木马分析与防范.docVIP

木马分析与防范 　　【摘要】本文针对计算机木马攻击这一主题，介绍了计算机木马的产生、含义、发展历程及传播传播途径。文中提出的使用代理隐藏计算机IP地址的方法在实际使用过程中能有效的防止计算机木马程序的攻击，相对于手工查杀和使用软件工具查杀木马更具有主动防范的特点，并且从效果上来看基本上杜绝了计算机木马的攻击和其它的一些黑客攻击，达到了预期的目的。 　　【关键词】木马;攻击;防范 　　 　　计算机应用以及计算机网络己经成为现实社会中不可缺少的重要组成部分，在遍及全世界的信息化浪潮的作用下，计算机网络除了影响人们正常生活的名个方面，还对公司管理、发展经济和国家机密起着十分重要的作用。使用计算机木马技术进行非法入侵、控制和破坏计算机网络信息系统，获取非法系统信息，并利用获取的这些信息进行非法行为，是目前公认的计算机网络信息安全问题。 　　1.木马 　　1.1木马的产生 　　最早的计算机木马是从Unix平台上诞生出来的，然后随着Windows操作系统的广泛使用，计算机木马在Windows操作系统上被广泛使用的。最早的Unix木马是运行在服务器后台的一个小程序，木马程序伪装成登录过程，与现在流行的计算机木马程序是不同的。 　　当一台计算机被植入了木马程序后，如果计算机用户从终端上用自己的帐号来登录服务器时，计算机木马将向用户显示一个与正常登录界面一样的登录窗口，让用户输入正确的账号。在得到正确的用户名和口令之后，计算机木马程序会把账号保存起来，然后在第二次显示出真的登录界面，计算机用户看到登录界面又出现了，以为之前输入密码时密码输错了，于是计算机用户再次输入相关帐号进入计算机系统，但此时计算机用户的账号已被偷取，计算机用户却不知道。 　　1.2木马的定义 　　在计算机网络安全领域内，具有以下特征的程序被称作计算机木马：（1）将具有非法功能的程序包含在合法程序中的：具有非法功能的程序执行不为用户所知功能。（2）表面看上去好象是运行计算机用户期望的功能，但实际上却执行具有非法功能的程序。（3）能运行的具有非法操作的恶意程序。 　　1.3木马的发展历程 　　从计算机木马的出现一直到现在，计算机木马的技术在不断发展，木马的发展已经历了五代： 　　第一代计算机木马首要任务是非法获取网络密码，完成密码的非法获取、发送等，在其它方面没有特别之处。第二代计算机木马使用客户/服务结构标准，可以进行远程文件管理、监视计算机屏幕等一些功能。第三代计算机木马在结构功能上与第二代木马基本差不多，为防止计算机防火墙的阻挡，改变通信协议进行通信或者采用新的反向连接技术，采用畸形报文传递数据，使计算机难以查杀。第四代计算机木马过在连接方式上，类似于第三代木马或第二代木马使用的连接方式。对计算机的进程方面做了很大的改动，使用了新的嵌入方式。第一代到第三代木马，都有各自独立的木马，可以根据计算机启动项中的内容描述，计算机用户可以很方便的找到计算机木马，然后删除。不同的是，第四代木马选择了修改系统注册表的方法，伪装成动态链接文件形式加到平时正常的启动程序上，打开“任务管理器”看不到已经运行的计算机木马，这种方法比较好的隐藏了计算机木马。第五代计算机木马与计算机病毒互相紧密结合，充分利用现有的计算机操作系统漏洞，直接实现计算机木马的非法入侵。 　　1.4木马与病毒的相同点与区别 　　计算机木马程序与计算机病毒程序的相同点都是人为编写的恶意程序，在条件成立时都可激活。二两者的区别在于计算机病毒可以自我复制，具有破坏性和不可控的传染性；即使是病毒制造者也无法控制计算机病毒的传染，它采用自我复制的方式进行传播和感染计算机中其它计算机文件。计算机木马的特殊性是计算机木马能被计算机木马攻击者控制，具有可控性。计算机木马不具有传染性，不主动去传染其它的计算机文件，其主要任务是向攻击者端打开被攻击的用户计算机的端口，使攻击者可以远程控制目标系统，对用户计算机进行一些非法操作。计算机木马在非法入侵用户计算机系统后根据攻击者发出的指令，完成相关的非法操作。 　　1.5计算机木马的传播方式 　　1.5.1通过电子邮件 　　计算机木马攻击者将含有计算机木马程序的附件放在电子邮件中发送给用户，计算机用户在收到电子邮件后如果打开了电子邮件的附件就会被计算机木马感染。 　　1.5.2软件下载 　　在共享软件站点里提供的下载软件里往往有计算机木马程序。由于站点的管理人员不可能去检查所有计算机用户每一个上传的文件，所以这就给一些计算机木马的使用者提供了机会。一些非正规的网站为吸引眼球，将计算机木马程序捆绑在软件安装程序上，提供给计算机用户下载。当用户下载后，只要安装这些程序，计算机木马就会随着程序的安装，悄悄地自动安装在用户计算机上。 　　1.5.3挂马 　　“