第5章-物聯(lián)網(wǎng)系統(tǒng)安全第2次課

5.2病毒與木馬攻擊主要內(nèi)容1、了解計(jì)算機(jī)病毒發(fā)展2、了解木馬的發(fā)展與分類(lèi)3.、掌握病毒、木馬攻擊原理1、計(jì)算機(jī)病毒定義一、計(jì)算機(jī)病毒的定義與特征計(jì)算機(jī)病毒名稱(chēng)的由來(lái)計(jì)算機(jī)病毒發(fā)作的情況類(lèi)似于生物上所講的病毒，所以人們引用生物中病毒的概念，把它稱(chēng)為計(jì)算機(jī)病毒。計(jì)算機(jī)病毒不能夠獨(dú)立存在，它就像生物病毒一樣必須寄生在宿主細(xì)胞上，而計(jì)算機(jī)病毒寄生的宿主就是程序、文件、電子郵件等等。

（1）計(jì)算機(jī)病毒的名稱(chēng)的由來(lái)計(jì)算機(jī)病毒與生物病毒（新冠病毒）一樣嗎？

計(jì)算機(jī)病毒

生物病毒

（2）計(jì)算機(jī)病毒的定義20世紀(jì)60年代初，美國(guó)貝爾實(shí)驗(yàn)室程序員編寫(xiě)的計(jì)算機(jī)游戲中，采用通過(guò)復(fù)制自身的方法來(lái)擺脫對(duì)方控制，這是“病毒”的第一個(gè)雛形。20世紀(jì)70年代，美國(guó)作家雷恩在其《P1的青春》一書(shū)中構(gòu)思了一種能夠自我復(fù)制的計(jì)算機(jī)程序，并第一次稱(chēng)之為“計(jì)算機(jī)病毒”。計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。在1994年2月18日公布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中。我們要自覺(jué)維護(hù)計(jì)算機(jī)及網(wǎng)絡(luò)安全！根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的規(guī)定:第五條:任何單位和個(gè)人不得制作計(jì)算機(jī)病毒。

