病毒和木馬的學(xué)習(xí)教案

病毒和木馬的學(xué)習(xí)教案第1頁/共75頁第9章利用病毒和木馬進(jìn)行網(wǎng)絡(luò)攻擊計算機病毒對計算機系統(tǒng)所產(chǎn)生的破壞效應(yīng)，使人們清醒地認(rèn)識到其所帶來的危害性?，F(xiàn)在，每年的新病毒數(shù)量都是以指數(shù)級在增長，而且由于近幾年傳輸媒質(zhì)的改變和因特網(wǎng)的大面積普及，導(dǎo)致計算機病毒感染的對象開始由工作站（終端）向網(wǎng)絡(luò)部件（代理、防護(hù)和服務(wù)器設(shè)置等）轉(zhuǎn)變，病毒類型也由文件型向網(wǎng)絡(luò)蠕蟲型改變。現(xiàn)今，世界上很多國家的科研機構(gòu)都在深入地對病毒的實現(xiàn)和防護(hù)進(jìn)行研究。第2頁/共75頁9.1計算機病毒9.2蠕蟲病毒9.3木馬的原理分析9.4

反病毒技術(shù)9.5實驗：利用木馬進(jìn)行攻擊第9章利用病毒和木馬進(jìn)行網(wǎng)絡(luò)攻擊第3頁/共75頁9.1計算機病毒病毒是一段具有自我復(fù)制能力的代理程序，它將自己的代碼寫入宿主程序的代碼中，以感染宿主程序，每當(dāng)運行受感染的宿主程序時病毒就自我復(fù)制，然后其副本感染其他程序，如此周而復(fù)始。它一般隱藏在其他宿主程序中，具有潛伏能力，自我繁殖能力，被激活產(chǎn)生破壞能力。第4頁/共75頁9.1計算機病毒9.1.1計算機病毒的基本結(jié)構(gòu)9.1.2計算機病毒的分類9.1.3計算機病毒的工作原理9.1.4計算機病毒的傳播途徑及危害第5頁/共75頁計算機病毒的機構(gòu)基本相似，一般說來是由以下3個程序模塊組成：引導(dǎo)模塊:首先被執(zhí)行，負(fù)責(zé)把病毒程序加載到內(nèi)存合適的區(qū)域。傳染模塊：完成計算機病毒的復(fù)制傳播任務(wù)。破壞與表現(xiàn)模塊。9.1.1計算機病毒的基本結(jié)構(gòu)第6頁/共75頁1、按感染對象分類據(jù)感染對象的不同，病毒可分為三類：

（1）引導(dǎo)型病毒：感染計算機存儲介質(zhì)的引導(dǎo)區(qū)，將自身全部或部分邏輯取代正常的引導(dǎo)記錄?？稍谟嬎銠C運行前取得控制權(quán)。如Bupt,Monkey等。

（2）文件型病毒：感染計算機系統(tǒng)中獨立存在的文件。病毒在文件運行或被調(diào)用時駐留內(nèi)存?zhèn)魅荆茐?。如Honking,CIH等。

（3）混合型病毒：感染對象是引導(dǎo)區(qū)或文件，具有更復(fù)雜的算法，采用非常規(guī)方法入侵。如Onehalf,V3787.

9.1.2計算機病毒的分類第7頁/共75頁根據(jù)針對的系統(tǒng)不同，病毒分為3類：DOS病毒；宏病毒；Windows病毒。2、按感染系統(tǒng)分類第8頁/共75頁根據(jù)病毒的感染方式不同，可以分為：源碼型病毒；入侵型病毒；操作系統(tǒng)型病毒；外殼病毒。

