木马检测范文1
【关键词】网页木马;防御;检测
计算机互联网使用具有开放性、脆弱性以及不安全性,在计算机技术快速发展的背景下,计算机安全问题也日益严重,最为典型的就是用户受到大规模木马、计算机病毒攻击。在木马病毒中,网页木马之多简单,并且传播速度快、破坏力强、变种形式多等特点,已经成为恶意程序传播的主要形式之一,对人们使用互联网造成严重威胁。针对此,必须要结合其特点,加强对网页木马防御与检测技术的研究。
一、网页木马简析
1.网页木马攻击原理
网页木马本质上为一个HTML网页,由网络攻击者制作,一旦访问此网页就会中木马。此网页中的脚本,主要是通过利用IE浏览器、软件以及系统的漏洞,通过IE在后台自动下载放置在网络空间上的木马安装并运行。普通的网页在打开后并不会自动下载与运行程序,主要因为IE浏览器禁止自动下载,但是因为存在漏洞,正好被网页木马所利用。目前常见的网页木马主要是利用WSH、JS.ActiveX共同合作来完成对客户端计算机的控制。
2.网页木马攻击实现方法
(1)放置木马到制定目录
将木马程度放置到计算机内指定的目录内,将其伪装成系统文件。即调用Scripting.FileSystemObjet组件完成已下载木马程序的拷贝,并将其放置在制定目录中,完成相应文件夹与文件的重命名、移动以及删除等操作[1]。
(2)下载木马程序
使用Microsoft.XMLHTTP对象与ADODB.Stream对象将网站上提前设置的木马文件下载到客户端计算机上,其中Microsoft.XMLHTTP对象负责获取木马文件数据,而ADODB.Stream对象而完成将木马文件保存在客户端计算机磁盘[2]。
(3)注入木马病毒
向客户端计算机中注入木马程序存在多种方法,一般情况下,对于com组件形式木马,作者会将com组件做成“浏览器插件”、“Shell扩展”、“地址栏挂钩”、“Office的Addin程序”以及“网络协议劫持插件”等形式,然后将其注入到计算机系统。
此种方式还需要进行注册表修改操作,脚本程序能够通过调用WScript.Shell对象的RegRead、RegWrite、RegDelete方法来完成对注册表的操作[3]。
二、网页木马攻击方式研究
1.主动攻击
通过欺骗与引诱等方式,诱导用户访问设置有网页木马的网站,一旦用户访问网站,点击存在木马的网页,就有可能感染恶意软件,是一种比较常见的攻击方式。此种攻击方式常见于论坛、博客、聊天室等用户比较集中的区域,另外还有各种色情内容的链接、在线游戏聊天频道内中奖信息等。
2.被动攻击
主要是攻击者通过入侵访问量大的网站,然后在此网站内插入网页木马代码,例如高校网站被挂马,这样在考生以及其他用户访问此类网站后,就会被木马或者其他病毒集中,是现在计算机互联网比较常见的网页木马事件。现在很多高校校园中流行通过APP插入恶意网页链接,在学生访问后,很有可能就会中病毒。网页木马的被动攻击属于目标不集中的攻击方式,只要访问到该网站的用户,都有可能会感染其所带网页木马种植的恶意软件,最终导致各类电子账号密码被盗,如QQ密码、游戏账号以及银行账户密码等。
三、网页木马防御与检测技术分析
1.大规模网页挂马检测
(1)基于行为特征检测
此种网页木马检测方式通常被用于高交互式客户端蜜罐中,实质上就是针对浏览器存在的漏洞,而在检测环境中安装真是浏览器,以及一些带有漏洞的插件,然后驱动浏览器访问待检测页面,以访问过程中注册表变化、新建进程以及文件系统变化等方面特征来判断此网页是否被挂马。对于已经被感染的计算机,为防止恶意程序继续在本地网络中的传播,高交互式客户端蜜罐一般会设置在虚拟机中,并采取一定的网络隔离措施进行处理。
