病毒防护技术（四）典型病毒及其查杀课件.ppt

《病毒防护技术（四）典型病毒及其查杀课件.ppt》由会员分享，可在线阅读，更多相关《病毒防护技术（四）典型病毒及其查杀课件.ppt（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、B.4 B.4 典型计算机病毒典型计算机病毒n n蠕虫病毒蠕虫病毒n n特洛伊木马病毒特洛伊木马病毒n n黑客病毒黑客病毒n n后门病毒后门病毒n n一、蠕虫病毒一、蠕虫病毒n n1.1.1.1.蠕虫病毒：是一种通过网络传播的恶性计算机蠕虫病毒：是一种通过网络传播的恶性计算机蠕虫病毒：是一种通过网络传播的恶性计算机蠕虫病毒：是一种通过网络传播的恶性计算机病毒，是使用危害的代码来攻击网上的受害主机，病毒，是使用危害的代码来攻击网上的受害主机，病毒，是使用危害的代码来攻击网上的受害主机，病毒，是使用危害的代码来攻击网上的受害主机，并在受害主机上自我复制，并在受害主机上自我复制，并在受害主机上自我复

2、制，并在受害主机上自我复制，再攻击其他的受害主再攻击其他的受害主再攻击其他的受害主再攻击其他的受害主机的计算机病毒。机的计算机病毒。机的计算机病毒。机的计算机病毒。n n它具有计算机病毒的一些共性，如传播性、隐蔽它具有计算机病毒的一些共性，如传播性、隐蔽它具有计算机病毒的一些共性，如传播性、隐蔽它具有计算机病毒的一些共性，如传播性、隐蔽性、破坏性等，同时具有自己的一些特征，如不性、破坏性等，同时具有自己的一些特征，如不性、破坏性等，同时具有自己的一些特征，如不性、破坏性等，同时具有自己的一些特征，如不利用文件寄生利用文件寄生利用文件寄生利用文件寄生(有的只存在于内存中有的只存在于内存中有的只存

3、在于内存中有的只存在于内存中)，对网络造，对网络造，对网络造，对网络造成拒绝服务以及和黑客技术相结合等。成拒绝服务以及和黑客技术相结合等。成拒绝服务以及和黑客技术相结合等。成拒绝服务以及和黑客技术相结合等。n n2.2.2.2.蠕虫病毒的行为特征：蠕虫病毒的行为特征：蠕虫病毒的行为特征：蠕虫病毒的行为特征：n n自我繁殖自我繁殖自我繁殖自我繁殖;n n利用软件漏洞；利用软件漏洞；利用软件漏洞；利用软件漏洞；n n造成网络拥塞；造成网络拥塞；造成网络拥塞；造成网络拥塞；n n消耗系统资源；消耗系统资源；消耗系统资源；消耗系统资源；n n留下安全隐患。留下安全隐患。留下安全隐患。留下安全隐患。n

4、n3.3.3.3.蠕虫的工作方式蠕虫的工作方式蠕虫的工作方式蠕虫的工作方式:n n随机产生一个随机产生一个随机产生一个随机产生一个IPIPIPIP地址地址地址地址;n n判断对应此判断对应此判断对应此判断对应此IPIPIPIP地址的机器是否可被感染地址的机器是否可被感染地址的机器是否可被感染地址的机器是否可被感染;n n如果可被感染，则感染之如果可被感染，则感染之如果可被感染，则感染之如果可被感染，则感染之;n n重复重复重复重复-共共共共n n n n次，次，次，次，n n n n为蠕虫产生的繁殖副本数为蠕虫产生的繁殖副本数为蠕虫产生的繁殖副本数为蠕虫产生的繁殖副本数量。量。量。量。n n4

5、.4.4.4.蠕虫病毒的种类：蠕虫病毒的种类：蠕虫病毒的种类：蠕虫病毒的种类：n n根据使用者情况可将蠕虫病毒分为两类：根据使用者情况可将蠕虫病毒分为两类：根据使用者情况可将蠕虫病毒分为两类：根据使用者情况可将蠕虫病毒分为两类：n n一类是面向企业用户和局域网，这种计算机病毒利用系统漏一类是面向企业用户和局域网，这种计算机病毒利用系统漏一类是面向企业用户和局域网，这种计算机病毒利用系统漏一类是面向企业用户和局域网，这种计算机病毒利用系统漏洞，主动进行攻击，可以对整个洞，主动进行攻击，可以对整个洞，主动进行攻击，可以对整个洞，主动进行攻击，可以对整个InternInternInternInter

