论文部分内容阅读
摘要:该文通过对计算机常见的病毒之一,木马病毒进行详细的研究,从木马病毒的简单介绍,到木马的危害、存在形式以及如何防御、查出和清除木马病毒做了深 入的分析。
关键词: 计算机病毒;互联网;木马病毒
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)22-5039-02
当前,计算机技术及网络应用以日新月异的速度在高速发展,各个部门内部和各个部门之间都在利用网络建立信息交换系统,计算机用户在不断增加,网络带宽在不断扩大,在网络中传输的信息量也愈发庞大。在信息网络中,无可避免地存在着各种木马病毒,这些木马病毒以各种目的和方法入侵用户计算机,引起网络瘫痪或者系统崩溃,严重侵害了用户隐私甚至部门的利益,因此网络信息的安全性变的日益重要起来。我们应从认识木马病毒开始,彻底加强计算机系统防御力。
1 病毒的介绍
1.1宏病毒
宏病毒是一种可执行代码的病毒,通常存在于软件的的应用文档之内。宏病毒的感染对象主要是Microsoft开发的办公系列软件。在这些软件中,可以允许用户在一个其文档中嵌入“宏命令”,使得某种操作得以自动运行。而宏病毒正是以这种同样的操作,将自身嵌入到这些文档中,以此来对用户的使用造成破坏。
1.2 恶意软件(间谍软件和流氓软件)
恶意软件是部分不良网络公司出品的一种收集用户浏览网页习惯而制订自己广告投放策略的软件。这种软件本身对计算机的危害性不是很大,只是中毒者隐私遭到洩露被收集走,并且一旦安装上它就无法正常删除卸载。
恶意软件虽然危害性与传统病毒相比并不显著,不会对计算机系统造成强烈的破坏,但是这些软件对用户的使用却造成极大的干扰。因此众多的杀毒软件都会对用户提示这些恶意软件,微软从Windows Vista开始也在系统中置入了Windows Defender程序来检测这一类型的软件。
1.3网页脚本病毒
网页脚本病毒的入侵方式很简单,只要用户浏览网页,而计算机又没有足够强的防护,就很容易被病毒侵入,因此网页脚本病毒很难识别也很难防范。
网页脚本病毒的工作过程大体如下:不法分子将恶意代码(多为一些重定向链接)、病毒体(一般是一些经过伪装成正常的后缀为 .exe的文件)和脚本文件或以javascript语言编写的小程序注入到摸个网页源文件之中,随后将此带有病毒文件的网页发布在网络中。网络用户通过某种途径浏览访问上述网页,在计算机用户的IE临时文件夹中将保存该网页的内容,包括被植入的恶意代码、恶意脚本、病毒体和恶意程序等。在用户显示该有问题的网页内容的同时,恶意脚本文件将开始运行,网页内容中的恶意代码将会直接运行,病毒程序或伪装为正常文件的可执行程序将被直接执行,当任务执行后,病毒体就会侵入,修改计算机注册表和进程,增加系统自启动项目,修改磁盘分区的属性等等。在计算机用户重启系统后,病毒体将对计算机进行正式的破坏,而且病毒体将完成自我更名、复制和再伪装的过程。
2 防御及清除木马病毒的方法
当发现有“蠕虫”或者“木马”等病毒在计算机存在,必须第一时间将计算机的网络中断,这是最有效也是最安全的方法,网络中断后,一方面,“蠕虫”或者“木马”等病毒将无法通过网络将个人信息外泄,另一方面受感染计算机也不会影响到所在网络内的其他计算机客户端。
2.1 防御木马病毒的方法
安装并及时的更新木马杀毒软件,基本上所有的杀毒软件都带有查杀木马的软件,要经常的使用杀毒软件对自己的电脑进行杀毒,以防病毒在无意中进入。尤其是木马病毒。现在很多官方软件都做出针对性的木马查杀软件,如QQ木马专杀。