(2)反病毒引擎扫描
此种网页木马检测方法是使用比较早的一种,主要是通过规则或者特征码匹配来确定检测页面中是否存在挂马情况。此种检测方式的应用,可以更快速的完成检测过程,但是从整体上来看,存在一定的漏报情况。这是因为如果仅仅依靠一种纯静态特征匹配无不能对抗网页木马为了提高隐秘性而采用的混淆面杀机制,这样在检测时就会出现一定的楼爆率。并且,选择此种检测方法时,检测人员习惯只对单面进行扫描,很少对页面动态视图中的内嵌脚本以及内嵌页面进行扫描,进而不能完全有效的检测出挂马页面。
(3)漏洞模拟检测
此种检测方法最为常见的为PHoneyC,主要是在低交互式客户端蜜罐环境中解析页面并用一个独立的脚本引擎执行提取出的脚本,然后利用这个脚本在引擎上下文中模拟出部分已经掌握的漏洞插件,最后结合运行时的参数来确定检测环境中存在的恶意脚本。此种检测方法主要作用于低交互式客户端蜜罐,比高交互式客户端蜜罐效果更好,能够利用更短的时间,准确的模拟出更多漏洞模块,甚至能模拟出同一漏洞的不同版本。但是,此种检测方法也具备一定的局限性,这是因为采用了一个独立的脚本引擎,脚本执行过程中经常会因为缺少页面上下文环境,以及浏览器提供给脚本一些API,而最终导致脚本执行失败,检测运行被迫停止。
2.网页木马防范技术
(1)网站服务器端挂马防范
为提高攻击脚本或者攻击页面的客户端加载量,以及增强隐蔽性,对互联网上大量网页木马挂马进行攻击,必须要做好网站服务器端网页木马挂马的防范管理。因为网页挂马途径众多,如利用内容注入以及利用网站服务器系统漏洞等,其中利用漏洞挂马是最为常见的一种,攻击者在发现系统漏洞后,获取相应权限后,完成网页页面的篡改,针对此种情况网站服务器可以通过及时打系统补丁,或者部署一些入侵检测系统来增强网站的安全性。
(2)脚本重写
利用BrwserShield在处并不判定页面是否含有恶意内容,而是重写页面中的脚本,即用一个自定义脚本库对页面脚本中函数调用、属性获取等操作来进行封装,封装的函数包中含有一些实时的安全检查代码,能够完成对已知漏洞函数的参数超长等症进行网页木马的检测[4]。被重写的页面在客户端被加载时,能够自主执行封装函数包中定期的安全检查,如果发现已知漏洞中相匹配的漏洞,则该段脚本停止运行,进而能够增强网页运行的安全性。
四、结束语
计算机网络技术的快速发展,进一步加强了互联网技术所具有的功能,为人们生活工作带来更大的方便。但是受互联网运行特点影响,在使用过程中经常会出现各类问题,其中网页木马是比较常见的一种,影响比较恶劣。在对网页木马进行处理时,需要明确其攻击与感染的方式,然后从多个方面进行分析,选择合适的方式进行管理,争取不断提高浏览器运行的安全性。
参考文献
[1]黄伟光.网页木马的防御与检测技术研究[D].北京交通大学,2011(32):48-49.
[2]张慧琳,邹维,韩心慧.网页木马机理与防御技术[J].软件学报,2013(4):84-85.
木马检测范文2
根据江民反病毒中心的监测统计,在其截获的2万余种电脑病毒及木马程序和被感染的72万多台计算机中,有相当的部分是被专门利用Real Player媒体播放器漏洞进行传播的“Real蛀虫”病毒的最新变种所感染的,数字触目惊心!
一、为什么视频木马如此猖獗?
