木马检测范文
时间:2023-04-01 03:29:07
导语:如何才能写好一篇木马检测,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
论文关键词:检测木马,查杀木马,网站木马,自动扫描,定位
引言:木马是网站开发者与网站管理员所烦恼却难以清除的木马,在当前,还没有一个杀毒软件或者是检测软件能够准确的标记出木马的位置并将其清除,所以开发一套自动检测asp木马的软件很有意义,可以为管理员对网站的维护节约大量的时间和精力.这样的软件应该被大多数网站管理员所接受并使用,这套系统为网站的安全性增添了一项保障.
假如一套网站维护的很好,却入了很多有害代码,对浏览者造成危害,或者对该网站的用户造成损失,那这么绝对不是一套好的网站.但是如果花费大量的时间在大量的网页文件中找出小小的木马文件或者仅仅是一句简单的有害语句,基本是不可能的.而自动检测系统则大大简化了这个过程,通过简单的操作,进行简单的扫描,可以定位并给出使用者可能得被感染的文件(由于软件并不等于人,所以不能否认会出现失误,所以需要使用者进行最后判断),对于每一个网站管理员来说是必要的.
正文:软件系统应该具有的特点是:准确,必须准确的扫描出可能含有危险代码的文件;快速,不能花费管理员大量的时间;简单,管理员只需要经过简单的点击就可以使程序运行.
下面将围绕这三个特性研究这套软件的实现.
简单性:程序有一个设置扫描目录的控件,此控件在程序运行时自动显示上次扫描目录;
设置一个开始扫描按钮以使使用者快速开始;为了更好的精确定位,还需要加入两个设置参数的文本框,分别是一级密码和二级密码;为了灵活使用加密强度,增加加密次数选择框;为了使信息更精确,加入过滤设置选择框(仅仅简单的选择项+一个用来存放临时信息的输入框即可);再有就是一个筛选按钮(扫描结束进行筛选).这些控件的作用在下文提到.
这样的设置可以使使用者以简单的操作或得很好的使用效果,我们的最终目的是找出角落里的木马,而使操作最简化、资源占用最小化.
快速:占用大量的资源和执行时间,是每个软件都不应该有的.似乎效率和任务量成反比,但在此程序中,却有所变化,如果要处理大量数据,进行大量运算(这在查找木马中是必须的,需要进行运算密匙,在下文将提到),而要执行速度很快,使高级语言与汇编语言结合是一个不错的方法,所以此程序应该在必要的地方(如大量使用得函数)以使用汇编代码.
如果要使程序执行速度快,内联函数也应该使用,内联函数可以使重复使用量大的函数得到很高的运算速度,因此,以一定的程序体积来换取执行效率,还是比较明智的.
内联函数与汇编语言的结合使用可以提高程序的执行效率,可以缩短程序执行时间,提高速度.
准确:这是此系统的核心部分,没有准确性一切都是空谈.如何使定位准确呢?这里采用标记的方法.即把每个本地文件标记一个自定义的特殊的字符,在检测时只要比较每个文件中的特殊字符,就可以定位木马文件.
由于这种机制,字符的设置显得很重要,设置一个难以辨识的、每个文件中都不相同的字符是必须的.如果每个字符都不相同,使用文件名与使用者定义密码结合是一个解决思路,先取得文件名,在加上用户定义的密码进行特定运算,组成特定字符插入到此文件中;在检测时,如果特定字符与运算字符不同或者未发现特定字符,可以定位此文件被修改过,而且是未授权的修改,那么基本就是木马了.为什么说基本呢?因为特定字符可能是非法入侵者修改的,企图迷惑管理员,但是入侵者有耐心修改的文件,我想管理员也一定有耐心将他修改回来,毕竟,这种文件是少数的.为了保证对这种INSERT型木马的精确定位,在计算特殊字符时,还需要加入文件体积.这样,不管入侵者修改了什么地方,都可以被定位.这这种运算方式是可选的,并且是可设置选择规律的.为了防止入侵者的恶意迷惑管理员,这个需要加入一个规律的设置,如果是入侵者恶意修改文件体积,那么体积的大小,和修改时间,应该是有规律的(至少修改的时间会限定在几天之内,这个时间看你扫描频率,在此期间的修改程度和扫描精确度随着扫描频率的升高而升高),只要进行筛选,就可以略过这些恶意迷惑的修改,并进行恢复.如果加上这些恶意修改可能略过一些INSERT木马,怎么办呢?此时就要在此进行筛选了,为了迷惑管理员,入侵者不会把其他文件都INSER木马,所以只要筛选出代码中的无规律项,留下的应该就是木马.为什么说应该呢?因为入侵者可能加入一些正常的语句,例如asp中的,这样,既有规律,又更改了文件体积,而且没有影响特征字符.但是,我们的软件总是会比他高一筹,我们再次筛选,过滤掉那些预定为安全语句的文件,只留下带有未经安全允许的,有规律的,符合语法的文件,这些文件应该为数不多,管理员可以自己判断.
上面的内容可以看出,检测层层深入,每次扫描计算量很大,导致程序的执行时间过长,但是我们的inline函数和汇编的结合使用,弥补了这一缺点.这样,我们的程序很有效率.
特定字符的设定也极其重要.必须是与每个文件相关的,可以重新计算的,每个文件的特定字符是不同的.前面已经提到,特定字符的组成部分应该是:使用者定义一级密匙+使用者定义二级密匙+文件体积+文件名.然而,计算方式是会被入侵者知道的,所以加密方式必须合理,以使入侵者即便得到加密原理,也不能解密.我们先把文件名+体积+一级密码组合.组合方式有六种:文件名体积一级密码、文件名一级密码体积、体积文件名一级密码、体积一级密码文件名、一级密码体积文件名、一级密码文件名体积.这个方式由使用者选择.然后我们使用二级密码进行逐个加密,二级密码应该设置的合适,它的设置应该对照于组合的密码的长度,二级密码最好设置为组合字符长度的1/5-1/4,不是1/5,也不是1/4,而在其之间,这样,密码长度合适,而且加密次数也达到4、5次,而且,加密时两个字符串没有同时结束.这样加密就有了强度.
加密的过程很简单,组合字符串与二级密码相互相加,当二级密码到结尾时,以二级密码的第一个字符开始与二级密码结尾时组合字符的字符的下一个字符开始继续加密,一直到组合字符串的结束,当然,为了使密匙更强大,使用者可以定义加密的次数,二次或者更多.比如组合字符串是:index305abcdefghig(文件名+体积+一级密码),二级密码是:1234那么加密次数为1的加密结果为:jpgiy539bdfhfhjlji.把这个特定字符放入文件中,检测时以重新计算出的结果与预先放置的对比,如果正确,就筛选掉,如果错误,就选择进行下一步处理.入侵者通过这个字符串要计算出一级密码和二级密码是很难的,需要大量的时间.而且,一级密码和二级密码的长度是未定的,就算得到成百上千个这样的字符串和对应的文件,解密也需要大量的时间,而这段时间可能超过几个月,甚至超过年.在这段时间里,密码已经更换过,所以安全性非常棒!
我们加密的过程不太复杂,但是计算量很大.由定义的密码和文件信息组合成密匙,放入文件,以检测文件的改动;同时为了防止入侵者的恶意迷惑,还进行了几次筛选,把虚假信息大量筛选掉.汇编语言和高级语言的结合及inline函数的使用,大大弥补了程序执行效率的问题.为使用者节约大量资源和时间.
