【導(dǎo)讀】木馬的研究己成為網(wǎng)絡(luò)安全領(lǐng)域的一個熱點和重點。基于特征碼的靜態(tài)掃描技。研究領(lǐng)域的一個熱點，所以至今特征碼技術(shù)得到了廣泛的應(yīng)用。是目前公認(rèn)的檢測己知病毒的最簡單、開銷最小的方法。檢測工具在將已知木。每當(dāng)需要確定文件是否為木。碼一一比對，如果雙方數(shù)據(jù)吻合，就可以判定該數(shù)據(jù)文件為木馬文件。檢測準(zhǔn)確，可識別病毒的名稱，依據(jù)檢測結(jié)果，可做相應(yīng)的處理。

　　

【正文】 FileNameRead() 第 20 頁 共 26 頁 { for(int i=0； imnum； i++) { CString str1； (%d,i)； name[i]=(str1,name,不 知道 )； size[i]=(str1,size,10)； md5[i]=(str1,md5,不 知道 )； } } 接下來是掃描文件時候進(jìn)行文件名和文件大小的比較，然后和特征碼進(jìn)行對比，判斷進(jìn)行處理： void DealRabbishScan(CString path) { if(!gbRuning)return； chdir(path)； //更換當(dāng)前目錄 gPath1=path； ::SendMessage(gpMainWndm_hWnd ,WM_ANSWER, (WPARAM)2, (LPARAM)0)； for(int i=0； imnum； i++) { DeleteRabbishFile(path,name[i],size[i])； } BOOL flag； CFileFind m_File； DWORD dwRes； flag=(NULL)； while(flag amp。amp。 gbRuning){ dwRes=WaitForSingleObject(ghThreadExitEvent,0)； if(dwRes==WAIT_OBJECT_0){ gbRuning=FALSE； break； } 第 21 頁 共 26 頁 flag=()； if(()){ if(!()){ path=()； //DeleteZeroFile(path)； DealRabbishScan(path)； } } } // } } CFileStatus status； //下面是對文件刪除的具體實現(xiàn)： void DeleteRabbishFile(CString FilePath,CString FileName,int Size) { CFileFind findfile； CString tFileName； CString Path； LV_ITEM lvitem； = LVIF_TEXT； =0x00； SetCurrentDirectory(FilePath) ； if((FileName)) { while(()) { Path=()； gPath=Path； tFileName = ()； if(()==Size) { CFile::SetStatus(tFileName,status)； DeleteFile(tFileName)； ::SendMessage(gpMainWndm_hWnd ,WM_ANSWER, 第 22 頁 共 26 頁 (WPARAM)1, (LPARAM)0)； } } Path=()； gPath=Path； tFileName = ()； if(()==Size) { CFile::SetStatus(tFileName,status)； DeleteFile(tFileName)； ::SendMessage(gpMainWndm_hWnd ,WM_ANSWER, (WPARAM)1, (LPARAM)0)； } } } MD5 特征碼查殺 因為 MD5 的特性 ， 所以兩個不同文件的 MD5 值相同的幾率非常的小 ， 所以通過 MD5來作為特征碼有很好的針對性 ， 本查殺方式就是通過對文件的 MD5值的計算 ， 然后與特征碼庫里的 MD5 值進(jìn)行比較 ， 通過判斷結(jié)果來進(jìn)行查殺 ，下面是功能具體實現(xiàn)代碼。 下面的代碼具體功能打開需要查殺的文件 ， 然后從文件頭開始循環(huán)讀取4096 次一個字節(jié)的二進(jìn)制數(shù)據(jù) ， 并添加到字符串中 ， 利用 md5_process 函數(shù)進(jìn)行具體的替換、轉(zhuǎn)換等等來實現(xiàn) MD5 值的獲得 ， 而且是對 指定盤符下的所有 文件都進(jìn)行檢測 ， 可以對潛伏的木馬文件進(jìn)行查殺。 