计算机病毒与木马精选文档.ppt

《计算机病毒与木马精选文档.ppt》由会员分享，可在线阅读，更多相关《计算机病毒与木马精选文档.ppt（64页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机病毒与木马本讲稿第一页，共六十四页4.1 计算机病毒概述计算机病毒的概念起源非常早，在第一部商用计算机出现之前好几年，计算机的先驱者冯诺依曼（John Von Neumann）在他的一篇论文复杂自动装置的理论及组织的进行里，已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的计算机专家都无法想象会有这种能自我繁殖的程序。本讲稿第二页，共六十四页4.1 计算机病毒概述1975年，美国科普作家约翰布鲁勒尔（John BrLiiler）写了一本名为震荡波骑士的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。1977年夏天，托马斯捷瑞安的科幻小说P

2、-1的春天成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了7000台计算机，造成了一场灾难。这是世界上第一个幻想出来的计算机病毒,仅仅在10年之后，这种幻想的计算机病毒在世界各地大规模泛滥。本讲稿第三页，共六十四页4.1 计算机病毒概述不过，这种具备感染性与破坏性的程序被真正称为“病毒”，则是在两年后的一本科学美国人的月刊中。一位叫作杜特尼的专栏作家在讨论“磁芯大战”与苹果二型计算机（当时流行的正是苹果二型计算机，那时，PC还未诞生）时，开始把这种程序称为病毒。与P-1的春天成为畅销书差不多同一时间，美国著名的AT&T贝尔实验室中，3个年轻人在工作之余，很

3、无聊地玩起一种游戏：彼此撰写出能够吃掉别人程序的程序来互相作战，这个叫做“磁芯大战”的游戏，进一步将计算机病毒“感染性”的概念体现出来。本讲稿第四页，共六十四页1983年11月3日，一位南加州大学的学生弗雷德科恩在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的震撼。科恩的程序，让计算机病毒具备破坏性的概念具体成形。到了1987年，第一个计算机病毒C-BRAIN终于诞生了。一般而言，业界都公认这是真正具备完整特征的计算机病毒始祖。本讲稿第五页，共六十四页4.1 计算机病毒概述这个病毒在当时并没有

4、太大的杀伤力，但后来一些有心人士以C-BRAIN为蓝图，制作出一些变形的病毒。计算机病毒的产生是一个历史问题，是计算机科学技术高度发展与计算机文明迟迟得不到完善这样一种不平衡发展的结果，它充分暴露了计算机信息系统本身的脆弱性和安全管理方面存在的问题。如何防范计算机病毒的侵袭已成为国际上亟待解决的重大课题。本讲稿第六页，共六十四页4.1 计算机病毒概述4.1.2 计算机病毒的定义从广义上讲，凡是人为编制的、干扰计算机正常运行并造成计算机软硬件故障，甚至破坏计算机数据的、可自我复制的计算机程序或指令集合都是计算机病毒。在中华人民共和国计算机信息系统安全保护条例中明确定义，病毒指“编制或者在计算机程

5、序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。本讲稿第七页，共六十四页4.1 计算机病毒概述计算机病毒具有非法性、隐蔽性、潜伏性、触发性、表现性、破坏性、传染性、针对性、变异性和不可预见性。单独根据某一个特性是不能判断某个程序是否是病毒的，必须对病毒的特性有一个全面的了解，下面对病毒的主要特性进行简单的介绍。本讲稿第八页，共六十四页4.1 计算机病毒概述1非法性病毒的非法性是指病毒所做的操作都是在未获得计算机用户的允许下“悄悄地”进行的，它们绝大多数的操作是违背用户意愿和利益的。在正常情况下，计算机用户调用执行一个合法的程序时，把系统的控制

6、权交给这个程序，并给其分配相应的系统资源。本讲稿第九页，共六十四页4.1 计算机病毒概述2.隐藏性隐藏性是病毒的一个最基本的特性。因为病毒都是“非法”的程序，不可能在用户的监视和意愿下光明正大地存在和运行。因此，病毒必须具备隐藏性，才能够达到传播和破坏的目的。本讲稿第十页，共六十四页4.1 计算机病毒概述3.潜伏性病毒感染了其他的合法程序、文件或系统后，不会立即发作，而是隐藏起来。当病毒的发作条件满足的时候，才进行破坏操作。4可触发性计算机病毒一般都有各自的触发条件。当这些触发条件满足的时候，病毒开始进行传播或者破坏。触发的实质是病毒的设计者设计的一种条件的控制，按照设计者的设计要求，病毒在条