第六條:任何單位和個(gè)人不得向社會(huì)發(fā)布虛假的計(jì)算機(jī)病毒疫情。

第七條、任何單位和個(gè)人不得有下列傳播計(jì)算機(jī)病毒的行為：

（一）故意輸入計(jì)算機(jī)病毒，危害計(jì)算機(jī)信息系統(tǒng)安全；

（二）向他人提供含有計(jì)算機(jī)病毒的文件、軟件、媒體；

（三）銷(xiāo)售、出租、附贈(zèng)含有計(jì)算機(jī)病毒的媒體；

（四）其他傳播計(jì)算機(jī)病毒的行為。

制造、惡意傳播病毒是犯罪行為?。。⌒茇垷惆钢鞣咐羁～@刑四年

2007年9月24日，湖北省仙桃市人民法院公開(kāi)開(kāi)庭審理了倍受社會(huì)各界廣泛關(guān)注的被告人李俊、王磊、張順、雷磊破壞計(jì)算機(jī)信息系統(tǒng)罪一案。被告人李俊犯破壞計(jì)算機(jī)信息系統(tǒng)罪，判處有期徒刑四年；被告人王磊犯破壞計(jì)算機(jī)信息系統(tǒng)罪，判處有期徒刑二年六個(gè)月；被告人張順?lè)钙茐挠?jì)算機(jī)信息系統(tǒng)罪，判處有期徒刑二年；被告人雷磊犯破壞計(jì)算機(jī)信息系統(tǒng)罪，判處有期徒刑一年。“頂狐”病毒網(wǎng)上銀行盜竊案2007年12月16日，“3.5”特大網(wǎng)上銀行盜竊案的8名主要犯罪嫌疑人全部落入法網(wǎng)。8名疑犯在網(wǎng)上以虛擬身份聯(lián)系，糾集成伙，雖不明彼此身份，卻配合密切，分工明確，有人制作木馬病毒，有人負(fù)責(zé)收集信息，有人提現(xiàn)，有人收贓，在不到一年時(shí)間里竊得人民幣300余萬(wàn)元。徐偉沖提供信息，金星通過(guò)網(wǎng)上購(gòu)買(mǎi)游戲點(diǎn)卡，轉(zhuǎn)手倒賣(mài)給湖南長(zhǎng)沙的“寶寶”，即陳娜。因信息太多，忙不過(guò)來(lái)，金星又在網(wǎng)上將信息倒賣(mài)給“小胖”，“小胖”再轉(zhuǎn)賣(mài)他人提現(xiàn)。陸瑛娜則不停地在網(wǎng)上購(gòu)游戲點(diǎn)卡，她到外地制作了兩張假身份證，在數(shù)家銀行開(kāi)了賬戶(hù)，忙著到蘇州、昆山、常州等周邊地區(qū)銀行去取贓款。2008年4月11日，無(wú)錫市濱湖區(qū)法院對(duì)一起公安部掛牌督辦的重大網(wǎng)絡(luò)犯罪案件作出了一審判決，被告人金星、徐偉沖、陸瑛娜、方少宏因構(gòu)成信用卡詐騙罪和盜竊罪，分別被判處十四年至三年不等的有期徒刑。黑客：最早源自英文hacker，早期在美國(guó)的電腦界是帶有褒義的。他們都是水平高超的電腦專(zhuān)家，尤其是程序設(shè)計(jì)人員，現(xiàn)在算是一個(gè)統(tǒng)稱(chēng)。紅客：維護(hù)國(guó)家利益代表中國(guó)人民意志的紅客，他們熱愛(ài)自己的祖國(guó)，民族，和平，極力的維護(hù)國(guó)家安全與尊嚴(yán)。不做黑客，爭(zhēng)當(dāng)紅客2、計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒種類(lèi)繁多、特征各異，但一般具有自我復(fù)制能力、感染性、潛伏性、觸發(fā)性和破壞性。計(jì)算機(jī)病毒的基本特征包括:（1）可執(zhí)行性計(jì)算機(jī)病毒與其他合法程序一樣，是一段可執(zhí)行程序。計(jì)算機(jī)病毒在運(yùn)行時(shí)與合法程序爭(zhēng)奪系統(tǒng)的控制權(quán).

例如，病毒一般在運(yùn)行其宿主程序之前先運(yùn)行自己，通過(guò)這種方法搶奪系統(tǒng)的控制權(quán)。計(jì)算機(jī)病毒一經(jīng)在計(jì)算機(jī)上運(yùn)行，在同一臺(tái)計(jì)算機(jī)內(nèi)病毒程序與正常系統(tǒng)程序或某種病毒與其他病毒程序爭(zhēng)奪系統(tǒng)控制權(quán)時(shí)往往會(huì)造成系統(tǒng)崩潰，導(dǎo)致計(jì)算機(jī)癱瘓。（2）傳染性計(jì)算機(jī)病毒的傳染性是指病毒具有把自身復(fù)制到其他程序和系統(tǒng)的能力。計(jì)算機(jī)病毒一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，就會(huì)搜尋符合其傳染條件的其他程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。而被感染的目標(biāo)又成了新的傳染源，當(dāng)它被執(zhí)行以后，便又去感染另一個(gè)可以被其傳染的目標(biāo)。

計(jì)算機(jī)病毒可通過(guò)各種可能的渠道，如U盤(pán)、計(jì)算機(jī)網(wǎng)絡(luò)去傳染其他的計(jì)算機(jī)。(3)隱蔽性

