動(dòng)下載并運(yùn)行木馬程序。用戶主機(jī)感染木馬程序后，黑客可以控制用戶計(jì)算機(jī)、監(jiān)視主機(jī)活動(dòng)或竊取敏感信息。文獻(xiàn)[1]使用volatility 分析系統(tǒng)內(nèi)存中的注冊(cè)表和進(jìn)程等，對(duì)木馬病毒進(jìn)行取證，但該方法難以完整還原木馬傳播鏈條或確定黑客端相關(guān)信息。文獻(xiàn)[2]通過(guò)重建木馬程序的執(zhí)行路徑，強(qiáng)制木馬程序執(zhí)行電子郵件發(fā)送行為，進(jìn)而獲取黑客預(yù)設(shè)的關(guān)鍵信息，但缺少對(duì)網(wǎng)站掛馬傳播階段的取證方法研究。文獻(xiàn)[3]使用sniffer封包分析軟件抓取并分析HTTP/1.1協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包

電寶中或隱藏木馬程序，一旦插入手機(jī)，會(huì)盜取用戶的個(gè)人信息。商場(chǎng)里可租賃的移動(dòng)電源、火車站叫賣的滿電充電寶和掃碼免費(fèi)送的充電寶……這些充電寶不僅可能存在質(zhì)量安全隱患，還可能被不法分子植入木馬程序，導(dǎo)致手機(jī)里的文本信息和照片、視頻等隱私數(shù)據(jù)泄露。網(wǎng)警提示，不要隨意購(gòu)買和掃描來(lái)歷不明的充電寶，如有需要，請(qǐng)選擇正規(guī)產(chǎn)品，或掃描正規(guī)公司的可租賃移動(dòng)電源。當(dāng)手機(jī)連接充電電源并詢問(wèn)“是否信任”時(shí)，需要提高警惕。此前央視315晚會(huì)就曾公開(kāi)揭秘，當(dāng)一個(gè)正常的充電寶拆開(kāi)后，如

老年機(jī)被裝了木馬程序， 隨即報(bào)警。接警后，新昌警方展開(kāi)初查，經(jīng)過(guò)檢測(cè)后發(fā)現(xiàn)小朱外婆的老年機(jī)被植入了木馬程序，驗(yàn)證碼被木馬程序截獲后發(fā)往了深圳的一家科技公司，警方還發(fā)現(xiàn)這個(gè)現(xiàn)象并不是個(gè)例，他們相繼檢測(cè)了20多臺(tái)同款老年機(jī)，都發(fā)現(xiàn)了相同現(xiàn)象。警方立即趕赴深圳將這家科技公司的所有涉案人員“一鍋端”。吳某就是這家公司的負(fù)責(zé)人。公司在經(jīng)營(yíng)中發(fā)現(xiàn)老年機(jī)使用人數(shù)較多，老年人又不熟悉手機(jī)操作，套取他們的個(gè)人信息更方便、更隱秘。吳某供述，公司開(kāi)發(fā)了裝有木馬程序的移植包，與多

補(bǔ)丁中包含有木馬程序。通過(guò)它不僅可以搜集各類瀏覽器的配置文件、Cookie信息中保存的賬號(hào)密碼，還會(huì)獲取用戶電腦的IP地址、操作系統(tǒng)版本以及處理器等信息，然后將搜集的所有敏感信息進(jìn)行壓縮，再發(fā)送到黑客控制的服務(wù)器里面。·安全軟件對(duì)木馬程序的攔截防范措施：盜版軟件歷來(lái)就是病毒木馬傳播的重要途徑，因此建議用戶不要使用盜版軟件或者破解補(bǔ)丁，可以通過(guò)一些免費(fèi)開(kāi)源的軟件來(lái)替換常用的商用軟件。病毒借助文檔大范圍傳播病毒名稱：Spreadoc病毒危害：互聯(lián)網(wǎng)里面每天都會(huì)

洞類型（1）木馬程序威脅計(jì)算機(jī)網(wǎng)絡(luò)安全很多企業(yè)網(wǎng)絡(luò)安全管理中都面臨著一個(gè)共同的問(wèn)題——木馬程序。究其原因是因?yàn)?span id="5ljdxz5" class="hl">木馬程序能夠借助人為編輯的方式改變自身特性和功能，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)造成極大的破壞，入侵制定目標(biāo)計(jì)算機(jī)系統(tǒng)的過(guò)程速度更快。計(jì)算機(jī)網(wǎng)絡(luò)被木馬程序入侵時(shí)，不法分子的刻意操縱還會(huì)威脅到用戶隱私，將網(wǎng)絡(luò)用戶本地儲(chǔ)存的隱私信息盜取，甚至能夠篡改其中重要的數(shù)據(jù)和程序，控制計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的自動(dòng)上傳，破壞性極強(qiáng)。即使原始木馬程序被清除后，后期仍然需要大量的填補(bǔ)和維護(hù)

熊貓燒香就是木馬程序的一種。這些具有攻擊性的病毒可以破壞云計(jì)算系統(tǒng)，造成系統(tǒng)崩潰。1.2 云計(jì)算系統(tǒng)被木馬程序攻擊問(wèn)題木馬病毒是云計(jì)算系統(tǒng)中最常見(jiàn)的攻擊問(wèn)題，同樣解決云計(jì)算系統(tǒng)被木馬程序攻擊的問(wèn)題也是目前研究的重點(diǎn)。立足云計(jì)算安全關(guān)鍵技術(shù)的應(yīng)用全過(guò)程，需首先需要考慮的是最容易受到木馬程序病毒攻擊的層面。木馬程序在互聯(lián)網(wǎng)網(wǎng)頁(yè)上廣泛存在。這些隱藏在互聯(lián)網(wǎng)中的木馬病毒無(wú)時(shí)無(wú)刻不在攻擊著云計(jì)算系統(tǒng)。如果使用人員在應(yīng)用云計(jì)算系統(tǒng)時(shí)，不小心將激活木馬程序，這樣網(wǎng)絡(luò)連接