事实上,利用Real Player播放器的固有漏洞,在RM/RMVB格式视频中夹带病毒及木马程序,然后通过固有漏洞对用户进行攻击的事件已经是相当普遍了,其原因一方面是Real Player播放器知名度和覆盖面都非常广,一个.RM或.RMVB格式的视频被植入病毒或恶意木马,就可能会以迅雷不及掩耳之势殃及成百上千台电脑。
另一方面在视频中央带病毒及木马程序的实现技术非常简单,网上甚至有专门的将病毒(木马)捆绑于指定视频文件的应用软件免费提供给所有用户下载,也就是说几乎每一个用户都可以在自己的电脑上制作“带毒”或“挂马”视频。
二、防范视频木马的应对策略
用户一般是很容易发现视频中夹带病毒或恶意木马程序的,比如用户在播放视频短片或影视作品时,网页浏览器会时不时地自动弹出骚扰广告窗口,有时候这些自动弹出的广告网页窗口会越来越频繁,最后以至于耗尽用户的系统资源!
防范木马(病毒)一般有两种常见思路:
一种是“权宜之计”,也就是有效阻止木马的运行,使木马的盗取和破坏功能发挥不到作用,沿着这种思路,用户可以通过设置防火墙的应用程序访问网络的规则来禁止Real Player播放器连接网络,从而使Real Player播放器无法依托网络调用带毒或挂马网页。
不过这种方法毕竟治标不治本,并且以后用户需要使Real Hay-er播放器访问网络时,切换起来也麻烦。
另一种思路就是将木马(病毒)与之相捆绑的正常视频源文件分离,也就是与那些进行视频木马捆绑的操作“反着干”,这当然是既治标又治本的方法。
目前常用的专门根除视频木马的工具虽然有不少,但大都不能支持即时木马(病毒)特征库的升级,能够准确识别和干净清除木马的数量十分有限,并且有很大一部分是有功能限制的共享软件。笔者这里推荐“影音巡警V2.0”,它是没有任何功能限制的绿色环保软件,无须安装,永久免费使用,并且支持木马(病毒)特征库的即时升级。
影音巡警V2.0下载地址:
http://.cn/detail/31/307232.shtml
三、“影音巡警V2.0”使用方法
“影音巡警V2.0”是一款由著名的超级巡警开发团队最新推出的专业视频木马(病毒)查杀软件,可以支持包括RM、RMVB、WMV和WMA等多种格式的视频木马(病毒)的智能检测。
用户将软件下载后,解压即可直接使用了,软件在每一次启动时,会主动检测是否有最新的木马(病毒)特征库更新,如果有,软件会自动完成更新升级。
接下来用户只要在软件的“选择文件或路径”框中指定需要进行检测的视频文件,接着再选择一个检测方式,最后单击“检索”按钮,软件即可自动完成对指定视频文件的木马检测和清除操作,非常快捷和方便。
这里需要说明的是,这款软件支持“快速检测”和“全面检测”两种检测方式,对于视频较大的文件,笔者建议大家可以选择“快速检测”的最优化方式。
木马检测范文3
【关键词】扫描 权限后门
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
1.特征匹配
找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等等。
2.统计分析
预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析
若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
1.行为监测法
由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。
监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
2.文件完备性检查
对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
3.系统快照对比检查
对系统中的公共信息,如系统的配置参数,环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。
4.虚拟机技术
通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
三、后门留置检测的常用技术
1.对比检测法
检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法
文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
3.系统资源监测法
系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源(例如网络、CPU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。
4.协议分析法
协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。
参考文献:
木马检测范文4
【关键词】扫描权限后门
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
一、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
1.特征匹配
找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等等。
2.统计分析
预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
3.系统分析
若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
二、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
1.行为监测法
由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。
监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
2.文件完备性检查
对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
3.系统快照对比检查
对系统中的公共信息,如系统的配置参数,环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。
4.虚拟机技术
通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
三、后门留置检测的常用技术
1.对比检测法
检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
2.文件防篡改法
文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
3.系统资源监测法
系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源(例如网络、CPU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。
4.协议分析法
协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。
参考文献:
木马检测范文5
关键词:网络监听;网络攻击;通信隐藏;防火墙
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 10-0000-01
Trojan Attack Analysis and Response
Tang Yi
(Suzhou University of Science and Technology,Suzhou215009,China)
Abstract:This paper analyzes Trojan horse attacks,Trojan horse attacks are described details the main technology,and then launched a discussion of their responses,given the idea of testing procedures.
