《毕业设计(论文)-计算机网络病毒的分析与防范.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)-计算机网络病毒的分析与防范.doc(30页珍藏版)》请在三一文库上搜索。
1、山西青年管理干部学院毕业论文毕 业 设 计 论 文题目:计算机网络病毒的分析与防范 系 /专业 计算机系06系统集成年 级 三 年 级 学生姓名 指导教师 2 0 0 9 年 5 月 1 日摘 要计算机病毒(Computer Viruses)是一种人为编制的具有破坏性的计算机程序,它具有自我复制能力,通过非授权入侵隐藏在可执行文件或数据文件中。是某些人利用计算机软、硬件所固有的脆弱性,编制具有特殊功能的程序。与生物医学上的“病毒”同样有传染和破坏的特性。从广义上定义,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。在信息社会高度发展的今天,计算机网络系统得到长足的发展,而网络安全性
2、问题也凸现出来。如何防范计算机系统不受外界因素干扰,保持强劲的工作状态,是微机管理者亟待解决的问题。本课题以影响计算机网络安全的主要因素为突破口,重点分析防范各种计算机网络病毒,从不同角度全面分析了影响计算机网络安全的情况,做到心中有数,将不利因素解决在萌芽状态,确保计算机网络的安全管理与有效运行。计算机病毒主要通过电子邮件病毒传播;网页病毒传播;利用系统漏洞,破解密码字典,攻击系统;木马病毒通过 MSN、 QQ等即时通信软件或电子邮件传播等。关键字:计算机病毒 安全 防范 传播ABSTRACTS Computer viruses (Computer Viruses) are prepared
3、 by a man-made destructive computer program, it has self-reproduction capability, through non-authorized invasion hidden in executable files or data file. Some people are using computer software and hardware vulnerability inherent in the preparation of a special function procedures. And Biomedicine
4、of the virus has the same characteristics of transmission and destruction. Broadly defined, where the computer can cause failure, damage to computer data procedures collectively known as computer viruses.In highly developed information society of today, computer network system developed by leaps and
5、 bounds, and network security problem has also emerged. How to prevent computer systems from outside interference, and maintain strong working condition, computer managers are issues requiring urgent solution. The topic of computer network security in order to influence a major factor as a breakthro
6、ugh point, the focus of analysis of a variety of computer networks to prevent the virus from different angles, a comprehensive analysis of the impact of computer network security situation, be aware of, will resolve the unfavorable factors in the bud to ensure that the computer network security mana