3、按感染方式分類第9頁/共75頁文件型的病毒將自身附著到一個文件當(dāng)中,通常是附著在可執(zhí)行的應(yīng)用程序上。(如:一個字處理程序或DOS程序)。通常文件型的病毒是不會感染數(shù)據(jù)文件的。然而數(shù)據(jù)文件可以包含有嵌入的可執(zhí)行的代碼，如：宏。9.1.3計算機病毒的工作原理第10頁/共75頁引導(dǎo)扇區(qū)病毒改變每一個用DOS格式來格式化的磁盤的第一個扇區(qū)里的程序。通常引導(dǎo)扇區(qū)病毒先執(zhí)行自身的代碼，然后再繼續(xù)PC機的啟動進(jìn)程。大多數(shù)情況，在這臺染有引導(dǎo)型病毒的機器對可讀寫的軟盤進(jìn)行讀寫操作，那么這塊軟盤也就會被感染。9.1.3計算機病毒的工作原理第11頁/共75頁混合型病毒有上面所說的兩類病毒的某些特性。有代表性的有：當(dāng)執(zhí)行一個被感染的文件，它將感染硬盤的引導(dǎo)扇區(qū)或分區(qū)扇區(qū)，并且感染在機器上使用過的軟盤，或感染在帶毒系統(tǒng)上進(jìn)行格式化操作的軟盤。9.1.3計算機病毒的工作原理第12頁/共75頁宏病毒主要感染一般的設(shè)置文件，如：WORD模版，導(dǎo)致以后所編輯的文檔都會帶有可感染的宏病毒。欺騙病毒――這種病毒能夠以某種長度存在，從而將自己從可能被注意的程序中隱蔽起來。9.1.3計算機病毒的工作原理第13頁/共75頁多形性病毒:多形性病毒又名“幽靈”病毒，是指采用特殊加密技術(shù)編寫的病毒，這種病毒在每感染一個對象時采用隨機方法對病毒主體進(jìn)行加密，因而完全多形性病毒的主要不同樣本中甚至不存在連續(xù)兩個相同的字節(jié)。這種病毒主要是針對查毒軟件而設(shè)計的，使得查毒軟件的編寫更困難，并且還會帶來許多誤報。9.1.3計算機病毒的工作原理第14頁/共75頁伙伴病毒：這種病毒通過一個文件傳播，首先該文件將代替用戶本希望運行的文件被執(zhí)行，之后再運行原始的文件。例如：MYAPP.EXE文件可能通過創(chuàng)建名為MYAPP.COM的文件被感染。因為根據(jù)DOS的工作方式，當(dāng)用戶在C>提示符下敲入MYAPP時，MYAPP.COM將代替MYAPP.EXE文件而運行。MYAPP.COM首先運行它帶有感染性的程序，然后再默默地執(zhí)行MYAPP.EXE文件。9.1.3計算機病毒的工作原理第15頁/共75頁目前計算機病毒的傳播途徑主要有：通過軟盤、ROM、磁盤等介質(zhì)傳播；通過計算機網(wǎng)絡(luò)通信引起的病毒傳播；通過點對點通信系統(tǒng)和無線信道傳播9.1.4計算機病毒的傳播途徑及危害第16頁/共75頁計算機病毒的危害主要有：降低計算機或網(wǎng)絡(luò)系統(tǒng)正常的工作效率；破壞計算機系統(tǒng)與用戶的數(shù)據(jù)；竊取重要信息

。9.1.4計算機病毒的傳播途徑及危害第17頁/共75頁9.2蠕蟲病毒

蠕蟲也是一段獨立的可執(zhí)行程序，它可以通過計算機網(wǎng)絡(luò)把自身的拷貝（復(fù)制品）傳給其他的計算機。它可以修改刪除別的程序，也可以通過瘋狂的自我復(fù)制來占盡網(wǎng)絡(luò)資源，從而使網(wǎng)絡(luò)資源癱瘓。同時蠕蟲又具有病毒和入侵者雙重特點：像病毒那樣，它可以進(jìn)行自我復(fù)制，并可能被當(dāng)作假指令去執(zhí)行，像入侵者那樣，它以穿透網(wǎng)絡(luò)系統(tǒng)為目標(biāo)。與以前出現(xiàn)的病毒在機理上有很大不同（與網(wǎng)絡(luò)結(jié)合），一般把非蠕蟲病毒稱為傳統(tǒng)病毒，把蠕蟲病毒稱為蠕蟲。

