木馬病毒入侵微機(jī)的途徑與防治研究

1、吉林省高等教育自學(xué)考試畢 業(yè) 論 文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 專(zhuān) 業(yè)：計(jì)算機(jī)應(yīng)用軟件準(zhǔn)考證號(hào)：學(xué)生姓名：指導(dǎo)教師：2012 年 月 日吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文摘摘 要要計(jì)算機(jī)病毒往往會(huì)利用計(jì)算機(jī)操作系統(tǒng)的弱點(diǎn)進(jìn)行傳播，提高系統(tǒng)的安全性是防病毒的一個(gè)重要方面，但完美的系統(tǒng)是不存在的，過(guò)于強(qiáng)調(diào)提高系統(tǒng)的安全性將使系統(tǒng)多數(shù)時(shí)間用于病毒檢查，系統(tǒng)失去了可用性、實(shí)用性和易用性，另一方面，信息保密的要求讓人們?cè)谛姑芎妥プ〔《局g無(wú)法選擇。病毒與反病毒將作為一種技術(shù)對(duì)抗長(zhǎng)期存在，兩種技術(shù)都將隨計(jì)算機(jī)技術(shù)的發(fā)展而得到長(zhǎng)期的發(fā)展。本

2、文通過(guò)對(duì)計(jì)算機(jī)常見(jiàn)的病毒之一,木馬病毒進(jìn)行詳細(xì)的研究，從木馬病毒的簡(jiǎn)單介紹，到木馬的危害、存在形式以及如何防御、查出和清除木馬病毒做了深入的分析。關(guān)鍵詞關(guān)鍵詞: : 計(jì)算機(jī)病毒，互聯(lián)網(wǎng)，木馬病毒吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文IAbstractThe computer virus can be spread by using the weakness of the operating system. How to improve the level of the security is an important aspect of safe

3、ty for the computer system. Howre, no perfect system there, the more effort done to the security of the system, the less usable and opera table. On the other side, the demand for the information security often makes people have to choose no option there. As virus and anti-virus will be exist for a l

4、ong time, the technology of both will develop further in the future. This article through to the computer common viruses, trojan virus detailed research, from the simple introduction to the Trojan horse virus, Trojan harm, existing form and how to detect and remove Trojan virus defense, did thorough

5、 analysis.Keywords: Computer Virus, Internet, worm Virus吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文II目目 錄錄摘 要.IABSTRACT.IIKEYWORDS:.II目 錄.III第一章 計(jì)算機(jī)病毒的特征與分類(lèi).11.1 計(jì)算機(jī)病毒的定義.11.2 計(jì)算機(jī)病毒的產(chǎn)生.11.3 常見(jiàn)計(jì)算機(jī)病毒類(lèi)型.21.3.1木馬(Trojan Horse).21.3.2蠕蟲(chóng)病毒(worm).21.3.3宏病毒.21.3.4惡意軟件（間諜軟件和流氓軟件）.31.3.5網(wǎng)頁(yè)腳本病毒.3第二章 木馬病毒的介紹.42

6、.1 木馬病毒的定義.42.2 木馬病毒的特征.42.3 木馬病毒的種類(lèi).42.3.1網(wǎng)絡(luò)游戲木馬.52.2.2網(wǎng)銀木馬.52.2.3 網(wǎng)頁(yè)點(diǎn)擊類(lèi)木馬.52.2.4 下載類(lèi)木馬.62.4 木馬病毒的發(fā)展方向.62.5 木馬病毒的傳播途徑.7第三章 木馬病毒的危害及存在形式.83.1 木馬病毒的危害.83.1.1盜取我們的網(wǎng)游賬號(hào)，威脅我們的虛擬財(cái)產(chǎn)的安全.83.1.2 盜取我們的網(wǎng)銀信息，威脅我們的真實(shí)財(cái)產(chǎn)的安全.83.1.3 利用即時(shí)通訊軟件盜取我們的身份，傳播木馬病毒.83.2 木馬存在形式.83.2.1 集成到程序中.83.2.2 隱藏在配置文件中.93.2.3 潛伏在Win.ini中.

7、93.2.4 偽裝在普通文件中.9吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文III3.2.5 內(nèi)置到注冊(cè)表中.103.2.6 隱形于啟動(dòng)組中.103.2.7 隱蔽在 Winstart.bat 中.103.2.8 設(shè)置在超級(jí)連接中.103.2.9 可疑端口.10第四章 防御、查出及清除木馬病毒的方法.114.1 防御木馬病毒的方法.114.1.1木馬查殺.114.1.2防火墻.114.2 查出木馬病毒的方法.134.2.1檢測(cè)網(wǎng)絡(luò)連接.134.2.2輕松檢查賬戶.13圖 4-1 算法流程圖.154.3 清除木馬病毒的方法.154.3.1禁用系統(tǒng)還原.1

8、54.3.2將計(jì)算機(jī)重啟到安全模式或 VGA 模式.164.3.3 管理啟動(dòng)程序.164.3.4 優(yōu)化系統(tǒng)安全.174.3.5使用木馬查殺軟件.174.3.6 案例分析.17第五章 計(jì)算機(jī)病毒的防范措施.195.1 及時(shí)修補(bǔ)操作系統(tǒng)漏洞.195.2 安裝防火墻軟件.195.3 安裝并及時(shí)更新殺毒軟件.205.4 增強(qiáng)防范意識(shí).205.5 網(wǎng)站管理需更加嚴(yán)格.20致謝（REFERENCES）.22參考文獻(xiàn).23吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 0 頁(yè) 共 15 頁(yè)第一章第一章 計(jì)算機(jī)病毒的特征與分

9、類(lèi)計(jì)算機(jī)病毒的特征與分類(lèi)1.1 計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒1是一種人為制造的、能夠進(jìn)行自我復(fù)制的、具有對(duì)計(jì)算機(jī)資源的破壞作用的一組程序或指令的集合。這是計(jì)算機(jī)病的廣義定義。類(lèi)似于生物病毒，它能把自身附著在各種類(lèi)型的文件上或寄生在存儲(chǔ)媒介中，能對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行各種破壞，同時(shí)有獨(dú)特的復(fù)制能力和傳染性，能夠自我復(fù)制（主動(dòng)傳染）；另一方面，當(dāng)文件被復(fù)制或在網(wǎng)絡(luò)中從一個(gè)用戶傳送到另一個(gè)用戶時(shí)（被動(dòng)傳染），它們就隨同文件一起蔓延開(kāi)來(lái)。計(jì)算機(jī)病毒(Computer Virus)在中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中被明確定義，病毒指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破

10、壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。而在一般教科書(shū)及通用資料中被定義為:利用計(jì)算機(jī)軟件與硬件的缺陷，由被感染機(jī)內(nèi)部發(fā)出的破壞計(jì)算機(jī)數(shù)據(jù)并影響計(jì)算機(jī)正常工作的一組指令集或程序代碼 。1.2 計(jì)算機(jī)病毒的產(chǎn)生計(jì)算機(jī)病毒的產(chǎn)生病毒不是來(lái)源于突發(fā)或偶然的原因。一次突發(fā)的停電和偶然的錯(cuò)誤，會(huì)在計(jì)算機(jī)的磁盤(pán)和內(nèi)存中產(chǎn)生一些亂碼和隨機(jī)指令，但這些代碼是無(wú)序和混亂的，病毒則是一種比較完美的，精巧嚴(yán)謹(jǐn)?shù)拇a，按照嚴(yán)格的秩序組織起來(lái)，與所在的系統(tǒng)網(wǎng)絡(luò)環(huán)境相適應(yīng)和配合起來(lái)，病毒不會(huì)通過(guò)偶然形成，并且需要有一定的長(zhǎng)度，這個(gè)基本的長(zhǎng)度從概率上來(lái)講是不可能通過(guò)隨機(jī)代碼產(chǎn)生的?，F(xiàn)在流行的病