7、gement and effective operation.Computer viruses spread primarily through e-mail viruses; page spread of the virus; the use of the system loopholes, crack password dictionary attack system; Trojan virus through MSN, QQ, such as instant messaging or e-mail communication software.KEYWORDS: computer vir
8、us, safe, prevent, spread 目 录第一章 概述5第二章 需求分析52.1 总体建设目标122.2 具体实施目标12第三章 无线WLAN发展之路12第四章 无线校园网建设方案123.1 整网逻辑拓扑图123.2 无线用户认证解决方案123.3 频率规划与负载均衡解决方案133.4 频率规划与负载均衡解决方案153.5 无线AP供电解决方案16第五章 方案特色与优势22第六章 无线工程实施解决方案22第七章 方案涉及产品介绍227.1 WA2220E-AG/WA1208E-AGP227.2 WA1208E-AGP237.2 无线控制器无线控制器23第四章 结论24第五章 参
9、考文献25第六章 致谢25第七章 附录:26第一章 计算机病毒1.1 计算机病毒概述1.1.1 计算机病毒的定义计算机病毒”有很多种定义,从广义上讲,凡是能引起计算机故障,破坏计算机中数据的程序统称为计算机病毒。现今国外流行的定义为:计算机病毒是一段附着在其他程序上的,可以实现自我繁殖的程序代码。在国内,中华人民共和国计算机信息系统安全保护条例的定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用,并且能够自我复制的一组计算机指令或者程序代码”。此定义具有法律性和权威性。1.1.2 计算机病毒的发展过程 1983年11月3日,弗雷德科恩(Fred.Cohe
10、n)博士研制出一种在运行过程中可以复制自身的破坏性程序,伦艾德勒曼(Len.Adleman)将它命名为计算机病毒(Computer Viruses)。随着计算机技术的发展,有越来越多的病毒出现。1995年在北美地区流行着一种“宏”病毒,它不感染.exe和.com文件,只感染文档文件。与传统病毒相比,宏病毒编写更为简单。1996年12月,宏病毒正式在我国出现,病毒名是“Taiwan No.1”。它是在文件型和引导型病毒的基础上发展出来的,它不仅可由磁盘传播,还可由Internet上E-mail和下载文件传播,传播速度快,可以在多平台上交叉感染,危害极大。据专家估计,宏病毒的感染率高达40%以上,
11、即每发现100个病毒就有40个是宏病毒。在国内,最初让人关注的病毒是1982年出现的“黑色星期五”病毒、“米氏病毒”和“小球病毒”等。由于当时网络没有普及,因此没有造成病毒的广泛流行。1998年6月出现了CIH病毒,CIH病毒是目前破坏性最大的病毒之一。其别名有Win95.CIH、Spacefiller、Win32.CIH、 PE_CIH。它感染Windows 95/98下的PE(Portable Executable Format)可执行文件,但是不感染DOS文件。 它是世界上首例也是目前惟一能攻击计算机硬件的病毒,它可攻击计算机的主板,并可造成网络的瘫痪。CIH病毒产于台湾,是台湾大学生陈
12、盈豪编写的。目前发现至少有五个版本,发作时间一般是每月26日。 最近,“红辣椒”、“恶邮差”、“冲击波”、Win32.Cydog等一系列病毒的出现,给计算机用户造成了很大的损失。现在,由于网络的普及,计算机成为开放网络的一个结点,使得病毒可以长驱直入。计算机病毒非但没有得到抑制,数量反而与日俱增,所造成的危害也越来越大,甚至会造成网络的一时瘫痪。1.1.3 计算机病毒的分类目前出现的计算机病毒种类繁多,同时,一种病毒也可能发生多种变形。根据计算机病毒的特征和表现的不同,计算机病毒有多种分类方法。 1. 按传染方式分类传染是计算机病毒的一个主要特征。计算机病毒按其传染方式可分为三种类型,分别是引
13、导型、文件型和混合型病毒。(1) 引导型病毒指传染计算机系统磁盘引导程序的计算机病毒。它是一种开机即可启动的病毒,先于操作系统而存在。这类病毒将自身的部分或全部代码寄生在引导扇区,即修改系统的引导扇区,在计算机启动时这些病毒首先取得控制权,减少系统内存,修改磁盘读写中断,在系统存取操作磁盘时进行传播,影响系统工作效率。这类病毒的典型例子有大麻病毒、小球病毒等。(2) 文件型病毒指传染可执行文件的计算机病毒。这类计算机病毒传染计算机的可执行文件(通常为.com或.exe、.ovl文件等)以及这些文件在执行过程中所使用的数据文件。在用户调用染毒的执行文件时,病毒被激活。病毒首先运行,然后病毒常驻内
