木马检测十篇

木马检测篇1

论文关键词：检测木马,查杀木马,网站木马,自动扫描,定位

 

引言:木马是网站开发者与网站管理员所烦恼却难以清除的木马,在当前,还没有一个杀毒软件或者是检测软件能够准确的标记出木马的位置并将其清除,所以开发一套自动检测asp木马的软件很有意义,可以为管理员对网站的维护节约大量的时间和精力.这样的软件应该被大多数网站管理员所接受并使用,这套系统为网站的安全性增添了一项保障.

假如一套网站维护的很好,却被插入了很多有害代码,对浏览者造成危害,或者对该网站的用户造成损失,那这么绝对不是一套好的网站.但是如果花费大量的时间在大量的网页文件中找出小小的木马文件或者仅仅是一句简单的有害语句,基本是不可能的.而自动检测系统则大大简化了这个过程,通过简单的操作,进行简单的扫描,可以定位并给出使用者可能得被感染的文件(由于软件并不等于人,所以不能否认会出现失误,所以需要使用者进行最后判断),对于每一个网站管理员来说是必要的.

正文：软件系统应该具有的特点是:准确,必须准确的扫描出可能含有危险代码的文件;快速,不能花费管理员大量的时间;简单,管理员只需要经过简单的点击就可以使程序运行.

下面将围绕这三个特性研究这套软件的实现.

简单性:程序有一个设置扫描目录的控件,此控件在程序运行时自动显示上次扫描目录;

设置一个开始扫描按钮以使使用者快速开始;为了更好的精确定位,还需要加入两个设置参数的文本框,分别是一级密码和二级密码;为了灵活使用加密强度,增加加密次数选择框;为了使信息更精确,加入过滤设置选择框(仅仅简单的选择项+一个用来存放临时信息的输入框即可);再有就是一个筛选按钮(扫描结束进行筛选).这些控件的作用在下文提到.

这样的设置可以使使用者以简单的操作或得很好的使用效果,我们的最终目的是找出角落里的木马,而使操作最简化、资源占用最小化.

快速:占用大量的资源和执行时间,是每个软件都不应该有的.似乎效率和任务量成反比,但在此程序中,却有所变化,如果要处理大量数据,进行大量运算(这在查找木马中是必须的,需要进行运算密匙,在下文将提到),而要执行速度很快,使高级语言与汇编语言结合是一个不错的方法,所以此程序应该在必要的地方(如大量使用得函数)以使用汇编代码.

如果要使程序执行速度快,内联函数也应该使用,内联函数可以使重复使用量大的函数得到很高的运算速度,因此,以一定的程序体积来换取执行效率,还是比较明智的.

内联函数与汇编语言的结合使用可以提高程序的执行效率,可以缩短程序执行时间,提高速度.

准确:这是此系统的核心部分,没有准确性一切都是空谈.如何使定位准确呢?这里采用标记的方法.即把每个本地文件标记一个自定义的特殊的字符,在检测时只要比较每个文件中的特殊字符,就可以定位木马文件.

由于这种机制,字符的设置显得很重要,设置一个难以辨识的、每个文件中都不相同的字符是必须的.如果每个字符都不相同,使用文件名与使用者定义密码结合是一个解决思路,先取得文件名,在加上用户定义的密码进行特定运算,组成特定字符插入到此文件中;在检测时,如果特定字符与运算字符不同或者未发现特定字符,可以定位此文件被修改过,而且是未授权的修改,那么基本就是木马了.为什么说基本呢?因为特定字符可能是非法入侵者修改的,企图迷惑管理员,但是入侵者有耐心修改的文件,我想管理员也一定有耐心将他修改回来,毕竟,这种文件是少数的.为了保证对这种INSERT型木马的精确定位,在计算特殊字符时,还需要加入文件体积.这样,不管入侵者修改了什么地方,都可以被定位.这这种运算方式是可选的,并且是可设置选择规律的.为了防止入侵者的恶意迷惑管理员,这个需要加入一个规律的设置,如果是入侵者恶意修改文件体积,那么体积的大小,和修改时间,应该是有规律的(至少修改的时间会限定在几天之内,这个时间看你扫描频率,在此期间的修改程度和扫描精确度随着扫描频率的升高而升高),只要进行筛选,就可以略过这些恶意迷惑的修改,并进行恢复.如果加上这些恶意修改可能略过一些INSERT木马,怎么办呢?此时就要在此进行筛选了,为了迷惑管理员,入侵者不会把其他文件都INSER木马,所以只要筛选出代码中的无规律项,留下的应该就是木马.为什么说应该呢?因为入侵者可能加入一些正常的语句,例如asp中的,这样,既有规律,又更改了文件体积,而且没有影响特征字符.但是,我们的软件总是会比他高一筹,我们再次筛选,过滤掉那些预定为安全语句的文件,只留下带有未经安全允许的,有规律的,符合语法的文件,这些文件应该为数不多,管理员可以自己判断.

上面的内容可以看出,检测层层深入,每次扫描计算量很大,导致程序的执行时间过长,但是我们的inline函数和汇编的结合使用,弥补了这一缺点.这样,我们的程序很有效率.

特定字符的设定也极其重要.必须是与每个文件相关的,可以重新计算的,每个文件的特定字符是不同的.前面已经提到,特定字符的组成部分应该是:使用者定义一级密匙+使用者定义二级密匙+文件体积+文件名.然而,计算方式是会被入侵者知道的,所以加密方式必须合理,以使入侵者即便得到加密原理,也不能解密.我们先把文件名+体积+一级密码组合.组合方式有六种:文件名体积一级密码、文件名一级密码体积、体积文件名一级密码、体积一级密码文件名、一级密码体积文件名、一级密码文件名体积.这个方式由使用者选择.然后我们使用二级密码进行逐个加密,二级密码应该设置的合适,它的设置应该对照于组合的密码的长度,二级密码最好设置为组合字符长度的1/5-1/4,不是1/5,也不是1/4,而在其之间,这样,密码长度合适,而且加密次数也达到4、5次,而且,加密时两个字符串没有同时结束.这样加密就有了强度.

