恶意代码研究及防治分析

摘要随着信息化时代的到来人类社会生活对因特网的需求日益增长，使得计算机网络技术迅速发展和普及。因特网使得全世界都联系到了一起。极大的促进了全球一体化的发展。但是随着互联网的普及和应用的不断发展，各种黑客工具和网络手段导致网络和用户收到财产损失，其中最严重的就是木马攻击手段。它以其攻击范围广、危害大等特点成为常见的网络攻击技术之一，对整个互联网照成了极大的危害。本文分析了木马病毒的基本原理，针对木马病毒的特征、传播途径等分析结果，找出计算机感染病毒的原因。并且对木马病毒的种类、加载技术及现状进行了详细的研究，提出了完善的防范建议。目录一、绪论-----------------------------------------------------------------------------------------------------------11.木马病毒的概述------------------------------------------------------------------------------------------------11.1木马的定义--------------------------------------------------------------------------11.2木马病毒的基本特征---------------------------------------------------------------------------------------11.3木马病毒的传播途径---------------------------------------------------------------------------------------11.3木马病毒的病毒危害---------------------------------------------------------------------------------------3二、木马病毒的现状-------------------------------------------------------------------------------------------32.1特洛伊木马的发展------------------------------------------------------------------------------------------42.2木马病毒的种类---------------------------------------------------------------------------------------------5三、木马病毒的基本原理------------------------------------------------------------------------------------73.1木马病毒的加载技术-----------------------------------------------------------------------------------103.1.1系统启动自动加载-------------------------------------------------------------------------------103.1.2文件劫持-------------------------------------------------------------------------------------------113.2木马病毒的隐藏技术------------------------------------------------------------------------------------11四、熊猫烧香病毒剖析-------------------------------------------------------------------------------------12五、木马病毒的防范----------------------------------------------------------------------------------------175.1基于用户的防范措施------------------------------------------------------------------------------------185.2基于服务器端的防范措施------------------------------------------------------------------------------205.3加强计算机网络管理------------------------------------------------------------------------------------22总结-----------------------------------------------------------------------------------------------------------------231一、绪论本文简单的介绍木马病毒的制作原理和防护措施，让大家对木马病毒的基本了解。所谓知己知彼方能百战百胜，我们要是学会了木马病毒的制作原理和目的，这样对我们来说计算机病毒就不是那么深奥了，难以琢磨了。我们把计算机木马病毒的特性，生理周期，传播情况，主要危害，和他的分类弄清楚了，我们才能对症下药.虽然计算机病毒正随着科技的进步而飞快的发展，但是我们只要把他的工作原理弄清楚了，再加以对计算机病毒的不断认识，我们就不必要为止恐慌了，下面就有请看主题:1木马病毒的概述及概述1.1木马的的定义木马的全称是“特洛伊木马”，是一种新型的计算机网络病毒程序，是一种基于远程控制的黑客工具，它利用自身具有的植入功能，或依附具有传播功能的病毒，进驻目标机器监听、修改。窃取文件。1.2木马的基本特征1、隐蔽性是其首要的特征当用户执行正常程序时，在难以察觉的情况下，完成危害影虎的操作，具有1隐蔽性。它的隐蔽性主要体现在6个方面：1.不产生图标、2.文件隐藏、3.在专用文件夹中隐藏、4.自动在任务管理其中隐形、5.无声无息的启动、6.伪装成驱动程序及动态链接库2、它具有自动运行性它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。3、木马程序具有欺骗性木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。4、具备自动恢复功能现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。5、能自动打开端口应服务器客户端的2通信手段，利用TCP/IP协议不常用端口自动进行连接，开方便之“门”6、功能的特殊性通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。1.3木马的传播途径1.利用操作系统和浏览器漏洞传播。2.利用移动存储设备（U盘）等来传播。3.利用第三方软件（如realplayer，迅雷，暴风影音等）漏洞传播4.利用ARP欺骗方式来传播5利用电子邮件，QQ,MSN等通讯软件传播6.利用网页挂马，嵌入恶意代码来传播1.4木马病毒的危害1．利用通讯软件盗取用户个人信息。黑客可以利用木马病毒盗取用户的如QQ,MSN等账号进行盗取用户好友个人信息等。2．盗取网游账号，威胁我们的虚拟财产安全黑客利用木马病毒盗取用户游戏账户密码，并将用户游戏中的装备或游戏币转移，照成损失。3．盗取用户的网银信息，威胁我们的真是财产安全黑客利用木马，采用键盘记录等方法盗取用户的个人银行信息，直接到市用户的经济损失34．给电脑打开后门，使电脑可能被黑客控制2木马病毒的现状目前，木马病毒结合了传统病毒的破坏性，产生了更有危害性的混合型木马病毒。有关报告显示：截止2011年上半年，所截获的新增病毒总计有111474种，而木马病毒占总数的64.1%。其中，盗号木马占总木马数的70%，从数据上可以看出，木马数量的成倍增长，变种称出不穷，使得计算机用户的处境更加危险。2.1特洛伊木马的发展计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。第一代木马：伪装型病毒这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本（事实上，编写PC-Write的Quicksoft公司从未发行过2.72版本），一旦用户信以为真运行该木马程序，那么他的下场就是硬盘被格式化。在我刚刚上大学的时候，曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序，当你把你的用户ID，密码输入一个和正常的登录界面一模一样的伪登录界面后后，木马程序一面保存你的ID,和密码，一面提示你密码错误让你重新输入，当你第二次登录时，你已成了木马的牺牲品。此时的第一代木马还不4具备传染特征。第二代木马：AIDS型木马继PC-Write之后，1989年出现了AIDS木马。由于当时很少有人使用电子邮件，所以AIDS的作者就利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征（尽管通过传统的邮递方式）。第三代木马：网络传播性木马随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时还有了两个新特征，第一，添加了“后门”功能；第二，添加了击键记录功能；第三，有了视频监控和桌面监控等功能。2.2木马病毒的种类种类途径传播途径破坏性唯一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件硬盘传播密码发送型向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中，把密码保存在一个文件可以找到隐藏密码并把它们发送到指定的信箱。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举直到找到密码为止。远程访问型最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制通过控制internet的UDP协议进行传播。键盘记录木马这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里