《特洛伊木馬分析》由會員分享���,可在線閱讀����,更多相關(guān)《特洛伊木馬分析(3頁珍藏版)》請在裝配圖網(wǎng)上搜索����。
1、特洛伊木馬分析
摘要在計算機(jī)如此普及的網(wǎng)絡(luò)時代���,病毒對于我們來說早已不是一個新鮮的名詞��,而通常被稱為木馬病毒的特洛伊木馬也被廣為所知���,為了更好的保護(hù)自己的電腦我們應(yīng)該了解跟多有關(guān)特洛伊病毒的信息����。本文對該病毒原理��、預(yù)防和清除進(jìn)行了詳細(xì)的闡述�,并對此發(fā)表了一些個人的看法。
關(guān)鍵詞特洛伊木馬病毒木馬
特洛伊木馬是一種特殊的程序����,它們不感染其他文件,不破壞系統(tǒng)�,不自身復(fù)制和傳播。在它們身上找不到病毒的特點�,但它們們?nèi)匀槐涣袨橛嬎銠C(jī)病毒的行列。它們的名聲不如計算機(jī)病毒廣���,但它們的作用卻遠(yuǎn)比病毒大�����。利用特洛伊木馬�����,遠(yuǎn)程用戶可以對你的計算機(jī)進(jìn)行任意操作(當(dāng)然物理的除外)���,可以利用它們傳播病毒,盜取密
2����、碼,刪除文件���,破壞系統(tǒng)�����。于是這個在網(wǎng)絡(luò)安全界扮演重要角色�����,課進(jìn)行超強(qiáng)功能遠(yuǎn)程管理的“功臣”���,自然而然也被列為受打擊的行列。
在網(wǎng)絡(luò)上��,各種各樣的特洛伊木馬已經(jīng)多如牛毛,它們和蠕蟲病毒��、垃圾郵件一起構(gòu)成了影響網(wǎng)絡(luò)正常秩序的三大害��。下面我就來說說特洛伊木馬的特點��、工作原理��、預(yù)防和清除的方法�����,以及我自己對木馬病毒及其防護(hù)方法的一些見解�。
一.什么是特洛伊木馬
特洛伊木馬簡稱木馬,英文名為Trojan����。它是一種不同于病毒,但仍有破壞性的程序����,普通木馬最明顯的一個特征就是本身可以被執(zhí)行,所以一般情況下它們是由.exe文件組成的��,某些特殊木馬也許還有其他部分����,或者只有一個.dll文件�����。
木馬常被用
3、來做遠(yuǎn)程控制��、偷盜密碼等活動����。慣用伎倆是想辦法讓遠(yuǎn)程主機(jī)執(zhí)行木馬程序,或者主動入侵到遠(yuǎn)程主機(jī)�,上傳木馬后再遠(yuǎn)程執(zhí)行。當(dāng)木馬在遠(yuǎn)程主機(jī)被執(zhí)行后�����,就等待可控制程序連接���,一旦連接成功����,就可以對遠(yuǎn)程主機(jī)實施各種木馬功能限定內(nèi)的操作��。功能強(qiáng)大的木馬可以在遠(yuǎn)程主機(jī)中做任何事情,就如同在自己的機(jī)器上操作一樣方便�。
可見,木馬實際上就是一個具有特定功能的可以里應(yīng)外合的后門程序�����,將其與其他的病毒程序結(jié)合起來造成的危害將會是相當(dāng)大的�。
二.木馬的工作原理
當(dāng)木馬程序或藏有木馬的程序被執(zhí)行后,木馬首先會在系統(tǒng)中潛伏下來�����,并會想辦法使自己在每次開機(jī)時自動加載���,以達(dá)到長期控制目標(biāo)的目的�。同時完成一些相關(guān)的操作���,如
4��、修改某一類型的文件關(guān)聯(lián)��,使得它的存在和傳播變得更容易�,清除和消滅越來越不容易���。
一般的木馬由兩部分組成:客戶端和服務(wù)器端��,即C/S類型�。客戶端執(zhí)行在本地主機(jī)����,用來控制服務(wù)器端�。服務(wù)器端執(zhí)行在遠(yuǎn)程主機(jī),一旦執(zhí)行成功遠(yuǎn)程主機(jī)就中了木馬�����,就可以被控制或者造成其他破壞��。
和正常程序一樣����,要通信就必須先建立連接,從特定的端口進(jìn)行通信�����。當(dāng)木馬工作時��,先由客戶端向服務(wù)器端發(fā)出請求,其實是一個連接的過程�����,當(dāng)服務(wù)器端收到連接的請求�����,就自動做出響應(yīng)�,在內(nèi)存中開啟一個新的進(jìn)程,并在事先定義的端口跟客戶端進(jìn)行通信���,這樣客戶端就可以利用木馬進(jìn)行遠(yuǎn)程主機(jī)的操作了����。
這種C/S模式是木馬最基本最經(jīng)典的工作方式���,至今仍
