导语:如何才能写好一篇木马程序,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
随着信息技术的不断普及和发展,人们越来越多的接触到“木马”这个词语。木马隐蔽性极强,危害性极大,是现阶段来说攻击计算机系统的最主要的手段。因为木马程序所导致的计算机系统遭到破坏的情况日益增加,这对信息系统的保密以及安全带来了极大的危害。尤其是最近几年,利用木马程序进行犯罪的事情层出不穷,造成了巨大的财产和精神损失。
一、关于木马程序的概述
根据木马对计算机的操作方式,可以分为:远程控制型,密码发送型,键盘记录型,毁坏型,FTP型和多媒体型。
按照木马的进行层次,可以分为内核级木马和应用及木马。内核级木马一般会运行在计算机操作系统的内核之中,采取驱动程序的手段实现木马的加载。这种木马运行在系统的内核之中,隐蔽性相当高而且查杀难度大。应用级木马相对来说对系统的危害性较小。
二、木马攻击的手段和方式
(一)捆绑方式。捆绑方式指的是,把正常程序与木马程序捆绑在一起使用,然后达到入侵与存活的目的。与木马程序捆绑在一起的正常程序一旦被客户下载、安装和使用,木马程序就会自动的加载到电脑上。就算清除了木马,只要运行捆绑的正常程序,木马就会重新载入电脑并且继续存活下去。
(三)网页木马方式。网页木马是指在个人的就、空间网页上进行木马捆绑,再利用各种诱惑致使对方链接网页,然后木马病毒就会入侵到这台电脑上。比如说,在网页上面有flash的动画,在网页上呈现流行软件和视频的下载等等。
(四)伪装成一般的普通软件。伪装成一般的普通软件,这是最近才刚刚兴起的一种木马入侵方式。对于操作系统不是很熟悉的用户,往往容易上当受骗。他们把可执行的文件伪装成文本或者图片,通过更改文件扩展名的形式,诱骗用户进行点击,这样的方式隐蔽性相当高。
三、关于木马程序的防范措施
(一)及时的安装木马查杀软件、防火墙和系统补丁。现阶段,我国大部分的黑客是通过网上已有的系统漏洞和木马程序对用户的计算机进行攻击,并不是真正意义的黑客,所以说安装木马克星、thecleaner等木马的查杀软件,同时安装防火墙,比如说“天网”个人版防火墙,“诺顿网络安全特警”等等,这样可以有效的对电脑运行状态进行实施的监控,而且要定期的对电脑进行扫描,从而有效的防止木马病毒的入侵。除此之外,及时的下载并安装官方的系统补丁是非常有必要的。
(二)关闭各种不必要的端口以及隐藏IP。隐藏IP地址皆可以提高提高网络访问的速度和范围,又可以在上网操作的时候预防他人的入侵和攻击。最常见的隐藏IP地址的方式有两种:一是运用“multiproxy”的软件来进行IP地址的隐藏,另一种是利用sockscap32和“qq公布器”进行地址隐藏。
现阶段,使用一些比较通用的黑客工具,对扫描端口进行攻击的方式最普遍,所以说,在我们进行上网的时候,要关闭各种不必要的端口,也就是杜绝了病毒的入侵通道,这样的方式比较的简单、有效。
(三)虚拟计算机的使用。在虚拟计算机的环境下,我们可以进行安全性比较高的操作。比较常用的此类软件VMware,virtualpc等等。主机要用windows系列的兼容性比较好的操作系统进行日常的工作、办公。
(四)对不必要的服务项进行关闭。Windows操作系统为用户提供了许多的服务来方便管理,但是在其中有很大一部分是用户基本上不需要开启的。这样的话,不仅扩大了整个系统的开销,而且大大增加了木马入侵的机会和可能。因此,我们要经常检查我们的服务器管理,及时的对不必要的服务项进行关闭。
(五)定期对电脑的启动项进行检查。一般来说,木马程序都会在计算的启动项中进行隐藏,所以,要定期的对自己的电脑进行定期的检查的及时的木马清除。
四、结语
综上所述,本文针对木马程序的概念、分类以及运行原理和木马攻击的手段与方式进行入手分析,然后分别从五个大的方面:及时的安装木马查杀软件、防火墙和系统补丁;关闭各种不必要的端口以及隐藏IP;虚拟计算机的使用;对不必要的服务项进行关闭;定期对电脑的启动项进行检查,详细分析了木马程序的防范措施。
参考文献:
[1]李斯.浅析木马程序攻击手段及防范技术[J].网络安全技术与应用,2009,1.
[2]康治平.特洛伊木马可生存性研究及攻防实践[D].重庆大学软件工程学院,2009,10.
