病毒的概述精选文档.ppt

《病毒的概述精选文档.ppt》由会员分享，可在线阅读，更多相关《病毒的概述精选文档.ppt（51页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、病毒的概述病毒的概述本讲稿第一页，共五十一页4.1 计算机病毒概述4.1.1 计算机病毒的起源计算机病毒的起源计计算算机机病病毒毒的的产产生生是是一一个个历历史史问问题题，是是计计算算机机科科学学技技术术高高度度发发展展与与计计算算机机文文明明迟迟迟迟得得不不到到完完善善这这样样一一种种不不平平衡衡发发展展的的结结果果，它它充充分分暴暴露露了了计计算算机机信信息息系系统统本本身身的的脆脆弱弱性性和和安安全全管管理理方方面面存存在在的的问问题题。如如何何防防范范计计算算机机病病毒毒的的侵侵袭袭已已成成为为国国际际上上亟亟待待解解决决的重大课题。的重大课题。本讲稿第二页，共五十一页4.1 计算机病

2、毒概述4.1.2 计算机病毒的定义计算机病毒的定义在在中华人民共和国计算机信息系统安全中华人民共和国计算机信息系统安全保护条例保护条例中明确定义，计算机病毒指中明确定义，计算机病毒指“编制或者在计算机程序中插入的破坏计算编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程且能够自我复制的一组计算机指令或者程序代码序代码”。计算机病毒具有非法性、隐藏。计算机病毒具有非法性、隐藏性、潜伏性、可触发性、破坏性、传染性性、潜伏性、可触发性、破坏性、传染性等特性。等特性。本讲稿第三页，共五十一页4.1.3 计算机

3、病毒的分类计算机病毒的分类（1）按照计算机病毒攻击的系统分类。）按照计算机病毒攻击的系统分类。攻击攻击攻击攻击DOSDOSDOSDOS系统的病毒系统的病毒系统的病毒系统的病毒这类病毒出现最早、数量最多，变这类病毒出现最早、数量最多，变种也最多。种也最多。攻击攻击攻击攻击WindowsWindowsWindowsWindows系统的病毒系统的病毒系统的病毒系统的病毒由于由于Windows系统是多用户、系统是多用户、多任务的图形界面操作系统，深受用户的欢迎，多任务的图形界面操作系统，深受用户的欢迎，Windows系系统正逐渐成为病毒攻击的主要对象。统正逐渐成为病毒攻击的主要对象。攻击攻击攻击攻击U

4、NIXUNIXUNIXUNIX系统的病毒系统的病毒系统的病毒系统的病毒当前，当前，UNIX系统应用非常广泛，系统应用非常广泛，并且许多大型的网络设备均采用并且许多大型的网络设备均采用 UNIX作为其主要的操作系统，作为其主要的操作系统，所以所以UNIX病毒的出现，对人类的信息安全是一个严重的威胁。病毒的出现，对人类的信息安全是一个严重的威胁。本讲稿第四页，共五十一页4.1.3 计算机病毒的分类计算机病毒的分类（2）按照计算机病毒的链接方式分类。）按照计算机病毒的链接方式分类。源码型病毒源码型病毒源码型病毒源码型病毒该病毒攻击高级语言编写的程序，该病毒在高级语言所编该病毒攻击高级语言编写的程序，

5、该病毒在高级语言所编写的程序编译前插入到源程序中，经编译成为合法程序的一部分。写的程序编译前插入到源程序中，经编译成为合法程序的一部分。嵌入型病毒嵌入型病毒嵌入型病毒嵌入型病毒这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。侵入程序体后也较难消除。外壳型病毒外壳型病毒外壳型病毒外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修将其自身包围在主程序的四周，对原来的程序不作修改。

