項目5-計算機(jī)病毒與木馬

1、網(wǎng)絡(luò)安全技術(shù)項目化教程主編 段新華 宋風(fēng)忠中國水利水電出版社項目5 計算機(jī)病毒與木馬項目導(dǎo)讀 日新月異的計算機(jī)病毒，就像幽靈一樣伴隨著計算機(jī)和網(wǎng)絡(luò)的普及而四處游蕩，并不斷地通過各種手段襲擊互聯(lián)網(wǎng)上的每一臺計算機(jī)，令人防不勝防。伴隨著計算機(jī)技術(shù)的不斷進(jìn)步，計算機(jī)病毒也在不停的產(chǎn)生變化。早期的計算機(jī)病毒還主要依靠文件的拷貝來傳遞，但在互聯(lián)網(wǎng)飛速發(fā)展的今天，計算機(jī)病毒找到了它的新媒介，新的病毒可以在短時間內(nèi)通過網(wǎng)絡(luò)迅速蔓延開來，往往因此造成巨大的損失。計算機(jī)病毒與木馬的防護(hù)是保證網(wǎng)絡(luò)安全運行的重要保障。教學(xué)目標(biāo)掌握計算機(jī)病毒、木馬的類別、結(jié)構(gòu)和特點。掌握計算機(jī)病毒的檢測與防范方法。掌握木馬的清除方法

2、。掌握查毒軟件的使用方法。任務(wù)1 認(rèn)識計算機(jī)病毒與木馬任務(wù)描述 隨著互聯(lián)網(wǎng)的日益流行，各種病毒木馬也猖獗起來，幾乎每天都有新的病毒產(chǎn)生，大肆傳播破壞，給廣大互聯(lián)網(wǎng)用戶造成了極大的危害，幾乎到了令人談毒色變的地步。各種病毒、蠕蟲、木馬紛至沓來，令人防不勝防。在此將從計算機(jī)病毒和木馬的基本概念入手，使大家對其有充分的認(rèn)識，達(dá)到防范于未然的目的。任務(wù)要求掌握計算機(jī)病毒的定義、分類和結(jié)構(gòu)。掌握計算機(jī)病毒的特點。掌握木馬的定義和分類。知識鏈接1計算機(jī)病毒的起源（1）科學(xué)幻想起源說。（2）惡作劇起源說。（3）游戲程序起源說。（4）軟件制造商保護(hù)軟件起源說。2病毒的特性（1）破壞性。（2）傳染性。（3）潛伏

3、性。（4）隱蔽性。（5）可觸發(fā)性。（6）加密性。（7）多態(tài)性。3計算機(jī)病毒的分類（1）按計算機(jī)病毒的寄生方式和傳染途徑分類。引導(dǎo)型病毒文件型病毒復(fù)合型病毒（2）按計算機(jī)病毒的連接方式分類。源碼型病毒入侵型病毒操作系統(tǒng)型病毒外殼型病毒（3）按計算機(jī)病毒的破壞性分類。良性病毒惡性病毒4計算機(jī)病毒的表現(xiàn)（1）計算機(jī)經(jīng)常性無緣無故地死機(jī)。（2）操作系統(tǒng)無法正常啟動。（3）運行速度明顯變慢。 （4）內(nèi)存不足的錯誤。（5）硬盤無法啟動，數(shù)據(jù)丟失。（6）系統(tǒng)文件丟失或被破壞。（7）文件目錄發(fā)生混亂。（8）文檔丟失或被破壞。（9）使部分可軟件升級主板的BIOS程序混亂，主板被破壞。5木馬的概念和分類 計算機(jī)領(lǐng)

4、域，特洛伊木馬(Trojan)是指一段具有特殊功能的惡意代碼，這些代碼通常是隱藏在正常程序中的。這些惡意代碼會入侵用戶的計算機(jī)，然后竊取用戶信息，破壞用戶系統(tǒng)，或把用戶計算機(jī)當(dāng)做跳板實現(xiàn)Dos攻擊或者隱藏自身的一種后門程序。常見的木馬病毒可以分為以下八類：（1）破壞型。（2）密碼盜取型。（3）遠(yuǎn)程訪問型。（4）鍵盤記錄木馬。（5）DoS攻擊木馬。（6）FTP木馬。（7）代理木馬。（8）程序殺手木馬。5木馬的攻擊技術(shù)（1）配置木馬。（2）傳播木馬。（3）偽裝木馬（4）運行木馬。任務(wù)2 宏病毒任務(wù)描述 宏病毒依附在正常的Word文件上，利用Word文件執(zhí)行其內(nèi)部宏命令代碼的方式，在Word文件打開