篇2
“蓝牙间谍”简介
这是一款最初在塞班系统上使用的java软件,它通过利用蓝牙通讯标准中的缺点,使用蓝牙通讯技术来控制别人的手机。在双方进行蓝牙连接的情况下,可以查看对方手机所有信息、控制对方的手机打电话、让手机自带的多媒体播放器播放音乐以及更改对方手机的情景模式。原则上可以控制任何开启蓝牙状态的手机,当然针对不同型号版本的手机,软件的控制程度会有所不同。
“蓝牙间谍”实测
虽然这款软件听上去十分强大,不过它究竟是如何进行远程控制的呢?笔者在此使用自己的塞班系统对一个MTK手机(大部分国产山寨手机所用的系统)进行了一番实际测试。
这款软件的安装过程与普通的手机java软件安装没任何区别:把软件从电脑上拷到手机中,然后通过手机文件管理器选中,开始安装,因为这款软件没有涉及到任何手机高级权限的使用,所以用户不必担心安装完成后可以在自己的程序管理界面中发现一个名为“BT HACK”的快捷方式,运行即可开启蓝牙间谍的监控界面。不过需要注意的一点是,用户必须在开启蓝牙组状态的情况下再运行该程序,否则软件会出现未知的错误提示。
打开监控软件,在软件中选择“连接\扫描目标”,当成功扫描到开启了蓝牙的目标手机后,选择手机进行连接即可(如图1)。假如目标主机和控制端之间曾经使用蓝牙传输过东西,那么就不会出现首次蓝牙连接的配对提示,而是仅仅出现一个“有连接加入”的无声信息。
蓝牙间谍就这样连接成功,并且在目标手机中没有安装任何额外软件的情况下进行监控了,蓝牙间谍可控制的内容与先前介绍的差不多,比如运行“信息”选项,里面就能看到目标手机的电话号码、手机版本等硬件信息(如图2),不过在笔者的测试过程中发现imei那里显示空白,大概因为不同版本手机的差异会导致某些具体信息读取不完整。
运行“呼叫”选项后,用户可以随便写个号码让目标手机拨打。笔者随便填了个10086,果然朋友的手机就开始自动拨打10086。至于蓝牙间谍所宣传的如多媒体播放器的播放、停止等功能都没有实际效果,看样子除了基本的功能外,该软件对使用山寨系统的手机并不能提供太多的功能。最后,当笔者测试提取短信内容时,发现目标手机中存储因为了太多的短信内容,所以直接导致双方的手机都处在了假死的状态。直到目标机器主动关闭了蓝牙状态后,双方的手机才恢复正常,不过即使在提取过程被中断,控制端还是可以显示已经提取了的大部分短信内容(如图3)。
接下来笔者再找了一台此前没有进行过蓝牙连接的塞班手机,在连接的过程中目标手机接到提示需要进行配对(如图4)。在配对成功的情况下控制端对手机不但取得了完全的控制权,而且在“信息”选项中里面也可以清楚地看到imei码等此前无法显示的信息了。由此可见,虽然不同版本之间的手机连接导致许多辅助功能无效,但是基本功能控制完全可以不受系统和版本差异的影响。
最后,笔者找来了另一个智能系统手机:安卓Gphone进行测试,安卓手机的蓝牙功能一直都为人诟病,如果安卓用户不主动安装独立的蓝牙传输软件的话,默认只能连蓝牙耳机。没想到这个被诟病的蓝牙功能却给它带来了不错的安全性。虽然笔者的软件能成功搜索出对方的手机,但根本无法连接,更谈不上之后的控制了。
“蓝牙间谍”防范事项
通过笔者简单的测试来看,蓝牙间谍虽然没有互联网上炒作的那样无所不能,但的确能做到介绍中的几乎所有的主要功能,例如拨打号码或提取短信内容,这已经是非常过分的隐私级操作了,所以其危害性还是不小。而且这款软件最可怕的一点是,它不像传统病毒那样往被害者电脑中植入文件,手机杀毒软件对它毫无办法,因此如何防范这个功能强大的木马型软件是一个必须要考虑的问题:
首先,由于这个软件入侵用户的手机是无声无息的,但是它必须要通过蓝牙来控制,要在双方处于蓝牙连接的情况下才行,所以最好的一个办法就是手机在平时不要开启蓝牙功能。
篇3
关键词:港口项目;智能大门信息系统;集装箱破损检测系统;电子车牌识别系统 文献标识码:A
中图分类号:U656 文章编号:1009-2374(2016)22-0050-03 DOI:10.13535/ki.11-4406/n.2016.22.025
1 集装箱号码自动识别系统简介及工作原理
集装箱车辆通过智能大门时无需停车,集装箱号码自动识别系统通过红外对射传感器自动检测集装箱位置、高清摄像机进行图像采集,系统自动识别GB/T 1836-1997标准的集装箱号码,通过识别集装箱前、后、左、右集装箱各面上的集装箱号码、ISO箱型代码,系统可以自动识别并分辨出集装箱种类单个20英尺、40/45/48英尺、2个20英尺集装箱、标准箱、冷藏箱、超高箱、超长箱、框架箱等,全天候箱号识别率98%以上,识别时间≤2s,ISO代码识别率98%以上,识别时间≤2s;对于识别错误的集装箱通过校验码的校验算法给出识别错误的提醒,通知工作人员进行人工处理,从而极大地提升了闸口的通行效率。
集装箱号码自动识别系统组成包括工作站1台、集装箱号码自动识别系统软件1套、网络交换机1台、高清摄像机4部、LED补光灯4部、PLC1套、红外对射传感器4套,如图1所示,红外触发器连接PLC输入端,PLC通过串口和工作站进行连接,高清摄像机通过网络交换机和工作站连接。
集装箱车辆通过闸口时由于集装箱遮挡红外对射传感器状态发生变化,集装箱号码自动识别系统软件通过检测PLC数据变化,确定图像抓拍时机由高清摄像机进行图像抓拍,系统在抓拍的图像中通过识别算法识别出集装箱号码、ISO箱型代码。
2 集装箱破损检测系统简介及工作原理
集装箱车辆通过智能大门时无需停车,集装箱号码自动识别系统通过红外对射传感器自动检测集装箱位置、高清摄像机进行图像采集,图像包括了集装箱前、后、左、右、顶部5个面的图像,然后工作人员由集装箱号码自动识别系统客户端定义集装箱破损类型、人工根据采集的图像进行集装箱验残操作,系统的主要作用:工作人员在宽敞明亮的监控中心通过查看采集的集装箱图像进行验残作业替代了工作人员在闸口通过检查桥或者检查梯进行人工集装箱验残的作业方式,把工作人员从川流不息的闸口解放出来,避免了车辆尾气污染,同时也消灭了安全隐患。
集装箱破损检测系统组成包括工作站1台、集装箱破损检测系统系统软件(包括采集端和客户端)1套、网络交换机1台、高清摄像机4部、LED补光灯4部、PLC1套、红外对射传感器6套,如图2所示,红外触发器连接PLC输入端,PLC通过串口和工作站进行连接,高清摄像机通过网络交换机和工作站连接。
集装箱车辆通过闸口时由于集装箱遮挡红外对射传感器状态发生变化,集装箱破损检测系统采集端软件通过检测PLC数据变化,确定图像抓拍时机由高清摄像机进行图像抓拍,工作人员通过破损检测系统客户端查看采集的集装箱图像进行验残作业。
3 现状分析及存在问题
3.1 现状分析
目前在智能大门系统中集装箱号码自动识别系统和破损检测系统作为独立的系统运行,通过数据接口由闸口系统和其他系统采集的数据进行整合。
3.2 存在问题
(1)集装箱号码自动识别系统和集装箱破损检测系统硬件存在重复和浪费;(2)客户无法通过集装箱号码直接查询破损检测记录需要由闸口系统建立两者的关联性;(3)安装部署比较麻烦。
4 改进计划
针对现状进行经过分析,在喀麦隆智能大门系统中实施集装箱号码自动识别与破损检测系统的集成,目标:(1)集成后的系统1套系统实现箱号码自动识别与破损检测系统的功能;(2)最大限度地进行设备共用;(3)数据进行整合,一条记录包括集装箱号码识别结果和集装箱破损检测结果。
需要解决的主要问题:(1)结合集装号码自动识别和破损检测系统车辆图像抓拍流程,进行流程的整合重构;(2)集装箱号码自动识别系统算法调整。
结合集装箱号码自动识别和破损检测系统图像抓拍流程及安装部署方式进行系统整合及流程优化,通过流程调整满足集装箱号码自动识别及破损检测两个系统的需要。
4.1 调整后的系统组成
工作站1台、集装箱号码自动识别+破损检测系统系统软件1套、网络交换机1台、高清摄像机6部、LED补光灯6部、PLC1套、红外对射传感器6套,如图3所示:
4.2 调整后设备安装方式
调整后设备安装方式如图4所示。
4.3 调整后流程说明
对于40/45/48英尺、2个20英尺集装箱,图像抓拍分4个步骤完成,其中用于箱号识别图像6张,用于集装箱破损检测图像8张。
