【正文】 } 接下來(lái)是掃描文件時(shí)候進(jìn)行文件名和文件大小的比較，然后和特征碼進(jìn)行對(duì)比，判斷進(jìn)行處理： void DealRabbishScan(CString path) { if(!gbRuning)return； chdir(path)； //更換當(dāng)前目錄 gPath1=path； ::SendMessage(gpMainWndm_hWnd ,WM_ANSWER, (WPARAM)2, (LPARAM)0)； for(int i=0； imnum； i++) { DeleteRabbishFile(path,name[i],size[i])； } BOOL flag； CFileFind m_File； DWORD dwRes； flag=(NULL)； while(flag amp。 63) + 1)； /* Append the length. */ md5_append(pms, data, 8)； for (i = 0； i 16； ++i) digest[i] = (md5_byte_t)(pmsabcd[i 2] ((i amp。下是基于 ini 特征庫(kù)文件讀取的代碼： CString CIniFile::GetFileString(CString Section, CString Item, CString Value) { 第 13 頁(yè) 共 26 頁(yè) ReadIniFile()； //打開(kāi)文件 if(bFileExist == FALSE || () 0) return Value； //文件打開(kāi)出錯(cuò)或文件為空 ， 返回 默認(rèn)值 int i = 0； int iFileLines = ()； CString strline,str； while(iiFileLines) { strline = (i++)； ()； if((0)==39。 環(huán)境需求 操作系統(tǒng)： Windows XP SP2 開(kāi)發(fā)平臺(tái)： Visual C++ 可行性研究 本程序的開(kāi)發(fā)利用 Visual C++作為開(kāi)發(fā)工具。由于算法的某些不可逆特征 ， 在加密應(yīng)用上有較好的安全性。這樣不但可以避免普通用戶的密碼被系統(tǒng)管理員知道 ， 而且還在一定程度上增加了密碼被破解的難度。 MD5 的典型應(yīng)用是對(duì)一段 Message(字節(jié)串 )產(chǎn)生 fingerprint(指紋 )， 以防止被 “篡改 ”。 不管是 MD2， MD4還 是 MD5， 它們都需要獲得一個(gè)隨機(jī)長(zhǎng)度的信息 ， 產(chǎn)生一個(gè) 128 位的信息摘要。 圖 2 PE文件主體結(jié)構(gòu) 第 8 頁(yè) 共 26 頁(yè) 圖 3 塊名與對(duì)應(yīng)的解釋 圖 4 物理結(jié)構(gòu)與內(nèi)存結(jié)構(gòu) 特征碼 選擇與采集 特征碼 采集的好壞直接影響到整個(gè)實(shí)驗(yàn)的結(jié)果 ， 如果所采集的樣本具有一定的普遍性和代表性的話 ， 那么理論值與實(shí)際值差別不會(huì)有很大出入 ， 甚至直接應(yīng)用到產(chǎn)品中去 ； 如果 木馬特征碼特性 帶有局部性 ， 不能代表一般性的話 ，即使得出結(jié)論 ， 也會(huì)使實(shí)驗(yàn) 結(jié)果與實(shí)際產(chǎn)生很 大的偏離。 PE 文件使用的是一個(gè)平面地址空間 ， 所有代碼和數(shù)據(jù)都被合并在一起 ， 組成一個(gè)很大的結(jié)構(gòu)。為此 ， 采用了一些用來(lái)提高特征碼掃描效率的技術(shù)。如果病毒既感染COM 文件 ， 又感染 EXE 文件 ， 那么要對(duì)這種病毒要同時(shí)采集 COM 型病毒樣本和 EXE 型病毒樣本。本設(shè)計(jì)提出基于文件自身的靜態(tài)信息來(lái)檢測(cè)木馬 ， 是與傳統(tǒng)木馬檢測(cè)方法的最大區(qū)別 ， 為有效解決潛伏木馬的識(shí)別問(wèn)題開(kāi)辟了一條新思路。 