远离机密杀手

来源 :电脑迷 | 被引量 : 0次 | 上传用户:nicico
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  摘 要 每一个上网的用户都会和计算机病毒打交道,其中木马病毒也是最常见的病毒之一,今天让我们揭去它神秘的面纱,看看他到底是什么真面目。木马病毒全称为特洛伊木马病毒,名字来自于古老的古希腊传说,在《荷马史诗》中的木马计中以特洛伊指代了特洛伊木马,木马的英文全称Trojan,也是取自于木马计的故事。
  关键词 木马 计算机病毒 木马病毒防治 木马原理
  中图分类号:TP309.5 文献标识码:A
  0 前言
  每一个上网的用户都会和计算机病毒打交道,其中木马病毒也是最常见的病毒之一,今天让我们揭去它神秘的面纱,看看他到底是什么真面目。
  木马病毒全称为特洛伊木马病毒,名字来自于古老的古希腊传说,在《荷马史诗》中的木马计中以特洛伊指代了特洛伊木马,木马的英文全称Trojan,也是取自于木马计的故事。
  之所以将此种病毒命名为木马,是因为它的特点和木马计中的特洛伊木马极其相似,在木马计中,特洛伊木马是为了隐藏破坏,里应外合的,而这种计算机程序也起到了相同的作用,他不会自我繁殖,仅仅在计算机中以独立的个体存在,不会主动去感染其他文件,所以从表面上看来,它是一个十分安静的病毒。它会以各种方式吸引受害者去下载执行,进而控制受害者的电脑,向木马病毒施种者提供打开被种者电脑的门户,让施种者可以对被种者的电脑内的任何文件进行破坏,窃取等恶意操作。如果条件允许的情况下,木马病毒的施种者可以直接对被施种者电脑进行控制操作。
  1 木马的原理及发展
  1.1 木马病毒的原理
  这种卑鄙的程序原理其实十分简单,对于一个完整的木马程序成品,会具有两个部分,即服务端(服务器部分)和客户端(控制器部分)。木马病毒的使用者会使用一切手段将服务端(服务器部分)植入被害者电脑,而其自身操作客户端来控制服务端。当被害者运行了服务端后,木马自身会伪装产生一个用于迷惑被害者的名称进程,进而打开向指定地点发送数据的端口。当然,如果条件允许的话,木马施种者也可以通过这些开放的端口来进入被害者的电脑,对被害者电脑系统进行破坏。
  但是这种程序不能自动运行,这也是其一大特点,一般的木马施种者会把它伪装成一种对被害者有用的东西或者一份十分有趣的计划,木马则暗含在一些用户下载的文档中,当被害者选择运行这些文档程序的时候,连带着激活了木马程序,只有这样才能使木马病毒开始运行,对被害者的文件和重要资料进行窃取和破坏。虽然它具有对文件的窃取功能,但从定义上来讲,木马和后门程序之间还是有本质的区别的,后门是指隐藏在程序内部,为后门操作者日后随时进入被害者计算机系统而留下的设置程序。
  1.2 木马病毒的发展
  木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。至今木马程序已经经历了六代的改进:
  第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能,开始了木马程序的开端。
  第二代,在技术上有了很大的进步,冰河是中国木马的典型代表之一。冰河木马开发于1999年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。
  第三代,主要改进在数据传递技术方面,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度,出现了ICMP等类型的木马,代表性的木马是ICMP监控型木马。“ICMP木马”监控,木马程序英文名字Win32.Troj.IcmpCmd,该木马可以向指定的已经被植入该木马的IP地址发送命令,可以直接对感染的计算机进行口令修改,获得最高管理权,实现重启计算机打开远程SHELL、注入远程SHELL等,会给用户的机器带来不可预知的破坏。
  第四代, 在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。
  第五代,驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果,并深入到内核空间的,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。
  第六代,随着身份认证UsbKey和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。
  1.3 木马病毒的未来可能发展趋势
  1.3.1 关于winPE的发展方面的发展
  R0级内核攻防的技术不断进化,现在发展了内核驱动(各种HOOK)木马,MBR病毒以及BIOS病毒。只要被病毒或木马成功运行一次,整个系统的核心防线就会被直接打穿,瞬间就会导致崩溃。现在,感染了恶性病毒或木马后,基本上都会选择进入WinPE环境下进行查杀和修复。那问题来了:
  会不会木马或病毒不仅在正常的Windows环境下可以运行,在WinPE环境一样可以运行,然后进行各种破坏?
