计算机木马病毒研究与防范毕业论文.doc

1、湖北大学高等教育自学考试本科毕业生论文评审表论文题目： 计算机木马病毒研究与防范准考证号：014613210549 姓 名： 李宝君 专业： 计算机应用技术办 学 点：郧阳师范高等专科学校学生类型：独立本科段(助学班/独立本科段) 2014年 12月 18日湖北大学高等教育自学考试办公室印制论 文 内 容 摘 要摘 要随着信息化时代的到来人类社会生活对因特网的需求日益增长，使得计算机网络技术迅速发展和普及。因特网使得全世界都联系到了一起。极大的促进了全球一体化的发展。但是随着互联网的普及和应用的不断发展，各种黑客工具和网络手段导致网络和用户收到财产损失，其中最严重的就是木马攻击手段。它以其攻击

2、范围广、危害大等特点成为常见的网络攻击技术之一，对整个互联网照成了极大的危害。本文分析了木马病毒的基本原理，针对木马病毒的特征、传播途径等分析结果，找出计算机感染病毒的原因。并且对木马病毒的种类、加载技术及现状进行了详细的研究，提出了完善的防范建议。关键词：木马病毒；网络安全；自动加载；文件劫持指导教师单位职称评语：成绩：评阅教师签名：年月日评审委员会意见：盖章：年月日16目录第一章.木马病毒的概述51.1木马的的定义51.2木马的基本特征51.3木马的传播途径61.4木马病毒的危害6第二章木马病毒的现状72.1特洛伊木马的发展72.2 木马病毒的种类7第三章.木马病毒的基本原理104.1木马

3、病毒的加载技术104.1.1 系统启动自动加载104.1.2 文件劫持104.2 木马病毒的隐藏技术10第四章.木马病毒的防范125.1基于用户的防范措施125.2基于服务器端的防范措施135.3加强计算机网络管理15致谢16参考文献17第一章 木马病毒的概述1.1木马的的定义木马的全称是“特洛伊木马”，是一种新型的计算机网络病毒程序，是一种基于远程控制的黑客工具，它利用自身具有的植入功能，或依附具有传播功能的病毒，进驻目标机器监听、修改。窃取文件。1.2木马的基本特征（1）隐蔽性是其首要的特征当用户执行正常程序时，在难以察觉的情况下，完成危害影虎的操作，具有隐蔽性。它的隐蔽性主要体现在6个方

4、面：1.不产生图标、2.文件隐藏、3.在专用文件夹中隐藏、4.自动在任务管理其中隐形、5.无声无息的启动、6.伪装成驱动程序及动态链接库（2）它具有自动运行性它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。（3）木马程序具有欺骗性木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dllwinsysexplorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本文件中

5、的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。（4）具备自动恢复功能现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。（5）能自动打开端口应服务器客户端的通信手段，利用TCP/IP协议不常用端口自动进行连接，开方便之“门”（6）功能的特殊性通常的木马的功能都是十分特殊的，除了普通的文件操作以外，

6、还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。1.3木马的传播途径1.利用操作系统和浏览器漏洞传播。2.利用移动存储设备（U盘）等来传播。3.利用第三方软件（如realplayer，迅雷，暴风影音等）漏洞传播4.利用ARP欺骗方式来传播5利用电子邮件，QQ,MSN等通讯软件传播6.利用网页挂马，嵌入恶意代码来传播1.4木马病毒的危害（1）利用通讯软件盗取用户个人信息。黑客可以利用木马病毒盗取用户

7、的如QQ,MSN等账号进行盗取用户好友个人信息等。 （2）盗取网游账号，威胁我们的虚拟财产安全黑客利用木马病毒盗取用户游戏账户密码，并将用户游戏中的装备或游戏币转移，照成损失。（3）盗取用户的网银信息，威胁我们的真是财产安全黑客利用木马，采用键盘记录等方法盗取用户的个人银行信息，直接到市用户的经济损失（4）给电脑打开后门，使电脑可能被黑客控制如灰鸽子等，当我们中了此类木马我们的电脑就可能成为“肉鸡”，成为黑客的工具。第二章 木马病毒的现状目前，木马病毒结合了传统病毒的破坏性，产生了更有危害性的混合型木马病毒。有关报告显示：截止2011年上半年，所截获的新增病毒总计有111474种，而木马病毒占

