一、計算機(jī)病毒分析與防護(hù)

1.1?計算機(jī)病毒概念與特性

計算機(jī)病毒：是一組具有自我復(fù)制、傳播能力的程序代碼。它常依附在計算機(jī)的文件中，如可執(zhí)行文件或Word文檔等

計算機(jī)病毒表現(xiàn)的主要癥狀

計算機(jī)屏幕顯示異常 機(jī)器不能引導(dǎo)啟動 磁盤存儲容量異常減少 磁盤操作異常的讀寫 出現(xiàn)異常的聲音 執(zhí)行程序文件無法執(zhí)行 文件長度和日期發(fā)生變化

系統(tǒng)死機(jī)頻繁 系統(tǒng)不承認(rèn)硬盤 中斷向量表發(fā)生異常變化 內(nèi)存可用空間異常變化或減少 系統(tǒng)運(yùn)行速度性能下降 系統(tǒng)配置文件改變 系統(tǒng)參數(shù)改變

所有計算機(jī)病毒都具有以下四個基本特點：

隱蔽性：計算機(jī)病毒附加在正常軟件或文檔中，一旦用戶未察覺，病毒就觸發(fā)執(zhí)行，潛入到受害用戶的計算機(jī)中。病毒的隱蔽性使得受害用戶在不知不覺中感染病毒

傳染性：指計算機(jī)病毒可以進(jìn)行自我復(fù)制，并把復(fù)制的病毒附加到無病毒的程序中，或者去替換磁盤引導(dǎo)區(qū)的記錄，使得附加了病毒的程序或者磁盤變成了新的病毒源，又能進(jìn)行病毒復(fù)制，重復(fù)原先的傳染過程。計算機(jī)病毒與其他程序最本質(zhì)的區(qū)別在于計算機(jī)病毒能傳染

潛伏性：計算機(jī)病毒感染正常的計算機(jī)之后，一般不會立即發(fā)作，而是等到觸發(fā)條件滿足時，才執(zhí)行病毒的惡意功能，從而產(chǎn)生破壞作用。計算機(jī)病毒常見的觸發(fā)條件是特定日期

破壞性：病毒的破壞后果是不可知的。據(jù)統(tǒng)計，病毒發(fā)作后，造成的破壞主要有數(shù)據(jù)部分丟失、系統(tǒng)無法使用、瀏覽器配置被修改、網(wǎng)絡(luò)無法使用、使用受限、受到遠(yuǎn)程控制、數(shù)據(jù)全部丟失等

1.2?計算機(jī)病毒組成與運(yùn)行機(jī)制

計算機(jī)病毒由三部分組成：

復(fù)制傳染部件(replicator)：功能是控制病毒向其他文件的傳染

隱藏部件(concealer)：功能是防止病毒被檢測到

破壞部件(bomb)：用在當(dāng)病毒符合激活條件后，執(zhí)行破壞操作

計算機(jī)病毒將上述三個部分綜合在一起，然后病毒實現(xiàn)者用當(dāng)前反病毒軟件不能檢測到的病毒感染系統(tǒng)，此后病毒就逐漸開始傳播

計算機(jī)病毒的生命周期有兩個階段:

計算機(jī)病毒的復(fù)制傳播階段：這一階段有可能持續(xù)一個星期到幾年。計算機(jī)病毒在這個階段盡可能地隱蔽其行為，不干擾正常系統(tǒng)的功能。計算機(jī)病毒主動搜尋新的主機(jī)進(jìn)行感染，如將病毒附在其他的軟件程序中，或者滲透操作系統(tǒng)。同時，可執(zhí)行程序中的計算機(jī)病毒獲取程序控制權(quán)。在這一階段，發(fā)現(xiàn)計算機(jī)病毒特別困難，這主要是因為計算機(jī)病毒只感染少量的文件，難以引起用戶警覺

計算機(jī)病毒的激活階段：計算機(jī)病毒在該階段開始逐漸或突然破壞系統(tǒng)。計算機(jī)病毒的主要工作是：根據(jù)數(shù)學(xué)公式判斷激活條件是否滿足，用作計算機(jī)病毒的激活條件常有日期、時間、感染文件數(shù)或其他

1.3?計算機(jī)病毒常見類型與技術(shù)