目前通过U盘为介质传播木马病毒的现象较为普遍,我们应尽量避免使用陌生人的U盘,在系统中禁止U盘自动播放功能,避免病毒程序自动运行,在使用U盘前最好利用杀毒软件对U盘进行快速全盘扫描,清除可疑文件。
2.2 清除木马病毒的方法
目前最有效清除木马病毒的方法就是安装杀毒软件,在使用杀毒软件期间,必须及时更新病毒库,养成定期对计算机进行扫描的良好习惯,以免木马病毒在无意间入侵计算机。在一些大面积传播的木马病毒问世后,如熊猫烧香、飞客病毒等,很多杀毒软件公司将会在短时间内发布这对这些木马病毒的专杀工具,计算机用户可下载这些专杀工具对计算机进行查杀工作。
除了使用杀毒软件,计算机用户还需要使用防火墙软件。防火墙和杀毒软件在电脑中的职责各不相同,如果说杀毒软件是木马病毒侵入后的被动防御,那么,防火墙的职责就在于主动防御木马病毒的入侵。防火墙会主动对链接网络的数据包进行监控,当有可疑的数据提出建立链接时,防火墙会主动提示用户是否放行或禁止,一般来说,对于自己不是很了解的程序,最安全的做法就是一律禁止,在网上确认该程序合法无危害后再给予放行。另外,杀毒软件是无法识别黑客攻击的,因此对黑客攻击无能为力,而防火墙则可以通过隐藏系统的每一个端口来加强系统的防御性能,黑客即使找到了系统的漏洞,也找不到相应的入口对计算机进行攻击,自然也提高了计算机系统的安全性。
1)运行反木马实时监控程序
在我们上网时,应打开杀毒软件或者防火墙自带的反木马实时监控程序,一般的实时监控程序能够实时监控当前活动的所有程序以及这些程序的详细信息,若发现可以动作,例如修改系统启动项目、修改注册表、修改系统关键进程等动作,监控程序将向用户发出告警信息,用户可根据其所提供的详细信息对可以程序进行判断。
2)安装软件前应确保软件的安全性
首先不要在可疑网站下载软件,下载软件尽量通过软件官方网站或者大型门户网站进行下载。其次,下载完的软件在使用前必须使用反病毒软件进行彻底检查,最好使用木马程序专杀软件进行扫描,在确定软件没有问题后再进行安装。在安装的过程中也需要注意捆绑软件的选择安装,避免有木马程序捆绑在其中。 2.3 管理启动程序
木马病毒经常利用自动加载启动项目来实现对计算机的攻击,因为计算机启动后会自动运行加载在启动项目中的程序。系统自带的启动管理可以帮助我们查看哪些进程被加载,通过分析可判断出可以的启动进程,可着重查看启动项名称,若名称过于怪异或简单,则可判断为可以对象,我们还可以通过启动项加载进程以及所在的注册表路径来判断可疑进程。当我们确认可疑启动项后,我们可以右键点击启动项,选择删除启动项,禁止该启动项自动启动,但如果不确认该进程是否为病毒自动加载项目,可上网查找该进程的详细说明,以确保删除启动项万无一失。
我们还可以利用一些主机安全产品所带的启动项扫描功能来锁定可疑启动进程,通过扫描得出可疑启动进程列表,通过直接禁用相关进程来实现屏蔽病毒程序自动启动,当然,在禁用或删除相关启动项目前最好还是通过网上确认信息或者事先做好备份工作。
2.4优化系统安全
木马病毒层出不穷,每时每刻都可能有新的木马病毒形成,我们不可能百分百对木马病毒进行防御,与其力争第一时间扑杀木马病毒,还不如做到防范于未然。因此,养成良好的使用计算机的习惯尤为重要。
计算机用户应避免系统口令为空或过于简单,不下载来源不明的程序及运行,不访问不正规的网页。应在系统中安装防病毒软件和系统安全软件,及时更新病毒库,定时全盘扫描木马病毒,定期清理系统垃圾插件,清理系统垃圾等。及时更新系统高危漏洞,确保计算机时刻处于最安全状态。