加密的过程很简单,组合字符串与二级密码相互相加,当二级密码到结尾时,以二级密码的第一个字符开始与二级密码结尾时组合字符的字符的下一个字符开始继续加密,一直到组合字符串的结束,当然,为了使密匙更强大,使用者可以定义加密的次数,二次或者更多.比如组合字符串是:index305abcdefghig(文件名+体积+一级密码),二级密码是:1234那么加密次数为1的加密结果为:jpgiy539bdfhfhjlji.把这个特定字符放入文件中,检测时以重新计算出的结果与预先放置的对比,如果正确,就筛选掉,如果错误,就选择进行下一步处理.入侵者通过这个字符串要计算出一级密码和二级密码是很难的,需要大量的时间.而且,一级密码和二级密码的长度是未定的,就算得到成百上千个这样的字符串和对应的文件,解密也需要大量的时间,而这段时间可能超过几个月,甚至超过年.在这段时间里,密码已经更换过,所以安全性非常棒!

我们加密的过程不太复杂,但是计算量很大.由定义的密码和文件信息组合成密匙,放入文件,以检测文件的改动;同时为了防止入侵者的恶意迷惑,还进行了几次筛选,把虚假信息大量筛选掉.汇编语言和高级语言的结合及inline函数的使用,大大弥补了程序执行效率的问题.为使用者节约大量资源和时间.

木马检测篇2

木马特征综合分析

木马的大肆传播已给国家造成了巨大损失。2009年5月,工业和信息化部下发了关于印发《木马和僵尸网络监测与处置机制》的通知,明确了相关主管机构与广大的互联网用户各自的责任和义务,规定了对木马和僵尸网络的“监测和通报”、“处置和反馈”两个主要流程及通报内容。

北京鼎普科技股份有限公司总裁于晴说,木马本身也是一段能够完成一定功能的代码,与其他合法应用程序在程序结构、程序运行机理方面并没有本质的差异。因此从程序内在结构、程序运行机理等方面无法从正常的合法应用程序中检测出木马程序。

合法应用程序是为目标系统和用户应用服务的,其运行和各种操作都是善意的,因此不需要进行刻意隐蔽。但是,木马程序的目的是危害和破坏被攻击的目标系统。如果木马的运行和各种恶意操作“光明正大”地进行,就会被目标系统的用户或管理软件及时发现。所以木马会采用各种手段对其自身的行为进行隐蔽。

因此,木马与合法程序的区别就在于木马行为的隐蔽性和目的的恶意性。于晴说,从这两点区别入手,控制木马植入、隐蔽和恶意操作行为所需要的资源条件,监控木马运行、通信、启动的隐蔽行为和恶意操作,就可以对木马的检测和防范起到较为理想的效果。

记者了解到,鼎普木马监测与评估系统可以对已知或未知木马进行监测与评估,综合分析木马行为特征,如目的IP地址、端口等已获取的特征及注册表、启动服务等未知动态活动特征;与此同时,对木马的最终目的――窃取关键信息进行分析判断,直接对关键信息进行内容匹配来判定有无感染木马或被窃取重要信息。

根据不同的应用环境需求,鼎普科技提供了两套解决方案:单机版木马检测方案与网络版木马检测方案。单机版木马检测主要通过对木马静态特征的分析以及动态行为的判断进行检测,而网络版木马检测方案则可以高效地检查整个网络中是否存在木马,准确地判断出网络中感染木马的主机,并协同单机版木马做进一步的深度检查。

掀开木马的外衣

木马隐蔽技术的发展使得木马植入目标系统后在目标系统中越来越隐蔽。传统的基于静态特征的木马检测技术,不仅面对已知木马的各种隐蔽和变化,检测能力不足,对于未知的木马更是无能为力。鼎普科技通过控制木马的植入、隐蔽、恶意操作所需资源以防范木马;通过扫描监控注册表、文件和目录、端口进程关联和可疑调用行为、过滤分析网络通信等来检测木马。

单机版木马检测系统以光盘或防病毒U盘为载体,可以对未知木马变种进行动态特征的深度检查和分析。通常人们在查木马的时候都是利用查杀软件在每一台电脑上逐一扫描检查。这样的检查方式对于个人应用来说,还是很方便的,但对信息安全监管部门来说,如果要检查某一个网络中是否会因为存在木马而导致信息泄露,这样的逐台检查就非常费时费力了。

木马检测篇3

>> 学用脚本解密利器，揪出网页木马 揪出网站中的网页木马 快速揪出相似网页 网页木马全揭秘 网页木马骑不得 批量揪出你要的网页链接 查看进程路径揪出病毒和木马等 mvista任务管理器揪出木马路径等 网页木马的攻击与防范 网页木马机理与防范对策 网页木马的防御与检测技术 网页木马机理与防御方法研究 未知链接做安检，远离网页木马 检测网页安全　远离病毒木马 网页木马与跨域漏洞 解密木马帝国“灰鸽子” 警惕隐藏在RM／RMVB中的网页木马 看我网页木马七十二变 你能躲过17个网页木马围攻吗？ 网页木马与杀毒软件的较量 常见问题解答 当前所在位置：”的网页木马文件。

用记事本打开生成的“Works.htm”网页木马，可以看到这是一个更为让人头疼的加密方式。也正是由于这种加密方式的隐藏性，才能让黑手刃生成的木马。躲过全球36款杀毒软件的查杀!将生成的网页木马上传到进行检测，发现36款全球最强的杀毒软件，居然只有两款检测出网页是经过加密的，并且没有提示为木马，而其它的杀毒软件则全部认为该网页木马是正常安全的。

36款杀毒软件都无法识别出这个网页木马，看来也只有靠人自己检测网页的安全性才是最可靠的。碰到这类加密网页。只有自已解密后，才能确定网页中是否有木马。

逆序代码

查看加密源码。可以发现，从“>Imth/daehImthImth/

运行一个叫作Freeshow的工具，将从“>Imth/daehImth

shellcode的解密

由于网页是给过多段加密的。所以也只能分段解密。复制逆序过的代码，将其粘贴到原代码文件中，替换掉原来未解密的代码段。要注意的是，在此过程中。千万不要将其它的代码给误删除或替换了。此时，可以看到大部份代码都是明文了，只有在两个“unescape()”函数中有形如“"％u"+"OcOc"+"％u"+"OcOc"”之类的加密代码。其实这是一段sheltcode溢出加密代码，要解密此段代码，需要用特殊的工具和步骤。

首先。需要清除代码中的+号和半角双引号：复制une scape()中的所有代码。将上方的输入框清空，粘贴入代码后，设置解密功能为“Connect”，点击“Filter”按钮，即可在下方显示去掉了连接符的代码。

木马检测篇4

关键词：扫描，权限后门，网络攻击

 

信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。

入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。论文大全。

对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。

1、利用数据流特征来检测攻击的思路

扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:

(1)特征匹配

找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等。

(2)统计分析

预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。

(3)系统分析

若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。

2、检测本地权限攻击的思路

行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。

(1)行为监测法

由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。

监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。论文大全。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。

(2)文件完备性检查

对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。

(3)系统快照对比检查

对系统中的公共信息,如系统的配置参数,环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。

(4)虚拟机技术

通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。论文大全。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。

虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。

3、后门留置检测的常用技术

(1)对比检测法

检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。

(2)文件防篡改法

文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。

(3)系统资源监测法

系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源(例如网络、CPU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。

(4)协议分析法

协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。

参考文献:

[1]张普兵,郭广猛,廖成君.Internet中的电子欺骗攻击及其防范[J].计算机应用,2001,21(1):32-34.

