畢業(yè)論文---計(jì)算機(jī)網(wǎng)絡(luò)安全之木馬病毒

1、<p><b>　　畢業(yè)設(shè)計(jì)</b></p><p>　　題 目：　　 計(jì)算機(jī)網(wǎng)絡(luò)安全之木馬病毒 </p><p>　　系部（院）：　　　　 信息物流系　　　　 </p><p>　　專 業(yè)：　　　　　 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)　　　　 　 </

2、p><p>　　學(xué) 號：　　　　 　 </p><p>　　姓 名：　　　　 </p><p>　　指導(dǎo)教師：　　　　 　　 </p><p><b>　　內(nèi)容摘要</b>&

3、lt;/p><p>　　網(wǎng)絡(luò)安全技術(shù)是指致力于解決諸如如何有效進(jìn)行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理的安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)。管理安全分析技術(shù)，以及其他的安全服務(wù)和安全機(jī)制策略，其目標(biāo)是確保計(jì)算機(jī)網(wǎng)絡(luò)的持續(xù)健康運(yùn)行。如何讓計(jì)算機(jī)網(wǎng)絡(luò)持續(xù)健康運(yùn)行是我們的重要課題。我認(rèn)為計(jì)算機(jī)網(wǎng)絡(luò)安全最重要的而且也是最和我們息息相關(guān)的就是計(jì)算機(jī)病毒。我們最常見的就是木馬病毒，如何

4、預(yù)防木馬病毒，如何殺查木馬病毒是我所要研究的課題。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)安全 健康運(yùn)行 木馬病毒 </p><p><b>　　目錄</b></p><p><b>　　一 緒論1</b></p><p><b>　　二 正文1</b></p>&

5、lt;p>　　（一）木馬病毒的基礎(chǔ)知識1</p><p>　?。ǘ┎《镜奶匦?</p><p><b>　　1不產(chǎn)生圖標(biāo)2</b></p><p>　　（三）查殺木馬病毒2</p><p>　　1 判斷是否中了木馬2</p><p>　?。ㄋ模┩耆闅⒛抉R3</p>

6、<p>　?。ㄎ澹┓烙抉R病毒6</p><p><b>　　三結(jié)論7</b></p><p><b>　　參考文獻(xiàn)8</b></p><p><b>　　一 緒論</b></p><p>　　早期的防病毒思想并不盛行，那時(shí)候的網(wǎng)民也比較單純，使用網(wǎng)絡(luò)防火墻

7、的人也只有少數(shù)，所以那時(shí)候的入侵者可以算是幸福的隨著時(shí)間的流逝，木馬技術(shù)發(fā)展日益成熟，但網(wǎng)民的安全意識也普遍提高，更出現(xiàn)了初期的病毒防火墻概念，這個(gè)時(shí)期的入侵者必須掌握更高級的社會(huì)工程學(xué)手段和初期的入侵技術(shù)才能讓對方受害了，這時(shí)期的木馬雖然隱蔽性有了相對提高，但仍然是基于客戶端尋找連接服務(wù)器端的模式。</p><p>　　隨著網(wǎng)絡(luò)防火墻技術(shù)誕生和病毒防火墻技術(shù)的成熟，木馬作者被迫緊跟著防病毒廠商的腳步更新他們的作

8、品以避免馬兒過早“殉職”，同時(shí)由于網(wǎng)絡(luò)防火墻技術(shù)的出現(xiàn)，讓計(jì)算機(jī)與網(wǎng)絡(luò)之間不再直接，尤其是網(wǎng)絡(luò)防火墻實(shí)現(xiàn)的“攔截外部數(shù)據(jù)連接請求”與“審核內(nèi)部程序訪問網(wǎng)絡(luò)請求”的策略，導(dǎo)致大部分木馬紛紛失效也因此誕生了一種新的木馬技術(shù)——“反彈型”木馬。這一時(shí)期里，入侵者與受害者之間的戰(zhàn)爭終于提升到技術(shù)級別，若想保護(hù)自己，除了安裝網(wǎng)絡(luò)防火墻和病毒防火墻，以及接觸網(wǎng)絡(luò)攻防技術(shù)以外別無他法，這個(gè)“基礎(chǔ)互動(dòng)”一直保持到今天的后XP時(shí)代</p>

9、<p><b>　　二 正文</b></p><p>　?。ㄒ唬┠抉R病毒的基礎(chǔ)知識</p><p>　　木馬剛出現(xiàn)時(shí)很難對其下定義。一般情況下，病毒是依據(jù)其能復(fù)制的特點(diǎn)而定義的。而特洛伊木馬主要是根據(jù)它的有效載體，或者是其功能來定義的。而特洛伊“特洛伊木馬是具有某些功能或僅僅是有趣的程序。但它通常會(huì)做一些令人意想不到的事情，如盜取口令或文件?！贝蠖鄶?shù)安全專家