第18頁/共75頁9.2蠕蟲病毒9.2.1蠕蟲病毒的發(fā)展與現(xiàn)狀9.2.2幾個典型蠕蟲病毒9.2.3網(wǎng)絡(luò)蠕蟲的掃描策略第19頁/共75頁最早出現(xiàn)的網(wǎng)絡(luò)蠕蟲病毒是美國的小莫里斯編寫的,并在美國軍方的局域網(wǎng)內(nèi)活動，但是，必需事先獲取局域網(wǎng)的權(quán)限和口令。世界性的第一個大規(guī)模在Internet網(wǎng)上傳播的網(wǎng)絡(luò)蠕蟲病毒是1998年底的Happy99網(wǎng)絡(luò)蠕蟲病毒，當(dāng)你在網(wǎng)上向外發(fā)出信件時，HAPPY99網(wǎng)絡(luò)蠕蟲病毒會頂替你的信件或隨你的信件從網(wǎng)上跑到你發(fā)信的目標(biāo)中，到了1月1日，收件人一執(zhí)行，便會在屏幕上不斷暴發(fā)出絢麗多彩的禮花，機器就不再干什么了。9.2.1蠕蟲病毒的發(fā)展與現(xiàn)狀第20頁/共75頁1999年3月歐美暴發(fā)了“美麗殺”網(wǎng)絡(luò)蠕蟲宏病毒，歐美最大的一些網(wǎng)站頻頻遭受到堵塞，造成了巨大的經(jīng)濟(jì)損失。2000年至今，是網(wǎng)絡(luò)蠕蟲開始大鬧互聯(lián)網(wǎng)的發(fā)展期。最初的蠕蟲病毒盡管蔓延速度快，嚴(yán)重威脅著計算機系統(tǒng)的安全，但由于其結(jié)構(gòu)簡單，功能單一，在技術(shù)上也比較初等。9.2.1蠕蟲病毒的發(fā)展與現(xiàn)狀第21頁/共75頁Internet蠕蟲雖然早在1988年就顯示出它巨大破壞力和危害性，但當(dāng)時Internet沒有普及，因而也沒有引起人們更多的注意。郵件病毒的出現(xiàn)，使人們認(rèn)識到Internet已經(jīng)使病毒的性質(zhì)發(fā)生了一些變化，需要調(diào)整研究方法和目標(biāo)，但對于蠕蟲的研究和防御到日前為止還比較少;近年來，新蠕蟲層出不窮，危害越來越大，其造成的危害程度遠(yuǎn)遠(yuǎn)超過傳統(tǒng)的病毒。9.2.1蠕蟲病毒的發(fā)展與現(xiàn)狀第22頁/共75頁2001年CodeRed蠕蟲爆發(fā)后，針對蠕蟲的研究逐漸成為熱點。2001年9月18日，Nimda蠕蟲被發(fā)現(xiàn)，與以前的蠕蟲不同的是Nimda開始結(jié)合病毒技術(shù)。因此Nimda的定性引起了廣泛爭議。9.2.1蠕蟲病毒的發(fā)展與現(xiàn)狀第23頁/共75頁由于蠕蟲在網(wǎng)絡(luò)中持續(xù)掃描，尋找容易受到攻擊的系統(tǒng)，它就會從已經(jīng)被感染的計算機上下載能夠進(jìn)行自我復(fù)制的代碼,蠕蟲駐留系統(tǒng)后在注冊表中創(chuàng)建鍵值，以達(dá)到隨系統(tǒng)啟動而自動運行的目的，使得系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系統(tǒng)崩潰。9.2.1蠕蟲病毒的發(fā)展與現(xiàn)狀第24頁/共75頁1、W32.Worm.Sasser病毒該病毒會對被感染的機器(WinNT、Win2000、WinXP、Win2003操作系統(tǒng))造成巨大的危害。

W32.Worm.Sasser即“震蕩波”蠕蟲。此病毒利用Windows平臺的Lsass漏洞進(jìn)行傳播?？赡軙?dǎo)致被感染的機器無法正常使用，直至系統(tǒng)崩潰。9.2.2幾個典型蠕蟲病毒第25頁/共75頁2、Worm.Blaster病毒沖擊波（Worm.Blaster）病毒是利用微軟公司在7月21日公布的RPC漏洞進(jìn)行傳播的。只要是計算機上有RPC服務(wù)并且沒有打安全補丁的計算機都存在有RPC漏洞，具體涉及的操作系統(tǒng)是：Windows2000、XP、Server2003。9.2.2幾個典型蠕蟲病毒第26頁/共75頁3、CodeRed病毒

CodeRed（紅色代碼)蠕蟲是一個IIS（MicrosoftInternetInfomationServer）蠕蟲，只對安裝了IIS系統(tǒng)的機器有威脅。它直接通過漏洞進(jìn)入計算機內(nèi)存造成IIS溢出并傳染攻擊其他裝有微軟IIS,IndexService服務(wù)器的計算機，Code

