木马病毒分析及其防治方法

　　摘要：随着计算机网络技术的迅速发展和普及,Internet网络使得全世界的人们可以自由的交流和分享信息,极大的促进了全球一体化的发展。但是人们在交往的同时也面临着网络安全的隐患,每天分布在世界各地的计算机无时无刻不在遭受计算机病毒的攻击。其中有一种与病毒相似但有所区别的、基于远程控制的、具有很强的隐蔽性和危害性的工具,这就是特洛伊木马程序。

　　1 前言

　　2 绪论

　　2.1木马病毒的现状

　　目前,木马已经形成了多个派系的共存,结合了传统电子邮件病毒的破坏性,产生更多的混合型木马病毒。有关报告显示:截至2008年6月,所截获的新增病毒样本总计有111 474种,其中,新增的这些木马病毒中,盗号木马尤其严重,占到木马总数的70%,高达58 245种。从这些数据中可以看出,木马数量成倍增长,而且病毒制造者更倾向于制造、传播木马病毒者。现在,病毒疫情主要呈现出互联网进入木马/病毒经济时代;木马数量迅猛增加,变种层出不穷;网页挂马与ARP欺骗危害加剧;U盘是病毒传播的主要途径;病毒/木马疯狂反扑,病毒/木马商业化运作出现团队化协同方式;病毒的变种数量已经成为衡量其危害性的新标准等特点。

　　2.2 论文研究背景及意义

　　随着互联网技术的发展和普及，计算机网络得到了广泛应用，利用广泛开放的网络环境进行全球通信已经成为时代发展的趋势，人们日常的经济和社会生活也越来越依赖互联网。但网络技术给人们带来巨大的便利的同时也带来了各种各样的安全威胁，例如黑客攻击，计算机病毒、特洛伊木马泛滥等。研究在目前开放的网络环境下，如何保证自己的信息安全就显的非常重要。

　　特洛伊木马(简称木马)是一种具有运行非预期或未授权功能的程序，例如可以记录用户键入的密码，远程传输文件，甚至可以完全远程控制计算机等。一般黑客在攻击目标得手之后，就会在主机上安装后门，即特洛伊木马。特洛伊木马可以在用户毫不知情的情况下泄漏用户的密码、用户的秘密资料等，甚至可以远程监控用户的操作，因此，某些行业，如国防、外交和商务部门，特洛伊木马的危害性更大，一旦这些部门被安装了木马，损失就会非常惨重。

　　人们常常将特洛伊木马看成是计算机病毒，其实，它们之间还是有比较大的区别的。计算机病毒具有数据的破坏性，而特洛伊木马最大的危害在于数据的泄密性，当然不乏有将病毒技术和木马技术结合使用的恶意软件，即利用病毒的传染性使较多的计算机系统植入木马。但特洛伊木马本身一般没有复制能力，不会感染其他的寄宿文件，一般在同一台主机上只有一个特洛伊木马。而病毒具有传染性，会不断感染其他的同类文件，在同一台主机上，会出现很多被感染的文件。

　　而目前，人们对计算机病毒的研究比较多，而对特洛伊木马的研究要相对滞后。许多的反病毒软件也声称能反特洛伊木马，但是，现在的大多数反病毒软件采用的是特征码检测技术，即抽取各种计算机病毒和特洛伊木马等恶意代码样本中的特征码，放入病毒库中，将待检测的软件与病毒库中的特征码比较，如果吻合则判断为恶意代码。特征码技术对于检测已知恶意代码，非常快捷有效，但是对于检测未知的恶意代码则无能为力。反病毒软件的检测能力总是落后于新的恶意代码的出现的，在这个时间差内，新的恶意代码可能就会泛滥，造成重大损失，特征码技术的这种局限性就决定了其滞后性。

　　在网络攻击与安全防范日益激烈的对抗中，特洛伊木马攻击技术在不断地完善。现在特洛伊木马攻击手段已成为网络攻击的最常用、最有效的手段之一，是一系列网络攻击活动中重要的组成部分，严重地威胁着计算机网络系统的安全。网络安全迫切需要有效的木马检测防范技术。

　　然而，目前木马的检测方法都是基于木马静态特征的检测，是被动的检测，不能有效地适应木马的各种检测对抗技术;其检测能力完全依赖于检测系统中根据已知木马建立和维护的木马静态特征库。为了检测新型木马，需要及时收集、提取新型木马的静态特征、更新静态特征库。这是一项持久繁重的工作，同时也制约着基于静态特征检测技术的木马检测工具的有效性。