11、毒是由人為故意編寫(xiě)的，多數(shù)病毒可以找到作者和產(chǎn)地信息，從大量的統(tǒng)計(jì)分析來(lái)看，病毒作者主要情況和目的是：一些天才的程序員為了表現(xiàn)自己和證明自己的能力，出于對(duì)上司的不滿，為了好奇，為了報(bào)復(fù)，為了祝賀和求愛(ài)，為了得到控制口令，為了軟件拿不到報(bào)酬預(yù)留的陷阱等。當(dāng)然也有因政治，軍事，宗教，民族專(zhuān)利等方面的需求而專(zhuān)門(mén)編寫(xiě)的，其中也包括一些病毒研究機(jī)構(gòu)和黑客的測(cè)試病毒。吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 1 頁(yè) 共 15 頁(yè)1.3 常見(jiàn)計(jì)算機(jī)病毒類(lèi)型常見(jiàn)計(jì)算機(jī)病毒類(lèi)型根據(jù)中國(guó)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心發(fā)表的報(bào)告

12、統(tǒng)計(jì)，目前 45%的病毒是木馬程序，蠕蟲(chóng)占病毒總數(shù)的 25%，腳本病毒占 15%，其余的病毒類(lèi)型分別是：文件型病毒、破壞性程序和宏病毒。1.3.1 木馬木馬(Trojan Horse)木馬這個(gè)名字是取自希臘神話里面的“特洛伊木馬”。希臘人在一只假裝人祭禮的巨大木馬中藏匿了許多希臘士兵并引誘特洛伊人將它運(yùn)進(jìn)城內(nèi)，等到夜里馬腹內(nèi)士兵與城外士兵里應(yīng)外合，一舉攻破了特洛伊城。而現(xiàn)在所謂的特洛伊木馬正是指那些表面上是有用的軟件、實(shí)際目的卻是危害計(jì)算機(jī)安全并導(dǎo)致嚴(yán)重破壞的計(jì)算機(jī)程序。它是具有欺騙性的文件，是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。木馬中包含能夠在觸發(fā)時(shí)導(dǎo)致數(shù)據(jù)丟失甚至被竊的

13、惡意代碼。要使木馬傳播，必須在計(jì)算機(jī)上有效地啟用這些程序，例如打開(kāi)電子郵件附件或者將木馬捆綁在軟件中放到網(wǎng)絡(luò)吸引人下載執(zhí)行等。現(xiàn)在的木馬一般主要以竊取用戶相關(guān)信息為主要目的，典型的特洛伊木馬有灰鴿子、網(wǎng)銀大盜等。1.3.2 蠕蟲(chóng)病毒蠕蟲(chóng)病毒(worm)蠕蟲(chóng)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些特點(diǎn)，如傳播性、隱蔽性、破壞性等等，同時(shí)還具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。普通病毒需要傳播受感染的駐留文件來(lái)進(jìn)行復(fù)制，而蠕蟲(chóng)不使用駐留文件即可在系統(tǒng)之間進(jìn)行自我復(fù)制；普通病毒的傳染能力主要是針對(duì)計(jì)算機(jī)內(nèi)的文件系統(tǒng)而言，而蠕蟲(chóng)

14、病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī)。1.3.3 宏病毒宏病毒宏病毒是一種可執(zhí)行代碼的病毒,通常存在于軟件的的應(yīng)用文檔之內(nèi)。宏病毒的感染對(duì)象主要是 Microsoft 開(kāi)發(fā)的辦公系列軟件。在這些軟件中，可以允許用戶在一個(gè)其文檔中嵌入“宏命令”，使得某種操作得以自動(dòng)運(yùn)行。而宏病毒正吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 2 頁(yè) 共 15 頁(yè)是以這種同樣的操作，將自身嵌入到這些文檔中，以此來(lái)對(duì)用戶的使用造成破壞。1.3.4惡意軟件（間諜軟件和流氓軟件）惡意軟件（間諜軟件和流氓軟件）惡意軟件是部分不良網(wǎng)絡(luò)公

15、司出品的一種收集用戶瀏覽網(wǎng)頁(yè)習(xí)慣而制訂自己廣告投放策略的軟件。這種軟件本身對(duì)計(jì)算機(jī)的危害性不是很大，只是中毒者隱私遭到?jīng)侗皇占?，并且一旦安裝上它就無(wú)法正常刪除卸載。惡意軟件雖然危害性與傳統(tǒng)病毒相比并不顯著，不會(huì)對(duì)計(jì)算機(jī)系統(tǒng)造成強(qiáng)烈的破壞，但是這些軟件對(duì)用戶的使用卻造成極大的干擾。因此眾多的殺毒軟件都會(huì)對(duì)用戶提示這些惡意軟件，微軟從 Windows Vista 開(kāi)始也在系統(tǒng)中置入了 Windows Defender 程序來(lái)檢測(cè)這一類(lèi)型的軟件。1.3.5 網(wǎng)頁(yè)腳本病毒網(wǎng)頁(yè)腳本病毒網(wǎng)頁(yè)腳本病毒通常是使用 JavaScript 編寫(xiě)的惡意代碼，一般帶有廣告性質(zhì)，會(huì)修改 IE 瀏覽器的首頁(yè)、修改注冊(cè)

16、表等信息，造成用戶使用計(jì)算機(jī)異常。由于網(wǎng)頁(yè)腳本病毒可以在網(wǎng)頁(yè)中寄存，因此用戶在瀏覽網(wǎng)頁(yè)的過(guò)程中，很容易遭受到該類(lèi)腳本的攻擊。腳本病毒的執(zhí)行環(huán)境叫做 WSH，即“Windows Scripting Host”，這是微軟提供的一種基于 32 位 Windows 平臺(tái)的、與語(yǔ)言無(wú)關(guān)的腳本解釋機(jī)制，它使得腳本能夠直接在 Windows 桌面或命令提示符下運(yùn)行。WSH 所對(duì)應(yīng)的程序“WScript.exe”是一個(gè)腳本語(yǔ)言解釋器，位于 Windows 所在的文件夾下，大多數(shù)系統(tǒng)在默認(rèn)安裝后都會(huì)有 WSH 的身影。此類(lèi)病毒正是使用這一運(yùn)行環(huán)境進(jìn)行對(duì)用戶計(jì)算機(jī)的攻擊。吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)

17、科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 3 頁(yè) 共 15 頁(yè)第二章第二章 木馬病毒的介紹木馬病毒的介紹“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過(guò)將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開(kāi)被種者電腦的門(mén)戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。2.1 木馬病毒的定義木馬病毒的定義木馬病毒是指通過(guò)一段特定的程序（木馬程序）來(lái)控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶端，即控制端，另一個(gè)是服務(wù)端，即被控制端。植入被種者電腦的是“服務(wù)器”

18、部分，而所謂的“黑客”正是利用“控制器”進(jìn)入運(yùn)行了“服務(wù)器”的電腦。運(yùn)行了木馬程序的“服務(wù)器”以后，被種者的電腦就會(huì)有一個(gè)或幾個(gè)端口被打開(kāi)，使黑客可以利用這些打開(kāi)的端口進(jìn)入電腦系統(tǒng)，安全和個(gè)人隱私也就全無(wú)保障了！ 木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務(wù)一旦運(yùn)行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計(jì)算機(jī)增加口令，瀏覽、移動(dòng)、復(fù)制、刪除文件，修改注冊(cè)表，更改計(jì)算機(jī)配置等。2.2 木馬病毒的特征木馬病毒的特征特洛伊木馬不經(jīng)電腦用戶準(zhǔn)許就可獲得電腦的使用權(quán)。程序容量十分輕小，運(yùn)行時(shí)不會(huì)浪費(fèi)太多資源，因此沒(méi)有使用殺毒軟件是難以發(fā)覺(jué)的；運(yùn)行時(shí)很難阻止它的

