引客户在假淘宝网上购物，客户在购物时，不知不觉进入黑客设下的陷阱，购物付出现金被黑客从中截走。

第二种诈骗方式是前一种方式的升级版，黑客不再用模拟淘宝网的页面诈骗，而是在网上购买-个商铺后，注册进入淘宝网，并以极低的商品价格引诱客户购买，客户在购买过程中，不知不觉点击黑客发来的文字或图片链接，踩中木马陷阱，黑客从中截走客户现金。

侦破虚拟社会的网络诈骗与侦破现实社会中的刑事案有很大不同。网络上的名字和号码都是虚拟的，任何一方都不知道对方姓甚名谁，更不知道对方的其他真实情况。因此，民警除了知道报案者的真实身份外，很难查清其他受害人和网络黑客的真实身份。

转战千里

专案组民警经过多方走访受害人，10月中旬，终于锁定一个网上黑客“淘宝BHO”。此人是江苏淮安人，民警在侦查中发现，“淘宝BHO”在网上向人兜售“赚钱木马”，民警即与“淘宝BHO”联系购买，同时与江苏淮安警方联系抓捕“淘宝BHO”。

2010年11月3日上午，在江苏淮安市警方的协助下，襄阳公安分局民警顺利抓获“淘宝BHO”。他叫鹏鹏，只有19岁。

鹏鹏向警方交代，他2009年初中毕业后无业，吃穿靠父母，一直寻找赚钱的机会。2010年8月，他从网上看到一则广告，有人称在网上租木马可以赚钱。

出租木马的人在网上介绍说，租用他的木马，可以潜伏进淘宝网站，借机把木马植进客户的电脑，淘宝网客户购物的钱就能自动转入租木马人的帐户上。其操作流程是租木马人首先通过正常注册方式，购买一个正规店铺，并把这个店铺挂上淘宝网，店铺里的商品一定要新奇，而且价格极便宜，这样就能吸引更多的客户来购物。租木马人利用与客户联系的机会，发送商品图片或其它文件引诱客户点击链接，只要客户点击了图片或文字链接，木马就会在两秒钟内闪电植入客户电脑，其后客户付款时，木马就会把客户打往淘宝网支付平台的钱拦截下来，自动流入租木马人指定的帐户。

鹏鹏虽然没有多少文化，但对网络十分熟悉，他以每月2000元租了一个木马，按木马出租人所说的方式试用几天，果然一天就能赚到几千块钱。

尝到甜头的鹏鹏还觉得赚钱不快，就租用了3个木马，并转租给他的下线，下线赚的钱再与他五五分成。仅1个月时间，鹏鹏靠3个木马就诈骗到二十多万元。

那么，向鹏鹏出租木马的人是谁?抓获鹏鹏后，民警发现安徽蚌埠的两个犯罪嫌疑人也在利用木马在淘宝网上诈骗客户的钱财。11月23目，襄阳民警在安徽蚌埠民警的配合下，抓获了犯罪嫌疑人施雅兰和陈光明。

施雅兰向警方交代，他从2009年开始在淘宝网里实施诈骗，一年多时间，他先后骗得淘宝网客户十多万元。

陈光明是施雅兰的同乡，在施雅兰的拉拢下，陈光明先后在淘宝网上骗了七八千块钱。

抓获鹏鹏等人后，民警逐渐理出了淘宝网上这一诈骗团伙的脉络：木马制作者是老大，他是传销组织的顶级上线，只做木马出租赚钱，他的收入来自每个木马每月2000元的租金。鹏鹏是木马制作者的二级下线，这样的下线通常先租木马在淘宝网上骗钱，然后再从木马制作人那里租更多的木马，再发展第三级下线为他赚钱，每一个三级下线的收入都与上线五五分成。

一个多月，民警先后抓获了5名犯罪嫌疑人，这些人都有一个共同的上线，网名叫“codegeter”。

这个神秘的“codegeter”在哪里?他究竟发展了多少二级和三级下线?诈骗了多少网上购物者?

黑客“老大”

11月10日，襄阳民警千里追踪至贵阳市抓获了木马制作人“codegeter”郑亮。

郑亮今年21岁，初中毕业。自2010年9月开始制作淘宝木马到11月被抓获的一个多月时间里，他已发展了51个租户，获利三十多万元。据郑亮交代，他学会制作木马源于一个偶然因素。

去年9月，郑亮的女友在淘宝网上购买商品时，几百元购物款被黑客截走了。郑亮以前曾为一家电脑公司打过工，熟悉电脑知识。

女友的钱被潜伏在淘宝网里的黑客骗走后，郑亮调出女友网上购物的资料，很快查出淘宝网站的骗钱木马，并仔细研究了这个木马的各种功能。郑亮觉得用木马骗钱并不困难，他也可以编出一个木马程序到淘宝网上去骗别人的钱。