[2]苏一丹,李桂.基于DFA的大规模入侵建模方法研究[J].计算机工程与应用,2003,39(28).

[3]蒋总礼,姜守旭.形式语言与自动机理论[M].北京:清华大学出版社,2003.

木马检测篇5

[关键词] 扫描 权限 后门

信息网络和安全体系是信息化健康发展的基础和保障。但是，随着信息化应用的深入、认识的提高和技术的发展，现有信息网络系统的安全性建设已提上工作日程。

入侵攻击有关方法，主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等，下面仅就包括笔者根据近年来在网络管理中有关知识和经验，就入侵攻击的对策及检测情况做一阐述。

对入侵攻击来说，扫描是信息收集的主要手段，所以通过对各种扫描原理进行分析后，我们可以找到在攻击发生时数据流所具有的特征。

一、利用数据流特征来检测攻击的思路

扫描时,攻击者首先需要自己构造用来扫描的ip数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让ids系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路：

1.特征匹配。找到扫描攻击时数据包中含有的数据特征，可以通过分析网络信息包中是否含有端口扫描特征的数据，来检测端口扫描的存在。如udp端口扫描尝试：content:“sudp”等等。

2.统计分析。预先定义一个时间段，在这个时间段内如发现了超过某一预定值的连接次数，认为是端口扫描。

3.系统分析。若攻击者对同一主机使用缓慢的分布式扫描方法，间隔时间足够让入侵检测系统忽略，不按顺序扫描整个网段，将探测步骤分散在几个会话中，不导致系统或网络出现明显异常，不导致日志系统快速增加记录，那么这种扫描将是比较隐秘的。这样的话，通过上面的简单的统计分析方法不能检测到它们的存在，但是从理论上来说，扫描是无法绝对隐秘的，若能对收集到的长期数据进行系统分析，可以检测出缓慢和分布式的扫描。

二、检测本地权限攻击的思路

行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。

1.行为监测法。由于溢出程序有些行为在正常程序中比较罕见，因此可以根据溢出程序的共同行为制定规则条件，如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度，不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动，跟踪内存容量的异常变化，对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。

监测敏感目录和敏感类型的文件。对来自/pc/">计算机的寄存器表、指令对照表和虚拟内存，能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序程序相似的行为，比如可疑的跳转等和正常计算机程序不一样的地方，再结合特征码扫描法，将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中，完成对一个特定攻击行为的判定。

虚拟机技术仍然与传统技术相结合，并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界，在一个阶段里面，极大地提高了已知攻击和未知攻击的检测水平，以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内，虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。

三、后门留置检测的常用技术

1.对比检测法。检测后门时，重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施，因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避，才能发现木马引起的异常现象从而使隐身的木马“现形”。 常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。

2.文件防篡改法。文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。

木马检测篇6

关键词： 计算机网络；系统安全；病毒；备份

中图分类号：TP393.08文献标识码：A文章编号：1671－7597（2012）0320193－01

随着计算机网络系统的广泛应用，带来的效果是生活越来越便利，办公的效率越来越高。计算机网络为我们带来便利的同时也带来了一定的灾难，比如说金融网络信息系统遭受黑客的攻击会造成经济损失，企业的一些计算机网络管理系统感染病毒后会造成系统瘫痪，严重影响企业的正常运营，使企业蒙受很大的损失。所以我们在建设计算机网络系统的同时还要了解网络安全的概念和基本要求，做好计算机网络系统的防病毒工作。做好防病毒的工作之外还要加强防御黑客的攻击，注意提高系统的安全性，建设安全稳定的计算机网络系统。

1 网络安全的概念和基本要求

1.1 计算机网络系统安全的概念

计算机网络系统安全主要包括物理安全，安全控制和安全服务这三个方面。其中物理安全是指对网络的设备和设施保护，以免传输的介质遭到破坏。安全机制指的是在网络系统中要实现传输的信息的进程进行管理控制，保证信息的安全性。安全服务是指在技术上通过应用程序来使保证信息的保密，真实，防止攻击，确保网络的正常运行。计算机网络系统通过这三个方面来保证系统中的程序免遭破坏，数据免遭泄漏和非法访问，使网络安全可靠。

1.2 计算机网络系统安全的基本要求

计算机网络系统的安全应该具备以下几条的性质和基本要求：

1）计算机网络系统安全要求有机密性。计算机网络系统安全要求中的机密性指网络中的数据信息只可以被授权的指定用户使用，可以通过权限限制非授权用户的使用，避免信息的泄漏。2）计算机网络系统安全要求有完整性。计算机网络系统安全要求中的完整性指网络中的信息在未授权的情况下不能进行随意更改或删除，要保证信息的原有内容来存储和传输。3）计算机网络系统安全要求有不可抵赖性。计算机网络系统安全要求中的不可抵赖性是指在信息的传递过程中参与者的身份要真实，保证参与者对发送或者接收的信息不能否认和抵赖。不可抵赖性的特点可以在发生经济纠纷时方便公正方介入，通过一定的技术手段取证，最终使用法律来规范网络。4）计算机网络系统安全要求有可控性。计算机网络系统安全要求中的可控性就是指已经授权的机构和用户可以控制网络信息的传播和控制传播的内容。

除以上几点以外，计算机网络系统安全还要求有可用性，可靠性和正确性等，只有满足了这些要求，计算机网络系统才算是安全可靠的。

2 计算机网络系统防病毒技术

病毒能使网络系统中的数据丢失，严重的话造成整个网络系统瘫痪，病毒感染侵害是目前威胁网络安全的主要原因。所以要采用安全性高的防病毒软件，比如说国外Trend公司的防病毒软件，以及国内的瑞星，360等等，防病毒软件主要采用了一下几种防病毒技术。

2.1 不同平台的反病毒技术。由于病毒可以在不同的操作平台上起作用，比如说常用的Windows、Dos还有Netware等，所以就需要防毒软件与系统的地层有良好的连接，可以可靠地在不同的平台上使用同一杀毒软件实现检查和杀毒的功能。这就需要我们选用技术过硬的反病毒软件，比如说国外Macfee公司的防毒软件和国内的360、瑞星、金山等等，除此之外还要注意及时地升级和更新软件，以备查杀新的病毒。

