《特洛伊木马分析》由会员分享,可在线阅读,更多相关《特洛伊木马分析(4页珍藏版)》请在金锄头文库上搜索。
1、特洛伊木马分析摘 要 在计算机如此普及的网络时代,病毒对于我们来说早已不是一个新鲜的名词,而通常被称为木马病毒的特洛伊木马也被广为所知,为了更好的保护自己的 电脑我们应该了解跟多有关特洛伊病毒的信息。本文对该病毒原理、预防和清除进 行了详细的阐述,并对此发表了一些个人的看法。关键词 特洛伊木马 病毒 木马特洛伊木马是一种特殊的程序,它们不感染其他文件,不破坏系统,不自身复 制和传播。在它们身上找不到病毒的特点,但它们们仍然被列为计算机病毒的行列 它们的名声不如计算机病毒广,但它们的作用却远比病毒大。利用特洛伊木马,远 程用户可以对你的计算机进行任意操作(当然物理的除外),可以利用它们传播病毒,
2、 盗取密码,删除文件,破坏系统。于是这个在网络安全界扮演重要角色,课进行超 强功能远程管理的“功臣”,自然而然也被列为受打击的行列。在网络上,各种各样的特洛伊木马已经多如牛毛,它们和蠕虫病毒、垃圾邮件 一起构成了影响网络正常秩序的三大害。下面我就来说说特洛伊木马的特点、工作 原理、预防和清除的方法,以及我自己对木马病毒及其防护方法的一些见解。一什么是特洛伊木马特洛伊木马简称木马,英文名为Trojan。它是一种不同于病毒,但仍有破坏性的程序,普通木马最明显的一个特征就是本身可以被执行,所以一般情况下它们是由.exe文件组成的,某些特殊木马也许还有其他部分,或者只有一个.dll文件。木马常被用来做
3、远程控制、偷盗密码等活动。惯用伎俩是想办法让远程主机执 行木马程序,或者主动入侵到远程主机,上传木马后再远程执行。当木马在远程主 机被执行后,就等待可控制程序连接,一旦连接成功,就可以对远程主机实施各种 木马功能限定内的操作。功能强大的木马可以在远程主机中做任何事情,就如同在 自己的机器上操作一样方便。可见,木马实际上就是一个具有特定功能的可以里应外合的后门程序,将其与 其他的病毒程序结合起来造成的危害将会是相当大的。二木马的工作原理当木马程序或藏有木马的程序被执行后,木马首先会在系统中潜伏下来,并会 想办法使自己在每次开机时自动加载,以达到长期控制目标的目的。同时完成一些 相关的操作,如修改
4、某一类型的文件关联,使得它的存在和传播变得更容易,清除 和消灭越来越不容易。一般的木马由两部分组成:客户端和服务器端,即 C/S 类型。客户端执行在本 地主机,用来控制服务器端。服务器端执行在远程主机,一旦执行成功远程主机就 中了木马,就可以被控制或者造成其他破坏。和正常程序一样,要通信就必须先建立连接,从特定的端口进行通信。当木马 工作时,先由客户端向服务器端发出请求,其实是一个连接的过程,当服务器端收 到连接的请求,就自动做出响应,在内存中开启一个新的进程,并在事先定义的端 口跟客户端进行通信,这样客户端就可以利用木马进行远程主机的操作了。这种 C/S 模式是木马最基本最经典的工作方式,至
5、今仍有一些木马在利用这种 原理进行通信。但是,木马毕竟是破坏性程序,注定要被查杀和消灭的。为了逃避 各种基于端口扫描或进程扫描的查杀技术,木马逐渐改变了工作方式,很多新型木 马应运而生,如反弹端口木马、无进程木马、无客户端木马、嵌套木马等,在这里 我就不一一说明它们的原理了。三木马的预防和清除 从本质上讲,预防木马的过程就是阻碍木马传播和防止木马入侵的过程。只要 把握这两个方面,就可以从根本上解除木马的困扰。第一, 防止电子邮件传播木马。即不要直接打开陌生邮件,尤其是打开 里面的附件。在普通情况下,包含木马的邮件都把木马隐藏在附件里,常用 的伎俩是采用双扩展名。更隐蔽的方式是通过偶见的征文传播
6、。由于IE的漏 洞造成 HTML 文件里可以被放入不安全的代码,但电子邮件可以为 HTML 方 式发送,所以使得当用户浏览该邮件内容是,字并没有打开附件的情况下就 不知不觉中了招,木马在毫无察觉的情况下已经悄然而至。所以,当面对收件箱里一封主题不很明确(一般都是英文),或者主题很有诱惑 性而不能确定它是否安全的时候,最好的办法是把整个邮件(连同附件)保存到本 地磁盘,先使用杀毒软件查杀,确定安全后再打开,或者直接删除。第二, 防止下载时感染木马。这就要求大家在下载资源的时候,小心谨慎,到绿色网站下绿色资源。第三, 防止浏览页面时传播木马。在这里可以通过对 IE 进行安全设置, 吧“Active
7、控件及插件”的所有选项设置为禁用。这就阻止了浏览器自动下 载和执行文件的可能性,杜绝了这类木马的传播。第四, 防止社会工程学传播,即在现实交流中对自己的私人信息严加保 管。第五, 使用功能强大的杀毒软件,有效的拦截可疑文件,利用网络防火 墙和病毒防火墙,阻止一般木马的进入。四我对木马的认识和感想随着信息技术的发展和 Internet 的普及,病毒对我们大家来说已经一点都 不陌生了,我们都知道病毒会对我们的计算机造成伤害对我们的文件信息造 成不能弥补的损失,所以我们都在谨小慎微的使用着杀毒软件,唯恐和病毒 挂上一点钩,然而,病毒却无处不在因此,我们在日常生活中不但要在很好的使用杀毒软件的同时不只
8、依赖 杀毒软件,一旦遭到病毒的袭击正确的对待它,想办法努力使自己的损失降 到最低。我自己在准备这个论文的时候尝试使用了一下冰河木马病毒(国产冰河 2.2),使用时我选择了两种方式进行试验。一种是自己在机房控制两台电脑, 把病毒文件通过手工的方式注入,用另一台机器起到控制的作用。乍一看, 这种方法一点都不实用,试想,自己怎么可能有兴趣通过远程的方式控制自 己的电脑,但是,换个角度就不难想到,万一在不小心开着电脑的时候被周 围居心不良的人注入病毒了呢?所以,这就要求我们对自己的电脑进行很好 的管理,是别人没有机会轻易的获取你的电脑使用权及 IP 地址。第二种方式 就是我通过 QQ 跟一个好友要到了
9、他电脑的 IP 地址,并主动把有毒文件发给 他。他出于对我的信任,毫不犹豫的就点开了病毒文件,于是我成功的对他 的电脑进行了远程控制。这就使我想到,一旦我朋友的 QQ 或邮箱被盗,我 也极可能以这种方式中病毒。所以,大家一定要对所有的需要接收和下载的 文件万分小心,谨记杀毒这一步骤。另外,像木马病毒,简单的利用杀毒软件只能将带病毒的文件进行隔离 或清楚,这仅限于你在打开病毒文件之前。一旦发现确确实实中了病毒之后 一般人都不太会用手工的方式把它清除干净,这就需要我们养成一个好习惯 在出现问题的时候及时上“百度”搜搜解决问题的办法,尽量通过自己的亲 自动手把问题解决掉,既经济快捷又可以在日积月累中学到很多东西。
