木马程序十篇

木马程序篇1

摘要网络入侵工具如蠕虫、木马等不断涌现，其功能上相互吸收和借鉴，攻击方式和手段也层出不穷，促使计算机安全也向着不断细化的方向发展，其中木马(Trojan Horse)攻击以其攻击范围广、隐蔽性、危害大等特点成为常见的网络攻击技术之一，对网络安全造成了极大的威胁。

关键词：计算机；木马程序；防范

由于计算机系统和信息网络系统本身固有的脆弱性，越来越多的网络安全问题开始困扰着我们，特别是在此基础上发展起来的计算机病毒、计算机木马等非法程序，利用网络技术窃取他人信息和成果，造成现实社会与网络空间秩序的严重混乱。

一、木马程序概述

1.木马的定义

木马的全称是“特洛伊木马”(Trojan Norse)，来自古希腊神话，传说古希腊士兵就是藏在木马内进入从而占领特洛伊城的。木马是隐藏在合法程序中的未授权程序，这个隐藏的程序完成用户不知道的功能。当合法的程序被植入了非授权代码后就认为是木马。木马是一个用以远程控制的c/s程序，其目的是不需要管理员的准许就可获得系统使用权。木马种类很多，但它的基本构成却是一样的，由服务器程序和控制器程序两部分组成。它表面上能提供一些有用的，或是仅仅令人感兴趣的功能，但在内部还有不为人所知的其他功能，如拷贝文件或窃取你的密码等。严格意义上来说，木马不能算是一种病毒，但它又和病毒一样，具有隐蔽性、非授权性以及危害性等特点，因此也有不少人称木马为黑客病毒。

2.木马的分类

木马的种类很多，主要有以下几种：其一，远程控制型，如BO和冰河。远程控制型木马是现今最广泛的特洛伊木马，这种木马起着远程监控的功能，使用简单，只要被控制主机联入网络，并与控制端客户程序建立网络连接，控制者就能任意访问被控制的计算机。其二，键盘记录型。键盘记录型木马非常简单，它们只做一种事情，就是记录受害者的键盘敲击，并且在 LOG 文件里进行完整的记录，然后通过邮件或其他方式发送给控制者。其三，密码发送型。密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。这类木马程序大多不会在每次都自动加载，一般都使用 25 端口发送电子邮件。其四，反弹端口型。反弹端口型木马的服务端使用主动端口，客户端使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连接控制端打开的主动端口。为了隐蔽起见，控制端的被动端口一般开在80，稍微疏忽一点, 用户就会以为是自己在浏览网页。

3.木马的特点

第一，隐蔽性。隐蔽性是木马的首要特征。这一点与病毒特征是很相似的，木马类软件的 SERVER 端程序在被控主机系统上运行时会使用各种方法来隐藏自己。例如大家所熟悉的修改注册表和ini文件以便被控系统在下一次启动后仍能载入木马程式，它不是自己生成一个启动程序，而是依附在其他程序之中。第二，有效性。由于木马常常构成网络入侵方法中的一个重要内容。它运行在目标机器上就必须能够实现入侵者的某些企图，因此有效性就是指入侵的木马能够与其控制端入侵者建立某种有效联系，从而能够充分控制目标机器并窃取其中的敏感信息。第三，自动运行和自动恢复性。木马程序通过修改系统配置文件，如: win.ini,system.ini，winstart.bat或注册表的方式，在目标主机系统启动时自动运行或加载。现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。系统一旦被植入木马，想利用删除某个文件来进行清除是不太可能的。

二、木马程序的工作机制

木马程序虽然具有很大的隐蔽性，但也有其踪迹可循。因此，要防范木马就必须知道木马的工作原理。

1.木马程序的工作原理

木马程序的结构是典型的客户端/服务器(Client/Server；简称C/S)模式，服务器端程序骗取用户执行后，便植入在计算机内，作为响应程序。所以它的特点是隐蔽，不容易被用户察觉，或被杀毒程序、木马清除程序消灭，而且它一般不会造成很大的危害，计算机还可以正常执行。另外，木马服务器端程序还有容量小的特点，一般它的大小不会超过300KB，最小的木马程序甚至只有3KB，这样小的木马很容易就可以合并在一些可以执行.exe的文件中或网页中而不被察觉，而且这样小的文件也能很快就下载至磁盘中，若是再利用UPX压缩技术还可以让木马程序变得更小。

2.木马程序的工作方式

木马客户端程序是在控制台(黑客的计算机)中执行的，木马服务器端程序必须与客户端程序对应，建立起连接。服务器端程序与客户端建立连接后，由客户端发出指令，然后服务器在计算机中执行这些指令，并源源不断地将数据传送至客户端。木马服务器端与客户端之间也可以不建立连接，因为建立连接容易被察觉，如果再使用连接技术只会自断后路。所以就要使用ICMP来避免建立连接或使用端口。木马服务器端与客户端也可以不要间接通讯，因为直接通讯的目的太明显了，很容易被发现，所以木马服务器端可以与客户端采取间接通讯的专式：在服务器端与客户端之间中间层，服务器端程序先将数据传送至某个网站，客户端程序再从那个网站取得数据。这种方式可以让木马程序达到非常隐蔽的通讯效果，但缺点是通信数据交换的速度变慢了。

三、木马程序的防范策略

计算机木马程序已经严重影响到各类计算机使用者的切身利益，当前最重要的是如何有效的防范木马的攻击。

1.使用防火墙阻止木马侵入

防火墙是抵挡木马入侵的第一道门，也是最好的方式。绝大多数木马都是必须采用直接通讯的方式进行连接，防火墙可以阻塞拒绝来源不明的TCP数据包。防火墙的这种阻塞方式还可以阻止UDP，ICMP等其他IP数据包的通讯。防火墙完全可以进行数据包过滤检查，在适当规则的限制下，如对通讯端口进行限制，只允许系统接受限定几个端口的数据请求，这样即使木马植入成功，攻击者也是无法进入到你的系统，因为防火墙把攻击者和木马分隔开来了。

2.避免下载使用免费或盗版软件

电脑上的木马程序，主要来源有两种。第一种是不小心下载运行了包含有木马的程序。绝大多数计算机使用者都习惯于从网上下载一些免费或者盗版的软件使用，这些软件一方面为广大的使用者提供了方便，节省了资金，另一方面也有一些不法分子利用消费者的这种消费心理，在免费、盗版软件中加载木马程序，计算机使用者在不知情的情况下贸然运行这类软件，进而受到木马程序的攻击。还有一种情况是，“网友”上传在网页上的“好玩”的程序。所以，使用者定要小心，要弄清楚了是什么程序再运行。

