第二代木馬的研究與實(shí)現(xiàn)畢業(yè)論文

《第二代木馬的研究與實(shí)現(xiàn)畢業(yè)論文》由會(huì)員分享，可在線閱讀，更多相關(guān)《第二代木馬的研究與實(shí)現(xiàn)畢業(yè)論文（30頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、Anhui Vocactional & Technical College of Industry & Trade畢 業(yè) 論 文第二代木馬的研究與實(shí)現(xiàn)Research and implementation of second generation Trojan 所在系院： 計(jì)算機(jī)技術(shù)系 專業(yè)班級(jí)： 2013級(jí)計(jì)算機(jī)應(yīng)用技術(shù)1班 學(xué)生學(xué)號(hào)： 2013290108 學(xué)生姓名： 莫 如 指導(dǎo)教師： 商 杰 二一六 年 四 月 二十 日安徽工貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文第二代木馬的研究與實(shí)現(xiàn)摘 要; 隨著信息化時(shí)代的到來(lái)人類社會(huì)生活對(duì)因特網(wǎng)的需求日益增長(zhǎng)，使得計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)迅速發(fā)展和普及。因特網(wǎng)使得全世界都

2、聯(lián)系到了一起。極大的促進(jìn)了全球一體化的發(fā)展。但是隨著互聯(lián)網(wǎng)的普及和應(yīng)用的不斷發(fā)展，各種黑客工具和網(wǎng)絡(luò)手段導(dǎo)致網(wǎng)絡(luò)和用戶收到財(cái)產(chǎn)損失，其中最嚴(yán)重的就是木馬攻擊手段。它以其攻擊范圍廣、危害大等特點(diǎn)成為常見的網(wǎng)絡(luò)攻擊技術(shù)之一，對(duì)整個(gè)互聯(lián)網(wǎng)照成了極大的危害。本文分析了木馬病毒的基本原理，針對(duì)木馬病毒的特征、傳播途徑等分析結(jié)果，找出計(jì)算機(jī)感染病毒的原因。并且對(duì)木馬病毒的種類、加載技術(shù)及現(xiàn)狀進(jìn)行了詳細(xì)的研究，提出了完善的防范建議。關(guān)鍵詞：木馬病毒；網(wǎng)絡(luò)安全；自動(dòng)加載；文件劫持。ABSTRACTWiththegrowingdemandforinformationtechnologyeraofhumansoc

3、iallifeontheInternet,computernetworktechnologyrapiddevelopmentandpopularization.TheInternetmakesthewholeworldislinkedtotogether.Greatlycontributedtothedevelopmentofglobalintegration.ButwiththepopularityoftheInternetandthecontinuousdevelopmentoftheapplication,avarietyofhackingtoolsandnetworkmeansthen

4、etworkandtheuserreceivespropertydamage,themostseriousofwhichisTrojanattacks.Withitswiderangeofattacks,hazardsandothercharacteristicstobecomeoneofthecommonnetworkattacktechniques,theentireInternetaccordingtobecomegreatharm.Keywords: Trojan;networksecurity;Automaticallyloaded；FilehijackedI目 錄摘 要; IABS

5、TRACTII引言2第一章 木馬病毒的概述及現(xiàn)狀31.1 木馬的基本特征31.2木馬的傳播途徑41.3木馬病毒的危害5第二章 木馬病毒的現(xiàn)狀52.1 特洛伊木馬的發(fā)展62.2木馬病毒的種類7第三章 木馬病毒的發(fā)展趨勢(shì)9第四章 木馬病毒的基本原理12第五章木馬病毒的防范181引言隨著信息化時(shí)代的到來(lái)人類社會(huì)生活對(duì)因特網(wǎng)的需求日益增長(zhǎng)，使得計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)迅速發(fā)展和普及。因特網(wǎng)使得全世界都聯(lián)系到了一起。極大的促進(jìn)了全球一體化的發(fā)展。但是隨著互聯(lián)網(wǎng)的普及和應(yīng)用的不斷發(fā)展，各種黑客工具和網(wǎng)絡(luò)手段導(dǎo)致網(wǎng)絡(luò)和用戶收到財(cái)產(chǎn)損失，其中最嚴(yán)重的就是木馬攻擊手段。它以其攻擊范圍廣、危害大等特點(diǎn)成為常見的網(wǎng)絡(luò)攻擊技術(shù)

6、之一，對(duì)整個(gè)互聯(lián)網(wǎng)照成了極大的危害。第1章 木馬病毒的概述及現(xiàn)狀1.1 木馬的基本特征1、隱蔽性是其首要的特征當(dāng)用戶執(zhí)行正常程序時(shí)，在難以察覺(jué)的情況下，完成危害影虎的操作，具有隱蔽性。它的隱蔽性主要體現(xiàn)在6個(gè)方面：1.不產(chǎn)生圖標(biāo)、2.文件隱藏、3.在專用文件夾中隱藏、4.自動(dòng)在任務(wù)管理其中隱形、5.無(wú)聲無(wú)息的啟動(dòng)、6.偽裝成驅(qū)動(dòng)程序及動(dòng)態(tài)鏈接庫(kù)2、它具有自動(dòng)運(yùn)行性它是一個(gè)當(dāng)你系統(tǒng)啟動(dòng)時(shí)即自動(dòng)運(yùn)行的程序，所以它必需潛入在你的啟動(dòng)配置文件中，如win.ini、system.ini、winstart.bat以及啟動(dòng)組等文件之中。3、木馬程序具有欺騙性木馬程序要達(dá)到其長(zhǎng)期隱蔽的目的，就必需借助系統(tǒng)中已

7、有的文件，以防被你發(fā)現(xiàn)，它經(jīng)常使用的是常見的文件名或擴(kuò)展名，如“dllwinsysexplorer等字樣，或者仿制一些不易被人區(qū)別的文件名，如字母“l(fā)”與數(shù)字“1”、字母“o”與數(shù)字“0”，常修改基本文件中的這些難以分辨的字符，更有甚者干脆就借用系統(tǒng)文件中已有的文件名，只不過(guò)它保存在不同路徑之中。還有的木馬程序?yàn)榱穗[藏自己，也常把自己設(shè)置成一個(gè)ZIP文件式圖標(biāo)，當(dāng)你一不小心打開它時(shí)，它就馬上運(yùn)行。等等這些手段那些編制木馬程序的人還在不斷地研究、發(fā)掘，總之是越來(lái)越隱蔽，越來(lái)越專業(yè)，所以有人稱木馬程序?yàn)椤膀_子程序”。4、具備自動(dòng)恢復(fù)功能 現(xiàn)在很多的木馬程序中的功能模塊已不再是由單一的文件組成，而是

8、具有多重備份，可以相互恢復(fù)。5、能自動(dòng)打開端口應(yīng)服務(wù)器客戶端的通信手段，利用TCP/IP協(xié)議不常用端口自動(dòng)進(jìn)行連接，開方便之“門”6、功能的特殊性通常的木馬的功能都是十分特殊的，除了普通的文件操作以外，還有些木馬具有搜索cache中的口令、設(shè)置口令、掃描目標(biāo)機(jī)器人的IP地址、進(jìn)行鍵盤記錄、遠(yuǎn)程注冊(cè)表的操作、以及鎖定鼠標(biāo)等功能,上面所講的遠(yuǎn)程控制軟件的功能當(dāng)然不會(huì)有的，畢竟遠(yuǎn)程控制軟件是用來(lái)控制遠(yuǎn)程機(jī)器，方便自己操作而已，而不是用來(lái)黑對(duì)方的機(jī)器的。1.2木馬的傳播途徑1.利用操作系統(tǒng)和瀏覽器漏洞傳播。2.利用移動(dòng)存儲(chǔ)設(shè)備（U盤）等來(lái)傳播。3.利用第三方軟件（如realplayer，迅雷，暴風(fēng)影音

