《毕业论文计算机网络安全之木马病毒》由会员分享,可在线阅读,更多相关《毕业论文计算机网络安全之木马病毒(12页珍藏版)》请在金锄头文库上搜索。
1、毕业设计题 目: 计算机网络安全之木马病毒 系部(院): 信息物流系 专 业: 计算机网络技术 学 号: 姓 名: 指导教师: 内容摘要 网络安全技术是指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理的安全分析技术,网络结构安全分析技术,系统安全分析技术。管理安全分析技术,以及其他的安全服务和安全机制策略,其目标是确保计算机网络的持续健康运行。如何让计算机网络持续健康运行是我们的重要课题。我认为计算机网络安全最重要的而且也是最和我们息息相关的就是计算机病毒。我们最常见的就是木马病毒,如何预防木马病毒,如何杀查木马病毒是我所要研究的课题。关键词:网络安全
2、 健康运行 木马病毒 目录一 绪论1二 正文1(一)木马病毒的基础知识1(二)病毒的特性21不产生图标2(三)查杀木马病毒21 判断是否中了木马2(四)完全查杀木马3(五)防御木马病毒6三结论7参考文献8一 绪论早期的防病毒思想并不盛行,那时候的网民也比较单纯,使用网络防火墙的人也只有少数,所以那时候的入侵者可以算是幸福的随着时间的流逝,木马技术发展日益成熟,但网民的安全意识也普遍提高,更出现了初期的病毒防火墙概念,这个时期的入侵者必须掌握更高级的社会工程学手段和初期的入侵技术才能让对方受害了,这时期的木马虽然隐蔽性有了相对提高,但仍然是基于客户端寻找连接服务器端的模式。随着网络防火墙技术诞生
3、和病毒防火墙技术的成熟,木马作者被迫紧跟着防病毒厂商的脚步更新他们的作品以避免马儿过早“殉职”,同时由于网络防火墙技术的出现,让计算机与网络之间不再直接,尤其是网络防火墙实现的“拦截外部数据连接请求”与“审核内部程序访问网络请求”的策略,导致大部分木马纷纷失效也因此诞生了一种新的木马技术“反弹型”木马。这一时期里,入侵者与受害者之间的战争终于提升到技术级别,若想保护自己,除了安装网络防火墙和病毒防火墙,以及接触网络攻防技术以外别无他法,这个“基础互动”一直保持到今天的后XP时代二 正文(一)木马病毒的基础知识木马刚出现时很难对其下定义。一般情况下,病毒是依据其能复制的特点而定义的。而特洛伊木马
4、主要是根据它的有效载体,或者是其功能来定义的。而特洛伊“特洛伊木马是具有某些功能或仅仅是有趣的程序。但它通常会做一些令人意想不到的事情,如盗取口令或文件。”大多数安全专家统一认可的定义是:“特洛伊木马是一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能。(二)病毒的特性1不产生图标木马虽然在你系统启动时会自动运行,但它不会在 任务栏中产生一个图标,这是容易理解的,不然的话,你看到任务栏中出现一个来历不明的图标,你不起疑心才怪呢!2木马程序自动在任务管理器中隐藏,并以系统服务的方式欺骗操作系统3 具有自动运行性。木马为了控制服务端。它必须在系统启动时即跟随启动,所以它必须潜人在
5、你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。4 包含具有未公开并且可能产生危险后果的功能的程序。5 具备自动恢复功能。现在很多的木马程序中的功能模块巴不再由单一的文件组成,而是具有多重备份,可以相互恢复。当你删除了其中的一个,以为万事大吉又运行了其他程序的时候,谁知它又悄然出现。像幽灵一样,防不胜防。6 能自动打开特别的端口木马程序潜入你的电脑之中的目的主要不是为了破坏你的系统,而是为了获取你的系统中有用的信息,当你上网时能与远端客户进行通讯,这样木马程序就会用服务器客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施进
6、一步的人侵企图。(三)查杀木马病毒1 判断是否中了木马我们不会平白无故的怀疑自己的电脑中了木马或病毒之类的,一定是有原因表象的,首先讨论一下中木马后的症状:(1)当你浏览一个网站,弹出来一些广告窗口是很正常的事情,可是如果你根本没有打开浏览器,而览浏器突然自己打开,并且进入某个网站,那么,你要小心。(2)你正在操作电脑,突然一个警告框或者是询问框弹出来,问一些你从来没有在电脑上接触过的间题。(3)你的Windows系统配置老是自动莫名其妙地被更改。比如屏保显示的文字,时间和日期,声音大小,鼠标灵敏度,还有CD-ROM的自动运行配置。硬盘老没缘由地读盘,软驱灯经常自己亮起,网络连接及鼠标屏幕出现
7、异常现象。(4)上网的时候无缘无故蓝屏,电脑重启(5)键盘鼠标经常不听指挥,各种保密信息,包括密码甚至上网帐号丢失这时,最简单的方法就是使用netstat-a命令查看。具体的步骤是点击“开始”-“运行”-“cmd”,然后输入netstat这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口,它包含四个部分proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息,我们就可以完全监控电脑的网络连接情况。你可以通过这个命令发现所有网络连接,如果这时有攻击者通过木马连接,你
