论文部分内容阅读
摘要:随着计算机与网络技术的不断应用和普及,木马入侵也日益猖獗,传播速度越来越快。应该认识到,网络作为一把双刃剑,在给人们提供便捷服务的同时,网络安全威胁也不容忽视。因此提高木马入侵的警惕程度,有针对性地采取防范与应对措施,至关重要。
关键词:计算机;木马病毒;入侵;控制措施
中图分类号:TP309.5
一、木马病毒的特征。
1.1 有效性。
在计算机网络入侵中,木马病毒是常见形式之一,只要在目标机器中运行木马病毒,就可以实现入侵的目标。所谓“有效性”,主要是入侵的木马可以通过控制端构建某种联系,进而操纵目标机器,对其中有价值的、敏感的信息实行获取。
1.2 植入性。
木马病毒若想发挥作用,必须成功植入到目标机器中;而“欺骗”则是进入目标机器最常用的手段,在一些软件中就是木马的栖息地;利用计算机系统可能存在的漏洞植入木马病毒,也是有效途径。另外,木马技术和蠕虫技术的结合,使得木马病毒附着了蠕蟲的传播特征,也更便于木马植入目标的实现。
1.3 隐蔽性。
如果目标机器中存有木马病毒,可能长期潜伏而不会被发现,如果任何一个简单的杀毒软件或者用户手工检测都可以发现木马病毒,那么其存在的价值必然受到影响。因此木马病毒具有一定隐蔽性,也是其发挥作用的重要保障。
1.4 顽固性。
一旦木马被查杀出来,为了进一步保障其入侵的有效性,将体现出另一重要的特征———顽固性。也就是清除木马病毒的难度较大,即使木马已经查出来,也可能对其束手无策。
二、木马入侵途径。
2.1 木马的配置策略。
配置木马,主要发挥了木马的伪装与信息反馈作用;通过“伪装”方法,使得病毒更具隐蔽性,采取捆绑文件、更改图标等方法,很难被用户发现;而信息反馈则是安装木马之后,收集服务端的软件信息与硬件信息,通过 ICO、电子邮件等方式传递到控制端。
2.2 木马的传播方式。
其一,通过电子邮件的方式,由控制端以附件的形式将木马程序发送出去,收信人一旦打开附件就会感染病毒;其二,通过软件下载的方式,在一些非正规的网站中,如果用户下载了某一程序,在安装过程中就可能遇到捆绑的、隐蔽的木马,而程序运行过程中,木马病毒也开始运作;其三,通过网页传播的方式,由于 IE 系统存在一定漏洞,可能在人们毫无察觉的情况下,点击某一网页后,木马就会采取图形渲染漏洞的方式进入到用户的计算机中。
2.3 木马的运行过程。
一方面,自启动激活方法,将木马程序的主键中可能存在启动木马功能的键值开启,或者通过“开始→程序→启动”的方式,也可能存在触发木马的条件;另一方面,触发式激活木马,将注册表的键值触发,一般采取文件捆绑的方式实现。当前,大多计算机用户已经增强了对木马入侵的警惕性,因此黑客又采取合并程序、冒充图像文件等方式,造成用户在不经意的情况下启动木马程序,一旦木马进入到系统的内存中,就会将端口启动,做好与控制端连接的准备。当具备了两个条件之后,连接就会实现:其一,木马程序已经进入服务端并安装完毕;其二,无论是服务端还是控制端,都处于在线状态。
2.4 木马的远程控制。
当已经建立了木马连接之后,在控制端的端口和木马端口就会形成一个通道,控制端的程序就可以借助该通道和服务端的木马程序获得联系,并实现远程控制;在这一过程中,可以获取与用户同等的权限,如操作文件、篡改数据、盗取密码或修改注册表等。
三、木马入侵的应对措施。
3.1 安装防火墙和杀毒软件。
从大多黑客的发展状况来看,应该归属到“伪黑客”的行列,也就是利用当前已经成熟的木马程序或者系统漏洞等,实现对一般用户的攻击,与真正意义上的“黑客”存在差别。针对“伪黑客”行为,可有针对性地装备防火墙,如天网个人防火墙、诺顿网络安全特警等,也可安装木马克星、The Cleaner、360 等木马查杀软件,确保木马病毒时刻处于被监控的状态,定期做好计算机的扫描和备份,从基础环节防范木马入侵。
3.2 阻断网络通信途径。
在计算机程序中,通过实行网络监控手段,可及时发现网络通信中存在的异常,对木马网络通信实行阻断;同时也可对各种规则实行定义,让木马无处藏身,也不能顺利进入到网络通信中。采取防火墙、入侵保护策略、入侵检测技术等,都是实现这一目标的重要方法;可以对网络通信的端口进行实时控制,限制网络链接行为,及时发现系统的异常状况并截取没有经过允许的通信端口使用或网络连接行为,并向用户发出报警信号;另外,通过入侵检测技术,还可以对网络流量中可能存在的入侵与攻击行为进行识别,实现了主动的阻断作用。当前,在计算机网络中使用的入侵保护产品,无论是使用性能还是分析数据包的能力,都有了大幅度的提升,对防范木马入侵起到积极作用。
