《木马检测工具的实现毕业设计论文》由会员分享,可在线阅读,更多相关《木马检测工具的实现毕业设计论文(37页珍藏版)》请在金锄头文库上搜索。
1、毕业设计(论文)木马检测工具的实现论文作者姓名:申请学位专业:申请学位类别:指导教师姓名(职称):论文提交日期:木马检测工具的实现摘 要近年来,“特洛伊木马”(以下简称木马)数量迅速增加,在各类非法程序中已经占到了极大的比重,由木马所造成的破坏和损失也越来越严重,因此,反木马的研究己成为网络安全领域的一个热点和重点。基于特征码的静态扫描技术由于具有检测潜伏的木马、病毒等非法程序的能力,成为反木马、反病毒等研究领域的一个热点,所以至今特征码技术得到了广泛的应用。特征代码法,是目前公认的检测己知病毒的最简单、开销最小的方法。检测工具在将已知木马以二进制读取到的4096位字符串,通过MD5取摘要作为
2、特征码,然后将这些木马独有的特征搜集在一个木马特征码数据库中。每当需要确定文件是否为木马的时候,检测工具会以扫描的方式将数据文件与特征码数据库内的现有特征码一一比对,如果双方数据吻合,就可以判定该数据文件为木马文件。本工具检测准确,可识别病毒的名称,依据检测结果,可做相应的处理。关键词:网络安全;木马;MD5;特征码The Implementation of a Trojan Detection ToolAbstractIn recent years, the number of trojan is increasing very rapid and it now amounts to the
3、 most part among in all the illegal programs. Trojans have brought much more serious damages and losses .As a result, the research of anti-trojan has already become the hotspot and the main emphasis in the area of network security. Because of its ability of detecting unknown trojans, signature-based
4、 scanning has currently turned into hotspot in the anti-trojan research area. So the characteristic code technology is used widely. The characteristic code technology is the method that has the simplest and lowest expense to check the Trojans. The tool gets 4,096 bits from the known Trojans file, an
5、d gets its message digest with MD5 algorithm, then puts this value in an INI file as the database of Trojan characteristic code. When a file is checked, the tool will scan the file and compare with the characteristic code database, if the message digest of this file is equal to a certain record, the
6、n we can determine the file is a Trojan file. The accuracy of our tool is very high, and can identify the name of the Trojan. According to the result, it can take corresponding measure to deal with the Trojan file.Key words:Network security; Trojan; MD5; Characteristic code目 录论文总页数:26页1引 言11.1木马查杀工具
7、设计背景11.1.1木马的概念及技术原理11.1.2木马的危害31.2现在流行的查杀方式31.3木马检测的实现方法61.3.1PE文件静态信息的提取和特征码的设置61.3.2特征码选择与采集81.3.3特征码库的设计81.3.4信息摘要技术中的MD5算法91.3.5MD5算法的原理及应用101.3.6MD5作特征码简介112需求分析及方案设计112.1本工具要完成的功能112.2环境需求112.3可行性研究113木马查杀功能的实现123.1工具模块介绍123.2木马特征码的读取123.3获得文件MD5特征码143.4文件属性的更改193.5实现驱动器的选择193.6MD5特征码查杀22结 论2
8、3参考文献24致 谢25声 明261 引 言1.1 木马查杀工具设计背景“特洛伊木马”这个词源于希腊古神话中的一场战役,而今天计算机的应用领域中,木马的存在给网络安全带来了不容忽视的问题。计算机网络发展到今天,已经迅速延伸到世界的每个角落,大到政府、公司,小到家庭、网吧等场所,己经处处离不开网络,随时随地都要接入Internet与世界同步。信息产业的发展的确使我们生活有了很大的改善,但是如何控制信息的安全性呢。有人为了窃取商业机密,个人隐私,使用非法手段,利用操作系统的漏洞,为目标计算机植入木马,这就相当于在对方计算机中安排“内应”,而对方使用者却毫无察觉,于是被植入木马的计算机对于入侵者来说
