第二代木马的研究与实现 毕业论文 下载本文

安徽工贸职业技术学院毕业论文

2.1 特洛伊木马的发展

计算机世界的特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序。

第一代木马:伪装型病毒

这种病毒通过伪装成一个合法性程序诱骗用户上当。世界上第一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本(事实上,编写PC-Write的Quicksoft公司从未发行过2.72版本),一旦用户信以为真运行该木马程序,那么他的下场就是硬盘被格式化。在我刚刚上大学的时候,曾听说我校一个前辈牛人在WAX机房上用BASIC作了一个登录界面木马程序,当你把你的用户ID,密码输入一个和正常的登录界面一模一样的伪登录界面后后,木马程序一面保存你的ID,和密码,一面提示你密码错误让你重新输入,当你第二次登录时,你已成了木马的牺牲品。此时的第一代木马还不具备传染特征

第二代木马:AIDS型木马

继PC-Write之后,1989年出现了AIDS木马。由于当时很少有人使用电子邮件,所以AIDS的作者就利用现实生活中的邮件进行散播:给其他人寄去一封封含有木马程序软盘的邮件。之所以叫这个名称是因为软盘中包含有AIDS和HIV疾病的药品,价格,预防措施等相关信息。软盘中的木马程序在运行后,虽然不会破坏数据,但是他将硬盘加密锁死,然后提示受感染用户花钱消灾。可以说第二代木马已具备了传播特征(尽管通过传统的邮递方式)

第三代木马:网络传播性木马

随着Internet的普及,这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。同时还有了两个新特征,第一,添加了“后门”功能;第二,添加了击键记录功能;第三,有了视频监控和桌面监控等功能。

6

安徽工贸职业技术学院毕业论文

2.2木马病毒的种类

种类 破坏型 特性 传播途径 唯一的功能就是破坏并且删硬盘传播 除文件,可以自动的删除电脑上的DLL、INI、EXE文件 密码发送型 向密码输入窗口发送可以找到隐藏密码并把它们WM_SETTEXT消息模拟输发送到指定的信箱。也有些入密码,向按钮窗口发送黑客软件长期潜伏,记录操WM_COMMAND消息模拟作者的键盘操作,从中寻找单击。在破解过程中,把密有用的密码。 码保存在一个文件中,以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举,直到找到密码为止。 远程访问型 最广泛的是特洛伊马,只需通过控制internet的UDP协有人运行了服务端程序,如议进行传播。 果客户知道了服务端的IP地址,就可以实现远程控制。 键盘记录木马 这种特洛伊木马是非常简单潜伏在计算机硬盘中,通过的。它们只做一件事情,就记录使用者的键盘操作进行是记录受害者的键盘敲击并传播。 且在LOG文件里查找密码。 DoS攻击木马 随着DoS攻击越来越广泛的通过邮件传播,一旦机器被应用,被用作DoS攻击的木感染,木马就会随机生成各马也越来越流行起来。当你种各样主题的信件,对特定入侵了一台机器,给他种上的邮箱不停地发送邮件,一 7

安徽工贸职业技术学院毕业论文

DoS攻击木马,你控制的肉直到对方瘫痪、不能接受邮鸡数量越多,你发动DoS攻件为止。 击取得成功的机率就越大。 代理木马 “代理木马”具有自动下载它们可以根据病毒编者指定 木马病毒的功能,一旦感染的网址下载木马病毒或其他系统后,当系统接入互联网,恶意软件,还可以通过网络再从指定的网址下载其他木和移动存储介质传播。 马、病毒等恶意软件。 FTP木马 这种木马可能是最简单和古控制用户的21端口使其运行老的木马了,它的唯一功能某一指定的命令。 就是打开21端口,等待用户连接。 反弹端口型木马 木马定时监测控制端的存通过控制计算机防火墙端口在,发现控制端上线立即弹进行传播。 出端口主动连结控制端打开的主动端口;即使用户使用扫描软件检查自己的端口,发现类似TCP的情况。

8

安徽工贸职业技术学院毕业论文

第三章 木马病毒的发展趋势

早期的病毒仅仅实现了单一的破坏系统功能,直到1998年CIH病毒的出现。CIH病毒是迄今为止破坏性最严重的病毒,也是世界上首例破坏硬件的病毒。伴随着计算机技术和网络技术的发展,计算机病毒的发展趋势也发生了巨变,目前的计算机病毒发展呈现以下趋势:

1.综合利用多种编程新技术的病毒将成为主流。从Ro-otKit技术到映像劫持技术,磁盘过滤驱动到还原系统SSDTHOOK和还原其它内核HOOK技术,病毒为达到目的所采取的手段已经无所不用。通过Rootkit技术和映像技术隐藏自身的进程、注册表键值,通过插入进程、线程避免被杀毒软件查杀,通过实时监测对自身进程进行回写,通过还原系统SS-DTHOOK和还原其他内核HOOK技术破坏反病毒软件,甚至一向被认为安全至极的数码产品都能被其驱动光盘感染病毒。目前几乎所有的木马病毒都具备这些技术特征,几乎所有最新的程序应用技术都被病毒一一应用,未来的病毒将综合利用以上新技术,使得杀毒软件查杀难度更大,对病毒的实时检测更困难,病毒与反病毒软件之间的对抗进一步加强。

2. ARP病毒仍将成为局域网的最大祸害。ARP病毒已经成为近年来局域网的最大威胁,它采用ARP技术局域网挂马攻击技术,利用MAC地址欺骗,传播恶意广告或病毒程序。ARP病毒发作时,通常会造成网络掉线,但网络连接正常,内网的部分或全部电脑不能上网,无法打开网页或时断时续,且网速较慢等现象。更为严重的是,ARP病毒新变种能把自身伪装成网关, 在所有用户请求访问的网页添加恶意代码,导致杀毒软件在用户访问任意网站时均发出病毒警报,用户下载任何可执行文件,均被替换成病毒。

3.病毒制作更简单,传播速度更快。由于网络的普及,使得编写病毒的知识更容易获得,同时,各种功能强大而易学的编程工具,让用户可以轻松编写病毒程序,用户通过网络甚

9