第二代木馬的研究與實現畢業(yè)論文

《第二代木馬的研究與實現畢業(yè)論文》由會員分享，可在線閱讀，更多相關《第二代木馬的研究與實現畢業(yè)論文（30頁珍藏版）》請在裝配圖網上搜索。

1、Anhui Vocactional & Technical College of Industry & Trade畢 業(yè) 論 文第二代木馬的研究與實現Research and implementation of second generation Trojan 所在系院： 計算機技術系 專業(yè)班級： 2013級計算機應用技術1班 學生學號： 2013290108 學生姓名： 莫 如 指導教師： 商 杰 二一六 年 四 月 二十 日安徽工貿職業(yè)技術學院畢業(yè)論文第二代木馬的研究與實現摘 要; 隨著信息化時代的到來人類社會生活對因特網的需求日益增長，使得計算機網絡技術迅速發(fā)展和普及。因特網使得全世界都

2、聯系到了一起。極大的促進了全球一體化的發(fā)展。但是隨著互聯網的普及和應用的不斷發(fā)展，各種黑客工具和網絡手段導致網絡和用戶收到財產損失，其中最嚴重的就是木馬攻擊手段。它以其攻擊范圍廣、危害大等特點成為常見的網絡攻擊技術之一，對整個互聯網照成了極大的危害。本文分析了木馬病毒的基本原理，針對木馬病毒的特征、傳播途徑等分析結果，找出計算機感染病毒的原因。并且對木馬病毒的種類、加載技術及現狀進行了詳細的研究，提出了完善的防范建議。關鍵詞：木馬病毒；網絡安全；自動加載；文件劫持。ABSTRACTWiththegrowingdemandforinformationtechnologyeraofhumansoc

3、iallifeontheInternet,computernetworktechnologyrapiddevelopmentandpopularization.TheInternetmakesthewholeworldislinkedtotogether.Greatlycontributedtothedevelopmentofglobalintegration.ButwiththepopularityoftheInternetandthecontinuousdevelopmentoftheapplication,avarietyofhackingtoolsandnetworkmeansthen

4、etworkandtheuserreceivespropertydamage,themostseriousofwhichisTrojanattacks.Withitswiderangeofattacks,hazardsandothercharacteristicstobecomeoneofthecommonnetworkattacktechniques,theentireInternetaccordingtobecomegreatharm.Keywords: Trojan;networksecurity;Automaticallyloaded；FilehijackedI目 錄摘 要; IABS

5、TRACTII引言2第一章 木馬病毒的概述及現狀31.1 木馬的基本特征31.2木馬的傳播途徑41.3木馬病毒的危害5第二章 木馬病毒的現狀52.1 特洛伊木馬的發(fā)展62.2木馬病毒的種類7第三章 木馬病毒的發(fā)展趨勢9第四章 木馬病毒的基本原理12第五章木馬病毒的防范181引言隨著信息化時代的到來人類社會生活對因特網的需求日益增長，使得計算機網絡技術迅速發(fā)展和普及。因特網使得全世界都聯系到了一起。極大的促進了全球一體化的發(fā)展。但是隨著互聯網的普及和應用的不斷發(fā)展，各種黑客工具和網絡手段導致網絡和用戶收到財產損失，其中最嚴重的就是木馬攻擊手段。它以其攻擊范圍廣、危害大等特點成為常見的網絡攻擊技術

6、之一，對整個互聯網照成了極大的危害。第1章 木馬病毒的概述及現狀1.1 木馬的基本特征1、隱蔽性是其首要的特征當用戶執(zhí)行正常程序時，在難以察覺的情況下，完成危害影虎的操作，具有隱蔽性。它的隱蔽性主要體現在6個方面：1.不產生圖標、2.文件隱藏、3.在專用文件夾中隱藏、4.自動在任務管理其中隱形、5.無聲無息的啟動、6.偽裝成驅動程序及動態(tài)鏈接庫2、它具有自動運行性它是一個當你系統(tǒng)啟動時即自動運行的程序，所以它必需潛入在你的啟動配置文件中，如win.ini、system.ini、winstart.bat以及啟動組等文件之中。3、木馬程序具有欺騙性木馬程序要達到其長期隱蔽的目的，就必需借助系統(tǒng)中已

7、有的文件，以防被你發(fā)現，它經常使用的是常見的文件名或擴展名，如“dllwinsysexplorer等字樣，或者仿制一些不易被人區(qū)別的文件名，如字母“l(fā)”與數字“1”、字母“o”與數字“0”，常修改基本文件中的這些難以分辨的字符，更有甚者干脆就借用系統(tǒng)文件中已有的文件名，只不過它保存在不同路徑之中。還有的木馬程序為了隱藏自己，也常把自己設置成一個ZIP文件式圖標，當你一不小心打開它時，它就馬上運行。等等這些手段那些編制木馬程序的人還在不斷地研究、發(fā)掘，總之是越來越隱蔽，越來越專業(yè)，所以有人稱木馬程序為“騙子程序”。4、具備自動恢復功能 現在很多的木馬程序中的功能模塊已不再是由單一的文件組成，而是