10、統(tǒng)一認(rèn)可的定義是：“特洛伊木馬是一段能實(shí)現(xiàn)有用的或必需的功能的程序，但是同時(shí)還完成一些不為人知的功能。</p><p><b>　?。ǘ┎《镜奶匦?lt;/b></p><p><b>　　1不產(chǎn)生圖標(biāo)</b></p><p>　　木馬雖然在你系統(tǒng)啟動(dòng)時(shí)會(huì)自動(dòng)運(yùn)行，但它不會(huì)在 "任務(wù)欄"中產(chǎn)生一個(gè)圖標(biāo)，這是

11、容易理解的，不然的話，你看到任務(wù)欄中出現(xiàn)一個(gè)來歷不明的圖標(biāo)，你不起疑心才怪呢!</p><p>　　2木馬程序自動(dòng)在任務(wù)管理器中隱藏，并以"系統(tǒng)服務(wù)"的方式欺騙操作系統(tǒng)</p><p>　　3 具有自動(dòng)運(yùn)行性。</p><p>　　木馬為了控制服務(wù)端。它必須在系統(tǒng)啟動(dòng)時(shí)即跟隨啟動(dòng)，所以它必須潛人在你的啟動(dòng)配置文件中，如win.ini、system

12、.ini、winstart.bat以及啟動(dòng)組等文件之中。</p><p>　　4 包含具有未公開并且可能產(chǎn)生危險(xiǎn)后果的功能的程序。</p><p>　　5 具備自動(dòng)恢復(fù)功能。</p><p>　　現(xiàn)在很多的木馬程序中的功能模塊巴不再由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。當(dāng)你刪除了其中的一個(gè)，以為萬事大吉又運(yùn)行了其他程序的時(shí)候，誰知它又悄然出現(xiàn)。像幽靈

13、一樣，防不勝防。</p><p>　　6 能自動(dòng)打開特別的端口</p><p>　　木馬程序潛入你的電腦之中的目的主要不是為了破壞你的系統(tǒng)，而是為了獲取你的系統(tǒng)中有用的信息，當(dāng)你上網(wǎng)時(shí)能與遠(yuǎn)端客戶進(jìn)行通訊，這樣木馬程序就會(huì)用服務(wù)器客戶端的通訊手段把信息告訴黑客們，以便黑客們控制你的機(jī)器，或?qū)嵤┻M(jìn)一步的人侵企圖。</p><p><b>　　（三）查殺木馬

14、病毒</b></p><p>　　1 判斷是否中了木馬</p><p>　　我們不會(huì)平白無故的懷疑自己的電腦中了木馬或病毒之類的，一定是有原因表象的，首先討論一下中木馬后的癥狀：</p><p>　　（1）當(dāng)你瀏覽一個(gè)網(wǎng)站，彈出來一些廣告窗口是很正常的事情，可是如果你根本沒有打開瀏覽器，而覽瀏器突然自己打開，并且進(jìn)入某個(gè)網(wǎng)站，那么，你要小心。</p

15、><p>　?。?）你正在操作電腦，突然一個(gè)警告框或者是詢問框彈出來，問一些你從來沒有在電腦上接觸過的間題。</p><p>　?。?）你的Windows系統(tǒng)配置老是自動(dòng)莫名其妙地被更改。比如屏保顯示的文字，時(shí)間和日期，聲音大小，鼠標(biāo)靈敏度，還有CD-ROM的自動(dòng)運(yùn)行配置。硬盤老沒緣由地讀盤，軟驅(qū)燈經(jīng)常自己亮起，網(wǎng)絡(luò)連接及鼠標(biāo)屏幕出現(xiàn)異?，F(xiàn)象。</p><p>　　（4

16、）上網(wǎng)的時(shí)候無緣無故藍(lán)屏，電腦重啟</p><p>　?。?）鍵盤鼠標(biāo)經(jīng)常不聽指揮，各種保密信息，包括密碼甚至上網(wǎng)帳號丟失</p><p>　　這時(shí)，最簡單的方法就是使用netstat-a命令查看。具體的步驟是點(diǎn)擊“開始”->“運(yùn)行”->“cmd”，然后輸入netstat這個(gè)命令能看到所有和自己電腦建立連接的IP以及自己電腦偵聽的端口，它包含四個(gè)部分proto(連接方式)、lo