【关键词】特洛伊木马;计算机网络;入侵;防御
对于计算机网络而言,当前的计算机网络具有一定的脆弱性和易受攻击性,而这些攻击手段主要是以特洛伊木马病毒为主的各种计算机病毒程序。这些程序通过非法的手段入侵他人计算机非法获取信息,扰乱社会和网络空间安全。有鉴于此,客观认识木马病毒并采取相应的措施,具有十分重要的意义。
一、木马病毒对计算机网络的危害
(一)木马的概念。“木马”程序是当前计算机网络安全中比较流行的病毒文件,但是木马病毒不同于一般的计算机病毒,木马病毒不会自我复制,也不会刻意的去污染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种主机的门户,使施种者刻意任意毁坏、窃听被种者的文件,甚至远程操控被种主机。因此,木马病毒所带来的危害要远远大于一般计算机网络病毒的危害。
(二)木马的特征
木马作为计算机网络病毒中的一种,它有较多种类的木马程序,但各类木马程序之间具有一些类似的特征。
1.植入性。木马病毒通常作为远程攻击的一种手段。因而,木马病毒通常是通过计算机网络等途径,将木马程序植入到宿主计算机中。此外,由于当前木马技术与计算机蠕虫技术相结合,大大提高了木马病毒的植入能力。
2.隐蔽性。木马病毒在被植入到宿主计算机之后,便通过修改自身自动方式、改变自身存盘位置、修改文件名称或图标等方式实现木马程序的隐藏。
3.自动运行和恢复性。木马程序可以通过修改系统的配置文件实现电脑启动时运行木马程序的工功能。此外,目前很多木马程序的功能模块并不是由单一的文件组成,而是具有相对多重的备份,可以再任何时刻实现相互复制、恢复的目的,防止计算机安全程序对木马病毒的处理。
二、网络服务器木马入侵途径
(一)木马的配置策略。木马的配置策略主要是通过木马的植入隐蔽和信息反馈两个关键步骤实现。首先通过各种植入方式,将木马程序植入宿主计算机,通过各种隐藏手段实现在宿主计算机中的隐藏,然后,通过数据反馈的方式,将宿主计算机内部的各种软硬件配置信息借助互联网传送到入侵主机中,从而最终实现木马程序的配置。
(二)木马的传播方式。木马的传播主要建立在互联网相互通信基础上,通过互联网之间的信息传递实现木马程序的入侵。木马程序入侵主要可通过电子邮件、软件下载和网页传播等方式实现。在电子邮件植入中,控制端将木马程序以附件的方式传送出去,客户端一旦打开邮件就会感染病毒。在软件下载方式中,客户端在软件的安装过程中,木马程序便同时予以启动,导致客户端感染病毒。在网页的传播方式中,客户端在浏览网页的过程中会在客户端和服务器之间的信息传递中,不经意间感染木马病毒。
(三)木马的运行过程。传统的木马运行方式有两种,分别为自启动激活模式和触发式激活模式。自启动激活模式主要是木马程序中存在某些关键值,当系统内部的程序的运算结果达到木马程序的阈值时,木马程序就会自动启动。触发式激活模式则是依靠文件捆绑方式实现,当客户机对捆绑文件进行操作的时候,被捆绑的木马程序就会启动。目前,较为流行的木马入侵方式主要是合并上述两种方式,其方式主要是先通过触发式激活模式,将木马程序植入计算机中,然后,通过自启动的方式激活程序,使程序在计算机内部活跃起来,实现对客户机的监听以及盗窃相应数据的目的。
(四)木马的远程控制。当控制端和客户端通过木马程序建立连接后,控制端和客户端就会形成木马通道,控制端可以通过相应的木马程序借助该通道获取客户端的数据信息,从而实现远程控制。
三、网络服务器木马入侵的防御方法
(一)安装防火墙和杀毒软件。根据当前木马程序的攻击方式统计结果,大部分木马攻击都是利用现有较为成熟的木马程序或者系统软件和应用软件的漏洞进行网络攻击,针对这些网络攻击,客户机可以有针对性的采取安装防火墙或者杀毒软件等方式进行抵制木马程序的攻击,确保客户端的软硬件信息和重要数据信息得到时刻的监控,防止木马病毒的攻击。
(二)阻断网络通信途径。在网络监控环节中,可以利用计算机安全程序对通信网络进行实时监控,对网络通信环节出现的异常要进行及时处理,确保网络正常的通信,此外,可以对客户端计算机的网络数据包进行规则定义,确保该客户端计算机的数据包流通合乎规则,降低木马程序的入侵可能性。另外,通过计算机入侵检查技术,可以再流动数据包中进行木马植入和攻击风险的检测,并对以检测到的攻击进行网络阻断。
(三)网络端口的实时监控。客户端计算机连接网络的基础的网络端口,通过网络端口的连接作用实现计算机连接网络的目的。通过对网络端口的实时监控可以降低客户端计算机受到木马病毒攻击的可能性。对网络端口的实时监控主要是检测两个方面。一个方面就是监控端口的开启与关闭,如果实时监控系统发现某个端口打开和关闭异常,则表明该端口容易受到或正在受到木马等程序的攻击,通过对该异常端口进行相应的处理,即可相应的降低感染风险。另一个方面就是对通过网络端口数据的监控,防止木马程序通过依附于合法数据包的方式进行远程攻击。
(四)访问注册表行为的控制。当前木马程序在宿主计算机中发挥隐藏功能的主要基础是木马伪装成注册表在系统中存在,加强对系统中注册表的访问机制,就会在一定的程度上降低木马的攻击效果。
(五)防范恶意远程控制。由于当前的计算机大部分都连入网络当中,那么连入互联网的计算机就面临着远程控制的风险,正常情况下的合法远程控制对于用户而言,用户未必能够注意到计算机已被远程控制,但是一旦计算机被恶意远程控制,那么计算机的运行性能就会遭到极大的影响,因此,当出现计算机被远程控制的时候,用户需要对计算机采取及时的措施,降低因木马中毒导致计算机被恶意远程控制造成的不必要风险。
