木马函授毕业论文范文-木马病毒分析及其防治方法

湖 南大 学

高等成人教育考试本科生毕业论文(设计)木马病毒分析及其防治方法

学生姓名王庆鹏

考籍号 910909112107

年级专业 2010级电子政务

指导老师及职称张云波副教授

学 院湖南大学信息科学技术学院

湖南·长沙

提交日期 2010年11月

湖南农业大学高等教育自学考试本科生毕业论文(设计)

诚信声明

本人郑重声明所呈交的本科毕业论文设计是本人在指导老师的指导下进行研究工作所取得的成果成果不存在知识产权争议。除文中已经注明引用的内容外本论文不含任何其他个人或集体已经发表或撰写过的作品成果。对本文的研究做出重要贡献的个人和集体在文中均作了明确的说明并表示了谢意。本人完全意识到本声明的法律结果由本人承担。

毕业论文设计作者签名王庆鹏

2010 年 11月 日

目 录

摘 要. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

关键词. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

1前言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1

2木马病毒的简况及现状. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

2.1木马病毒的简况. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

2.1.1木马的定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

2.1.2木马病毒的危害. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2

2.1.3 木马的基本特征. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

2.1.4 木马原理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

2.2木马病毒的现状. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

3木马病毒的植入及传播. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

3.1木马病毒植入技术. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

3.2 木马病毒的加载技术. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

3.2.1 系统启动自动加载. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

3.2.2 文件关联. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

3.2.3 文件劫持. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

3.2防火墙分类与作用. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

3.3防火墙关键技术. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

3.4基于防火墙构建安全网络基本原则. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

3.5防火墙未来发展趋势. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

4端口扫描技术研究. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .9

4.1端口的概念. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

4.2端口扫描原理. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

4.3端口扫描技术. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

4.3.1开放式扫描技术. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

4.3.2半开放扫描技术. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

4.3.3隐藏扫描技术. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

4.3.4其他扫描技术. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

4.4扫描的防御方法. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

5结束语. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

参考文献. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .17

致 谢. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

木马病毒分析及其防治方法

学 生王庆鹏

指导老师张波云

(湖南农业大学信息科学技术学院长沙410128)

摘 要 随着计算机网络技术的迅速发展和普及, Internet网络使得全世界的人们可以自由的交流和分享信息,极大的促进了全球一体化的发展。但是人们在交往的同时也面临着网络安全的隐患,每天分布在世界各地的计算机无时无刻不在遭受计算机病毒的攻击。其中有一种与病毒相似但有所区别的、基于远程控制的、具有很强的隐蔽性和危害性的工具,这就是特洛伊木马程序。

关键词 “木马”病毒危害防护

1前言

2 绪论

2. 1木马病毒的现状

目前,木马已经形成了多个派系的共存,结合了传统电子邮件病毒的破坏性,产生更多的混合型木马病毒。有关报告显示:截至2008年6月,所截获的新增病毒样本总计有111 474种,其中,新增的这些木马病毒中,盗号木马尤其严重,占到木马总数的70%,高达58 245种。从这些数据中可以看出,木马数量成倍增长,而且病毒制造者更倾向于制造、传播木马病毒者。现在,病毒疫情主要呈现出互联网进入木马/病毒经济时代;木马数量迅猛增加,变种层出不穷;网页挂马与ARP欺骗危害加剧;U盘是病毒传播的主要途径;病毒/木马疯狂反扑,病毒/木马商业化运作出现团队化协同方式;病毒的变种数量已经成为衡量其危害性的新标准等特点。

2.2论文研究背景及意义

随着互联网技术的发展和普及计算机网络得到了广泛应用利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势人们日常的经济和社会生活也越来越依赖互联网。但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁例如黑客攻击计算机病毒、特洛伊木马泛滥等。研究在目前开放的网络环境下如何保证自己的信息安全就显的非常重要。

特洛伊木马简称木马是一种具有运行非预期或未授权功能的程序例如可以记录用户键入的密码远程传输文件甚至可以完全远程控制计算机等。一般黑客在攻击目标得手之后就会在主机上安装后门 即特洛伊木马。特洛伊木马可以在用户毫不知情的情况下泄漏用户的密码、用户的秘密资料等甚至可以远程监控用户的操作 因此某些行业如国防、外交和商务部门特洛伊木马的危害性更大一旦这些部门被安装了木马损失就会非常惨重。

人们常常将特洛伊木马看成是计算机病毒其实它们之间还是有比较大的区别的。计算机病毒具有数据的破坏性而特洛伊木马最大的危害在于数据的泄密性 当然不乏有将病毒技术和木马技术结合使用的恶意软件 即利用病毒的传染性使较多的计算机系统植入木马。但特洛伊木马本身一般没有复制能力不会感染其他的寄宿文件一般在同一台主机上只有一个特洛伊木马。而病毒具有传染性会不断感染其他的同类文件在同一台主机上会出现很多被感染的文件。

而目前人们对计算机病毒的研究比较多而对特洛伊木马的研究要相对滞后。许多的反病毒软件也声称能反特洛伊木马但是现在的大多数反病毒软件采用的是特征码检测技术 即抽取各种计算机病毒和特洛伊木马等恶意代码样本中的特征码放入病毒库中将待检测的软件与病毒库中的特征码比较如果吻合则判断为恶意代码。特征码技术对于检测已知恶意代码非常快捷有效但是对于检测未知的恶意代码则无能为力。反病毒软件的检测能力总是落后于新的恶意代码的出现的在这个时间差内新的恶意代码可能就会泛滥造成重大损失特征码技术的这种局限性就决定了其滞后性。