19、行動(dòng)，運(yùn)行后，立刻自動(dòng)登錄在系統(tǒng)引導(dǎo)區(qū)，之后每次在 Windows 加載時(shí)自動(dòng)運(yùn)行；或立刻自動(dòng)變更文件名，甚至隱形；或馬上自動(dòng)復(fù)制到其他文件夾中，運(yùn)行連用戶本身都無(wú)法運(yùn)行的動(dòng)作。2.3 木馬病毒的種類(lèi)木馬病毒的種類(lèi)吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 4 頁(yè) 共 15 頁(yè)2.3.1 網(wǎng)絡(luò)游戲木馬網(wǎng)絡(luò)游戲木馬隨著網(wǎng)絡(luò)在線游戲的普及和升溫，我國(guó)擁有規(guī)模龐大的網(wǎng)游玩家。網(wǎng)絡(luò)游戲中的金錢(qián)、裝備等虛擬財(cái)富與現(xiàn)實(shí)財(cái)富之間的界限越來(lái)越模糊。同時(shí)，以盜取網(wǎng)游帳號(hào)密碼為目的的木馬病毒也隨之發(fā)展泛濫起來(lái)。網(wǎng)絡(luò)游戲木馬通

20、常采用記錄用戶鍵盤(pán)輸入、Hook 游戲進(jìn)程 API 函數(shù)等方法獲取用戶的密碼和帳號(hào)。竊取到的信息一般通過(guò)發(fā)送電子郵件或向遠(yuǎn)程腳本程序提交的方式發(fā)送給木馬作者。網(wǎng)絡(luò)游戲木馬的種類(lèi)和數(shù)量，在國(guó)產(chǎn)木馬病毒中都首屈一指。流行的網(wǎng)絡(luò)游戲無(wú)一不受網(wǎng)游木馬的威脅。一款新游戲正式發(fā)布后，往往在一到兩個(gè)星期內(nèi)，就會(huì)有相應(yīng)的木馬程序被制作出來(lái)。大量的木馬生成器和黑客網(wǎng)站的公開(kāi)銷(xiāo)售也是網(wǎng)游木馬泛濫的原因之一。2.2.2 網(wǎng)銀木馬網(wǎng)銀木馬現(xiàn)在基本上所有的銀行都有自己的網(wǎng)上銀行，再加上淘寶網(wǎng)、支付寶等網(wǎng)上交易的流行，使木馬病毒中出現(xiàn)了網(wǎng)銀木馬，它只要是針對(duì)網(wǎng)上交易系統(tǒng)編寫(xiě)的木馬病毒，其目的是盜取用戶的卡號(hào)、密碼，甚至安

21、全證書(shū)。此類(lèi)木馬種類(lèi)數(shù)量雖然比不上網(wǎng)游木馬，但它的危害更加直接，受害用戶的損失更加慘重。網(wǎng)銀木馬通常針對(duì)性較強(qiáng)，木馬作者可能首先對(duì)某銀行的網(wǎng)上交易系統(tǒng)進(jìn)行仔細(xì)分析，然后針對(duì)安全薄弱環(huán)節(jié)編寫(xiě)病毒程序。如 2004 年的“網(wǎng)銀大盜”病毒，在用戶進(jìn)入工行網(wǎng)銀登錄頁(yè)面時(shí)，會(huì)自動(dòng)把頁(yè)面換成安全性能較差、但依然能夠運(yùn)轉(zhuǎn)的老版頁(yè)面，然后記錄用戶在此頁(yè)面上填寫(xiě)的卡號(hào)和密碼；“網(wǎng)銀大盜 3”利用招行網(wǎng)銀專(zhuān)業(yè)版的備份安全證書(shū)功能，可以盜取安全證書(shū)；2005 年的“新網(wǎng)銀大盜”，采用 API Hook 等技術(shù)干擾網(wǎng)銀登錄安全控件的運(yùn)行。隨著我國(guó)網(wǎng)上交易的普及，受到外來(lái)網(wǎng)銀木馬威脅的用戶也在不斷增加。

22、.3 網(wǎng)頁(yè)點(diǎn)擊類(lèi)木馬網(wǎng)頁(yè)點(diǎn)擊類(lèi)木馬隨著網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)頁(yè)點(diǎn)擊類(lèi)木馬也隨之發(fā)展起來(lái)。網(wǎng)頁(yè)點(diǎn)擊類(lèi)木馬會(huì)惡意模擬用戶點(diǎn)擊廣告等動(dòng)作，在短時(shí)間內(nèi)可以產(chǎn)生數(shù)以萬(wàn)計(jì)的點(diǎn)擊量。出現(xiàn)這種情況大多是在不小心或無(wú)意中點(diǎn)擊到的。而病毒作者的編寫(xiě)目的一般是吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 5 頁(yè) 共 15 頁(yè)為了賺取高額的廣告推廣費(fèi)用。此類(lèi)病毒的技術(shù)簡(jiǎn)單，一般只是向服務(wù)器發(fā)送HTTP GET 請(qǐng)求。Dos 攻擊木馬，隨著 Dos 攻擊越來(lái)越廣泛的應(yīng)用，被用作 Dos 攻擊的木馬也越來(lái)越流行起來(lái)。 當(dāng)攻擊者入侵了一臺(tái)機(jī)

23、器， 給他人計(jì)算機(jī)種上 Dos 攻擊木馬，那么日后這臺(tái)計(jì)算機(jī)就成為 Dos 攻擊的最得力助手。 控制的肉雞數(shù)量越多，發(fā)動(dòng) Dos 攻擊取得成功的機(jī)率就越大。所以，這種木馬的危害不是體現(xiàn)在被感染計(jì)算機(jī)上，而是體現(xiàn)在攻擊者可以利用它來(lái)攻擊一臺(tái)又一臺(tái)計(jì)算機(jī)，給網(wǎng)絡(luò)造成很大的傷害和帶來(lái)?yè)p失。還有一種類(lèi)似 Dos 的術(shù)馬叫做郵件炸彈術(shù)馬，一旦機(jī)器被感染木馬就會(huì)隨機(jī)生成各種各樣主題的信件， 對(duì)特定的郵箱不停地發(fā)送郵件，一直到對(duì)方癱瘓，不能接受郵件為止。.4 下載類(lèi)木馬下載類(lèi)木馬現(xiàn)在很多用戶通過(guò)下載東西，在無(wú)意中增加了木馬病毒的侵入。這種木馬程序的體積一般很小，其功能是從網(wǎng)絡(luò)上下載其他病毒程

24、序或安裝廣告軟件。由于體積很小，下載類(lèi)木馬更容易傳播，傳播速度也更快。通常功能強(qiáng)大、體積也很大的后門(mén)類(lèi)病毒，如“灰鴿子”、“黑洞”等，傳播時(shí)都單獨(dú)編寫(xiě)一個(gè)小巧的下載型木馬，用戶中毒后會(huì)把后門(mén)主程序下載到本機(jī)運(yùn)行。 除了以上幾種以外，木馬病毒還有代理類(lèi)木馬和即時(shí)通訊軟件木馬。其出現(xiàn)頻率很高危害也很大。如破壞型木馬，唯一的功能就是破壞并刪除文件， 可以自動(dòng)的刪除電腦上的 DLL、INI、EXE 文件。還有密碼發(fā)送型；可在計(jì)算機(jī)中找到隱藏密碼并把它們發(fā)送到指定的信箱。有人喜歡把自己的各種密碼以文件的形式存放在計(jì)算機(jī)中， 認(rèn)為這樣方便:還有人喜歡用 Windows 提供的密碼記憶功能， 這樣就可以不必

