网络攻击的方法及对策初探

毕

业

设

计

论

文

题    目:木马攻击的方法及对策

Titile:  Trojan attack and countermeasures

班    级:计算机网络技术201001班

制作人员:彭锐 

周燚晗

指导老师:王媛媛

完成日期:2012年5月30日

摘要

随着信息化时代的到来，网络已经成为社会进步、生产力发展的重要保证。概括起来，影响网络安全问题的主要因素有：人为的无意失误、人为的恶意攻击、网络软件的漏洞。我们组对于网络攻击的方法及对策是由浅到深来写的。先是讲解网络被攻击的的对象是病毒，而病毒分为：计算机病毒和网络病毒，从而对病毒的特点、分类以及最近几年比较特别的病毒类型和他们攻击计算机时的显著特点进行分析；接下来对网络病毒、网络病毒的种类及攻击方法进行说明；其次对木马病毒进行了分析；最后讲的是对于如何防范网络攻击的对策。

关键字：木马病毒、防御

Summary

With the advent of  the information age, the network has become the social progress, andan important guarantee for the development of productive forces. To sumup, themainfactors affect the networksecurityissues: man-made unintentional mistakes,man-mademaliciousattacks, networksoftware vulnerabilities. Ourgroup for network attacks and countermeasures from shallow to deep to write.First, to explain the object of network attacks is a virus, the virus is divided into: computer viruses and network viruses, which analyze the significant characteristics of the virus characteristics, classification, and in recent years, a special type of virus and when they attack computer; thendescribed downto the network viruses, virus typesand attackmethods; analysis followed by the Trojan;thelast is how to prevent network attacks countermeasures.

Keywords: Trojan defense

引言

随着计算机和通信技术的发展，计算机网络日益成为工业、农业和国防等方面重要的信息交换手段。渗透到社会生活的各个领域。在军事领域，由于大量装备采用了计算机技术，使得战争的形式由面对面的热兵器杀伤，向网络战、信息战转变。因此，了解计算机网络安全的基本策略，掌握网络攻击与防范的方法，才能在未来的高科技战争中立于不败之地。而当前网络攻击方法的运用非常灵活。从攻击的目的来看，可以有拒绝服务攻击（DOS）获取系统权限的攻击、获取敏感信息的攻击；从攻击的切入点来看，有缓冲区溢出攻击、系统设置的漏洞攻击等；从攻击的纵向实施过程来看，有获取初级权限的攻击、提升最高权限的攻击、后门攻击、跳板攻击等；从攻击的类型来看，包括对各种操作系统的攻击、对网络设备的攻击、对特定应用系统的攻击等。

        简而言之，我们把常见的攻击方式分为四大类，分别是：拒绝服务器攻击、利用性攻击、信息收集性攻击、假消息攻击。

        对常见网络攻击的方式我们做了简单的概述。拒绝服务器攻击企图通过你的计算机崩溃或把它压垮来组织你提供服务。利用性攻击是一类试图直接对你的计算机进行控制的攻击，最常见的有三种：口令猜测、特洛伊木马、缓冲区溢出。信息收集性攻击并不对目标本身造成危害，这类信息是用来进一步入侵提供有用的信息。主要包括：端口扫描技术、体系结构刺探、利用信息服务及消息攻击，用于攻击目标配置不正确的消息，主要包括：DNS高速缓存污染、伪造电子邮件。

第一章计算机病毒

1.1认识计算机病毒

    网络病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机正常使用，并能自我复制的一组计算机指令或程序代码。又称计算机病毒。

1.2计算机病毒的特点

    1.2.1破坏性

     凡是以软件手段能触及计算机资源的地方均可能受到计算机病毒的破坏。任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响，轻者会降低计算机效率，占用资源系统，重者可导致系统崩溃。

     根据病毒对计算机系统造成破坏的程度，我们可以把病毒分为良性和恶性两种病毒。良性病毒可能只是干扰显示屏幕，显示一些乱码或无聊的语句，或者根本没有任何破坏动作，只是占用系统资源，这类病毒比较多。（如：GENP\小球、W-BOOT等。）恶性病毒则是有明确的目的，他们破坏数据、删除文件、加密磁盘甚至格式化磁盘，对数据造成不可挽回的破坏，这类病毒有CIH、红色代码等。