病毒危害:
关于勒索木马我们这个栏目已经介绍过很多了,最近又出现了一款名为GoldenEye的全新木马程序。和以前的木马程序相似的是,这款木马主要是通过发送求职邮件的形式进行传播,一旦进入到系统里面以后就会对重要的文件进行加密。不过与其他勒索木马最大的不同点是,这款木马程序在进入系统以后会感染系统的引导分区。也就是说,即使是用户对操作系统进行了格式化重新安装,在重新启动操作系统以后就会再次感染这款木马程序,所以它的危害相对于其他的勒索木马来说将更加可旧。
防范措施:
虽然这款木马程序和以前的勒索木马有很多的不同,但是鉴于它们的传播方式非常的相似,所以我们一定要从传播方式上进行拦截。也就是说,对于不熟悉的附件文件,一定不要随意地进行下载运行,避免勒索木马趁虚而入进入到系统里面。病毒仿冒11内某知名应用市场
病毒各称:EvilPea病毒
以前我们曾经听说过,黑客为了迷惑用户,常常将一些手机病毒伪装成知名的手机应用供用户下载。最近有一款名为EvilPea的恶意程序,直接将它伪装成一款知名的手机应用市场。一旦用户下载运行了这款恶意程序,就会引导用户安装正规的应用程序,从而对自身的图标进行隐藏,方便恶意程序在系统后台继续运行。接下来恶意程序会利用插件机制,实行一系列的恶意行为,包括窃取用户短信、@取用户地理位置、屏幕截图等。虽然这些恶意行为本身不会直接造成用户的经济损失,但是这些恶意行为结合键盘记录,可以大量窃取用户的隐私信息。
无论是下载手机应用还是应用商店程序,都建议用户直接到官方网站里面进行下载。不过好在现在很多手机都自带有应用商店,利用它就可以下载到安全的手机应用程序了,避免通过不正规的渠道进行下载安装操作。全新安全漏洞造成系统蓝屏
漏洞名称:WindowsSMBv3
远程攻击oday漏洞
漏洞危害:
最近国外的技术网站Github曝光了一个WindOWS系统的Oday漏洞,该漏洞会影响到Windows8、Windows8.1以及Windows10等系统。由于漏洞发生在系统的服务器消息块(SMB)协议上面,所以黑客可以模拟出一个SMB服务器,接着可以通过139、445等远程端口,以及中间人方式“毒化”SMB回应,甚至以包含UNC路径的邮件、文档或网页诱骗用户点击触发漏洞。一旦这个安全漏洞被触发,就会引起拒绝服务的操作,甚至出现系统蓝屏等一系列的问题,所以必须要引起用户的高度注意才可以。
Abstract:BasedontheconstructionexampleofMacunZuojiangyouxianlarge-spanbridgeinthesecondlineprojectofNanning-Baisesection,thispaperintroducesthecantileverconstructionofcontinuousbeamhangingbasket,atthesametimestudiesthestructuraldesign,forcecheckingandconstructiontechnologyofNo.0sectionformworksupportingsystem,whichprovidesguidefortheNo.0sectionformworksupportingsystemofotherproject.
关键词:0号段;支撑体系;精轧螺纹钢;支架预压;检算
Keywords:No.0section;supportingsystem;finishingrollingsteel;bracketpreloading;check
0引言
0号段的现浇为连续梁悬臂施工的关键工序,是后续其它节段挂篮现浇施工的基准,故0号段混凝土结构的施工质量对后续梁体节段能否顺利施工和达到设计及规范要求起到关键作用。同时0号段为大体积、高空作业、复杂结构等特点,更是体现了模板支撑体系设计及施工的重要性。
本文结合作者在南昆铁路增建南百二线马村左江右线特大桥的成功施工案例,详细阐述连续梁0号段现浇模板支撑体系结构设计、承载检算及支架预压等技术、方法及措施。
1工程概况
马村左江右线特大桥是南昆铁路南宁至百色段增建二线工程为跨越左江而设,主跨为48m+2×80m+48m预应力连续箱梁。采用单箱单室的截面类型,箱梁顶面7.0m,底宽4.0m。中支点处截面梁高6.0m,跨中及边跨直线段梁高3.3m,梁底下缘按二次抛物线Y=3.3+X2/311.481(m)变化。主墩采用圆端型桥墩,墩高18.5m。
连续箱梁采用挂篮悬臂现浇法施工。
2连续梁0号段支架施工
因主桥不仅桥墩较高,又位于深水中,且0号块的砼数量较大(170.0m3),为了确保安全施工和达到技术可行、成本节约的目的,经对各种方案进行综合评估,最终0号块采取预埋钢板锚座,拼装三角牛腿的支撑形式。支架形式详见图1、图2。
按0号段砼一次浇筑完成进行支撑体系设计。
沿桥纵向在主墩前后两侧各设置3个三角形牛腿作承重支架,牛腿设置在顶帽以下32cm处,沿线路方向两侧对称设置。采用2根背对背双拼50b工字钢作为牛腿的横撑及斜撑。
牛腿横撑长4.2m。每个横撑处在墩身通长预埋6根32精轧螺纹钢,精轧螺纹钢两端预埋56cm×36cm×3mm钢板,精轧螺纹钢与预埋钢板螺帽连接,而横撑与预埋钢板焊接连接。
牛腿斜撑也为背对背双拼50b工字钢,在斜腿支撑顶部设置斜撑托盘,采用2cm厚钢板制作,与工字钢满焊形成整体,托盘与牛腿横撑满焊并加强节点连接。
