時間:2023-05-29 18:02:55
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇木馬檢測,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
中圖分類號:TP309.5文獻標識碼:A文章編號:16727800(2012)009015202
0引言
隨著互聯網的飛速發展以及網絡中病毒木馬程序的日益泛濫,防火墻已經成為保護局域網絡中主機免受惡意程序侵害的一道屏障。隨著防火墻技術的日益成熟,很多傳統遠控型木馬程序已經失去了其發展空間,然而一種新型的利用HTTP協議隧道的木馬又出現了。本文將主要介紹該類木馬的運行原理以及目前針對該類木馬的主流檢測方法。
1HTTP協議隧道
HTTP協議隧道位于應用層,是將需要傳輸的數據封裝在HTTP協議格式數據包中,通過HTTP協議在網絡中進行傳輸,當HTTP數據包抵達目的地后對HTTP數據包進行解包,得到真實的數據。HTTP協議隧道分為直接型和中轉型兩種模式。
1.1直接型模式
此模式中每臺主機都既作客戶端又作服務器,可以相互通信。在客戶端中,數據經過HTTP隧道軟件使用HTTP協議進行封裝,然后通過80端口或者8080端口發送到對方主機。服務器端收到數據后對HTTP包進行解包操作得到實際傳輸的數據。
1.2中轉型模式
此模式中有一個專門的HTTP隧道服務器,負責接收客戶機的請求,然后與目標主機通信,將客戶端傳過來的數據交付給目標主機。在客戶端與目標主機之間仍使用HTTP協議對數據進行封裝后傳輸。
2HTTP隧道木馬原理
HTTP隧道木馬與傳統木馬程序在功能上基本一致,主要差別在于通信方式上。傳統木馬,不論是正向連接型還是反向連接型,基本都是通過高于1024端口進行通信,然而現在的很多殺毒軟件以及防火墻對于這些端口的檢測會較為嚴格,從而使得木馬程序容易暴露身份。而隨著B/S模式的廣泛應用,越來越多的網上流量都是通過HTTP協議進行傳輸,因此絕大多數防火墻對于HTTP協議都采取進行簡單協議結果判定后直接允許其通過的策略,而這樣的策略就給了木馬程序以可乘之機。
HTTP隧道木馬利用HTTP協議隧道,將自己需要傳輸的數據利用HTTP協議進行封裝,然后經由HTTP協議專用端口80端口或者8080端口與外部服務器進行連接,服務器在得到數據以后進行簡單的HTTP協議解包就可以得到實際的數據。
一般此類木馬選擇的HTTP協議隧道類型均為上一節中介紹的中轉型模式。在木馬實際運行過程中,客戶端(即控制端)首先將待執行的命令以文件的形式存放在HTTP隧道服務器中,而對于服務端(及被控端),每次上線后會主動請求連接HTTP隧道服務器,然后用GET或者POST命令請求服務器中的特定文件(預先設定好的存放命令的文件)。如果文件中有需要執行的命令,則在被控端主機上執行相應操作,然后將數據封裝成HTTP數據包回送給HTTP隧道服務器,如果文件中沒有命令需要執行,則服務端斷開連接,一段時間后再次以相同方式詢問是否有命令,如此往復。通過此流程,HTTP隧道木馬就可以借用HTTP協議躲避防火墻的阻攔與控制端進行通信。
3主流檢測方法
針對HTTP隧道木馬的檢測方法目前主要存在下面的三大類:基于簽名的檢測、基于協議的檢測以及基于操作行為的檢測。下面分別對3種檢測方法進行介紹。
3.1基于簽名的檢測(SIGNATUREBASED DETECTION)
該方法主要通過檢測HTTP協議數據包定的數據式樣來判斷是否是可疑的HTTP數據包。這里所謂的特定的數據式樣,指的是比如“cat c:”、“cat d:”、“del c:”、“PWD”、“RETR ”、“cmdc:”、“cmd net start”等字串。這些字串一般為計算機的一些操作指令,如果HTTP數據包中含有這些數據式樣則將其判定為使用HTTP隧道進行傳輸。
然而這種方法也存在一些問題,比如很難準確找到有哪些數據樣式只存在于HTTP隧道木馬傳遞的數據包中而不可能或很少出現在正常網頁里,因為HTTP協議是基于對象的協議,可以傳輸任何類型的文件,我們不能保證這些文件中不會出現所定義的“數據式樣”,因此此方法在實際運用中可行性較低。
3.2基于協議的檢測
由于很多HTTP隧道木馬在進行HTTP隧道傳輸時都只是進行了一個簡單的HTTP協議封裝,即在數據外加上了一個HTTP頭部,然而這種簡單的協議封裝往往在很多時候不符合實際的HTTP協議正常的格式。并且在數據交互的過程中,HTTP隧道木馬一般只是簡單發送單個HTTP數據包,而不會完整執行整個HTTP協議中規定的一整套交互流程。根據這些協議上的特點可以對HTTP隧道木馬進行檢測。
然而在有些情況下這種方式仍不能正確地對該類木馬進行準確識別。比如木馬程序為了偽裝而進行一系列虛假的HTTP協議交互過程,從協議層面上看該過程完全無法分辨出是否為木馬程序。
3.3基于操作行為的檢測
該方法主要提取了HTTP隧道木馬程序在網絡會話上的一系列特征,如:數據包大小、數量、會話時長、會話上傳數據量、會話上傳數據量和下載數據量之比以及會話平局上傳速率等。然后基于這些特征采取數據挖掘技術,對HTTP隧道木馬進行分類,對其建立相應木馬網絡會話特征模型,根據此模型對其進行檢測。
資料顯示,此種檢測方法在HTTP隧道木馬程序檢測方面的效果較好。此方向研究者較多,各研究者之間差別在于采取的特征選取有細微不同,以及采取的分類算法存在一定差異。
3.4分析比較
分析了3種當前主流HTTP隧道木馬檢測技術以后,我們可以看到,第一種技術基本無法單獨運用于真實環境下的木馬檢測,在某些情況下可以作為輔助條件進行木馬判定;基于協議的檢測方法存在一定的適用性,但是也很容易被木馬繞過,因此會導致實際使用的效果不佳;而第三種方式則相對顯得效果更好,有很好的實用性。
4結語
本文主要就HTTP隧道木馬的運行原理進行了介紹,然后對目前主流的HTTP隧道木馬檢測方法進行了分析比較。通過分析幾種當前提出較多的HTTP隧道木馬檢測方法,得到當前檢測該類木馬程序最有效的方法在于對木馬網絡回話中的一些特征進行分類處理,建立該類木馬特征模型,然后進行檢測。
參考文獻:
[1]許治坤,王偉,郭添森,等.網絡滲透技術[M].北京:電子工業出版社,2005.
[2]李俊林.通用性HTTP隧道檢測技術研究[D].成都:電子科技大學,2006.
