基于特征分析和行为监控的未知木马检测系统研究与实现

木马是以盗取用户个人信息和文件数据,甚至是以远程控制用户计算机为主要目的并尽可能隐藏自身的恶意程序。近年来,随着黑客行为的职业化、利益化和集团化,网络入侵与攻击手段日新月异,木马等恶意代码已成为我国网络安全的重要威胁。现阶段,木马检测通常依赖于病毒软件的检测能力,防病毒软件一般采用特征码比对和行为识别的方式进行木马查杀,这种方式需要防病毒软件拦截木马样本进行分析,提取木马样本,对木马特种库进行升级后对木马进行识别,滞后性很强,无法对新出现的或无已知特征的木马进行查杀。文章对木马反杀毒技术、隐藏技术、突破主动防御技术进行探讨,并以此为基础,提出基于特征分析和行为监控的木马检测技术,完成了未知木马检测系统的设计与实现,能够在一定程度上弥补现有防病毒软件及安全措施只能查杀和监测已知木马而不能识别和查杀未知木马的不足。     

防范木马的几个要点

小心下载软件 由于黑客软件经常被人们滥用,网上很多个人站点所提供下载的软件或多或少地携带木马或病毒。一旦该软件被用户下载到硬盘且满足运行条件后,水马和病毒就会对电脑系统和用户的信息安全构成巨大的威胁。而这一切是普通用户难以察觉的。对这些用户而言,要避免木马和病毒横行,并不一定依赖反病毒软件,还得靠用户的自制能力。如不要去访问不知名的站点,不要去登录黄色站点;不要从以上站点下载拨号器或是从其它小站点下载看似安全的软件(要下也去门户站点下)。同时,下载的时候一定要开启防火墙。     

局域网隐性病毒及清除策略

各种病毒时至今日也可算是百花齐放了,搞得人心惶惶,一旦发现自己的电脑有点异常就认定是病毒在作怪,到处找杀毒软件,总之似乎不找到＂元凶＂誓不罢休一样,结果病毒软件是用很多,但结果却往往不尽如人意。病毒藏匿任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是以常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮填着什么角色呢？一些病毒采取隐藏措施,我们定义这种现象病毒为隐性病毒,常见隐性病毒的有以下几种情况。     

站好网络防线的最后一岗——杀毒软件与应用程序的亲密接触

现在的病毒和木马越来越猖狂,即使安装了杀毒软件、开启了病毒防火墙,仍然还有中毒的可能。特别是某些杀毒软件使用了所谓的“快速查毒”引擎,其主要原理就是忽略非可执行文件的检查、并忽略部分比较旧的病毒。这样一来,像Flashget这样的软件,在下载时将文件扩展名改为jc!,就会造成下载的文件“逃避”病毒软件检查的严重后果。     

小心窃取密码的卧底

木马是什么，简单地讲，就是一种为完成某种目的而潜伏在你机器中的程序，木马从功能上来讲一般分为专用木马和全功能木马，举个例子，传奇盗号木马和奇迹盗号木马都是专用木马，他们只能实现单一功能，这种木马的特点是使用方便，功能单一，极易入门（     

基于隐形度的木马度量研究

木马作为一种特殊的网络攻击手段，远程控制和隐形能力是其显著特征。作为一种黑客手段，木马的使用使受害对象的损失进一步加重。研究木马技术，了解木马的隐形手段，并进一步展开量化分析，能为木马防范提供科学依据，以期最大限度地减少受攻击用户的损失。     

掐灭“风雪”木马

喜欢在网络中制造麻烦的好事总是不停地制造木马，在网络中惹出事端。而在新近出现的木马中，“风雪”木马威胁巨大，朋友们要小心，不要被“风雪”所淹没。     

一种基于服务软件的病毒防治策略

网络病毒软件与反网络病毒软件之间的较量结果在很大程度上取决于扩散速度,目前基于Web发布方法未能实现快速分发病毒库。将反病毒软件以服务(类似移动通讯服务)而不是产品提供给用户,由病毒防治服务提供者透明地为用户升级软件,将是一个有效的途径。     

木马不可怕，莱鸟也能研究它

在这个木马横飞的年代，很多人谈“马”色变，对木马避而远之，更别说是在本机上研究它了。其实，木马终究也是程序，只要了解了它的“习性”，我们就能很好地利用它。不过这里，我们可不是像高手那样去反汇编、分析代码，而是利用相对简单的方法来记录木马的一举一动。     

马棚木马的藏身之处

了解了木马的入侵手段后，相信大家都能有的放矢地加以防范，但是如果一时疏忽，让木马“溜”进自己的电脑怎么办？没关系，下面我们就来看看木马到底喜欢“藏”在哪些地方吧！     

