木马的分析与防范策略
2024-10-18
来源:威能网
科技信息 O IT论坛o SCIENCE&TECHNOLOGY INFORMATION 2010年第31期 木马的分析与防范策略 季敏霞 (常州工程职业技术学院江苏【摘常州213164) 要】网络安全形式日趋严峻。学生在机房上机的过程中,经常会遇到因为计算机木马而造成软件及系统破坏等问题。本文针对目前网 络上流行的木马进行分析并提出自己的防治办法。 【关键词】木马;分析;防范 【Abstract]The situation of network security is becoming increasingly se/ ̄ous.Students often have to face the software and system damage problems because of the trojan horse when they"re using conputers in the computer ce ̄er.This article is aiming at the analysis of popular network trojan horse and putting forward the general prevention strategy. 【Key words】Trojan Home;Analysis;Prevention Strategy O引言 入木马的控制字段。这样的木马具备很多新特点,如不占用端口、使用 户难以发觉等。同时,使用ICMP协议可以穿透一些防火墙,从而增加 随着计算机网络技术的迅速发展和普及,人们越来越离不开网络 了防范的难度。 给生活带来的便利。与此同时计算机木马也随之接踵而来,学校机房 很容易成为木马攻击的对象。目前比较流行的木马给机房管理工作带 3木马常用的自启动技术 来了诸多困扰。 为了达到长期控制目标主机的目的,当主机重启之后必须让木马 1木马组成及特点 一程序再次运行,这样就需要木马具有一定的自启动能力。下面介绍几 种常见的方法。 3.1加载程序到启动组 我们需要关注“开始”菜单中的启动项.对应的文件夹是c: \Docume ̄s and Settings\用户名\r开始 菜单\程序\启动。 3.2在注册表中加载自启动项 下面仅列举几个木马常用的自启动注册表项。 3.2,1 Rnn注册表项 Run是木马常用的自启动注册表项.位置在: 般来说,完整的木马由两部分组成.即服务端Se ̄er和客户端 Client,也就是采用所谓的C/S模式。 祸藏努端嗨瘦  ̄,-,51:Pm HKEY CURRENT USER\Software\Micros0fl\Windows\CurrentVer— siont露an 图1—1 木马的服务端和客户端 HKEY L0CAL.MACHINE\S0rrWARE\Microsoftl、Windows\Cur- 木马之所以在学校机房流行,并且对于机房管理人员来说难杀难 rentVersion\Run 防,正是因为木马本身具有以下特点: 3.2.2 RunOnce注册表项 1.1隐蔽性 RunOnce也是木马常用的自启动注册表项.位置在: 隐蔽性是木马的首要特征,主要体现在木马安装简单,一般直接 HKEYCURRENTUSER\Software\Microsoft\Windows\CuremtVer. 单击就会运行,而且没有交互界面。同时木马不产生图标,不会让用户 siont anOnce —察觉出异常。此外木马程序自动在任务管理器中隐藏,并以“系统服 务”的方式欺骗操作系统,让一般的用户根本无法看出其正在运行。 1-2欺骗性 HKEYLOCAI MACHINE\SOFTWARE\Microsoft\Windows\Cur— rentVersion\RunOnce 在WindowsxP系统中还有: HKEYLOCALMACHINEXSO丌WARE\Microsoft\Windows\Cur- _木马经常使用常见的文件和扩展名来进行欺骗,或者仿制一些不 易被人区别的文件名,甚至干脆借用系统文件中已有的文件名,只不 过保存在不同路径中来进行欺骗。 