2024年4月14日发(作者:)
科技视界
互联网木马病毒的分析与防范
吴耀东
渊
新疆工程学院
袁
新疆乌鲁木齐
830091冤
揖
摘要
铱
随着互联网的不断发展
袁
网上应用服务日益增多
袁
普通用户对互联网的依赖越来越强烈
袁
但随之而来的却是网络安全的日趋严
峻
遥
用户上网丢失账号和信息泄漏的事件层出不穷
袁
各种木马和病毒肆意横行
袁
如果用户不小心浏览了挂有木马病毒的网站
袁
则可能会带来极
大的危害
遥
揖
关键词
铱
木马病毒
曰
分析
曰
防范
曰
查杀
园
引言
年截获新增木马病毒等恶意程序样本
2012
年安全中心针对中国互联网安全状况进行统计显示
415.8
比例持续提高
亿次
袁URL
袁
在线棋牌游戏则成为木马产业链的主攻对象
欺诈
袁
网盘
尧
聊天群等文件分享在木马传播渠道中的
13.7
亿个
袁
拦截恶意程序攻击
袁2012
袁
浏览器
受钓鱼网站威胁的次数达到
81.0
亿次
袁
较
2011
年增长了
273.3%袁
是
同期挂马网页数量的近
200
倍
袁
个人电脑的网络安全形势正在受到更
加严峻的威胁
遥
员
木马的危害
随着网络环境多元化的发展
袁
病毒的感染和传播能力的途径也由
原来的单一简单变得复杂而隐蔽
袁
尤其是单位网络环境和内部网络环
境的复杂化
袁
为病毒的传播和生存提供了滋生的温床
遥
木马和其他破
坏性的病毒不同
袁
它不是破坏计算机系统里的软硬件
袁
而是通过系统
漏洞植入木马程序
袁
在用户毫不知情的情况下泄漏用户的密码
尧
资料
等
袁
甚至可以远程监控用户的操作
袁
达到偷窥别人隐私和获得经济利
益的目的
遥
因此
袁
单位
尧
国防
尧
外交和商务部门
袁
受木马的危害会更大
袁
如果不慎中了木马损失会很惨重
遥
木马的危害性比传统病毒的危害性
更大
袁
能够造成不可估计的损失
遥
根据木马的性质和目的与一般的病
毒截然不同
袁
木马虽然是病毒中的一种
袁
但它有别于传统病毒
袁
所以将
它从传统病毒中独立出来称之为
野
木马
冶
病毒
遥
圆
木马的原理
木马病毒是一个计算机程序
袁
它驻留在计算机里
袁
随计算机自动
启动
袁
并对某一端口侦听
尧
识别到所接收的数据后
袁
对目标计算机执行
特定的操作
遥
木马程序是由客户端和服务端两个程序组成
袁
其中客户
端是攻击者远程控制终端的程序
袁
服务端程序则是木马程序
遥
当木马
的服务端程序成功入侵到目标计算机系统上并运行以后
袁
攻击者就可
以使用客户端程序与服务端建立连接
袁
并进一步控制被入侵的计算机
系统
遥
绝大多数木马程序的客户端和服务端通信协议使用的是
TCP/IP
协议
袁
也有一些木马由于特殊的原因
袁
使用
UDP
协议进行通信
遥
当入
侵计算机运行木马服务端程序以后
袁
木马程序会把自己隐藏在计算机
系统的某个角落里
袁
防止被用户发现
曰
同时木马程序会监听某个特定
的端口
袁
等待攻击者通过客户端程序进行连接
曰
木马程序为了能同时
随着系统启动
袁
一般会通过修改注册表或者其他的方式让木马成为默
认的启动程序而自启
遥
猿
木马的传播方式
木马传播的途径多种多样
袁
可以通过邮件进行传播
袁
也可以通过
网页进行传播
袁
甚至可以通过一张图片进行传播
袁
以下就木马的主要
传播方式做一介绍
被攻击者
1冤
利用邮件进行传播
院
袁
只要用户打开电子邮件
院
攻击者将含有木马程序的电子邮件
袁
默认的木马就会下载到本地计算
袁
发至
机并运行
遥
用户点击下载后
2冤
利用下载进行传播
袁
一旦运行木马就会自动安装在操作系统上并运行
院
一些非法网站提供绑有木马程序的软件
袁
浏览器在加载页面时
3冤
利用网页进行传播
袁
将网页和网页中的木马程序加载到缓存中
院
攻击者将木马程序写入网页
HTML
代码中
遥
袁
通
袁
过修改系统注册表
袁
序崩溃
4冤
利用系统漏洞进行传播
使木马程序自动运行
袁
获得相应系统权限后
袁
院
