1、四川信息职业技术学院毕业设计说明书(论文)设计(论文)题目: 计算机病毒的分析与防治 专 业: 计算机网络技术 班 级: 计网 09-1 班 学 号: 0944046 姓 名: 胡 杰 指导教师: 张莉萍 2011 年 11 月 28 日四川信息职业技术学院毕业设计说明书 (论文)I目 录第 1 章 绪论 1第 2 章 计算机病毒综述 22.1 定义 .22.2 产生 .22.3 特点 .22.3.1 寄生性 22.3.2 传染性 32.3.3 潜伏性 32.3.4 隐蔽性 32.3.5 破坏性 32.3.6 可触发性 42.4 症状 .42.5 预防(注意事项) .5第 3 章 磁碟机病毒
2、73.1 背景介绍 .73.2 简介 .73.3 特征 .83.3.1 传播性 83.3.2 隐蔽性 83.3.3 针对性 93.4 危害 .93.5 主要症状 103.6 传播渠道 103.7 解决方案 113.8 防御措施 11第 4 章 灰鸽子木马 .134.1 发展历史 134.2 病毒简介 134.3 反灰鸽子 144.4 经济效益 144.5 网络传播 154.6 杀毒技巧 154.7 手工检测 164.8 手工清除 174.8.1 清除灰鸽子的服务: .174.8.2 删除灰鸽子程序文件: .174.9 防止中灰鸽子的注意事项 17结论 .19致谢 .20参考文献 .21四川信息
3、职业技术学院毕业设计说明书 (论文)摘 要本篇论文介绍了磁碟机病毒和灰鸽子木马,主要从病毒的工作原理、检测、清除方法、前期预防等方面作阐述。现在互联网高速发展,然而在互联网高速发展的同时整个互联网也面临这各种病毒和木马的威胁、黑客的攻击等,这给网络安全带来了极不稳定的因素,因而导致每天因网络安全而造成大量的经济损失。相信读者通过本篇论文能对这两种木马和病毒有一定的认知,并能运用于日常的生活中,在平时如果遇到了此类病毒的感染,也能快速有效的解决,以避免出现较大的损失。关键词 网络安全;病毒;木马;磁碟机;灰鸽子四川信息职业技术学院毕业设计说明书 (论文)第 1 页第 1 章 绪论在这个互联网高速
4、发展的时代,网络安全也日趋加重,各种病毒和木马的肆意横行,每天都有成千上万的电脑被感染,从而造成或大或小的损失。在这样一个背景下,做一篇关于网络安全的论文是很有必要的。本篇论文无论是在理论上还是在实际上对经常上网的人们来说都有着很重要很实际的意义,通过本篇论文人们能够对病毒多一点了解,以至于中毒后不至于不知所措从而造成很大的损失。本课题内容来源主要来自互联网搜集和相关书籍资料,主要内容包括病毒和木马的工作原理、检测、清除方法、前期预防等方面,采用分层分点详细罗列的方法进行介绍。四川信息职业技术学院毕业设计说明书 (论文)第 2 页第 2 章 计算机病毒综述2.1 定义计算机病毒(Compute
5、r Virus)在中华人民共和国计算机信息系统安全保护条例中被明确定义,病毒指:编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。而在一般教科书及通用资料中被定义为:利用计算机软件与硬件的缺陷或操作系统漏洞,由被感染机内部发出的破坏计算机数据并影响计算机正常工作的一组指令集或程序代码。2.2 产生病毒不是来源于突发或偶然的原因。病毒来自于一次偶然的事件,那时的研究人员为了计算出当时互联网的在线人数,然而它却自己“繁殖”了起来导致了整个服务器的崩溃和堵塞,有时一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令
6、,但这些代码是无序和混乱的,病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合起来,病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,出于对上司的不满,为了好奇,为了报复,为了祝贺和求爱,为了得到控制口令,为了软件拿不到报酬预留的陷阱等当然也有因政治、军事、宗教、民族、专利等方面的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒。2