    1.2.2隐蔽性

     病毒程序大多都是夹在正常程序之中，很难被发现，他们通常附在正常程序或磁盘较隐蔽的地方，也有个别的是以隐含文件形式出现，这样做的目的是不让用户发现它的存在。如果不经代码分析，我们很难辨别病毒程序与正常程序。一般在没有防护的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间传染大量程序。而受到传染后，计算机系统通常仍然能正常运行，用户不会感到任何异常。

    大部分程序具有很高的程序技巧设计，代码短小精悍，其目的就是为了隐蔽。病毒程序一般只有几百个字节，而pc机对文件的存取速度可达每秒几十万字节以上，所以病毒程序在转瞬之间便可将这短短的几百字节附着在正常程序之中，而不被察觉。

    1.2.3潜伏性

      大部分计算机病毒感染系统之后不会马上发作，可长期隐蔽在系统中，只有在满足特定条件时才会启动其破坏模块。（例如，PETER-2病毒在每年的2月27日会提三个问题，答错后会将硬盘加密。）

    1.2.4传染性

      计算机病毒的传染性是指病毒具有把自身复制到其它程序的特性。计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，他会搜索其它符合其传染条件的程序或存储介质，确定目标后将自身代码插入其中，达到自我繁殖的目的。只要一台计算机感染病毒，未得到及时处理，那么病毒会在这台计算机上迅速扩散，感染其中的大量文件（一般是可执行文件）。而被感染的文件又成了新的传染源，在与其他计算机进行数据交换或通过网络接触时，使得在整个网络中继续传播。

      在网络环境下，网络病毒除了具有破坏性、隐蔽性、潜伏性、传染性外，计算机病毒，还具有一些新的特点：

      感染速度快：在单机环境下，病毒只能通过软盘从一台计算机带到另一台， 而在网络中则可以通过网络通讯机制，进行迅速扩散。根据测定，针对一台典型的PC网络在正常使用情况，只要有一台工作站有病毒，就可在几十分钟内将网上的数百台计算机全部感染。

      扩散面广：由于病毒在网络中扩散非常快，扩散范围很大，不但能迅速传染局域网内所有计算机，而且还能通过远程工作站将病毒在一瞬间传播到千里之外。

      传播的形式复杂多样：计算机病毒在网络上一般是通过“工作站——服务器——工作站”的途径进行传播的，但传播的形式复杂多样。

      难于彻底清除：单机上的计算机病毒有时可通过删除带毒文件。低级格式化硬盘等措施将病毒彻底清除，而网络中只要有一台工作站未能消毒干净就可使整个网络重新被病毒感染，甚至刚刚完成清除工作的一台工作站就有可能被网上另一台带毒工作站所感染。因此，仅对工作站进行病毒杀除，并不能解决病毒对网络的危害。

      可激发性：网络病毒激发的条件多样化，可以是内部时钟、系统的日期和用户名，也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的要求，在某个工作站上激发并发出攻击。

1.3计算机病毒的分类

    1.3.1文件型病毒

     文件型病毒通过在执行过程中插入指令，把自己依附在可执行文件上并利用这些指令来调用附在文件中某处的病毒代码。当文件执行时，病毒会调出病毒代码来执行，接着又返回到正常的执行指令序列。通常，这个执行过程发生的很快，以致于用户并不知道病毒代码已被执行。

    1.3.2引导扇区病毒

     引导扇区病毒改变每一个用DOS格式来格式化的磁盘的第一个扇区里的程序。通常引导扇区病毒先执行自身的代码，再继续pc机的启动进程。大多数情况，在一台染有引导型病毒的计算机上对可读写的软盘进行读写操作时，这块软盘也会感染该病毒。引导扇区病毒会潜伏在软盘的引导扇区里或者在硬盘的引导扇区或在主引导记录中插入指令。如果计算机从被感染的软盘引导时，病毒就会感染到引导硬盘，并把自己的代码调入内存。触发引导区病毒的典型事件是系统日期和时间。

    1.3.3混合型病毒

     混合型病毒有文件型和扇区型两类病毒的某些共同特性。当执行一个被感染的文件时，他将感染硬盘的引导扇区和引导记录，并且感染子计算机上使用过的软盘。这种病毒能感染可执行文件，从而在网上迅速传播蔓延。

