前言:中文期刊网精心挑选了木马程序范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
木马程序范文1
【关键词】木马;网络犯罪;盗窃;病毒;网上银行
案情介绍:
2008年4月30日,李某到银行取钱,发现银行卡上的1950元不翼而飞。通过查询消费账单,李某得知这些钱先后被充值给了同一部号码的手机。原来,李某曾用银行卡进行过网上转账,而使用的计算机被赖某植入了木马程序。通过木马程序,赖某获得了李某的银行账号和密码,通过网络以低于市面7%到8%的价格,用李某的钱给他人手机充值。被充值人则将充值款打到赖某指定的账户上。案发后,法院以盗窃罪依法判处赖某有期徒刑一年零六个月,缓刑二年,并处罚金。
该案留给我们的思考
很多人都与网络和银行卡打过交道,但大部分人对利用网络实施的盗窃犯罪却知之甚少,认为这种新型犯罪离自己的生活还很遥远。以上这个例子充分说明了网络犯罪的普遍性以及广泛的流动性。犯罪分子利用人们对于网络犯罪疏于防范,屡屡得手。国家应当大力宣传对网络犯罪危害性极其传播方式的预防以及应对措施,使每一个人都从自身做起,每一个人都明白网络犯罪的实质,尽可能的不上当或者是少上当,还给大家一个健康的网络环境。对于恶意在网络上窃取、诈骗等犯罪行为,国家应当采取一系列的措施予以惩治。
一、网络犯罪之危害及原因
在现代化网络信息时代,网上运行已经逐步代替了许多人为工作,但是与再精密的设备也有疏漏,在精细的人也会犯错一样, 提供服务的运营商安全意识不高,管理制度和用人制度都不够严格。像上述例子就很明显的证明了网络并非十全十美,并不能让人们享受百分之百的安全, 网民的安全意识不高,至今为止已经有许许多多的人因为网络犯罪而蒙受了巨大的损失,是什么原因让网络犯罪这么如此猖獗呢?第一、非法利益驱使。唯利是图是这些犯罪分子的共同特点,而且网络罪犯往往不用怎么花费时间、金钱就可以坐享其成,盗取他人的帐户密码,来转移他人资金到自己帐户里。想想这样低成本,高效率的"工作"方法,就不难了解为什么会出现那么多网络罪犯了。
第二、网络信息时代的高速发展,越来越多的人正在接触网络,所以网络犯罪面临的是打击面是大范围的,预防起来相当困难,所以他的广泛性使千千万万的人蒙受了损失,让一个又一个的罪犯获取不法利益。
第三、控制网络犯罪的困难性,网上违法犯罪侦破困难。由于网络的时空跨度超过了传统的限制而且操作具有长距离、大范围、易修改、不留痕迹等特点,因此网上违法犯罪行为在侦察和取证时都有相当大的难度。违法犯罪者作案,有时只需坐在家里悄无声息的按一下键盘或点一下鼠标,瞬间就完成了,而侦破却要做大量耐心细致的分析核查和筛选工作。
第四、针对犯罪后的惩罚行为,目前对于网络犯罪的惩罚还不够严重,远远达不到对其他网络犯罪的震慑作用。所以才使得很多人敢于冒大不讳进行网络犯罪。
就目前情况来说,人们针对与网络犯罪的意识还比较淡薄,受害者没有明显的自我防护意识,而有的犯罪者有时却不知道自己的行为已经触犯了法律。所以解决网民大众的网络法律意识已经刻不容缓。这是解决犯罪的最佳途径。
二、打击网络犯罪的立法措施
(一)现在我国网络犯罪的立法现状,存在的不足
重庆利用木马盗窃网上银行钱财这个案件的犯罪者,同时在刑法的规定中也有一定的缺陷:罪过单调,犯罪人创作带有欺骗性质的网站以及在网站上非法使用病毒木马软件都归为一起,明显显出规定的不完整。刑种单一,难以发挥刑法惩戒功能,利用木马盗窃网上银行钱财的犯罪人如果是专业计算机从业者和非专业从业者的处罚在这里不能相同,利用专业知识犯罪应当从重处罚。
(二)如何改变这种现状
针对目前网络犯罪猖獗的现象,我们欣喜地看到现在很多地方的公安机关都已经在网站上公布举报电话及举报信箱,比如像赣州市公安局公共信息网络安全监察支队特公开网络违法犯罪举报电话及举报邮箱,很多网民也在从不同的途径了解到一些关于如何预防网络犯罪的方法,通过宣传使很多网友也认识到了网络犯罪的危害性。但是我们也要不断的吸取教训和经验,不断的探索和完善怎样利用法律途径解决类似网络犯罪,才能对抗随之而来的各种网络犯罪。
我们的最终目的不是解决类似重庆木马盗窃案件这样一个或几个犯罪案件,是要解决千千万万的网络犯罪,还给大家一个干净的网络空间,构建起美好而和谐的社会,杜绝一切危害人民群众切身利益的犯罪行为,解决上述情况的具体方法如下:
第一、网络运营商及服务商提高安全意识,严格管理制度,尽量减少犯罪分子可钻的空子。
第二、在网络信息交换中严格控制木马程序的使用,防止一切有害的程序对他人系统进行攻击,一经违反,立即删除。
第三、对广大网民进行积极的网络知识教育,让更多的人远离非法网站,非法程序的攻击。
第四、对于恶意窃取他人利益的行为予以坚决抵制,一旦发现,严惩不待。
第四,设立专门的网络管理人员,定期的检查网络中的危害,达到消灭垃圾于开始阶段
针对网络犯罪与计算机操作的直接关系,建议广泛地适用财产刑和资格刑。比如没收作案用计算机设备及与之有关的一切物品、设备;禁止犯罪分子从事与计算机系统有直接关系的职业等。
总之,信息时代的今天人们越来越离不开网络,信息是人们广阔的交流空间,在此郑重的呼吁人们从自身做起,抵制网络犯罪,为自己营造出一片干净的网络空间。
【参考文献】
[1]《刑法法条》第285、286、287条
[2]案例出自延边信息港生活部分。
木马程序范文2
关键词:行为序列;模糊判定;计算机;木马;检测;方法
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 16-0000-01
Behavioral Sequence Gray Fuzzy Detection Method in the Computer Trojan Determine Analysis
Zhang Liang
(Weifang Branch of China Unicom,Weifang261041,China)
Abstract:Computer Trojan is hidden in the computer for malicious software,the need for clear,to ensure the normal operation of computer and data puter Trojan is difficult to determine,for this problem,a behavior sequence to determine the gray blur of the computer Trojan detection.Determination of the specific method for computer network communication,boot,run and hide aspects of self-protection to detect Trojans,allow the computer to normal procedures and an effective distinction between Trojan horse programs.Discuss the principle of detection of Trojan horses,to improve computer security protection.
Keywords:Behavior sequence;Fuzzy decision;Computer;Trojans;
Detection;Method
木马是计算机中严重威胁数据安全、影响运行的一种恶意程序,木马的检测和判定一般分为动态和静态两类。动态检测是对系统的资源条件进行监控,将程序在启动、安装和运行中的动作同木马动作匹配后进行判定。比如在Windows操作系统下,木马隐藏启动的主要方式是修改系统启动脚本文件、写注册表、注入系统文件等,在动态检测中,通过监视系统文件和注册表项状态判定木马。静态检测是指对木马程序进行静态特征分析提取,然后根据木马特征,对程序使用判定规则进行推理判定。比如通过静态分析PE文件,对程序运行时可能调用的API集合进行获取,再拿来匹配木马攻击常用的API调用序列,结合静态危险指数判定木马程序。木马检测方法有很多,但是对于单一的检测方法来说,漏报和误报的问题仍然得不到有效解决。探讨行为序列灰色模糊判定下,木马检测的方法,为实现计算机木马程序的有效判定起到促进作用。
一、木马检测