計(jì)算機(jī)病毒通常附在正常程序中或磁盤(pán)較隱蔽的地方，也有個(gè)別的以隱含文件形式出現(xiàn)，目的是不讓用戶(hù)發(fā)現(xiàn)它的存在如果不經(jīng)過(guò)代碼分析，病毒程序與正常程序是不容易區(qū)別開(kāi)來(lái)的，而一日病毒發(fā)作表現(xiàn)出來(lái)，往往已經(jīng)給計(jì)算機(jī)系統(tǒng)造成了不同程度的破壞。正是由于隱蔽性，計(jì)算機(jī)病毒得以在用戶(hù)沒(méi)有察覺(jué)的情況下擴(kuò)散并游蕩于世界上百萬(wàn)臺(tái)計(jì)算機(jī)中。（4）潛伏性一個(gè)編制精巧的計(jì)算機(jī)病毒程序，進(jìn)入系統(tǒng)之后一般不會(huì)馬上發(fā)作。潛伏性越好，其在系統(tǒng)中的存在時(shí)間就會(huì)越長(zhǎng)，病毒的傳染范圍就會(huì)越大。潛伏性是指病毒程序不用專(zhuān)用檢測(cè)程序是檢查不出來(lái)的，并有一種觸發(fā)機(jī)制，不滿(mǎn)足觸發(fā)條件時(shí)，計(jì)算機(jī)病毒除了傳染外不做破壞，只有當(dāng)觸發(fā)條件滿(mǎn)足時(shí)，才會(huì)激活病毒的表現(xiàn)模塊而出現(xiàn)中毒癥狀。（5）寄生性病毒程序嵌入到宿主程序中，依賴(lài)于宿主程序的執(zhí)行而生存，這就是計(jì)算機(jī)病毒的寄生性。病毒程序在侵入到宿主程序中后，一般對(duì)宿主程序進(jìn)行一定的修改，宿主程序一旦執(zhí)行，病毒程序就被激活，從而可以進(jìn)行自我復(fù)制和繁衍。（6）破壞性（7）欺騙性某些病毒常以某種特殊的表現(xiàn)方式，引誘、欺騙用戶(hù)不自覺(jué)地觸發(fā)、激活病毒，從而實(shí)施其感染、破壞功能。某些病毒會(huì)通過(guò)引誘用戶(hù)點(diǎn)擊電子郵件中的相關(guān)網(wǎng)址、文本、圖片等而激活和傳播。計(jì)算機(jī)病毒的主要特征（）傳染性隱蔽性潛伏性破壞性ABCD提交隱蔽性E多選題10分3、病毒的分類(lèi)根據(jù)病毒傳播和感染的方式，計(jì)算機(jī)病毒主要有以下幾種類(lèi)型：（1）引導(dǎo)性病毒

引導(dǎo)性病毒是藏匿在磁盤(pán)片或硬盤(pán)的第一個(gè)扇區(qū)。因?yàn)镈OS的架構(gòu)設(shè)計(jì)，使得病毒可以在每次開(kāi)機(jī)時(shí)，在操作系統(tǒng)還沒(méi)被加載之前就被加載到內(nèi)存中，這個(gè)特性使得病毒可以針對(duì)DOS的各類(lèi)中斷得到完全的控制，并且擁有更大的能力進(jìn)行傳染與破壞。