脅。3.2 木馬程序及病毒木馬程序病毒在計(jì)算機(jī)系統(tǒng)中通常是最為嚴(yán)重的一種病毒，一般使用木馬程序來(lái)攻擊計(jì)算機(jī)的都是有黑客進(jìn)行操作的，黑客可以通過(guò)網(wǎng)絡(luò)上的一些渠道把木馬植入到他想要攻克的計(jì)算中，木馬程序在計(jì)算機(jī)中存在的方式通常是隱藏在計(jì)算機(jī)中某一個(gè)文件夾下面，只要相關(guān)的操作者把計(jì)算機(jī)打開(kāi)使用，其木馬程序也會(huì)跟著啟動(dòng)，然后黑客就可以對(duì)計(jì)算機(jī)中的數(shù)據(jù)資料進(jìn)行竊取，由于有些木馬程序在侵入計(jì)算機(jī)時(shí)，計(jì)算機(jī)中所安裝的殺毒軟件是檢測(cè)不到了，所以這類木馬程序嚴(yán)重的威脅著計(jì)算

—破解〈人類木馬程序〉》，這篇文章告訴我：人之所以覺(jué)得自己生活不幸福，就是因?yàn)槿说男拍钪兄踩肓巳祟愋睦?span id="lf55zrx" class="hl">木馬程序，讓幸福的程序中了“病毒”，使幸福的程序不能正常地運(yùn)轉(zhuǎn)。假如不及時(shí)清除，“病毒”就會(huì)越來(lái)越強(qiáng)大，最終會(huì)耗盡自己的所有能量。我們?cè)撊绾稳テ平庾璧K人類幸福的木馬程序？李欣頻老師給出了答案。他在《人類木馬程序》中分門別類地整理出許多建議，讓讀者一一對(duì)照、一一破解。圓活老師詳細(xì)講解了這本書(shū)的主要內(nèi)容，讓讀者對(duì)這本書(shū)有了一定的了解。我們總說(shuō)人生是一個(gè)舞臺(tái)，每

一個(gè)制作出售木馬程序、非法盜取公民個(gè)人信息、非法販賣公民個(gè)人信息的犯罪團(tuán)伙，抓獲犯罪嫌疑人4名，查獲公民個(gè)人信息3000余萬(wàn)條。QQ上現(xiàn)疑蹤2018年5月，黃島分局網(wǎng)警大隊(duì)在網(wǎng)上巡查中發(fā)現(xiàn)，QQ昵稱為“無(wú)界”的網(wǎng)民在QQ群內(nèi)發(fā)布販賣各類個(gè)人信息的廣告。民警對(duì)“無(wú)界”進(jìn)行了兩個(gè)月的監(jiān)控，掌握了其涉嫌販賣公民個(gè)人信息的違法犯罪事實(shí)。7月2日，民警在青島市城陽(yáng)區(qū)將“無(wú)界”周某抓獲。周某供認(rèn)，自2017年底以來(lái)，他多次從昵稱為“QQ已上線”的網(wǎng)民處購(gòu)買包括姓名、電

信息技術(shù)中的木馬程序木馬程序也是計(jì)算機(jī)網(wǎng)絡(luò)程序中一個(gè)巨大的安全隱患，所謂木馬程序，指的就是相關(guān)的計(jì)算機(jī)黑客通過(guò)計(jì)算機(jī)程序的一些漏洞，對(duì)計(jì)算機(jī)中的文件、數(shù)據(jù)進(jìn)行盜取，該方式稱為木馬程序。木馬程序具有較高的隱藏性和自發(fā)性，雖然木馬程序不一定會(huì)對(duì)計(jì)算機(jī)造成直接危害，但會(huì)在一定程序上對(duì)計(jì)算機(jī)進(jìn)行控制。2.3 計(jì)算機(jī)網(wǎng)絡(luò)信息技術(shù)中的惡意攻擊在計(jì)算機(jī)網(wǎng)絡(luò)信息危害中還有一項(xiàng)非常嚴(yán)重的安全隱患，即惡意攻擊，惡意攻擊分為2種，一種是主動(dòng)攻擊，另一種是被動(dòng)攻擊，兩種攻擊的具體

rdpe分析木馬程序使用了哪些系統(tǒng)函數(shù)，從一些關(guān)鍵的系統(tǒng)函數(shù)可以初步判斷出惡意程序采用了哪些功能（例如木馬使用了createfile和deletefile函數(shù)，說(shuō)明它很可能向硬盤釋放了特定文件，同時(shí)還進(jìn)行了文件刪除操作），在關(guān)鍵函數(shù)上設(shè)置訪問(wèn)斷點(diǎn)，動(dòng)態(tài)調(diào)試木馬程序，程序會(huì)自動(dòng)停在斷點(diǎn)位置，從函數(shù)的傳入?yún)?shù)可以提取出關(guān)鍵的涉案信息（例如創(chuàng)建或刪除的文件名稱和路徑），使用這種方法可以簡(jiǎn)化木馬程序的取證分析工作。圖1 基于“關(guān)鍵函數(shù)”斷點(diǎn)設(shè)置的木馬惡意程序取證分