8、具有多重備份，可以相互恢復。5、能自動打開端口應服務器客戶端的通信手段，利用TCP/IP協(xié)議不常用端口自動進行連接，開方便之“門”6、功能的特殊性通常的木馬的功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索cache中的口令、設置口令、掃描目標機器人的IP地址、進行鍵盤記錄、遠程注冊表的操作、以及鎖定鼠標等功能,上面所講的遠程控制軟件的功能當然不會有的，畢竟遠程控制軟件是用來控制遠程機器，方便自己操作而已，而不是用來黑對方的機器的。1.2木馬的傳播途徑1.利用操作系統(tǒng)和瀏覽器漏洞傳播。2.利用移動存儲設備（U盤）等來傳播。3.利用第三方軟件（如realplayer，迅雷，暴風影音

9、等）漏洞傳播4.利用ARP欺騙方式來傳播5利用電子郵件，QQ,MSN等通訊軟件傳播6.利用網頁掛馬，嵌入惡意代碼來傳播1.3木馬病毒的危害1利用通訊軟件盜取用戶個人信息。黑客可以利用木馬病毒盜取用戶的如QQ,MSN等賬號進行盜取用戶好友個人信息等。2盜取網游賬號，威脅我們的虛擬財產安全黑客利用木馬病毒盜取用戶游戲賬戶密碼，并將用戶游戲中的裝備或游戲幣轉移，照成損失3盜取用戶的網銀信息，威脅我們的真是財產安全黑客利用木馬，采用鍵盤記錄等方法盜取用戶的個人銀行信息，直接到市用戶的經濟損失4給電腦打開后門，使電腦可能被黑客控制 如灰鴿子等，當我們中了此類木馬我們的電腦就可能成為“肉雞”，成為黑客的工

10、具。第2章 木馬病毒的現狀 目前，木馬病毒結合了傳統(tǒng)病毒的破壞性，產生了更有危害性的混合型木馬病毒。有關報告顯示：截止2011年上半年，所截獲的新增病毒總計有111474種，而木馬病毒占總數的64.1%。其中，盜號木馬占總木馬數的70%，從數據上可以看出，木馬數量的成倍增長，變種稱出不窮，使得計算機用戶的處境更加危險。2.1 特洛伊木馬的發(fā)展 計算機世界的特洛伊木馬(Trojan)是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和攻擊Dos等特殊功能的后門程序。 第一代木馬：偽裝型病毒 這種病毒通過偽裝成一個合法性程序誘騙用戶上當。世界上第一個計算機木

11、馬是出現在1986年的PC-Write木馬。它偽裝成共享軟件PC-Write的2.72版本（事實上，編寫PC-Write的Quicksoft公司從未發(fā)行過2.72版本），一旦用戶信以為真運行該木馬程序，那么他的下場就是硬盤被格式化。在我剛剛上大學的時候，曾聽說我校一個前輩牛人在WAX機房上用BASIC作了一個登錄界面木馬程序，當你把你的用戶ID，密碼輸入一個和正常的登錄界面一模一樣的偽登錄界面后后，木馬程序一面保存你的ID,和密碼，一面提示你密碼錯誤讓你重新輸入，當你第二次登錄時，你已成了木馬的犧牲品。此時的第一代木馬還不具備傳染特征第二代木馬：AIDS型木馬 繼PC-Write之后，1989

12、年出現了AIDS木馬。由于當時很少有人使用電子郵件，所以AIDS的作者就利用現實生活中的郵件進行散播：給其他人寄去一封封含有木馬程序軟盤的郵件。之所以叫這個名稱是因為軟盤中包含有AIDS和HIV疾病的藥品，價格，預防措施等相關信息。軟盤中的木馬程序在運行后，雖然不會破壞數據，但是他將硬盤加密鎖死，然后提示受感染用戶花錢消災。可以說第二代木馬已具備了傳播特征（盡管通過傳統(tǒng)的郵遞方式）第三代木馬：網絡傳播性木馬 隨著Internet的普及，這一代木馬兼?zhèn)鋫窝b和傳播兩種特征并結合TCP/IP網絡技術四處泛濫。同時還有了兩個新特征，第一，添加了“后門”功能；第二，添加了擊鍵記錄功能；第三，有了視頻監(jiān)控

13、和桌面監(jiān)控等功能。2.2木馬病毒的種類種類特性傳播途徑破壞型唯一的功能就是破壞并且刪除文件，可以自動的刪除電腦上的DLL、INI、EXE文件硬盤傳播密碼發(fā)送型向密碼輸入窗口發(fā)送WM_SETTEXT消息模擬輸入密碼，向按鈕窗口發(fā)送WM_COMMAND消息模擬單擊。在破解過程中，把密碼保存在一個文件中，以便在下一個序列的密碼再次進行窮舉或多部機器同時進行分工窮舉，直到找到密碼為止?？梢哉业诫[藏密碼并把它們發(fā)送到指定的信箱。也有些黑客軟件長期潛伏，記錄操作者的鍵盤操作，從中尋找有用的密碼。遠程訪問型最廣泛的是特洛伊馬，只需有人運行了服務端程序，如果客戶知道了服務端的IP地址，就可以實現遠程控制。通過