7、.3 特点2.3.1 寄生性计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,四川信息职业技术学院毕业设计说明书 (论文)第 3 页而在未启动这个程序之前,它是不易被人发觉的。2.3.2 传染性计算机病毒不但本身具有破坏性,更有害的是具有传染性,一旦病毒被复制或产生变种,其速度之快令人难以预防。传染性是病毒的基本特征。在生物界,病毒通过传染从一个生物体扩散到另一个生物体。在适当的条件下,它可得到大量繁殖,并使被感染的生物体表现出病症甚至死亡。同样,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。与生物病毒不同的
8、是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。只要一台计算机染毒,如不及时处理,那么病毒会在这台电脑上迅速扩散,计算机病毒可通过各种可能的渠道,如移动存储介质、计算机网络去传染其他的计算机。当您在一台机器上发现了病毒时,往往曾在这台计算机上用过的移动存储介质已感染上了病毒,而与这台机器相联网的其他计算机很可能也被该病毒染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。2.3.3 潜伏性有些病毒像定时炸弹一样,让它什么时间发作是预先设计好的。比如
9、黑色星期五病毒,不到预定时间一点都觉察不出来,等到条件具备的时候一下子就爆炸开来,对系统进行破坏。一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,因此病毒可以静静地躲在磁盘或磁带里呆上几天,甚至几年,一旦时机成熟,得到运行机会,就又要四处繁殖、扩散,继续为害。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足,有的在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘、删除磁盘文件、对数据文件做加密、封锁键盘以及使系统死锁等。2.3.4 隐蔽性计算机病毒具有很强的隐蔽性,有的可以通过
10、病毒软件检查出来,有的根本就查不出来,有的时隐时现、变化无常,这类病毒处理起来通常很困难。四川信息职业技术学院毕业设计说明书 (论文)第 4 页2.3.5 破坏性计算机中毒后,可能会导致正常的程序无法运行,把计算机内的文件删除或受到不同程度的损坏 。通常表现为:增、删、改、移。2.3.6 可触发性病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发
11、条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。2.4 症状(1)计算机系统运行速度减慢;(2)计算机系统经常无故发生死机;(3)计算机系统中的文件长度发生变化;(4)计算机存储的容量异常减少;(5)系统引导速度减慢;(6)丢失文件或文件损坏;(7)计算机屏幕上出现异常显示;(8)计算机系统的蜂鸣器出现异常声响;(9)磁盘卷标发生变化;(10)系统不识别硬盘;(11)对存储系统异常访问;(12)键盘输入异常;(13)文件的日期、时间、属性等发生变化;(14)文件无
12、法正确读取、复制或打开;(15)命令执行出现错误;四川信息职业技术学院毕业设计说明书 (论文)第 5 页(16)虚假报警;(17)换当前盘。有些病毒会将当前盘切换到 C盘;(18)时钟倒转。有些病毒会命名系统时间倒转,逆向计时;(19)WINDOWS 操作系统无故频繁出现错误;(20)系统异常重新启动;(21)一些外部设备工作异常;(22)异常要求用户输入密码;(23)WORD 或 EXCEL提示执行“宏” ;(24)使不应驻留内存的程序驻留内存。2.5 预防(注意事项)(1)建立良好的安全习惯。例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站,不要执行从 Internet