牛腿斜撑下部置入墩身上的预埋钢盒中,钢盒采用1.5cm钢板制成,盒内尺寸较工字钢斜撑大1cm。钢盒底板焊接HRB400级Φ32mm螺纹钢筋,按间距为20cm布置,钢筋埋入墩身砼内50cm。
牛腿上0号段大小里程侧各设置7.2m长I25b工字钢作为横梁,间距为40cm。横梁上部设置背对背双拼[10槽钢作为纵梁,间距为30cm。横梁上(梁底板范围内)设置钢楔子,钢楔子采用小段工字钢焊接或者带加劲肋的钢板制作。钢楔子上部铺设模板的背楞及模板。
箱梁翼板部位每侧顺桥向设置5根I16工钢,作为侧模体系的底部承载纵梁,I16工字钢通长设置,每根长12m,除作为侧模体系及翼板支撑纵梁外,还铺设木板作为行人平台。
3临时固结措施
本连续梁悬臂施工需在桥墩顶上设置临时支座,将0号块与桥墩临时锚固,临时固结要求能够承受连续梁悬臂施工时的最大竖向压力及两侧的平衡弯矩。
3.1临时支座
本项目临时支座采用硫磺砂浆设置,它具有快速硬化、强度高、施工简单、经济安全等优点。本项目硫磺砂浆配合比(按重量)为硫磺:石英砂:水泥:聚硫橡胶=35:41:24:0.7。硫磺砂浆临时支座内预埋电阻丝。通电使硫磺砂浆软化后即可轻易清除。
硫磺砂浆临时支座设在永久支座两侧,并在条件允许的情况下尽量扩大支座表面积。
3.2临时锚固
采用32mm精轧螺纹钢筋进行连续梁的临时锚固,在墩部4个角处各设置1个,每处均匀预埋56根精轧螺纹钢筋。精轧螺纹钢筋长为2.35m,埋入墩身长度为1.2m。在精轧螺纹钢筋的顶部及底部各设一块锚固板,起固定及控制位置作用。采用螺帽进行锚固板与精轧螺纹钢筋的联结与固定。锚固体系上下两端分别与0号块及墩身的钢筋共同绑扎牢固。
连续梁浇筑完成后,采用切割机将精轧螺纹钢筋切割,以便完成体系转换。
4支架堆载预压方案
4.1堆载预压目的
模板支撑体系完成搭建后,需对支架进行预压,预压是必不可少的一项关键工序,通过预压,以检验模板支撑体系的承载能力,确保施工安全。消除牛腿支撑的非弹性变形。
同时还可通过预压以获知支架在承载情况下的永久变形(非弹性变形)及可恢复变形(弹性变形),作为0号块底模标高的调整依据。
4.2加d材料
采用堆载预压方案,加载材料为砼块,砼块堆放要与0号块砼重量分布一致。
4.3加载重量及方法
堆载重量按0号块砼总重的1.2倍配重。0号块位于桥墩墩顶部分(4m)的荷载由桥墩承担,按零沉降考虑,不作加载。仅需进行两侧悬臂段(4m)的加载,每侧加载重量为1.2×(26×4×13.8)=1722.2kN=172.22t,堆载预压分3级加载,分别为172.22t的60%、90%、120%。堆载次序与浇注砼的次序一致,即先浇注砼的部位先加载。
4.4加载顺序
依据砼浇注顺序安排,堆载由支座处开始,向两端推进,并对称均衡加载。加载达到每一分级荷载重量时,停止加载,对监测点进行沉落观测后再继续加载。当堆载重量达到设计总值后,监测支撑体系1d,满足规范及设计要求后方卸载,卸载按加载的逆顺序分级进行。
连续观测支撑体系的观测点并做好记录。
4.5变形量测
在0号块上布置4个观测横断面,即每个悬臂端设置2个。每个观测断面在底模上布设3个观测点,分别为箱梁中线处、两侧腹板处。
沉落观测采用精密水准仪进行。每个观测点在预压前、每阶堆载后、每阶卸载后的标高均要详细测量及记录。为减少温度对量测结果的影响,标高观测尽可能避免在阳光直射时进行。全部加载后,按规范要求的频率进行观测,沉落满足规范要求后结束预压。
4.6量测结果处理
实施堆载预压后,分析处理沉落记录数据,得出永久变形(非弹性变形)及可恢复变形(弹性变形),计算出各观测点底模预拱值后,进行底模标高调整。
5支架结构受力检算
进行支撑体系设计时,对承载的所有构件均进行了力学检算,但因篇幅有限,以下仅就牛腿结构的力学检算进行阐述。
5.1支架承受的荷载计算
①混凝土荷载。
按0号块位于墩柱上部(长4.0m)的砼荷载由墩柱承担,两侧悬臂段(长4.0m)由牛腿支架承担,且视悬臂段为等截面(按最大截面计,为13.8m2),作用于牛腿横撑的荷载简化成均布线性荷载。
设安全系数为1.2,砼重荷载按26kN/m3,则作用于单个牛腿横梁(作用长度为4.0m)的均布荷载为:
q1=(1.2×26×4×13.8)/(3×4)=143.5kN/m。
②支架上操作人员及机具等荷载取3kN/m2,换算成单个牛腿横梁承受的线性均布荷载为q2=(3×7)/3=7kN/m。
③振捣砼对支架产生的荷载取2kN/m2,换算成单个牛腿横梁承受的线性均荷载为q3=(2×7)/3=4.7kN/m。
④倾倒砼对支架及模板产生的冲击荷载取2kN/m2,换算成线性均布荷载为q4=(2×7)/3=4.7kN/m。
⑤模板、支架等荷载计算得8kN/m2,换算成线性均布荷载为q5=(8×7)/3=18.7kN/m。
单个牛腿横梁承受的线性均布荷载总值为q=143.5+7+4.7+4.7+18.7=178.6kN/m。
5.2力学模型及力学检算结果
①牛腿力学模型(图3)。
②牛腿横撑50b工字钢材料特性为:A=129.3cm2,W=1940cm3,重量=101.5kg/m,E=206GPa,I=48600cm4。
根据图3可知,牛腿横撑同时承受弯矩及轴向拉力的作用。
则σmax=Mmax/W+F/A=(175.0×103)/(2×1940×10-6)+(714.4×103)/(2×129.3×10-4)=72.7MPa
τmax=Qmax/A=(299.5×103)/(2×129.3×10-4)=11.6MPa
fmax=2.6mm
工字钢牛腿横撑满足承载要求!
