大学综合实践报告计算机木马病毒及防治(防治版).doc
《大学综合实践报告计算机木马病毒及防治(防治版).doc》由会员分享,可在线阅读,更多相关《大学综合实践报告计算机木马病毒及防治(防治版).doc(19页珍藏版)》请在咨信网上搜索。
1、GDGM-QR-03-077-B/1Guangdong College of Industry & Commerce毕业综合实践报告Graduation synthesis practice report题目:计算机木马病毒及防治(in English) Computer Trojan virus research and prevention系 别: 班 级: 学生姓名: 学 号: 指导老师: 完成日期: 目录一、计算机木马病毒的概述及现状1(一)计算机木马病毒的概念1(二)木马病毒的原理1(三)木马病毒的特征3(四)木马病毒的危害3(五)计算机木马病毒发展4二、计算机木马病毒的伪装方式5(
2、一)修改图标5(二)捆绑文件5(三)出错显示5(四)定制端口5(五)自我销毁6(六)木马更名6三、计算机木马病毒的防治6(一)如何查出木马61、检测网络连接62、禁用不明服务63、检查系统账户74、对比系统服务项7(二)如何删除木马病毒71、禁用系统还原72、安全模式或VGA模式8(三)如何防范木马病毒81、截断传染源82、加强计算机防护83、善用账号保护工具8四、几款免费的木马专杀工具9(一)冰刃9(二)Windows清理助手9(三)恶意软件清理助手9(四)Atool软件9(五)Windows恶意软件删除工具(mrt.exe)10五、结束语10参考文献11内容提要随着信息化时代的到来人类社会
3、生活对因特网的需求日益增长,使得计算机网络技术迅速发展和普及。因特网使得全世界都联系到了一起。极大的促进了全球一体化的发展。但是随着互联网的普及和应用的不断发展,各种黑客工具和网络手段导致网络和用户收到财产损失,其中最严重的就是木马攻击手段。它以其攻击范围广、危害大等特点成为常见的网络攻击技术之一,对整个互联网照成了极大的危害。本文分析了木马病毒的基本原理,特征和危害,找出计算机感染病毒的原因,并且针对木马病毒的伪装方式,提出了完善的防治措施,另外介绍了几款免费的木马专杀工具。关键词:木马病毒 网络安全 远程控制 病毒防治 计算机木马病毒及防治一、计算机木马病毒的概述及现状木马的全称是“特洛伊
4、木马”(Trojan horse),来源于希腊神话。古希腊围攻特洛伊城多年无法攻下,于是有人献出木马计策,让士兵藏匿于巨大的木马中,然后佯作退兵,城中得知解围的消息后,将“木马”作为战利品拖入城内,匿于木马中的将士出来开启城门,与城外部队里应外合攻下特洛伊城,后世称这只大木马为“特洛伊木马”。网络世界的特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。它与控制主机之间建立起连接,使得控制者能够通过网络控制受害系统,通信遵照TCP/IP协议,最大的特征在于隐秘性,混入对方的主机里面,但是却没有被对方发现。就象一个
5、潜入敌方的间谍,为其他人的攻击打开后门,这与战争中的木马战术十分相似,因而得名木马程序。实际上计算机网络木马不但可以窃取、破坏被植入主机的信息,而且可以通过控制主机来攻击网络中的其它主机。(1)(一)计算机木马病毒的概念木马病毒,是一种新型的计算机网络病毒程序,是一种基于远程控制的黑客工具。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,有很强的隐蔽性。木马病毒通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。与一般的病毒不同,它不会自我繁殖,也并不
6、刻意地去感染其他文件,它通过将自身伪装吸引用户下载执行,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统任意毁坏、窃取被种者的文件,甚至远程操控被种主机。随着病毒编写技术的发展,木马病毒严重危害着现代网络的安全运行。 (二)木马病毒的原理特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文档程序时,特洛伊木马才会运行,信息或文档才会被破坏和遗失。一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。服务端植入对方电脑,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会暗中打
7、开一个或几个端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),甚至可以利用这些打开的端口执行入侵操作。如图: 1、配置、传播木马一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现伪装和信息反馈两方面的功能。 传播方式:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。 2、运行木马服务端用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷
8、贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表、启动组、非启动组中设置好木马的触发条件,这样木马的安装就完成了。木马被激活后,进入内存,并开启事先定义的木马端口,准备与控制端建立连接。3、信息反馈木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号,ICO号等等。4、建立连接一个木马连接的建立首先必须满足两个条件:一是服务端已安装了木马程序;二是控制端,服务端都要在线。在此基础上控制端可以通过木马端口与服务端建立连接值得一提的要扫描整个IP地址段显然费时费力,一般来说控制端都是先通过信息反馈获得服务端的IP
9、地址,由于拨号上网的IP是动态的,即用户每次上网的IP都是不同的。5、远程控制木马连接建立后,控制端端口和木马端口之间将会出现一条通道,控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。(2)(三)木马病毒的特征据不完全统计,目前世界上可能有着上数十万种木马程序。虽然这些程序使用不同的程序语言进行编制,在不同的平台环境下运行,发挥着不同的作用,但是它们有着许多共同的特征。1、隐蔽性这一点与病毒特征是很相似的,木马类软件的程序在被控主机系统上运行时,会使用各种方法来隐藏自己。它的隐蔽性主要体现在6个方面:(1)不产生图标、(2)文件隐藏、(3)在专