17、cal address(本地連接地址)、foreign address(和本地建立連接的地址)、state(當(dāng)前端口狀態(tài))。通過這個(gè)命令的詳細(xì)信息，我們就可以完全監(jiān)控電腦的網(wǎng)絡(luò)連接情況。你可以通過這個(gè)命令發(fā)現(xiàn)所有網(wǎng)絡(luò)連接，如果這時(shí)有攻擊者通過木馬連接，你可以通過這些信息發(fā)現(xiàn)異常。通過端口掃描的方法也可以發(fā)現(xiàn)一些弱智的木馬，特別是一些早期的木馬，它們捆綁的端口不能更改，通過掃描這些固定的端口也可以發(fā)現(xiàn)木馬是否被植入。但現(xiàn)在得第二代木馬大部

18、分都已經(jīng)是用了端口反彈技術(shù)了，很難就一眼就看出來是否中了木馬。</p><p><b>　?。ㄋ模┩耆闅⒛抉R</b></p><p><b>　　1利用工具</b></p><p>　　工具有專業(yè)的殺毒軟件和木馬專殺工具之分。殺毒軟件大家都很熟悉，有：金山毒霸，瑞星，卡巴斯基，麥咖啡，江民等一些優(yōu)秀的殺毒軟件。查殺木馬的

19、工具有LockDown、TheClean、木馬殺客、木馬克星、金山木馬專殺、木馬清除大師、木馬分析專家等。</p><p>　　木馬查殺工具和殺毒軟件雖然都可以殺除木馬，但畢竟他們還是有一定區(qū)別的。前者最大的特點(diǎn)就是針對性強(qiáng)，并且功能強(qiáng)大。比如他們會(huì)帶有監(jiān)視注冊表的功能，一旦發(fā)現(xiàn)有注冊表改動(dòng)就會(huì)以明文方式通知用戶進(jìn)行確認(rèn)。這樣可以有效的阻止木馬的自動(dòng)運(yùn)行功能，從而也就達(dá)到了防馬的目的。還有些殺木馬的工具他們可以先

20、于系統(tǒng)啟動(dòng)，以達(dá)到殺出內(nèi)核級木馬的目的。這也是殺毒軟件無法比擬的。當(dāng)然殺毒軟件也有殺毒軟件的優(yōu)勢。比如他們可以殺病毒、蠕蟲等多種不安全代碼，并可以對可疑代碼上傳分析；殺毒軟件公司技術(shù)人員多，資金雄厚，所以更新也較快。</p><p>　　所有的東西都有它存在的價(jià)值。這些工具不僅是外行人員保護(hù)自己電腦的有利武器，也是制約木馬泛濫的重要因素。但同時(shí)他們還有很多不完善的地方，如：其中有些工具，如果想使用全部功能，需要付

21、一定的費(fèi)用，使得盜版、破解軟件興旺。隨著木馬三大技術(shù)的快速發(fā)展，殺毒軟件已經(jīng)越來越不堪重負(fù)，越來越多的木馬殺不了，甚至查不出來；越來越多的強(qiáng)悍木馬正被黑客制造出來，是否真的已經(jīng)無可挽回邪要?jiǎng)僬木置?？也許下一代操作系統(tǒng)可以解決根本問題！</p><p>　　然而，許多對于殺毒軟件來說陌生的木馬在我們仔細(xì)的觀察和比對下是可以被發(fā)現(xiàn)的。下面我們來看看怎樣手工來查殺木馬，這需要相對的一些專業(yè)知識。</p>

22、<p><b>　　2手工方法</b></p><p>　?。?）檢查網(wǎng)絡(luò)連接情況</p><p>　　由于不少木馬會(huì)主動(dòng)偵聽端口，或者會(huì)連接特定的IP和端口，所以我們可以在沒有正常程序連接網(wǎng)絡(luò)的情況下，通過檢查網(wǎng)絡(luò)連接情況來發(fā)現(xiàn)木馬的存在。我們可以隨時(shí)完全監(jiān)控電腦的網(wǎng)絡(luò)連接情況。一旦有一些不熟悉的程序和特別的端口在運(yùn)行，我們就可以馬上發(fā)現(xiàn)它，也可以及時(shí)關(guān)

23、閉它，還可以跟蹤它，找到它的原文件位置。下面有顯示其路徑、名稱和版本，便于我們追查和刪除。所以，防火墻是上網(wǎng)必備的基本防護(hù)軟件之一！</p><p>　?。?）查看目前運(yùn)行的服務(wù)</p><p>　　服務(wù)是很多木馬用來保持自己在系統(tǒng)中永遠(yuǎn)能處于運(yùn)行狀態(tài)的方法之一。我們可以通過點(diǎn)擊“開始”->“運(yùn)行”->“cmd”，然后輸入“net start”來查看系統(tǒng)中究竟有什么服務(wù)在開啟，

