浅谈木马防御与查杀.docVIP

浅谈木马防御与查杀 　　 【摘 要】随着计算机网络的不断发展，计算机网络病毒日益的泛滥起来。其中木马程序使得远端的黑客能够享有系统的控制权，对网络和计算机系统的安全构成了极大的危胁。本文针对木马的防御和查杀问题做了详细的介绍。 　　 【关键词】网络安全；木马；防御 　　 　　 0.引言 　　随着科技的发展，计算机网络在社会生活中得到广泛应用并起着巨大的作用，对人类生活产生了深远的影响：网上缴费、网上购物、QQ、MSN等，网络缩短了人与人之间的距离，使我们的生活更为方便、快捷。同时，网络的安全问题越来越受到人们的关注，计算机遭受木马侵犯的事件时常发生，给计算机网络带来了巨大的破坏和威胁，严重地干扰了人们的社会生活。 　　 1.网络 　　1.1网络的定义 　　网络就是用物理链路将各个孤立的工作站或主机相连在一起，组成数据链路，从而达到资源共享和通信的目的。凡将地理位置不同，并具有独立功能的多个计算机系统通过通信设备和线路而连接起来，且以功能完善的网络软件（网络协议、信息交换方式及网络操作系统等）实现网络资源共享的系统，可称为计算机网络[1]。 　　1.2网络安全 　　网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 　　 2.木马 　　2.1病毒 　　编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒（Computer Virus）。具有破坏性，复制性和传染性。 　　2.2木马的定义 　　木马程序是目前比较流行的病毒文件，与一般的病毒不同，木马是一个用以远程控制的c／s程序，其目的是不需要管理员的准许就可获得系统使用权[2]。它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。 　　2.3木马的特点 　　一个完整的“木马”程序包含了两部分：“服务器”和“控制器”。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。也就是说先通过某种手段在一台个人电脑中植入一个程序,使这台机器变成一台用户拥有极高权限的开放服务器，然后就可以达到入侵的目的。 　　2.4木马的远程控制 　　木马连接建立后，控制端端口和木马端口之间将会出现一条通道。控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制。 　　(1)窃取密码：一切以明文的形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。 　　(2)文件操作：控制端可藉由远程控制对服务端上的文件进行删除，新建，修改，上传，下载，运行，更改属性等一系列操作，基本涵盖了WINDOWS平台上所有的文件操作功能。 　　(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键。有了这项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。 　　(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息。 　　 3.防御木马 　　通常木马病毒是通过注册表来启动服务的，所以注册表对于系统防御病毒有着比较重要的意义。按照理论上来说，我们可以通过修改注册表的属性来预防病毒和木马，实际上亦可行，具体的实施方法如下[3]： 　　（1）设置注册表自启动项为everyone只读(Run、RunOnce、RunService)，防止木马、病毒通过自启动项目启动。 　　（2）设置.txt、.com、.exe、.inf、.ini、.bat等等文件关联为everyone只读，防止木马、病毒通过文件关联启动。 　　（3）设置注册表HKLM\SYSTEM\CurrentControlSet\Services为eve 　　ryone只读，防止木马、病毒以服务方式启动。 　　 4.查杀木马 　　查杀木马，可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件，在这里介绍一下手动查杀木马的方法[4]： 　　（1）检查注册表看HKEY_LO