25、每次都輸入密碼了。 許多黑客軟件可以尋找到這些文件，把它們送到黑客手中。也有些黑客軟件長(zhǎng)期潛伏，記錄操作者的鍵盤(pán)操作，從中尋找有用的密碼。2.42.4 木馬病毒的發(fā)展方向木馬病毒的發(fā)展方向1.跨平臺(tái)性：主要是針對(duì) windows 系統(tǒng)而言，木馬可以在各種 windows 系統(tǒng)上使用，現(xiàn)在的一些木馬也的確做到了這一點(diǎn)。2.模塊化設(shè)計(jì)：似乎模塊化設(shè)計(jì)是一種潮流，winamp 就是模塊化的典范，現(xiàn)在的木馬也有了模塊化設(shè)計(jì)的概念，象 bo,netbus,sub7 等經(jīng)典木馬都有一些優(yōu)秀的插件在紛紛問(wèn)世就是一個(gè)很好的說(shuō)明。吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)

26、論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 6 頁(yè) 共 15 頁(yè)3.更新更強(qiáng)的感染模式：傳統(tǒng)的修改 ini 文件和注冊(cè)表的手法已經(jīng)不能適應(yīng)更加隱秘的需要，目前的很多的木馬的感染方式已經(jīng)開(kāi)始在悄悄轉(zhuǎn)變，象病毒一樣感染 windows 下的文件。4.即時(shí)通知：現(xiàn)在的木馬已經(jīng)有了即時(shí)通知的功能，如 EMAIL 通知等.即：當(dāng)中招的計(jì)算機(jī) ip 發(fā)生變化時(shí)，木馬可以用 EMAIL 方式自動(dòng)通知入侵者2.52.5 木馬病毒的傳播途徑木馬病毒的傳播途徑(1) 通過(guò) E-mail：早期的木馬，大多是通過(guò)發(fā)送電子郵件的方式把入侵主機(jī)信息告訴攻擊者，有一些木馬程序干脆把主機(jī)所有的密碼用郵件的形式通知給攻

27、擊者，這樣攻擊者就不用直接連接攻擊主機(jī)即可獲得一些重要數(shù)據(jù)，如攻擊 OICQ 密碼的 GOP 木馬。由控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去，收信人只要打開(kāi)附件就會(huì)感染木馬。(2) 通過(guò)軟件下載：一些非正規(guī)的網(wǎng)站以提供軟件下載為名，將木馬捆綁在軟件安裝程序上，下載后，只要運(yùn)行這些程序，木馬就會(huì)被自動(dòng)安裝了。(3) 通過(guò) Script、ActiveX 及 ASP、CGI 交互腳本的方式植入：由于 IE 瀏覽器在執(zhí)行 Script 腳本上存在安全漏洞，因此，木馬就可以利用這些漏洞很容易植入被攻擊的電腦。(4) 利用一些系統(tǒng)漏洞植入，如著名的 IIS 服務(wù)器溢出漏洞：通過(guò)一個(gè) IISHACK

28、 攻擊程序使 IIS 服務(wù)器崩潰，同時(shí)在服務(wù)器上執(zhí)行木馬程序，從而植入木馬。(5) 通過(guò)移動(dòng)存儲(chǔ)設(shè)備(U 盤(pán)等)：主要是依賴(lài)微軟操作系統(tǒng) Windows 的 Autorun(自動(dòng)運(yùn)行)功能，使得計(jì)算機(jī)用戶在雙擊打開(kāi) U 盤(pán)的時(shí)候，自動(dòng)執(zhí)行木馬程序，進(jìn)而感染計(jì)算機(jī)系統(tǒng)。吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 7 頁(yè) 共 15 頁(yè)第三章第三章 木馬病毒的危害及存在形式木馬病毒的危害及存在形式木馬程序技術(shù)發(fā)展非常迅速，至今木馬程序已經(jīng)經(jīng)歷了六代的改進(jìn)。功能早已無(wú)國(guó)界，種類(lèi)多樣，隱蔽性也更好等。所以木馬病毒的

29、先進(jìn)性使計(jì)算機(jī)命中的幾率更大，更復(fù)雜，危害也更多樣化，其解決起來(lái)更麻煩。3.1 木馬病毒的危害木馬病毒的危害3.1.1 盜取我們的網(wǎng)游賬號(hào)，威脅我們的虛擬財(cái)產(chǎn)的安全盜取我們的網(wǎng)游賬號(hào)，威脅我們的虛擬財(cái)產(chǎn)的安全木馬病毒會(huì)盜取我們的網(wǎng)游賬號(hào)，它會(huì)盜取我們帳號(hào)后，并立即將帳號(hào)中的游戲裝備轉(zhuǎn)移，再由木馬病毒使用者出售這些盜取的游戲裝備和游戲幣而獲利。.2 盜取我們的網(wǎng)銀信息，威脅我們的真實(shí)財(cái)產(chǎn)的安全盜取我們的網(wǎng)銀信息，威脅我們的真實(shí)財(cái)產(chǎn)的安全木馬采用鍵盤(pán)記錄等方式盜取我們的網(wǎng)銀帳號(hào)和密碼，并發(fā)送給黑客，直接導(dǎo)致我們的經(jīng)濟(jì)損失。.3 利用即時(shí)通訊軟件盜取我們的身份，傳播木

30、馬病毒利用即時(shí)通訊軟件盜取我們的身份，傳播木馬病毒中了此類(lèi)木馬病毒后，可能導(dǎo)致我們的經(jīng)濟(jì)損失。在中了木馬后電腦會(huì)下載病毒作者指定的程序任意程序，具有不確定的危害性。如惡作劇等。給我們的電腦打開(kāi)后門(mén)，使我們的電腦可能被黑客控制。如灰鴿子木馬等。當(dāng)我們中了此類(lèi)木馬后，我們的電腦就可能淪為肉雞，成為黑客手中的工具。3.2 木馬存在形式木馬存在形式木馬是一種基于遠(yuǎn)程控制的病毒程序，該程序具有很強(qiáng)的隱蔽性和危害性，它可以在人不知鬼不覺(jué)的狀態(tài)下控制你或者監(jiān)視你。其存在形式有：吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第

31、 8 頁(yè) 共 15 頁(yè).1 集成到程序中集成到程序中其實(shí)木馬也是一個(gè)服務(wù)器客戶端程序，它為了不讓用戶能輕易地把它刪除，就常常集成到程序里，一旦用戶激活木馬程序，那么木馬文件和某一應(yīng)用程序捆綁在一起，然后上傳到服務(wù)端覆蓋原文件，這樣即使木馬被刪除了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被安裝上去了。綁定到某一應(yīng)用程序中，如綁定到系統(tǒng)文件，那么每一次 Windows 啟動(dòng)均會(huì)啟動(dòng)木馬。.2 隱藏在配置文件中隱藏在配置文件中木馬實(shí)在是太狡猾，知道菜鳥(niǎo)們平時(shí)使用的是圖形化界面的操作系統(tǒng)，對(duì)于那些已經(jīng)不太重要的配置文件大多數(shù)是不聞不問(wèn)了，這正好給木馬提供了一個(gè)藏身之處。