木马检测有基于行为的木马检测和基于行为序列的木马检测。基于行为的木马检测是先将一系列的异常行为规定为规则,在系统运行的过程中,通过监视在运行的程序的行为,再与规则相比较,从而判定该程序是否为木马。在分析木马行为的时候,又可以从主机资源访问行为、网络行为、主机系统调度行为三个方面进行。其中主机资源访问行为是指木马程序对目录、文件、键盘、注册表、屏幕等操作,常常发生在木马进行隐藏运行和开机启动的时候。网络行为主要是指木马使用协议发起端口复用、打开端口、建立连接、域名解析、传输数据等操作,常常在木马网络通信中使用。而主机系统调度行为主要是指木马对运行中系统的线程、进程、系统函数、加载的模块等的操作,常常在木马自我防护和隐藏允许的时候使用。基于行为序列的木马检测是对木马程序行为分析的基础上进行的判定操作,难点在于异常行为的界定。在计算机的发展中,特别是恶意代码实现技术中的隐藏技术的长期发展,以及大规模的应用自动升级和P2P技术,已经越来越难界定木马与正常应用程序,如果是单一角度的行为检测已经完全不能解决问题了。但是,木马程序从根本上还是显著区别于正常程序的,将木马行为序列和可疑行为序列进行比较,可以提高木马检测的检出率。
二、灰色模糊判定下计算机木马检测方法
木马设计方案为行为检测方法得到的多个可疑程序的行为序列,而设计方案的评价指标为实现隐藏运行、网络通信、自我防护、开机启动二级目标使用方法可能被木马使用的概率,这样,就将木马的判定问题转换为了木马决策问题。而评价的四个指标都是定性的,首先使用模糊数量化处理指标,在灰色关联分析的基础上,使用模糊优选模型对木马方案进行排序,再结合危险指数判定木马程序。
在这个木马检测方法中,首先是要量化处理评价指标。木马程序使用不同方法实现隐藏运行、网络通信、自我防护和开机启动的概率不同,在对程序行为判定是否为木马的时候常常使用很可能、可能和不太可能等进行定性描述,然后使用梯形模糊数量化处理这些评语。量化处理评价指标过后是对方案属性指标的规范化,而规范化的第一步是确定理想方案指标序列,是比较属性指标的优劣。第二步是模糊数的规范化,在评判的时候,需要消除量纲的影响,使度量尺度统一,规范化处理属性指标,使评判保证等效性。然后还要确定灰色模糊的优属度,通过对方案的理想参照序列和比较序列进行关联分析,得到方案指标相对其理想值的灰色隶属度,再确定灰色模糊的优属度。最后,结合危险指数,判定行为序列是否为木马。
三、讨论
行为序列灰色模糊判定下计算机木马检测方法,是使用主机资源访问行为、网络行为和主机系统调度行为检测技术,实现对木马攻击树叶子节点方法的全部检测,通过对可疑程序行为序列的构建,计算灰色模糊的优属度,结合危险指数,判定木马程序。当然,在本文中仅仅在大致上说明了此方法的原理以及总体思路,具体实施起来还需要很多的细节进行完善、很多的具体数据进行探讨,才能最终形成一个完整的行为序列灰色模糊判定下计算机木马检测方法,从而更好的保证计算机数据的安全。
参考文献:
[1]高伟.基于灰色模糊优选模型的上市公司投资价值评价[J].财会通讯,2010,19:95
木马程序范文3
关键词:文件关联;木马;自启动
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)17-4055-02
Implement of Trojan Horse's Auto-start by File Relationship
ZHUANG Xiao-mei
(Guangdong Peizheng College, Guangzhou 510830, China)
Abstract: Trojan horse is a computer program with remote control function. File relationship is one of the methods of Trojan horse's auto-start which has three main techniques. We analysis the tree main techniques in detail, then implement the Trojan horse's auto-start in VC++ programming to reveal the principle of the method deeply.
