木马病毒检测与防范的研究
【引言】相信大家对2007年初肆虐网络的熊猫烧香病毒记忆深刻吧，当时还是初中的我根本没有接触到电脑，都听过他的鼎鼎大名，足以证明他的破坏力是多么的强大，中毒电脑上会出现“熊猫烧香”图案，所以也被称为“熊猫烧香”病毒。

中毒电脑会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象，造成了相当长的一段时间大家谈熊猫色变，虽然后来出来了针对熊猫烧香的专杀，他的制造者张顺也入狱获刑，但是他的变种如金猪报喜的病毒却仍在我们周围蔓延…【木马病毒的简介】
病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。

木马（trojan）这个名字来源于古希腊传说，“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。

木马病毒的产生严重危害着现代网络的安全运行。

“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，所以，你此刻的操作很可能被别人监视着，你的键盘可能被别人记录着，其中包括你的电子银行密码…你的声音
通过你的麦克风被别人听到，你的动作包括你家里的布置也被别人看到…….也许你已经没有隐私了，这时候，你的第一反应是什么？当然是关掉网络，然后杀毒啊！
【木马的分类】
木马病毒的制造者根据自己的目的，以及互联网普及后的高速发展的便利制作出符合自己需要的木马，达到自己的偷窃目的，所以，根据目的和方式，可分为一下几种：
网游木马：随着网络在线游戏的普及和升温，中国拥有规模庞大的网游玩
家。

网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。

与此同时，以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。

网络游戏木马通常采用记录用户键盘输入、hook游戏进程api函数等方法获取用户的密码和帐号。

窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者。

网银木马：网银木马是针对网上交易系统编写的木马病毒，其目的是盗取用户的卡号、密码，甚至安全证书。

网银木马通常针对性较强，木马作者可能首先对某银行的网上交易系统进行仔细分析，然后针对安全薄弱环节编写病毒程序。

下载类：这种木马程序的体积一般很小，其功能是从网络上下载其他病毒程序或安装广告软件。

由于体积很小，下载类木马更容易传播，传播速度也更快。

通常功能强大、体积也很大的后门类病毒，如“灰鸽子”、“黑洞”等，传播时都单独编写一个小巧的下载型木马，用户
中毒后会把后门主程序下载到本机运行。

代理类：用户感染代理类木马后，会在本机开启http、socks等代理服务功能。

黑客把受感染计算机作为跳板，以被感染用户的身份进行黑客活动，达到隐藏自己的目的。

ftp木马：ftp型木马打开被控制计算机的21号端口(ftp所使用的默认端口)，使每一个人都可以用一个ftp客户端程序来不用密码连接到受控制端计算机，并且可以进行最高权限的上传和下载，窃取受害者的机密文件。

新ftp木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。

通讯软件类：常见的即时通讯类木马一般有3种：
a、发送消息型：通过即时通讯软件自动发送含有恶意网址的消息，目的在于让收到消息的用户点击网址中毒，用户中毒后又会向更多好友发送病毒消息
b、盗号型：主要目标在于即时通讯软件的登录帐号和密码。

工作原理和网游木马类似。

病毒作者盗得他人帐号后，可能偷窥聊天记录等隐私内容，或将帐号卖掉。

c、传播自身型：采用的基本技术都是搜寻到聊天窗口后，对聊天窗口进行控制，来达到发送文件或消息的目的。

只不过发送文件的操作比发送消息复杂很多。

网页点击类：网页点击类木马会恶意模拟用户点击广告等动作，在短时间内可以产生数以万计的点击量。

病毒作者的编写目的一般是为了赚取高额的广告推广费用。

此类病毒的技术简单，一般只是向服务器
发送http get请求。

【如何查找木马】
首先是查看开放端口，作为远程控制软件，木马同样具备远程控制软件的特征。

为了与其主人联系，它必须给自己开道门（即端口），因此我们可以通过查看机器开放的端口，来判断是否有木马经过。

通过上面说到的netstat -an命令即可，其中“established”表示已经建立连接的端口“listening”表示打开并等待别人连接的端口。

在打开端口中寻找可疑分子，如7626（冰河木马），54320（back orifice 2000）等。

然后查看注册表，为了实现随系统启动等功能，木马都会对注册表进行修改，我们可以通过查看注册表来寻找木马的痕迹，在“运行”中输入“regedit”，回车后打开注册表编辑器，定位到：
hkey_current_user\software\microsoft\windows\currentversion \explorer下，分别打开shell folders、user shell folders、run、runonce和runservices子键，检查里边是否有可疑的内容。

再定位hkey_local_machine\software\microsoft\windows\currentversio n\explorer下，分别查看上述5个子键中的内容。

一旦在里边找到你不认识的程序，就要提高警惕了。

再查看系统配置文件，很多木马文件都会修改系统文件，而win.ini和system.ini文件则是被修改最频繁的两个软件。

我们需要对其进行定期体检。

在“运行”中输入“%systemroot%”，回车后会打开“windows”文件夹，找到里边的win.ini文件，在里边搜索
“windows”字段，如果找到形如“load=file.exe，run=file.exe”这样的语句（file.exe为木马程序名），就要格外小心了，这很可能是木马的主程序。

类似的，在system.ini文件中搜索“boot”字段，找到里边的“shell=abc.exe”，默认应为“shell=explorer.exe”，如果是其他程序则也可能是中了木马。

这些是最原始的方法，但也是最有效的方法，但是对于非计算机专业人员来说，可以通过查看系统进程和使用专用木马检测软件的方法，来推断系统中是否存在木马，比如说：国内的有金山卫士，360卫士，百度杀毒，腾讯电脑管家，国外的有小红伞，瑞星，诺顿，麦克菲，卡巴斯基，都是一键查杀。

【木马病毒的防御】
现在的杀毒软件，基本能防御大部分木马，但是现在的软件都不是万能的，所以，还要学点专业知识，只有这样，你的电脑才安全一些，现在高手也很多，只要你不随便访问来历不明的网站，使用来历不明的软件（很多盗版或破解软件都带木马，这个看你自己经验去区分），如果你都做到了，木马，病毒。

就不容易进入你的电脑了。

但是万一你的电脑有木马存在，你该怎么做呢？首先，马上将计算机与网络断开，防止黑客通过网络对你进行攻击。

然后编辑win.ini 文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马'文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－
MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY －LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner “木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。

重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。

其实最原始的查杀木马的方法，就是—-重装系统！！！
也许你会感到这些都很麻烦，其实，为什么别人电脑没问题呢？归根到底，还是个人上网习惯问题，养成良好的上网习惯和电脑保养习惯，就可以把中木马病毒的几率降到最低，总结有以下几点：
1.系统开启自动更新设置，让系统自动安装微软的更新补丁。

要在微软的官方网站更新Windows安全补丁。

使用反病毒软件中的漏洞修复功能，比如360安全卫士、QQ医生、
金山毒霸等。

2.安装防火墙和反病毒软件，并实时更新病毒库。

比如360安全卫士、瑞星杀毒软件、瑞星个人防火墙、金山毒霸、江民、天网等。

3.密码不要太过于简单，设置复杂的密码，防止密码心理学或者社会工程学破解。

4.不乱上危险网站，不接受不明信息来源的文件，防止木马入侵电脑。

很重要！因为这是你电脑中毒的大部分原因。

5.不要随便打开来历不明的网站，也不要随便接收来历不明的邮件等！
6.不要随便运行可执行文件！这一点很重要很重要！可执行文件专指exe .bat .pif . scr .cmd .com ……。