究已從惡意的木馬程序擴(kuò)展到基于集成電路的硬件木馬[3]研究，但比起已經(jīng)全面發(fā)展了多年的軟件木馬，硬件木馬尚處于起步階段。木馬表面形態(tài)千變?nèi)f化、各不相同，但總結(jié)其實(shí)質(zhì)，所有木馬程序都包含三個(gè)階段：植入木馬、加載運(yùn)行木馬和數(shù)據(jù)回傳。木馬植入是指利用各種途徑使木馬程序進(jìn)入到目標(biāo)主機(jī)。常用的植入手段有：社會(huì)工程學(xué)欺騙用戶下載執(zhí)行捆綁了木馬的正常文件；利用系統(tǒng)或者瀏覽器漏洞進(jìn)行網(wǎng)頁(yè)掛馬，從而下載木馬JS腳本進(jìn)行植入；將木馬程序偽裝成非可執(zhí)行文件圖標(biāo)。文獻(xiàn)[4]展示了

r.bin”木馬程序并安裝、運(yùn)行。后上述存在后門漏洞的系統(tǒng)程序被某某技術(shù)公司應(yīng)用于若干個(gè)型號(hào)的手機(jī)及平板電腦。被告人游某某于2015年8月份從某某技術(shù)公司離職，2015年10月底開(kāi)始，被告人游某某在湖北省武漢市東湖區(qū)康橋小區(qū)1棟1單元1402室其家中，陸續(xù)將其編寫(xiě)的具有獲取用戶信息、改變手機(jī)設(shè)置及模擬轉(zhuǎn)賬等功能的“devconcur.bin”、“opsttg.bin”等木馬程序上傳至其租用的服務(wù)器上。自2015年11月1日開(kāi)始至2016年1月7日17時(shí)案發(fā)

目的，利用“木馬程序”打破支付寶（中國(guó)）網(wǎng)絡(luò)技術(shù)有限公司（以下簡(jiǎn)稱支付寶公司）作為第三方支付平臺(tái)的支付監(jiān)管程序，將他人支付寶賬戶內(nèi)的支付貨款資金私自轉(zhuǎn)出，讓賣家誤以為貨款已經(jīng)按原路徑返回自己賬戶，從而達(dá)到騙取賣家財(cái)物的最終目的。本案中，三被告人馮曉剛、陳得志、馮曉龍以刷單為幌子，目的就是在被害人輸入口令指令支付寶公司付款時(shí)植入木馬程序將本該返回自己賬戶里的錢讓被害人錯(cuò)誤支付給了三被告人，從被害人輸入口令到被告人占有貨款，支付寶公司都是按照被害人和被告人的授

一個(gè)制作出售木馬程序、非法盜取公民個(gè)人信息、非法販賣公民個(gè)人信息的犯罪團(tuán)伙，抓獲犯罪嫌疑人4名，查獲公民個(gè)人信息3000余萬(wàn)條。QQ上現(xiàn)疑蹤2018年5月，黃島分局網(wǎng)警大隊(duì)在網(wǎng)上巡查中發(fā)現(xiàn)，QQ昵稱為“無(wú)界”的網(wǎng)民在QQ群內(nèi)發(fā)布販賣各類個(gè)人信息的廣告。民警對(duì)“無(wú)界”進(jìn)行了兩個(gè)月的監(jiān)控，掌握了其涉嫌販賣公民個(gè)人信息的違法犯罪事實(shí)。7月2日，民警在青島市城陽(yáng)區(qū)將“無(wú)界”周某抓獲。周某供認(rèn)，自2017年底以來(lái)，他多次從昵稱為“QQ已上線”的網(wǎng)民處購(gòu)買包括姓名、電

現(xiàn)的新型手機(jī)木馬程序中犯罪嫌疑人手機(jī)號(hào)碼、郵箱賬戶等信息均經(jīng)過(guò)加密處理，破解這些加密數(shù)據(jù)是目前面臨的取證難點(diǎn)問(wèn)題。提出了一種手機(jī)木馬程序的動(dòng)態(tài)檢驗(yàn)方法。該方法是將木馬程序在一部手機(jī)上真實(shí)地運(yùn)行起來(lái)，木馬運(yùn)行之后會(huì)自動(dòng)解密數(shù)據(jù)，解密之后的數(shù)據(jù)會(huì)出現(xiàn)在木馬發(fā)出的電子郵件和短信之中。自行開(kāi)發(fā)的短信監(jiān)控軟件可以截獲木馬發(fā)出的短信數(shù)據(jù)，并從中提取出犯罪嫌疑人的手機(jī)號(hào)碼。手機(jī)木馬動(dòng)態(tài)檢驗(yàn)方法可以對(duì)新型木馬程序實(shí)施有效的檢驗(yàn)分析。短信劫持 木馬 動(dòng)態(tài)檢驗(yàn) ARP監(jiān)聽(tīng) H