7、件满足的情况下进行攻击。本讲稿第十一页，共六十四页4.1 计算机病毒概述5.破坏性破坏性是计算机病毒的另一主要特性。计算机病毒造成的最显著后果就是破坏计算机系统的正常运行使之无法正常工作。病毒的破坏方式是多种多样的。本讲稿第十二页，共六十四页4.1 计算机病毒概述6.传染性传染性是计算机病毒的一个重要特征，是判断一段程序代码是否是计算机病毒的一个重要依据。病毒的传染可以通过各种渠道，比如可以通过软盘、光盘、电子邮件、计算机网络等迅速地传染给其他计算机。随着人们在工作和生活上对网络越来越依赖，E-mail的广泛使用甚至代替了大量的传统通信方式，计算机病毒的传播能力以惊人的速度发展。本讲稿第十三页

8、，共六十四页4.1 计算机病毒概述除了上述的几种特性，病毒还具有表现性、针对性、变异性等其他特性。要想对病毒进行全面的了解，首先就要对这些特性进行认识和分析，从总体上掌握病毒的特点。本讲稿第十四页，共六十四页4.1 计算机病毒概述4.1.3 计算机病毒的分类从计算机病毒问世以来，病毒的发展非常迅速。由于病毒的多样化发展，无法使用单一的分类方法进行区别，因此下面从不同的角度对病毒进行划分。本讲稿第十五页，共六十四页（1）按照计算机病毒攻击的系统分类）按照计算机病毒攻击的系统分类攻击DOS系统的病毒这类病毒出现最早、数量最多，变种也最多。攻击Windows系统的病毒由于Windows系统是多用户、

9、多任务的图形界面操作系统，深受用户的欢迎，Windows系统正逐渐成为病毒攻击的主要对象。攻击UNIX系统的病毒当前，UNIX系统应用非常广泛，并且许多大型的网络设备均采用 UNIX作为其主要的操作系统，所以UNIX病毒的出现，对人类的信息安全是一个严重的威胁。本讲稿第十六页，共六十四页（2）按照计算机病毒的链接方式分类）按照计算机病毒的链接方式分类 计算机病毒所攻击的对象是计算机系统可执行的部分，因此按照计算机病毒的链接方式可以将病毒分成以下几类。源码型病毒该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到源程序中，经编译成为合法程序的一部分。嵌入型病毒这种病毒是将自身嵌

10、入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。本讲稿第十七页，共六十四页（2）按照计算机病毒的链接方式分类）按照计算机病毒的链接方式分类外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。操作系统型病毒这种病毒用它自己的程序意图加入或取代部分操作系统的程序模块进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。本讲稿第十八页，共六十四页（3）按照计算机病毒的破坏情况分类良性计算机病毒指其不包含有立即对计算机系统产生直接破坏作用的代码。这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不

11、破坏计算机内的数据。恶性计算机病毒指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。这些操作代码都是刻意编写进病毒的，这是其本性之一。本讲稿第十九页，共六十四页（4）根据计算机病毒传染方式进行分类磁盘引导区传染的计算机病毒磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。由于引导区是磁盘能正常使用的先决条件，因此，这种病毒在运行的一开始（如系统启动）就能获得控制权，其传染性较大。本讲稿第二十页，共六十四页（4）根据计算机病毒传染方式进行分类操作系统传染的计算机病毒操作系统是使一个计算机系统得以运行

12、的支持环境，它包括COM、EXE等许多可执行程序及程序模块。操作系统传染的计算机病毒就是利用操作系统中所提供的一些程序及程序模块寄生并传染的。本讲稿第二十一页，共六十四页（4）根据计算机病毒传染方式进行分类可执行程序传染的计算机病毒。可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒就会被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染。对于以上后3种病毒的分类，实际上可以归纳为两大类：一类是引导扇区型传染的计算机病毒；另一类是可执行文件型传染的计算机病毒。本讲稿第二十二页，共六十四页（5）按照计算机病毒激活的时间分类定时型病毒定时病毒是在某一特定时间发作的