6、n创造成瘫痪性的后果，创造成瘫痪性的后果，创造成瘫痪性的后果，创造成瘫痪性的后果，以以以以“红色代红色代红色代红色代 码码码码”、“尼姆达尼姆达尼姆达尼姆达”以及以及以及以及“Sql“Sql“Sql“Sql蠕虫王蠕虫王蠕虫王蠕虫王”为代表。为代表。为代表。为代表。n n另外一类是针对个人用户的，通过网络另外一类是针对个人用户的，通过网络另外一类是针对个人用户的，通过网络另外一类是针对个人用户的，通过网络(主要是电子邮件、恶主要是电子邮件、恶主要是电子邮件、恶主要是电子邮件、恶意网页形式迅速传播的蠕虫病毒，以意网页形式迅速传播的蠕虫病毒，以意网页形式迅速传播的蠕虫病毒，以意网页形式迅速传播的蠕虫

7、病毒，以“爱虫病毒爱虫病毒爱虫病毒爱虫病毒”“”“”“”“求求求求职信病毒职信病毒职信病毒职信病毒”为代表。为代表。为代表。为代表。n n在这两类中，第一类具有很大的主动攻击性，而且爆发也有在这两类中，第一类具有很大的主动攻击性，而且爆发也有在这两类中，第一类具有很大的主动攻击性，而且爆发也有在这两类中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种计算机病毒并不是很一定的突然性，但相对来说，查杀这种计算机病毒并不是很一定的突然性，但相对来说，查杀这种计算机病毒并不是很一定的突然性，但相对来说，查杀这种计算机病毒并不是很难。第二类计算机病毒的传播方式比较复杂和多样，

8、少数利难。第二类计算机病毒的传播方式比较复杂和多样，少数利难。第二类计算机病毒的传播方式比较复杂和多样，少数利难。第二类计算机病毒的传播方式比较复杂和多样，少数利用了微软应用程序的漏洞，更多的是利用社会工程学对用户用了微软应用程序的漏洞，更多的是利用社会工程学对用户用了微软应用程序的漏洞，更多的是利用社会工程学对用户用了微软应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的计算机病毒造成的损失是非常大的，进行欺骗和诱使，这样的计算机病毒造成的损失是非常大的，进行欺骗和诱使，这样的计算机病毒造成的损失是非常大的，进行欺骗和诱使，这样的计算机病毒造成的损失是非常大的，同时也是很难根

9、除的，例如同时也是很难根除的，例如同时也是很难根除的，例如同时也是很难根除的，例如 求职信病毒求职信病毒求职信病毒求职信病毒 ，n n5.5.5.5.预防：预防：预防：预防：n n1).1).1).1).企业防范蠕虫病毒措施企业防范蠕虫病毒措施企业防范蠕虫病毒措施企业防范蠕虫病毒措施 n n(1)(1)(1)(1)加强网络管理员安全管理水平，提高安全意识。由于加强网络管理员安全管理水平，提高安全意识。由于加强网络管理员安全管理水平，提高安全意识。由于加强网络管理员安全管理水平，提高安全意识。由于蠕虫病毒利用的是系统漏洞进行攻击，所以需要在第一时蠕虫病毒利用的是系统漏洞进行攻击，所以需要在第一时

10、蠕虫病毒利用的是系统漏洞进行攻击，所以需要在第一时蠕虫病毒利用的是系统漏洞进行攻击，所以需要在第一时间内保持系统和应用软件的安全性，保持各种操作系统和间内保持系统和应用软件的安全性，保持各种操作系统和间内保持系统和应用软件的安全性，保持各种操作系统和间内保持系统和应用软件的安全性，保持各种操作系统和应用软应用软应用软应用软 件的更新。由于各种漏洞的出现，使得安全不再件的更新。由于各种漏洞的出现，使得安全不再件的更新。由于各种漏洞的出现，使得安全不再件的更新。由于各种漏洞的出现，使得安全不再是一种一劳永逸的事，而对于企业用户而言，是一种一劳永逸的事，而对于企业用户而言，是一种一劳永逸的事，而对于

11、企业用户而言，是一种一劳永逸的事，而对于企业用户而言，所面临攻所面临攻所面临攻所面临攻击的危险也是越来越大，要求企业的管理水平和安全意识击的危险也是越来越大，要求企业的管理水平和安全意识击的危险也是越来越大，要求企业的管理水平和安全意识击的危险也是越来越大，要求企业的管理水平和安全意识也越来越高。也越来越高。也越来越高。也越来越高。n n(2)(2)(2)(2)建立计算机病毒检测系统，以便能够在第一时间内检建立计算机病毒检测系统，以便能够在第一时间内检建立计算机病毒检测系统，以便能够在第一时间内检建立计算机病毒检测系统，以便能够在第一时间内检测到网络异常和计算机病毒攻击现象。测到网络异常和计算

