木马隐藏技术分析

第18卷第4期上海电力学院学报Vol.18,No.42002年12月Journal of Shanghai Universi ty of Electric PowerDec. 2002文章编号:1006-4729(2002)04-0029-04黑客木马程序的技术内秘分析收稿日期:2002-04-02基金项目:上海电力学院青年基金资助课题王 勇,李志斌,段存升(上海电力学院信息控制系,上海 200090)摘 要:从木马程序的隐藏技术、自动加载技术和通讯技术3个方面进行了详细的技术分析,总结出木马程序的一般设计原理.在隐藏技术中着重阐述了任务栏隐藏、任务管理器隐藏、进程隐藏和端口隐藏等技术.在自动加载技术中分析了如何通过修改注册表来实现木马程序的自动运行,并分析了木马的客户服务器模式通讯技术.最后给出了防范木马入侵的一般方法.关键词:木马程序;自动加载技术;隐藏技术;通讯技术中图分类号:TP393.08文献标识码:A近年来,随着计算机网络发展,网络安全问题日益显得尤其重要.黑客的入侵对网络安全造成了极大威胁.入侵的主要手段之一,就是使用木马技术,其破坏力之大,是绝不容忽视的.黑客是如何制造这种具有破坏力的木马程序,以及如何防范木马程序的入侵?这是本文着重要讨论的问题.本文首先从木马程序的隐藏技术、自动加载技术和通讯技术3个方面进行详细的技术分析研究,总结出木马程序的一般设计原理;其次,给出了防范木马程序入侵的一般方法.1 木马程序的隐藏技术为了避免被发现,木马程序的服务器端,多数都要进行隐藏处理.早期的木马程序所采用的隐藏技术是比较简单的,早期最简单的隐藏方法是在任务栏目里隐藏程序.到后来发展到当按下Ctrl+Alt+Delete 的时候,也就看不到这个程序.现在的木马在进程隐藏方面,已做了大的改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DL L 线程,或者挂接PS API,实现木马程序的隐藏,甚至在Window s N T/2000下,都能达到良好的隐藏效果.1.1 在任务栏中隐形这是最基本的隐藏要求,其实现技术同样也是非常的简单.在VB 中,只要把f orm 的Visible 属性设为False,将ShowInTaskBar 设为False,程序就不会出现在任务栏中了.1.2 在win 9x 的任务管理器中隐形这只要把木马服务器端的程序注册为一个服务就可以了,这样,程序就会从任务列表中消失,因为系统不认为该程序是一个进程,当按下C trl +Alt+Delete 的时候,也就看不到这个程序.但是,这种方法只适用于Window s9x 的系统,对于Window s NT,Windo ws 2000等,通过服务管理器,还是可以发现在系统中注册过的服务.将程序设为/系统服务0就可以隐藏.在VB 中如下的代码可以实现这一功能:1 声明部分 Public Declare Function Register 2ServiceProcess Lib /kernel320(ByVal ProcessID As Long,ByVal ServiceFlags As Long)A s L ong Public Declare Function GetCurrentProcessId Lib /kernel320Alias /GetCurrentProcessId 0()As Long2函数部分Private Sub Form L oad()RegisterServiceProcess GetCurrentProcessId,1 (注册系统服务)End SubPrivate Sub Form Unload()RegisterServiceProcess GetCurrentProcessId,0 (取消系统服务)End Sub1.3在winNT/win2000中的任务管理器中隐形在winNT/win2000中实现进程隐藏的方法有两种:一是采用API的拦截技术;二是采用D L L技术.1API的拦截技术在WI ND OWS系统下,可执行文件主要是Exe和Com文件,这两种文件在运行时都有一个共同点,即均会生成一个独立的进程.在Window s中有多种方法能够看到进程的存在:PS API(Process Status API),PD H (Performance Data Helper)和Tool H elp API.如果能够采用A PI的拦截技术,通过建立一个后台的系统钩子,拦截PS API的EnumProcessM odules等相关的函数来实现对进程和服务的遍历调用的控制,当检测到进程ID(PID)为木马程序的服务器端进程的时候直接跳过,那样就实现了进程的隐藏.如果这个进程是一个木马的服务器部分程序,则显然就是现在win9x/win2000的任务管理器中隐藏的程序.2采用D LL技术D L L文件是Windo ws的基础,因为所有的A PI函数都是在D LL中实现的. DL L文件没有程序逻辑,是由多个功能函数构成的,它并不能独立运行,一般都是由进程加载并调用的.因为D L L文件不能独立运行,所以,在进程列表中并不会出现.如果是一个木马D L L,并且通过别的进程来运行它,那么无论是在入侵检测软件还是进程列表中,都只会出现那个进程而并不会出现木马D L L.运行DL L文件最简单的方法是利用Rundll32.exe进行,但是很容易被识破.