3、安全设置浏览器

设置安全级别，关掉Cookies。Cookies是在浏览过程中被有些网站往硬盘写入的一些数据，它们记录下用户的特定信息，因而当用户回到这个页面上时，这些信息就可以被重新利用。但是关注Cookies的原因不是因为可以重新利用这些信息，而是关心这些被重新利用信息的来源:硬盘。所以要格外小心，可以关掉这个功能。步骤如下:选择“工具”菜单下的“Internet选项”，选择其中的“安全”标签，就可以为不同区域的Web内容指定安全设置。点击下面的“自定义级别”，可以看到对Cookies和Java等不安全因素的使用限制。

4.加强防毒能力

“常在河边走，哪有不湿脚”，只要你上网就有可能受到木马攻击，但是并不是说没有办法来解决。在计算机上安装杀毒软件就是其中一种方法，有了防毒软件的确会减少受伤的几率。但在防毒软件的使用中，要尽量使用正版，因为很多盗版自身就携带有木马或病毒，且不能升级。新的木马和病毒一出来，唯一能控制它蔓延的就是不断地更新防毒软件中的病毒库。除了防毒软件的保护，还可以多运行一些其他软件。如天网，它可以监控网络之间正常的数据流通和不正常的数据流通，并随时对用户发出相关提示；如果我们怀疑染了木马的时候，还可以从网上下载木马克星来彻底扫描木马，保护系统的安全。

参考文献：

[1]卢勇焕.黑客与安全[M].北京：中国青年出版社,2001年

[2]张世永.网络安全原理与应用[M].北京:科学出版社,2003年

[3]秘密客.破解黑客木马屠城计[M].北京：中国水利水电出版社,2005年

木马程序篇2

木马程序一般采用的是客户端/服务器模式，是一种基于C/S模式的远程控制技术，客户端是控制端，用于黑客远程监视和控制植入木马的计算机，主要运行在入侵机中，服务器端是被控端，木马采用欺骗或者漏洞攻击等手段把服务器程序安装到受害者的计算机中，即“植入木马”，也就是我们所说的计算机“中了木马”。如果将木马植入并且成功触发的话，控制端和被控制端就会按TCP/IP协议来进行通信，这样控制者就会获得被控制者的一些信息[7]。木马的工作原理如图1所示，在目标机上执行服务器端以后，木马就会打开一个默认的端口来监听，在客户机向服务器发出连接请求的指令后，服务器上的相关程序就会自动运行该请求，二者建立连接后，客户端发出指令，服务器端在计算机中就会执行该指令，同时把数据传回客户端，以此来控制主机。

2行为分析技术在木马检测中的应用

21木马行为特征行为分析方法在木马检测中的应用，简单来说，就是在运行程序的过程中，如果检测出具有木马的行为特征，如进程隐藏、在注册表设置自启动项等，那么该应用程序则有可能是木马，所以首先应该对木马行为特征进行确定。木马行为特征，是指木马在代码上所具有的共有特点。对其确认的步骤主要是：通过观察大量的己知木马的动态行为，从里面提取出有别于合法程序的比较明显的行为特征，记录下来，再通过和各个木马的行为特征比对，从里面提取出所有的木马或是大多数的木马所具有的行为特征。

2．2行为分析技术行为分析是一种新的检测技术，可以主动进行防御木马攻击。该技术和传统的木马检测技术不同，它通过捕获某个程序行为，再和木马或者病毒所特有的一些行为特征对比分析，然后再通过一些算法像贝叶斯算法、概率论等，或采用数据挖掘技术来对该程序是木马或是病毒的可疑程度进行推断。该检测方法能够及时有效地发现新型恶意代码，是目前国际上反木马技术的新趋势。木马行为特征库可以归纳总结出来，如果单纯依赖木马行为特征库，只要运行的程序中出现了单个具有木马行为特征的行为，就认定其为木马，会带来较大的误报率，比如：修改注册表项，大部分木马程序具有该行为特征，可以将其作为区分合法程序的行为特征，但是一些合法程序也具有在注册表设置自启动项等一些修改注册表项的行为特征，如桌面工具类软件、迅雷、QQ程序的安装等，而且并不是所有的木马程序都会进行注册表项的操作，所以在考虑木马行为特征的同时，还应关注合法程序区别于木马的行为特征，通过多项特征的组合来作为判别木马程序的依据，从而降低误报率和漏报率。M.schultZ等人最早提出了采用朴素贝叶斯算法等来检测未知的恶意程序代码，因其具有较强的概率推理能力，可以通过对样本的多个属性的取值来对样本分类，而且它们都可被用来对未知的类别样本分类，这和把行为分析技术用来判定未知木马的目的一致，所以不仅可以用来检测已知的木马，对未知的木马或是已知的木马变种也能检测出来。

3朴素贝叶斯算法在木马行为分析中的应用

假设已知的木马的个数为m，合法的程序个数为n，行为特征具有k个(m>0，n>0，k＞0，且m、n和k均为整数)。把m个木马里具有第i个行为特征的木马数记为(k≥i＞0，且i为整数)。假设有一个可执行程序，该程序既不在m个木马程序中，也不在n个合法程序中，但该程序具有k个行为特征中的1个行为特征，不具有另外(k-l)个行为特征，那么需要判别该程序是不是木马程序。

4基于行为分析的木马检测模型

在上述理论的基础上，结合监控技术，设计了一个基于行为分析的木马检测模型，采用朴素贝叶斯算法作为可疑行为分析模块的检测算法。基于行为分析的木马检测模型如图2所示。图2基于行为分析的木马检测模型(参见右栏)各模块主要功能说明如下。程序实时监控模块：对系统内部的可疑行为进行监控，在此归纳了几种常见的木马行为属性，主要有进程隐藏，界面隐藏，注册表修改，自动运行，安装钩子，线程的注入等。这些行为在普通程序中出现的概率远小于在木马中出现的概率，木马在运行过程中会暴露这些属性，它们是分析检测木马的重要依据。目录文件监控模块：本模块对系统存储的重要文件或者对用户重要的文件、文件目录实施操作监控，实时记录下用户对特定文件或目录创建、修改、重命名及删除操作，由于偷窃性是木马的一个重要特征，最终会将偷窃的敏感文件或数据通过网络向外在的控制端进行数据的传输，所以会同时将相关数据发送给网络监控模块进行监控。