2.5 及时修补操作系统漏洞
木马病毒一般是通过操作系统和软件的漏洞来入侵计算机的,在当前的操作系统中,Microsoft Windows系统的使用比例最高,用户最多,但是Windows操作系统的漏洞也最为多,因此windows用户必须及时修补操作系统漏洞。修补操作系统漏洞的方法有很多,系统用户可开启系统自带的自动更新程序,系统会自动下载并安装重要补丁,目前很多防护软件都带有更新系统补丁的功能,如360安全卫士和QQ电脑管家等,用户可使用该功能对系统漏洞进行扫描并安装最新的系统补丁。若为大型企业的网管人员,还可在局域网内搭建WSUS服务器,统一集中下载各种windows系统版本的系统补丁,再下发到相应windows版本的客户端中,这样既方便了系统管理,也节省了网络带宽。
计算机用户必须加强安全防范意识,为自己的系统设置一个较强的安全口令,密码最好8位以上,并由字母和数字组成,关闭系统默认的网络共享功能,关闭远程控制功能,关闭媒体自动播放功能等。
参考文献:
[1] 张仁斌,李钢,侯整风.计算机病毒与反病毒技术[M].北京:清华大学出版社,2008(10).
[2] 傅建明.计算机病毒分析与对抗[M].2版.武汉: 武汉大学出版社,2009(7).
[3] 朱明,徐骞,刘春明.木马病毒分析及其检测方法研究[J].计算机工程与应用, 2010,(28).
[4] 戴小波.木马病毒防御策略谈[J].机械职业教育, 2008(12).
[5] 陈婧婧,李焕洲,唐彰国,钟明全.木马运行机制及行为特征分析[J].计算机安全,2009 (10) .
[6] 康治平.特洛伊木马可生存性研究及攻防实践[D]. 重庆:重庆大学, 2008.
关键词: 计算机病毒;互联网;木马病毒
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)22-5039-02
当前,计算机技术及网络应用以日新月异的速度在高速发展,各个部门内部和各个部门之间都在利用网络建立信息交换系统,计算机用户在不断增加,网络带宽在不断扩大,在网络中传输的信息量也愈发庞大。在信息网络中,无可避免地存在着各种木马病毒,这些木马病毒以各种目的和方法入侵用户计算机,引起网络瘫痪或者系统崩溃,严重侵害了用户隐私甚至部门的利益,因此网络信息的安全性变的日益重要起来。我们应从认识木马病毒开始,彻底加强计算机系统防御力。
1 病毒的介绍
1.1宏病毒
宏病毒是一种可执行代码的病毒,通常存在于软件的的应用文档之内。宏病毒的感染对象主要是Microsoft开发的办公系列软件。在这些软件中,可以允许用户在一个其文档中嵌入“宏命令”,使得某种操作得以自动运行。而宏病毒正是以这种同样的操作,将自身嵌入到这些文档中,以此来对用户的使用造成破坏。
1.2 恶意软件(间谍软件和流氓软件)
恶意软件是部分不良网络公司出品的一种收集用户浏览网页习惯而制订自己广告投放策略的软件。这种软件本身对计算机的危害性不是很大,只是中毒者隐私遭到洩露被收集走,并且一旦安装上它就无法正常删除卸载。
恶意软件虽然危害性与传统病毒相比并不显著,不会对计算机系统造成强烈的破坏,但是这些软件对用户的使用却造成极大的干扰。因此众多的杀毒软件都会对用户提示这些恶意软件,微软从Windows Vista开始也在系统中置入了Windows Defender程序来检测这一类型的软件。