8、总数的64.1%。其中，盗号木马占总木马数的70%，从数据上可以看出，木马数量的成倍增长，变种称出不穷，使得计算机用户的处境更加危险。2.1特洛伊木马的发展计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。 第一代木马 ：伪装型病毒这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本（事实上，编写PC-Write的Quicksoft公司从未发行过2.72版本），一旦用户信以为真运行

9、该木马程序，那么他的下场就是硬盘被格式化。在我刚刚上大学的时候，曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序，当你把你的用户ID，密码输入一个和正常的登录界面一模一样的伪登录界面后后，木马程序一面保存你的ID,和密码，一面提示你密码错误让你重新输入，当你第二次登录时，你已成了木马的牺牲品。此时的第一代木马还不具备传染特征。 第二代木马 ：AIDS型木马 继PC-Write之后，1989年出现了AIDS木马。由于当时很少有人使用电子邮件，所以AIDS的作者就利用现实生活中的邮件进行散播：给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AID

10、S和HIV疾病的药品，价格，预防措施等相关信息。软盘中的木马程序在运行后，虽然不会破坏数据，但是他将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征（尽管通过传统的邮递方式）。 第三代木马：网络传播性木马 随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时还有了两个新特征，第一，添加了“后门”功能；第二，添加了击键记录功能；第三，有了视频监控和桌面监控等功能。2.2 木马病毒的种类种类特性传播途径破坏型唯一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件硬盘传播密码发送型向密码输入窗口发送W

11、M_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。可以找到隐藏密码并把它们发送到指定的信箱。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。远程访问型最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。通过控制internet的UDP协议进行传播。键盘记录木马这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。潜伏在计算机硬盘中，通过记

12、录使用者的键盘操作进行传播。DoS攻击木马随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DoS攻击木马，你控制的肉鸡数量越多，你发动DoS攻击取得成功的机率就越大。通过邮件传播，一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。代理木马“代理木马”具有自动下载木马病毒的功能，一旦感染系统后，当系统接入互联网，再从指定的网址下载其他木马、病毒等恶意软件。它们可以根据病毒编者指定的网址下载木马病毒或其他恶意软件，还可以通过网络和移动存储介质传播。FTP木马这种木马可能是最简单和古老

13、的木马了，它的唯一功能就是打开21端口，等待用户连接。控制用户的21端口使其运行某一指定的命令。反弹端口型木马木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口；即使用户使用扫描软件检查自己的端口，发现类似TCP的情况。通过控制计算机防火墙端口进行传播。第四章 木马病毒的基本原理4.1木马病毒的加载技术当木马病毒成功植入目标机后,就必须确保自己可以通过某种方式得到自动运行。常见的木马病毒加载技术主要包括:系统启动自动加载、文件关联和文件劫持等。4.1.1 系统启动自动加载系统启动自动加载，这是最常的木马自动加载方法。木马病毒通过将自己拷贝到启动组,或在win.in

14、i,system.ini和注册表中添加相应的启动信息而实现系统启动时自动加载。这种加载方式简单有效,但隐蔽性差。目前很多反木马软件都会扫描注册表的启动键(信息),故而新一代木马病毒都采用了更加隐蔽的加载方式。4.1.2 文件劫持文件劫持，是一种特殊的木马加载方式。木马病毒被植入到目标机后,需要首先对某个系统文件进行替换或嵌入操作,使得该系统文件在获得访问权之前,木马病毒被率先执行,然后再将控制权交还给相应的系统文件。采用这种方式加载木马不需要修改注册表,从而可以有效地躲过注册表扫描型反木马软件的查杀。这种方式最简单的实现方法是将某系统文件改名,然后将木马程序改名。这样当这个系统文件被调用的时候

