木馬檢測范例6篇

前言：中文期刊網精心挑選了木馬檢測范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

木馬檢測范文1

關鍵詞：

中圖分類號： TP393 文獻標識碼：A 文章編號：2095－2163（2011）01－0032－03

0引言

隨著計算機網絡的普及與廣泛應用，計算機網絡信息系統已成為企業、院校、政府等各部門最重要的基礎設施和信息交流工具。然而，目前的網絡信息系統還存在嚴重的安全問題，木馬、病毒等各種網絡攻擊行為正嚴重威脅著廣大用戶的數據和信息的安全。

木馬是一種由攻擊者秘密安裝在受害者計算機上的竊聽及控制的后門程序。

根據國家互聯網應急中心（CNCERT/CC）自2011－01到2011－03以來的《網絡安全信息與動態周報》，統計境內被木馬控制的IP地址數量如下：1月份12萬個，2月份13萬個，3月份41．4萬個。

由上述數據可知木馬事件愈發猖獗，網絡安全迫切需要快速有效的木馬檢測技術。

目前，主流的木馬檢測方法包括：端口識別[1]、注冊表監控[2]、特征碼檢測[1]、靜態文件信息檢測[3]和內存完整性檢測[4]等。但是上述方法都存在不足。端口識別的方法可以在一定程度上檢測到木馬，但高級木馬程序都有在植入到目標系統前定制新的通信端口的能力，從而逃過這種方法的檢測[1]。注冊表監控方法很難發現諸如采用文件關聯方法實現自動運行的木馬，而對于只運行一次的木馬，因其無需設置自動運行信息，無法使用該方法進行檢測[2]。由于木馬的種類日益增多，很難全面、準確地提取所有木馬的特征碼，所以基于特征碼檢測的方法存在明顯的漏檢問題[1]。靜態文件信息檢測是指在Windows環境下，根據從PE可執行文件中提取的靜態信息判斷文件是否為木馬文件[3]。與特征碼檢測方法類似，該方法只有在擁有大量具有代表性的樣本的情況下才能作為檢測木馬的有效方法，對新出現的木馬容易出現漏檢問題。內存完整性檢測多是通過檢測代碼區塊的完整性來判斷木馬的存在，但無法檢測到改變內存其他區域的木馬[4]。

針對上述檢測方法的不足，現提出木馬動態檢測方法。該方法將行為分析與ID3算法產生的決策樹相結合，將程序運行時的行為作為判定依據。

本文在Windows系統下實現了基于ID3決策樹的木馬動態檢測系統。經測試，該決策樹的準確率達到97．2％，錯檢率2．8％，漏檢率0．0％，證明采用ID3決策樹進行木馬動態檢測是可行的。

1ID3決策樹

1．1ID3算法與木馬動態檢測

ID3算法的優點是實現簡單，判定速度快。ID3算法的缺點主要是傾向于取值較多的屬性，對噪聲敏感[5]。但在本文的木馬動態檢測中，所有的判定屬性均只有兩個值：0和1；另外，木馬文件跟正常文件相比，會出現正常文件所不會有的行為特點，即“噪聲”，ID3算法對噪聲敏感的特性有利于木馬的檢測。

選擇使用行為分析進行木馬動態檢測是為了從根本上判斷出文件是否合法。根據文件運行時的行為進行判斷更有說服力。

將ID3算法與行為分析相結合就是為了能夠快速、準確地進行木馬動態檢測。

1．2ID3決策樹生成公式

下面介紹ID3算法公式的定義[6－7]。

定義1：若有n個消息，其給定的概率分布為p＝（p1，…，pn），則該分布傳遞的信息量稱為p的熵，記為

定義4：信息增益度的公式為：

Gain（X，T）＝Info（T）－Info（X，T） （3）

1．3ID3決策樹生成算法

通過學習ID3算法[8－9]，現給出ID3決策樹的生成算法。

算法：Generate＿decision＿tree（samples， attribute）。由給定的訓練數據產生一棵判定樹。

輸入：訓練樣本samples，離散值；候選屬性的集合attribute＿list。

輸出：一棵決策樹。

算法偽代碼：

Generate＿decision＿tree（samples， attribute＿list）

（1）創建結點 N；

（2）ifsamples 都在同一個類C

thenreturn N 作為葉結點，以類C 標記；

endif

（3）ifattribute＿list 為空

thenreturn N 作為葉結點，標記為 samples 中最普通的類；

else

（4）選擇attribute＿list 中具有最高信息增益的屬性best＿attr－ibute；

（5）標記結點 N 為best＿attribute；

endif

（6）forbest＿attribute 的每個屬性值aiDo

（7）由結點 N 長出一個條件為 best＿attribute ＝ ai 的分枝；

（8）設si 是samples 中best＿attribute ＝ai 的樣本的集合；

（9）ifsi 中樣本為同一類

then加上一個樹葉，標記為 si中樣本的類；

（10）else

加上一個由 Generate＿decision＿tree（si，attribute＿list－best＿attribute）返回的結點；

endif

endfor

2基于ID3決策樹的木馬動態檢測系統的實現

2．1ID3算法訓練數據的獲取

本文主要研究Windows系統下的木馬動態檢測。所提到的木馬文件均由國家互聯網應急中心提供，類型有文本，文檔，圖片，音頻文件，視頻文件和郵件等，這些文件均嵌有不同類型的木馬程序。

ID3決策樹的建立需要訓練樣本和候選屬性。本文中，將含有木馬文件和正常文件作為訓練樣本，候選屬性則是指樣本運行時調用的API集合。

利用微軟公司提供的開源Detours庫對底層API進行攔截，就可以獲知哪些API被調用，哪些API沒有被調用，被攔截的API集合就是程序運行時的行為屬性集合。為了便于利用樣本運行后的行為數據計算出決策樹的決策屬性節點，用0和1代表API是否被調用：0代表沒有調用，1代表被調用。樣本運行前，所有被設置攔截的API都對應0；樣本運行后，被攔截到的API對應的數值變成1。如100101代表API1、API4和API6被調用，API2、API3和API5沒有被調用。

