1、毕业论文文献综述 计算机科学与技术 特洛伊木马入侵检测程序的实现 一 前言 随着科学技术的发展,网络特别是网络也迅猛的发展。 由于社会上各式各样的人才辈出,所以在计算机网络上有出现了一部分所谓的黑客。随之而来的就是计算机木马病毒,特洛伊木马已有愈发发展的厉害的趋势,为了防止木马对大家造成的直接或间接的损失。当今学者致力于木马检测的研究也更加的深入。 各式各样的木马具有很多的特性,而根据实际中的使用情况来采取不同的防御成了社会上的各个专家学者研究的热门对象。 二 特洛伊木马的概述 特洛伊木马没有复制能力, 它的特点是伪装成一个实用工具或者一个可爱的游戏,这会诱使用户将其安装在 PC 或者服务器上
2、。 完整的木马程序一般由两个部分组成:一个是服务端(被控制端),一个是客户(控制端)。“中了木马”就是指安装了木马的服务端程序,若你的电脑被安装了服务端程序,则拥有相应客户端的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码无安全可言了 2。 木马程序不能算是一种病毒,但可以和最新病毒、漏洞利用工具一起使用用,几乎可以躲过各大杀毒软件,尽管现在越来越多的新版的杀毒软件 ,可以查杀一些防杀木马了,所以不要认为使用有名的杀毒软件电脑就绝对安全,木马永远是防不胜防的,除非你不上网。 三 木马检测工具实现检测的思想 在计算机安全学中,特洛伊木马是指一
3、种表面上有着某种功能,而其实内部隐藏着完成特殊任务代码的计算机程序。它利用自身具有的其植入功能或着依附其它具有传播能力病毒等的途径,进驻入目标机器,搜集各种各样的敏感信息,并通过网络发回其搜集到的敏感信息,接受植入者的指令,完成各种操作,在某种程度上,木马也可以称为是计算机病毒。但从木马的本质来讲,它是黑客远程控制的工具,具有一定的 隐蔽性和非授权性。一般的木马执行文件都很小,一般把木马捆绑到其它的一些应用文件上,用户很难发现它。并且,木马不像其他计算机病毒那样去破坏文件、占用系统资源,而是在背后充当着“间谍”的角色,因此,用户即使中了木马,也很难察觉到它的存在。 从以往的网络安全事件 12上
4、的统计分析中可以发现,有相当一部分的网络入侵是通过木马来进行。利用木马,攻击者可以窃取用户密码、控制系统操作、进行文件操作等,造成用户资1 料的泄漏、破坏或整个系统的崩溃 6。 随着网络化程度的不断提高,如何有效的防范木马己成为人们关注的重要课 题。目前,国内外很多新版杀毒软件都加入了木马清除的功能,市场上也出现了各种各样的“木马”专杀工具,这些软件主要是根据木马的动态执行特性来识别木马,不能很好的识别潜伏着的木马。针对这一情况,本文提出两种根据文件静态信息检测木马的新方法,能有效识别木马文件,特别是潜伏着的没有发作的木马文件。 特征码技术被作为反病毒技术中最基本的技术沿用至今,也是到目前为止
5、各类反病毒软件仍普遍采用的技术。 “特征码”是一串信息,它能唯一标识某一非法程序 (如病毒、木马等 )。研究人员通过对非法程序样本的分析,提取出“特征码”写入反病 毒软件的特征码库。特征码技术的基本原理就是在待测文件中查找特征码,一旦查找到,就判定该文件是非法程序或包含了非法程序,并作相应的处理。 基于特征码的静态扫描便是对特征码技术最直接的应用,目前的各类反病毒软件均具备这项基本功能,它对用户指定的某个或某几个文件进行扫描,以确定是否包含非法程序的特征码。据有吻合之处,就可以判定该数据文件己遭病毒感染。特征代码法的实现步骤如下 (1)采集己知病毒样本。如果病毒既感染 COM 文件,又感染 E
6、XE 文件,那么要对这种病毒要同时采集 COM 型病毒样本和 EXE 型病毒样本 。 ( 2)在病毒样本中,抽取病毒特征代码。对于既感染 COM 文件又感染 EXE 文件的病毒样本,要抽取两种样本共有的代码。 (3)将特征代码存入病毒库。 (4)检测文件。打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,查询病毒特征代码就可以知道所感染的病毒类型。在具体实现时,它最初是采用对待测文件全部扫描的方式,在病毒等非法程序出现的早期,非法程序的种类不过数百种,采用这种扫描方式还是比较快捷的,但在目前病毒、木马、蠕虫及其变种的总数超过 60000 的情况下
