《特洛伊木馬分析》由會(huì)員分享��,可在線閱讀,更多相關(guān)《特洛伊木馬分析(3頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索��。
1��、特洛伊木馬分析
摘要在計(jì)算機(jī)如此普及的網(wǎng)絡(luò)時(shí)代��,病毒對(duì)于我們來(lái)說(shuō)早已不是一個(gè)新鮮的名詞��,而通常被稱為木馬病毒的特洛伊木馬也被廣為所知��,為了更好的保護(hù)自己的電腦我們應(yīng)該了解跟多有關(guān)特洛伊病毒的信息��。本文對(duì)該病毒原理��、預(yù)防和清除進(jìn)行了詳細(xì)的闡述��,并對(duì)此發(fā)表了一些個(gè)人的看法��。
關(guān)鍵詞特洛伊木馬病毒木馬
特洛伊木馬是一種特殊的程序��,它們不感染其他文件��,不破壞系統(tǒng)��,不自身復(fù)制和傳播��。在它們身上找不到病毒的特點(diǎn),但它們們?nèi)匀槐涣袨橛?jì)算機(jī)病毒的行列��。它們的名聲不如計(jì)算機(jī)病毒廣��,但它們的作用卻遠(yuǎn)比病毒大��。利用特洛伊木馬��,遠(yuǎn)程用戶可以對(duì)你的計(jì)算機(jī)進(jìn)行任意操作(當(dāng)然物理的除外)��,可以利用它們傳播病毒��,盜取密
2��、碼��,刪除文件��,破壞系統(tǒng)��。于是這個(gè)在網(wǎng)絡(luò)安全界扮演重要角色��,課進(jìn)行超強(qiáng)功能遠(yuǎn)程管理的“功臣”��,自然而然也被列為受打擊的行列��。
在網(wǎng)絡(luò)上��,各種各樣的特洛伊木馬已經(jīng)多如牛毛��,它們和蠕蟲病毒��、垃圾郵件一起構(gòu)成了影響網(wǎng)絡(luò)正常秩序的三大害��。下面我就來(lái)說(shuō)說(shuō)特洛伊木馬的特點(diǎn)��、工作原理��、預(yù)防和清除的方法��,以及我自己對(duì)木馬病毒及其防護(hù)方法的一些見解��。
一.什么是特洛伊木馬
特洛伊木馬簡(jiǎn)稱木馬��,英文名為Trojan��。它是一種不同于病毒��,但仍有破壞性的程序��,普通木馬最明顯的一個(gè)特征就是本身可以被執(zhí)行��,所以一般情況下它們是由.exe文件組成的,某些特殊木馬也許還有其他部分��,或者只有一個(gè).dll文件��。
木馬常被用
3��、來(lái)做遠(yuǎn)程控制��、偷盜密碼等活動(dòng)��。慣用伎倆是想辦法讓遠(yuǎn)程主機(jī)執(zhí)行木馬程序��,或者主動(dòng)入侵到遠(yuǎn)程主機(jī)��,上傳木馬后再遠(yuǎn)程執(zhí)行��。當(dāng)木馬在遠(yuǎn)程主機(jī)被執(zhí)行后��,就等待可控制程序連接��,一旦連接成功��,就可以對(duì)遠(yuǎn)程主機(jī)實(shí)施各種木馬功能限定內(nèi)的操作��。功能強(qiáng)大的木馬可以在遠(yuǎn)程主機(jī)中做任何事情��,就如同在自己的機(jī)器上操作一樣方便��。
可見��,木馬實(shí)際上就是一個(gè)具有特定功能的可以里應(yīng)外合的后門程序��,將其與其他的病毒程序結(jié)合起來(lái)造成的危害將會(huì)是相當(dāng)大的��。
二.木馬的工作原理
當(dāng)木馬程序或藏有木馬的程序被執(zhí)行后��,木馬首先會(huì)在系統(tǒng)中潛伏下來(lái)��,并會(huì)想辦法使自己在每次開機(jī)時(shí)自動(dòng)加載��,以達(dá)到長(zhǎng)期控制目標(biāo)的目的��。同時(shí)完成一些相關(guān)的操作��,如
4��、修改某一類型的文件關(guān)聯(lián)��,使得它的存在和傳播變得更容易��,清除和消滅越來(lái)越不容易��。
一般的木馬由兩部分組成:客戶端和服務(wù)器端,即C/S類型��?�?蛻舳藞?zhí)行在本地主機(jī)��,用來(lái)控制服務(wù)器端��。服務(wù)器端執(zhí)行在遠(yuǎn)程主機(jī)��,一旦執(zhí)行成功遠(yuǎn)程主機(jī)就中了木馬��,就可以被控制或者造成其他破壞��。
和正常程序一樣��,要通信就必須先建立連接��,從特定的端口進(jìn)行通信��。當(dāng)木馬工作時(shí),先由客戶端向服務(wù)器端發(fā)出請(qǐng)求��,其實(shí)是一個(gè)連接的過(guò)程,當(dāng)服務(wù)器端收到連接的請(qǐng)求��,就自動(dòng)做出響應(yīng)��,在內(nèi)存中開啟一個(gè)新的進(jìn)程��,并在事先定義的端口跟客戶端進(jìn)行通信��,這樣客戶端就可以利用木馬進(jìn)行遠(yuǎn)程主機(jī)的操作了��。
這種C/S模式是木馬最基本最經(jīng)典的工作方式��,至今仍