13、病毒，它是以时间为发作的触发条件。随机型病毒与定时型病毒不同的是随机型病毒，此类病毒不是通过时钟进行触发的。本讲稿第二十三页，共六十四页（6）按照传播媒介分类单机病毒单机病毒的载体是磁盘，常见的是病毒从软盘传入硬盘，感染系统，然后再传染给其他软盘，软盘又传染给其他系统。网络病毒网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。本讲稿第二十四页，共六十四页4.1 计算机病毒概述计算机病毒按其寄生方式大致可分为两类，一是引导型病毒，二是文件型病毒；它们再按其传染途径又可分为驻留内存型和不驻留内存型，驻留内存型按其驻留内存方式又可细分。混合型病毒集引导型和文件型病

14、毒特性于一体。以上所描述的是比较常见的几种计算机病毒的分类方式。另外，还应该了解更多的病毒分类方法，以便更好地认识各种计算机病毒。也需要花大力气了解一些非常有代表性的病毒。本讲稿第二十五页，共六十四页4.1.4 计算机病毒的结构计算机病毒的结构计算机病毒与其他客观存在的事物一样，都有一定的结构。如果没有这些结构的支撑，它就无法体现计算机病毒的诸多特性，无法实现病毒的各种功能。因此，了解计算机病毒的结构，主要是了解计算机病毒的程序结构和计算机病毒的存储结构。本讲稿第二十六页，共六十四页1 1计算机病毒的程序结构计算机病毒的程序结构各种计算机病毒程序大小不同、长短各异，但是它们一般都包含3个部分：

15、引导模块、传染模块、表现或破坏模块，如下图所示。计算机 病毒 引导模块 传染模块 表现、破坏模块 本讲稿第二十七页，共六十四页2计算机病毒的存储结构计算机病毒的存储结构 从磁盘存储结构和内存驻留结构两方面介绍计算机病毒的存储结构。（1）病毒的磁盘存储结构 要了解病毒的磁盘存储结构，首先必须了解磁盘的空间划分。根据病毒磁盘的存储结构不同，病毒主要分成系统型病毒和文件型病毒。本讲稿第二十八页，共六十四页2计算机病毒的存储结构计算机病毒的存储结构 系统型病毒是指专门传染操作系统的启动扇区，主要是硬盘主引导区和DOS引导扇区的病毒。一般分作两部分，第一部分存放在磁盘引导扇区中，第二部分则存放在磁盘的其

16、他扇区。文件型病毒主要是指感染系统中的可执行文件或者依赖于可执行文件发作的病毒。一般附着在被感染的文件的首部、尾部，或者中间的空闲部分。本讲稿第二十九页，共六十四页2计算机病毒的存储结构计算机病毒的存储结构（2）病毒的内存驻留结构 病毒一般都驻留在常规内存中，相对来讲，检测这些计算机病毒比较方便。文件病毒的内存驻留结构又可以分为高端驻留型、常规驻留型、内存控制链驻留型和设备程序补丁驻留型等。系统型病毒是在系统启动时被装入的。此时，系统中断“INT 21H”还没有设定，病毒程序要使自身驻留内存，不能采用系统功能调用的方法。本讲稿第三十页，共六十四页2计算机病毒的存储结构计算机病毒的存储结构文件型

17、病毒是在其宿主程序的运行时被装入的，这时，系统的中断功能调用已经设定。因此，病毒一般将自身指令与宿主程序相分离，并将病毒程序移动到内存高端或者是当前用户内存区的最低端地址处，然后调用系统功能，使病毒程序常驻内存。还有一些病毒是不用驻留内存的,每执行一次，就主动在当前路径中查找满足要求的可执行文件进行传染，它不修改中断向量，也不需要改动系统的任何状态，因而用户很难区分当前运行的程序是一个病毒还是一个正常运行的程序。本讲稿第三十一页，共六十四页4.2 计算机病毒的危害4.2.1 计算机病毒的表现 只有根据计算机病毒的发作现象，才可能及时发现并清除病毒。这些常见的发作现象包括以下几个方面。计算机运行

18、速度的变化主要现象包括：计算机的反应速度比平时迟钝很多；应用程序的载入比平时要多花费很长的时间；开机时间过长。计算机磁盘的变化主要现象包括：对一个简单的磁盘存储操作比预期时间长很多；当没有存取数据时，硬盘指示灯无缘无故地亮了；磁盘的可用空间大量地减少；磁盘的扇区坏道增加；磁盘或者磁盘驱动器不能访问。本讲稿第三十二页，共六十四页4.2 计算机病毒的危害计算机内存的变化主要现象包括：系统内存的容量突然间大量地减少；内存中出现了不明的常驻程序。计算机文件系统的变化主要现象包括：可执行程序的大小被改变了；重要的文件奇怪地消失；文件被加入了一些奇怪的内容；文件的名称、日期、扩展名等属性被更改；系统出现一