9、等）漏洞傳播4.利用ARP欺騙方式來(lái)傳播5利用電子郵件，QQ,MSN等通訊軟件傳播6.利用網(wǎng)頁(yè)掛馬，嵌入惡意代碼來(lái)傳播1.3木馬病毒的危害1利用通訊軟件盜取用戶個(gè)人信息。黑客可以利用木馬病毒盜取用戶的如QQ,MSN等賬號(hào)進(jìn)行盜取用戶好友個(gè)人信息等。2盜取網(wǎng)游賬號(hào)，威脅我們的虛擬財(cái)產(chǎn)安全黑客利用木馬病毒盜取用戶游戲賬戶密碼，并將用戶游戲中的裝備或游戲幣轉(zhuǎn)移，照成損失3盜取用戶的網(wǎng)銀信息，威脅我們的真是財(cái)產(chǎn)安全黑客利用木馬，采用鍵盤記錄等方法盜取用戶的個(gè)人銀行信息，直接到市用戶的經(jīng)濟(jì)損失4給電腦打開后門，使電腦可能被黑客控制 如灰鴿子等，當(dāng)我們中了此類木馬我們的電腦就可能成為“肉雞”，成為黑客的工

10、具。第2章 木馬病毒的現(xiàn)狀 目前，木馬病毒結(jié)合了傳統(tǒng)病毒的破壞性，產(chǎn)生了更有危害性的混合型木馬病毒。有關(guān)報(bào)告顯示：截止2011年上半年，所截獲的新增病毒總計(jì)有111474種，而木馬病毒占總數(shù)的64.1%。其中，盜號(hào)木馬占總木馬數(shù)的70%，從數(shù)據(jù)上可以看出，木馬數(shù)量的成倍增長(zhǎng)，變種稱出不窮，使得計(jì)算機(jī)用戶的處境更加危險(xiǎn)。2.1 特洛伊木馬的發(fā)展 計(jì)算機(jī)世界的特洛伊木馬(Trojan)是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和攻擊Dos等特殊功能的后門程序。 第一代木馬：偽裝型病毒 這種病毒通過(guò)偽裝成一個(gè)合法性程序誘騙用戶上當(dāng)。世界上第一個(gè)計(jì)算機(jī)木

11、馬是出現(xiàn)在1986年的PC-Write木馬。它偽裝成共享軟件PC-Write的2.72版本（事實(shí)上，編寫PC-Write的Quicksoft公司從未發(fā)行過(guò)2.72版本），一旦用戶信以為真運(yùn)行該木馬程序，那么他的下場(chǎng)就是硬盤被格式化。在我剛剛上大學(xué)的時(shí)候，曾聽說(shuō)我校一個(gè)前輩牛人在WAX機(jī)房上用BASIC作了一個(gè)登錄界面木馬程序，當(dāng)你把你的用戶ID，密碼輸入一個(gè)和正常的登錄界面一模一樣的偽登錄界面后后，木馬程序一面保存你的ID,和密碼，一面提示你密碼錯(cuò)誤讓你重新輸入，當(dāng)你第二次登錄時(shí)，你已成了木馬的犧牲品。此時(shí)的第一代木馬還不具備傳染特征第二代木馬：AIDS型木馬 繼PC-Write之后，1989

12、年出現(xiàn)了AIDS木馬。由于當(dāng)時(shí)很少有人使用電子郵件，所以AIDS的作者就利用現(xiàn)實(shí)生活中的郵件進(jìn)行散播：給其他人寄去一封封含有木馬程序軟盤的郵件。之所以叫這個(gè)名稱是因?yàn)檐洷P中包含有AIDS和HIV疾病的藥品，價(jià)格，預(yù)防措施等相關(guān)信息。軟盤中的木馬程序在運(yùn)行后，雖然不會(huì)破壞數(shù)據(jù)，但是他將硬盤加密鎖死，然后提示受感染用戶花錢消災(zāi)?？梢哉f(shuō)第二代木馬已具備了傳播特征（盡管通過(guò)傳統(tǒng)的郵遞方式）第三代木馬：網(wǎng)絡(luò)傳播性木馬 隨著Internet的普及，這一代木馬兼?zhèn)鋫窝b和傳播兩種特征并結(jié)合TCP/IP網(wǎng)絡(luò)技術(shù)四處泛濫。同時(shí)還有了兩個(gè)新特征，第一，添加了“后門”功能；第二，添加了擊鍵記錄功能；第三，有了視頻監(jiān)控

13、和桌面監(jiān)控等功能。2.2木馬病毒的種類種類特性傳播途徑破壞型唯一的功能就是破壞并且刪除文件，可以自動(dòng)的刪除電腦上的DLL、INI、EXE文件硬盤傳播密碼發(fā)送型向密碼輸入窗口發(fā)送WM_SETTEXT消息模擬輸入密碼，向按鈕窗口發(fā)送WM_COMMAND消息模擬單擊。在破解過(guò)程中，把密碼保存在一個(gè)文件中，以便在下一個(gè)序列的密碼再次進(jìn)行窮舉或多部機(jī)器同時(shí)進(jìn)行分工窮舉，直到找到密碼為止?？梢哉业诫[藏密碼并把它們發(fā)送到指定的信箱。也有些黑客軟件長(zhǎng)期潛伏，記錄操作者的鍵盤操作，從中尋找有用的密碼。遠(yuǎn)程訪問(wèn)型最廣泛的是特洛伊馬，只需有人運(yùn)行了服務(wù)端程序，如果客戶知道了服務(wù)端的IP地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制。通過(guò)

14、控制internet的UDP協(xié)議進(jìn)行傳播。鍵盤記錄木馬這種特洛伊木馬是非常簡(jiǎn)單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。潛伏在計(jì)算機(jī)硬盤中，通過(guò)記錄使用者的鍵盤操作進(jìn)行傳播。DoS攻擊木馬隨著DoS攻擊越來(lái)越廣泛的應(yīng)用，被用作DoS攻擊的木馬也越來(lái)越流行起來(lái)。當(dāng)你入侵了一臺(tái)機(jī)器，給他種上DoS攻擊木馬，你控制的肉雞數(shù)量越多，你發(fā)動(dòng)DoS攻擊取得成功的機(jī)率就越大。通過(guò)郵件傳播，一旦機(jī)器被感染，木馬就會(huì)隨機(jī)生成各種各樣主題的信件，對(duì)特定的郵箱不停地發(fā)送郵件，一直到對(duì)方癱瘓、不能接受郵件為止。代理木馬“代理木馬”具有自動(dòng)下載木馬病毒的功能，一旦感染系統(tǒng)后，當(dāng)系統(tǒng)接入互