③牛腿斜撑。
牛腿斜撑仅承受轴向压应力作用。
则σmax=F/A=(727.2×103)/(2×129.3×10-4)=28.1MPa
④32精轧螺纹钢。
牛腿的32精轧螺纹钢采用HRB335级钢,其[σ]=300MPa,A=8.04cm2。
由图3可知,每个牛腿处的6根精轧螺纹钢承受F=476.3kN的拉力。
则σmax=F/A=(476.3×103)/(6×8.04×10-4)=98.7×106N/m2=98.7Pa
牛腿的32精轧螺纹钢满足承载要求。
6结束语
在南百二线马村左江右线特大桥0号块现浇施工时,其模板支撑体系采用牛腿的方式,且桥墩两侧牛腿通过?准32精轧螺纹钢进行联结及固定,采用以上支撑体系,确保了施工安全及工程质量,大幅度降低了支架的材料数,且因结构简便,促进了施工速度,将工期缩短了13天,取得了良好的经济效益,能够给同类工程施工提供有益的借鉴。
[1]杨文渊,徐.桥梁施工工程师手册[M].北京:人民交通出版社,2006,01.
[2]高国新.跨高速公路挂篮法悬灌梁0号段施工工艺[J].山西建筑,2010(3).
[关键词]木马木马攻击激活方式防范木马
木马,又名特洛伊木马,其名称取自古希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具,具有很强的隐蔽性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己、加载运行的目的。让我们一起来看看网络中木马惯常的生存方式
虽然黑客攻击的过程复杂多变,但是仍然具有规律可循。总体来说,网络攻击过程可划分为7个步骤,具体见表1所示。
其中,第一步和第二步属于攻击前的准备阶段,第三步属于攻击的实施阶段,最后两步属于攻击的善后阶段。在第一步中,常用的攻击手段就是植入木马程序。在网络个体中植入木马后,黑客们可以通过激活木马程序,来达到他们的目的,他们常用的手段有如下几种:
(1)在Win.ini中启动;
(2)修改关联文件;
(3)捆绑文件;
(4)在System.ini中启动;
(5)利用注册表加载运行;
(6)在Autoexec.bat和Config.sys中加载运行;
(7)在Winstart.bat中启动;
(8)“反弹端口”型木马的主动连接方式。
下面,让我们一起来详细看一下木马常用的激活方式。
1.在Win.ini中启动
在Win.ini的[windows]字段中有启动命令“load=”和“run=”,在一般情况下“=”后面是空白的,如果后面跟着程序,比如:run=c:\\windows\\file.exeload=c:\\windows\\file.exe这个file.exe很可能就是木马程序!
2.修改文件关联
修改文件关联是木马们常用手段(主要是国产木马,老外的木马大都没有这个功能),比方说,正常情况下TXT文件的打开方式为Notepad.exe文件,但一旦中了文件关联木马,则TXT文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河。“冰河”就是通过修改HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command下的键值,将“C:\\WINDOWS\\NOTEPAD.EXE%1”改为“C:\\WINDOWS\\SYSTEM\\SYSEXPLR.EXE%1”,这样当你双击一个TXT文件,原本应用Notepad打开该文件的,现在却变成启动木马程序了!请大家注意,不仅仅是TXT文件,其它诸如HTM、EXE、ZIP、COM等都是木马的目标,要小心。对付这类木马,只能经常检查HKEY_CLASSES_ROOT\\文件类型\\shell\\open\\command主键,查看其键值是否正常。
3.捆绑文件
实现这种触发条件,首先,要控制端和服务端已通过木马建立连接;然后,控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
4.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所,木马通常的做法是将该句变为这样:shell=Explorer.exefile.exe,注意这里的file.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检查在此段内的“driver=路径\\程序名”,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段,它们起到加载驱动程序的作用,但也是添加木马程序的好场所。
5.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽,容易被发现。所以,在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心。
6.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.省略并加载了多数驱动程序之后开始执行(这一点可通过启动时按[F8]键再选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此,木马完全可以像在Autoexec.bat中那样被加载运行。
7.“反弹端口”型木马的主动连接方式
什么叫“反弹端口”型木马呢经过分析防火墙的特性后可以发现:大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤,但是对于由本机发出的连接却疏于防范(当然有的防火墙两方面都很严格)。于是,与一般的木马相反,“反弹端口”型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口,当要建立连接时,由客户端通过FTP主页空间告诉服务端:“现在赶快链接我吧”,并进入监听状态,服务端收到通知后,就会开始连接客户端。为了隐蔽起见,客户端的监听端口一般开在80,这样,即使用户使用端口扫描软件检查自己的端口,发现的也是类似“TCP服务端的IP地址:1026,客户端的IP地址:80ESTABLISHED”的情况,稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为,大概没有哪个防火墙会不给用户向外连接80端口吧。这类木马的典型代表就是“网络神偷”。由于这类木马仍然要在注册表中建立键值,因此只要留意注册表的变化就不难查到它们。
总之,千万不要随便留下你的个人资料,因为你永远不会知道是否有人会处心积虑收集起来。
参考文献:
[1]卢开澄.计算机密码学――计算机网络中的数据保密与安全.清华大学出版社,2004.