7、, 这种方式显然是效率低下的 8。为此,采用了一些用来提高特征码扫描效率的技术。因为木马文件一个很明显的特征就是它的文件名和大小,所以通过这两个特征来作为静态查杀的初步选择。另外就是取文件的 MD5 值来进行查杀,先对扫描文件进行 MD5 计算,然后根据得到的 MD5 值与库中特征码进行比较,如果相同就进行处理。 Message-Digest 泛指字节串 (Message)的 Hash 变换,就是把一个任意长度的字节串变换成一定长的大整数。请注意我使用了“字节串”而不是“字符串”这个词,是因为这种变换只与字节的值 有关,与字符集或编码方式无关。 MD5 将任意长度的“字节串”变换成一个 128
8、bit 的大整数,并且它是一个不可逆的字符串变换算法,换句话说就是,即使看到源程序和算法描述,也无法将一个 MD5 的值变换回原始的字符串,从数学原理上说,是因为原始的字符串有无穷多个,这有点像不存在反函数的数学函数。 MD5 的典型应用是对一段 Message(字节串 )产生 fingerprint(指纹 )8,以防止被“篡改”。举个例子,将一段话写在一个叫 readme。 txt 文件中,并对这个 readme。 txt 产生一个 MD5 的2 值并记录在案,然后可以传播这个文件给别人,别人如果修改了文件中的任何内容,对这个文件重新计算 MD5 时就会发现。如果再有一个第三方的认证机构,用
9、 MD5 还可以防止文件作者的“抵赖”,这就是所谓的数字签名应用。 MD5 的应用非常广泛,如加密和解密技术等等。在 802。 1x 认证中, EAP-MD5 认证采用 MD5 算法,用户密码不以明文方式在网上传输,从而保证了认证信息的安全。同时,它还被应用于加密和解密技术上,譬如在 Unix 系统中用户的密码就是使用 MD5 算法(或其他类似的算法)加密后存储在文件 系统中。当用户登录的时候,系统把用户输入的密码计算成 MD5 值,然后再去和保存在文件系统中的 MD5 值进行比较,进而确定输入的密码是否正确。通过这样的步骤,系统在并不知道用户明文密码的情况下就可以确定用户登录的合法性,也就是
10、说,用户的密码是以 MD5 值(或类似的其它算法)的方式保存的,用户 Login 的时候,系统是把用户输入的密码计算成 MD5 值,然后再去和系统中保存的 MD5 值进行比较,而系统并不“知道”用户的密码是什么。这样不但可以避免普通用户的密码被系统管理员知道,而且还在一定程度上增加了 密码被破解的难度。另外,大家比较熟悉的即时通信软件 MyIM 也使用 MD5 算法。利用 MD5 算法来进行文件校验的方案,被大量应用在软件下载站点、论坛数据库和系统文件安全等方面。 四 木马检测系统的实现 1)木马特征码的读取 ,由于本工具用的是 ini 文件作为特征库文件,所以木马查杀工具开始运行第一件事就是
11、对特征库文件的读取,获得病毒的特征码。读取的方法是首先打开和工具同一目录下的 code。 ini 文件,首先读取得到总共的病毒数,然后依次循环读出每个 section 下的属性值,即对应的文件的 name 属性和 size 属性,也就是文件名和文件大小。 2) 获得文件 MD5 特征码, 本工具使用 MD5 做特征码,所以写了一个 MD5 类来实现对文件的 MD5 特征码的获得,下面是 MD5 值的获得的实现步骤和描述。因为本工具是基于特征码来对木马进行查杀的,所以第一步当我们获得一个木马时,就对它进行 MD5 计算,然后把获得的 MD5 值保存到 ini 文件 (即特征码库 )。 3)文件属