比较高级的方法是使用木马D L L替换常用的D LL文件,通过函数转发器将正常的调用转发给原D L L,截获并处理特定的消息.D L L木马的最佳隐藏方法是动态嵌入技术,动态嵌入技术是指将自己的代码嵌入正在运行的进程中的技术.与一般的木马不同,该技术基本上摆脱了原有的木马模式监听端口,而是采用替代系统功能的方法,即改写驱动程序或动态链接库.这样做的结果是:由于没有增加新的文件,因此不能用扫描的方法查杀;不需要打开新的端口,所以不能用端口监视的方法查杀;没有新的进程,所以使用进程查看的方法发现不了它,也就不能用kill进程的方法终止其运行.在正常运行时木马几乎没有任何的症状,而一旦木马的控制端向被控端发出特定的信息后,隐藏的程序就立即开始运作.1.4利用端口实现隐形一般来说,一个端口都应对着一种特定的服务.如果某一主机的某一端口处于开放状态,那就意味着这一主机将对互联网上的用户提供该服务,并且该服务程序已在这台主机上运行.反过来,如果某一主机上并未启动某端口服务,而该端口却莫明其妙处于开放状态,那么这一计算机就很可能已被入侵者投放了/木马0.一台机器由65536个端口,通常情况下木马端口一般都在1000个以上,而且呈越来越大的趋势.这是因为,1000以下的端口是常用端口,占用这些端口可能会造成系统不正常,这样,木马就会很容易暴露;而由于端口扫描是需要时间的,即使是一个速度较快的端口扫描器,在远程也需要大约20min才能扫完所有的端口,因此,使用诸如54321的端口很难发现它.冰河及很多比较新的木马都具有端口修改功能,因而木马大多都能在任何端口出现.现在有很多流行的端口扫描程序,比如portscan程序就很不错,在网上可免费下载. 2程序的自加载运行技术让程序自运行的方法比较多,使用者当然不会指望在每次启动后点击木马图标来运行服务端,其实这是启动木马程序的最原始的方法.木马要做的第二件重要的事情就是如何在每次用户启动时自动装载服务端.目前木马程序最常见的启动方法为:加载程序到启动组,写程序启动路径到注册表的HKEY L O C A L M A C HI N E\S O FT W A RE\M icro sof t\Windo w s\ Curre ntV e rsions\Run.当然还有很多其他的方法,比如可以修改B oot.ini,或者通过注册表里的输入法键值直接挂接启动,以及通过修改E xplorer.exe启动参数等,真可谓防不胜防.30上海电力学院学报2002年2.1冰河程序的自动加载方法冰河程序也会在注册表的HK EY L OC ALM AC HI NE\Softw are\M ic rosof t\Windo ws\Current2 Version\Run和RUNS ERVICE键值中加上了C:\ WIN DO WS\SY STE M\Kernl32.exe,如果删除了这个键值,冰河还会出现,这是因为冰河服务端的C:\WI ND OWS\SYS TE M\Sysexplr.exe文件与文本文件相关联,只要打开文本,sysexplr.exe文件就会重新生成krnel32.exe,仍被冰河所控制.C:\WI ND OW S\SY STE M\Sysexplr.exe也在注册表中,它修改了文本文件的关联,在点击文本文件时它就启动了.它会检查Kerne132.exe是否存在,如果存在的话,则不做任何事情.当表面上的木马Kerne132.exe被发现并删除后,目标电脑的主人可能会觉得自己已经删除了木马,应该安全了.但如果目标电脑的主人在以后的日子中点击了文本文件,那么这个文本文件照样运行,而Sysexplr.exe就被启动.2.2/中国一号0(尼姆达)病毒的自动加载技术病毒对系统文件S YS TE M.INI进行了修改,其形式为[boot]shell=explorer.e xe load.e xe-dontrunold.这样,在系统每次启动时该病毒就会传染,驻留内存.2.3Back Or ifice的自动加载技术在注册表的HK E Y L O C A L M A C H I N E\S of tw are\ M icrosof t\Window s\C urrentVersion RU NS ER VIC E键值中加上了/.exe0(一个空格,一个点号,一个e xe 后缀).文件大小为122K左右.3木马程序的通信技术木马实质上只是一个网络客户/服务程序.在此,首先介绍一下网络客户/服务程序的编写过程.3.1基本概念网络客户/服务模式的原理是一台主机提供服务(服务器),另一台主机接受服务(客户机).作为服务器的主机一般会打开一个默认的端口并进行监听(Listen),如果有客户机向服务器的这一端口提出连接请求(Connec t Request),服务器上的相应程序就会自动运行,来应答客户机的请求,被控制端就成为一台服务器,控制端则是一台客户机, G server.exe是守护进程,G client是客户端应用程序.3.2程序实现在VB中,可以使用Winsock控件来编写网络客户/服务程序.其实现原理如下:1服务端G Server.LocalPort=7626G Server.Listen2客户端G Client.Re mote Host=ServerIPG Client.Re motePort=76263连接G Client.Connect一旦服务端接到客户端的连接请求ConnectionRequest,就接受连接Private Sub G Server ConnectionRequest(ByVal requestID As Long)G Server.Accept requestIDEnd Sub客户机端用G Client.SendData发送命令,而服务器在G Server Date Arrive事件中接受并执行命令.