网络监控模块：对局域网中各机器网络通信情况进行检测，通过网络监控发现网络通信的异常。主要根据目录文件监控模块传来的进程PID、进程路径名等一些进程信息对网络情况进行监控，由此可以得到该进程打开的端口号和传输情况。而对一些无连接、隐藏通信端口的木马，通过网络监控不易发现时，却也很有可能通过行为特征的分析将这些木马检测出来。本模块和目录文件监控模块除了确定木马在系统中如隐藏、修改注册表等一系列行为特征外，还可以一起来确定另外一个决定性特征：文件偷窃特征。可疑行为分析模块：在此模块中采用朴素贝叶斯算法对木马行为特征进行分析，通过第3节的分析，P(X|T)、P(T)、P(X|LP)和P(LP)做为先验概率是可以事先算出来的，然后再按照公式3-3，3-4和判断条件进行木马行为的判断。由于朴素贝叶斯算法的最大特点是不需要搜索，只需简单地计算各个行为特征发生的频率数，就可以估计出每个行为特征的概率估计值，因而用朴素贝叶斯算法判别木马具有较高的效率。木马杀除和报警响应模块：对检测出的木马做最终处理，当检测到有木马攻击的时候一方面采取切断TCP连接等措施对木马进行阻止或删除；另一方面向用户或管理员发出报警，弹出相应的警告窗体，记录着木马的发送时间，木马类型、其源MAC地址、目的MAC地址、源lP地址、目的IP地址等关键信息。管理员或审计员可以对报警信息进行查看，可以通过电子邮件查收，同时可以根据需要生成审计报告，为其提供决策支持。另一方面将审计结果进行存储，把告警信息存入网络审计数据库。

5结束语

木马程序篇3

关键词：木马 传播木马 运行木马

1、木马配置方法

一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两个功能：

木马伪装：木马配置程序为了在服务端尽可能隐藏好木马，会采用多种伪装手段如修改图标、捆绑文件、定制端口、自我销毁等。

信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址、IRC号、ICQ号等等。

2、木马传播方法

传播方式：木马的传播方式主要有两种：一种是通过E-mail，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件就会感染木马；另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

伪装方式：鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉欺骗用户的目的。

2.1 修改图标

现在已经有木马可以将木马服务端程序的图标改成HTML，TXT，ZIP等各种文件的图标，有相当大的迷惑性。图标修改往往和文件改名是一起进行的，黑客往往将文件的名称取得非常的诱人，比如“漂亮的妹妹”之类，骗用户去运行它。当木马服务端程序运行以后，服务端程序也会将自己的进程设置为和正常的系统进程相似的名称，从而使用户不容易产生怀疑，被其麻痹。

2.2 捆绑文件

这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉情况下，偷偷地进入了系统。至于被捆绑的文件一般是可执行文件（即EXE，COM一类的文件）。

2.3 出错显示

有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框（这当然是假的），错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了你的系统。

2.4 定制端口

很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以现在很多木马都加入了定制端口的功能。

3、木马运行方法

服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到Windows的系统文件夹中（c：＼Windows，c：＼Windows＼system或c：＼Windows＼temp目录下），然后在注册表，启动组，非启动组中设置好木马的触发条件，这样木马的安装就完成了。安装后就可以启动木马了，具体过程如图1所示。

3.1 由触发条件激活木马

触发条件是指启动木马的条件，大致出现在下面八个地方：注册表：

打开HKEY-LOCAL-MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼的Run和RunServices主键，在其中寻找可能是启动木马的键值。

WIN.INI：C：＼ Windows目录下有个配置文件system.ini，用文本方式打开，在[386Enh]，[mic]，[drivers32]中有命令行，在其中寻找木马的启动命令。

Autoexec.bat和config.sys：在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传服务端覆盖这两个文件才行。

INI：即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。

注册表：打开HKEY-CLASSES-ROOT＼文件类型＼shell＼open＼command主键，查看其键值。不光是TXT文件，通过修改，HTML、EXE、ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile，ZIP是WINZIP等。

捆绑文件：实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。

启动菜单：在“开始-程序-启动”选项下也可能有木马的触发条件。

3.2 木马运行过程

木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下，键入NETSTAT-AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。

在上网过程中要下载软件，发送信件等必然打开一些端口。除常用外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑是否感染了木马。

综上所述，当今的时代是信息时代，电脑的编程技术也是突飞猛进的，木马的功能和特性也在快速发展着，因此，我们还需不断的学习，使我们的防御技术能够不断向前发展。

参考文献

木马程序篇4

关键词：木马；入侵；清除

1. 引言

世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本(事实上，编写PC-Write的Quicksoft公司从未发行过2.72版本)，一旦用户信以为真运行该木马程序，那么他的下场就是硬盘被格式化。随着计算机技术的不断发展,编写木马程序的方法、手段及传播途径、逃避查杀的技术也不断地翻新发展。

2.木马的入侵原理和入侵手段

2.1木马的入侵原理

木马都是网络客户/服务模式（C/S），它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器) ,另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。 当攻击者要利用木马进行网络入侵，一般都要完成"向目标主机传播木马"，"启动和隐藏木马"，"建立连接"，"远程控制"等环节。

2.2木马入侵手段

木马能不能完全发挥它的功能和作用，关键一步就是能否成功地进入到目标主机。随着计算机技术的不断发展,编写木马程序的方法、手段及传播途径、逃避查杀的技术也不断地翻新发展。

木马的传统入侵方式主要有三种：

1）电子邮件入侵传播，控制端将木马程序以附件的形式夹在邮件中发送出去，收信人只要打开附件系统就会感染木马；

2）下载入侵传播，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。

3）远程入侵传播，黑客通过破解密码和建立IPC$远程连接后登陆到主机，将木马服务端程序拷贝到计算机中的文件夹中，然后通过远程操作让木马程序在某一个时间运行。

木马入侵手段的发展：

1）反弹端口型木马

目前，由于大部分防火墙对于连入的连接往往会进行非常严格的过滤，能对非法端口的IP包进行有效的过滤，非法连接被拦在墙外，客户端主动连接的木马，现已很难穿过防火墙。与一般的软件相反，反弹端口型木马是把客户端的信息存于有固定IP的第三方FTP服务器上，服务端从 FTP 服务器上取得信息后计算出客户端的IP和端口，然后主动连接客户端。另外，网络神偷的服务端与客户端在进行通信，是用合法端口，把数据包含在像HTTP或FTP的报文中，这就是黑客们所谓的"隧道"技术。