訓練樣本是有類別標識的，將所有樣本文件運行結束后，就得到了建立決策樹所需要的訓練數據。

ID3算法需要的候選屬性即所有被調用的API，這些屬性均只有兩個值：0和1。

2．2ID3決策樹的建立

本文中，使用了300個木馬文件，300個正常文件作為訓練樣本。設置攔截的API分為文件操作、網絡通信、注冊表操作、系統服務操作和進程線程操作五部分。

編程實現ID3算法，將樣本文件運行后得到的訓練數據經ID3算法的計算后，得到了有決定性意義的API，建立的決策樹如下圖1所示。

說明：單線箭頭表示該API被調用，雙線箭頭表示該API未被調用。

盡管在使用Detours庫時設置了對25個API的攔截（CopyFile、DeleteFile、MoveFile、CreateFile、WriteFile、Create－Process、CreateThread、TerminateProcess、RegSetValue、RegCr－eateKey、RegReplaceKey、ExitWindowsEx、ChangeSeric－eConfig、ClearEventLog、CreateService、DeleteService、socket、bind、send、sendto、connect、listen、recv、recvfrom、accept）， 但由于每種API都不是獨立出現的，如可能bind、connect和socket同時出現，RegSetValue、RegCreateKey和DeleteFile同時出現，CreateProcess和CreateThread同時出現，所以并不是所有的API在最終的決策樹中都作為判定過程的一部分而出現。

2．3ID3決策樹判定規則的應用

本文中，木馬動態檢測系統的判定規則就是圖1中的決策樹。通過Detours庫對底層API進行攔截，攔截后得到的API通過該決策樹的規則進行判定。

如：一個文件調用的API有Socket、CreateFile、WriteFile、 RegSetValue和RegCreateKey，判定過程就是：

第一步：DeleteFile為0，到Socket；

第二步：Socket為1，判定該文件是木馬文件。

結束。

3基于ID3決策樹的木馬動態檢測系統的測試

及結果

為了獲得該決策樹的性能，進行了測試，測試文件沒有參加決策樹的建立。參加測試的有250個木馬文件，250個正常文件。木馬文件的類型如2．1節所述。

測試環境是樣本文件和木馬動態檢測程序。測試過程如下：檢測程序依次自動運行樣本文件，獲得樣本調用的API集合，將API集合利用決策樹的判定規則進行判定。由于測試樣本的類型是已知的，將判定結果與已知的樣本類型進行比對，就可以得知判定結果是否正確。測試結果如表1所示。

雖然該決策樹的準確率比較高，但也存在錯檢問題。分析錯檢原因主要有兩個。一個原因是對于壓縮包文件，打開時會調用CreateFile、WriteFile和DeleteFile，就導致了正常的壓縮包文件被判定為了木馬文件；另一個原因可能在于ID3算法是一種單變量決策樹算法，忽略了屬性間的相互聯系[9]。另外還可能用于建立決策樹的訓練樣本的種類不是足夠多，可以使用更多種類的木馬文件進行訓練以得到更完善的決策樹。

4結束語

本文總結了常用的木馬檢測方法的弊端，提出了行為分析與數據挖掘中的ID3決策樹相結合的動態檢測方法。首先得到包含木馬文件和正常文件的訓練樣本的行為數據；編碼實現了ID3算法；通過ID3算法對行為數據進行計算，得到了用于木馬動態檢測的決策樹；將該決策樹的判定規則嵌入到木馬動態檢測系統中，對未知的程序進行動態判定。最后，為了驗證該決策樹的判定能力，進行了驗證測試。測試結果表明該決策樹能有效地檢測到木馬文件。

下一步的研究重點是考慮各屬性間的關聯性，盡可能地減少相關度小的候選屬性；收集更多的木馬樣本來進行決策樹的訓練和建立，進一步完善決策樹。

參考文獻：

[1] 陳桂清，伍乃騏，滕少華． 通過進程監視檢測木馬攻擊[J]． 計算 機應用，2003，23（ll）：130－133．

[2] 李偉斌，王華勇，羅平． 通過注冊表監控實現木馬檢測[J]． 計算 機工程與設計，2006，27（l2）：2220－2222．

[3] 戴敏，黃亞樓，王維． 基于文件靜態信息的木馬檢測[J]． 計算機 工程，2006，32（6）：198－200．

[4] 齊琪． 基于內存完整性的木馬檢測[D]． 武漢：華中科技大學，2006．

[5] 欒麗華，吉根林． 決策樹分類技術研究[J]． 計算機工程，2004， 30（9）：94－97．

[6] 黃曉芳． 數據挖掘中決策樹算法及其應用[J]． 網絡信息技術， 2005，24（2）：36．

[7] 張維東，張凱，董青，等． 利用決策樹進行數據挖掘中的信息熵 計算[J]． 計算機工程，27（3）：71－72．

木馬檢測范文2

【關鍵詞】水工工程；軟基處理；監測；測試；分析

中圖分類號： TU471.8文獻標識碼：A 文章編號：

在該項目中，工程內容主要有港池護岸、波堤、內護岸、棧橋、北防洪堤以及南防洪堤等。其中北防洪堤、棧橋以及南防洪堤等相關內容主要以預應力管樁作為基礎，由于港池護岸的場地環境存在較厚的淤泥層，因此需要采用塑料排水板以及堆載處理，整一塊軟基處理面積的大小為10450平方米。

其中對該項目的檢測測試主要包括了陸地回填和軟土地基的處理以及水工構筑兩年期位移和沉降觀測兩個內容，其中陸地回填和軟土地基的處理主要包括了表面的沉降、水位、加固前后鉆孔取土、載荷試驗、十字板剪切、空隙水壓力、深層位移以及水平位移；而水工構筑兩年期位移和沉降觀測則包括了防波提、提升機承臺、港池護岸以及內護岸的觀測。該項目的監測以及測試分析如下：

1 巖土工程監測

1.1 監測工期

該項目的陸地回填以及軟土地基處理監測以及測試工作，主要開始于2011年5月2日，結束時間為2011年11月6日。兩年期水工構筑物包括了防洪堤、提升機承臺、港池護岸以及內護岸的觀測工作開始于2011年9月20日，結束時間為2012年6月2日。

1.2 表層沉降監測結果

結合監測工作的相關方案和計劃，并根據現場的實際情況，選擇與施工過程不存在影響的區域范圍進行沉降基準點的埋設，數量為3個，將其設為BM1、BM2以及BM3。假設BM1的高程為5米，并將其作為以基準點和監測點的高程測定為目的起算點。

場地存在有8個水準儀以及沉降盤，到2011年11月份為止，一共進行了111次的測試，結果顯示最大沉降量為0.878米，最后一次測量顯示沉降速度為每天0.003米。對監測曲線進行分析，可見，在填土堆載的剛開始階段，因為機械以及局部填土堆積過高的原因，導致一些監測點存在沉降過大的情況；而在填筑預壓的過程中，沉降曲線轉折，并顯著下沉，滿載后曲線趨向于平緩狀態。曲線如下圖所示：