15、聯(lián)網(wǎng)，再?gòu)闹付ǖ木W(wǎng)址下載其他木馬、病毒等惡意軟件。它們可以根據(jù)病毒編者指定的網(wǎng)址下載木馬病毒或其他惡意軟件，還可以通過(guò)網(wǎng)絡(luò)和移動(dòng)存儲(chǔ)介質(zhì)傳播。FTP木馬這種木馬可能是最簡(jiǎn)單和古老的木馬了，它的唯一功能就是打開21端口，等待用戶連接?？刂朴脩舻?1端口使其運(yùn)行某一指定的命令。反彈端口型木馬木馬定時(shí)監(jiān)測(cè)控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動(dòng)連結(jié)控制端打開的主動(dòng)端口；即使用戶使用掃描軟件檢查自己的端口，發(fā)現(xiàn)類似TCP的情況。通過(guò)控制計(jì)算機(jī)防火墻端口進(jìn)行傳播。7安徽工貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)論文第3章 木馬病毒的發(fā)展趨勢(shì) 早期的病毒僅僅實(shí)現(xiàn)了單一的破壞系統(tǒng)功能,直到1998年CIH病毒的出現(xiàn)。CIH病

16、毒是迄今為止破壞性最嚴(yán)重的病毒,也是世界上首例破壞硬件的病毒。伴隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,計(jì)算機(jī)病毒的發(fā)展趨勢(shì)也發(fā)生了巨變,目前的計(jì)算機(jī)病毒發(fā)展呈現(xiàn)以下趨勢(shì): 1.綜合利用多種編程新技術(shù)的病毒將成為主流。從Ro-otKit技術(shù)到映像劫持技術(shù),磁盤過(guò)濾驅(qū)動(dòng)到還原系統(tǒng)SSDTHOOK和還原其它內(nèi)核HOOK技術(shù),病毒為達(dá)到目的所采取的手段已經(jīng)無(wú)所不用。通過(guò)Rootkit技術(shù)和映像技術(shù)隱藏自身的進(jìn)程、注冊(cè)表鍵值,通過(guò)插入進(jìn)程、線程避免被殺毒軟件查殺,通過(guò)實(shí)時(shí)監(jiān)測(cè)對(duì)自身進(jìn)程進(jìn)行回寫,通過(guò)還原系統(tǒng)SS-DTHOOK和還原其他內(nèi)核HOOK技術(shù)破壞反病毒軟件,甚至一向被認(rèn)為安全至極的數(shù)碼產(chǎn)品都能被其驅(qū)動(dòng)

17、光盤感染病毒。目前幾乎所有的木馬病毒都具備這些技術(shù)特征,幾乎所有最新的程序應(yīng)用技術(shù)都被病毒一一應(yīng)用,未來(lái)的病毒將綜合利用以上新技術(shù),使得殺毒軟件查殺難度更大,對(duì)病毒的實(shí)時(shí)檢測(cè)更困難,病毒與反病毒軟件之間的對(duì)抗進(jìn)一步加強(qiáng)。2. ARP病毒仍將成為局域網(wǎng)的最大禍害。ARP病毒已經(jīng)成為近年來(lái)局域網(wǎng)的最大威脅,它采用ARP技術(shù)局域網(wǎng)掛馬攻擊技術(shù),利用MAC地址欺騙,傳播惡意廣告或病毒程序。ARP病毒發(fā)作時(shí),通常會(huì)造成網(wǎng)絡(luò)掉線,但網(wǎng)絡(luò)連接正常,內(nèi)網(wǎng)的部分或全部電腦不能上網(wǎng),無(wú)法打開網(wǎng)頁(yè)或時(shí)斷時(shí)續(xù),且網(wǎng)速較慢等現(xiàn)象。更為嚴(yán)重的是,ARP病毒新變種能把自身偽裝成網(wǎng)關(guān),在所有用戶請(qǐng)求訪問(wèn)的網(wǎng)頁(yè)添加惡意代碼,導(dǎo)

18、致殺毒軟件在用戶訪問(wèn)任意網(wǎng)站時(shí)均發(fā)出病毒警報(bào),用戶下載任何可執(zhí)行文件,均被替換成病毒。3.病毒制作更簡(jiǎn)單,傳播速度更快。由于網(wǎng)絡(luò)的普及,使得編寫病毒的知識(shí)更容易獲得,同時(shí),各種功能強(qiáng)大而易學(xué)的編程工具,讓用戶可以輕松編寫病毒程序,用戶通過(guò)網(wǎng)絡(luò)甚至可以獲得專門編寫病毒的工具軟件,只需要通過(guò)簡(jiǎn)單的操作就可以生成具有極強(qiáng)殺傷力的病毒。隨著網(wǎng)速的提高,在數(shù)據(jù)傳輸時(shí)間變短的同時(shí),病毒的傳送時(shí)間會(huì)變得微不足道。同時(shí),可利用的傳播途徑也日趨多樣化,有文件、電子郵件、Web服務(wù)器、網(wǎng)絡(luò)共享、ICQ、ICR等,病毒的危害性也日趨多樣化。 目前計(jì)算機(jī)病毒的傳播方式使用技術(shù)以及危害的程度與過(guò)去相比已經(jīng)有了較大的變化

19、在網(wǎng)絡(luò)境下病毒除了具有可傳播性可執(zhí)行性破壞性等計(jì)算機(jī)病毒的共性外還具有一些新的特點(diǎn)一、破壞性極大 網(wǎng)絡(luò)中計(jì)算機(jī)病毒破壞性極強(qiáng)，病毒往往與其它技術(shù)相融合，如：某些病毒集普通病毒、蠕蟲、木馬和黑客等技術(shù)于一身，具有混合型特征的“愛(ài)蟲”“美麗殺”等CIH病毒都給世界計(jì)算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)帶來(lái)災(zāi)難性的破壞；有的造成網(wǎng)絡(luò)擁塞甚至癱瘓有的成為“肉雞”進(jìn)而造成重要信息被竊取、個(gè)人隱私被偷拍；甚至有的計(jì)算機(jī)被人網(wǎng)絡(luò)控制變成攻擊別人的“網(wǎng)絡(luò)僵尸”二、利用可移動(dòng)磁盤傳播的病毒明顯增多 隨著可移動(dòng)磁盤價(jià)格下降，擁有可移動(dòng)磁盤的用戶也大量增加，病毒也開始趁機(jī)作亂，除了蠕蟲，普通的木馬大多都可通過(guò)可移動(dòng)磁盤進(jìn)行傳播，主要

20、方式是復(fù)制一個(gè)病毒體和一個(gè)autoru.inf文件到各盤。 由于經(jīng)常使用可移動(dòng)磁盤在不同計(jì)算機(jī)之間交流數(shù)據(jù)和windows系統(tǒng)自動(dòng)播放功能的存在,很容易造成計(jì)算機(jī)病毒的“交叉感染”。三、病毒隱蔽性強(qiáng) 現(xiàn)在病毒技術(shù)不斷翻新，更多的VBS病毒只駐留在內(nèi)存中，不寫到硬盤上，根本就沒(méi)有特征代碼和惡意代碼，病毒啟動(dòng)時(shí)在內(nèi)存中無(wú)法找到病毒體，即使有的病毒有特征代碼或惡意代碼，也都采用了加密技術(shù)，將病毒特征代碼和惡意代碼進(jìn)行隱藏可以逃過(guò)普通的特征碼匹配查找方法，隱藏性更強(qiáng)，使發(fā)現(xiàn)病毒變得更加困難。為了更好的隱藏自己陰險(xiǎn)的一面，病毒常常偽裝成各種能對(duì)人感興趣的東西，例如：“世界杯病毒(scriptworldc