24、如果發(fā)現(xiàn)了不是自己開放的服務(wù)，我們可以進(jìn)入“服務(wù)”管理工具中的“服務(wù)”，找到相應(yīng)的服務(wù)，停止并禁用它。</p><p>　?。?）檢查系統(tǒng)啟動(dòng)項(xiàng)</p><p>　　由于注冊表對于普通用戶來說比較復(fù)雜，木馬常常喜歡隱藏在這里。檢查注冊表啟動(dòng)項(xiàng)的方法如下:點(diǎn)擊“開始”->“運(yùn)行”->“regedit”，然后檢查HKEY_LOCAL_MACHINESoftwareMicrosoft

25、WindowsCurrentVersion下所有以“run”開頭的鍵值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值;HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”開頭的鍵值。　　Windows安裝目錄下的System.ini也是木馬喜歡隱蔽的地方。打開這個(gè)文

26、件看看，在該文件的[boot]字段中，是不是有shell=Explorer.exe file.exe這樣的內(nèi)容，如有這樣的內(nèi)容，那這里的file.exe就是木馬程序了!</p><p><b>　?。?）檢查系統(tǒng)帳戶</b></p><p>　　惡意的攻擊者喜在電腦中留有一個(gè)賬戶的方法來控制你的計(jì)算機(jī)。他們采用的方法就是激活一個(gè)系統(tǒng)中的默認(rèn)賬戶，但這個(gè)賬戶卻很少用的，

27、然后把這個(gè)賬戶的權(quán)限提升為管理員權(quán)限，這個(gè)帳戶將是系統(tǒng)中最大的安全隱患。惡意的攻擊者可以通過這個(gè)賬戶任意地控制你的計(jì)算機(jī)。針對這種情況，可以用以下方法對賬戶進(jìn)行檢測。</p><p>　　點(diǎn)擊“開始”->“運(yùn)行”->“cmd”，然后在命令行下輸入net user，查看計(jì)算機(jī)上有些什么用戶，然后再使用“net users 用戶名”查看這個(gè)用戶是屬于什么權(quán)限的，一般除了Administrator是admi

28、nistrators組的，其他都不應(yīng)該屬于administrators組，如果你發(fā)現(xiàn)一個(gè)系統(tǒng)內(nèi)置的用戶是屬于administrators組的，那幾乎可以肯定你被入侵了。快使用“net user用戶名/del”來刪掉這個(gè)用戶吧!</p><p><b>　?。ㄎ澹┓烙抉R病毒</b></p><p>　　上面說了一些殺木馬的方法，但這畢竟是很無奈的事，學(xué)會(huì)怎樣防范木馬的

29、入侵，這才是關(guān)鍵。這里有防范木馬的幾點(diǎn)建議：</p><p>　　1絕對不要輕易相信從任何地方得來的任何文件，就算是以你最好的朋友的名義給你的文件也不例外。如果你確實(shí)需要這個(gè)文件，請一定做好徹底檢查。</p><p>　　2雙擊文件之前，搞清楚文件的類型、到底這是個(gè)純粹的.doc文檔，還是一個(gè)可執(zhí)行文件卻有著.doc文件的外衣呢? 1</p><p>　　3

30、堅(jiān)持每天升級你的反病毒軟件和反木馬軟件程序。現(xiàn)在很多這種軟件都有任務(wù)編輯功能，你完全可以讓軟件在夜晚你睡覺的時(shí)候，自動(dòng)執(zhí)行殺毒和升級程序，何樂而不為? </p><p>　　4確保你所使用的軟件是最新版，并且關(guān)注各大軟件BBS討論版，爭取最大限度地了解你所使用的軟件。很多軟件都有自動(dòng)檢查版本更新的選項(xiàng)，只要打上一個(gè)勾，每次執(zhí)行該程序，都會(huì)自動(dòng)檢查有無更新版本發(fā)布，非常方便。</p><p>

31、;　　5經(jīng)常檢查計(jì)算機(jī)上運(yùn)行的進(jìn)程，這不光可以有習(xí)很多計(jì)算機(jī)知識。助于你發(fā)現(xiàn)木馬，還可以幫助你學(xué)</p><p>　　6從不知名的小站下載軟件使用是非常危險(xiǎn)的，切忌!</p><p>　　7一些共享軟件和免費(fèi)軟件也有含有惡意代碼的可能，請留意各大網(wǎng)站的通報(bào)。</p><p>　　8仔細(xì)閱讀你的殺毒軟件的說明書，爭取發(fā)揮軟件的最大攻用。</p><