1.3 孔隙水壓力監測結果

在對孔隙水壓力進行監測的過程中，主要采用振弦式孔隙水壓力計進行監測，在插板之前，將其埋設在軟土層沿鉛垂方向不同的位置，從而對于孔隙水壓力進行測試。其中隨著填砂厚度的不斷增加，有兩個孔的孔隙水壓力也開始相應增大，當所有孔位區域處在加載后期的最大值使，孔隙水壓力值將會小幅度下降，最終收斂。詳細曲線如下圖所示：

1.4 水位監測結果

將孔隙水壓力計埋設后，將水位觀測管進行布設，在插板以及堆載期間需要保持每隔24小時進行一次觀測。當其滿載后，則需要每隔48小時進行一次觀測，并對觀測的日期以及時間進行統計和記錄。

根據該項目的監測結果顯示，其中累加的最大位移量為-1596.5毫米，最后一次監測結果顯示變化量是+4.0毫米，+號表示水位上升。在對軟土地基進行處理的過程中，地下水位逐漸下降。如下圖所示：

1.5 水平位移監測結果

結合監測方案的設計情況以及現場的實際情況，對水平位移基準點進行埋設，埋設區域需要保證不會受到施工影響，然后進行水平位移監測。在觀測過程中，需要采用檢驗合格的全站儀進行觀測，并使用極坐標對其進行分析，并對數據進行處理和分析。

根據該項目的監測結果顯示，其中累加的最大位移量為-23.66毫米，最后一次的檢測結果顯示，位移速度為每天-0.52毫米，負號表示向堆載區域外進行移動。堆載區的水平位移在加載量增加的基礎上相應增加，向堆載區外的位移量逐漸加大。

1.6 深層位移監測結果

采用埋設測斜管的方式對深層位移進行監測，測斜管在第二級堆載施工之前開始進行初始數據讀取，在堆載期間，每隔24小時進行一次監測，滿載一個月后則變更為每隔48小時進行一次監測，監測誤差需要控制在1毫米以下。監測結果顯示，累加的最大位移量為+155.0毫米。在堆載區，加載量的增加，測斜管向堆載區外位移量也加大。

1.7 十字板剪切試驗

十字板的剪切試驗過程中，對軟土層進行每隔1米需要進程一次試驗，使用原狀土的Cu指標，十字板剪切試驗的位置和深度在加固前后需要保持一致，從而有利于進行對比和分析。

經過對淤泥層堆載預壓前后進行十字板剪切試驗，表明了原狀土在抗剪強度上比堆載預壓之前較好，預壓效果顯著。

2 巖土工程測試

2.1 測試目的

對軟土地基的處理親后進行鉆孔取土，并將其進行土工試驗，從而對其物理指標以及力學指標進行確定，并對軟土處理效果進行分析。

2.2 測試方法

加固前后進行取土，并將其進行土工試驗，加固前后的取土位置需要對應，從而有利于分析，終孔深度為淤泥層以上粘土層兩米，每一個2米進行一次土樣獲取。試驗的主要內容包括了物質指標中的粘性土的天然含水量W、天然重度γ、液限等以及砂土的相對密度Gs、顆粒組成D、自然休止角等；力學指標則包括了固結試驗的壓縮系數，豎向和水平固結系數Cv和Ch，壓縮模量以及壓縮指數等。

2.3 試驗完成情況以及資料整理結果

經過兩次的取樣和土工試驗，并對加固前后的指標進行比較，過程中加固前后共有4個試驗孔，詳細數據如下表所示：

2.4 載荷試驗

經過現場檢測表明，最大試驗荷載與最大試驗壓力和承壓板面積的乘積相等，最大的試驗壓力需要為地基承載力特征值的2倍，此次檢測的最大試驗荷載為120kN。在正是試驗前需要進行預壓，取最大試驗荷載的8%，預壓后卸載為0，將百分表讀數作為初始值。采用逐級等量加載的方法進行試驗。每一級施加荷載的5、15、30、45和60分鐘進行沉降量測量，之后每隔半小時進行一次。卸載過程采用逐級等量卸載。卸載過程中每級荷載需要維持在半小時，并對5、15、30分鐘進行沉降量測量，卸載至0時測量一次，2小時后再測量一次。

2.5 水工建筑兩年期水平位移以及沉降的觀測結果

監測數據顯示最大累加位移量為+10.1毫米，最后一次變化量為+2.5毫米，最大累加沉降量為-36.03毫米，最后一次沉降量為+9.18毫米。

2.6 軟土層固結度的計算

公式如下：

其中為地基土的最終沉降量，S1-S3為地基滿載后t1-t3的沉降量。

2.7 監測精度的統計和質量評價

閉合環線中的測站高差中誤差公式如下：

計算顯示表面沉降監測閉合環形的測站高差中誤差為±0.247毫米，水工構筑物沉降觀測閉合環線的測站高差中誤差為±0.182毫米。均滿足±0.50毫米的要求。

極坐標點位中誤差估算公式如下：

結果顯示點位測量誤差為±1.5毫米，因測站以及目標對中誤差各0.2毫米，點位觀測精度有效控制在了±1.9毫米之內，坐標測量精度控制在了±1.4毫米之內。測量精度滿足±3.0毫米的要求。

參考文獻：

[1]王偉.重慶融僑大道雙層螺旋橋模板支撐體系的地基處理[J].建筑施工，2010，1（8）：11-13.

[2]關麗,范炳娟.道路軟土地基處理方法分析[J].遼寧省交通高等?？茖W校學報，2006，2（1）：23-24.

[3]劉宏.淺談動力排水固結法處理沿海地區碼頭軟弱地基技術[J].科技傳播，2011，3（12）：54-55.