Red又稱為IIS-Worm.Bady。9.2.2幾個典型蠕蟲病毒第27頁/共75頁4、Myparty病毒

Myparty是一種電子郵件蠕蟲。像其他蠕蟲病毒一樣，它使用用戶的機器發(fā)送大量的電子郵件。W32/Myparty病毒能夠引起CPU、網(wǎng)絡(luò)和郵件服務(wù)器的擁塞，并可能造成拒絕服務(wù)。9.2.2幾個典型蠕蟲病毒第28頁/共75頁5、BadTrans蠕蟲

Win32/BadTrans蠕蟲能夠執(zhí)行任意代碼，并截獲用戶的按鍵信息。該病毒通過電子郵件傳播，運行著微軟Win95、98、Me、2000和NT的系統(tǒng)在接收和打開郵件時都有可能感染該病毒。9.2.2幾個典型蠕蟲病毒第29頁/共75頁6、Nimda（尼姆達(dá)）蠕蟲尼姆達(dá)蠕蟲病毒能夠?qū)ο到y(tǒng)造成徹底的破壞。該病毒使用多種方式傳播，其中包括電子郵件。9.2.2幾個典型蠕蟲病毒第30頁/共75頁

按照蠕蟲對目標(biāo)地址空間的選擇方式進(jìn)行分類。掃描策略包括:1、選擇性隨機掃描(selectiverandomscan)2、順序掃描(sequentialscan)3、基于目標(biāo)列表的掃描(hit-listscan)4、基于路由的掃描(routablescan)5、基于DNS掃描(DNSscan)6、分治掃描(divide-conquerscan)7、被動式掃描(passivescan)9.2.3網(wǎng)絡(luò)蠕蟲的掃描策略第31頁/共75頁隨機掃描會對整個地址空間的IP隨機抽取進(jìn)行掃描，而選擇性隨機掃描將最有可能存在漏洞主機的地址集作為掃描的地址空間，也是隨機掃描策略的一種,所選的目標(biāo)地址按照一定的算法隨機生成，互聯(lián)網(wǎng)地址空間中未分配的或者保留的地址塊不在掃描之列。選擇性隨機掃描具有算法簡單、易實現(xiàn)的特點，若與本地優(yōu)先原則結(jié)合，則能達(dá)到更好的傳播效果。但選擇性隨機掃描容易引起網(wǎng)絡(luò)阻塞，使得網(wǎng)絡(luò)蠕蟲在爆發(fā)之前易被發(fā)現(xiàn)，隱蔽性差。CodeRed,Slappe的傳播采用了選擇性隨機掃描策略。1、選擇性隨機掃描第32頁/共75頁順序掃描是指被感染主機上蠕蟲會隨機選擇一個C類網(wǎng)絡(luò)地址進(jìn)行傳播。根據(jù)本地優(yōu)先原則，蠕蟲一般會選擇它所在網(wǎng)絡(luò)內(nèi)的IP地址。若蠕蟲掃描的目標(biāo)地址IP為A,則掃描的下一個地址IP為A+1或者A-1。一旦掃描到具有很多漏洞主機的網(wǎng)絡(luò)時就會達(dá)到很好的傳播效果。該策略的不足是對同一臺主機可能重復(fù)掃描，引起網(wǎng)絡(luò)擁塞。W32.Blaster是典型的順序掃描蠕蟲。2、順序掃描第33頁/共75頁基于目標(biāo)列表的掃描是指網(wǎng)絡(luò)蠕蟲在尋找受感染的目標(biāo)之前預(yù)先生成一份可能易傳染的目標(biāo)列表，然后對該列表進(jìn)行攻擊嘗試和傳播。目標(biāo)列表生成方法有兩種:第一種，通過小規(guī)模的掃描或者互聯(lián)網(wǎng)的共享信息產(chǎn)生目標(biāo)列表;第二種，通過分布式掃描可以生成全面的列表的數(shù)據(jù)庫。理想化蠕蟲Falsh就是一種基于IPV4地址空間列表的快速掃描蠕蟲3、基于目標(biāo)列表的掃描第34頁/共75頁