Key words: file relationship; trojan horse; auto-start
1 木马启动的方式
木马是一种能实现远程控制的黑客程序,具有窃取密码,屏幕控制,文件传输等危害[1]。从广义上来讲,木马是一种病毒,但不具有自我复制的特点,因此,木马要使用各种方法让程序在计算机上运行而又不被用户发现。木马首次被执行后可能被用户关闭或木马程序随着计算机的重启或关闭,因此木马还需要解决自启动的问题,以达到长期控制被害机器的目的。木马常用的启动方法有以下几种:
1.1 通过注册表
Windows操作系统的注册表提供了一个注册表项,它的具体路径是:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。通过该表项可以实现程序的自启动,一些重要的程序也是通过该表项来实现自启动的,例如输入法程序,防火墙程序等。而该表项也为木马的启动提供了可乘之机,一些木马就是利用该表项来实现自启动,例如冰河。
1.2 通过服务
Windows的很多后台服务是通过系统“服务”程序来启动的,例如www服务,telnet服务等。一些木马程序也会注册成后台服务从而随着计算机的启动而运行。例如某些版本的灰鸽子就是使用这个方法。一些论文[2]详细讨论了这种方法的实现。
1.3 通过文件关联
文件关联是指木马与某一种类型的文件或程序关联在一起,当打开文件或程序被运行时,木马也悄悄随着运行。木马一般选择与常用的文件建立关联,否则即使建立了关联,木马也可能由于文件没有被打开而不能自启动。冰河除了使用注册表的方法外,也使用了关联的方法,它通常关联文本文件,当然也可能关联其它类型的文件。而广外女生则关联了EXE文件和COM文件,因此,任何一个EXE文件运行都启动了木马程序。一些论文[5]讨论了另类的文件关联的方法。
2 文件关联的关键技术
用文件关联的方法实现木马自启动有三个关键技术,一是如何与文件或程序建立关联;二是调用正常的程序;三是如何获得用户需要打开的文件名或程序名。本文以关联文本文件为例进行讨论,并在VC++下编程实现。
2.1 建立文件关联
一个文件可以用某个程序打开,也可以用另外一个程序打开,但有一个默认的打开程序。默认的打开程序其实是由注册表来决定的。在Windows的注册表HKEY_CLASSES_ROOT表项中,包括很多类型的文件的相关信息,例如文件的图标,文件打开程序等。如果想修改文件的默认打开程序,修改这个注册表项就可以了。因此,当我们要与文本文件建立关联,通过程序修改注册表项HKEY_CLASSES_ROOT\txtfile中的shell\open\command键的键值为木马程序就可以了。正常情况下,该键值的内容为notepad.exe %1,其中%1表示txt文件名。
2.2 调用正常的程序
通过修改注册表,木马能够随着用户双击文件而悄悄运行了,但如果默认的正常程序没有运行,便会引起用户的怀疑,所以木马还需要解决运行正常程序的问题。对于文本文件,默认的打开程序是记事本程序,因此木马还需要调用记事本程序,也就是notepad程序。
2.3 获得文件名
木马调用记事本程序的同时,还要获得用户所需要打开的文件名(一般是用户双击的文件名),同时把文件名传递给记事本程序,这样用户所看到的就是文本文件被正常打开了。
3 编程思路及实现
在本文中,我们的木马程序命名为server.exe,我们的目标是server程序首次执行时(server程序的首次执行可以通过欺骗用户或捆绑文件等方法来实现),把server程序与txt文件建立关联,此后每当用户双击一个txt文件时,server程序就悄悄地运行,同时txt文件能正常地显示在记事本程序中。因为server程序是悄悄运行,所以用户看到的仅仅是一个记事本程序把txt文件打开了。程序首先实现文件关联,主要通过修改注册表实现;程序获得txt文件完整路径及正确文件名;调用notepad程序,并把获得的文件名传递给notepad程序。当然,server程序作为木马还应包括其它功能,但这些功能不在本文讨论之列。
3.1 文件关联的实现