木馬檢測范文3

關鍵詞： 木馬 端口 自啟動 共性

特洛伊木馬，簡稱木馬，是指這樣一種計算機程序：它們通常偽裝成一個正常的程序進入用戶的計算機中，并以欺騙的方式誘使用戶運行，然后潛伏在被入侵的計算機中，竊取敏感資料，伺機將竊取的資料發送給木馬客戶端持有者，或控制被入侵的計算機。一臺機器如果被植入了木馬程序，其損失是無法估量的。

1 當前木馬的概況

隨著互聯網技術的迅猛發展，網絡安全問題正日漸凸顯，單純破壞計算機的病毒時代已經一去不復返了，取而代之的是更多具有非法謀利特征的木馬病毒。木馬病毒不但會破壞用戶的計算機和數據，它們更多的是竊取用戶機器中的敏感資料，在為木馬的控制者非法謀利的同時，給用戶造成更大的傷害。

1.1木馬病毒的特點及危害

木馬病毒的兩個顯著特點是竊取內容和遠程控制。就是說，木馬具有遠程控制計算機系統以及捕獲用戶的屏幕、每一次擊鍵、用戶資料等的能力，這意味著木馬能夠輕松地竊取用戶的密碼、網絡通訊記錄、存儲在計算機中的個人材料等信息。如果計算機上有麥克風，木馬還可以進行竊聽，如果計算機上連有攝像頭，木馬還可以把它打開進行視頻監視。木馬病毒不但威脅著用戶的計算機，更加嚴重地威脅著用戶的隱私，所以其危害程度遠遠超過其它的普通病毒。

1.2 木馬的發展趨勢

隨著網絡安全技術的不斷提高，木馬也在向更高的級別發展。以前的木馬技術因為其植入方式明顯、隱蔽性差等缺點，已經逐步失去了生存的空間。為了使木馬躲過殺毒軟件的查殺和防火墻，更進一步發揮木馬的侵害性，木馬高手們針對其弱點進行了多方探索和改進。在傳播方式上，通過關聯、QQ聊天、郵件附件、Flash點播、視頻點播等多種方式誘騙用戶點擊下載木馬服務器端；在木馬的隱蔽性上也在大做文章：不產生圖標，隱藏在系統文件夾中，無聲息地啟動，偽裝成系統進程或DLL文件，甚至采用線性技術將木馬服務以線程的方式運行在一個合法進程中間等方法，使得木馬的檢測難度大大增加。

2 木馬的特征

木馬的發展已有多年，種類有上萬種之多，但是木馬的主要目的是相似的，都是為了遠程控制和竊取資料，因而它們存在著很多的共性，總結起來有以下幾個：

2.1 隱蔽性

隱蔽性是木馬的首要特征。木馬程序的目的決定了它們必須長時間悄悄地運行于被入侵的主機中不被發現。木馬的隱蔽性主要體現在以下幾個方面:一、不在系統中產生任何提示性的圖標；二、將自身文件隱藏在系統文件夾中，并命名成與系統文件極相似的名字；三、悄無聲息地啟動，并在任務管理器中隱形或直接以線程方式注入到系統進程中；四、偽裝成DLL文件或驅動程序。

2.2 自動運行性

木馬為了能長期控制入侵主機，隨時竊取資料，一般會通過修改注冊表或系統配置文件的方式使被入侵主機在重新啟動后能自動加載木馬程序。最常用的方法是潛入到系統配置文件中，隨系統啟動一起啟動。

2.3 網絡通信

木馬為了遠程控制被入侵主機或竊取資料后要將其傳遞到控制者手中，就必須要通過網絡通信才能完成。

2.4 欺騙性

只有通過各種欺騙手段，木馬的控制者才能將木馬成功地值入被入侵主機中，并使用戶運行木馬客戶端。例如：把木馬服務器與多媒體文件捆綁或添加到網頁超鏈接上。

一個成功的木馬程序必須具備上述四個特征，缺一不可。因此，我們可以利用上述的任何一個特征來防范木馬的入侵。一旦阻止了木馬的上述特征中的某一個的實現，就可以成功阻止木馬的入侵。

3 利用木馬的共性防范木馬

3.1 特征碼檢測技術

特征碼檢測技術是目前木馬檢測所采用的主要技術，即將木馬看做是一種特殊的病毒，提取木馬樣本的特征碼，放到病毒庫中，當查毒時，如果掃描到文件與特征碼符合，則斷定其是木馬程序。特征碼檢測技術對于已知病毒、木馬等惡意代碼非常有效，且檢測速度快，因此現在在殺毒軟件中被廣泛使用。但是特征碼技術也存在一個先天的缺陷，就是對出現的新特征病毒無能為力。

3.2 利用木馬的自啟動特征監控木馬

自動運行性是木馬的一個重要特性，是每一個木馬所必須具備的。此方法正是利用了木馬的這一共有特征來進行檢測。只要從底層對系統啟動文件夾和系統配置文件夾及注冊表中與自啟動相關的目錄進行監控，就是可監控木馬的入侵。這種方法不僅能夠檢測已知的木馬程序，還可以檢測新出現的木馬。

4 防范木馬的幾點建議

4.1 不要輕易相信從任何地方得來的任何文件，打開前一定做好徹底的防毒檢查。

4.2 要經常對操作系統的安全漏洞進行修補和更新，對嚴重的安全漏洞一定要及時修補。

4.3 安裝新版正版殺毒軟件和防火墻，并堅持每天升級。

4.4 上網時注意系統所使用的端口，對1024以上的端口要密切關注。

4.5 存放敏感信息的計算機發現運行情況不對時，要立即斷開網絡連接，然后進行木馬的查殺。

5 小結

本文總結了木馬所必須具備的四個共性，只要能夠監控好其中任何一個特性，都可以阻止木馬程序的入侵。下一步的工作是綜合木馬的這些特性，來進一步研究識別木馬的技術，讓這些害人之馬無處藏身。

參考文獻:

木馬檢測范文4

關鍵詞:網絡監聽;網絡攻擊;通信隱藏;防火墻

中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2010) 10-0000-01

Trojan Attack Analysis and Response

Tang Yi

(Suzhou University of Science and Technology,Suzhou215009,China)

Abstract:This paper analyzes Trojan horse attacks,Trojan horse attacks are described details the main technology,and then launched a discussion of their responses,given the idea of testing procedures.

Keywords:Network monitoring;Network attacks;Communication hidden;Firewall

一、引言

據公安部一份調查報道顯示,我國近幾年的計算機用戶感染病毒、木馬的比例連續多年都在80%以上。特洛伊木馬(Trojan horse,簡稱木馬)來源于古希臘神話,Dan Edwards將這一名稱引入計算機領域。木馬和病毒、蠕蟲之類的惡意程序一樣,具有很大的危險與破壞性。能夠刪除或修改文件、上傳和下載文件、盜用客戶信息等。這些年伴隨著木馬在通信隱藏、程序隱藏等方面的不斷發展,對付其越來越具有了難度。本文針對木馬及其一般攻擊的方式進行分析,并且探討應對措施。

