木马病毒查杀技术论文

《计算机信息安全》课程报告
题 目 木马病毒的鉴别与查杀技术 姓 名
学 号
专业班级
指导教师
学 院
完成日期 2013年1月
宁波理工学院
摘要
随着信息时代的到来，网络遍及了生活与工作的各个领域，在大量信息传递的同时，电信息安全也成为了人们关注的重点。

其中，对于电脑病毒的防护与查杀显得尤为重要。

“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任木马病毒意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

因此，对于木马病毒的鉴别与查杀的研究，具有相当的理论意义和实际作用。

本文首先介绍了木马病毒的与其他病毒的异同之处，然后指出木马病毒发展及其危害，在本文的第四部分阐述了木马病毒的入侵方式和传播原理，在此基础上，提出了木马病毒的鉴别方式和查杀方法的建议。

关键词: 计算机；木马病毒；鉴别；查杀
目录
摘要 (I)
1.引言 (1)
1.1选题理由 (1)
1.2本文的研究方法和框架 (2)
1.2.1研究方法 (2)
1.2.2研究框架 (2)
1.2.3研究阶段 (3)
1.2.4相关文献回顾 (3)
2.木马病毒与其他病毒的异同分析 (6)
2.1计算机病毒分类 (6)
2.1.1病毒（Viruses）的感染方式 (6)
2.1.2木马（Trojans）的感染方式 (6)
2.1.3蠕虫（Worms ）的感染方式 (7)
2.1.4其他 (7)
2.2木马病毒与其他病毒的区别 (7)
3.木马病毒的发展及危害 (9)
3.1木马病毒的发展 (9)
3.1.1木马病毒的发展历史 (9)
3.1.2木马病毒的现状 (9)
3.1.3木马病毒的分类 (11)
3.2木马病毒的危害 (12)
4.木马病毒的工作原理 (13)
4.1木马病毒的工作原理 (13)
4.2木马病毒的入侵方式 (13)
4.2.1木马病毒的入侵方式 (13)
4.2.2木马病毒的传播途径 (13)
5.木马病毒的鉴别与查杀 (15)
5.1木马病毒的鉴别 (15)
5.1.1木马病毒的基本特性 (15)
5.1.2木马病毒的自动恢复 (15)
5.1.3木马病毒的功能特殊性 (15)
5.1.4木马病毒的鉴别 (16)
5.2木马病毒的查杀 (17)
5.2.1发现木马 (17)
5.2.2 查找木马 (17)
5.2.3 手工清除 (19)
参考文献 (21)
1.引言
1.1选题理由
随着第一台计算机ENIAC于1946年在美国宾夕法尼亚大学诞生，信息时代随之步入了高速发展的阶段。

计算机在人们日常生活与工作中都发生着不可取代、缺之不可的重大作用，给信息的大量整理、传送都带来了很大程度上的方便。

计算机在各行各业中的广泛应用，常常产生显著的经济效益和社会效益。

于此同时，计算机信息安全也成为了人们关注的重中之重。

其中，防制计算机病毒显得尤为重要，通过掌握计算机病毒的类型和病毒发作时的表现来分析计算机病毒的工作机理，再加以采用对病毒的攻击的防范对策和方法，营造一个良好的计算机环境。

计算机病毒简言之就是那些有自我复制能力的计算机程序，它能影响计算机软件、硬件的正常运行，破坏数据的正确与完整。

计算机病毒的种类很多，不同种类的病毒有着各自不同的特征，它们有的以感染文件为主，有的以感染系统引导区为主，大多数病毒只是开个小小的玩笑，但少数病毒则危害极大。

特洛伊木马型病毒也叫“黑客程序”或后门病毒，属于文件型病毒的一种，有其自身的特点。

此种病毒分成服务器端和客户端两部分，服务器端病毒程序通过文件的复制、文件的下载和邮件的附件等途径传送到要破坏的计算机系统中，一旦用户执行了这类病毒程序，病毒就会在每次系统启动时偷偷地在后台运行。

当计算机系统联上Internet时，黑客就可以通过客户端病毒在网络上寻找运行了服务器端病毒程序的计算机，当客户端病毒找到这种计算机后，就能在用户不知晓的情况下使用客户端病毒指挥服务器端病毒进行合法用户能进行的各种操作，包括复制、删除、关机等，从而达到控制计算机的目的，这种病毒具有极大的危害性。

近年来，各式各样的木马横行网络。

病毒通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。

运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的
端口进入电脑系统，安全和个人隐私也就全无保障了！木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

