防范技术 | 基本原理 | 说明 | 举例 | |
1 | 基于查看开放端口检测 | 根据木马在系统留下的网络通信端口号判断 | ①系统自带netstat命令 ②端口扫描软件远程检测 | 冰河端口 7626 Back Orifice 2000端口 54320 |
2 | 基于重要系统文件检测 | 根据木马在系统上对重要系统文件修改留下的痕迹判断 | 比对正常系统文件变化,一般与系统自启动相关 | Windows系统Autostart Folder、Win.ini、System.ini、Wininit.ini、Winstart.bat、Autoexec.bat、Conng.sys、Explorer Startup等常被修改 System.ini中 shell=explorer.exe 木马名 |
3 | 基于系统注册表检测 | 检查注册表键值异常及对比已有木马修改注册表的规律,综合确认 | Windows类型木马常修改注册表键值来控制木马自启动 | Acid Battery v1.0木马: Explorer.exe→expiorer.exe |
4 | 检测具有隐藏能力的木马 | 检测Rootkit的技术 ①检测己知Rootkit。(基本原理)基于Rootkit运行痕迹特征判断。 缺点:只能针对特定已知的Rootkit,无法解决未知 ②基于执行路径。(基本原理)系统完成附加Rootkit功能,需执行更多CPU指令,比较计数与干净系统差别来判断 优点:不限已知,对所有通过修改系统执行路径来达到隐藏和执行功能目的的Rootkit都有效 | Rootkit是典型具有隐藏能力的特洛伊木马 利用patchfinder工具,发现Hacker Defender、APX、Vaniquish、He4Hook等 | |
5 | 直接读取内核数据 | 针对通过修改内核数据结构的方法来隐藏自己的Rootkit。(基本原理)直接读取内核中内部数据来判断。 遍历系统内核线程链表,包括被隐藏进程的线程,得到系统内所有进程列表 | Klister是一组实现该方法的简单工具实例,用来读取内核数据结构 | |
6 | 基于网络检测 | 在网络中安装入侵检测系统,捕获主机网络通信,检查数据包是否具有木马特征,或者分析通信是否异常 防止木马植入方法: ①不轻易安装未经安全认可的软件,特别是来自公网的软件 ②提供完整性保护机制,在欲保护计算机上安装完整性机制,对重要文件进行完整性检查。如安装完整性保护设备驱动程序 ③利用漏洞扫描软件,检查系统漏洞,然后针对相应漏洞,安装补丁软件包 | ||
7 | 基于网络阻断 | 利用防火墙、路由器、安全网关等网络设备,阻断木马通信 | ||
8 | 清除木马技术 | 手工清除和软件清除 删除特洛伊木马在受害机器上留下的文件,禁止木马网络通信,恢复木马修改过的系统文件或注册表 | 特洛伊木马专清工具 | |