6、这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知道。即可知道。操作系统型病毒操作系统型病毒操作系统型病毒操作系统型病毒这种病毒用它自己的程序意图加入或取代部分操作这种病毒用它自己的程序意图加入或取代部分操作系统的程序模块进行工作，具有很强的破坏力，可以导致整个系统的瘫系统的程序模块进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。本讲稿第五页，共五十一页4.1.3 计算机病毒的分类计算机病毒的分类（3）按照计算机病毒的破坏情

7、况分类。）按照计算机病毒的破坏情况分类。良性计算机病毒良性计算机病毒良性计算机病毒良性计算机病毒这类病毒为了表现其存在，只是这类病毒为了表现其存在，只是不停地进行扩散，从一台计算机传染到另一台，并不不停地进行扩散，从一台计算机传染到另一台，并不破坏计算机内的数据。它一般会导致整个系统运行效破坏计算机内的数据。它一般会导致整个系统运行效率降低，给正常操作带来麻烦。率降低，给正常操作带来麻烦。恶性计算机病毒恶性计算机病毒恶性计算机病毒恶性计算机病毒指在其代码中包含有损伤和破指在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生坏计算机系统的操作，在其传染或发作时会对系统产生直接

8、的破坏作用。直接的破坏作用。本讲稿第六页，共五十一页4.1.3 计算机病毒的分类计算机病毒的分类（4）根据计算机病毒传染方式进行分类）根据计算机病毒传染方式进行分类 磁盘引导区传染的计算机病毒磁盘引导区传染的计算机病毒磁盘引导区传染的计算机病毒磁盘引导区传染的计算机病毒磁盘引导区传染的病磁盘引导区传染的病毒主要是用病毒的全部或部分逻辑取代正常的引导记录，毒主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。例如，而将正常的引导记录隐藏在磁盘的其他地方。例如，“大大麻麻”和和“小球小球”病毒就是这类病毒。病毒就是这类病毒。操作系统传染的计算机病毒操作系统传染的

9、计算机病毒操作系统传染的计算机病毒操作系统传染的计算机病毒这类病毒作为操作系统的这类病毒作为操作系统的一部分，只要计算机开始工作，病毒就处在随时被触发的状一部分，只要计算机开始工作，病毒就处在随时被触发的状态。态。“黑色星期五黑色星期五”即为此类病毒。即为此类病毒。可执行程序传染的计算机病毒可执行程序传染的计算机病毒可执行程序传染的计算机病毒可执行程序传染的计算机病毒可执行程序传染的病毒通常可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒就会被激活。寄生在可执行程序中，一旦程序被执行，病毒就会被激活。本讲稿第七页，共五十一页4.1.3 计算机病毒的分类计算机病毒的分类（5）按照

10、计算机病毒激活的时间分类。）按照计算机病毒激活的时间分类。定时型病毒定时型病毒定时病毒是在某一特定定时病毒是在某一特定时间发作的病毒，它是以时间为发作的触时间发作的病毒，它是以时间为发作的触发条件，如果时间不满足，此类病毒将不发条件，如果时间不满足，此类病毒将不会进行破坏活动。会进行破坏活动。随机型病毒随机型病毒与定时型病毒不同的是随与定时型病毒不同的是随机型病毒，此类病毒不是通过时钟进行触机型病毒，此类病毒不是通过时钟进行触发的。发的。本讲稿第八页，共五十一页4.1.3 计算机病毒的分类计算机病毒的分类（6）按照传播媒介分类。）按照传播媒介分类。单机病毒单机病毒单机病毒的载体是磁盘，单机病毒

11、的载体是磁盘，常见的是病毒从软盘传入硬盘，感染系统，常见的是病毒从软盘传入硬盘，感染系统，然后再传染给其他软盘，软盘又传染给其然后再传染给其他软盘，软盘又传染给其他系统。他系统。网络病毒网络病毒网络病毒的传播媒介不再网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒是移动式载体，而是网络通道，这种病毒的传染能力更强，破坏力更大。的传染能力更强，破坏力更大。本讲稿第九页，共五十一页4.1.4 计算机病毒的结构计算机病毒的结构图图4.1 计计算机病毒的程序算机病毒的程序结结构构图图1计算机病毒的程序结构计算机病毒的程序结构引导模块的作引导模块的作用：将病毒加用：将病毒加载到内存，使载到内存