12、机病毒攻击现象。测到网络异常和计算机病毒攻击现象。测到网络异常和计算机病毒攻击现象。n n(3)(3)(3)(3)建立应急响应系统，将风险减少到最小。由于建立应急响应系统，将风险减少到最小。由于建立应急响应系统，将风险减少到最小。由于建立应急响应系统，将风险减少到最小。由于蠕虫病毒爆发的突然性，可能在计算机病毒发现的蠕虫病毒爆发的突然性，可能在计算机病毒发现的蠕虫病毒爆发的突然性，可能在计算机病毒发现的蠕虫病毒爆发的突然性，可能在计算机病毒发现的时候已经蔓延到了整个网络，所以在突发情况下，时候已经蔓延到了整个网络，所以在突发情况下，时候已经蔓延到了整个网络，所以在突发情况下，时候已经蔓延到了整

13、个网络，所以在突发情况下，建立一个紧急响应系统是很有必要的，以便在计算建立一个紧急响应系统是很有必要的，以便在计算建立一个紧急响应系统是很有必要的，以便在计算建立一个紧急响应系统是很有必要的，以便在计算机病毒爆发的第一时间即能提供解决方案。机病毒爆发的第一时间即能提供解决方案。机病毒爆发的第一时间即能提供解决方案。机病毒爆发的第一时间即能提供解决方案。n n(4)(4)(4)(4)建立灾难备份系统。对于数据库和数据系统，建立灾难备份系统。对于数据库和数据系统，建立灾难备份系统。对于数据库和数据系统，建立灾难备份系统。对于数据库和数据系统，必须采用定期备份、多机备份措施，必须采用定期备份、多机备

14、份措施，必须采用定期备份、多机备份措施，必须采用定期备份、多机备份措施，防止意外灾防止意外灾防止意外灾防止意外灾难下的数据丢失。难下的数据丢失。难下的数据丢失。难下的数据丢失。n n(5)(5)(5)(5)对于局域网而言，可以采用以下一些主要手段对于局域网而言，可以采用以下一些主要手段对于局域网而言，可以采用以下一些主要手段对于局域网而言，可以采用以下一些主要手段:第一，在第一，在第一，在第一，在InternetInternetInternetInternet接入口处安装防接入口处安装防接入口处安装防接入口处安装防火墙式防杀计火墙式防杀计火墙式防杀计火墙式防杀计算机病毒产品，将计算机病毒隔离在

15、局域网之外；算机病毒产品，将计算机病毒隔离在局域网之外；算机病毒产品，将计算机病毒隔离在局域网之外；算机病毒产品，将计算机病毒隔离在局域网之外；第二，对邮件服务器进行监控，防止带毒邮件进第二，对邮件服务器进行监控，防止带毒邮件进第二，对邮件服务器进行监控，防止带毒邮件进第二，对邮件服务器进行监控，防止带毒邮件进行传播行传播行传播行传播:第三，对局域网用户进行安全培训；第四，第三，对局域网用户进行安全培训；第四，第三，对局域网用户进行安全培训；第四，第三，对局域网用户进行安全培训；第四，建立局域网内部的升级系统，包括各种操作系统建立局域网内部的升级系统，包括各种操作系统建立局域网内部的升级系统，

16、包括各种操作系统建立局域网内部的升级系统，包括各种操作系统的补丁升级、各种常用的应用软件升级、各种杀的补丁升级、各种常用的应用软件升级、各种杀的补丁升级、各种常用的应用软件升级、各种杀的补丁升级、各种常用的应用软件升级、各种杀毒软件计算机病毒库的升级等。毒软件计算机病毒库的升级等。毒软件计算机病毒库的升级等。毒软件计算机病毒库的升级等。n n2 2 2 2）个人用户对蠕虫病毒的防范措施）个人用户对蠕虫病毒的防范措施）个人用户对蠕虫病毒的防范措施）个人用户对蠕虫病毒的防范措施 n n(1)(1)(1)(1)选购合适的杀毒软件。选购合适的杀毒软件。选购合适的杀毒软件。选购合适的杀毒软件。Norto