(几乎所有的木马功能都在这个事件处理程序中实现.)如果客户断开连接,则关闭连接并重新监听端口Private Sub G Server Close()G Server.CloseG Server.ListenEnd Sub其他的部分可以用命令传递来进行,客户端上传一个命令,服务端解释并执行这一命令.4手工清除木马的方法木马的查杀,可以采用自动和手动两种方式.由于杀毒软件的升级在多数情况下慢于木马的出现,因此,学会手工清除木马的方法对于防范新型木马是非常必要的.1检查注册表看HK E Y L O C AL M A C HI N E\ SO F T WA RE\M icrosof t\Windo ws\Curre ntVersion和HK EY C U RRE N T US ER\S of tw are\Microsoft\ Window s\CurrentVersion下,所有以/Run0开头的31王勇等:黑客木马程序的技术内秘分析键值名,其下有没有可疑的文件名.如果有,就应删除相应的键值,再删除相应的应用程序.2检查启动组,一些木马喜欢在启动组驻留.启动组对应的文件夹为C:\windo w s\startmenu\ programs\startup,在注册表中的位置为HKE YCU RRE N T US ER\Softw are\Microsoft\Windo ws\ CurrenV ersion\Explorer\ShellFolders S tartup=/C:\ windo ws start menu\programs\startup0.要注意经常检查这两个地方.3Win.ini以及System.ini也是木马喜欢的隐蔽场所,要经常检查这些地方.比如,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有任何程序的,如果有,可能就是非法程序.在System.ini的[boot]小节的Shell=Explorer.e xe后面也是加载木马的好场所.4检查C:\w indo w s\winsta rt.ba t C:\w indow s\ wininit.ini或者Autoe xec.bat文件.5检查[HKE Y C U RREN T U SE R\S oftwa re\ M icrosoft\Internet Explorer\E xplorer Bars]下面是不是有一些可疑的.e xe文件.6最常用有效的方法就是采用win2000中的任务管理器,去结束可疑的进程.如果发现计算机的运行速度非常慢,此时就很有必要先要看看任务管理器中哪一个进程的CPU的运算时间比较长,记下这个进程的名字,然后终止该进程,查找该进程在注册表中的所在位置,记下它在硬盘中的存储位置后,逐个删除.查找win.ini, autoexec.bat中的可疑配置,记录可疑程序在硬盘中的位置后删除.最后按照所记录的文件,查找在硬盘中的位置后再删除.反复进行,一直到任务管理器中不再有可疑的进程运行为止.如果在这种情况下还没有办法清除木马的话,建议到专业网站上下载最新的杀木马的软件,国内比较好的杀毒软件要数金山毒霸.5结束语随着计算机网络技术的发展,木马程序的入侵手段也相应发生变化,不能一直使用现有的防范方法去应付将来的木马程序.对木马程序的预防,胜于对入侵后的木马程序的清除.加强计算机网络安全意识,是预防任务的关键环节.参考文献:[1]李劲.windows2000s erver网络管理手册[S].北京:中国青年出版社,2001.[2]张海棠.windows95/98/2000注册表教程[M].北京:海洋出版社,2000.[3]杨守君.黑客技术与网络安全[M].北京:中国对外翻译出版公司,2000.[4]满舟.黑客攻击防范秘竹及[M].北京:北京腾图电子出版社,2001.The Analysis of Design Method of Wood Horse ProgramWANG Y ong,LI Z hi2bin,D UA N Cun2sheng(Department o f In f o rmation a n d contro l,Shanghai U nive rsity o f Electric P o w er,Shan ghai200090,China)Abstract:The essay analysis some design methods of w ood horse,such as hiding,autorun and com munication.Then the conclusion on the common methods of designing a wood horse program is dra wn.The hiding methods include hiding taskbar,hiding interf ace and so on.The autorun methods include changing the register table.The communication include client/server methods.key words:w oodhorse design;autorun of program;hiding;communication32上海电力学院学报2002年。