对于20英尺集装箱,图像抓拍分3个步骤完成,其中用于箱号识别图像4张,用于集装箱破损检测图像6张。
5 集装箱号码自动识别系统算法调整
采用新的车辆图像抓拍流程后,集装箱前、后图像由共用的高清摄像机进行抓拍,由于集装箱破损检测图像需要覆盖整个集装面,箱号识别在图像主要覆盖集装箱号码区域,为了加快集装箱号码识别的速度和准确性,对集装箱号码自动识别系统算法进行调整,可以设定图像的识别区域,当识别区域内没有集装箱号码时再进行全图识别,通过测试单张图片识别速度比起全图识别提升100%,以200万像素图片为例识别时间由平均500毫秒左右提升到200毫秒左右。
6 结语
篇4
网页:“我本善良”
很多人在遇到网站威胁时,可能都归罪于网站,但其实网站的制作者更是冤枉,除了很少网站是黑客专门制作的挂马陷阱网站外,包含木马的网站都是被黑客利用(见图1),本身就是受害者。黑客会利用扫描工具查找网站的漏洞,并实施攻击,获取管理权限,然后就可以轻松植入木马了。例如在网站中插入:<iframe src=网页木马地址width=0 height=0></iframe代码>,这样当电脑访问网站时就会自动弹出木马程序(现在网页木马可以实现后台运行模式),让浏览的电脑用户运行木马。
要保安全 需知“管马”三招
了解了这个情况,很多人又开始问了,木马如何防御呢?那些杀毒软件怎么知道网页被植入木马了呢?其实网页木马不是新的品种,它和普通木马的区别只是载体的不同,以前都是放在文件、邮件中,现在大家的防范意识高了,浏览网页的频率也高了,所以黑客将木马代码放在网页上,增加感染机会。
理解了这个,安全软件防御网页木马的过程也就出来了,他们防御的原理是一样的,只是途径要首先在网络传输中完成。目前,主要的方式有以下三种
1.攻击代码识别:如果网页中被植入了木马,那么在传输中,安全软件就可以先检测代码,如果它的特征属于木马,那么就会提示网页不安全,并进行拦截了。
2.行为识别:前面是简单的代码特征检测,而高级一点的方式就是分析代码的行为,不单单考察特征。如有程序对系统目录进行修改,一起删除整个分区文件等这些危险操作,那么杀毒软件都会认为有病毒攻击,从而加以阻止这些网页。
3.中毒清理:网页木马攻击成功后会释放木马程序到用户计算机中,木马程序一般会生成DLL文件、修改注册表等操作,杀毒软件检测到这些,就会提示用户某些程序是病毒程序,与用户互动实现对木马运行的阻止(见图2),算是网页木马的后期防御。
火速连接
关于网页木马的防御可以参考2009年第12期《网马随处“跑” 手动如何“逃”》和11期《欲练此功必先自功 另类电脑防护》。
现代社会现代化“管马”
针对网马攻击还有一种简洁的防御软件:外挂式浏览器防御软件,如金山网盾。此类防御系统对木马的防御原理与杀毒软件的防火墙基本相似,访问含有网马的网站时,外挂防御系统会对IE、FireFox等浏览器的Cookies进行内容过滤保护,从而过滤网马自我释放的程序,从攻击行为防御上实现对0-DAYS类的攻击防护。
进入云安全时代,网页木马的防御也有了新的应用,例如,诺顿、迈克菲等安装软件增加了网页安全的预检测机制,当我们在谷歌等搜索引擎中搜索时(谷歌也推出过安全浏览功能,是利用算法来分析网页本身,有威胁的会给予提示),在结果信息的返回过程中,安装在浏览器中的安全组件会先对返回的网页进行预读,并首先对比已知的安全网页名单,如果没有则重新检测,一旦发现威胁就将结果直接在搜索结果类别中列出(见图3),这也就是使用这类软件搜索时,结果出现的时间会落后一秒的原因。云安全的引入,将这些检测更加快速,例如一旦发现某个网站挂马,那么这个信息就会迅速与全球用户共享,其他人浏览到该网页就会提示有木马,阻止网民浏览,当然,当检测到该网站消除了木马威胁后,这个网站也就又放行了。
篇5
[关键词] 扫描 权限 后门
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
1.特征匹配。找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等等。
2.统计分析。预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析。若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
1.行为监测法。由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。
监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
2.文件完备性检查。对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
3.系统快照对比检查。对系统中的公共信息,如系统的配置参数,环境变量做先验快照, 检测对这些系统变量的访问,防止篡改导向攻击。
4.虚拟机技术。通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
三、后门留置检测的常用技术
1.对比检测法。检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。 常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法。文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
篇6
[关键词] 木马 传播途径 攻击步骤
一、什么是木马
木马本质上是一种经过伪装的欺骗性程序,它通过将自身伪装吸引用户下载执行,从而破坏或窃取使用者的重要文件和资料。
木马程序与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它是一种后台控制程序。它的主要作用是向施种木马者打开被种者电脑的门户,使其可以任意毁坏、窃取被种者的文件,甚至远程操控其电脑。
二、木马的组成
一个完整的木马系统以下几部分组成:
1.硬件部分。建立木马连接所必须的硬件实体,一般由控制端、服务端和INTERNET三部分组成。
2.软件部分。实现远程控制所必须的软件程序,主要包括控制端程序、木马程序和木马配置程序等。
3.建立连接的必要元素。构建服务端和控制端连接所必须的元素。主要包括控制端IP、服务端IP、控制端端口以及木马端口等。
三、木马的发展历史
木马的发展大致经历了三个阶段,第一阶段的木马也叫伪装型病毒。这种木马通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马,它伪装成共享软件PC-Write的2.72版本,一旦用户运行该木马程序,硬盘被格式化。第二代木马叫AIDS型木马,它最早出现于1989年。虽然它不会破坏数据,但能将硬盘加密锁死,然后提示受感染用户往制定账户汇款以解除硬盘加密。随着Internet的普及,出现了兼备伪装和传播两种特征,并结合TCP/IP网络技术的第三代木马――网络传播性木马。这个阶段的木马已经具备了“后门”功能。所谓后门,就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装,攻击者就能绕过安全程序进入系统,收集系统中的重要信息;同时,第三代木马还具有键盘记录功能,记录用户所有的击键内容,形成包含用户重要信息的击键记录日志文件发送给种马者。这一代木马比较有名的有国外的BO2000(BackOrifice)和国内的冰河木马。它们的共同特点是:基于网络的客户端/服务器应用程序,具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。
四、木马的传播途径
1.通过电子邮件的附件传播。
2.通过下载文件传播。主要通过两种方式:一种是直接把下载链接指向木马程序;另一种是将木马捆绑到需要下载的文件中。
3.通过网页传播。木马程序加载在网页内,使浏览器自动下载并执行。
4.通过聊天工具传播。
五、木马攻击的步骤
木马实现网络入侵大致可分为配置、传播、运行、信息泄露、连接建立和远程控制六步:
1.配置木马
一个设计成熟的木马,必须有木马配置程序,木马配置主要实现以下两方面功能:
(1)木马伪装。木马配置程序为了在服务端尽可能的好的隐藏木马,通常采用以下几种伪装手段:①修改图标。将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,以迷惑网络用户。②捆绑文件。将木马捆绑到一个安装程序上,随着该程序的安装,木马被植入系统。③出错显示。当服务端用户打开木马程序时,弹出一个错误提示框,伴随用户的操作木马便植入系统。④定制端口。新式木马通过定制端口的手段,控制端用户可以在1024―65535之间任选一个数字作为木马端口,增大木马检测的难度。⑤自我销毁。新式木马安装后,原文件将自动销毁,木马的来源就很难找到,增大木马检测难度。⑥木马更名。新式木马更改植入系统的木马文件名,增大木马检测难度。
(2)信息反馈。木马配置程序对信息反馈的方式或地址进行设置。
2.传播木马
木马的传播方式第四节已详细介绍。
3.运行木马
木马在服务端自动安装,设置触发条件后,就可启动运行。木马的运行方式主要包括以下几种:
(1)自启动激活木马
①在C:WINDOWS目录下的配置文件system.ini中设置命令行启动木马。②控制端用户与服务端建立连接后,将已添加木马启动命令的文件上传到服务端覆盖C盘根目录下的Autoexec.bat和Config.sys。③启动菜单:在“开始――程序――启动”选项下也可能有木马的触发条件。
(2)触发式激活木马
①通过修改打开HTML,EXE,ZIP等文件启动命令的键值来启动。②捆绑文件:控制端用户将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除,只要运行捆绑木马的应用程序,木马将再次被安装。③自动播放式:修改AutoRun.inf中的open命令来指向木马程序。
4.信息泄露
成熟的木马都有一个信息反馈机制。所谓信息反馈机制,是指木马成功安装后会收集一些服务端的软硬件信息,并通过E-MAIL,IRC或ICO的方式告知控制端用户。从反馈信息中控制端可以知道服务端的一些软硬件信息,其中最重要的是服务端的IP,获取参数,控制端方可与服务端建立连接。
5.建立连接
木马连接的建立必须满足以下条件:一是服务端已安装木马程序;二是控制端和服务端都必须接入网络;三是获取服务端IP地址。
获得服务端IP地址的方法主要有两种:信息反馈和IP扫描。信息反馈前面已经介绍,这里主要介绍IP扫描的过程。其过程如下:控制端扫描IP地址段中相应木马端口号开放的主机,并将该主机的地址记入IP地址列表,同时向该主机发出连接信号,服务端木马程序收到信号后立即作出响应,控制端收到响应信号后,开启一个随即端口并与服务端木马端口建立连接。
6.远程控制
控制端与木马程序建立连接后,通过木马程序对服务端进行远程控制。控制端可以窃取的权限有以下几种:
(1)窃取密码。通过键盘记录功能,窃取用户的各种密码或侦测一切以明文形式或者存储在CACHE中的密码。 (2)文件操作。控制端由远程控制对服务端上的文件进行删除、篡改、上传等一系列操作。(3)修改注册表。控制端可任意修改服务端注册表,包括删除,新建或修改主键、子键键值,甚至锁住服务端的注册表。(4)系统操作。对服务端操作主要包括重启或关闭操作系统、断开网络连接以及控制鼠标或键盘等。
六、结束语
目前,针对木马的检测和清除技术在不断地提高,但是木马的变更手段也日益猖狂,正所谓“道高一尺魔高一丈”。在计算机的游戏规则中,总是先有木马出现,才有查杀和清除木马的方法。作为一个新时代的计算机用户,只有深入地了解木马的攻击手段,不断积累经验,才能尽量减少木马造成的损失,给自己创造一个良好的网络生活方式。
参考文献:
[1]张友生.计算机病毒与木马程序剖析.北京:科海电子出版社,2003.
[2]陈什云.黑客攻防对策.清华大学出版社,2002.
[3]Donald L.Pipkin著.朱崇高译.拦截黑客-计算机安全入门(第二版).清华大学出版社,2003.
篇7
作为国内群众知名度最高的安防软件,瑞星一直都是话题比较多的公司。但这并不会影响到瑞星的产品,虽然瑞星的产品在一些设计上可谓褒贬不一(比如桌面上的小狮子,有人喜欢,有人不喜欢),但总体来说,瑞星的产品还是相当不错的。而且近年来,瑞星一直走在国内安防领域的前沿,率先提出了所谓“安全云”概念,领先进入安防软件互联网化领域,而此前的一些诸如主动防御之类的概念,瑞星也同样处于领先地位,率先提出概念,推出新产品。
前不久推出的瑞星全功能安全软件2010是一款基于瑞星“云安全”系统设计的新一代杀毒软件。其“整体防御系统”可将所有互联网威胁拦截在用户电脑以外。应用“云安全”的全新木马引擎、“木马行为分析”和“启发式扫描”,结合“云安全”系统的自动分析处理病毒流程,能第一时间极速将未知病毒的解决方案实时提供给用户。
瑞星全功能安防软件2010提供的“木马入侵拦截”功能是基于网页木马行为分析的技术,通过检测网页中的恶意程序和恶意代码,可以有效地拦截网页恶意脚本或病毒,阻止病毒通过挂马网站进行传播。此功能是支持瑞星“云安全”计划的主要技术之一。瑞星2010版中的“木马行为防御”功能采用的是“动态行为启发式检测技术”,所谓动态,就是当未知木马病毒运行后,在其进行破坏行为时(如病毒正在替换系统文件、写启动项、记录键盘信息等)进行动态拦截并清除未知病毒。动态行为启发式检测技术是通过对“云安全”系统截获的数千万木马和其他类型病毒的恶意行为进行分析,把木马和其他病毒的行为进行提炼,如果有最新未知病毒入侵电脑进行破坏活动时,动态阻止其偷窃和破坏作用,使其失效。
此外,作为瑞星整体防御系统的一部分,瑞星全功能安全软件2010推出了“应用程序加固”功能。该功能在第一次安装的时候,会扫描出用户计算机系统内有哪些程序需要加固。当应用程序启动后,瑞星安防系统会检测该程序的不正常行为(例如:word.exe不会去执行一个启动rundlllexe的操作),如果发现有不正常行为该程序将不会启动。应用程序加固功能是针对一些被病毒经常利用,作为入侵途径的应用程序,通过监控它们的操作行为,确定是否存在恶意代码利用它们的防御脆弱点进行入侵,并阻止正在进行的入侵行为从而达到病毒防御的目的。
除了前面提到的这些技术和功能外,瑞星全功能安防软件2010集成并进一步优化了之前的一系列安防技术和功能。以往的瑞星特色,如多种查杀方式相结合、基于云安全的启发式扫描、重新优化的实时监控引擎,以及与云安全整台的全新防火墙等等,让瑞星全功能安全软件2010达到了全新的高度。而且瑞星全功能安全软件2010的UI设计进一步进行整合,更易上手:同时安防软件整体的系统占用率更低,系统进程更少,效率更高。
篇8
Abstract: Based on the daily computer security maintenance needs, this article describes how to achieve a set of computer security maintenance tool system, can quickly respond to a computer system using a process common to all kinds of information security risks, to quickly build a relatively safe target of computer system. To meet the daily frequent large work of computer system security upgrades, testing, management and maintenance requirements, so that the ordinary technical staff can become a computer security application experts, to improve the user's own computer security technology ability.
