《特洛伊木馬分析》由會員分享��,可在線閱讀��,更多相關《特洛伊木馬分析(3頁珍藏版)》請在裝配圖網(wǎng)上搜索��。
1��、特洛伊木馬分析
摘要在計算機如此普及的網(wǎng)絡時代��,病毒對于我們來說早已不是一個新鮮的名詞��,而通常被稱為木馬病毒的特洛伊木馬也被廣為所知��,為了更好的保護自己的電腦我們應該了解跟多有關特洛伊病毒的信息。本文對該病毒原理��、預防和清除進行了詳細的闡述��,并對此發(fā)表了一些個人的看法��。
關鍵詞特洛伊木馬病毒木馬
特洛伊木馬是一種特殊的程序��,它們不感染其他文件��,不破壞系統(tǒng)��,不自身復制和傳播��。在它們身上找不到病毒的特點��,但它們們仍然被列為計算機病毒的行列��。它們的名聲不如計算機病毒廣��,但它們的作用卻遠比病毒大��。利用特洛伊木馬��,遠程用戶可以對你的計算機進行任意操作(當然物理的除外)��,可以利用它們傳播病毒��,盜取密
2��、碼��,刪除文件��,破壞系統(tǒng)��。于是這個在網(wǎng)絡安全界扮演重要角色��,課進行超強功能遠程管理的“功臣”��,自然而然也被列為受打擊的行列��。
在網(wǎng)絡上��,各種各樣的特洛伊木馬已經(jīng)多如牛毛��,它們和蠕蟲病毒��、垃圾郵件一起構成了影響網(wǎng)絡正常秩序的三大害��。下面我就來說說特洛伊木馬的特點��、工作原理、預防和清除的方法��,以及我自己對木馬病毒及其防護方法的一些見解��。
一.什么是特洛伊木馬
特洛伊木馬簡稱木馬��,英文名為Trojan��。它是一種不同于病毒��,但仍有破壞性的程序��,普通木馬最明顯的一個特征就是本身可以被執(zhí)行��,所以一般情況下它們是由.exe文件組成的��,某些特殊木馬也許還有其他部分��,或者只有一個.dll文件��。
木馬常被用
3��、來做遠程控制��、偷盜密碼等活動��。慣用伎倆是想辦法讓遠程主機執(zhí)行木馬程序��,或者主動入侵到遠程主機��,上傳木馬后再遠程執(zhí)行��。當木馬在遠程主機被執(zhí)行后��,就等待可控制程序連接��,一旦連接成功��,就可以對遠程主機實施各種木馬功能限定內的操作��。功能強大的木馬可以在遠程主機中做任何事情��,就如同在自己的機器上操作一樣方便��。
可見��,木馬實際上就是一個具有特定功能的可以里應外合的后門程序��,將其與其他的病毒程序結合起來造成的危害將會是相當大的��。
二.木馬的工作原理
當木馬程序或藏有木馬的程序被執(zhí)行后��,木馬首先會在系統(tǒng)中潛伏下來,并會想辦法使自己在每次開機時自動加載��,以達到長期控制目標的目的��。同時完成一些相關的操作��,如
4��、修改某一類型的文件關聯(lián)��,使得它的存在和傳播變得更容易��,清除和消滅越來越不容易��。
一般的木馬由兩部分組成:客戶端和服務器端��,即C/S類型��?�?蛻舳藞?zhí)行在本地主機��,用來控制服務器端��。服務器端執(zhí)行在遠程主機��,一旦執(zhí)行成功遠程主機就中了木馬��,就可以被控制或者造成其他破壞��。
和正常程序一樣��,要通信就必須先建立連接��,從特定的端口進行通信��。當木馬工作時��,先由客戶端向服務器端發(fā)出請求��,其實是一個連接的過程��,當服務器端收到連接的請求��,就自動做出響應��,在內存中開啟一個新的進程��,并在事先定義的端口跟客戶端進行通信��,這樣客戶端就可以利用木馬進行遠程主機的操作了��。
這種C/S模式是木馬最基本最經(jīng)典的工作方式,至今仍
5��、有一些木馬在利用這種原理進行通信��。但是��,木馬畢竟是破壞性程序��,注定要被查殺和消滅的��。為了逃避各種基于端口掃描或進程掃描的查殺技術��,木馬逐漸改變了工作方式��,很多新型木馬應運而生��,如反彈端口木馬��、無進程木馬��、無客戶端木馬��、嵌套木馬等��,在這里我就不一一說明它們的原理了��。
