盗号木马论文盗号木马攻击与防范技术的研究实施.doc

盗号木马论文盗号木马攻击与防范技术的研究实施.doc盗号木马论文:盗号木马攻击与防范技术的研究实施【中文摘要】随着互联网技术的发展和普及,人们的生活越來越离不开网络。但网络生活在给人们带来便利的同时,也带来了安全方面的一些威胁,比如网游帐号被盗、QQ号码被盗、甚至网银帐号被盗,而这些针对帐号的安全威胁都来自于木马,特别是盗号木马。木马与病毒有着很大的差异,病毒侧重于传播和破坏,而木马则侧重于隐蔽性和对用户数据的窃取。传统的反病毒技术主要是基于特征码的提取和对比,因此对于变种的或新型的木马一般难以检测和清除,进而造成巨大的损失,检测木马必须要有新的思路。因此对木马技术的研究已成为信息安全领域的一个热点,而如何防范木马特别是盗号木马也是迫在眉睫。本文从研究层面上和技术层面上对木马,特别是盗号木马进行了系统的研究,主要工作为:1、从研究层面上系统地分析了木马的工作原理、分类、发展历程、植入方式和发展趋势;从技术层面上系统地分析了木马的隐蔽性、自启动性、自动恢复性、主动性、功能特殊性和通信功能。2、结合两个盗号木马的实现原理,给出了现有的查杀方法。传统的根据特征码检测查杀木马总是先有木马出现,造成一定破坏后才有杀毒软件能够查杀,因此这种方法缺陷很大。3、改进了传统监控程序的监控方法,并对主要模块进行了实现。根据盗号木马的特点,提出了从注册表监控、基于进程的特定API监控和文件监控三个方面同时入手,通过阻止其自启动、阻止其有盗号动作产生和阻止其产生文件三方面,彻底杜绝了木马盗号的可能性。特别是通过对关键API的监控,可以发现大多数未知木马的攻击。通过测试证明,该方法和传统的监控方法比较,具有效率高、通用性好,且误报率低的特点。4、监控模块提供了开放的规则库,人们可以任意指定要监控的文件和其拥有的进程,真正做到了有的放矢的防御,可有效地阻止盗号木马对敏感文件的攻击,弥补了大多数异常检测系统由于对行为监控的不确立性而造成漏报的缺陷,并且由于监控有具体的目标,相对于现有的行为监控软件而言,只占用了少数的系统资源,对计算机的运行速度影响很小。因为规则库是开放的,所以规则库的制定比较灵活,也较容易升级和维护,缺点是对一般用户而言有一定的难度,设定规则库需要其具备一定的计算机知识。5、提出了手动查杀智能升级的方案。任何防木马软件也不是万能的,对于不能系统查杀的木马,通过手动方式杳杀后可智能添加到规则库,再碰到此类木马就可系统查杀。【英文摘要】technology,people",italsoexposespeopleincertainsecurityproblems・Forinstance,ount,QQnumberormoreimportantly,ountmightbecrackedorattackedby"Trojans”,(PWS)Trojanisoneofthemostspecialtoolsamongthe“Trojans”・PWSisverydifferentfromvirus,thelaterisgoodatspreadinganddestroying;theformer,however,focusesonconcealmentandstealingofda