14、存,伺机传染给其他文件或直接传染其他文件。其特点是依靠正常的可执行文件的掩护而潜伏下来,成为程序文件的一个外壳或部件。这是较为常见的传染方式。这类病毒的典型例子有黑色星期五病毒、维也纳病毒和宏病毒等。(3) 混合型病毒指传染可执行文件又传染引导程序的计算机病毒。它兼有文件型和引导型病毒的特点。因此,混合型病毒的破坏性更大,传染的机会多,查杀病毒更困难。 2. 按寄生方式分类寄生是计算机病毒赖以存在的方式。计算机病毒按其寄生方式可分为四种类型,分别是代替型、链接型、转储型和源码病毒。 (1) 代替型计算机病毒是指计算机病毒在传染病毒宿主之后,计算机病毒用自身代码的部分或全部代替正常程序的部分或全
15、部,从而使宿主程序不能正常运行。有些攻击操作系统的病毒在发作时用自己的逻辑运行模块取代操作系统原来的逻辑运行模块,使操作系统不能正常行使自己的功能。(2) 链接型计算机病毒是将计算机病毒程序代码链接到被传染的宿主程序代码的首部、中部或尾部,对原来的程序不做修改。这种病毒较为常见,大部分文件型病毒都属于这一类。(3) 转储型计算机病毒是指计算机病毒将原合法程序的代码转移到存储介质的其他部位,而病毒代码占据原合法程序的位置。一旦这种病毒感染了一个文件,就很难被发现,隐蔽性较好。(4) 源码病毒主要是利用JAVA、VBS、ActiveX等网络编程语言编写的,放在电子邮件的附件HTML主页中,进入被感
16、染的计算机中执行。3. 按危害程度分类严格地说,只要是计算机病毒,就会对系统造成一定的危害性,只是不同的计算机病毒造成的危害程度不同。计算机病毒按其危害程度可分为三种类型,分别为良性病毒、恶性病毒和中性病毒。(1) 良性病毒又称表现型病毒。它只是为了以一种特殊的方式表现其存在,如只显示某项信息、发出蜂鸣声,或播放一段音乐,对源程序不做修改,不删除硬盘上的文件,不格式化硬盘,也不直接破坏计算机的硬件设备,相对而言对系统的危害较小。但是这类病毒还是具有潜在的破坏性,它使内存空间减少,占用磁盘空间,与操作系统和应用程序争抢CPU的控制权,降低系统运行效率等。(2) 恶性病毒又称破坏型病毒。它的目的就
17、是对计算机的软件和硬件进行恶意的攻击,使系统遭到严重的破坏,如破坏数据、彻底删除硬盘上的文件或格式化磁盘,使用户用任何软件都无法恢复被删除的文件,它们甚至可能攻击硬盘,破坏主板,导致系统死机而无法工作,在网络上高速传播,致使网络瘫痪等。因此恶性病毒非常危险,造成的危害十分严重。(3) 中性病毒是指那些既不对计算机系统造成直接破坏,又没有表现症状,只是疯狂地复制自身的计算机病毒,也就是常说的蠕虫型病毒。蠕虫型计算机病毒比较特殊,它不会攻击其他程序,不附着其他程序,不需要寄主。部分蠕虫病毒能在内存和磁盘上移动,以防被其他程序覆盖。从总体上来说,它的危害程度介于良性计算机病毒与恶性计算机病毒之间。说
18、其危害程度轻,是指有的蠕虫型计算机病毒不做其他的破环,只是在硬盘上疯狂地复制自身,挤占硬盘的大量存储空间,只影响一些文件的存储,但不对文件造成直接破坏;说其危害程度重,是指有的蠕虫型计算机病毒大量复制自身,耗尽了系统资源,使系统不堪重负而崩溃,造成严重的危害。典型的蠕虫有Exporer.Zip.Worm、Melissa、红色代码等。所以,对于蠕虫型计算机病毒的危害程度,不能一概而论,只能用“中性病毒”这个概念来对其加以界定。4. 按攻击对象划分1) 攻击DOS的病毒IBM PC及其兼容机在我国使用得非常广泛,它们都可以运行DOS操作系统。在已发现的病毒中,攻击DOS的病毒种类最多、数量最多,且
19、每种病毒都有变种,所以这种病毒传播得非常广泛。小球病毒是国内发现的第一个DOS病毒。 2) 攻击Windows的病毒攻击Windows的病毒多种多样,其中的宏病毒变形很多,有感染Word的宏病毒,有感染Excel的宏病毒,还有感染Access的宏病毒,其中感染Word的宏病毒最多。Concept病毒是世界上首例攻击Windows的宏病毒。3) 攻击网络的病毒近几年来,因特网在全世界迅速发展,上网已成为计算机使用者的时尚。随着网上用户的增加,网络病毒的传播速度更快,范围更广,病毒造成的危害更大。如GPI病毒是世界上第一个专门攻击计算机网络的病毒。 1.2 计算机病毒的特征 1. 传染性 计算机病
20、毒的传染性是指病毒具有把自身复制到其他程序中的特性。传染性是病毒的基本属性,是判断一个可疑程序是否是病毒的主要依据。病毒一旦入侵系统,它就会寻找符合传染条件的程序或存储介质,确定目标后将自身代码插入其中,达到自我繁殖的目的。 只要一台计算机感染病毒,如果没有得到及时的控制,那么病毒会很快在这台计算机上扩散,被感染的文件又成了新的传染源,通过与其他计算机进行信息交换,进行更大范围的传染。如果是联网的计算机感染了病毒,那么病毒的传播速度将更快。 计算机病毒一般有自己的标志。当染毒程序被运行时,病毒被激活,它监视着计算机系统的运行,一旦发现某个程序没有自己的标志,就立刻发起攻击,传染无毒程序。2.