關鍵詞 木馬 入侵 清除
隨著社會信息化技術的發展,網絡已成為人們生活中不可缺少的部分。人們在工作、學習和業余等時間運用電腦,在感受網絡帶來益處的同時,各種各樣的病毒也讓使用者頭痛不已,木馬病毒就是其中一種。有的黑客會利用木馬來盜取計算機用戶的隱私去謀取利益,這給人們的生活帶來了巨大的損失和危害。木馬是黑客最常用的基于遠程控制的工具,目前比較有名的主要有:“冰河”、“黑洞”、“黑冰”、“Bo2000”等。計算機一旦被木馬病毒侵入,可能會造成信息的丟失、系統的破壞甚至系統癱瘓,所以計算機的安全問題是目前急需解決的問題。
1 木馬病毒
所謂木馬(全稱是特洛伊木馬)是利用計算機程序漏洞侵入后竊取文件的程序,它是一種與遠程計算機之間建立起連接,使遠程計算機能夠通過網絡控制本地計算機的程序。它包含兩部分:服務器和控制器,黑客利用控制器進入運行了服務器(被入侵的電腦)的計算機。運行了程序的服務器,其計算機就會有一個或幾個端口被打開,使黑客可以利用這些打開的端口進入計算機系統。
2 木馬病毒的入侵
木馬入侵計算機,一般都要完成“向目標主機傳播木馬”、“啟動和隱藏木馬”、“建立連接”、“遠程控制”等環節。它的入侵方式主要有:
(1)電子郵件傳播。攻擊者將木馬程序偽裝成郵件的附件發送出去,收件人只要打開附件系統就會感染木馬;(2)網絡下載傳播。一些非正規的網站利用木馬小的特點將木馬捆綁在軟件安裝程序上提供給用戶下載,只要用戶一運行這些程序,木馬就會自動安裝;(3)遠程入侵傳播。黑客通過破解密碼和建立IPC$遠程連接后登錄到主機,將木馬服務端程序復制到計算機中的文件夾,然后通過遠程操作來控制木馬進而達到目的;(4)利用系統漏洞植入。有時候服務器會出現漏洞,黑客便利用這些漏洞將木馬植入計算機。譬如MIME漏洞,因為MIME簡單有效,加上寬帶網的流行,令用戶防不勝防;(5)修改文件關聯。隱蔽是木馬常用的攻擊手段,它們通常采用修改文件打開關聯來達到加載的目的。著名的木馬冰河就是采用這種方式。
3 木馬的檢測
(1)進程和端口檢測。木馬一般是以exe后綴形式的文件存在,因此當木馬的服務器端運行時,一定會出現在進程中。查看端口的方法一般有三種:使用Windows本身自帶netstat的工具,命令是C:\> netstat -an ;使用Windows命令行工具fport,命令是E:\software>Fport.exe ;使用圖形化界面工具Active Potrs,這個工具可以監視到計算機所有打開的TCP/IP/UDP端口,還可以顯示所有端口所對應程序的所在的路徑。
(2)檢查Win.ini和System.ini系統配置文件。在win.ini文件中,[WINDOWS]下面如果“Run=”和“Load=”等號后面結果不是空的,很可能是計算機中了木馬病毒。在System.ini文件中,[BOOT]下面“shell= 文件名”,如果不是“shell=Explorer.exe”,也很可能是中了木馬病毒。
(3)查看啟動程序。如果木馬自動加載的文件是直接通過Windows菜單上自定義添加的,一般都會放在主菜單的“開始->程序->啟動”處。檢查是否有可疑的啟動程序,便很容易查到是否中了木馬。
(4)檢查注冊表。注冊表中木馬一旦被加載,一般都會被修改。一般情況修改HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN, HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN SERVICES,HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN。目錄下,查看有沒有不熟悉的擴展名為EXE的自動啟動文件。
(5)使用檢測軟件。除了手工檢測木馬外,還可以通過各種殺毒軟件、防火墻軟件和各種木馬查殺工具等檢測木馬。
4 木馬病毒的清除
檢測到計算機中了木馬后,馬上將計算機與網路斷開,然后根據木馬的特征來進行清除。清除方法有:
(1)停止可疑的系統進程。木馬程序在運行時會在系統進程中留下痕跡,通過查看系統進程可以發現運行的木馬程序。清除木馬時,首先停止木馬程序的系統進程,其次修改注冊表,最后清除木馬文件。
(2)用木馬的客戶端程序清除。查看系統啟動程序和注冊表是否存在可疑的程序后,判斷是否中了木馬,如果存在木馬,則查出木馬文件并刪除外,同時將木馬自動啟動程序刪除。
(3)殺毒軟件和查殺工具。木馬程序大部分都是利用操作系統的漏洞將木馬加載到系統中,利用較好較新的殺毒軟件加上補丁程序,可自動清除木馬程序。常用殺毒軟件包括Kill3000、瑞星、木馬終結者等。
(4)手工清除。在不知道木馬屬于何種程序的情況下應用手工清除,打開系統配置實用程序對Win.ini、System.ini進行編輯,在Win.ini中將“Run=文件名”或“Load=文件名”更改為“Run= ”或“Load= ”, 在System.ini中將“Shell=文件名”更改為“Shell=Explorer.exe”,屏蔽非法啟動項,用Regedit打開注冊表的鍵值及注冊項的默認值或正常值,刪除木馬。
5 QQ卓越木馬的查殺程序設計
掌握了木馬的入侵和檢測等相關知識后,我們做了一個針對QQ卓越木馬的殺毒程序。整個程序的查殺毒流程如圖1所示。
該程序查殺過程,首先掃描內存,接著是系統目錄,然后注冊表,最后對硬盤進行掃描。
內存中掃描木馬進程主要用到了自定義函數FindProcByName,進程掃描開始及結束都會在狀態欄及查殺結果欄中顯示相應信息。自定義函數FindProcByName應用CreateToolhelp32Snapshot獲取進程快照,若列表中有進程存在,用Process32First獲取第一個進程的信息,若進程文件名與木馬進程名字相同,則記錄木馬EXE程序同時記錄木馬DLL的程序并把他們添加到查殺列表,循環比較列表中的每個進程。若停止的話就直接跳出殺毒程序。內存掃描完之后,如果發現內存中有卓越QQ木馬時,找到該木馬程序的執行程序所在目錄,并檢測此目錄下有沒有木馬文件,若有則進行查殺。
接著掃描注冊表。主要查看系統及用戶啟動項的Run鍵值下是否有卓越QQ木馬鍵值,若有將其刪除,同時將木馬計數器TrojanCnt及注冊表木馬計數器RegTrojanCnt加一。然后查看是否有木馬文件,若有木馬文件,根據卓越QQ木馬鍵值找到其真實路徑,將其.exe及.dll程序添加到查殺列表,掃描并中止該木馬進程后再刪除木馬文件。
最后掃描硬盤。要對硬盤進行木馬查殺,找到文件,經判斷如果為病毒文件,將木馬計數器及硬盤木馬計數器加一,然后將檢測結果在查殺結果中顯示出。用自定義函數Length,Copy、ScanDir、CompareFileNames可以實現。
關鍵詞:溢出型網頁惡意代碼;運行機理;防范
中圖分類號:TP393.08
網頁惡意代碼是木馬用來傳播的主要方式之一,各種有危害性的木馬都可以做成網頁惡意代碼來傳播危害用戶。因此,對溢出型網頁惡意代碼運行機理分析與防范的探討有其必要性。
1 研究背景
隨著近來網絡技術的發展,網絡攻擊安全事故也地不斷發生,越來越受到人們的廣泛關注。而網頁惡意代碼的運行則一種危害網絡安全的一種惡意傳播,其主要要通過木馬進行傳播的一種主要方式,包括各種具有危害性的木馬,在構成網絡危害的過程中,都可以通過網頁惡意代碼,對網絡用戶構成嚴重的威脅,且在當前的形勢下,這已經構成黑色網絡產業鏈的先鋒,導致網絡用戶的財產丟失,黑客利用其所形成的病毒木馬來竊取。
2 運行機理
網頁惡意代碼最為基本的本質就是網頁,而并不是木馬本身,主要是通過一些特殊網頁,利用病毒木馬的運行,將執行代碼進行編碼處理,其作為網頁組成的重要部分,會在運行中通過特殊網頁代碼獲取相關的木馬程序,通常情況下,網絡系統安全防御中心和殺毒軟件公司將其稱之為網頁木馬,而防范和切斷木馬的一個主要的途徑就是切斷網絡惡意代碼的傳播,網絡惡意代碼的運行則一種危害網絡安全的一種惡意傳播,其主要要通過木馬進行傳播,包括各種具有危害性的木馬,在構成網絡危害的過程中,都可以通過網頁惡意代碼,對網絡用戶構成嚴重的威脅,且在當前的形勢下,這已經構成黑色網絡產業鏈的先鋒,導致網絡用戶的財產丟失,黑客利用其所形成的病毒木馬來竊取,因而,可以通過網絡惡意代碼檢測來獲取,就是將混在網頁代碼中的一些漏洞檢測出來,但是隨著現代網絡技術的發展,網頁中也會不斷地出現一些新的漏洞,這就使得查殺木馬將是一個艱巨且長期的任務。
3 防范對策
某大學通過網頁惡意代碼機理的深入研究,從中獲得了主動檢測方法以及相關的防范對策,據有關數據統計分析,其在4天可以一次對全國的160多萬個網站例行周期性的檢測,而每一項周期性的檢測中均可以獲得20000多個告警。
在上述指令中,可將指令中的符號運算以及結果保存中的EAX進行檢查,并對其內存空間進行進一步處理,從而有效地防范和切斷木馬,這也是確保網絡安全的一個主要的途徑。
3.2 通用溢出設計分析。這種類型的惡意代碼主要是要不同操作系統和軟件環境下所完成的,均可以很好地發現漏洞,為此,可以通過采用通用溢出分析法來防范網絡安全的發生,以切斷網絡惡意代碼的傳播,網絡惡意代碼的運行防范必須要有針對性的處理和修改,規范相關的程序流程,跳轉到SHELLCODE所在位置,并且保證跳轉空間,使其能夠順利地執行代碼空間,由于惡意代碼通過木馬傳播時,具有很強的危害性,且在構成網絡危害的過程中,都可以通過網頁惡意代碼,對網絡用戶構成嚴重的威脅,為此,需要工作人員根據當前形勢,切實保證網絡用戶的財產,反攻擊黑客利用其所形成的病毒木馬來竊取行為,盡可能地使得溢出漏洞具有通用性,并且選擇一個較好的跳轉地址,確保其在各個操作系統中和相關網絡安全配置中,保持基本不變,控制內存中存在的MS07-04漏洞,通過網絡惡意代碼檢測來獲取,就是將混在網頁代碼中的一些漏洞檢測出來,包括網頁中也會不斷地出現一些新的漏洞。
4 結束語
總而言之,隨著現代網絡技術的發展,網絡工作安全人員要加強防范對策的研究,強化網頁惡意代碼機理的深入研究,從中獲得了主動檢測方法以及相關的防范對策,切實保證網絡的充分安全和網絡用戶的財產安全,獲取更好的社會效益,實現網絡的安全穩定發展。
參考文獻:
[1]胡娟.網頁惡意代碼攻擊與防御[J].電腦知識與技術,2010(05):1063-1066.
