畢業(yè)論文---計算機網(wǎng)絡(luò)安全之木馬病毒

1、<p><b>　　畢業(yè)設(shè)計</b></p><p>　　題 目：　　 計算機網(wǎng)絡(luò)安全之木馬病毒 </p><p>　　系部（院）：　　　　 信息物流系　　　　 </p><p>　　專 業(yè)：　　　　　 計算機網(wǎng)絡(luò)技術(shù)　　　　 　 </

2、p><p>　　學(xué) 號：　　　　 　 </p><p>　　姓 名：　　　　 </p><p>　　指導(dǎo)教師：　　　　 　　 </p><p><b>　　內(nèi)容摘要</b>&

3、lt;/p><p>　　網(wǎng)絡(luò)安全技術(shù)是指致力于解決諸如如何有效進行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理的安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)。管理安全分析技術(shù)，以及其他的安全服務(wù)和安全機制策略，其目標是確保計算機網(wǎng)絡(luò)的持續(xù)健康運行。如何讓計算機網(wǎng)絡(luò)持續(xù)健康運行是我們的重要課題。我認為計算機網(wǎng)絡(luò)安全最重要的而且也是最和我們息息相關(guān)的就是計算機病毒。我們最常見的就是木馬病毒，如何

4、預(yù)防木馬病毒，如何殺查木馬病毒是我所要研究的課題。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)安全 健康運行 木馬病毒 </p><p><b>　　目錄</b></p><p><b>　　一 緒論1</b></p><p><b>　　二 正文1</b></p>&

5、lt;p>　?。ㄒ唬┠抉R病毒的基礎(chǔ)知識1</p><p>　　（二）病毒的特性2</p><p><b>　　1不產(chǎn)生圖標2</b></p><p>　?。ㄈ┎闅⒛抉R病毒2</p><p>　　1 判斷是否中了木馬2</p><p>　　（四）完全查殺木馬3</p>

6、<p>　?。ㄎ澹┓烙抉R病毒6</p><p><b>　　三結(jié)論7</b></p><p><b>　　參考文獻8</b></p><p><b>　　一 緒論</b></p><p>　　早期的防病毒思想并不盛行，那時候的網(wǎng)民也比較單純，使用網(wǎng)絡(luò)防火墻

7、的人也只有少數(shù)，所以那時候的入侵者可以算是幸福的隨著時間的流逝，木馬技術(shù)發(fā)展日益成熟，但網(wǎng)民的安全意識也普遍提高，更出現(xiàn)了初期的病毒防火墻概念，這個時期的入侵者必須掌握更高級的社會工程學(xué)手段和初期的入侵技術(shù)才能讓對方受害了，這時期的木馬雖然隱蔽性有了相對提高，但仍然是基于客戶端尋找連接服務(wù)器端的模式。</p><p>　　隨著網(wǎng)絡(luò)防火墻技術(shù)誕生和病毒防火墻技術(shù)的成熟，木馬作者被迫緊跟著防病毒廠商的腳步更新他們的作

8、品以避免馬兒過早“殉職”，同時由于網(wǎng)絡(luò)防火墻技術(shù)的出現(xiàn)，讓計算機與網(wǎng)絡(luò)之間不再直接，尤其是網(wǎng)絡(luò)防火墻實現(xiàn)的“攔截外部數(shù)據(jù)連接請求”與“審核內(nèi)部程序訪問網(wǎng)絡(luò)請求”的策略，導(dǎo)致大部分木馬紛紛失效也因此誕生了一種新的木馬技術(shù)——“反彈型”木馬。這一時期里，入侵者與受害者之間的戰(zhàn)爭終于提升到技術(shù)級別，若想保護自己，除了安裝網(wǎng)絡(luò)防火墻和病毒防火墻，以及接觸網(wǎng)絡(luò)攻防技術(shù)以外別無他法，這個“基礎(chǔ)互動”一直保持到今天的后XP時代</p>