二、典型的木馬攻擊方式

木馬的攻擊方式,在本文主要是知其如何地進行感染與滲透,并且進行自身的隱藏,以及進行資料的搜集或者破壞等活動。木馬其攻擊過程的一個典型過程如下:當服務器端在目標計算機上被執行后,這時木馬程序開啟默認的端口從而實現監聽,而在客戶機給服務器的程序發出鏈接請求要求時,就進行響應:有關程序開始運行實現對答客戶機的應答,這樣就建立了服務器端程序跟客戶端之間的連接。建立鏈接以后,指令從客戶端來發出,而服務器中則進行指令的分析與執行,并將數據傳送到客戶端,以達到控制主機的目的。

三、木馬攻擊方式重要技術分析

(一)目標的感染與植入

向目標主機成功植入木馬是木馬成功運行、發揮作用的前提。這一過程通常包含偽裝、捆綁、漏洞利用等一切可能利用的技術手段。這個過程主要有:1.腳本種植技術。利用網頁木馬,網頁木馬就是當用戶瀏覽某網頁時,自動下載并運行某“木馬”程序。2.利用腳本方式植入。通過ScriPt、Activex及AsP、cGI交互腳本的方式植入。3.利用系統漏洞植入。利用系統的其他一些漏洞進行植入。4.遠程安裝。通過一定的方法把木馬執行文件傳送到目標主機的電腦里再進行遠程安裝。

(二)自動加載

在自動加載過程,本身也是一個隱藏著的行為。這需要在操作系統啟動的時候同步地啟動自身,以此達到讓木馬在宿主機中自動運行的目的。常見的木馬啟動方式有:啟動項加入注冊表;win.ini和System.ini中的load節中添加啟動項;Autoexe.bat中添加;修改Boot.ini的配置;修改Explorer.exe參數等等。

(三)進程隱藏以及文件隱藏

早期的木馬進程的隱藏采取的措施比較簡單,Windows9x系統要實現進程的隱藏可以通過把木馬程序注冊為服務的方式來達到。在Windows Nt/2000下,有些進程名字改得和系統進程非常相似,迷惑使用的人;也有的利用HOOK API技術修改函數的入口點欺騙列舉本地進程的api函數;當然更好的是使用Rundll32.exe設計技術運行木馬本身,這樣在進程列表中顯示出來的就是Rundll而非木馬的可執行文件名,文件管理器中不能正確地列出木馬的可執行文件。除了進程隱藏,還需要對靜態文件的隱藏于保密,這里不贅述了。

總而言之,各懷鬼胎的木馬通過以上隱秘的方式,實現了對計算機的攻擊。

四、木馬防范及應對

(一)意識層面

提高警惕,養成良好的習慣。時刻關注電腦運行的情況,當出現異常情況時如:系統自行運行文件、系統變慢、網絡流量異常等,要提高警惕,查殺系統。養成良好的上網習慣,不要上一些有問題的網站,不要隨意下載免費軟件,不要隨意打開郵件附件。

(二)技術層面

1.系統漏洞補丁的更新,及時為系統打上最新補丁。2.利用一些專殺工具。由于木馬專殺工具往往對特點木馬有非常好的效果,可以考慮周期性的進行應用。3.使用防火墻或者系統自帶的功能如IP安全策略、端口篩選等,關閉系統特定端口,以阻斷木馬服務端與控制端的連接。

五、木馬檢測程序設計思路

對于一般使用者,可以積極采用4中所述的方法進行應對。對于更加專業的人員,可以根據木馬的特點開發應對木馬的工具。目前主要的木馬檢測方法都是對被人們已經發現的木馬程序在在植入系統過程中及在系統中運行時的這些靜態特征進行分析,提取出這些靜態特征,構建木馬的靜態特征庫,從而進行靜態特征檢測。但是這種方法強烈依賴于對木馬的各種隱蔽和變化特征的深刻了解,所以檢測能力不足,對未知的木馬更是無能為力、有根本性的缺陷,更好的方法是應用對動態行為監測之方法?？紤]到木馬行為的隱蔽性和目的的惡意性,從這兩點區別入手,用動態的方法控制木馬植入、隱蔽和惡意操作行為所需要的資源條件,監控木馬運行、通信、啟動的隱蔽行為和惡意操作,對木馬進行檢測和防范。當然,也可以從動靜兩方面結合來進行木馬的監測與阻隔。

這些行為的實施,更加有賴于對木馬攻擊方式的了解,要看到木馬技術一直處于發展與升級的過程中,所以應對它也決不能喪失警惕,需要不斷發現其攻擊方式的新技術、新特征,從而提出更好的應對方法。

參考文獻:

[1]周宗元,孔健行,武克南.線程插入技術的研究與防范[J].電腦知識與技術(學術交流),2007,17

[2]王戰浩.木馬攻擊與防范技術研究[D].上海交通大學碩士學位論文,2007

木馬檢測范文5

關鍵詞：網絡安全；網絡入侵；網絡檢測

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)34-1822-03

Network Intrusion Detection Technology Analysis

REN Wei

(Shanghai Dianji University, Shanghai 200093, China)

Abstract: Intrusion Detection is a relatively new and rapidly developing field, has become the network security architecture is an important link. This article describes the invasion of the main network technology, combined with the existing network intrusion detection technology, based on analysis of the key features of intrusion detection techniques based on anomaly intrusion detection technology, the two discussed the merits of intrusion detection techniques and problems, as well as Network intrusion detection technology application.

Key words: network security; hacking; network testing

1 主要網絡入侵技術分析

1.1 木馬入侵分析

特洛伊木馬是Trojan Horse的中譯，是借自”木馬屠城記”中那只木馬的名字?，F今計算機術語借用其名，意思是”一經進入，后患無窮”。特洛伊木馬原則上它和Laplink等程序一樣，只是一種遠程管理工具。而且本身不帶傷害性，也沒有感染力，但是卻給入侵者提供了對主機的完全控制的權限，可以為所欲為。特洛伊木馬駐留在目標計算機里，可以隨計算機自動啟動并在某一端口進行偵聽，在對接收的數據識別后，對目標計算機執行特定的操作。其實質只是一個通過端口進行通信的網絡客戶機用及務程序。對于特洛伊木馬，被控制端就成為一臺服務器，控制端則是一臺客戶機。木馬程序的服務器端，為了避免被發現，多數都要進行隱藏處理，隱藏技術目前可分兩種一種是作為服務和作為線程融入內核把木馬服務器端的程序注冊為一個服務，這樣木馬就會從任務列表中消失了另一種是木馬作為一個線程，一個其它應用程序的線程，把自身注入其它應用程序的地址空間，增加查殺的難度。黑客還是用種種手段躲避了這種偵察，一種是合并端口法，使用特殊的手段，在一個端口上同時綁定兩個TCP或者UDP連接，目前出現了使用類似方法的程序，通過把自己的木馬端口綁定于特定的服務端口之上(比如80端口的http)從而達到隱藏端口的目地另外一種辦法是使用ICMP協議進行數據的發送，原理是修改ICMP頭的構造，加入木馬的控制字段，這樣的木馬具備很多新的特點，不占用端口的特點，使用戶難以發覺，同時使用ICMP可以穿透一些防火墻，從而增加了防范的難度。之所以具有這種特點，是因為ICMP不同于TCP，UDP，ICMP工作于網絡的應用層不使用TCP協議。