与txt建立关联的方法是,修改注册表的HKEY_CLASSES_ROOT\txtfile\shell\open\command项,把它的键值修改为server.exe程序。这需要用到注册表RegOpenKeyEx()函数以及RegSetValueEx()函数。这部分关键程序代码如下:
//写入注册表,建立关系
HKEY hKey;
HKEY hKey1;
//找到注册表项
LPCTSTR lpCommand="txtfile\\shell\\open\\command";
//打开注册项Key
long
lRet1=RegOpenKeyEx(HKEY_CLASSES_ROOT,lpCommand,0,KEY_WRITE,&hKey1);
if(lRet1==ERROR_SUCCESS)
{// 定义并获得木马程序名
char pFileName[100]={0};
DWORD dwRet = GetModuleFileName(NULL, pFileName, MAX_PATH);
char tt[200]={0};
strcpy(tt,pFileName);
strcat(tt," %1"); //%1表示txt文件本身
//添加一个子Key,并设置值
lRet1=RegSetValueEx(hKey1,NULL,0,REG_EXPAND_SZ,(BYTE*) tt,strlen(tt));
//关闭注册表
RegCloseKey(hKey1);
3.2 调用正常程序的实现
在server中调用notepad主要用ShellExceute()函数,详细的函数调用见“获得文件名的实现”部分的代码。
3.3 获得文件名的实现
由于已经建立关系,当用户双击一个txt文件时,server.exe则会启动,而txt文件名则需要用GetCommandLine()函数进行并且进行处理,这是GetCommandLine()函数所获得的文件名包括一些空字符以及server程序路径以及程序名等。
char *ptr=(char *)GetCommandLine();//获得文件名,如果没有双击txt文件名,则这个文件名是server程序名
int j,k;
j=0;
j=strlen(ptr);
k=strlen(pFileName);//server路径及程序名长度
k=k+3;
if (j>k) //用户双击txt文件
ShellExecute(0,NULL,"notepad.exe",ptr+k,NULL,1);//调用notepad 并且把txt文件名传递给notepad程序。
4 小结
木马的自启动方法对黑客实现控制被害机器是至关重要的一项功能。关联文件的方法是木马实现自启动的常用方法之一。建立关联,调用正常程序以及获取用户打开文件名是这种方法的三个关键技术。本文讨论木马关联txt文件的实现技术和方法,并在VC++中编程实现。木马的自启动还应考虑是否运行多个木马程序的问题,也就是程序互斥的实现,程序在这一方面并没有解决和实现这个问题,如果解决了这个问题,则程序则更加完善。
参考文献:
[1] 赵树升.计算机病毒分析与防治简明教程[M].北京:清华大学出版社,2007.
[2] 刘功申.计算机病毒及其防范技术[M].北京:清华大学出版社,2007.
[3] 石志国.计算机网络安全教程[M].北京:清华大学出版社,2009.
木马程序范文4
网站被黑,牵出木马“大小姐”
2008年5月6日这天,江苏省水利厅的工作人员一上班就发现,他们的官方网站页面无法打开,疑被黑客侵入。该网站主要承担公文办理、汛情传递等重要任务,日访问量5000人次。当时,全省已进入汛期,该网站能否正常运行,将直接影响防汛工作。当日,省水利厅即向南京警方报案。南京市公安局网警支队接警后,立即会同南京鼓楼公安分局组成专案组,立案侦查。
经过现场勘查,专案组确认,“江苏水利网”系遭到黑客攻击而瘫痪。黑客攻击政府网站,目的何在?办案人员经过连续几天的工作,终于查明,导致“江苏水利网”瘫痪的原因,是黑客将一款木马程序植入了网站后台程序。通过高科技侦查手段鉴别确认,黑客是在湖北省宜昌市某小区一民房内,对“江省水利网”发起的攻击。在宜昌市公安局网监支队的配合下,5月14日,南京警方犹如神兵天降,一举将逃离宜昌的犯罪嫌疑人何亮等人抓获。