f = fopen((), rb)； md5_init(amp。state)； while (1) { n = (int)fread(buf, 1, 4096, f)； if (n=0) break； nbytes += n； md5_append(amp。state, buf, n)； } md5_finish(amp。state, binout)； 第 23 頁 共 26 頁 for (i=0； i16； i++) { sprintf(Md5String+2*i, %02x, binout[i])； } Md5String[32] = 0； fclose(f)； 結(jié) 論 本文主要分析了木馬查殺的主要方法 ， 并對特征碼查殺的主要技術(shù)做了描述。 同時設(shè)計并實現(xiàn)了一個木馬查殺。該木馬查殺工具是基于 WindowsXp操作系統(tǒng)開發(fā)的 ， 是一個實驗性的程序。整個系統(tǒng)由 普通查殺 ， 和 MD5特征碼查殺 等幾大模塊功能 構(gòu)成。測試報告如下： 測試環(huán)境： 系統(tǒng)： Microsoft Windows XP Professional Service Pack 2 主機(jī) ： AMD Athlon(tm) XP 2600+ 512M 內(nèi)存 1 普通查殺測試 在 c： 下幾個不同深度的目錄下放置木馬文件 ， 然后對木馬文件的特征碼提取并保存入庫 ， 進(jìn)行查殺 ， 查殺結(jié)果很理想 ， 而且速度很快。 2． MD5 特征碼查殺 在 d： 下幾個不同深度的目錄下放置木馬文件 ， 然后對木馬文件的 MD5 特征碼提取并保存入庫 ， 進(jìn)行查殺 ， 查殺結(jié)果也很理想 ， 但是由于在查殺過程中要對文件進(jìn)行 MD5 預(yù)算 ， 所以耗費的時間和機(jī)器的 CPU 與內(nèi)存的占用率都不低。 木馬特征碼技術(shù)契合了目前檢測未知木馬的迫切需求 ， 隨著對其研究 的深入和實踐的展開 ， 必定能使其得到廣泛的應(yīng)用 ， 使人們從中受益。 但正如 McAfee 公司在其 06 年的一份白皮書中提出的 ， 特征碼技術(shù)并不能完全替代行為分析 ， 至少在今后很長一段時間內(nèi) ， 兩者還將共存下去。特征碼技術(shù)、行為分析以及其它反木馬技術(shù)相輔相成 ， 各取所長 ， 才能更有效地抵御木馬的入侵和破壞。 未來開發(fā)方向： 一種可行的方案是 ： 以特征碼技術(shù)為主 ， 同時輔以啟發(fā)式技術(shù) ： 對某個程序進(jìn)行靜態(tài)特征碼掃描后 ， 如未發(fā)現(xiàn)異常 ， 則可選用靜態(tài)啟發(fā)式掃描 ， 還可以通過行為分析做進(jìn)一步的確認(rèn)。譬如 ， 同時使用實時監(jiān)控和行為分析這兩種技 第 24 頁 共 26 頁 術(shù) ， 對 于已知木馬的程序文件 ， 在執(zhí)行之前 ， 實時監(jiān)控就會檢測到文件中包含的特征碼 ， 并阻止它運行 ； 對于未知木馬 ， 雖然可以避開實時監(jiān)控 ， 但一旦其運行起來 ， 并表現(xiàn)出木馬的行為特征 ， 就會被行為分析技術(shù)檢測出來。 參考文獻(xiàn) [1]凍正凱 ． c++函數(shù)庫查詢辭典 [M]． 北京 ： 中國鐵道出版社 ， 2021。 [2]王維 ． 基于文件靜態(tài)特征的木馬檢測 [D]． 天津 ： 天津理工大學(xué) ， 2021。 [3]單長虹 ， 張煥國等 ． 一種啟發(fā)式木馬查殺模型的設(shè)計與分析 [J]， 計算機(jī)工程與應(yīng)用 ， 2021，(1)： 120－ 130。 [4]何長龍 ， 林蓉 ． 如何檢測和刪除系統(tǒng)中的木馬 [J]． 信息安全與通信保密 ， 2021， (7)， 55－ 58。 [5]黃天戍 ， 孫夫雄 ， 楊顯嬌 ． 網(wǎng)絡(luò)安全管理之特洛伊木馬的防御 [J]， 計算機(jī)應(yīng)用 ， 2021，(6)： 2226。 [6]陳桂清 ， 伍乃哄 ， 滕少華 ． 通過進(jìn)程監(jiān)視檢測木馬攻擊 [J]， 計算機(jī)應(yīng)用 ， 2021， (8)： 3335。 [7]宋彥民 ． 