上传木马程序
攻击者利用系统漏洞造成系统应用程
遥
袁
在后台运行木马对用户
造成危害
遥
连接登录用户系统
5冤
利用远程连接进行传播
袁
将木马程序植入系统并运行
院
攻击者通过破解系统密码和建立远程
袁
通过客户端进行监
控或盗取信息
我复制能力
6冤
利用蠕虫病毒传播木马
遥
袁
将木马和蠕虫病毒结合在一起就可以大大地提高木马的
院
网络蠕虫病毒具有很强的传染性和自
传播能力
遥
结合了蠕虫病毒的木马利用病毒的特性
袁
在网络上进行传
播
尧
复制
袁
这就加快了木马的传播速度
遥
4
木马的防范与清除
基本上所有的木马都是基于
TCP/IP
通讯的客户端
/
服务端结构的
系统
袁
服务端被安装后
袁
会在被监控端打开一个监听端口等待客户端
来连接
袁
一般情况下
袁
不同的木马
袁
默认打开的监听端口不同
袁
所以
袁
查
看电脑上打开的监听端口
袁
可以判断电脑是否中了木马以及中了何种
木马
袁
如表
1
所示
遥
表
1
系统服务名称默认端口木马服务名称默认端口
超文本传输协议
(IIS)80
木马网络精灵
渊NetSpy冤7306
文件传输协议
(FTP)21
木马蓝色火焰
19191
远程登录协议
(TELNET)23
木马冰河
7626
简单邮件传输协议
(smtp)25
木马广外女生
6267
邮件接受协议
(pop/pop3)110
终端服务或远程桌面
3389
从理论上讲
袁
动态端口不应作为服务端口
袁
但是
袁
还是有一部分正
常程序和大多数木马程序的服务端固定使用了一个或几个端口进行
监听网络
遥
通过端口扫描软件
袁
可以了解端口的使用情况
袁
进而来判断
是否被木马病毒所控制
遥
使用端口扫描工具
袁
能够扫描计算机所开放
的端口
袁
通过内置的一个马端口列表文件
袁
就可以直接扫描电脑是否
中了木马病毒
遥
另外一些木马病毒随系统自动启动
袁
这就是
野
系统路径遍历优先
级欺骗
冶袁Windows
系统搜寻一个不带路径信息的文件时遵循一种
野
从
外到里
冶
的规则
袁
它会由系统所在盘符的根目录开始向系统目录深处
递进查找
袁
而不是精确定位
遥
这就意味着
袁
如果有两个同样名称的文件
分别放在
C:Windows
C:
和
C:Windows
下
袁Windows
会执行
C:
下的程序
袁
以把自己改为系统启动时必定会调用的某个文件名
下的
遥
这样的搜寻逻辑就给入侵者提供一个机会
袁
并复制到比原文
袁
而不是
木马可
件要浅一级以上的目录里
袁Windows
就会想当然的执行木马程序
袁
系
统的噩梦就此拉开序幕
遥
这种手法常被用于
野冶袁
因为无论哪
个
Windows
版本的启动项里
袁
它都是没有设置路径的
遥
木马的清除
袁
可以采用自动和手动两种方式
遥
最简单的方式是安
装杀毒软件
袁
当今国内很多杀毒软件像瑞星
尧
金山毒霸
尧360
杀毒等都
能删除网络中最猖獗的木马
遥
但杀毒软件的升级通常慢于新木马的出
现
袁
因此学会手工查杀很有必要
遥
手动删除必须了解木马或病毒的藏
身之地
袁
另外还要对该木马病毒要有所了解
袁
而且手动删除病毒也容
易造成系统的损坏或意外的情况
袁
因为它涉及到注册表的修改等
袁
通
常在删除一些比较顽固的病毒时
袁
杀毒软件无法杀干净
遥
一般情况下
袁
可以先用专业杀毒软件如卡巴
袁
杀木马软件如木马杀客先查杀
袁
最好
在查杀前升级杀毒软件的病毒库
袁
这样可以了解是中了什么病毒
遥
最
好在安全模式下断开网络进行查杀木马
袁
如果木马不是很顽固的话
袁
清除几遍就可能解决木马病毒
袁
没必要进行手动删除
遥
如果用这些软
件杀不掉
1冤
根据杀毒软件提供的路径找到它
袁
就必须进行手动删除了
袁
手动清除时需要做到以下几点
袁
并作好备
渊
下转第
132
院
页
冤
Science&TechnologyVision
科技视界
9
.. All Rights Reserved.