基于路由的掃描是指網(wǎng)絡(luò)蠕蟲根據(jù)網(wǎng)絡(luò)中的路由信息，對IP地址空間進(jìn)行選擇性掃描的一種方法。采用隨機掃描的網(wǎng)絡(luò)蠕蟲會對未分配的地址空間進(jìn)行探測，而這些地址大部分在互聯(lián)網(wǎng)上是無法路由的，因此會影響到蠕蟲的傳播速度。如果網(wǎng)絡(luò)蠕蟲能夠知道哪些IP地址是可路由的，它就能夠更快、更有效地進(jìn)行傳播，并能逃避一些對抗工具的檢測?；诼酚傻膾呙铇O大地提高了蠕蟲的傳播速度。

4、基于路由的掃描第35頁/共75頁

基于DNS掃描是指網(wǎng)絡(luò)蠕蟲從DNS服務(wù)器獲取IP地址來建立目標(biāo)地址庫。該掃描策略的優(yōu)點在于，所獲得的IP地址塊具有針對性和可用性強的特點?；贒NS掃描的不足是:(1)難以得到有DNS記錄的地址完整列表;(2)蠕蟲代碼需要攜帶非常大的地址庫，傳播速度慢:(3)目標(biāo)地址列表中地址數(shù)受公共域名主機的限制。例如，CodeRed所感染的主機中幾乎一半沒有DNS記錄。5、基于DNS掃描第36頁/共75頁

分治掃描是網(wǎng)絡(luò)蠕蟲之間相互協(xié)作、快速搜索易感染主機的一種策略。網(wǎng)絡(luò)蠕蟲發(fā)送地址庫的一部分給每臺被感染的主機，然后每臺主機再去掃描它所獲得的地址。主機A感染了主機B以后，主機A將它自身攜帶的地址分出一部分給主機B，然后主機B開始掃描這一部分地址。分治掃描策略的不足是存在“壞點”問題。在蠕蟲傳播的過程中，如果一臺主機死機或崩潰，那么所有傳給它的地址庫就會丟失。這個問題發(fā)生得越早，影響就越大.

有3種方法能夠解決這個問題:(1)在蠕蟲傳遞地址庫之前產(chǎn)生目標(biāo)列表;(2)通過計數(shù)器來控制蠕蟲的傳播情況，蠕蟲每感染一個節(jié)點，計數(shù)器加1，然后根據(jù)計數(shù)器的值來分配任務(wù);(3)蠕蟲傳播的時候隨機決定是否重傳數(shù)據(jù)庫。6、分治掃描第37頁/共75頁

被動式傳播蠕蟲不需要主動掃描就能夠傳播。它們等待潛在的攻擊對象來主動接觸它們，或者依賴用戶的活動去發(fā)現(xiàn)新的攻擊目標(biāo)。由于它們需要用戶觸發(fā)，所以傳播速度很慢，但這類蠕蟲在發(fā)現(xiàn)目標(biāo)的過程中并不會引起通信異常，這使得它們自身有更強的安全性。

Contagion是一個被動式蠕蟲，它通過正常的通信來發(fā)現(xiàn)新的攻擊對象。CRClean等待CodeRed的探測活動，當(dāng)它探測到一個感染企圖時，就發(fā)起一個反攻來回應(yīng)該感染企圖，如果反攻成功，它就刪除CodeRed,并將自己安裝到相應(yīng)機器上。7、被動式掃描(passivescan)第38頁/共75頁