2.2 实时监测技术。实时监测技术就是在用户安装了杀毒软件后，计算机就可以随时地对计算机上的各个存储空间进行病毒的检测与杀除，并且还可以监测来自因特网上的信息安全以及下载链接的安全性，一旦发现病毒，就可以自动杀除。

2.3 自动解压技术。病毒有可能捆绑在压缩文件中，这样就不能直接检测出病毒的存在，所以，杀毒软件就要具备自动解压缩技术，通过自动解压技术解压压缩文件，然后查杀捆绑在压缩文件中的病毒，这样就防止了病毒在运行压缩文件时传播。

3 计算机网络系统防御黑客攻击的技术方法

除了病毒，黑客攻击也是威胁计算机网络系统安全性的因素。对黑客的防御，主要有入侵检测技术及端口扫描技术，清除主机中的Cookie还有木马的清除与防范技术这三个方面，下面分别对这三个方面做一介绍。

3.1 入侵检测技术及端口扫描技术

入侵检测技术是指可以识别那些对算机或者网络资源有恶意企图的行为，并对恶意行为作出反应的过程。入侵检测系统可以从系统的不同环节收集信息，并对收集的信息进行分析，识别其是否具有入侵行为，还可以自行对不正常的行为做出响应，并会对这一系列过程进行记录报告。所以入侵检测系统可以检测没有授权的人和程序对系统的入侵行为，另外还能对已授权对象的非法操作进行监控，对黑客的攻击起到了很好的防御作用。

所谓的端口扫描，通常指将同一组信息发送给目标计算机的所有所需扫描的端口，然后根据返回端口状态来分析目标计算机的端口是否打开、是否可用。

3.2 清除主机中的Cookie

Cookie是在Web服务器和浏览器中传递的一小段文本信息，它随着用户的请求而传递，在用户访问网站时，Web程序便可以读取Cookie包含的信息，为了防御黑客的攻击，我们可以在IE浏览器中，选择“工具-Internet选项”，然后点击删除Cookie。

3.3 木马的防范与清除技术

木马是一种网络病毒，黑客常用木马作为攻击工具来窃取计算机和网络上的数据。一旦计算机被木马攻击后，将会给你的计算机和网络带来致命的伤害。由于木马主要用来窃取用户的密码等重要资料，且木马有很强的隐蔽性，所以可以尝试一下方法对木马进行防范与清除。

3.4 木马的防范技术

1）先查看开放的端口，查看是否有可疑的程序打开了可疑的端口。2）查看win.ini和system.ini系统配置文件，看是否有被修改过的地方。3）通过检查是否有可疑的启动程序来确定是否中了木马。4）木马是一个程序，我们可以通过Prcview和winproc工具来查看系统的进程，找出不是系统运行的进程，确定木马程序的活动进程。5）木马一旦被加载，一般都会对注册表进行修改。所以我们可以对注册表的一些位置进行查看，以确定是否中木马。6）还可以使用一些检测软件来防范木马。

3.5 木马的清除技术

1）删除可疑的启动程序。2）恢复win.ini和system.ini系统配置文件的原始配置。3）停止可疑的系统进程。4）查看注册表，将注册表中木马修改的部分还原。5）使用杀毒软件和木马查杀工具进行木马查杀。

木马检测篇7

现在有越来越多的安全软件厂商推出各自的安全辅助型软件，并且大多以免费形式提供给用户使用，甚至有的安全辅助型软件还具备了较强的病毒木马查杀能力与实时监控能力。本文将对国内知名的6款常用安全辅助型软件进行综合评测，以一窥它们的综合表现。下载使用地址(中关村在线免费下载辅助类安全软件)：

360安全卫士

.cn/detail/36/358176.shtml

金山卫士

cn/detail/5/40793.shtml

QQ电脑管家

.cn/detail/19/181849.shtml

瑞星卡卡上网助手

.cn/detail/10/97310.shtml

江民安全专家

.cn/detail/16/151775.shtml

超级巡警

.cn/detail/31/306562.shtml

一、漏洞下载修复谁更准、谁更快

操作系统及应用软件在推出后难免会存在各种各样的漏洞，而大多数厂商也会及时地补丁文件修补这些已经发现的漏洞。而为了系统安全，用户需要及时地下载与安装这些补丁文件，以防范病毒木马利用这些漏洞来入侵用户计算机系统。

如何及时地甚至自动地下载与安装这些补丁呢?安全辅助型软件大多都带有系统及应用软件漏洞检测与修复功能，使用该功能不仅可以加快补丁的下载与安装速度，而且可以使某些无法使用Windows Update的用户也能快捷地进行漏洞修补操作。那么这些安全辅助型软件的漏洞检测与修复功能到底表现如何呢?我们用测试来说明。

为了确实地模拟大多数用户的上网环境，以及避免对测试造成干扰，笔者选取了Windows XP SP3系统作为评测所用操作系统。该系统数MSDN原版(5.1.2600.5512)，浏览器为IE60

测试一：笔者首先用Windows XP自带的Windows Update工具将系统补丁安装完毕(除正版认证补丁KB905474外)。接着使用各参评软件的漏洞检测修复工具进行检测。

测试二：接着笔者将Windows XP SP3系统恢复到初始安装完毕状态(未打补丁时)。然后用各参评软件的漏洞检测修复工具进行漏洞的检测修补，最后用Windows Update进行补丁检测。

此项测试短评：从以上测试结果可以得知，以补丁准确度来说江民安全专家与360安全卫士较为精准一些，而在补丁的下载速度与安装速度上860安全卫士与金山卫士最为快速。

二、挂马网站拦截测试

网络已经成为当今病毒木马传播的最主要媒介，其中又数网页挂马方式最为突出。网友们只是浏览了几个网页，结果却让计算机感染了病毒木马，这种现象几乎所有网友都曾遇到过。随着网络的普及，这种现象越来越严重。

注1：挂马网址存在时效性问题。即笔者文章之时，该挂马网站可能已经失效；可能已经被杀毒软件最新病毒库／恶意网址库收录；可能黑客已经更新／更改所挂病毒木马以逃避杀毒软件的查杀。所以本次测试仅以笔者当时的实际测试为准。