（2）文件型病毒文件型病毒通常寄生在可執(zhí)行文件(如*.COM，*.EXE等)中。當(dāng)這些文件被執(zhí)行時(shí)，病毒的程序就跟著被執(zhí)行。文件型的病毒依傳染方式的不同，又分成非常駐型以及常駐型兩種。非常駐型病毒將自己寄生在*.COM，*.EXE或是*.SYS的文件中。當(dāng)這些中毒的程序被執(zhí)行時(shí)，就會(huì)嘗試去傳染給另一個(gè)或多個(gè)文件。常駐型病毒躲在內(nèi)存中，其行為就是寄生在各類(lèi)的低階功能，由于這個(gè)原因，常駐型病毒往往對(duì)磁盤(pán)造成更大的傷害。一旦常駐型病毒進(jìn)入了內(nèi)存中，只要執(zhí)行文件，它就對(duì)其進(jìn)行感染。（3）復(fù)合型病毒(Multi-PartiteVirus):復(fù)合型病毒兼具引導(dǎo)性病毒以及文件型病毒的特性。它們可以傳染*.COM，*.EXE文件，也可以傳染磁盤(pán)的引導(dǎo)區(qū)。由于這個(gè)特性，使得這種病毒具有相當(dāng)程度的傳染力。一旦發(fā)病，其破壞的程度將會(huì)非?？捎^。（4）宏病毒(MacroVirus):宏病毒主要是利用軟件本身所提供的宏能力來(lái)設(shè)計(jì)病毒，所以凡是具有寫(xiě)宏能力的軟件都有宏病毒存在的可能，如Word、Excel、Powerpoint等等。（5）網(wǎng)絡(luò)蠕蟲(chóng)（Worm）隨著網(wǎng)絡(luò)的普及，病毒開(kāi)始利用網(wǎng)絡(luò)進(jìn)行傳播。在非DOS操作系統(tǒng)中,“網(wǎng)絡(luò)蠕蟲(chóng)”是典型的代表，它不占用除內(nèi)存以外的任何資源，不修改磁盤(pán)文件，利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址，將自身向下一地址進(jìn)行傳播，有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中存在。（6）特洛伊木馬（Trojan）木馬病毒的共有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶(hù)的系統(tǒng)并隱藏，然后向外界泄露用戶(hù)的信息，或?qū)τ脩?hù)的電腦進(jìn)行遠(yuǎn)程控制。隨著網(wǎng)絡(luò)的發(fā)展，特洛伊木馬和網(wǎng)絡(luò)蠕蟲(chóng)（Worm）之間的依附關(guān)系日益密切，有愈來(lái)愈多的病毒同時(shí)結(jié)合這兩種病毒型態(tài)，達(dá)到更大的破壞能力。二、病毒攻擊原理分析1、計(jì)算機(jī)病毒的基本組成（1）、感染模塊