1,3自动运行性 rentVersion\Run0nceEx。 此外,木马的自启动注册表项还有RunServices注册表项、 RunServicesOnce注册表项、Winlogon注册表项、Load注册表项等。 自动运行性是指木马能够随着系统启动或者其他程序启动。 3-3修改文件关联 1.4有效性 以文本文件的“文件关联”为例,正常情况下,其对应的注册表项 有效性就是指入侵的木马能够与其控制端建立某种有效联系,从 和项值分别为: 而能够充分控制目标机器并窃取其中的敏感信息。 HKEYCLASSESR00T ̄txtfile\shell\open\command 1.5顽固性 与%SystemRoot%\system3 ̄NOTEPAD.EXE%1 —顽固性就是指有效清除木马的难易程度。若一个木马在检查出来 之后,仍然无法将其一次性有效清除,那么该木马就具有较强的顽固 性。 1.6易植人性 但是某些木马在安装阶段将项值改为“木马程序路径\木马程序 名称%l”的形式,这样,当用户打开任何一个文本文件时,就启动了木 马程序 显然任何木马必须首先能够进入目标机器,因此易植入性就成为 4木马的防范策略 木马有效性的先决条件。 对于机房管理员来说,有效防范木马的入侵显得极为必要,在此, 我们应特别注意对木马的一般性防范策略:合适地配置系统、浏览器 2木马常用的隐藏技术 以及系统安全策略;不要随意打开来历不明的邮件及其附件:不要随 2.1合并端口法 意下载来历不明的软件;不要随意点击来历不明的网址;及时修补系 使用特殊的手段,在一个端口上同时绑定两个TCP或者UDP连 统漏洞并使用系统自动更新;检测进程并及时关闭可疑的端口和服 接(比如80端口的HTTP),以达到隐藏端口的目的。 务;安装专门的木马检测软件,运行实时监控并经常更新特征库。 2.2修改ICMP头法 大部分木马运行后会显示在进程管理器中,所以对系统进程表进 根据ICMP协议进行数据的发送,原理是修改ICMP头的构造,加 行分析和过滤,可以有效发现可疑程序,特别是与正(下转第122页) 71 2010年第31期 SCIENCE&TECHNOLOGY INFORMATION o高校讲坛0 科技信息 课件的教学策略设计探索 张彬 (绵阳师范学院数学与计算机科学学院 四川 绵阳621000) 【摘要】文本详细阐述了为达到提高课件教育性的目的,在课件设计过程中教学策略设计时应注意的原则。 【关键词】课件;教学策略;设计原则 0引言 学生学习的线性方式,每个学习可选择不同的模块进行学习,达到了 “因材施教”的效果.因此,在教学策略设计时,课件的内容要尽可能全 课件即教学软件,是根据教学大纲的要求,经过教学目标确定,教 面.要考虑到学生学习的各种需要。另外,交互性在课件教学信息展现 学内容和任务分析,教学活动结构及界面设计等环节,而加以制作的 方面也具有很大的优势。例如物理、化学的教学可以利用交互性动画 课程软件。课件帮助教师进行教学,目的是提高教学效果,因此课件的 模拟相关的实验,这样除了能避免一些危险性实验的操作外,更重要 教育性如何实现是课件设计时的一个关键问题,而影响课件教育性的 的是学生在课后可重复演示实验并模拟操作实验。从而巩固对知识的 个重要因素就是课件的教学策略设计。 了理解和掌握。又例如在计算机教学中,可利用交互性动画模拟某语 一1教学策略 句的执行过程,学生通过观察执行的每一步从而理解语句的功能和执 行顺序。 “所谓教学策略,是在教学目标确定以后,根据已定的教学任务和 2.2教学策略的设计要符合教学内容的学科特色 学生的特征,有针对性地选择与组合相关的教学内容、教学组织形式、 教学策略设计要注重知识序和认知序相结合,同时要根据教学知 教学方法和技术,形成的具有效率意义的特定教学方案。