浅析计算机黑客木马危害与防治.docVIP

浅析计算机黑客木马危害与防治 　　[摘要]网络技术的快速发展为人们提供了便利的同时,也带来了巨大的安全隐患,木马病毒通过潜伏在客户端,会破坏、窃取客户端的敏感信息,造成重要危害。对木马病毒的分类、特性以及危害进行分析,并对木马病毒的防范和清除提出几点措施。 　　[关键词]木马 特洛伊 病毒 防范 清除 　　中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0810059-02 　　 　　随着计算机和网络技术的迅猛发展和广泛应用,互联网让人们充分享受到了其给工作和生活带来的巨大便利,人类社会对计算机系统和信息网络的依赖性也越来越大。然而据报道,世界各国遭受计算机病毒感染和攻击的事件数以亿计,严重地干扰了正常的人类社会生活,给计算机网络和系统带来了巨大的潜在威胁和破坏。 　　 　　一、木马病毒概述 　　 　　(一)木马的概念 　　“木马”全称是“特洛伊木马(Trojan Horse)”。在大英百科全书中,Trojan Horse的定义是“隐藏在其他程序中的安全破坏程序(security 　　 breaking),如地址清单、压缩文件或游戏程序中”。木马程序通常不会单独出现,总是会隐藏在其他程序后面,或者以各种手段来掩护它本来的目的。 　　一般的木马程序分为两部分:被控制端和控制端。在正向连接中,被控制端会打开一个默认的端口进行监听,等待控制端提出连接请求。在反向连接中,被控制端则主动发送连接请求。双方建立连接后,控制端一般会发送命令,如键盘记录命令、文件操作命令以及敏感信息获取命令等,被控制端接收并执行这些命令,然后返回相应结果到控制端。 　　(二)木马病毒的分类 　　按通信方式,可将木马分为基于TCP技术的木马,包括正向连接、反弹端口、HTTP隧道、发送邮件型;基于其它IP技术的木马,如畸形UDP、ICMP数据包等;基于非IP协议的木马,如利用NetBios,MailSlot等协议传输的木马。 　　按木马运行层次,可分为应用级木马和内核级木马。应用级木马,工作在操作系统Ring 3级,由于计算机底层的操作系统中的程序、库以及内核都未受影响,这种木马对系统的影响相对较小。典型的应用级木马有:Bingle、网络神偷、ZXshell、灰鸽子等。内核级木马,运行在操作系统内核中,常采用驱动程序技术实现内核级木马的加载工作。内核级木马与一般检测工具一样运行在系统内核,隐蔽性较高,查杀难度大,是当前的主流发展趋势。 　　根据木马程序对计算机的具体动作方式,还可以把现在的木马程序分为以下几类: 　　1.远程控制型:远程控制型木马是现今最广泛的特洛伊木马,这种木马起着远程监控的功能,使用简单,只要被控制主机联入网络,并与控制端客户程序建立网络连接,控制者就能任意访问被控制的计算机。这种木马在控制端的控制下可以在被控主机上做任意的事情,比如键盘一记录,文件上传/下载,截取屏幕,远程执行等。 　　2.密码发送型:密码发送型木马的目的是找到所有的隐藏密码,并且在受害者不知道的情况下把它们发送到指定的信箱。 　　3.键盘记录型:键盘记录型木马非常简单,它们只做一种事情,就是记录受害者的键盘敲击,并且在LOG文件里进行完整的记录。这种木马程序随着Windows系统的启动而自动加载,并能感知受害主机在线,且记录每一个用户事件,然后通过邮件或其他方式发送给控制者。 　　4.毁坏型:大部分木马程序只是窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动删除受控主机上所有的.ini或.exe文件,甚至远程格式化受害者硬盘,使得受控主机上的所有信息都受到破坏。 　　5.FTP型:FTP型木马打开被控主机系统的21号端口(FTP服务所使用的默认端口),使每一个人都可以用一个FTP客户端程序来不要密码连接到受控制主机系统,并且可以进行最高权限的文件上传和下载,窃取受害系统中的机密文件。 　　(三)木马的特性分析 　　一个典型的特洛伊木马(程序)通常具有以下四个特点:有效性、隐蔽性、顽固性和易植入性。以从这四个方面来加以评估一个木马的危害大小和清除难易程度。它们是: 　　1.有效性:由于木马常常构成网络入侵方法中的一个重要内容。它运行在目标机器上就必须能够实现入侵者的某些企图,因此有效性就是指入侵的木马能够与其控制端(入侵者)建立某种有效联系,从而能够充分控制目标机器并窃取其中的敏感信息。 　　2.隐蔽性:木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己,进而被杀毒(或杀马)软件,甚至用户手工检查出来,这样将使得这类木马变得毫无价值。 　　3.木马顽固性就是指有效清除木马的难易程度。若一个木马在检查出来之后,仍然无法将其一次性有效清