因此学会如何鉴别与查杀木马是非常必要的。

1.2本文的研究方法和框架
1.2.1研究方法
本文研究主要采用文献研究法、比较分析法、实践探究法。

通过文献阅读，提出了研究内容的方向、方法和初步构思；然后通过对木马病毒与其他病毒特征的异同之处与查杀方法的比较结合自己平日操作的实际经验，最后提出对木马病毒的鉴别方式和查杀方法的建议与对策。

1.2.2研究框架
第一部分引言
第二部分木马病毒与其他
病毒的异同
第三部分木马病毒的发
展及危害
第四部分木马病毒的工作原理
及入侵方式
第五章木马病毒的鉴别与查杀
图1.1 研究框架
1.2.3研究阶段
本研究共分为四个阶段：
（1）文献资料的收集阅读;
（2）文献综述的撰写;
（3）论文初稿的撰写;
（4）论文修改并最终定稿;
1.2.4相关文献回顾
（1）网络信息安全防范措施的重要性
网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科。

网络安全受到威胁。

其主要原因是网络系统内在的安全脆弱性和黑客技术的迅速发展．其次还在于人们缺乏安全意识，没有采取有效的安全策略和安全机制。

以及缺乏先进的网络安全技术、网络安全管理模式不成熟、缺乏网络安全管理经验等原因。

我国网络安全研究起步晚，网络安全技术还有待整体提高和发展。

当然，网络安全也不要走人另一个误区：一谈到网络安全，总想到网络上存在着这样或那样的技术漏洞．容易被人通过这样或那样的技术途径切人到网络内部，似乎攻击无孔不入，事实往往并不是如此。

一个网络的管理，重要的在于一些关键的“点”的管理，因此企业的网管人员首先要抓住影响网络安全的主要问题。

一般来说，安全性越高．其实现就越复杂．费用也相应的越高。

因此各企业应在可以接受的成本范围内，对症下药，同时可以采用整体防御与重点保护相结合的方法，维护网络安全。

据统计，现在全球平均每20秒钟就发生一次网上入侵事件，一旦黑客找到系统的薄弱环节，所有用户均会遭殃。

从国内情况来看，目前我国95％的与因特网相联的网络管理中心都遭到过境内外黑客的攻击或侵入。

当前由于这样或那样的原因，对网络的攻击很难完全遏制。

或许，任何硬件和软件都不可能真正成为“金刚身”，网络安全是网络时代永恒的任务。

（2）计算机病毒对信息安全的危害
随着计算机和网络技术的发展，给整个社会的经济文化、军事技术、带来巨
大的推动与冲击。

然而，在给人们带来便利的同时，也产生了不可忽视的副作用，计算机病毒给网络系统的安全运行带来了极大的挑战。

世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。

与此同时,病毒技术在战争领域也曾广泛的运用,在海湾战争、科索沃战争中,双方都曾利用计算机病毒向敌方发起攻击,破坏对方的计算机网络和武器控制系统,达到了一定的政治目的与军事目的。

可以预见,随着计算机、网络运用的不断普及、深入,防范计算机病毒将越来越受到各国的高度重视。

1）计算机病毒的出现一九八三年,科恩・汤普逊(Ken Thompson)是当年一项杰出电脑奖得主。

在颁奖典礼上,他作了一个演讲,不但公开地证实了电脑病毒的存在,而且还告诉所有听众怎样去写自己的病毒程序。

1983 年 11 月 3 日,弗雷德・科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序,伦・艾德勒曼 (Len Adleman) 将它命名为计算机病毒 (computer viruses),并在每周一次的计算机安全讨论会上正式提出,8 小时后专家们在 VAX11/750计算机系统上运行,第一个病毒实验成功,一周后又获准进行 5 个实验的演示,从而在实验上验证了计算机病毒的存在。

2）计算机病毒的类型计算机病毒的分类方法有多种，但最为流行且科学的分类方法则是按病毒对计算机破坏的程度和传染方式来分。

按前者分类，主要有良性病毒和恶性两大种，若按后者，即病毒在计算机中的传播方式来分有引导型病毒、文件型病毒及深入型三种。

（3）计算机病毒的防范
计算机病毒的防治要从防毒、查毒、解毒三方面来进行；系统对于计算机病毒的实际防治能力和效果也要从防毒能力、查毒能力和解毒能力三方面来评判。

1）防毒。

是指根据系统特性，采取相应的系统安全措施预防病毒侵入计算机。

防毒能力是指通过采取防毒措施，可以准确、实时监测预警经由光盘、软盘、硬盘不同目录之间、局域网、互联网（包括 FTP 方式、 E-MAIL 、 HTTP 方式）或其它形式的文件下载等多种方式的病毒感染；能够在病毒侵入系统时发出警
报，记录携带病毒的文件，即时清除其中的病毒；对网络而言，能够向网络管理员发送关于病毒入侵的信息，记录病毒入侵的工作站，必要时还要能够注销工作站，隔离病毒源。