注2：所有参评软件皆升级到最新版本，并且开启它们的所有实时监控功能。

注3：为了确实地模拟大多数用户的上网环境，以及避免对测试造成干扰，笔者选取了Windows XP SP3系统作为评测所用操作系统。该系统数MSDN原版(5.1.2600.5512)。系统不安装任何补丁，浏览器为IE6。

此项测试短评：此项测试表现最好的当属360安全卫士，金山卫士及QQ电脑管家紧随其后。这三个软件的恶意网址库功能直接拦截了过半的测试恶意网址，而剩余的也大多被网页监控功能所拦截。瑞星卡卡助手与超级巡警表现不佳，对恶意网页的拦截能力有待提高。

备注：江民安全专家并无实时监控拦截功能，用户只能在系统感染病毒后才能使用它的木马查杀功能进行木马查杀。

三、系统修复谁最行

除了常见的病毒木马程序外，现在还存在一种恶意程序，它修改并锁定用户浏览器主页，在桌面上创建广告快捷方式，不时地弹出网站窗口等等，而在国内这种恶意程序已经开始泛滥成灾，用户有时用杀毒软件清除了它们，却对留下的后遗症无可奈何。

本测试将预先关闭各安全辅助型软件的实时监控功能，然后运行几种不同的恶意程序(主要表现为：创建桌面恶意快捷方式、锁定浏览器主页、不定期弹窗、修改host文件、安装浏览器恶意插件、修改默认文件关联)，接着再使用安全辅助型软件的查杀与系统，IE修复功能，对系统进行查杀及修复操作，考察各安全辅助型软件的系统／IE修复与清除能力。

此项测试短评：对于用户最为头疼的主页锁定功能，参评软件都能够成功地进行修复，但对于恶意程序所创建的桌面快捷方式只有金山卫士进行了顺利地清除。这就导致了本来已经修复了的主页，普通用户依然会通过桌面上恶意程序创建出来的快捷方式来打开浏览器，这样就貌似没有修复。

360安全卫士、金山卫士、QQ电脑管家对系统感染的所有恶意程序与插件都进行了成功地清除。对于恶意程序更改的系统，修复能力表现最好的当属360安全卫士与金山卫士，让系统可以恢复正常使用状态。

四、谁是杀毒软件的最佳补充

虽然病毒查杀并不是安全辅软件的首要任务，但是作为杀毒软件的一个补充，大多数安全辅软件都具备了一定的病毒查杀能力，所以加入了对病毒包的查杀测试。

病毒包情况：近期流行病毒木马2000个。

备注：测试前将各安全辅助型软件升级为最新版本，并且保持正常的可联网状态(云引擎正常运行)。

个人收集并不具有广泛性，所以此测试仅供参考。

此项测试短评：此项测试中表现最好的当属金山卫士，云引擎+V10引擎的双引擎查杀效果非常不错。QQ电脑管家、瑞星卡卡上网助手、超级巡警表现不佳。

木马检测篇8

关键词：木马程序；攻击；防范

中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2012） 16-0050-01

随着信息技术的不断普及和发展，人们越来越多的接触到“木马”这个词语。木马隐蔽性极强，危害性极大，是现阶段来说攻击计算机系统的最主要的手段。因为木马程序所导致的计算机系统遭到破坏的情况日益增加，这对信息系统的保密以及安全带来了极大的危害。尤其是最近几年，利用木马程序进行犯罪的事情层出不穷，造成了巨大的财产和精神损失。

一、关于木马程序的概述

木马，在计算机领域内是指隐藏在合法的程序中或者伪装成合法的程序的恶意代码。这些恶意代码或者执行恶意的行为或者非法的访问未经授权的系统。木马程序本身就具有控制通信、反清除、反检测、隐蔽性高的特点。

常见的木马程序分为两个部分，控制端与被控制端。它的工作原理，是先在本地计算机也就是控制端上面配置而且生成木马程序，然后通过隐含或者直接在其它可执行程序中将木马程序传播到对方计算机也就是被控制端上。然后，通过对控制端的木马程度的控制从而直接的控制被控制端上的木马程序和运行。再接着，控制端通过发送命令的方式，比如说文件操作命令、键盘记录命令、获取敏感信息命令等等，来控制和感染被控制端的木马程序接收、执行这些指令，而且返回控制端以相关的信息和数据。

根据木马对计算机的操作方式，可以分为：远程控制型，密码发送型，键盘记录型，毁坏型，FTP型和多媒体型。

按照木马的进行层次，可以分为内核级木马和应用及木马。内核级木马一般会运行在计算机操作系统的内核之中，采取驱动程序的手段实现木马的加载。这种木马运行在系统的内核之中，隐蔽性相当高而且查杀难度大。应用级木马相对来说对系统的危害性较小。

二、木马攻击的手段和方式

（一）捆绑方式。捆绑方式指的是，把正常程序与木马程序捆绑在一起使用，然后达到入侵与存活的目的。与木马程序捆绑在一起的正常程序一旦被客户下载、安装和使用，木马程序就会自动的加载到电脑上。就算清除了木马，只要运行捆绑的正常程序，木马就会重新载入电脑并且继续存活下去。

（二）QQ和邮件的冒名欺骗。通过盗取他人的QQ，然后冒充主人给其他的好友木马程序，致使其他好友运行木马程序，然后达到相应的目的。邮件的冒名欺骗，指的是冒充单位、大型企业或者好友向他人发送木马附件，一旦他们下载并且运行木马软件就会造成木马病毒。

（三）网页木马方式。网页木马是指在个人的就、空间网页上进行木马捆绑，再利用各种诱惑致使对方链接网页，然后木马病毒就会入侵到这台电脑上。比如说，在网页上面有flash的动画，在网页上呈现流行软件和视频的下载等等。

（四）伪装成一般的普通软件。伪装成一般的普通软件，这是最近才刚刚兴起的一种木马入侵方式。对于操作系统不是很熟悉的用户，往往容易上当受骗。他们把可执行的文件伪装成文本或者图片，通过更改文件扩展名的形式，诱骗用户进行点击，这样的方式隐蔽性相当高。

三、关于木马程序的防范措施

（一）及时的安装木马查杀软件、防火墙和系统补丁。现阶段，我国大部分的黑客是通过网上已有的系统漏洞和木马程序对用户的计算机进行攻击，并不是真正意义的黑客，所以说安装木马克星、the cleaner等木马的查杀软件，同时安装防火墙，比如说“天网”个人版防火墙，“诺顿网络安全特警”等等，这样可以有效的对电脑运行状态进行实施的监控，而且要定期的对电脑进行扫描，从而有效的防止木马病毒的入侵。除此之外，及时的下载并安装官方的系统补丁是非常有必要的。