21、up)”是利用世界杯熱潮以竟猜世界杯冠軍獲獎(jiǎng)信息為內(nèi)容的惡意網(wǎng)絡(luò)腳本病毒，還有一些病毒偽裝成玩笑、動(dòng)畫、甚至病毒修復(fù)程序等形式出現(xiàn)。四、對(duì)抗安全軟件的病毒明顯增多 “機(jī)器狗”系列病毒直接操作磁盤以繞過(guò)系統(tǒng)文件完整性的檢驗(yàn)，通過(guò)感染系統(tǒng)文件（比如explorer.exe，winhlp32.exe，serinit.exe等）達(dá)到隱蔽啟動(dòng)；通過(guò)底層技術(shù)穿透冰點(diǎn)、影子等還原系統(tǒng)軟件導(dǎo)致大量用戶感染病毒；通過(guò)修復(fù)SSDT、映像挾持、進(jìn)程操作、修改注冊(cè)表等方法使得流行的安全軟件失去用，用聯(lián)網(wǎng)下載大量的盜號(hào)木馬。終結(jié)者AV最大特點(diǎn)是禁用所有殺毒軟件以及大量的安全輔助工具，讓用戶電腦失去安全保障；破壞安全模式

22、，致使用戶根本無(wú)法進(jìn)入安全模式清除病毒；強(qiáng)行關(guān)閉帶有病毒字樣的網(wǎng)頁(yè)，只要在網(wǎng)頁(yè)中輸入“病毒”相關(guān)字樣，網(wǎng)頁(yè)遂被強(qiáng)行關(guān)閉，即使是一些安全論壇也無(wú)法登陸，用戶無(wú)法通過(guò)網(wǎng)絡(luò)尋求解決辦法。2008年年末出現(xiàn)的“超級(jí)AV終結(jié)者”結(jié)合了AV終結(jié)者、機(jī)器狗、震蕩波、autorun病毒的特點(diǎn)，是金山毒霸“云安全”中心捕獲的新型計(jì)算機(jī)病毒。它對(duì)用戶具有非常大的威脅。五、網(wǎng)頁(yè)掛馬式傳播 網(wǎng)頁(yè)掛馬已經(jīng)成為木馬病毒傳播的主要途徑之一。入侵網(wǎng)站，篡改網(wǎng)頁(yè)內(nèi)容，植入各種木馬，用戶只要瀏覽被植入木馬的網(wǎng)站，即有可能遭遇木馬入侵，甚至遭遇更猛烈的攻擊，造成網(wǎng)絡(luò)財(cái)產(chǎn)的損失。2008年，網(wǎng)站被掛馬現(xiàn)象屢見不鮮，大到一些門戶網(wǎng)站，

23、小到某地方電視臺(tái)的網(wǎng)站都曾遭遇掛馬問(wèn)題。 伴隨著互聯(lián)網(wǎng)的日益普及。網(wǎng)頁(yè)掛馬已經(jīng)成為木馬病毒傳播的主要途徑之一的今天，金山毒霸反病毒工程師預(yù)測(cè)2009年網(wǎng)絡(luò)掛馬問(wèn)題將更加嚴(yán)峻，更多的網(wǎng)站將遭遇木馬攻擊。六、病毒制造經(jīng)濟(jì)化、產(chǎn)業(yè)化、低門檻化 早期的計(jì)算機(jī)病毒都是編程高手制作的，編寫病毒是為了顯示自己的技術(shù)。而現(xiàn)在的病毒編寫者不再單純炫耀技術(shù)，更多是以經(jīng)濟(jì)利益為目的。2008年年截獲的新木馬病毒中，80%以上都與盜取網(wǎng)絡(luò)游戲帳號(hào)密碼有關(guān)。同時(shí)，網(wǎng)上販賣病毒、木馬和僵尸網(wǎng)絡(luò)的活動(dòng)不斷增多，且公開化；利用病毒木馬技術(shù)傳播垃圾郵件和進(jìn)行網(wǎng)絡(luò)攻擊、破壞的事件呈上升趨勢(shì)。種種跡象表明。病毒的制造、傳播者追求經(jīng)

24、濟(jì)利益的目的越來(lái)越強(qiáng)。“病毒制造機(jī)”是網(wǎng)上流行的一種制造病毒的工具，病毒作者不需要任何專業(yè)技術(shù)就可以手工制造生成病毒，在網(wǎng)絡(luò)上可以輕易找到有諸多此類廣告，病毒作者可根據(jù)自己對(duì)病毒的需求，在相應(yīng)的制作工具中定制和勾選病毒功能，這種病毒傻瓜式制作導(dǎo)致制作病毒門檻更低。 第4章 木馬病毒的基本原理 木馬病毒通常飽飯兩個(gè)部分：服務(wù)器和客戶端。服務(wù)端植入危害主機(jī)，而施種者利用客戶端侵入運(yùn)行了服務(wù)端的主機(jī)。木馬的服務(wù)端一旦啟動(dòng)，受害主機(jī)的一個(gè)或幾個(gè)端口即對(duì)施種者敞開，使得施種者可以利用這些端口受害主機(jī)，開始執(zhí)行入侵操作。如圖：圖表1-1 木馬病毒傳播的基本原理1、配置、傳播木馬 一般來(lái)說(shuō)一個(gè)設(shè)計(jì)成熟的木馬

25、都有木馬配置程序，從具體的配置內(nèi)容看，主要是為了實(shí)現(xiàn)偽裝和信息反饋兩方面的功能。傳播方式: 木馬的傳播方式主要有兩種:一種是通過(guò)E-MAIL,控制端將木馬程序以附件的形式夾在郵件中發(fā)送出去,收信人只要打開附件系統(tǒng)就會(huì)感染木馬;另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。2、運(yùn)行木馬 服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后,木馬就會(huì)自動(dòng)進(jìn)行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中(C:WINDOWS或C:WINDOWSSYSTEM目錄下),然后在注冊(cè)表,啟動(dòng)組,非啟動(dòng)組中設(shè)置好木馬的觸發(fā)條件,這樣木馬的

26、安裝就完成了。木馬被激活后，進(jìn)入內(nèi)存，并開啟事先定義的木馬端口，準(zhǔn)備與控制端建立連接。這時(shí)服務(wù)端用戶可以在MS-DOS方式下，鍵入NETSTAT-AN查看端口狀態(tài)，一般個(gè)人電腦在脫機(jī)狀態(tài)下是不會(huì)有端口開放的，如果有端口開放，你就要注意是否感染木馬了。3、信息反饋 木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置，如設(shè)置信息反饋的郵件地址，IRC號(hào)，ICO號(hào)等等。4、建立連接 一個(gè)木馬連接的建立首先必須滿足兩個(gè)條件：一是服務(wù)端已安裝了木馬程序；二是控制端，服務(wù)端都要在線。在此基礎(chǔ)上控制端可以通過(guò)木馬端口與服務(wù)端建立連接值得一提的要掃描整個(gè)IP地址段顯然費(fèi)時(shí)費(fèi)力，一般來(lái)說(shuō)控制端都是先通過(guò)信息反饋獲得服