術(shù)越加成熟，木馬程序也變得越來(lái)越狡猾。最近就有一種名為“狼人殺”的惡性木馬程序，在互聯(lián)網(wǎng)里面大肆地進(jìn)行傳播。當(dāng)木馬程序進(jìn)入到系統(tǒng)以后，通過(guò)創(chuàng)建注冊(cè)表將自身設(shè)置為Boot型驅(qū)動(dòng)。接著在Driver目錄下隨機(jī)復(fù)制一個(gè)系統(tǒng)驅(qū)動(dòng)文件的名稱，并通過(guò)對(duì)象劫持將自身對(duì)應(yīng)的文件名改成該隨機(jī)名稱，從而騙過(guò)安全軟件的病毒掃描。然后木馬程序解密出一個(gè)DLL文件，并以APC的方式插入到操作系統(tǒng)的Services.exe進(jìn)程里面執(zhí)行，最后根據(jù)黑客發(fā)送的指令下載相關(guān)的木馬模塊來(lái)進(jìn)行破

有一個(gè)系列的木馬程序，利用已經(jīng)過(guò)期的數(shù)字簽名進(jìn)行偽裝入侵。當(dāng)這些病毒進(jìn)入到系統(tǒng)以后，首先會(huì)釋放一個(gè)驅(qū)動(dòng)文件獲取系統(tǒng)權(quán)限。接著利用這個(gè)驅(qū)動(dòng)文件對(duì)殺毒軟件的入口進(jìn)行破壞，然后下載推廣軟件或者進(jìn)行遠(yuǎn)程控制等活動(dòng)，并且通過(guò)篡改瀏覽器的導(dǎo)航網(wǎng)址來(lái)進(jìn)行盈利。防范措施：由于這款電腦病毒可以躲過(guò)很多殺毒軟件的查殺，所以我們?cè)谟龅娇梢晌募臅r(shí)候，可以上傳到http：//www.virscan.org/這個(gè)網(wǎng)站進(jìn)行分析，從而更加準(zhǔn)確地檢測(cè)出文件存在的破壞行為。

了一款全新的木馬程序，這個(gè)木馬會(huì)偽裝成視頻應(yīng)用或者特定的解碼器。一旦木馬被成功地進(jìn)行安裝，它會(huì)在后臺(tái)監(jiān)控一些與支付相關(guān)的應(yīng)用。一旦用戶打開(kāi)其中之一，病毒就會(huì)在原有的頁(yè)面上疊加一個(gè)假的頁(yè)面，要求用戶填寫(xiě)用戶姓名、生日、電話號(hào)碼等信息。然后木馬會(huì)要求用戶上傳一種能證明身份的證件正反兩面清晰可視的照片，最后利用這些信息進(jìn)行套現(xiàn)等操作。防范措施：?木馬要求用戶上傳自拍照首先不要隨便下載不受信任的應(yīng)用，在下載前仔細(xì)審查這個(gè)應(yīng)用的權(quán)限要求。其次切記不要拿著自己的證件進(jìn)

征一個(gè)完整的木馬程序包含兩部分內(nèi)容，服務(wù)端和控制端，服務(wù)端程序是通過(guò)遠(yuǎn)程計(jì)算機(jī)網(wǎng)絡(luò)植入對(duì)方電腦，而黑客通過(guò)客戶端進(jìn)入運(yùn)行了服務(wù)端的受控電腦，通常運(yùn)行了服務(wù)端的計(jì)算機(jī)會(huì)生成一個(gè)類似于系統(tǒng)文件的進(jìn)程，此時(shí)端口被暗中打開(kāi)，電腦中保存的各類數(shù)據(jù)（比如QQ密碼，網(wǎng)絡(luò)游戲密碼等）會(huì)向控制端進(jìn)行發(fā)送，黑客也可以通過(guò)這些暗中打開(kāi)的端口進(jìn)入目標(biāo)電腦，此時(shí)，電腦中更多的隱私將會(huì)遭受更大的泄露。木馬一般具有以下特征：（1）隱藏性，隱藏性是木馬的最顯著特征，比如，改寫(xiě)進(jìn)程名稱使其

”，讓病毒、木馬程序無(wú)法藏身其中：首先，清除特定目錄下的已有病毒文件。病毒、木馬特別喜歡選擇“system32”、“drivers”之類的系統(tǒng)目錄作為自己的“保護(hù)傘”，也喜歡選擇一些自啟動(dòng)應(yīng)用程序的安裝目錄作為“保護(hù)傘”，這些特殊目錄默認(rèn)會(huì)處于隱藏狀態(tài)。在清除這些目錄下的陌生文件時(shí)，先要用鼠標(biāo)雙擊系統(tǒng)桌面上的“我的電腦”或“計(jì)算機(jī)”圖標(biāo)，從其后彈出的窗口中，逐一點(diǎn)選菜單欄中的“工具”、“文件夾選項(xiàng)”命令，展開(kāi)文件夾選項(xiàng)設(shè)置對(duì)話框，點(diǎn)選“查看”選項(xiàng)卡，彈出如

惡意木馬程序Bolek國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)，近期出現(xiàn)一種惡意木馬程序Bolek。該惡意木馬程序會(huì)感染32位和64位Windows系統(tǒng)，也可以通過(guò)感染其他文件進(jìn)行傳播。該惡意木馬程序運(yùn)行后，遠(yuǎn)程服務(wù)器會(huì)向其發(fā)送一條命令，激活后自我復(fù)制感染，同時(shí)該惡意木馬程序還可以感染相同文件系統(tǒng)或移動(dòng)存儲(chǔ)設(shè)備中的其他文件。該惡意木馬程序會(huì)通過(guò)注入受感染操作系統(tǒng)中瀏覽器IE進(jìn)程進(jìn)而獲取網(wǎng)上銀行的登錄憑證，截取計(jì)算機(jī)用戶登錄界面，捕獲網(wǎng)絡(luò)流量，記錄鍵