14、控制internet的UDP協(xié)議進行傳播。鍵盤記錄木馬這種特洛伊木馬是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。潛伏在計算機硬盤中，通過記錄使用者的鍵盤操作進行傳播。DoS攻擊木馬隨著DoS攻擊越來越廣泛的應用，被用作DoS攻擊的木馬也越來越流行起來。當你入侵了一臺機器，給他種上DoS攻擊木馬，你控制的肉雞數量越多，你發(fā)動DoS攻擊取得成功的機率就越大。通過郵件傳播，一旦機器被感染，木馬就會隨機生成各種各樣主題的信件，對特定的郵箱不停地發(fā)送郵件，一直到對方癱瘓、不能接受郵件為止。代理木馬“代理木馬”具有自動下載木馬病毒的功能，一旦感染系統(tǒng)后，當系統(tǒng)接入互

15、聯網，再從指定的網址下載其他木馬、病毒等惡意軟件。它們可以根據病毒編者指定的網址下載木馬病毒或其他惡意軟件，還可以通過網絡和移動存儲介質傳播。FTP木馬這種木馬可能是最簡單和古老的木馬了，它的唯一功能就是打開21端口，等待用戶連接?？刂朴脩舻?1端口使其運行某一指定的命令。反彈端口型木馬木馬定時監(jiān)測控制端的存在，發(fā)現控制端上線立即彈出端口主動連結控制端打開的主動端口；即使用戶使用掃描軟件檢查自己的端口，發(fā)現類似TCP的情況。通過控制計算機防火墻端口進行傳播。7安徽工貿職業(yè)技術學院畢業(yè)論文第3章 木馬病毒的發(fā)展趨勢 早期的病毒僅僅實現了單一的破壞系統(tǒng)功能,直到1998年CIH病毒的出現。CIH病

16、毒是迄今為止破壞性最嚴重的病毒,也是世界上首例破壞硬件的病毒。伴隨著計算機技術和網絡技術的發(fā)展,計算機病毒的發(fā)展趨勢也發(fā)生了巨變,目前的計算機病毒發(fā)展呈現以下趨勢: 1.綜合利用多種編程新技術的病毒將成為主流。從Ro-otKit技術到映像劫持技術,磁盤過濾驅動到還原系統(tǒng)SSDTHOOK和還原其它內核HOOK技術,病毒為達到目的所采取的手段已經無所不用。通過Rootkit技術和映像技術隱藏自身的進程、注冊表鍵值,通過插入進程、線程避免被殺毒軟件查殺,通過實時監(jiān)測對自身進程進行回寫,通過還原系統(tǒng)SS-DTHOOK和還原其他內核HOOK技術破壞反病毒軟件,甚至一向被認為安全至極的數碼產品都能被其驅動

17、光盤感染病毒。目前幾乎所有的木馬病毒都具備這些技術特征,幾乎所有最新的程序應用技術都被病毒一一應用,未來的病毒將綜合利用以上新技術,使得殺毒軟件查殺難度更大,對病毒的實時檢測更困難,病毒與反病毒軟件之間的對抗進一步加強。2. ARP病毒仍將成為局域網的最大禍害。ARP病毒已經成為近年來局域網的最大威脅,它采用ARP技術局域網掛馬攻擊技術,利用MAC地址欺騙,傳播惡意廣告或病毒程序。ARP病毒發(fā)作時,通常會造成網絡掉線,但網絡連接正常,內網的部分或全部電腦不能上網,無法打開網頁或時斷時續(xù),且網速較慢等現象。更為嚴重的是,ARP病毒新變種能把自身偽裝成網關,在所有用戶請求訪問的網頁添加惡意代碼,導

18、致殺毒軟件在用戶訪問任意網站時均發(fā)出病毒警報,用戶下載任何可執(zhí)行文件,均被替換成病毒。3.病毒制作更簡單,傳播速度更快。由于網絡的普及,使得編寫病毒的知識更容易獲得,同時,各種功能強大而易學的編程工具,讓用戶可以輕松編寫病毒程序,用戶通過網絡甚至可以獲得專門編寫病毒的工具軟件,只需要通過簡單的操作就可以生成具有極強殺傷力的病毒。隨著網速的提高,在數據傳輸時間變短的同時,病毒的傳送時間會變得微不足道。同時,可利用的傳播途徑也日趨多樣化,有文件、電子郵件、Web服務器、網絡共享、ICQ、ICR等,病毒的危害性也日趨多樣化。 目前計算機病毒的傳播方式使用技術以及危害的程度與過去相比已經有了較大的變化

19、在網絡境下病毒除了具有可傳播性可執(zhí)行性破壞性等計算機病毒的共性外還具有一些新的特點一、破壞性極大 網絡中計算機病毒破壞性極強，病毒往往與其它技術相融合，如：某些病毒集普通病毒、蠕蟲、木馬和黑客等技術于一身，具有混合型特征的“愛蟲”“美麗殺”等CIH病毒都給世界計算機信息系統(tǒng)和網絡帶來災難性的破壞；有的造成網絡擁塞甚至癱瘓有的成為“肉雞”進而造成重要信息被竊取、個人隱私被偷拍；甚至有的計算機被人網絡控制變成攻擊別人的“網絡僵尸”二、利用可移動磁盤傳播的病毒明顯增多 隨著可移動磁盤價格下降，擁有可移動磁盤的用戶也大量增加，病毒也開始趁機作亂，除了蠕蟲，普通的木馬大多都可通過可移動磁盤進行傳播，主要