（二）关闭各种不必要的端口以及隐藏IP。隐藏IP地址皆可以提高提高网络访问的速度和范围，又可以在上网操作的时候预防他人的入侵和攻击。最常见的隐藏IP地址的方式有两种：一是运用“multi proxy”的软件来进行IP地址的隐藏，另一种是利用sockscap32和“qq公布器”进行地址隐藏。

现阶段，使用一些比较通用的黑客工具，对扫描端口进行攻击的方式最普遍，所以说，在我们进行上网的时候，要关闭各种不必要的端口，也就是杜绝了病毒的入侵通道，这样的方式比较的简单、有效。

（三）虚拟计算机的使用。在虚拟计算机的环境下，我们可以进行安全性比较高的操作。比较常用的此类软件VM ware，virtual pc等等。主机要用windows系列的兼容性比较好的操作系统进行日常的工作、办公。

（四）对不必要的服务项进行关闭。Windows操作系统为用户提供了许多的服务来方便管理，但是在其中有很大一部分是用户基本上不需要开启的。这样的话，不仅扩大了整个系统的开销，而且大大增加了木马入侵的机会和可能。因此，我们要经常检查我们的服务器管理，及时的对不必要的服务项进行关闭。

（五）定期对电脑的启动项进行检查。一般来说，木马程序都会在计算的启动项中进行隐藏，所以，要定期的对自己的电脑进行定期的检查的及时的木马清除。

四、结语

综上所述，本文针对木马程序的概念、分类以及运行原理和木马攻击的手段与方式进行入手分析，然后分别从五个大的方面：及时的安装木马查杀软件、防火墙和系统补丁；关闭各种不必要的端口以及隐藏IP；虚拟计算机的使用；对不必要的服务项进行关闭；定期对电脑的启动项进行检查，详细分析了木马程序的防范措施。

参考文献：

[1]李斯.浅析木马程序攻击手段及防范技术[J].网络安全技术与应用，2009，1.

[2]康治平.特洛伊木马可生存性研究及攻防实践[D].重庆大学软件工程学院，2009，10.

木马检测篇9

摘要

为更好促进海峡两岸苗木产业的贸易与交流，并有效防范外来有害生物传入，开展台湾苗木有害生物风险分析及风险控制的研究显得尤为重要和迫切。本文针对广东出入境检验检疫局辖区2010～2014年进境的台湾苗木上截获的有害生物进行分析，重点分析了有害生物构成、特点以及不同进境苗木的风险，并提出了相应的对策及建议。

关键词

广东口岸；台湾苗木；疫情分析

近年来，随着国内城乡绿化、美化建设需求的日趋增加和海峡两岸农业交流及合作的不断发展，大量台湾植物苗木被引进大陆。由于地缘、历史、气候和经营等优势，众多台湾苗木生产经营企业纷纷进驻广东，随之台湾苗木的进境量不断增加，由其携带有害生物传入风险也将随之而增加［1，2］。广东出入境检验检疫局作为全国主要进境口岸之一，从台湾进境的苗木位居全国首列，因此为了更好地促进和助推海峡两岸苗木产业的贸易与交流，有效地防范境外检疫性有害生物传入、保护国内农林业生产及生态安全，我们对广东口岸2010～2014年期间进境台湾苗木截获的疫情数据进行分析，以明确进境台湾苗木携带有害生物的种类、数量及传入风险，对确保双边贸易的安全与健康发展具有重要的政治、经济和社会意义。

12010～2014年广东出入境检验检疫局进境台湾苗木情况

据统计，广东出入境检验检疫局辖区2010～2014年从台湾进境苗木分别为155.9万株、333.5万株、211.6万株、240.7万株、153.8万株，合计为1095.5万株，其中2011年为最多。进境苗木种类有马拉巴栗、拟香桃木、罗汉松等88种。

2截获有害生物情况

2.1截获有害生物总体概况2010～2014年，广东口岸从台湾进境苗木中截获有害生物分别为2435、2585、1772、1577、1291批次，合计共9660批次；除2011年比前一年略有增加外，其余年份与前年相比均有降低（图1）。2.2有害生物构成2010～2014年从台湾苗木中截获有害生物种类中，线虫截获数量最多，其次为昆虫，细菌截获数量最少。

2.3检疫性有害生物情况在截获的9660批次有害生物中，检疫性有害生物837批次，一般性有害生物8823批次，分别占总批次的8.66%，91.34%。截获的检疫性有害生物中，非洲大蜗牛批次最多，有780批次（表2）；番石榴果实蝇、菟丝子属、新菠萝灰粉蚧、椰心叶甲为最少，各1批次。

2.4一般性有害生物情况截获的8823批次一般性有害生物中，截获频率较多的前10位为矛线目线虫、滑刃属线虫、小杆线虫、同型巴蜗牛、垫刃属线虫、丝尾垫刃属线虫、毒蛾属、蚁科、铺道蚁属、步甲属。由表3可见，截获的一般性有害生物中，截获线虫数量最为突出。

2.5不同种苗携带有害生物情况通过2010～2014年台湾苗木中截获的有害生物统计，截获批次最多的前20位苗木以及检出种类最多的前20位苗木见表4。截获批次最多前20位苗木的批次之和占截获总批次的91.8%，其中马拉巴栗、拟香桃木、罗汉松截获批次最多，截获批次分别为2568、2358、1892批次，三者之和超截获总批次2/3。截获批次较少的苗木为天堂鸟、非洲紫檀、火龙果苗，各有1批次。在检出有害生物种类方面，拟香桃木检出有害生物种类最多，为207种，其次为罗汉松、马拉巴栗、黄杨等。拟香桃木检出的有害生物中有7种检疫性有害生物，分别为非洲大蜗牛、根结线虫（非中国种）、剑线虫属（传毒种类）、材小蠹属（非中国种）、褐纹甘蔗象、菟丝子属、湖南剑线虫［3］；检出的一般性有害生物200种，批次较多的为小杆线虫、丝尾垫刃线虫、毒蛾科、同型巴蜗牛、矛线属线虫、垫刃属线虫、滑刃属线虫、蚁科、蓑蛾科，检出批次分别为187、144、126、94、79、78、72、50、35批次。

3疫情分析

3.1有害生物截获批次从各类有害生物截获批次分析，线虫截获批次最多，占截获总批次的47.51%，其次为昆虫，占31.48%，二者之和占截获有害生物总批次的78.99%，所以从台湾进境的苗木应重点检测线虫和昆虫。由于口岸条件所限，多数口岸难于开展病毒、细菌的检测，所以需要口岸局多采集样品送往有资质的实验室，开展有关项目的检测。