9、<p><b>　　二 正文</b></p><p>　　（一）木馬病毒的基礎(chǔ)知識</p><p>　　木馬剛出現(xiàn)時很難對其下定義。一般情況下，病毒是依據(jù)其能復(fù)制的特點而定義的。而特洛伊木馬主要是根據(jù)它的有效載體，或者是其功能來定義的。而特洛伊“特洛伊木馬是具有某些功能或僅僅是有趣的程序。但它通常會做一些令人意想不到的事情，如盜取口令或文件?！贝蠖鄶?shù)安全專家

10、統(tǒng)一認可的定義是：“特洛伊木馬是一段能實現(xiàn)有用的或必需的功能的程序，但是同時還完成一些不為人知的功能。</p><p><b>　?。ǘ┎《镜奶匦?lt;/b></p><p><b>　　1不產(chǎn)生圖標</b></p><p>　　木馬雖然在你系統(tǒng)啟動時會自動運行，但它不會在 "任務(wù)欄"中產(chǎn)生一個圖標，這是

11、容易理解的，不然的話，你看到任務(wù)欄中出現(xiàn)一個來歷不明的圖標，你不起疑心才怪呢!</p><p>　　2木馬程序自動在任務(wù)管理器中隱藏，并以"系統(tǒng)服務(wù)"的方式欺騙操作系統(tǒng)</p><p>　　3 具有自動運行性。</p><p>　　木馬為了控制服務(wù)端。它必須在系統(tǒng)啟動時即跟隨啟動，所以它必須潛人在你的啟動配置文件中，如win.ini、system

12、.ini、winstart.bat以及啟動組等文件之中。</p><p>　　4 包含具有未公開并且可能產(chǎn)生危險后果的功能的程序。</p><p>　　5 具備自動恢復(fù)功能。</p><p>　　現(xiàn)在很多的木馬程序中的功能模塊巴不再由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。當(dāng)你刪除了其中的一個，以為萬事大吉又運行了其他程序的時候，誰知它又悄然出現(xiàn)。像幽靈

13、一樣，防不勝防。</p><p>　　6 能自動打開特別的端口</p><p>　　木馬程序潛入你的電腦之中的目的主要不是為了破壞你的系統(tǒng)，而是為了獲取你的系統(tǒng)中有用的信息，當(dāng)你上網(wǎng)時能與遠端客戶進行通訊，這樣木馬程序就會用服務(wù)器客戶端的通訊手段把信息告訴黑客們，以便黑客們控制你的機器，或?qū)嵤┻M一步的人侵企圖。</p><p><b>　　（三）查殺木馬

14、病毒</b></p><p>　　1 判斷是否中了木馬</p><p>　　我們不會平白無故的懷疑自己的電腦中了木馬或病毒之類的，一定是有原因表象的，首先討論一下中木馬后的癥狀：</p><p>　?。?）當(dāng)你瀏覽一個網(wǎng)站，彈出來一些廣告窗口是很正常的事情，可是如果你根本沒有打開瀏覽器，而覽瀏器突然自己打開，并且進入某個網(wǎng)站，那么，你要小心。</p

15、><p>　?。?）你正在操作電腦，突然一個警告框或者是詢問框彈出來，問一些你從來沒有在電腦上接觸過的間題。</p><p>　?。?）你的Windows系統(tǒng)配置老是自動莫名其妙地被更改。比如屏保顯示的文字，時間和日期，聲音大小，鼠標靈敏度，還有CD-ROM的自動運行配置。硬盤老沒緣由地讀盤，軟驅(qū)燈經(jīng)常自己亮起，網(wǎng)絡(luò)連接及鼠標屏幕出現(xiàn)異?，F(xiàn)象。</p><p>　?。?