20、方式是復制一個病毒體和一個autoru.inf文件到各盤。 由于經常使用可移動磁盤在不同計算機之間交流數據和windows系統(tǒng)自動播放功能的存在,很容易造成計算機病毒的“交叉感染”。三、病毒隱蔽性強 現在病毒技術不斷翻新，更多的VBS病毒只駐留在內存中，不寫到硬盤上，根本就沒有特征代碼和惡意代碼，病毒啟動時在內存中無法找到病毒體，即使有的病毒有特征代碼或惡意代碼，也都采用了加密技術，將病毒特征代碼和惡意代碼進行隱藏可以逃過普通的特征碼匹配查找方法，隱藏性更強，使發(fā)現病毒變得更加困難。為了更好的隱藏自己陰險的一面，病毒常常偽裝成各種能對人感興趣的東西，例如：“世界杯病毒(scriptworldc

21、up)”是利用世界杯熱潮以竟猜世界杯冠軍獲獎信息為內容的惡意網絡腳本病毒，還有一些病毒偽裝成玩笑、動畫、甚至病毒修復程序等形式出現。四、對抗安全軟件的病毒明顯增多 “機器狗”系列病毒直接操作磁盤以繞過系統(tǒng)文件完整性的檢驗，通過感染系統(tǒng)文件（比如explorer.exe，winhlp32.exe，serinit.exe等）達到隱蔽啟動；通過底層技術穿透冰點、影子等還原系統(tǒng)軟件導致大量用戶感染病毒；通過修復SSDT、映像挾持、進程操作、修改注冊表等方法使得流行的安全軟件失去用，用聯網下載大量的盜號木馬。終結者AV最大特點是禁用所有殺毒軟件以及大量的安全輔助工具，讓用戶電腦失去安全保障；破壞安全模式

22、，致使用戶根本無法進入安全模式清除病毒；強行關閉帶有病毒字樣的網頁，只要在網頁中輸入“病毒”相關字樣，網頁遂被強行關閉，即使是一些安全論壇也無法登陸，用戶無法通過網絡尋求解決辦法。2008年年末出現的“超級AV終結者”結合了AV終結者、機器狗、震蕩波、autorun病毒的特點，是金山毒霸“云安全”中心捕獲的新型計算機病毒。它對用戶具有非常大的威脅。五、網頁掛馬式傳播 網頁掛馬已經成為木馬病毒傳播的主要途徑之一。入侵網站，篡改網頁內容，植入各種木馬，用戶只要瀏覽被植入木馬的網站，即有可能遭遇木馬入侵，甚至遭遇更猛烈的攻擊，造成網絡財產的損失。2008年，網站被掛馬現象屢見不鮮，大到一些門戶網站，

23、小到某地方電視臺的網站都曾遭遇掛馬問題。 伴隨著互聯網的日益普及。網頁掛馬已經成為木馬病毒傳播的主要途徑之一的今天，金山毒霸反病毒工程師預測2009年網絡掛馬問題將更加嚴峻，更多的網站將遭遇木馬攻擊。六、病毒制造經濟化、產業(yè)化、低門檻化 早期的計算機病毒都是編程高手制作的，編寫病毒是為了顯示自己的技術。而現在的病毒編寫者不再單純炫耀技術，更多是以經濟利益為目的。2008年年截獲的新木馬病毒中，80%以上都與盜取網絡游戲帳號密碼有關。同時，網上販賣病毒、木馬和僵尸網絡的活動不斷增多，且公開化；利用病毒木馬技術傳播垃圾郵件和進行網絡攻擊、破壞的事件呈上升趨勢。種種跡象表明。病毒的制造、傳播者追求經

24、濟利益的目的越來越強。“病毒制造機”是網上流行的一種制造病毒的工具，病毒作者不需要任何專業(yè)技術就可以手工制造生成病毒，在網絡上可以輕易找到有諸多此類廣告，病毒作者可根據自己對病毒的需求，在相應的制作工具中定制和勾選病毒功能，這種病毒傻瓜式制作導致制作病毒門檻更低。 第4章 木馬病毒的基本原理 木馬病毒通常飽飯兩個部分：服務器和客戶端。服務端植入危害主機，而施種者利用客戶端侵入運行了服務端的主機。木馬的服務端一旦啟動，受害主機的一個或幾個端口即對施種者敞開，使得施種者可以利用這些端口受害主機，開始執(zhí)行入侵操作。如圖：圖表1-1 木馬病毒傳播的基本原理1、配置、傳播木馬 一般來說一個設計成熟的木馬

25、都有木馬配置程序，從具體的配置內容看，主要是為了實現偽裝和信息反饋兩方面的功能。傳播方式: 木馬的傳播方式主要有兩種:一種是通過E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去,收信人只要打開附件系統(tǒng)就會感染木馬;另一種是軟件下載，一些非正規(guī)的網站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運行這些程序，木馬就會自動安裝。2、運行木馬 服務端用戶運行木馬或捆綁木馬的程序后,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),然后在注冊表,啟動組,非啟動組中設置好木馬的觸發(fā)條件,這樣木馬的