基于进程和通信隐藏的木马设计与实现摘要近年来，特洛伊木马等恶意代码己经成为网络安全的重要威胁。

很多国家都采取积极的网络安全防御措施,投入大量的人力和物力研究网络信息安全技术。

文章首先分析了传统木马的一般工作原理及其植入、加载、隐藏等关键技术。

随着网络技术的不断更新和发展，木马技术也在不断地更新换代,现代木马的进程隐藏和通信隐藏等等都发生了变化。

进程的隐藏和通信的隐藏一直是木马程序设计者不断探求的重要技术。

攻击者为达到进程隐藏的目的，采用远程线程和动态链接库，将木马作为线程隐藏在其他进程中。

选用一般安全策略都允许的端口通信,如80端口，则可轻易穿透防火墙和避过入侵检测系统等安全机制的检测,从而具有很强的隐蔽性。

本文研究了如何将Windows环境下的动态链接库(DLL)技术与远程线程插入技术结合起来实现特洛伊木马植入的新方案。

在该方案中，提出了特洛伊木马程序DLL模块化,并且创建了独立的特洛伊木马植入应用程序，将木马程序的DLL模块植入宿主进程。

实验结果证明该方案能实现的木马植入，具有很好的隐蔽性和灵活性。

关键词：特洛伊木马；动态连接库；进程插入；远程线程The Design and Implementation of Trojan Horses Base on Process Hiding and Communications HidingAbstractIn recent years,malicious codes including Trojan have threatened network information security, and more and more countries paid attention to take active measures to protect the network, and spent a lot in research to develop network information security technology mentally and materially. This paper firstly analyses the basic principle, entry technology, load technology and hiding technology of traditional Trojan horse. With the development of network technology, Trojan horse technology is upgrading constantly. Modern Trojan horse is changed in process hiding and communication hiding.The process hiding and communications hiding are important technology being explored by Trojan horse programmers all long. Adopting the measure of dynamic link storage, and Remote Thread technology, and hiding Trojan horse behind the other processes as a thread program, it is easy to hide. Choosing the port correspondence which is permitted by almost all the ordinary security policy, likes 80port, may easily penetrate the firewall and avoid the examine of security systems as invasion-checking mechanisms and so on. Thus, it has a very strong covered.This paper is implemented the injection of Trojan horse by combining the technology of DLL (dynamic linking library) and of remote thread injection on the Windows platform. In this paper, modularization of Trojan horse process is proposed to create an independent Trojan horse injection process, thus, to inject Trojan horse DLL module to the host process.Experimental results show that the program could realize the Trojan injected with good covered and flexibility.Key Words：Trojan Horse；DLL；Process Injection；Remote Thread目录论文总页数：23页1 引言 (1)2 特洛伊木马简介 (1)2.1 认识木马 (2)2.2 木马原理 (2)2.3 木马的危害 (3)2.4 常见木马的介绍 (3)3 木马隐藏概述 (4)3.1 本地隐藏 (4)3.2 通信隐藏 (8)4 隐藏技术的实现 (10)4.1 隐藏进程 (10)4.2 隐藏通信 (14)4.3 木马功能的实现 (15)5 系统测试 (19)5．1功能测试 (19)5．2性能测试 (20)结论 (21)参考文献 (21)致谢 (22)声明 (23)1引言近年来，黑客攻击层出不穷，对网络安全构成了极大的威胁。

