導(dǎo)語(yǔ)：研究計(jì)算機(jī)木馬應(yīng)對(duì)技術(shù)一文來(lái)源于網(wǎng)友上傳，不代表本站觀(guān)點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

1網(wǎng)絡(luò)檢測(cè)技術(shù)。

針對(duì)木馬的網(wǎng)絡(luò)檢測(cè)技術(shù)指通過(guò)對(duì)主機(jī)本身網(wǎng)絡(luò)通信的監(jiān)控嚴(yán)格限制通信端口與網(wǎng)絡(luò)的連接，當(dāng)發(fā)現(xiàn)通信異常的情況下馬上對(duì)木馬的運(yùn)行進(jìn)行組織，這種技術(shù)普遍的是以誤用檢測(cè)為基礎(chǔ)的。網(wǎng)絡(luò)檢測(cè)技術(shù)包括防火墻技術(shù)，入侵檢測(cè)技術(shù)等，根據(jù)防火墻檢測(cè)原理的不同，防火墻技術(shù)又可以分為狀態(tài)檢測(cè)類(lèi)型、過(guò)濾包型和應(yīng)用三類(lèi)。入侵檢測(cè)技術(shù)能夠通過(guò)對(duì)計(jì)算機(jī)中某些關(guān)鍵點(diǎn)的信息進(jìn)行收集與分析，并發(fā)現(xiàn)違反安全策略的跡象與行為，IDS可以作為防火墻的補(bǔ)充，對(duì)提高信息安全基礎(chǔ)結(jié)構(gòu)自身的完整性能夠發(fā)揮出重要的作用，但是由于IDS的檢測(cè)速度小于網(wǎng)絡(luò)的傳輸速度并且模式識(shí)別的技術(shù)也有待完善，所以存在一定的不可靠性與誤報(bào)率。

2完整性檢測(cè)技術(shù)。

完整性檢測(cè)能夠通過(guò)對(duì)文件系統(tǒng)或者目錄快照的檢查與系統(tǒng)中原始的可信任版本進(jìn)行對(duì)比來(lái)查對(duì)其一致性來(lái)檢測(cè)目錄或者文件的變動(dòng)，從而檢測(cè)出系統(tǒng)中惡意程序是否存在。其檢測(cè)方法包括基于文件內(nèi)容的檢測(cè)、基于文件基本屬性的檢測(cè)和基于文件數(shù)字簽字的檢測(cè)。完整性檢測(cè)能夠在很大程度上實(shí)現(xiàn)對(duì)系統(tǒng)安全的保護(hù)，但是其缺點(diǎn)也十分明顯：一是完整性檢測(cè)計(jì)算文件的工作量較大，其檢測(cè)速度以及檢測(cè)效率也必然會(huì)較慢；二是檢測(cè)本身的成功率與管理員對(duì)文件計(jì)算數(shù)字簽名的間隔有很大關(guān)系，但是由于其檢測(cè)較慢，所以入侵者能夠在此時(shí)間內(nèi)將入侵的痕跡進(jìn)行清理；三是完整性檢測(cè)雖然能夠檢測(cè)出惡意程序，但是對(duì)其類(lèi)型卻不能識(shí)別；四是計(jì)算機(jī)中文件信息的修改也可能是由正常的程序引起的，所以完整性檢測(cè)技術(shù)具有一定的誤報(bào)可能性。

3特征碼掃描技術(shù)。

特征碼掃描技術(shù)是許多殺毒軟件公司用來(lái)進(jìn)行木馬檢測(cè)的工具，其方法包括特征掃描法和特征代碼掃描法兩類(lèi)。作為最實(shí)用、最簡(jiǎn)單的對(duì)已知惡意程序進(jìn)行檢測(cè)的方法，其技術(shù)的關(guān)鍵是提取惡意程序的特征碼，并在此基礎(chǔ)上對(duì)惡意程序進(jìn)行精確的查殺，所以這種方法對(duì)已知病毒和木馬的檢測(cè)準(zhǔn)確率很好，誤報(bào)率也較低，但是這種方法本身也存在一定的缺陷：一是不能檢測(cè)出變形、加殼等具有隱蔽性的木馬，也不能檢測(cè)出未知的、新的木馬；二是對(duì)病毒庫(kù)具有很大的依賴(lài)性，而木馬數(shù)量的增加會(huì)導(dǎo)致病毒庫(kù)的擴(kuò)大，其掃描時(shí)間也會(huì)隨之延長(zhǎng)；三是病毒庫(kù)本身的更新滯后于新木馬的產(chǎn)生，所以特征碼掃描技術(shù)也就有了滯后性。