在网络攻击与安全防范日益激烈的对抗中特洛伊木马攻击技术在不断地完善。现在特洛伊木马攻击手段已成为网络攻击的最常用、最有效的手段之一是一系列网络攻击活动中重要的组成部分严重地威胁着计算机网络系统的安全。 网络安全迫切需要有效的木马检测防范技术。

然而 目前木马的检测方法都是基于木马静态特征的检测是被动的检测不能有效地适应木马的各种检测对抗技术其检测能力完全依赖于检测系统中根据已知木马建立和维护的木马静态特征库。为了检测新型木马需要及时收集、提取新型木马的静态特征、更新静态特征库。这是一项持久繁重的工作 同时也制约着基于静态特征检测技术的木马检测工具的有效性。

在大量模拟网络环境下的木马攻击行为的前提下本文首先对木马的运行形式、通信形式、启动方式的隐蔽技术以及在宿主机磁盘中的隐藏方法进行了深入分析。在

这基础上重点研究了基于动态行为的木马检测防范方法。基于动态行为的木马检测防范方法是一个基于行为的、主动的、动态的检测防范方法能够克服基于静态特征检测技术的弱点是木马检测技术的发展方向。

如何区分正常的系统行为和非正常的木马行为是基于动态行为检测技术的重点和难点。行为的隐蔽性和目的的恶意性是木马行为的主要特征。所以动态检测防范的主要思想就是控制木马生存的系统资源监控木马的隐蔽途径和行为过滤并分析网络通信。在这个思想下通过对综合检测和防范技术的深入讨论本文提出了一个基于动态行为进行木马检测的入侵检测防范系统基本框架把木马的动态检测技术运用到网络安全检测系统中提高木马检测与防范的可靠性。

3特洛伊木马的概述

木马病毒和其他病毒一样都是一种人为的程序都属于电脑病毒。大家都知道以前的电脑病毒的作用其实完全就是为了搞破坏破坏电脑里的资料数据除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用或是为了炫耀自己的技术。木马病毒则不一样它的作用是赤裸裸的偷偷监视别人的所有操作和盗窃别人的各种密码和数据等重要信息如盗窃系统管理员密码搞破坏偷窃ADSL上网密码和游戏帐号密码用于牟利更有甚者直接窃取股票帐号、 网上银行帐户等机密信息达到盗窃别人财务的目的。所以木马病毒的危害性比其他电脑病毒更加大更能够直接达到使用者的目的这个现状就导致了许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序这就是目前网上大量木马病毒泛滥成灾的原因。鉴于木马病毒的这些巨大危害性和它与其他病毒的作用性质的不一样所以木马病毒虽然属于病毒中的一类但是要单独的从病毒类型中间剥离出来独立地称之为“木马病毒”程序。

2. 1木马的定义

木马的全称是“特洛伊木马” ,是一种新型的计算机网络病毒程序。它利用自身所具有的植入功能,或依附其它具有传播能力病毒,或通过入侵后植入等多种途径,进驻目标机器,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的各种敏感信息,接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等。

2. 1木马病毒的危害

多数恶意程序,只要把它们删除,危险就算过去,威胁也不再存在。但木马有些特殊,它和病毒、蠕虫之类的恶意程序一样,会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户等[1] 。

例如,经常可以看到攻击者霸占被入侵的计算机,控制U盘,用户所有的磁盘空间几乎都被侵占殆尽。除此之外,木马还有“窃取内容” “远程控制”的特点。木马具有远程控制计算机系统以及捕获用户的屏幕和每一次键击事件、音频、视频的能力,这意味着恶意攻击者能够轻松地窃取用户的密码、 目录路径、驱动器映射,甚至信用卡、银行账户和个人通信方面的信息。木马病毒危害程度要远远超过普通的病毒和蠕虫。

2. 1.3 木马的基本特征

木马是病毒的一种,木马程序也有不同种类,但它们之间又有一些共同的特性。

1.隐蔽性 当用户执行正常程序时,在难以察觉的情况下,完成危害用户的操作,具有隐蔽性。它的隐蔽性主要体现在以下6个方面,一是不产生图标,不在系统“任务栏”中产生有提示标志的图标;二是文件隐藏,将自身文件隐藏于系统的文件夹中;三是在专用文件夹中隐藏;四是自动在任务管理器中隐形,并以“系统服务”的方式欺骗操作系统;五是无声息地启动;六是伪装成驱动程序及动态链接库。

2. 自行运行木马为了控制服务端,必须在系统启动时跟随启动。所以,它潜入在你的启动配置文件中,如Win. ini,System. ini,Winstart.bat 以及启动组等文件之中。

3.欺骗性捆绑欺骗,用包含具有未公开并且可能产生危险后果的功能程序与正常程序捆绑合并成一个文件。

4. 自动恢复采用多重备份功能模块,以便相互恢复。

5. 自动打开端口用服务器客户端的通信手段,利用TCP/IP协议不常用端口自动进行连接,开方便之“门” 。

6.功能特殊性木马通常都有特殊功能,具有搜索cache中的口令、设置口令、扫描目标IP地址、进行键盘记录、远程注册表操作以及锁定鼠标等功能。

2. 1.4木马的结构

一个完整的木马系统由硬件部分软件部分和具体连接部分组成。

(1)硬件部分建立木马连接所必须的硬件实体。 控制端对服务端进行远程控制的一方。服务端被控制端远程控制的一方。 INTERNET控制端对服务端进行远程控制数据传输的网络载体。

(2)软件部分实现远程控制所必须的软件程序。控制端程序控制端用以远

程控制服务端的程序。