    1.3.4变型病毒

     变型病毒是一种能变异的病毒，随着感染时间的不同而改变其形式，不同的感染操作也会使病毒在文件中以不同的方式出现，使传统的模式匹配法杀毒软件对这种病毒显得软弱无力。

    1.3.5宏病毒

     宏病毒不只是感染可执行文件，它还可以感染一般软件文件。虽然宏病毒不会对计算机系统造成严重危害，但仍令人讨厌。因为宏病毒会影响系统的性能以及用户的工作效率。宏病毒是利用宏语言编写的，不受操作平台的约束，可以在DOS\\Windows\\UNIX甚至在OS/2系统中散播。这就是说，宏病毒能被传播到任何可运行编写宏病毒的应用程序的计算机中。

第二章网络病毒

2.1网络中的病毒

   2.1.1近几年病毒的大概归类

      Trojan--盗号木马  HackTool——黑客工具 Worm——蠕虫

     Adware——广告  Joke——恶作剧程序 Harm——有损害程序 

     Spyware——间谍程序 Exploit——漏洞程序

     Script——脚本病毒 VTool——病毒制造机 

     Down——会下载其他病毒 PSW——密码相关 

     IRC——IRC聊天工具相关  Mail——邮件相关 

     RMC——远程控制 Spy——监控相关 Bank——银行相关 

     IM——即时通讯相关 Game——游戏 

     以上的病毒中比较典型的是：木马病毒，蠕虫病毒，脚本病毒和即时通讯病毒。

    2.1.2病毒的传播方式：

     计算机网络的基本构成包括网络服务器和网络节点站（包括有盘工作站，无盘工作站和远程工作站）。计算机病毒一般首先通过有盘工作站到软盘和硬盘进入网络，然后开始在网上的传播。其传播方式有以下4种：

     病毒直接从有盘站拷贝到服务器中；

     病毒先传染工作站，在工作站内存驻留,等运行网络盘内程序时再传染给服务器；

     病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中；

     如果远程工作站被病毒侵入，病毒也可以通过通讯中数据交换进入网络服务器中。

第三章网络攻击

3.1网络攻击的种类

   3.1.1网络攻击的潜在对手有：

    （1）国家：组织精良并得到很好的资助。

    （2）黑客：攻击网络和系统，企图探求操作系统的脆弱性或其它缺陷的人（能解密者、行为不良者、剽窃者、电话黑客）。

    （3）计算机：国内外代表各种或极端势的个人或团体。

    （4）有组织犯罪：是有组织和财政资助额犯罪团体。

    （5）其他犯罪成员：犯罪群体的其它部分，单独行动的个人。

    （6）国际新闻：手机和发布消息，其行为摆阔收集关于任何人和事的情报。

    （7）商业竞争（工业竞争）：在竞争市场中的国内外公司或集团。

    （8）不满的雇员：对公司或集团不满的人，能够对系统实行内部威胁。

    （9）不小心或未受到良好训练的雇员：缺乏训练，操作失误，对安全认识不足等。

    3.1.2网络攻击的种类：

     （1）被动攻击：

          被动攻击的表现包括：监视网络上的信息传送，包括监视明文、加密不善的通信数据；嗅探口令等进行通信量分析（获取通信模式）。

          抵抗：使用VPN，加密。

     （2）主动攻击：主动攻击是指企图避开或打破安全防护，引入恶意代码以及转换数据或系统的完整性。主动攻击主要由以下几种形式：

<1>修改传输中的数据：想在电子商务领域，电子交易被修改，如改变交易的数量、将交易物品或贷款转移到别的账户。

<2>替换：插入无效数据，替换用户数据。

<3>会话劫持：未授权使用一个已经建立的会话。

<4>伪装成授权的用户或服务器：通过实施嗅探或其它手段获得用户或管理员信息，然后使用该信息作为一个授权用户的登录，同样可对服务器构成威胁。

<5>获取系统应用和操作系统软件：攻击者探求运行系统权限软件中的脆弱性，如windows95和windowsNT都存在许多的漏洞。

<6>摄取主机或网络信任：攻击者通过操作文件使远方主机提供服务，从而摄取传递信任。目前的攻击还有rhost和rlogin。

<7>获得数据执行：攻击者将恶意代码植入看起来无害的提供下载的软件和电子邮件中，从而使用户去执行该恶意代码，恶意代码可用于破坏和修改文件，特别是包含权限参数值的文件。如PostScript    、Active- x和微软的Word宏病毒等。