12、，使病毒程序处于病毒程序处于活动状态。活动状态。传染模块的作传染模块的作用：将病毒代用：将病毒代码复制到其它码复制到其它传染目标上去。传染目标上去。破坏模块的作破坏模块的作用：对触发条用：对触发条件进行判断，件进行判断，满足时就实行满足时就实行破坏表现功能。破坏表现功能。本讲稿第十页，共五十一页2计算机病毒的存储结构计算机病毒的存储结构（1）病毒的磁盘存储结构）病毒的磁盘存储结构 系统型病毒系统型病毒是指专门传染操作系统的启动扇区，主要是硬盘是指专门传染操作系统的启动扇区，主要是硬盘主引导区和主引导区和DOS引导扇区的病毒。引导扇区的病毒。文件型病毒文件型病毒是指感染系统中可执行文件或者依赖于

13、可执是指感染系统中可执行文件或者依赖于可执行文件发作的病毒。行文件发作的病毒。（2）病毒的内存驻留结构）病毒的内存驻留结构n n 驻留在常规内存中驻留在常规内存中n n 驻留在高端内存中驻留在高端内存中n n 不用驻留内存不用驻留内存本讲稿第十一页，共五十一页4.2 计算机病毒的危害在计算机病毒出现的初期，说到计算机病毒的危害，往往注重于病毒对信息系统的直接破在计算机病毒出现的初期，说到计算机病毒的危害，往往注重于病毒对信息系统的直接破坏作用，比如格式化硬盘、删除文件数据等，并以此来区分恶性病毒和良性病毒。其实这坏作用，比如格式化硬盘、删除文件数据等，并以此来区分恶性病毒和良性病毒。其实这些只

14、是病毒劣迹的一部分，随着计算机应用的发展，人们深刻地认识到凡是病毒都可能对些只是病毒劣迹的一部分，随着计算机应用的发展，人们深刻地认识到凡是病毒都可能对计算机信息系统造成严重的破坏。计算机信息系统造成严重的破坏。计算机病毒的主要危害有：计算机病毒的主要危害有：计算机病毒的主要危害有：计算机病毒的主要危害有：1病毒激发对计算机数据信息的直接破坏作用病毒激发对计算机数据信息的直接破坏作用 2占用磁盘空间和对信息的破坏占用磁盘空间和对信息的破坏 3抢占系统资源抢占系统资源 4影响计算机运行速度影响计算机运行速度 5计算机病毒错误与不可预见的危害计算机病毒错误与不可预见的危害 6计算机病毒的兼容性对系

15、统运行的影响计算机病毒的兼容性对系统运行的影响 7计算机病毒给用户造成严重的心理压力计算机病毒给用户造成严重的心理压力 本讲稿第十二页，共五十一页4.2.1 计算机病毒的表现计算机病毒的表现 计算机运行速度的变化计算机运行速度的变化计算机运行速度的变化计算机运行速度的变化主要现象包括：计算机的反应速度比平时迟主要现象包括：计算机的反应速度比平时迟钝很多；应用程序的载入比平时要多花费很长的时间。钝很多；应用程序的载入比平时要多花费很长的时间。计算机磁盘的变化计算机磁盘的变化计算机磁盘的变化计算机磁盘的变化主要现象包括：对一个简单的磁盘存储操作比预期时间长主要现象包括：对一个简单的磁盘存储操作比预