[2]李志勇,陶然,王越,張昊.溢出型網頁惡意代碼運行機理分析與防范[J].兵工學報,2010(06):832-836.
[3]李志勇,薛亮,陶然,張昊.跨安全域網頁惡意代碼運行機理與防范[J].計算機工程與應用,2010(21):135-137.
[4]文偉平.惡意代碼機理與防范技術研究[D].中國科學院研究生院(軟件研究所),2010.
[5]王德君.Internet網頁惡意代碼淺析[J].沈陽工程學院學報(自然科學版),2012(02):158-161.
目前各種網頁木馬層出不窮,給我們日常瀏覽網頁帶來極大的安全隱患。前不久曝出的網頁ANI掛馬漏洞更是讓人觸目驚心。利用該漏洞木馬程序只須偽裝成一個圖片嵌入到網頁中,然后通過論壇、QQ、MSN、郵件或RSS等方式網頁鏈接,誘使他人登錄該網頁,一旦網頁被打開電腦就會立即感染上木馬程序,讓人防不勝防。雖然目前微軟已經及時了漏洞補丁程序(補丁號:KB925902),可以阻止該漏洞的危害,但也給我們提了一個醒,面對從論壇、QQ和郵件發來的未知網頁鏈接一定要謹慎小心,切忌隨意打開未知網頁,否則就很容易成為網頁木馬的受害者。
對于需要查看的未知網頁鏈接,我們也可以提前使用專門的網頁安全檢測工具來檢測,將網頁木馬完全阻止在進入系統之前。登錄網址/wm/,可以看到該網站提供了“網頁安全檢測”和“安全瀏覽”兩個工具。“網頁安全檢測”工具具備流行漏洞快速響應框架,可以幫助用戶快速檢測和防范各種網頁漏洞、木馬和惡意代碼等。點擊“網頁安全檢測”按鈕,提交你要檢測的未知網頁鏈接,點擊“安全檢測”按鈕后,網站會在后臺分析該網頁是否存在網頁木馬和惡意代碼等潛在危害,稍后就會給出檢測結果,如果提示安全就可以正常登錄該網頁,反之就要避免打開該網頁了。如果你必須登錄未知的網頁,則可以使用“安全瀏覽”工具,提交網址后,網站會在后臺解析該網頁,過濾和屏蔽掉該網頁中包含的木馬和惡意代碼等,稍后會返回一個干凈安全的網頁,我們就可以安心瀏覽未知的網頁了。
UAC管理任我控制TweakUAC
王志軍
對于已經用上了windows Vista的朋友來說,UAC(user Account Control,用戶賬戶控制)自然是一道繞不開的坎,雖然UAC在一定程度上讓系統變得更安全,但時不時彈出需要輸入管理員密碼或進行確認的警示框,總是覺得心里有些別扭。
在這種情況下,很多朋友選擇了在“系統配置/工具”中禁用UAC,或者在命令提示符環境下執行“netuser Administrator/Active:yes”以激活超級管理員的賬戶,但這顯然不是一個好辦法,其實此時我們可以借助TweakUAC這款小工具來完成對UAC的管理和控制,而且操作也很方便。
TweakUAC不需要安裝即可運行,直接雙擊下載回來的.exe文件,此時會彈出一個對話框,提示閱讀用戶授權協議,再次單擊“確定”按鈕就可看見程序窗口了,這里提供了三個選項:
Turn UAC off now:立即關閉UAC,重新啟動系統,以后Windows Vista將不會再顯示任何UAC的警示框。
switch UAC to the quiet mode:這個選項相當于折衷的一種UAC模式,具有管理員權限的賬戶進行系統級操作時,將自動獲得管理員憑據而不會再彈出UAC示框,不過如果是以標準賬戶操作時,仍然會出現UAC警示框。
Leave UAC on:這個選項表示將使用Windows Vista默認的UAC設置。
我們需要做的工作非常簡單,在這里選擇一個需要的選項,然后單擊右下角的“確定”按鈕即可生效,不過有時還需要重啟系統。需要再次調整時,可以進入TweakUAC,反正直接運行就可以,應該說還是比較方便的。
關鍵詞:木馬程序;攻擊;防范
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 16-0050-01
隨著信息技術的不斷普及和發展,人們越來越多的接觸到“木馬”這個詞語。木馬隱蔽性極強,危害性極大,是現階段來說攻擊計算機系統的最主要的手段。因為木馬程序所導致的計算機系統遭到破壞的情況日益增加,這對信息系統的保密以及安全帶來了極大的危害。尤其是最近幾年,利用木馬程序進行犯罪的事情層出不窮,造成了巨大的財產和精神損失。
一、關于木馬程序的概述
木馬,在計算機領域內是指隱藏在合法的程序中或者偽裝成合法的程序的惡意代碼。這些惡意代碼或者執行惡意的行為或者非法的訪問未經授權的系統。木馬程序本身就具有控制通信、反清除、反檢測、隱蔽性高的特點。
常見的木馬程序分為兩個部分,控制端與被控制端。它的工作原理,是先在本地計算機也就是控制端上面配置而且生成木馬程序,然后通過隱含或者直接在其它可執行程序中將木馬程序傳播到對方計算機也就是被控制端上。然后,通過對控制端的木馬程度的控制從而直接的控制被控制端上的木馬程序和運行。再接著,控制端通過發送命令的方式,比如說文件操作命令、鍵盤記錄命令、獲取敏感信息命令等等,來控制和感染被控制端的木馬程序接收、執行這些指令,而且返回控制端以相關的信息和數據。
根據木馬對計算機的操作方式,可以分為:遠程控制型,密碼發送型,鍵盤記錄型,毀壞型,FTP型和多媒體型。
按照木馬的進行層次,可以分為內核級木馬和應用及木馬。內核級木馬一般會運行在計算機操作系統的內核之中,采取驅動程序的手段實現木馬的加載。這種木馬運行在系統的內核之中,隱蔽性相當高而且查殺難度大。應用級木馬相對來說對系統的危害性較小。
二、木馬攻擊的手段和方式
(一)捆綁方式。捆綁方式指的是,把正常程序與木馬程序捆綁在一起使用,然后達到入侵與存活的目的。與木馬程序捆綁在一起的正常程序一旦被客戶下載、安裝和使用,木馬程序就會自動的加載到電腦上。就算清除了木馬,只要運行捆綁的正常程序,木馬就會重新載入電腦并且繼續存活下去。
(二)QQ和郵件的冒名欺騙。通過盜取他人的QQ,然后冒充主人給其他的好友木馬程序,致使其他好友運行木馬程序,然后達到相應的目的。郵件的冒名欺騙,指的是冒充單位、大型企業或者好友向他人發送木馬附件,一旦他們下載并且運行木馬軟件就會造成木馬病毒。
(三)網頁木馬方式。網頁木馬是指在個人的就、空間網頁上進行木馬捆綁,再利用各種誘惑致使對方鏈接網頁,然后木馬病毒就會入侵到這臺電腦上。比如說,在網頁上面有flash的動畫,在網頁上呈現流行軟件和視頻的下載等等。
(四)偽裝成一般的普通軟件。偽裝成一般的普通軟件,這是最近才剛剛興起的一種木馬入侵方式。對于操作系統不是很熟悉的用戶,往往容易上當受騙。他們把可執行的文件偽裝成文本或者圖片,通過更改文件擴展名的形式,誘騙用戶進行點擊,這樣的方式隱蔽性相當高。
三、關于木馬程序的防范措施
(一)及時的安裝木馬查殺軟件、防火墻和系統補丁。現階段,我國大部分的黑客是通過網上已有的系統漏洞和木馬程序對用戶的計算機進行攻擊,并不是真正意義的黑客,所以說安裝木馬克星、the cleaner等木馬的查殺軟件,同時安裝防火墻,比如說“天網”個人版防火墻,“諾頓網絡安全特警”等等,這樣可以有效的對電腦運行狀態進行實施的監控,而且要定期的對電腦進行掃描,從而有效的防止木馬病毒的入侵。除此之外,及時的下載并安裝官方的系統補丁是非常有必要的。
(二)關閉各種不必要的端口以及隱藏IP。隱藏IP地址皆可以提高提高網絡訪問的速度和范圍,又可以在上網操作的時候預防他人的入侵和攻擊。最常見的隱藏IP地址的方式有兩種:一是運用“multi proxy”的軟件來進行IP地址的隱藏,另一種是利用sockscap32和“qq公布器”進行地址隱藏。
現階段,使用一些比較通用的黑客工具,對掃描端口進行攻擊的方式最普遍,所以說,在我們進行上網的時候,要關閉各種不必要的端口,也就是杜絕了病毒的入侵通道,這樣的方式比較的簡單、有效。
(三)虛擬計算機的使用。在虛擬計算機的環境下,我們可以進行安全性比較高的操作。比較常用的此類軟件VM ware,virtual pc等等。主機要用windows系列的兼容性比較好的操作系統進行日常的工作、辦公。
(四)對不必要的服務項進行關閉。Windows操作系統為用戶提供了許多的服務來方便管理,但是在其中有很大一部分是用戶基本上不需要開啟的。這樣的話,不僅擴大了整個系統的開銷,而且大大增加了木馬入侵的機會和可能。因此,我們要經常檢查我們的服務器管理,及時的對不必要的服務項進行關閉。
(五)定期對電腦的啟動項進行檢查。一般來說,木馬程序都會在計算的啟動項中進行隱藏,所以,要定期的對自己的電腦進行定期的檢查的及時的木馬清除。
四、結語
綜上所述,本文針對木馬程序的概念、分類以及運行原理和木馬攻擊的手段與方式進行入手分析,然后分別從五個大的方面:及時的安裝木馬查殺軟件、防火墻和系統補丁;關閉各種不必要的端口以及隱藏IP;虛擬計算機的使用;對不必要的服務項進行關閉;定期對電腦的啟動項進行檢查,詳細分析了木馬程序的防范措施。
參考文獻:
[1]李斯.淺析木馬程序攻擊手段及防范技術[J].網絡安全技術與應用,2009,1.