<8>恶意代码插入并刺探：通过先前发现的漏洞并利用该漏洞来达到攻击。例如：使用特洛伊木马，陷门，黑客工具如RootKit(http://www.rootshell.com)可下载其他很多的黑客工具等，RootKit具有总控钥匙能力，包括插入脚本，获取跟权限。

<9>拒绝服务：在网络中扩散垃圾包括以及向邮件中心扩散垃圾邮件等。

    3.1.3邻近攻击：

       邻近攻击是指未授权者在物理上接近网络系统或设备。其目的是修改、收集、或拒绝访问信息，这种接近可是秘密进入或公开接近或二者兼有。邻近攻击有如下几种攻击形式：

<1>修改数据或收集信息：攻击者获取了对系统的物理访问，如IP地址、登录的用户名和口令等，从而修改和窃取信息。

<2>物理破坏：获取对系统的网络访问，导致对系统的物理破坏。

   3.1.4内部人员攻击：

      内部人员攻击一般被授权在信息安全处理系统的物理范围内，通常对信息安全处理系统具有直接访问权，常常是最难监测和防范的。例如：不明身份的清洁人员（下班后的物理访问），授权的系统用户和恶意的系统管理员。

<1>修改数据或安全机制：攻击者常常对信息具有访问权，他们进行未授权操作或破坏数据（他们知道系统布局、有价值的数据在何处以及何种安全防范系统在工作）。

<2>建立未授权网络连接：对机密网络具有物理访问能力的用户未经授权连接到一个低机密级别或敏感网络中。

<3>秘密通道：建立未授权的通信路径，用于从本地区域向远程传输盗用信息。

<4>物理损坏或破坏：攻击者赋予的物理访问权。

解决方法：安全意识的训练，审计和入侵检测，关键数据、服务的访问控制，加强身份识别与认证。

   3.1.5分发攻击：

      分发攻击是指在软件和硬件开发出来之后和安装之前的这段时间内，当他从一个地方传送到另一个地方时，攻击者恶意修改软硬件的攻击。

<1>在制造商的设备上修改软、硬件：在生产线上流通时，修改软硬件配置。

<2>在产品分发时修改软、硬件：在分发期内修改软、硬件配置，如在装船时安装窃听设备。

解决方法：在产品中加密签名，对产品严格管理等。

3.2网络中攻击的方法

   3.2.1原理

       3.2.1.1口令入侵

所谓口令入侵是指使用某些合法用户的账户和口令登录到目的主机，然后再实施攻击活动。获取口令有三种方法：一是通过非法获得口令；二是在知道用户的账号后，利用一些专门软件强行破解用户口令；三是获得一个服务器上的用户口令文件后，用暴力破解用户口令。这种方法的前提是必须先得到该主机上的某个合法用户的账号，然后再进行合法用户口令的破译。获得普通用户账号的方法很多，如利用目标主机的Finger功能、利用目标主机的X.500服务、从电子邮件地址中收集和查看主机是否有习惯性的账号等手段获取口令。

       3.2.1.2 IP欺骗

是一种黑客的攻击形式，黑客使用一台计算机上网,而借用另外一台机器的IP地址，从而冒充另外一台机器与服务器打交道。防火墙可以识别这种IP欺骗。

       3.2.1.3 端口扫描

扫描器通过选用远程TCP/IP不同的端口的服务，并记录目标给予的回答，通过这种方法，可以搜集到很多关于目标主机的各种有用的信息（比如：是否能用匿名登陆。是否有可写的FTP目录，是否能用TELNET，HTTPD是用ROOT还是nobady在跑）。

       3.2.1.4放置特洛伊木马

特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者下载了这些程序之后，它们就会像古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知攻击者，来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

       3.2.1.5利用黑客软件攻击

利用黑客软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马，它们可以非法地取得用户电脑的超级用户级权利，可以对其进行完全的控制，除了可以进行文件操作外，同时也可以进行对方桌面抓图、取得密码等操作。特别是最近出现了一种TXT文件欺骗手法，表面看上去是一个TXT文本文件，但实际上却是一个附带黑客程序的可执行程序，另外有些程序也会伪装成图片和其他格式的文件。

       3.2.1.6拒绝服务型DoS

Deny of Service攻击是使用大量的数据包攻击系统，使系统无法接受正常用户的请求或者主机挂起不能提供正常的工作。主要DoS攻击有SYN、Flood、Fraggle等。拒绝服务攻击和其他类型的攻击不大一样，攻击者并不是去寻找进入内部网络的入口，而是去阻止其他合法的用户访问资源或路由器。

