木马检测工具的实现
资料包括: 论文(30页13407字)
说明:
摘 要:近年来,“特洛伊木马”(以下简称木马)数量迅速增加,在各类非法程序中已经占到了极大的比重,由木马所造成的破坏和损失也越来越严重,因此,反木马的研究己成为网络安全领域的一个热点和重点。基于特征码的静态扫描技术由于具有检测潜伏的木马、病毒等非法程序的能力,成为反木马、反病毒等研究领域的一个热点,所以至今特征码技术得到了广泛的应用。特征代码法,是目前公认的检测己知病毒的最简单、开销最小的方法。木马检测工具在将已知木马以二进制读取到的4096位字符串,通过MD5取摘要作为特征码,然后将这些木马独有的特征搜集在一个木马特征码数据库中。每当需要确定文件是否为木马的时候,检测工具会以扫描的方式将数据文件与特征码数据库内的现有特征码一一比对,如果双方数据吻合,就可以判定该数据文件为木马文件。本工具检测准确,可识别病毒的名称,依据检测结果,可做相应的处理。
关键词:网络安全;木马;MD5;特征码
The Implementation of a Trojan Detection Tool
Abstract :In recent years, the number of trojan is increasing very rapid and it now amounts to the most part among in all the illegal programs. Trojans have brought much more serious damages and losses .As a result, the research of anti-trojan has already become the hotspot and the main emphasis in the area of network security. Because of its ability of detecting unknown trojans, signature-based scanning has currently turned into hotspot in the anti-trojan research area. So the characteristic code technology is used widely. The characteristic code technology is the method that has the simplest and lowest expense to check the Trojans. The tool gets 4,096 bits from the known Trojans file, and gets its message digest with MD5 algorithm, then puts this value in an INI file as the database of Trojan characteristic code. When a file is checked, the tool will scan the file and compare with the characteristic code database, if the message digest of this file is equal to a certain record, then we can determine the file is a Trojan file. The accuracy of our tool is very high, and can identify the name of the Trojan. According to the result, it can take corresponding measure to deal with the Trojan file.
Key words:Network security; Trojan; MD5; Characteristic code
1 引 言
1.1 木马查杀工具设计背景
“特洛伊木马”这个词源于希腊古神话中的一场战役,而今天计算机的应用领域中,木马的存在给网络安全带来了不容忽视的问题。计算机网络发展到今天,已经迅速延伸到世界的每个角落,大到政府、公司,小到家庭、网吧等场所,己经处处离不开网络,随时随地都要接入Internet与世界同步。信息产业的发展的确使我们生活有了很大的改善,但是如何控制信息的安全性呢。有人为了窃取商业机密,个人隐私,使用非法手段,利用操作系统的漏洞,为目标计算机植入木马,这就相当于在对方计算机中安排“内应”,而对方使用者却毫无察觉,于是被植入木马的计算机对于入侵者来说完全就是透明的了,毫无机密可言。所以木马的出现给网络带来了非常严重的负面影响。
