远离机密杀手.docVIP

远离机密杀手 　　摘 要 每一个上网的用户都会和计算机病毒打交道，其中木马病毒也是最常见的病毒之一，今天让我们揭去它神秘的面纱，看看他到底是什么真面目。木马病毒全称为特洛伊木马病毒，名字来自于古老的古希腊传说，在《荷马史诗》中的木马计中以特洛伊指代了特洛伊木马，木马的英文全称Trojan，也是取自于木马计的故事。 　　关键词 木马 计算机病毒 木马病毒防治 木马原理 　　中图分类号：TP309.5 文献标识码：A 　　0 前言 　　每一个上网的用户都会和计算机病毒打交道，其中木马病毒也是最常见的病毒之一，今天让我们揭去它神秘的面纱，看看他到底是什么真面目。 　　木马病毒全称为特洛伊木马病毒，名字来自于古老的古希腊传说，在《荷马史诗》中的木马计中以特洛伊指代了特洛伊木马，木马的英文全称Trojan，也是取自于木马计的故事。 　　之所以将此种病毒命名为木马，是因为它的特点和木马计中的特洛伊木马极其相似，在木马计中，特洛伊木马是为了隐藏破坏，里应外合的，而这种计算机程序也起到了相同的作用，他不会自我繁殖，仅仅在计算机中以独立的个体存在，不会主动去感染其他文件，所以从表面上看来，它是一个十分安静的病毒。它会以各种方式吸引受害者去下载执行，进而控制受害者的电脑，向木马病毒施种者提供打开被种者电脑的门户，让施种者可以对被种者的电脑内的任何文件进行破坏，窃取等恶意操作。如果条件允许的情况下，木马病毒的施种者可以直接对被施种者电脑进行控制操作。 　　1 木马的原理及发展 　　1.1 木马病毒的原理 　　这种卑鄙的程序原理其实十分简单，对于一个完整的木马程序成品，会具有两个部分，即服务端（服务器部分）和客户端（控制器部分）。木马病毒的使用者会使用一切手段将服务端（服务器部分）植入被害者电脑，而其自身操作客户端来控制服务端。当被害者运行了服务端后，木马自身会伪装产生一个用于迷惑被害者的名称进程，进而打开向指定地点发送数据的端口。当然，如果条件允许的话，木马施种者也可以通过这些开放的端口来进入被害者的电脑，对被害者电脑系统进行破坏。 　　但是这种程序不能自动运行，这也是其一大特点，一般的木马施种者会把它伪装成一种对被害者有用的东西或者一份十分有趣的计划，木马则暗含在一些用户下载的文档中，当被害者选择运行这些文档程序的时候，连带着激活了木马程序，只有这样才能使木马病毒开始运行，对被害者的文件和重要资料进行窃取和破坏。虽然它具有对文件的窃取功能，但从定义上来讲，木马和后门程序之间还是有本质的区别的，后门是指隐藏在程序内部，为后门操作者日后随时进入被害者计算机系统而留下的设置程序。 　　1.2 木马病毒的发展 　　木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇，或是急于显示自己实力，不断改进木马程序的编写。至今木马程序已经经历了六代的改进： 　　第一代，是最原始的木马程序。主要是简单的密码窃取，通过电子邮件发送信息等，具备了木马最基本的功能，开始了木马程序的开端。 　　第二代，在技术上有了很大的进步，冰河是中国木马的典型代表之一。冰河木马开发于1999年，在设计之初，开发者的本意是编写一个功能强大的远程控制软件。但一经推出，就依靠其强大的功能成为了黑客们发动入侵的工具，并结束了国外木马一统天下的局面，成为国产木马的标志和代名词。 　　第三代，主要改进在数据传递技术方面，利用畸形报文传递数据，增加了杀毒软件查杀识别的难度，出现了ICMP等类型的木马，代表性的木马是ICMP监控型木马。“ICMP木马”监控，木马程序英文名字Win32.Troj.IcmpCmd，该木马可以向指定的已经被植入该木马的IP地址发送命令，可以直接对感染的计算机进行口令修改，获得最高管理权，实现重启计算机打开远程SHELL、注入远程SHELL等，会给用户的机器带来不可预知的破坏。 　　第四代， 在进程隐藏方面有了很大改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程。或者挂接PSAPI，实现木马程序的隐藏，甚至在Windows NT/2000下，都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。 　　第五代，驱动级木马。驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果，并深入到内核空间的，感染后针对杀毒软件和网络防火墙进行攻击，可将系统SSDT初始化，导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS，并且很难查杀。 　　第六代，随着身份认证UsbKey和杀毒软件主动防御的兴起，黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主，后者以动态口令和硬证书攻击为主。 　　1.3 木马病毒的未来可能发展趋势 　　1.3.1 关于winPE的发