研究计算机木马应对技术计算机木马是一种病毒程序，通常伪装成合法程序，并在未经用户许可的情况下向系统中植入恶意程序，以实现攻击者的不诚实行为。

由于计算机系统的复杂性不断增加，计算机木马的数量也在增加，因此研究计算机木马应对技术是非常重要的。

近年来，许多研究人员致力于研究计算机木马应对技术，旨在寻找更有效的方法来检测和清除这些病毒程序。

以下是几种有效的技术。

1. 静态分析技术静态分析是一种在未执行代码的情况下分析代码结构和功能的技术。

这种技术适用于研究计算机木马的应对技术，因为这些程序通常包含特定的代码结构和函数，被称为“病毒特征码”，便于静态分析技术来检测这些木马程序。

通过分析木马的特征码，可以建立一个包含已知木马程序的数据库，并将该数据库与计算机系统进行比对，以确定系统中是否存在木马程序。

通过这种方法，可以有效降低木马的入侵成功率，保护计算机系统的安全。

2. 动态分析技术动态分析是一种检测木马程序的方法，它允许研究人员观察木马程序在代码执行时的行为。

动态分析可以检测木马程序的隐藏或加密特性，并提供用于分析和修复中重要数据的实时数据。

通过动态分析技术，研究人员可以确定木马程序的行为，从而清除和阻止木马程序的入侵。

3. 虚拟机技术虚拟机是一种计算机程序，可以模拟运行另一个操作系统或应用程序。

虚拟机技术可用于研究计算机木马的应对技术，并在隔离的环境中分析、测试木马程序。

通过使用虚拟机技术，研究人员可以在安全的环境下测试和分析木马程序的行为，避免真实系统受到木马程序的损坏。

在这种情况下，研究人员可以确定木马程序的特征和行为，并开发相应的应对措施。

4. 威胁情报共享威胁情报共享是一个基于网络的平台，允许安全研究人员共享他们的研究，包括木马程序的检测和清除技术。

该平台提供一种有效的方式，让研究人员能够收集有关计算机木马的最新信息，并分享他们的知识和技术。

通过共享情报，研究人员可以加快对木马程序的检测、清除和阻止的响应时间，从而更好地保护计算机系统的安全。

毕业论文（设计）论文（设计）题目：木马攻击技术彻底剖析学院：理工学院专业（方向）：计算机科学与技术（网络工程）年级、班级：网络1101 学生姓名：指导老师：2015 年 5 月 15 日论文独创性声明本人所呈交的毕业论文（设计）是我个人在指导教师指导下进行的研究工作及取得的成果。

除特别加以标注的地方外，论文中不包含其他人的研究成果。

本论文如有剽窃他人研究成果及相关资料若有不实之处，由本人承担一切相关责任。

本人的毕业论文（设计）中所有研究成果的知识产权属三亚学院所有。

本人保证：发表或使用与本论文相关的成果时署名单位仍然为三亚学院，无论何时何地，未经学院许可，决不转移或扩散与之相关的任何技术或成果。

学院有权保留本人所提交论文的原件或复印件，允许论文被查阅或借阅；学院可以公布本论文的全部或部分内容，可以采用影印、缩印或其他手段复制保存本论文。

加密学位论文解密之前后，以上声明同样适用。

论文作者签名：年月日木马攻击技术彻底剖析摘要如今是大数据的时代，有效的信息能够带来巨大的效益，它作为一种普遍性、共享性、增值型、可处理性和多效用性的资源，使其对于人类具有特别重要的意义。