17、nNortonNortonNorton、瑞星、瑞星、瑞星、瑞星、KVKVKVKV系列系列系列系列等。等。等。等。n n(2)(2)(2)(2)经常升级计算机病毒库。杀毒软件对计算机病经常升级计算机病毒库。杀毒软件对计算机病经常升级计算机病毒库。杀毒软件对计算机病经常升级计算机病毒库。杀毒软件对计算机病毒的查杀是以计算机病毒的特征码为依据的，而毒的查杀是以计算机病毒的特征码为依据的，而毒的查杀是以计算机病毒的特征码为依据的，而毒的查杀是以计算机病毒的特征码为依据的，而计算机病毒每天都层出不穷，尤其是在网络时代，计算机病毒每天都层出不穷，尤其是在网络时代，计算机病毒每天都层出不穷，尤其是在网络时代

18、，计算机病毒每天都层出不穷，尤其是在网络时代，蠕虫病毒的传播速度快、变种多，所以必须随时蠕虫病毒的传播速度快、变种多，所以必须随时蠕虫病毒的传播速度快、变种多，所以必须随时蠕虫病毒的传播速度快、变种多，所以必须随时更新计算机病毒库，以便能够查杀最新的计算机更新计算机病毒库，以便能够查杀最新的计算机更新计算机病毒库，以便能够查杀最新的计算机更新计算机病毒库，以便能够查杀最新的计算机病毒。病毒。病毒。病毒。n n(3)(3)(3)(3)提高防杀毒意识。不要轻易去点击陌生的站点，提高防杀毒意识。不要轻易去点击陌生的站点，提高防杀毒意识。不要轻易去点击陌生的站点，提高防杀毒意识。不要轻易去点击陌生的站

19、点，有可能里面就含有恶意代码。当运行有可能里面就含有恶意代码。当运行有可能里面就含有恶意代码。当运行有可能里面就含有恶意代码。当运行IEIEIEIE时，把安时，把安时，把安时，把安全级别设为全级别设为全级别设为全级别设为“中中中中”或者或者或者或者 高高高高 。n n(4)(4)(4)(4)不随意查看陌生邮件，尤其是带有附件的邮件。不随意查看陌生邮件，尤其是带有附件的邮件。不随意查看陌生邮件，尤其是带有附件的邮件。不随意查看陌生邮件，尤其是带有附件的邮件。由于有的计算机病毒邮件能够利用由于有的计算机病毒邮件能够利用由于有的计算机病毒邮件能够利用由于有的计算机病毒邮件能够利用IEIEIEIE和和

20、和和OutlookOutlookOutlookOutlook的的的的漏洞自动执行，所以计算机用户需要升级漏洞自动执行，所以计算机用户需要升级漏洞自动执行，所以计算机用户需要升级漏洞自动执行，所以计算机用户需要升级IEIEIEIE和和和和OutlookOutlookOutlookOutlook程序及常用的其他应用程序。程序及常用的其他应用程序。程序及常用的其他应用程序。程序及常用的其他应用程序。n n二、特洛伊木马病毒二、特洛伊木马病毒n n“特洛伊木马特洛伊木马特洛伊木马特洛伊木马”是指隐藏在正常程序中的一段具有特殊功能是指隐藏在正常程序中的一段具有特殊功能是指隐藏在正常程序中的一段具有特殊功

21、能是指隐藏在正常程序中的一段具有特殊功能的程序，其隐蔽性极好，不易察觉，是一种极为危险的网络的程序，其隐蔽性极好，不易察觉，是一种极为危险的网络的程序，其隐蔽性极好，不易察觉，是一种极为危险的网络的程序，其隐蔽性极好，不易察觉，是一种极为危险的网络攻击手段。攻击手段。攻击手段。攻击手段。n n1.1.1.1.木马的发展木马的发展木马的发展木马的发展 n n第一代木马第一代木马第一代木马第一代木马:伪装型病毒伪装型病毒伪装型病毒伪装型病毒 n n这种计算机病毒通过伪装成一个合法性程序诱骗用户上当。这种计算机病毒通过伪装成一个合法性程序诱骗用户上当。这种计算机病毒通过伪装成一个合法性程序诱骗用户上

22、当。这种计算机病毒通过伪装成一个合法性程序诱骗用户上当。n n世界上第一个计算机木马是出现在世界上第一个计算机木马是出现在世界上第一个计算机木马是出现在世界上第一个计算机木马是出现在1986198619861986年的计算机年的计算机年的计算机年的计算机“PC-“PC-“PC-“PC-Write”Write”Write”Write”术马。它伪装成共享软件计算机术马。它伪装成共享软件计算机术马。它伪装成共享软件计算机术马。它伪装成共享软件计算机PC-WritePC-WritePC-WritePC-Write的的的的2.722.722.722.72版本版本版本版本(事实上，编写计算机事实上，编写计

