木马攻击检测技术的研究结题报告教程.doc

PAGE  PAGE 10 青岛农业大学 大学生科技创新立项结题报告书 项目名称： 木马攻击检测技术的研究 项目主持人： 王学晗 专业年级： 计算机科学与技术2013级 指导教师： 苏万力 填表日期：2015年12月 一、简表 项目名称木马攻击检测技术的研究起止时间 2014 年 12月至 2015年 12月指导教师姓名 苏万力出生年月1963.07学历博士学位博士学院理学与信息科学学院专业计算机科学与技术专业研究方向网络与信息安全项目负责人姓名王学晗出生年月1994.10学院理学与信息科学学院专业班级计算机科学与技术2013级01班承担任务团队的组织，件需求的分析签名项目组成员姓名专业班级承担任务签名刘琦计算机科学与技术2013级01班代码的编写、程序的设计刘元春计算机科学与技术2013级01班 木马检测技术的研究王晓敏计算机科学与技术2013级01班程序的设计、代码编写高霁月计算机科学与技术2013级01班程序的实现、测试摘要：（300汉字） 常见木马的代码都是固定的，只要由控制端发送到客户端，那么木马程序就是固定的代码，这样的木马终究能够被各类杀毒软件所查杀。但是自适应性木马的代码确实在不断调整与更新的，使得杀毒软件无法发挥作用,甚至将杀毒软件的运行机制记录下来发送回控制端，控制端设计出克制杀毒软件的代码，将会使得计算机丧失任何防御措施，直至崩溃。人们对病毒传播的风险意识和规避行为随着人群中感染密度等因素的变化而作自适应的调整。针对人群中不断变化的风险意识和规避行为，提出在 SIS 网络传播模型中，研究自适应网络的动态传播过程。 关键词： 自适应性 ； 病毒 ； SIS网络传播 ； 元胞自动机 ； 二、报告正文 （一）项目基本情况（计划主要研究内容及预期成果） (一).项目研究内容 1） 研究自适应性木马病毒的运行机制。 常见木马的代码都是固定的，只要由控制端发送到客户端，那么木马程序就是固定的代码，这样的木马终究能够被各类杀毒软件所查杀。但是自适应性木马的代码确实在不断调整与更新的，使得杀毒软件无法发挥作用，甚至将杀毒软件的运行机制记录下来发送回控制端，控制端设计出克制杀毒软件的代码，将会使得计算机丧失任何防御措施，直至崩溃。 一般的查毒软件只能做到检测木马传输的端口位置，并挡住病毒数据包的传输，但是自适应性木马是通过原子模块传输的，所以无法做出有效阻拦。统计行为判定技术可以在检索到传输端口后，暂时关闭该端口，并在完成原子模块查杀之后重新打开该端口。可以切断控制端与服务器的链接关系，以确保原子模块被彻底查杀。 利用木马的特有行为特征来监测木马，自适应性木马的功能原子性，是指将木马程序的各个功能分成原子模块单独制作，或根据某功能设计几种不同的原子模块，通过不同原子模块的不同组合方式，构成不同功能与不同特征代码的程序，从而实现整个木马系统的自我调节和更新，使得任何杀毒软件对自适应性木马都无法有效查杀。 2）研究自适应性木马病毒检测方法 　目前对木马病毒一般检测为: a)、查看开放端口 当前最为常见的木马通常是基于TCP/UDP协议进行Client端与Server端之间的通讯的，这样我们就可以通过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。 b)、查看win.ini和system.ini系统配置文件。查看win.ini和system.ini文件是否有被修改的地方。 c)、查看启动程序 如果木马自动加载的文件是直接通过在Windows菜单上自定义添加的，一般都会放在主菜单的“开始-程序-启动”处　。 d)、查看系统进程 木马也是一个应用程序，需要进程来执行。可以通过查看系统进程来推断木马是否存在：按下“CTL+ALT+DEL”，进入任务管理器，就可看到系统正在运行的全部进程。 e)、查看注册表 木马一旦被加载，一般都会对注册表进行修改。一般情况下木马在注册表中实现加载文件一般是在固定几处。 然而自适应性木马的功能原子化特点使得程序代码不唯一，上述的检测方法基本不起