木马木马病毒查杀及其防范措施

木马病毒查杀及其防范措施目录

1木马病毒的定义

2木马病毒的危害

3木马病毒的基本特征

3. 1隐匿性

3. 2自启动

3. 3伪装术

3.4自我恢复

3. 5监听

4木马的防范措施

4. 1查

1查系统自启动

一般来说系统自启动的有三种方式

一是系统启动配置文件如ini系统配置文件和程序启动组等

二是注册表

三是系统服务

2查系统开放端口

3查网络通讯

4杀

4. 3防

1建立良好的安全习惯

2安装专业的安全软件

3更新必要的安全补丁

正文

摘要摘 要 随着计算机技术的飞速发展和网络应用的日益普及木马病毒给信息安全技术带来严峻的考验。本文就木马病毒的定义、特征等入手提出应对的查杀及防范措施

关键字木马特征防范措施

中图分类号 TP393.08文献标识码 A文章编号

1木马病毒的定义

木马通常网络上称为“木马病毒” 全称为特洛伊木马程序英文叫Trojan hoe。木马病毒是一种基于远程控制的恶意程序它未经授权在后台与黑客们的计算机之间建立起隐性连接使黑客们能够在远程端访问和控制用户的计算机。

在RFC1244 RFC Request For Comments又可称为“请求评议” 它包含了Internet重要的文字资料中是这样描述木马的“木马程序是一种程序它能提供一些有用或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能例如在你不了解的情况下拷贝文件或窃取你的密码。

2木马病毒的危害

木马具有以下危害一是窃取用户密码二是自动变种繁衍病毒三是恶意控制用户电脑 四是破坏系统严重影响电脑使用操作五是威胁用户数据文件安全。

电脑一旦中上木马它就成为黑客的傀儡对方可以在你的电脑上上传下载文件偷窥私密文件偷取密码口令信息你的所有秘密将暴露在别人面前 隐私将不复存在。

3木马病毒的基本特征

随着编写技术的不断提高木马病毒的种类和数量也日见其增但它们之间往往都具有以下一些共同的基本特征

3. 1隐匿性

隐匿性是所有病毒的首要特征作为病毒的一种木马也必须要隐藏在系统里费尽心机让用户无法察觉。它的隐蔽性主要体现在两个方面一是不在系统任务栏中产生提示性的图标二是将自身隐藏在系统中无声无息地启动运行。

3.2自启动

木马病毒会植入到系统的注册表、启动组和ini等系统初始化配置文件之中这样在电脑系统启动时木马病毒就能随之一并启动运行。

3.3伪装术

木马常常需要进行伪装 以达到其隐匿的目的。 比如伪装成正常的程序或文件夹或者伪装成“dll” 、 “sys”等系统文件或者借助一些相似度很高的字符如将字母“l”替换成数字“1” 、字母“O”

替换成数字“0”等方法。还有些木马将自己绑定在正常的程序上面伪装成一个新的程序。当用户下载并运行这些被绑定过的程序时 电脑系统就会被木马神不知鬼不觉地侵入了。而且木马的伪装手段还在不断地研究、发掘越来越隐蔽越来越专业。

3.4自我恢复

现在的木马病毒一般都采用了多重备份机制能够自我保护相互恢复。一旦没有完全清除干净就很有可能死灰复燃卷土重来。

3.5监听

当连接网络时木马病毒就会通过监听特别的端口接收执行远程端发来的命令从而控制你的计算机或者通过监听键盘在不经意间窃取你的密码口令信息。

4木马的防范措施

综上所述木马病毒越来越狡猾也越来越有危害性但是再狡猾的狐狸也斗不过好猎手我们可以通过木马运行留下的蛛丝马迹将它防于千里之外。

4. 1查

1查系统自启动

一般来说系统自启动的有三种方式

一是系统启动配置文件如ini系统配置文件和程序启动组等。系统常用的ini文件有boot. ini、 win. ini、 system. ini等木马一般会将自己添加到这些配置文件的启动选项中或者直接将木马添加到启动组中。