網(wǎng)絡(luò)蠕蟲傳播速度的關(guān)鍵影響因素有4個:目標(biāo)地址空間選擇、是否采用多線程搜索易感染主機、是否有易感染主機列表(hit-list)以及傳播途徑的多樣化。網(wǎng)絡(luò)蠕蟲感染一臺主機的時間取決于蠕蟲搜索到易感染主機所需要的時間。因此，網(wǎng)絡(luò)蠕蟲快速傳播的關(guān)鍵在于設(shè)計良好的掃描策略。一般情況下，采用DNS掃描傳播的蠕蟲速度最慢，選擇性掃描和路由掃描比隨機掃描的速度要快;對于Hit-list掃描，當(dāng)列表超過1M字節(jié)時，蠕蟲傳播的速度就會比路由掃描蠕蟲慢:當(dāng)列表大于6M時，蠕蟲傳播速度比隨機掃描還慢。分治掃描目前還沒有找到易于實現(xiàn)且有效的算法。目前，網(wǎng)絡(luò)蠕蟲首先采用路由掃描，利用隨機掃描進(jìn)行傳播是最佳選擇。掃描策略評價第39頁/共75頁9.3木馬的原理分析木馬（TrojanHorse）又稱特洛伊木馬，是一種通過各種方法直接或者間接與遠(yuǎn)程計算機之間建立起連接，使遠(yuǎn)程計算機能夠通過網(wǎng)絡(luò)控制本地計算機的程序。通常木馬并不被當(dāng)成病毒，因為它們通常不包括感染程序，因而并不自我復(fù)制，只是靠欺騙獲得傳播?，F(xiàn)在，隨著網(wǎng)絡(luò)的普及，木馬程序的危害變得十分強大，如今它常被用作在遠(yuǎn)程計算機之間建立連接，像間諜一樣潛入用戶的計算機，使遠(yuǎn)程計算機通過網(wǎng)絡(luò)控制本地計算機。第40頁/共75頁9.3木馬的原理分析9.3.1木馬的結(jié)構(gòu)和原理9.3.2木馬的分類9.3.3木馬的功能9.3.4木馬的攻擊原理9.3.5木馬與病毒的融合攻擊機制第41頁/共75頁木馬程序一般由兩部分組成，分別是服務(wù)器端和客戶端。服務(wù)器端程序指的是運行在被控制的電腦的木馬程序，該程序為.exe后綴的可執(zhí)行文件?？蛻舳顺绦虬惭b在控制端，客戶端能夠?qū)Ψ?wù)器端的控制。9.3.1木馬的結(jié)構(gòu)和原理第42頁/共75頁在Windows系統(tǒng)中，木馬一般作為一個網(wǎng)絡(luò)服務(wù)程序在中了木馬的計算機后臺運行，監(jiān)聽本機一些特定端口，這個端口號多數(shù)比較大（5000以上，但也有少數(shù)是5000以下的）。當(dāng)該木馬相應(yīng)的客戶端程序在此端口上請求連接時，它會與客戶程序建立TCP連接，從而被客戶端遠(yuǎn)程控制。9.3.1木馬的結(jié)構(gòu)和原理第43頁/共75頁木馬一般采用了Windows系統(tǒng)啟動時自動加載應(yīng)用程序的方法，包括有win.ini、system.ini和注冊表等。木馬駐留計算機以后，還得有客戶端程序來控制才可以進(jìn)行相應(yīng)的“黑箱”操作?？蛻舳艘c木馬服務(wù)器端進(jìn)行通信就必須建立連接，目前一般采用TCP連接。9.3.1木馬的結(jié)構(gòu)和原理第44頁/共75頁1、根據(jù)木馬程序?qū)τ嬎銠C的具體操作方式，可以分為以下幾類:遠(yuǎn)程訪問型木馬密碼發(fā)送型木馬鍵盤記錄型木馬破壞型木馬FTP型木馬9.3.2木馬的分類第45頁/共75頁1.遠(yuǎn)程訪問型木馬遠(yuǎn)程訪問型木馬是現(xiàn)在最廣泛的特洛伊木馬。這種木馬起著遠(yuǎn)程控制的功能，用起來非常簡單，只需先運行服務(wù)端程序，同時獲得遠(yuǎn)程主機的IP地址，控制者就能任意訪問被控制端的計算機。這種木馬可以使遠(yuǎn)程控制者在本地機器上做任何事情，比如鍵盤記錄、上傳和下載功能、發(fā)送一個“截取屏幕”等等。這種類型的木馬有著名的BO(BackOffice)和國產(chǎn)的冰河等。第46頁/共75頁2.密碼發(fā)送型木馬密碼發(fā)送型木馬的目的是找到所有的隱藏密碼，并且在受害者不知道的情況下把它們發(fā)送到指定的信箱。大多數(shù)這類木馬程序不會在每次系統(tǒng)重啟時都自動加載，它們大多數(shù)使用25號端口發(fā)送電子郵件。第47頁/共75頁3.鍵盤記錄型木馬鍵盤記錄型木馬非常簡單的.它只做一種事情，就是記錄受害者的鍵盤敲擊.并且在Log文件里做完整的記錄。這種木馬程序隨著系統(tǒng)的啟動而啟動，知道受害者在線并記錄每一個用戶事件，然后通過郵件或其他方式發(fā)送給控制者。第48頁/共75頁4.破壞型木馬大部分木馬程序只竊取信息，不做破壞性的事件，但破壞型木馬卻以毀壞并且刪除文件為目的。它們可以自動刪除受控計算機上所有的.ini.exe文件，甚至格式化受害者的硬盤，系統(tǒng)中的信息會在頃刻間“灰飛煙滅”。第49頁/共75頁5.FTP型木馬FTP型木馬打開被控制計算機的21號端口，使任何人無需密碼就可以用一個FTP客戶端程序連接到受控制端計算機，并且可以進(jìn)行最高權(quán)限的上傳和下載，竊取受害者的機密文件。第50頁/共75頁2、根據(jù)木馬的網(wǎng)絡(luò)連接方向，可以分為兩類:正向連接型：發(fā)起通信的方向為控制端向被控制端發(fā)起，這是傳統(tǒng)技術(shù)，其缺點是不能透過防火墻。反向連接型：發(fā)起通信的方向為被控制端向控制端發(fā)起，其出現(xiàn)主要是為了解決從內(nèi)向外不能發(fā)起連接的情況的通信要求，已經(jīng)被較新的木馬廣泛采用。9.3.2木馬的分類第51頁/共75頁竊取數(shù)據(jù)接受非授權(quán)操作者的指令篡改文件和數(shù)據(jù)刪除文件和數(shù)據(jù)施放病毒使系統(tǒng)自毀遠(yuǎn)程運行程序9.3.3木馬的功能第52頁/共75頁跟蹤監(jiān)視對方屏幕直接屏幕鼠標(biāo)控制，鍵盤輸入控制監(jiān)視對方任務(wù)且可以中止對方任務(wù)鎖定鼠標(biāo)鍵盤和屏幕遠(yuǎn)程重啟、關(guān)機遠(yuǎn)程讀取、修改注冊表共享被控制端的硬盤9.3.3木馬的功能第53頁/共75頁攻擊者電腦A將木馬程序通過多種方式植入到要攻擊的電腦B，木馬的植入方式主要有：一、通過E-Mail附件傳播；二、通過網(wǎng)頁傳播；三、通過文件傳輸；四、通過系統(tǒng)漏洞直接種植。

