木馬程序的工作機(jī)理及防衛(wèi)措施的研究病毒

1、木馬程序的工作機(jī)理及防程序的工作機(jī)理及防衛(wèi)措施的研究措施的研究1木馬程序的工作機(jī)理的研究木馬程序的工作機(jī)理的研究11引言引言隨著計算機(jī)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展和廣泛應(yīng)用，Intemet深入到社會的每個角落，人們充分享受到了其給工作和生活帶來的巨大便利，人類社會對計算機(jī)系統(tǒng)和信息網(wǎng)絡(luò)的依賴性也越來越大。但是從另一方面，由于計算機(jī)系統(tǒng)和信息網(wǎng)絡(luò)系統(tǒng)本身固有的脆弱性。越來越多的網(wǎng)絡(luò)安全問題開始困擾著我們，入侵者入侵和病毒蔓延的趨勢有增無減，社會、

2、企業(yè)和個人也因此蒙受了越來越大的損失。特別是在此基礎(chǔ)上發(fā)展起來的“信息戰(zhàn)”，通過計算機(jī)攻擊工具(如計算機(jī)病毒、木馬等計算機(jī)程序)對敵方的計算機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)施發(fā)動襲擊，造成敵方的信息通信的中斷和指揮控制系統(tǒng)的癱瘓，從而達(dá)到“不戰(zhàn)而屈人之兵”的目的。顯然，計算機(jī)攻擊和防御工具也將成為國家之間、企業(yè)之間一種重要的攻擊和防御手段。因此，計算機(jī)和信息安全問題正日益得到人們的重視，并成為國內(nèi)外的學(xué)者和專家研究的熱點。在早期的計算機(jī)安全防御中，由于網(wǎng)

3、絡(luò)并不流行，反病毒軟件發(fā)揮著主要的作用，通過對輸入設(shè)備的監(jiān)控，有效地阻止了惡意程序?qū)γ颗_獨立的計算機(jī)的危害。隨著網(wǎng)絡(luò)的應(yīng)用，絕大部分計算機(jī)連入互連網(wǎng)，威脅變?yōu)橹饕獊碜跃W(wǎng)絡(luò)，網(wǎng)絡(luò)入侵工具(如蠕蟲、木馬等)在這時不斷涌現(xiàn)。防火墻在這種情況下應(yīng)運而生，它通過禁止非法的網(wǎng)絡(luò)請求來防御來自網(wǎng)絡(luò)的攻擊。隨著計算機(jī)攻擊技術(shù)的發(fā)展，病毒、蠕蟲和木馬等攻擊工具在功能上相互吸收和借鑒，攻擊方式和手段也層出不窮，促使計算機(jī)安全也向著不斷細(xì)化的方向發(fā)展，即針對

4、不同的攻擊方式采用不同的對策，從而形成了比較完善的防御體系。2木馬的功能和特征木馬的功能和特征木馬程序的危害是十分大的，它能使遠(yuǎn)程用戶獲得本地計算機(jī)的最高操作權(quán)限，通過網(wǎng)絡(luò)對本地計算機(jī)進(jìn)行任意的操作，比如刪添程序、鎖定注冊表、獲取用戶保密信息、遠(yuǎn)程關(guān)機(jī)等。木馬使用戶的電腦完全暴露在網(wǎng)絡(luò)環(huán)境之中，成為別人操縱的對象。就目前出現(xiàn)的木馬來看，大致具有以下功能：1自動搜索已中木馬的計算機(jī)。2對對方資源進(jìn)行管理，復(fù)制文件、刪除文件、查看文件內(nèi)容、

5、上傳文件、下載文件等。3遠(yuǎn)程運行程序。4跟蹤監(jiān)視對方屏幕。木馬程序的工作機(jī)理及防程序的工作機(jī)理及防衛(wèi)措施的研究措施的研究3防御木馬的共識。2.1木馬的分類木馬的分類根據(jù)木馬程序?qū)τ嬎銠C(jī)的具體動作方式，可以把現(xiàn)在的木馬程序分為以下幾類：2.1.1遠(yuǎn)程訪問型木馬遠(yuǎn)程訪問型木馬是現(xiàn)在最廣泛的特洛伊木馬。這種木馬起著遠(yuǎn)程控制的功能，用起來非常簡單，只需先運行服務(wù)端程序，同時獲得遠(yuǎn)程主機(jī)的IP地址，控制者就能任意訪問被控制端的計算機(jī)。這種木馬可以

6、使遠(yuǎn)程控制者在本地機(jī)器上做任意的事情，比如鍵盤記錄、上傳和下載功能、發(fā)送一個“截取屏幕”等等。這種類型的木馬有著名的BO(Backoffice)和N產(chǎn)的冰河等。2.1.2密碼發(fā)送型木馬密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類木馬程序不會在每次Windows重啟時都自動加載，它們大多數(shù)使用25號端口發(fā)送電子郵件。2.1.3鍵盤記錄型木馬鍵盤記錄型木馬是非常簡單的，它們只做一種事

7、情，就是記錄受害者的鍵盤敲擊，并且在LOG文件里做完整的記錄。這種木馬程序隨著Windows的啟動而啟動，知道受害者在線并且記錄每一個用戶事件，然后通過郵件或其他方式發(fā)送給控制者。2.1.4毀壞型束馬大部分木馬程序只竊取信息，不做破壞性的事件，但毀壞型木馬卻以毀壞并且刪除文件為己任。它們可以自動地刪除受控制者計算機(jī)上所有的dll、illi或exc文件，甚至遠(yuǎn)程格式化受害者硬盤。毀壞型木馬的危害很大，一旦計算機(jī)被感染而沒有即時刪除，系統(tǒng)中

8、的信息會在頃刻間“灰飛煙滅”。2.1.5FIP型木馬FTP型木馬打開被控制計算機(jī)的21號端口(FTP所使用的默認(rèn)端口)，使每一個人都可以用一個FTP客戶端程序來不用密碼連接到受控制端計算機(jī)，并且可以進(jìn)行最高權(quán)限的上傳和下載，竊取受害者的機(jī)密文件。2.2遠(yuǎn)程控制、木馬與病毒遠(yuǎn)程控制、木馬與病毒遠(yuǎn)程控制軟件可以為我們的網(wǎng)絡(luò)管理做很多工作，以保證網(wǎng)絡(luò)和計算機(jī)操作系統(tǒng)的安全。這類程序的監(jiān)聽功能，也是為了保證網(wǎng)絡(luò)的安全而設(shè)計的，但是如果使用不當(dāng)?shù)?/p>