16、期时间长很多；当没有存取数据时，硬盘指示灯无缘无故地亮了；磁盘的可用空间大量地减很多；当没有存取数据时，硬盘指示灯无缘无故地亮了；磁盘的可用空间大量地减少；磁盘或者磁盘驱动器不能访问。少；磁盘或者磁盘驱动器不能访问。计算机内存的变化计算机内存的变化计算机内存的变化计算机内存的变化主要现象包括：系统内存的容量突然间大量地减少；主要现象包括：系统内存的容量突然间大量地减少；内存中出现了不明的常驻程序。内存中出现了不明的常驻程序。计算机文件系统的变化计算机文件系统的变化计算机文件系统的变化计算机文件系统的变化主要现象包括：可执行程序的大小被改变了；主要现象包括：可执行程序的大小被改变了；重要的文件奇

17、怪地消失；文件被加入了一些奇怪的内容；文件的名称、日期、重要的文件奇怪地消失；文件被加入了一些奇怪的内容；文件的名称、日期、扩展名等属性被更改；系统出现一些特殊的文件；驱动程序被修改导致很多外扩展名等属性被更改；系统出现一些特殊的文件；驱动程序被修改导致很多外部设备无法正常工作。部设备无法正常工作。异常的提示信息和现象异常的提示信息和现象异常的提示信息和现象异常的提示信息和现象主要现象包括：出现不寻常的错误提示信息；主要现象包括：出现不寻常的错误提示信息；计算机经常死机或者重新启动；启动应用程序时出现错误提示信息对话框。计算机经常死机或者重新启动；启动应用程序时出现错误提示信息对话框。本讲稿第

18、十三页，共五十一页计算机病毒的检测与防范n n资源管理器资源管理器n文件夹选项设置n文件浏览方式n n任务管理器任务管理器n进程选项卡n性能选项卡本讲稿第十四页，共五十一页4.2.2 计算机故障与病毒特征区别计算机故障与病毒特征区别 计算机硬件的配置计算机硬件的配置 硬件的正常使用硬件的正常使用 CMOS的设置的设置 丢失文件丢失文件 文件版本不匹配文件版本不匹配 资源耗尽资源耗尽 非法操作非法操作本讲稿第十五页，共五十一页4.2.3 常见的计算机病毒常见的计算机病毒1 1早期的早期的DOSDOS病毒病毒2 2引导型病毒引导型病毒3 3文件型病毒文件型病毒4 4蠕虫病毒蠕虫病毒5 5木马病毒木

19、马病毒本讲稿第十六页，共五十一页4.3 计算机病毒的检测与防范4.3.1 文件型病毒文件型病毒对文件型病毒的防范，一般采用以下一些方法。对文件型病毒的防范，一般采用以下一些方法。安装最新版本、有实时监控文件系统功能的防病毒软件。安装最新版本、有实时监控文件系统功能的防病毒软件。及时更新病毒引擎，一般每月至少更新一次，最好每周更及时更新病毒引擎，一般每月至少更新一次，最好每周更新一次，并在有病毒突发事件时立即更新。新一次，并在有病毒突发事件时立即更新。经常使用防毒软件对系统进行病毒检查。经常使用防毒软件对系统进行病毒检查。对关键文件，如系统文件、重要数据等，在无毒环境下经常备份。对关键文件，如系

20、统文件、重要数据等，在无毒环境下经常备份。常见的杀毒软件：诺顿、江民、瑞星、金山、卡巴斯基、常见的杀毒软件：诺顿、江民、瑞星、金山、卡巴斯基、常见的杀毒软件：诺顿、江民、瑞星、金山、卡巴斯基、常见的杀毒软件：诺顿、江民、瑞星、金山、卡巴斯基、PC-CillinPC-CillinPC-CillinPC-Cillin、McAfee McAfee McAfee McAfee、VirusVirusVirusVirus驱逐舰等驱逐舰等驱逐舰等驱逐舰等本讲稿第十七页，共五十一页4.3.2 引导型病毒引导型病毒对引导型病毒的防范，一般采取如下措施。对引导型病毒的防范，一般采取如下措施。尽量避免使用软盘等移动