Trojan让害群之“马“无处藏身

木马能够长期潜伏在目标计算机中，将目标计算机里面的各种信息、密码源源不断地提供给入侵者。入侵者甚至可以通过木马软件对用户计算机进行破坏性操作，如重新启动、删除文件等。由于木马程序隐蔽性极强，一般的杀毒软件也不容易发现它的踪迹。为了检测并追查出各位朋友机器中的“害群之马”，在下文中，笔者将为大家介绍一些常用的木马查杀方法，使我们的机器远离木马的骚扰。     

新品上市

卡巴斯基Mac反病毒软件登录中国 卡巴斯基Mac反病毒软件于7月20日正式在中国市场发售,以保护中国Macintosh计算机用户免遭恶意软件威胁。卡巴斯基Mac反病毒软件可保护家庭或企业网络免遭Mac操作系统平台下病毒及多种网络威胁的侵害,并能消除Windows和Linux操作系统下的类似威胁。     

掌控端口，不给木马机会

端口是木马入侵的“秘密通道”，普通用户如何才能轻松地掌控自己计算机上的端口，将木马拒之门外呢?其实，这也并非是一个很麻烦的事情。     

“超级巡警”——KV200的使用

近年来，在我国的反病毒产品市场上，国内外优秀的各种反病毒产品纷纷涌现，形成防病毒卡等硬件产品和杀病毒软件共存的局面。在我国国产的杀病毒软件产品中，公安部的KILL系列杀病毒软件和KV200查解病毒软件等均为计算机用户喜爱的杀病毒软件。KV200查解病毒软件是KV100查解病毒软件的最新版本，在保留了KV100的全部性能优点外，还采用了新的技术，增加了新的功能。KV200采用独特的开放式系统，用户自己可以抽取新病毒的特征码或在有关专业报刊上获取新病毒的特征码来扩充病毒数据库。同时用户还可以自己增加杀毒代码或在有关专业报…     

学用脚本解密利器揪出网页木马

在上一期的文章中，我们讲了如何解密加密的网页木马，其中用到了一些巧妙的JavaScript语句。但用手工替换语句的方法解密，对一些朋友来说可能比较头大，因此在本篇文章中，为大家介绍一些小巧易用的工具，轻松地解密各种加密过的网页木马，让网页木马别想瞒过我们！     

用于硬件木马检测的电磁辐射分析方法研究

随着集成电路产业全球化的发展，硬件木马已成为集成电路的主要安全威胁之一。目前能较好权衡检测成本与检测能力的侧信道分析方法越来越受到研究人员的关注，其中，电磁辐射分析方法是研究热点之一。重点分析并验证电磁辐射分析方法对硬件木马的检测能力，并探究限制其检测性能的原因。在现场可编程逻辑门阵列（FPGA）上进行验证实验，实验结果表明，电磁辐射分析方法可以很好地检测电磁辐射频率分布独特的硬件木马电路，但无法适用于电磁辐射频率分布复杂的硬件木马。     

亦正亦邪 巧用黑客工具对付木马

最近我的同事有点郁闷，她的电脑有时鼠标不听使唤，有时窗口突然关闭……帮她仔细检查了一下操作系统，可能是被人种下了木马。碰到这种情况．你可以什么都不管．只简单地用杀毒软件或反木马软件来检测并清除木马。但是．如果你有钻研的精神．想进一步了解这些木马，实现《孙子兵法》中的“知己知彼．百战不殆”，那么就可队换一种方式．利用一些黑客软件，通过模拟入侵的方式来检测木马。     

给木马穿个马甲——木马加壳与脱壳

提到木马，大家并不陌生，但是为什么还是有很多人屡屡中招，死在木马的“蹄”下呢？原因很简单，因为大家不能识别木马，木马也不会告诉你“我是一个木马，你要当心了”。相反，木马会采取种种手段，尽量不让大家识别出来，其中加壳就是一种常用的方式。下面我们就看看如何实现木马的加壳，如何检测木马是否被加壳以及如何防范!     

基于木马特征风险敏感的硬件木马检测方法

针对现有硬件木马检测方法中存在的木马检出率偏低问题，提出一种基于木马特征风险敏感的门级硬件木马检测方法。通过分析木马电路的结构特征和信号特征，构建11维硬件木马特征向量；提出了基于BorderlineSMOTE的硬件木马特征扩展算法，有效扩充了训练数据集中的木马样本信息；基于PSO智能寻优算法优化SVM模型参数，建立了木马特征风险敏感分类模型。该方法基于Trust-Hub木马库中的17个基准电路展开实验验证，其中16个基准电路的平均真阳率（TPR）达到100%，平均真阴率（TNR）高达99.04%，与现有的其他检测方法相比，大幅提升了硬件木马检出率。     

无法杀死病毒

我的机器感染了病毒，病毒软件报告杀死了某某病毒，可是重新启动后该病毒仍旧存在，无法杀死。怎么办？