　　在大量模拟网络环境下的木马攻击行为的前提下，本文首先对木马的运行形式、通信形式、启动方式的隐蔽技术以及在宿主机磁盘中的隐藏方法进行了深入分析。在这基础上，重点研究了基于动态行为的木马检测防范方法。基于动态行为的木马检测防范方法是一个基于行为的、主动的、动态的检测防范方法，能够克服基于静态特征检测技术的弱点，是木马检测技术的发展方向。

　　如何区分正常的系统行为和非正常的木马行为是基于动态行为检测技术的重点和难点。行为的隐蔽性和目的的恶意性是木马行为的主要特征。所以，动态检测防范的主要思想就是：控制木马生存的系统资源，监控木马的隐蔽途径和行为，过滤并分析网络通信。在这个思想下，通过对综合检测和防范技术的深入讨论，本文提出了一个基于动态行为进行木马检测的入侵检测防范系统基本框架，把木马的动态检测技术运用到网络安全检测系统中，提高木马检测与防范的可靠性。

　　3 特洛伊木马的概述

　　木马病毒和其他病毒一样都是一种人为的程序，都属于电脑病毒。大家都知道以前的电脑病毒的作用，其实完全就是为了搞破坏，破坏电脑里的资料数据，除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作

　　用，或是为了炫耀自己的技术。木马病毒则不一样，它的作用是赤裸裸的偷偷监视别

　　人的所有操作和盗窃别人的各种密码和数据等重要信息，如盗窃系统管理员密码搞破

　　坏;偷窃ADSL上网密码和游戏帐号密码用于牟利;更有甚者直接窃取股票帐号、网

　　上银行帐户等机密信息达到盗窃别人财务的目的。所以木马病毒的危害性比其他电脑

　　病毒更加大，更能够直接达到使用者的目的!这个现状就导致了许多别有用心的程序

　　开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序，这就是目前网上大量

　　木马病毒泛滥成灾的原因。鉴于木马病毒的这些巨大危害性和它与其他病毒的作用性

　　质的不一样，所以木马病毒虽然属于病毒中的一类，但是要单独的从病毒类型中间剥

　　离出来，独立地称之为“木马病毒”程序。

　　2.1木马的定义

　　木马的全称是“特洛伊木马”,是一种新型的计算机网络病毒程序。它利用自身所具有的植入功能,或依附其它具有传播能力病毒,或通过入侵后植入等多种途径,进驻目标机器,搜集其中各种敏感信息,并通过网络与外界通信,发回所搜集到的各种敏感信息,接受植入者指令,完成其它各种操作,如修改指定文件、格式化硬盘等。

　　2.1木马病毒的危害

　　多数恶意程序,只要把它们删除,危险就算过去,威胁也不再存在。但木马有些特殊,它和病毒、蠕虫之类的恶意程序一样,会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户等[1]。

　　例如,经常可以看到攻击者霸占被入侵的计算机,控制U盘,用户所有的磁盘空间几乎都被侵占殆尽。除此之外,木马还有“窃取内容”“远程控制”的特点。木马具有远程控制计算机系统以及捕获用户的屏幕和每一次键击事件、音频、视频的能力,这意味着恶意攻击者能够轻松地窃取用户的密码、目录路径、驱动器映射,甚至信用卡、银行账户和个人通信方面的信息。木马病毒危害程度要远远超过普通的病毒和蠕虫。

　　2.1.3 木马的基本特征

　　木马是病毒的一种,木马程序也有不同种类,但它们之间又有一些共同的特性。

　　1. 隐蔽性：当用户执行正常程序时,在难以察觉的情况下,完成危害用户的操作,具有隐蔽性。它的隐蔽性主要体现在以下6个方面,一是不产生图标,不在系统“任务栏”中产生有提示标志的图标;二是文件隐藏,将自身文件隐藏于系统的文件夹中;三是在专用文件夹中隐藏;四是自动在任务管理器中隐形,并以“系统服务”的方式欺骗操作系统;五是无声息地启动;六是伪装成驱动程序及动态链接库。