科技视界
m
e
c
c
袁m
袁e
as
t
要要要
袁m
t
燃烧室各进出口物流单位
要要要
燃烧室各进出口物流量
渊
kg/sH
化炉耗氧量
2
O0.0191%袁N
2
1.603%袁Ar0.4731%袁
低位发热量为
圆援缘
E
f
要要要
净化煤气的燃料
渊
火用
火用
冤KJ/kg
ep=3600KJ/kwh袁
30.77kg/s袁
驻E
燃气透平
29271.2KJ/kg袁
气体
标准煤的燃料
燃气轮机压比为
尧
水
袁
水蒸气的焓
渊
火用
15.76袁
尧
熵值由相关的热力性质表
冤
近似为其地位发热量
单位电能的
11071KJ/kg曰
渊
火用
冤
气
[3-4]
ef=
值
查
得
其中
GT
=m
t
院
冤kW
m
袁驻E
GT
e
t
要要要
-m
e
e
透平
e
-(W
gt
+W
c
)
3.1.1
援
计算中采用了如下几种假设
e
t
化学
计算中涉及到的
渊
火用
院
W
t
袁m
袁e
e
渊
火用
冤
损
kW
e
gt
要要要
要要要
要要要
透平进出口物流量
kg/s
透平输出功
透平进出口物流单位
kW
渊
火用
冤KJ/kg猿援员援圆
渊
火用
冤
均为物理
渊
火用
冤袁
只有气化炉中涉及到
猿援员援猿
所有气体均视为理想气体
冤袁
其化学
渊
火用
冤
近似等于燃料的高位发热量
袁
混合物时则为各气体参数的平均值
为焓
忽略计算中的物流动能和位能
袁
各设备的进出口物理
渊
火用
冤
均
猿援员援源
渊
火用
冤
减去其他设备附加单耗的值
模型中没有加入净化系统
袁
净化系统的附加单耗为总附加单耗
3.2
计算结果
表
1
计算结果
序号设备
计算结果
渊g/kwh冤
占系统总附加单耗的比例
渊%冤
1
2
空分系统附加单耗
14.2877.98
3
气化炉附加单耗
4
压气机附加单耗
34.254
6.55
19.13
3.658
图
3
余热锅炉及蒸汽轮机系统
5
6
燃气透平附加单耗
燃烧室附加单耗
68.9738.52
圆援苑
其中
m
w
e
w
+m
e
(e
e
-e
stack
)-m
st
e
st
m
袁驻E
H
7
余热锅炉附加单耗
4.2742.387
驻E
余热锅炉
H
=
w
袁m
e
袁m
st
要要要
要要要
余热锅炉
渊
火用
冤
损
kW
8
蒸汽轮机附加单耗
10.12
系统总附加单耗
9.67
5.65
5.4
圆援愿
e
驻E
蒸汽轮机
w
袁e
e
袁e
stack
袁e
st
要要要
余热锅炉各进出口物流量
余热锅炉各进出口物流单位
kg/s
渊
火用
冤KJ/kg
10
9
理论最低单耗
179.055
系统总单耗
302.055
123
其中
ST
W
袁驻E
=m
st
ST
(e
要要要
st
-e
out
蒸汽轮机
)-W
st
渊
m
st
要要要
蒸汽轮机输出功
火用
冤
损
kW
4
结论
e
st
3
案例计算
B
st
要要要
蒸汽轮机进气蒸汽流量
kW
kg/s
源援员
ST
袁e
=
out
B
要要要
min
[m
st
蒸汽轮机进出口物流单位
(e
st
–
渊
火用
冤KJ/kg
总附加单耗的
计算结果表明
38.52%援
