我怎么检测出一个木马

Share

|

检测木马很容易，如果你有一个静态搜索模式，以扫描。 反病毒软件的例行检测（约）木马用了同样的模式搜索技术用于检测病毒。 不过，确定一个已知木马不一定是最好的防御。 检测以前未知的木马也（在概念上）简单的，只要你一直保持着最好的安全行为（从字面上一如既往，至少就受保护系统而言） 。

大部分检测方法对传统的多用户系统来源于一个原则，有时被称为反对和解。 反对和解是一个花式方式的要求， "目前这件事还只是路，我离开他" ？ 这里的它如何工作：对象是系统领域，如文件或目录。 和解与合作是这一进程的比较，这些物体对一个快照记录同一物体在以前的一些日期时，被保护的对象是已知将会在一个可信赖的， "干净"的状态。

注

严格来说，我们并没有这样的"清洁状态"时间。 即使是"一天零"安装系统软件上处女系统假设程序套件，没有替换和后门。 你能无限次发生在信托制度，你没有建立完全从零开始吗？ "任何金额的源代码级核查或审议会保护你不受用来路不明的典说： "肯汤普森在他的思考信赖的信任。 这是否意味着我们应该放弃对这种做法吗？ 当然不是，但是，我们应当记住，即使我们建立了一个应用，从审议的源代码，我们可能无法信任编译或每一个片断的硬件微码对系统主板。

更普遍的，这一过程形容为对象的和解是被称为变化检测，品格审查，或完整性管理。 但是，这些条件是，没有严格的同义词。

变化检测简单描述任何技术，提醒用户到一个事实：一个对象已经改变，在某些方面。

品格审查有着相同的核心意思，但常常被认为是在暗示，更先进的做法，不仅要检测的变化，尽管试图掩盖它，但对确保该报告软件，它本身并非颠倒。

诚信管理是一个较普遍的任期。 它可以不仅包括检测未经授权的改变，但其他方法，以维持系统的完整性。 这种方法还可能包括一些下列部分或全部，在没有特别命令：

• 保持可信任的备份
• 阻断未知的入侵入门（例如，通过运行系统档案，从唯读媒介或令人耳目一新的系统档案，由值得信赖的唯读媒介）
• 维持严格的出入管制
• 细心的应用厂商补丁来阻止新发现的漏洞
• 一细工程变更管理系统，只用签名（值得信赖）代码。

一个简单的方法，测试文件完整性，是基于报告的变化，在国家档案资料。 不同的文件完整性测试不同老练。 例如，你可以粗制滥造测试档案的完整性，以下列任何一种指标：

• 迄今为止最后修改
• 文件创建日期
• 文件大小

不幸的是，没有这三种方法构成了一个真正足够的防御较原始的攻击。 每次一个文件被改动，其价值观的改变。 举例来说，每一次文件打开后，变造，挽救了，一个新的最后更新日期脱颖而出。 然而，这个日期可以很容易受到操纵。 考虑操纵这个文件时戳。 如何困难是什么？ 更改系统的时间，运用所期望的编辑，存档文件，并重新设定系统的时间。 更好的办法是， get和挽救日期/时间信息用标准的c库函数（例如） ，修改或替换对象，并恢复该文件修改日期。 一个单用户系统（如女士dos的）极少或根本无法获得控制，编码所涉及的实在是微不足道。 这rea的儿子，检查的时间修改是一个不可靠的检测方法的改变。 此外，在过去的日期修改揭示了什么如果文件没有变更（例如，如果只有复制，观看，或邮寄） 。 在另一方面，如果有一个差距，修改的日期由系统和日期的修改记录，由系统监控事业，有一个明显的可能性是属于恶意的行动。

另一种方式核对完整的一个文件，是通过检查其大小。 然而，这一数值可以很容易受到操纵，无论是由修剪或填充文件本身，或者通过改变价值报道，由经营制度。

还有其他一些指标。 举例来说，基本校验，可用于。 不过，虽然校验和更可靠，比时间和日期，冲压，他们是可以被修改，太。 如果你依赖一个基本的校验系统（或使用变化检测软件，它依赖于简单checksumming ） ，这是尤为重要的是，你保持你的校验和列表在一个可信任的环境。 这可能意味着对一个单独的服务器，甚至是一个独立的媒体，都只能由根或其他值得信赖的用户。 校验和有效的工作，适当地遏制了完整的档案移交，例如，从a点到b点，但不适合高安全性的应用。 他们根本不是旨在防范恶意企图颠覆他们返回虚假信息。

那么轻易破坏技术涉及计算更先进的数码指纹，为每个档案，运用多种算法。 一个家庭的算法，所谓的导弹防御系列，可用于这一目的。 其中最流行的实现是一个系统，所谓的md5 。

的md5

的md5属于一个家庭的是单向散列函数称为报文摘要算法。 的md5制度是指在rfc 1321如下：

该算法作为输入的信息任意长度和生产作为输出一个128位的"指纹"或"消息摘要"的投入。 这是推测，它是在计算上是不可行的，以产生两个信息具有相同的信息摘要，或出示任何讯息，有鉴于prespecified目标的信息消化。 该md5算法是专为数字签名应用，如大型档案，必须要"压缩"在一个安全的方式，然后加密与一家私营（秘密）的关键，根据公共金钥密码系统如： rsa 。

当你运行一个文件通过的md5 ，指纹成为一个32字的价值。 它看起来像这样：

 二d50b2bffb537cc4e637dd1f07a187f4 

许多网站分发unix软件使用的md5生成数字指纹，他们的分布情况。 正如你浏览他们的目录，你可以看看原来的数字指纹的每一个文件。 一个典型的目录列表看起来像这样：