23、算机事实上，编写计算机事实上，编写计算机PC-WritePC-WritePC-WritePC-Write的的的的QuicksoftQuicksoftQuicksoftQuicksoft企公司从未发行企公司从未发行企公司从未发行企公司从未发行过过过过 2.72 2.72 2.72 2.72版本版本版本版本)，一旦用户信以为真运行该木马程序，那么结，一旦用户信以为真运行该木马程序，那么结，一旦用户信以为真运行该木马程序，那么结，一旦用户信以为真运行该木马程序，那么结果就是硬盘被格式化。果就是硬盘被格式化。果就是硬盘被格式化。果就是硬盘被格式化。n n第二代木马第二代木马第二代木马第二代木马:AID

24、S:AIDS:AIDS:AIDS型木马型木马型木马型木马 n n1989198919891989年出现了年出现了年出现了年出现了“AIDS“AIDS“AIDS“AIDS木马木马木马木马”。由于当时很少有人使用电子。由于当时很少有人使用电子。由于当时很少有人使用电子。由于当时很少有人使用电子 邮件，所以邮件，所以邮件，所以邮件，所以AIDSAIDSAIDSAIDS的作者就利用现实生活中的邮件进行散播，的作者就利用现实生活中的邮件进行散播，的作者就利用现实生活中的邮件进行散播，的作者就利用现实生活中的邮件进行散播，给其他人寄去一封封含有木马程序软盘（移动存储设备）给其他人寄去一封封含有木马程序软盘

25、（移动存储设备）给其他人寄去一封封含有木马程序软盘（移动存储设备）给其他人寄去一封封含有木马程序软盘（移动存储设备）的邮件。之所以叫这个名称就是因为软盘（移动存储设备）的邮件。之所以叫这个名称就是因为软盘（移动存储设备）的邮件。之所以叫这个名称就是因为软盘（移动存储设备）的邮件。之所以叫这个名称就是因为软盘（移动存储设备）中包含有中包含有中包含有中包含有AIDSAIDSAIDSAIDS和和和和HIVHIVHIVHIV疾病的药品、价格、预防措施等相关疾病的药品、价格、预防措施等相关疾病的药品、价格、预防措施等相关疾病的药品、价格、预防措施等相关信息。软盘（移动存储设备）中的木马程序在运行后，虽信

26、息。软盘（移动存储设备）中的木马程序在运行后，虽信息。软盘（移动存储设备）中的木马程序在运行后，虽信息。软盘（移动存储设备）中的木马程序在运行后，虽然不会破坏数据，但是它将硬盘加密锁死，然后提示受感然不会破坏数据，但是它将硬盘加密锁死，然后提示受感然不会破坏数据，但是它将硬盘加密锁死，然后提示受感然不会破坏数据，但是它将硬盘加密锁死，然后提示受感染用户花钱消灾。可以说第二代木马己具备了传播特征染用户花钱消灾。可以说第二代木马己具备了传播特征染用户花钱消灾。可以说第二代木马己具备了传播特征染用户花钱消灾。可以说第二代木马己具备了传播特征(尽管是通过传统的邮递方式尽管是通过传统的邮递方式尽管是通过

27、传统的邮递方式尽管是通过传统的邮递方式)。n n第三代木马第三代木马第三代木马第三代木马:网络传播性木马网络传播性木马网络传播性木马网络传播性木马 n n随着随着随着随着InternetInternetInternetInternet的普及，这一代木马兼备伪装和传播两种特的普及，这一代木马兼备伪装和传播两种特的普及，这一代木马兼备伪装和传播两种特的普及，这一代木马兼备伪装和传播两种特征并结合征并结合征并结合征并结合TCP/IPTCP/IPTCP/IPTCP/IP网络技术四处泛滥。同时它还有如下新的网络技术四处泛滥。同时它还有如下新的网络技术四处泛滥。同时它还有如下新的网络技术四处泛滥。同时它还