引導(dǎo)型病毒：通過感染計算機(jī)系統(tǒng)的引導(dǎo)區(qū)而控制系統(tǒng)，病毒將真實的引導(dǎo)區(qū)內(nèi)容修改或替換，當(dāng)病毒程序執(zhí)行后，才啟動操作系統(tǒng)。因此，感染引導(dǎo)型病毒的計算機(jī)系統(tǒng)看似正常運(yùn)轉(zhuǎn)，而實際上病毒己在系統(tǒng)中隱藏，等待時機(jī)傳染和發(fā)作

宏病毒(Macro Viruses)：?是指利用宏語言來實現(xiàn)的計算機(jī)病毒。宏病毒的出現(xiàn)改變了病毒的載體模式，以前病毒的載體主要是可執(zhí)行文件，而現(xiàn)在文檔或數(shù)據(jù)也可作為宏病毒的載體。宏病毒的出現(xiàn)實現(xiàn)了病毒的跨平臺傳播，它能夠感染任何運(yùn)行Office的計算機(jī)

多態(tài)病毒( Polymorphic Viruses)：?多態(tài)病毒每次感染新的對象后，通過更換加密算法，改變其存在形式。這就意味著反病毒軟件常常難以檢測到它，一般需要采用啟發(fā)式分析方法來發(fā)現(xiàn)。多態(tài)病毒有三個主要組成部分：雜亂的病毒體、解密例程、變化引擎。變化引擎和病毒體都被加密。多態(tài)病毒沒有固定的特征、沒有固定的加密例程，從而就能逃避基于靜態(tài)特征的病毒掃描器的檢測

隱蔽病毒( Stealth Viruses)：隱蔽病毒試圖將自身的存在形式進(jìn)行隱藏，使得操作系統(tǒng)和反病毒軟件不能發(fā)現(xiàn)。隱蔽病毒使用的技術(shù)主要包括：①隱藏文件的日期、時間的變化②隱藏文件大小的變化③病毒加密

1.4?計算機(jī)病毒防范策略與技術(shù)

1. 查找計算機(jī)病毒源

對計算機(jī)文件及磁盤引導(dǎo)區(qū)進(jìn)行計算機(jī)病毒檢測，以發(fā)現(xiàn)異常情況，確證計算機(jī)病毒的存在

主要方法如下:

• 比較法：是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進(jìn)行比較，檢查文件及系統(tǒng)區(qū)域參數(shù)是否出現(xiàn)完整性變化
• 搜索法：是用每一種病毒體含有的特定字節(jié)串對被檢測的對象進(jìn)行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的病毒
• 特征字識別法：是基于特征串掃描法發(fā)展起來的一種新方法。特征字識別法只須從病毒體內(nèi)抽取很少的幾個關(guān)鍵特征字，組成特征字庫。由于需要處理的字節(jié)很少，又不必進(jìn)行串匹配，因此大大加快了識別速度，當(dāng)被處理的程序很大時表現(xiàn)更突出
• 分析法：通過詳細(xì)分析病毒代碼，制定相應(yīng)的反病毒措施。使用分析法的目的是確認(rèn)被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有病毒，辨別病毒的類型、種類、結(jié)構(gòu)，提取病毒的特征字節(jié)串或特征字，用于增添到病毒代碼庫供病毒掃描和識別程序用

2. 阻斷計算機(jī)病毒傳播途徑

由于計算機(jī)病毒的危害性是不可預(yù)見的，因此切斷計算機(jī)病毒的傳播途徑是關(guān)鍵防護(hù)措施

具體方法如下:

• 用戶具有計算機(jī)病毒防范安全意識和安全操作習(xí)慣。用戶不要輕易運(yùn)行未知可執(zhí)行軟件，特別是不要輕易打開電子郵件的附件
• 消除計算機(jī)病毒載體：關(guān)鍵的計算機(jī)，做到盡量專機(jī)專用;不要隨便使用來歷不明的存儲介質(zhì)，如磁盤、USB;禁用不需要的計算機(jī)服務(wù)和功能，如腳本語言、光盤自啟動等
• 安全區(qū)域隔離：重要生產(chǎn)區(qū)域網(wǎng)絡(luò)系統(tǒng)與辦公網(wǎng)絡(luò)進(jìn)行安全分區(qū)，防止計算機(jī)病毒擴(kuò)散傳播

3.?主動查殺計算機(jī)病毒

• 定期對計算機(jī)系統(tǒng)進(jìn)行病毒檢測
• 安裝防計算機(jī)病毒軟件，建立多級病毒防護(hù)體系

4. 計算機(jī)病毒應(yīng)急響應(yīng)和災(zāi)備

即使計算機(jī)系統(tǒng)受到病毒破壞后，也能有相應(yīng)的安全措施應(yīng)對，盡可能避免計算機(jī)病毒造成的損害

應(yīng)急響應(yīng)技術(shù)和措施主要有以下方面:

• 備份：是應(yīng)對計算機(jī)病毒最有效的方法。對計算機(jī)病毒容易侵害的文件、數(shù)據(jù)和系統(tǒng)進(jìn)行備份。特別是核心關(guān)鍵計算機(jī)系統(tǒng)，還應(yīng)做到系統(tǒng)級備份
• 數(shù)據(jù)修復(fù)技術(shù)：對遭受計算機(jī)病毒破壞的磁盤、文件等進(jìn)行修復(fù)
• 網(wǎng)絡(luò)過濾技術(shù)：通過網(wǎng)絡(luò)的安全配置，將遭受計算機(jī)病毒攻擊的計算機(jī)或網(wǎng)段進(jìn)行安全隔離
• 計算機(jī)病毒應(yīng)急響應(yīng)預(yù)案：制定受病毒攻擊的計算機(jī)及網(wǎng)絡(luò)方面的操作規(guī)程和應(yīng)急處置方案

1.5?計算機(jī)病毒防護(hù)方案

基于單機(jī)計算機(jī)病毒防護(hù)：單機(jī)病毒防護(hù)是傳統(tǒng)防御模式，作為固守網(wǎng)絡(luò)終端的最后防線。阻止來自軟盤、光盤、共享文件、互聯(lián)網(wǎng)的病毒入侵，進(jìn)行重要數(shù)據(jù)備份等其他功能，防護(hù)單臺計算機(jī)

基于網(wǎng)絡(luò)計算機(jī)病毒防護(hù)：通過在網(wǎng)管中心建立網(wǎng)絡(luò)防病毒管理平臺，實現(xiàn)病毒集中監(jiān)控與管理，集中監(jiān)測整個網(wǎng)絡(luò)的病毒疫情，提供網(wǎng)絡(luò)整體防病毒策略配置，在網(wǎng)管所涉及的重要部位設(shè)置防病毒軟件或設(shè)備，在所有病毒能夠進(jìn)入的地方都采取相應(yīng)的防范措施，防止病毒侵襲。對網(wǎng)絡(luò)系統(tǒng)的服務(wù)器、工作站和客戶機(jī)，進(jìn)行病毒防范的統(tǒng)一管理，及時更新病毒特征庫和殺病毒軟件的版本升級

基于網(wǎng)絡(luò)分級病毒防護(hù)：防御策略是基于三級管理模式：單機(jī)終端殺毒-局域網(wǎng)集中監(jiān)控-廣域網(wǎng)總部管理

基于郵件網(wǎng)關(guān)病毒防護(hù)：郵件網(wǎng)關(guān)防毒系統(tǒng)放置在郵件網(wǎng)關(guān)入口處，接收來自外部的郵件，對病毒、不良郵件等進(jìn)行過濾，處理完畢后再將安全郵件轉(zhuǎn)發(fā)至郵件服務(wù)器

基于網(wǎng)關(guān)防護(hù)：在網(wǎng)絡(luò)出口處設(shè)置有效的病毒過濾系統(tǒng)，防火墻將數(shù)據(jù)提交給網(wǎng)關(guān)殺毒系統(tǒng)進(jìn)行檢查，如有病毒入侵，網(wǎng)關(guān)防毒系統(tǒng)將通知防火墻立刻阻斷進(jìn)行攻擊的IP。這種同步查毒的方式幾乎不影響網(wǎng)絡(luò)帶寬，同時能夠過濾多種數(shù)據(jù)庫和郵件中的病毒。網(wǎng)關(guān)殺毒是殺毒軟件和防火墻技術(shù)的完美結(jié)合

二、特洛伊木馬分析與防護(hù)

2.1 特洛伊木馬概念與特性

特洛伊木馬(Trojan Horse)：簡稱木馬，是具有偽裝能力、隱蔽執(zhí)行非法功能的惡意程序，而受害用戶表面上看到的是合法功能的執(zhí)行

目前特洛伊木馬己成為黑客常用的攻擊方法。它通過偽裝成合法程序或文件，植入系統(tǒng)，對網(wǎng)絡(luò)系統(tǒng)安全構(gòu)成嚴(yán)重威脅