21、设备保存和传递资料，如尽量避免使用软盘等移动设备保存和传递资料，如果需要使用，则应该先对软盘中的文件进行病毒的查果需要使用，则应该先对软盘中的文件进行病毒的查杀。杀。软盘用完后应该从软驱中取出。软盘用完后应该从软驱中取出。避免在软驱中存有软盘的情况下开机或者启动操作系避免在软驱中存有软盘的情况下开机或者启动操作系统。统。本讲稿第十八页，共五十一页4.3.3 宏病毒宏病毒对宏病毒进行防范可以采取如下几项措施。对宏病毒进行防范可以采取如下几项措施。提高宏的安全级别。提高宏的安全级别。目前的高版本的目前的高版本的Word软件可以设置宏的安全级别，在软件可以设置宏的安全级别，在不影响正常使用的情况下，

22、应该选择较高的安全级别，如图不影响正常使用的情况下，应该选择较高的安全级别，如图4.20所示。所示。图图4.20 宏的安全性宏的安全性选项选项本讲稿第十九页，共五十一页4.3.3 宏病毒宏病毒 删除不知来路的宏定义。删除不知来路的宏定义。将将Normal.dot模板进行备份，当被病毒感染后，使模板进行备份，当被病毒感染后，使用备份模板进行覆盖。用备份模板进行覆盖。如果怀疑外来文件含有宏病毒，可以使用写字板打如果怀疑外来文件含有宏病毒，可以使用写字板打开该文件，然后将文本粘贴到开该文件，然后将文本粘贴到Word中，转换后的文档是中，转换后的文档是不会含有宏的。不会含有宏的。本讲稿第二十页，共五十

23、一页4.3.4 蠕虫病毒蠕虫病毒针对蠕虫病毒，针对蠕虫病毒，可以采用以下的可以采用以下的一些防范措施。一些防范措施。用户在网络中共用户在网络中共享的文件夹一定要享的文件夹一定要将权限设置为将权限设置为只读只读只读只读，如图如图4.22所示，而所示，而且最好对于重要且最好对于重要的文件夹设置访的文件夹设置访问账号和密码。问账号和密码。图图4.22 设设置文件置文件夹夹的的权权限限本讲稿第二十一页，共五十一页4.3.4 蠕虫病毒蠕虫病毒 要定期检查自己的系统内是否具有可写权限的共享文件夹，如图要定期检查自己的系统内是否具有可写权限的共享文件夹，如图4.23所示，一旦发现这种文件夹，需要及时关闭该共

24、享权限。所示，一旦发现这种文件夹，需要及时关闭该共享权限。图图4.23 检查检查共享文件共享文件夹夹本讲稿第二十二页，共五十一页4.3.4 蠕虫病毒蠕虫病毒 要定期检查计算机中的账户，看看是否存在不明账户信息。一旦发现，应该立即要定期检查计算机中的账户，看看是否存在不明账户信息。一旦发现，应该立即删除该账户，并且禁用删除该账户，并且禁用Guest账号，如图账号，如图4.24所示，防止被病毒利用。所示，防止被病毒利用。图图4.24 检查计检查计算机中的用算机中的用户账户户账户本讲稿第二十三页，共五十一页4.3.4 蠕虫病毒蠕虫病毒 给计算机的账户设置比较复杂的密码，防止被蠕给计算机的账户设置比较

25、复杂的密码，防止被蠕虫病毒破译。虫病毒破译。购买主流的网络安全产品，并随时更新。购买主流的网络安全产品，并随时更新。提高防杀病毒的意识，不要轻易单击陌生的站点。提高防杀病毒的意识，不要轻易单击陌生的站点。不要随意查看陌生邮件，尤其是带有附件的邮件。不要随意查看陌生邮件，尤其是带有附件的邮件。对于网络管理人员，尤其是邮件服务器的管理人对于网络管理人员，尤其是邮件服务器的管理人员，需要经常检测网络流量，一旦发现流量猛增，员，需要经常检测网络流量，一旦发现流量猛增，有可能在网络中已经存在了蠕虫病毒有可能在网络中已经存在了蠕虫病毒本讲稿第二十四页，共五十一页本讲稿第二十五页，共五十一页4.4 木马攻击