1.3网页脚本病毒
网页脚本病毒的入侵方式很简单,只要用户浏览网页,而计算机又没有足够强的防护,就很容易被病毒侵入,因此网页脚本病毒很难识别也很难防范。
网页脚本病毒的工作过程大体如下:不法分子将恶意代码(多为一些重定向链接)、病毒体(一般是一些经过伪装成正常的后缀为 .exe的文件)和脚本文件或以javascript语言编写的小程序注入到摸个网页源文件之中,随后将此带有病毒文件的网页发布在网络中。网络用户通过某种途径浏览访问上述网页,在计算机用户的IE临时文件夹中将保存该网页的内容,包括被植入的恶意代码、恶意脚本、病毒体和恶意程序等。在用户显示该有问题的网页内容的同时,恶意脚本文件将开始运行,网页内容中的恶意代码将会直接运行,病毒程序或伪装为正常文件的可执行程序将被直接执行,当任务执行后,病毒体就会侵入,修改计算机注册表和进程,增加系统自启动项目,修改磁盘分区的属性等等。在计算机用户重启系统后,病毒体将对计算机进行正式的破坏,而且病毒体将完成自我更名、复制和再伪装的过程。
2 防御及清除木马病毒的方法
当发现有“蠕虫”或者“木马”等病毒在计算机存在,必须第一时间将计算机的网络中断,这是最有效也是最安全的方法,网络中断后,一方面,“蠕虫”或者“木马”等病毒将无法通过网络将个人信息外泄,另一方面受感染计算机也不会影响到所在网络内的其他计算机客户端。
2.1 防御木马病毒的方法
安装并及时的更新木马杀毒软件,基本上所有的杀毒软件都带有查杀木马的软件,要经常的使用杀毒软件对自己的电脑进行杀毒,以防病毒在无意中进入。尤其是木马病毒。现在很多官方软件都做出针对性的木马查杀软件,如QQ木马专杀。
目前通过U盘为介质传播木马病毒的现象较为普遍,我们应尽量避免使用陌生人的U盘,在系统中禁止U盘自动播放功能,避免病毒程序自动运行,在使用U盘前最好利用杀毒软件对U盘进行快速全盘扫描,清除可疑文件。
2.2 清除木马病毒的方法
目前最有效清除木马病毒的方法就是安装杀毒软件,在使用杀毒软件期间,必须及时更新病毒库,养成定期对计算机进行扫描的良好习惯,以免木马病毒在无意间入侵计算机。在一些大面积传播的木马病毒问世后,如熊猫烧香、飞客病毒等,很多杀毒软件公司将会在短时间内发布这对这些木马病毒的专杀工具,计算机用户可下载这些专杀工具对计算机进行查杀工作。
除了使用杀毒软件,计算机用户还需要使用防火墙软件。防火墙和杀毒软件在电脑中的职责各不相同,如果说杀毒软件是木马病毒侵入后的被动防御,那么,防火墙的职责就在于主动防御木马病毒的入侵。防火墙会主动对链接网络的数据包进行监控,当有可疑的数据提出建立链接时,防火墙会主动提示用户是否放行或禁止,一般来说,对于自己不是很了解的程序,最安全的做法就是一律禁止,在网上确认该程序合法无危害后再给予放行。另外,杀毒软件是无法识别黑客攻击的,因此对黑客攻击无能为力,而防火墙则可以通过隐藏系统的每一个端口来加强系统的防御性能,黑客即使找到了系统的漏洞,也找不到相应的入口对计算机进行攻击,自然也提高了计算机系统的安全性。
1)运行反木马实时监控程序
在我们上网时,应打开杀毒软件或者防火墙自带的反木马实时监控程序,一般的实时监控程序能够实时监控当前活动的所有程序以及这些程序的详细信息,若发现可以动作,例如修改系统启动项目、修改注册表、修改系统关键进程等动作,监控程序将向用户发出告警信息,用户可根据其所提供的详细信息对可以程序进行判断。
2)安装软件前应确保软件的安全性
