導(dǎo)語：研究計算機木馬應(yīng)對技術(shù)一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

1網(wǎng)絡(luò)檢測技術(shù)。

針對木馬的網(wǎng)絡(luò)檢測技術(shù)指通過對主機本身網(wǎng)絡(luò)通信的監(jiān)控嚴(yán)格限制通信端口與網(wǎng)絡(luò)的連接，當(dāng)發(fā)現(xiàn)通信異常的情況下馬上對木馬的運行進行組織，這種技術(shù)普遍的是以誤用檢測為基礎(chǔ)的。網(wǎng)絡(luò)檢測技術(shù)包括防火墻技術(shù)，入侵檢測技術(shù)等，根據(jù)防火墻檢測原理的不同，防火墻技術(shù)又可以分為狀態(tài)檢測類型、過濾包型和應(yīng)用三類。入侵檢測技術(shù)能夠通過對計算機中某些關(guān)鍵點的信息進行收集與分析，并發(fā)現(xiàn)違反安全策略的跡象與行為，IDS可以作為防火墻的補充，對提高信息安全基礎(chǔ)結(jié)構(gòu)自身的完整性能夠發(fā)揮出重要的作用，但是由于IDS的檢測速度小于網(wǎng)絡(luò)的傳輸速度并且模式識別的技術(shù)也有待完善，所以存在一定的不可靠性與誤報率。

2完整性檢測技術(shù)。

完整性檢測能夠通過對文件系統(tǒng)或者目錄快照的檢查與系統(tǒng)中原始的可信任版本進行對比來查對其一致性來檢測目錄或者文件的變動，從而檢測出系統(tǒng)中惡意程序是否存在。其檢測方法包括基于文件內(nèi)容的檢測、基于文件基本屬性的檢測和基于文件數(shù)字簽字的檢測。完整性檢測能夠在很大程度上實現(xiàn)對系統(tǒng)安全的保護，但是其缺點也十分明顯：一是完整性檢測計算文件的工作量較大，其檢測速度以及檢測效率也必然會較慢；二是檢測本身的成功率與管理員對文件計算數(shù)字簽名的間隔有很大關(guān)系，但是由于其檢測較慢，所以入侵者能夠在此時間內(nèi)將入侵的痕跡進行清理；三是完整性檢測雖然能夠檢測出惡意程序，但是對其類型卻不能識別；四是計算機中文件信息的修改也可能是由正常的程序引起的，所以完整性檢測技術(shù)具有一定的誤報可能性。

3特征碼掃描技術(shù)。

特征碼掃描技術(shù)是許多殺毒軟件公司用來進行木馬檢測的工具，其方法包括特征掃描法和特征代碼掃描法兩類。作為最實用、最簡單的對已知惡意程序進行檢測的方法，其技術(shù)的關(guān)鍵是提取惡意程序的特征碼，并在此基礎(chǔ)上對惡意程序進行精確的查殺，所以這種方法對已知病毒和木馬的檢測準(zhǔn)確率很好，誤報率也較低，但是這種方法本身也存在一定的缺陷：一是不能檢測出變形、加殼等具有隱蔽性的木馬，也不能檢測出未知的、新的木馬；二是對病毒庫具有很大的依賴性，而木馬數(shù)量的增加會導(dǎo)致病毒庫的擴大，其掃描時間也會隨之延長；三是病毒庫本身的更新滯后于新木馬的產(chǎn)生，所以特征碼掃描技術(shù)也就有了滯后性。

4實時監(jiān)控技術(shù)。

實時監(jiān)控是指對許多不同角度的流入、流入數(shù)據(jù)進行嚴(yán)格過濾，并對其中可能存在的惡意程序代碼進行檢測與處理，其中包括內(nèi)存監(jiān)控、文件監(jiān)控、郵件監(jiān)控、腳本監(jiān)控等。實時監(jiān)控所具有的實時性是與其他方法相比最突出的優(yōu)勢，當(dāng)系統(tǒng)一旦遭到惡意程序的入侵，會被立即監(jiān)控并清除，從而控制惡意程序在系統(tǒng)中造成的破壞。而這種技術(shù)對腳本以及郵件的監(jiān)控還能夠阻斷惡意程序代碼傳播的途徑，從而使惡意程序代碼的傳播減少。其缺點是只能夠?qū)σ阎膼阂獬绦蜻M行檢測，而這種缺點產(chǎn)生的原因是因為實時監(jiān)控是建立在特征碼的基礎(chǔ)上運行的。

5虛擬機技術(shù)。

通過一個軟件對CPU的模擬可以形成虛擬機，虛擬機可以執(zhí)行、取指和譯碼，能夠模擬代碼在真實CPU上運行的效果。在虛擬的計算機環(huán)境中，程序鎖具有的任何動態(tài)如內(nèi)存的變化、寄存器的變化等都能夠被反映出來，在此過程中，惡意程序代碼的傳染性也自然會被反映出來。虛擬機中執(zhí)行的病毒雖然能夠模擬出病毒程序執(zhí)行的效果，但是卻不會對真實的系統(tǒng)造成破壞，對一些變形的、加密的病毒的檢測具有建好的效果。但是虛擬機技術(shù)的缺點則體現(xiàn)為在運行過程中會占用較大的系統(tǒng)資源，這也是虛擬機技術(shù)自身缺乏較高實用性的表現(xiàn)，并且一些木馬也加入了對虛擬機進行檢測的代碼，能夠判斷自身運行的環(huán)境，而當(dāng)發(fā)現(xiàn)自身處于虛擬機中使，木馬可以中斷執(zhí)行行為或改變操作行為以避免被虛擬機檢測。

6行為分析技術(shù)。

行為分析技術(shù)能夠?qū)⒁幌盗凶龊靡?guī)定的惡意程序定位規(guī)范，在此基礎(chǔ)上對程序的行為進行監(jiān)視以判斷程序是否存在惡意代碼，也就是說，行為分析對程序的判斷是以程序自身的動態(tài)行為為依據(jù)。而行為分析技術(shù)與傳統(tǒng)的以特征碼為基礎(chǔ)的檢測技術(shù)不同的是，行為分析技術(shù)并沒有對特征碼的依賴性，所以它能夠?qū)σ阎臀粗獌深悙阂獬绦蜻M行檢測，但是目前在木馬檢測中應(yīng)用的行為分析技術(shù)也存在一些問題：一是具有較高的誤報率。當(dāng)規(guī)范制定缺乏完善性時，會對合法程序與木馬難以做出有效的區(qū)分；二是較低的智能化。許多應(yīng)用行為分析技術(shù)的木馬檢測和查殺產(chǎn)品在發(fā)現(xiàn)可以程序后一般將處理程序的決策權(quán)交給用戶，而這對一般缺乏木馬知識的人而言具有一定的困難，同時也可能妨礙用戶對系統(tǒng)的正常使用。

作者：侯超男單位：湖南信息職業(yè)技術(shù)學(xué)院