32、而且利用配置文件的特殊作用，木馬很容易就能在大家的計(jì)算機(jī)中運(yùn)行、發(fā)作，從而偷窺或者監(jiān)視大家。不過(guò)，現(xiàn)在這種方式不是很隱蔽，容易被發(fā)現(xiàn)，所以在 Autoexec.bat 和 Config.sys 中加載木馬程序的并不多見(jiàn)，但也不能因此而掉以輕心。.3 潛伏在潛伏在 Win.ini 中中 木馬要想達(dá)到控制或者監(jiān)視計(jì)算機(jī)的目的，必須要運(yùn)行，然而沒(méi)有人會(huì)傻到自己在自己的計(jì)算機(jī)中運(yùn)行這個(gè)該死的木馬。當(dāng)然，木馬也早有心理準(zhǔn)備，知道人類(lèi)是高智商的動(dòng)物，不會(huì)幫助它工作的，因此它必須找一個(gè)既安全又能在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行的地方，于是潛伏在 Win.ini 中是木馬感覺(jué)比較愜意的地方。大家不妨打開(kāi)

33、Win.ini 來(lái)看看，在它的windows字段中有啟動(dòng)命令“l(fā)oad=”和“run=”，在一般情況下“=”后面是空白的，如果有后跟程序，比方說(shuō)是這個(gè)樣子：run=c：windowsfile. Exeload=c：windowsfile.exe。這時(shí)你就要小心了，這個(gè)file.exe 很可能是木馬。.4 偽裝在普通文件中偽裝在普通文件中 這個(gè)方法出現(xiàn)的比較晚，不過(guò)現(xiàn)在很流行，對(duì)于不熟練的 windows 操作者，很容易上當(dāng)。具體方法是把可執(zhí)行文件偽裝成圖片或文本在程序中把圖標(biāo)改成 Windows 的默認(rèn)圖片圖標(biāo)，再把文件名改為*.jpg.exe，由于 Win98 默認(rèn)設(shè)吉林大學(xué)

34、計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 9 頁(yè) 共 15 頁(yè)置是“不顯示已知的文件后綴名”，文件將會(huì)顯示為*.jpg，不注意的人一點(diǎn)這個(gè)圖標(biāo)就中木馬了。木馬的存在可以說(shuō)是無(wú)處不在，除了以上幾種之外，在電腦的內(nèi)置注冊(cè)表中、在 System.ini 中、隱形于啟動(dòng)組中、隱蔽在 Winstart.bat 中、捆綁在啟動(dòng)文件中、設(shè)置在超級(jí)連接中等等，只要有漏洞，木馬就會(huì)趁虛而入。.5 內(nèi)置到注冊(cè)表中內(nèi)置到注冊(cè)表中打開(kāi)注冊(cè)表編輯器，依次展開(kāi) HKEY_CURREN_USERSoftware 和 HKEY

35、_LOAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion，查看里面所有以“Run”開(kāi)頭的項(xiàng)，看其中是否有新增或可疑的鍵值；也可以通過(guò)鍵值所指向的文件路徑來(lái)判斷，是新安裝的軟件還是不請(qǐng)自來(lái)的木馬。.6 隱形于啟動(dòng)組中隱形于啟動(dòng)組中有時(shí)木馬并不在乎自己的行蹤，它更注意的是能否自動(dòng)加載到系統(tǒng)中，一旦木馬加載到系統(tǒng)中，任用什么方法都無(wú)法將它趕跑，因此啟動(dòng)組也是木馬可以藏身的好地方，啟動(dòng)組對(duì)應(yīng)的文件夾為：C：windowsstartmenuprogramsstartup，在注冊(cè)表中的位置：HKEY_CURRENT_USERSoftwareMi

36、crosoftWindows CurrentVersionExplorerShellFoldersStartup=“C：windowsstartmen-uprogramsstartup”，要注意經(jīng)常檢查啟動(dòng)組。.7 隱蔽在隱蔽在 Winstart.batWinstart.bat 中中凡是利于木馬能自動(dòng)加載的地方，木馬都喜歡。Winstart.bat 也是一個(gè)能自動(dòng)被 Windows 加載運(yùn)行的文件，它多數(shù)情況下為應(yīng)用程序及 Windows 自動(dòng)生成，在執(zhí)行了 W 并加載了多數(shù)驅(qū)動(dòng)程序之后開(kāi)始執(zhí)行。由于 Autoexec.bat 的功能可以由 Winstart.bat 代替完成，

37、因此木馬完全可以像在 Autoexec.bat 中那樣被加載運(yùn)行。.8 設(shè)置在超級(jí)連接中設(shè)置在超級(jí)連接中木馬的主人在網(wǎng)頁(yè)上放置惡意代碼，引誘用戶點(diǎn)擊，用戶點(diǎn)擊的結(jié)果不言而喻：開(kāi)門(mén)即盜！奉勸不要隨便點(diǎn)擊網(wǎng)頁(yè)上的鏈接，除非了解它，信任它。.9 可疑端口可疑端口俗話說(shuō)“病從口入、禍從口出” ，木馬客戶端與服務(wù)端之間的通信和信息的交互都要經(jīng)過(guò)計(jì)算機(jī)端口來(lái)完成。吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 10 頁(yè) 共 15 頁(yè)吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院

38、本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 11 頁(yè) 共 15 頁(yè)第四章第四章 防御、查出及清除木馬病毒的方法防御、查出及清除木馬病毒的方法如果發(fā)現(xiàn)有“木馬”存在，最安全也是最有效的方法就是馬上將計(jì)算機(jī)與網(wǎng)絡(luò)斷開(kāi)，防止黑客通過(guò)網(wǎng)絡(luò)對(duì)你進(jìn)行攻擊。4.1 防御木馬病毒的方法防御木馬病毒的方法4.1.1 木馬查殺木馬查殺安裝并及時(shí)的更新木馬殺毒軟件，基本上所有的殺毒軟件都帶有查殺木馬的軟件，要經(jīng)常的使用殺毒軟件對(duì)自己的電腦進(jìn)行殺毒，以防病毒在無(wú)意中進(jìn)入。尤其是木馬病毒?，F(xiàn)在很多官方軟件都做出針對(duì)性的木馬查殺軟件，如 QQ木馬專(zhuān)殺。4.1.2 防火墻防火墻使用防火墻軟件

39、，禁止來(lái)路不明的軟件訪問(wèn)網(wǎng)絡(luò)。由于免殺以及進(jìn)程注入等原因，有個(gè)別病毒很容易穿過(guò)殺毒以及防火墻的雙重防守，遇到這樣的情況就要注意到使用特殊防火墻來(lái)防止進(jìn)程注入，以及經(jīng)常檢查啟動(dòng)項(xiàng)、服務(wù)。一些特殊防火墻可以“主動(dòng)防御”以及注冊(cè)表實(shí)時(shí)監(jiān)控，每次不良程序針對(duì)計(jì)算機(jī)的惡意操作都可以實(shí)施攔截阻斷。不要點(diǎn)來(lái)路不明連接以及運(yùn)行不明程序，來(lái)路不明的連接，很可能是蠕蟲(chóng)病毒自動(dòng)通過(guò)電子郵件或即時(shí)通訊軟件發(fā)過(guò)來(lái)的。1、運(yùn)行反木馬實(shí)時(shí)監(jiān)控程序我們?cè)谏暇W(wǎng)時(shí)，必須運(yùn)行反木馬實(shí)時(shí)監(jiān)控程序，實(shí)時(shí)監(jiān)控程序可即時(shí)顯示當(dāng)前所有運(yùn)行程序并配有相關(guān)的詳細(xì)描述信息。另外，也可以采用一些專(zhuān)業(yè)的最新殺毒軟件、個(gè)人防火墻進(jìn)行監(jiān)控。2、不要執(zhí)行任