信息安全的实质就是要保护信息系统或网络信息传输中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。

信息安全是一个不容忽视的国家安全战略，任何国家、政府、部门、行业都不可避免的问题。

因此，在计算机信息安全领域，对计算机木马技术的研究已成为一个重点和热点。

本文对计算机木马攻击技术进行了系统的分析和研究，主要工作如下：1．对木马的基本概念进行说明、攻击机制进行剖析。

2．采用“冰河”实例进行剖析说明。

3．在研究了木马隐蔽技术的基础上，提出了一个动静特征相结合的行为木马特征检测技术基本框架。

尽最大能力去检测与防范木马攻击。

【关键词】木马攻击,计算机信息安全,木马检测,木马防范Trojan horse attack technologys ThoroughanalysisAbstractToday is the era of big data, effective information can bring huge benefits, it is a kind of universality, sharing, value-added, processing and multi utility of resources, which is of special significance for human. The essence of information security is to protect the information systems or information transmission network information resources from various types of threats, interference and destruction, which is to ensure the safety of information. Information security is an important national security strategy, any country, government, departments, industries are inevitable problems. Therefore, in the field of computer information security, research on computer Trojan technology has become a key and hot. This paper carried out a systematic analysis and Research on computer technology of the Trojan horse attack, the main work is as follows:1. analyze the attack mechanism of basic concepts of Trojan horse.2. by the analysis of examples to illustrate the "ice age".3.According to the static characteristics of the Trojan based on theweaknesses and Trojan hidden methods, put forward the basic framework of the Trojan detection system of the static characteristics of Trojan detection and dynamic behavior of Trojan detection combined, as much as possible to prevent the Trojan horse attack.[Key words]Trojan attacks, computer information security, Trojan detection, Trojan guard目录1 绪论 (1)1.1木马研究的背景与意义 (1)1.2本课题研究的内容 (2)2 木马攻击机制剖析 (3)2.1概述 (3)2.2木马的定义 (4)2.3木马的攻击模式剖析 (4)2.4木马的攻击特点剖析 (5)2.5木马攻击能力剖析 (6)2.6木马实施攻击的步骤剖析 (7)2.7木马伪装方法剖析 (8)2.7.1 木马启动方式的隐藏技术 (11)2.7.2木马运行形式的隐藏技术 (17)2.7.3 木马通信形式的隐藏技术 (19)2.7.4木马程序在宿主机磁盘上的隐藏 (25)2.8木马的传播途径剖析 (26)3 “冰河”木马实例分析 (27)3.1“冰河”起源与发展 (27)3.2服务端与客户端实现原理 (27)3.3隐藏的实现原理 (28)3.4木马的启动实现 (28)3.5远程控制的实现原理 (29)3.6实现冰河服务器的配置 (30)3.7冰河在目标主机中的隐藏 (31)3.8冰河在目标主机中的控制 (33)3.9冰河木马的查杀 (33)4 动静结合的木马检测防范技术 (34)4.1基于动态行为的木马检测防范技术 (34)4.1.1 行为监控检测防范木马的基本思想 (34)4.1.2 动态检测与防范木马的主要方法 (35)4.2动静结合的木马检测防范体系的分析 (37)4.3动静结合的木马检测防范技术评价 (39)5 结论 (41)参考文献 (42)致谢 (43)1 绪论1.1 木马研究的背景与意义如今计算机科学技术的迅猛发展和广泛应用，使计算机之间的网络通信成为现代社会不可缺少的基本组成部分，具有全球化的互联网技术影响着人类经济、政治、社会的方方面面，对经济可持续发展、国家信息安全、国民教育和现代化管理都起着重要的作用。

浙江工业职业技术学院毕业论文（2011届）浅谈windows下的病毒隐藏技术学生姓名学号分院专业信指导教师完成日期2011年5月19日浅谈windows下的病毒隐藏技术摘要随着人们对计算机安全要求的不断提高，计算机病毒作为计算机安全的主要威胁，正在受到人们广泛的关注。

只有透彻理解病毒的内在机理，知己知彼，才能更好的防范病毒。

本论文深入剖析了Windows环境下各种病毒的相关技术，并提出了相应的检测方案。

本论文研究总结了网页病毒、宏病毒、邮件病毒的感染、传播及如何获得系统控制权机理，总结了防治脚本病毒、宏病毒、邮件病毒的一般做法，并针对这些病毒的特点提出了基于命令式的预防病毒方案。

