摘 要:近年来,“特洛伊木马”(以下简称木马)数量迅速增加,在各类非法程序中已经占到了极大的比重,由木马所造成的破坏和损失也越来越严重,因此,反木马的研究己成为网络安全领域的一个热点和重点。基于特征码的静态扫描技术由于具有检测潜伏的木马、病毒等非法程序的能力,成为反木马、反病毒等研究领域的一个热点,所以至今特征码技术得到了广泛的应用。特征代码法,是目前公认的检测己知病毒的最简单、开销最小的方法。木马检测工具在将已知木马以二进制读取到的4096位字符串,通过MD5取摘要作为特征码,然后将这些木马独有的特征搜集在一个木马特征码数据库中。每当需要确定文件是否为木马的时候,检测工具会以扫描的方式将数据文件与特征码数据库内的现有特征码一一比对,如果双方数据吻合,就可以判定该数据文件为木马文件。本工具检测准确,可识别病毒的名称,依据检测结果,可做相应的处理。
关键词:网络安全;木马;MD5;特征码
The Implementation of a Trojan Detection Tool
Abstract :In recent years, the number of trojan is increasing very rapid and it now amounts to the most part among in all the illegal programs. Trojans have brought much more serious damages and losses .As a result, the research of anti-trojan has already become the hotspot and the main emphasis in the area of network security. Because of its ability of detecting unknown trojans, signature-based scanning has currently turned into hotspot in the anti-trojan research area. So the characteristic code technology is used widely. The characteristic code technology is the method that has the simplest and lowest expense to check the Trojans. The tool gets 4,096 bits from the known Trojans file, and gets its message digest with MD5 algorithm, then puts this value in an INI file as the database of Trojan characteristic code. When a file is checked, the tool will scan the file and compare with the characteristic code database, if the message digest of this file is equal to a certain record, then we can determine the file is a Trojan file. The accuracy of our tool is very high, and can identify the name of the Trojan. According to the result, it can take corresponding measure to deal with the Trojan file.
Key words:Network security; Trojan; MD5; Characteristic code
1 引 言
1.1 木马查杀工具设计背景
“特洛伊木马”这个词源于希腊古神话中的一场战役,而今天计算机的应用领域中,木马的存在给网络安全带来了不容忽视的问题。计算机网络发展到今天,已经迅速延伸到世界的每个角落,大到政府、公司,小到家庭、网吧等场所,己经处处离不开网络,随时随地都要接入Internet与世界同步。信息产业的发展的确使我们生活有了很大的改善,但是如何控制信息的安全性呢。有人为了窃取商业机密,个人隐私,使用非法手段,利用操作系统的漏洞,为目标计算机植入木马,这就相当于在对方计算机中安排“内应”,而对方使用者却毫无察觉,于是被植入木马的计算机对于入侵者来说完全就是透明的了,毫无机密可言。所以木马的出现给网络带来了非常严重的负面影响。
在计算机安全学中,特洛伊木马是指一种表面上有某种功能,而内部隐藏着完成特殊任务代码的计算机程序。它利用自身具有的植入功能或依附其它具有传播能力病毒等途径,进驻目标机器,搜集各种敏感信息,并通过网络发回搜集到的敏感信息,接受植入者指令,完成各种操作,在一定程度上,木马也可以称为是计算机病毒。但从木马的本质来讲,它是一种远程控制的黑客工具,具有隐蔽性和非授权性。一般的木马执行文件都很小,如果把木马捆绑到其它正常文件上,用户很难发现。并且,木马一般不像计算机病毒那样去破坏文件、占用系统资源,而是在背后充当“间谍”的角色,因此,用户即使中了木马,也很难察觉到它的存在。
从以往网络安全事件的统计分析中可以发现,有相当部分的网络入侵是通过木马进行。利用木马,攻击者可以窃取密码、控制系统操作、进行文件操作等,造成用户资料的泄漏、破坏或整个系统崩溃。
随着网络化程度的提高,如何有效防范木马己成为人们关注的问题。目前,国内外很多新版杀毒软件都加入了木马清除功能,市场上也出现了很多“木马”专杀工具,这些软件主要根据木马的动态执行特性识别木马,不能有效识别潜伏的木马。针对这一情况,本文提出两种根据文件静态信息检测木马的新方法,能有效识别木马文件,特别是潜伏着的没有发作的木马文件。