這是病毒最關(guān)鍵的部分，為了自身的生存，病毒必須不斷感染一個(gè)又一個(gè)正常的程序或系統(tǒng)，借此來(lái)傳播自己。這一點(diǎn)和生物病毒有著相似之處，可以理解為病毒執(zhí)行寫(xiě)操作，把病毒代碼“寫(xiě)”到正常程序中。（2）、傳播模塊

計(jì)算機(jī)病毒是不甘心僅僅感染一個(gè)正常程序或系統(tǒng)的，病毒感染其它正常程序或系統(tǒng)的過(guò)程就是傳播。（3）、觸發(fā)模塊

只有滿(mǎn)足破壞條件后病毒才能發(fā)作，實(shí)現(xiàn)破壞，這就是觸發(fā)模塊。病毒在成功感染后，一邊很小心地隱藏自己，一邊判斷是否夠條件來(lái)發(fā)作。條件不成熟時(shí)，病毒所做的只是隱藏和進(jìn)一步感染，而不會(huì)表現(xiàn)出任何破壞，只有這樣，病毒才可能有更強(qiáng)的生命力，避免短時(shí)間內(nèi)就被用戶(hù)發(fā)現(xiàn)并消滅。（4）、破壞模塊

當(dāng)病毒判斷滿(mǎn)足條件可以發(fā)作時(shí)，就表現(xiàn)出破壞，破壞的表現(xiàn)形式很多，這一個(gè)模塊是給計(jì)算機(jī)病毒定性的根本依據(jù)。病毒作者在編寫(xiě)病毒時(shí)，已經(jīng)告訴了病毒在什么條件下進(jìn)行什么破壞，并允許其他人對(duì)這些信息進(jìn)行修改，這就是很多病毒出現(xiàn)變種的原因。所謂引導(dǎo)區(qū)病毒是指一類(lèi)專(zhuān)門(mén)感染軟盤(pán)引導(dǎo)扇區(qū)和硬盤(pán)主引導(dǎo)扇區(qū)的計(jì)算機(jī)病毒程序。如果被感染的磁盤(pán)被作為系統(tǒng)啟動(dòng)盤(pán)使用，則在啟動(dòng)系統(tǒng)時(shí)，病毒程序即被自動(dòng)裝入內(nèi)存，從而使現(xiàn)行系統(tǒng)感染上病毒。在系統(tǒng)帶毒的情況下，如果進(jìn)行了磁盤(pán)I／O操作，則病毒程序就會(huì)主動(dòng)地進(jìn)行傳染，從而使其它的磁盤(pán)感染上病毒。2、引導(dǎo)性病毒原理引導(dǎo)區(qū)病毒實(shí)際上就是先保存軟盤(pán)的引導(dǎo)記錄或者硬盤(pán)的主引導(dǎo)記錄，然后用病毒程序替換原來(lái)的引導(dǎo)記錄，這樣，當(dāng)系統(tǒng)引導(dǎo)時(shí)，便先執(zhí)行病毒程序，然后將控制權(quán)轉(zhuǎn)交給正常的引導(dǎo)程序。三、木馬的發(fā)展與分類(lèi)1.特洛伊木馬名字的由來(lái)希臘人攻打特洛伊城九年始終未獲成功，后來(lái)建造了一個(gè)大木馬，并假裝撤退，希臘將士卻暗藏馬腹中。特洛伊人以為希臘人已走，就把木馬當(dāng)作是獻(xiàn)給雅典娜的禮物搬入城中。晚上，木馬中隱藏的希臘將士出來(lái)打開(kāi)城門(mén)，里應(yīng)外合毀滅了特洛伊城。后來(lái)把進(jìn)入敵人內(nèi)部攻破防線的手段叫木馬計(jì)木馬計(jì)中使用的里應(yīng)外合的工具叫做特洛伊木馬(Trojanhorse)2.木馬技術(shù)的定義特洛伊木馬被喻為“不懷好意的禮物”。在計(jì)算機(jī)領(lǐng)域所講的木馬，在早期的傳播中也是偽裝成免費(fèi)贈(zèng)送的禮物，如好看的屏保、好玩的游戲、有趣的視頻等好東西，通過(guò)郵件散發(fā)或提供網(wǎng)絡(luò)下載。當(dāng)用戶(hù)下載運(yùn)行這些木馬程序后，木馬就進(jìn)入了受害者的電腦，默默進(jìn)行間諜工作，直到用戶(hù)發(fā)現(xiàn)某些文件或賬號(hào)丟失才會(huì)意識(shí)到它的存在，與特洛伊戰(zhàn)爭(zhēng)的木馬使用了相同的戰(zhàn)術(shù)，這也是木馬程序被稱(chēng)為特洛伊木馬的原因。木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序三部分組成。