[2]陈明.网络设计教程.清华大学出版社,2004.
民警根据刘女士的报案,很快查明刘女士的钱系网上黑客从中截留骗走的。此后,襄阳区接二连三发生淘宝网客户受骗的情况,金额在300元至1000元不等,民警经过网上查询得知,这类黑客诈骗现象在北京、天津等大城市频繁发生,辽宁大连一天竟接到三十多起网络诈骗案。频繁发生的网络诈骗案引起了襄阳区公安分局领导的高度重视,指令民警立即立案侦查。
民警在网上发现利用购物网站诈骗方式主要有两种.一种是黑客模拟制作淘宝网的网页页面,利用淘宝网的漏洞链接到淘宝网,吸引客户在假淘宝网上购物,客户在购物时,不知不觉进入黑客设下的陷阱,购物付出现金被黑客从中截走。
第二种诈骗方式是前一种方式的升级版,黑客不再用模拟淘宝网的页面诈骗,而是在网上购买-个商铺后,注册进入淘宝网,并以极低的商品价格引诱客户购买,客户在购买过程中,不知不觉点击黑客发来的文字或图片链接,踩中木马陷阱,黑客从中截走客户现金。
侦破虚拟社会的网络诈骗与侦破现实社会中的刑事案有很大不同。网络上的名字和号码都是虚拟的,任何一方都不知道对方姓甚名谁,更不知道对方的其他真实情况。因此,民警除了知道报案者的真实身份外,很难查清其他受害人和网络黑客的真实身份。
转战千里
专案组民警经过多方走访受害人,10月中旬,终于锁定一个网上黑客“淘宝BHO”。此人是江苏淮安人,民警在侦查中发现,“淘宝BHO”在网上向人兜售“赚钱木马”,民警即与“淘宝BHO”联系购买,同时与江苏淮安警方联系抓捕“淘宝BHO”。
2010年11月3日上午,在江苏淮安市警方的协助下,襄阳公安分局民警顺利抓获“淘宝BHO”。他叫鹏鹏,只有19岁。
出租木马的人在网上介绍说,租用他的木马,可以潜伏进淘宝网站,借机把木马植进客户的电脑,淘宝网客户购物的钱就能自动转入租木马人的帐户上。其操作流程是租木马人首先通过正常注册方式,购买一个正规店铺,并把这个店铺挂上淘宝网,店铺里的商品一定要新奇,而且价格极便宜,这样就能吸引更多的客户来购物。租木马人利用与客户联系的机会,发送商品图片或其它文件引诱客户点击链接,只要客户点击了图片或文字链接,木马就会在两秒钟内闪电植入客户电脑,其后客户付款时,木马就会把客户打往淘宝网支付平台的钱拦截下来,自动流入租木马人指定的帐户。
鹏鹏虽然没有多少文化,但对网络十分熟悉,他以每月2000元租了一个木马,按木马出租人所说的方式试用几天,果然一天就能赚到几千块钱。
那么,向鹏鹏出租木马的人是谁抓获鹏鹏后,民警发现安徽蚌埠的两个犯罪嫌疑人也在利用木马在淘宝网上诈骗客户的钱财。11月23目,襄阳民警在安徽蚌埠民警的配合下,抓获了犯罪嫌疑人施雅兰和陈光明。
陈光明是施雅兰的同乡,在施雅兰的拉拢下,陈光明先后在淘宝网上骗了七八千块钱。
抓获鹏鹏等人后,民警逐渐理出了淘宝网上这一诈骗团伙的脉络:木马制作者是老大,他是传销组织的顶级上线,只做木马出租赚钱,他的收入来自每个木马每月2000元的租金。鹏鹏是木马制作者的二级下线,这样的下线通常先租木马在淘宝网上骗钱,然后再从木马制作人那里租更多的木马,再发展第三级下线为他赚钱,每一个三级下线的收入都与上线五五分成。
一个多月,民警先后抓获了5名犯罪嫌疑人,这些人都有一个共同的上线,网名叫“codegeter”。
这个神秘的“codegeter”在哪里他究竟发展了多少二级和三级下线诈骗了多少网上购物者
黑客“老大”
11月10日,襄阳民警千里追踪至贵阳市抓获了木马制作人“codegeter”郑亮。
去年9月,郑亮的女友在淘宝网上购买商品时,几百元购物款被黑客截走了。郑亮以前曾为一家电脑公司打过工,熟悉电脑知识。
女友的钱被潜伏在淘宝网里的黑客骗走后,郑亮调出女友网上购物的资料,很快查出淘宝网站的骗钱木马,并仔细研究了这个木马的各种功能。郑亮觉得用木马骗钱并不困难,他也可以编出一个木马程序到淘宝网上去骗别人的钱。
