木马病毒工作原理与防治.docVIP

木马病毒工作原理与防治 　　摘要：木马病毒通过某些手段入侵到对方计算机中，并能够长期潜伏下来。当被控系统启动时，木马病毒能够窃取、篡改、删除文件和数据。本文从木马病毒的工作原理、预防和查杀三个方面对其进行阐述。 　　关键词：木马；端口；杀毒 　　中图分类号：TP309.5文献标识码：A文章编号：1007-9599 (2011) 04-0000-01 　　Working Principle and Prevention of Trojan Virus 　　Zhang Li 　　(Shandong Vocational College of Technology,Jining272000,China) 　　Abstract:Trojan can invade a computer by certain ways,and then hide itself for a long time.When the controlled system starts,its files and datas would be stolen,changed and deleted by Trojan.This paper will explain the working principle of Trojan,how to prevent and kill it. 　　Keywords:Trojan;Port;Antivirus 　　随着计算机和网络的普及，我们的日常生活与他们愈加紧密的联系在了一起。但是木马病毒的出现，使得电脑用户的重要信息遭到破坏或者被盗，造成了无法弥补的损失。要想从根本上预防木马病毒的入侵，我们必须要深入了解木马病毒的工作原理。 　　一、什么是木马病毒 　　木马病毒（Trojan）这个名字由古希腊传说“木马计”的故事而来。“木马”与病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件。它采用各种方法将自身伪装起来，一旦用户下载执行，“木马”即植入成功。此时，受害主机的门户已经对施种者敞开。施种者可以“窥视”到受害主机中的所有文件、盗取重要的口令、信息、破坏系统资源，甚至远程操控受害主机。 　　二、木马工作原理 　　特洛伊木马通常包含两个部分：服务端和客户端。服务端植入受害主机，而施种者利用客户端侵入运行了服务端的主机。木马的服务端一旦启动，受害主机的一个或几个端口即对施种者敞开，使得施种者可以利用这些端口进入受害主机，开始执行入侵操作。 　　木马服务端和客户端首先要建立连接，然后才能进行信息交换。建立连接又包含首次握手和建立通道两个步骤。首次握手的主要目的是客户端获得服务端的IP地址。这主要通过两种方法实现：信息反馈和端口扫描。信息反馈是指，服务端一旦登录互联网，可通过邮件、UDP通知等方式将IP地址发送给控制端。如：广外女生。端口扫描是指，控制端扫描IP地址，一旦发现特定端口开发的IP就认定其为服务端，首次握手成功。当服务端与控制端实现首次握手后，控制端给服务端木马传送通道的配置参数，配置成功后，服务端返回相应参数给控制端。至此，木马通道成功建立。 　　三、预防措施 　　在谈预防措施之前，我们必须先要了解木马的传播方式： 　　1.通过邮件附件传播。 　　2.通过QQ传播.。 　　3.通过下载软件传播。 　　4.通过有较强传播能力的病毒传播。 　　5.通过带有木马的光盘和磁盘进行传播。 　　木马有着如此多的传播方式，为了避免中毒，我们应该： 　　（1）不要执行任何来历不明的软件。一些黑客将木马程序捆绑在某些免费的软件安装程序上。因此在下载软件的时候需要特别注意，推荐去一些信誉比较高的站点。在安装软件之前用专门查杀木马的软件进行检查，确定无毒后再使用。 　　（2）不要随意打开邮件附件。现在绝大部分木马病毒都是通过邮件来传递的，将木马程序伪装成常用工具软件，或者将木马程序隐藏在某个有意思的视频短片中，然后将该木马程序添加到附件中发送出去。只要收件人打开附件就会感染木马。因此对邮件附件的运行尤其需要注意。 　　（3）不要因为对方是好友，就轻易接收他发过来的文件。在QQ聊天时，通过文件传送功能发送给对方伪装过的木马程序。一旦接收，就会感染木马。 　　（4）将资源管理器设置成显示已知文件扩展名。在资源管理器中设置显示已知文件的扩展名。因为木马病毒的特征文件的扩展名多为vbs、pif、shs，一旦碰到这些可疑的文件扩展名就应引起注意。 　　（5）运行反木马实时监控程序。上网时开启反木马实时监控程序能够有效地防范木马。一般的反木马软件都能够实时显示当前运行的所有程序及其详细描述信息。再加上实时升级的专业杀毒软件和个人防火墙进行监控基本上就安全了。 　　四、清除方法 　　虽然我们有多