您当前的位置:首页 > 计算机论文>信息安全论文

木马入侵与清除技术探析

2015-12-14 14:34 来源:学术参考网 作者:未知

摘 要:网络技术日新月异,新的木马层出不穷,木马入侵、病毒传播、信息泄露等事情不断出现,越来越多的计算机用户深受其害。本文根据木马的入侵原理,研究了传统木马和新型木马的入侵手段,提出相应的清除方法。

关键词:木马;入侵;清除

1. 引言
  世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本(事实上,编写PC-Write的Quicksoft公司从未发行过2.72版本),一旦用户信以为真运行该木马程序,那么他的下场就是硬盘被格式化。随着计算机技术的不断发展,编写木马程序的方法、手段及传播途径、逃避查杀的技术也不断地翻新发展。
  
2.木马的入侵原理和入侵手段
2.1木马的入侵原理
  木马都是网络客户/服务模式(C/S),它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。 当攻击者要利用木马进行网络入侵,一般都要完成"向目标主机传播木马","启动和隐藏木马","建立连接","远程控制"等环节。
2.2木马入侵手段
  木马能不能完全发挥它的功能和作用,关键一步就是能否成功地进入到目标主机。随着计算机技术的不断发展,编写木马程序的方法、手段及传播途径、逃避查杀的技术也不断地翻新发展。
木马的传统入侵方式主要有三种:
1)电子邮件入侵传播,控制端将木马程序以附件的形式夹在邮件中发送出去,收信人只要打开附件系统就会感染木马;
2)下载入侵传播,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
3)远程入侵传播,黑客通过破解密码和建立IPC$远程连接后登陆到主机,将木马服务端程序拷贝到计算机中的文件夹中,然后通过远程操作让木马程序在某一个时间运行。
木马入侵手段的发展:
1)反弹端口型木马
  目前,由于大部分防火墙对于连入的连接往往会进行非常严格的过滤,能对非法端口的IP包进行有效的过滤,非法连接被拦在墙外,客户端主动连接的木马,现已很难穿过防火墙。与一般的软件相反,反弹端口型木马是把客户端的信息存于有固定IP的第三方FTP服务器上,服务端从 FTP 服务器上取得信息后计算出客户端的IP和端口,然后主动连接客户端。另外,网络神偷的服务端与客户端在进行通信,是用合法端口,把数据包含在像HTTP或FTP的报文中,这就是黑客们所谓的"隧道"技术。
2)缓冲区溢出植入型木马
  木马设计者利用缓冲区溢出漏洞,首先将木马攻击代码(ShellCode)加载到被攻击进程的地址空间中。此攻击代码是由可执行机器码组成的字符串,通常以参数的形式传递给被攻击程序并被加载到其堆栈段。然后编写恶意溢出程序在缓冲区中造成溢出,覆盖函数返回地址的内容或者更改void类型的函数指针,使其指向缓冲区可执行恶意代码(ShellCode)的起始地址,就可以运行攻击代码。缓冲区溢出植入型木马利用目标机器的溢出漏洞进行木马植入,不需用户进行激活即可完成植入,对目标主机影响小。造成被攻击程序溢出的代码由木马控制端计算机传人,且只存在于目标主机的内存之中,隐蔽性好,难以查杀。
  
3.木马病毒的清除
3.1DLL型木马查杀
  DLL木马的查杀比一般病毒和木马的查杀要更加困难,建议用户经常看看系统的启动项中有没有多出不明的项目,这是DLL木马Loader可能存在的场所之一。如果用户有一定的编程知识和分析能力,还可以在Loader里查找DLL名称,或者从进程里看多挂接了什么陌生的DLL。对普通用户来说,最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。
3.2反弹端口型木马查杀
  目前发现的反弹端口型木马有网络神偷和灰鸽子(辐射版)两种。如果中了反弹端口型的木马,对于网络神偷,我们可以用下面的方法清除:
   在中了木马的机器上运行客户端程序,可以再生成并运行新的配置正确的服务端,就会把原来的服务端冲掉。重新运行客户间 ,在客户端的"服务端在线列表"找到自己并连接上,再用菜单"网络" - >"远程卸载" ,就可以彻底清除。
3.3工具检测查杀
在手工检测的情况下,如果不能发现木马入侵的蛛丝马迹,可以借助一些反病毒软件。对于伪装过的木马,可以使用MT捆绑克星软件,MT捆绑克星通过分析程序的文件头特征码.可以查看文件是否捆绑了木马。

4.后言
  木马的入侵方法是多种多样的,新的木马会不断出现, 要检测木马的入侵和彻底清除木马也不是一件很容易的事。计算机用户必须提高警惕,采用预先防护措施,通过端口, 网络连接, 注册表以及一些查杀木马工具的运用,对发现的异常情况采取补救,如为系统打补丁,或升级软件版本;对于多余的网络服务和系统功能,应该禁止,并从技术和管理两个方面入手,完善安全防护体系,不断提高网络系统的安全性。
  
参考文献:
[1] 连一峰.王航编著.网络攻击原理与技术.科学出版社.2008.4.
[2] 李文剑. 防火墙技术初探[J]. 信息安全与通信保密,2007(05):107.
[3] 李斯 . 浅析木马程序攻击手段及防范技术 [J]. 网络安全技术与应用,2009

相关文章
学术参考网 · 手机版
https://m.lw881.com/
首页