40、何來(lái)歷不明的軟件對(duì)于網(wǎng)上下載的軟件在安裝、使用前一定要用反病毒軟件進(jìn)行檢查，最好是專(zhuān)門(mén)查殺木馬程序的軟件進(jìn)行檢查，確定沒(méi)有木馬程序后再執(zhí)行、使用。3、不要輕易打開(kāi)不熟悉的郵件吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 12 頁(yè) 共 15 頁(yè)現(xiàn)在，很多木馬程序附加在郵件的附件之中，收郵件者一旦點(diǎn)擊附件，它就會(huì)立即運(yùn)行。所以千萬(wàn)不要打開(kāi)那些不熟悉的郵件，特別是標(biāo)題有點(diǎn)亂的郵件，這些郵件往往就是木馬的攜帶者。4、不要輕信他人不要因?yàn)槭俏覀兊暮门笥寻l(fā)來(lái)的軟件就運(yùn)行，因?yàn)槲覀儾荒艽_保他的電腦上就不會(huì)有木馬程序。當(dāng)然

41、，好朋友故意欺騙你的可能性不大，但也許他中了木馬程序自己還不知道呢。況且今天的互聯(lián)網(wǎng)，到處充滿了危機(jī)，我們也不能保證這一定是好朋友發(fā)給我們的，也許，是別人冒名給我們發(fā)的文件，或者就是木馬程序本身發(fā)來(lái)的，比如說(shuō)最常見(jiàn)的 QQ 尾巴病毒，經(jīng)常會(huì)冒充主人給好友發(fā)來(lái)附件。5、不要隨意下載軟件不要隨便在網(wǎng)上下載一些盜版軟件，特別是一些不可靠的 FTP 站點(diǎn)、公眾新聞組、論壇或 BBS，因?yàn)檫@些地方正是新木馬發(fā)布的首選之地。6、將 Windows 資源管理器配置成始終顯示擴(kuò)展名因?yàn)橐恍U(kuò)展名為：VBS、SHS、PIF 的文件多為木馬程序的特征文件，一經(jīng)發(fā)現(xiàn)要立即刪除，千萬(wàn)不要打開(kāi)。7、盡量少用共享文件夾如

42、果計(jì)算機(jī)連接在互聯(lián)網(wǎng)或局域網(wǎng)上，要少用，盡量不用共享文件夾，如果因工作等其他原因必須設(shè)置成共享，則最好單獨(dú)開(kāi)一個(gè)共享文件夾，把所有需共享的文件都放在這個(gè)共享文件夾中。注意，千萬(wàn)不能把系統(tǒng)目錄設(shè)置成共享。8、隱藏 IP 地址這一點(diǎn)非常重要。我們?cè)谏暇W(wǎng)時(shí)，最好用一些工具軟件隱藏自己計(jì)算機(jī)的 IP 地址。上面，我們講了預(yù)防木馬程序攻擊的八個(gè)方法，似乎已經(jīng)很安全了。但是，我們知道的方法，木馬程序設(shè)計(jì)者自然也會(huì)知道，他們會(huì)想盡一切辦法，盡量避免被我們預(yù)防到。（9） 木馬的清除為了實(shí)現(xiàn)在程序運(yùn)行期間能夠不間斷地監(jiān)控指定的文件夾，需要使用多線程技術(shù)。使用一個(gè)輔助線程來(lái)不停地監(jiān)控文件的訪問(wèn)信息，只要程序的主線

43、程不停止或者不人為地停止文件監(jiān)控這個(gè)輔助線程就不會(huì)停止。要監(jiān)控文件的訪問(wèn)信息就要用到 Windows API 的 ReadDirectoryChanges 函數(shù)，此函數(shù)能夠通吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 13 頁(yè) 共 15 頁(yè)過(guò)傳入的指針參數(shù)返回指定文件路徑的改動(dòng)信息，包括訪問(wèn)該路徑下的文件、修改文件、刪除文件、新建文件、文件重命名等。4.2 查出木馬病毒的方法查出木馬病毒的方法4.2.1 檢測(cè)網(wǎng)絡(luò)連接檢測(cè)網(wǎng)絡(luò)連接如果你懷疑自己的計(jì)算機(jī)上被別人安裝了木馬，或者是中了病毒，但是手里沒(méi)有完善的工

44、具來(lái)檢測(cè)是不是真有這樣的事情發(fā)生，那可以使用 Windows 自帶的網(wǎng)絡(luò)命令來(lái)看看誰(shuí)在連接你的計(jì)算機(jī)。具體的命令格式是：netstat -an 這個(gè)命令能看到所有和本地計(jì)算機(jī)建立連接的 IP，它包含四個(gè)部分proto(連接方式)、local address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當(dāng)前端口狀態(tài))。通過(guò)這個(gè)命令的詳細(xì)信息，我們就可以完全監(jiān)控計(jì)算機(jī)上的連接，從而達(dá)到控制計(jì)算機(jī)的目的?？墒窃跈z測(cè)時(shí)常見(jiàn)誤報(bào)情況，所以要對(duì)誤報(bào)的成因分析如下：首先需要澄清三個(gè)概念，即漏報(bào)、錯(cuò)報(bào)和誤報(bào)。漏報(bào)：反病毒產(chǎn)品檢測(cè)一個(gè)可確認(rèn)是病毒的檢測(cè)對(duì)象而沒(méi)有報(bào)警。錯(cuò)報(bào)

45、：反病毒產(chǎn)品檢測(cè)一個(gè)可確認(rèn)是某種病毒的檢測(cè)對(duì)象，報(bào)警為另一種病毒。誤報(bào)：反病毒產(chǎn)品檢測(cè)一個(gè)可確認(rèn)不是病毒的檢測(cè)對(duì)象報(bào)警為病毒。一些用戶將錯(cuò)報(bào)視為一種誤報(bào)，實(shí)際上這是兩個(gè)完全不同的概念。反病毒作為信息安全領(lǐng)域一門(mén)嚴(yán)謹(jǐn)?shù)墓こ碳夹g(shù)，是以保證信息系統(tǒng)應(yīng)用為前提的，由于誤報(bào)會(huì)導(dǎo)致用戶的心理恐慌，對(duì)被誤殺產(chǎn)品不好的輿論影響，以及直接導(dǎo)致誤殺，從而導(dǎo)致信息系統(tǒng)出現(xiàn)某種不可預(yù)期的后果，因此誤報(bào)問(wèn)題相對(duì)漏報(bào)和錯(cuò)報(bào)往往更加敏感。在某個(gè)非官方技術(shù)標(biāo)準(zhǔn)中，對(duì)反病毒的誤報(bào)率作出了規(guī)定，即不能超過(guò)萬(wàn)分之零點(diǎn)五，即對(duì)十萬(wàn)個(gè)不同的檢測(cè)對(duì)象，允許有五個(gè)誤報(bào)，但對(duì)此無(wú)論是公眾還是反病毒工作者自己依然覺(jué)得不可接受，而希望達(dá)到零誤報(bào)

46、的境界。這也反映了工程化應(yīng)用和學(xué)術(shù)化研究的不同視角，我們也經(jīng)常看到從事反病毒論方面的年輕研究者們經(jīng)常興奮不已，“看，只要建立這樣一個(gè)簡(jiǎn)單的神經(jīng)網(wǎng)絡(luò)，并把若干樣本和正常文件進(jìn)行學(xué)習(xí)，再檢測(cè)此前未經(jīng)神經(jīng)網(wǎng)絡(luò)學(xué)習(xí)過(guò)的樣本集合時(shí)，就會(huì)獲得 80%以上未知病毒檢出率”。這種方法無(wú)論如何先進(jìn)，只要誤報(bào)了任何一個(gè) windows 的系統(tǒng)文件或者 program 下面的正常程序文件，就都不能不加改動(dòng)的應(yīng)用到實(shí)際系統(tǒng)中。吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 14 頁(yè) 共 15 頁(yè)4.2.2 輕松檢查賬戶輕松檢查賬戶第

