对程序通讯进行全面监视
从专业的角度讲,木马的运行具有一定的规律。也就是说,一个安全专家可以通过查看程序通讯的内容,来判断网页中或者系统中是否有木马。不过这需要有比较专业的技术与比较丰富的经验,才做的到。对于普通用户来说,就需要借助专业的工具对程序通讯进行全面的监视,利用工具来弥补自己在知识与经验上的不足,以发现可以进程并最终切断木马的通讯。
木马最基本的工作原理就是客户端与服务器端之间的通讯。判断服务器端或者客户端身份合法性(如是否是自己请求的服务器或者说单个连接请求连接了多个服务器),这是判断一个程序是否是木马的最重要的标准之一。不过话说起来简单,木马程序会采取各种手段来千方百计的隐藏这种特征,以实现欺骗防护工具与用户的目的。
为此在选择防护工具的时候,最后选择这些具有对程序通讯进行全面监视功能的工具,并在必要的情况下切断木马的通讯。如果防护工具具有这个功能的话,那么具有一定专业技能的安全人员就可以借助这个工具,对进程的通信进行监控。这可以在最早的时间之内发现可以的进程。
其实这个标准与第三个标准有点类似。其主要作用仍然在于在第一时间内发现可以的进程,即未知的木马,并进行查杀。不过笔者需要提醒的是,这往往对于操作者的专业技能要求比较高。一般来说,都是由企业的IT技术人员来完成。普通用户可能没有这种能力来完成这项工作。
对特定文件和敏感区域的监视
操作系统中不同的应用往往对于安全有不同的要求。如网上银行应用,其安全级别要求就比较高。对于这些关键应用,在防护木马是需要特别考虑。这就涉及到防护功能能否对特定的文件或者敏感区域进行有差别的监视。
简单的说,现在有两个应用,分别为网上银行应用和论坛BBS应用。这两个地方都是木马比较喜欢关注的地方。但是从安全的角度讲,网上银行的应用比论坛来说,安全级别要高的多。如果同时对这个两个应用进行监控(有时候企业所采用的应用多达几十种),则监控到的记录信息会很多。
此时从众多的信息中发现可疑的行为,如同大海捞针,会非常的困难。但是如果在监控时,只监控那些关键的应用,那么其涉及到的范围就会非常的小。IT安全人员对通讯进行监控时也会更加具有针对性。
【编辑推荐】