同計算機(jī)病毒、網(wǎng)絡(luò)蠕蟲相比較，特洛伊木馬不具有自我傳播能力，而是通過其他傳播機(jī)制來實現(xiàn)

受到特洛伊木馬侵害的計算機(jī)，攻擊者可不同程度地遠(yuǎn)程控制受害計算機(jī)，例如訪問受害計算機(jī)、在受害計算機(jī)上執(zhí)行命令或利用受害計算機(jī)進(jìn)行DDoS攻擊

2.2 特洛伊木馬分類

根據(jù)特洛伊木馬的管理方式，可以將特洛伊木馬分為

• 本地特洛伊木馬：是最早期的一類木馬，特點是：木馬只運(yùn)行在本地的單臺主機(jī)，木馬沒有遠(yuǎn)程通信功能，木馬的攻擊環(huán)境是多用戶的UNIX系統(tǒng)，典型例子就是盜用口令的木馬
• 網(wǎng)絡(luò)特洛伊木馬：是指具有網(wǎng)絡(luò)通信連接及服務(wù)功能的一類木馬，簡稱網(wǎng)絡(luò)木馬。此類木馬由兩部分組成，即遠(yuǎn)程木馬控制管理和木馬代理
  • 遠(yuǎn)程木馬控制管理：主要是監(jiān)測木馬代理的活動，遠(yuǎn)程配置管理代理，收集木馬代理竊取的信息
  • 木馬代理：則是植入目標(biāo)系統(tǒng)中，伺機(jī)獲取目標(biāo)系統(tǒng)的信息或控制目標(biāo)系統(tǒng)的運(yùn)行，類似網(wǎng)絡(luò)管理代理

?目前，特洛伊木馬一般泛指這兩類木馬，但網(wǎng)絡(luò)木馬是主要類型

2.3 特洛伊木馬運(yùn)行機(jī)制

木馬受攻擊者的意圖影響，其行為表現(xiàn)各異，但基本運(yùn)行機(jī)制相同

整個木馬攻擊過程主要分為五個部分:

①尋找攻擊目標(biāo)：攻擊者通過互聯(lián)網(wǎng)或其他方式搜索潛在的攻擊目標(biāo)
②收集目標(biāo)系統(tǒng)的信息：主要包括操作系統(tǒng)類型、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用軟件、用戶習(xí)慣等
③將木馬植入目標(biāo)系統(tǒng)：攻擊者根據(jù)所搜集到的信息，分析目標(biāo)系統(tǒng)的脆弱性，制定植入木馬策略。木馬植入的途徑有很多，如通過網(wǎng)頁點擊、執(zhí)行電子郵件附件等
④木馬隱藏：為實現(xiàn)攻擊意圖，木馬設(shè)法隱蔽其行為，包括目標(biāo)系統(tǒng)本地活動隱藏和遠(yuǎn)程通信隱藏
⑤攻擊意圖實現(xiàn)：即激活木馬，實施攻擊。木馬植入系統(tǒng)后，待觸發(fā)條件滿足后，就進(jìn)行攻擊破壞活動，如竊取口令、遠(yuǎn)程訪問、刪除文件等

2.4?特洛伊木馬植入技術(shù)

特洛伊木馬植入是木馬攻擊目標(biāo)系統(tǒng)最關(guān)鍵的一步，是后續(xù)攻擊活動的基礎(chǔ)

特洛伊木馬的植入方法可以分為兩大類

• 被動植入：是指通過人工干預(yù)方式才能將木馬程序安裝到目標(biāo)系統(tǒng)中，植入過程必須依賴于受害用戶的手工操作
• 主動植入：則是指主動攻擊方法，將木馬程序通過程序自動安裝到目標(biāo)系統(tǒng)中，植入過程無須受害用戶的操作

被動植入方法：主要通過社會工程方法將木馬程序偽裝成合法的程序，以達(dá)到降低受害用戶警覺性、誘騙用戶的目的，常用的方法如下:?