9.3.4木馬的攻擊原理第54頁/共75頁木馬的常見偽裝手段有：修改文件名稱。將木馬服務(wù)端程序的名稱改為對用戶來說非常有吸引力的名稱。修改圖標(biāo)。木馬服務(wù)端程序為可執(zhí)行文件，但為了欺騙受害者，將木馬服務(wù)端程序的圖標(biāo)修改為成其它非可執(zhí)行程序的圖標(biāo)，如修改成文本文件的圖標(biāo)。捆綁文件。將木馬服務(wù)端程序與其它文件（如真正的文本文件）進(jìn)行捆綁，當(dāng)用戶打開這個文件時，木馬程序也隨之被激活?；?qū)⑸厦娴膫窝b手段一起使用。9.3.4木馬的攻擊原理第55頁/共75頁就各種惡意程序的特性而言，傳統(tǒng)病毒具備其它惡意程序所沒有的感染力，蠕蟲病毒則提供無人能敵的主動散播能力，至于遠(yuǎn)程搖控能力最強的當(dāng)推特洛伊木馬?；旌鲜焦粽喜《?、蠕蟲、木馬、間諜程序或網(wǎng)絡(luò)釣魚的特性，以及網(wǎng)絡(luò)漏洞、系統(tǒng)弱點掃描的新一代惡意程序技術(shù)。它可能一方面透過垃圾郵件傳播，一方面在網(wǎng)上掃描并寄生在有弱點的主機上，一方面在網(wǎng)絡(luò)上偽裝成目前流行的MP3、游戲或?qū)嵱密浖纫T人們下載，或是搜尋感染網(wǎng)絡(luò)鄰居上的分享目錄夾，抑或提高來賓賬戶的權(quán)限等級等。9.3.5木馬與病毒的融合攻擊機制第56頁/共75頁9.4

