对外经济贸易大学网络安全响应小组,简称 UIBECERT,是对外经济贸易大学的信息安全应急响应组织。 UIBECERT在网络与计算中心和相关主管部门的领导下,依托中国教育网,主要为对外经济贸易大学校园网及用户单位提供网络安全快速响应和技术支持服务,并从事信息安全相关领域的研究和开发。
 
 
 
木马防护专题
 

木马防护专题 时间:2005-01-02 来源:中科院相关文件


  本文全面讨论了Windows木马的方方面面:如何工作,有何特性。当然,也有针对性地提出了一些如何尽量减少木马危害的措施。
  由于本文同时也包含了很多其他文章里面末曾探讨过的主题和一些有特殊用途的检测软件的连接,所以,不光对只想保护自己的机器免受木马侵害的普通 Windows/internet用户很有参考价值,对于编程者或者系统分析者等高级用户也可以带给你很多关于木马的新的、实用的观点。
  虽然Windows木马只不过是Windows系统安全的一个微小的组成部分而已,不过,很快你将看到它们能够对你的系统造成多么巨大危害,如果防范 措施不力,那么带来的后果将是毁灭性的。


什么是特洛伊木马?


   木马,其实质只是一个网络客户/服务程序。网络客户/服务模式的原理是一台主机提供服务 (服务器),另一台主机接受服务 (客户机)。作为服务器的主机一般会打开一个默认的端口开进行监听(Listen),如果有客户机间服务器的这一端口提出连接请求 (Connect Request),服务器上的相应程序就会自动运行,应答客户机的请求,这个程序我们称为守护进程……更多详情请点击


特洛伊木马是如何工作的?


  一般的木马程序都包括客户端和服务端两个程序,其申客户端是用于攻击者远程控制植入木马的机器,服务器端程序即是木马程序。攻击者要通过木马攻击你的系统,他所做的第一步是要把木马的服务器端程序植人到你的电脑里面……更多详情请点击


木马的种类


   自木马程序诞生至今,己经出现了多种类型,想在这里给它们来一次完全的列举和说明是不可能的,更何况大多数的木马都不是单一功能的木马,它们往往是很多 种功能的集成品----甚至有很多从本公开的功能在一些木马中也广泛地存在着。尽管如此,给木马程序来一个初步的分类。对于电脑使用者来说也是非常必要和 及时的。
   木马大至可分为:远程控制木马、密码发送木马、键盘记录木马、破坏性质木马、Dos攻击木马、代理木马、FTP木马、程序杀手木马、反弹端口木马……更多详情请点击


木马采用的伪装方法


  鉴于木马的危害性,加之媒体的广泛宣传,今天的人们对木马都有了一定程度的了解,这对木马的传播起了一定的抑制作用。当然,这是木马设计者所不愿见到的,因此他们想出许多办法来伪装木马,以达到降低用户警惕性,欺骗用户的目的。
   常用的伪装方法:修改图标、捆绑文件、出错显示、自我销毁、木马更名……更多详情请点击


木马的隐藏方式


  常见的木马隐藏方式有:在任务栏里隐藏、在任务管理器里隐藏……更多详情请点击


木马是如何启动的


   作为一个优秀的木马,自启动功能是必不可少的,这样可以保证木马不会因为你的一次关机操作而彻底失去作用。正因为该项技术如此重要,所以,很多编程人员 都在不停地研究和探索新的自启动技术,并且时常有新的发现。一个典型的例子就是把木马加入到用户经常执行的程序 (例如explorer.exe)中,用户执行该程序时,则木马自动发生作用。当然,更加普遍的方法是通过修改Windows系统文件和注册表达到目的, 现经常用的方法主要……更多详情请点击


我的计算机是如何感染木马程序的?


   也许很多没看过这篇文章的人,对这个问题都不以为然,他们认为感染木马程序惟一的途径就是下载并且运行了server.exe(木马服务器端程序),并 且他们还天真地以为只要不下载服务程序,就万事大吉了。有这种想法的朋友,请慢慢往下看,我会演示给你看有多少途径可以让你的计算机受到感染并且被人利用 作一些违反法纪的事情。再次提醒:请牢记这里提出的问题,在自己使用计算机的过程中,牢牢记住,并且遵照执行,信息安全问题,不容忽视。
   总的来说,木马感染计算机有如下几个途径:ICQ,IRC,黑客攻击,物理接触,测览器和E-mail软件漏洞以及NetBios的文件共享服务,下面我 们来分别详细分析一下……更多详情请点击


如何发现木马?


  对于一些常见的木马,如SUB7、BO2000、冰河等等,它们都是采用打开TCP端口监听和写人注册表启动等方式,使用木马克星之类的软件可以检测到这些木马,这些检测木马的软件大多都是利用检测TCP连结、注册表等信息来判断是否有木马人侵……更多详情请点击


被感染后的紧急措施


   如果不幸你的计算机已经被木马光临过了,你的系统文件被黑客改得一塌糊涂,硬盘上稀里糊涂得多出来一大堆乱七八糟的文件,很多重要的数据也可能被黑客窃 取。于是你通过各种渠道,彻底杀除了木马(比如Format C:/q,呵呵……),费了很大的力气重新整理了文件系统,累坏了的你喘着粗气发誓一定再不让 你的计算机感染木马,可是冷静下来后,为了最大限度地减少损失,你能想到什么好的善后措施么?这里给你提供5条建议……更多详情请点击


反病毒软件


   在过去,反病毒软件的任务很简单,只要查杀病毒和一小部分非常出名的木马程序就可以了。可是随着电脑技术和网络技术的飞速发展和木马程序的广泛传播,越 来越多的电脑使用者意识到,要使自己的计算机处于安全状态,不仅仅要防备病毒的袭击,木马程序也是必须给予充分重视的方面。所以,一些系毒软件也加入了越 来越多的木马监测模块,可是,这些杀毒软件监测木马的万式和它们监测病毒的方式一样。都是通过可执行文件的一些特殊的 "签名"(或者称为"记号")来达到目的,而这种检测方式在今天,己经不能检测出所有的木马了……更多详情请点击


反木马软件


  这里列出的是全世界最知名的反木马软件的介绍和它们的网站,强烈建议大家去这些网站看看,从中选择出一套最适合你自己的反木马软件……更多详情请点击


防范木马的建议


  前面讲了这么多关于木马的知识,文章的最后,给大家来一次防范木马的建议大集合,其中也许有些你以前听说过,有些没有,但是没关系,我写这个部分的目的就是让所有阅读这个部分的朋友都能从中受益……更多详情请点击

 

对外经济贸易大学网络安全响应小组  E-mail:cert@uibe.edu.cn