此后,郑亮的主要工作就是在网上招租,为避免升级的杀毒软件破坏木马,他每隔一两天就要为他的木马程序进行技术更新,使不断更新的杀毒软件永远跟不上木马的更新速度。
贪婪的郑亮在日进万金的同时还不忘以卑劣的手段“黑”下线的钱。当租户在淘宝网站上诈骗的钱较多时,或者单笔金额较大时,郑亮就会用修改后台帐户的手段截留这些钱,打到自己的帐户上,如果客户反对,他就终止对方木马使用权。这样一来,郑亮一天就会增加三五千的收入。
“三不原则”
郑亮犯罪团伙虽然被打掉了,办案民警却无法轻松。民警根据手中现有的材料测算,按最保守的估计,郑亮及其下线诈骗淘宝网站客户的金额在200万元以上,而且,办案民警还发现,在一些购物网站上,像郑亮这样的木马制作者和租用传播牟利的犯罪团伙大有人在,其诈骗金额是一个难以想像的数字。只要在网上输入木马钓鱼等字,就会发现各种各样的网络诈骗,让购物网站和购物者防不胜防。
通过破获该案,办案民警向群众提出“三不原则”以防范黑客设置的木马陷阱。一:客户在网上与店主聊天时,一定不要点击店主发过来的任何链接。而要看清网址名称是不是淘宝网的正规域名,如果想看商品的颜色和款式,客户可以打开淘宝网站进入店铺查看商品。
第二:在与网站店主交谈中,一定不要打开店主发来的图片或其它文件,一旦点击文件,就可能将黑客的木马种植进客户的电脑。
首先从网上下载最新版本的“冰枫文件防火墙”,解压后直接运行文件夹中的程序就可以了。不过有的杀毒软件会将这个免杀软件判定为病毒,所以在运行的时候最好关闭杀毒软件的实时监控功能。通过软件的操作界面我们可以看到,该软件包括文件加密、文件解密和改特征码等功能。由于现在的杀毒软件。依然还是通过特征码为主要手段,对文件进行安全的分析判断,所以修改特征码就成为最重要的一些手段。
当第二步文件处理完成以后。冰枫会自动显示出第三步的操作步骤。这时我们再次利用杀毒软件,对刚刚新建的那个文件夹目录进行分析。让杀毒软件自动删除那些可以被杀的文件,而剩下的那些文件就是可以躲过杀毒软件分析扫描的了。接下来返回到冰枫文件防火墙的界面,并点击“第三步”区域中的“完成”按钮,这样就完成了木马程序内部特征码的修改。不过需要特别说明的是。文件夹中的那些文件虽然可以躲过分析查杀,但是并不是所有的文件都可以正常的运行。因为修改特征码的时候,可能会对程序内部的代码有所影响,所以只有经过测试以后才知道那些文件可以运行。
加密源代码
关键词:木马;攻击;发展趋势;产业链
中图分类号:TP393文献标识码:aDoI:10.3969/j.issn.1003-6970.2012.02.051
NewDevelopmentofTrojanandHowWeRespondTo
JIaJian-zhong(Urumqivocationaluniversity,UrumqiXinjiang,830001)
【Abstract】withthedevelopofInternetbusiness,thetrojanindustryhasrecentlyappearedthetrendofGroup.Itisaseriousthreatto
thesecurityofInternetusers.Thisarticlefirstdiscussesthetrendofthepasttwoyears,Trojandevelopmentofnewtrendsandtechnologydevelopment,thendiscussedhowtocutofftheindustrialchain,routinesafetyprotectionofcomputeruser,websitesecurityandthemanagementofpaymentplatformontheinternet.