2）查毒。

是指对于确定的环境，能够准确地报出病毒名称，该环境包括，内存、文件、引导区（含主导区）、网络等。

查毒能力是指发现和追踪病毒来源的能力，通过查毒能准确地发现信息网络是否感染有病毒，准确查找出病毒的来源，给出统计报告；查解病毒的能力应由查毒率和误报率来评判。

3）解毒。

是指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。

该恢复过程不能破坏未被病毒修改的内容。

感染对象包括：内存、引导区（含主引导区）、可执行文件、文档文件、网络等。

解毒能力是指从感染对象中清除病毒，恢复被病毒感染前的原始信息的能力。

随着计算机和网络信息技术的发展，现代社会的生活方式已经发生根本改变，计算机已经成为不可或缺的工具，在带来便利的同时，计算机病毒也给我们带来无尽的烦恼，给社会带来的巨大的损失。

研究计算机病毒有利于我们正确认识和防范它，保护计算机的使用安全，使得计算机网络发挥积极正面的作用，促进人类社会在科技方面的健康发展。

2.木马病毒与其他病毒的异同分析
2.1计算机病毒分类
中毒有很多种，大部分的人电脑里面出现恶意程序都会说“电脑中毒啦”，但是这是不够精确的说法，因为这些作恶的程序还有分类别。

而最主要的三大类别就是:病毒、木马、蠕虫。

分类的原因是感染的途径不一样，目的也不一样。

还好防毒软件不管病毒的类型，一律杀除。

所以人们并不用特别的区分所中病毒的类型。

下面我们来分析这三种病毒的感染方式。

2.1.1病毒（Viruses）的感染方式
病毒会感染其他文件，虽然每一种都会感染其他“电脑”，但就只有“病毒”进入到人们的电脑之后，还会感染同一台电脑硬碟里面的其他运行档，让人一运行那个中毒的文件又会将灾情扩大出去。

这就跟现实生活中的病毒是一样的情形，你感冒了然后趴趴走又去感染其他的人。

另外也有一些“病毒”不是透过运行档而是透过Word, Excel, AutoCAD等人们的文档档来传播。

所以当别人打开你给他的这些有毒文档也会被感染。

而这样的传播方式就不只是局限自己的电脑本身而已。

它还会透过电子邮件附加档、网络芳邻共享文件，甚至是云端的文件分享平台来传播。

有些恶毒的“病毒”会在极短的时间里面将你电脑所有的运行档都加上病毒，这样子你的电脑就会忙一些不是你要它作的事。

所以电脑的速度就会明显的变慢。

当然现在最常流通的随身碟也是“病毒”喜欢藏身的地方，因为可以再去感染其他台的电脑而中了“病毒”往往最容易被人发觉。

因为电脑速度变慢。

2.1.2木马（Trojans）的感染方式
“木马”病毒这个名称是从希腊神话“木马屠城记”里面的“特洛伊木马”Trojan Horse 来的。

故事里面斯巴达假装战败留下一只里面藏了士兵的巨大的木马给特洛伊的城主。

有一说是送给城主的礼物。

等到夜深人静木马里面的士兵就跑出来打开城门让大军进城。

而电脑的“木马”也是这样，会伪装成有用的软件偷偷躲在人们的电脑里面，然后在人们的电脑开一道后门下置新的指令或者是作其他的坏事。

而最邪恶的就是远方的遥控者发出指令，让人们的电脑去外面作
坏事、发垃圾邮件等等，而帐都算在你的身上，这就是“僵尸电脑”网络的运作方式。

而“木马”病毒的感染方式大部分都是伪装成其他软件或是正版软件的破解程序或是注册机。

2.1.3蠕虫（Worms ）的感染方式
蠕虫的英文就是“蚯蚓”，会在土里面到处钻，土软的地方它更是喜欢。

“蠕虫”是最难防的一种而且常常造成很大的灾情，因为“蠕虫”主要是找作业系统或是特定程序的漏洞来钻，而且会从网络上的任何一个地方自行进入人们的电脑。

只要是业主的电脑系统漏洞没补的话就会中奖。

象之前的造成大感染的疾风Blaster或是杀手Sasser病毒都是蠕虫造成的。

而中了“蠕虫”的电脑又会变成主动去散播的载体，而且“蠕虫”感染是没有特定对象的，往往就是网络上乱逛随机找目标就乱钻。

2.1.4其他
事实上还有其他类型的恶意软件，比如间谍软件Spyware，跟木马有些类似，也是偷偷躲在业主的电脑里面，记录业主各种的帐号及口令，然后回报到远方的收集地。