47、一、在系統(tǒng)進(jìn)程中辨別真假進(jìn)程;當(dāng)前流行的木馬，為了更好地對(duì)自身加以隱藏，使用了很多方法進(jìn)行自身隱蔽，其中最常見(jiàn)的就是進(jìn)行隱藏。這種方法不僅讓人很難通過(guò)常見(jiàn)的檢查手法查找到，如果用戶操作不當(dāng)?shù)脑掃€可能將系統(tǒng)進(jìn)程刪除，造成系統(tǒng)不穩(wěn)定甚至崩潰。常見(jiàn)的這類(lèi)木馬程序包括灰鴿子、守望者、上興木馬等。自檢方法;黑客為了對(duì)木馬進(jìn)行更好的偽裝，常常將木馬名稱(chēng)設(shè)置得和系統(tǒng)進(jìn)程名稱(chēng)十分相似。通常系統(tǒng)進(jìn)程都是有 SYSTEM 用戶加載的，如果我們發(fā)現(xiàn)某個(gè)“系統(tǒng)進(jìn)程”是由當(dāng)前用戶加載的，那么這個(gè)“系統(tǒng)進(jìn)程”一定有問(wèn)題。另外我們也可以從系統(tǒng)進(jìn)程的路徑來(lái)進(jìn)行分辨，比如正常的系統(tǒng)進(jìn)程svchost.exe 應(yīng)該在 C:Win

48、dowssystem32 目錄下，如果用戶發(fā)現(xiàn)它的路徑在其他目錄下就表明該進(jìn)程有問(wèn)題。除此以外，現(xiàn)在的木馬很注意對(duì)自身服務(wù)端程序的保護(hù)，我們通過(guò)“任務(wù)管理器” 很可能查看不到木馬的服務(wù)端進(jìn)程，因?yàn)槟抉R程序通過(guò)線程插入等技術(shù)對(duì)服務(wù)端程序進(jìn)行了隱藏。如果發(fā)現(xiàn)多個(gè) IE 進(jìn)程、Explorer 進(jìn)程或者 Lsass 進(jìn)程，那么就要多加留意了。因?yàn)楹芏嗄抉R都會(huì)偽裝成這幾個(gè)進(jìn)程訪問(wèn)網(wǎng)絡(luò)。應(yīng)對(duì)方法在進(jìn)程列表中選擇隱藏的木馬程序，強(qiáng)行結(jié)束這個(gè)進(jìn)程,然后找到并刪除木馬程序的文件即可。第二、在啟動(dòng)項(xiàng)中進(jìn)行仔細(xì)分析一些木馬程序通過(guò)系統(tǒng)的相關(guān)啟動(dòng)項(xiàng)目，使得相關(guān)木馬文件也可以隨機(jī)啟動(dòng)，這類(lèi)木馬程序包括 TinyRAT

49、、Evilotus、守望者等。自檢方法；運(yùn)行安全工具 SysCheck，點(diǎn)擊“服務(wù)管理”按鈕后即可顯示當(dāng)前系統(tǒng)中服務(wù)信息，如果被標(biāo)注為紅色的就是增加的非系統(tǒng)服務(wù)。通過(guò)“僅顯示非微軟”選項(xiàng)就可以屏蔽系統(tǒng)自帶的服務(wù)，這樣惡意程序添加的服務(wù)項(xiàng)就可以立即現(xiàn)形。點(diǎn)擊“修改時(shí)間”或“創(chuàng)建時(shí)間”選項(xiàng)，就可以讓用戶馬上查看到新建系統(tǒng)服務(wù)。從圖中我們可以看到一個(gè)被標(biāo)注為紅色、名稱(chēng)為 Windows Media Playr 的系統(tǒng)服務(wù)，該服務(wù)所指向的是一個(gè)不明程序路徑。因此可以確定該服務(wù)就是木馬程序的啟動(dòng)服務(wù)。通過(guò)安全工具 SysCheck 的“活動(dòng)文件”項(xiàng)目，可以顯示出包括啟動(dòng)項(xiàng)等信息在內(nèi)的、容易被惡意程序改寫(xiě)

50、的系統(tǒng)注冊(cè)表鍵值。比如現(xiàn)在某些惡意程序，通過(guò)修改系統(tǒng)的“l(fā)oad”項(xiàng)進(jìn)行啟動(dòng)，或者修改系統(tǒng)的 BITS 服務(wù)進(jìn)行啟動(dòng)。由吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 15 頁(yè) 共 15 頁(yè)于 SysCheck 程序只是關(guān)注改寫(xiě)了的鍵值，所以在不同的系統(tǒng)上顯示的內(nèi)容并不一樣。有時(shí)候惡意的攻擊者非常喜歡使用克隆賬號(hào)的方法來(lái)控制你的計(jì)算機(jī)。他們采用的方法就是激活一個(gè)系統(tǒng)中的默認(rèn)賬戶，但這個(gè)賬戶是不經(jīng)常用的，然后使用工具把這個(gè)賬戶提升到管理員權(quán)限，從表面上看來(lái)這個(gè)賬戶還是和原來(lái)一樣，但是這個(gè)克隆的賬戶卻是系統(tǒng)中最大

51、的安全隱患。惡意的攻擊者可以通過(guò)這個(gè)賬戶任意地控制你的計(jì)算機(jī)。首先在命令行下輸入 net user，查看計(jì)算機(jī)上有些什么用戶，然后再使用“net user 用戶名”查看這個(gè)用戶是屬于什么權(quán)限的，一般除了 Administrator 是administrators 組的，其他都不是!如果你發(fā)現(xiàn)一個(gè)系統(tǒng)內(nèi)置的用戶是屬于administrators 組的，那幾乎肯定你被入侵了，而且別人在你的計(jì)算機(jī)上克隆了賬戶?？焓褂谩皀et user 用戶名/del”來(lái)刪掉這個(gè)用戶。圖 4-1 算法流程圖4.3 清除木馬病毒的方法清除木馬病毒的方法4.3.1 禁用系統(tǒng)還原禁用系統(tǒng)還原吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林

52、大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 16 頁(yè) 共 15 頁(yè)如果您運(yùn)行的是 Windows Me 或 Windows XP，建議您暫時(shí)關(guān)閉“系統(tǒng)還原”。此功能默認(rèn)情況下是啟用的，一旦計(jì)算機(jī)中的文件被破壞，Windows 可使用該功能將其還原。如果病毒、蠕蟲(chóng)或特洛伊木馬感染了計(jì)算機(jī)，則系統(tǒng)還原功能會(huì)在該計(jì)算機(jī)上備份病毒、蠕蟲(chóng)或特洛伊木馬。Windows 禁止包括防病毒程序在內(nèi)的外部程序修改系統(tǒng)還原。因此，防病毒程序或工具無(wú)法刪除 System Restore 文件夾中的威脅。這樣，系統(tǒng)還原就可能將受感染文件還原到計(jì)算機(jī)上，即使您已經(jīng)

53、清除了所有其他位置的受感染文件。阻止文件刪除，在用戶指定完監(jiān)控路徑后，系統(tǒng)就開(kāi)始遍歷該路徑并構(gòu)造樹(shù)形視圖，而在這期間系統(tǒng)還進(jìn)行了另外一個(gè)操作，那就是生成監(jiān)控路徑的文件鏡像。在遍歷過(guò)程中每遇到一個(gè)文件就將其復(fù)制到文件鏡像中。當(dāng)監(jiān)控到文件被刪除時(shí)，系統(tǒng)就將鏡像文件中對(duì)應(yīng)的文件恢復(fù)到監(jiān)控路徑中。這其中使用到了 Windows API 的 CopyFile 函數(shù)，此函數(shù)用于將指定的文件復(fù)制到目標(biāo)路徑中。阻止文件修改及新建當(dāng)系統(tǒng)監(jiān)測(cè)到有文件被重命名時(shí)，系統(tǒng)能夠?qū)⑵涓幕卦?。?dāng)系統(tǒng)監(jiān)測(cè)到文件被修改時(shí)，系統(tǒng)使用 DeleteFile 函數(shù)將該文件刪除，接著用 CopyFile 函數(shù)將文件鏡像中對(duì)應(yīng)的文件復(fù)制