當木馬入侵成功時，會在主機上產生一些入侵特征。對木馬入侵的分析，主要從以下幾個特征入手：

1) 主機注冊表的改動，一般的木馬都會在主機的注冊表中寫入特定的信息。

2) 特定文件的出現，不同的木馬程序在文件系統中會存在相應的特征文件。

3) 系統中新增服務的監測。

4) 系統中系統文件的修改信息新文件，或者文件修改的日期，大小變化等。

5) 陌生端口的開放。

6) 對開放端口的監聽進程的變更信息。

7) 異常連接的出現。

8) 主機網絡流量的異常。

9) 進程列表中的可疑進程。

10) 基于特定進程的CPU高達100%的情況，可能是木馬在進行網絡搜索。

1.2 Worm入侵分析

蠕蟲自病毒是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性，同時具有自己的一些特征，如不利用文件寄生，對網絡造成拒絕服務，以及和黑客技術相結合。在產生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網絡的發展使得蠕蟲病毒可以在短短的時間內蔓延整個網絡，造成網絡癱瘓。蠕蟲在實質上是一個執行自動入侵過程的工具，其傳播過程分為掃描，由蠕蟲的掃描功能模塊負責探測存在漏洞的主機攻擊，攻擊模塊對找到的漏洞進行攻擊，取得該主機的權限復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動。

當網絡中發生蠕蟲病毒攻擊時，其主要的特征信息表現如下：

1) 主機文件系統中，特定文件被修改或者添加，修改內容包括文件的大小，最后修改時間。

2) 主機注冊表發生變動，有新添加的內容。

3) 基于被懷疑主機對外進行掃描，產生大量的數據流量。

4) 被懷疑主機對不同的陌生主機產生大量異常連接。

5) 在一段時間內，被懷疑主機大量發送。

6) 被懷疑主機新增可疑進程。

7) 主機對陌生網站進行的訪問或者下載操作等活動。

8) 在被懷疑的主機發出的郵件中含有特定的關鍵詞。

9) 被懷疑感染的主機在特定的端口產生一個連接。

1.3 DOS攻擊分析

拒絕服務攻擊是目前黑客廣泛使用的一種攻擊手段，利用合理的服務請求來占用過多的服務資源，從而使合法用戶無法得到服務的響應，從而導致宕機或網絡癱瘓。分布式拒絕服務DDOS攻擊手段是在傳統的DOS攻擊基礎之上產生的一類攻擊方式。DDOS就是利用更多的傀儡機來發起進攻，以創造比從前更大的規模來進攻受害者。DOS攻擊按原理分為兩類一類是協議攻擊，協議攻擊是指黑客利用某個網絡協議設計上的弱點或執行上的bug消耗大量資源，例如DNSDOS，SYN和LAND攻擊，Ping of Death，碎片，Ping storm或者ICMP Flood，Smurf攻擊，UDP Bomb或者flood，UDP Snork攻擊等；另一類是暴力攻擊，暴力攻擊是黑客使用大量正常的聯機消耗被害目標的資源，由于黑客會準備多臺主機發起攻擊目標，只要單位時間內攻擊方發出的網絡流量高于目標所能處理速度，即可消耗掉目標的處理能力，而使正常的使用者無法使用服務。

DOS攻擊的特征主要表現為：

1) 一段時間內發往某主機或從主機發出的數據流量異常。

2) 特定類型的數據流量或者端口流量異常增加。

3) 發往特定主機的數據流量產生數次大的起伏。

4) 被攻擊主機上有大量等待的連接。

5) 網絡中充斥著大量的無用的數據包。

2 網絡入侵檢測技術

2.1 網絡入侵檢側技術分類

按照判斷入侵的方法分類，目前入侵檢測主要還是分為基于特征的入侵檢測技術與基于異常的入侵檢測技術。

1) 基于異常的入侵檢測

基于異常的入侵檢測，簡稱異常檢測。它的基本假設是入侵活動具有不同于正常用戶活動的特征，即入侵活動表現為異常。首先根據主體的歷史活動記錄，為每個主體建立正?；顒拥摹盎顒雍啓n”，將當前的主體活動與“活動簡檔”進行比較，如果差異大于某個預定義的值，就認為這是一次入侵。

基于異常的入侵檢測技術優點在于異常檢測只檢測被認為是不正常的行為，所以它可在不知道很多安全知識的情況下檢測出攻擊；另外由于統計學技術的使用，異常檢測可發現新的攻擊模式，甚至可用于產生誤用檢測的攻擊特征庫。這種技術存在最明顯的缺點是因為用戶和網絡的行為變化很復雜，異常檢測方法的誤警率很高，另外異常檢測方法需要大量和良好的訓練數據，這個數據比較難得到。所以提高異常檢測的準確度是一個很困難的工作，希望隨著對網絡行為有更深入的認識，異常檢測技術可解決準確率不高的問題。

2) 基于特征的入侵檢測

基于特征的入侵檢測，簡稱特征檢測。首先將已知的每種入侵方法都表示成一條入侵規則，將當前發生的活動與入侵規則集進行匹配，如果當前的活動與某條入侵規則匹配就認為是采用該種入侵方法發起的一次攻擊。異常檢測系統的優勢在于能夠發現未知的攻擊，通過采用適當的自學習算法，

基于異常的入侵檢測系統一旦建立，可以不必修改和更新。它的缺點是建立系統主體正?；顒拥摹盎顒雍啓n”和設置合適的臨界值都比較困難、誤警率高。特征檢測系統的優點是準確率高，它的不足在于難以發現未知攻擊，攻擊模式庫需要不斷更新。

基于特征的入侵檢測系統的優點在于它能夠精確地確定攻擊，相對于基于異常的系統來說，產生更少的誤報(把正常的活動歸類為惡意的)。這種系統容易實現，并且配置起來相對更簡單，尤其對于大型網絡更是如此。因而，幾乎所有的商業系統和大多數正在使用的系統都采用基于特征的檢測。盡管基于異常的系統提供了能夠提前發現未知侵襲的優點，但是處理大量誤報的花費使人們對它望而卻步。因為異常檢測方法難以實現，所以很少被采用所有的商業入侵檢測系統都采用了某種形式的特征檢測方法。