关键词: 计算机安全;安全维护;安全管理;安全;系统
Key words: computer security;security maintenance;security management;security;system
中图分类号:TP309.1 文献标识码:A 文章编号:1006-4311(2017)06-0222-03
0 引言
维护计算机安全不仅要在制度和管理上进一步强化与完善工作流程和方法,更重要的是要在技术上解决好包括清扫电脑中的病毒、流氓、间谍、木马软件,及时安装系统安全补丁,使用加密来保护重要文件,启用正确可信的网络防火墙,正确存放、管理、使用和销毁介质存储信息等问题。目前市场没有较好的完整的现成可用的解决方案和工具,市面上的安全产品为某类或某些功能的组合:如专门的杀毒产品、防火墙产品、木马工具、数据保险箱系统、数据卫士、文件保险柜等安全产品,它们可以在一定程度上保护自己的信息的安全性,然而目前这类安全产品普遍存在价格高、操作复杂、响应周期长、安全有潜在隐患等不利因素,严重影响了一些关键环节和要害部门对计算机的使用管理。为此,针对用户日常的计算机安全与维护需要一套更便捷、完整、易用的系统――便捷计算机安全维护工具系统,满足日常工作中频发的大量的计算机系统安全升级、检测、管理和维护工作的要求,使普通技术人员都能成为计算机安全应用的保障专家,提高用户自身的计算机安全技术保障能力。
1 计算机安全维护方案
根据我们自己和同行的多年的计算机技术维修与保障经验、安全应用与维护实践,我们总结了确保计算机系统安全的维护与防护措施主要有六个方面:
①关掉漏洞,及时打补丁和更新;②阻止入侵者,至少安装一个基本的桌面防火墙;③停止感染,每台计算机都需要较新的防病毒保护;④防止颠覆情况,掌控机器上的恶意软件;⑤彻底锁住,口令限制重要访问;⑥定期综合检测清理,确保所有保护都在正常工作。
本着完整、快速、可用、开放的四个主要原则,按照上述六个主要安全维护、防护措施和环节,便捷计算机安全维护工具系统以光盘或移动硬盘、U盘为载体,采用定期或更新形式,帮助用户以快速消除计算机安全隐患、打造相对安全的计算机系统为目标,我们研制了便捷计算机安全维护工具系统,提供一套完整的可信的敏捷的计算机安全维护工具系统方案与软件工具包,主要集成有杀毒软件安装与升级、综合杀毒、补丁安装、安全清理、安全查测、硬盘销密、文件销毁等各种软件工具,这些工具有的是我们特意制作,有的是我们改造的,有的是我们大量实践筛选的,都经过我们反复多次测试、比较、升级、绿化、优化、净化、定制等处理工作。该系统定期及时提供DOS启动多种杀毒方案,Windows杀毒软件多种安装、运行方案,特有病毒的专杀工具,木马扫描清除工具。系统能够完成的主要功用为:①杀毒安全工具的安装与升级;②综合手段杀毒,清除木马、流氓;③漏洞检测与补丁安装;④硬盘与数据销密;⑤安全查测功能;⑥系统安全错误修复功能;⑦自动运行病毒免疫;⑧其他功能。
2 实现难点与关键技术
便捷计算机安全维护工具系统,设计自动运行并引导的计算机安全维护工具集(光盘/移动硬盘/U盘)系统,集成精选的较新的安全软件、升级包、系统补丁、常用工具。重点解决系统的三个方面的难点:
系统难点之一是更新的快速响应。为了能应对快速或更新,对主要的杀毒、清除工具,精心编制了自己的自动化网上升级打包工具,优化设计快速定期工作,最快可在半日内完成最新版本的推出,平时一般每半月或一月更新一次。
系统难点之二是工具的有效益用。在选用工具时,立足可信目标,通过自制或选用正版、免费、开放源码、可靠安全破解的专门工具软件,并经过多次安全检测、试用等层层筛选、凝聚而定。集成工具有杀毒软件安装与升级、综合杀毒、补丁安装、安全清理、安全查测、硬盘销密、文件销毁等各种软件。这些工具有的是特意制作,有的是改造的,有的是大量实践筛选的,都经过大量测试、比较、升级、绿化、优化等处理工作。对杀毒、清理等功能类的软件,优选两种以上的工具软件,支持交叉杀毒、清理。此外,随着相关技术和软件的发展,经常更换一些新的较好的软件工具进来。
系统难点之三是系统的引导使用。实现至少三种平台下的引导使用。一是DOS启动加载,可以实现杀毒清理、硬盘修复、硬盘销密、密码修改等功能;二是光盘XP_PE启动加载,可以实现光盘安全的XP下对硬盘系统的杀毒、清理、格式化、维护等功能;三是硬盘WindowsXP系统下的启动加载,可以实现硬盘系统下的杀毒及安装、病毒库更新、漏洞扫描、补丁安装、木马清理、恶意软件清理、广告清理、防火墙安装与检测、文件销毁、磁盘销密、电脑安全修复错误等功能。另外提供Linux平台下的瑞星杀毒绿色版软件,可直接运行杀毒。总之,通过对应用软件的“绿色化”加工、直接引导以及跨平台运行、在线即时更新技术等加工处理,实现DOS启动加载、光盘/硬盘WindowsXP下调度运行等多种途径下的集成管用。
在计算机安全维护工具(光盘/移动硬盘/U盘)系统的设计与实现过程中,要重点掌握和运用四个方面的技术:
2.1 DOS下各类软件与工具的引导与调度
主要有DOS下的杀毒工具、信息销密工具、磁盘维护工具、密码更改工具等。通过对应用软件的直接引导以及跨平台运行处理,实现了DOS启动加载运行的集成管理与调度。
2.2 Windows下个各类软件与工具的引导与调度
主要有Windows下的杀毒工具软件的安装、升级与运行,各类木马、流氓安全清杀工具,系统安全维护、检测工具,文件销毁工具等。通过对应用软件的“绿色化”加工、直接引导以及跨平台运行处理,分类组织实现了Windows下加载运行的集成管理与调度。
2.3 WinPE安全维护系统的设计与完善
当硬盘Windows系统无法启动、进入时,可以通过另一个WinPE系统启动,实现对硬盘系统的信息销密、安全清杀、密码更改、数据备份等操作。并可以通过WinPE系统,执行对U盘、指定硬盘分区的销密处理。
2.4 定期地更新和完善机制
随着硬件、软件、系统的发展,安全处理技术的进步,利用安全渠道,编制了自己的自动化网上升级打包工具,下载并更新选用的杀毒软件、清理软件的升级包和操作系统的安全补丁包;对本系统不断推陈出新,定期更新和完善计算机杀毒安全维护工具集。
3 系统实现方案
该便捷计算机安全维护工具系统支持光盘、U盘、移动硬盘多种载体运行,系统的光盘/U盘/移动硬盘版可开机直接引导启动,首先进入DOS引导界面,默认选择进入WinPE便捷杀毒安全维护界面。在Windows系统下,插入该系统的光盘/U盘/移动硬盘,可运行光盘/U盘/移动硬盘根目录下的可执行文件进入Windows引导界面。
3.1 Windows引导工具
Windows引导界面下提供的主要工具集有五大类:
①第一类病毒清除工具集。
1)病毒查杀:有瑞星杀毒、金山毒霸等较新的绿化杀毒软件。
2)杀毒软件安装:有较新的江民杀毒、瑞星杀毒、金山毒霸、卡巴斯基汉化版等杀毒软件。
3)防火墙安装:有较新的瑞星防火墙、木马防火墙。
4)安全卫士、木马防护:可安装较新的360安全卫士、瑞星卡卡。可直接运行光盘/移动介质上的较新的360安全卫士、瑞星卡卡、Windows木马清道夫、木马克星Iparmor,对木马等进行手工综合查杀,也开启监控功能进行木马实时检测防护。
②第二类安全清理工具集。
1)常用清理工具:有Windows清理助手、完美卸载、流氓软件清理大师、超级兔子清理王、恶意软件清理助手等常用清理工具。
2)专用清理工具:有QQ病毒专杀、广告软体专杀、影音木马免疫、RM去广告专家等专用清理工具。
3)移哟娲⒔橹是謇砉ぞ撸河U盘病毒免疫、U盘病毒专杀等工具。
4)痕迹清理工具:有无影无踪WYWYZ控制台、iolo清理、注册表清理、U盘痕迹擦除、垃圾文件清理等清理工具。
③第三类安全检测工具集。
1)网络安全检测:有Leaktest、IECookiesView、局域网查看、网络状态查看、共享查看等工具。
2)系统安全检测:有系统漏洞扫描、启动项目管理、冰刃IceSword、反黑辅助工具SysCheck、SREng 2.5(Sytem Repair Engineer)、USB使用记录查看等工具。
3)文件安全检测:有R-Studio、WinHex15.8、数字签名检测、FileMon、RegSnap等工具。
4)硬件安全检测:有硬件系统检测Everest、CPU 检测(CPU-Z)、ATTO 磁盘性能测试、经典测试SuperPI、内存检测MemTest、ATTO 磁盘性能测试、硬盘检测HDTune、U盘检测器、显卡检测GPU-Z、显示器测试DisplayX、笔记本电池检测、键盘检测、网卡检测器、无线网卡检测、数码CCD坏点检测等工具。
④第四类安全维护工具集。
1)系统维护:有电脑安全修复错误工具(PC On Point)、注册表安全修复工具(Registry Repair)、IE修复专家等。
2)硬盘维护:有分区管理WinPM、分区表医生PTDD、诺顿磁盘医生2006、XP下低格硬盘工具、高速扫描硬盘、精确扫描硬盘等。
3)其它常用工具:有密码生成器、WinRar3.90、UltraEdit-32,磁盘映象WinImage、光盘映像UltraISO、Ghost V11、虚拟驱动器专家、VirDriveMana、虚拟光驱VCDTool、文件夹加密V1658。
⑤第五类补丁安装:有目前较全的XPSP3补丁合集。
3.2 DOS引导工具
DOS引导界面下提供的主要工具集有:
①综合杀毒工具集:瑞星Linux杀毒、卡巴斯基杀毒、金山毒霸DOS杀毒、WinPE便捷杀毒(进入WinPE杀毒安全维护界面)等。
②硬盘修复与分区工具集:效率源硬盘修复、磁盘坏道修复、江民硬盘修复王、PQMagic硬盘分区、DISKGEN硬盘分区、DM硬盘分区等。
③系统测试工具:HWINFO系统测试等。
④硬盘销密工具:DBAN硬盘数据擦除工具,会对所有硬盘整盘彻底进行随机数据多次覆盖,原硬盘数据无法恢复;处理过的硬盘需重新分区、快速格式化才可使用。应谨慎使用此工具!