首先不要在可疑网站下载软件,下载软件尽量通过软件官方网站或者大型门户网站进行下载。其次,下载完的软件在使用前必须使用反病毒软件进行彻底检查,最好使用木马程序专杀软件进行扫描,在确定软件没有问题后再进行安装。在安装的过程中也需要注意捆绑软件的选择安装,避免有木马程序捆绑在其中。 2.3 管理启动程序
木马病毒经常利用自动加载启动项目来实现对计算机的攻击,因为计算机启动后会自动运行加载在启动项目中的程序。系统自带的启动管理可以帮助我们查看哪些进程被加载,通过分析可判断出可以的启动进程,可着重查看启动项名称,若名称过于怪异或简单,则可判断为可以对象,我们还可以通过启动项加载进程以及所在的注册表路径来判断可疑进程。当我们确认可疑启动项后,我们可以右键点击启动项,选择删除启动项,禁止该启动项自动启动,但如果不确认该进程是否为病毒自动加载项目,可上网查找该进程的详细说明,以确保删除启动项万无一失。
我们还可以利用一些主机安全产品所带的启动项扫描功能来锁定可疑启动进程,通过扫描得出可疑启动进程列表,通过直接禁用相关进程来实现屏蔽病毒程序自动启动,当然,在禁用或删除相关启动项目前最好还是通过网上确认信息或者事先做好备份工作。
2.4优化系统安全
木马病毒层出不穷,每时每刻都可能有新的木马病毒形成,我们不可能百分百对木马病毒进行防御,与其力争第一时间扑杀木马病毒,还不如做到防范于未然。因此,养成良好的使用计算机的习惯尤为重要。
计算机用户应避免系统口令为空或过于简单,不下载来源不明的程序及运行,不访问不正规的网页。应在系统中安装防病毒软件和系统安全软件,及时更新病毒库,定时全盘扫描木马病毒,定期清理系统垃圾插件,清理系统垃圾等。及时更新系统高危漏洞,确保计算机时刻处于最安全状态。
2.5 及时修补操作系统漏洞
木马病毒一般是通过操作系统和软件的漏洞来入侵计算机的,在当前的操作系统中,Microsoft Windows系统的使用比例最高,用户最多,但是Windows操作系统的漏洞也最为多,因此windows用户必须及时修补操作系统漏洞。修补操作系统漏洞的方法有很多,系统用户可开启系统自带的自动更新程序,系统会自动下载并安装重要补丁,目前很多防护软件都带有更新系统补丁的功能,如360安全卫士和QQ电脑管家等,用户可使用该功能对系统漏洞进行扫描并安装最新的系统补丁。若为大型企业的网管人员,还可在局域网内搭建WSUS服务器,统一集中下载各种windows系统版本的系统补丁,再下发到相应windows版本的客户端中,这样既方便了系统管理,也节省了网络带宽。
计算机用户必须加强安全防范意识,为自己的系统设置一个较强的安全口令,密码最好8位以上,并由字母和数字组成,关闭系统默认的网络共享功能,关闭远程控制功能,关闭媒体自动播放功能等。
参考文献:
[1] 张仁斌,李钢,侯整风.计算机病毒与反病毒技术[M].北京:清华大学出版社,2008(10).
[2] 傅建明.计算机病毒分析与对抗[M].2版.武汉: 武汉大学出版社,2009(7).
[3] 朱明,徐骞,刘春明.木马病毒分析及其检测方法研究[J].计算机工程与应用, 2010,(28).
[4] 戴小波.木马病毒防御策略谈[J].机械职业教育, 2008(12).
[5] 陈婧婧,李焕洲,唐彰国,钟明全.木马运行机制及行为特征分析[J].计算机安全,2009 (10) .
[6] 康治平.特洛伊木马可生存性研究及攻防实践[D]. 重庆:重庆大学, 2008.