Keywords:Network monitoring;Network attacks;Communication hidden;Firewall
一、引言
据公安部一份调查报道显示,我国近几年的计算机用户感染病毒、木马的比例连续多年都在80%以上。特洛伊木马(Trojan horse,简称木马)来源于古希腊神话,Dan Edwards将这一名称引入计算机领域。木马和病毒、蠕虫之类的恶意程序一样,具有很大的危险与破坏性。能够删除或修改文件、上传和下载文件、盗用客户信息等。这些年伴随着木马在通信隐藏、程序隐藏等方面的不断发展,对付其越来越具有了难度。本文针对木马及其一般攻击的方式进行分析,并且探讨应对措施。
二、典型的木马攻击方式
木马的攻击方式,在本文主要是知其如何地进行感染与渗透,并且进行自身的隐藏,以及进行资料的搜集或者破坏等活动。木马其攻击过程的一个典型过程如下:当服务器端在目标计算机上被执行后,这时木马程序开启默认的端口从而实现监听,而在客户机给服务器的程序发出链接请求要求时,就进行响应:有关程序开始运行实现对答客户机的应答,这样就建立了服务器端程序跟客户端之间的连接。建立链接以后,指令从客户端来发出,而服务器中则进行指令的分析与执行,并将数据传送到客户端,以达到控制主机的目的。
三、木马攻击方式重要技术分析
(一)目标的感染与植入
向目标主机成功植入木马是木马成功运行、发挥作用的前提。这一过程通常包含伪装、捆绑、漏洞利用等一切可能利用的技术手段。这个过程主要有:1.脚本种植技术。利用网页木马,网页木马就是当用户浏览某网页时,自动下载并运行某“木马”程序。2.利用脚本方式植入。通过ScriPt、Activex及AsP、cGI交互脚本的方式植入。3.利用系统漏洞植入。利用系统的其他一些漏洞进行植入。4.远程安装。通过一定的方法把木马执行文件传送到目标主机的电脑里再进行远程安装。
(二)自动加载
在自动加载过程,本身也是一个隐藏着的行为。这需要在操作系统启动的时候同步地启动自身,以此达到让木马在宿主机中自动运行的目的。常见的木马启动方式有:启动项加入注册表;win.ini和System.ini中的load节中添加启动项;Autoexe.bat中添加;修改Boot.ini的配置;修改Explorer.exe参数等等。
(三)进程隐藏以及文件隐藏
早期的木马进程的隐藏采取的措施比较简单,Windows9x系统要实现进程的隐藏可以通过把木马程序注册为服务的方式来达到。在Windows Nt/2000下,有些进程名字改得和系统进程非常相似,迷惑使用的人;也有的利用HOOK API技术修改函数的入口点欺骗列举本地进程的api函数;当然更好的是使用Rundll32.exe设计技术运行木马本身,这样在进程列表中显示出来的就是Rundll而非木马的可执行文件名,文件管理器中不能正确地列出木马的可执行文件。除了进程隐藏,还需要对静态文件的隐藏于保密,这里不赘述了。
总而言之,各怀鬼胎的木马通过以上隐秘的方式,实现了对计算机的攻击。
四、木马防范及应对
(一)意识层面
提高警惕,养成良好的习惯。时刻关注电脑运行的情况,当出现异常情况时如:系统自行运行文件、系统变慢、网络流量异常等,要提高警惕,查杀系统。养成良好的上网习惯,不要上一些有问题的网站,不要随意下载免费软件,不要随意打开邮件附件。
(二)技术层面