10、用文件夹中隐藏、(4)自动在任务管理其中隐形、(5)无声无息的启动、(6)伪装成驱动程序及动态链接库。 2、自动运行性木马不可能等用户来点击运行,也不能只执行一次,它是一个当你系统启动时即自动运行的程序,所以它必需通过修改系统配置文件,如:win.ini、system.ini、注册表等,在目标主机系统启动时自动运行或加载。3、欺骗性。木马程序要达到其长期隐蔽的目的,就必需借助系统中已有的文件,以防用户发现,它经常使用的是常见的文件名或扩展名,如dllwinsysexPlorer等字样,或者仿制一些不易被人区别的文件名,如字母“l”与数字“1”;字母“o”与数字“0”,有的木马就直接使用系统文件
11、中已有的文件名,只不过它保存在不同路径之中。这些手段那些编制木马程序的人还在不断地研究、发掘,总之是越来越隐蔽,越来越专业。 4、自动恢复性。现在很多的木马程序中的功能模块已不再是由单一的文件组成,而是具有多重备份,可以相互恢复。系统一旦被植入木马,只删除某一个木马文件来进行清除是无法清除干净的。 5、功能的特殊性通常的木马的功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。(3)(四)木马病毒的危害木马是近几年比较流行的危害程度较严重的恶意软件,常被用作网络系统入侵的重要工
12、具和手段。木马程序不仅可能侵害到个人乃至某些公司的利益和权力,更可能危及整个社会和国家的利益和安全。如果公安部用于采集处理人们身份证信息的计算机被安装了木马,那么这些信息就可能被木马以有线或无线的方式通过网络泄露出去,后果不堪设想。木马是受控的,它能分清敌我,所以与分不清敌我的其它病毒和攻击技术相比,具有更大的危险性和破坏性。2015年金山病毒报告监测显示,木马攻击占当前网络病毒的70%以上,已经成为当前网络危害最严重的网络病毒。网络上各种“种马”技术加剧了木马的流行和发展,由于木马控制了被植入者的计算机,它几乎可以在被植入主机上为所欲为,破坏程度非常巨大,可以窃取账号密码、删除文件、格式化磁
13、盘,甚至可以打开摄像头进行偷窥等;木马往往又被用做后门,植入被攻击的系统,以便为入侵者再次访问系统提供方便;或者利用被入侵的系统,通过欺骗合法用户的某种方式暗中“散发”木马,以便进一步扩大入侵成果和入侵范围,为进行其它入侵活动,如分布式拒绝服务攻击等提供可能。木马“投放”也有巨大的商业利益驱动,简单的一个木马程序就会带来数十万的收入。(4)(五)计算机木马病毒发展目前,木马病毒结合了传统病毒的破坏性,产生了更有危害性的混合型木马病毒。有关报告显示:截止2012年上半年,所截获的新增病毒总计有132474种,而木马病毒占总数的64.1%。其中,盗号木马占总木马数的70%,从数据上可以看出,木马数
14、量的成倍增长,变种称出不穷,使得计算机用户的处境更加危险。至今木马程序已经经历了六代的改进: 第一代,是最原始的木马程序。出现在网络发展的早期,是以窃取网络密码为主要任务,通过电子邮件发送信息,具备了木马最基本的功能。这种木马通过伪装成一个合法的程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本(而实际上编写PC-Write的Quicksoft公司从未发行过2.72版本),一旦用户信以为真运行该木马程序,硬盘可能被格式化。第一代木马还不具有传染性,在隐藏和通信方面也均无特别之处。 第二代,在技术上有了很大的进步,它使
15、用标准的C/S架构,提供远程文件管理、屏幕监视等功能,在隐藏、自启动和操纵服务器等技术上也有很大的发展。由于植入木马的服务端程序会打开连接端口等候客户端连接,因此比较容易被用户发现。冰河是第二代木马的典型代表之一。 第三代,主要改进在网络连接方式和数据传递技术方面,不打开连接端口进行侦听,而是使用ICMP通信协议进行通信或使用TCP端口反弹技术让服务器端主动连接客户端,以突破防火墙的拦截,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。如网络神偷(Netthief)、灰鸽子木马等。 第四代 在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,让木马服务器运行时没有进程,网络操作插入到系
16、统进程或者应用进程中完成。这方面发展的最高境界是rootkit技术,嵌入木马通过替换系统程序、DLL、甚至是驱动程序,替换之后还能够提供原来程序正常的服务,同时还被远程控制,从而实现木马的隐藏。前三代木马,大多都有独立的进程,通过任务管理器等查看当前运行的进程,很快找到木马并删除。但是第四代木马不是单独的进程或者以注册服务的形式出现,无法通过“任务管理器”查看到正在运行的木马甚至在Windows NT/2000下,都达到了良好的隐藏效果。需要专门的工具才能发现以及专业的木马查杀工具才能清除,这方面的典型木马如蜜蜂大盗、广外男生。 第五代,实现了与病毒紧密结合,利用操作系统漏洞,直接实现感染传播
17、的目的,而不必象以前的木马那样需要欺骗用户主动激活。(7)二、计算机木马病毒的伪装方式鉴于木马病毒的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。(一)修改图标当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。(二)捆绑文件
18、这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。(三)出错显示有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序,木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框,错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。(四)定制端口很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要
19、查一下特定的端口就知道感染了什么木马,所以现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024-65535之间任选一个端口作为木马端口,这样就给判断所感染木马类型带来了麻烦。(五)自我销毁这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),一般来说原木马文件和系统文件夹中的木马文件的大小是一样的(捆绑文件的木马除外),那么只要在近来收到的信件和下载的软件中找到原木马文件,然后根据原木马的大小去系统文件夹找相同大小的文件,判断一下哪个是木马就行了。而木
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 大学 综合 实践 报告 计算机 木马病毒 防治
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。