反病毒技術(shù)9.4.1

檢測計算機病毒的基本方法9.4.2

反蠕蟲病毒技術(shù)9.4.3

木馬的防治第57頁/共75頁9.4.1

檢測計算機病毒的基本方法1、外觀檢測法2、特征代碼法3、虛擬機技術(shù)4、啟發(fā)式掃描技術(shù)第58頁/共75頁9.4.2

反蠕蟲病毒技術(shù)目前反病毒的主流技術(shù)還是以傳統(tǒng)的“特征碼技術(shù)”為主，以新的反病毒技術(shù)為輔。特征碼技術(shù)是傳統(tǒng)的反病毒技術(shù)，但是“特征碼技術(shù)”只能查殺己知病毒，對未知病毒則毫無辦法。為了更好地來對付計算病毒，出現(xiàn)了一些新的反病毒技術(shù)，如虛擬機器技術(shù)，啟發(fā)式掃描技術(shù)等。這些技術(shù)也代表著計算機反病毒技術(shù)未來的發(fā)展方向。反蠕蟲病毒技術(shù)方案就在一定程度上借鑒了其中的技術(shù)和思想。第59頁/共75頁9.4.2

反蠕蟲病毒技術(shù)對于蠕蟲病毒來說，蠕蟲的傳播技術(shù)是其的本質(zhì)。一個蠕蟲病毒可以以文件的形式獨立存在，對于這樣的蠕蟲病毒清除比較簡單，只需要刪除其可執(zhí)行文件就可以了。當(dāng)然蠕蟲病毒也可以感染文件，但那是與傳統(tǒng)病毒技術(shù)相結(jié)合的產(chǎn)物。清除技術(shù)并不只是刪除蠕蟲可執(zhí)行文件那么簡單，要把蠕蟲病毒對系統(tǒng)所作的修改盡量恢復(fù)回來。第60頁/共75頁9.4.2

反蠕蟲病毒技術(shù)對蠕蟲進(jìn)行防治是一項艱巨的工作，單憑一兩個掃毒引擎是很難完全完成這項工作的。可以采用網(wǎng)絡(luò)蠕蟲預(yù)警機制，采取有效措施阻止網(wǎng)絡(luò)蠕蟲的大規(guī)模探測、滲透和自我復(fù)制。要借助于一切現(xiàn)有的軟、硬件條件和技術(shù)才能在最大程度下對蠕蟲進(jìn)行防治。第61頁/共75頁1、安裝反病毒軟件。時刻打開殺毒軟件，大多數(shù)反病毒工具軟件幾乎都可檢測到所有的特洛伊木馬,但值得注意的是應(yīng)及時更新反病毒軟件。2、安裝特洛伊木馬刪除軟件。反病毒軟件雖然能查出木馬，但卻不能將它從計算機上刪除。為此必須安裝諸如TROJIAREMOVER之類的軟件。9.4.3

木馬的防治第62頁/共75頁3、建立個人防火墻。4、不要執(zhí)行來歷不明的軟件和程序。5、經(jīng)常升級系統(tǒng)6、將“我的電腦”設(shè)置為始終顯示文件擴展名狀態(tài)。依次展開“我的電腦”→“工具”→“文件夾選項”→“查看”標(biāo)簽，去掉“顯示已知文件類型的擴展名”前面的勾。將文件真正的擴展名顯示出來。9.4.3

木馬的防治第63頁/共75頁9.5

實驗：利用木馬進(jìn)行攻擊為進(jìn)一步了解木馬控制的基本原理和危害，掌握木馬隱藏的幾種途徑。本章進(jìn)行木馬攻擊的實驗。實驗環(huán)境兩臺通過網(wǎng)絡(luò)連接的裝有Windows2000/XP系統(tǒng)的計算機。第64頁/共75頁9.5

實驗：利用木馬進(jìn)行攻擊實驗采用著名的木馬“廣外男生”，其最新版本就采用了端口反彈和線程插入技術(shù)。第65頁/共75頁9.5

實驗：利用木馬進(jìn)行攻擊先配置客戶端的參數(shù)，點擊“設(shè)置”→“客戶端設(shè)置”，彈出客戶端設(shè)置界面如下圖，在窗口中可以看到它采用“反彈端口＋線程插入技術(shù)”的提示。第66頁/共75頁9.5

實驗：利用木馬進(jìn)行攻擊下一步設(shè)置木馬的連接類型，“使用HTTP網(wǎng)頁IP通知”適用于在客戶端的IP地址是動態(tài)的情況下。在連接建立過程中，入侵者首先利用“代理服務(wù)器”保存客戶端的IP地址和待連接的