21、潜伏性 计算机病毒的潜伏性是指病毒具有依附其他媒体而寄生的能力,也称隐蔽性。病毒程序为了达到不断传播并破坏系统的目的,一般不会在传染某一程序后立即发作,否则就暴露了自身。因此,它通常附着在正常程序或磁盘较隐蔽的地方,也有个别的病毒以隐含文件的方式出现。一般情况下,系统被感染病毒后用户是感觉不到它的存在的,只有病毒发作后或者系统出现什么不正常的反应时,用户才能察觉。病毒的潜伏性与病毒的传染性相辅相成,病毒可以在潜伏阶段传播,潜伏性越大,传播的范围越广。 3. 破坏性 计算机病毒的破坏性是指病毒破坏文件或数据,甚至损坏主板,干扰系统的正常运行。任何病毒只要入侵系统就会对系统及应用程序产生不同程度的
22、影响。病毒的破坏性只有在病毒发作时才能体现出来。病毒破坏的严重程度取决于病毒制造者的目的和技术水平。轻者只是影响系统的工作效率,占用系统资源,造成系统运行不稳定。重者则可以破坏或删除系统的重要数据和文件,或者加密文件、格式化磁盘,甚至攻击计算机硬件,导致整个系统瘫痪。4. 可触发性 计算机病毒的可触发性是指病毒因某个事件或某个数值的出现,诱发病毒发作。为了不让用户发现,病毒必须隐藏起来,少做动作。但如果完全不动,又失去了作用。因此,病毒为了又隐蔽自己,又保持杀伤力,就必须设置合理的触发条件。 每种计算机病毒都有自己预先设计好的触发条件,这些条件可能是时间、日期、文件类型或使用文件的次数这样特定
23、的数据等。满足触发条件的时候,病毒发作,对系统或文件进行感染或破坏。条件不满足的时候,病毒继续潜伏。5. 针对性 计算机病毒的针对性是指病毒的运行需要特定的软、硬件环境,只能在特定的操作系统和硬件平台上运行,并不能传染所有的计算机系统或所有的计算机 程序。如一些病毒只传染给计算机中的.com或.exe文件,一些病毒只破坏引导扇区,或者针对某一类型机器,如IBM PC机的病毒就不能传染到Macintosh机上。同样,攻击DOS的病毒也不能在UNIX操作系统下运行等。6. 衍生性 计算机病毒可以演变,在演变过程中形成多种形态,即计算机病毒具有衍生性。计算机病毒是一段特殊的程序或代码,只要了解病毒程
24、序的人就可以将程序随意改动,只要原程序有所变化,也许只是将发作日期,或者是攻击对象发生简单变化,表现出不同的症状,便衍生出另一种不同于原版病毒的新病毒,这种衍生出的病毒被称为病毒的变种。由于病毒的变种,对于病毒的检测来说,病毒变得更加不可预测,加大了反病毒的难度。 1.3 计算机网络病毒1.3.1 计算机网络病毒的特点(1) 入侵计算机网络的病毒形式多样。既有单用户微型机上常见的某些计算机病毒,如感染磁盘系统区的引导型病毒和感染可执行文件的文件型病毒,也有专门攻击计算机网络的网络型病毒,如特洛伊木马病毒及蠕虫病毒。 (2) 不需要寄主。传统型病毒的一个特点就是一定有一个“寄主”程序,病毒就隐藏
25、在这些程序里。最常见的就是一些可执行文件,像扩展名为.exe及.com的文件,以及.doc文件为“寄主”的宏病毒。现在,在网络上不需要寄主的病毒也出现了。例如Java和ActiveX的执行方式,是把程序码写在网页上。当与这个网站连接时,浏览器就把这些程序码读下来。这样,使用者就会在神不知鬼不觉的状态下,执行了一些来路不明的程序。(3) 电子邮件成为新的载体。随着因特网技术的发展,电子邮件已经成为广大用户进行信息交流的重要工具。但是,计算机病毒也得到了迅速的发展,电子邮件作为媒介使计算机病毒传播得尤为迅速,引起各界广泛关注。(4) 利用操作系统安全漏洞主动攻击。目前一些网络病毒能够通过网络扫描操