27、務(wù)端的IP地址，由于撥號(hào)上網(wǎng)的IP是動(dòng)態(tài)的，即用戶每次上網(wǎng)的IP都是不同的。5、遠(yuǎn)程控制 木馬連接建立后，控制端端口和木馬端口之間將會(huì)出現(xiàn)一條通道，控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系,并通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制。6、木馬病毒的傳播及植入 由于木馬病毒是一種非自我復(fù)制的惡意代碼，因此她需要依靠用戶向其他人發(fā)送其拷貝。木馬病毒可以作為電子郵件附件或者隱藏在用戶與其他用戶進(jìn)行交互的文檔或者其他文件中。他們還可以被其他惡意代碼所攜帶，如蠕蟲。木馬病毒有時(shí)也會(huì)隱藏在從互聯(lián)網(wǎng)上下載的捆綁軟件中。當(dāng)用戶安裝此軟件是，病毒就會(huì)在后臺(tái)秘密安裝。木馬植入技術(shù)主要是指木馬病毒利用各

28、自途徑進(jìn)入到目標(biāo)機(jī)器的具體方法。7、木馬病毒植入技術(shù)木馬病毒植入技術(shù),主要是指木馬病毒利用各種途徑進(jìn)入目標(biāo)機(jī)器的具體實(shí)現(xiàn)方法。(1)利用電子郵件進(jìn)行傳播:攻擊者將木馬程序偽裝成E-mail附件的形式發(fā)送過(guò)去,收信方只要查看郵件附件就會(huì)使木馬程序得到運(yùn)行并安裝進(jìn)入系統(tǒng)。(2)利用網(wǎng)絡(luò)下載進(jìn)行傳播:一些非正規(guī)的網(wǎng)站以提供軟件下載為名,將木馬捆綁在軟件安裝程序上,下載后,只要運(yùn)行這些程序,木馬就會(huì)自動(dòng)安裝。(3)利用網(wǎng)頁(yè)瀏覽傳播:這種方法利用JavaApplet編寫出一個(gè)HTML網(wǎng)頁(yè),當(dāng)我們?yōu)g覽該頁(yè)面時(shí),JavaApplet會(huì)在后臺(tái)將木馬程序下載到計(jì)算機(jī)緩存中,然后修改注冊(cè)表,使指向木馬程序。(4)

29、利用一些漏洞進(jìn)行傳播:如微軟著名的IIS服務(wù)器溢出漏洞,通過(guò)一個(gè)IISHACK攻擊程序即可把IIS服務(wù)器崩潰,并且同時(shí)在受控服務(wù)器執(zhí)行木馬程序。由于微軟的瀏覽器在執(zhí)行Script腳本上存在一些漏洞,攻擊者可以利用這些漏洞傳播病毒和木馬,甚至直接對(duì)瀏覽者主機(jī)進(jìn)行文件操作等控制。(5)遠(yuǎn)程入侵進(jìn)行傳播:黑客通過(guò)破解密碼和建立IPC遠(yuǎn)程連接后登陸到目標(biāo)主機(jī),將木馬服務(wù)端程序拷貝到計(jì)算機(jī)中的文件夾(一般在C:WINDOWSsystem32或者C:WINNTsys-tem32)中,然后通過(guò)遠(yuǎn)程操作讓木馬程序在某一個(gè)時(shí)間運(yùn)行。(6)基于DLL和遠(yuǎn)程線程插入的木馬植入：這種傳播技術(shù)是以DLL的形式實(shí)現(xiàn)木馬程

30、序,然后在目標(biāo)主機(jī)中選擇特定目標(biāo)進(jìn)程(如系統(tǒng)文件或某個(gè)正常運(yùn)行程序),由該進(jìn)程將木馬DLL植入到本系統(tǒng)中。而DLL文件的特點(diǎn)決定了這種實(shí)現(xiàn)形式的木馬的可行性和隱藏性。首先,由于DLL文件映像可以被映射到調(diào)用進(jìn)程的地址空間中,所以它能夠共享宿主進(jìn)程(調(diào)用DLL的進(jìn)程)的資源,進(jìn)而根據(jù)宿主進(jìn)程在目標(biāo)主機(jī)的級(jí)別未授權(quán)地訪問(wèn)相應(yīng)的系統(tǒng)資源。其次,因?yàn)镈LL沒(méi)有被分配獨(dú)立的進(jìn)程地址空間,也就是說(shuō)DLL的運(yùn)行并不需要?jiǎng)?chuàng)建單獨(dú)的進(jìn)程,增加了隱蔽性的要求。(7)利用蠕蟲病毒傳播木馬:網(wǎng)絡(luò)蠕蟲病毒具有很強(qiáng)的傳染性和自我復(fù)制能力,將木馬和蠕蟲病毒結(jié)合在一起就可以大大地提高木馬的傳播能力。結(jié)合了蠕蟲病毒的木馬利用病

31、毒的特性,在網(wǎng)絡(luò)上進(jìn)行傳播、復(fù)制,這就加快了木馬的傳播速度。4.1木馬病毒的加載技術(shù)當(dāng)木馬病毒成功植入目標(biāo)機(jī)后,就必須確保自己可以通過(guò)某種方式得到自動(dòng)運(yùn)行。常見的木馬病毒加載技術(shù)主要包括:系統(tǒng)啟動(dòng)自動(dòng)加載、文件關(guān)聯(lián)和文件劫持等。4.1.1系統(tǒng)啟動(dòng)自動(dòng)加載系統(tǒng)啟動(dòng)自動(dòng)加載，這是最常的木馬自動(dòng)加載方法。木馬病毒通過(guò)將自己拷貝到啟動(dòng)組,或在win.ini,system.ini和注冊(cè)表中添加相應(yīng)的啟動(dòng)信息而實(shí)現(xiàn)系統(tǒng)啟動(dòng)時(shí)自動(dòng)加載。這種加載方式簡(jiǎn)單有效,但隱蔽性差。目前很多反木馬軟件都會(huì)掃描注冊(cè)表的啟動(dòng)鍵(信息),故而新一代木馬病毒都采用了更加隱蔽的加載方式。4.1.2文件劫持文件劫持，是一種特殊的木馬

32、加載方式。木馬病毒被植入到目標(biāo)機(jī)后,需要首先對(duì)某個(gè)系統(tǒng)文件進(jìn)行替換或嵌入操作,使得該系統(tǒng)文件在獲得訪問(wèn)權(quán)之前,木馬病毒被率先執(zhí)行,然后再將控制權(quán)交還給相應(yīng)的系統(tǒng)文件。采用這種方式加載木馬不需要修改注冊(cè)表,從而可以有效地躲過(guò)注冊(cè)表掃描型反木馬軟件的查殺。這種方式最簡(jiǎn)單的實(shí)現(xiàn)方法是將某系統(tǒng)文件改名,然后將木馬程序改名。這樣當(dāng)這個(gè)系統(tǒng)文件被調(diào)用的時(shí)候,實(shí)際上是木馬程序被運(yùn)行,而木馬啟動(dòng)后,再調(diào)用相應(yīng)的系統(tǒng)文件并傳遞原參數(shù)。4.2木馬病毒的隱藏技術(shù)為確保有效性,木馬病毒必須具有較好的隱蔽性。木馬病毒的主要隱蔽技術(shù)包括:偽裝、進(jìn)程隱藏、DLL技術(shù)等。偽裝,從某種意義上講,偽裝是一種很好的隱藏。木馬病毒的