28、有如下新的特征。特征。特征。特征。n n第一，添加了第一，添加了第一，添加了第一，添加了 后门后门后门后门 功能。功能。功能。功能。n n后门：后门：后门：后门：就是一种可以为计算机系统秘密开启访问入口的程就是一种可以为计算机系统秘密开启访问入口的程就是一种可以为计算机系统秘密开启访问入口的程就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装，这些程序序。一旦被安装，这些程序序。一旦被安装，这些程序序。一旦被安装，这些程序就能够使攻击者绕过安全程序就能够使攻击者绕过安全程序就能够使攻击者绕过安全程序就能够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息，例进入系统。该

29、功能的目的就是收集系统中的重要信息，例进入系统。该功能的目的就是收集系统中的重要信息，例进入系统。该功能的目的就是收集系统中的重要信息，例如如如如:财务报告、口令及信用卡号。此外，攻击者还可以利财务报告、口令及信用卡号。此外，攻击者还可以利财务报告、口令及信用卡号。此外，攻击者还可以利财务报告、口令及信用卡号。此外，攻击者还可以利用后门控制系统，使之成为攻击其他计算机的帮凶。由于用后门控制系统，使之成为攻击其他计算机的帮凶。由于用后门控制系统，使之成为攻击其他计算机的帮凶。由于用后门控制系统，使之成为攻击其他计算机的帮凶。由于后门是隐藏在系统背后运行的，因此很难被检测到。它们后门是隐藏在系统背

30、后运行的，因此很难被检测到。它们后门是隐藏在系统背后运行的，因此很难被检测到。它们后门是隐藏在系统背后运行的，因此很难被检测到。它们不像计算机病毒和蠕虫那样通过消耗内存而引起注意。不像计算机病毒和蠕虫那样通过消耗内存而引起注意。不像计算机病毒和蠕虫那样通过消耗内存而引起注意。不像计算机病毒和蠕虫那样通过消耗内存而引起注意。n n第二，添加了击键记录功能。第二，添加了击键记录功能。第二，添加了击键记录功能。第二，添加了击键记录功能。n n该功能主要是记录用户所有的击键内容然后形成该功能主要是记录用户所有的击键内容然后形成该功能主要是记录用户所有的击键内容然后形成该功能主要是记录用户所有的击键内容

31、然后形成击键记录的日志文件发送给恶意用户。这一代木击键记录的日志文件发送给恶意用户。这一代木击键记录的日志文件发送给恶意用户。这一代木击键记录的日志文件发送给恶意用户。这一代木马比较有名的有国外的马比较有名的有国外的马比较有名的有国外的马比较有名的有国外的“BO2000“BO2000“BO2000“BO2000(BackOrifice)”(BackOrifice)”(BackOrifice)”(BackOrifice)”和国内的和国内的和国内的和国内的“冰河水马冰河水马冰河水马冰河水马”。n n第四代木马：结合窃听密码和远程控制于一体。第四代木马：结合窃听密码和远程控制于一体。第四代木马：结合

32、窃听密码和远程控制于一体。第四代木马：结合窃听密码和远程控制于一体。如如如如“黑暗天使黑暗天使黑暗天使黑暗天使”。n n2.2.2.2.感染木马病毒后的表现感染木马病毒后的表现感染木马病毒后的表现感染木马病毒后的表现n n1 1 1 1）自动打开陌生的网站；）自动打开陌生的网站；）自动打开陌生的网站；）自动打开陌生的网站；n n2 2 2 2）非正常的对话框窗口的跳出；）非正常的对话框窗口的跳出；）非正常的对话框窗口的跳出；）非正常的对话框窗口的跳出；n n3 3 3 3）WindowsWindowsWindowsWindows系统配置被莫名其妙的更改；系统配置被莫名其妙的更改；系统配置被莫名

33、其妙的更改；系统配置被莫名其妙的更改；n n4 4 4 4）硬盘灯非正常闪动、软驱或光驱自动运行、网）硬盘灯非正常闪动、软驱或光驱自动运行、网）硬盘灯非正常闪动、软驱或光驱自动运行、网）硬盘灯非正常闪动、软驱或光驱自动运行、网络连接异常、鼠标异常等络连接异常、鼠标异常等络连接异常、鼠标异常等络连接异常、鼠标异常等n n3.3.3.3.预防预防预防预防n n虽然木马程序手段越来越隐蔽，但只要加强个人安全防范虽然木马程序手段越来越隐蔽，但只要加强个人安全防范虽然木马程序手段越来越隐蔽，但只要加强个人安全防范虽然木马程序手段越来越隐蔽，但只要加强个人安全防范意识，还是可以大大降低意识，还是可以大大降