⑤密码清除工具:CMOS密码清除(笔记本慎用)、清除2K/XP/2003/vista/win7系统密码。
3.3 WinPE引导工具
WinPE引导界面下提供的主要工具集为Windows引导界面下的工具子集。WinPE引导界面下可以启动Windows引导界面,但有些工具无法正常工作。能较好运行的工具在WinPE桌面上、开始->程序组内。
4 结论
实用证明,便捷计算机安全维护工具系统内容体系完整,使用软件“绿色化”技术、直接引导运行技术等加工处理,工具的引导与调度科学合理,排除系统安全隐患迅速彻底。系统以光盘或移动硬盘、U盘为载体,定期或更新;满足了日常工作中频发的大量的计算机系统安全升级、检测、管理和维护工作的要求,一套系统在手,就可以完成杀毒软件安装与升级、综合杀毒、补丁安b、安全清理、安全查测、硬盘销密、文件销毁等日常主要的计算机安全保障工作。使普通技术人员都能成为计算机安全应用的保障专家,提高用户自身的计算机安全技术保障能力。
参考文献:
[1]魏威,杨俊红.计算机的安全维护[J].郑州铁路职业技术学院学报,2006(01):44-45.
[2]卢昕,章逸.浅论个人计算机应用中的安全措施[J].科技广场, 2006(02):43-45.
[3]葛立欣.家用计算机的安全维护[J].内蒙古科技与经济, 2004(06):53-55.
篇9
软件名称:贝壳木马专杀
软件版本;V1.5
软件大小:788KB
软件授权:免费
使用环境:Windows All
下载地址:http:///BeikeSetup.exe
认识贝壳木马专杀
据有关数据显示,Internet网络中的主机,每日有上百万台会被病毒、木马感染,这些木马中以网络游戏盗号类木马为主。为了对付网络游戏盗号类木马,贝壳木马专杀工具采用云计算技术,通过世界最大的云安全数据库,快速扫描、识别上网主机系统中的新病毒、木马,保证系统、账号、用户隐私安全。该工具是完全免费的国内首款专杀网游盗号木马的软件,身材小巧,不占空间,二次检测10秒钟闪电扫描,快速确认系统安全性;该工具100%纯绿色,无需安装、不常驻、不写注册表、不占用系统资源,可与众杀毒软件共存。
自动升级到新版本
现在网游盗号木马变种层出不穷,为了不让任何木马变种成为漏网之鱼,贝壳木马专杀工具支持自动升级功能,确保该程序始终处于最新版本状态,能够查杀最新的病毒木马。从网上下载获得贝壳木马专杀工具文件后,用鼠标双击该文件,不需要安装就能弹出如图1所示的主程序界面;该工具运行后,会自动尝试进行网络连接,一旦与贝壳公司的服务器主机成功建立网络连接后,贝壳木马专杀工具就会自动比对病毒库内容,以判断本地程序是否是最新版本,如果不是最新版本,那么它就会自动进行升级操作,确保该工具处于最新版本工作状态。
查杀盗号病毒木马
为了灵活地查杀本地系统中的网络盗号木马,贝壳木马专杀工具为用户提供了三种扫描查杀方式,分别为快速扫描、全盘扫描、自定义目录扫描,其中快速扫描方式为默认工作方式。在初次使用该工具查杀木马的时候,我们建议大家选用“全盘扫描”方式,在每次上网畅玩网络游戏之前,可以通过“快速扫描”方式简单地扫描一下系统。设置好合适扫描方式,直接单击图1界面中的“开始查杀”按钮,贝壳木马专杀工具就会自动扫描、分析系统了。
在扫描、分析系统的过程中,贝壳木马专杀工具会自动对被扫描文件进行分类,并按无威胁文件、信任文件、未知文件、木马/病毒等类别,显示在该程序的云安全检测页面中。当系统中有未知文件被发现时,贝壳木马专杀工具会将其自动上传到病毒库所在的贝壳公司服务器系统中,如此一来技术人员就能即时判断未知文件究竟是否属于病毒或木马了,如果确认未知文件为病毒或木马时,用户就能在第一时间将它们从系统中清除出去了。
因为贝壳木马专杀工具的病毒库位于远端服务器系统中,而不是在本地系统中,所以该工具扫描、分析系统文件的速度是非常快的,仅仅只需要几十秒钟就能完成扫描、分析任务。扫描、分析结束后,该工具会通过网络通道将扫描信息发送到病毒库所在的远端服务器系统中;之后通过与病毒库中的数据进行比对分析,贝壳木马专杀工具就能判断得出哪些文件是病毒或木马文件了。要是发现系统中真的存在病毒或木马文件,该工具立即会返回一个警报窗口,提醒用户找到恶意文件,并要求选择恰当的处理方式;如果单击“清除”按钮,该工具会立即将病毒或木马文件从系统中删除干净,如果单击“跳过”按钮,该工具会等所有文件被扫描结束后,集中进行病毒清除操作。当然,有一些顽固的病毒木马文件无法一次性清除干净,此时只要重新启动系统,该工具就能成功执行二次性病毒木马清除操作。很显然,善于使用贝壳木马专杀工具,完全可以让网游安全无忧。
让查杀病毒更智能
为了让木马病毒无处遁形,贝壳木马专杀工具增强了本地启发式查杀引擎,通过该功能可以智能地扫描分析未知文件,将这些未知文件自动上传到病毒库所在的远端服务器系统中,上传成功后立刻就能判断是否为木马,从而实现真正的云安全。当然,在默认状态下,贝壳木马专杀工具并不会智能查杀病毒,必须进行如下设置操作才能让查杀病毒更智能:
篇10
电脑启动后,在系统中只要运行一个程序,系统便会在后台加载相应的进程。简单地说,进程是操作系统当前运行的执行程序,因此一个软件可能只有一个进程,也有可能同时有两个以上的进程在执行。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;还有用户开启、执行的额外程序,其中也包括用户不知道的、自动运行的非法程序等。
对于一些安全高手来说,查看系统进程有无异常,可以快速判断出系统是否存在安全隐患。那么如何通过进程来检测系统是否中了病毒木马呢?系统进程SVCHOST.EXE和Explorer.exe可以说是最容易被病毒木马利用的两个进程,下面通过这两个进程的检测方法来看看如何利用进程判别是否中了病毒木马。
1.元凶――SVCHOST.EXE
SVCHOST.EXE进程是最容易被冒充和利用的进程,可以说这个进程常常藏污纳垢,如何判断系统中的SVCHOST.EXE是正常进程还是病毒进程呢?同时按下“Ctrl+Shift+Del”组合键来打开Windows任务管理器,这里我们看到SVCHOST.EXE有好几个个,那么如何判断哪个进程是可疑的呢?系统中有多个SVCHOST.EXE进程,有可能是正常的,也有可能是病毒,不能根据SVCHOST.EXE进程的多少来判断是否为病毒。要判断到底有没有病毒,我们可以通过查看进程的发起程序来判断。(图1)
提示:我们首先可以通过鼠标右键选择“结束进程”来关闭进程,大家需要注意,结束其中一个进程后,你会发现马上又重生一个SVCHOST.EXE进程。此外,结束另一进程时还提示还有60秒后关机。对于关机的提示,可以在“运行”栏中输入“shutdown -a”,关机提示马上消失了。(图2)
要查看“Svchost.exe”进程的发起程序,可以在“命令提示符”窗口中,输入并执行“Netstat abnov”命令,在接着反馈的信息中,就可以看到每个进程发起的程序或文件列表,这里你就可以根据相关知识判断是否为病毒和木马发起的程序。(图3)
正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如冲击波变种病毒“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中。据此,我们就可以判断该进程到底是不是木马进程了。
为了判别进程是否正常,可以在安装完Windows后,点击“开始程序附件系统工具系统信息”,在打开的“系统信息”窗口中再点击“软件环境正在运行任务”,如图所示的“系统信息”窗口。接下来,点击“操作另存成文本文件”,这样,以后系统出现异常时则对照进行分析,就可以从中发现潜藏的木马和病毒。(图4)