13、下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全;(2)关闭或删除系统中不需要的服务。默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性;(3)经常升级安全补丁。据统计,有 80%的网络病毒是通过系统安全漏洞进行传播的,象蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然;(4)使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数;(5)迅速隔离
14、受感染的计算机。当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机;(6)了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序;四川信息职业技术学院毕业设计说明书 (论文)第 6 页(7)最好安装专业的杀毒软件进行全面监控。在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级,将一些主要监控经常打开(如邮件监控、
15、内存监控等),遇到问题要上报,这样才能真正保障计算机的安全;(8)用户还应该安装个人防火墙软件进行防黑。由于网络的发展,用户电脑面临的黑客攻击问题也越来越严重,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效地防止网络上的黑客攻击。四川信息职业技术学院毕业设计说明书 (论文)第 7 页第 3 章 磁碟机病毒磁碟机病毒又名 dummycom病毒,出现于 2008年 3月,是近几年来发现的病毒技术含量最高、破坏性最强的病毒,其破坏能力、自我保护和反杀毒软件能力均 10倍于“熊猫烧香” 。据 360安全中心统计每日感染磁碟机病毒人数
16、已逾 100,1000用户!“磁碟机”现已经出现 100余个变种,目前病毒感染和传播范围正在呈现蔓延之势。3.1 背景介绍磁碟机病毒并不是一个新病毒,早在 2007年 2月的时候,就已经初现端倪。当时它仅仅作为一种蠕虫病毒,成为所有反病毒工作者的关注目标。而当时这种病毒的行为也仅仅局限于在系统目录%system%system32 生成 lsass.exe和smss.exe,感染用户电脑上的 exe文件。病毒在此时的传播量和处理的技术难度都不大。然而在 2008年 3月,病毒作者经过长达一年的辛勤工作(数据表明,病毒作者几乎每两天就会更新一次病毒)之后,并吸取了其他病毒的特点(例如臭名昭著的“A
17、V 终结者” 、 “机器狗”等) ,结合了目前病毒流行的传播手段,逐渐发展为目前感染量、破坏性、清除难度都超过同期病毒的新一代毒王。3.2 简介磁碟机病毒主要通过 U盘和局域网 ARP攻击传播,如果当你无法访问各个安全软件站点,或者从安全站点的官网上下载的安装程序有问题的话,极有可能是已经中了磁碟机病毒。 “磁碟机” (又名“千足虫” )病毒感染系统可执行文件,能够利用多种手段终止杀毒软件运行,并可导致被感染计算机系统出现蓝屏、死机等现象,严重危害被感染计算机的系统和数据安全。与其它关闭杀毒软件的病毒不同的是,该病毒利用了多达六种强制关闭杀毒软件和干扰用户查杀的反攻手段,许多自身保护能力不够强
18、壮的杀毒软件在病毒面前纷纷被杀。病毒在每个磁盘下生成 pagefile.exe和 Autorun.inf文件,并每隔几秒检测文件是否存在,修改注册表键值,破坏“显示系统文件”功能。四川信息职业技术学院毕业设计说明书 (论文)第 8 页每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项,如被修改则重新破坏。病毒执行后,会删除病毒主体文件。病毒会监控 lsass.exe、smss.exe、dnsq.dll 文件,如果假设不存在的话则重新生成。当拷贝失败后,病毒会删除原来的文件,再重新写入。病毒会连接恶意网址下载大量木马病毒。该病毒运行后会在系统目录中 COM目录(默认为c:w
