计算机应用 | 古代文学 | 市场营销 | 生命科学 | 交通物流 | 财务管理 | 历史学 | 毕业 | 哲学 | 政治 | 财税 | 经济 | 金融 | 审计 | 法学 | 护理学 | 国际经济与贸易
计算机软件 | 新闻传播 | 电子商务 | 土木工程 | 临床医学 | 旅游管理 | 建筑学 | 文学 | 化学 | 数学 | 物理 | 地理 | 理工 | 生命 | 文化 | 企业管理 | 电子信息工程
计算机网络 | 语言文学 | 信息安全 | 工程力学 | 工商管理 | 经济管理 | 计算机 | 机电 | 材料 | 医学 | 药学 | 会计 | 硕士 | 法律 | MBA
现当代文学 | 英美文学 | 通讯工程 | 网络工程 | 行政管理 | 公共管理 | 自动化 | 艺术 | 音乐 | 舞蹈 | 美术 | 本科 | 教育 | 英语 |

试论“特洛伊木马”的攻击与防护网络毕(2)

2013-08-19 01:12
导读:在VB中设置Set RegEdit=CreateObject ("WScript.Shell"),开放以下的注册表功能: 删除键值:RegEdit.RegDelete RegKey 增加键值:RegEdit.Write RegKey,RegValue 获取键值:RegEd

  在VB中设置Set RegEdit=CreateObject ("WScript.Shell"),开放以下的注册表功能:
  删除键值:RegEdit.RegDelete RegKey
  增加键值:RegEdit.Write RegKey,RegValue
  获取键值:RegEdit.RegRead (Value)
  TrojanHorse控制某些端口或链接某个端口,如20端口,21端口和80端口……,TrojanHorse通过远程控制、发送密码、记录键盘甚至发动Dos攻击等对源机实施泄漏、盗取账号和密码等破坏行为,故要引起高度重视,有效。
  
  3 危害与基本特征
  
  “特洛伊木马”程序一般分为服务器端程序和客户端程序两个部分,以寻找后门、窃取密码为主。 “特洛伊木马”通过跟踪击键输入等方式,窃取密码、信用卡号码等机密资料,还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。
  隐蔽性:“特洛伊木马”隐藏在系统中,通过修改注册表和ini文件依附在其他程序中,下一次启动后仍能载入木马程序(或者有把服务器端和正常程序通过exe-binder绑定程式完成入侵,甚至把自身的.exe文件和服务器端的图片文件绑定)等等。
  自动运行性:当系统启动时即自动运行,潜入在相关系统启动文件中如win.ini、system.ini、winstart.bat以及启动组等。
  欺骗性:“特洛伊木马”借助系统中已有文件或常见文件名或扩展名,如“dll\win\sys\explorer等字样,仿制一些不易被人区别的文件名,甚者借用系统文件中已有的文件名,另行保存或者设置ZIP文件式图标等等实现对机器和员的欺骗。
  具备自动恢复功能:“特洛伊木马”功能模块不再是由单一的文件组成,而是具有多重备份,可相互恢复。
  能自动打开特别的端口:“特洛伊木马”的目的是为了获取系统中有用的信息,一旦与远端客户通讯,“特洛伊木马”就会记录关键信息造成外泄。

本文来自中国科教评价网


  功能的特殊性:“特洛伊木马”具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能特殊性。
  如今为了防备被跟踪追查,“特洛伊木马”一般采用只有服务器端的“小”木马:把系统关键信息如密码等发到一个邮箱里,通过后续步骤完成对系统的控制,为此需要手动和软件查杀双层防护。

  4 防护方法

  1)软件查杀:现在对病毒的查杀,习惯于软件查杀,常用的反“特洛伊木马”软件有瑞星杀毒软件、木马克星、360安全卫士等它们对“特洛伊木马”都有一定的防护功能和查杀功能。建议:在使用杀毒软件查杀“特洛伊木马”时,一要保持杀毒软件的及时升级和更新,二要在断开网络在安全模式下完成查杀。
  2)手动检测:根据“特洛伊木马”的特征,在注册表,文件名和端口以及进程等方面可以进行手动检测:
  查找“特洛伊木马”特定文件 : “特洛伊木马”的一个特征文件是kernl32.exe,另一个是sysexlpr.exe,删除了这两个文件,就等于关闭了“特洛伊木马”。
  
  检查注册表 :“特洛伊木马”可以通过注册表启动(大部分的“特洛伊木马”都是通过注册表启动的),故通过检查注册表搜索注册表的蛛丝马迹。
  端口扫描与查看连接: 扫描程序尝试连接某个端口或某个连接, 如果成功, 则说明端口(连接)开放;如果失败或超过某个特定的时间(超时), 则说明端口(连接)关闭。
  Windows的“系统文件检查器”:对于驱动程序/动态链接库木马,通过Windows的“系统文件检查器”,“开始”→“程序”→“附件”→“系统工具”→“系统信息”→“工具”→“运行”→“系统文件检查器”检测操作系统文件的完整性。如果这些文件损坏,检查器将其还原,甚至完成从安装盘中解压缩已压缩的文件(如驱动程序等)。如果驱动程序或动态链接库在没有升级的情况下被改动了,就有可能是“特洛伊木马” (或者损坏了),提取改动过的文件可以保证你的系统安全和稳定。

(科教范文网 lw.nseaC.Com编辑发布)


  任务管理器:通过查看空闲下性能状态:CPU和内存的使用率以及进程的开放量,检测是否多占用或超运作,完成检测。
  
  5 结束语
  
  随着信息技术的发展,“特洛伊木马”的变种也在日新月异,对系统造成的危害也在进一步加大,需要防患于未然。但只要在使用系统过程中,访问安全网站,对不信任的ActiveX控件不做连接尝试,并升级杀毒软件,使用正确的软件查杀,并定期进行手动检测,相信“特洛伊木马”必将无所遁形,用户信息的安全必将得到维护,系统的稳定性也必将得到保证。
  
  参考文献:
  [1] 闫峰,刘淑芬.基于逃避行为检测的特洛伊木马技术研究[J].吉林大学学报(信息科学版),2007,25(6):641-645.
  [2] 匡立人,杨宇.“木马”原理及其VB简单实现分析[J].现代商贸,2007,(12):259-260.
  [3] 张新宇,卿斯汉,马恒太,等.特洛伊木马隐藏技术研究[J].学报,2004,25(7):153-159.
  [4] 林小进,钱江.特洛伊木马隐藏技术研究[J].微信息,2007,(33):59-60.
  [5] 张颖卓.特洛伊木马分析与防范[J].现代计算机(下半月版),2007,(11):79-80.
  [6] 孟蕾.特洛伊木马隐蔽性研究[J].电脑学习,2007,(5):4-5.
  [7] 吴小博.木马的实现原理、分类和实例分析[J].网络安全技术与应用,2007,(10):56-57.

上一篇:关于网络交际的本质及其哲学阐释网络毕 下一篇:没有了