  预计发展进程:内核驱动木马→MBR病毒→BIOS病毒→PE病毒
  1.3.2 关于不被广大用户注意的硬件木马
  目前的广大计算机木马病毒制造者都会把硬件方面的主要目标定位在CPU等重要硬件,但是2013年NVIDIA显卡驱动爆出漏洞,引起人们注意。未来,除CPU以外的如显卡,声卡,网卡等以前不太惹人注意的硬件设备会被木马病毒利用,所以不被广大用户注意的硬件会成为木马的目标。   2 伪装手段
  首先最常见的还是修改图标和捆绑文件,起一种方式的伪装效果不是很好,一般情况下,木马病毒程序制造者会使用一些手段把木马的服务端的图标改成TXT,ZIP,HTML等看似没有什么伤害的各种文件图标,但是此种方法如果在显示扩展名的系统文件显示条件下,伪装就会暴露自己,因为文件后面和图标不符的扩展名就会暴漏自己。而后一种方法捆绑文件,一般会将木马程序绑在一种可执行性文件上,也可以防止看出扩展名带来的问题,当这种程序和被捆绑的程序一起运行时,就可以开始工作了
  当然,木马设计者还会找出更好的方法,因为木马程序在运行的时候会出现点击文件后无响应,这样很容易暴漏自己,所以设计者会设计出一个文件出错的方法,当运行这个文件后就会有显示一个错误提示框,当被害者认为是真的时候,设计者的目的就达到了。也有的设计者会选择对木马进行更名,将木马安装成功后就对木马的文件名进行自由定制的权限放开,使用户难辨真伪。
  更高端的伪装还有自我销毁和定制端口两者方法,自我销毁则是为了解决很多老木马病毒的缺点,即在木马运行后将自身销毁,使用户无法找到源文件。而定制端口方式是为了解决老木马病毒端口固定的问题,控制端的木马施种者可以在1024-65535之间随意定制,作为木马病毒的端口,但一般不选择1024以下的端口,因为不方便于隐藏。
  3 木马病毒的分类与隐藏手段
  3.1 木马病毒的分类
  常见的为网游木马和即时通讯木马,面对当下网游的普及和对QQ等即时通讯工具软件的使用,木马设计者对网游下手,以盗取网游账号密码为目的,常见的为键盘记录,HOOK游戏进程API函数等手段。因为目前网游在中国处于上升的发展阶段,加上不法人员对木马病毒生成器和一些不法网站对木马病毒的公开销售,使该种病毒的种类和数量一直处于顶峰。而即时通讯类木马则目的多种,常见的有发送消息型,盗号型和传播自身型,主要用于发送有毒链接,偷窃聊天记录,倒卖账号,传播自身病毒等目的,也是目前种类和数量排名前列的木马种类。
  还有一部分木马病毒和个人习惯有关,比如专门研制为了盗取网银的网银木马病毒,喜欢在网页中点击窗口的人则容易成为网页点击型木马的攻击目标,但此类木马一般是为了赚取较高的推广流量,所以设计简单。还有些伪装性较强,如下载类木马将自身安装成功后向被害者电脑中下载各种其他病毒程序或广告插件。代理类木马则在本机开启HTTP,SOCKS等代理服务功能,实现了跳板效果。面对FTP型木马,则控制21号端口,是每个人可以用一个FTP客户端程序不用密码就可以连接到受控计算机,并上传,下载,窃取其机密文件,在近些年的FTP木马中部分加入了密码功能,只有攻击者自身才能进入受害者计算机。
  3.2 木马病毒的隐藏手段
  对于木马,伪装不但要有表面功夫,还要找到合适的地点,所以计算机中很多阴暗角落就成了良好的隐藏的地点,现在就让我们一起发现他们,把他们拉到光天化日之下吧。