这个造成的伤害就可能不只是电脑软件运作不正常而已，业主还可能因此而失去金钱。

恐吓软件Scareware，比如假防毒软件就是这一类，目的就是造成业主的恐慌，然后钱就飞了，跟现实生活的诈骗集团一样的手法。

2.2木马病毒与其他病毒的区别
木马和病毒都是一种人为的程序,都属于电脑病毒。

以前的电脑病毒的作用,其实完全就是为了搞破坏,破坏电脑里的资料数据,除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用,或为了炫耀自己的技术。

“木马”不一样,木马的作用是赤裸裸的偷偷监视别人和盗窃别人密码,数据等,如盗窃管理员密码-子网密码搞破坏,或者好玩,偷窃上网密码用于它用,游戏帐号,股票帐号,甚至网上银行帐户等。

达到偷窥别人隐私和得到经济利益的目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的。

导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序,这就是目前网上大量木马泛滥成灾的原因。

鉴于木马的这些巨
大危害性和它与早期病毒的作用性质不一样,所以木马虽然属于病毒中的一类,但是要单独的从病毒类型中间剥离出来，独立的称之为"木马"程序。

一般来说一种杀毒软件程序,它的木马专杀程序能够查杀某木马,那么它自己的普通杀毒程序也当然能够杀掉这种木马。

因为在木马泛滥的今天,为木马单独设计一个专门的木马查杀工具,那是能提高该杀毒软件的产品档次的,对其声誉也大大的有益,实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果现在大家说某某杀毒软件没有木马专杀的程序,那这家杀毒软件厂商自己也好象有点过意不去,即使它的普通杀毒软件里当然的有杀除木马的功能.
另外,把查杀木马程序单独剥离出来,可以提高查杀效率,现在很多杀毒软件里的木马专杀程序只对木马进行查杀,不去检查普通病毒库里的病毒代码,也就是说当用户运行木马专杀程序的时候,程序只调用木马代码库里的数据,而不调用病毒代码库里的数据,大大提高木马查杀速度。

我们知道查杀普通病毒的速度是比较慢的,因为现在有太多太多的病毒。

每个文件要经过几万条木马代码的检验,然后再加上已知的差不多有近10万个病毒代码的检验,那速度很慢。

省去普通病毒代码检验，就提高了效率,提高了速度。

也就是说现在好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒,但是它自身的普通病毒查杀程序既查杀病毒又查杀木马。

3.木马病毒的发展及危害
3.1木马病毒的发展
3.1.1木马病毒的发展历史
特洛伊木马的发展随着计算机技术的发展而不断革新，到现在为止已经发展到了第四代木马。

（1）伪装性木马它以一个合法性的程序作为“外衣”，从而让目标机器用户上当。

第一木马应该算是PC-Write，该木马以Quicksoft公司的PC-Write的2.72版本为伪装，一旦用户认为该程序是真的并运行的话，硬盘将面临格式化的悲剧。

如有的木马以用户某程序为伪装，提示用户输入相关的私人信息，同时又提示输入信息错误，但用户第二次输入时，信息已被套取。

此时的木马还不具备传染性。

（2）AIDS型木马 PC-Write出现于1986年，而AIDS则于1989年现身，此类木马以寄生邮件而进行传播，用户“中毒”后，硬盘被锁死，于是不得不花钱进行杀毒，攻击者因此而获利。

1999年的“冰河”也算典型。

冰河不但能对目标用户通过对目标屏幕的监控来掌握目标机器键盘、鼠标信息的录入、控制对方文件、注册表操作、还能获取对方信息、限制系统相关功能、向目标机器发出信息等，此时的木马已具备了一定的传播性，但还没有传染性。

（3）网络型传播木马这样叫是因为该木马是建立在Internet普及基础上同时具有伪装和传播功能的木马，它不但能以“后门”功能来躲过计算机安全系统来对目标机器进行攻击，还增加了键盘输入记录功能，破坏性更大，BO2000算是代表。