2.2 網絡入侵檢測技術的適用性

入侵監測系統的模式匹配即通過數據包的分析，并匹配自身的規則庫，如果能夠匹配就產生事件報警或者保留準備更多相關情況的分析，否則就丟棄。

模式匹配的類型有：

1) 協議匹配。通過協議分析模塊，將數據包按照協議分析的結果對協議相應的部分進行檢測。比如，TCP包的標志位，協議異常等。

2) 字符串匹配。目前，這是大多數IDS最主要的匹配方式，事件定義者根據某個攻擊的數據包或者攻擊的原因，提取其中的數據包字符串特征。通常IDS經過協議分析后，進行字符串的匹配。

3) 大小匹配，或者長度匹配。多數情況下，這也應該屬于字符串匹配的一種，不過，這種匹配方式對數據包中某段數據的長度而不是對具體的字符串進行匹配。比如，通過數據長度限制來對緩沖區溢出攻擊進行檢測。

4) 累積匹配，或者量匹配。通過對某些事件出現的量來產生新的事件，比如某個IP在1分鐘內報出100了條通用網關接口CGI事件，那么就屬于一次掃描事件。

5) 邏輯匹配，或者是集合匹配。一些有更強事件檢測能力的IDS，通過對不同類型的事件組合來進行判斷，從而獲得新的事件。少數IDS對多種事件的組合來構成邏輯推理，增強檢測的智能，即關聯。

雖然，入侵檢測系統存在累計與簡單的關聯，但是缺乏綜合分析多種安全設備發來的事件的能力。

入侵檢測技術作為防火墻技術的重要補充，能對內部攻擊、外部攻擊和合法用戶誤操作進行實時檢測，及時攔截和響應入侵。盡管目前基于入侵檢測領域還有很多問題需要深入研究，但可以展望，基于入侵檢測技術的發展將對信息的安全保護產生深遠的影響。

參考文獻：

[1] 韓德志,謝長生.一種高性能防火墻系統的設計與實現[J].計算機應用,2002(7):32-35.

木馬檢測范文6

關鍵詞：機理；網絡安全；特洛伊木馬；端口

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)23-911-02

The Attack and Protection of TrojanHorse

WANG Fu-qiang1, CHEN Yan2, REN Zhi-kao1

(1.Qingdao University of Science and Technology, the College of Information Science and Technology, Qingdao 266061, China ;2.The 2nd Vocational Middle School of Baoding City of Hebei Province, Baoding 071000, China)

Abstract: Have defined TrojanHorse and have set forth whose reason, have come true using the VC Winsock control to compile and compose the network customer/ serving pattern procedure, the mechanism having discussed the TrojanHorse job, has analysed whose principal character , has moved and detecting and the software while you're at it checking the method weakening bilayer protecting damage must take TrojanHorse seriously as TrojanHorse method having made investigation and discussion , having suggested that need to defend the consumer information and the network safety reinforcing protection thereby.

Key words: Mechanism; Network Security; TrojanHorse; Port

1 引言

“特洛伊木馬”也稱trojanHorse，原指古希臘士兵藏在木馬內進入敵方城市從而占領敵方城市的故事。在Internet上，“特洛伊木馬”指一些程序設計人員(或居心不良的馬夫)在其可從網絡上下載(Download)的應用程序或游戲外掛或網頁中，包含了可以控制用戶的計算機系統或通過郵件盜取用戶信息的惡意程序，可能造成用戶系統被破壞、信息丟失甚至系統癱瘓。

“特洛伊木馬”的本質是一個程序，自動獲取計算機相關系統信息和安全信息的程序，隨計算機自動啟動而啟動，附在某一端口偵聽目標計算機。其實質只是一個通過端口進行通信的網絡客戶/服務程序。

2 實現原理與控制原理

網絡客戶/服務模式的原理是一臺主機提供服務（服務器），另一臺主機接受服務（客戶機）。作為服務器的主機一般會打開一個默認的端口并進行監聽(Listen)， 如果有客戶機向服務器的這一端口提出連接請求(Connect Request)， 服務器上的相應程序就會自動運行，來應答客戶機的請求，這個程序稱為守護進程。對于“特洛伊木馬”，被控制端是一臺服務器，控制端則是一臺客戶機，G_server.exe是守護進程， G_cliet.exe是客戶端應用程序。

2.1 實現原理

可以VC的Winsock控件來編寫網絡客戶/服務程序， 實現如下：

服務器端： G_Server.LocalPort=7626（冰河的默認端口，可修改）；G_Server.Listen（等待連接）

客戶端：

G_Client.RemoteHost=ServerIP（設遠端地址為服務器地址）

G_Client.RemotePort=7626（設遠程端口為冰河的默認端口）

（在這里分配一個本地端口給G_Client，也可讓計算機自動分配）

G_Client.Connect（調用Winsock控件的連接方法）

一旦服務端接到客戶端的連接請求ConnectionRequest，就接受連接

Private Sub G_Server_ConnectionRequest(ByVal requestID As Long)

G_Server.Accept requestID

End Sub

客戶端用G_Client.SendData發送命令，而服務器在G_Server_DateArrive事件中接受并執行命令（幾乎所有的木馬功能都在這個事件處理程序中實現）

如果客戶斷開連接，則關閉連接并重新監聽端口

Private Sub G_Server_Close()

G_Server.Close（關閉連接）

G_Server.Listen （再次監聽）

End Sub

客戶端上傳一個命令，服務端解釋并執行命令。

2.2 控制原理

以用戶權限運行的木馬程序主要功能進行簡單的概述， 主要使用Windows API函數。

1）遠程監控（控制對方鼠標、鍵盤，并監視對方屏幕）

keybd_event模擬一個鍵盤動作；mouse_event模擬一次鼠標事件 ；mouse_event(dwFlags，dx，dy，cButtons，dwExtraInfo)dwFlags； MOUSEEVENTF_ABSOLUTE 指定鼠標坐標系統中的一個絕對位置 ……

2）記錄各種口令信息

keylog begin：將擊鍵記錄在一個文本文件里，同時還記錄執行輸入的窗口名

3）獲取系統信息

(a) 取得計算機名 GetComputerName ；(b) 更改計算機名 SetComputerName

(c) 當前用戶 GetUserName ；(d) 系統路徑

Set FileSystem0bject = CreateObject("Scripting。FileSystemObject")(建立文件系統對象)