中國(guó)科學(xué)技術(shù)大學(xué)的朱明等人提出了基于多 Agent 協(xié)作實(shí)現(xiàn)未知木馬自動(dòng)識(shí)別的方法。在 AC SAC39。 行為分析正是具有可檢測(cè)特征碼未知的非法程序的特點(diǎn) ， 所以成為目前國(guó)內(nèi)外反病毒、反木馬等領(lǐng)域研究的熱點(diǎn)。例如 ， 防火墻與入侵檢測(cè)系統(tǒng)聯(lián)動(dòng) ， 可以對(duì)網(wǎng)絡(luò)進(jìn)行動(dòng)靜結(jié)合的保護(hù) ， 對(duì)網(wǎng)絡(luò)行為進(jìn)行細(xì)顆粒的檢查 ， 并對(duì)網(wǎng)絡(luò)內(nèi)外兩個(gè)部分都進(jìn)行可靠管理。目前 ， 一般的反病毒軟件都加入了反木馬功能 ， 甚至出 現(xiàn)了專門的反木馬軟件。另外 ， 目前某些木馬還具有自我恢復(fù)功能 ， 在目標(biāo)機(jī)上存放多個(gè)服務(wù)器程序及相關(guān)文件的備份 ， 如果只是其中的某一個(gè)被刪除 ， 那么 ， 其它備份又會(huì)在一定條件下運(yùn)行起來(lái)。 圖 1 后門類木馬客戶端與服務(wù)器的通信示意圖 不論哪類木馬 ， 均包含服務(wù)器程序 ， 平常所說(shuō)的 “中了木馬 ”， 更確切地講是 “中了木馬服務(wù)器 ”。 隨著網(wǎng)絡(luò)化程度的提高 ， 如何有效防范木馬己成為人們關(guān)注的問(wèn)題。所以木馬的出現(xiàn)給網(wǎng)絡(luò) 帶來(lái)了非常嚴(yán)重的負(fù)面影響。 本工具檢測(cè)準(zhǔn)確， 可識(shí)別病毒的名稱 ，依據(jù)檢測(cè)結(jié)果，可做相應(yīng)的 處理。特征代碼法 ，是目前公認(rèn)的檢測(cè)己知病毒的最簡(jiǎn)單、 開(kāi) 銷最小的方法。計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展到今天 ， 已經(jīng)迅速延伸 到世界的每個(gè)角落 ， 大到政府、公司 ， 小到家庭、網(wǎng)吧等場(chǎng)所 ， 己經(jīng)處處離不開(kāi)網(wǎng)絡(luò) ， 隨時(shí)隨地都要接入 Inter 與世界同步。并且 ， 木馬一般不 像 計(jì)算機(jī)病 毒那樣去破壞文件、占用系統(tǒng)資源，而是在背后充當(dāng)“間諜”的角色，因 此 ， 用戶即使中了木馬 ，也很難察覺(jué)到它的存在。 蠕蟲(chóng)則通常會(huì)通過(guò)網(wǎng)絡(luò)主動(dòng)在計(jì)算機(jī)之間傳播 ， 因此 ， 第 2 頁(yè) 共 26 頁(yè) 它的傳播速度一 般比病毒快。網(wǎng)銀類木馬通常沒(méi)有客戶端 ， 它的主要目的在于竊取目標(biāo)機(jī)用戶的網(wǎng)絡(luò)銀行帳號(hào)和密碼 ， 并將其發(fā)送到指定的電子郵箱。據(jù)國(guó)際著名風(fēng)險(xiǎn)管理公司公布的調(diào)查結(jié)果顯示 ， 在 2021 年 ， 病毒、蠕蟲(chóng)和特洛伊木馬等惡意程序或混合型攻擊共給全球造成了 1890 億美元的經(jīng)濟(jì)損失。此外 ， 入侵檢測(cè)還能探測(cè)網(wǎng)絡(luò)流量中潛在的入侵和攻擊。 ： 簡(jiǎn)而言之 ， 行為分析就是根據(jù)程序的動(dòng)態(tài)行為特征 (如在注冊(cè)表設(shè)置自啟動(dòng)項(xiàng)等 )判斷其是否可疑。 在可執(zhí)行程序中檢測(cè)惡意代碼的觀點(diǎn)是由 LSFM 研究組提出的。與本設(shè)計(jì)提出方法不同之處是 ， 他們先利用數(shù)據(jù)挖掘技術(shù)發(fā)現(xiàn)己知類型木馬的特征 ， 然后利用這些特征構(gòu)造分類器來(lái)檢測(cè)木馬文件。 本設(shè)計(jì)提出的通過(guò)分析文件的靜態(tài)信息 ， 發(fā)現(xiàn)木馬文件與正常文件的區(qū)別 ，不需要 上面提到 的 專家 系統(tǒng) 的支持。 