16、）上網(wǎng)的時候無緣無故藍屏，電腦重啟</p><p>　?。?）鍵盤鼠標經(jīng)常不聽指揮，各種保密信息，包括密碼甚至上網(wǎng)帳號丟失</p><p>　　這時，最簡單的方法就是使用netstat-a命令查看。具體的步驟是點擊“開始”->“運行”->“cmd”，然后輸入netstat這個命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的端口，它包含四個部分proto(連接方式)、lo

17、cal address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當(dāng)前端口狀態(tài))。通過這個命令的詳細信息，我們就可以完全監(jiān)控電腦的網(wǎng)絡(luò)連接情況。你可以通過這個命令發(fā)現(xiàn)所有網(wǎng)絡(luò)連接，如果這時有攻擊者通過木馬連接，你可以通過這些信息發(fā)現(xiàn)異常。通過端口掃描的方法也可以發(fā)現(xiàn)一些弱智的木馬，特別是一些早期的木馬，它們捆綁的端口不能更改，通過掃描這些固定的端口也可以發(fā)現(xiàn)木馬是否被植入。但現(xiàn)在得第二代木馬大部

18、分都已經(jīng)是用了端口反彈技術(shù)了，很難就一眼就看出來是否中了木馬。</p><p><b>　?。ㄋ模┩耆闅⒛抉R</b></p><p><b>　　1利用工具</b></p><p>　　工具有專業(yè)的殺毒軟件和木馬專殺工具之分。殺毒軟件大家都很熟悉，有：金山毒霸，瑞星，卡巴斯基，麥咖啡，江民等一些優(yōu)秀的殺毒軟件。查殺木馬的

19、工具有LockDown、TheClean、木馬殺客、木馬克星、金山木馬專殺、木馬清除大師、木馬分析專家等。</p><p>　　木馬查殺工具和殺毒軟件雖然都可以殺除木馬，但畢竟他們還是有一定區(qū)別的。前者最大的特點就是針對性強，并且功能強大。比如他們會帶有監(jiān)視注冊表的功能，一旦發(fā)現(xiàn)有注冊表改動就會以明文方式通知用戶進行確認。這樣可以有效的阻止木馬的自動運行功能，從而也就達到了防馬的目的。還有些殺木馬的工具他們可以先

20、于系統(tǒng)啟動，以達到殺出內(nèi)核級木馬的目的。這也是殺毒軟件無法比擬的。當(dāng)然殺毒軟件也有殺毒軟件的優(yōu)勢。比如他們可以殺病毒、蠕蟲等多種不安全代碼，并可以對可疑代碼上傳分析；殺毒軟件公司技術(shù)人員多，資金雄厚，所以更新也較快。</p><p>　　所有的東西都有它存在的價值。這些工具不僅是外行人員保護自己電腦的有利武器，也是制約木馬泛濫的重要因素。但同時他們還有很多不完善的地方，如：其中有些工具，如果想使用全部功能，需要付

21、一定的費用，使得盜版、破解軟件興旺。隨著木馬三大技術(shù)的快速發(fā)展，殺毒軟件已經(jīng)越來越不堪重負，越來越多的木馬殺不了，甚至查不出來；越來越多的強悍木馬正被黑客制造出來，是否真的已經(jīng)無可挽回邪要勝正的局面？也許下一代操作系統(tǒng)可以解決根本問題！</p><p>　　然而，許多對于殺毒軟件來說陌生的木馬在我們仔細的觀察和比對下是可以被發(fā)現(xiàn)的。下面我們來看看怎樣手工來查殺木馬，這需要相對的一些專業(yè)知識。</p>

22、<p><b>　　2手工方法</b></p><p>　?。?）檢查網(wǎng)絡(luò)連接情況</p><p>　　由于不少木馬會主動偵聽端口，或者會連接特定的IP和端口，所以我們可以在沒有正常程序連接網(wǎng)絡(luò)的情況下，通過檢查網(wǎng)絡(luò)連接情況來發(fā)現(xiàn)木馬的存在。我們可以隨時完全監(jiān)控電腦的網(wǎng)絡(luò)連接情況。一旦有一些不熟悉的程序和特別的端口在運行，我們就可以馬上發(fā)現(xiàn)它，也可以及時關(guān)