  木马设计者采用很多种方法隐藏自己的程序,常见方法并不多。第一项,把自己的木马程序放入集成程序中,这也是目前广泛使用的方法,将自身和一款应用程序捆绑,如和操作系统绑住,那么只要运行了WINDOWS就可以自动运行了。第二项,木马可以藏身在Win.ini中,在win.ini中Windows字段后面如有启动命令“Load=”和“Run=”,一般“=”后面为空白的,若有其他文件,则有可能为木马程序。第三项,藏身于注册表,这种方法主要是利用注册表的复杂性,这着实让人痛苦。也有的木马会伪装到普通文件中,将自身后缀修改成“XXX.EXE”,也可以迷惑一些对计算机并不了解的人。类似的,木马也可以在Autoexec.bat和Config.sys中加载,利用配置文件运行自己。当然,有的木马设计者会在自己的网站上安置恶意代码,引诱受害者点击。
  4 查杀木马
  从专杀的角度来说,因为就木马自身很多本质性特点来讲,它不完全具备一个标准病毒的完整属性含义,所以从某种角度上来讲,木马不属于病毒,所以将其从广大病毒大军中剥离出来。现在大多软件制造者单独制作木马专杀,这样可以有效提高查杀效率,毕竟节约时间就是保护机密文件和信息不被泄漏的最好方式,越早处理,损失就越少。像瑞星,江民等大型杀毒案件公司单独制作的木马专杀工具已经基本普及,而类似于“木马杀客”等专业查杀木马的软件也毫不逊色。
  从自身手动查杀角度讲,可以利用计算机上的命令提示符录入一些指令,也可以完成自己查杀的效果。首先在命令提示符中录入netstat-an命令,观察计算机上的链接。其次,利用net start找到不明服务项,利用net stor serve来禁用。
  5 木马病毒的正常防范
  5.1 木马病毒防范基本原理
  经常使用木马专杀对系统内文件进行全盘检查,并且安装防火墙,过滤掉网上的一些危险文件包和不明恶意代码。另外不随意访问来历不明的网站,不用来历不明的软件,及时对系统的漏洞进行修复更新等,虽然我们手中握着杀死木马的利器,但是防范于未然,提高自身防范意识,才能让木马设计制造者无机可乘。
  5.2 木马病毒防范细节
  在面对木马病毒的防范,有一些小细节当然也需要注意:
  (1)禁用OE自动收发邮件功能。
  (2)安装杀毒软件,并及时更新。
  (3)禁用文件系统对象FILESYSTEM OBJECT.
  (4)对于文件的扩展名不进行隐藏,及时对新建文件的扩展名的进行检索,出现异常的文件要及时进行检索查杀。
  木马是一种让人痛恨的病毒,它窃取机密文件,破坏系统文件,可谓无恶不做,但是当我们全面了解它以后,我相信我们必会彻底战胜它,让我们拥有一片更安全,更干净的网络家园。
其他文献
随风而逝是飘逸的,但是却失去了自己的选择;逆风飞是困难的,但却是鹰隼的最爱。被称为“国宝活化石”的中华鲟,每年总是要溯流而上, 到长江上流产卵,直到它被那一道致命的高坝阻断。宁肯灭绝也不愿意改变生命的轨迹。这就叫格调,这就叫高贵。  我们似乎鹤立风中,做一个“最后的贵族”。在“低头族”风头正盛,快餐成为阅读时尚的时代,举牌纸媒是不是太不合时宜? 但是世界就是这么奇妙,太阳光为什么是七色的,花儿为什
期刊
《菜根谭》《小窗幽记》《围炉夜话》并称为“修身处世三大奇书”,自问世以来一直备受推崇,对于我们修养心性、学习为人处世之道、感悟中华传统文化起着重要作用。  《菜根谭》  (一)《菜根谭》概述  《菜根谭》的作者是明代万历年间的洪应明。关于洪应明,《明史》无传,其他史书也很少提及。其生平事迹,只有从他自己的著作以及别人为他的著作所写的题记、序跋中进行梳理。根据现有材料,我们可以得知:洪应明,字自诚,
期刊