2）缓冲区溢出植入型木马

木马设计者利用缓冲区溢出漏洞，首先将木马攻击代码(ShellCode)加载到被攻击进程的地址空间中。此攻击代码是由可执行机器码组成的字符串，通常以参数的形式传递给被攻击程序并被加载到其堆栈段。然后编写恶意溢出程序在缓冲区中造成溢出，覆盖函数返回地址的内容或者更改void类型的函数指针，使其指向缓冲区可执行恶意代码(ShellCode)的起始地址，就可以运行攻击代码。缓冲区溢出植入型木马利用目标机器的溢出漏洞进行木马植入，不需用户进行激活即可完成植入，对目标主机影响小。造成被攻击程序溢出的代码由木马控制端计算机传人，且只存在于目标主机的内存之中，隐蔽性好，难以查杀。

3.木马病毒的清除

3.1DLL型木马查杀

DLL木马的查杀比一般病毒和木马的查杀要更加困难，建议用户经常看看系统的启动项中有没有多出不明的项目，这是DLL木马Loader可能存在的场所之一。如果用户有一定的编程知识和分析能力，还可以在Loader里查找DLL名称，或者从进程里看多挂接了什么陌生的DLL。对普通用户来说，最简单有效的方法还是用杀毒软件和防火墙来保护自己的计算机安全。

3.2反弹端口型木马查杀

目前发现的反弹端口型木马有网络神偷和灰鸽子(辐射版)两种。如果中了反弹端口型的木马，对于网络神偷，我们可以用下面的方法清除：

   在中了木马的机器上运行客户端程序，可以再生成并运行新的配置正确的服务端，就会把原来的服务端冲掉。重新运行客户间 ，在客户端的"服务端在线列表"找到自己并连接上，再用菜单"网络" - >"远程卸载" ，就可以彻底清除。

3.3工具检测查杀

在手工检测的情况下，如果不能发现木马入侵的蛛丝马迹，可以借助一些反病毒软件。对于伪装过的木马，可以使用MT捆绑克星软件，MT捆绑克星通过分析程序的文件头特征码．可以查看文件是否捆绑了木马。

4.后言

木马的入侵方法是多种多样的,新的木马会不断出现, 要检测木马的入侵和彻底清除木马也不是一件很容易的事。计算机用户必须提高警惕，采用预先防护措施，通过端口, 网络连接, 注册表以及一些查杀木马工具的运用,对发现的异常情况采取补救，如为系统打补丁，或升级软件版本;对于多余的网络服务和系统功能，应该禁止，并从技术和管理两个方面入手，完善安全防护体系，不断提高网络系统的安全性。

参考文献：

[1] 连一峰．王航编著．网络攻击原理与技术．科学出版社．2008．4.

木马程序篇5

为了让大家能够提升自己操作系统的安全指数，确保重要数据不被泄露。我们特意选择了奇虎360安全卫士v3.5、杀马4.O.0.770、木马克星2007 0619、木马杀客2007 6.Obuild 0620、QQ医生1.3这几款木马查杀专用工具，从多角度进行评测，希望大冢能从中选择到最适合自己的产品。

查杀木马能力

首先直击要害，验证一下各款工具查杀木马的功力。为公平起见，我们特意选择制作了两个木马压缩包，一个内含25个木马样本文件，其中21个是加壳的木马；另个为8个木马文件，其中有7个为加壳后的木马。然后分别将它们作为测试对象，以逐一考证每款查杀木马工具。

360安全卫士

号称自带的查杀木马功能能查杀10万种木马，有效保护个人信息安全。我们在确保程序拥有最新特征库的情况，在主界面上单击“常用”按钮，选择“查杀流行木马”选项卡，对木马样本测试包进行查杀操作。

但结果差强人意，居然连一个木马也发现。然后又将木马测试包解压后。再对它们进行查杀。结果安全卫士仍然没有查到任何木马，不免让人感到遗憾。

难道它的木马查杀功能仅是一个摆设?还是因为捆绑卡巴斯基的缘故而像程序主界面的广告所说“360安全卫士+卡巴斯基KAV6.0给你带来更安全的保障”取消木马的查杀呢?

最后我们利用360安全卫士的合作伙伴卡巴斯基对这两个木马测试包进行查杀，发现并查杀了所有木马文件。

木马克星

非注册版的木马克星不具备木马清除功能，在查杀两个木马测试压缩包时，同样没有查出任何木马。

将木马压缩包解压后，在开启的扫描所有文件类型及慢速扫描功能的情况下，木马克星分别在两个文件夹内查出所有25个和8个木马。

木马杀客

木马杀客其分为木马清道夫和木马防火墙两个客户端。其中在利用木马清道夫对两个木马样本压缩包进行查杀时。查杀出其中一个，在此次评测中对压缩包的检测表现尚属不错。

而在扫描两个解压缩的木马样本文件夹时，分别扫描到25个木马和1个木马，表现中等。

杀马

该程序无需安装即可使用。在查杀两个木马病毒压缩包时，可全部将它们“捉拿归案”，非常不错。

在扫描两个解压后的木马病毒文件夹时，文件夹所有木马都被识别出来。打开“概述”页面，还能够列出具体的木马名称，实属优异。

QQ医生

无法查杀更多的木马病毒，仅可对盗号木马和QQ尾巴病毒进行查找。因此此项查杀成绩为零。

扫描速度

时间就是金钱，效率就是生命。为了考察各款工具扫描速度，我们分别使用各款木马查杀工具，对一个存有2.26GB文件的分区进行扫描操作。具体结果见表1。

操作便利性

360安全卫士

可对指定的分区或文件夹进行扫描操作。通过切换各功能选项卡便能在打开的页面中进行相应的操作，较为方便。不过，在鼠标右键上没有提供相应的扫描选项，就将影响它的执行效率。

木马克星

可非常方便地对指定的目标进行扫描，同时也提供了鼠标右键的扫描功能，这样更便于用户执行木马查杀操作。对于查杀到的不明或可疑木马，可以让其纳入到隔离区中，以防被误清除。

木马杀客

与木马克星类似，它同样可以完成自定义目标文件的扫描，也能够通过右键菜单上的扫描选项高效扫描所选文件夹，非常方便。此外，它还能够对注册表、进程以及可疑模块进行扫描。进一步杜绝木马的危害。