“短信攔截”木馬程序變種 ——Android.SmsThief.eto國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心通過(guò)對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)，近期一種感染手機(jī)的“短信攔截”木馬程序變種Android.SmsThief.eto出現(xiàn)。該變種使用虛擬運(yùn)營(yíng)商的手機(jī)號(hào)段作為了控制端手機(jī)號(hào)碼，具有更好的反偵察效果，并使用短信指令去攔截被感染手機(jī)上的短信。經(jīng)分析發(fā)現(xiàn)，該病毒會(huì)在受感染手機(jī)系統(tǒng)中獲取如下權(quán)限：讀取手機(jī)狀態(tài)；接收短信、讀取和發(fā)送短信內(nèi)容；訪問(wèn)網(wǎng)絡(luò)連接；允許用戶喚醒機(jī)器和編寫(xiě)短信；

，就會(huì)下載到木馬程序的主體。木馬程序運(yùn)行后，主要目的是改寫(xiě)磁盤的MBR，然后強(qiáng)制重新啟動(dòng)系統(tǒng)。在啟動(dòng)過(guò)程中首先會(huì)顯示一個(gè)虛假的提示，讓用戶以為系統(tǒng)正在進(jìn)行磁盤掃描修復(fù)，實(shí)際上此時(shí)正在進(jìn)行的是磁盤加密的程序。然后屏幕上會(huì)顯示敲詐文本。防范措施：修改MBR的技術(shù)是比較傳統(tǒng)的一種病毒技術(shù)，它最大的特點(diǎn)就是通過(guò)常規(guī)的方法無(wú)法進(jìn)行清除。所以用戶在運(yùn)行電子郵件中的可執(zhí)行文件的時(shí)候，一定要搞清楚文件是否安全再運(yùn)行。

失。1.2 木馬程序木馬程序的存在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全具有極大的威脅性。就目前而言，人們大部分事情都需借助計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行處理，計(jì)算機(jī)網(wǎng)絡(luò)已然成為人們生活當(dāng)中不可缺少的工具。但人們?cè)谑褂眠^(guò)程中，自身利益心理往往容易被木馬制造者利用。木馬程序的制造者會(huì)借助人自身利益心理，將各類型木馬程序上傳至網(wǎng)絡(luò)，用戶若沒(méi)有對(duì)程序進(jìn)行分析，便容易會(huì)將木馬程序下載至計(jì)算機(jī)當(dāng)中。當(dāng)木馬程序被下載至計(jì)算機(jī)之后，將會(huì)盜取以及修改用戶存儲(chǔ)于計(jì)算機(jī)當(dāng)中的個(gè)人信息，同時(shí)也會(huì)對(duì)網(wǎng)絡(luò)造成干擾，進(jìn)而

動(dòng)信息我們將木馬程序和Install Watch全部放入虛擬機(jī)中，先安裝并運(yùn)行Install Watch，在其主界面工具欄上點(diǎn)擊“安裝”按鈕，在彈出窗口中點(diǎn)擊“配置”按鈕，在配置窗口（如圖5所示）中勾選“掃描所有的硬盤驅(qū)動(dòng)器”項(xiàng)，可以掃描所有的磁盤。不過(guò)為了加快掃描的速度，可以只保留系統(tǒng)盤。在“要跟蹤其內(nèi)容更改情況的問(wèn)價(jià)擴(kuò)展名”欄右側(cè)點(diǎn)擊“添加”按鈕，添加需要監(jiān)控的文件類型，您可以根據(jù)實(shí)際需要添加任意文件類型。在下一步窗口中可以添加忽略的文件類型，這些類型

危害：以前的木馬程序基本上都是大而全的狀態(tài)，但是隨著木馬功能越來(lái)越多，木馬服務(wù)端的體積也越來(lái)越大，這樣就會(huì)造成服務(wù)端程序傳播的不便。所以現(xiàn)如今的木馬程序開(kāi)始走小而精的路線，而DDos木馬就是其中的一個(gè)重要的分支。這類木馬通常通過(guò)文件捆綁的方式進(jìn)入到用戶系統(tǒng)里面，接著連接到服務(wù)器隨時(shí)接收黑客的指令。一旦黑客下達(dá)指令對(duì)指定目標(biāo)進(jìn)行DOS攻擊后，大量被控制的電腦系統(tǒng)就會(huì)同時(shí)對(duì)一個(gè)目標(biāo)發(fā)送大量數(shù)據(jù)，從而導(dǎo)致被攻擊目標(biāo)的網(wǎng)絡(luò)癱瘓。除此以外，木馬程序還會(huì)定時(shí)對(duì)服務(wù)端進(jìn)

行他們制作的木馬程序。這類木馬主要通過(guò)偽造成QQ登錄界面，通過(guò)斷線重連、驗(yàn)證等提示窗口，要求用戶重新輸入自己的QQ賬號(hào)密碼等信息。一旦用戶輸入自己的QQ賬號(hào)密碼后，這些信息就會(huì)發(fā)送到指定的服務(wù)器里面。這樣網(wǎng)絡(luò)釣魚(yú)者就會(huì)利用這些信息繼續(xù)發(fā)送木馬程序，使得更多的用戶上當(dāng)受騙而造成信息被竊。防范措施：一般情況下只要用戶在這臺(tái)電腦上登錄過(guò)QQ，那么QQ號(hào)碼就會(huì)記錄在系統(tǒng)里面。所以一旦出現(xiàn)要求用戶重新輸入QQ賬號(hào)的情況，就非?？梢?，一定要馬上終止當(dāng)前的所有操作，并通