正规军智斗山寨军  有迷信教派会认为名字是否“高端洋气上档次”会影响到一生的命运,这理念虽无科学依据,但放在商标领域,可是屡试不爽。Tesla,这个被誉为“汽车界的苹果”就要登陆中国市场时,它却遭遇与苹果一样的烦恼:商标不得正名。请容许笔者对广州商人占宝生的机智心生崇拜,同时对Tesla表示同情。虽然占先生一条龙服务的精神(抢注了域名、英文字母、汉字与图形商标)值得嘉奖,但自定高额奖金的行为有可能
期刊
近日,美国公路安全保险协会(IIHS)公布了最新一批的碰撞测试成绩,本次测试中,参加测试车辆全部为SUV车型,其中绝大部分在国内也有销售。测试车辆为:全新斯巴鲁森林人、三菱欧蓝德Sport(劲炫ASX)、宝马X1、本田CR-V、马自达CX-5、大众Tiguan、别克昂科拉、福特翼虎等十七款SUV车型。测试结果是只有两款车获得“最高等级安全评定+(Top Safety Pick+)”,它们分别是全新
期刊
9月2日,北京环保局发布"清洁空气行动计划",要求交通委和环保局牵头研究制定征收交通拥堵费政策;交通委和交管局牵头制定智能化车辆电子收费识别系统等;交通委、交管局、城管执法局落实区域差别化停车收费制度,引导降低中心城区车辆使用强度。同时,北京环保局发布《北京市清洁空气行动计划(2013-2017年)重点任务分解措施》,计划提出,2013年底前,北京将研究完善并出台小客车分区域、分时段限行政策。市交
期刊
近日,新能源汽车及电池节能技术国际高峰论坛在杭州举行,中国汽车工程学会侯福深部长在论坛上发言时提到,新能源汽车新一轮补贴政策有望在9月初出台。据介绍,新政策针对节能汽车和新能源汽车的补贴力度将会有较大区别,节能汽车特别是混合动力公交车所受补贴可能大幅下降。而根据业内之前的猜测,新的补贴政策将更加鼓励新能源车在私人购买领域的推广。  网友评价  绿色森林:我们大声呼吁:希望政府在鼓励节能减排或新能源
期刊
我们都爱虫虫!来吧,看看这个遍地都是“虫虫”的海滩就知道当年的甲壳虫多风光。就在火热的8月,四百余辆新老三代甲壳虫汽车从欧洲各地驶向波罗的海滨海城市特拉维蒙德,参加堪称全球最大规模的“虫迷”聚会:一年一度的“甲壳虫阳光之旅沙滩派对”。2,000名热情的欧洲“虫迷”和新老三代甲壳虫汽车“盛装”“虫”聚阳光沙滩,在“德国好声音”摇滚乐手Nathalie Dorra和Ole Feddersen的激情献唱
期刊
法国最高行政法院当地时间8月27日取消了对梅赛德斯-奔驰汽车的禁售令,同时要求法国政府恢复对这些车型的注册登记。这意味着戴姆勒公司获得了法国最高法院的许可,仍可在法国销售奔驰全线车型。此前,法国政府因戴姆勒公司拒绝停止使用空调冷却剂R134a,自6月起在法国禁售奔驰A级、B级车,并阻止CLA和SL汽车组装业务。法国政府提出禁售的依据在于今年年初欧盟指令禁止新车采用R134a冷却剂。  网友评价  
期刊
按照国家统一要求,2014年1月1日起国内将全面执行国IV汽油标准。而中国石化新闻办官方微博@石化实说8月28日发布消息称,中国石化正积极行动,优化所属炼油企业汽油质量升级时间表,将从10月1日起,提前在上海,江苏沿江8地市及广东6地市开始置换国V汽油,其余省区(市)提前3个月开始置换国IV汽油。  网友评价  wxlibin :油好了,却烧不起了!  大华风 :不错,只要油品好,对环境污染降低,
期刊
为什么结束一段旅程,我却不急着下车?每天下班进家门前,我总习惯在车里小坐一会儿。因为我需要片刻时间和空间来调换状态。在这片刻的时空里,有面对挑战鼓起勇气的心理建设,也有处理繁杂事物后的全身轻松。和《悦游Conde Nast Traveler》(以下简称《悦游》)一起经历人生旅程的第五个年头,终于来到这个十字路口,我想讲讲这本杂志和与它息息相关的人。  告诉读者这个世界不完美,并不妨碍给予他们走出去
期刊