      3.2.1.7网络监听

是一种监视网络状态、数据流程以及网络上信息传输的管理工具，它可以将网络界面设定成监听模式，并且可以截获网络上所传输的信息。也就是说，当黑客登录网络主机并取得超级用户权限后，若要登录其它主机，使用网络监听便可以有效地截获网络上的数据，这是黑客使用最好的方法。但是网络监听只能应用于连接同一网段的主机，通常被用来获取用户密码等。

   3.3.1防护

       3.3.1.1口令入侵的防护

最好采用字母、数字、标点符号、特殊字符的组合，同时有大小写字母，长度最好达到8个以上，最好容易记忆，不必把口令写下来，绝对不要用自己的生日、手机号码等。不要在相同的系统中使用相同的命令，定期更改口令，至少6个月更改一次。

        3.3.1.2 IP欺骗的防护

防止的要点在于，这种攻击的关键是相对粗糙的初始序列号变量在Berkeley系统中的改变速度。TCP协议需要这个变量每秒要增加25000次。Berkeley 使用的是相对比较慢的速度。但是，最重要的是，是改变间隔，而不是速度。抛弃基于地址的信任策略，阻止这类攻击的一种非常容易的办法就是放弃以地址为基础的验证。不允许r*类远程调用命令的使用；删除.rhosts 文件；清空/etc/hosts.equiv 文件。这将迫使所有用户使用其它远程通信手段，如telnet、ssh、skey等等。进行包过滤，如果您的网络是通过路由器接入Internet 的，那么可以利用您的路由器来进行包过滤。确信只有您的内部LAN可以使用信任关系，而内部LAN上的主机对于LAN以外的主机要慎重处理。您的路由器可以帮助您过滤掉所有来自于外部而希望与内部建立连接的请求。使用加密方法，阻止IP欺骗的另一种明显的方法是在通信时要求加密传输和验证。当有多种手段并存时，可能加密方法最为适用。

       3.3.1.3端口扫描防护

关闭闲置的和有潜在危险的端口；检查各端口，有端口扫描症状时，立即屏蔽该端口。

       3.3.1.4特洛伊木马防护

          软件查杀（使用软件如：瑞星杀毒软件、360杀毒软件）。手动检测，根据“特洛伊木马”的特征，在注册表，文件名和端口以及进程等方面可以进行手动检测：查找“特洛伊木马”特定文件：“特洛伊木马”的一个特征文件是kernl32.exe，另一个是sysexlpr.exe，删除了这两个文件，就等于关闭了“特洛伊木马”。检查注册表：“特洛伊木马”可以通过注册表启动，故通过检查注册表搜索注册表的蛛丝马迹。

       3.3.1.5利用黑客软件攻击的防护

随时检查日志、更新杀毒软件中的木马，每次上网前，要进行杀毒。

       3.3.1.6拒绝服务型DoS的防护

检查拒绝服务攻击；BAN IP法防护；增加SYN缓存法防护。

       3.3.1.7网络监听

对网络监听的防范措施，对逻辑或物理上对网络分段；以交换式集线器代替共享式集线器；使用加密技术；划分VLAN。

第四章木马病毒

4.1对木马的分析

对于网络的攻击方法我们做了以上分析，然而我们认为目前比较广泛流行和使用网络攻击方法是木马。

目前计算机病毒可以渗透到信息社会的各个领域，给计算机系统带来的巨大的破坏和潜在的威胁。因此，我们对木马病毒做了以下分析及研究：

简单的说病毒就是具有破坏性的程序代码，这个范围比较广泛，通常包括普通病毒、蠕虫及特洛伊木马，三者的界限并不是十分清晰，但是只要是危害计算机的就是的程序，就是病毒。