杀马

能够自由定制扫描目标，可通过设置将扫描选项集成在右键菜单中。对于扫描到木马病毒，提供了包括直接删除、隔离等多种处理方法。令用户有多种选择。

QQ医生

在开启QQ主界面后，单击登录面板上“启用00医生”按钮，就能够进行查杀木马操作。

监控功能

一款查杀木马工具，光靠用户手动查杀木马病毒总归非常被动。只有拥有实时监控功能，进行主动防御才是上策。

360安全卫士

安全卫士拥有系统实时保护功能。当用户将这些功能开启后，可以对恶意插件、网页中自动运行程序、u盘病毒进行拦截；同时可以防止系统关键位置被恶意篡改，如注册表、系统文件夹等。

木马克星

在程序“选项”对话框的“木马拦截”页面中勾选相关的监视选项，然后将程序最小化驻留在系统托盘中，便能够监视网络、邮件等位置，从而最快拦截不请自到的木马。

木马杀客

因木马杀客中另一个客户端“木马防火墙”的存在，故令其监控功能大增。

杀马

具备实时监控功能，对于木马等恶意程序对系统、注册表的修改，能够立即发现并让用户查看。

QQ医生

不具备实时监控功能。

升级

368安全卫士

该工具为免费工具，可非常地方便地对程序版本以及特征库进行升级。

木马克星

注册用户只需单击左侧功能面板上的“更新”按钮，就能够非常方便升级病毒库。同时，还能够通过主菜单上相关选项去下载最新版本，以避免BUG的发生。

木马杀客

注册用户可以通过程序所提供的“智能升级”功能对病毒库及程序进行更新处理。

杀马

利用驻留在系统托盘区上程序图标的右键菜单，选择其上的“智能更新”按钮即可对程序进行免费升级处理，非常不错。

QQ医生

不带自动更新功能。

以上各项评测见表2。

总结

木马程序篇6

我们平时所见到的木马大多都是可执行文件，这些木马在系统中隐藏自己的本领有限，很容易暴露。而DLL木马则不同，它只有一个文件，依靠动态链接程序库，由某一个EXE做为载体，或者使用RunDLL32．exe来肩动，插入到系统进程中，以达到隐藏自身的目的。因此DLL木马在隐藏技术上比普通小马有了质的飞跃，当然危害性也就大大增加了。下面就让我们通过一款DLL木马“bits”来了解如何防护和清除DLL木马。

什么是DLL木马

DLL(Dynamic Link Library)即系统的动态链接库文件。DLL文件本身不可以运行，需要应用程序调用。当程序运行时，Windows将DLL文件装入内存中，开寻找文件中出现的动态链接库文件。DLL木马实际就是把一段实现了木马功能的代码加上一些特殊代码写成DLL文件，我们知道正在运行的程序是不能被关闭的，而DLL木码插入到一个正在运行的应用程序内存模块中，因此同样死法删除，这就是DLL木马的高明之处。

DLL木马的危害

DLL木马的危害主要分为两方面：一是隐蔽性，由于它可以“寄宿”丁任一应用程序的进程(包括系统进程)，因此我们很难发现木马的存在；二是难删除，上文中我们提到被DLL木马插入的进程是无法结束的，因此要想清除它并不容易。

下面结合实例来看看DLL木马的使用和运作过程。bits是一款著名的DLL木马，具备了DLL木马的所有特点，没有进程，也不开肩端口，隐蔽性很强。bits只有一个DLL文件“bits．dll”，运行命令“RUNDLL32．exe bits．dll，install”即可让bits进驻系统。假设运行bits的计算机IP地址为192．168．0．1，黑客可以使用一款网络工具“no”，在命令提示符中运行它后输入命令“nc 192．168．0．180”，回车后会发现没有回显，此时再输入“123456@dancewithdolphin[xell]：777”才能命令bits。这条命令的作用是绑定一个shell到本机的777端口，此时黑客再连接目标主机的777端口，就可以存目标汁算机上执行任意命令了。一般的DLL木马都需要通过类似方法来安装和使用，虽然比普通木马要来得麻烦，但是威力是相当大的。

bits的清除还是比较简单的，首先运行注册表编辑器，定位到[HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼RasAuto＼Parameters]，将serviceDLL的键值更改为“％SystemRoot％＼System32＼rasauto．dll”，然后将系统目录system32文件夹下的bits．dll文件删除即可(如图1)。

DLL木马的防范

DLL木马虽然强大，但是只要注意还是可以防范的。当系统存在问题时，可以使用Windows优化大师的组件“进程管理大师”查看进程中的DLL文件，找出隐藏在其中的DLL木马。在程序上方列表中选中某个进程，再点击下方的“模块列表”标签，列表中就会出现该进程包含的DLL文件。如果是系统进程，那么DLL文件的发行商必是“Microsoft”，否则就很有可能是DLL木马。找到DLL木马后将进程结束，再根据路径删除DLL木马即可(如图2)。

木马程序篇7

关键词：木马；端口；杀毒

中图分类号：TP309.5文献标识码：A文章编号：1007-9599 (2011) 04-0000-01

Working Principle and Prevention of Trojan Virus

Zhang Li

(Shandong Vocational College of Technology,Jining272000,China)

Abstract:Trojan can invade a computer by certain ways,and then hide itself for a long time.When the controlled system starts,its files and datas would be stolen,changed and deleted by Trojan.This paper will explain the working principle of Trojan,how to prevent and kill it.

Keywords:Trojan;Port;Antivirus

随着计算机和网络的普及，我们的日常生活与他们愈加紧密的联系在了一起。但是木马病毒的出现，使得电脑用户的重要信息遭到破坏或者被盗，造成了无法弥补的损失。要想从根本上预防木马病毒的入侵，我们必须要深入了解木马病毒的工作原理。

一、什么是木马病毒

木马病毒（Trojan）这个名字由古希腊传说“木马计”的故事而来。“木马”与病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件。它采用各种方法将自身伪装起来，一旦用户下载执行，“木马”即植入成功。此时，受害主机的门户已经对施种者敞开。施种者可以“窥视”到受害主机中的所有文件、盗取重要的口令、信息、破坏系统资源，甚至远程操控受害主机。

二、木马工作原理

特洛伊木马通常包含两个部分：服务端和客户端。服务端植入受害主机，而施种者利用客户端侵入运行了服务端的主机。木马的服务端一旦启动，受害主机的一个或几个端口即对施种者敞开，使得施种者可以利用这些端口进入受害主机，开始执行入侵操作。

木马服务端和客户端首先要建立连接，然后才能进行信息交换。建立连接又包含首次握手和建立通道两个步骤。首次握手的主要目的是客户端获得服务端的IP地址。这主要通过两种方法实现：信息反馈和端口扫描。信息反馈是指，服务端一旦登录互联网，可通过邮件、UDP通知等方式将IP地址发送给控制端。如：广外女生。端口扫描是指，控制端扫描IP地址，一旦发现特定端口开发的IP就认定其为服务端，首次握手成功。当服务端与控制端实现首次握手后，控制端给服务端木马传送通道的配置参数，配置成功后，服务端返回相应参数给控制端。至此，木马通道成功建立。