审讯发现,何亮并非是直接攻击“江苏水利网”的人,他只是通过租用服务器,购买攻击者截获的点击用户流量。根据何亮等人的交代,专案组于5月20日在宜昌市精品国际一单元房内,将犯罪嫌疑人杨江平及其三名雇用人员抓获。
原来,杨江平是一名典型的网络黑客,他正是受雇何亮而攻击“江苏水利网”的。攻击的目的,是为了在该网站植入一款由何亮提供的域名代码,而一旦植入成功,用户只要点击该网站,就会跳转到由何亮控制的服务器上,而何亮的服务器上,设置了一种名叫“大小姐”的木马程序。杨江平本人赚钱的方式,只是向何亮卖流量,即中毒电脑越多,他获得的流量也就越大,赚的钱也就越多。之所以导致“江苏水利网”瘫痪,是因为杨江平雇用的新手,在攻击该网站时犯了低级错误。
通过对何亮、杨江平等6名归案者的审讯,专案组发现,犯罪嫌疑人攻击“江苏水利网”的目的,均是为了传播“大小姐”木马病毒。网络警察对“大小姐”木马病毒并不陌生,因为该盗号木马程序,曾屡屡窃取玩家游戏账号内的虚拟财产,对网络安全构成严峻挑战。而且杀毒软件又拿它没办法,所以该木马程序的编写及传播者,早就成了公安机关的打击对象。情况逐级上报后,引起了公安部的高度重视,随后公安部指定南京市公安局管辖“大小姐”系列木马病毒案,并于同年7月1日挂牌督办。
一网打尽,揭开黑客产业链
南京警方按照公安部的指令,追剿“大小姐”盗号木马的始作俑者。经过艰苦工作,专案组分别于6月13日在上海,6月24日在四川广元、绵阳等地,抓获了制作、传播“大小姐”系列木马病毒,涉嫌破坏计算机信息系统的团伙组织者王华、编写者龙斌及销售总周牧等10人。
经过对犯罪嫌疑人的逐一审讯,“大小姐”木马肆虐网络的真实面目,被一层层揭开。原来,王华以牟利为目的,自2006年下半年开始,雇用顶级编程高手龙斌,先后编写了40余款针对国内流行网络游戏的盗号木马。王华拿到龙斌编写的木马程序后,对外谎称为自己所写,同时寻找人销售,先后通过周牧等三人,在网上总销售盗号木马。该木马系列在传播销售时,被命名为“大小姐”木马。
购买了“大小姐”木马的犯罪嫌疑人,则分别针对“QQ自由幻想”、“武林外传”、“征途”、“问道”、“梦幻西游”等网络游戏,进行盗号。2009年2月23日,专门负责盗号并销售游戏装备的犯罪嫌疑人张某,在湖南益阳落网。在他的账户中,警方查获现金30余万元。由此,警方揭开了这个涉嫌制造、传播木马程序团伙的获利黑幕。
经查,王华靠销售“大小姐”木马程序,已获利1400余万元,至于王华等人到底侵害了多少游戏用户,目前难有准确的统计数字。据介绍,这些人先将非法链接植入正规网站,用户访问网站后,会自动下载盗号木马。当用户登录游戏账号时,游戏账号就会自动被盗取。犯罪嫌疑人将盗来的账号直接销售,或者雇用人员将账号内的虚拟财产转移出来,销售牟利。
据南京网警支队负责人介绍称:“大小姐”木马程序,事实上形成了一条黑色产业链,占据了我国“木马盗号市场”60%以上的份额,危害极大。
锁定证据,按刑法新条款定罪
2008年9月,侦查机关将该案向南京市鼓楼区检察院移送审查。当时,办案检察官面临着的最大困难,就是电子证据如何使用和固定。例如,犯罪嫌疑人的买卖交易都是在网上进行的,犯罪所得也都是通过“支付宝”等网上支付形式支付的。而“支付宝”的交易记录,只保留两个月时间,如何将犯罪所得与具体的犯罪行为联系起来呢?犯罪所得,其实都是源于买卖所窃取的“虚拟财产”,而受害者又很难找到,如何认定取得这些财产的非正当性呢?
为了证明犯罪嫌疑人的钱财,来源于犯罪所得,公诉科长曹立带领其他办案检察官,从犯罪嫌疑人QQ聊天记录和“支付宝“记录出发,寻找突破口。“我们从两个犯罪嫌疑人的QQ聊天记录入手,从中找出和案件相关的只言片语,仅这项工作,就用去800多张A4打印纸。”曹立如是说。
木马程序范文5
网络用语木马是拟声词,主要模拟用力亲吻的声音。
