盘符下的所有文件都进行检测，可以对潜伏的木马文件进行查杀。

结论本文主要分析了木马查杀的主要方法，并对特征码查杀的主要技术做了描述。

同时设计并实现了个木马查杀。

该木马查杀工具是基于操作系统开发的，是个实验性的程序。

整个系统由普通查杀，和特征码查杀等几大模块功能构成。

测试报告如下测试环境系统主机内存普通查杀测试在下几个不同深度的目录下放置木马文件，然后对木马文件的特征码提取并保存入库，进行查杀，查杀结果很理想，而且速度很快。

特征码查杀在下几个不同深度的目录下放置木马文件，然后对木马文件的特征码提取并保存入库，进行查杀，查杀结果也很理想，但是由于在查杀过程中要对文件进行预算，所以耗费的时间和机器的与内存的占用率都不低。

木马特征码技术契合了目前检测未知木马的迫切需求，随着对其研究的深入和实践的展开，必定能使其得到广泛的应用，使人们从中受益。

但正如公司在其年的份白皮书中提出的，特征码技术并不能完全替代行为分析，至少在今后很长段时间内，两者还将共存下去。

特征码技术行为分析以及其它反木马技术相辅相成，各取所长，才能更有效地抵御木马的入侵和破坏。

未来开发方向种可行的方案是以特征码技术为主，同时辅以启发式技术对个程序进行静态特征码扫描后，如未发现异常，则可选用静态启发式扫描，还可以通过行为分析做进步的确认。

譬如，同时使用实时监控和行为分析这两种技术，对于已知木马的程序文件，在执行之前，实时监控就会检测到文件中包含的特征码，并阻止它运行对于未知木马，虽然可以避开实时监控，但旦其运行起来，并表现出木马的行为特征，就会被行为分析技术检测出来。

参考文献冻正凯函数库查询辞典北京中国铁道出版社，。

王维基于文件静态特征的木马检测天津天津理工大学，。

单长虹，张焕国等种启发式木马查杀模型的设计与分析，计算机工程与应用。

何长龙，林蓉如何检测和删除系统中的木马信息安全与通信保密，。

黄天戍，孙夫雄，杨显娇网络安全管理之特洛伊木马的防御，计算机应用。

陈桂清，伍乃哄，滕少华通过进程监视检测木马攻击，计算机应用。

宋彦民检测和删除木马病毒的方法，现代电子技术。

文件属性的更改在操作系统下，当文件属性为只读时，删除文件将无法成功，所以需要对文件进行属性更改，以进行查杀，以下为实现代码，实现驱动器的选择为了方便用户查杀方便和深度查杀，所以设置了驱动器本地硬盘和移动设备的选择，下面实现代码，，普通查杀的实现首先是对特征码库文件的特征码进行读取，下面是具体实现代码不知道不知道接下来是扫描文件时候进行文件名和文件大小的比较，然后和特征码进行对比，判断进行处理，更换当前目录，，下面是对文件删除的具体实现特征码查杀因为的特性，所以两个不同文件的值相同的几率非常的小，所以通过来作为特征码有很好的针对性，本查杀方式就是通过对文件的值的计算，然后与特征码库里的值进行比较，通过判断结果来进行查杀，下面是功能具体实现代码。

下面的代码具体功能打开需要查杀的文件，然后从文件头开始循环读取次个字节的二进制数据，并添加到常用的安全软件如，江民金山毒霸瑞星等均具备了这项功能。

行为分析简而言之，行为分析就是根据程序的动态行为特征如在注册表设置自启动项等判断其是否可疑。

目前，病毒木马等非法程序的种类迅速增加变化不断加快，带来的危害日益严重，而特征码的提取又必然滞后于非法程序出现，根据国际著名的信息安全厂商熊猫软件公司的技术文献，从种特征码未知的非法程序出现，到研究出它的检测和清除方法，通常会相隔个小时甚至更多的时间。

因而需要这样种技术能在特征码提取之前，检测特征码未知的非法程序，以有效的阻止其进行破坏，更大程度地降低损失。

行为分析正是具有可检测特征码未知的非法程序的特点，所以成为目前国内外反病毒反木马等领域研究的热点。

然而，行为分析在具体应用时般有较高的误报率，这也是它早在世纪年代早期就被提出，而至今仍未得到广泛应用的主要原因。

如何在不提高漏报率的同时，有效地降低行为分析在具休实施时的误报率，是承待解决的问题之。

最近几年，很多国外研究者将新的智能处理技术引入网络攻击和病毒的检测，提出了许多检测网络攻击和恶意程序的新方法，如在年国际会议上，等人提出基于方法的网络入侵监测系统，该系统通过在各个上对网络活动进行分析，汇总后识别网络攻击行为，可有效识别网络入侵。