三、预防措施

在谈预防措施之前，我们必须先要了解木马的传播方式：

1.通过邮件附件传播。

2.通过QQ传播.。

3.通过下载软件传播。

4.通过有较强传播能力的病毒传播。

5.通过带有木马的光盘和磁盘进行传播。

木马有着如此多的传播方式，为了避免中毒，我们应该：

（1）不要执行任何来历不明的软件。一些黑客将木马程序捆绑在某些免费的软件安装程序上。因此在下载软件的时候需要特别注意，推荐去一些信誉比较高的站点。在安装软件之前用专门查杀木马的软件进行检查，确定无毒后再使用。

（2）不要随意打开邮件附件。现在绝大部分木马病毒都是通过邮件来传递的，将木马程序伪装成常用工具软件，或者将木马程序隐藏在某个有意思的视频短片中，然后将该木马程序添加到附件中发送出去。只要收件人打开附件就会感染木马。因此对邮件附件的运行尤其需要注意。

（3）不要因为对方是好友，就轻易接收他发过来的文件。在QQ聊天时，通过文件传送功能发送给对方伪装过的木马程序。一旦接收，就会感染木马。

（4）将资源管理器设置成显示已知文件扩展名。在资源管理器中设置显示已知文件的扩展名。因为木马病毒的特征文件的扩展名多为vbs、pif、shs，一旦碰到这些可疑的文件扩展名就应引起注意。

（5）运行反木马实时监控程序。上网时开启反木马实时监控程序能够有效地防范木马。一般的反木马软件都能够实时显示当前运行的所有程序及其详细描述信息。再加上实时升级的专业杀毒软件和个人防火墙进行监控基本上就安全了。

四、清除方法

虽然我们有多种方法预防木马入侵，但不能够完全避免。一旦计算机中了木马，我们该怎么做呢？

1.端口扫描：检查远程计算机是否中了木马的最好办法就是端口扫描。其原理很简单：尝试用扫描程序连接某个端口，若成功，则端口开放，中了某种木马；若失败或超过特定的时间，则端口关闭，没有中木马。

2.查看进程/内存模块：借助PS进程/内存模块查看工具，我们可以看到当前系统中的所有进程及其详细信息。通过对信息的比较我们可以发现DLL木马，同时该软件也可以自动查找可疑模块。

3.查找文件：查找木马特定的文件也是常用的方法之一。上面几种方法都是用手工方式来检测、清除木马，但实际操作中木马不会那么容易就被发现。好在一些反木马软件可以帮助我们。

比较有效地木马查杀软件有以下几类：

1.常用的杀毒工具软件。从某种意义上来说木马也是一种病毒。我们常用的杀毒软件如：瑞星、金山等，也可以实现对木马的检查，但不能够彻底清除。因为木马在电脑启动时都会自动加载，而杀毒软件不能完全清除木马文件。

2.常用的网络防火墙软件。现在网络防火墙软件比较多，如金山网镖等。防火墙启动后，一旦有木马或可疑的网络连接要控制电脑，防火墙就会立即报警，同时显示接入端口、对方的IP地址等信息。我们进行相关设置后对方就无法进行攻击了。利用防火墙只能发现木马并预防其攻击，但不能彻底清除它。

3.专门的木马查杀软件。对木马我们不能只采用防范手段，还要想办法将其斩草除根。一些专用的木马查杀软件带有这些特性。比如：木马终结者、木马克星、木马清道夫等。

参考文献：

木马程序篇8

关键词： 计算机病毒；互联网；木马病毒

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）22-5039-02

当前，计算机技术及网络应用以日新月异的速度在高速发展，各个部门内部和各个部门之间都在利用网络建立信息交换系统，计算机用户在不断增加，网络带宽在不断扩大，在网络中传输的信息量也愈发庞大。在信息网络中，无可避免地存在着各种木马病毒，这些木马病毒以各种目的和方法入侵用户计算机，引起网络瘫痪或者系统崩溃，严重侵害了用户隐私甚至部门的利益，因此网络信息的安全性变的日益重要起来。我们应从认识木马病毒开始，彻底加强计算机系统防御力。

1 病毒的介绍

1.1宏病毒

宏病毒是一种可执行代码的病毒，通常存在于软件的的应用文档之内。宏病毒的感染对象主要是Microsoft开发的办公系列软件。在这些软件中，可以允许用户在一个其文档中嵌入“宏命令”，使得某种操作得以自动运行。而宏病毒正是以这种同样的操作，将自身嵌入到这些文档中，以此来对用户的使用造成破坏。

1.2 恶意软件（间谍软件和流氓软件）

恶意软件是部分不良网络公司出品的一种收集用户浏览网页习惯而制订自己广告投放策略的软件。这种软件本身对计算机的危害性不是很大，只是中毒者隐私遭到洩露被收集走，并且一旦安装上它就无法正常删除卸载。

恶意软件虽然危害性与传统病毒相比并不显著，不会对计算机系统造成强烈的破坏，但是这些软件对用户的使用却造成极大的干扰。因此众多的杀毒软件都会对用户提示这些恶意软件，微软从Windows Vista开始也在系统中置入了Windows Defender程序来检测这一类型的软件。

1.3网页脚本病毒

网页脚本病毒的入侵方式很简单，只要用户浏览网页，而计算机又没有足够强的防护，就很容易被病毒侵入，因此网页脚本病毒很难识别也很难防范。

网页脚本病毒的工作过程大体如下：不法分子将恶意代码（多为一些重定向链接）、病毒体（一般是一些经过伪装成正常的后缀为 .exe的文件）和脚本文件或以javascript语言编写的小程序注入到摸个网页源文件之中，随后将此带有病毒文件的网页在网络中。网络用户通过某种途径浏览访问上述网页，在计算机用户的IE临时文件夹中将保存该网页的内容，包括被植入的恶意代码、恶意脚本、病毒体和恶意程序等。在用户显示该有问题的网页内容的同时，恶意脚本文件将开始运行，网页内容中的恶意代码将会直接运行，病毒程序或伪装为正常文件的可执行程序将被直接执行，当任务执行后，病毒体就会侵入，修改计算机注册表和进程，增加系统自启动项目，修改磁盘分区的属性等等。在计算机用户重启系统后，病毒体将对计算机进行正式的破坏，而且病毒体将完成自我更名、复制和再伪装的过程。