32、p>　　9注意檢查啟動(dòng)組和Win.ini以及System.ini、winstart.bat、wininit.ini、Autoexec.bat、config等文件。</p><p>　　10注意系統(tǒng)中常用文件的長度，木馬如果捆綁在其中，長度就會(huì)發(fā)生變化，這是發(fā)現(xiàn)捆綁木馬的好方法。</p><p>　　11注意上網(wǎng)時(shí)腦所用端口，對1024端口以上的不連續(xù)端口要密切注意 (可以通過鍵入ne

33、t stara命令來查看輸出列表中的 "LocalAddress"項(xiàng)，看看有什么端口是開啟的。下面的地址是一個(gè)著名木馬常用端口列表:</p><p>　　12最后一條是特別建議:發(fā)現(xiàn)情況不對立即斷線。盡管造成上網(wǎng)速度突然變慢的原因有很多，但有理由懷疑由特洛伊木馬造成的也是有根據(jù)的:當(dāng)入侵者使用特洛伊的客戶端程序訪問你的機(jī)器時(shí)，會(huì)與你的正常訪問搶占帶寬。特別是當(dāng)入侵者從遠(yuǎn)端下載用戶硬盤上的文件時(shí)

34、，正常訪問會(huì)變得奇慢無比!這時(shí)，你可以雙擊任務(wù)欄有下角的連接圖際，仔細(xì)觀察一下已發(fā)送字節(jié)項(xiàng)，如果數(shù)字變化成1-3kps(每秒1-3000字節(jié))，幾乎可以確認(rèn)有人在下載你的硬盤文件!除非你正在使用FTP功能。當(dāng)發(fā)現(xiàn)上述可疑跡象后，你所能做的就是立即斷線，然后對硬盤有無特洛伊木馬進(jìn)行認(rèn)真的檢查。</p><p><b>　　三結(jié)論</b></p><p>　　木馬的發(fā)展促

35、進(jìn)了安全技術(shù)的提高，而安全技術(shù)的提高又迫使木馬必須往更高的級別發(fā)展，到現(xiàn)在木馬已經(jīng)形成了多個(gè)派系的共存，偵測它們的方法也不能再像以前那樣簡單了，例如檢測異常端口的方法對于反彈木馬而言是無效的，它并不在本機(jī)開放端口；就算防火墻能阻止內(nèi)部未授權(quán)程序訪問網(wǎng)絡(luò)，但那只能針對TCP/UDP協(xié)議的木馬，別忘記了還有ICMP后門的存在，防火墻通常不會(huì)阻止這類報(bào)文的。雖然ICMP協(xié)議的數(shù)12據(jù)報(bào)文能完成的事情相對較少，但是對于一般的命令控制，它已經(jīng)足夠

36、了.Internet上每天都有新的木馬冒出來，所采取的隱蔽措施也是五花八門。在信息社會(huì)里，計(jì)算機(jī)用戶對自己的資料進(jìn)行保密、防止泄漏也變得越來越重要。防范木馬襲擊也只是提高計(jì)算機(jī)安全性的一個(gè)方面。技術(shù)的發(fā)展，本文所講述的檢測、刪除木馬方法也總有一天會(huì)失效，最主要還是要靠用戶提高警惕，防范所有的不安全事件于未然。</p><p><b>　　參考文獻(xiàn)</b></p><p&

37、gt;　　[1]康平治，特洛伊木馬可生存性研究及攻防實(shí)踐，重慶大學(xué)，2005年8月</p><p>　　[2]郭威兵，劉曉英，淺析木馬病毒及其防范措施，科技情報(bào)開發(fā)與經(jīng)濟(jì)，2006年02期</p><p>　　[3]宋彥民，檢測和刪除木馬病毒的方法，現(xiàn)代電子技術(shù)，2001年12期 </p><p>　　[4]孔繁榮，深入了解和防治木馬病毒，內(nèi)蒙古科技與經(jīng)濟(jì)，2002

38、年06期</p><p>　　[5]病毒情報(bào)站，電腦采購周刊2002年37期 </p><p>　　[6]朱明，徐塞，劉春明，木馬病毒分析及其檢測方法研究，計(jì)算機(jī)工程與應(yīng)用，2003年3月</p><p>　　[7]幾款常見的木馬病毒的清除，計(jì)算機(jī)網(wǎng)絡(luò)，2002年14期</p><p>　　[8]CNCERT，新時(shí)代下的網(wǎng)絡(luò)病毒，計(jì)算機(jī)