木馬程序又稱(chēng)為服務(wù)端是黑客植入到目標(biāo)機(jī)器的獨(dú)立的木馬模塊，等待接受控制程序的各種命令操作，控制程序又稱(chēng)客戶(hù)端，被使用木馬的黑客操控，享有服務(wù)端各種操作的最大權(quán)限。3.木馬技術(shù)的發(fā)展從木馬技術(shù)的發(fā)展來(lái)看，木馬基本上可分為四代。（1）第一代木馬的功能單一，實(shí)現(xiàn)了簡(jiǎn)單的密碼的竊取、發(fā)送等功能，在隱藏和通信方面均無(wú)特別之處。（2）第二代木馬在隱藏、自啟動(dòng)和操縱服務(wù)器等技術(shù)上有所進(jìn)步，典型代表是BO2000和Sub7。（3）第三代木馬在數(shù)據(jù)傳遞技術(shù)上有了根本性的進(jìn)步，出現(xiàn)了利用ICMP等特殊報(bào)文類(lèi)型傳遞數(shù)據(jù)的木馬，增加了查殺的難度。這一代木馬在進(jìn)程隱藏方面也有了較大的改進(jìn)，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程的技術(shù)，實(shí)現(xiàn)木馬程序的隱藏。（4）第四代木馬實(shí)現(xiàn)了與病毒的緊密結(jié)合。它利用操作系統(tǒng)漏洞，直接實(shí)現(xiàn)感染傳的目的，而不必像以前那樣需要欺騙用戶(hù)主動(dòng)激活。根據(jù)木馬程序?qū)τ?jì)算機(jī)采取的動(dòng)作，可以將木馬程序分為以下幾類(lèi)。（1）遠(yuǎn)程控制型。遠(yuǎn)程控制型木馬是現(xiàn)今最流行的特洛伊木馬，這種木馬有遠(yuǎn)程監(jiān)控功能，使用簡(jiǎn)單，只要被控制主機(jī)聯(lián)入網(wǎng)絡(luò)，并與控制端程序建立網(wǎng)絡(luò)連接，控制者就能訪問(wèn)被控制的計(jì)算機(jī)。（2）密碼發(fā)送型。密碼發(fā)送型木馬的目標(biāo)是找到所有的隱藏密碼，并且在受害者不知道的情況下把密碼發(fā)送到指定郵箱。大多數(shù)這類(lèi)木馬程序不會(huì)在Windows系統(tǒng)每次重啟時(shí)自動(dòng)加載，它們大多數(shù)使用25端口發(fā)送電子郵件。（3）鍵盤(pán)記錄型。鍵盤(pán)記錄型木馬只做一種事情，就是記錄受害者的按鍵情況，并且在日志文件里進(jìn)行完整的記錄。4、木馬程序的分類(lèi)（4）毀壞型。大部分木馬程序只是竊取信息，不做破壞性的活動(dòng)，但毀壞型木馬卻以毀壞并且刪除文件為目的。它們可以自動(dòng)刪除受控主機(jī)上所有的.ini或.exe文件，甚一至遠(yuǎn)程格式化受害者硬盤(pán)，破壞受控主機(jī)上的所有信息?？偠灾?，該類(lèi)木馬的目標(biāo)只有一個(gè)，就是盡可能地毀壞受感染系統(tǒng)，致使其癱瘓。（5）FTP型。FTP型木馬打開(kāi)被控主機(jī)系統(tǒng)的21號(hào)端口(FTP服務(wù)默認(rèn)端口)，從而可以用FTP客戶(hù)端程序在不需要密碼的情況下直接訪問(wèn)受控制的主機(jī)系統(tǒng)，并且可以最高權(quán)限進(jìn)行文件上傳和下載，竊取受害系統(tǒng)中的機(jī)密文件。根據(jù)木馬程序?qū)τ?jì)算機(jī)采取的動(dòng)作，可以將木馬程序分為()毀壞型FTP型密碼發(fā)送型鍵盤(pán)記錄型ABCD提交遠(yuǎn)程控制型E多選題10分5、木馬程序的功能木馬的功能可以概括為以下五個(gè)方面。（1）遠(yuǎn)程文件管理功能:對(duì)被控主機(jī)的系統(tǒng)資源進(jìn)行管理。（2）打開(kāi)未授權(quán)的服務(wù):為遠(yuǎn)程計(jì)算機(jī)安裝常用的網(wǎng)絡(luò)服務(wù)，讓它為非法用戶(hù)服務(wù)。（3）遠(yuǎn)程屏幕監(jiān)視功能:實(shí)時(shí)截取屏幕圖像，將截取到的圖像另存為圖像文件，并實(shí)時(shí)監(jiān)視遠(yuǎn)程用戶(hù)正在進(jìn)行的操作。（4）控制遠(yuǎn)程計(jì)算機(jī):通過(guò)命令或通過(guò)遠(yuǎn)程監(jiān)視窗口直接控制遠(yuǎn)程計(jì)算機(jī)。（5）竊取數(shù)據(jù):以竊取數(shù)據(jù)為目的，本身不破壞計(jì)算機(jī)的文件和數(shù)據(jù)，不妨礙系統(tǒng)的正常工作。典型木馬的工作原理是:當(dāng)服務(wù)器端在目標(biāo)計(jì)算機(jī)上執(zhí)行后，木馬打開(kāi)一個(gè)默認(rèn)的端口進(jìn)行監(jiān)聽(tīng)。當(dāng)客戶(hù)端(控制端)向服務(wù)器端(被控主機(jī)部分)提出連接請(qǐng)求時(shí)，被控主機(jī)上的木馬程序就會(huì)自動(dòng)應(yīng)答客戶(hù)端的請(qǐng)求。服務(wù)器端程序與客戶(hù)端建立連接后，客戶(hù)端(控制端)就可以發(fā)送各類(lèi)控