26、安裝就完成了。木馬被激活后，進入內存，并開啟事先定義的木馬端口，準備與控制端建立連接。這時服務端用戶可以在MS-DOS方式下，鍵入NETSTAT-AN查看端口狀態(tài)，一般個人電腦在脫機狀態(tài)下是不會有端口開放的，如果有端口開放，你就要注意是否感染木馬了。3、信息反饋 木馬配置程序將就信息反饋的方式或地址進行設置，如設置信息反饋的郵件地址，IRC號，ICO號等等。4、建立連接 一個木馬連接的建立首先必須滿足兩個條件：一是服務端已安裝了木馬程序；二是控制端，服務端都要在線。在此基礎上控制端可以通過木馬端口與服務端建立連接值得一提的要掃描整個IP地址段顯然費時費力，一般來說控制端都是先通過信息反饋獲得服

27、務端的IP地址，由于撥號上網的IP是動態(tài)的，即用戶每次上網的IP都是不同的。5、遠程控制 木馬連接建立后，控制端端口和木馬端口之間將會出現一條通道，控制端上的控制端程序可藉這條通道與服務端上的木馬程序取得聯系,并通過木馬程序對服務端進行遠程控制。6、木馬病毒的傳播及植入 由于木馬病毒是一種非自我復制的惡意代碼，因此她需要依靠用戶向其他人發(fā)送其拷貝。木馬病毒可以作為電子郵件附件或者隱藏在用戶與其他用戶進行交互的文檔或者其他文件中。他們還可以被其他惡意代碼所攜帶，如蠕蟲。木馬病毒有時也會隱藏在從互聯網上下載的捆綁軟件中。當用戶安裝此軟件是，病毒就會在后臺秘密安裝。木馬植入技術主要是指木馬病毒利用各

28、自途徑進入到目標機器的具體方法。7、木馬病毒植入技術木馬病毒植入技術,主要是指木馬病毒利用各種途徑進入目標機器的具體實現方法。(1)利用電子郵件進行傳播:攻擊者將木馬程序偽裝成E-mail附件的形式發(fā)送過去,收信方只要查看郵件附件就會使木馬程序得到運行并安裝進入系統(tǒng)。(2)利用網絡下載進行傳播:一些非正規(guī)的網站以提供軟件下載為名,將木馬捆綁在軟件安裝程序上,下載后,只要運行這些程序,木馬就會自動安裝。(3)利用網頁瀏覽傳播:這種方法利用JavaApplet編寫出一個HTML網頁,當我們?yōu)g覽該頁面時,JavaApplet會在后臺將木馬程序下載到計算機緩存中,然后修改注冊表,使指向木馬程序。(4)

29、利用一些漏洞進行傳播:如微軟著名的IIS服務器溢出漏洞,通過一個IISHACK攻擊程序即可把IIS服務器崩潰,并且同時在受控服務器執(zhí)行木馬程序。由于微軟的瀏覽器在執(zhí)行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞傳播病毒和木馬,甚至直接對瀏覽者主機進行文件操作等控制。(5)遠程入侵進行傳播:黑客通過破解密碼和建立IPC遠程連接后登陸到目標主機,將木馬服務端程序拷貝到計算機中的文件夾(一般在C:WINDOWSsystem32或者C:WINNTsys-tem32)中,然后通過遠程操作讓木馬程序在某一個時間運行。(6)基于DLL和遠程線程插入的木馬植入：這種傳播技術是以DLL的形式實現木馬程

30、序,然后在目標主機中選擇特定目標進程(如系統(tǒng)文件或某個正常運行程序),由該進程將木馬DLL植入到本系統(tǒng)中。而DLL文件的特點決定了這種實現形式的木馬的可行性和隱藏性。首先,由于DLL文件映像可以被映射到調用進程的地址空間中,所以它能夠共享宿主進程(調用DLL的進程)的資源,進而根據宿主進程在目標主機的級別未授權地訪問相應的系統(tǒng)資源。其次,因為DLL沒有被分配獨立的進程地址空間,也就是說DLL的運行并不需要創(chuàng)建單獨的進程,增加了隱蔽性的要求。(7)利用蠕蟲病毒傳播木馬:網絡蠕蟲病毒具有很強的傳染性和自我復制能力,將木馬和蠕蟲病毒結合在一起就可以大大地提高木馬的傳播能力。結合了蠕蟲病毒的木馬利用病

31、毒的特性,在網絡上進行傳播、復制,這就加快了木馬的傳播速度。4.1木馬病毒的加載技術當木馬病毒成功植入目標機后,就必須確保自己可以通過某種方式得到自動運行。常見的木馬病毒加載技術主要包括:系統(tǒng)啟動自動加載、文件關聯和文件劫持等。4.1.1系統(tǒng)啟動自動加載系統(tǒng)啟動自動加載，這是最常的木馬自動加載方法。木馬病毒通過將自己拷貝到啟動組,或在win.ini,system.ini和注冊表中添加相應的啟動信息而實現系統(tǒng)啟動時自動加載。這種加載方式簡單有效,但隱蔽性差。目前很多反木馬軟件都會掃描注冊表的啟動鍵(信息),故而新一代木馬病毒都采用了更加隱蔽的加載方式。4.1.2文件劫持文件劫持，是一種特殊的木馬