oS”的新型木馬程序。黑客首先會(huì)通過(guò)SSH暴力登錄目標(biāo)Linux系統(tǒng)，然后嘗試獲得根用戶的使用證書(shū)。一旦證書(shū)獲取成功的話，則通過(guò)一個(gè)Shell腳本安裝該木馬。該木馬首先通過(guò)受害系統(tǒng)的內(nèi)核頭文件來(lái)進(jìn)行兼容性檢測(cè)，如果成功匹配則繼續(xù)安裝一個(gè)Rootkit來(lái)進(jìn)行自身的隱藏，而且可以通過(guò)DDoS攻擊形成巨大的僵尸網(wǎng)絡(luò)。包括32位和64位的Linux Web服務(wù)器、臺(tái)式機(jī)、ARM架構(gòu)系統(tǒng)等在內(nèi)的設(shè)備，也容易遭受該木馬的攻擊。防范措施：由于國(guó)內(nèi)用戶使用Windows系

染手機(jī)的惡意木馬程序出現(xiàn)。在熱門商圈附近，惡意攻擊者通常利用偽基站發(fā)送虛假短消息（諸如“積分兌換現(xiàn)金”內(nèi)容的短信）。一旦手機(jī)用戶收到短消息并點(diǎn)擊其中的URL鏈接，可以看到一個(gè)“中國(guó)移動(dòng)網(wǎng)上營(yíng)業(yè)廳”，與真正官方的頁(yè)面極為相像，其實(shí)是一個(gè)假冒的中國(guó)移動(dòng)頁(yè)面，誘騙手機(jī)用戶輸入銀行卡號(hào)、密碼、開(kāi)戶行、身份證號(hào)碼等個(gè)人私密信息數(shù)據(jù)。經(jīng)分析發(fā)現(xiàn)，該惡意木馬程序具有以下特點(diǎn)：1.通過(guò)偽基站播發(fā)10086短信積分兌換現(xiàn)金信息；2.誘導(dǎo)手機(jī)用戶填寫(xiě)手機(jī)號(hào)碼，身份證，銀行卡，

接著下載安裝木馬程序，來(lái)竊取用戶的網(wǎng)游、網(wǎng)銀等賬號(hào)密碼信息。為此各大安全廠商紛紛提高了自家軟件的自我防護(hù)，以至于這類病毒很長(zhǎng)一段時(shí)間近乎銷聲匿跡了。不過(guò)就在前段時(shí)間，它最新的變種“AV終結(jié)者2015”又開(kāi)始在網(wǎng)絡(luò)上肆虐。這個(gè)變種偽裝成CF刷槍外掛來(lái)迷惑用戶，用戶一旦運(yùn)行它就會(huì)破壞殺毒軟件的注冊(cè)表，結(jié)束殺毒軟件相關(guān)的程序進(jìn)程，從而干擾殺毒軟件的正常功能，然后靜默下載安裝各種各樣的推廣軟件，利用這些推廣安裝來(lái)牟取非法利益。防范措施：由于這類病毒的破壞性還是比較

hic.a的木馬程序。據(jù)悉，該木馬程序運(yùn)行后會(huì)將其拷貝至根目錄，并添加到開(kāi)機(jī)自啟動(dòng)項(xiàng)，而后刪除自身。接著，它會(huì)通過(guò)遠(yuǎn)程線程注入的方式將惡意代碼注入到系統(tǒng)進(jìn)程"explorer.exe"中，并創(chuàng)建名為"zyan85asc"的互斥體，防止木馬重復(fù)運(yùn)行。隨后，該程序?qū)L試連接指定的遠(yuǎn)程地址，一旦連接成功則會(huì)允許遠(yuǎn)程主機(jī)控制受感染的電腦。此外，該木馬程序還會(huì)使用Inline hook的方式讓當(dāng)系統(tǒng)進(jìn)程調(diào)用API"ntdll.RtlFreeHeap"時(shí)，執(zhí)行其攜帶的

hic.a的木馬程序。據(jù)悉，該木馬程序運(yùn)行后會(huì)將其拷貝至根目錄，并添加到開(kāi)機(jī)自啟動(dòng)項(xiàng)，而后刪除自身。接著，它會(huì)通過(guò)遠(yuǎn)程線程注入的方式將惡意代碼注入到系統(tǒng)進(jìn)程"explorer.exe"中，并創(chuàng)建名為"zyan85asc"的互斥體，防止木馬重復(fù)運(yùn)行。隨后，該程序?qū)L試連接指定的遠(yuǎn)程地址，一旦連接成功則會(huì)允許遠(yuǎn)程主機(jī)控制受感染的電腦。此外，該木馬程序還會(huì)使用Inline hook的方式讓當(dāng)系統(tǒng)進(jìn)程調(diào)用API"ntdll.RtlFreeHeap"時(shí)，執(zhí)行其攜帶的

些狡猾的病毒木馬程序在成功入侵系統(tǒng)后，會(huì)悄悄將其可執(zhí)行文件放置到系統(tǒng)啟動(dòng)文件夾中，下次它就能跟隨Windows系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行了?，F(xiàn)在，我們只要禁止所有用戶賬號(hào)訪問(wèn)系統(tǒng)啟動(dòng)文件夾，就能限制病毒木馬將惡意文件隱藏到其中，從而達(dá)到讓其喪失自啟動(dòng)本領(lǐng)的目的?，F(xiàn)在，病毒木馬瘋狂肆虐，它們不但會(huì)破壞重要數(shù)據(jù)文件，而且會(huì)占用寶貴系統(tǒng)資源，更為重要的是，在每次計(jì)算機(jī)重新啟動(dòng)時(shí)，它們都會(huì)想方設(shè)法讓自己自動(dòng)運(yùn)行。要是我們能夠讓病毒木馬程序喪失自啟動(dòng)本領(lǐng)，那么它們的攻擊破壞