12、性的更改, 在 windows 操作系统下,当文件属性为只读时,删除文件将无法成功,所以需要对文件进行属性更改,以进行查杀。 4)实现驱动器的选择 , 为了方便用户查杀方便和深度查杀,所以设置了驱动器,本地硬盘和移动设备的选择。 5) MD5 特征码查杀, 因为 MD5 的特性,所以两个不同文件的 MD5 值相同的几率非常的小,所以通过 MD5 来作为特征码有很好的针对性,本查杀方式就是通过对文件的 MD5 值的计算,然后与特征码库里的 MD5 值进行比较,通过判断结果来进行查杀。 3 五 木马检测工具实现的小结 本文主要分析了木马查杀的主要方法,并对特征码查杀的主要技术做了描述。同时设计并实
13、现了一个木马查杀。该木马查杀工具是基于 WindowsXp 操作系统开发的,是一个实验性的程序。整个系统由普通查杀,和 MD5 特征码查杀等几大模块功能构成。测试报告如下: 测试环境,系统: Micr osoft Windows XP Professional Service Pack 2 1)普通查杀测试,在 几个不同深度的目录下放置木马文件,然后对木马文件的特征码提取并保存入库,进行查杀,查杀结果很理想,而且速度很快。 2) MD5 特征码查杀,在几个不同深度的目录下放置木马文件,然后对木马文件的 MD5 特征码提取并保存入库进行查杀,查杀结果也很理 想,但是由于在查杀过程中要对文件进行
14、MD5 预算,所以耗费的时间和机器的 CPU 与内存的占用率都不低。木马特征码技术 5契合了目前检测未知木马的迫切需求,随着对其研究的深入和实践的展开,必定能使其得到广泛的应用,使人们从中受益。 但正如 McAfee 公司在其 06 年的一份白皮书中提出的特征码技术并不能完全替代行为分析,至少在今后很长一段时间内,两者还将共存下去。特征码技术、行为分析以及其它反木马技术相辅相成,各取所长,才能更有效地抵御木马的入侵和破坏。 未来开发方向: 一种可行的方案是,以特征码技 术为主,同时辅以启发式技术,对某个程序进行静态特征码扫描后,如未发现异常,则可选用静态启发式扫描,还可以通过行为分析做进一步的
15、确认。譬如,同时使用实时监控和行为分析这两种技术,对于已知木马的程序文件,在执行之前,实时监控就会检测到文件中包含的特征码,并阻止它运行,对于未知木马,虽然可以避开实时监控,但一旦其运行起来,并表现出木马的行为特征,就会被行为分析技术检测出来。参考资料 1 戴敏 基于文件静态信息的木马检测模型 J。 计算工程 , 2008, 32(6):198-200。 2 李顺东 一种特洛 伊木马的检测算法 J。 小型微型计算机系统 , 2003, 24(7): 34-41。 3 潘勉 基于 DLL 技术的特洛伊木马植入新方案 J。计算工程, 2007, 35(7): 28-32。 4 罗红 端口反弹型木马
16、的通信技术研究 J。 微电子学与计算机 , 2006, 23(2): 193-197。 5 Wenliang Du, Aditya P Mathur。 Vulnerability Testing of Software System Using Fault Injection。 Coast TR 98-02, 2008。 年 5月 6 冯登国 计算机通信网络安全。北京:清华大学出版社, 2008 年 7 月 7 Applied Microsoft NET Framework Programming(美 )Jeffrey Richter 著 清华大学出版社 , 2006 年 8 月 8 B.Kr
17、ap and H.T.kung. GPSR: Greedy Perimeter Stateless Routing for Wireless Networks. Proceedings of the Sixth Annual ACM/IEEE International Conference on Mobile Computing and Networking (MobiCom), Boston, USA, 2000:243-254 9 Matt Bishop. 1999 September. Vulnerabilities Analysis. Proceedings of the Second International Symposium on Recent Advances in Intrusion Detection.
