《木马程序的工作机理及防卫措施的研究》-毕业论文.docVIP

PAGE 精品 木马程序的工作机理的研究 1 引言 随着计算机和网络技术的迅猛发展和广泛应用，Intemet深入到社会的每个角落，人们充分享受到了其给工作和生活带来的巨大便利，人类社会对计算机系统和信息网络的依赖性也越来越大。但是从另一方面，由于计算机系统和信息网络系统本身固有的脆弱性。越来越多的网络安全问题开始困扰着我们，入侵者入侵和病毒蔓延的趋势有增无减，社会、企业和个人也因此蒙受了越来越大的损失。特别是在此基础上发展起来的“信息战”，通过计算机攻击工具(如计算机病毒、木马等计算机程序)对敌方的计算机系统和网络设施发动袭击，造成敌方的信息通信的中断和指挥控制系统的瘫痪，从而达到“不战而屈人之兵”的目的。显然，计算机攻击和防御工具也将成为国家之间、企业之间一种重要的攻击和防御手段。因此，计算机和信息安全问题正日益得到人们的重视，并成为国内外的学者和专家研究的热点。 在早期的计算机安全防御中，由于网络并不流行，反病毒软件发挥着主要的作用，通过对输入设备的监控，有效地阻止了恶意程序对每台独立的计算机的危害。随着网络的应用，绝大部分计算机连入互连网，威胁变为主要来自网络，网络入侵工具(如蠕虫、木马等)在这时不断涌现。防火墙在这种情况下应运而生，它通过禁止非法的网络请求来防御来自网络的攻击。随着计算机攻击技术的发展，病毒、蠕虫和木马等攻击工具在功能上相互吸收和借鉴，攻击方式和手段也层出不穷，促使计算机安全也向着不断细化的方向发展，即针对不同的攻击方式采用不同的对策，从而形成了比较完善的防御体系。 2 木马的功能和特征 木马程序的危害是十分大的，它能使远程用户获得本地计算机的最高操作权限，通过网络对本地计算机进行任意的操作，比如删添程序、锁定注册表、获取用户保密信息、远程关机等。木马使用户的电脑完全暴露在网络环境之中，成为别人操纵的对象。就目前出现的木马来看，大致具有以下功能： 1．自动搜索已中木马的计算机。 2．对对方资源进行管理，复制文件、删除文件、查看文件内容、上传文件、下载文件等。 3．远程运行程序。 4．跟踪监视对方屏幕。 5．直接屏幕鼠标控制，键盘输入控制。 6．监视对方任务且可以中止对方任务。 7．锁定鼠标、键盘和屏幕。 8．远程重新启动计算机、关机。 9．记录、监视案件顺序、系统信息等一切操作。 10．随意修改注册表。 11．共享被控端的硬盘。 12．进行乱屏等耍弄人的操作 一个典型的特洛伊木马(程序)通常具有以下四个特点：有效性、隐蔽性、 顽固性和易植入性。以从这四个方面来加以评估。一个木马的危害大小和清除难易程度可它们是： 1．有效性：由于木马常常构成网络入侵方法中的一个重要内容。它运行在目标机器上就必须能够实现入侵者的某些企图，因此有效性就是指入侵的木马能够与其控制端(入侵者)建立某种有效联系，从而能够充分控制目标机器并窃取其中的敏感信息。因此有效性是木马的一个最重要特点。入侵木马对目标机器的监控和信息采集能力也是衡量其有效性的一个重要内容。 2．隐蔽性：木马必须有能力长期潜伏于目标机器中而不被发现。一个隐蔽性差的木马往往会很容易暴露自己，进而被杀毒(或杀马)软件，甚至用户手工检查出来，这样将使得这类木马变得毫无价值。因此可以说隐蔽性是木马的生命。 3．顽固性：当木马被检查出来(失去隐蔽性)之后，为继续确保其入侵有效性，木马往往还具有另一个重要特性：顽固性。木马顽固性就是指有效清除木马的难易程度。若一个木马在检查出来之后，仍然无法将其一次性有效清除，那么该木马就具有较强的顽固性。 4．易植入性：显然任何木马必须首先能够进入目标机器(植入操作)，因此易植入性就成为木马有效性的先决条件。欺骗性是自木马诞生起最常见的植入手段。因此各种好用的小功能软件就成为木马常用的栖息地。利用系统漏洞进行木马植入也是木马入侵的一类重要途径。目前木马技术与蠕虫技术的结合使得木马具有类似蠕虫的传播性，这也就极大提高了木马的易植入性。 从上面对木马特性的分析，我们可以看到木马的设计思想除了具有病毒和蠕虫的设计思想(即主要侧重于其隐蔽性和传播性的实现)，还更多地强调与木马控制端通信能力，和反清除与反检测能力。表1．1对病毒、蠕虫和木马三者进行了一个比较。由于有了控制端的攻击者的指挥，因此木马的行为特征就有了很高的智能化，具有很强的伪装能力和欺骗性。而木马的反清除能力，也使其极为顽固地和被寄生的系统纠合在一起。要想彻底清除木马，系统也得付出惨痛代价。因此及时迅速地检测到木马，避免系统被更深地侵入，是防御木马的共识。 2.1 木马的分类 根据木马程序对计算机的具体动作方式，可以把现在的木马程序分为以下几类： 2.1.1远程访问型木马 远程访问型木马是现在最广泛的特洛伊木马。这种木马起着远程