們能夠讓病毒木馬程序喪失自啟動(dòng)本領(lǐng)，那么它們的攻擊破壞性將會(huì)大大下降，這樣計(jì)算機(jī)系統(tǒng)的運(yùn)行安全性也就能有保障了。限制啟動(dòng)文件夾權(quán)限為了達(dá)到自啟動(dòng)目的，一些狡猾的病毒木馬程序在成功入侵系統(tǒng)后，會(huì)悄悄將其可執(zhí)行文件放置到系統(tǒng)啟動(dòng)文件夾中，下次它就能跟隨Windows系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行了?，F(xiàn)在，我們只要禁止所有用戶賬號(hào)訪問(wèn)系統(tǒng)啟動(dòng)文件夾，就能限制病毒木馬將惡意文件隱藏到其中，從而達(dá)到讓其喪失自啟動(dòng)本領(lǐng)的目的。要做到這一點(diǎn)，可以先打開(kāi)Windows 7系統(tǒng)資源管理

.nmx 的木馬程序。據(jù)悉，這是一個(gè)用"Microsoft Visual C#"語(yǔ)言編寫(xiě)的后門木馬程序。該木馬會(huì)竊取用戶的隱私信息，并且會(huì)被遠(yuǎn)程控制及接收遠(yuǎn)程計(jì)算機(jī)的指令，執(zhí)行相應(yīng)的惡意代碼。它能夠?qū)τ脩舻淖烂娼貓D，并將圖片文件保存并壓縮為.RAR 文件；還可檢測(cè)用戶安裝的殺毒軟件，并獲取殺毒軟件的名稱；此外，它還會(huì)檢測(cè)用戶是否安裝攝像頭，并能通過(guò)執(zhí)行指令完成打開(kāi)攝像頭和關(guān)閉攝像頭的操作。在獲得用戶的FTP 軟件FileZilla的賬號(hào)和密碼、獲得計(jì)算機(jī)名

就會(huì)自動(dòng)感染木馬程序。木馬程序也經(jīng)常偽裝成屏幕保護(hù)程序、游戲程序或玩笑程序來(lái)散播攻擊。木馬程序一旦與遠(yuǎn)程的惡意服務(wù)器聯(lián)機(jī)，就會(huì)透過(guò)各種技巧來(lái)竊取信息。某些木馬程序會(huì)將受害計(jì)算機(jī)收編到一個(gè)Bot傀儡網(wǎng)絡(luò)以進(jìn)行“遠(yuǎn)程遙控”。某些則會(huì)安裝鍵盤記錄程序或屏幕畫(huà)面截取程序，等候顯示賬號(hào)信息和密碼的畫(huà)面出現(xiàn)就立刻截取。就像這樣，木馬程序會(huì)在背后偷偷竊取硬盤上存儲(chǔ)的個(gè)人信息。不管是身份證號(hào)、信用卡卡號(hào)、銀行賬號(hào)、系統(tǒng)管理密碼或是在線游戲密碼，皆無(wú)法逃過(guò)一劫。一旦您的網(wǎng)絡(luò)

。甚至有個(gè)別木馬程序能把它自身的exe文件和服務(wù)端的圖片文件綁定，在你看圖片的時(shí)候，木馬便侵人了你的系統(tǒng)。它的隱蔽性主要體現(xiàn)在以下2個(gè)方面:(1)不產(chǎn)生圖標(biāo)木馬雖然在你系統(tǒng)啟動(dòng)時(shí)會(huì)自動(dòng)運(yùn)行，但它不會(huì)在"任務(wù)欄"中產(chǎn)生一個(gè)圖標(biāo)，這是容易理解的，不然的話，你看到任務(wù)欄中出現(xiàn)一個(gè)來(lái)歷不明的圖標(biāo)，你不起疑心才怪呢!(2)木馬程序自動(dòng)在任務(wù)管理器中隱藏，并以"系統(tǒng)服務(wù)"的方式欺騙操作系統(tǒng)。2.具有自動(dòng)運(yùn)行性。木馬為了控制服務(wù)端。它必須在系統(tǒng)啟動(dòng)時(shí)即跟隨啟動(dòng)，所以它必

染。這是由于木馬程序具有很高的隱蔽性，它能在看似無(wú)任何異常的情況下，秘密操控遠(yuǎn)程主機(jī)，進(jìn)行破壞活動(dòng)。本文主要針對(duì)木馬的隱藏技術(shù)展開(kāi)研究，揭示了木馬各種隱藏技術(shù)的實(shí)現(xiàn)原理和技術(shù)手段。1 程序隱蔽木馬程序隱藏通常指利用各種手段偽裝木馬程序，讓一般用戶無(wú)法從表面上直接識(shí)別出木馬程序。要達(dá)到這一目的可以通過(guò)程序捆綁的方式實(shí)現(xiàn)。程序捆綁方式是將多個(gè)exe程序鏈接在一起組合成一個(gè)exe文件，當(dāng)運(yùn)行該exe文件時(shí)，多個(gè)程序同時(shí)運(yùn)行。程序捆綁有多種方式，如將多個(gè)exe文件