后来基于的方法也被很多人用于恶意程序的分析上但这种方法基本可归类为前面提到的方法，对检测潜伏木马仍有定局限性。

在可执行程序中检测恶意代码的观点是由研究组提出的。

他们应用各种静态和动态方法执行模型检验，看分析的程序是否与违背预先定义的安全策略。

这种识别恶意代码方式存在的最大问题是需要分析者以策略的形式定义恶意代码的行为。

在会议上，等人对此方法进行了改进，提出了系统，该系统不需要定义或识别恶意代码的行为，而是为用户提供了些工具来分析整个程序的结构特征。

他们认为被插入可执行程序的恶意代码，其结构特征般与宿主程序的结构特征不致，并据此判定文件中是否插入了恶意代码。

但如果病毒编写者对该应用程序的结构非常熟悉，模仿其结构特征，或用恶意代码完全替换原程序代码，那么该方法就很难检测出恶意代码的存在。

，等人在年初的报告中提出将数据挖掘技术用于木马文件的检测。

与本设计提出方法不同之处是，他们先利用数据挖掘技术发现己知类型木马的特征，然后利用这些特征构造分类器来检测木马文件。

与国外相比，国内研究者的主要结合木马的攻击原理与特征研究木马的检测方法，近年提出的检测方法主要是对传统检测方法的改进，也对未知木马的检测进行了探讨西安交通大学的李顺东等人运用字母集合到数字集合的映射理论字符串的可计算性理论与数论理论，设计的特洛伊木马检测算法陈桂清等人提出的通过监视与跟踪系统对外通信进程的操作检测木马的方法等等。

这些方法对识别新型的木马，特别是型木马，就需要进步改进。

中国科学技术大学的朱明等人提出了基于多协作实现未知木马自动识别的方法。

该方法利用驻留在局域网各机器监测和网络监测所收集的证据和初步判断，并由协作对这些证据和初步判断进行融合印证并做出最终结论。

该方法将技术引入木马防范领域，但仍是通过动态执行特性检测木马，对检测潜伏木马仍有定局限性。

年，武汉大学计算机学院的单氏虹将人工智能中的启发式分析技术引入木马检测，提出种启发式分析的木马实时查杀模型。

这种模型既可以实现对已知木马的查杀，又可以对未知木马进行启发式分析，并将分析数据提交专家系统，由专家系统对其判定。

本设计提出的通过分析文件的静态信息，发现木马文件与正常文件的区别，不需要上面提到的专家系统的支持。

传统的木马检测与清除方法归纳起来可分为两类种是利用木马程序运行时的特征码检测木马，另种通过监视系统端口网络连接注册表状态变化等动态监控的方法检测木马。

这些方法共同特点是通过文件的动态执行状态特性信息来检测木马，对发现些潜伏得十分隐蔽和新出现的未知木马，没有较好方法。

本设计提出基于文件自身的静态信息来检测木马，是与传统木马检测方法的最大区别，为有效解决潜伏木马的识别问题开辟了条新思路。

木马检测的实现方法特征码技术被作为反病毒技术中最基本的技术沿用至今，也是到目前为止各类反病毒软件仍普遍采用的技术。

特征码是串信息，它能唯标识非法程序如病毒木马等。

研究人员通过对非法程序样本的分析，提取出特征码写入反病毒软件的特征码库。

特征码技术的基本原理就是在待测文件中查找特征码，旦查找到，就判定该文件是非法程序或包含了非法程序，并作相应的处理。

基于特征码的静态扫描便是对特征码技术最直接的应用，目前的各类反病毒软件均具备这项基本功能，它对用户指定的个或几个文件进行扫描，以确定是否包含非法程序的特征码。

据有吻合之处，就可以判定该数据文件己遭病毒感染。

特征代码法的实现步骤如下采集己知病毒样本。

如果病毒既感染文件，又感染文件，那么要对这种病毒要同时采集型病毒样本和型病毒样本。

在病毒样本中，抽取病毒特征代码。

对于既感染文件又感染文件的病毒样本，要抽取两种样本共有的代码。

将特征代码存入病毒库。

检测文件。

打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。

如果发现病毒特征代码，查询病毒特征代码就可以知道所感染的病毒类型。

在具体实段字节串产生指纹，以防止被篡改。

举个例子，将段话写在个叫文件中，并对这个产生个的值并记录在案，然后可以传播这个文件给别人，别人如果修改了文件中的任何内容，对这个文件重新计算时就会发现。

如果再有个第三方的认证机构，用还可以防止文件作者的抵赖，这就是所谓的数字签名应用。

的应用非常广泛，如加密和解密技术等等。

在认证中，认证采用算法，用户密码不以明文方式在网上传输，从而保证了认证信息的安全。

同时，它还被应用于加密和解密技术上，譬如在系统中用户的密码就是使用算法或其他类似的算法加密后存储在文件系统中。

当用户登录的时候，系统把用户输入的密码计算成值，然后再去和保存在文件系统中的值进行比较，进而确定输入的密码是否正确。

通过这样的步骤，系统在并不知道用户明文密码的情况下就可以确定用户登录的合法性，也就是说，用户的密码是以值或类似的其它算法的方式保存的，用户的时候，系统是把用户输入的密码计算成值，然后再去和系统中保存的值进行比较，而系统并不知道用户的密码是什么。

这样不但可以避免普通用户的密码被系统管理员知道，而且还在定程度上增加了密码被破解的难度。

另外，大家比较熟悉的即时通信软件也使用算法。

利用算法来进行文件校验的方案，被大量应用在软件下载站点论坛数据库和系统文件安全等方面。

作特征码简介本文描述了报文摘要算法，此算法将对输入的任意长