小知识
Svchost.exe是NT核心系统的非常重要的进程,对于2000、XP来说,不可或缺。因此,很多病毒、木马也会调用它。在基于NT内核的Windows操作系统中,不同版本的Windows系统,存在不同数量的“Svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,Win 2000有两个Svchost进程,Win XP中则有四个或四个以上的Svchost进程,而Win 2003 server中则更多。这些Svchost进程提供很多系统服务,如:rpCSS服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp clieNT)等。
除了上面的方法外,我们还可以在命令行窗口输入“Tasklist /svc”(我们这里是以Windows XP为例,在Windows 2000的命令提示符窗口中,则输入“tlist -s”命令来查看),如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”,而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索到伪装为Svchost.exe进程的文件,也可以用第三方进程工具直接查看该进程的路径,然后将其删除,并彻底清除病毒的其他数据即可。(图5)
提示
这种利用假冒Svchost.exe名称的病毒程序,并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是完全不同的。
2.易被伪装的Explorer.exe
打开的电脑的任务管理器,可以看到这个进程,占用内存还不小,大约10MB左右。结束这个进程后,打开的几个窗口都关闭了,而且桌面上的图标也全没有了。之所以出现这个情况,正是Explorer.exe在发挥作用。可以通过下面的操作恢复桌面到正常状态:在“任务管理器”中,依次单击“文件”“新建任务(运行….)”菜单。在在打开的窗口中输入“Explorer.exe”进程名单击“确定”按钮即可完成重建进程的过程了,桌面环境也就恢复了。那么,Explorer.exe进程是如何被伪装的呢?(图6)
小知识
简单地说,Explorer.exe进程就是操作系统的程序管理器,也就是我们平时说的资源管理器,用于管理操作系统的图形界面,包括开始菜单、任务栏,桌面和文件管理。该进程随系统一起启动,直到系统关闭或者人为结束该进程。
通常病毒会利用障眼法来干扰大家,正常的进程名是Explorer.exe,而一些病毒的进程名则为Exp1orer.exe(用数字1代替了字母l),还有的病毒进程名为Expl0rer.exe(用数字0代替字母o),不仔细看,根本就区分不出来,实在令人防不胜防。大名鼎鼎的MyDoom病毒就是通过Explorer.exe来进行破坏的。MyDoom是一种通过电子邮件附件和P2P网络传播的病毒,当用户打开并运行附件内的病毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量带有病毒附件的电子邮件,同时在用户主机上生成Explorer.exe进程。
针对这类情况,除了我们留意进程名字外,还可以根据Explorer.exe进程的路径来判断,正常的Explorer.exe进程位于系统根目录下(比如系统盘为C盘,则路径为C:\Windows\Explorer.exe),这里我们可以借助一些进程辅助软件来进行查看,比如“360安全卫士”,这里可以看到正在运行的进程的路径以及用户名等。如果发现Explorer.exe的运行路径不在这个目录,说明肯定被其他病毒冒充。当然,如果进程名不对,肯定也是有问题的。(图7)
在系统的system.ini文件中(C:\Windows\system.ini),在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,这表明你已经中“木马”了。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
此外,在注册表中的情况比较复杂,通过regedit命令打开注册表编辑器,依次打开HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE。注意有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别,这需要大家高度警惕。
病毒除了通过文件名相似来伪装explorer.exe进程外,主要是通过线程插入技术来利用这个进程。比如曾经的广外幽灵、最新的魔波病毒变种也是利用这个进程。线程插入技术使得这些病毒木马可以将他们的服务端程序插入到正常的explorer.exe进程中,从而让用户找不到病毒的蛛丝马迹。对于这类采用线程插入的木马病毒,我们可以借助“木马辅助查找器”来进行查看,在“进程监控”选项中,勾选explorer.exe进程,在下面的DLL文件窗口中将显示相应的DLL文件的路径和文件名,发现可疑的文件,则直接终止相应的进程即可。当然,这需要大家对一些常见的木马有基本的了解,否则操作起来就显得比较难。(图8)
提示:关于进程的知识,大家可以到超级兔子的官方网站去查看(),这里对进程进行了分类,包括常见的木马病毒、常见的合法进程、存在安全风险的进程等,掌握了进程相关的知识,对于判断进程是否有危害有非常重要的作用。只有知道哪些进程是正常的,才可能找到可疑的进程,从而尽早结束进程来阻止恶意程序的运行。(图9)
2 端口安全设置与防范
端口分物理物理意义上的端口和逻辑意义上的端口,物理意义上的端口是指硬件接口,比如ADSL Modem、路由器等的接口,而逻辑意义上的端口是‘虚’的,比如用于浏览网页的80端口,用于FTP服务的21端口等,而一些木马也会针对特定的端口进行攻击,因此,掌握端口知识是非常必要的。每台电脑要与外界网络每建立一个网络连接时,都必须打开电脑中的某个端口。端口就像是电脑与外界网络连接的一扇门,因此,在某种意义上说,端口就掌控着网络连接的生杀大权。
1.查看当前开放的端口
在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令来查看端口情况:
依次点击“开始运行”,键入“cmd”并回车,打开命令提示符窗口。在命令提示符状态下键入“netstat -a -n”,按下回车键后就可以看到以数字形式显示的TCP和UDP连接的端口号及状态。(图10)
上图中各部分的含义是:“Active Connections”是指当前本机活动连接,“Proto”是指连接使用的协议名称,“Local Address”是本地计算机的IP地址和连接正在使用的端口号,“Foreign Address”是连接该端口的远程计算机的IP地址和端口号,State则是表明TCP连接的状态,你可以看到后面的监听端口是UDP协议的,所以没有State表示的状态。本地IP地址后的就是开放的端口号,如果你的机器的7626端口已经开放,正在监听等待连接(LISTENING),那么,这种情况极有可能是已经感染了冰河!因此,必须马上断开网络,用杀毒软件查杀病毒。
小知识
Netstat命令用法
-a 表示显示所有活动的TCP连接以及计算机监听的TCP和UDP端口。
-e 表示显示以太网发送和接收的字节数、数据包数等。
-n 表示只以数字形式显示所有活动的TCP连接的地址和端口号。
-o 表示显示活动的TCP连接并包括每个连接的进程ID(PID)。
-s 表示按协议显示各种连接的统计信息,包括端口号。
2.关闭不安全的端口