三.木馬的預防和清除從本質上講��,預防木馬的過程就是阻礙木馬傳播和防止木馬入侵的過程��。只要把握這兩個方面��,就可以從根本上解除木馬的困擾��。
第一��,防止電子郵件傳播木馬��。即不要直接打開陌生郵件��,尤其是打開里面的附件��。在普通情況下��,包含木馬的郵件都把木馬隱藏在附件里��,常用的伎倆是采用雙擴展名��。更隱蔽的方式是通過偶見的征文傳播��。由于IE的
6��、漏洞造成HTML文件里可以被放入不安全的代碼,但電子郵件可以為HTML方式發(fā)送��,所以使得當用戶瀏覽該郵件內容是��,字并沒有打開附件的情況下就不知不覺中了招��,木馬在毫無察覺的情況下已經(jīng)悄然而至��。
所以��,當面對收件箱里一封主題不很明確(一般都是英文)��,或者主題很有誘惑性而不能確定它是否安全的時候��,最好的辦法是把整個郵件(連同附件)保存到本地磁盤��,先使用殺毒軟件查殺��,確定安全后再打開��,或者直接刪除��。
第二��,防止下載時感染木馬。這就要求大家在下載資源的時候��,小心謹慎��,到綠色網(wǎng)站下綠色資源
第三��,防止瀏覽頁面時傳播木馬��。在這里可以通過對IE進行安全設置��,吧“Active控件及插件”的所有選項設置為禁
7��、用��。這就阻止了瀏覽器自動下載和執(zhí)行文件的可能性��,杜絕了這類木馬的傳播��。
第四��,防止社會工程學傳播��,即在現(xiàn)實交流中對自己的私人信息嚴加保管��。
第五��,使用功能強大的殺毒軟件��,有效的攔截可疑文件��,利用網(wǎng)絡防火墻和病毒防火墻��,阻止一般木馬的進入��。
四.我對木馬的認識和感想
隨著信息技術的發(fā)展和Internet的普及��,病毒對我們大家來說已經(jīng)一點都不陌生了��,我們都知道病毒會對我們的計算機造成傷害對我們的文件信息造成不能彌補的損失��,所以我們都在謹小慎微的使用著殺毒軟件��,唯恐和病毒掛上一點鉤��,然而��,病毒卻無處不在,,
因此��,我們在日常生活中不但要在很好的使用殺毒軟件的同時不只依賴殺毒軟件��,一旦遭到病
8��、毒的襲擊正確的對待它,想辦法努力使自己的損失降到最低��。
我自己在準備這個論文的時候嘗試使用了一下冰河木馬病毒(國產冰河2.2)��,使用時我選擇了兩種方式進行試驗��。一種是自己在機房控制兩臺電腦��,把病毒文件通過手工的方式注入��,用另一臺機器起到控制的作用��。乍一看��,這種方法一點都不實用��,試想��,自己怎么可能有興趣通過遠程的方式控制自己的電腦��,但是��,換個角度就不難想到��,萬一在不小心開著電腦的時候被周圍居心不良的人注入病毒了呢��?所以��,這就要求我們對自己的電腦進行很好的管理��,是別人沒有機會輕易的獲取你的電腦使用權及IP地址��。第二種方式就是我通過QQ跟一個好友要到了他電腦的IP地址��,并主動把有毒文件發(fā)給他��。他出于對我的信任��,毫不猶豫的就點開了病毒文件��,于是我成功的對他的電腦進行了遠程控制��。這就使我想到��,一旦我朋友的QQ或郵箱被盜��,我也極可能以這種方式中病毒��。所以��,大家一定要對所有的需要接收和下載的文件萬分小心��,謹記殺毒這一步驟。
另外��,像木馬病毒��,簡單的利用殺毒軟件只能將帶病毒的文件進行隔離或清楚��,這僅限于你在打開病毒文件之前��。一旦發(fā)現(xiàn)確確實實中了病毒之后��,一般人都不太會用手工的方式把它清除干凈��,這就需要我們養(yǎng)成一個好習慣��,在出現(xiàn)問題的時候及時上“百度”搜搜解決問題的辦法��,盡量通過自己的親自動手把問題解決掉��,既經(jīng)濟快捷又可以在日積月累中學到很多東西��。
特洛伊木馬分析