5、或關(guān)閉時感染系統(tǒng)。宏病毒會造成文件的破壞，嚴(yán)重的會格式化硬盤。本次任務(wù)通過一個宏病毒的制作實例對其原理和運行機(jī)制進(jìn)行分析。任務(wù)要求 掌握宏病毒的概念和傳播方法。 掌握宏病毒的防范方法。知識鏈接1什么是宏 宏（macro)是軟件設(shè)計者為了在使用軟件工作時，避免一再的重復(fù)相同的動作而設(shè)計出來的一種工具。它利用簡單的語法，把常用的動作寫成宏，當(dāng)再工作時，就可以直接利用事先寫好的宏自動運行，去完成某項特定的任務(wù)，而不必再重復(fù)相同的動作。Microsoft Word中對宏定義為：“宏就是能組織到一起作為一獨立的命令使用的一系列word命令，它能使日常工作變得更容易”。2什么是宏病毒 宏病毒是一種寄存在文

6、檔或模板的宏中的計算機(jī)病毒。一旦打開這樣的文檔，其中的宏自動被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計算機(jī)上，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計算機(jī)上。3宏病毒的表現(xiàn) 以Word為例，一旦病毒宏侵入Word，它就會替代原有的正常宏，如FileOpen、FileSave、FileSaveAs和FilePrint等等，并通過這些宏所關(guān)聯(lián)的文件操作功能獲取對文件交換的控制。當(dāng)某項功能被調(diào)用時，相應(yīng)的病毒宏就會纂奪控制權(quán)，實施病毒所定義的非法操作，包括傳染操作、表現(xiàn)操作以及破壞操作等等。4宏病毒的識

7、別 （1）打開一個用戶自己編寫的文檔時，系統(tǒng)會彈出相應(yīng)的警告框。而用戶清楚并沒有在其中使用宏或并不知道宏到底怎么用，可以確定文檔已經(jīng)感染了宏病毒。（2）Office文檔中一系列的文件都在打開時給出宏警告，然而一般情況下用戶很少使用到宏，所以當(dāng)看到很多的文檔都有宏警告時，可以肯定這些文檔中有宏病毒。（3）如果殺毒軟件中關(guān)于宏病毒防護(hù)選項啟用后，一旦發(fā)現(xiàn)機(jī)器中設(shè)置的宏病毒防護(hù)功能選項無法在兩次啟動Word之間保持有效，則系統(tǒng)已經(jīng)感染了宏病毒，此時一系列Word模板，特別是Office目錄下的normal.dot已經(jīng)被感染。（4）宏病毒會對Word、Excel文檔感染，造成無法正常打印、無法正常存儲

8、及改變存儲路徑、無法編輯文檔等異常行為。不要在軟件給予提示的情況下為了查看文檔而選擇運行不明來歷的宏。實現(xiàn)方法1宏病毒的制作2宏病毒的防范任務(wù)3 腳本和網(wǎng)頁病毒任務(wù)描述 網(wǎng)頁病毒就是網(wǎng)頁中含有病毒腳本文件或JAVA小程序。當(dāng)用戶登錄某些含有網(wǎng)頁病毒的網(wǎng)站時，網(wǎng)頁病毒就會被激活，對用戶的計算機(jī)系統(tǒng)進(jìn)行破壞。本次任務(wù)通過網(wǎng)頁病毒的制作實例分析其運行機(jī)制，并對網(wǎng)頁病毒進(jìn)行防范和清除。任務(wù)要求 了解腳本和網(wǎng)頁病毒的概念。 掌握網(wǎng)頁病毒的特點和攻擊方式。 掌握網(wǎng)頁病毒的防范和清除方法。知識連接1什么是腳本 腳本（Script）是使用一種特定的描述性語言，依據(jù)一定的格式編寫的可執(zhí)行文件，又稱作批處理文件。