　　2. 自行运行：木马为了控制服务端,必须在系统启动时跟随启动。所以,它潜入在你的启动配置文件中,如Win.ini,System.ini,Winstart.bat以及启动组等文件之中。

　　3. 欺骗性：捆绑欺骗,用包含具有未公开并且可能产生危险后果的功能程序与正常程序捆绑合并成一个文件。

　　4. 自动恢复：采用多重备份功能模块,以便相互恢复。

　　5. 自动打开端口：用服务器客户端的通信手段,利用TCP/IP协议不常用端口自动进行连接,开方便之“门”。

　　6. 功能特殊性：木马通常都有特殊功能,具有搜索cache中的口令、设置口令、扫描目标IP地址、进行键盘记录、远程注册表操作以及锁定鼠标等功能。

　　2.1.4 木马的结构

　　一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。

　　(1)硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。

　　(2)软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。

　　(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

　　说明：(1)现在网络上流行的木马软件基本都是客户机/服务器模式也就是所谓的C/S结构，即客户/服务器体系结构(Client/Server Architecture)，由客户应用程序和服务器程序组成。目前也有一些木马开始向B/S结构转变，所谓B/S结构，就是只安装维护一个服务器，而客户端采用浏览器(运行软件，即浏览器/服务器结构。 客户端运行软件，就像我们平时上网浏览网页一样，不用安装其它软件。而且通过电话线也可以运行软件。B/S结构的软件所有的维护、升级工作都只在服务器上进行，而客户端就能获得最新版本的软件。(2)控制端也叫客户端，也就是控制木马的那一部分程序，他主要在木马使用者的机器里。而服务端是需要非法潜入其他机器的一种小程序。所以，我们传统意义上说的种植木马是指把木马的服务端置入他人的机器的一种做法，而客户端就留在我们的机子中，以它来控制远程服务端。(3)只有在配置好“木马配置程序”后才会生成你的配置的服务端。一些小木马无此功能，在它编写的时候就已经固定好配置类型了。

　　2.1.5 木马原理

　　木马是一个程序,它驻留在计算机里,随计算机自动启动,并对某一端口侦听、识别到所接收的数据后,对目标计算机执行特定的操作[2]。木马的实质只是一个通过端口进行通信的网络客户/服务程序,其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机)。作为服务器的主机,一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connect Request),服务器上的相应程序就会自动应答客户机的请求。木马程序是由客户端和服务端两个程序组成,其中客户端是攻击者远程控制终端程序,服务端程序即木马程序。当木马的服务端程序在被入侵的计算机系统上成功运行以后,攻击者就可以使用客户端与服务端建立连接,并进一步控制被入侵的计算机系统。在客户端和服务端通信协议的选择上,绝大多数木马程序使用的是TCP/IP协议,也有一些木马由于特殊的原因,使用UDP协议进行通信。当服务端在被入侵计算机上运行以后,它尽量把自己隐藏在计算机系统的某个角落里,以防用户发现;同时监听某个特定的端口,等待客户端(攻击者)与其取得连接;为了下次重启计算机时能正常工作,木马程序一般会通过修改注册表或者其他的方法让自己成为固定的启动程序。

　　2.2 木马病毒的现状

　　目前,木马已经形成了多个派系的共存,结合了传统电子邮件病毒的破坏性,产生更多的混合型木马病毒。有关报告显示:截至2008年6月,所截获的新增病毒样本总计有111 474种,其中,新增的这些木马病毒中,盗号木马尤其严重,占到木马总数的70%,高达58 245种。从这些数据中可以看出,木马数量成倍增长,而且病毒制造者更倾向于制造、传播木马病毒者。现在,病毒疫情主要呈现出互联网进入木马/病毒经济时代;木马数量迅猛增加,变种层出不穷;网页挂马与ARP欺骗危害加剧;U盘是病毒传播的主要途径;病毒/木马疯狂反扑,病毒/木马商业化运作出现团队化协同方式;病毒的变种数量已经成为衡量其危害性的新标准等特点。

　　3木马病毒的植入及传播技术

　　由于木马病毒是一个非自我复制的恶意代码,因此它们需要依靠用户向其他人发送其拷贝。木马病毒可以作为电子邮件附件传播,或者它们可能隐藏在用户与其他用户进行交流的文档和其他文件中。它们还可以被其他恶意代码所携带,如蠕虫。木马病毒有时也会隐藏在从互联网上下载的捆绑免费软件中。当用户安装这个软件时,木马病毒就会在后台被自动秘密安装。