木马之所以叫木马是因为木马病毒源自于古希腊特洛伊战争中的著名的“木马计”而得名的，顾名思义就是一种伪装潜伏的网络病毒，等待时机成熟时就出来危害计算机。

4.2传染方式

通过邮件附件发出，捆绑在其他的程序中。

4.3木马病毒的特性

会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。

4.4木马病毒的破坏性

木马病毒的发作要在用户的机器里运行客户端程序，一旦发作，就可设置后门，定时的发送该用户的隐私到木马程序指定的地址，一般同时内置可进入该用户电脑的端口，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。虽然现在有各种各样的杀毒软件，但是杀毒软件是根据特征码匹配杀毒的，什么是特征码呢，特征码就是程序的特征表现形式，称之为特征码。而杀毒软件是怎么能查杀这种病毒的呢，这是因为杀毒软件中的反病毒专家从病毒样本中提取病毒的特征码加入病毒库，这样我们就能够在杀毒软件升级后查杀这种病毒了。但是这种方法的漏洞很多，黑防网站曾今就发生过伪挂马这样一件事，杀毒软件主要是通过发现木马，然后提取特征码，才能够采取查杀病毒的措施，这就有滞后性。可是已经中的病毒就没办法提前查杀了。还有，如果病毒改变特征码的话，杀毒软件就不认识了，这样也不能查杀出病毒。这种杀毒软件提前查杀不出的症状也可以叫木马免查杀原理，简称免杀。免杀技术的流行使很多杀毒软件形同虚设，因此很多病毒开始使用随机自变异来逃避杀毒软件的检测。比较显著的例子就是熊猫烧香。也因为熊猫烧香我们发现了杀毒软件的缺陷，因此为了让计算机能够更加安全的工作，行为判断技术即防御技术出现了。行为判断技术就是通过程序的行为来对病毒加以区分。病毒和正常的软件行为是不一样的，所以一个有经验的反病毒专家仅仅看到一个程序开头的几行代码是不可能分辨出他是不是病毒的，因此，我们通过拟真型的反病毒专家，通过程序的行为来区分病毒，而不是程序本身，这样大大降低了失误，同时程序可能千万种，但是程序的行为却是有数的。

4.5木马的种类

网络游戏木马网银木马即时通讯软件木马下载类木马代理类木马。

4.6木马的危害：

1、木马病毒会盗取我们的网游账号，威胁我们的虚拟财产的安全。它会盗取我们帐号后，立即将帐号中的游戏装备转移，再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。 　　

    2、盗取我们的网银信息，威胁我们的真实财产的安全。木马采用键盘记录等方式盗取我们的网银帐号和密码，并发送给黑客，直接导致我们的经济损失。 　　

    3、利用即时通讯软件盗取我们的身份，传播木马病毒中了此类木马病毒后，可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序，具有不确定的危害性，如恶作剧等。

 　　4、给我们的电脑打开后门，使我们的电脑可能被黑客控制，如灰鸽子木马等。当我们中了此类木马后，我们的电脑就可能沦为肉鸡，成为黑客手中的工具。

4.7木马病毒的防御

   木马查杀（查杀软件很多，有些病毒软件都能杀木马），防火墙（分硬件和软件）家里面的就用软件好了，如果是公司或其他地方就硬件和软件一起用。 　　基本能防御大部分木马，但是现在的软件都不是万能的，还要学点专业知识，有了这些，你的电脑就安全多了。现在高手也很多，只要你不随便访问来历不明的网站，使用来历不明的软件（很多盗版或破解软件都带木马，这个看你自己经验去区分），如果你都做到了，木马病毒就不容易进入你的电脑了。

4.8检测木马病毒

  4.8.1检测网络连接

如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。

  4.8.2禁用不明服务

很多人在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务。（如IIS信息服务等），这样你的杀毒软件是查不出来的。

   4.8.3轻松检查账户

很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。为了避免这种情况，可以用很简单的方法对账户进行检测。

4.8.4对比系统服务项

1、点击“开始，运行”输入“msconfig.exe"回车，打开”系统配置实用程序，然后 在“服务”选项卡中勾选“隐藏所有Microsoft服务”，这时列表中显示的服务项都是非系统程序；2、再点击“开始，运行”，输入Services.msc"回车，打开“系统服务管理”，对比两张表，在该“服务列表”中可以逐一找出刚才显示的非系统服务项；3、在“系统服务”管理界面中，找到那些服务后，双击打开，在“常规”选项卡中的可执行文件路径中可以看到服务的可执行文件位置，一般正常安装的程序。（如杀毒，MSN，防火墙等），都会建立自己的系统服务，不在系统目录下，如果有第三方服务指向的路径是在系统目录下，那么他就是“木马”。选中它，选择表中的“禁止”，重新启动计算机即可；4、要点：有一个表的左侧：有被选中的服务程序说明，如果没用，它就是木马。