[2]康治平.特洛伊木馬可生存性研究及攻防實踐[D].重慶大學軟件工程學院,2009,10.
關鍵詞:Android 安全問題 入侵檢測系統
中圖分類號:TP39 文獻標識碼:A 文章編號:1672-3791(2012)06(c)-0030-02
隨著3G通信網絡的普及,智能手機市場份額大幅提升,其中Android智能手機占市場份額最大,獲得52.5%的市場占有率[1]。由于Android智能手機用戶數龐大、開源性強,用戶可自行安裝軟件、游戲等第三方服務商提供的程序,很多病毒攻擊者把矛頭指向了它,制造了大量Android木馬,這嚴重影響了Android智能手機用戶的日常使用。如何有效的預防智能手機平臺上的入侵攻擊已經成為亟待解決的問題。Iker Burguera、Urko Zurutuza等人提出了Behavior-Based Malware Detection System for Android[2],Amir Houmansadr、Saman A.Zonouz和Robin Berthier提出了一個基于云端服務器的Android智能手機入侵檢測及響應系統[3]。Android智能手機平臺的入侵檢測系統能及時有效的檢測到入侵攻擊,為用戶提供一個安全的使用環境。
1 Android智能手機存在的安全隱患
2011年,Android木馬呈現爆發式增長,新增Android木馬樣本4722個,被感染人數超過498萬人次[1]。雖然Android平臺的開源、開放、免費等特性為google帶來了大量的市場占有率,但是這也給消費者帶來了不少安全隱患,成為新的移動互聯網安全檢測主戰場[1]。Android智能手機存在如下幾點安全問題。
(1)惡意扣費。據360安全中心調查,78%的Android平臺手機木馬旨在悄悄吞噬用戶的手機話費。“白卡吸費磨”、“Android吸費王”等都是使Android用戶聞之色變的惡意扣費軟件。這些惡意扣費軟件安裝后會私自發送短信定制費用高昂的SP服務,并自動屏蔽以10086開頭的全部短信,在用戶不知不覺的情況下偷偷消耗用戶話費。
(2)竊取用戶隱私。除惡意扣費外,Android平臺木馬的另一主要危害是竊取用戶隱私。比如震驚全球的“CIQ事件”、DDL“隱私大盜”木馬、“索馬里海盜”木馬及“X臥底”系列木馬等。它們瞄準了手機通訊錄、照片、短信、設備信息等用戶隱私,將用戶的個人信息出賣給其他不合法商家,從中牟取暴利。
(3)垃圾短信。在用戶舉報的各類垃圾短信中,主要是打折促銷、發票假證、地產中介、移民留學、金融理財等廣告服務類短信,另外就是冒充親友欺詐、中獎釣魚詐騙、虛假慈善捐款等惡意欺詐類短信。
(4)系統破壞。有些病毒,如“Root破壞王”,可以自動獲取手機Root權限,然后隨意修改添加文件,刪除系統應用,私自下載惡意軟件,而且這一切都是隱蔽進行的。
2 Android智能手機入侵檢測系統設計
傳統計算機上的入侵檢測系統定義為:一種通過收集和分析各種系統行為、安全日志、審計數據或網絡數據包,檢查系統中是否有未經授權的進入和有不良企圖的活動等入侵攻擊,并及時予以響應,阻止可能的入侵行為,降低甚至避免入侵危害的積極進程或設備。在當下,智能手機與個人計算機越來越靠近,智能手機已經基本具備了個人計算機所具有的功能,因此Android智能手機平臺上的入侵檢測系統與傳統計算機上的入侵檢測系統模型相似。如圖1所示,Android智能手機入侵檢測系統主要包括以下幾部分:數據采集模塊、數據分析引擎模塊、控制臺模塊、數據管理模塊,各部分功能如以下幾點。
(1)數據采集模塊。
數據采集模塊主要負責采集數據,采集的數據包括任何可能包含入侵行為線索的系統數據。比如說網絡數據包、用戶行為日志和系統調用記錄等。其將這些數據收集起來,然后發送到數據分析模塊進行處理[4]。
由于Android平臺手機上的安全問題大部分是通過網絡引發的(比如通過用戶點擊鏈接而偷偷定制SP服務、惡意軟件私自發送短信定制SP服務、竊取用戶隱私上傳到特定服務器等),所以在此處我們只采集進出手機的所有網絡數據包。此模塊主要基于開源的libpcap包。
(2)數據分析引擎。
收集到的所有數據被送到數據分析引擎,分析引擎一般通過三種技術手段進行分析:模式匹配、統計分析和完整性分析[5]。
在本系統設計初期,我們根據Android平臺手機上惡意軟件攻擊行為的特征羅列出一定數量的規則組成規則集,然后在此規則集的基礎上建立分析引擎的核心——有限自動機。考慮到這樣一來入侵檢測范圍很大程度受到已有知識的局限,無法檢測出未知的攻擊手段[6],在系統設計后期,我們會通過機器學習的方法來動態建立自動機,這樣就能動態的檢測到所有的入侵攻擊。
分析引擎將發送過來的數據與自動機進行匹配,即與規則集中的各種規則進行比較與分析,以判斷是否有入侵事件發生。如果數據與自動機匹配成功,就意味著檢測到一個入侵攻擊,此時分析引擎會給控制臺發送一個檢測到入侵攻擊的消息,同時把此網絡數據包發送給數據管理模塊。
(3)控制臺模塊。
控制臺模塊按照警告產生預先定義的響應采取相應的措施,可以是重新配置網絡防火墻、終止進程、切斷連接、改變文件屬性,也可以只是簡單的警告[5]。當發現入侵攻擊時,本系統會向用戶產生一個警告,告知用戶是哪個應用程序隱含安全隱患,用戶可根據這個警告采取相應的措施。
(4)數據管理模塊。
一個好的入侵檢測系統不僅僅應當為管理員提供實時、豐富的警報信息,還應詳細地記錄現場數據,以便于日后需要取證時重建某些網絡事件[5]。
當檢測到入侵攻擊時,本系統會把相應的數據存儲到指定數據庫,以供用戶日后查證。數據庫采用Android平臺內置的sqlite3輕量級數據庫實現。由于Android系統存儲空間有限,當數據量到達一定大小時,可以轉儲到pc機上或者定時清理。
3 結語
計算機上的入侵檢測系統研究一直都是網絡安全領域的研究熱點,并且也有了一定的研究成果。隨著智能手機安全問題日趨嚴重,智能手機上的入侵檢測系統也將成為全球性的課題。Android智能手機入侵檢測系統能及時有效的檢測到入侵攻擊,保障用戶的安全使用。
參考文獻
[1] 360安全中心2011年中國手機安全狀況報告.