19、些特殊的文件；驱动程序被修改导致很多外部设备无法正常工作。异常的提示信息和现象主要现象包括：出现不寻常的错误提示信息。本讲稿第三十三页，共六十四页4.2 计算机病毒的危害 4.2.2 计算机故障与病毒特征区别 如果计算机出现了某些特别现象，可能计算机就是中了病毒，也可能是一些硬件或者软件的故障。计算机硬件的配置在选购一台兼容机时，需要考虑系统的兼容性。硬件的正常使用计算机作为一种电子设备，在使用时如果电源的电压不稳定，容易造成用户文件在读写时出现丢失或者损坏的现象，更严重时会造成系统的自启动。本讲稿第三十四页，共六十四页4.2 计算机病毒的危害CMOS的设置CMOS中存储的信息对于计算机来说是

20、十分重要的，因为在开机启动过程中，计算机是按照CMOS中的信息进行检测和初始化的。因此，CMOS的设置不正确将导致很多计算机工作不正常的现象。本讲稿第三十五页，共六十四页4.2 计算机病毒的危害 除了硬件故障，计算机的软件故障也会导致计算机无法正常使用。这里给出几种常见的导致软件故障的原因。丢失文件每次启动计算机和运行程序的时候，都会牵扯到上百个文件，其中绝大多数文件是一些虚拟驱动程序（VxD）和动态链接（DLL）。文件版本不匹配绝大多数的Windows用户都会不时地向系统中安装各种不同的软件，其中的大多数操作都需要向系统中复制新文件或者更换现存的文件。每当这个时候，就可能出现新软件不能与现存

21、软件版本兼容的问题。本讲稿第三十六页，共六十四页4.2 计算机病毒的危害资源耗尽一些Windows程序需要消耗各种不同的资源组合，程序在运行时可能导致GDI和USER资源丧失。非法操作非法操作会让很多用户觉得不知所措。如果仔细研究，就会发现每当有非法操作信息出现，相关的程序、文件都会和错误类型显示在一起。用户可以通过错误信息列出的程序和文件来研究错误起因，因为有时候错误信息并不能直接指出实际原因。本讲稿第三十七页，共六十四页4.2 计算机病毒的危害 4.2.3 常见的计算机病毒 由于计算机病毒种类多种多样，基本可分5部分：1早期的DOS病毒：DOS病毒是指针对DOS操作系统开发的病毒，它们是最

22、早出现、数量最多、变种也最多的计算机病毒。2引导型病毒：引导型病毒是指改写磁盘上的引导扇区信息的病毒。3文件型病毒：文件型病毒是指能够寄生在文件中的以文件为主要感染对象的病毒。本讲稿第三十八页，共六十四页4.2 计算机病毒的危害 4蠕虫病毒：蠕虫（Worm）病毒是一种通过网络传播的恶意病毒。它的出现相对于文件病毒、宏病毒等传统病毒较晚，但是无论是传播速度、传播范围还是破坏程度上都要比以往传统的病毒严重得多。蠕虫病毒一般由两部分组成：一个主程序和一个引导程序。主程序的功能是搜索和扫描。引导程序实际是蠕虫病毒主程序的一个副本，主程序和引导程序都具有自动重新定位的能力。本讲稿第三十九页，共六十四页4

23、.2 计算机病毒的危害 5木马病毒：木马又称作特洛伊木马，将在后面进行详细的介绍。木马运行时会寻找一些含有著名证券商名称的窗口标题，如果发现，就开始启动键盘钩子对用户的登录信息进行记录，在记录键盘信息的同时，木马病毒还会通过屏幕快照将用户登录时的画面保存为图片，存放在C盘根目录下。当满足记录次数的条件后，病毒将通过邮件将信息和图片发送出去，同时病毒将自身删除。本讲稿第四十页，共六十四页4.3 计算机病毒的检测与防范计算机病毒的检测与防范 4.3.1 文件型病毒 对文件型病毒的防范，一般采用以下一些方法。安装最新版本、有实时监控文件系统功能的防病毒软件。及时更新病毒引擎，并在有病毒突发事件时立即