默认的情况下,有很多端口不安全,或者一些没有用的端口也处于开启状态,比如Telnet服务的23端口、FTP服务的21端口、SMTP服务的25端口、RPC服务的135端口等等。为了保证系统的安全性,我们可以通过下面的方法来关闭/开启端口。比如在Windows XP中关闭RPC服务的135端口,可以按照下面的方法来操作:
首先打开“控制面板”,双击“管理工具”,再双击“服务”。接着在打开的服务窗口中找到并双击“Remote Procedure Call (RPC)”服务,单击“停止”按钮来停止该服务,然后在“启动类型”中选择“已禁用”,最后单击“确定”按钮即可。这样,关闭了RPC服务就相当于关闭了对应的端口。(图11)
如果要开启该端口,只要先在“启动类型”选择“自动”,单击“确定”按钮,再打开该服务,在“服务状态”中单击“启动”按钮即可启用该端口,最后,单击“确定”按钮即可。
3.重定向本机默认端口增强安全
查看你电脑的端口情况,你会发现默认情况下Windows有很多端口是开放的,主要有:TCP139、445、593、1025 端口和UDP123、137、138、445、1900等端口,还有远程服务访问端口3389。但本机中的某些默认端口是不能关闭的,这时该怎么办呢?我们可以将这样的端口“重定向”,把该端口重定向到另一个地址,这样即可隐藏公认的默认端口,降低受破坏的机率,从而保护系统安全。下面以一个实例来说明。
例如你的电脑上开放了远程终端服务(Terminal Server)端口(默认是3389),可以将它重定向到另一个端口上(例如1235,这里端口号随意选择,只要不是公认的端口号,没有固定分配给某个服务即可,目的就是让所谓‘黑客’不容易识别出来),具体操作方法如下:
(1)在本机上(服务器端)修改
打开注册表,依次展开到下列两个注册表项:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
然后将其中的 PortNumber,全部改成自定义的端口(例如1235)即可。(图12)
提示:这里的数值数据默认是以十六进制显示的,所以你看到的可能不是3389,需要进行转换。你也可以勾选“十进制”选项,就能直接显示十进制数值了。
(2)在客户端上修改
服务器端端口修改后,为了保证远程客户端计算机能够正常访问这台服务器(也就是你的这台电脑),必须也对客户端进行修改,才能实现正常连接。这好比两个人约会,临时更改了见面地点,因此必须通知对方。具体操作如下:
依次单击“开始所有程序附件通讯远程桌面连接”,打开“远程桌面连接”窗口,单击“选项”按钮扩展窗口,填写完相关参数后,单击“常规”下的“另存为”按钮,将该连接参数导出为.rdp文件。用记事本打开该文件,在文件最后添加一行:server port:i:1235 (这里填写你服务器自定义的端口)。以后,只要直接双击这个.rdp 文件即可连接到服务器的这个自定义端口了。(图13)
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
3 巧用数字签名揪出可疑文件
除了进程和端口方面的安全防护外,可能很少有用户关注操作系统的数字签名功能。简单地说,数字签名是微软为系统文件添加的一组电子密码,可以保护系统文件的完整性,如果某文件没有有效的数字签名,那么将无法证明文件的来源真实可靠,因而这个文件就很有可能是有问题的,换句话说,这个文件就很可能是被病毒木马篡改过的。
1.查看文件的“数字签名”
首先来看看微软数字签名保护的系统文件,打开“C:\WINDOWS\system32”目录,这里经常是一些病毒木马的藏身之地,而最容易被病毒木马利用的就是EXE文件和DLL文件。随便找到一个文件,鼠标右击该文件,从弹出的菜单中选择“属性”,在打开的窗口中,点击“版本”选项卡,这里我们可以看到文件的产品版本、公司、内部名称等信息,其中“公司”中可以看到“Microsoft Corporation”,这表明来自微软公司。如果此处的“公司”信息显示是其它公司,那么必须弄清楚这个文件的来源,如果不能确认来源,那么就值得怀疑了。(图14)
有的文件甚至没有“版本”这个选项,那么这个文件就很有可能是病毒木马或者流氓软件了。当然,我们还不能草率下结论认定这个文件是病毒木马,我们可以借助专业的病毒木马查杀工具,并结合文件的修改时间等多方面来进行判别。(图15)
“C:\WINDOWS\system32”目录下的系统文件众多,我们不可能逐一打开进行查看,怎么办呢?其实可以借助一款小工具来解决,这就是“数字签名检测工具”,使用该软件可以对微软数字签名进行快速检查,从而验证系统文件的可信性。具体操作如下:
运行软件,设置好扫描目录,可以选定“C:\WINDOWS\system32”目录,为了检测彻底这里勾选上“包括子文件夹”选项,然后点击“开始检测”按钮即可开始自动扫描文件的数字签名信息。扫描完毕后,为了方便查看,建议勾选“仅显示没有数字签名的文件”,我们看到没有数字签名的文件比较多,大家可以重点查看EXE文件和DLL文件,从而判别没有数字签名的文件是否为病毒。(图16)
2.结合时间找到可疑的病毒文件
通过数字签名检测工具,可以看到没有数字签名的文件非常多,因为有些正常的文件也可能没有数字签名,那么如何从众多的文件中找出可疑的病毒木马文件呢?我们可以结合系统时间来分析,也就是说,在某个时间段你的机器不正常、运行缓慢或者频频弹出广告等,那么就重点查看这个时间段的没有数字签名的系统文件。
打开系统自带搜索工具,在搜索文件名中输入“*.exe;*.dll”,因为病毒木马往往是EXE和DLL文件类型,在搜索范围中设定系统目录,在“什么时候修改的”一项中勾选“指定日期”,然后设置好时间范围,最后在高级选项中勾选“搜索系统文件夹”、“搜索隐藏的文件和文件夹”,最后点击搜索即可。(图17)
从搜索结果来看,这个时间段修改的EXE和DLL文件比较多,这时,我们可以再结合“数字签名检测工具”来判别。具体操作是:将搜索结果中的所有文件复制到一个新的文件夹,然后再用数字签名检测工具来进行检测,没有数字签名的,基本上可以认定是木马病毒了。理由很简单,这个文件没有合法的数字签名,而这个文件出现后,就导致你的系统出现中毒、弹广告窗口等症状,因此这个文件就很可能是罪魁祸首。大家可以再用杀毒软件来进行查杀,从而确保不会误杀这个文件。
4 轻松修复系统漏洞
我们可以利用前面介绍的几种方法来查找系统中的各种可疑文件,从而找出被病毒、木马破坏的文件。那么除了这种“事后修补”的方式外,还有什么简单有效的方法来对付病毒木马呢?其实,为系统打补丁就是一种非常必要也非常见效的一种“事前防范”方法。一方面我们可以开启Windows自动更新服务,另一方面,我们完全可以借助大家聊天常用的QQ软件来检测并修复漏洞。
开启系统自动更新的方法是:依次打开“开始控制面板Windows安全中心自动更新”,在打开的窗口中,勾选“自动”,表示允许自动更新,最后点击“确定”即可。(图18)
利用QQ查杀木马、修复漏洞的方法则是:运行QQ后,依次打开QQ主面板上的“菜单安全中心在线查杀木马”,在打开的页面中,点击“开始”按钮,在接下来打开的页面中,首先会提示用户安装安全控件,然后点击“开始检查”即可进行木马查杀和漏洞扫描。(图19)
检测到系统漏洞后,勾选相应的漏洞,点击“修复”按钮即可修复系统漏洞,操作起来比较简单。(图20)
结语
本专题为大家介绍了不使用杀毒软件的情况下,如何确保电脑的安全运行,说到底,是充分挖掘了系统本身的潜能。当然,这需要大家对电脑有较为深入的认识,把握住系统细微的变化,从而快速诊断是否被病毒木马破坏。需要提醒大家的是,虽然这里所讲是手工与病毒木马过招,但杀毒软件仍然不可少,只有二者配合使用,方能打造系统安全的铜墙铁壁!