23、閉它，還可以跟蹤它，找到它的原文件位置。下面有顯示其路徑、名稱和版本，便于我們追查和刪除。所以，防火墻是上網(wǎng)必備的基本防護軟件之一！</p><p>　?。?）查看目前運行的服務(wù)</p><p>　　服務(wù)是很多木馬用來保持自己在系統(tǒng)中永遠能處于運行狀態(tài)的方法之一。我們可以通過點擊“開始”->“運行”->“cmd”，然后輸入“net start”來查看系統(tǒng)中究竟有什么服務(wù)在開啟，

24、如果發(fā)現(xiàn)了不是自己開放的服務(wù)，我們可以進入“服務(wù)”管理工具中的“服務(wù)”，找到相應(yīng)的服務(wù)，停止并禁用它。</p><p>　?。?）檢查系統(tǒng)啟動項</p><p>　　由于注冊表對于普通用戶來說比較復(fù)雜，木馬常常喜歡隱藏在這里。檢查注冊表啟動項的方法如下:點擊“開始”->“運行”->“regedit”，然后檢查HKEY_LOCAL_MACHINESoftwareMicrosoft

25、WindowsCurrentVersion下所有以“run”開頭的鍵值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值;HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值?！　indows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個文

26、件看看，在該文件的[boot]字段中，是不是有shell=Explorer.exe file.exe這樣的內(nèi)容，如有這樣的內(nèi)容，那這里的file.exe就是木馬程序了!</p><p><b>　　（4）檢查系統(tǒng)帳戶</b></p><p>　　惡意的攻擊者喜在電腦中留有一個賬戶的方法來控制你的計算機。他們采用的方法就是激活一個系統(tǒng)中的默認賬戶，但這個賬戶卻很少用的，

27、然后把這個賬戶的權(quán)限提升為管理員權(quán)限，這個帳戶將是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過這個賬戶任意地控制你的計算機。針對這種情況，可以用以下方法對賬戶進行檢測。</p><p>　　點擊“開始”->“運行”->“cmd”，然后在命令行下輸入net user，查看計算機上有些什么用戶，然后再使用“net users 用戶名”查看這個用戶是屬于什么權(quán)限的，一般除了Administrator是admi

28、nistrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了?？焓褂谩皀et user用戶名/del”來刪掉這個用戶吧!</p><p><b>　?。ㄎ澹┓烙抉R病毒</b></p><p>　　上面說了一些殺木馬的方法，但這畢竟是很無奈的事，學(xué)會怎樣防范木馬的

29、入侵，這才是關(guān)鍵。這里有防范木馬的幾點建議：</p><p>　　1絕對不要輕易相信從任何地方得來的任何文件，就算是以你最好的朋友的名義給你的文件也不例外。如果你確實需要這個文件，請一定做好徹底檢查。</p><p>　　2雙擊文件之前，搞清楚文件的類型、到底這是個純粹的.doc文檔，還是一個可執(zhí)行文件卻有著.doc文件的外衣呢? 1</p><p>　　3

30、堅持每天升級你的反病毒軟件和反木馬軟件程序。現(xiàn)在很多這種軟件都有任務(wù)編輯功能，你完全可以讓軟件在夜晚你睡覺的時候，自動執(zhí)行殺毒和升級程序，何樂而不為? </p><p>　　4確保你所使用的軟件是最新版，并且關(guān)注各大軟件BBS討論版，爭取最大限度地了解你所使用的軟件。很多軟件都有自動檢查版本更新的選項，只要打上一個勾，每次執(zhí)行該程序，都會自動檢查有無更新版本發(fā)布，非常方便。</p><p>

31、;　　5經(jīng)常檢查計算機上運行的進程，這不光可以有習(xí)很多計算機知識。助于你發(fā)現(xiàn)木馬，還可以幫助你學(xué)</p><p>　　6從不知名的小站下載軟件使用是非常危險的，切忌!</p><p>　　7一些共享軟件和免費軟件也有含有惡意代碼的可能，請留意各大網(wǎng)站的通報。</p><p>　　8仔細閱讀你的殺毒軟件的說明書，爭取發(fā)揮軟件的最大攻用。</p><