[2] Iker Burguera,Urko Zurutuza,Simin Nadjm-Tehrani.Crowdroid:Behavior-Based Malware Detection System for Android[J].18th ACM Conference on Computer and Communications Security.
[3] Amir Houmansadr,Saman A.Zonouz,Robin Berthier.A Cloud-based Intrusion Detection and Response System for Mobile Phones[J].2011 IEEE/IFIP 41st International Conference on Dependable System and Networks.
[4] 唐正軍,李建華.入侵檢測技術[M].北京:清華大學出版社,2004.
形成原理
《卡巴斯基》為了防止盜版,采用了實時檢測Windows系統日期的方法來判斷是否超過授權的使用期限。如果檢測到已經超出,《卡巴斯基》就會關閉所有的實時監控,托盤上的圖標也會變成灰色。這時無法再進行病毒掃描等操作,須要輸入新的序列號或者添加新的授權文件才可以恢復正常使用。
利用這一特性,調整系統時間后就能繞過《卡巴斯基》的實時監控,避開它的主動防御功能。下面我們就通過實際操作,來感受《卡巴斯基》脆弱的一面,準備一個木馬程序,再對它進行一番改造,讓它能夠繞過《卡巴斯基》的主動防御檢測。
改造木馬
首先用WinRAR壓縮木馬程序,雙擊生成的RAR文件,點擊工具欄上的“自解壓格式”圖標。在彈出的對話框中點擊“高級自解壓選項”按鈕,在彈出的“高級自解壓選項”窗口中填入自解壓路徑,注意這個解壓路徑要和后面代碼中的路徑一致,這里我們設置為“C:\”。
點擊“模式”選項標簽,選中“全部隱藏”和“覆蓋所有文件”這兩個選項,最后點擊“確定”按鈕將壓縮包轉換成為一個自解壓文件。
設置腳本文件
這個腳本文件的作用是先獲取Windows系統當前的時間,接著將它修改成設置好的時間,讓木馬程序延遲一段時間再運行,最后再恢復系統的正常時間。將圖中的代碼保存下來,保存為一個VBS格式的腳本文件。
文件捆綁
現在我們通過文件捆綁器對木馬的自解壓文件和腳本文件進行捆綁,我采用的是一款多文件捆綁工具《萬能文件捆綁器》。
點擊“添加文件”按鈕首先添加自解壓文件,再點擊“添加文件”按鈕添加腳本文件,這樣設置可以讓自解壓文件先運行。如果有必要的話,還可以在下面的圖標窗口選擇需要的文件圖標,最后點擊“捆綁文件”按鈕即可。
通過前面的一系列操作,生成的木馬程序就可以繞過《卡巴斯基》的實時監控。這個過程還是比較麻煩,有人將這些操作進行組合,通過一個程序即可實現。也有一些木馬程序,比如黑洞、熊寶寶、Evilotus等,生成的服務端程序可以自動地繞過《卡巴斯基》的監控。
防范方法
瑞星2009擁有三大攔截、兩大防御功能:木馬入侵攔截(網站攔截+U盤攔截)、惡意網址攔截、網絡攻擊攔截;木馬行為防御、出站攻擊防御。這五大功能都是針對目前肆虐的惡性木馬病毒設計,可以從多個環節狙擊木馬的入侵,保護用戶安全。
通過對“云安全”系統獲取數據的深入分析,瑞星研發團隊對“智能主動防御”功能進行了多項重大改進,對“遠程使用攝像頭”、“修改系統日期及時間”、“底層磁盤訪問”等常見惡意行為進行監控,徹底杜絕黑客利用遠程攝像頭進行偷窺,更好地保護用戶隱私。
基于“云安全”策略的新一代互聯網安全軟件
瑞星云安全:通過互聯網,將全球瑞星用戶的電腦和瑞星“云安全”平臺實時聯系。組成覆蓋互聯網的木馬、惡意網址監測網絡,能夠在最短時間內發現、截獲、處理海量的最新木馬病毒和惡意網址,并將解決方案瞬時送達所有用戶,提前防范各種新生網絡威脅。每一位“瑞星全功能安全軟件2009”的用戶,都可以共享上億瑞星用戶的“云安全”成果。
三大攔截
1.木馬入侵攔截 U盤攔截:通過對木馬行為的智能分析,阻擋U盤病毒運行。
通過對木馬病毒傳播行為的分析,阻止其通過U盤、移動硬盤入侵用戶電腦,阻斷其利用存儲介質傳播的通道。U盤攔截取代了原來的U盤監控,控制范圍更廣,能夠更好地控制執行區域。當U盤攔截范圍內的程序試圖自動運行或直接運行的時候,進行攔截。并提示用戶。
網站攔截:利用分析網頁腳本的行為特征,阻擋網頁掛馬。
目前,有90%以上的病毒通過網頁掛馬傳播,瑞星2009特別加入了以“網頁腳本行為特征”為分析基礎的網站攔截技術。它可以分析所有加密、變形的網頁腳本,直接探測這些腳本的惡意特征,從而比原有的特征碼攔截效果更好。同時,用戶可以根據自己需求,設置獨特的行為檢測范圍,使網站攔截可以最大限度地保護系統。
網站攔截突破了原來網頁腳本掃描只能通過特征進行查殺的技術壁壘。解決了原網頁腳本監控無法對加密變形的病毒腳本進行處理的問題。由于采用的是行為檢測查殺,對于網頁掛馬一類的木馬有很好的防御和處理能力。此功能是支持瑞星“云安全”計劃的主要技術之一。
2.網絡攻擊攔截:將網絡中存在危險的攻擊數據包攔截在電腦之外。
入侵檢測規則庫每日隨時更新,攔截來自互聯網的黑客、病毒攻擊,包括木馬攻擊、后門攻擊、遠程溢出攻擊、瀏覽器攻擊、僵尸網絡攻擊等。網絡攻擊攔截作為一種積極主動的安全防護技術,在系統受到危害之前攔截入侵,在不影響網絡性能的情況下能對網絡進行監測。
網絡攻擊攔截也是網絡監控的一項基本功能,能夠防止黑客/病毒利用本地系統或程序的漏洞,對本地電腦進行控制。通過使用此功能,可以最大限度地避免因為系統漏洞等問題而遭受黑客/病毒的入侵攻擊。
一旦網絡監控檢測到黑客/病毒入侵,如2003蠕蟲王攻擊,則會攔截入侵攻擊并提示相關信息。
3.惡意網址攔截:依據瑞星“云安全”成果,對惡意網址進行屏蔽。
依托瑞星“云安全”計劃,每日隨時更新惡意網址庫,阻斷網頁木馬、釣魚網站等對電腦的侵害。用戶可以通過這個功能屏蔽不適合青少年瀏覽的網站,給孩子創建一個綠色健康的上網環境。因為網址過濾下包含了[網站黑名單]與[網站白名單]。用戶可以把可疑或不適合瀏覽的網絡地址設置到[網站黑名單]中,把信任的網絡地址設置到[網站白名單]中。此外,惡意網址攔截功能也可針對具體的端口號、以及可疑程序進行監控。
兩大防御
1.木馬行為防御
通過基于行為分析的內置規則和用戶自定義規則,對木馬破壞系統的動作進行攔截。
通過對木馬等病毒的行為分析,智能監控未知木馬等病毒,搶先阻止其偷竊和破壞行為。此部分分為瑞星內置規則和用戶自定義規則。內置規則是瑞星多年反病毒經驗的匯總,而用戶自定義規則是根據不同用戶的需求和實際情況而自行編輯的。用戶可以將自己編輯的規則上傳給瑞星,如果該規則應用范圍較廣,瑞星可將用戶自定義規則升級為瑞星內置規則。
2.出站攻擊防御
阻止電腦被黑客操縱,變為攻擊互聯網的“肉雞”,保護帶寬和系統資源不被惡意占用,避免成為“僵尸網絡”成員。使用“出站攻擊防御”功能,可以對本地與外部連接所收發的SYN、ICMP、UDP報文進行檢測。
智能主動防御的改進
在瑞星2009中,“智能主動防御”更開放、更智能、更靈活。尤其是其中的“系統加固”和“應用程序控制”,可以加固系統的脆弱點,抵御惡意程序的侵害。尤其是針對“攝像頭控制”、“病毒安裝驅動”的流行入侵行為進行了防御,可以更好保護用戶安全。
系統加固:針對惡意程序容易利用的操作系統脆弱點進行監控、加固,以抵御惡意程序對系統的侵害。系統加固對系統動作、注冊表、關鍵進程和系統文件進行監控,防止惡意程序對操作系統進行修改系統進程、操作注冊表、破壞關鍵進程和系統文件等危險行為。
文件壓縮的安全性