院IGCC
主要原因是燃料进入燃烧室前具有较高的发热
系统中附加单耗最大的是燃烧室
袁
占系统
e
out
)
–
W
st
]/渊W
st
+W
gt
冤
量
3.1
渊
袁
出燃烧室时发热量较低
袁
化学化学变化的不可逆性也会损失大量
机本身的限制
火用
冤遥
可以通过提高燃气温度来降低压气机的附加单耗
根据以上平衡模型以及附加单耗公式
案例分析
袁
以某典型
F
级
IGCC
系统
源援圆
袁
提高空间不大
遥
袁
但由于燃
为例
袁
计算各主要设备的附加单耗分布情况
遥
中反应十分复杂
气化炉的附加单耗排在第二位
源援猿
加单耗的
空分系统是
袁
影响因素很多
袁
占总附加单耗的
19.13%援
气化炉
7.98%袁
IGCC
说明耗能量的大小并不能反应其节能空间的大小
电站的能耗大户
袁
气化工艺尚未成熟
袁
但其附加单耗仅占系统总附
袁
节能空间较大
遥
遥
采用整体空分及氮气回注的方式会在一定程度上降低空分系统的附
加单耗
源援源
遥
各设备间的匹配优化也可以再一定程度上减小系统的附加单耗
分析份模型及计算结果来看
袁
各设备的附加单耗是相互影响的
袁
从而
袁
降低
IGCC
系统的能耗
遥
咱员暂
揖
参考文献
铱
燃气轮机技术
冯静
,
倪维斗
图
8
某
F
级
IGCC
系统流程
咱圆暂
,2007,20(4):1-5.
,
曹江
,
等
.
多联产配置是推进我国
IGCC
系统发展的重要途径
[J].
咱猿暂
倪维斗
宋之平
,
.
李政
单耗分析的理论和实施
,
等
.
基于煤气化的多联产能源系统
[J].
中国电机工程学报
[M].
北京
:
清华大学出版社
,1992,12(4):15-21.
系统采用
Texaco
气化炉
袁
低温脱硫技术
袁
独立空分
袁
氮气不回注
援
咱源暂
社
,2000.
吴存真
,
张诗针
,
孙志坚
,
等
.
热力过程
渊
火用
冤
分析基础
[M].
杭州
:
浙江大学出版
,2011.
除图中给出条件以外
袁
计算中还需要的主要参数如下所示
援
净化后煤
气参数为
院CO55.13%袁CO
2
10.2%袁CH
4
0.009%袁H
2
32.57%袁H
2
S0.0011%袁
咱
责任编辑
院
杨扬
暂
渊
上接第
2冤
作好注册表的备份
9
页
冤
份
袁
以防删除系统文件系统损坏
袁
手动删除会对注册表进行操作
遥
袁
现在网络安全正面临着前所未有的挑战
遥
在这场网络安全的攻防
战中
袁
永远没有终点
遥
随着技术的不断发展
袁
木马病毒必定会以更加隐
的核心
袁
误操作容易造成系统的崩溃
它是系统
蔽
尧
破坏力更强的方式出现
袁
但
野
魔高一尺
袁
道高一丈
冶袁
反病毒技术在
不断进步的同时
袁
还需要与当今最前沿的其他安全技术相结合
袁
才能
备
袁
找到木马藏匿的地址和注册表键值
3冤
最好通过互联网查找关于该病毒的特征与清除的方法做好准
遥
袁
进行手动清除
遥
更有效地防范各种新的攻击手段
遥
5
总结
咱
责任编辑
院
周娜
暂
132
科技视界
Science&TechnologyVision
.. All Rights Reserved.
发布评论