33、偽裝主要有文件偽裝和進(jìn)程偽裝。前者除了將文件屬性改為隱藏之外,大多通過(guò)采用一些比較類似于系統(tǒng)文件的文件名來(lái)隱蔽自己;而后者則是利用用戶對(duì)系統(tǒng)了解的不足,將自己的進(jìn)程名設(shè)為與系統(tǒng)進(jìn)程類似而達(dá)到隱藏自己的目的。進(jìn)程隱藏,木馬病毒進(jìn)程是它駐留在系統(tǒng)中的最好證據(jù),若能夠有效隱藏自己的進(jìn)程,顯然將大大提高木馬病毒的隱蔽性。在windows98系統(tǒng)中可以通過(guò)將自己設(shè)為系統(tǒng)進(jìn)程來(lái)達(dá)到隱藏進(jìn)程的目的。但這種方法在windows2000/NT下就不再有效,只能通過(guò)下面介紹的DLL技術(shù)或設(shè)備驅(qū)動(dòng)技術(shù)來(lái)實(shí)現(xiàn)木馬病毒的隱藏。DLL技術(shù),采用DLL技術(shù)實(shí)現(xiàn)木馬的隱蔽性,主要通過(guò)以下兩種途徑:DLL陷阱和DLL注入。DL

34、L陷阱技術(shù)是一種針對(duì)DLL(動(dòng)態(tài)鏈接庫(kù))的高級(jí)編程技術(shù),通過(guò)用一個(gè)精心設(shè)計(jì)的DLL替換已知的系統(tǒng)DLL或嵌入其內(nèi)部,并對(duì)所有的函數(shù)調(diào)用進(jìn)行過(guò)濾轉(zhuǎn)發(fā)。DLL注入技術(shù)是將一個(gè)DLL注入到某個(gè)進(jìn)程的地址空間,然后潛伏在其中并完成木馬的操作。 第五章木馬病毒的防范計(jì)算機(jī)病毒的防范措施針對(duì)病毒的發(fā)展趨勢(shì),從上面的討論知道木馬程序是非常危險(xiǎn)的，計(jì)算機(jī)一旦感染病毒是非常危險(xiǎn)的，所以在前人研究的基礎(chǔ)上我認(rèn)為以下幾種方法也有助于病毒的防范。如：（1）不隨意打開來(lái)歷不明的郵件，阻塞可疑郵件。（2）不隨意下載來(lái)歷不明的軟件。（3）及時(shí)修補(bǔ)漏洞和關(guān)閉可疑的端口。（4）盡量少用共享文件夾。（5）運(yùn)行實(shí)時(shí)監(jiān)控系統(tǒng)。（6）

35、經(jīng)常升級(jí)系統(tǒng)和更新殺毒軟件。（7）限制不必要的具有傳輸能力的文件。（8）關(guān)閉不常使用端口。我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全形勢(shì)十分嚴(yán)峻,采用有效的病毒防范措施顯得尤其重要。計(jì)算機(jī)網(wǎng)絡(luò)中最主要的軟硬件實(shí)體就是服務(wù)器和工作站,防治病毒首先要考慮這兩部分:5.1基于用戶的防范措施（1）在網(wǎng)絡(luò)接口卡上安裝防病毒芯片。是一種硬件防病毒技術(shù)，與操作系統(tǒng)相配合，可以防范大部分針對(duì)緩沖區(qū)溢出漏洞的攻擊。Intel的防病毒技術(shù)是EDB，AMD的防病毒技術(shù)是EV，但不管叫什么，它們的原理都是大同小異的。嚴(yán)格來(lái)說(shuō)，目前各個(gè)CPU廠商在CPU內(nèi)部集成的防病毒技術(shù)不能稱之為“硬件防毒”。這樣可以更加實(shí)時(shí)有效地保護(hù)工作站及通向服務(wù)器的

36、橋梁。（2）創(chuàng)建緊急引導(dǎo)盤和最新緊急修復(fù)盤。緊急引導(dǎo)盤就是常說(shuō)的啟動(dòng)盤，當(dāng)電腦無(wú)法進(jìn)入操作系統(tǒng)時(shí)，可以用它引導(dǎo)系統(tǒng)，進(jìn)入dos狀態(tài)，然后對(duì)系統(tǒng)進(jìn)行各種修復(fù)。計(jì)算機(jī)病毒的防治措施中創(chuàng)建的緊急修復(fù)盤是對(duì)當(dāng)前計(jì)算機(jī)的分區(qū)表，引導(dǎo)區(qū)信息等重要信息進(jìn)行的備份，當(dāng)計(jì)算機(jī)的這些信息被病毒破壞后，可以通過(guò)這張盤進(jìn)行恢復(fù)，盡量減少損失。（3）盡量不用外來(lái)的軟件和閃盤,用前要用最新正版的殺毒軟件查殺。正版殺毒軟件非常穩(wěn)定，不會(huì)出現(xiàn)各種未知問(wèn)題，如病毒庫(kù)不能及時(shí)更新等；遇到疑問(wèn)時(shí)可獲取殺毒軟件官方客服支持，以便及時(shí)解決問(wèn)題；能及時(shí)的更新病毒庫(kù)和正版殺毒軟件版本，更為有效的防范網(wǎng)絡(luò)威脅；可避免因在不可靠的網(wǎng)站尋找破解

37、等信息時(shí)候中毒或錯(cuò)將惡意軟件當(dāng)作破解補(bǔ)丁下載?？上硎芨喔玫陌踩?wù)，這些服務(wù)是破解或盜版殺毒軟件所不可能有的。能夠享受官方為正版用戶提供的增強(qiáng)服務(wù)，比如諾頓、邁克菲的數(shù)據(jù)在線存儲(chǔ)等。（4）重要文件和數(shù)據(jù)不要安裝在系統(tǒng)盤上,注意及時(shí)做好數(shù)據(jù)的備份。數(shù)據(jù)庫(kù)的數(shù)據(jù)全在電腦上，如果出現(xiàn)一些意外（系統(tǒng)崩潰，認(rèn)為破壞，硬盤損壞等），會(huì)造成數(shù)據(jù)丟失，而要數(shù)據(jù)恢復(fù)的話，需要花很多時(shí)間和金錢。（5）對(duì)計(jì)算機(jī)系統(tǒng)軟件及時(shí)安裝補(bǔ)丁程序,檢查注冊(cè)表和內(nèi)存中可疑進(jìn)程。系統(tǒng)必須打補(bǔ)丁，這是一個(gè)安全常識(shí)，現(xiàn)在的病毒最愛(ài)做的事情就是利用系統(tǒng)漏洞攻擊你的電腦，所以一位說(shuō)可以不打補(bǔ)丁的朋友的說(shuō)法是嚴(yán)重錯(cuò)誤的，不過(guò)補(bǔ)丁也可以用