19、indowssystem32com)下生成名为 lsass.exe及 smss.exe文件。该病毒会感染除 windows及 program files以外目录下所有的 EXE格式可执行文件,会造成用户计算机运算速度缓慢,甚至造成系统蓝屏、死机。由于该病毒编写存在一些问题,可能会造成用户安装的软件被损坏,无法使用。3.3 特征磁碟机病毒是一个下载者病毒,会关闭一些安全工具和杀毒软件并阻止其运行,并会不断检测窗口来关闭一些杀毒软件及安全辅助工具,破坏安全模式,删除一些杀毒软件和实时监控的服务,远程注入到其它进程来启动被结束进程的病毒。3.3.1 传播性(1)在网站上挂马:在用户访问一些不安全的网
20、站时,就会被植入病毒。这也是早期磁碟机最主要的传播方式;(2)通过 U盘等移动存储设备传播:染毒的机器会在每个分区(包括可移动存储设备)根目录下释放 autorun.inf和 pagefile.pif两个文件。达到自动运行的目的;(3)局域网内的 ARP传播方式:磁碟机病毒会下载其他的 ARP病毒,并利用 ARP病毒传播的隐蔽性,在局域网内传播。值得注意的是:病毒之间相互利用,狼狈为奸已经成为现在流行病的一个主要趋势,利用其它病毒的特点弥补自身的不足。3.3.2 隐蔽性(1)传播的隐蔽性:从上面的描述可以看出,病毒在传播过程中,所利用的技术手段都是用户,甚至是杀毒软件无法截获的;四川信息职业技
21、术学院毕业设计说明书 (论文)第 9 页(2)启动的隐蔽性:病毒不会主动添加启动项(这是为了逃避系统诊断工具的检测,也是其针对性的体现) ,而是通过重启重命名方式把 C:下的*.log文件(.log 是日志类型文件,*是一些不固定的数字)改名到“启动”文件夹。重启重命名优先于自启动,启动完成之后又将自己删除或改名回去。已达到逃避安全工具检测的目的,使得当前大多数杀毒软件无法有效避免病毒随机启动。3.3.3 针对性(1)关闭安全软件:病毒设置全局钩子,根据关键字关闭杀毒软件和诊断工具。另外,病毒还能枚举当前进程名,根据关键字Rav、avp、kv、kissvc、scan 来结束进程;(2)破坏文件
22、的显示方式:病毒修改注册表,使得文件夹选项的隐藏属性被修改,使得隐藏文件无法显示,逃避被用户手动删除的可能;(3)破坏安全模式:病毒会删除注册表中和安全模式相关的值,使得安全模式被破坏,无法进入;为了避免安全模式被其他工具修复,病毒还会反复改写注册表;(4)破坏杀毒软件的自保护:病毒会在 C盘释放一个 NetApi00.sys的驱动文件,并通过服务加载,使得很多杀毒软件的监控和主动防御失效,目的达到后,病毒会将驱动删除,消除痕迹;(5)破坏安全组策略:病毒在计算机内启动后就会马上自动删除注册表HKEY_LOCAL_MACHINESoftWarePolicies MicrosoftWindows
23、Safer键和子键,并会反复改写;(6)自动运行:病毒在每个硬盘分区根目录下生成的 autorun.inf和pagefile.pif,是以独占式打开的,无法直接删除;(7)阻止其他安全软件随机启动:病毒删除注册表整个 RUN项和子键;(8)病毒自我保护: smss.exe和 lsass.exe运行起来后,由于和系统进程名相同(路径不同) ,任务管理器无法将它们直接结束。病毒在检测到这两个进程被关闭后,会立即再次启动;如果启动被阻止,病毒就会立即重启系统。3.4 危害四川信息职业技术学院毕业设计说明书 (论文)第 10 页(1)修改系统默认加载的 DLL 列表项来实现 DLL 注入,通过远程进程