1.系统漏洞补丁的更新,及时为系统打上最新补丁。2.利用一些专杀工具。由于木马专杀工具往往对特点木马有非常好的效果,可以考虑周期性的进行应用。3.使用防火墙或者系统自带的功能如IP安全策略、端口筛选等,关闭系统特定端口,以阻断木马服务端与控制端的连接。
五、木马检测程序设计思路
对于一般使用者,可以积极采用4中所述的方法进行应对。对于更加专业的人员,可以根据木马的特点开发应对木马的工具。目前主要的木马检测方法都是对被人们已经发现的木马程序在在植入系统过程中及在系统中运行时的这些静态特征进行分析,提取出这些静态特征,构建木马的静态特征库,从而进行静态特征检测。但是这种方法强烈依赖于对木马的各种隐蔽和变化特征的深刻了解,所以检测能力不足,对未知的木马更是无能为力、有根本性的缺陷,更好的方法是应用对动态行为监测之方法。考虑到木马行为的隐蔽性和目的的恶意性,从这两点区别入手,用动态的方法控制木马植入、隐蔽和恶意操作行为所需要的资源条件,监控木马运行、通信、启动的隐蔽行为和恶意操作,对木马进行检测和防范。当然,也可以从动静两方面结合来进行木马的监测与阻隔。
这些行为的实施,更加有赖于对木马攻击方式的了解,要看到木马技术一直处于发展与升级的过程中,所以应对它也决不能丧失警惕,需要不断发现其攻击方式的新技术、新特征,从而提出更好的应对方法。
参考文献:
[1]周宗元,孔健行,武克南.线程插入技术的研究与防范[J].电脑知识与技术(学术交流),2007,17
[2]王战浩.木马攻击与防范技术研究[D].上海交通大学硕士学位论文,2007
木马检测范文6
[关键词]马兜铃酸 含量测定
中图分类号:R284 文献标识码:A 文章编号:1009-914X(2014)01-0000-01
马兜铃酸是马兜铃科植物中的主要成分,近年来已证实其具有肾脏毒性。鉴于马兜铃科植物种类很多,名称混淆现象也很常见,各地方用药种类十分复杂,所以,有必要建立一个简单有效、便于推广的方法对马兜铃酸进行定量分析,以便真实准确地反映出药材或制剂中马兜铃酸的含量,保证用药安全。目前,高效液相色谱法是在马兜铃酸含量测定中使用最多、发展也较为成熟的一种方法,但测定条件多种多样。为此,本试验从供试品溶液的制备、色谱条件的选择两个方面进行了研究,以期建立并推荐一个能准确反映马兜铃酸含量的高效液相色谱法。
一、仪器与试剂
美国科普公司SSIPC3000高效液相色谱仪,Model 500紫外检测器,HORIBA B-212PH计,Anastar色谱工作站。色谱纯试剂购自天津康科德化学试剂厂,分析纯试剂购自山东禹王化学试剂厂。关木通(两年生)采自沈阳药科大学药用植物园,马兜铃酸A对照品购自中国生物制品检定所(批号110746-200204)。
二、供试品溶液的制备
1、提取溶剂的选择
现有的研究中,马兜铃酸的提取溶剂多数选择甲醇、乙醇、丙酮或加入一定量的酸来提取,有文献报道,丙酮-10%甲酸提取效率较高。我们也重点考察了该浓度酸及常用溶剂对提取效率的影响。取干燥关木通药材粉末(40目),精密称定30份,各0.5g,分别加入溶剂各20mL,每种溶剂各提取2份,共30份,分别浸泡2h,超声15min,过滤,滤液蒸干,残渣以甲醇溶解,定容至10mL容量瓶中,微孔滤膜过滤后,供HPLC测定用。
从实验数据看,甲醇、乙醇不适宜对马兜铃酸进行提取,加入酸或醇水溶液,可使马兜铃酸的提取效率显著增加,综合比较各种溶剂,70%甲醇对马兜铃酸的提取效率最高,可以作为马兜铃酸的最优提取溶剂。
2、提取方法的选择