教学策略具 识的学科特点制定教学策略。如,英语的学习是一种记忆加理解的学 有综合性、可操作性和灵活性等基本特征。”(袁振国,1998) 习,它注重听、说、写。因此英语类课件可充分运用直观的视听表示形 不同的教学条件下,教学策略的设计是不同的。课件是基于计算 式,这样比起文字教材和教员在课堂的讲授,教学节拍大大加快,知识 机环境的,因此教学策略的设计要充分考虑到计算机本身的特点,要 的传输量大大增加,同时要不断的复习,以加深记忆从而巩固所学知 利用它所具有的优势来达到提高教学效果的目的。 识。又如,数学的学习,在知识学习后,必须通过大量的实例讲解和练 2课件教学策略的设计原则 课件的教学策略设计首先要考虑到课件的使用者。如果是教师使 习来达到对知识的理解和掌握、运用。 2_3教学策略的设计要符合教学对象能力与学习心理 不同的学习者具有不同的学习态度、起始能力、已有知识和个性 用,则可提供丰富的教学资源,不必在教学策略上做过多的考虑,以免 特征,这些能力和特征直接或间接地影响着学习者的学习效果。因此, 限制了教师教学思维,没有个人特色而是千篇一律的教学方式;如果 在制定教学策略时要考虑到学习对象的个性特征设计不同的教学组 是学生使用的课件,则需要从学习的角度出发对教学策略进行详细的 织形式,教学信息的展现方式;针对学习对象的基础知识架构,在设计 设计。 时要考虑.采用的教学方法能否被接受等。 2.1教学策略的设计要体现计算机教学的优势 课件的教学策略设计要融合计算机的特点,充分发挥计算机本身 的优势。 一3计算机专业人员教学策略设计的解决方案 作为专业计算机人员在制作某学科的课件时,如何设计一个符合 是充分考虑到计算机的多媒体技术在课件中的作用。多媒体技 以上原则的教学策略,可以通过以下几个方法: 术把信息的表述不单单局限于文本而要根据需要加入多种媒体形式, 3.1寻求学科专业人员指导: 如声音、动画、视频等,这样可以让信息传播的更形象具体,并且可以 3.2从网上收集出色的教案; 扩展教学资源的范围。同时使用多媒体技术可以为学生创设不同情 3.3加强自身的教育学理论知识。 【参考文献】 儿可以在这一环境中学习汉字,如创设一个野外的环境可以认识” [1]李康.课件设计理论与制作技术[M].暨南大学出版社,2009 山”、”树“,”草“,”日“等汉字;而下一步可以在此环境中加入一些动 [2]张大均.教学心理学纲要[M]人民教育出版社,2006. 物。就【】』以认识动物类的文字。幼儿在学习过程不会感觉枯燥,反而会 随着环境一步一步的改变提高好奇心.增加学习的兴趣。 [责任编辑:曹明明] 二是要充分发挥计算机具有交互性的优势。课件的交互性改变了 景,让学生“身临其境”的学习。例如设计“幼儿汉字初识“课件,可以 利用声音、动画、图像将一些相关的汉字组成一个现实生活环境,使幼 (上接第71页)常进程的CPU资源占用率和旬柄数比较后,可以发现 安全,最好的办法就是尽量熟悉特洛伊木马的类型、工作原理掌握如 异常现象。 如果木马的监听进程是作为Windows服务启动的,一种更干净的 禁止监听端口的方式是把这个服务本身禁止掉。但需要注意的是,不 何检测、防范和清除这些恶意代码的方法和手段。Q 【参考文献】 北京:北京科海电子出版社,2003. 要不加分辨地将服务关闭,如果禁止了某个关键服务,系统可能会变 [1]张友生计算机病毒与木马程序剖析.[2]张聪,张忿,丰洪才.特洛伊木马程序隐藏技术分析-武汉:武汉工业学院学报 得很不稳定甚至导致崩溃。 此外。我们应该安装反病毒软件以及专门的木马检测和查杀软 件,并保持其特征库的更新。 2o05. 作者简介:季敏霞(1979一),女,常州工程职业技术学院,实验师,主要从事 计算机机房维护与管理。 5结束语 随着技术的不断发展,木马必定也会以更隐蔽、破坏力更强的方 式出现。为了避免计算机感染上木马程序造成难以估量的损失,保证 [责任编辑:曹明明] 122