24、注入,并根据以下关键字关闭杀毒软件和病毒诊断等工具;(2)修改注册表破坏文件夹选项的隐藏属性,使隐藏的文件无法被显示;(3)自动下载最新版本和其它的一些病毒木马到本地运行;(4)不断删除注册表的关键键值来破坏安全模式和杀毒软件和主动防御的服务,使很多主动防御软件和实时监控无法再被开启;(5)病毒并不主动添加启动项,而是通过重启重命名方式,这种方式自启动极为隐蔽,现有的安全工具很难检测出来;(6)病毒会感染除 SYSTEM32 目录外其它目录下的所有可执行文件,并且会感染压缩包内的文件。3.5 主要症状(1)系统运行缓慢、频繁出现死机、蓝屏、报错等现象;(2)进程中出现两个 lsass.exe和
25、两个 smss.exe ,且病毒进程的用户名是当前登陆用户名(如果只有 1个 lsass.exe和 1个 smss.exe,且对应用户名为 system,则是系统正常文件,请不用担心) ;(3)杀毒软件被破坏,多种安全软件无法打开,安全站点无法访问;(4)系统时间被篡改,无法进入安全模式,隐藏文件无法显示;(5)病毒感染.exe 文件导致其图标发生变化;(6)会对局域网发起 ARP攻击,并篡改下载链接为病毒链接;(7)弹出钓鱼网站。3.6 传播渠道(1)U 盘/移动硬盘/数码存储卡;(2)局域网 ARP攻击;(3)感染文件;(4)恶意网站下载;(5)其它木马下载器下载。四川信息职业技术学院毕业
26、设计说明书 (论文)第 11 页3.7 解决方案磁碟机病毒和 AV终结者、机器狗的表现很类似,技术上讲磁碟机的抗杀能力更强。多种杀毒软件无法拦截磁碟机的最新变种,在中毒之后,安装杀毒软件失败的可能性很大。在某些没有任何防御措施的电脑上,可能磁碟机专杀工具一运行就会被删除。据调查,这种情况是多种病毒混合入侵导致。在这种极端情况下,我们可以尝试的杀毒方案有:(1)尝试启动系统到安全模式或带命令行的安全模式。具体办法:重启前,从其它正常电脑 COPY已经升级到最新的杀毒软件,简单地把整个安装目录COPY过来。安全模式下运行 kav32.exe,或者在命令行下运行 kavdx,如果这个病毒不是很 BT
27、的话,有希望解决;(2)WINPE 急救光盘引导后杀毒。WINPE 启动后,运行 kav32.exe或kavdx;(3)挂从盘杀毒。必须注意:在挂从盘杀毒前,正常的电脑务必使用金山清理专家的 U盘免疫功能,将所有磁盘的自动运行功能关闭,避免使用双击的方式访问带毒硬盘,禁用自动运行能大大减少中毒的风险;(4)重装系统。装完切记,不要用双击打开其它磁盘或插入可能有毒的 U盘,先上网下载金山毒霸,升级到最新,使用清理专家的 U盘免疫,禁用所有磁盘的自动运行。3.8 防御措施(1)及时更新杀毒软件,以拦截最新变种。不升级的杀毒软件和不装是一样的,和“磁碟机”类似的几个病毒都会找杀毒软件下手,注意观察杀
28、毒软件的工作状态,可以充当“磁碟机”之类病毒破坏系统的晴雨表;(2)及时修补操作系统漏洞、浏览器漏洞和应用软件漏洞。windows update、清理专家都是打补丁好手。播放器、下载工具,最好用官方的最新版,至少老漏洞都修补过;(3)网络防火墙、ARP 防火墙一个也不能少。网络防火墙和 ARP防火墙对“磁碟机”在局域网的泛滥可以起到遏制作用;(4)保持足够警惕,小心接收和打开不明程序,不要被文件的图标所蒙蔽。四川信息职业技术学院毕业设计说明书 (论文)第 12 页控制面板中修改文件夹选项,显示所有文件的扩展名,发现 EXE/PIF/COM/SCR等类型文件一定要倍加小心。如果你的资源管理器工具
29、菜单下文件夹选项不见了,或者打开后,修改选项失效,通常也是中毒的标志;(5)常备一套工具箱。清理专家、冰刃、AV 终结者专杀、磁碟机专杀。需要时,这些小工具可令系统起死回生;(6)强烈建议禁用自动运行功能,这个功能对病毒传播制造了太多机会,自动运行提供的方便性几乎没有价值;(7)及时反应,减轻损失。一旦感染该病毒,应该及时停止登录在线游戏,请求游戏运营商先将帐号冻结,避免遭受损失。四川信息职业技术学院毕业设计说明书 (论文)第 13 页第 4 章 灰鸽子木马灰鸽子(Hack. Huigezi)是一个集多种控制方法于一体的木马,一旦用户电脑不幸感染,可以说用户的一举一动都在黑客的监控之下,要窃取
