木马病毒的行为分析

西安翻译学院XI’ANFANYIUNIVERSITY毕业论文题目：网络木马病毒的行为分析专业：计算机网络技术班级：103120601姓名：彭蕊蕊指导教师：朱滨忠2013年5月学号：10312060108院系：诒华学院成绩：目录1论文研究的背景及意义......................................................................................-3-2木马病毒的概况..................................................................................................-4-2.1木马病毒的定义.........................................................................................-4-2.2木马病毒的概述.........................................................................................-4-2.3木马病毒的结构.........................................................................................-4-2.4木马病毒的基本特征.................................................................................-5-2.5木马病毒的分类..........................................................................................-5-2.6木马病毒的危害..........................................................................................-6-3木马程序病毒的工作机制..................................................................................-6-3.1木马程序的工作原理.................................................................................-6-3.2木马程序的工作方式.................................................................................-7-4木马病毒的传播技术..........................................................................................-7-4.1木马病的毒植入传播技术.........................................................................-8-4.2木马病毒的加载技术.................................................................................-9-4.3木马病毒的隐藏技术................................................................................-11-5木马病毒的防范技术.........................................................................................-11-5.1防范木马攻击.............................................................................................-11-5.2木马病毒的信息获取技术......................................................................-12-5.3木马病毒的查杀......................................................................................-12-5.4反木马软件...............................................................................................-12-6总结....................................................................................................................-13-网络木马病毒的行为分析彭蕊蕊西安翻译学院诒华学院计算机网络技术103120601摘要:随着计算机网络技术的迅速发展和普及,Internet网络使得全世界的人们可以自由的交流和分享信息,极大的促进了全球一体化的发展。但是人们在交往的同时也面临着网络安全的隐患,每天分布在世界各地的计算机无时无刻不在遭受计算机病毒的攻击。其中有一种与病毒相似但有所区别的、基于远程控制的、具有很强的隐蔽性和危害性的工具,这就是特洛伊木马程序。关键词：“木马”病毒，恶意程序，危害，防范1论文研究的背景及意义随着互联网技术的发展和普及，计算机网络得到了广泛应用，利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势，人们日常的经济和社会生活也越来越依赖互联网。但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁，例如黑客攻击，计算机病毒、特洛伊木马泛滥等。研究在目前开放的网络环境下，如何保证自己的信息安全就显的非常重要。特洛伊木马（简称木马）是一种具有运行非预期或未授权功能的程序，例如可以记录用户键入的密码，远程传输文件，甚至可以完全远程控制计算机等。一般黑客在攻击目标得手之后，就会在主机上安装后门，即特洛伊木马。特洛伊木马可以在用户毫不知情的情况下泄漏用户的密码、用户的秘密资料等，甚至可以远程监控用户的操作，因此，某些行业，如国防、外交和商务部门，特洛伊木马的危害性更大，一旦这些部门被安装了木马，损失就会非常惨重。人们常常将特洛伊木马看成是计算机病毒，其实，它们之间还是有比较大的区别的。计算机病毒具有数据的破坏性，而特洛伊木马最大的危害在于数据的泄密性，当然不乏有将病毒技术和木马技术结合使用的恶意软件，即利用病毒的传染性使较多的计算机系统植入木马。但特洛伊木马本身一般没有复制能力，不会感染其他的寄宿文件，一般在同一台主机上只有一个特洛伊木马。而病毒具有传染性，会不断感染其他的同类文件，在同一台主机上，会出现很多被感染的文件。而目前，人们对计算机病毒的研究比较多，而对特洛伊木马的研究要相对滞后。许多的反病毒软件也声称能反特洛伊木马，但是，现在的大多数反病毒软件采用的是特征码检测技术，即抽取各种计算机病毒和特洛伊木马等恶意代码样本中的特征码，放入病毒库中，将待检测的软件与病毒库中的特征码比较，如果吻合则判断为恶意代码。特征码技术对于检测已知恶意代码，非常快捷有效，但是对于检测未知的恶意代码则无能为力。反病毒软件的检测能力总是落后于新的恶意代码的出现的，在这个时间差内，新的恶意代码可能就会泛滥，造成重大损失，特征码技术的这种局限性就决定了其滞后性。在网络攻击与安全防范日益激烈的对抗中，特洛伊木马攻击技术在不断地完善。现在特洛伊木马攻击手段已成为网络攻击的最常用、最有效的手段之一，是一系列网络攻击活动中重要的组成部分，严重地威胁着计算机网络系统的安全。网络安全迫切需要有效的木马检测防范技术。2木马病毒的概况2.1木马病毒的定义木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序。它利用自身所具有的植入功能,或依附其它具有传播能力病毒,或通过入侵后植入等多种途径,进驻目标机器,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的各种敏感信息,接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等。2.2木马病毒的概述木马病毒和其他病毒一样都是一种人为的程序，都属于电脑病毒。大家都知道以前的电脑病毒的作用，其实完全就是为了搞破坏，破坏电脑里的资料数据，除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用，或是为了炫耀自己的技术。木马病毒则不一样，它的作用是赤裸裸的偷偷监视别人的所有操作和盗窃别人的各种密码和数据等重要信息，如盗窃系统管理员密码搞破坏；偷窃ADSL上网密码和游戏帐号密码用于牟利；更有甚者直接窃取股票帐号、网上银行帐户等机密信息达到盗窃别人财务的目的。所以木马病毒的危害性比其他电脑病毒更加大，更能够直接达到使用者的目的！这个现状就导致了许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序，这就是目前网上大量木马病毒泛滥成灾的原因。鉴于木马病毒的这些巨大危害性和它与其他病毒的作用性质的不一样，所以木马病毒虽然属于病毒中的一类，但是要单独的从病毒类型中间剥离出来，独立地称之为“木马病毒”程序。2.3木马病毒的结构在计算机领域中，木马是一类恶意程序。一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。(1)硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。(2)软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。2.4木马病毒的基本特征木马是病毒的一种,木马程序也有不同种类,但它们之间又有一些共同的特性。①隐蔽性：当用户执行正常程序时,在难以察觉的情况下,完成危害用户的操作,具有隐蔽性。它的隐蔽性主要体现在以下6个方面,一是不产生图标,不在系统“任务栏”中产生有提示标志的图标;二是文件隐藏,将自身文件隐藏于系统的文件夹中;三是在专用文件夹中隐藏;四是自动在任务管理器中隐形,并以“系统服务”的方式欺骗操作系统;五是无声息地启动;六是伪装成驱动程序及动态链接库。②自行运行：木马为了控制服务端,必须在系统启动时跟随启动。所以,它潜入在你的启动配置文件中,如Win.ini,System.ini,Winstart.bat以及启动组等文件之中。③欺骗性：捆绑欺骗,用包含具有未公开并且可能产生危险后果的功能程序与正常程序捆绑合并成一个文件。④自动恢复：采用多重备份功能模块,以便相互恢复。⑤自动打开端口：用服务器客户端的通信手段,利用TCP/IP协议不常用端口自动进行连接,开方便之“门”。⑥功能特殊性：木马通常都有特殊功能,具有搜索cache中的口令、设置口令、扫描目标IP地址、进行键盘记录、远程注册表操作以及锁定鼠标等功能。2.5木马病毒的分类木马的种类很多，主要有以下几种：其一，远程控制型，如冰河。远程控制型木马是现今最广泛的特洛伊木马，这种