3.2截获的检疫性有害生物从截获的检疫性有害生物分析，非洲大蜗牛疫情严重，截获780批次，占检疫性有害生物批次的93.2%；其次为蔗扁蛾、根结线虫属（非中国种）等检疫性有害生物，均需要引起高度重视和重点关注。由于我国检疫性有害生物名录中存在部分有害生物限定为“传毒”和“非中国种”的才列为检疫性有害生物，而口岸一线人员甚至直属局实验室的专家教授对部分有害生物判断是否为“传毒”，以及是否为“非中国种”存在很大的困难。如广东口岸从台湾苗木截获的短颈剑线虫（Xiphinemabrevicollum）、锐尾剑线虫（X.oxycaudatum）是否为传毒线虫，现还未找到充分的佐证材料，因此未在表2中列出，但并非表明该种线虫风险小［4-9］，反而更应引起重视并开展有关的科学研究。同时也建议相关专家对名录中部分涉及“传毒”、“非中国种”的有害生物提供进一步清单，以供直属局和分支局使用。

3.3苗木携带疫情检出情况从苗木携带疫情检出情况分析，口岸从枫港柿、果子蔓、黄杨、火龙果、九里香、罗汉松、马拉巴栗、美国樱桃、拟香桃木、山樱花、文心兰、香龙血树、真柏、中东海枣14种苗木中检出检疫性有害生物，因此需要口岸局重视并重点关注；同时，对截获有害生物批次及有害生物种类最多的前20种苗木，也应提高抽样频率和加大检疫的力度。

4对策及建议

4.1提高风险意识，重点检验高风险苗木由于不同口岸从台湾进境的苗木种类不同，而不同苗木种类所发生或者携带的有害生物存在很大的差异，因此各口岸应根据各自的实际，把重点放在携带有害生物风险性高的苗木上。如截获检疫性有害生物较多的拟香桃木、罗汉松、九里香等。另外，还要继续加强进境苗木的审批、检疫和监管，也要对旅客携带的植物加以重视。

4.2改进检测手段，提高检出率和准确率口岸检验检疫人员都将疫情检出率作为进境植物检疫工作的生命线。但是植物检疫鉴定技术的发展仍然受到众多因素的制约，造成截获的有害生物有相当数量未鉴定到种，部分只鉴定到属、科，甚至目。因此须结合目前检验检测技术改革形势，解决技术发展的各类制约因素，并有效采用分子检测技术、条形码技术以及远程检测鉴定技术等，解决目前检疫鉴定速度不快、结果不准等问题。

木马检测篇10

关键词:网络攻击;利用型网络攻击;攻击预防

中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)34-9679-03

Network Attack and Prevention of Information Collecting

WANG Jie-hua,GU Xiang

(School of Computer Science and Technology, Nantong University, Nantong 226019,China)

Abstract: Imperfection using attack is a kind of common network attack. The paper introduces some usual methods and typical tools about the attack. A lot of working preventive measures is also provided aimed at attacking principle.

Key words: network attack; imperfection using attack attack; attack prevention

随着计算机网络的飞速发展,网络信息的安全问题也日渐突出,它已经成为了科学研究的一个重大课题。现阶段,网络攻击的手段花样翻新,层出不穷,大致来说,可以分成如下四类:拒绝服务型攻击、利用型攻击、信息收集型攻击、假消息攻击。本文拟就其中的利用型攻击作一些初步的探讨。

利用型攻击是一类通过网络技术手段直接对主机或服务器进行控制的攻击。常见的有缓冲区溢出攻击、漏洞攻击、木马攻击等等。

1 缓冲区溢出攻击

在网络攻击技术的发展过程中,缓冲区溢出攻击是最有效的手段之一,缓冲区攻击占到远程网络攻击的大部分。

1.1 缓冲区溢出攻击的原理

缓冲区是内存中存放数据的地方。当程序试图将数据存放到内存中的某一位置时,如果没有足够的存储空间就会发生缓冲区溢出。在缓冲区攻击中,攻击者向一个有限空间的缓冲区中植入超长字符串,这时可能会导致系统出现以下两种情况:一种是过长的字符串覆盖了相邻存储单元,引起程序运行失败,情况严重时可导致系统崩溃;另一种是利用这个漏洞执行任意指令,甚至取得系统root特级权限。

缓冲区溢出攻击之所以能成为远程攻击中的主要方式,是因为缓冲区溢出漏洞给予攻击者控制程序执行流程的机会。攻击者将事先准备好的攻击代码植入到有缓冲区漏洞的程序之中,改变漏洞程序的执行过程,进而获得被攻击主机的控制权。

1.2 常用的缓冲区溢出攻击工具

MailEnable:这是是一款商业性质的POP3和SMTP服务器。MailEnable的IMAP服务中存在栈溢出漏洞,远程攻击者可能利用此漏洞控制服务器。如果攻击者能够发送特制的命令和数据的话,就可能触发这个漏洞,导致拒绝服务或任意指令执行。

Qt C++应用研发工具:Qt是一款C++应用研发工具,包括类库和跨平台开放工具。Qt包含多个安全问题,远程攻击者能够利用这些漏洞构建恶意图像文档,可以利用进程权限在系统上执行任意指令。Qt库在处理8-bit RLE编码的BMP文档过程中存在基于堆的缓冲区溢出,远程攻击者能够建立特别的BMP文档,诱使用户查看,可导致任意指令执行。

1.3 缓冲区溢出的预防措施

预防缓冲区溢出攻击主要有以下途径:

1) 强制书写正确的代码的方法。最根本的方法是完善程序,对程序定义的缓冲区设置严格的边界检查,只要有超过缓冲区大小的内容写入,程序就报错,不允许将写不下的内容写入缓冲区外面的地址之中。

2) 检查操作系统。检查操作系统是否出现缓冲区溢出漏洞是很重要的,一旦发现有溢出漏洞出现就要及时查找位置并安装补漏程序,这样才能使自己的操作系统处于安全状态。

3) 对堆栈的保护。这是一种提供程序指针完整性检查的编译器技术,通过检查函数活动记录中的返回地址来实现。在堆栈中函数返回地址后面加了一些附加的字节,而在函数返回时,首先要检查这个附加的字节是否被改动过。如果发生过缓冲区溢出的攻击,那么这次缓冲区溢出攻击就很容易在函数返回前被检测到。但是,如果攻击者(黑客)预先知道了这些附加字节的存在,并且能在溢出过程中同样地制造他们,那么攻击者(黑客)就能成功地跳过堆栈保护的检测。