32、p>　　9注意檢查啟動組和Win.ini以及System.ini、winstart.bat、wininit.ini、Autoexec.bat、config等文件。</p><p>　　10注意系統(tǒng)中常用文件的長度，木馬如果捆綁在其中，長度就會發(fā)生變化，這是發(fā)現(xiàn)捆綁木馬的好方法。</p><p>　　11注意上網(wǎng)時腦所用端口，對1024端口以上的不連續(xù)端口要密切注意 (可以通過鍵入ne

33、t stara命令來查看輸出列表中的 "LocalAddress"項，看看有什么端口是開啟的。下面的地址是一個著名木馬常用端口列表:</p><p>　　12最后一條是特別建議:發(fā)現(xiàn)情況不對立即斷線。盡管造成上網(wǎng)速度突然變慢的原因有很多，但有理由懷疑由特洛伊木馬造成的也是有根據(jù)的:當(dāng)入侵者使用特洛伊的客戶端程序訪問你的機器時，會與你的正常訪問搶占帶寬。特別是當(dāng)入侵者從遠端下載用戶硬盤上的文件時

34、，正常訪問會變得奇慢無比!這時，你可以雙擊任務(wù)欄有下角的連接圖際，仔細觀察一下已發(fā)送字節(jié)項，如果數(shù)字變化成1-3kps(每秒1-3000字節(jié))，幾乎可以確認有人在下載你的硬盤文件!除非你正在使用FTP功能。當(dāng)發(fā)現(xiàn)上述可疑跡象后，你所能做的就是立即斷線，然后對硬盤有無特洛伊木馬進行認真的檢查。</p><p><b>　　三結(jié)論</b></p><p>　　木馬的發(fā)展促

35、進了安全技術(shù)的提高，而安全技術(shù)的提高又迫使木馬必須往更高的級別發(fā)展，到現(xiàn)在木馬已經(jīng)形成了多個派系的共存，偵測它們的方法也不能再像以前那樣簡單了，例如檢測異常端口的方法對于反彈木馬而言是無效的，它并不在本機開放端口；就算防火墻能阻止內(nèi)部未授權(quán)程序訪問網(wǎng)絡(luò)，但那只能針對TCP/UDP協(xié)議的木馬，別忘記了還有ICMP后門的存在，防火墻通常不會阻止這類報文的。雖然ICMP協(xié)議的數(shù)12據(jù)報文能完成的事情相對較少，但是對于一般的命令控制，它已經(jīng)足夠

36、了.Internet上每天都有新的木馬冒出來，所采取的隱蔽措施也是五花八門。在信息社會里，計算機用戶對自己的資料進行保密、防止泄漏也變得越來越重要。防范木馬襲擊也只是提高計算機安全性的一個方面。技術(shù)的發(fā)展，本文所講述的檢測、刪除木馬方法也總有一天會失效，最主要還是要靠用戶提高警惕，防范所有的不安全事件于未然。</p><p><b>　　參考文獻</b></p><p&

37、gt;　　[1]康平治，特洛伊木馬可生存性研究及攻防實踐，重慶大學(xué)，2005年8月</p><p>　　[2]郭威兵，劉曉英，淺析木馬病毒及其防范措施，科技情報開發(fā)與經(jīng)濟，2006年02期</p><p>　　[3]宋彥民，檢測和刪除木馬病毒的方法，現(xiàn)代電子技術(shù)，2001年12期 </p><p>　　[4]孔繁榮，深入了解和防治木馬病毒，內(nèi)蒙古科技與經(jīng)濟，2002

38、年06期</p><p>　　[5]病毒情報站，電腦采購周刊2002年37期 </p><p>　　[6]朱明，徐塞，劉春明，木馬病毒分析及其檢測方法研究，計算機工程與應(yīng)用，2003年3月</p><p>　　[7]幾款常見的木馬病毒的清除，計算機網(wǎng)絡(luò)，2002年14期</p><p>　　[8]CNCERT，新時代下的網(wǎng)絡(luò)病毒，計算機