3.3 网络端口的实时监控。
在计算机系统中,如果某一端口意外打开,则可以怀疑发生木马入侵行为。如果恰好这一端口是木马常用端口,那么则可确定木马入侵行为的发生。一旦计算机用户发现这一异常现象,则应立即切断机器中的网络连接,断开与控制端的通信,此时攻击者就失去了进一步攻击的可能性。此时,应该打开任务管理器,关闭所有与互联网连接的程序,包括电子邮件、QQ 等,在系统的托盘中将所有处于运行状态的程序关闭;特征码技术原本在反病毒中应用,当前在防范木马入侵方面也起到一定作用,可有效检测木马入侵行为,是当前各种反病毒软件中常用技术之一。另外,在“实时监控”过程中,木马可能通过网页、邮件或各种文件流入到系统中,此时对相关数据实行检测、过滤,将其中可能含有非法程序的代码剔除;当前,实时监控技术的成功运用,在反木马、反病毒方面起到不可取代的作用,可有效避免由于非法程序而对系统造成的威胁;因此当用户进入到互联网中,就应有意识地开启反木马监控程序,实时控制并显示所有运行程序的描述信息,一旦发现潜在威胁,则采取应对措施。
3.4 访问注册表行为的控制。
在当前计算机系统中,木马往往在注册表中隐蔽运行,因此加强对注册表访问行为的控制,非常重要。当木马程序不能加载到注册表中,就无法实现隐蔽和启动功能。一些木马通过修改注册表的行为,实现了恶意操作;如果能够对注册表操作手段实行限制,那么木马就不会对系统做出违规操作;对注册表中常用的自启动项目或者木马常用的关联项目提高权限设置,可对木马隐蔽、启动的条件造成破坏,让木马在系统中无处藏身。
参考文献:
[1]四、国家计算机病毒防治产品检测中心 反间谍木马类产品[A]. 吴亚非 主编.[C].: ,2011:192.
[2]李家骥. 计算机木马攻击与检测技术研究及实现[D]. : 电子科技大学,2011.
[3]王超. 基于特洛伊木马技术的计算机远程控制研究与实现[D]. : 解放军信息工程大学,2009.
关键词:计算机;木马病毒;入侵;控制措施
中图分类号:TP309.5
一、木马病毒的特征。
1.1 有效性。
在计算机网络入侵中,木马病毒是常见形式之一,只要在目标机器中运行木马病毒,就可以实现入侵的目标。所谓“有效性”,主要是入侵的木马可以通过控制端构建某种联系,进而操纵目标机器,对其中有价值的、敏感的信息实行获取。
1.2 植入性。
木马病毒若想发挥作用,必须成功植入到目标机器中;而“欺骗”则是进入目标机器最常用的手段,在一些软件中就是木马的栖息地;利用计算机系统可能存在的漏洞植入木马病毒,也是有效途径。另外,木马技术和蠕虫技术的结合,使得木马病毒附着了蠕蟲的传播特征,也更便于木马植入目标的实现。
1.3 隐蔽性。
如果目标机器中存有木马病毒,可能长期潜伏而不会被发现,如果任何一个简单的杀毒软件或者用户手工检测都可以发现木马病毒,那么其存在的价值必然受到影响。因此木马病毒具有一定隐蔽性,也是其发挥作用的重要保障。
1.4 顽固性。
一旦木马被查杀出来,为了进一步保障其入侵的有效性,将体现出另一重要的特征———顽固性。也就是清除木马病毒的难度较大,即使木马已经查出来,也可能对其束手无策。
二、木马入侵途径。
2.1 木马的配置策略。
配置木马,主要发挥了木马的伪装与信息反馈作用;通过“伪装”方法,使得病毒更具隐蔽性,采取捆绑文件、更改图标等方法,很难被用户发现;而信息反馈则是安装木马之后,收集服务端的软件信息与硬件信息,通过 ICO、电子邮件等方式传递到控制端。
2.2 木马的传播方式。
其一,通过电子邮件的方式,由控制端以附件的形式将木马程序发送出去,收信人一旦打开附件就会感染病毒;其二,通过软件下载的方式,在一些非正规的网站中,如果用户下载了某一程序,在安装过程中就可能遇到捆绑的、隐蔽的木马,而程序运行过程中,木马病毒也开始运作;其三,通过网页传播的方式,由于 IE 系统存在一定漏洞,可能在人们毫无察觉的情况下,点击某一网页后,木马就会采取图形渲染漏洞的方式进入到用户的计算机中。