26、作系统漏洞,一旦发现漏洞后自主传播其病毒,甚至能在几个小时就传遍全球。 1.3.2 计算机网络病毒的传播方式计算机应用的普及使信息交换日益频繁,信息共享也成为一种发展趋势,所以病毒入侵计算机系统的途径也成倍增长。通常把病毒入侵途径划分为两大类:传统方式和Internet方式,如下图所示1) 传统方式 图1-1 的防守对方 病毒通过软盘、硬盘、CD-ROM及局域网络感染可以归为病毒入侵的传统方式。在计算机进行文件交换、执行程序或启动过程中,病毒可能入侵计算机。因此,计算机上所有接受信息的方式都使病毒入侵成为可能。2)Internet 方式 Internet正在逐步成为病毒入侵的主要途径。病毒可以
27、通过Internet上的电子邮件、网页和文件下载入侵联网计算机。此外还有利用操作系统的漏洞主动入侵联网计算机系统的病毒。如果在互联网中网页只是单纯用HTML写成的话,那么要传播病毒的机会可以说是非常小的。 但是,为了让网页看起来更生动、更丰富,许多语言被开发出来,其中最有名的就数Java和ActiveX了。Java和ActiveX的执行方式,是把程序码写在网页上,使该网页成为新一代病毒的寄生场所。另外,被宏病毒感染的文档可以很容易地通过Internet以几种不同的方式发送,如电子邮件、FTP或Web浏览器。同样,在打开莫名其妙的邮件或者下载一些有毒程序的时候,计算机已经通过互联网中毒了。1.3
28、.3 计算机网络病毒的危害性(1) 破坏磁盘文件分配表(FAT表),使磁盘上的信息丢失,这时使用DIR命令查看文件,会发现文件还在,但文件名与文件的主体已失去联系,文件已无法使用了。(2) 删除软盘或硬盘上的可执行文件或数据文件,使文件丢失。 (3) 修改或破坏文件中的数据,这时文件的格式是正常的,但内容已发生了变化。(4) 产生垃圾文件,占据磁盘及内存空间,使磁盘空间逐渐减少或者使一些大程序运行不畅。(5) 破坏硬盘的主引导扇区,使计算机无法启动。(6) 对整个磁盘或磁盘的特定扇区进行格式化,使磁盘中的全部或部分信息丢失使受损的数据难以恢复。(7) 对CMOS进行写入操作,破坏CMOS中的数
29、据,使计算机无法工作。(8) 非法使用及破坏网络中的资源,破坏电子邮件,发送垃圾信息,占用网络带 宽等。(9) 占用CPU运行时间,使主机运行效率降低。(10) 破坏外设的正常工作。如屏幕不能正常显示,干扰用户的操作;破坏键盘输入程序,封锁键盘、换字和震铃等,使用户的正常输入出现错误;干扰打印机,使之出现间歇性打印或假报警。(11) 破坏系统设置或对系统信息加密,使用户系统工作紊乱。第二章 计算机木马及其防范2.1 计算机木马概述 全称“特洛伊木马(Trojan Horse)”,古希腊士兵藏在木马内进入敌城,占领敌城的故事。计算机木马指:黑客在可供网络上传下载的应用程序或游戏中,添加可以控制用
30、户计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。2.2 计算机木马的特点1. 隐蔽性a. 命名上采用和系统文件的文件名相似的文件名b. 属性通常是系统文件、隐藏、只读属性c. 存放在不常用或难以发现的系统文件目录中d. 在任务栏里隐藏e. 在任务管理器里隐藏(Ctrl+Alt+Del)f. 占用端口号1024以上的端口(102465535)g. 确保正常通信的情况下,隐秘通信h. 隐秘加载,引诱用户运行服务端程序i. Windows 2000及以上版本可以看到所有进程,因此,采取了新的隐身技术,替换正常的动态连接库文件(*.DLL)绑定在进程上进行正常的木马操作2. 非授权性一旦控制端与
31、服务器端连接后,便大开系统之门,毫无秘密而言在不常用或难以发现的系统文件目录中。包含在正常程序中(例如,与图片文件绑定或生成exe-binder程序) a. 不产生图标,以免用户注意到任务栏里来历不明的图标,自动隐藏在任务管理器中,以“系统服务”的方式欺骗操作系统b. 自动运行能力:附着在诸如win.ini、system.ini、winstart.ini 或启动组等文件中随系统启动而启动。c. 自动恢复能力:多文件组合、多重备份,只要触发文件组合中的一个程序,就会启动该木马。d. 自动打开特别端口,提供给黑客,作为入侵的端口。e. 特殊功能:除普通的文件操作外,还有诸如搜索cache口令、扫描