26、与分析 很多网络用户认为，只要装了杀毒软很多网络用户认为，只要装了杀毒软件，系统就安全了，这种想法是很危险的！件，系统就安全了，这种想法是很危险的！在现今的网络安全环境下，木马、病毒肆在现今的网络安全环境下，木马、病毒肆虐，黑客攻击频繁，而各种流氓软软件、虐，黑客攻击频繁，而各种流氓软软件、间谍软件也行风作浪间谍软件也行风作浪,只靠杀毒软件已不足只靠杀毒软件已不足以保证我们的系统安全。以保证我们的系统安全。本讲稿第二十六页，共五十一页4.4 木马攻击与分析4.4.1木马背景介绍木马背景介绍 特洛伊木马（以下简称木马特洛伊木马（以下简称木马)，英文叫做，英文叫做“Trojan horseTroj

27、an horse”，其名称取自希腊神话的特洛伊木马记。其名称取自希腊神话的特洛伊木马记。古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻伦，希腊人因此远征特洛伊。围攻9 9年后，到第年后，到第1010年，希腊年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木

28、马中的勇士跳出来，打开了城门，希腊将士一拥而入攻木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。下了城池。后来，人们常用后来，人们常用“特洛伊木马特洛伊木马”这一典故，用来比喻在敌方营这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。垒里埋下伏兵里应外合的活动。本讲稿第二十七页，共五十一页4.4 木马攻击与分析4.4.2 木马的概述木马的概述1特洛伊木马与病毒的区别特洛伊木马与病毒的区别一一般般地地，木木马马是是不不会会自自行行传传播播的的，这这与与病病毒毒是是不不一一样样的的；但但是是现现在在的的病病毒毒往往往往将将木木马马作作为为负负载载的的一一部部分分复复制制到到目目标标

29、上上，用用于于窃取数据或控制目标。窃取数据或控制目标。本讲稿第二十八页，共五十一页4.4 木马攻击与分析4.4.2 木马的概述木马的概述2特洛伊木马的种植特洛伊木马的种植首首先先远远程程连连接接到到目目标标，可可以以在在命命令令行行提提示示符符下下键键入：入：C:net use 125.216.124.153ipc$/user:administrator本讲稿第二十九页，共五十一页4.4 木马攻击与分析4.4.2 木马的概述木马的概述2特洛伊木马的种植特洛伊木马的种植远程连接成功后，可以使用：远程连接成功后，可以使用：Net view 125.216.124.153查看目标计算机中的共享文件目

30、录查看目标计算机中的共享文件目录这时就可以植入木马程序，可以使用这时就可以植入木马程序，可以使用copy c:winntpatch12345.exe 125.216.124.153nt40这里的这里的patch12345.exe是一个木马程序。是一个木马程序。本讲稿第三十页，共五十一页4.4 木马攻击与分析本讲稿第三十一页，共五十一页4.4 木马攻击与分析本讲稿第三十二页，共五十一页4.4 木马攻击与分析4.4.2 木马的概述木马的概述3特洛伊木马的行为特洛伊木马的行为木马运行后，会修改系统。包括：木马运行后，会修改系统。包括：n 利用利用Autoexec.bat和和Config.sys进行加

31、载进行加载n 修改修改Win.ini文件文件n 修改注册表的启动信息修改注册表的启动信息本讲稿第三十三页，共五十一页4.4 木马攻击与分析4.4.2 木马的概述木马的概述2特洛伊木马的种植特洛伊木马的种植n 伪装成一般的小软件伪装成一般的小软件n 把木马绑定在正常的程序上把木马绑定在正常的程序上本讲稿第三十四页，共五十一页4.4.3 木马的分类木马的分类1远程控制木马远程控制木马2密码发送木马密码发送木马 3键盘记录木马键盘记录木马 4破坏性质的木马破坏性质的木马 5DoS攻击木马攻击木马 6代理木马代理木马 7FTP木马木马 本讲稿第三十五页，共五十一页4.4.4 木马的发展木马的发展木马的