二是注册表。

在系统注册表中一般有五个启动项分别是

[HKEY_LOCAL_MACHINESof twareMicrosoftWindowsCurrentVeionRun]

[HKEY_LOCAL_MACHINESof twareMicrosoftWindowsCurrentVeionRun Once]

[HKEY_LOCAL_MACHINESof twareM icrosoftWindowsCurrentVeionRun OnceEx]

[HKEY_LOCAL_MACHINESof twareMicrosoftWindowsCurrentVeionRue rvices]

[HKEY_LOCAL_MACHINESof twareMicrosoftWindowsCurrentVeionRue rvicesOnce]

木马常常在这些项中增加键值 以实现其自动加载的目的。

三是系统服务木马还会将自己伪装成windows服务添加到系统中有的还直接伪装成系统正常的进程服务。

如果在以上系统自启动方式中发现添加了一些可疑程序就极有可能已经被加载了木马。此外木马也有可能伪装成系统程序最惯用的伎俩就是用一些相似度很高的字符如用数字“1”来替换字母“l” 用数字“0”来替换字母“o” 将“Explorer”变成自己的程序这些细微的改变如果不仔细观察是很难被发现。

2查系统开放端口

根据因特网通讯协议TCP/IP 每台计算机都有65536个系统端口。一些远程控制木马通过监听某些特别的端口接收并执行黑客们从远程控制端发来的命令。例如鼎鼎大名的冰河使用的监听端口是

7626。

我们可以通过一些命令行程序查看电脑开放端口如系统自带的Netstat命令 FPORT程序等。我们还可以通过现在的安全防护软件这些软件一般都集成了端口查看功能如QQ电脑管家 360安全卫士等通过这些软件查看开放端口操作更简洁内容更直观也更全面。

以电脑管家为例通过工具箱中的网络连接模块我们可以很直观的看到所有系统进程的名称、其所使用的本地和远程端口 以及监听状态等。如果检查发现系统开放了一些特别的端口就很可能是木马病毒在后台进行监听。

3查网络通讯

此外还有一些木马不通过端口监听而是利用I CMP协议来与远程控制端进行通讯的如果仅仅检查系统开放端口是无法发现其踪迹的。我们可以通过监听网络通讯来发现它 以电脑管家为例我们可以通过工具箱中的流量监控进行监听从中我们可以很清楚的看到当前所有访问网络的程序名称、进程连接以及访问的网络数据流量大小。如果发现一些可疑程序一直在访问网络并有异常的网络通讯数据就有可能是木马在后台运行。

4杀

由于木马编写技术的不断发展进步木马都带有自我保护机制很难通过以往的手工删除进行清除。用户最好通过专业的杀毒软件或者下载一些专门的木马查杀工具定期查杀。用户一定要及时更新杀毒软件的查杀引擎和病毒库及时获知新流行木马的信息掌握其预防和查杀方法。

4.3防

随着网络的普及木马的传播越来越快而且新的变种层出不穷我们在检测清除它的同时更要注意采取措施来预防它。

1建立良好的安全习惯。不运行任何来历不明的软件不随意打开邮件附件。现在很多木马病毒都是通过绑定在其他的软件中来实现传播的 因此在打开前一定要用使用防病毒软件进行扫描这样可以有效识别和清除木马文件。

2安装专业的安全软件。安装专业的防病毒软件、 网络防火墙等安全软件并打开实时防护功能对计算机进行全面监控定期查杀防止安全性未知的程序的运行。

3更新必要的安全补丁。据统计有80以上的病毒是通过系统安全漏洞进行传播的很多木马也都是通过系统漏洞来进行攻击的所以应及时下载更新系统的安全补丁修复系统漏洞防患于未然。

参考文献

[1]颜会娟秦杰.基于行为分析的木马检测系统[J] . 网络安全技术与应用. 2010(08)

[2]辛淑霞.解析木马病毒及其防范措施[J] . 电脑编程技巧与维护. 2010(14)

[3]李焕洲唐彰国钟明全张健.基于行为监控的木马检测系统研究及实现[J] . 四川师范大学学报(自然科学版) . 2009(03)