24、更新。经常使用防毒软件对系统进行病毒检查。对关键文件，在无毒环境下经常备份。在不影响系统正常工作的情况下，对系统文件设置最低的访问权限。本讲稿第四十一页，共六十四页4.3 计算机病毒的检测与防范计算机病毒的检测与防范 4.3.2 引导型病毒：引导型病毒的防范措施尽量避免使用软盘等移动设备保存和传递资料，如果需要使用，则应该先对软盘中的文件进行病毒的查杀。软盘用完后应该从软驱中取出。避免在软驱中存有软盘的情况下开机或者启动操作系统。本讲稿第四十二页，共六十四页4.3 计算机病毒的检测与防范计算机病毒的检测与防范 4.3.3 宏病毒的表现尝试保存文档时，Word只允许保存为文档模板。Word文档图

25、标的外形类似于文档模板图标而不是文档图标。在工具菜单上选择“宏”并单击“宏”后，程序没有反应。宏列表中出现新宏。打开Word文档或模板时显示异常消息。如果打开一个文档后没有进行修改，立即就有存盘操作。本讲稿第四十三页，共六十四页4.3 计算机病毒的检测与防范计算机病毒的检测与防范 4.3.3 宏病毒：宏病毒的防范措施提高宏的安全级别。目前的高版本的Word软件可以设置宏的安全级别，在不影响正常使用的情况下，应该选择较高的安全级别。删除不知来路的宏定义。将Normal.dot模板进行备份，当被病毒感染后，使用备份模板进行覆盖。如果怀疑外来文件含有宏病毒，可以使用写字板打开该文件，然后将文本粘贴到

26、Word中，转换后的文档是不会含有宏的。本讲稿第四十四页，共六十四页4.3 计算机病毒的检测与防范计算机病毒的检测与防范 4.3.4 蠕虫病毒：蠕虫病毒的防范措施用户在网络中共享的文件夹一定要将权限设置为只读，而且最好对于重要的文件夹设置访问账号和密码。要定期检查自己的系统内是否具有可写权限的共享文件夹，一旦发现这种文件夹，需要及时关闭该共享权限。本讲稿第四十五页，共六十四页4.3 计算机病毒的检测与防范计算机病毒的检测与防范要定期检查计算机中的账户，看看是否存在不明账户信息。一旦发现，应该立即删除该账户，并且禁用Guest账号，防止被病毒利用。给计算机的账户设置比较复杂的密码，防止被蠕虫病毒

27、破译。购买主流的网络安全产品，并随时更新。提高防杀病毒的意识，不要轻易单击陌生的站点。不要随意查看陌生邮件，尤其是带有附件的邮件。本讲稿第四十六页，共六十四页4.4 木马攻击与分析 4.4.1 木马背景介绍木马全称“特洛伊木马”，英文名称为Trojan Horse，它来源于荷马史诗中描述的一个古希腊故事。木马是一段精心编写的计算机程序。木马设计者将这些木马程序插入到宿主中，网络用户执行这些软件时，在毫不知情的情况下，木马就进入了他们的计算机，进而盗取数据，甚至控制系统。本讲稿第四十七页，共六十四页4.4 木马攻击与分析 4.4.2 木马的概述特洛伊木马病毒是指隐藏在正常程序中的一段具有特殊功能

28、的恶意代码，它具备破坏和删除文件、发送密码、记录键盘和用户操作、破坏用户系统，甚至使系统瘫痪的功能。木马可以被分成良性木马和恶性木马两种。本讲稿第四十八页，共六十四页4.4 木马攻击与分析 1特洛伊木马与病毒的区别:特洛伊木马与前面介绍的病毒或蠕虫有一定的区别,它不能够自行传播，但是病毒或蠕虫可以用于将特洛伊木马作为负载的一部分复制到目标系统上，中断用户的工作、影响系统的正常运行、在系统中提供后门，使黑客可以窃取数据或者控制目标系统。本讲稿第四十九页，共六十四页4.4 木马攻击与分析 2特洛伊木马的种植:木马一般兼备伪装和传播这两种特征，并与TCP/IP网络技术相结合。木马病毒一般分成客户端和

29、服务端两个部分，它的客户端和服务端的概念与传统的网络环境的客户端和服务端的概念恰恰相反。要想将木马植入目标机器，首先需要进行伪装。一般木马的伪装有两种手段：其一是将自己伪装成一般的软件。第二种是把木马绑定在正常的程序上面。本讲稿第五十页，共六十四页4.4 木马攻击与分析3特洛伊木马的行为：当被种植了木马的计算机上的木马程序运行后，攻击者就可以通过自己的“客户端”对被攻击者发出请求，“服务端”收到请求后就会进行相应的动作。本讲稿第五十一页，共六十四页4.4 木马攻击与分析 4.4.3 木马的分类 1远程控制木马：远程控制木马是一种数量最多、危害最大、知名度也最高的木马，它可以让入侵者完全控制被种