32、发展可以分为四代：木马的发展可以分为四代：n第一代木马主要针对第一代木马主要针对UNIXUNIX系统系统 如如BOBO、NetspyNetspyn第二代木马可以进行所有入侵操作第二代木马可以进行所有入侵操作 如冰河如冰河n第三代木马具有穿透防火墙的功能第三代木马具有穿透防火墙的功能 如灰鸽子如灰鸽子n第四代木马增加了进程隐藏技术第四代木马增加了进程隐藏技术本讲稿第三十六页，共五十一页4.5 木马的攻击防护技术4.5.1 常见的木马常见的木马n 灰鸽子灰鸽子n 广外幽灵广外幽灵本讲稿第三十七页，共五十一页4.5 木马的攻击防护技术4.5.2 木马的加壳与脱壳木马的加壳与脱壳木马的加壳：目的是避免

33、被杀毒软件查杀。木马的加壳：目的是避免被杀毒软件查杀。木马的脱壳：目的是把加壳后的程序恢复成毫无包装木马的脱壳：目的是把加壳后的程序恢复成毫无包装的可执行代码。的可执行代码。本讲稿第三十八页，共五十一页4.5.3 4.5.3 安全解决方案安全解决方案为了防范木马的入侵，应该实施如下的安全措施。为了防范木马的入侵，应该实施如下的安全措施。使用专业厂商的正版木马防火墙，使用正版的杀毒软件，并能够正确地对木马防火使用专业厂商的正版木马防火墙，使用正版的杀毒软件，并能够正确地对木马防火墙和杀毒软件进行配置。墙和杀毒软件进行配置。使用工具软件隐藏自身的实际地址。使用工具软件隐藏自身的实际地址。不要隐藏文

34、件的扩展名，以便及时地发现木马文件。不要隐藏文件的扩展名，以便及时地发现木马文件。定期检查系统的服务和系统的进程，查看是否有可疑服务或者可疑进程。定期检查系统的服务和系统的进程，查看是否有可疑服务或者可疑进程。根据文件的创建日期观察系统目录下是否有近期新建的可执行文件，如根据文件的创建日期观察系统目录下是否有近期新建的可执行文件，如果有，则可能存在病毒文件。果有，则可能存在病毒文件。注意自己电子邮箱的安全：不要打开陌生人的邮件，更不要在没有防护注意自己电子邮箱的安全：不要打开陌生人的邮件，更不要在没有防护措施的情况下打开或下载邮件中的附件。措施的情况下打开或下载邮件中的附件。不要轻易运行别人通

35、过聊天工具发来的东西，对于从网上下载的资料或不要轻易运行别人通过聊天工具发来的东西，对于从网上下载的资料或工具应该使用杀毒软件查杀确认安全后再使用。工具应该使用杀毒软件查杀确认安全后再使用。本讲稿第三十九页，共五十一页木马清道夫的安装木马清道夫的安装本讲稿第四十页，共五十一页木马清道夫的安装木马清道夫的安装本讲稿第四十一页，共五十一页木马清道夫的安装木马清道夫的安装本讲稿第四十二页，共五十一页木马清道夫的安装木马清道夫的安装本讲稿第四十三页，共五十一页木马清道夫的安装木马清道夫的安装本讲稿第四十四页，共五十一页木马清道夫的设置木马清道夫的设置本讲稿第四十五页，共五十一页木马清道夫的设置木马清道夫的设置本讲稿第四十六页，共五十一页木马清道夫的设置木马清道夫的设置本讲稿第四十七页，共五十一页木马清道夫的设置木马清道夫的设置本讲稿第四十八页，共五十一页木马清道夫的设置木马清道夫的设置本讲稿第四十九页，共五十一页木马清道夫的设置木马清道夫的设置本讲稿第五十页，共五十一页本讲稿第五十一页，共五十一页