8、可以通过这些信息发现异常。通过端口扫描的方法也可以发现一些弱智的木马,特别是一些早期的木马,它们捆绑的端口不能更改,通过扫描这些固定的端口也可以发现木马是否被植入。但现在得第二代木马大部分都已经是用了端口反弹技术了,很难就一眼就看出来是否中了木马。(四)完全查杀木马1利用工具工具有专业的杀毒软件和木马专杀工具之分。杀毒软件大家都很熟悉,有:金山毒霸,瑞星,卡巴斯基,麦咖啡,江民等一些优秀的杀毒软件。查杀木马的工具有LockDown、TheClean、木马杀客、木马克星、金山木马专杀、木马清除大师、木马分析专家等。木马查杀工具和杀毒软件虽然都可以杀除木马,但毕竟他们还是有一定区别的。前者最大的特
9、点就是针对性强,并且功能强大。比如他们会带有监视注册表的功能,一旦发现有注册表改动就会以明文方式通知用户进行确认。这样可以有效的阻止木马的自动运行功能,从而也就达到了防马的目的。还有些杀木马的工具他们可以先于系统启动,以达到杀出内核级木马的目的。这也是杀毒软件无法比拟的。当然杀毒软件也有杀毒软件的优势。比如他们可以杀病毒、蠕虫等多种不安全代码,并可以对可疑代码上传分析;杀毒软件公司技术人员多,资金雄厚,所以更新也较快。所有的东西都有它存在的价值。这些工具不仅是外行人员保护自己电脑的有利武器,也是制约木马泛滥的重要因素。但同时他们还有很多不完善的地方,如:其中有些工具,如果想使用全部功能,需要付
10、一定的费用,使得盗版、破解软件兴旺。随着木马三大技术的快速发展,杀毒软件已经越来越不堪重负,越来越多的木马杀不了,甚至查不出来;越来越多的强悍木马正被黑客制造出来,是否真的已经无可挽回邪要胜正的局面?也许下一代操作系统可以解决根本问题!然而,许多对于杀毒软件来说陌生的木马在我们仔细的观察和比对下是可以被发现的。下面我们来看看怎样手工来查杀木马,这需要相对的一些专业知识。2手工方法(1)检查网络连接情况由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以我们可以在没有正常程序连接网络的情况下,通过检查网络连接情况来发现木马的存在。我们可以随时完全监控电脑的网络连接情况。一旦有一些不熟悉的
11、程序和特别的端口在运行,我们就可以马上发现它,也可以及时关闭它,还可以跟踪它,找到它的原文件位置。下面有显示其路径、名称和版本,便于我们追查和删除。所以,防火墙是上网必备的基本防护软件之一!(2)查看目前运行的服务服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”-“运行”-“cmd”,然后输入“net start”来查看系统中究竟有什么服务在开启,如果发现了不是自己开放的服务,我们可以进入“服务”管理工具中的“服务”,找到相应的服务,停止并禁用它。(3)检查系统启动项由于注册表对于普通用户来说比较复杂,木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:
12、点击“开始”-“运行”-“regedit”,然后检查HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看,在该文件的boot字段中,是不是有s
13、hell=Explorer.exe file.exe这样的内容,如有这样的内容,那这里的file.exe就是木马程序了!(4)检查系统帐户恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户,但这个账户却很少用的,然后把这个账户的权限提升为管理员权限,这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况,可以用以下方法对账户进行检测。点击“开始”-“运行”-“cmd”,然后在命令行下输入net user,查看计算机上有些什么用户,然后再使用“net users 用户名”查看这个用户是属于什么权限的,一般
14、除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!(五)防御木马病毒上面说了一些杀木马的方法,但这毕竟是很无奈的事,学会怎样防范木马的入侵,这才是关键。这里有防范木马的几点建议:1绝对不要轻易相信从任何地方得来的任何文件,就算是以你最好的朋友的名义给你的文件也不例外。如果你确实需要这个文件,请一定做好彻底检查。2双击文件之前,搞清楚文件的类型、到底这是个纯粹的.doc文档,还是一个
15、可执行文件却有着.doc文件的外衣呢? 13 坚持每天升级你的反病毒软件和反木马软件程序。现在很多这种软件都有任务编辑功能,你完全可以让软件在夜晚你睡觉的时候,自动执行杀毒和升级程序,何乐而不为? 4确保你所使用的软件是最新版,并且关注各大软件BBS讨论版,争取最大限度地了解你所使用的软件。很多软件都有自动检查版本更新的选项,只要打上一个勾,每次执行该程序,都会自动检查有无更新版本发布,非常方便。5经常检查计算机上运行的进程,这不光可以有习很多计算机知识。助于你发现木马,还可以帮助你学6从不知名的小站下载软件使用是非常危险的,切忌!7一些共享软件和免费软件也有含有恶意代码的可能,请留意各大网站的通报。8仔细阅读你的杀毒软件的说明书,争