基于特征碼的靜態(tài)掃描便是對(duì)特征碼技術(shù)最直接的應(yīng)用 ， 目前的各類反病毒軟件均具備這項(xiàng)基本功能 ， 它對(duì)用戶指定的某個(gè)或某幾個(gè)文件進(jìn)行掃描 ， 以確定是否包含非法程序的特征碼。打開(kāi)被檢測(cè)文件 ， 在文件中搜索 ， 檢查文件中是否含有病毒數(shù)據(jù)庫(kù)中的病毒特征代碼。當(dāng)然 ， 移植到不同的 CPU 上 PE執(zhí)行文件必然得有一些改變。常見(jiàn)的區(qū)塊有 text， rdata， data， idata和 rsrc 等。 注 ： [mnum]的 值 代表收錄的木馬特征碼個(gè)數(shù) ； 第 9 頁(yè) 共 26 頁(yè) [n]代表的是具體第 n+1 個(gè)病毒； Name 代表的是木馬文件的文件名； Size 代表的是木馬文件的文件大小 (以 byte 計(jì)算 )； MD5 代表的是木馬文件的 MD5 值； 圖 5 特征碼庫(kù)的具體格式 信息摘要技術(shù)中的 MD5 算法 MD5 的全稱是 MessageDigest algorithm 5， MD5 是一種不可逆的 算法 ， 即對(duì)生成的密文求逆 ， 對(duì)應(yīng)著無(wú)窮個(gè)逆。 MD5 算法的原理及應(yīng)用 MessageDigest 泛指字節(jié)串 (Message)的 Hash 變換 ， 就是把一個(gè)任意長(zhǎng)度的字節(jié)串變換成一定長(zhǎng)的大整數(shù)。同時(shí) ， 它還被應(yīng)用于加密和解密技術(shù)上 ， 譬如在Unix 系統(tǒng)中用戶的密碼就是使用 MD5 算法（或其他類似的算法）加密后存儲(chǔ)在文件系統(tǒng)中。 MD5 算法能在 32 位機(jī)器上能以很快的速度運(yùn)行。 2 需求分析及 方案設(shè)計(jì) 本 工具 要完成的功能 本工具的運(yùn)行是基于 Windows 平臺(tái)的，選用所熟悉的開(kāi)發(fā)工具及開(kāi)發(fā)環(huán)境進(jìn)行本工具 的設(shè)計(jì)與開(kāi)發(fā)。 模塊五：顯示正在查殺的文件夾。 算法的初始化： md5_init(md5_state_t *pms) { pmscount[0] = pmscount[1] = 0； pmsabcd[0] = 0x67452301； pmsabcd[1] = 0xefcdab89； pmsabcd[2] = 0x98badcfe； pmsabcd[3] = 0x10325476； } 添加字符竄到消息摘要中： md5_append(md5_state_t *pms, const md5_byte_t *data, int nbytes) { const md5_byte_t *p = data； int left = nbytes； int offset = (pmscount[0] 3) amp。 (z)) | ((y) amp。state)； while (1) { n = (int)fread(buf, 1, 4096, f)； if (n=0) break； nbytes += n； md5_append(amp。 木馬特征碼技術(shù)契合了目前檢測(cè)未知木馬的迫切需求 ， 隨著對(duì)其研究 的深入和實(shí)踐的展開(kāi) ， 必定能使其得到廣泛的應(yīng)用 ， 使人們從中受益。 [4]何長(zhǎng)龍 ， 林蓉 ． 如何檢測(cè)和刪除系統(tǒng)中的木馬 [J]． 信息安全與通信保密 ， 2021， (7)， 55－ 58。 關(guān)于學(xué)位論文使用權(quán)和研究成果知識(shí)產(chǎn)權(quán)的說(shuō)明： 本人完全了解成都信息工程學(xué)院有關(guān)保管使用學(xué)位論文的規(guī)定，其中包括： （ 1）學(xué)校有權(quán)保管并向有關(guān)部門遞交學(xué)位論文的原件與復(fù)印件。商業(yè)化得大潮已經(jīng)完全沖擊著我們所處的世界。當(dāng) **問(wèn)題層出不窮時(shí)，大眾對(duì)破解盲區(qū)的愿望愈趨強(qiáng)烈，于是，大批的官場(chǎng)小說(shuō)便呼之即出，一時(shí)間洛陽(yáng)紙貴，尉為壯觀。