①索氏提取法:取0.5g关木通药材粉末4份,以70%甲醇120mL分别索氏提取1、2、3.5、5h,分别测定含量,结果表明3.5h后峰面积不再增加。②直接加热回流法:取关木通粉末1份,提取溶剂为70%甲醇25mL,提取1h,过滤,滤液进行含量测定,滤渣再重复提取2次,分别得滤液并测定含量。结果表明,关木通提取1次即1h即提取完全。③超声提取法:取关木通粉末1份,提取溶剂为70%甲醇25mL,提取15min,过滤,滤液进行含量测定,滤渣再重复提取4次,分别得滤液并测定含量,结果表明,关木通重复提取4次即1h,即提取完全。
可以看出,在提取完全的情况下,超声提取法需提取4次,耗费1h,消耗溶剂共100mL;索氏提取法需提取3.5h,消耗溶剂120mL;直接加热回流法需提取1次,提取1h,消耗溶剂25mL,即可提取完全。故建议选择直接加热回流法提取。
三、色谱条件
1、流动相对马兜铃酸含量测定的影响
从大量的文献报道来看,马兜铃酸含量测定的流动相一般使用甲醇-水系统、乙腈-水系统[2],另有采用乙腈-0.3% (NH4)2CO3(pH=7.5)[3]系统,本试验对不同流动相系统[甲醇-水-冰醋酸(70∶30∶1)、乙腈-水-冰醋酸(50∶50∶1)、乙腈-0.3%(NH4)2CO3(pH=7.5,25∶75)]进行了比较。
可以看出,3种流动相条件均可与其他成分实现基本分离,理论塔板数也符合定量分析的要求,但在乙腈-水系统下,马兜铃酸计算含量偏低。
2、低酸度对色谱分离的影响
由于马兜铃酸属于酸性物质,流动相中加入适量的酸可以改善峰形,但是酸的加入将会影响色谱住的使用寿命,本节探讨不同酸度对马兜铃酸分离的影响。
可以看出,甲醇-1%醋酸水溶液流动相条件分离度良好,理论塔板数符合定量分析要求,降低酸度不影响色谱分离,甲醇-1%醋酸水溶液适合作为含量测定的流动相条件。
3、痕量分析时色谱条件的选择
仪器及方法的检测限度是进行马兜铃酸痕量分析的重要指标,为确保用药的安全性,要求色谱条件具有较低的检测限。马兜铃酸有4处最大吸收,即224、250、319、390 nm。取配置好的0.05 mg/mL马兜铃酸对照品溶液,采用无限稀释法,流动相选择甲醇-1%醋酸水溶液及乙腈-0.3%(NH4)2CO3(PH=7.5),并配以不同检测波长进行最低检出限度的考察。
可以看出,乙腈-0.3%(NH4)2CO3(pH=7.5)配以224 nm检测波长可以获得最低的检出限度,该条件可用于限度检出。
此外,根据样品在不同波长下的最低检测限可以看出,样品在390 nm处检测限较高,不适合作为马兜铃酸含量测定时的检测波长,而250 nm及319 nm检测波长下检出限较低(
四、讨论
本试验对高效液相色谱方法测定马兜铃酸含量的供试品溶液的制备方法进行了条件优化选择,确定供试品溶液的制备方法为70%甲醇直接加热回流法进行提取。
在流动相选择上,研究发现,甲醇-1%醋酸水溶液(70∶30)及乙腈-0.3%(NH4)2CO3(pH=7.5)可以满足马兜铃酸含量分析需要,结果较为准确。当药材中马兜铃酸含量较低,需进行痕量分析时宜选择流动相为乙腈-0.3%(NH4)2CO3(pH=7.5),检测波长为224 nm。
本试验首次对甲醇-水分离马兜铃酸的酸度进行了考察,发现采用低酸度的甲醇-1%醋酸水溶液对马兜铃酸进行含量测定,不仅可以获得良好的分离效果,且可以减缓流动相对色谱柱的损耗,适宜用作马兜铃酸的含量测定方法。