蠕虫病毒成为当前网络环境下病毒的主要形式，本论文研究总结了蠕虫的行为特点及工作原理，并给出了一般的防范措施。

计算机病毒手段越来越高明，论文给出了文件型、引导型、宏病毒及Windows病毒的隐藏技术。

同时，论文还研究整理了病毒的常见反检测技术，包括隐藏、反跟踪、变形等。

本文还介绍了木马的概念和危害、木马的工作原理、木马的预防和清除。

当前，病毒的传播途径主要依赖于网络，网络是主机感染病毒的主要来源，论文最后给出了常见的病毒检测技术并简要介绍了防火墙的概念。

关键词: 脚本病毒蠕虫病毒木马病毒检测防火墙目录第一章绪论---------------------------------------------------------------------------------------------------------- 1--------------------------------------------------------------------------------------------------------------------- 1 --------------------------------------------------------------------------------------------------------------------- 4第二章计算机病毒特征------------------------------------------------------------------------------------------ 5--------------------------------------------------------------------------------------------------------------------- 5 -------------------------------------------------------------------------------------------------------------- 5 -------------------------------------------------------------------------------------------------------------- 7 --------------------------------------------------------------------------------------------------------------------- 9 ------------------------------------------------------------------------------------------------------------- 10 ------------------------------------------------------------------------------------------------------------- 13 ------------------------------------------------------------------------------------------------------------- 13 -------------------------------------------------------------------------------------------------------------------- 14第三章Windows病毒分析 ----------------------------------------------------------------------------------- 18-------------------------------------------------------------------------------------------------------------------- 18 ------------------------------------------------------------------------------------------------------------- 18 ------------------------------------------------------------------------------------------------------------- 20 ------------------------------------------------------------------------------------------------------------- 20 ------------------------------------------------------------------------------------------------------------- 22 ------------------------------------------------------------------------------------------------------------- 23 -------------------------------------------------------------------------------------------------------------------- 25 ------------------------------------------------------------------------------------------------------------- 28 -------------------------------------------------------------------------------------------------------------------- 29 ------------------------------------------------------------------------------------------------------------- 30 ------------------------------------------------------------------------------------------------------------- 31 -------------------------------------------------------------------------------------------------------------------- 32WSH介绍 --------------------------------------------------------------------------------------------- 33VBS脚本病毒原理分析---------------------------------------------------------------------------- 36 -------------------------------------------------------------------------------------------------------------------- 37蠕虫的行为特征-------------------------------------------------------------------------------------- 38蠕虫的工作原理-------------------------------------------------------------------------------------- 39蠕虫的防治 -------------------------------------------------------------------------------------------- 41第四章病毒抗分析技术----------------------------------------------------------------------------------------- 43-------------------------------------------------------------------------------------------------------------------- 43引导型病毒的隐藏技术 ---------------------------------------------------------------------------- 43文件型病毒的隐藏技术 ---------------------------------------------------------------------------- 45Windows病毒的隐藏技术----------------------------------------------------------------------- 47-------------------------------------------------------------------------------------------------------------------- 48 -------------------------------------------------------------------------------------------------------------------- 48 -------------------------------------------------------------------------------------------------------------------- 50异常处理的方式-------------------------------------------------------------------------------------- 50异常处理的过程-------------------------------------------------------------------------------------- 51第五章特洛伊木马 ----------------------------------------------------------------------------------------------- 53-------------------------------------------------------------------------------------------------------------------- 53 -------------------------------------------------------------------------------------------------------------------- 56 -------------------------------------------------------------------------------------------------------------------- 61木马的自启动----------------------------------------------------------------------------------------- 61木马的隐藏性----------------------------------------------------------------------------------------- 62 -------------------------------------------------------------------------------------------------------------------- 63第六章病毒检测技术 -------------------------------------------------------------------------------------------- 67------------------------------------------------------------------------------------------------------------- 67 ------------------------------------------------------------------------------------------------------------- 68 ------------------------------------------------------------------------------------------------------------- 70 ------------------------------------------------------------------------------------------------------------- 72 ------------------------------------------------------------------------------------------------------------- 73 ------------------------------------------------------------------------------------------------------------- 75第七章结论--------------------------------------------------------------------------------------------------------- 77致谢----------------------------------------------------------------------------------------------------------------- 80参考文献 ------------------------------------------------------------------------------------------------------------- 81第一章绪论人类进入了信息社会，创造了计算机，计算机虽然给人们的工作和生活带来了便利和效率，然而计算机系统并不安全。