5���、有一些木馬在利用這種原理進(jìn)行通信。但是�,木馬畢竟是破壞性程序,注定要被查殺和消滅的�。為了逃避各種基于端口掃描或進(jìn)程掃描的查殺技術(shù)��,木馬逐漸改變了工作方式���,很多新型木馬應(yīng)運而生,如反彈端口木馬����、無進(jìn)程木馬、無客戶端木馬����、嵌套木馬等����,在這里我就不一一說明它們的原理了。
三.木馬的預(yù)防和清除從本質(zhì)上講�,預(yù)防木馬的過程就是阻礙木馬傳播和防止木馬入侵的過程。只要把握這兩個方面���,就可以從根本上解除木馬的困擾�����。
第一�,防止電子郵件傳播木馬。即不要直接打開陌生郵件��,尤其是打開里面的附件����。在普通情況下,包含木馬的郵件都把木馬隱藏在附件里�����,常用的伎倆是采用雙擴(kuò)展名�����。更隱蔽的方式是通過偶見的征文傳播����。由于IE的
6、漏洞造成HTML文件里可以被放入不安全的代碼���,但電子郵件可以為HTML方式發(fā)送����,所以使得當(dāng)用戶瀏覽該郵件內(nèi)容是����,字并沒有打開附件的情況下就不知不覺中了招��,木馬在毫無察覺的情況下已經(jīng)悄然而至�����。
所以��,當(dāng)面對收件箱里一封主題不很明確(一般都是英文)�,或者主題很有誘惑性而不能確定它是否安全的時候�,最好的辦法是把整個郵件(連同附件)保存到本地磁盤,先使用殺毒軟件查殺�,確定安全后再打開,或者直接刪除��。
第二�,防止下載時感染木馬�����。這就要求大家在下載資源的時候���,小心謹(jǐn)慎�����,到綠色網(wǎng)站下綠色資源
第三�,防止瀏覽頁面時傳播木馬。在這里可以通過對IE進(jìn)行安全設(shè)置����,吧“Active控件及插件”的所有選項設(shè)置為禁
7、用���。這就阻止了瀏覽器自動下載和執(zhí)行文件的可能性����,杜絕了這類木馬的傳播�����。
第四�,防止社會工程學(xué)傳播,即在現(xiàn)實交流中對自己的私人信息嚴(yán)加保管���。
第五�����,使用功能強(qiáng)大的殺毒軟件�����,有效的攔截可疑文件���,利用網(wǎng)絡(luò)防火墻和病毒防火墻�,阻止一般木馬的進(jìn)入�。
四.我對木馬的認(rèn)識和感想
隨著信息技術(shù)的發(fā)展和Internet的普及,病毒對我們大家來說已經(jīng)一點都不陌生了�,我們都知道病毒會對我們的計算機(jī)造成傷害對我們的文件信息造成不能彌補(bǔ)的損失,所以我們都在謹(jǐn)小慎微的使用著殺毒軟件��,唯恐和病毒掛上一點鉤�,然而,病毒卻無處不在,,
因此���,我們在日常生活中不但要在很好的使用殺毒軟件的同時不只依賴殺毒軟件���,一旦遭到病
8��、毒的襲擊正確的對待它,想辦法努力使自己的損失降到最低���。
我自己在準(zhǔn)備這個論文的時候嘗試使用了一下冰河木馬病毒(國產(chǎn)冰河2.2)���,使用時我選擇了兩種方式進(jìn)行試驗。一種是自己在機(jī)房控制兩臺電腦��,把病毒文件通過手工的方式注入����,用另一臺機(jī)器起到控制的作用。乍一看��,這種方法一點都不實用�����,試想��,自己怎么可能有興趣通過遠(yuǎn)程的方式控制自己的電腦��,但是�����,換個角度就不難想到,萬一在不小心開著電腦的時候被周圍居心不良的人注入病毒了呢�?所以,這就要求我們對自己的電腦進(jìn)行很好的管理���,是別人沒有機(jī)會輕易的獲取你的電腦使用權(quán)及IP地址��。第二種方式就是我通過QQ跟一個好友要到了他電腦的IP地址��,并主動把有毒文件發(fā)給他�����。他出于對我的信任�,毫不猶豫的就點開了病毒文件��,于是我成功的對他的電腦進(jìn)行了遠(yuǎn)程控制���。這就使我想到�����,一旦我朋友的QQ或郵箱被盜�����,我也極可能以這種方式中病毒�。所以���,大家一定要對所有的需要接收和下載的文件萬分小心�����,謹(jǐn)記殺毒這一步驟���。
另外,像木馬病毒�,簡單的利用殺毒軟件只能將帶病毒的文件進(jìn)行隔離或清楚,這僅限于你在打開病毒文件之前��。一旦發(fā)現(xiàn)確確實實中了病毒之后���,一般人都不太會用手工的方式把它清除干凈��,這就需要我們養(yǎng)成一個好習(xí)慣���,在出現(xiàn)問題的時候及時上“百度”搜搜解決問題的辦法,盡量通過自己的親自動手把問題解決掉�,既經(jīng)濟(jì)快捷又可以在日積月累中學(xué)到很多東西�����。
特洛伊木馬分析