15、,实际上是木马程序被运行,而木马启动后,再调用相应的系统文件并传递原参数。4.2 木马病毒的隐藏技术为确保有效性,木马病毒必须具有较好的隐蔽性。木马病毒的主要隐蔽技术包括:伪装、进程隐藏、DLL技术等。伪装,从某种意义上讲,伪装是一种很好的隐藏。木马病毒的伪装主要有文件伪装和进程伪装。前者除了将文件属性改为隐藏之外,大多通过采用一些比较类似于系统文件的文件名来隐蔽自己;而后者则是利用用户对系统了解的不足,将自己的进程名设为与系统进程类似而达到隐藏自己的目的。进程隐藏,木马病毒进程是它驻留在系统中的最好证据,若能够有效隐藏自己的进程,显然将大大提高木马病毒的隐蔽性。在windows98系统中可以

16、通过将自己设为系统进程来达到隐藏进程的目的。但这种方法在windows2000/NT下就不再有效,只能通过下面介绍的DLL技术或设备驱动技术来实现木马病毒的隐藏。DLL技术,采用DLL技术实现木马的隐蔽性,主要通过以下两种途径:DLL陷阱和DLL注入。DLL陷阱技术是一种针对DLL(动态链接库)的高级编程技术,通过用一个精心设计的DLL替换已知的系统DLL或嵌入其内部,并对所有的函数调用进行过滤转发。DLL注入技术是将一个DLL注入到某个进程的地址空间,然后潜伏在其中并完成木马的操作。第五章 木马病毒的防范计算机病毒的防范措施针对病毒的发展趋势,从上面的讨论知道木马程序是非常危险的，计算机一旦

17、感染病毒是非常危险的，所以在前人研究的基础上我认为以下几种方法也有助于病毒的防范。如：（1）不随意打开来历不明的邮件，阻塞可疑邮件。（2）不随意下载来历不明的软件。（3）及时修补漏洞和关闭可疑的端口。（4）尽量少用共享文件夹。（5）运行实时监控系统。（6）经常升级系统和更新杀毒软件。（7）限制不必要的具有传输能力的文件。（8）关闭不常使用端口。我国计算机网络安全形势十分严峻,采用有效的病毒防范措施显得尤其重要。计算机网络中最主要的软硬件实体就是服务器和工作站,防治病毒首先要考虑这两部分: 5.1基于用户的防范措施（1）在网络接口卡上安装防病毒芯片。是一种硬件防病毒技术，与操作系统相配合，可以防

18、范大部分针对缓冲区溢出漏洞的攻击。Intel的防病毒技术是EDB，AMD的防病毒技术是EV，但不管叫什么，它们的原理都是大同小异的。严格来说，目前各个CPU厂商在CPU内部集成的防病毒技术不能称之为“硬件防毒”。这样可以更加实时有效地保护工作站及通向服务器的桥梁。（2）创建紧急引导盘和最新紧急修复盘。紧急引导盘就是常说的启动盘，当电脑无法进入操作系统时，可以用它引导系统，进入dos状态，然后对系统进行各种修复。计算机病毒的防治措施中创建的紧急修复盘是对当前计算机的分区表，引导区信息等重要信息进行的备份，当计算机的这些信息被病毒破坏后，可以通过这张盘进行恢复，尽量减少损失。（3）尽量不用外来的软

19、件和闪盘, 用前要用最新正版的杀毒软件查杀。正版杀毒软件非常稳定，不会出现各种未知问题，如病毒库不能及时更新等；遇到疑问时可获取杀毒软件官方客服支持，以便及时解决问题；能及时的更新病毒库和正版杀毒软件版本，更为有效的防范网络威胁；可避免因在不可靠的网站寻找破解等信息时候中毒或错将恶意软件当作破解补丁下载。可享受更多更好的安全服务，这些服务是破解或盗版杀毒软件所不可能有的。能够享受官方为正版用户提供的增强服务，比如诺顿、迈克菲的数据在线存储等（4）重要文件和数据不要安装在系统盘上, 注意及时做好数据的备份。数据库的数据全在电脑上，如果出现一些意外（系统崩溃，认为破坏，硬盘损坏等），会造成数据丢失

