毕业综合实践报告-计算机木马病毒及防治(防治版)

GDGM-QR-03-077-B/1

Guangdong College of Industry & Commerce

毕业综合实践报告

Graduation synthesis practice report

题目：计算机木马病毒及防治

(in En glish) Computer Trojan virus research and prevention

系别：

班级：

学生姓名：

学号：

指导老师：

完成日期：

目录

一、计算机木马病毒的概述及现状 (1)

（一）计算机木马病毒的概念 (1)

（二）木马病毒的原理 (1)

（三）木马病毒的特征 (3)

（四）木马病毒的危害 (3)

（五）计算机木马病毒发展 (4)

二、计算机木马病毒的伪装方式 (5)

（一）修改图标 (5)

（二）捆绑文件 (5)

（三）出错显示 (5)

（四）定制端口 (5)

（五）自我销毁 (5)

（六）木马更名 (6)

三、计算机木马病毒的防治 (6)

（一）如何查出木马 (6)

1、检测网络连接 (6)

2、禁用不明服务 (6)

3、检查系统账户 (6)

4、对比系统服务项 (7)

（二）如何删除木马病毒 (7)

1、禁用系统还原 (7)

2、安全模式或VGA模式 (8)

（三）如何防范木马病毒 (8)

1、截断传染源 (8)

2、加强计算机防护 (8)

3、善用账号保护工具 (8)

四、几款免费的木马专杀工具 (9)

（一）冰刃 (9)

（二）Windows清理助手 (9)

（三）恶意软件清理助手 (9)

（四）Atool软件 (9)

（五）Windows恶意软件删除工具(mrt.exe) (10)

五、结束语 (10)

参考文献 (11)

内容提要

随着信息化时代的到来人类社会生活对因特网的需求日益增长，使得计算机网络技术迅速发展和普及。因特网使得全世界都联系到了一起。极大的促进了全球一体化的发展。但是随着互联网的普及和应用的不断发展，各种黑客工具和网络手段导致网络和用户收到财产损失，其中最严重的就是木马攻击手段。它以其攻击范围广、危害大等特点成为常见的网络攻击技术之一，对整个互联网照成了极大的危害。本文分析了木马病毒的基本原理，特征和危害，找出计算机感染病毒的原因，并且针对木马病毒的伪装方式，提出了完善的防治措施，另外介绍了几款免费的木马专杀工具。

关键词：木马病毒网络安全远程控制病毒防治

计算机木马病毒及防治

一、计算机木马病毒的概述及现状

木马的全称是“特洛伊木马”（Trojan horse），来源于希腊神话。古希腊围攻特洛伊城多年无法攻下，于是有人献出木马计策，让士兵藏匿于巨大的木马中，然后佯作退兵，城中得知解围的消息后，将“木马”作为战利品拖入城内，匿于木马中的将士出来开启城门，与城外部队里应外合攻下特洛伊城，后世称这只大木马为“特洛伊木马”。

网络世界的特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，通信遵照TCP/IP协议，最大的特征在于隐秘性，混入对方的主机里面，但是却没有被对方发现。就象一个潜入敌方的间谍，为其他人的攻击打开后门，这与战争中的木马战术十分相似，因而得名木马程序。实际上计算机网络木马不但可以窃取、破坏被植入主机的信息，而且可以通过控制主机来攻击网络中的其它主机。（1）（一）计算机木马病毒的概念

木马病毒，是一种新型的计算机网络病毒程序，是一种基于远程控制的黑客工具。“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，有很强的隐蔽性。木马病毒通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。与一般的病毒不同，它不会自我繁殖，也并不"刻意"地去感染其他文件，它通过将自身伪装吸引用户下载执行，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统任意毁坏、窃取被种者的文件，甚至远程操控被种主机。随着病毒编写技术的发展，木马病毒严重危害着现代网络的安全运行。

（二）木马病毒的原理

特洛伊木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，特洛伊木马才会运行，信息或文档才会被破坏和遗失。一个完整的特洛伊木马套装程序含了两部分：服务端（服务器部分）和客户端（控制器部分）。服务端植入对方电脑，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会暗中打开一个或几个端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），甚至可以利用这些打开的端口执行入侵操作。如图：

1、配置、传播木马

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现伪装和信息反馈两方面的功能。

传播方式：一种是通过E-MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

2、运行木马

服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下)，然后在注册表、启动组、非启动组中设置好木马的触发条件，这样木马的安装就完成了。

木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。

3、信息反馈

木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号，ICO号等等。

4、建立连接

一个木马连接的建立首先必须满足两个条件：一是服务端已安装了木马程序；二是控制端，服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接值得一提的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于拨号上网的IP是动态的，即用户每次上网的IP都是不同的。