郑亮用几天时间制作了淘宝网的木马程序，然后在网上试用了T效果很好，郑亮觉得发财的机会到了。他在网上发布广告，以每个木马程序月租金2000元的价格向外招租。由于他的木马程序水平高，曾有人以20万元的价格购买他的木马程序源码，但郑亮不为所动，因为他的淘宝木马程序一个月可为他赚数十万元，他怎么舍得卖掉“摇钱树”呢。

此后，郑亮的主要工作就是在网上招租，为避免升级的杀毒软件破坏木马，他每隔一两天就要为他的木马程序进行技术更新，使不断更新的杀毒软件永远跟不上木马的更新速度。

贪婪的郑亮在日进万金的同时还不忘以卑劣的手段“黑”下线的钱。当租户在淘宝网站上诈骗的钱较多时，或者单笔金额较大时，郑亮就会用修改后台帐户的手段截留这些钱，打到自己的帐户上，如果客户反对，他就终止对方木马使用权。这样一来，郑亮一天就会增加三五千的收入。

“三不原则”

郑亮自以为他制作的淘宝木马隐蔽性强，外面人很难识别他的真实面目，其实，这只是他的一厢情愿。襄阳民警只用了不到一个月时间，就将其抓获了。

郑亮犯罪团伙虽然被打掉了，办案民警却无法轻松。民警根据手中现有的材料测算，按最保守的估计，郑亮及其下线诈骗淘宝网站客户的金额在200万元以上，而且，办案民警还发现，在一些购物网站上，像郑亮这样的木马制作者和租用传播牟利的犯罪团伙大有人在，其诈骗金额是一个难以想像的数字。只要在网上输入木马钓鱼等字，就会发现各种各样的网络诈骗，让购物网站和购物者防不胜防。

通过破获该案，办案民警向群众提出“三不原则”以防范黑客设置的木马陷阱。一：客户在网上与店主聊天时，一定不要点击店主发过来的任何链接。而要看清网址名称是不是淘宝网的正规域名，如果想看商品的颜色和款式，客户可以打开淘宝网站进入店铺查看商品。

第二：在与网站店主交谈中，一定不要打开店主发来的图片或其它文件，一旦点击文件，就可能将黑客的木马种植进客户的电脑。

第三：网上购物选择银行付款时，在没有看清所付款的公司前，一定不要点击确认。

木马病毒及其防御措施探讨 篇12

目前在整个电脑病毒的市场上最具攻击性的应该是所谓的木马病毒了, 它已经利用现在的高速发展的互联网技术, 体现出了无法遏制的态势。根据不完全统计, 现在有大于百分之九十的木马病毒都是利用网络进行依附和传播的, 一旦侵入就会对电脑用户的个人隐私以及一些支付系统造成威胁。因为这些木马病毒就像是细胞分裂一样, 在电脑系统里快速的复制和传播, 造成电脑本身的系统瘫痪, 这个时候, 木马病毒就可以获取任何一项自己所需的资料和文件, 整个计算机系统也就宣布崩溃了。木马病毒之所以具有如此之大的危害性, 这和它的本身特征是分不开的, 它具有很高的秘密性, 而且呈现出的状态也不是一层不变的, 而是随时随地都在发生相应的改变的, 因此, 想要及时并准确的发现并消灭这些木马病毒是一件非常困难的事情。所以, 本文就针对木马病毒的特点、所带来的危害、攻击的手段以及如何防御木马病毒进行了深入透彻的探讨, 旨在增强计算机用户使用电脑的安全意识, 减少由于木马病毒所带来的损失, 尽最大的努力将计算机中毒的概率降到最低。

一、木马病毒的特点

(一) 木马病毒的概述

总所周知, 特洛伊木马的希腊故事讲述了一群士兵将自己藏于木头制成的马身内, 敌人看见木马就将其运进自己的城内, 等到晚上, 士兵能就从木马里跑出来, 一举消灭了敌人。从此, 木马就被后人喻为隐藏在其中的危险。所谓的计算机木马病毒其实是一组程序代码, 这组程序代码被赋予了特定的作用, 它可以融入到计算机系统的健康的程序代码之中。这样它们就可以利用用户的计算机盗取用户的相关个人信息和资料, 用在别的不正当的方面上。这种木马病毒是通过一个很隐蔽的后台程序对用户的计算机进行相应的侵入和攻击的。我们所知道的目前已有的计算机木马病毒可谓是种类繁多。就比如说, 代理木马病毒、FTP木马病毒、D So攻击木马病毒、远程访问型木马病毒、键盘记录木马病毒、密码盗取型木马病毒以及破坏型木马病毒等等。不同的木马病毒之间都存在一定程度上的差异, 同时又存在一定程度上的相同点。