第五章木马病毒的制作与分析

   5.1结合木马与程序

        木马往往都是网络新闻中的热门话题，甚至有些还被开发了源代码用于研究。在信息公开的情况之下，木马要存活的机率可就小之又小，尤其防病毒软件更新病毒码的速度，永远都是追在病毒的后方，虎视眈眈的不让病毒有机可乘。

        5.1.1Joiner

            Joiner这套程序可以在http://web.dschungel.com/silentwar/soft/joiner.zip网址下载。这是一套用来伪装木马的程序，其文件小并且结合方式特殊。

        5.1.2制作步骤

             打开Joiner程序

             运行Joiner v1.5版的合成程序。

             合成程序

             引入准备好的木马和多媒体可执行文件，程序就会自动帮你把两个可执行文件合并。

             完成伪装工作

             完成伪装之后的程序虽然没有图标，但可别小看结合的结果，若是真实的木马程序，将会让计算机从此陷入暗黑的木偶世纪了。

第六章网络安全的对策

6.1网络安全技术

      网络安全的基本要素：

          双向身份验证：双方通信前证明对方的身份与其声明的一致，建立带有一定保障级别的实体身份。

         访问控制授权：对不同用户设置不同的存取权限，把证实的实体与存取控制机制匹配，保证只允许访问授权资源。

         加密算法：通过加密算法可将数据转化为另一种形式，不具有密钥的人不能解读数据，这是信息安全的核心内容。

         完整性检测：确保信息在传输过程中不被篡改，包括变动、插入、删除、复制等以及序列号不被改变和重置。

        不可否认性：证明一条消息已被发送和接收，保证发送方和接收方都有能力证明接收和发送操作确实发生了，并能确定发送和接收者的身份，数字签名的认证特性，可以提供不可否认性。

       可靠性保护：通信内容不被他人捕获，不会有敏感信息泄露，这主要通过数据传输加密技术实现。

       数据隔离：防止数据泄露，不允许秘密的数据流入到非机密网络中，例如：利用路由器来控制安全标记，转发IP包，利用防火墙扫描E-mail消息中的关键词，防止其释放到局域网中等。

     6.2信息安全技术

       身份识别与认证技术：止用户、服务器、计算机之间的欺骗和抵赖。

       数据加密技术：止被非法窃取。

       数字签名技术：止信息被假冒、篡改和抵赖。

       访问控制技术：止用户越权访问数据和使用资源。

       安全管理技术：责用户秘钥管理、公证和仲裁。

       安全审计技术：对系统中的用户有关操作做日志和记录。

       灾难恢复技术：一旦系统出现问题，可对系统恢复。

       防病毒技术。

       边界安全技术：采用防火墙等技术对非法用户或站点的访问进行控制。 

       入侵报警技术。

结论

         网络安全是相对的、动态的。随着杀毒软件的更新和使用，我们发现整个系统中木马病毒的攻击对计算机的危害来说是比较严重的。只有经常更新杀毒软件的病毒库和学会对木马病毒的行为进行区分，这样才不会使整个系统的安全受到威胁。如若不经常修补或更新杀毒软件的病毒库，就会遭到入侵。从而使得自己的经济财产受到威胁。因此，只有在自己的计算机上做好了防御措施，才能保证计算机能够安全的运行。

         随着网络技术的发展，网络攻击技术发展也很快，安全产品的发展却还处于缓慢阶段。安全产品还只是一种防御手段，关键在于人，要靠网络管理员和网络安全员去解决网络中攻击的问题及要不断更新这方面的知识。同时要把安全问题与攻击问题相结合，这样才能解决出现的问题。

致谢

经过一个月制作毕业设计，关于我们小组的毕业设计也快接近尾声，在此特别感谢王媛媛老师对我们的细心辅导,感谢评委老师对我们的指点。在制作的过程中也遇到不少细节上的难题，比如用word制作自动生成目录、页眉页脚的插入出现的问题和论文内容不全面的时候，指导老师对我们进行了细心的指导，最后还是顺利完成。通过本次的论文设计让我们小组成员学到不少东西，比如一个团队之间的协助，因为今后在集成开发环境中,一个人不可能完成。在完成比较大型的项目,每个人在团队中所肩负的任务的重要性。

参考文献

     《网络安全管理与维护》 赵振洲 编著；清华大学出版社

附录