30、账号、密码、照片、重要文件都轻而易举。更甚的是,他们还可以连续捕获远程电脑屏幕,还能监控被控电脑上的摄像头,自动开机(不开显示器)并利用摄像头进行录像。截至 2006年底, “灰鸽子”木马已经出现了 6万多个变种。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。4.1 发展历史自 2001年,灰鸽子诞生之日起,就被反病毒专业人士判定为最具危险性的后门程序,并引发了安全领域的高度关注。2004 年、2005 年、2006 年,灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒,灰鸽
31、子也因此声名大噪,逐步成为媒体以及网民关注的焦点。灰鸽子自 2001年出现至今,主要经历了模仿期、飞速发展期以及全民黑客时代三大阶段。表 4-1 灰鸽子发展历史模仿期 飞速发展期 全民黑客时代2001年-2003 年 2004年-2005 年 2006年-2007 年灰鸽子 2011年出现最新变种,服务端仅有 70kb,比葛军(最早灰鸽子的作者)的灰鸽子小了近 10倍,隐蔽性更强。4.2 病毒简介(1)客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时,灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事,灰鸽子就成了很强大的黑客工具。对灰鸽子完整的介绍也许只有灰鸽子作
32、者本人能够说清楚,在此只能进行简要介绍。四川信息职业技术学院毕业设计说明书 (论文)第 14 页灰鸽子客户端和服务端都是采用 Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型(如等待连接还是主动连接) 、主动连接时使用的公网 IP(域名) 、连接密码、使用的端口、服务名称、代理、图标等等;(2)作者葛军(1982-?)安徽潜山人,灰鸽子工作室管理员,精通Delphi、ASP、数据库编程,2001 年首次将反弹连接应用在远程控制软件上,随后掀起了国内远程控制软件使用反弹连接的热潮,2005 年 4月,将虚拟驱动技术应用到灰鸽子屏幕控制上,使灰鸽子的屏幕控制达到了
33、国际先进水平;(3)服务器端:配置出来的服务端文件文件名为 G_Server.exe(这是默认的,当然也可以更改) ,然后黑客利用一切办法诱骗用户运行 G_Server.exe程序。G_Server.exe运行后将自己拷贝到 Windows目录下,然后再从体内释放G_Server.dll和 G_Server_Hook.dll到 windows目录下。G_Server.exe、G_Server.dll 和 G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端, G_Server_Hook.dll负责隐藏灰鸽子,所以,有些时候用户感觉中了毒,但仔细检查却又发现不了什么异常(有些灰鸽
34、子会多释放出一个名为 G_ServerKey.dll的文件用来记录键盘操作) 。注意:Windows 目录下的G_Server.exe文件将自己注册成服务,每次开机都能自动运行,运行后启动G_Server.dll和 G_Server_Hook.dll并自动退出。G_Server.dll 文件实现后门功能,与控制端进行通信;G_Server_Hook.dll 则隐藏病毒。因此,中毒后,我们看不到病毒文件,也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同,G_Server_Hook.dll 有时候附在 Explorer.exe的进程空间中,有时候则是附在所有进程中;4.3 反灰鸽子对于灰鸽