毫無(wú)疑問(wèn)，無(wú)論對(duì) 于出于何種動(dòng)機(jī)閱讀小說(shuō)的人群來(lái)。眼下商小說(shuō)日趨流行，與如今的環(huán)境也分不開(kāi)，經(jīng)濟(jì)危機(jī)之下，重則不少企業(yè)解雇工人，輕則降低薪水，許多人的生活難以為繼，這其中便有不少人不再繼續(xù)寄人籬下，選擇自主創(chuàng)業(yè)，打造屬于自己的飯碗。每個(gè)人都有 **，都有實(shí)現(xiàn) **的 **。 （ 3）學(xué)?？梢詫W(xué)術(shù)交流為目的復(fù)制、贈(zèng)送和交換學(xué)位論文。 [6]陳桂清 ， 伍乃哄 ， 滕少華 ． 通過(guò)進(jìn)程監(jiān)視檢測(cè)木馬攻擊 [J]， 計(jì)算機(jī)應(yīng)用 ， 2021， (8)： 3335。特征碼技術(shù)、行為分析以及其它反木馬技術(shù)相輔相成 ， 各取所長(zhǎng) ， 才能更有效地抵御木馬的入侵和破壞。state, binout)； 第 23 頁(yè) 共 26 頁(yè) for (i=0； i16； i++) { sprintf(Md5String+2*i, %02x, binout[i])； } Md5String[32] = 0； fclose(f)； 結(jié) 論 本文主要分析了木馬查殺的主要方法 ， 并對(duì)特征碼查殺的主要技術(shù)做了描述。C39。 3) 3))； 第 16 頁(yè) 共 26 頁(yè) /* Pad to 56 bytes mod 64. */ md5_append(pms, pad, ((55 (pmscount[0] 3)) amp。讀取的方法是首先打開(kāi)和工具同一目錄下的 文件 ， 首先讀取得到總共的病毒數(shù) ， 然后依次循環(huán)讀出 每個(gè) section 下的屬性值 ， 即對(duì)應(yīng)的文件的 name 屬性和 size 屬性 ， 也就是文件名和文件大小。（ 4）本工具能進(jìn)行的檢測(cè)有普通查殺和特征碼查殺。 用于驗(yàn)證文件的有效性 (是否有丟失或損壞的數(shù)據(jù) )， 對(duì)木馬 文件 的判定 ， 在哈希函數(shù)中計(jì)算散列值輸入一個(gè)任意長(zhǎng)度的字節(jié)串 ， 生成一個(gè) 128 位的整數(shù)。通過(guò)這樣的步驟 ， 系統(tǒng)在并不知道用戶明文 密碼的情況下就可以確定用戶登錄的合法性 ， 也就是說(shuō) ， 用戶的密碼是以 MD5 值（或類似的其它算法）的方式保存的 ， 用戶 Login 的時(shí)候 ， 系統(tǒng)是把用戶輸入的密碼計(jì)算成 MD5 值 ， 然后再去和系統(tǒng)中保存的 MD5 值進(jìn)行比較 ， 而系統(tǒng)并不 “知道 ”用戶的密碼是什么。 MD5 將任意長(zhǎng)度的 “字節(jié)串 ”變換成一個(gè) 128bit 的大整數(shù) ， 并且它是一個(gè)不可逆的字符串變換算 法 ， 換句話說(shuō)就是 ， 即使看到源程序和算法描述 ， 也無(wú)法將一個(gè) MD5的值變換回原始的字符串 ， 從數(shù)學(xué)原理上說(shuō) ， 是因?yàn)樵嫉淖址袩o(wú)窮多個(gè) ，這有點(diǎn)像不存在反函數(shù)的數(shù)學(xué)函數(shù)。它的作用是讓大容量信息在用 數(shù)字簽名軟件簽署私人密鑰前被“壓縮”成一種保密的格式 (就是把一個(gè)任意長(zhǎng)度的字節(jié)串變換成一定長(zhǎng)的大整數(shù) )。 PE 文件最大的優(yōu)點(diǎn)是在磁盤上的數(shù)據(jù)結(jié)構(gòu)與內(nèi)存中的結(jié)構(gòu)是一致的 ， 如圖 4 物理結(jié)構(gòu)與內(nèi)存結(jié)構(gòu)對(duì)照?qǐng)D。 第 7 頁(yè) 共 26 頁(yè) PE 文件主體結(jié)構(gòu)如圖 2 所示。在具體實(shí)現(xiàn)時(shí) ， 它最初是采