9、腳本是批處理文件的延伸，是一種純文本保存的程序。 腳本通?？梢杂蓱?yīng)用程序臨時調(diào)用并執(zhí)行。各類腳本被廣泛地應(yīng)用于網(wǎng)頁設(shè)計中，因為腳本不僅可以減小網(wǎng)頁的規(guī)模和提高網(wǎng)頁瀏覽速度，而且可以豐富網(wǎng)頁的表現(xiàn)，如動畫、聲音等。2什么是網(wǎng)頁病毒？ 網(wǎng)頁病毒是利用網(wǎng)頁來進(jìn)行破壞的病毒，它使用一些Script語言編寫的一些惡意代碼利用瀏覽器的漏洞來實現(xiàn)病毒植入。當(dāng)用戶登錄某些含有網(wǎng)頁病毒的網(wǎng)站時，網(wǎng)頁病毒便被悄悄激活，這些病毒一旦激活，可以利用系統(tǒng)的一些資源進(jìn)行破壞。3網(wǎng)頁病毒的特點及攻擊方式 網(wǎng)頁病毒使得各種非法惡意程序能夠得以被自動執(zhí)行，在于它完全不受用戶的控制。用戶一旦瀏覽含有病毒的網(wǎng)頁，就會在不知不覺的情

10、況下馬上中招，給系統(tǒng)帶來不同程度的破壞。 網(wǎng)頁病毒簡單的說就是一個網(wǎng)頁，但這個網(wǎng)頁運行時所執(zhí)行的操作不僅僅是下載后再讀出，伴隨著前者的操作背后，還有病毒程序的下載，或是木馬的下載和執(zhí)行，悄悄地修改的注冊表等。4網(wǎng)頁病毒的種類 （1）通過Java Script、Applet、ActiveX編輯的腳本程序修改IE瀏覽器。 （2）通過Java Script、Applet、ActiveX編輯的腳本程序修改用戶操作系統(tǒng)。實現(xiàn)方法1腳本文件的執(zhí)行2網(wǎng)頁病毒的防范任務(wù)4 冰河木馬任務(wù)描述 木馬程序與一般的病毒不同，它不會自我繁殖，也并不刻意地去感染其他文件，而是通過將自身偽裝吸引用戶下載執(zhí)行，向攻擊者提供打

11、開被種木馬者計算機(jī)的門戶，使攻擊者可以任意毀壞、竊取被種木馬者的文件，甚至遠(yuǎn)程操控被種者的計算機(jī)。木馬與計算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但遠(yuǎn)程控制軟件是善意的控制，因此通常不具有隱蔽性，木馬則完全相反，木馬要達(dá)到的是偷竊性的遠(yuǎn)程控制。本次任務(wù)將詳細(xì)說明冰河木馬的配置和使用，并介紹植入冰河木馬的計算機(jī)如何徹底清除木馬。任務(wù)要求 了解木馬的工作原理。 掌握冰河木馬的配置和使用。 掌握冰河木馬的卸載方法。知識鏈接1木馬的工作原理 木馬通常有兩個可執(zhí)行程序：一個是客戶端，即控制端，另一個是服務(wù)器端，即被控制端。植入被種者計算機(jī)的是服務(wù)器端部分，而攻擊者正是利用控制端進(jìn)入運行了服務(wù)器端的計算機(jī)。運行了木馬程序的服務(wù)器端以后，被種者的計算機(jī)就會有一個或幾個端口被打開，使攻擊者可以利用這些打開的端口進(jìn)入計算機(jī)，安全和個人隱私也就全無保障。知識鏈接2木馬的連接方式 第一代和第二代木馬使用的是傳統(tǒng)連接方式，即C/S方式，由肉雞打開端口等待外部連接，當(dāng)攻擊者需要與肉雞建立連接時，向肉雞發(fā)送一個連接請求，從而建立連接。 第三代木馬采用反彈端口技術(shù)，由肉雞主動連接攻擊者，攻擊者打開端口，等待肉雞主動連接。實現(xiàn)方法1冰河木馬的使用2. 冰河木馬的清除任務(wù)5 使用自解壓文件攜帶木馬任務(wù)描述 利用WinRAR捆綁木馬是偽裝隱藏木