如今的木马已经发展到了注入式DLL木马和使用一般工具制作的木马，在隐匿性和传染性方面都增加的相应的功能，破坏性也随之增强。

3.1.2木马病毒的现状
（1)日益壮大的网络产业为木马病毒提供生存和传播的机会
木马病毒是指寄生于用户计算机系统中，盗窃用户信息，并通过网络发送给
作者的一类病毒程序。

显然，这类病毒要想生存，需要有2个基本条件：有什么信息好偷(编写动机)、怎样偷的到(传播手段)。

（2）网络游戏成为木马的主要目标
近年，我国网络游戏产业逐渐成熟壮大，网游用户群也以每年超过50％的速度激增，网络游戏已经形成一种文化。

游戏中的“虚拟财富”和现实财富之间的界限也变得越来越模糊。

因此，盗取游戏账号、密码，把别人的虚拟财富据为已有已经为病毒作者们编写木马提供了充足的动机。

以传奇游戏为例，每周都有几十种针对该游戏的木马诞生，江民病毒跟踪系统甚至曾在3天内从一个病毒网址先后监测到4个“武汉男生”病毒的新变种。

统计数据表明，今年上半年网游木马的数量和爆发程度大大高于已往。

而且可以肯定，这个数据在未来相当长的一段时期还会不断增长。

（3）木马病毒野心膨胀，直指网络银行
江民公司于2004年4月截获“网银大盗”病毒，6月又先后截获“网
银大盗Ⅱ”和“网银大盗Ⅲ”。

它们的目标包含了2O余家国内网上银行和
8家国际网上银行。

这一方面给我国方兴未艾的网上交易敲响了警钟，
另一方面也可以由此预测，此类可以为病毒作者带来直接利益的木马程
序短期内不会减少。

（4）带毒网站数量众多
木马病毒通常在传播时比较被动，绝大多数木马无法主动入侵和感染用户的系统。

但目前的情况是，数目庞大的小网站借娱乐色情等主题吸引用户，同时在网页上种植木马程序，或在一些共享软件、游戏外挂中偷偷捆绑木马，造成用户感染。

随着我国网络用户平均带宽的增加，这种状况的危害空前严重。

(5) QQ尾巴为木马传播推波助澜
QQ尾巴木马是指可以自动通过QQ聊天软件发送带毒网址消息的病毒。

用户在收到病毒发来的这些消息时，一旦点击了其中的网址，就会连接到带毒网站，造成感染。

2005年4月，QQ聊天软件的同时在线人数曾创下500万的纪录。

因此，通过QQ聊天软件发送病毒信息也是木马传播的一个重要途径。

(6) 黑客网站对木马明码标价
目前，有多家新老黑客网站公开为会员定做各种木马，并明码标价，甚至还
出售木马源代码，造成病毒扩散。

这也成为木马病毒传播的一个不容忽视的途径。

3.1.3木马病毒的分类
木马在用途上各不相同，因此所属的类别也不尽相同，具体说了有：
（1）密码发送型
该木马通过对目标机器的植入，能对目标主体所保存的密码进行搜索，然后发送给攻击者。

该木马对密码的搜索一是通过对目标机器主体以文件形式保存的密码进行，二是对Windows提供的密码记忆功能进行。

由于密码发送型的木马在制作上较为简单，成为了木马中较为流行的一种。

因此，当使用计算机时，对个人相关信息切勿以文件形式进行保存或依赖Windows提供的密码记忆功能而进行记忆，这无疑给木马工具留下漏洞。

（2）键盘记录型它通过对目标机器主体使用键盘进行记录，然后在log中对密码进行搜索。

这个木马通常情况下是随着系统的运行而启动的，且对用户键盘使用记录分为在线和离线两种方式。

换句话说，键盘记录型的木马能轻松的对机器使用者所使用过的键盘信息进行记录，从而获得用户相关信息。

（3）Dos攻击型这种木马最突出的特征就是它的传染性，它的攻击性不是表现在对一台目标机器的攻击上，而是攻击者能利用Dos攻击来形成传染攻击，从而对网络构成威胁。

（4）代理型之所以被称之为代理型，是该木马是通过给被控制的肉鸡种上代理木马，让其变成攻击者发动攻击的跳板。

以crd为例，当目标机器感染了crd后，crd 便自我复制到目标机器的系统目录下，随机生成文件名，对注册表进行修改，能自主进行开关机，根据攻击者要求从相关站点下载相应的工具木马，从而实现对目标的攻击。

典型的有“波宛”变种E和Win32．Troj．Agent．4627。

（5）FIP和反弹端口型 FIP木马功能单一，即打开21端口等待用户连接；而反端口木马则是利用反弹端口原理逃过防火墙的拦截的木马，如Hack.Huigezi。