檢測和刪除木馬病毒的方法 [J]， 現(xiàn)代電子技術(shù) ， 2021， (12)： 2225。 第 25 頁 共 26 頁 致 謝 本文是在 熊淑華 老師 和張金全老師 的熱情關(guān)心 和指導(dǎo)下完成的，他 們 淵博的知識和嚴(yán)謹(jǐn)?shù)闹螌W(xué)作風(fēng)使我受益匪淺，對順利完成本設(shè)計起到了極大的作用。在此向他 們 表示我最衷心的感謝！ 在論文完成過程中，本人還得到了 陳曉龍 同學(xué)的熱心幫助，本人向他表示深深的謝意！ 最后向在百忙之中評審本文的各位專家、老師表示衷心的感謝！ 作者簡介： 姓 名： 魏云柯 性別： 男 出生年月： 1984 年 8 月 民族： 漢 Email: 第 26 頁 共 26 頁 聲 明 本論文的工作是 2021年 2月至 2021年 6月在成都信息工程學(xué)院網(wǎng)絡(luò)工程系完成的。文中除了特別加以標(biāo)注地方外，不包含他人已經(jīng)發(fā)表或撰寫過的研究成果，也不包含為獲得成都信息工程學(xué)院或其他教學(xué)機(jī)構(gòu)的學(xué)位或證書而使用過的材料。除非另有說明，本文的工作是原始性工作。 關(guān)于學(xué)位論文使用權(quán)和研究成果知識產(chǎn)權(quán)的說明： 本人完全了解成都信息工程學(xué)院有關(guān)保管使用學(xué)位論文的規(guī)定，其中包括： （ 1）學(xué)校有權(quán)保管并向有關(guān)部門遞交學(xué)位論文的原件與復(fù)印件。 （ 2）學(xué)校可以采用影印、縮印或其他復(fù)制方 式保存學(xué)位論文。 （ 3）學(xué)?？梢詫W(xué)術(shù)交流為目的復(fù)制、贈送和交換學(xué)位論文。 （ 4）學(xué)校可允許學(xué)位論文被查閱或借閱。 （ 5）學(xué)?？梢怨紝W(xué)位論文的全部或部分內(nèi)容（保密學(xué)位論文在解密后遵守此規(guī)定）。 除非另有科研合同和其他法律文書的制約，本論文的科研成果屬于成都信息工程學(xué)院。 特此聲明！ 作者簽名： 2021 年 6 月 日 第 27 頁 共 26 頁 54 Of Vainglory It was prettily devised of Aesop。 the fly sat upon the axletree of the chariot wheel, and said. What a dust do I raise? So are there some vain persons, that whatsoever goeths indeed! They could tell us something worth hearing, if they only knew how to talk. It39。s really a pleasure now and then to bee a mere nothing, especially when a man is as highly placed as I am. And then to think that we all, even with patent lacquer, are nothing more than insects of a moment on that anthill the earth, though we may be insects with stars and garters, places and offices! One feels quite a novice beside these venerable millionyearold boulders. On last New Year39。s eve I was reading the book, and had lost myself in it so pletely, that I fot my usual New Year39。s diversion, namely, the wild hunt to Amack. Ah, you don39。t know what that is! The journey of the witches on broomsticks is well enough known that journey is taken on St. John39。s eve, to the Brocken