　　3.1木马病毒植入技术

　　木马病毒植入技术,主要是指木马病毒利用各种途径进入目标机器的具体实现方法。

　　(1)利用电子邮件进行传播:攻击者将木马程序伪装成E-mail附件的形式发送过去,收信方只要查看邮件附件就会使木马程序得到运行并安装进入系统。

　　(2)利用网络下载进行传播:一些非正规的网站以提供软件下载为名,将木马捆绑在软件安装程序上,下载后,只要运行这些程序,木马就会自动安装。

　　(3)利用网页浏览传播:这种方法利用Java Applet编写出一个HTML网页,当我们浏览该页面时,JavaApplet会在后台将木马程序下载到计算机缓存中,然后修改注册表,使指向木马程序。

　　(4)利用一些漏洞进行传播:如微软著名的IIS服务器溢出漏洞,通过一个IISHACK攻击程序即可把IIS服务器崩溃,并且同时在受控服务器执行木马程序。由于微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至直接对浏览者主机进行文件操作等控制。

　　(5)远程入侵进行传播:黑客通过破解密码和建立IPC远程连接后登陆到目标主机,将木马服务端程序拷贝到计算机中的文件夹(一般在C:WINDOWSsystem32或者C:WINNTsys-tem32)中,然后通过远程操作让木马程序在某一个时间运行。

　　(6)基于DLL和远程线程插入的木马植入：这种传播技术是以DLL的形式实现木马程序,然后在目标主机中选择特定目标进程(如系统文件或某个正常运行程序),由该进程将木马DLL植入到本系统中。而DLL文件的特点决定了这种实现形式的木马的可行性和隐藏性。首先,由于DLL文件映像可以被映射到调用进程的地址空间中,所以它能够共享宿主进程(调用DLL的进程)的资源,进而根据宿主进程在目标主机的级别未授权地访问相应的系统资源。其次,因为DLL没有被分配独立的进程地址空间,也就是说DLL的运行并不需要创建单独的进程,增加了隐蔽性的要求。

　　(7)利用蠕虫病毒传播木马:网络蠕虫病毒具有很强的传染性和自我复制能力,将木马和蠕虫病毒结合在一起就可以大大地提高木马的传播能力。结合了蠕虫病毒的木马利用病毒的特性,在网络上进行传播、复制,这就加快了木马的传播速度。

　　3.2 木马病毒的加载技术

　　当木马病毒成功植入目标机后,就必须确保自己可以通过某种方式得到自动运行。常见的木马病毒加载技术主要包括:系统启动自动加载、文件关联和文件劫持等。

　　3.2.1 系统启动自动加载

　　系统启动自动加载，这是最常的木马自动加载方法。木马病毒通过将自己拷贝到启动组,或在win.ini,system.ini和注册表中添加相应的启动信息而实现系统启动时自动加载。这种加载方式简单有效,但隐蔽性差。目前很多反木马软件都会扫描注册表的启动键(信息),故而新一代木马病毒都采用了更加隐蔽的加载方式。

　　3.2.2 文件关联

　　文件关联，这是通过修改注册表来完成木马的加载。但它并不直接修改注册表中的启动键(信息),而将其与特定的文件类型相关联,如与文本文件或图像文件相关联。这样在用户打开这种类型的文件时,木马病毒就会被自动加载。

　　修改关联的途径是选择了对注册表的修改，它主要选择的是文件格式中的“打开”、“编辑”、“打印”项目，如冰河木马修改的对象如图所示。如果感染了冰河木马，则在[HKEY_CLASS_ROOTtxtfileshellopencommand]中的键值不是“c:windowsnotopad.exe%1”，而是改为“sysexplr.exe%1”

　　图2 修改文件打开关联的程序流程图

　　步骤一：打开注册表，如果成功打开，则进入步骤二，否则转步骤八

　　步骤二：读取某类文件打开方式的键值，如果成功找到，则进入步骤三，否则转步骤五

　　步骤三：修改键值为希望设定的键值，如果成功修改，则进入步骤四，否则转步骤五

　　步骤四：给出成功提示信息，转步骤六

　　步骤五：给出错误提示信息，进入步骤六

　　步骤六：关闭注册表，进入步骤七

　　步骤七：释放变量空间，退出程序

　　l 修改文件打开方式的设计界面，如图3所示

　　图3 修改文件打开方式

　　l 修改文件打开方式的部分设计代码

　　…………

　　//初始化对话框的一些基本信息

　　BOOL CmodifylinkDlg::OnInitDialog()