32、加載方式。木馬病毒被植入到目標機后,需要首先對某個系統(tǒng)文件進行替換或嵌入操作,使得該系統(tǒng)文件在獲得訪問權之前,木馬病毒被率先執(zhí)行,然后再將控制權交還給相應的系統(tǒng)文件。采用這種方式加載木馬不需要修改注冊表,從而可以有效地躲過注冊表掃描型反木馬軟件的查殺。這種方式最簡單的實現方法是將某系統(tǒng)文件改名,然后將木馬程序改名。這樣當這個系統(tǒng)文件被調用的時候,實際上是木馬程序被運行,而木馬啟動后,再調用相應的系統(tǒng)文件并傳遞原參數。4.2木馬病毒的隱藏技術為確保有效性,木馬病毒必須具有較好的隱蔽性。木馬病毒的主要隱蔽技術包括:偽裝、進程隱藏、DLL技術等。偽裝,從某種意義上講,偽裝是一種很好的隱藏。木馬病毒的

33、偽裝主要有文件偽裝和進程偽裝。前者除了將文件屬性改為隱藏之外,大多通過采用一些比較類似于系統(tǒng)文件的文件名來隱蔽自己;而后者則是利用用戶對系統(tǒng)了解的不足,將自己的進程名設為與系統(tǒng)進程類似而達到隱藏自己的目的。進程隱藏,木馬病毒進程是它駐留在系統(tǒng)中的最好證據,若能夠有效隱藏自己的進程,顯然將大大提高木馬病毒的隱蔽性。在windows98系統(tǒng)中可以通過將自己設為系統(tǒng)進程來達到隱藏進程的目的。但這種方法在windows2000/NT下就不再有效,只能通過下面介紹的DLL技術或設備驅動技術來實現木馬病毒的隱藏。DLL技術,采用DLL技術實現木馬的隱蔽性,主要通過以下兩種途徑:DLL陷阱和DLL注入。DL

34、L陷阱技術是一種針對DLL(動態(tài)鏈接庫)的高級編程技術,通過用一個精心設計的DLL替換已知的系統(tǒng)DLL或嵌入其內部,并對所有的函數調用進行過濾轉發(fā)。DLL注入技術是將一個DLL注入到某個進程的地址空間,然后潛伏在其中并完成木馬的操作。 第五章木馬病毒的防范計算機病毒的防范措施針對病毒的發(fā)展趨勢,從上面的討論知道木馬程序是非常危險的，計算機一旦感染病毒是非常危險的，所以在前人研究的基礎上我認為以下幾種方法也有助于病毒的防范。如：（1）不隨意打開來歷不明的郵件，阻塞可疑郵件。（2）不隨意下載來歷不明的軟件。（3）及時修補漏洞和關閉可疑的端口。（4）盡量少用共享文件夾。（5）運行實時監(jiān)控系統(tǒng)。（6）

35、經常升級系統(tǒng)和更新殺毒軟件。（7）限制不必要的具有傳輸能力的文件。（8）關閉不常使用端口。我國計算機網絡安全形勢十分嚴峻,采用有效的病毒防范措施顯得尤其重要。計算機網絡中最主要的軟硬件實體就是服務器和工作站,防治病毒首先要考慮這兩部分:5.1基于用戶的防范措施（1）在網絡接口卡上安裝防病毒芯片。是一種硬件防病毒技術，與操作系統(tǒng)相配合，可以防范大部分針對緩沖區(qū)溢出漏洞的攻擊。Intel的防病毒技術是EDB，AMD的防病毒技術是EV，但不管叫什么，它們的原理都是大同小異的。嚴格來說，目前各個CPU廠商在CPU內部集成的防病毒技術不能稱之為“硬件防毒”。這樣可以更加實時有效地保護工作站及通向服務器的

36、橋梁。（2）創(chuàng)建緊急引導盤和最新緊急修復盤。緊急引導盤就是常說的啟動盤，當電腦無法進入操作系統(tǒng)時，可以用它引導系統(tǒng)，進入dos狀態(tài)，然后對系統(tǒng)進行各種修復。計算機病毒的防治措施中創(chuàng)建的緊急修復盤是對當前計算機的分區(qū)表，引導區(qū)信息等重要信息進行的備份，當計算機的這些信息被病毒破壞后，可以通過這張盤進行恢復，盡量減少損失。（3）盡量不用外來的軟件和閃盤,用前要用最新正版的殺毒軟件查殺。正版殺毒軟件非常穩(wěn)定，不會出現各種未知問題，如病毒庫不能及時更新等；遇到疑問時可獲取殺毒軟件官方客服支持，以便及時解決問題；能及時的更新病毒庫和正版殺毒軟件版本，更為有效的防范網絡威脅；可避免因在不可靠的網站尋找破解

37、等信息時候中毒或錯將惡意軟件當作破解補丁下載?？上硎芨喔玫陌踩?，這些服務是破解或盜版殺毒軟件所不可能有的。能夠享受官方為正版用戶提供的增強服務，比如諾頓、邁克菲的數據在線存儲等。（4）重要文件和數據不要安裝在系統(tǒng)盤上,注意及時做好數據的備份。數據庫的數據全在電腦上，如果出現一些意外（系統(tǒng)崩潰，認為破壞，硬盤損壞等），會造成數據丟失，而要數據恢復的話，需要花很多時間和金錢。（5）對計算機系統(tǒng)軟件及時安裝補丁程序,檢查注冊表和內存中可疑進程。系統(tǒng)必須打補丁，這是一個安全常識，現在的病毒最愛做的事情就是利用系統(tǒng)漏洞攻擊你的電腦，所以一位說可以不打補丁的朋友的說法是嚴重錯誤的，不過補丁也可以用