【Keywords】trojan;attack;Developmenttrends;Industrialchain
木马程序是一种以窃取网络用户信息为目的的恶意程序。自产生之日起,木马程序就对网络安全造成严重危害。木马通常不会直接攻击计算机软硬件系统,但其危害性更胜过一般意义上的病毒。木马技术以无所不用其极的手段、灵活的应变、花样百出的伪装在个人电脑病毒防御技术迅速发展的今天,依然保持着强盛的生命力。金山公司在2012年2月的中国互联网安全研究报告中列举的2011年度影响最大的十大病毒中木马程序有4个,另有4个病毒与木马构成混合侵害。国家国家计算机病毒应急处理中心2011年10月、11月的计算机病毒疫情分析中列举的5项病毒动态中,各有3项为木马及其变种,可见木马程序危害性之大。目前,国内木马产业每年的非法收益在百亿元人民币以上。
1木马入侵的新动向
1.2信息盗取的针对性增强
信息达到一亿人次[2]。
1.3注重系统攻击深度及破坏性
反木马技术的发展使得木马植入的难度越来越大,一些木马黑客高手开始着眼于对计算机系统底层技术的应用以加深攻击深度和查杀难度。有代表性的有BIOS木马、MBR木马等,一旦中招,轻则丢失数据、重装系统,重则重刷BIOS芯片才可恢复。
MBR木马可修改受侵害计算机操作系统所在的磁盘主引导记录(MBR),使得木马代码在操作系统内核中运行并且在计算机启动时,先于杀毒软件运行,故可绕过防护系统并实施盗号等侵犯手段。若想修复,通常得重新格式化操作系统分区并用fdisk/MBR命令重写硬盘主引导区。2011年流行的鬼影3木马就是这类木马的代表。
BIOS木马则更加阴险,因为基本输入输出系统(BasicInput/OutputSystem,BIOS)运行于特权模式,甚至早于操作系统获取计算机控制权[3]。故能将恶意代码嵌入BIOS闪存的木马可获得系统底层控制权并轻易获取操作系统管理权,后实施常见攻击。常见的杀毒软件难以应付,格式化或更换硬盘、重装系统也不能清除,只有重新修改BIOS闪存。2011年位列十大木马程序之首的BMW(BiosRootkit)木马可同时修改BIOS及MBR,破坏力惊人。
1.4欺骗性及隐匿性
1.5混合型攻击
木马技术的发展向着混合型、多种手段并用的方向迈进。具体体现为木马和其他类型的病毒的结合。如:通过病毒感染木马,通过木马下载病毒或其他木马,用多种渠道入侵的木马,可以同时窃取多种信息、账号的木马。具有蠕虫特性的木马等。混合型木马具有危害性大、难以彻底清除等特点。
1.6智能手机成为新目标
目前我国智能手机用户占到所有手机用户的30%以上。智能手机业务种类繁多,且多数与资费有关,如果用户确认预定某项服务,资费可直接由运营商从账户上在线结算。手机信息存储想对于普通的PC机更具私密性,如:通讯率,短信,彩信、SIM序列号等。手机银行、证券业务由其方便、不受环境地点限制的优势越来越受到用户的青睐。智能手机的以上特点受到了木马制作者的极大重视。据360安全中心的《2011年中国手机安全状况报告》中指出:2011年新发现木马及其它恶意手机程序8700多个,造成超过2700万人次智能手机被感染。另据网秦手机安全中心统计2010年新增手机恶意程序数量超过前5年总和,而直接或间接和木马有关的恶意程序超过了50%。智能手机木马主要侵害方式有:(1)盗取用户手机内存储的各类信息及用户输入的账号密码。(2)和不良SP服务商勾结订制高资费业务。(3)主动下载大量信息,消耗网络流量。(4)破坏智能手机操作系统、造成运行故障。(5)远程控制手机,打开听筒,实时窃听用户的通话记录。随着智能手机操作系统、cpu、存储容量的不断升级以及移动互联网络服务项目增加、速度提升,木马入侵的危害性和风险急剧上升。
2如何应对新木马的危害
2.1网站安全及监督
2.2安全防护的警惕性和及时性
2.3斩断木马产业链
图1木马产业链示意图
2.4加强网上交易的第三方支付机构管理及功能建设
目前,网上购物已近被广大互联网用户所接受。网购木马趁势而动,采用盗取用户支付账号、密码或者截取支付款项到另外一个第三方支付平台下的盗取账号等手段给网民造成极大损失。。目前国内约有300多家第三方支付机构,大都有互联网支付、手机支付业务[3]。这些支付平台站在买房和卖方中间人的角度,为保障电子商务的繁荣发展做出了很大贡献。但是也有很多支付机构忽略了计算机黑客这个第三者的问题,对于电子支付的安全保护、对于支付软件本身安全漏洞、对于支付过程的记录和追踪查询、对于机构内从业人员的安全意识教育和责任教育等方面存在或多或少的问题。经常是某个或某些重大窃密、盗取损失发生之后,用户、电子商务网站、第三方支付方互相推卸责任。尤其是木马对电子支付的盗取活动和过程记录缺失问题对司法介入后的取证和责任追究带来困难。因此,随着网上交易活动的日益平凡,对第三方支付认证机构的管理应大力加强,促使其在技术手段、责任意识、漏洞查补、交易过程记录等方面发力,提高用户交易的安全系数。
参考文献
[1]朱圣军,刘功申,罗俊,陶春和.智能手机病毒与信息安全[J].信息安全与通讯保密,2011(05):96-98.
【关键词】计算机网络;信息安全;安全防护;安全策略
一、计算机信息网络安全与防护
当今信息时代背景下,计算机网络得到了普及应用,并成为人们日常工作、生活中不可或缺的重要组成部分。但随着人们对计算机网络信息依赖性、需求量的不断加大,网络信息安全问题也日益突出。基于这样的原因,加强对计算机网络信息安全的重视,并采取科学、有效的安全防护策略,十分有必要。对于计算机网络信息安全,我国计算机信息系统专用产品分类涉及到的是信息安全、运行安全以及实体安全3个方面,而信息安全保密内容为管理安全、数据安全、运行安全以及实体安全4个方面[1]。
二、威胁计算机信息网络安全的主要因素
三、防护安全策略
结语
综上所述,随着市场经济的迅速发展,计算机网络技术得到了普及应用,为促进社会进步作出了突出的贡献。加强对计算机网络信息安全的重视,并采取科学、有效的安全防护策略,对确保计算机网络信息安全,有着十分重要的意义。
1、配置木马:一般来说一个设计成熟的木马都有木马配置程序,包括木马伪装和信息反馈;
伪装方式包括修改图标、捆绑文件、出错显示、定制端口。
2、传播木马:传播方式主要有两种:一种是通过邮件,控制端将木马程序以附件的形式夹在邮件中发送出去;另一种是软件下载,一些非正规的网站以提供软件下载为名义,将木马捆绑在软件安装程序上。