木马通常指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程序:一个是客户端,即控制端;另一个是服务端,即被控制端。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被害者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
(来源:文章屋网 )
木马程序范文6
【关键词】计算机;泄密隐患;安全管理
计算机病毒,实际上就是一种特殊的计算机程序。这种程序能够通过修改计算机程序或者以其自身的复制品去感染与已经受到侵害的计算机系统相连接的其他计算机或计算机系统。把它称之为“病毒”,是因为其在计算机系统中的发作规律与习性同那些生物病毒在生物群中传染传播的情况十分类似。在这里,以广泛流行、危害极大的木马病毒程序为例,剖析病毒的危害性、破坏性,以引起广泛的重视和认同。
一、计算机病毒的特点规律
(一)木马一词的由来
木马全称“特洛伊木马”,英文为Trojan Horse。故事来源于古希腊神话,公元前1193年,特洛伊国王普利阿莫斯和它的二儿子――帕里斯王子在希腊斯巴达王麦尼劳斯的宫中受到了盛情的款待。但是,帕里斯却与麦尼劳斯美貌的妻子海伦一见钟情并将她带出宫去,恼怒的麦尼劳斯和他的兄弟迈西尼国王阿伽门农兴兵讨伐特洛伊。由于特洛伊城池牢固易守难攻,希腊军队和特洛伊勇士们对峙长达10年之久,最后英雄奥德修献上妙计,让希腊士兵全部登上战船,制造撤兵的假象,并故意在城前留下一具巨大的木马。特洛伊人高兴地把木马当作战利品抬进城去。当晚,正当特洛伊人沉湎于美酒和歌舞的时候,藏在木马腹内的20名希腊士兵杀出,打开城门,里应外合,特洛伊立刻被攻陷,杀戮和大火将整个城市毁灭,持续10年之久的战争终于结束。这就是“特洛伊木马”一词的来历。
计算机领域把伪装成一般程序的程序形象地称之为“木马”。它是通过一种特定的远程控制程序来控制目标计算机。它由客户端和服务端两部分组成。客户端运行在入侵者的主机上,完全操控服务端计算机的运行。比如,浏览、移动、复制、删除服务端计算机上的文件等等。它不会自我繁殖,也不感染其他文件,主要通过“伪装隐身”来诱骗用户下载执行,从而向客户端提供所需的信息,进而达到窃密的目的。而服务端运行在目标主机上,是被控制的平台,一般发送给目标主机的就是服务端文件。
(二)木马病毒程序的特点
1.伪装性。木马总是伪装成一般程序来迷惑网络管理员和计算机用户。比如伪装成邮件、游戏等。
2.潜伏性。木马可以悄无声息地打开端口等待外部连接。
3.隐蔽性。木马可以在用户丝毫不知情的情况下隐蔽运行。
4.通用性。目前安装主流操作系统WindowsXP以及安装有早期的Windows98操作系统的计算机都同样控。
5.顽固性。计算机一旦感染木马,无法清除,只能重新安装操作系统软件。
当然,它还具有密码截取、屏幕监视、邮件发送、开机启动、无认证入侵等特性。
(三)木马病毒程序的工作原理
其工作原理大概分为:木马种植、隐蔽伪装、自动运行、攻击目标。
木马种植就是把木马程序种植于受控计算机中。其做法是:把木马程序打包、捆绑到邮件、贺卡等诸如此类的一般文件上,发送给用户或者诱骗用户主动下载,在用户打开这些文件时就完成了木马的种植,攻击者就可以将客户端和服务端连接起来,从而获得控制权。
隐蔽伪装就是当木马在被控计算机上运行后,会把自己隐蔽伪装起来,更有甚者可以修改杀毒软件的参数配置而变成合法程序。
自动运行就是修改被控计算机的配置参数,使得每次计算机开机启动时都能够自动运行木马程序。
攻击目标就是在上述基础性工作的前提下,攻击者就完全取得了对被控计算机的控制权,可以毫无顾忌地窃取所需信息了。
(四)木马病毒程序的传播与危害
木马病毒的传播主要通过电子邮件、浏览网页、文件下载、存储介质拷贝等途径进行。传播的方法主要有:1.乔装打扮。把木马程序的图标伪装成文档文件,比如,TXT、WORD、HTML等经常使用的文件图标,引诱用户下载使用。2.弄虚作假。木马程序被激活时,常常有类似于“文件已损坏,无法打开”的提示,用户信以为真,实际上木马已经侵入该用户计算机。3.销声匿迹。木马程序一旦被激活,其源文件会立即自动删除,查杀病毒无从下手。