38、360來打，應該說360下載的補丁最多只是存在判斷不正確的問題，就是說出現實際無需安裝的補丁的下載提示，一般安裝補丁是以WindowsUpdate上的提示為準，而況你是正版的，更加無需擔心正版驗證的問題。絕大多數時候就算安裝了多余的補丁，也不會引起系統(tǒng)崩潰，你這崩潰和補丁可能存在關系，但也可能實際上是無關的，你在重啟之后WIN7自動進行了修復，也就自然恢復正常了。（6）接收電子郵件、從網絡下載各種免費和共享軟件要進行必要的檢查和殺毒后才能打開、安裝和使用。（7）提高自身素質，上網瀏覽時不要訪問不良網站。當前，網絡病毒的最新趨勢是：不法分子或好事之徒制作的匿名網頁直接提供了下載大批病毒活樣本的便

39、利途徑。由于學術研究的病毒樣本提供機構同樣可以成為別有用心的人的使用工具。由于網絡匿名登錄才成為可能的專門關于病毒制作研究討論的學術性質的電子論文、期刊、雜志及相關的網上學術交流活動，如病毒制造協(xié)會年會等等，都有可能成為國內外任何想成為新的病毒制造者學習、借鑒、盜用、抄襲的目標與對象。散見于網站上大批病毒制作工具、向導、程序等等，使得無編程經驗和基礎的人制造新病毒成為可能。新技術、新病毒使得幾乎所有人在不知情時無意中成為病毒擴散的載體或傳播者。其傳播方式和速度之快，讓人防不勝防，由此可見反病毒過程任重道遠。發(fā)現病毒后要立刻關機,因為正常關機操作,Windows會做備份注冊表等很多寫盤操作,剛剛

40、被病毒誤刪的文件可能被覆蓋,一旦被覆蓋就沒有修復的可能,即把電源切掉,操作系統(tǒng)自身的完整性和其他應用程序還可能大部分保存完好,然后用計算機恢復工具或殺毒軟件來處理。5.2基于服務器端的防范措施網絡服務器是計算機網絡的中心,是網絡的支柱。目前基于服務器的防治病毒方法大部分采用防治病毒可裝載模塊(NLM),以提供實時掃描病毒的能力。有時也結合利用在服務器上的插防毒卡等技術,保護服務器不受病毒的攻擊。具體措施有:（1）建立有效的計算機病毒防護體系。有效的計算機病毒防護體系應包括多個防護層。一是訪問控制層；二是病毒檢測層；三是病毒遏制層；四是病毒清除層；五是系統(tǒng)恢復層；六是應急計劃層。上述六層計算機防

41、護體系，須有有效的硬件和軟件技術的支持，如防火墻技術、網絡安全設計、身份驗證技術等。入侵檢測作為一種積極的安全防護技術，提供了對內部攻擊，外部攻擊和錯誤操作的實時保護，在網絡系統(tǒng)收到危害前攔截和響應入侵。從網絡安全建立縱身，多層次防御的角度出發(fā)。（2）安裝和設置防火墻。防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合。它可通過監(jiān)測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現網絡的安全保護。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內部網和Internet之間的任何活動，保證了內部網絡的安全。在服務器端和客戶端

42、都要安裝使用病毒防火墻,建立立體的病毒防護體系,一旦遭受病毒攻擊,立即采取隔離措施。（3）安裝服務器端防病毒系統(tǒng),以提供對病毒的檢測、清除、免疫和對抗能力,同時及時對病毒庫進行在線升級。有些人以為只要他們保護了自己的電子郵件網關和內部的桌面計算機，就無需基于電子郵件服務器的防病毒解決方案了。這在幾年前或許是對的，但是目前隨著基于Web的電子郵件訪問、公共文件夾以及訪問存儲器的映射網絡驅動器等方式的出現，病毒可以通過多種方式進入電子郵件服務器。這時，就只有基于電子郵件服務器的解決方案才能夠檢測和刪除受感染項。攔截受感染的附件。許多利用電子郵件傳輸方式的病毒傳播者（又稱“海量寄件者”）經常利用可在

43、大多數計算機中找到的可執(zhí)行文件，如EXE、VBS和SHS散布病毒。實際上，大多數電子郵件用戶并不需要接收帶這類文件擴展的附件，因此當它們進入電子郵件服務器或網關時可以將其攔截下來。安排全面隨機掃描。即使能夠保證使用所有最新的手段防范病毒，新型病毒也總是防不勝防。它們有可能乘人們還沒來得及正確識別，防病毒產品廠商也尚未相應地制定出新的定義文件之前，進入系統(tǒng)。通過使用最新定義文件，對所有數據進行全面、隨機地掃描，確保檔案中沒有任何受感染文件蒙混過關，就顯得尤為重要。利用試探性掃描，可以尋找已知病毒的特征，以識別是已知病毒變異的新病毒，提供較高級別的保護，但缺點是它需要更多的處理時間來掃描各項病毒，