9、完全就是透明的了,毫无机密可言。所以木马的出现给网络带来了非常严重的负面影响。在计算机安全学中,特洛伊木马是指一种表面上有某种功能,而内部隐藏着完成特殊任务代码的计算机程序。它利用自身具有的植入功能或依附其它具有传播能力病毒等途径,进驻目标机器,搜集各种敏感信息,并通过网络发回搜集到的敏感信息,接受植入者指令,完成各种操作,在一定程度上,木马也可以称为是计算机病毒。但从木马的本质来讲,它是一种远程控制的黑客工具,具有隐蔽性和非授权性。一般的木马执行文件都很小,如果把木马捆绑到其它正常文件上,用户很难发现。并且,木马一般不像计算机病毒那样去破坏文件、占用系统资源,而是在背后充当“间谍”的角色,因
10、此,用户即使中了木马,也很难察觉到它的存在。从以往网络安全事件的统计分析中可以发现,有相当部分的网络入侵是通过木马进行。利用木马,攻击者可以窃取密码、控制系统操作、进行文件操作等,造成用户资料的泄漏、破坏或整个系统崩溃。随着网络化程度的提高,如何有效防范木马己成为人们关注的问题。目前,国内外很多新版杀毒软件都加入了木马清除功能,市场上也出现了很多“木马”专杀工具,这些软件主要根据木马的动态执行特性识别木马,不能有效识别潜伏的木马。针对这一情况,本文提出两种根据文件静态信息检测木马的新方法,能有效识别木马文件,特别是潜伏着的没有发作的木马文件。1.1.1 木马的概念及技术原理木马是一种网络通信程
11、序,它既不同于病毒,也不同于蠕虫。病毒具有自我复制和感染文件的特点,它能迅速地感染某台计算机上的每个应用程序文件,但它在不同计算机之间的传播通常不是自发的,需要依靠各种人为因素,例如人为发送电子邮件等等。蠕虫则通常会通过网络主动在计算机之间传播,因此,它的传播速度一般比病毒快。而木马既不会自我复制和感染文件,也不会主动传播。木马可分为后门类木马、网银类木马、网游类木马等,其中后门类木马最为常见,网银类和网游类木马次之。图1 后门类木马客户端与服务器的通信示意图不论哪类木马,均包含服务器程序,平常所说的“中了木马”,更确切地讲是“中了木马服务器”。服务器程序具有较强的隐蔽性和伪装性,它通常包含在
12、一些合法程序或数据当中,或者木马服务器本身伪装为一个合法程序,例如,游戏软件、工具软件、电子邮件的附件、网页等等,如果计算机运行这些程序、打开这些文件或访问这些网页,就可能同时在计算机操作系统的后台启动了木马服务器的安装程序,但普通计算机用户对此是无法觉察的。后门类木马的通信如图1所示,除服务器外,还包含客户端,两者遵守一定的通信协议。如果木马服务器被安装到某台计算机并成功启动,该计算机就成为受控于木马客户端的目标机,木马投放者或者第三方可在网络的另一端,通过木马客户端向其发送各种命令,而服务器则负责接收、解析和执行命令,并将执行结果返回给客户端。通过这些命令,可以实现对目标机的远程文件管理、
13、远程屏幕监视、键盘和鼠标消息记录、远程关机和重启、系统信息获取、硬盘数据共享以及远程程序执行等。网银类木马通常没有客户端,它的主要目的在于窃取目标机用户的网络银行帐号和密码,并将其发送到指定的电子邮箱。而网游类木马的目的则在于窃取网络游戏的帐号、密码和虚拟装备等,并将其发送到指定的电子邮箱,供邮件接收者牟利。多数服务器会随着目标机的启动而自动运行,运行时,一般还会隐藏进程和网络连接,以躲避进程查看工具以及防火墙软件。另外,目前某些木马还具有自我恢复功能,在目标机上存放多个服务器程序及相关文件的备份,如果只是其中的某一个被删除,那么,其它备份又会在一定条件下运行起来。木马一直是国内外黑客和安全专
14、家研究的热点,它发展至今,从早期的BackOrifice、Netspy、冰河等到现在的广外女生、网络神偷等木马,功能越来越强大,隐藏、自启动等方面的技术手段也逐渐多样化。1.1.2 木马的危害木马不仅破坏计算机及计算机网络,而且对其进行控制,并窃取或篡改重要信息,不断对网络安全造成严重的破坏。另外,木马还被许多不法分子用作犯罪工具,造成巨大的经济损失,甚至扰乱社会治安。综观2006年国内的各类典型木马,“传奇男孩”、“剑侠幽灵”及“蜜蜂大盗”等网类木马会盗取网络游戏的帐号、密码及游戏装备,并将其发送到指定电子邮箱,供木马使用者出售牟利,严重侵犯了网络游戏合法用户的网络虚拟财产;“MSN小尾巴”
15、、“QQ小尾巴”等广告类木马会修改网页定向,导致被感染的计算机无法访问一些网站;“网银大盗A”等网银类木马采用窃取击键记录的方法,盗用合法用户网上银行的帐号和密码,给用户带来巨大的经济损失;而“灰鸽子”、“黑洞”等后门类木马则可能使计算机系统完全受到非法控制。据国际著名风险管理公司公布的调查结果显示,在2006年,病毒、蠕虫和特洛伊木马等恶意程序或混合型攻击共给全球造成了1890亿美元的经济损失。同时它预计,全球约有6亿部Windows计算机,每部计算机因遭受攻击而带来的经济损失大约在281美元到340美元之间。基于上述情况,反木马应是反病毒工作者的重点工作之一。目前,一般的反病毒软件都加入了反木马功能,甚至出现了专门的反木马软件。反木马的研究正日益受到关注。1.2 现在流行的查杀方式1.通过网络监控发现网络通信的异常并阻断木马的网络通信,或者定义各种规则,使木马无法进行网络通信。防火墙、入侵检测(Intrusion Detection)以及入侵保护(Intrusion Protection)是这类技术的典型代表。它们对网络通信的端口及网络连接作了严格的限制和严密的监控,发现并拦截任何未经允许的网络连接或者通信端口的使用,并向用户报警。此外,入侵检测还能探测网络流量中潜在的入侵和攻击。而入侵保护在