34、低意识，还是可以大大降低意识，还是可以大大降低“中招中招中招中招”的机率。对此安全专家的机率。对此安全专家的机率。对此安全专家的机率。对此安全专家表示，预防木马其实很简单：表示，预防木马其实很简单：表示，预防木马其实很简单：表示，预防木马其实很简单：n n1 1 1 1）就不要执行任何来历不明的软件或程序，不管是邮件）就不要执行任何来历不明的软件或程序，不管是邮件）就不要执行任何来历不明的软件或程序，不管是邮件）就不要执行任何来历不明的软件或程序，不管是邮件中还是从中还是从中还是从中还是从InternetInternetInternetInternet上下载到的。上下载到的。上下载到的。上下载

35、到的。n n2 2 2 2）在下载软件时，一定要从正规的网站下）在下载软件时，一定要从正规的网站下）在下载软件时，一定要从正规的网站下）在下载软件时，一定要从正规的网站下 载。载。载。载。n n3 3 3 3）针对计算机中的个人敏感数据）针对计算机中的个人敏感数据）针对计算机中的个人敏感数据）针对计算机中的个人敏感数据(口令、信用卡账号等口令、信用卡账号等口令、信用卡账号等口令、信用卡账号等)，一定要妥善保护。利用防毒软件增加个人私密数据保护，一定要妥善保护。利用防毒软件增加个人私密数据保护，一定要妥善保护。利用防毒软件增加个人私密数据保护，一定要妥善保护。利用防毒软件增加个人私密数据保护功能

36、。功能。功能。功能。n n4 4 4 4）用户觉得有可疑情况时一定要先检查，然后再）用户觉得有可疑情况时一定要先检查，然后再）用户觉得有可疑情况时一定要先检查，然后再）用户觉得有可疑情况时一定要先检查，然后再使用。使用。使用。使用。n n5 5 5 5）上网的计算机必备防毒软件，一个好的杀毒软）上网的计算机必备防毒软件，一个好的杀毒软）上网的计算机必备防毒软件，一个好的杀毒软）上网的计算机必备防毒软件，一个好的杀毒软件也可以查到绝大多数木马程序，但一定要记得件也可以查到绝大多数木马程序，但一定要记得件也可以查到绝大多数木马程序，但一定要记得件也可以查到绝大多数木马程序，但一定要记得时时更新代码

37、。时时更新代码。时时更新代码。时时更新代码。n n三、黑客病毒三、黑客病毒n n1.1.1.1.关于黑客：对于关于黑客：对于关于黑客：对于关于黑客：对于“黑客黑客黑客黑客”这个词，不同的人群存在不同这个词，不同的人群存在不同这个词，不同的人群存在不同这个词，不同的人群存在不同的理解，有些人认为，黑客是一群狂热的技术爱好者，他的理解，有些人认为，黑客是一群狂热的技术爱好者，他的理解，有些人认为，黑客是一群狂热的技术爱好者，他的理解，有些人认为，黑客是一群狂热的技术爱好者，他 们无限度地追求技术的完美们无限度地追求技术的完美们无限度地追求技术的完美们无限度地追求技术的完美;有些人认为，黑客只是一群

38、有些人认为，黑客只是一群有些人认为，黑客只是一群有些人认为，黑客只是一群拥有技术，但思想简单的毛头小伙子拥有技术，但思想简单的毛头小伙子拥有技术，但思想简单的毛头小伙子拥有技术，但思想简单的毛头小伙子;还有些人认为黑客还有些人认为黑客还有些人认为黑客还有些人认为黑客是不应该存在的，他们是网络的破坏者。但从客观存在的是不应该存在的，他们是网络的破坏者。但从客观存在的是不应该存在的，他们是网络的破坏者。但从客观存在的是不应该存在的，他们是网络的破坏者。但从客观存在的事实来看，黑客这类群体往往存在着以下两个共同点。事实来看，黑客这类群体往往存在着以下两个共同点。事实来看，黑客这类群体往往存在着以下两

39、个共同点。事实来看，黑客这类群体往往存在着以下两个共同点。n n强烈的技术渴望与完美主义。驱动他们成长的是对技术强烈的技术渴望与完美主义。驱动他们成长的是对技术强烈的技术渴望与完美主义。驱动他们成长的是对技术强烈的技术渴望与完美主义。驱动他们成长的是对技术的无限渴望，获得技术的提高才是他们最终的任务。的无限渴望，获得技术的提高才是他们最终的任务。的无限渴望，获得技术的提高才是他们最终的任务。的无限渴望，获得技术的提高才是他们最终的任务。n n强烈的责任感。只有强烈的责任感才能使他们强烈的责任感。只有强烈的责任感才能使他们强烈的责任感。只有强烈的责任感才能使他们强烈的责任感。只有强烈的责任感才能