4) 应急方法。如果发现了操作系统中有缓冲区溢出漏洞,但在一段时间内又找不到补漏的程序,那么可以将存在缓冲区漏洞的程序的权限暂时去掉,实现方法:

chmod u-s 文件名

到了需要使用时或则找到漏洞补丁的时候再用命令把它的用户ID权限加上,实现方法:

chmod u+s 文件名

2 漏洞攻击

漏洞它是指攻击者在未授权的条件下通过软件、硬件、协议和安全策略等上存在的缺陷对系统进行的非法访问或破坏。

2.1 漏洞攻击的原理

漏洞的存在会影响到很大范围的软硬件设备,包括系统本身和其支撑的软件、网络客户和服务器软件、网络路由器和安全防火墙等。漏洞有一种广义的定义,它是指威胁计算机信息安全的事物,包括人、硬件、软件、程序、数据等。

漏洞的来源主要有以下三个方面:与软件、硬件供应商有关的安全漏洞、与系统管理者有关的安全漏洞、与用户活动有关的安全漏洞。

常见的安全漏洞有:获得远程管理员权限、获得本地管理员权限、权限提升、远程拒绝服务、本地拒绝服务、欺骗、服务器信息的泄露、弱口令、读取受限文件、远程未授权文件存取、普通用户访问权限等等。

2.2 常用的漏洞攻击工具

1) WebDAVScan

此款软件是用于检测网段内的Microsoft IIS 5.0 服务器是否提供了对WebDAV的支持。WebDAV(基于 Web 的分布式写作和改写)是一组对 HTTP协议的扩展,它允许用户协作地编辑和管理远程 Web 服务器上的文件。DAV 功能包含创建、移动、复制及删除远程服务器上的文件和目录。

2) 新云漏洞完美入侵工具:

新云漏洞完美入侵这款工具集合了“新云”到现在以来的基本漏洞,另外还集合了一款外部软件、欺骗工具和跨站功能,是一款功能比较齐全的漏洞攻击工具。此款工具的界面如图1所示。

3) 啊D注入工具

啊D注入工具是一款功能强大、使用操作方便的注入工具。它可以对网站的SQL注入检测、管理入口检测、还可以注入连接和上传木马以及WebShell管理等等。此款工具的界面如图2所示。

2.3 漏洞攻击的预防措施

有关计算机系统存在的漏洞,可以采取以下措施:

1) 关闭系统不用的端口。默认情况下,Windows有很多端口是开放的,在上网的时候,网络病毒和攻击者可以通过这些端口连上电脑。为了让系统更安全,应该关掉这些端口,主要端口有:135,137,138,139,445,1025,2475,3127,6129,3389,593。

2) 对于网站、论坛、Blog存在的漏洞,在网页前应该对它们进行彻底调试:对.inc文件内容进行加密;使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码;inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称,尽量使用无规则的英文字母。在发现漏洞时应该及时到专业网站下载该漏洞的补丁程序。隐藏数据库的存放位置,尽量让数据库的名称复杂,同时要更新.asp中的数据库连接。

3) 其他一些预防措施:停止不必要的服务;卸载不需要的协议;安装杀毒软件和防火墙等等。

3 木马攻击

木马全称叫做“特洛伊木马”(Trojan horse),其名称取自希腊神话的特洛伊木马记。 木马一词就是由这一典故引发而来的。

3.1 木马攻击的原理

木马其实是一个网络客户端与服务端组成的程序。它由一台计算机(服务器)提供服务,另一台计算机(服务器)接受服务。其中,客户端是运行在攻击者的操作系统上;服务器端则运行在目标主机上。

目前,木马主要依靠邮件、下载等途径进行传播。它利用一些有诱惑性的提示来诱使用户运行木马程序的服务端程序,实现木马的种植。此外木马还可以通过脚本来进行传播。

常见的木马有:1) 破坏型:这种类型的木马只有唯一的功能,那就是破坏并且删除文件,它们可以自动的删除电脑上的DLL、INI、EXE文件,使电脑瘫痪。“熊猫烧香”就是这类木马的典型。2) 密码发送型:这种类型的木马可以在用户的电脑中找出隐藏密码并把它们发送给攻击者指定的邮箱中。3) 远程操作型:这种类型的木马使攻击者知道目标主机的IP地址或主机名,使得他们可以连接到目标主机上进行远程操作。4) 型:攻击者给被控制的目标主机种上木马,通过木马,隐藏自己的攻击踪迹。5) 程序杀手型:其功能为关闭目标主机上的木马查杀程序,让木马更好地发挥作用。

3.2 常见的木马攻击工具

1) 冰河

冰河是一款优秀的国产木马,其主要功能包括:自动跟踪目标主机的屏幕变化、记录各种口令信息、获取系统信息、限制系统功能、远程操作、修改注册表等等。

2) 灰鸽子

灰鸽子是第三代木马的标准软件,也是国内首次成功使用反弹端口技术的木马,它除了拥有二代木马的控制功能外,还能够方便地控制动态IP地址和局域网内的远程主机。该工具的界面如图3所示。

3) 广外幽灵

广外幽灵是第四代木马,采用线程插入技术。它能截取到Windows窗口中的星号密码(IE除外),记录键盘活动,还可以把记录的内容通过E―mail形式发送到指定的邮箱。此外还可以制作邮件日志,当邮件无法发送时,可以查看邮件日志来找回记录的内容。该工具的界面如图4所示。

4) 黑暗天使

黑暗天使是一款属于初级的第五代木马。它是一个结合窃听密码和远程控制于一体的木马。具有很多先进的技术:安装后注册表跟任务管理器中都找不到任何新增的键和进程、采用端口隐藏技术、有强大的自我修复功能、能杀掉目前流行的防火墙等等。

3.3 木马攻击的预防措施

1) 不打开任何可疑文件、文件夹及网页。

2) 常开杀毒软件和病毒防火墙。

3) 升级IE浏览器到最新版本。

4 结束语

随着用户对互联网的依赖程度日益加深,网络攻击所造成的破坏和损失也就日益严重。利用型网络攻击是一类常见的网络攻击,只有了解此类攻击的原理和常见方法,并将各种预防措施落到实处,才能最有效的预防攻击,从而将损失降到最低。

参考文献:

[1] 牛少彰.网络的攻击与防范[M].北京:北京邮电大学出版社,2006.

[2] 卿斯汉.入侵检测技术研究综述[J].通信学报,2004,25(7):19-29.

[3] 洪宏.网络安全扫描技术研究[J].计算机工程,2004,30(10):54-56.