2 防御及清除木马病毒的方法

当发现有“蠕虫”或者“木马”等病毒在计算机存在，必须第一时间将计算机的网络中断，这是最有效也是最安全的方法，网络中断后，一方面，“蠕虫”或者“木马”等病毒将无法通过网络将个人信息外泄，另一方面受感染计算机也不会影响到所在网络内的其他计算机客户端。

2.1 防御木马病毒的方法

安装并及时的更新木马杀毒软件，基本上所有的杀毒软件都带有查杀木马的软件，要经常的使用杀毒软件对自己的电脑进行杀毒，以防病毒在无意中进入。尤其是木马病毒。现在很多官方软件都做出针对性的木马查杀软件，如QQ木马专杀。

目前通过U盘为介质传播木马病毒的现象较为普遍，我们应尽量避免使用陌生人的U盘，在系统中禁止U盘自动播放功能，避免病毒程序自动运行，在使用U盘前最好利用杀毒软件对U盘进行快速全盘扫描，清除可疑文件。

2.2 清除木马病毒的方法

目前最有效清除木马病毒的方法就是安装杀毒软件，在使用杀毒软件期间，必须及时更新病毒库，养成定期对计算机进行扫描的良好习惯，以免木马病毒在无意间入侵计算机。在一些大面积传播的木马病毒问世后，如熊猫烧香、飞客病毒等，很多杀毒软件公司将会在短时间内这对这些木马病毒的专杀工具，计算机用户可下载这些专杀工具对计算机进行查杀工作。

除了使用杀毒软件，计算机用户还需要使用防火墙软件。防火墙和杀毒软件在电脑中的职责各不相同，如果说杀毒软件是木马病毒侵入后的被动防御，那么，防火墙的职责就在于主动防御木马病毒的入侵。防火墙会主动对链接网络的数据包进行监控，当有可疑的数据提出建立链接时，防火墙会主动提示用户是否放行或禁止，一般来说，对于自己不是很了解的程序，最安全的做法就是一律禁止，在网上确认该程序合法无危害后再给予放行。另外，杀毒软件是无法识别黑客攻击的，因此对黑客攻击无能为力，而防火墙则可以通过隐藏系统的每一个端口来加强系统的防御性能，黑客即使找到了系统的漏洞，也找不到相应的入口对计算机进行攻击，自然也提高了计算机系统的安全性。

1）运行反木马实时监控程序

在我们上网时，应打开杀毒软件或者防火墙自带的反木马实时监控程序，一般的实时监控程序能够实时监控当前活动的所有程序以及这些程序的详细信息，若发现可以动作，例如修改系统启动项目、修改注册表、修改系统关键进程等动作，监控程序将向用户发出告警信息，用户可根据其所提供的详细信息对可以程序进行判断。

2）安装软件前应确保软件的安全性

首先不要在可疑网站下载软件，下载软件尽量通过软件官方网站或者大型门户网站进行下载。其次，下载完的软件在使用前必须使用反病毒软件进行彻底检查，最好使用木马程序专杀软件进行扫描，在确定软件没有问题后再进行安装。在安装的过程中也需要注意捆绑软件的选择安装，避免有木马程序捆绑在其中。

2.3 管理启动程序

木马病毒经常利用自动加载启动项目来实现对计算机的攻击，因为计算机启动后会自动运行加载在启动项目中的程序。系统自带的启动管理可以帮助我们查看哪些进程被加载，通过分析可判断出可以的启动进程，可着重查看启动项名称，若名称过于怪异或简单，则可判断为可以对象，我们还可以通过启动项加载进程以及所在的注册表路径来判断可疑进程。当我们确认可疑启动项后，我们可以右键点击启动项，选择删除启动项，禁止该启动项自动启动，但如果不确认该进程是否为病毒自动加载项目，可上网查找该进程的详细说明，以确保删除启动项万无一失。

我们还可以利用一些主机安全产品所带的启动项扫描功能来锁定可疑启动进程，通过扫描得出可疑启动进程列表，通过直接禁用相关进程来实现屏蔽病毒程序自动启动，当然，在禁用或删除相关启动项目前最好还是通过网上确认信息或者事先做好备份工作。

2.4优化系统安全

木马病毒层出不穷，每时每刻都可能有新的木马病毒形成，我们不可能百分百对木马病毒进行防御，与其力争第一时间扑杀木马病毒，还不如做到防范于未然。因此，养成良好的使用计算机的习惯尤为重要。

计算机用户应避免系统口令为空或过于简单，不下载来源不明的程序及运行，不访问不正规的网页。应在系统中安装防病毒软件和系统安全软件，及时更新病毒库，定时全盘扫描木马病毒，定期清理系统垃圾插件，清理系统垃圾等。及时更新系统高危漏洞，确保计算机时刻处于最安全状态。

2.5 及时修补操作系统漏洞

木马病毒一般是通过操作系统和软件的漏洞来入侵计算机的，在当前的操作系统中，Microsoft Windows系统的使用比例最高，用户最多，但是Windows操作系统的漏洞也最为多，因此windows用户必须及时修补操作系统漏洞。修补操作系统漏洞的方法有很多，系统用户可开启系统自带的自动更新程序，系统会自动下载并安装重要补丁，目前很多防护软件都带有更新系统补丁的功能，如360安全卫士和QQ电脑管家等，用户可使用该功能对系统漏洞进行扫描并安装最新的系统补丁。若为大型企业的网管人员，还可在局域网内搭建WSUS服务器，统一集中下载各种windows系统版本的系统补丁，再下发到相应windows版本的客户端中，这样既方便了系统管理，也节省了网络带宽。

计算机用户必须加强安全防范意识，为自己的系统设置一个较强的安全口令，密码最好8位以上，并由字母和数字组成，关闭系统默认的网络共享功能，关闭远程控制功能，关闭媒体自动播放功能等。

参考文献：

[1] 张仁斌，李钢，侯整风.计算机病毒与反病毒技术[M].北京：清华大学出版社，2008（10）.

[2] 傅建明.计算机病毒分析与对抗[M].2版.武汉： 武汉大学出版社，2009（7）.

[3] 朱明，徐骞，刘春明.木马病毒分析及其检测方法研究[J].计算机工程与应用， 2010，（28）.

[4] 戴小波.木马病毒防御策略谈[J].机械职业教育， 2008（12）.