5��、有一些木馬在利用這種原理進(jìn)行通信��。但是��,木馬畢竟是破壞性程序��,注定要被查殺和消滅的��。為了逃避各種基于端口掃描或進(jìn)程掃描的查殺技術(shù)��,木馬逐漸改變了工作方式��,很多新型木馬應(yīng)運(yùn)而生,如反彈端口木馬��、無(wú)進(jìn)程木馬��、無(wú)客戶端木馬��、嵌套木馬等��,在這里我就不一一說(shuō)明它們的原理了��。
三.木馬的預(yù)防和清除從本質(zhì)上講��,預(yù)防木馬的過(guò)程就是阻礙木馬傳播和防止木馬入侵的過(guò)程��。只要把握這兩個(gè)方面��,就可以從根本上解除木馬的困擾��。
第一��,防止電子郵件傳播木馬��。即不要直接打開陌生郵件��,尤其是打開里面的附件��。在普通情況下��,包含木馬的郵件都把木馬隱藏在附件里��,常用的伎倆是采用雙擴(kuò)展名��。更隱蔽的方式是通過(guò)偶見的征文傳播��。由于IE的
6��、漏洞造成HTML文件里可以被放入不安全的代碼��,但電子郵件可以為HTML方式發(fā)送��,所以使得當(dāng)用戶瀏覽該郵件內(nèi)容是��,字并沒有打開附件的情況下就不知不覺中了招,木馬在毫無(wú)察覺的情況下已經(jīng)悄然而至��。
所以��,當(dāng)面對(duì)收件箱里一封主題不很明確(一般都是英文)��,或者主題很有誘惑性而不能確定它是否安全的時(shí)候,最好的辦法是把整個(gè)郵件(連同附件)保存到本地磁盤��,先使用殺毒軟件查殺��,確定安全后再打開��,或者直接刪除��。
第二��,防止下載時(shí)感染木馬��。這就要求大家在下載資源的時(shí)候,小心謹(jǐn)慎��,到綠色網(wǎng)站下綠色資源
第三��,防止瀏覽頁(yè)面時(shí)傳播木馬��。在這里可以通過(guò)對(duì)IE進(jìn)行安全設(shè)置��,吧“Active控件及插件”的所有選項(xiàng)設(shè)置為禁
7��、用。這就阻止了瀏覽器自動(dòng)下載和執(zhí)行文件的可能性��,杜絕了這類木馬的傳播��。
第四��,防止社會(huì)工程學(xué)傳播��,即在現(xiàn)實(shí)交流中對(duì)自己的私人信息嚴(yán)加保管��。
第五��,使用功能強(qiáng)大的殺毒軟件��,有效的攔截可疑文件��,利用網(wǎng)絡(luò)防火墻和病毒防火墻��,阻止一般木馬的進(jìn)入��。
四.我對(duì)木馬的認(rèn)識(shí)和感想
隨著信息技術(shù)的發(fā)展和Internet的普及,病毒對(duì)我們大家來(lái)說(shuō)已經(jīng)一點(diǎn)都不陌生了��,我們都知道病毒會(huì)對(duì)我們的計(jì)算機(jī)造成傷害對(duì)我們的文件信息造成不能彌補(bǔ)的損失��,所以我們都在謹(jǐn)小慎微的使用著殺毒軟件��,唯恐和病毒掛上一點(diǎn)鉤��,然而��,病毒卻無(wú)處不在,,
因此��,我們?cè)谌粘I钪胁坏诤芎玫氖褂脷⒍拒浖耐瑫r(shí)不只依賴殺毒軟件,一旦遭到病
8��、毒的襲擊正確的對(duì)待它��,想辦法努力使自己的損失降到最低��。
我自己在準(zhǔn)備這個(gè)論文的時(shí)候嘗試使用了一下冰河木馬病毒(國(guó)產(chǎn)冰河2.2)��,使用時(shí)我選擇了兩種方式進(jìn)行試驗(yàn)��。一種是自己在機(jī)房控制兩臺(tái)電腦��,把病毒文件通過(guò)手工的方式注入��,用另一臺(tái)機(jī)器起到控制的作用��。乍一看��,這種方法一點(diǎn)都不實(shí)用��,試想��,自己怎么可能有興趣通過(guò)遠(yuǎn)程的方式控制自己的電腦��,但是��,換個(gè)角度就不難想到��,萬(wàn)一在不小心開著電腦的時(shí)候被周圍居心不良的人注入病毒了呢��?所以��,這就要求我們對(duì)自己的電腦進(jìn)行很好的管理,是別人沒有機(jī)會(huì)輕易的獲取你的電腦使用權(quán)及IP地址��。第二種方式就是我通過(guò)QQ跟一個(gè)好友要到了他電腦的IP地址��,并主動(dòng)把有毒文件發(fā)給他。他出于對(duì)我的信任��,毫不猶豫的就點(diǎn)開了病毒文件,于是我成功的對(duì)他的電腦進(jìn)行了遠(yuǎn)程控制��。這就使我想到��,一旦我朋友的QQ或郵箱被盜��,我也極可能以這種方式中病毒��。所以��,大家一定要對(duì)所有的需要接收和下載的文件萬(wàn)分小心��,謹(jǐn)記殺毒這一步驟��。
另外��,像木馬病毒��,簡(jiǎn)單的利用殺毒軟件只能將帶病毒的文件進(jìn)行隔離或清楚��,這僅限于你在打開病毒文件之前��。一旦發(fā)現(xiàn)確確實(shí)實(shí)中了病毒之后,一般人都不太會(huì)用手工的方式把它清除干凈��,這就需要我們養(yǎng)成一個(gè)好習(xí)慣,在出現(xiàn)問題的時(shí)候及時(shí)上“百度”搜搜解決問題的辦法��,盡量通過(guò)自己的親自動(dòng)手把問題解決掉��,既經(jīng)濟(jì)快捷又可以在日積月累中學(xué)到很多東西��。
特洛伊木馬分析