對(duì)應(yīng)的主機(jī)被木馬程序控制，同種類木馬感染量較9月下降32%，其分布情況如圖1所示。其中，數(shù)量最多的地區(qū)分別為廣東省71447個(gè)（占中國(guó)大陸15.23%）、遼寧省32685個(gè)（占中國(guó)大陸6.97%）和山東省30129個(gè)（占中國(guó)大陸6.42%）。我國(guó)大陸地區(qū)被木馬程序控制的主機(jī)IP中，中國(guó)電信用戶所占比例較大，具體分布情況如圖2所示。2010年1月至10月，我國(guó)大陸地區(qū)被木馬程序控制的主機(jī)IP數(shù)量月度統(tǒng)計(jì)如圖3所示，同種類木馬感染量較9月下降32%。境外木馬控

?哪個(gè)程序是木馬程序加載的呢?在以前的Windows系統(tǒng)中我們只能靠第三方軟件來(lái)參看，現(xiàn)在好了，Windows7中增強(qiáng)了任務(wù)管理器功能，這樣我們就可以非常方便地對(duì)系統(tǒng)中的各項(xiàng)程序的進(jìn)程了如指掌了，就算是病毒入侵，我們也能輕松掌控。1查看UAC虛擬化進(jìn)程在Windows7中，系統(tǒng)增強(qiáng)了用戶賬戶控制(UAC)虛擬化功能，通過(guò)這個(gè)功能我們可以防止系統(tǒng)文件、文件夾和注冊(cè)表因?yàn)檎`操作而損壞。通過(guò)UAC可以將系統(tǒng)中的應(yīng)用程序重新定向其他位置，而且用戶還能正常使用，但是

門開(kāi)發(fā)出來(lái)的木馬程序往往具有針對(duì)性，技術(shù)含量高。通常的殺毒軟件很難進(jìn)行有效查殺。產(chǎn)業(yè)鏈中的所謂“老板”在得到想要的木馬程序后，就開(kāi)始在互聯(lián)網(wǎng)中尋找下手目標(biāo)，可一個(gè)一個(gè)去尋找網(wǎng)絡(luò)游戲玩家和網(wǎng)上銀行用戶顯然效率太低，這個(gè)時(shí)候，鏈條中的流量商就該發(fā)揮作用了。“肉雞”是黑客產(chǎn)業(yè)里的一個(gè)專用名詞。在產(chǎn)業(yè)鏈中，有專門一些人，他們把一些帶有遠(yuǎn)程控制功能的病毒程序通過(guò)網(wǎng)絡(luò)植入別人的電腦中，這些電腦就成了他們手中的獵物，任由他們操縱控制，而且主人往往很難察覺(jué)，圈子里的人把這

詞：計(jì)算機(jī)；木馬程序；防范由于計(jì)算機(jī)系統(tǒng)和信息網(wǎng)絡(luò)系統(tǒng)本身固有的脆弱性，越來(lái)越多的網(wǎng)絡(luò)安全問(wèn)題開(kāi)始困擾著我們，特別是在此基礎(chǔ)上發(fā)展起來(lái)的計(jì)算機(jī)病毒、計(jì)算機(jī)木馬等非法程序，利用網(wǎng)絡(luò)技術(shù)竊取他人信息和成果，造成現(xiàn)實(shí)社會(huì)與網(wǎng)絡(luò)空間秩序的嚴(yán)重混亂。一、木馬程序概述1.木馬的定義木馬的全稱是“特洛伊木馬”(Trojan Norse)，來(lái)自古希臘神話，傳說(shuō)古希臘士兵就是藏在木馬內(nèi)進(jìn)入從而占領(lǐng)特洛伊城的。木馬是隱藏在合法程序中的未授權(quán)程序，這個(gè)隱藏的程序完成用戶不知道的

電腦，“若有木馬程序植入，將導(dǎo)致臺(tái)軍機(jī)密的外泄”。臺(tái)灣“中央社”的報(bào)道稱，臺(tái)灣陸軍日前招標(biāo)采購(gòu)電腦設(shè)備時(shí)，中標(biāo)廠商轉(zhuǎn)而向大陸電腦廠商進(jìn)貨。高志鵬對(duì)此表示擔(dān)憂稱，臺(tái)軍買進(jìn)這批電腦的售后服務(wù)也由大陸提供，其中可能安置間諜木馬程序，這將讓臺(tái)軍機(jī)密外泄。但有分析認(rèn)為，近年來(lái)臺(tái)軍發(fā)生的電腦泄密事件與大陸木馬程序無(wú)關(guān)，倒多是由于使用者違規(guī)使用共享軟件引起的?！R 俊）

基因機(jī)制，從木馬程序的基因片段入手，來(lái)探究檢測(cè)和查殺木馬程序的方法。關(guān)鍵詞：木馬基因1木馬程序簡(jiǎn)介木馬是一種新型的計(jì)算機(jī)網(wǎng)絡(luò)病毒程序。它利用自身所具有的植入功能，或依附其它具有傳播能力的病毒，或通過(guò)入侵后植入等多種途徑，進(jìn)駐目標(biāo)計(jì)算機(jī)，搜集其中各種敏感信息，并通過(guò)網(wǎng)絡(luò)與外界通信，發(fā)回所搜集到的各種信息，并能接受植入者指令，完成其它各種操作，如修改指定文件、格式化硬盤等。當(dāng)木馬被應(yīng)用在入侵和攻擊方面時(shí)，它顯示出巨大的危害性。一個(gè)典型的木馬程序通常具有以下四個(gè)