• 文件捆綁法：將木馬捆綁到一些常用的應(yīng)用軟件包中，當(dāng)用戶安裝該軟件包時，木馬就在用戶毫無察覺的情況下，被植入系統(tǒng)中
• 郵件附件：木馬設(shè)計者將木馬程序偽裝成郵件附件，然后發(fā)送給目標(biāo)用戶，若用戶執(zhí)行郵件附件就將木馬植入該系統(tǒng)中
• Web網(wǎng)頁：木馬程序隱藏在html文件中，當(dāng)受害用戶點擊該網(wǎng)頁時，就將木馬植入目標(biāo)系統(tǒng)中

2.5?特洛伊木馬隱藏技術(shù)

特洛伊木馬的設(shè)計者為了逃避安全檢測，就要設(shè)法隱藏木馬的行為或痕跡

主要技術(shù)目標(biāo)：就是將木馬的本地活動行為、木馬的遠(yuǎn)程通信過程進(jìn)行隱藏

1.本地活動行為隱藏技術(shù)

現(xiàn)在的操作系統(tǒng)具有支持LKM的功能，通過LKM可增加系統(tǒng)功能，而且不需要重新編譯內(nèi)核，就可以動態(tài)地加載。木馬設(shè)計者利用操作系統(tǒng)的LKM功能，通過替換或調(diào)整系統(tǒng)調(diào)用來實現(xiàn)木馬程序的隱藏

技術(shù)方法包括：文件隱藏、進(jìn)程隱藏、通信連接隱藏

2.遠(yuǎn)程通信過程隱藏技術(shù)

特洛伊木馬除了在遠(yuǎn)程目標(biāo)端實現(xiàn)隱藏外，還必須實現(xiàn)遠(yuǎn)程通信過程的隱藏，包括通信內(nèi)容和通信方式的隱藏

木馬用到的遠(yuǎn)程通信隱藏的關(guān)鍵技術(shù)方法如下:

• 通信內(nèi)容加密技術(shù)：將木馬通信的內(nèi)容進(jìn)行加密處理，使得網(wǎng)絡(luò)安全管理員無法識別通信內(nèi)容
• 通信端口復(fù)用技術(shù)：指共享復(fù)用系統(tǒng)網(wǎng)絡(luò)端口來實現(xiàn)遠(yuǎn)程通信，這樣既可以欺騙防火墻，又可以少開新端口。端口復(fù)用是在保證端口默認(rèn)服務(wù)正常工作的條件下進(jìn)行復(fù)用，具有很強(qiáng)的隱蔽性
• 網(wǎng)絡(luò)隱蔽通道：指利用通信協(xié)議或網(wǎng)絡(luò)信息交換的方法來構(gòu)建不同于正常的通信方式。特洛伊木馬的設(shè)計者將利用這些隱蔽通道繞過網(wǎng)絡(luò)安全訪問控制機(jī)制秘密地傳輸信息。由于網(wǎng)絡(luò)通信的復(fù)雜性，特洛伊木馬可以用隱蔽通道技術(shù)掩蓋通信內(nèi)容和通信狀態(tài)

2.6 特洛伊木馬存活技術(shù)

特洛伊木馬的存活能力取決于網(wǎng)絡(luò)木馬逃避安全監(jiān)測的能力，一些網(wǎng)絡(luò)木馬侵入目標(biāo)系統(tǒng)時采用反監(jiān)測技術(shù)，甚至中斷反網(wǎng)絡(luò)木馬程序運(yùn)行。一些高級木馬常具有端口反向連接功能

端口反向連接技術(shù)：是指由木馬代理在目標(biāo)系統(tǒng)主動連接外部網(wǎng)的遠(yuǎn)程木馬控制端以逃避防火墻的限制

2.7?特洛伊木馬防范技術(shù)

防范木馬需要將監(jiān)測與預(yù)警、通信阻斷、系統(tǒng)加固及修復(fù)、應(yīng)急管理等多種技術(shù)綜合集成實現(xiàn)

以下為近幾年的特洛伊木馬防范技術(shù)

1.基于查看開放端口檢測特洛伊木馬技術(shù)

基本原理：根據(jù)特洛伊木馬在受害計算機(jī)系統(tǒng)上留下的網(wǎng)絡(luò)通信端口號痕跡進(jìn)行判斷，如果某個木馬的端口在某臺機(jī)器上開放，則推斷該機(jī)器受到木馬的侵害

查看開放端口的技術(shù)有

• 系統(tǒng)自帶的netstat命令
• 用端口掃描軟件遠(yuǎn)程檢測機(jī)器

2.基于重要系統(tǒng)文件檢測特洛伊木馬技術(shù)

基本原理：根據(jù)特洛伊木馬在受害計算機(jī)系統(tǒng)上對重要系統(tǒng)文件進(jìn)行修改留下的痕跡進(jìn)行判斷，通過比對正常的系統(tǒng)文件變化來確認(rèn)木馬的存在。這些重要文件一般與系統(tǒng)的自啟動相關(guān)，木馬通過修改這些文件使得木馬能夠自啟動