20、，而要数据恢复的话，需要花很多时间和金钱。（5）对计算机系统软件及时安装补丁程序, 检查注册表和内存中可疑进程。 系统必须打补丁，这是一个安全常识，现在的病毒最爱做的事情就是利用系统漏洞攻击你的电脑，所以一位说可以不打补丁的朋友的说法是严重错误的，不过补丁也可以用360来打，应该说360下载的补丁最多只是存在判断不正确的问题，就是说出现实际无需安装的补丁的下载提示，一般安装补丁是以Windows Update上的提示为准，而况你是正版的，更加无需担心正版验证的问题。绝大多数时候就算安装了多余的补丁，也不会引起系统崩溃，你这崩溃和补丁可能存在关系，但也可能实际上是无关的，你在重启之后WIN7自动

21、进行了修复，也就自然恢复正常了。（6）接收电子邮件、从网络下载各种免费和共享软件要进行必要的检查和杀毒后才能打开、安装和使用。（7）提高自身素质，上网浏览时不要访问不良网站。当前，网络病毒的最新趋势是： (1)不法分子或好事之徒制作的匿名网页直接提供了下载大批病毒活样本的便利途径。（2）由于学术研究的病毒样本提供机构同样可以成为别有用心的人的使用工具。（3）由于网络匿名登录才成为可能的专门关于病毒制作研究讨论的学术性质的电子论文、期刊、杂志及相关的网上学术交流活动，如病毒制造协会年会等等，都有可能成为国内外任何想成为新的病毒制造者学习、借鉴、盗用、抄袭的目标与对象。（4）散见于网站上大批病毒制

22、作工具、向导、程序等等，使得无编程经验和基础的人制造新病毒成为可能。（5）新技术、新病毒使得几乎所有人在不知情时无意中成为病毒扩散的载体或传播者。其传播方式和速度之快，让人防不胜防，由此可见反病毒过程任重道远。(6)发现病毒后要立刻关机, 因为正常关机操作,Windows会做备份注册表等很多写盘操作, 刚刚被病毒误删的文件可能被覆盖,一旦被覆盖就没有修复的可能,即把电源切掉,操作系统自身的完整性和其他应用程序还可能大部分保存完好, 然后用计算机恢复工具或杀毒软件来处理。5.2基于服务器端的防范措施网络服务器是计算机网络的中心,是网络的支柱。目前基于服务器的防治病毒方法大部分采用防治病毒可装载模

23、块(NLM), 以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,保护服务器不受病毒的攻击。具体措施有: （1）建立有效的计算机病毒防护体系。有效的计算机病毒防护体系应包括多个防护层。一是访问控制层；二是病毒检测层；三是病毒遏制层；四是病毒清除层；五是系统恢复层；六是应急计划层。上述六层计算机防护体系，须有有效的硬件和软件技术的支持，如防火墙技术、网络安全设计、身份验证技术等。入侵检测作为一种积极的安全防护技术，提供了对内部攻击，外部攻击和错误操作的实时保护，在网络系统收到危害前拦截和响应入侵。从网络安全建立纵身，多层次防御的角度出发。（2）安装和设置防火墙。防火墙是指设置在

24、不同网络或网络安全域之间的一系列部件的组合。 它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。在服务器端和客户端都要安装使用病毒防火墙, 建立立体的病毒防护体系, 一旦遭受病毒攻击, 立即采取隔离措施。（3）安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力,同时及时对病毒库进行在线升级。有些人以为只要他们保护了自己的电子邮件网关和内部的桌面计算机，就无需基于电子邮件服务器