(二) 木马病毒具有隐蔽性

总所周知, 现在流行的木马病毒都具有非常强的自我隐蔽功能, 只有这样才能防止被计算机用户检测到并将其消灭。如果某一个木马病毒它的隐蔽性不强, 那么它就很有可能在侵入的过程中被现在的杀毒软件, 如360安全卫士以及腾讯安全管家等检测出来, 从而对其进行杀毒。或者说如果一个木马病毒不具备很强的隐蔽性, 那么用户通过自身手动检测就能将其检测出来, 那么这样的木马病毒也就失去了自身存在的价值和意义, 通俗的说, 这种木马病毒也就无人问津, 一文不值了。所以, 一个木马病毒隐蔽性的高低直接决定了它的生存和发展。

(三) 木马病毒具有顽固性

凡是中国木马病毒的计算机用户都有同样的感受和体会, 那就是无论怎么清理和杀毒都很难彻底的将木马病毒完全消灭。一个木马程序被检测到的时候, 很难被清除。很多情况可能是这样的, 当用户用杀毒软件对检测到的木马病毒进行查杀时, 电脑显示是已经将木马病毒彻底查杀干净了, 可是等用户用了一段时间后, 会发现自己的电脑还是和以前不太一样, 有的时候还是会不自觉的死机或是卡机等等不正常的情况。这就是木马病毒没有被彻底清除干净而存留在自己的电脑里面造成的后果。因此, 一个木马病毒的顽固性强弱就直接可以通过它存留在用户计算机中的时间长短来进行判断和评估。通常情况下, 如果一个木马病毒很难被检测和清除, 那么我们可以定义这个木马病毒具有很强的顽固性。对于那些虽然已经使用了很多不同的方法进行查杀和清理但是依然不能将其有效消灭的木马病毒, 它们在一定条件下还是可以进行相关程序的操作和控制, 那么这样的木马病毒的顽固性就非常强。

二、木马病毒所造成的危害

大家可能都知道木马病毒是非常可怕的。但是对于其危害的原理并不是很了解。其实木马病毒之所以如此可怕, 是因为它是直接对用户计算机的磁盘进行相应的攻击和破坏, 对计算机内的原有数据库进行修改和破坏, 从而使用户无法获得需要的数据和信息。一旦木马病毒侵入了计算机内部, 就会对计算机原来的数据和程序进行破坏, 这样计算机就无法正确的运行相应的程序和代码, 严重影响了整个计算机的稳定和安全运行。此外, 很多木马病毒还能利用电脑本身自带的磁盘引导区进行相关的附着和侵入。而且这种木马病毒还具有很强的繁殖和传播特性, 可以通过正常的程序将木马病毒传播到外部相关的设备和连接机器上。而且这种木马病毒还能够改变计算机磁盘引导区的磁盘通道, 导致正常的程序无法通过磁盘引导区进行正确的引导。木马病毒经过不断的繁殖慢慢的侵占了整个计算机系统的内部资源, 对系统正常运行产生一定的破坏和干扰, 严重时可能直接导致整个计算机系统瘫痪。

三、木马病毒的合理防御措施

(一) 用户在使用计算机的过程中应该删除可疑的程序

对于那些不是系统自带的程序和软件, 用户不能抱有侥幸心理, 应该坚决的删除掉一些自身觉得可疑的程序和软件。

(二) 用户应该定期检查木马病毒隐藏的位置

因为当木马病毒侵人计算机系统之后, 它就会去寻找一个相对安全的位置, 所以计算机用户只有充分掌握和了解木马病毒隐藏的地方, 才能准确的找出木马病毒并将其消灭。

四、总结

本文首先对木马病毒进行详细的概述, 对木马病毒的特点以及所带来的危害和攻击的手段进行深入到探讨, 从而引出用户该如何防御木马病毒, 指出用户在使用计算机的过程中应该删除可疑的程序, 应该定期检查木马病毒隐藏的位置。旨在增强计算机用户使用电脑的安全意识, 减少由于木马病毒所带来的损失, 尽最大的努力将计算机中毒的概率降到最低。

摘要：本文首先对木马病毒进行详细的概述, 对木马病毒的特点以及所带来的危害和攻击的手段进行深入到探讨, 从而引出用户该如何防御木马病毒, 指出用户在使用计算机的过程中应该删除可疑的程序, 应该定期检查木马病毒隐藏的位置。旨在增强计算机用户使用电脑的安全意识, 减少由于木马病毒所带来的损失, 尽最大的努力将计算机中毒的概率降到最低。

关键词：木马病毒,防御措施探讨

参考文献

[1]贺子瑶, 朱雪峰.关于"ARP欺骗"木马病毒的分析和防御[J].西部大开发:中旬刊, 2012.

[2]王文交, 马志强, 钱宗峰等.摆渡木马及其防御措施研究[J].信息技术, 2012.