2.3 木马的运行过程。
一方面,自启动激活方法,将木马程序的主键中可能存在启动木马功能的键值开启,或者通过“开始→程序→启动”的方式,也可能存在触发木马的条件;另一方面,触发式激活木马,将注册表的键值触发,一般采取文件捆绑的方式实现。当前,大多计算机用户已经增强了对木马入侵的警惕性,因此黑客又采取合并程序、冒充图像文件等方式,造成用户在不经意的情况下启动木马程序,一旦木马进入到系统的内存中,就会将端口启动,做好与控制端连接的准备。当具备了两个条件之后,连接就会实现:其一,木马程序已经进入服务端并安装完毕;其二,无论是服务端还是控制端,都处于在线状态。
2.4 木马的远程控制。
当已经建立了木马连接之后,在控制端的端口和木马端口就会形成一个通道,控制端的程序就可以借助该通道和服务端的木马程序获得联系,并实现远程控制;在这一过程中,可以获取与用户同等的权限,如操作文件、篡改数据、盗取密码或修改注册表等。
三、木马入侵的应对措施。
3.1 安装防火墙和杀毒软件。
从大多黑客的发展状况来看,应该归属到“伪黑客”的行列,也就是利用当前已经成熟的木马程序或者系统漏洞等,实现对一般用户的攻击,与真正意义上的“黑客”存在差别。针对“伪黑客”行为,可有针对性地装备防火墙,如天网个人防火墙、诺顿网络安全特警等,也可安装木马克星、The Cleaner、360 等木马查杀软件,确保木马病毒时刻处于被监控的状态,定期做好计算机的扫描和备份,从基础环节防范木马入侵。
3.2 阻断网络通信途径。
在计算机程序中,通过实行网络监控手段,可及时发现网络通信中存在的异常,对木马网络通信实行阻断;同时也可对各种规则实行定义,让木马无处藏身,也不能顺利进入到网络通信中。采取防火墙、入侵保护策略、入侵检测技术等,都是实现这一目标的重要方法;可以对网络通信的端口进行实时控制,限制网络链接行为,及时发现系统的异常状况并截取没有经过允许的通信端口使用或网络连接行为,并向用户发出报警信号;另外,通过入侵检测技术,还可以对网络流量中可能存在的入侵与攻击行为进行识别,实现了主动的阻断作用。当前,在计算机网络中使用的入侵保护产品,无论是使用性能还是分析数据包的能力,都有了大幅度的提升,对防范木马入侵起到积极作用。
3.3 网络端口的实时监控。
在计算机系统中,如果某一端口意外打开,则可以怀疑发生木马入侵行为。如果恰好这一端口是木马常用端口,那么则可确定木马入侵行为的发生。一旦计算机用户发现这一异常现象,则应立即切断机器中的网络连接,断开与控制端的通信,此时攻击者就失去了进一步攻击的可能性。此时,应该打开任务管理器,关闭所有与互联网连接的程序,包括电子邮件、QQ 等,在系统的托盘中将所有处于运行状态的程序关闭;特征码技术原本在反病毒中应用,当前在防范木马入侵方面也起到一定作用,可有效检测木马入侵行为,是当前各种反病毒软件中常用技术之一。另外,在“实时监控”过程中,木马可能通过网页、邮件或各种文件流入到系统中,此时对相关数据实行检测、过滤,将其中可能含有非法程序的代码剔除;当前,实时监控技术的成功运用,在反木马、反病毒方面起到不可取代的作用,可有效避免由于非法程序而对系统造成的威胁;因此当用户进入到互联网中,就应有意识地开启反木马监控程序,实时控制并显示所有运行程序的描述信息,一旦发现潜在威胁,则采取应对措施。
3.4 访问注册表行为的控制。
在当前计算机系统中,木马往往在注册表中隐蔽运行,因此加强对注册表访问行为的控制,非常重要。当木马程序不能加载到注册表中,就无法实现隐蔽和启动功能。一些木马通过修改注册表的行为,实现了恶意操作;如果能够对注册表操作手段实行限制,那么木马就不会对系统做出违规操作;对注册表中常用的自启动项目或者木马常用的关联项目提高权限设置,可对木马隐蔽、启动的条件造成破坏,让木马在系统中无处藏身。
参考文献:
[1]四、国家计算机病毒防治产品检测中心 反间谍木马类产品[A]. 吴亚非 主编.[C].: ,2011:192.
[2]李家骥. 计算机木马攻击与检测技术研究及实现[D]. : 电子科技大学,2011.
[3]王超. 基于特洛伊木马技术的计算机远程控制研究与实现[D]. : 解放军信息工程大学,2009.