38、360來(lái)打，應(yīng)該說(shuō)360下載的補(bǔ)丁最多只是存在判斷不正確的問(wèn)題，就是說(shuō)出現(xiàn)實(shí)際無(wú)需安裝的補(bǔ)丁的下載提示，一般安裝補(bǔ)丁是以WindowsUpdate上的提示為準(zhǔn)，而況你是正版的，更加無(wú)需擔(dān)心正版驗(yàn)證的問(wèn)題。絕大多數(shù)時(shí)候就算安裝了多余的補(bǔ)丁，也不會(huì)引起系統(tǒng)崩潰，你這崩潰和補(bǔ)丁可能存在關(guān)系，但也可能實(shí)際上是無(wú)關(guān)的，你在重啟之后WIN7自動(dòng)進(jìn)行了修復(fù)，也就自然恢復(fù)正常了。（6）接收電子郵件、從網(wǎng)絡(luò)下載各種免費(fèi)和共享軟件要進(jìn)行必要的檢查和殺毒后才能打開、安裝和使用。（7）提高自身素質(zhì)，上網(wǎng)瀏覽時(shí)不要訪問(wèn)不良網(wǎng)站。當(dāng)前，網(wǎng)絡(luò)病毒的最新趨勢(shì)是：不法分子或好事之徒制作的匿名網(wǎng)頁(yè)直接提供了下載大批病毒活樣本的便

39、利途徑。由于學(xué)術(shù)研究的病毒樣本提供機(jī)構(gòu)同樣可以成為別有用心的人的使用工具。由于網(wǎng)絡(luò)匿名登錄才成為可能的專門關(guān)于病毒制作研究討論的學(xué)術(shù)性質(zhì)的電子論文、期刊、雜志及相關(guān)的網(wǎng)上學(xué)術(shù)交流活動(dòng)，如病毒制造協(xié)會(huì)年會(huì)等等，都有可能成為國(guó)內(nèi)外任何想成為新的病毒制造者學(xué)習(xí)、借鑒、盜用、抄襲的目標(biāo)與對(duì)象。散見于網(wǎng)站上大批病毒制作工具、向?qū)А⒊绦虻鹊?，使得無(wú)編程經(jīng)驗(yàn)和基礎(chǔ)的人制造新病毒成為可能。新技術(shù)、新病毒使得幾乎所有人在不知情時(shí)無(wú)意中成為病毒擴(kuò)散的載體或傳播者。其傳播方式和速度之快，讓人防不勝防，由此可見反病毒過(guò)程任重道遠(yuǎn)。發(fā)現(xiàn)病毒后要立刻關(guān)機(jī),因?yàn)檎ｊP(guān)機(jī)操作,Windows會(huì)做備份注冊(cè)表等很多寫盤操作,剛剛

40、被病毒誤刪的文件可能被覆蓋,一旦被覆蓋就沒(méi)有修復(fù)的可能,即把電源切掉,操作系統(tǒng)自身的完整性和其他應(yīng)用程序還可能大部分保存完好,然后用計(jì)算機(jī)恢復(fù)工具或殺毒軟件來(lái)處理。5.2基于服務(wù)器端的防范措施網(wǎng)絡(luò)服務(wù)器是計(jì)算機(jī)網(wǎng)絡(luò)的中心,是網(wǎng)絡(luò)的支柱。目前基于服務(wù)器的防治病毒方法大部分采用防治病毒可裝載模塊(NLM),以提供實(shí)時(shí)掃描病毒的能力。有時(shí)也結(jié)合利用在服務(wù)器上的插防毒卡等技術(shù),保護(hù)服務(wù)器不受病毒的攻擊。具體措施有:（1）建立有效的計(jì)算機(jī)病毒防護(hù)體系。有效的計(jì)算機(jī)病毒防護(hù)體系應(yīng)包括多個(gè)防護(hù)層。一是訪問(wèn)控制層；二是病毒檢測(cè)層；三是病毒遏制層；四是病毒清除層；五是系統(tǒng)恢復(fù)層；六是應(yīng)急計(jì)劃層。上述六層計(jì)算機(jī)防

41、護(hù)體系，須有有效的硬件和軟件技術(shù)的支持，如防火墻技術(shù)、網(wǎng)絡(luò)安全設(shè)計(jì)、身份驗(yàn)證技術(shù)等。入侵檢測(cè)作為一種積極的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊，外部攻擊和錯(cuò)誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)收到危害前攔截和響應(yīng)入侵。從網(wǎng)絡(luò)安全建立縱身，多層次防御的角度出發(fā)。（2）安裝和設(shè)置防火墻。防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。在服務(wù)器端和客戶端

42、都要安裝使用病毒防火墻,建立立體的病毒防護(hù)體系,一旦遭受病毒攻擊,立即采取隔離措施。（3）安裝服務(wù)器端防病毒系統(tǒng),以提供對(duì)病毒的檢測(cè)、清除、免疫和對(duì)抗能力,同時(shí)及時(shí)對(duì)病毒庫(kù)進(jìn)行在線升級(jí)。有些人以為只要他們保護(hù)了自己的電子郵件網(wǎng)關(guān)和內(nèi)部的桌面計(jì)算機(jī)，就無(wú)需基于電子郵件服務(wù)器的防病毒解決方案了。這在幾年前或許是對(duì)的，但是目前隨著基于Web的電子郵件訪問(wèn)、公共文件夾以及訪問(wèn)存儲(chǔ)器的映射網(wǎng)絡(luò)驅(qū)動(dòng)器等方式的出現(xiàn)，病毒可以通過(guò)多種方式進(jìn)入電子郵件服務(wù)器。這時(shí)，就只有基于電子郵件服務(wù)器的解決方案才能夠檢測(cè)和刪除受感染項(xiàng)。攔截受感染的附件。許多利用電子郵件傳輸方式的病毒傳播者（又稱“海量寄件者”）經(jīng)常利用可在

43、大多數(shù)計(jì)算機(jī)中找到的可執(zhí)行文件，如EXE、VBS和SHS散布病毒。實(shí)際上，大多數(shù)電子郵件用戶并不需要接收帶這類文件擴(kuò)展的附件，因此當(dāng)它們進(jìn)入電子郵件服務(wù)器或網(wǎng)關(guān)時(shí)可以將其攔截下來(lái)。安排全面隨機(jī)掃描。即使能夠保證使用所有最新的手段防范病毒，新型病毒也總是防不勝防。它們有可能乘人們還沒(méi)來(lái)得及正確識(shí)別，防病毒產(chǎn)品廠商也尚未相應(yīng)地制定出新的定義文件之前，進(jìn)入系統(tǒng)。通過(guò)使用最新定義文件，對(duì)所有數(shù)據(jù)進(jìn)行全面、隨機(jī)地掃描，確保檔案中沒(méi)有任何受感染文件蒙混過(guò)關(guān)，就顯得尤為重要。利用試探性掃描，可以尋找已知病毒的特征，以識(shí)別是已知病毒變異的新病毒，提供較高級(jí)別的保護(hù)，但缺點(diǎn)是它需要更多的處理時(shí)間來(lái)掃描各項(xiàng)病毒，

44、而且偶爾還會(huì)產(chǎn)生錯(cuò)誤的識(shí)別結(jié)果。不管怎樣，只要服務(wù)器配置正確，根據(jù)性能的需要，利用試探性掃描提供額外保護(hù)，還是值得一試的。用防病毒產(chǎn)品中的病毒發(fā)作應(yīng)對(duì)功能。海量郵寄帶來(lái)的病毒可以迅速傳遍一個(gè)系統(tǒng)。對(duì)于管理員而言，沒(méi)有防病毒廠商所提供的適當(dāng)?shù)臋z測(cè)驅(qū)動(dòng)程序，要根除這些病毒是極其費(fèi)力的。幸運(yùn)的是，某些病毒防護(hù)產(chǎn)品提供了系統(tǒng)設(shè)置功能，一旦出現(xiàn)特定病毒發(fā)作的特征，這些產(chǎn)品就會(huì)自動(dòng)發(fā)出通知或采取修正措施。重要數(shù)據(jù)定期存檔。并非所有病毒都立即顯示出自己的特征；根據(jù)感染位置以及系統(tǒng)的設(shè)置情況，有些病毒可能要潛伏一段時(shí)間才能被發(fā)現(xiàn)。最好是至少每月進(jìn)行一次數(shù)據(jù)存檔，這樣，如前所述，在防病毒解決方案的自動(dòng)刪除功能不