　　{

　　CDialog::OnInitDialog();

　　ASSERT((IDM_ABOUTBOX&0xFFF0)==IDM_ABOUTBOX);

　　ASSERT(IDM_ABOUTBOX<0xF000);

　　CMenu*pSysMenu=GetSystemMenu(FALSE);

　　if(pSysMenu!=NULL)

　　{

　　CString strAboutMenu;

　　strAboutMenu.LoadString(IDS_ABOUTBOX);

　　if(!strAboutMenu.IsEmpty())

　　{

　　pSysMenu->AppendMenu(MF_SEPARATOR);

　　pSysMenu->AppendMenu(MF_STRING,IDM_ABOUTBOX,strAboutMenu);

　　}

　　}

　　SetIcon(m_hIcon,TRUE);

　　SetIcon(m_hIcon,FALSE);

　　CString str;

　　str.Format("%s",AfxGetApp()->m_lpCmdLine);

　　const char*MutexObject="Modifylink";

　　hMutex=NULL;

　　hMutex=::CreateMutex(NULL,false,MutexObject);//创建互斥变量，以防止自身程序的多次运行

　　if(hMutex!=NULL)

　　{

　　DWORD err=GetLastError();

　　if(err==ERROR_ALREADY_EXISTS)

　　::PostQuitMessage(0);

　　}

　　if(str.Find("txt")!=-1)

　　{//生成文件的全路径名成

　　CString temp;

　　char ch;

　　int length=str.GetLength();

　　for(int i=0;i

　　{

　　ch=str.GetAt(i);

　　if(ch=='')

　　temp=temp+"";

　　else

　　temp=temp+ch;

　　}

　　temp=temp.Left(temp.GetLength()-2);

　　temp=temp.Mid(1);

　　char str1[]=""%1"%*";

　　ShellExecute(NULL,"open","notepad.exe",temp,NULL,SW_SHOW);

　　}

　　return TRUE;

　　}

　　[2]

　　…………

　　void CmodifylinkDlg::OnBnClickedModify()

　　{

　　//修改注册表，改成希望启动的木马程序TCHAR str2[256];

　　//得到程序的全路径名

　　GetModuleFileName(NULL,str2,255);

　　strcat(str2,""%1"%*");

　　::RegSetValue(HKEY_CLASSES_ROOT,"txtfileshellopencommand",REG_SZ,(LPCTSTR)str2,strlen-

　　(str2)+1);

　　}

　　void CmodifylinkDlg::OnBnClickedRestore()

　　{

　　//把文本文件关联到记事本程序

　　char str2[]="NOTEPAD.EXE%1";

　　::RegSetValue(HKEY_CLASSES_ROOT,"txtfileshellopencommand",REG_SZ,(LPCTSTR)str2,strlen-

　　(str2)+1);

　　}

　　3.2.3 文件劫持

　　文件劫持，是一种特殊的木马加载方式。木马病毒被植入到目标机后,需要首先对某个系统文件进行替换或嵌入操作,使得该系统文件在获得访问权之前,木马病毒被率先执行,然后再将控制权交还给相应的系统文件。采用这种方式加载木马不需要修改注册表,从而可以有效地躲过注册表扫描型反木马软件的查杀。这种方式最简单的实现方法是将某系统文件改名,然后将木马程序改名。这样当这个系统文件被调用的时候,实际上是木马程序被运行,而木马启动后,再调用相应的系统文件并传递原参数。

　　3.3 木马病毒的隐藏技术

　　为确保有效性,木马病毒必须具有较好的隐蔽性。木马病毒的主要隐蔽技术包括:伪装、进程隐藏、DLL技术等。

　　1. 伪装。从某种意义上讲,伪装是一种很好的隐藏。木马病毒的伪装主要有文件伪装和进程伪装。前者除了将文件属性改为隐藏之外,大多通过采用一些比较类似于系统文件的文件名来隐蔽自己;而后者则是利用用户对系统了解的不足,将自己的进程名设为与系统进程类似而达到隐藏自己的目的。