4實(shí)時(shí)監(jiān)控技術(shù)。

實(shí)時(shí)監(jiān)控是指對(duì)許多不同角度的流入、流入數(shù)據(jù)進(jìn)行嚴(yán)格過(guò)濾，并對(duì)其中可能存在的惡意程序代碼進(jìn)行檢測(cè)與處理，其中包括內(nèi)存監(jiān)控、文件監(jiān)控、郵件監(jiān)控、腳本監(jiān)控等。實(shí)時(shí)監(jiān)控所具有的實(shí)時(shí)性是與其他方法相比最突出的優(yōu)勢(shì)，當(dāng)系統(tǒng)一旦遭到惡意程序的入侵，會(huì)被立即監(jiān)控并清除，從而控制惡意程序在系統(tǒng)中造成的破壞。而這種技術(shù)對(duì)腳本以及郵件的監(jiān)控還能夠阻斷惡意程序代碼傳播的途徑，從而使惡意程序代碼的傳播減少。其缺點(diǎn)是只能夠?qū)σ阎膼阂獬绦蜻M(jìn)行檢測(cè)，而這種缺點(diǎn)產(chǎn)生的原因是因?yàn)閷?shí)時(shí)監(jiān)控是建立在特征碼的基礎(chǔ)上運(yùn)行的。

5虛擬機(jī)技術(shù)。

通過(guò)一個(gè)軟件對(duì)CPU的模擬可以形成虛擬機(jī)，虛擬機(jī)可以執(zhí)行、取指和譯碼，能夠模擬代碼在真實(shí)CPU上運(yùn)行的效果。在虛擬的計(jì)算機(jī)環(huán)境中，程序鎖具有的任何動(dòng)態(tài)如內(nèi)存的變化、寄存器的變化等都能夠被反映出來(lái)，在此過(guò)程中，惡意程序代碼的傳染性也自然會(huì)被反映出來(lái)。虛擬機(jī)中執(zhí)行的病毒雖然能夠模擬出病毒程序執(zhí)行的效果，但是卻不會(huì)對(duì)真實(shí)的系統(tǒng)造成破壞，對(duì)一些變形的、加密的病毒的檢測(cè)具有建好的效果。但是虛擬機(jī)技術(shù)的缺點(diǎn)則體現(xiàn)為在運(yùn)行過(guò)程中會(huì)占用較大的系統(tǒng)資源，這也是虛擬機(jī)技術(shù)自身缺乏較高實(shí)用性的表現(xiàn)，并且一些木馬也加入了對(duì)虛擬機(jī)進(jìn)行檢測(cè)的代碼，能夠判斷自身運(yùn)行的環(huán)境，而當(dāng)發(fā)現(xiàn)自身處于虛擬機(jī)中使，木馬可以中斷執(zhí)行行為或改變操作行為以避免被虛擬機(jī)檢測(cè)。

6行為分析技術(shù)。

行為分析技術(shù)能夠?qū)⒁幌盗凶龊靡?guī)定的惡意程序定位規(guī)范，在此基礎(chǔ)上對(duì)程序的行為進(jìn)行監(jiān)視以判斷程序是否存在惡意代碼，也就是說(shuō)，行為分析對(duì)程序的判斷是以程序自身的動(dòng)態(tài)行為為依據(jù)。而行為分析技術(shù)與傳統(tǒng)的以特征碼為基礎(chǔ)的檢測(cè)技術(shù)不同的是，行為分析技術(shù)并沒(méi)有對(duì)特征碼的依賴(lài)性，所以它能夠?qū)σ阎臀粗獌深?lèi)惡意程序進(jìn)行檢測(cè)，但是目前在木馬檢測(cè)中應(yīng)用的行為分析技術(shù)也存在一些問(wèn)題：一是具有較高的誤報(bào)率。當(dāng)規(guī)范制定缺乏完善性時(shí)，會(huì)對(duì)合法程序與木馬難以做出有效的區(qū)分；二是較低的智能化。許多應(yīng)用行為分析技術(shù)的木馬檢測(cè)和查殺產(chǎn)品在發(fā)現(xiàn)可以程序后一般將處理程序的決策權(quán)交給用戶(hù)，而這對(duì)一般缺乏木馬知識(shí)的人而言具有一定的困難，同時(shí)也可能妨礙用戶(hù)對(duì)系統(tǒng)的正常使用。

作者：侯超男單位：湖南信息職業(yè)技術(shù)學(xué)院