自己的東西放在網盤中擔心不安全,怎么辦?加密壓縮!壓縮過程中是否可以加密,是衡量壓縮軟件的一個實用指標。
壓縮軟件首先要能對文件的內容進行加密,360壓縮、好壓、WinRAR均提供了加密碼壓縮的功能。此外,若對壓縮包中的文件名信息也能加密,使其在打開之后連文件名也無法顯示,則更能起到保密作用。好壓僅支持7Z格式文件名加密,360壓縮不支持ZIP格式的文件名加密(圖1),而WinRAR 5不僅支持RAR、RAR5、ZIP格式的加密壓縮,還支持RAR兩種格式的文件名加密。
網上下載的壓縮包擔心不安全,怎么辦?解包后再找勞駕殺毒軟件嗎?那樣可能會為時已晚!如果壓縮軟件帶有安全檢測功能,能自動檢測甚至預測壓縮包的安全性,則更加方便。因此,對壓縮包的安全檢測便成了衡量壓縮軟件的又一個指標。
360壓縮提供“打開壓縮文件時進行360木馬掃描”選項,同時可以設定文件容量為多大時進行木馬掃描(圖2)。用360壓縮打開一個壓縮包后,會自動對壓縮包內的文件進行云木馬檢測,保證使用安全。經過云木馬檢測后,360壓縮會對壓縮包內不同類型的文件進行安全評級,有效識別木馬、腳本、普通文件、風險文件,并在界面右上角會有相應的圖片提示。需要說明的是:在安全級別為木馬的文件上雙擊文件會彈出阻止點擊對話框,有效防止誤雙擊打開木馬,更安全。針對木馬、風險級別的文件會有彈出窗口進行警示。
好壓在安全方面則提供更多的選擇,可以設置選擇“強力雙核云查殺”、“QQ管家云查殺”、“360云查殺”三種云查殺引擎模塊(圖3)。
WinRAR軟件本身沒有自帶安全檢測模塊,但有一個提示選擇外部病毒掃描軟件的選項(圖4)。
壓縮管理的方便性
把屬于不同人的資料一次壓縮到不同的文件中,或者把屬于不同人的壓縮包解壓到不同人的文件夾中。成批文件在壓縮時是否能按不同意愿生成不同類型的壓縮包,成批壓縮包在解壓時能否按用戶的意愿來生成不同結果的文件存儲結構。這些又是衡量壓縮軟件的一個實用指標。
360壓縮和好壓能壓縮每一個文件到單獨的壓縮包中,例如可實現分別給不同客戶的資料一次性壓縮完成。而三款軟件都可以將成批壓縮包分別解壓到獨自的文件夾中(圖5),這樣做的好處是,可以避免同名內容的覆蓋。例如幾個產品的壓縮包中,均有一個“說明.PDF”文件,如果統統解壓到本目錄中,則以“說明.PDF”為名的文件,前一產品的說明會被后一產品的覆蓋掉。因此,有必要將每個產品的資料分別解壓到一個單獨的文件夾中存放。
此外,WinRAR在定義不同類別的文件壓縮和解壓過濾方面有更加詳細的設置可供用戶選擇,還可以定制較為復雜的自動安裝文件。好壓次之,360壓縮在這方面的選擇最少。
壓縮過程的智能高效性
壓縮的主要目的是縮小文件體積、減少文件個數。但壓縮也需要效率,越快越好。對于文件中摻雜有壓縮率很低的資料,如何繞過壓縮這一關實現高效打包呢?不同于普通的TXT文檔或其他常用文檔格式,有的文件已經是經過壓縮的格式(如一些壓縮視頻),若再用壓縮軟件來壓縮,很費時間,但最后得到的壓縮文件與源文件大小差別不大。因此,我們需要尋求高效的壓縮方法。
在360壓縮中,有一個選項“對壓縮率很低的文件直接存儲”,如果在處理一些已經經過壓縮的文件的壓縮項目時,選中這個選項,則可以大大提高壓縮效率,節省壓縮所需時間。雖然三種壓縮軟件都有選擇“存儲”壓縮方式和其他幾種壓縮方式的選項,但這些都需要人為選擇,不夠智能化。相比之下,360壓縮這方面做得最好。
文件格式的通用性
選用壓縮軟件生成壓縮文件包,我們不能不考慮壓縮格式的通用性。如果生成的壓縮文件格式使用不很方便,這樣的工具肯定不是最受歡迎的。
1.計算機病毒綜述
計算機病毒是一種人為制造的,專門用來破壞或者攻擊計算機軟件系統,并復制本身傳染其他應用程序的代碼,隨著計算機網絡技術的逐漸發展和應用,計算機病毒已經成為信息系統安全的主要威脅之一。計算機病毒能夠像生物病毒一樣進行繁殖,在程序正常運行的時候,能夠進行運行自身復制,也就是說計算機病毒具有繁殖性,再有計算機病毒具有傳染性,一旦病毒被復制或者是產生變種,那么它的傳播速度是很難預防的,傳染性是計算機病毒基本的特征。此外計算機病毒還具有潛伏性,這跟定時炸彈是差不多的,在之前設計好病毒爆發的時間,給人以措手不及,還具有隱蔽性、破壞性等特性。計算機病毒大致上被分為宏病毒、木馬病毒、黑客工具、腳本病毒等種類,下面我們將對這些病毒進行系統的分析。第一,宏病毒,這是腳本病毒中的一種,但是由于其特性故將其分為一類,宏病毒的前綴是Macro,第二前綴是Word、Excel等,較為著名的宏病毒有著名的美麗莎。第二,腳本病毒,腳本病毒的前綴是Script,腳本病毒的共有特性是使用腳本語言編寫的,借助網頁進行傳播的病毒。第三,木馬病毒和黑客病毒,木馬病毒的前綴Trojan,木馬病毒是通過網絡或者是系統漏洞進入用戶的系統并隱藏的,并向外界泄露用戶信息的病毒,它和黑客病毒,前綴Hack一般都是成對出現的,木馬病毒負責入侵電腦,而黑客病毒通過木馬病毒進行控制,共同散播用戶的信息。計算機病毒除了上述的幾種還有較多的種類,而隨著計算機病毒的不斷入侵,加大對計算機病毒檢測就成為防止計算機病毒入侵的有效措施。
2.計算機病毒檢測技術探究
計算機病毒檢測技術的種類比較多,比如智能廣譜掃描技術、虛擬機技術、特征碼過濾技術以及啟發掃描技術,其征碼過濾技術在近些年的計算機病毒查殺過程中經常使用,并且這一技術也是目前的主流病毒檢測技術,我們將對這些計算機病毒檢測技術進行系統的探究,全面提高計算機病毒檢測技術。
第一,智能廣譜掃描技術。這一技術是為了躲避殺毒軟件的查殺,通過對非連續性和轉變性較大的病毒的所有字節進行分析,并且進行整合的一種高變種的病毒,被稱為智能廣譜掃描技術,這一技術是按照目前病毒的類型和形式的千變萬化的情況研發而出的。由于傳統的病毒在目前一些殺毒軟件中都有一定的資料,檢測技術也就相對比較簡單,那么為了使用殺毒軟件找出病毒,必須要對計算機病毒檢測技術進行改革,智能廣譜掃描技術能夠對病毒的每一個字節進行分析,在發現程序代碼中的字節出現相同或者是相近的兩個病毒編碼就可以確定其為病毒。這一技術的優點有準確性高,查找病毒速度快等優點,但是需要收集較多的信息,針對于新的病毒并沒有殺毒功能,主要是針對已經存在的病毒進行殺毒。第二,虛擬機技術。虛擬機技術也就是用軟件先虛擬一套運行環境,讓病毒在虛擬的環境中進行,以此來分析病毒的執行行為,并且由于加密的病毒在執行的時候需要解密,那么就可以在解密之后通過特征碼來查殺病毒,在虛擬的環境中病毒的運行情況都被監控,那么在實際的環境中就可以有效的檢測出計算機病毒。虛擬機技術主要針對的是一些新生代的木馬、蠕蟲病毒等,這一技術具有提前預知性,識別速度較快等優點。第三,特征碼過濾技術。在病毒樣本中選擇特征碼,特征碼在一般情況下選得較長,甚至可以達到數十字節,通過特征碼對各個文件進行掃描,在發現這一特征碼的時候就說明該文件感染了病毒。一般在選擇特征碼的時候可以根據病毒程序的長度將文件分成幾份,這能夠有效的避免采用單一特征碼誤報病毒現象的發生,此外在選擇特征碼的時候要避免選出的信息是通用信息,應該具有一定的特征,還要避免選取出來的信息都是零字節的,最后需要將選取出來的幾段特征碼,以及特征碼的偏移量存入病毒庫,再表示出病毒的名稱也就可以。特征碼過濾技術具有檢測準確快速,誤報警率低,可識別病毒名稱等優點,但是它也存在著一些缺點,例如:速度慢,不能夠對付隱蔽性的病毒等,主要是針對已知病毒進行分析和記憶貯存。第四,啟發掃描技術。