Set SystemDir = FileSystem0bject。getspecialfolder(1)(取系統目錄) ……

4）限制系統功能

(a) 遠程關機或重啟計算機，使用WinAPI中的如下函數可以實現：

ExitWindowsEx(UINT uFlags，DWORD dwReserved)

當uFlags=EWX_LOGOFF 中止進程，然后注銷

=EWX_SHUTDOWN 關掉系統但不關電源

=EWX_REBOOT 重新引導系統

=EWX_FORCE強迫中止沒有響應的進程

=EWX_POWERDOWN 關掉系統及關閉電源

(b) 讓對方掉線 RasHangUp

(c) 終止進程 ExitProcess

5）遠程文件操作 ：刪除文件(File delete)；拷貝文件(File copy)；共享文件：Export list（列出當前共享的驅動器、目錄、權限及共享密碼）

6）注冊表操作：

在VB中設置Set RegEdit=CreateObject ("WScript.Shell")，開放以下的注冊表功能：

刪除鍵值：RegEdit.RegDelete RegKey

增加鍵值：RegEdit.Write RegKey，RegValue

獲取鍵值：RegEdit.RegRead (Value)

TrojanHorse控制某些端口或鏈接某個端口，如20端口，21端口和80端口……，TrojanHorse通過遠程控制、發送密碼、記錄鍵盤甚至發動Dos攻擊等對源機實施泄漏、盜取賬號和密碼等破壞行為，故要引起高度重視，有效預防。

3 危害與基本特征

“特洛伊木馬”程序一般分為服務器端程序和客戶端程序兩個部分，以尋找后門、竊取密碼為主。 “特洛伊木馬”通過跟蹤擊鍵輸入等方式，竊取密碼、信用卡號碼等機密資料，還可以對電腦進行跟蹤監視、控制、查看、修改資料等操作。

隱蔽性：“特洛伊木馬”隱藏在系統中，通過修改注冊表和ini文件依附在其他程序中，下一次啟動后仍能載入木馬程序（或者有把服務器端和正常程序通過exe-binder綁定程式完成入侵，甚至把自身的.exe文件和服務器端的圖片文件綁定）等等。

自動運行性：當系統啟動時即自動運行，潛入在相關系統啟動文件中如win.ini、system.ini、winstart.bat以及啟動組等。

欺騙性：“特洛伊木馬”借助系統中已有文件或常見文件名或擴展名，如“dll\win\sys\explorer等字樣，仿制一些不易被人區別的文件名，甚者借用系統文件中已有的文件名，另行保存或者設置ZIP文件式圖標等等實現對機器和管理員的欺騙。

具備自動恢復功能：“特洛伊木馬”功能模塊不再是由單一的文件組成，而是具有多重備份，可相互恢復。

能自動打開特別的端口：“特洛伊木馬”的目的是為了獲取系統中有用的信息，一旦與遠端客戶通訊，“特洛伊木馬”就會記錄關鍵信息造成外泄。

功能的特殊性：“特洛伊木馬”具有搜索cache中的口令、設置口令、掃描目標機器人的IP地址、進行鍵盤記錄、遠程注冊表的操作、以及鎖定鼠標等功能特殊性。

如今為了防備被跟蹤追查，“特洛伊木馬”一般采用只有服務器端的“小”木馬：把系統關鍵信息如密碼等發到一個郵箱里，通過后續步驟完成對系統的控制，為此需要手動和軟件查殺雙層防護。

4 防護方法

1）軟件查殺：現在對病毒的查殺，習慣于軟件查殺，常用的反“特洛伊木馬”軟件有瑞星殺毒軟件、木馬克星、360安全衛士等它們對“特洛伊木馬”都有一定的防護功能和查殺功能。建議：在使用殺毒軟件查殺“特洛伊木馬”時，一要保持殺毒軟件的及時升級和更新，二要在斷開網絡在安全模式下完成查殺。

2）手動檢測：根據“特洛伊木馬”的特征，在注冊表，文件名和端口以及進程等方面可以進行手動檢測：

查找“特洛伊木馬”特定文件 ： “特洛伊木馬”的一個特征文件是kernl32.exe，另一個是sysexlpr.exe，刪除了這兩個文件，就等于關閉了“特洛伊木馬”。

檢查注冊表 ：“特洛伊木馬”可以通過注冊表啟動（大部分的“特洛伊木馬”都是通過注冊表啟動的），故通過檢查注冊表搜索注冊表的蛛絲馬跡。

端口掃描與查看連接： 掃描程序嘗試連接某個端口或某個連接， 如果成功， 則說明端口（連接）開放；如果失敗或超過某個特定的時間（超時）， 則說明端口（連接）關閉。

Windows的“系統文件檢查器”：對于驅動程序/動態鏈接庫木馬，通過Windows的“系統文件檢查器”，“開始”“程序”“附件”“系統工具”“系統信息”“工具”“運行”“系統文件檢查器”檢測操作系統文件的完整性。如果這些文件損壞，檢查器將其還原，甚至完成從安裝盤中解壓縮已壓縮的文件（如驅動程序等）。如果驅動程序或動態鏈接庫在沒有升級的情況下被改動了，就有可能是“特洛伊木馬” （或者損壞了），提取改動過的文件可以保證你的系統安全和穩定。

任務管理器：通過查看空閑下性能狀態：CPU和內存的使用率以及進程的開放量，檢測是否多占用或超運作，完成檢測。

5 結束語

隨著信息技術的發展，“特洛伊木馬”的變種也在日新月異，對系統造成的危害也在進一步加大，需要防患于未然。但只要在使用系統過程中，訪問安全網站，對不信任的ActiveX控件不做連接嘗試，并升級殺毒軟件，使用正確的軟件查殺，并定期進行手動檢測，相信“特洛伊木馬”必將無所遁形，用戶信息的安全必將得到維護，系統的穩定性也必將得到保證。

參考文獻：

[1] 閆峰,劉淑芬.基于逃避行為檢測的特洛伊木馬技術研究[J].吉林大學學報（信息科學版）,2007,25(6):641-645.

[2] 匡立人,楊宇.“木馬”原理及其VB簡單實現分析[J].現代商貿工業,2007，(12):259-260.

[3] 張新宇,卿斯漢,馬恒太,等.特洛伊木馬隱藏技術研究[J].通信學報,2004,25(7):153-159.

[4] 林小進,錢江.特洛伊木馬隱藏技術研究[J].微計算機信息,2007，(33):59-60.

[5] 張穎卓.特洛伊木馬分析與防范[J].現代計算機（下半月版）,2007，(11):79-80.