3.基于系統(tǒng)注冊表檢測特洛伊木馬技術(shù)

Windows類型的木馬常通過修改注冊表的鍵值來控制木馬的自啟動

基本原理：檢查計算機(jī)的注冊表鍵值異常情況以及對比已有木馬的修改注冊表的規(guī)律，綜合確認(rèn)系統(tǒng)是否受到木馬侵害

4.檢測具有隱藏能力的特洛伊木馬技術(shù)

Rootkit是典型的具有隱藏能力的特洛伊木馬。目前，檢測Rootkit的技術(shù)有三類：

• 第一類是針對已知的Rootkit進(jìn)行檢測：這種方法基于Rootkit的運(yùn)行痕跡特征來判斷計算機(jī)系統(tǒng)是否存在木馬。缺點：是只能針對特定的已知的Rootkit，而對未知的Rootkit幾乎無能為力
• 第二類是基于執(zhí)行路徑的分析檢測方法
  • 基本原理：安裝Rootkit的系統(tǒng)在執(zhí)行一些操作時，由于要完成附加的Rootkit的功能，如隱藏進(jìn)程、文件等，則需要執(zhí)行更多的CPU指令，通過利用x86系列的CPU提供的步進(jìn)模式，在CPU每執(zhí)行一條指令后進(jìn)行計數(shù)，將測量到的結(jié)果與正常的干凈的系統(tǒng)測得的數(shù)據(jù)進(jìn)行比較，然后根據(jù)比較的差異，判斷系統(tǒng)是否可能已被安裝了Rootkit
  • 這種方法不僅限于己知的Rootkit，對于所有通過修改系統(tǒng)執(zhí)行路徑來達(dá)到隱藏和執(zhí)行功能目的的Rootkit都有很好的作用
• 第三類是直接讀取內(nèi)核數(shù)據(jù)的分析檢測方法：該方法針對通過修改內(nèi)核數(shù)據(jù)結(jié)構(gòu)的方法來隱藏自己的Rootkit，基本原理：直接讀取內(nèi)核中的內(nèi)部數(shù)據(jù)以判斷系統(tǒng)當(dāng)前的狀態(tài)

5.基于網(wǎng)絡(luò)檢測特洛伊木馬技術(shù)

在網(wǎng)絡(luò)中安裝入侵檢測系統(tǒng)，通過捕獲主機(jī)的網(wǎng)絡(luò)通信，檢查通信的數(shù)據(jù)包是否具有特洛伊木馬的特征，或者分析通信是否異常來判斷主機(jī)是否受到木馬的侵害

根據(jù)特洛伊木馬的植入方法，防止特洛伊木馬植入方法

• 不輕易安裝未經(jīng)過安全認(rèn)可的軟件，特別是來自公共網(wǎng)的軟件
• 提供完整性保護(hù)機(jī)制，即在需要保護(hù)的計算機(jī).上安裝完整性機(jī)制，對重要的文件進(jìn)行完整性檢查。例如安裝一種起完整性倮護(hù)作用的設(shè)備驅(qū)動程序，這些程序攔截一些系統(tǒng)服務(wù)調(diào)用，禁止任何新的模塊的載入，從而使系統(tǒng)免于Rootk it的危害
• 利用漏洞掃描軟件，檢查系統(tǒng)存在的漏洞，然后針對相應(yīng)的漏洞，安裝補(bǔ)丁軟件包

6.基于網(wǎng)絡(luò)阻斷特洛伊木馬技術(shù)

特洛伊木馬的傳播和運(yùn)行都依賴于網(wǎng)絡(luò)通信

技術(shù)原理：利用防火墻、路由器、安全網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備，對特洛伊木馬的通信進(jìn)行阻斷，從而使得特洛伊木馬的功能失效或限制其傳播

7.清除特洛伊木馬技術(shù)

技術(shù)方法：

• 手工清除方法
• 軟件清除方法

工作原理：刪除特洛伊木馬在受害機(jī)器上留下的文件，禁止特洛伊木馬的網(wǎng)絡(luò)通信，恢復(fù)木馬修改過的系統(tǒng)文件或注冊表。目前，市場上有專業(yè)的清除特洛伊木馬的工具

---

友情鏈接：http://xqnav.top/

---

總結(jié)

以上是生活随笔為你收集整理的恶意代码防范技术原理-计算机病毒和特洛伊木马分析与防护的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。