32、目标主机的IP地址、键盘记录等功能2.3 计算机木马与病毒的区别木马不具有自我复制性和传染性,不会像病毒那样自我复制、刻意感染其他文件。木马的主要意图不是为了破坏用户的系统,而是为了监视并窃取系统中的有用信息,如密码、账号。下面是两大国产杀毒软件公司的网络安全报告1、瑞星反病毒监测网 图2-1 图2-2金山反病毒监测网 图2-3图2-42.4 计算机木马的分类a. 破坏型:破坏删除文件(*.ini、*.dll、*.exe)b. 发送密码型:找到隐藏的密码,发送到指定的邮箱c. 远程访问型:只要运行了服务端程序,如果客户知道服务端的IP地址,就可以实现远程控制d. 键盘记录型:记录用户在线或离线
33、时按键情况,统计用户按键的频度,进行密码分析e. 分布式攻击(DoS)型f. 在一台又一台的计算机(“肉机”)上植入DoS攻击木马,形成DoS攻击机群,攻击第三方的计算机g. 邮件炸弹:机器一旦被挂马,木马就会随机生成各种各样的主题信件,对特定的邮箱不停发送信件,直到对方邮件服务器瘫痪h. 代理(Proxy)型:黑客隐藏自己的足迹,让肉机沦为“替罪羊”i. FTP型:打开端口21,等待用户连接j. 程序杀手型:关闭受害者计算机上运行的防木马软件,踢开木马执行的“绊脚石”k. 反弹端口型:防火墙对用户主动向外连接的端口往往疏于防范,木马的受害端使用主动端口,攻击端使用被动端口,当发现被控制的计算
34、机联网后,攻击端立刻弹出主动端口,与受害计算机相连接。2.5 计算机木马的运行原理由客户端和服务端两个程序组成客户端是攻击者用来植入被攻击者机器的程序服务端是木马程序攻击者要通过木马攻击你的系统,首先木马客户端程序必须植入到被攻击者的计算机里面主要传播途径:通过一定方法(电子邮件、下载、交互脚本)把木马执行文件植入被攻击者的计算机里,引诱用户执行该文件,程序悄悄地在后台运行。当服务端在被感染的机器上成功运行后,攻击者就可使用客户端与服务端建立连接,并进一步控制被感染的机器。2.5.1 计算机木马入侵后出现的症状(其他问题也可能出现这些症状) 浏览器窗口自动开启,并链入某一网站莫名其妙的弹出警告
35、框或询问框,问用户一些从未接触过的问题,用户的Windows配置信息被自动更改,比如屏保显示的信息、声音大小、鼠标灵敏度,运行某个程序没有任何反映,系统变得越来越慢,硬盘无缘无故读盘,网络传输指示灯一直闪烁。2.5.2 计算机木马是如何启动的?将自身拷贝到系统文件夹中(C:Windows或C:WindowsSystem32),然后在注册表、启动项、非启动组中设置好触发条件,就完成了木马的安装。2.5.3 启动木马的条件触发文件所在的位置1.注册表项HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(系统启动时自动执行的程序)或
36、RunServices(系统启动时自动执行的系统服务程序)或RunOnce为开头的主键2. C:WindowsWin.ini(启动命令load=和run=一般是空白的,若有启动程序,可能是木马)3. C:WindowsSystem.ini(在386Enh、mic和driver32中有命令行,可以找到木马的启动命令)4. C:Autoexec.bat和Config.sys(需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传至服务端覆盖干净的文件才行)5. *.ini(控制端制作带有木马的同名启动文件,上传到服务端,覆盖原有干净文件)6. 捆绑文件(首先要控制端与服务端通过木马建