45、起作用時(shí)，就可以利用存檔文件，成功地恢復(fù)受感染項(xiàng)。5.3加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)管理計(jì)算機(jī)網(wǎng)絡(luò)病毒的防治,單純依靠技術(shù)手段是不可能十分有效地杜絕和防止其蔓延的,只有把技術(shù)手段和管理機(jī)制緊密結(jié)合起來(lái),提高人們的防范意識(shí),才有可能從根本上保護(hù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。網(wǎng)絡(luò)管理應(yīng)該積極主動(dòng),從硬件設(shè)備和軟件系統(tǒng)的使用、維護(hù)、管理、服務(wù)等各個(gè)環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度,對(duì)網(wǎng)絡(luò)系統(tǒng)的管理員及用戶加強(qiáng)法制教育和職業(yè)道德教育,規(guī)范工作程序和操作規(guī)程,建立、防殺結(jié)合、以防為主、以殺為輔、軟硬互補(bǔ)、標(biāo)本兼治的最佳安全模式。總之,計(jì)算機(jī)病毒在形式上越來(lái)越難以辨別,造成的危害也越來(lái)越嚴(yán)重,我們需要高度重視病毒的發(fā)展趨勢(shì),加強(qiáng)計(jì)算機(jī)病

46、毒防范知識(shí)的普及和應(yīng)用,加強(qiáng)安全防范意識(shí)和技術(shù),加強(qiáng)計(jì)算機(jī)病毒知識(shí)的研究,在技術(shù)上更先進(jìn),功能上更全面,構(gòu)建較完善的病毒防范體系,確保體系的有效性和先進(jìn)性。 結(jié)論 總之,計(jì)算機(jī)病毒在形式上越來(lái)越難以辨別,造成的危害也越來(lái)越嚴(yán)重,我們需要高度重視病毒的發(fā)展趨勢(shì),加強(qiáng)計(jì)算機(jī)病毒防范知識(shí)的普及和應(yīng)用,加強(qiáng)安全范意識(shí)和技術(shù),加強(qiáng)計(jì)算機(jī)病毒知識(shí)的研究,在技術(shù)上更先進(jìn),功能上更全面,構(gòu)建較完善的病毒防范體系,確保體系的有效性和先進(jìn)性。參考文獻(xiàn)1張又生,.計(jì)算機(jī)病毒與木馬程序剖析M.北京:北京科海電子出版社,2009.2張小磊.計(jì)算機(jī)病毒診斷與防治M.北京:中國(guó)環(huán)境科學(xué)出版社,2008.3DavidHarl

47、ey美,RobertSlade美,UrsE.Gattiker美.計(jì)算機(jī)病毒揭秘M.北 京:人民郵電出版社,2005.9.4李光明.中文VisualBasice6.0程序設(shè)計(jì)教程M.北京:冶金工業(yè)出版社,2008.5張爭(zhēng)平,審校.新編windowsAPI參考大全M.北京:電子工業(yè)出版社,2008.3.6張玉生.VisualBasic程序設(shè)計(jì)與上機(jī)實(shí)驗(yàn)指導(dǎo).上海：華東理工大學(xué)出版社.7龔沛曾.VB程序設(shè)計(jì)簡(jiǎn)明教程（第二版）.高等教育出版社.2002.8.8郝強(qiáng),趙中華.WindowsXP注冊(cè)表大全M.北京:電子工業(yè)出版社,2010.4.9崔彥鋒,許小榮.VB網(wǎng)絡(luò)與遠(yuǎn)程控制實(shí)例編程M.北京:北京希望

48、電子出版社,2009.10楊云偉.VisualBasic實(shí)驗(yàn)教程M.武漢大學(xué)出版社，2010.11黑鷹基地.VB木馬-VIP教程M.網(wǎng)絡(luò)資料，2011-05-03謝辭彈指一揮間，兩年的大學(xué)生活即將結(jié)束，這是一段增長(zhǎng)知識(shí)和積淀師生情、友情的難忘的時(shí)光，是一個(gè)不斷地為追逐自己的夢(mèng)想而奮斗，不斷地充實(shí)自我，提升自我的過(guò)程。在此，我想對(duì)培育和幫助我成長(zhǎng)的老師、父母、同學(xué)，表示我最衷心的感謝，沒(méi)有他們，就不可能有今天的我。該篇畢業(yè)論文是本人大學(xué)兩年年的知識(shí)總結(jié)，在論文的寫作過(guò)程中，商杰老師為我指點(diǎn)迷津，幫助我開拓研究思路，精心點(diǎn)撥、熱忱鼓勵(lì)。商老師一絲不茍的作風(fēng)，嚴(yán)謹(jǐn)求實(shí)的態(tài)度，踏踏實(shí)實(shí)的精神，不僅授我

49、以文，而且教我做人，雖歷時(shí)三載，卻給以終生受益無(wú)窮之道。對(duì)商杰老師的感激之情是無(wú)法用言語(yǔ)表達(dá)的。感謝安徽工貿(mào)學(xué)院和所有任課老師對(duì)我多年的培養(yǎng)。感謝我的父母，焉得諼草，言樹之背，養(yǎng)育之恩，無(wú)以回報(bào)，你們永遠(yuǎn)健康快樂(lè)是我最大的心愿。感謝我的同學(xué)、朋友們，我將永遠(yuǎn)記得你們伴我走過(guò)的每一個(gè)有歡笑有淚水的日子，是你們的關(guān)心和幫助，讓我感受到踏實(shí)的溫暖。在論文即將完成之際，我的心情無(wú)法平靜，從開始進(jìn)入課題到論文的順利完成，有多少可敬的師長(zhǎng)、同學(xué)、朋友給了我無(wú)言的幫助，在這里請(qǐng)接受我誠(chéng)摯的謝意！25 安徽工貿(mào)職業(yè)技術(shù)學(xué)院畢業(yè)設(shè)計(jì)（論文）指導(dǎo)教師評(píng)語(yǔ)專業(yè)、班級(jí) 軟件1班 學(xué)生姓名 莫如 完成日期 2015.4.20 題 目： 第二代木馬的研究與實(shí)現(xiàn) 畢業(yè)設(shè)計(jì)（論文）共 19 頁(yè)，其中：圖1幅，表1個(gè)指導(dǎo)教師評(píng)語(yǔ)： 建議成績(jī) 指導(dǎo)教師（簽名）：年 月 日畢業(yè)設(shè)計(jì)（論文）指導(dǎo)小組評(píng)定意見： 畢業(yè)論文成績(jī)的評(píng)定：指導(dǎo)教師審閱成績(jī)（70%）評(píng)閱教師評(píng)閱成績(jī)（30%）總 分系（院）負(fù)責(zé)人簽名： 年 月 日26