30、植了木马的计算机。入侵者可以利用它完成一些甚至连计算机主人本身都不能顺利进行的操作，其危害之大实在不容小觑。本讲稿第五十二页，共六十四页4.4 木马攻击与分析2密码发送木马：密码发送型的木马正是专门为了盗取被感染计算机上的密码而编写的。木马一旦被执行，就会自动搜索内存、cache、临时文件夹以及各种敏感密码文件，一旦搜索到有用的密码，木马就会利用免费的电子邮件服务将密码发送到指定的邮箱，从而达到获取密码的目的。本讲稿第五十三页，共六十四页4.4 木马攻击与分析 3键盘记录木马：密这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。本讲稿第五十四页，

31、共六十四页4.4 木马攻击与分析4破坏性质的木马：这种木马唯一的功能就是破坏被感染计算机的文件系统，使其遭受系统崩溃或者重要数据丢失的巨大损失。本讲稿第五十五页，共六十四页4.4 木马攻击与分析5DoS攻击木马 ：随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行。当入侵了一台机器，种上DoS攻击木马，那么日后这台计算机就成为DoS攻击的最得力助手了。本讲稿第五十六页，共六十四页4.4 木马攻击与分析 6代理木马：黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的。因此，给被控制的“肉鸡”种上代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。本讲稿

32、第五十七页，共六十四页4.4 木马攻击与分析 7FTP木马：这种木马可能是最简单、最古老的木马了，它的唯一功能就是打开21号端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进入对方计算机。本讲稿第五十八页，共六十四页4.4 木马攻击与分析 4.4.4 木马的发展从木马的发展来看，大致可以将木马分成四代。第一代木马功能非常简单。第二代木马功能大大地加强，几乎能够进行所有的操作。第三代木马继续完善了连接与文件传输技术，增加了木马穿透防火墙的功能，并出现了“反弹端口”技术。第四代木马除了完善之前几代木马的所有技术外，还增加了进程隐藏技术，使得系统对于木

33、马的存在和入侵更加难以发现。本讲稿第五十九页，共六十四页4.5 木马的攻击防护技术 4.5.1 常见木马的应用 灰鸽子是国内一个著名的后门程序，灰鸽子变种木马运行后，会自我复制到Windows目录下，并自行将安装程序删除；修改注册表，将病毒文件注册为服务项实现开机自启；具有线程插入技术；自动开启IE浏览器，以便与外界进行通信，侦听黑客指令，在用户不知情的情况下连接黑客指定站点，盗取用户信息、下载其他特定程序。本讲稿第六十页，共六十四页4.5 木马的攻击防护技术 4.5.1 常见木马的应用 广外幽灵是一个短小精悍的记录工具，可以截取到Windows窗体中的星号、黑点密码，可以记录键盘、输入法输入

34、的英文以及汉字。记录的内容可以通过E-mail发送到指定的邮箱，也可以保存到指定文件中。本讲稿第六十一页，共六十四页4.5 木马的攻击防护技术 4.5.1 常见木马的应用 广外男生除了具有一般普通木马应该具有的特点以外，还具备客户端模仿Windows资源管理器，全面支持访问远程服务器端的文件系统，也同时支持通过对方的“网上邻居”访问对方内部网其他机器的共享资源。本讲稿第六十二页，共六十四页4.5 木马的攻击防护技术4.5.2 木马的加壳与脱壳 为了避免被查杀，所以对木马进行加壳。与加壳相反的过程称为“脱壳”，目的是把加壳后的程序恢复成毫无包装的可执行代码，这样未授权者便可以对程序进行修改。脱壳与加壳需要使用相同的软件进行。本讲稿第六十三页，共六十四页4.5 木马的攻击防护技术 4.5.3 安全解决方案：使用专业厂商的正版防火墙，使用正版的杀毒软件，并能够正确地对防火墙和杀毒软件进行配置。使用工具软件隐藏自身的实际地址。注意自己电子邮箱的安全：不要打开陌生人的邮件，更不要在没有防护措施的情况下打开或下载邮件中的附件。不要轻易运行别人通过聊天工具发来的东西，对于从网上下载的资料或工具应该使用杀毒软件查杀确认安全后再使用。本讲稿第六十四页，共六十四页