　　2. 进程隐藏。木马病毒进程是它驻留在系统中的最好证据,若能够有效隐藏自己的进程,显然将大大提高木马病毒的隐蔽性。在windows98系统中可以通过将自己设为系统进程来达到隐藏进程的目的。但这种方法在windows2000/NT下就不再有效,只能通过下面介绍的DLL技术或设备驱动技术来实现木马病毒的隐藏。

　　3. DLL技术。采用DLL技术实现木马的隐蔽性,主要通过以下两种途径:DLL陷阱和DLL注入。DLL陷阱技术是一种针对DLL(动态链接库)的高级编程技术,通过用一个精心设计的DLL替换已知的系统DLL或嵌入其内部,并对所有的函数调用进行过滤转发。DLL注入技术是将一个DLL注入到某个进程的地址空间,然后潜伏在其中并完成木马的操作。

　　4 木马病毒的防治方法

　　综上所述，我们已经知道木马程序是十分有害的，也是十分狡猾的。计算机一旦感染上木马程序，后果不堪设想。那么，我们可以采取什么措施来防范木马的攻击呢?

　　4.1防范木马攻击技术的研究

　　1. 运行反木马实时监控程序

　　我们在上网时，必须运行反木马实时监控程序，实时监控程序可即时显示当前所有运行程序并配有相关的详细描述信息。另外，也可以采用一些专业的最新杀毒软件、个人防火墙进行监控。

　　2. 不要执行任何来历不明的软件

　　对于网上下载的软件在安装、使用前一定要用反病毒软件进行检查，最好是专门查杀木马程序的软件进行检查，确定没有木马程序后再执行、使用。

　　3. 不要轻易打开不熟悉的邮件

　　现在，很多木马程序附加在邮件的附件之中，收邮件者一旦点击附件，它就会立即运行。所以千万不要打开那些不熟悉的邮件，特别是标题有点乱的邮件，这些邮件往往就是木马的携带者。

　　4. 不要轻信他人

　　不要因为是我们的好朋友发来的软件就运行，因为我们不能确保他的电脑上就不会有木马程序。当然，好朋友故意欺骗你的可能性不大，但也许他中了木马程序自己还不知道呢。况且今天的互联网，到处充满了危机，我们也不能保证这一定是好朋友发给我们的，也许，是别人冒名给我们发的文件，或者就是木马程序本身发来的，比如说最常见的QQ尾巴病毒，经常会冒充主人给好友发来附件。

　　5. 不要随意下载软件

　　不要随便在网上下载一些盗版软件，特别是一些不可靠的FTP站点、公众新闻组、论坛或BBS，因为这些地方正是新木马发布的首选之地。

　　6. 将Windows资源管理器配置成始终显示扩展名

　　因为一些扩展名为：VBS、SHS、PIF的文件多为木马程序的特征文件，一经发现要立即删除，千万不要打开。

　　7. 尽量少用共享文件夹

　　如果计算机连接在互联网或局域网上，要少用，尽量不用共享文件夹，如果因工作等其他原因必须设置成共享，则最好单独开一个共享文件夹，把所有需共享的文件都放在这个共享文件夹中。注意，千万不能把系统目录设置成共享。

　　8. 隐藏IP地址

　　这一点非常重要。我们在上网时，最好用一些工具软件隐藏自己计算机的IP地址[23]。

　　上面，我们讲了预防木马程序攻击的八个方法，似乎已经很安全了。但是，我们知道的方法，木马程序设计者自然也会知道，他们会想尽一切办法，尽量避免被我们预防到。

　　4.2木马病毒的信息获取技术

　　获取目标机的各种敏感信息,是木马病毒有别于其他病毒或蠕虫的最大特点之一。木马病毒原则上可以获取目标机中所有信息,包括:一是基本信息,如系统版本、用户名、系统目录等;二是利用钩子函数获取用户键入的口令或其他输入;三是对目标机所在局域网中流动的信息包进行嗅探,以获得诸如系统口令或其他敏感信息;四是目标机屏幕截取与传送;五是目标机附近声音信号的采集与传输。

　　4.3 木马病毒的查杀

　　木马的查杀,可以采用手动和自动两种方式。最简单的方式是安装杀毒软件,当今国内很多杀毒软件像瑞星、金山毒霸、KV3000等都能删除网络中最猖獗的木马。但杀毒软件的升级通常慢于新木马的出现,因此学会手工查杀很有必要。常用方法有:

　　检查注册表。从开始菜单运行regedit,打开注册表编辑器。

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunserveice,察看键值中有没有自己不熟悉的自启动文件,它的扩展名一般为EXE,然后记住木马程序的文件名,再在整个注册表中搜索,凡是看到了一样的文件名的键值就删除,接着到电脑中找到木马文件的藏身地将其彻底删除。检查HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain中的几项(如Local Page),如果发现键值被修改了,只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。

　　检查HKEY_CLASSES_ROOTinifileshellopencommand和HKEY_CLASSES_ROOTtxtfileshellopencommand等几个常用文件类型的默认打开程序是否被更改,若有更改一定要改回来,很多病毒就是通过修改.txt和.ini等的默认打开程序而清除不了。

　　在上述操作时要注意的就是,对注册表修改之前,先要对它进行备份,以防错误的操作引起系统崩溃。

　　(2)检查系统配置文件。从开始菜单运行msconfig,打开系统配置实用程序。检查win.ini文件(在C:windows下),在“WINDOWS”下面“,run=”和“load=”是加载木马程序的一种途径。一般情况下,在它们的等号后面什么都没有,如果发现后面跟着不熟悉的启动程序,那个程序就是木马程序。比如攻击OICQd“eGOP”木马,就会在这里留下痕迹。

　　检查system.ini文件(在C:windows下),在“BOOT”下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果是“shell=explorer.exe程序名”,那么后面跟着的那个程序也是木马程序。

　　不管出现以上那种情况,先将程序名删除,然后再在硬盘上找到这个程序进行删除。

　　9反木马软件

　　除了以上查杀木马病毒的方法外,我们还可以用一些反木马软件来

　　清除木马病毒,如Thecleaner,TrojanRemover,冰河清除器,BO2Klean-eng

　　等。

　　综上所述,本文给出了常见病毒的一些预防及处理措施。随着技术

　　的不断发展,木马病毒必定也会以更隐蔽、破坏力更强的方式出现,但

　　“魔高一尺,道高一丈”,相信反病毒方式也会不断进步,从而确保我们的

　　信息安全。

　　5 结束语

　　近年来，计算机网络获得了飞速的发展。它不知不觉的占据了我们生活的大半部分，成为我们社会结构的一个基本组成部分。从Internet的诞生之日起，就不可避免的面临着网络信息安全的问题。而随着Internet的迅速发展，计算机网络对安全的要求也日益增高。越来越多的网站因为安全性问题而瘫痪，公司的机密信息不断被窃取，政府机构和组织不断遭受着安全问题的威胁等等。

　　计算机的安全问题正面临着前所未有的挑战。在这场网络安全的攻击和反攻击的信息战中，永远没有终点。黑客的攻击手段不断翻新，决定了信息安全技术也必须进 行革新，防火墙与端口扫描技术都是防范黑客攻击的常用手段，但这样的技术必须与当今最前沿的其他安全技术结合在一起，才能更有效地防范各种新的攻击手段。

　　在本次学习中，因为时间紧，加之本身对这方面的知识的不熟悉，论文必定有考虑不周的地方，恳请老师批评指正。

　　致 谢

　　在即将完成论文之际，我要衷心感谢在写论文期间一直给我关怀和帮助的人们，正是他们的鼓励和支持，才使我一如既往地投入到学习中去，并从中学会了面对失败和困难，体会了成功的欢乐与兴奋。

　　首先要感谢的是湖南农业大学信息与科学技术学院的指导老师朱幸辉老师的悉心指导。在做论文期间，朱老师一直以来是有问必答，时刻关注我们的写作进程，对我们提出的问题总是及时答复，对我们的问题总是耐心的批评指正。他的作为让我懂得了以后不管做任何事都要认真负责，对工作要兢兢业业。

　　同时还要感谢我朋友和同学的热心帮助，他们在我写论文期间尽力帮我找资料，给我提建议让我少走了许多弯路。

　　还要感谢本组同学的关心和帮助以及所有老师四年来悉心的关心和教导。

　　感谢我的亲人，一直以来他们都是我求学道路上的坚强后盾!是我的支柱!

　　感谢所有帮助过我的人，在次我衷心的祝他们身体健康，一生平安!