由于新的病毒的不斷出現,傳統的特征碼查殺病毒很難查出新的病毒,那么為了能夠更好的檢測病毒的相關代碼,研發了啟發式掃描技術,啟發掃描技術不能夠對一些模棱兩可的病毒進行準確的分析,容易出現誤報,但是這一技術能夠在發現病毒的時候及時的提示用戶停止運行程序。這一技術是通過分析指令出現的順序,或者是特定的組合情況等一些常見的病毒來判斷文件是否感染了病毒。由于病毒需要對程序進行感染破壞,那么在進行病毒感染的時候都會有一定的特征,可以通過掃描特定的行為或者是多種行為的組合來判斷程序是否是病毒,我們可以根據病毒與其他程序的不同之處進行分析,來判斷病毒是否存在,這一技術主要是針對熊貓燒香病毒等。此外還有主動防御技術,雖然這一技術是近些年才出現的新技術,但是它同樣能夠對抗病毒的威脅,在目前依靠特征碼技術已經很難適應反病毒的需求,而主動防御技術就是全程監視病毒的行為,一旦發現出現異常情況,就通知用戶或者是直接將程序的進行結束。利用這些計算機反病毒技術能夠有效的防止病毒入侵計算機,給用戶一個較好的使用環境。這一技術會主動出現造成誤差,并且難以檢測出行為正常技術較高的病毒,它能夠在病毒出現后及時的提醒用戶,主要針對的是global.exe病毒等。
3.結語
綜上所述,計算機病毒的種類較多,有木馬病毒、黑客病毒、宏病毒等,這些病毒的出現直接危害了計算機的安全使用,并且暴露了用戶的相關信息,所以必須要加強對計算機病毒檢測技術的研究,比如現行的虛擬機技術、智能廣譜掃描技術以及特征碼過濾技術等,合理的利用這些技術能夠有效的減少計算機受到病毒的危害,全面保證用戶使用計算機的安全。
作者:任艷艷 單位:陜西省天然氣股份有限公司
1.1來自惡意程序的威脅
該類程序主要有計算機病毒、木馬,通過網絡及可移動介質進行傳播.由于網絡應用的普及,社區軟件應用的流行為其傳播提供了有效的途徑,人們在接收有效信息的同時也可能接收到惡意程序而被“掛馬”或感染病毒,導致計算機中的信息遭到破壞或被竊取.人為點擊錯誤的鏈接導致打開下載未知的惡意程序也是遭受信息欺詐的形式之一.木馬(Trojan),也被稱為木馬病毒,是指通過特定的程序(木馬程序)來控制另一臺計算機.其通常有兩個可執行程序:控制端與被控制端.木馬這個名字來源于古希臘傳說(荷馬史詩中木馬計的故事,Trojan一詞的特洛伊木馬本意是特洛伊的,即代指特洛伊木馬,也就是木馬計的故事)“.木馬”程序是目前比較流行的病毒文件,與一般的病毒不同,它不會自我繁殖,也并不“刻意”地去感染其他文件,它通過將自身偽裝吸引用戶下載執行,向施種木馬者提供打開被種主機的門戶,使施種者可以任意毀壞、竊取被種者的文件,甚至遠程操控被種主機.木馬病毒的產生嚴重危害著現代網絡的安全運行.常見的木馬程序有:網游木馬、網銀木馬、下載類、類、FTP木馬、通訊軟件類、網頁點擊類等.計算機木馬程序雖然沒有病毒程序那樣的傳染能力,但是其破壞性非常大,對個人信息、隱私,對國家安全、機密的威脅都非常大.計算機病毒是人為編制的具有破壞作用的計算機程序.任何程序和病毒都一樣,不可能十全十美,所以一些人還在修改以前的病毒,使其功能更完善,病毒在不斷的演化,使殺毒軟件更難檢測.現在操作系統很多,因此,病毒也瞄準了很多其它平臺,不再僅僅局限于MicrosoftWindows平臺了.一些新病毒變得越來越隱蔽,同時新型電腦病毒也越來越多,更多的病毒采用復雜的密碼技術,在感染宿主程序時,病毒用隨機的算法對病毒程序加密,然后放入宿主程序中,由于隨機數算法的結果多達天文數字,所以,放入宿主程序中的病毒程序每次都不相同.這樣,同一種病毒,具有多種形態,每一次感染,病毒的面貌都不相同,猶如一個人能夠“變臉”一樣,檢測和殺除這種病毒非常困難.同時,制造病毒和查殺病毒永遠是一對矛盾,既然殺毒軟件是殺病毒的,而就有人卻在搞專門破壞殺病毒軟件的病毒,一是可以避過殺病毒軟件,二是可以修改殺病毒軟件,使其殺毒功能改變.病毒的傳播性極強,而且有多重傳播介質,對于用戶的個人信息和企業的機密信息都是一個較大的威脅,無論是木馬還是病毒程序,都需要進行有針對性的研究,并且及時采取應對措施,保證計算機網絡信息安全.
1.2駭客(Cracker)與黑客(Hacker)攻擊行為
駭客指那些利用現有程序進行計算機系統入侵,專門進行破壞計算機或影響計算機安全的人.他們未必具有高超的技術,而是利用自己的技術進行網絡犯罪.黑客是指在計算機界中那些“用巧妙的方式解決問題的人”,他們熱衷于挑戰,崇尚自由并主張信息共享.網絡信息安全技術與黑客攻擊技術都源于同一技術核心(網絡協議和底層編程技術),所不同的是如何使用這些技術.其主要的威脅有兩種,一種是對網絡信息的,另一種是對網絡設備的.黑客的攻擊原理通常是,第一步收集網絡系統中的信息,第二步檢測出目標網絡存在的安全漏洞,第三步建立一個虛擬的環境,進行模擬攻擊,最后進行實際的網絡攻擊.黑客攻擊大體有兩種,一種是誘騙式的攻擊方法,這種方式黑客通過交流軟件(QQ,MSN,OISQ等)、電子郵件、網頁信息、軟件下載等來進行病毒和木馬的傳播,通常這種方法較為被動,但是傳播速度較快.另一種是頂點式攻擊方法,這種攻擊方法的使用者大多數以獲取攻擊對象機密信息或者資料為目的,需采集服務端口、IP地址等信息;然后得知漏洞并利用其攻擊口令文件實施破解以得到對被攻擊對象的控制權限;第三植入后門程序;第四步訪問其它主機獲取文件等信息.從黑客的攻擊方式和原理中我們不難看出,這些黑客對個人、企業甚至國家計算機的攻擊都可能會造成較大的損失,對整個計算機網絡信息安全也是一個重要的威脅,對這種行為進行防治我們要從計算機網絡和軟件開發等方面入手,使計算機網絡自身的漏洞盡量減少,一旦發現漏洞及時進行補丁的研究.
1.3人為無意失誤與各種誤操作或計算網絡系統故障
網絡中大量盜鏈與釣魚軟件的存在使得缺乏操作知識與安全意識的人,很容易點擊錯誤的鏈接,下載并打開安裝了未知程序致使計算機中毒、被掛本馬或是在網上交流過程中受騙,毫無防范意識地將信息提供給他人,這些都是造成信息丟失或信息受侵的原因.而且計算機網絡本身已不是一個非常穩定、可靠的系統,無論是由于目前的技術缺陷還是設備問題,都是導致計算機網絡自身穩定性和可靠性存在不足的原因,但是計算機用戶可以說是一個較為穩定并且在逐漸擴大的群體,用戶需要一個穩定、安全的網絡環境使自己的信息安全受到保護,這就與計算機網絡系統的現狀產生了沖突.一旦計算機網絡系統產生故障或者工作過程中產生波動,很可能導致用戶和系統信息丟失或者泄露,而且計算機網絡系統的基礎是ip協議,協議的自身運行會增加許多代碼和程序的應用,而這些代碼和程序的本身就存在一些漏洞,存在安全問題.另一方面,計算機網絡系統硬件故障、自然災害及人為對通信線路與設施進行破壞與竊聽都會給信息安全造成威脅.
2計算機網絡信息安全防護策略
2.1增強對木馬、病毒的檢測和防御
首先,安裝反病毒程序、防火墻并開啟實時防護與檢測,以直觀的方式對已知病毒木馬進行查殺,對未知病毒進行隔離,做到實時防范與定期查檢.通過防火墻有效對內網與外網信息進行隔離過濾,對外封鎖或隱藏掉內網信息,屏蔽掉大量的有害外網應用保障內網信息不受威脅.使防范具有主動性與前瞻性.其次,對系統進行及時的軟硬件的升級與漏洞修復.開啟軟件的定期自動更新功能與安裝新軟件后的漏洞即時檢測功能,將系統修復自動化,減少病毒偵查漏洞入侵系統的機會,預防用戶信息與數據免遭篡改攻擊或破壞.對操作系統也要及時更新修補漏洞,打補丁是修復漏洞的有效方法.最后,增強法律、法規意識,通過正確途徑獲得正版軟件與有效真實信息.很多用戶由于對某一軟件的急切需求,導致軟件來源不明,又無法斷定軟件的安全性就貿然安裝使用致使軟件中惡意攜帶的有害程序被植入本地計算機系統.因此不非法拷貝與使用來源不明的軟件,是有效防預的措施之一.