54、回來(lái)。當(dāng)系統(tǒng)監(jiān)測(cè)到監(jiān)控路徑下有文件被新建時(shí)，系統(tǒng)使用 DeleteFile 函數(shù)將其刪除。此外，病毒掃描可能還會(huì)檢測(cè)到 System Restore 文件夾中的威脅，即使您已將該威脅刪除。4.3.2 將計(jì)算機(jī)重啟到安全模式或?qū)⒂?jì)算機(jī)重啟到安全模式或 VGA 模式模式關(guān)閉計(jì)算機(jī)，等待至少 30 秒鐘后重新啟動(dòng)到安全模式或者 VGA 模式。掃描和刪除受感染文件啟動(dòng)防病毒程序，并確保已將其配置為掃描所有文件。運(yùn)行完整的系統(tǒng)掃描。如果檢測(cè)到任何文件被 Download.Trojan 感染，請(qǐng)單擊“刪除”。如有必要，清除 Internet Explorer 歷史和文件。如果該程序是在 Temporary

55、 Internet Files 文件夾中的壓縮文件內(nèi)檢測(cè)到的，請(qǐng)執(zhí)行以下步驟：?jiǎn)?dòng) Internet Explorer。單擊“工具”“Internet 選項(xiàng)”。單擊“常規(guī)”選項(xiàng)卡“Internet 臨時(shí)文件”部分中，單擊“刪除文件”，然后在出現(xiàn)提示后單擊“確定”。在“歷史”部分，單擊“清除歷史”，然后在出現(xiàn)提示后單擊“是”。.3 管理啟動(dòng)程序管理啟動(dòng)程序啟動(dòng)程序是指電腦在啟動(dòng)時(shí)自動(dòng)加載的執(zhí)行程序，木馬病毒也可能混跡其中。我們可以通過(guò)啟動(dòng)管理來(lái)查看有哪些進(jìn)程被加載，并通過(guò)分析、數(shù)據(jù)和鍵路徑吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題

56、目：木馬病毒入侵微機(jī)的途徑與防治研究 第 17 頁(yè) 共 15 頁(yè)判斷這些進(jìn)程是否帶有病毒。切換到“啟動(dòng)管理”標(biāo)簽頁(yè)，在“注冊(cè)表”選項(xiàng)下面，可以清楚的看到當(dāng)前加載的進(jìn)程及其所在的注冊(cè)表路徑。如“設(shè)置”按鈕，出現(xiàn)設(shè)置對(duì)話框，勾選啟動(dòng)類(lèi)型下的“自動(dòng)隨系統(tǒng)啟動(dòng)”。單擊特殊模塊，勾選“啟用 NTF S 數(shù)據(jù)流掃描”，這樣可以發(fā)現(xiàn)隱藏在文件流中的病毒，使掃描更徹底，更安全。完成后單擊“確定”。在“掃描檢測(cè)”標(biāo)簽頁(yè)，單擊“全面掃描”按鈕，超級(jí)巡警將自動(dòng)掃描木馬病毒并顯示處理結(jié)果，最后生成詳細(xì)的掃描報(bào)告。果超級(jí)巡警分析為正常，則該進(jìn)程沒(méi)有問(wèn)題;若是未知，可在此進(jìn)程上單擊鼠標(biāo)右鍵，選擇“刪除啟動(dòng)項(xiàng)”。提示:如果

57、上網(wǎng)方便，強(qiáng)烈建議您先去網(wǎng)上搜索一下未知進(jìn)程名稱(chēng)，詳細(xì)了解該進(jìn)程的詳細(xì)信息，這樣可以確保刪除過(guò)程萬(wàn)無(wú)一失。選擇“啟動(dòng)管理、IE 插件”，會(huì)顯示系統(tǒng)啟動(dòng)后的相關(guān)插件，如瀏覽器幫助項(xiàng)、IE 工具菜單項(xiàng)、IE 右鍵菜單項(xiàng)等，如果你不喜歡它們擊鼠標(biāo)右鍵，選擇，可在每個(gè)插件上單“刪除插件項(xiàng)”即可。.4 優(yōu)化系統(tǒng)安全優(yōu)化系統(tǒng)安全 反木馬就像反病毒一樣，永遠(yuǎn)沒(méi)有止境，也永遠(yuǎn)沒(méi)有一個(gè)百分百的解決方案，因?yàn)槎际窍扔心抉R，然后才有反木馬的方法和軟件。因此，在每次安裝完操作系統(tǒng)后，我們就應(yīng)該及時(shí)修補(bǔ)漏洞，更新補(bǔ)丁，率先做好防范工作。確保連線上網(wǎng)后，啟動(dòng)超級(jí)巡警，選擇“安全優(yōu)化一系統(tǒng)修復(fù)”標(biāo)簽頁(yè)，勾選

58、修復(fù)項(xiàng)和文件關(guān)聯(lián)，然后單擊“修復(fù)”按鈕進(jìn)行修復(fù)。切換到“安全優(yōu)化一補(bǔ)丁檢查”，超級(jí)巡警將自動(dòng)檢查計(jì)算機(jī)的系統(tǒng)漏洞和更新補(bǔ)丁，并以列表形式顯示出來(lái)，其中包括安全等級(jí)、漏洞名稱(chēng)及發(fā)布時(shí)間等信息，您可以勾選“全選”，并單擊“下載并安裝補(bǔ)丁”按鈕，其它工作將由超級(jí)巡警幫你自動(dòng)完成。此外，超級(jí)巡警還具有垃圾清理、IE 修復(fù)和系統(tǒng)診斷等功能，都非常實(shí)用。4.3.5 使用木馬查殺軟件使用木馬查殺軟件用戶系統(tǒng)要安裝木馬查殺軟件，實(shí)際上一般的普通殺毒軟件里都包含了對(duì)木馬的查殺功能。對(duì)于查殺軟件，一定要經(jīng)常升級(jí)，不斷更新木馬代碼庫(kù)里的數(shù)據(jù)，并通過(guò)病毒公告及時(shí)了解新木馬的預(yù)防和查殺絕技。對(duì)于一些可疑文件，不能立即刪

59、除，因?yàn)橛锌赡苡捎谡`刪系統(tǒng)文件而使計(jì)算機(jī)不能正常工作。首先備份可疑文件和注冊(cè)表，接著用 Ultraedit32 編輯器查看文件首部信息，通過(guò)吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院吉林大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 本科生畢業(yè)論文本科生畢業(yè)論文論文題目：木馬病毒入侵微機(jī)的途徑與防治研究 第 18 頁(yè) 共 15 頁(yè)可疑文件里面的明文字符對(duì)木馬有一個(gè)大致了解。最后，刪除木馬文件及注冊(cè)表中的鍵值。.6 案例分析案例分析第一、冰 河冰河可以說(shuō)是最有名的木馬，冰河的服務(wù)器端程序?yàn)?G-server.exe，客戶端程序?yàn)?G-client.exe，默認(rèn)連接端口為 7626。清除方法：（1）刪除C:Windo

60、wssystem 下的 Kernel32.exe 和 Sysexplr.exe 文件。（2）冰河會(huì)在注冊(cè)表HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRun下扎根，鍵值為 C:windowssystemKernel32.exe，刪除它。（3）在注冊(cè)表的HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowsCurrentVersionRunservices 下，還有鍵值為 C:windowssystemKernel32.exe 的，也要?jiǎng)h除。（4）最后，改注冊(cè)表 HKEY_CLASSES_ROOTt