35、子给社会带来的种种危害,国内也有部分的团队组织反灰鸽子,对灰鸽子做一系列的剿匪,主要的反灰鸽子组织有:唯特科技,黑客基地等,其中的唯特科技出版了很多预防灰鸽子的视频教程,建议网民多关注。四川信息职业技术学院毕业设计说明书 (论文)第 15 页4.4 经济效益黑客可以在灰鸽子工作室的网站上花 100元下载灰鸽子,在网上花 200元就可以找师傅学灰鸽子。而黑客一天可以控制上百个用户,网民称之“肉鸡” 。据悉,某些黑客一天可以抓 200只“鸡” ,一天盗几十个号,好号可以卖几十元甚至 1000元,普通的也能是几块钱。每月平均赚 3000元,据称这还是小的,有的黑客甚至一月上万元。个别有不良思想的公司
36、会请黑客们入侵另一家公司,攻击或者窃取资料,然后会付给一些报酬。网上也会有一些人想要“逗逗”朋友或者其他用途,都想恶作剧,常常造成严重的后果。4.5 网络传播有用户反映他的电脑感染了一个叫“灰鸽子”的变种病毒,而且用最新病毒库的杀毒软件杀毒后病毒仍然会出现,他周围也有朋友反映遇到了这种情况,现在他的电脑运行十分缓慢,CPU 占用率常常达到 100%,而且 CMD命令Netstat -an查看端口中常常会出现一个莫名端口为 “8000” (灰鸽子默认端口)。江民反病毒专家介绍,他们近期也接到了大量的用户上报,江民病毒实时监控系统监测的情况, “灰鸽子”病毒及其变种正在网上加速传播,该病毒在每周十
37、大病毒排行中位居首位,并以每天十几个变种的速度加速传播。江民反病毒专家介绍, “灰鸽子”变种病毒运行后,会自我复制到 Windows目录下,并自行将安装程序删除。修改注册表,将病毒文件注册为服务项实现开机自启。病毒程序还会注入所有的进程中,隐藏自我,防止被杀毒软件查杀。自动开启 IE浏览器,以便与外界进行通信,侦听黑客指令,在用户不知情的情况下连接黑客指定站点,盗取用户信息、下载其它特定程序。专家介绍,正是由于“灰鸽子”变种主程序一般是隐藏的,该文件在正常模式下不易被杀毒软件查杀,易生成新变种。4.6 杀毒技巧该木马为只读、隐藏或存档,使得计算机用户无法发现并删除。该变种还会修改受感染系统注册
38、表中的启动项,使得变种随计算机系统启动而自动运行。另外,该变种还会在受感染操作系统中创建新的 IE进程,并设置其属性为隐藏,四川信息职业技术学院毕业设计说明书 (论文)第 16 页然后将病毒文件自身插入到该进程中。如果恶意攻击者利用该变种入侵感染计算机系统,那么受感染的操作系统会主动连接互联网络中指定的服务器,下载其他病毒、木马等恶意程序,同时恶意攻击者还会窃取计算机用户的键盘操作信息(如:登录账户名和密码信息等) ,最终造成受感染的计算机系统被完全控制,严重威胁到计算机用户的系统和信息安全。4.7 手工检测由于灰鸽子在正常模式下服务端程序文件和它注册的服务项均被隐藏,也就是说你即使设置了“显
39、示所有隐藏文件”也看不到它们。此外,灰鸽子服务端的文件名也是可以自定义的,这都给手工检测带来了一定的困难。但是,通过仔细观察发现,对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出,无论自定义的服务器端文件名是什么,一般都会在操作系统的安装目录下生成一个以“*_hook.dll”结尾的文件。通过这一点,我们可以较为准确手工检测出灰鸽子服务端。由于正常模式下灰鸽子会隐藏自身,因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是:启动计算机,在系统进入 Windows启动画面前,按下 F8键(或者在启动计算机时按住 Ctrl键不放) ,在出现的启动选项菜单中,选择“Saf
40、e Mode”或“安全模式” 。(1)由于灰鸽子的文件本身具有隐藏属性,因此要设置 Windows显示所有文件。打开“我的电脑” ,选择菜单“工具”“文件夹选项” ,点击“查看” ,取消“隐藏受保护的操作系统文件”前的对勾,并在“隐藏文件和文件夹”项中选择“ 显示所有文件和文件夹” ,然后点击“确定” ;(2)打开 Windows的“搜索文件” ,文件名称输入“_hook.dll” ,搜索位置选择 Windows的安装目录(默认 98/xp为 C:windows,2k/NT 为 C:Winnt) ;(3)例如,经过搜索,我们在 Windows目录(不包含子目录)下发现了一个名为 Game_Ho
