2.木马病毒工作原理
一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。
3.木马病毒的检测
查看system.ini、win.ini、启动组中的启动项目。在【开始】【| 运行】命令,输入msconfig,运行Windows自带的“系统配置实用程序”。选中system.ini标签,展开【boot】目录,查看“shell=”这行,正常“shell=Explorer.exe”,如果不是,就有可能中了木马病毒。选中win.ini标签,展开【windows】目录项,查看“run=”和“load=”行,等号后面应该为空。再看看有没有非正常启动项目,要是有类似netbus、netspy、bo等关键词,就极有可能是中了木马。
其他的一些方法,例如在正常操作计算机时,发现计算机的处理速度明显变慢、硬盘不停读写、鼠标不听使唤、键盘无效、一些窗口自动关闭或打开……这一切都表明可能是木马客户端在远程控制计算机。
4.木马病毒实例
Internet上每天都有新的木马出现,所采取的隐蔽措施也是五花八门。下面介绍几种常见的木马病毒的清除方法。
1.对病毒的预防在病毒防治工作中起主导作用,是病毒防治的重点,主要针对病毒可能入侵的系统薄弱环节加以保护和监控。预防计算机病毒要从以下几个方面着手。
(1)检查外来文件。对于网络上下载的或者外部存储器中的程序和文档,在执行或打开文档之前,一定要检查是否有病毒。
(2)局域网预防。尽可能选择无盘工作站。限制用户对服务器上可执行文件的操作。使用抗病毒软件动态检查使用中的文件。
(3)使用确认和数据完整性工具。
(4)周期性备份工作文件。
2.网络病毒的防治相对单机病毒的防治具有更大的难度。目前,网络大都采用Client/Server(客户机/服务器)的工作模式。防治网络病毒需要从服务器和工作站两个主要方面并结合网络管理着手解决。
(1)在网络管理方面进行防治
——制定严格的工作站安全操作规程。
——建立完整的网络软件和硬件的维护制度,定期对各工作站进行维护。
——建立网络系统软件的安全管理制度。
——设置正确的访问权限和文件属性
(2)基于工作站的防治方法
工作站是网络的门,只要将这扇门关好,就能有效地防治病毒入侵。可以使用单机反病毒软件、防病毒卡以及工作站防病毒
芯片。
(3)基于服务器的防治方法
服务器是网络的核心,一旦服务器被病毒感染,就会使整个网络陷于瘫痪。目前,基于服务器的防治病毒方法一般采用NLM
(Netware Loadable Module)技术进行程序设计,以服务器为基础,提供实时扫描病毒能力。其优点主要表现在不占用工作站的内存,可以集中扫毒,能实现实时扫描功能,以及软件安装和升级都很方便等方面。
病毒的入侵必将对系统资源构成威胁,即使良性病毒也要侵吞系统的宝贵资源,所以防治病毒入侵远比病毒入侵后再加以清除更为重要。抗病毒技术必须建立“预防为主,消灭结合”的基本观念。
检测病毒检测计算机上是否被病毒感染,通常可以采用手工检测和自动检测。
——手工检测是指通过一些工具软件(比如DEBUG.com、Pctools.exe等),对易遭病毒攻击和修改的内存及磁盘的相关部分进行检测,通过与正常状态进行对比来判断是否被病毒感染。虽然该方法操作复杂,易出错且效率低,但是该方法可以检测和识别未知病毒,以及检测一些自动检测工具不能识别的新病毒。
——自动检测是指通过一些诊断软件和*毒软件,来判断一个系统或磁盘是否有病毒,如使用瑞星、金山毒霸等软件。虽然该方法可以方便检测大量病毒且操作简单,但是自动检测工具只能识别已知的病毒,而且它的发展总是滞后于病毒的发展。对病毒进行检测可以采用手工方法和自动方法相结合的方式。检测病毒的技术和方法主要有以下几种。
比较法比较法是将原始备份与被检测的引导扇区或被检测的文件进行比较。该方法的优点是简单、方便,不需要专用软件。缺点是无法确认计算机病毒的种类和名称。由于要进行比较,保存好原始备份就非常重要了,制作备份时必须在无计算机病毒的环境下进行,制作好的备份必须妥善保管,贴上标签,并加上写保护。
特征代码法特征代码法是用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描。如果被检测对象内部发现了某一种特定字符串,就表明发现了该字符串所代表的的计算机病毒,这种计算机病毒扫描软件称之为Virus Scanner。该方法优点是检测准确快速、可识别病毒的名称、误报警率低,依据检测结果可做解毒处理。缺点是不能检测未知病毒,且搜集已知病毒的特征代码费用开销大,在网络上效率低。
分析法分析法是防*计算机病毒不可缺少的重要技术,该方法要求具有比较全面的有关计算机、DOS、Windows、网络等的结构和功能调用,以及与计算机病毒相关的各种知识。除此之外,还需要反汇编工具、二进制文件编辑器等用于分析的工具程序和专用的实验计算机。分析的步骤分为静态分析和动态分析两种。静态分析是指利用反汇编工具将计算机病毒代码打印成反汇编指令程序清单后进行分析,了解计算机病毒分成哪些模块,使用了哪些系统调用,采用了哪些技巧,并将计算机病毒感染文件的过程翻转为清除计算机病毒、修复文件的过程。动态分析是指,利用DEBUG等调试工具在内存带毒的情况下,对计算机病毒做动态跟踪,观察计算机病毒的具体工作过程,以进一步在静态分析的基础上理解计算机病毒的工作原理。
