木马
1.定义:
木马全称为特洛伊木马(Trojan Horse,英文则简称Trojan),在计算机安全学中,特洛伊木马是指一种计算机程序,表面上或实际上有某种有用的功能,同时又含有隐藏的可以控制用户计算机系统、危害系统安全的功能,可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上,木马也可以称为计算机病毒。
2.木马病毒工作原理
一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。
3.木马病毒的检测
查看system.ini、win.ini、启动组中的启动项目。在【开始】【| 运行】命令,输入msconfig,运行Windows自带的“系统配置实用程序”。选中system.ini标签,展开【boot】目录,查看“shell=”这行,正常“shell=Explorer.exe”,如果不是,就有可能中了木马病毒。选中win.ini标签,展开【windows】目录项,查看“run=”和“load=”行,等号后面应该为空。再看看有没有非正常启动项目,要是有类似netbus、netspy、bo等关键词,就极有可能是中了木马。
其他的一些方法,例如在正常操作计算机时,发现计算机的处理速度明显变慢、硬盘不停读写、鼠标不听使唤、键盘无效、一些窗口自动关闭或打开……这一切都表明可能是木马客户端在远程控制计算机。
4.木马病毒实例
Internet上每天都有新的木马出现,所采取的隐蔽措施也是五花八门。下面介绍几种常见的木马病毒的清除方法。
预防病毒
病毒预防
1.对病毒的预防在病毒防治工作中起主导作用,是病毒防治的重点,主要针对病毒可能入侵的系统薄弱环节加以保护和监控。预防计算机病毒要从以下几个方面着手。
(1)检查外来文件。对于网络上下载的或者外部存储器中的程序和文档,在执行或打开文档之前,一定要检查是否有病毒。
(2)局域网预防。尽可能选择无盘工作站。限制用户对服务器上可执行文件的操作。使用抗病毒软件动态检查使用中的文件。
(3)使用确认和数据完整性工具。
(4)周期性备份工作文件。
2.网络病毒的防治相对单机病毒的防治具有更大的难度。目前,网络大都采用Client/Server(客户机/服务器)的工作模式。防治网络病毒需要从服务器和工作站两个主要方面并结合网络管理着手解决。
(1)在网络管理方面进行防治
——制定严格的工作站安全操作规程。
——建立完整的网络软件和硬件的维护制度,定期对各工作站进行维护。
——建立网络系统软件的安全管理制度。
——设置正确的访问权限和文件属性
(2)基于工作站的防治方法
工作站是网络的门,只要将这扇门关好,就能有效地防治病毒入侵。可以使用单机反病毒软件、防病毒卡以及工作站防病毒
芯片。
(3)基于服务器的防治方法
服务器是网络的核心,一旦服务器被病毒感染,就会使整个网络陷于瘫痪。目前,基于服务器的防治病毒方法一般采用NLM
(Netware Loadable Module)技术进行程序设计,以服务器为基础,提供实时扫描病毒能力。其优点主要表现在不占用工作站的内存,可以集中扫毒,能实现实时扫描功能,以及软件安装和升级都很方便等方面。
病毒的入侵必将对系统资源构成威胁,即使良性病毒也要侵吞系统的宝贵资源,所以防治病毒入侵远比病毒入侵后再加以清除更为重要。抗病毒技术必须建立“预防为主,消灭结合”的基本观念。
检测病毒
检测计算机上是否被病毒感染,通常可以采用手工检测和自动检测。
——手工检测是指通过一些工具软件(比如Debug.com、Pctools.exe等),对易遭病毒攻击和修改的内存及磁盘的相关部分进行检测,通过与正常状态进行对比来判断是否被病毒感染。虽然该方法操作复杂,易出错且效率低,但是该方法可以检测和识别未知病毒,以及检测一些自动检测工具不能识别的新病毒。
——自动检测是指通过一些诊断软件和杀毒软件,来判断一个系统或磁盘是否有病毒,如使用瑞星、金山毒霸等软件。虽然该方法可以方便检测大量病毒且操作简单,但是自动检测工具只能识别已知的病毒,而且它的发展总是滞后于病毒的发展。对病毒进行检测可以采用手工方法和自动方法相结合的方式。检测病毒的技术和方法主要有以下几种。
比较法
比较法是将原始备份与被检测的引导扇区或被检测的文件进行比较。该方法的优点是简单、方便,不需要专用软件。缺点是无法确认计算机病毒的种类和名称。由于要进行比较,保存好原始备份就非常重要了,制作备份时必须在无计算机病毒的环境下进行,制作好的备份必须妥善保管,贴上标签,并加上写保护。
特征代码法