 的md5 （星期二- 1.17.8.tar.gz ） = 2f52aadd1defeda5bad91da8efc0f980 

 的md5 （星期二- 1.17.7.tar.gz ） = b92916d83f377b143360f068df6d8116 

 的md5 （星期二- 1.17.6.tar.gz ） = 18d02b9f24a49dee239a78ecfaf9c6fa 

 的md5 （星期二- 1.17.5.tar.gz ） = 0cf8f8d0145bb7678abcc518f0cb39e9 

 的md5 （星期二- 1.17.4.tar.gz ） = 4afe7c522ebe0377269da0c7f26ef6b8 

 的md5 （星期二- 1.17.3.tar.gz ） = aaf3c2b1c4eaa3ebb37e8227e3327856 

 的md5 （星期二- 1.17.2.tar.gz ） = 9b29eaa366d4f4dc6de6489e1e844fb9 

 的md5 （星期二- 1.17.1.tar.gz ） = 91759da54792f1cab743a034542107d0 

 的md5 （星期二- 1.17.0.tar.gz ） = 32f6eb7f69b4bdc64a163bf744923b41 

如果你只需要下载一个文件，例如一台服务器，并发现这个数字指纹的下载的文件不同，但有一个良好的机会，认为是不妥的。

或无的md5 ，诚信管理是一个复杂的过程。 各公用事业公司已设计，以协助诚信管理上的复杂和分布式系统。 以下水电费原本基于unix的，但类似的项目，可为微软的操作系统。

绊

绊（写在1992年）是一项综合性的文件完整性工具。 绊线，是很好的设计，很容易理解，也很容易实施。

原值（数字指纹） ，为档案加以监测存放在一个数据库文件。 该数据库文件，在简单的ascii格式存取每当一个签名需要计算或核实。

理想的情况下，一种工具，如绊，将用作后，立即改弦更张（日零）装置。 这给你百分之一百的保证文件系统的完整性作为一个起点（或接近100 ％ -记得肯汤普森条） 。 一旦你产生了完整的资料库，为你的文件系统，你可以引入其他用户（他们会立刻填补你的系统与垃圾，可选，也可套取指模核实，而其后检查） 。 这里是它的一些更有益的特点：

• 绊履行其任务超过网络连接。 因此，它有可能产生一个数据库的指纹和一些整个网络上安装时间。
• 绊线被写在c与心态走向可移植性。 将汇编为很多不同的平台，没有改动。
• 绊带有宏观加工语言，使您的工作可以自动完成。

绊是一种流行和有效的工具，但也存在一些安全问题，常见的大部分或全部完整的管理工具。 就是这样一个问题涉及到数据库的价值观，是产生和维持。 从一开始，绊线的作者清楚地认识到：

该数据库所使用的完整性检查器应受到保护，免受非法改动;一个入侵者，他们可以改变数据库可以颠覆整个品格审查计划。

其中一个方法保护数据库，以储存于唯读媒介。 这将消除任何可能的干扰。 金正日和斯帕福德建议该数据库受到保护，在这方面的态度，尽管他们指出，这可能是目前的一些实际的，程序上的问题。 在很大程度上取决于如何，往往该数据库将更新，其大小。 当然，如果你正在实施绊或类似的效用就范围广泛的量表（并利用其最严格的设置） ，维持一个唯读数据库可艰巨了。 一如以往，这个坏了，以一个贸易小康水平与风险和不便的设置与维护偏执的拖欠款项。

塔木

该塔木老虎套房（来自德克萨斯州购并大学）是一个收集工具，极大地恩hance安全的一个unix盒子。 这些工具产生的，在内部，为响应了广泛的攻击，由协调小组的互联网饼干。 这套已经升级，并改名为塔拉（虎分析研究助理） 。 它包含了一些脚本用来扫描unix系统的问题。

hobgoblin

hobgoblin是一个很有意思的执行文件和整个系统的完整性进行审核。 它既是一个语言和一名翻译。 语文，根据作者，描述了性能的一套档案，与口译检查是否描述相符的实际档案，并悬挂任何例外。

对其他平台

文件完整性检查器存在的窗口， （其实这是一个执行的绊对于windows nt ） 。 诚信跳棋是不一定明确，旨在查看多个机器和文件系统网络。 一些年纪较大的dos和windows工具使用简单华润checksumming作为索引，因此，可能会更容易颠覆比工具聘请md5和相关算法。 大部份都是打算用于为补充病毒扫描器（自探测的变化，以一个infectable对象可能表明病毒感染） 。 这并不否定这些潜在效用的完整性检查器作为一种手段，探测可能替换的失密代码的系统文件。

不过，改变检测是较为不便，在windows平台在这一系统中的档案存取多种应用，可代替合法的安装和升级。 因此，往往是一个尖锐的划分，对其他平台之间的文件属于系统和档案属于申请。

此外，变化检测，只有工程，以及某些类型的二进制可执行文件，即使是在背景的病毒检测。 许多病毒和木马感染的档案，其主要目的是为了遏制资料（电子表格，文字处理文件，等等） 。 然而，这种文件通常是为了要作修改，因为是日志文件用来对许多多用户系统来追踪可能的恶意行动。 显然，变化检测的基础上，推定档案静止不变的是不会去工作，使这些事例。 在某些情况下，这可能说明变化可能意味着违反（增订巨集程式码到一个word文件，例如） 。 这一办法规定，检查软件" ，知道" ，更多地了解内部的文件，而不仅仅是它的数字指纹。 这将产生严重的行政上的困难，所以这种方法并不好青睐，目前。

最安全的防御，虽然是为了阻止未经授权的修改系统档案，主动由典签署，唯读媒体等先发制人的措施。