37、立连接,然后控制端用工具将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原文件,这样即使木马被删除,只要运行捆绑了木马的应用程序,木马又会被重新安装)7. HKEY_CLASSES_ROOTGoogle Earth.etafile(具体某文件的类型)shellopencommand例如“冰河”木马修改HKEY_CLASSES_ROOTtxtfile(文本文件类型)shellopencommand下的键值。将原值从%SystemRoot%system32NOTEPAD.EXE %1变为%SystemRoot%system32SY6-XPLR.EXE %1,双击*.txt文件,原本应启动Not
38、epad.exe打开文件的,现在变成了用SY6-XPLR.EXE木马程序打开文件8. 启动菜单利用“开始”“程序”“启动”选项启动木马木马被激活,进入内存,开启事先定义好的木马端口,与控制端建立连接,建立后将在控制端端口和木马端口产生一条通道,控制端上的控制程序可通过该通道与服务端的木马程序取得联系,通过木马程序对服务端进行远程控制1)窃取密码2)文件操作3)修改注册表4)系统操作 2.5.4 计算机木马的本质 一个传统的网络客户/服务器(C/S)模式,作为提供服务的主机一般会打开默认端口监听,若有客户机向其发出连接请求,服务器上的相应程序就会自动运行,应答客户机的请求,这个程序就称为守护进程
39、。木马程序端就是服务端,控制木马程序端就是客户端。如果把网络切断,木马就无法实施远程控制了。2.5.5 计算机木马的发展趋势1) 隐蔽性增加a)采用非TCP/UDP封装的IP数据包携带盗取的信息b) 寄生在TCP端口,与正常通信流混合传送2) 传输方式多样化(如网页挂马)3) 编程机制多样化(针对网卡或Modem的底层通信编程,跳过防火墙)4) 跨平台性(一个木马程序可兼容不同公司不同版本的操作系统)5) 模块化设计(易于组装)6) 更新更强的感染模式7) 即时通知(E-mail即时通知控制端木马的安装情况,以应对服务端IP动态变化的局面)8) 商业病毒木马的泛滥(如木马点击器Clicker病
40、毒,侵入用户电脑后,会根据病毒编写者预先设定的网址,去点击网上的广告,如百度竞价排名、Google AdSense等,让广告主支付更多的广告费,而病毒犯罪团伙及其合作伙伴则会分享这些额外的“利润”。 )2.5.6 被木马感染后的紧急措施1) 更改所有的账号和密码2) 删除硬盘上所有原来没有的东西(系统还原)3) 杀毒软件清理2.5.7 木马的监测1) cmdC:Documents and Settingsacernetstat an2) 监测本机的活动端口软件(Active Ports)3) 11024保留端口4) 1025以上的连续端口,用于文件传输5) 8000QQ端口2.6 木马的防治1
41、) 木马修改注册表注册表锁定HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem写入DWORD值DisableRegistryTools=1*解锁:组策略管理器(gpedit.msc)本地计算机策略用户配置管理模板系统阻止访问注册表编辑工具钩选“已禁止”2) IE设置中有选择地禁用ActiveX控件、Java小程序3) 修改文件的打开关联防止修改(注册表锁定)4) 停止services.msc中的Server服务5) 停用Guest账户6) 使用屏幕键盘输入密码(运行osk.exe或在“附件”“辅助功能”中查