特征代码法是用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描。如果被检测对象内部发现了某一种特定字符串,就表明发现了该字符串所代表的的计算机病毒,这种计算机病毒扫描软件称之为Virus Scanner。该方法优点是检测准确快速、可识别病毒的名称、误报警率低,依据检测结果可做解毒处理。缺点是不能检测未知病毒,且搜集已知病毒的特征代码费用开销大,在网络上效率低。
分析法
分析法是防杀计算机病毒不可缺少的重要技术,该方法要求具有比较全面的有关计算机、DOS、Windows、网络等的结构和功能调用,以及与计算机病毒相关的各种知识。除此之外,还需要反汇编工具、二进制文件编辑器等用于分析的工具程序和专用的实验计算机。分析的步骤分为静态分析和动态分析两种。静态分析是指利用反汇编工具将计算机病毒代码打印成反汇编指令程序清单后进行分析,了解计算机病毒分成哪些模块,使用了哪些系统调用,采用了哪些技巧,并将计算机病毒感染文件的过程翻转为清除计算机病毒、修复文件的过程。动态分析是指,利用DEBUG等调试工具在内存带毒的情况下,对计算机病毒做动态跟踪,观察计算机病毒的具体工作过程,以进一步在静态分析的基础上理解计算机病毒的工作原理。
验和法
计算正常文件的校验和,并将结果写入此文件或其他文件中保存。在文件使用过程中或使用之前,定期检查文件的校验和与原来保存的校验和是否一致,从而可以发现文件是否被感染,这种方法称为校验和。该方法优点是方法简单,能发现未知病毒,也能发现被检查文件的细微变化。缺点是会误报警,不能识别病毒名称,不能对付隐蔽型病毒。
行为监测法
行为监测法是利用病毒的特有行为特征性来监测病毒的方法。监测病毒的行为特征如下。
——占有INT 13H所有的引导型病毒,都攻击Boot扇区或主引导扇区。
——修改DOS系统数据区的内存总量。
——对.com、.exe文件进行写入操作。
——病毒程序与宿主程序进行切换。
行为监测法的优点是可发现未知病毒,能够相当准确地预报未知的多数病毒。行为监测法的缺点是会误报警,不能识别病毒
名称,实现时有一定难度。
软件仿真扫描法
该技术专门用于对付多态性计算机病毒,能够仿真CPU执行,在DOS虚拟机下伪执行计算机病毒程序,安全地将其解密,然后再进行扫描。
先知扫描法
先知扫描技术就是将专业人员用来判断程序是否存在计算机病毒代码的方法,分析归纳成专家系统和知识库,再利用软件仿
真技术伪执行新的计算机病毒,超前分析出新计算机病毒代码,用于对付以后的计算机病毒。
人工智能陷阱技术和宏病毒陷阱技术
人工智能陷阱技术是一种监测计算机行为的常驻式扫描技术。其优点是执行速度快、操作简便,且可以检测到各种计算机病
毒;缺点是程序设计难度大,且不容易考虑周全。
宏病毒陷阱技术则是结合了特征代码法和人工智能陷阱技术,根据行为模式来检测已知及未知的宏病毒。
实时I/O扫描
实时I/O扫描的目的在于即时对计算机上的输入/输出数据作病毒码比对,希望能够在病毒尚未被执行前,将病毒防御于门外。
网络病毒检测技术
网络监测法是一种检查、发现网络病毒的方法。网络病毒的特点是通过网络进行传播,如果在服务器、网络接入端和网站设置病毒防火墙,可以起到大规模防止病毒扩散的目的。
杀毒技术
将染毒文件的病毒代码摘除,使之恢复为可正常运行的文件,称为病毒的清除。清除病毒所采用的技术称为杀毒技术。
引导型病毒的清除
引导型病毒感染时一般攻击硬盘主引导区以及硬盘或移动存储介质的Boot扇区。一般使用FDISK/MBR可以清除大多数引导型病毒。
宏病毒的清除
为了恢复宏病毒,须用非文档格式保存足够的信息。RTF(Rich Text Format)适合保留原始文档的足够信息而不包含宏。然后退出文档编辑器,删除已感染的文档文件以及Normal.dot和start-up目录下的文件。
文件型病毒的清除
一般文件型病毒的染毒文件可以修复。当恢复受感染文件需要考虑下列因素。
——不管文件的属性,测试和恢复所有目录下的可执行文件。
——希望确保文件的属性和最近修改时间不改变。
——一定考虑一个文件多重感染的情况。
病毒的去激活
清除内存中的病毒是指把RAM中的病毒进入非激活状态。这需要操作系统和汇编语言的知识。
使用杀病毒软件清除病毒
计算机一旦感染病毒,一般用户首选是使用杀病毒软件来清除病毒。其优点是使用方便、技术要求不高,不需要具有太多的计算机知识。缺点是有时会删除带毒文件,可能导致系统不能正常运行,同时需要经常升级病毒代码库。
结语
在因特网技术以及计算机技术不断发展的形势下,我国已经完全进入信息化时代,信息化时代的到来,使得人们的生活以及工作都得到了极大地方便,但是,在为人们提供录入巨大方便的同时,网络同样也存在着一定的安全隐患。