41、ok.dll的文件;(4)根据灰鸽子原理分析我们知道,如果 Game_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有 Game.exe和 Game.dll文件。打开 Windows目四川信息职业技术学院毕业设计说明书 (论文)第 17 页录,果然有这两个文件,同时还有一个用于记录键盘操作的 GameKey.dll文件。经过这几步操作我们基本就可以确定这些文件是灰鸽子服务端了,下面就可以进行手动清除。4.8 手工清除经过上面的分析,清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作,主要有两步:注意:为防止误操作,清除前一定要做好备份。4.8.1 清除灰鸽子的服务:注意清除灰鸽
42、子的服务一定要在注册表里完成,一定要先备份注册表,或者到纯 DOS下将注册表文件更名,然后再去注册表删除灰鸽子的服务。以2000/XP系统为例:(1)打开注册表编辑器(点击“开始”“运行” ,输入“Regedit.exe” ) ,打开 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices 注册表项;(2)点击菜单“编辑”“查找” , “查找目标”输入“game.exe” ,我们就可以找到灰鸽子的服务项(此例为 Game_Server,每个人这个服务项名称是不同的) ;(3)删除整个 Game_Server项。98/me 系统:在系统下,灰鸽子启动项
43、只有一个,因此清除就更为简单。首先运行注册表编辑器(注册表运行方法见上) ,打开 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项,我们立即看到名为 Game.exe的一项,将 Game.exe删除即可。4.8.2 删除灰鸽子程序文件:删除灰鸽子程序文件非常简单,只需要在安全模式下删除 Windows目录下的 Game.exe、Game.dll、Game_Hook.dll 以及 Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子服务端已经被清除干净。以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种,然而仍有极
44、少数变种采用此种方法无法检测和清除。同时,随着灰鸽子新版本的不断推出,作者可能会加入一些新的隐藏方法、防删除手段,手工检测和清除它的难四川信息职业技术学院毕业设计说明书 (论文)第 18 页度也会越来越大。4.9 防止中灰鸽子的注意事项(1)及时给系统安装补丁、修补漏洞;(2)给系统管理员帐户设置足够复杂足够强壮的密码,最好能是 10位以上,字母+数字+其它符号的组合;也可以禁用/删除一些不使用的帐户;(3)及时更新杀毒软件(病毒库) ,设置为病毒库自动更新。安装并合理使用网络防火墙软件,网络防火墙在防病毒过程中也可以起到至关重要的作用,能有效地阻挡来自网络的攻击和病毒的入侵;(4)关闭一些不
45、需要的服务,条件允许的可关闭没有必要的共享。完全单机的用户可直接关闭 Server服务。四川信息职业技术学院毕业设计说明书 (论文)第 19 页结 论本课题对人们在日常的互联网应用中帮助是非常大的,能够避免很多不必要的损失。其应用前景相当广阔,社会价值和经济价值都很大,今后会在本课题上继续投入精力进行相关研究。四川信息职业技术学院毕业设计说明书 (论文)第 20 页致 谢在完成本篇论文过程中,张莉萍老师给予了我很大的帮助,特在此致谢,非常感谢张老师给予我的帮助。四川信息职业技术学院毕业设计说明书 (论文)第 21 页参考文献1 作者.石淑华 池瑞楠 书名.计算机网络安全技术 版次.第 2版 出版者.人民邮电出版社 出版年.2008 年 12月2 计算机病毒_百度百科 http:/ 磁碟机病毒_百度百科 http:/ 灰鸽子_百度百科 http:/ 中国红客联盟 http:/ 中国鹰派联盟 http:/ 安全精英网 http:/