计算机感染木马病毒的最大危害就是,其被完全控制,为今后的失泄密留下安全隐患。那么,在网络中断的情况下,在非计算机上处理文件或用移动存储介质拷贝文件也是不安全的。因为木马程序在网络中断时会自动搜索、采集移动存储介质里的文件,为入侵者联网后窃密打下基础,甚至有些木马程序把搜集到的信息自动发送到入侵者的邮箱中。其具体表现就是盗取用户密码、监视键盘操作、损坏杀毒软件等。
(五)计算机感染木马病毒后的特征
计算机一旦感染木马病毒,它的运转就会变得异常,主要体现在:网络浏览器会自动连接某个网站;篡改操作系统软件的配置文件;文件无法彻底清除;莫名其妙警告或提示;存储介质不能正常读写等。
计算机感染木马病毒是当前最重要的失泄密途径,除此之外,操作系统漏洞泄密、密码设置不合理泄密、存储介质使用不当泄密、电磁泄露泄密等也是常见的泄密途径。
二、计算机与信息安全的防护技术和措施
(一)安装防火墙
防火墙一词(firewall)来源于早期的欧系建筑,它是建筑物之间的一道矮墙,用来防止发生火灾时火势的蔓延。在计算机网络中,防火墙通过对数据包的筛选和屏蔽,防止非法的访问进入内部或外部计算机网络。比较公认的防火墙定义为:防火墙是位于可信网络与不可信网络之间并对二者之间流动的数据包进行检查的一台、多台计算机或路由器。通常情况下,可信网络指的是内部网,不可信网络指的是外部网,比如国际互联网等。内部网络与外部网络所有通信的数据包都必须经过防火墙,而防火墙只放行合法的数据包,因此,它在内部网络与外部网络之间建立了一个屏障。对于一般用户来说,安装个人防火墙就可以屏蔽掉绝大多数非法的探测和访问,它不仅可以防止入侵者对主机的端口、漏洞进行扫描,还能阻止木马进入主机。
目前,比较流行的防火墙软件主要有:瑞星、金山网镖、卡巴斯基、诺顿、麦卡非等。
(二)安装杀毒软件和使用专杀工具
据不完全统计,全球每天大约产生3000种以上的病毒或病毒变种,大部分互联网计算机被感染,因此,安装防杀毒软件变得十分必要。由于防杀毒软件查杀病毒的能力各有优势,要针对病毒类型合理地选择使用防杀毒软件。有的时候,安装在计算机上的杀毒软件对一些病毒无能为力,既查不出来也清理不掉,这个时候就需要使用病毒专杀工具。另外,要及时更新防杀毒软件,可以更好地防止和清除病毒,保持计算机正常、高效地运行。目前,卡巴斯基、瑞星、金山毒霸等都是大家公认的防杀毒能力较强的软件,用户可选择使用。
(三)及时为操作系统、应用软件打好补丁
任何一款操作系统,任何一个应用软件都不是十全十美的,总有这样或那样的一些不足,这些不足我们称之为漏洞。这些漏洞就为病毒的入侵提供了可乘之机,为此,及时更新软件、打好补丁变得十分必要,这样可以堵塞病毒入侵的漏洞。
(四)严格控制移动存储介质的使用
移动存储介质主要是指移动硬盘、优盘等使用方便、携带方便的存储介质。它轻巧精致、存储量大、时尚新潮,越来越受到人们的欢迎,不少单位已经把移动存储介质作为办公的标准存储设备。殊不知,这些介质已经成了当前传播病毒的重要工具,很多失泄密事件也由此而引起。《严密防范网络泄密“十条禁令”》严格规定了计算机和移动存储介质的使用,人人都要牢固树立安全保密意识,切实遵守安全保密规定,严防失泄密事件的发生。
(五)科学合理设置计算机密码
安全使用计算机,设置好开机密码、用户密码、屏保密码是不可或缺的重要手段,它可以防止计算机里存储的信息被窥探、被盗取。设置密码的要求是:1.同时设置上述三种密码;2.密码长度要在八位数以上;3.由字母、数字、特殊字符构成。这样设置的密码通常情况下是很难破解的,有利于保证计算机信息的安全。
(六)安装安全管理保密系统
安全保密系统是局域网的一道安全屏障,它不仅可以防止病毒的入侵,还可以有效控制外接设备的随意使用。
(七)为计算机配备防辐射干扰仪和屏蔽设施
防辐射干扰仪工作时,可以产生与计算机频谱十分类似、强度较高的电磁信号,来覆盖计算机产生的辐射,隐藏真正的信号,防止接受设备接收到计算机泄漏的电磁信息。
为计算机安装屏蔽设施也可以较好地保护计算机和信息安全,一是能够阻止信息的泄露;二是防止外部电磁信号的干扰和影响。
(八)养成使用计算机的良好习惯