2.2規范上網行為,養成良好的上網習慣
關鍵詞:網絡安全;網絡攻擊與防御;監聽掃描
一、網絡安全概述
網絡安全是指網絡系統中的數據受到保護,不受惡意的或者偶然的原因而遭到破壞、更改、泄露,以及系統中的軟件、硬件連續、可靠正常地運行。隨著計算機網絡的飛速發展,網絡中的安全問題也日趨突出。網絡容易遭受到惡意攻擊,例如數據被竊取,服務器不能正常的工作等等。針對這些攻擊,人們采用了一些防御手段,不斷的增強系統本身的安全性,同時還采用了一些輔助設備,比如網絡系統和防火墻。防火墻一般作為網關使用,在檢測攻擊的同時,還能阻斷攻擊,網絡一般作為并行設備使用,不具有阻斷攻擊的能力,它檢測到攻擊后,發出警報通知管理員,由管理員進行處理。不同的攻擊,有不同的防御方法,我們在對攻擊的有一定的了解后,制定相應的防御策略,才能保證網絡安全。
二、攻擊方法分類
網絡入侵的來源一般來說有兩種,一種是內部網絡的攻擊,另一種是外網的入侵。
攻擊行為可分為:單用戶單終端,單用戶多終端,多用戶多終端3大類。
(1)端口掃描攻擊:網絡端口監聽就是一種時刻監視網絡的狀態、計算機數據流程以及在網絡中傳輸的信息的管理工具.當計算機網絡的接口處于監聽模式的狀態時,其可以快速的截取在網絡中傳輸的數據信息,以此來取得目標主機的超級管理用戶的權限。另外還在系統掃描的過程中,可以掃描到系統中那個端口是開放的,對應開放的端口提供的是什么服務,在捕獲的服務中的操作信息是什么,此后攻擊者就能利用它獲取到的操作系統信息對目標主機進行網絡入侵。
(2)緩沖區溢出攻擊:緩沖區溢出攻擊就是利用緩沖區溢出漏洞來進行攻擊,在某種程度上可以說是一種非常危險的漏洞,在各種操作系統、應用軟件中存在比較多。其原理在于程序獲得了過量的數據,系統并沒有對接收到的數據及時檢測。結果使系統的堆棧遭到嚴重的損壞,從而使計算機被攻擊者操控或者是造成機器癱瘓,使其不能正常工作。如果黑客進行遠程攻擊時,就必須使用系統服務中出現的溢出漏洞。在各個不相同的系統中,它產生的服務的攻擊代碼也各不相同。常用到的攻擊檢測的方法就是使用字符串匹配。出現緩沖區溢出的攻擊還有一方面在于,現在大多是的應用程序都是由C語言構成的.在C、C++語言的語法中,對其數組下標的訪問一般不做越界檢查,因此導致緩沖區溢出的現象。
(3)拒絕服務攻擊:拒絕服務攻擊就是攻擊者想辦法讓目標主機無法訪問資源或提供服務,是黑客常用的攻擊手段。這些資源包括磁盤硬盤空間、線程、內存等。拒絕服務攻擊是指對計網絡帶寬進行消耗攻擊。帶寬攻擊這一話題也并不陌生它是指用大量的通信數據量來攻擊網絡帶寬。從而使網絡帶寬中的的大部分資源都被消耗完了,以至于主機不能正常的處理合法用戶進行的請求。攻擊者產生拒絕服務攻擊,從而導致服務器的緩沖區溢出,無法接收新的請求,同時攻擊者還可以采用IP地址欺騙的方式,使合法用戶的請求被攻擊者竊取,無法正常達到信息請求的目的地,嚴重影響用戶請求的連接。
(4)病毒攻擊:提到病毒攻擊,最為直觀的就是木馬攻擊。木馬對電腦系統的破壞很強大,一般來說它具有通常有兩個可執行程序:一個是客戶端,即控制端,另一個是服務端,即被控制端。木馬的設計者為了防止木馬被發現,多采用多種手段來隱藏木馬,這樣,即使是發現感染了木馬,由于不能確定木馬的正確位置,也無法清除。木馬的服務端一旦運行并被控制端連接,其控制端將享有服務端的大部分操作權限,而這對于服務端的用戶是非常危險的。一旦計算機被植入木馬,攻擊者就能竊取密碼,更該系統配置,發送錯誤信息,終止進程,修改注冊表等。攻擊者就可以遠程實現像操縱自己的計算機一樣來操縱被植入木馬的計算機。木馬入侵的方式主要有錯誤的服務信息,電子郵件,捆綁在游戲中等。
三、網絡防御策略
(1)防火墻技術。防火墻是設置在內部網絡與外部網絡之間的一個隔離層,能夠有效的防止未知的或者是潛在的入侵者。內部網絡安全的實現主要是通過監測進入內網的數據信息或者直接限制其信息流入內網。從而實現外網無法獲得內網的網絡構成、數據流轉和信息傳遞等情況,以此達到實現保護內部網絡安全的目的。防火墻是不同網絡間信息傳遞的重要關口,它能夠有效的控制外網和內網的數據流交換,而且它本身具有較強的抗攻擊能力。從某種程度上說,防火墻是實現了分離和限制的作用,可以監控內部網和外部網之間信息交換活動,來達到保護內部網絡安全的目的。
(2)入侵檢測。入侵檢測系統(IDS)就是對現在的系統或正在使用的網絡資源進行實時監測,以能夠及時發現網絡中的入侵者。入侵檢測技術一般來說分為,非正常檢測和常規檢測。非正常檢測就是通過檢測系統中是否存在異常行為以此來達到檢測目的,它能快速的地檢測出網絡中未知的網絡入侵者,漏報率非常低,但是由于在檢測中無法確地定義正常的操作特征,所以引發信息的誤報率高。常規檢測方法。這種檢測方法最大的缺點是它自身依賴于函數特征庫,只能檢測出已存在的入侵者,不能檢測未知的入侵攻擊,從而引發漏報率較高,但誤報率較低。
(3)建立安全管理。它是指通過一些的組織機構、制定制度,把含有信息安全功能的設備和使用此信息的人融合在一起,以確保整個系統達到預先制定的信息安全程度,以此能夠達到保證信息的保密性、完整性和實用性的目的。安全管理主要包括安全管理策略和技術兩個方面的內容。要想安全管理實現就必須在規章制度制定、安全體系中充分考慮技術方面,只有制度和技術的有效結合才能真正發揮作用,并取得預期的效果。
(4)多層次的安全系統建立。計算機網絡安全系統可劃分為不同級別的安全制度。其主要包括:對系統實現結構的分級,對傳輸數據的安全程度的分級(絕密、機密、秘密、公開);對計算機網絡安全程度的進行分級,對用戶操作權限的分級等。針對網絡中不同級別的安全對象.從而提供不同的安全算法和安全體制.用以以滿足現代計算機網絡中不同層次的實際需求.
四、網絡安全技術的前景
隨著網絡的迅速發展,網絡的攻擊方法已由最初的零散知識發展為一門完整系統的科學。與此相反的是,成為一名攻擊者越來越容易,需要掌握的技術越來越少,網絡上隨手可得的攻擊實例視頻和黑客工具,使得任何人都可以輕易地發動攻擊。因此我們的防御技術顯得尤為重要,從攻擊趨勢分析中發現,目前網絡安全防范的主要難點在于:攻擊的“快速性”—漏洞的發現到攻擊出現間隔的時間很短;安全威脅的“復合性”—包括多種攻擊手段的復合和傳播途徑的復合性。這一切均是傳統防御技術難以對付的,因此人們需要更加先進,更全面化的主動防御技術和產品,才能在攻擊面前泰然自若。(作者單位:河南師范大學軟件學院)
參考文獻:
[1]高飛,申普兵.網絡安全主動防御技術.計算機安全.2009.1:38-40.
[2]王秀和,楊明.計算機網絡安全技術淺析.中國教育技術裝備.2007.5.49-53
[3]周軍.計算機網絡攻擊與防御淺析.電腦知識與技術.2007.3:1563-1606
[4]趙鵬,李之棠.網絡攻擊防御的研究分析.計算機安全.2003.4:35-38