44、而且偶爾還會產生錯誤的識別結果。不管怎樣，只要服務器配置正確，根據性能的需要，利用試探性掃描提供額外保護，還是值得一試的。用防病毒產品中的病毒發(fā)作應對功能。海量郵寄帶來的病毒可以迅速傳遍一個系統(tǒng)。對于管理員而言，沒有防病毒廠商所提供的適當的檢測驅動程序，要根除這些病毒是極其費力的。幸運的是，某些病毒防護產品提供了系統(tǒng)設置功能，一旦出現特定病毒發(fā)作的特征，這些產品就會自動發(fā)出通知或采取修正措施。重要數據定期存檔。并非所有病毒都立即顯示出自己的特征；根據感染位置以及系統(tǒng)的設置情況，有些病毒可能要潛伏一段時間才能被發(fā)現。最好是至少每月進行一次數據存檔，這樣，如前所述，在防病毒解決方案的自動刪除功能不

45、起作用時，就可以利用存檔文件，成功地恢復受感染項。5.3加強計算機網絡管理計算機網絡病毒的防治,單純依靠技術手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術手段和管理機制緊密結合起來,提高人們的防范意識,才有可能從根本上保護網絡系統(tǒng)的安全運行。網絡管理應該積極主動,從硬件設備和軟件系統(tǒng)的使用、維護、管理、服務等各個環(huán)節(jié)制定出嚴格的規(guī)章制度,對網絡系統(tǒng)的管理員及用戶加強法制教育和職業(yè)道德教育,規(guī)范工作程序和操作規(guī)程,建立、防殺結合、以防為主、以殺為輔、軟硬互補、標本兼治的最佳安全模式?？傊?計算機病毒在形式上越來越難以辨別,造成的危害也越來越嚴重,我們需要高度重視病毒的發(fā)展趨勢,加強計算機病

46、毒防范知識的普及和應用,加強安全防范意識和技術,加強計算機病毒知識的研究,在技術上更先進,功能上更全面,構建較完善的病毒防范體系,確保體系的有效性和先進性。 結論 總之,計算機病毒在形式上越來越難以辨別,造成的危害也越來越嚴重,我們需要高度重視病毒的發(fā)展趨勢,加強計算機病毒防范知識的普及和應用,加強安全范意識和技術,加強計算機病毒知識的研究,在技術上更先進,功能上更全面,構建較完善的病毒防范體系,確保體系的有效性和先進性。參考文獻1張又生,.計算機病毒與木馬程序剖析M.北京:北京科海電子出版社,2009.2張小磊.計算機病毒診斷與防治M.北京:中國環(huán)境科學出版社,2008.3DavidHarl

47、ey美,RobertSlade美,UrsE.Gattiker美.計算機病毒揭秘M.北 京:人民郵電出版社,2005.9.4李光明.中文VisualBasice6.0程序設計教程M.北京:冶金工業(yè)出版社,2008.5張爭平,審校.新編windowsAPI參考大全M.北京:電子工業(yè)出版社,2008.3.6張玉生.VisualBasic程序設計與上機實驗指導.上海：華東理工大學出版社.7龔沛曾.VB程序設計簡明教程（第二版）.高等教育出版社.2002.8.8郝強,趙中華.WindowsXP注冊表大全M.北京:電子工業(yè)出版社,2010.4.9崔彥鋒,許小榮.VB網絡與遠程控制實例編程M.北京:北京希望

48、電子出版社,2009.10楊云偉.VisualBasic實驗教程M.武漢大學出版社，2010.11黑鷹基地.VB木馬-VIP教程M.網絡資料，2011-05-03謝辭彈指一揮間，兩年的大學生活即將結束，這是一段增長知識和積淀師生情、友情的難忘的時光，是一個不斷地為追逐自己的夢想而奮斗，不斷地充實自我，提升自我的過程。在此，我想對培育和幫助我成長的老師、父母、同學，表示我最衷心的感謝，沒有他們，就不可能有今天的我。該篇畢業(yè)論文是本人大學兩年年的知識總結，在論文的寫作過程中，商杰老師為我指點迷津，幫助我開拓研究思路，精心點撥、熱忱鼓勵。商老師一絲不茍的作風，嚴謹求實的態(tài)度，踏踏實實的精神，不僅授我

49、以文，而且教我做人，雖歷時三載，卻給以終生受益無窮之道。對商杰老師的感激之情是無法用言語表達的。感謝安徽工貿學院和所有任課老師對我多年的培養(yǎng)。感謝我的父母，焉得諼草，言樹之背，養(yǎng)育之恩，無以回報，你們永遠健康快樂是我最大的心愿。感謝我的同學、朋友們，我將永遠記得你們伴我走過的每一個有歡笑有淚水的日子，是你們的關心和幫助，讓我感受到踏實的溫暖。在論文即將完成之際，我的心情無法平靜，從開始進入課題到論文的順利完成，有多少可敬的師長、同學、朋友給了我無言的幫助，在這里請接受我誠摯的謝意！25 安徽工貿職業(yè)技術學院畢業(yè)設計（論文）指導教師評語專業(yè)、班級 軟件1班 學生姓名 莫如 完成日期 2015.4.20 題 目： 第二代木馬的研究與實現 畢業(yè)設計（論文）共 19 頁，其中：圖1幅，表1個指導教師評語： 建議成績 指導教師（簽名）：年 月 日畢業(yè)設計（論文）指導小組評定意見： 畢業(yè)論文成績的評定：指導教師審閱成績（70%）評閱教師評閱成績（30%）總 分系（院）負責人簽名： 年 月 日26