在计算机安全学中,特洛伊木马是指一种表面上有某种功能,而内部隐藏着完成特殊任务代码的计算机程序。它利用自身具有的植入功能或依附其它具有传播能力病毒等途径,进驻目标机器,搜集各种敏感信息,并通过网络发回搜集到的敏感信息,接受植入者指令,完成各种操作,在一定程度上,木马也可以称为是计算机病毒。但从木马的本质来讲,它是一种远程控制的黑客工具,具有隐蔽性和非授权性。一般的木马执行文件都很小,如果把木马捆绑到其它正常文件上,用户很难发现。并且,木马一般不像计算机病毒那样去破坏文件、占用系统资源,而是在背后充当“间谍”的角色,因此,用户即使中了木马,也很难察觉到它的存在。
从以往网络安全事件的统计分析中可以发现,有相当部分的网络入侵是通过木马进行。利用木马,攻击者可以窃取密码、控制系统操作、进行文件操作等,造成用户资料的泄漏、破坏或整个系统崩溃。
随着网络化程度的提高,如何有效防范木马己成为人们关注的问题。目前,国内外很多新版杀毒软件都加入了木马清除功能,市场上也出现了很多“木马”专杀工具,这些软件主要根据木马的动态执行特性识别木马,不能有效识别潜伏的木马。针对这一情况,本文提出两种根据文件静态信息检测木马的新方法,能有效识别木马文件,特别是潜伏着的没有发作的木马文件。
1引 言1
1.1木马查杀工具设计背景1
1.1.1木马的概念及技术原理1
1.1.2木马的危害3
1.2现在流行的查杀方式3
1.3木马检测的实现方法6
1.3.1PE文件静态信息的提取和特征码的设置6
1.3.2特征码选择与采集8
1.3.3特征码库的设计8
1.3.4信息摘要技术中的MD5算法9
1.3.5MD5算法的原理及应用10
1.3.6MD5作特征码简介11
2需求分析及方案设计11
2.1本工具要完成的功能11
2.2环境需求11
2.3可行性研究11
3木马查杀功能的实现12
3.1工具模块介绍12
3.2木马特征码的读取12
3.3获得文件MD5特征码14
3.4文件属性的更改19
3.5实现驱动器的选择19
3.6MD5特征码查杀22
结 论23
参考文献24
致 谢25
声 明26
参考文献:
冻正凯.c++函数库查询辞典[M].北京:中国铁道出版社,2002。
王维.基于文件静态特征的木马检测[D].天津:天津理工大学,2004。
单长虹,张焕国等.一种启发式木马查杀模型的设计与分析[J],计算机工程与应用,2004,(1):120-130。
何长龙,林蓉.如何检测和删除系统中的木马[J].信息安全与通信保密,2001,(7),
55-58。
黄天戍,孙夫雄,杨显娇.网络安全管理之特洛伊木马的防御[J],计算机应用,2002,(6):22-26。
陈桂清,伍乃哄,滕少华.通过进程监视检测木马攻击[J],计算机应用,2006,(8):33-35。
宋彦民.检测和删除木马病毒的方法[J],现代电子技术,2002,(12):22-25。
作者点评:
本文主要分析了木马查杀的主要方法,并对特征码查杀的主要技术做了描述。同时设计并实现了一个木马查杀。该木马查杀工具是基于WindowsXp操作系统开发的,是一个实验性的程序。整个系统由普通查杀,和MD5特征码查杀等几大模块功能构成。测试报告如下:
测试环境:
系统:Microsoft Windows XP Professional Service Pack 2
主机:AMD Athlon(tm) XP 2600+ 1.91GHz 512M内存
1 普通查杀测试
在c:下几个不同深度的目录下放置木马文件,然后对木马文件的特征码提取并保存入库,进行查杀,查杀结果很理想,而且速度很快。
2.MD5特征码查杀
在d:下几个不同深度的目录下放置木马文件,然后对木马文件的MD5特征码提取并保存入库,进行查杀,查杀结果也很理想,但是由于在查杀过程中要对文件进行MD5预算,所以耗费的时间和机器的CPU与内存的占用率都不低。
木马特征码技术契合了目前检测未知木马的迫切需求,随着对其研究的深入和实践的展开,必定能使其得到广泛的应用,使人们从中受益。
但正如McAfee公司在其06年的一份白皮书中提出的,特征码技术并不能完全替代行为分析,至少在今后很长一段时间内,两者还将共存下去。特征码技术、行为分析以及其它反木马技术相辅相成,各取所长,才能更有效地抵御木马的入侵和破坏。
未来开发方向:
一种可行的方案是:以特征码技术为主,同时辅以启发式技术:对某个程序进行静态特征码扫描后,如未发现异常,则可选用静态启发式扫描,还可以通过行为分析做进一步的确认。譬如,同时使用实时监控和行为分析这两种技术,对于已知木马的程序文件,在执行之前,实时监控就会检测到文件中包含的特征码,并阻止它运行;对于未知木马,虽然可以避开实时监控,但一旦其运行起来,并表现出木马的行为特征,就会被行为分析技术检测出来。