42、找执行)2.7 木马的清除技巧1) 解除非法的文件关联:HKEY_CLASSES_ROOT*fileshellOpenCommanda) EXE文件的正确关联值 %1 %*b) TXT、INI、INF文件的正确关联值 C:WINDOWSSystem32NOTEPAD.EXE %12) 正常地显示隐藏文件a)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue=2b)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWin
43、dowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue=1图2-5图2-6图2-72.8 木马的查杀工具 木马清道夫 2008:中国专业级的反木马信息安全产品,经公安部认证木马防线 2005:Antiy Ghostbusters(“捉鬼队”),经公安部认证Ewido:国外的超强木马查杀工具,ver7.51.43(已更名为AVG AntiSpyware)。QQ木马专杀:QQ医生、QQ木马专杀工具V3.5“征途”、“魔兽” 、“剑网”等网络游戏的木马专杀工具金山毒霸网游专杀工具“网银大盗”木马专杀(键盘记录盗号;使用中突然
44、弹出要求用户修改密码的提示框)江民新网银木马专杀工具“灰鸽子”木马专杀:金山、瑞星“落雪”木马专杀(俗称“游戏大盗”,红色图标,伪装成游戏登录器)第三章 计算机网络病毒的防范3.1 基于工作站的防治技术 工作站就像是计算机网络的大门。只有把好这道大门,才能有效防止病毒的侵入。工作站防治病毒的方法有三种:一是软件防治,即定期不定期地用反病毒软件检测工作站的病毒感染情况。软件防治可以不断提高防治能力,但需人为地经常去启动软盘防病毒软件,因而不仅给工作人员增加了负担,而且很有可能在病毒发作后才能检测到。二是在工作站上插防病毒卡。防病毒卡可以达到实时检测的目的,但防病毒卡的升级不方便,从实际应用的效果
45、看,对工作站的运行速度有一定的影响。三是在网络接口卡上安装防病毒芯片。它将工作站存取控制与病毒防护合二为一,可以更加实时有效地保护工作站及通向服务器的桥梁。但这种方法同样也存在芯片上的软件版本升级不便的问题,而且对网络的传输速度也会产生一定的影响。 下载防病毒软件要到知名度高、信誉良好的站点,通常这些站点软件比较安全。不要过于相信和随便运行别人给的软件。要经常检查自己的系统文件,注册表、端口等,多注意安全方面的信息,再者就是改掉Windows 关于隐藏文件扩展名的默认设置,这样可以让我们看清楚文件真正的扩展名。当前许多反病毒软件都具有查杀“木马”或“后门”程序的功能,但仍需更新和采用先进的防病
46、毒软件。如果突然发现自己的计算机硬盘莫名其妙的工作,或者在没有打开任何连接的情况下Modem 还在“眨眼睛”就立刻断开网络连接,进行木马的搜索 3.2 基于服务器的防治技术 网络服务器是计算机网络的中心,是网络的支柱。网络瘫痪的个重要标志就是网络服务器瘫痪。网络服务器旦被击垮,造成的损失是灾难性的、难以挽回和无法估量。目前基于服务器的防治病毒的方法大都采用防病毒可装载模块(NLM),以提供实时扫描病毒的能力。有时也结合利用在服务器上的插防毒卡等技术,目的在于保护服务器不受病毒的攻击,从而切断病毒进一步传播的途径。 邮件病毒主要是通过电子邮件进行传染的,而且大多通过附件夹带,了解了这一点,对于该类病毒的防范就比较明确和容易: 第一,不要轻易打开陌生人来信中的附件,尤其是一些EXE 类的可执行文件。 第二,对于比较熟悉的朋友发来的邮件,如果其信中带有附件却未在正文中说明,也不要轻易打开附件,因为它的系统也许已经染毒。第三,不要盲目转发邮件。给别人发送程序文件甚至电子贺卡时,可先在自己的电脑中试一试,确认没有问题后再发,以免无意中成为病毒的传播者。 第四,如果收到主题为“I LOVE YOU”的邮件后立即删除,更不要打开附件。 第五,