木马程序篇9

几乎所有的计算机都配置了杀毒软件，但面临的病毒攻击却越来越猖獗。尽快实现反病毒技术的根本性变革，不仅是全球反病毒产业的共同课题和新的竞争焦点，更是计算机用户的迫切需求。而主动防御的出现，恰好解决了目前网络安全的需求。颠覆了传统杀毒软件采用病毒特征码识别病毒的反病毒理念，实现了对未知木马和新病毒的主动防御，消除了杀毒软件无法防杀不断出现的未知木马和新病毒的弊端。

杀毒软件对抗病毒处于被动防御状态

杀毒软件识别病毒的核心技术是特征码扫描技术；从病毒体中提取病毒特征值构成病毒特征码库，反病毒软件将用户计算机中的文件或程序等目标，与病毒特征码库中的特征值逐一比对，判断该目标是否是病毒或者被病毒感染。

杀毒软件通过特征码的方式进行病毒扫描，可以很好地识别已知木马、病毒，并进行有效清除。但是这种效果的好坏却依赖于病毒样本的收集，而用户如果不提交相关的样本文件，那杀毒软件公司则无法对该病毒进行查杀。

目前黑客具有多种手法来躲避杀毒软件的查杀，而杀毒软件在不升级的情况下就没有办法检测出新病毒、新木马，同时也没有办法检测经过免杀处理的老病毒。而基于这样的现状，很多用户都是在中毒后给相关反病毒公司提交样本，等反病毒公司分析确认并且升级后，用户再来扫描杀毒，而没有在病毒危害前进行拦截阻止。很明显，这种先中毒，后杀毒的方式是不可取的，而病毒造成的损失是无法挽救的。

传统反病毒技术“出现病毒―收集病毒―分析病毒―升级病毒库”处理模式，尽管能够较好防范已知病毒，用户仍面临大量反病毒公司还未收集到的病毒以及每天数以万计新病毒的威胁，用户的信息安全得不到有效保障。

杀毒软件的出现是为了消灭病毒，而病毒制造者为了自身获取更多的利益，他们就必须使用某些技术对抗杀毒软件，使得自身具有较长的活动周期，降低病毒自身的损失率。以前大规模爆发的熊猫烧香、现在的各种隐蔽性病毒木马都采用了各种不同的技术，与杀毒软件进行对抗。而它们的这种技术对抗，恰好攻击了杀毒软件的弱点，使得杀毒软件永远处于被动防御状态。

实现对木马病毒的主动防御

木马病毒是由反病毒工程师分析判定，而反病毒工程师通过分析程序行为而准确判定一个程序是否是病毒，那么能否将反病毒工程师分析判断木马病毒的过程自动化、程序化、软件化，让计算机直接依据程序行为，完成自主分析判断未知木马和病毒，这样既可以降低对木马病毒样本的依赖程度，同时，又可以改变木马病毒被动防御现状，实现主动防御。

北京东方微点信息技术有限责任公司于2005年自主研发具有完全自主知识产权的微点主动防御软件，在国际上首次实现了主动防御技术体系，直接将程序行为作为分析判断木马和病毒的依据，并依此确立了反病毒技术新标准，实现了对木马和病毒的主动防御，改变了当前杀毒软件被动防御现状。

“熊猫烧香”病毒是一种蠕虫病毒，在2006年10月至2007年2月期间，造成全国数百万台计算机被感染并遭受破坏。为了躲避杀毒软件查杀，病毒编写者每天多次更新修改“熊猫烧香”病毒程序，先后共编写并传播了数百种“熊猫烧香”病毒。病毒编写者甚至还在病毒中留言，公开挑战反病毒公司，展开了一场与反病毒公司之间的激烈较量。

这场残酷的较量中，微点主动防御软件经受住了“熊猫烧香”病毒的严峻考验。当时，微点主动防御软件是国际为数不多且无需升级即可防范“熊猫烧香”病毒的反病毒产品。使用微点主动防御软件的百万用户无一被病毒感染，即使没有升过级的微点主动防御软件2005年版本，同样可以实现对“熊猫烧香”所有变种病毒的准确报毒和自动清除，充分体现了微点主动防御技术的先进性。

主动防御体系结构主要由实时监控系统、反病毒专家分析判断系统、恶意程序处理系统三大系统组成。主动防御的体系结构就好比具有很强反扒能力的警察，实时监控系统就是警察的眼睛，负责监控周围的环境和人的一举一动；反病毒专家分析判断系统就好比警察的大脑，负责将眼睛看到的环境和人的一举一动联系起来，并结合自己判断盗窃者的经验进行分析判断；恶意程序处理系统就好比警察的手和脚，根据反病毒专家分析判断系统的通知做出相应的处理动作。

实时监控系统

实时监控系统是主动防御的眼睛，负责监控电脑中所有运行程序的行为，并将监控的信息发送给反病毒专家分析判断系统进行分析。

实时监控系统由遍布操作系统的众多探针组成，这些探针通过监控应用编程接口（API），记录程序的每个动作，并将程序的每一个动作提交给反病毒专家分析判断系统进行分析判断。

通俗地讲，探针就好比监控摄像头，实时监控系统就好比在家里部署监控摄像头一样。比如：在门口、窗户、存放贵重物品的箱柜等重要位置部署监控摄像头，这样就可以记录哪些人进出大门、窗户，以及打开存放贵重物品的箱柜，是否取出贵重物品。

反病毒专家分析判断系统

反病毒专家分析判断系统是主动防御的大脑，由恶意程序行为识别规则知识库、正常程序行为识别规则知识库、程序行为逻辑分析判断模块组成。

反病毒专家系统根据实时监控系统提交的运行程序的动作，结合恶意程序行为识别规则知识库和正常程序行为识别规则知识库，由程序行为逻辑分析判断模块对程序进行自主分析判断。如果判定程序行为符合木马和病毒的定义，确定该程序是木马、病毒，同时阻断木马、病毒对电脑的侵害，并通知处理系统自动清除病毒。

程序行为逻辑分析判断模块是反病毒专家分析判断病毒的逻辑思维过程，是通过程序代码来实现的。程序行为逻辑分析判断模块将程序的一系列动作通过逻辑关系分析组成有意义的行为，分析这种行为是否符合病毒的定义，如果符合病毒的定义即判定为病毒。仅仅凭借程序单一动作无法判断最终的目的，只有将一系列动作通过逻辑关系分析组成有意义的行为，才能判断程序的目的。

木马程序篇10

网络用语木马是拟声词，主要模拟用力亲吻的声音。

木马通常指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后，被害者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

（来源：文章屋网 ）