特洛伊木马分析
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
特洛伊木马分析
摘要在计算机如此普及的网络时代,病毒对于我们来说早已不是一个新鲜的名词,而通常被称为木马病毒的特洛伊木马也被广为所知,为了更好的保护自己的电脑我们应该了解跟多有关特洛伊病毒的信息。本文对该病毒原理、预防和清除进行了详细的阐述,并对此发表了一些个人的看法。
关键词特洛伊木马病毒木马
特洛伊木马是一种特殊的程序,它们不感染其他文件,不破坏系统,不自身复制和传播。在它们身上找不到病毒的特点,但它们们仍然被列为计算机病毒的行列。它们的名声不如计算机病毒广,但它们的作用却远比病毒大。利用特洛伊木马,远程用户可以对你的计算机进行任意操作(当然物理的除外),可以利用它们传播病毒,盗取密码,删除文件,破坏系统。于是这个在网络安全界扮演重要角色,课进行超强功能远程管理的“功臣”,自然而然也被列为受打击的行列。
在网络上,各种各样的特洛伊木马已经多如牛毛,它们和蠕虫病毒、垃圾邮件一起构成了影响网络正常秩序的三大害。下面我就来说说特洛伊木马的特点、工作原理、预防和清除的方法,以及我自己对木马病毒及其防护方法的一些见解。
一.什么是特洛伊木马
特洛伊木马简称木马,英文名为Trojan。它是一种不同于病毒,但仍有破坏性的程序,普通木马最明显的一个特征就是本身可以被执行,所以一般情况下它们是由.exe文件组成的,某些特殊木马也许还有其他部分,或者只有一个.dll文件。
木马常被用来做远程控制、偷盗密码等活动。惯用伎俩是想办法让远程主机执行木马程序,或者主动入侵到远程主机,上传木马后再远程执行。当木马在远程主机被执行后,就等待可控制程序连接,一旦连接成功,就可以对远程主机实施各种木马功能限定内的操作。功能强大的木马可以在远程主机中做任何事情,就如同在自己的机器上操作一样方便。
可见,木马实际上就是一个具有特定功能的可以里应外合的后门程序,将其与其他的病毒程序结合起来造成的危害将会是相当大的。
二.木马的工作原理
当木马程序或藏有木马的程序被执行后,木马首先会在系统中潜伏下来,并会想办法使自己在每次开机时自动加载,以达到长期控制目标的目的。同时完成一些相关的操作,如修改某一类型的文件关联,使得它的存在和传播变得更容易,清除和消灭越来越不容易。
一般的木马由两部分组成:客户端和服务器端,即C/S类型。客户端执行在本地主机,用来控制服务器端。服务器端执行在远程主机,一旦执行成功远程主机就中了木马,就可以被控制或者造成其他破坏。
和正常程序一样,要通信就必须先建立连接,从特定的端口进行通信。当木马工作时,先由客户端向服务器端发出请求,其实是一个连接的过程,当服务器端收到连接的请求,就自动做出响应,在内存中开启一个新的进程,并在事先定义的端口跟客户端进行通信,这样客户端就可以利用木马进行远程主机的操作了。
这种C/S模式是木马最基本最经典的工作方式,至今仍有一些木马在利用这种原理进行通信。但是,木马毕竟是破坏性程序,注定要被查杀和消灭的。为了逃避各种基于端口扫描或进程扫描的查杀技术,木马逐渐改变了工作方式,很多新型木马应运而生,如反弹端口木马、无进程木马、无客户端木马、嵌套木马等,在这里我就不一一说明它们的原理了。
三.木马的预防和清除
从本质上讲,预防木马的过程就是阻碍木马传播和防止木马入侵的过程。只要把握这两个方面,就可以从根本上解除木马的困扰。
第一,防止电子邮件传播木马。即不要直接打开陌生邮件,尤其是打开里面的附件。在普通情况下,包含木马的邮件都把木马隐藏在附件里,常用的伎俩是采用双扩展名。更隐蔽的方式是通过偶见的征文传播。由于IE的漏洞造成HTML文件里可以被放入不安全的代码,但电子邮件可以为HTML方式发送,所以使得当用户浏览该邮件内容是,字并没有打开附件的情况下就不知不觉中了招,木马在毫无察觉的情况下已经悄然而至。
所以,当面对收件箱里一封主题不很明确(一般都是英文),或者主题很有诱惑性而不能确定它是否安全的时候,最好的办法是把整个邮件(连同附件)保存到本地磁盘,先使用杀毒软件查杀,确定安全后再打开,或者直接删除。
第二,防止下载时感染木马。这就要求大家在下载资源的时候,小心谨
慎,到绿色网站下绿色资源。
第三,防止浏览页面时传播木马。在这里可以通过对IE进行安全设置,吧“Active控件及插件”的所有选项设置为禁用。这就阻止了浏览器自动下载和执行文件的可能性,杜绝了这类木马的传播。
第四,防止社会工程学传播,即在现实交流中对自己的私人信息严加保管。
第五,使用功能强大的杀毒软件,有效的拦截可疑文件,利用网络防火墙和病毒防火墙,阻止一般木马的进入。
四.我对木马的认识和感想
随着信息技术的发展和Internet的普及,病毒对我们大家来说已经一点都不陌生了,我们都知道病毒会对我们的计算机造成伤害对我们的文件信息造成不能弥补的损失,所以我们都在谨小慎微的使用着杀毒软件,唯恐和病毒挂上一点钩,然而,病毒却无处不在……
因此,我们在日常生活中不但要在很好的使用杀毒软件的同时不只依赖杀毒软件,一旦遭到病毒的袭击正确的对待它,想办法努力使自己的损失降到最低。
我自己在准备这个论文的时候尝试使用了一下冰河木马病毒(国产冰河2.2),使用时我选择了两种方式进行试验。一种是自己在机房控制两台电脑,把病毒文件通过手工的方式注入,用另一台机器起到控制的作用。乍一看,这种方法一点都不实用,试想,自己怎么可能有兴趣通过远程的方式控制自己的电脑,但是,换个角度就不难想到,万一在不小心开着电脑的时候被周围居心不良的人注入病毒了呢?所以,这就要求我们对自己的电脑进行很好的管理,是别人没有机会轻易的获取你的电脑使用权及IP地址。第二种方式就是我通过QQ跟一个好友要到了他电脑的IP地址,并主动把有毒文件发给他。他出于对我的信任,毫不犹豫的就点开了病毒文件,于是我成功的对他的电脑进行了远程控制。这就使我想到,一旦我朋友的QQ或邮箱被盗,我也极可能以这种方式中病毒。所以,大家一定要对所有的需要接收和下载的文件万分小心,谨记杀毒这一步骤。
另外,像木马病毒,简单的利用杀毒软件只能将带病毒的文件进行隔离