25、的防病毒解决方案了。这在几年前或许是对的，但是目前随着基于 Web 的电子邮件访问、公共文件夹以及访问存储器的映射网络驱动器等方式的出现，病毒可以通过多种方式进入电子邮件服务器。这时，就只有基于电子邮件服务器的解决方案才能够检测和删除受感染项。 拦截受感染的附件。许多利用电子邮件传输方式的病毒传播者（又称“海量寄件者”）经常利用可在大多数计算机中找到的可执行文件，如EXE、VBS和SHS散布病毒。实际上，大多数电子邮件用户并不需要接收带这类文件扩展的附件，因此当它们进入电子邮件服务器或网关时可以将其拦截下来。 安排全面随机扫描。即使能够保证使用所有最新的手段防范病毒，新型病毒也总是防不胜防。它

26、们有可能乘人们还没来得及正确识别，防病毒产品厂商也尚未相应地制定出新的定义文件之前，进入系统。通过使用最新定义文件，对所有数据进行全面、随机地扫描，确保档案中没有任何受感染文件蒙混过关，就显得尤为重要。 利用试探性扫描，可以寻找已知病毒的特征，以识别是已知病毒变异的新病毒，提供较高级别的保护，但缺点是它需要更多的处理时间来扫描各项病毒，而且偶尔还会产生错误的识别结果。不管怎样，只要服务器配置正确，根据性能的需要，利用试探性扫描提供额外保护，还是值得一试的。 用防病毒产品中的病毒发作应对功能。海量邮寄带来的病毒可以迅速传遍一个系统。对于管理员而言，没有防病毒厂商所提供的适当的检测驱动程序，要根除

27、这些病毒是极其费力的。幸运的是，某些病毒防护产品提供了系统设置功能，一旦出现特定病毒发作的特征，这些产品就会自动发出通知或采取修正措施。 重要数据定期存档。并非所有病毒都立即显示出自己的特征；根据感染位置以及系统的设置情况，有些病毒可能要潜伏一段时间才能被发现。最好是至少每月进行一次数据存档，这样，如前所述，在防病毒解决方案的自动删除功能不起作用时，就可以利用存档文件，成功地恢复受感染项。5.3加强计算机网络管理计算机网络病毒的防治,单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来, 提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。网络管理

28、应该积极主动, 从硬件设备和软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度,对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程,建立、 防杀结合、以防为主、以杀为辅、软硬互补、标本兼治的最佳安全模式。总之, 计算机病毒在形式上越来越难以辨别, 造成的危害也越来越严重,我们需要高度重视病毒的发展趋势, 加强计算机病毒防范知识的普及和应用, 加强安全防范意识和技术, 加强计算机病毒知识的研究, 在技术上更先进, 功能上更全面, 构建较完善的病毒防范体系, 确保体系的有效性和先进性。致谢：时将近两个月的时间终于将这篇论文写完，在论文的写作过程中遇到了无数的困难

29、和障碍，都在同学和老师的帮助下度过了。尤其要强烈感谢我的论文指导老师，她对我进行了无私的指导和帮助，不厌其烦的帮助进行论文的修改和改进。另外，在校图书馆查找资料的时候，图书馆的老师也给我提供了很多方面的支持与帮助。在此向帮助和指导过我的各位老师表示最中心的感谢！感谢这篇论文所涉及到的各位学者。本文引用了数位学者的研究文献，如果没有各位学者的研究成果的帮助和启发，我将很难完成本篇论文的写作。感谢我的同学和朋友，在我写论文的过程中给予我了很多你问素材，还在论文的撰写和排版灯过程中提供热情的帮助。由于我的学术水平有限，所写论文难免有不足之处，恳请各位老师和学友批评和指正！参考文献：1 张又生计算机病毒与木马程序剖析北京科海电子出版社,20092 张小磊计算机病毒诊断与防治中国环境科学出版社,20083 张玉生Visual Basic 程序设计与上机实验指导华东理工大学出版社4 龚沛曾VB程序设计简明教程（第二版）高等教育出版社.2002.85 郝强,赵中华WindowsXP 注册表大全电子工业出版社,2010.46 崔彦锋,许小荣VB网络与远程控制实例编程北京希望电子出版社,2009