40、使他们不会走向歧途。责任感告诉他们不要在任何媒体不会走向歧途。责任感告诉他们不要在任何媒体不会走向歧途。责任感告诉他们不要在任何媒体不会走向歧途。责任感告诉他们不要在任何媒体上公布成功入侵的服务器上公布成功入侵的服务器上公布成功入侵的服务器上公布成功入侵的服务器;不要对其入侵的服务器不要对其入侵的服务器不要对其入侵的服务器不要对其入侵的服务器进行任何的破坏进行任何的破坏进行任何的破坏进行任何的破坏;在发现系统漏洞后要马上通知官在发现系统漏洞后要马上通知官在发现系统漏洞后要马上通知官在发现系统漏洞后要马上通知官方对该漏洞采取必要的修补措施，在官方补丁没方对该漏洞采取必要的修补措施，在官方补丁没方

41、对该漏洞采取必要的修补措施，在官方补丁没方对该漏洞采取必要的修补措施，在官方补丁没有公布之前，绝对不要大范围地公开漏洞利用代有公布之前，绝对不要大范围地公开漏洞利用代有公布之前，绝对不要大范围地公开漏洞利用代有公布之前，绝对不要大范围地公开漏洞利用代码。一方面，黑客入侵可能造成网络的暂时瘫痪，码。一方面，黑客入侵可能造成网络的暂时瘫痪，码。一方面，黑客入侵可能造成网络的暂时瘫痪，码。一方面，黑客入侵可能造成网络的暂时瘫痪，另一方面，黑客也是整个网络的建设者，他们不另一方面，黑客也是整个网络的建设者，他们不另一方面，黑客也是整个网络的建设者，他们不另一方面，黑客也是整个网络的建设者，他们不知疲倦

42、地寻找网络大厦的缺陷，使得网络大厦的知疲倦地寻找网络大厦的缺陷，使得网络大厦的知疲倦地寻找网络大厦的缺陷，使得网络大厦的知疲倦地寻找网络大厦的缺陷，使得网络大厦的根基更加稳固。根基更加稳固。根基更加稳固。根基更加稳固。n n2.2.2.2.黑客病毒：计算机病毒加恶意程序的组合攻击方式，黑客病毒：计算机病毒加恶意程序的组合攻击方式，黑客病毒：计算机病毒加恶意程序的组合攻击方式，黑客病毒：计算机病毒加恶意程序的组合攻击方式，已成为计算机病毒发展的新趋势，这种称为黑客型的计算已成为计算机病毒发展的新趋势，这种称为黑客型的计算已成为计算机病毒发展的新趋势，这种称为黑客型的计算已成为计算机病毒发展的新趋

43、势，这种称为黑客型的计算机病毒除破坏计算机内存储的信息外，还会在计算机中植机病毒除破坏计算机内存储的信息外，还会在计算机中植机病毒除破坏计算机内存储的信息外，还会在计算机中植机病毒除破坏计算机内存储的信息外，还会在计算机中植入木马和后门程序，即使计算机病毒己被清除，但这些程入木马和后门程序，即使计算机病毒己被清除，但这些程入木马和后门程序，即使计算机病毒己被清除，但这些程入木马和后门程序，即使计算机病毒己被清除，但这些程序还会继续利用系统漏洞，为黑客提供下一次攻击的机会。序还会继续利用系统漏洞，为黑客提供下一次攻击的机会。序还会继续利用系统漏洞，为黑客提供下一次攻击的机会。序还会继续利用系统漏

44、洞，为黑客提供下一次攻击的机会。曾横行一时、至今余毒未清的曾横行一时、至今余毒未清的曾横行一时、至今余毒未清的曾横行一时、至今余毒未清的NimdaNimdaNimdaNimda，CodeRed CodeRed CodeRed CodeRed都属于这都属于这都属于这都属于这种黑客型计算机病毒。种黑客型计算机病毒。种黑客型计算机病毒。种黑客型计算机病毒。但由于它不像普通计算机病毒，但由于它不像普通计算机病毒，但由于它不像普通计算机病毒，但由于它不像普通计算机病毒，甚至与普通应用程序别无二致，因此很难用判断、清除计甚至与普通应用程序别无二致，因此很难用判断、清除计甚至与普通应用程序别无二致，因此很难

45、用判断、清除计甚至与普通应用程序别无二致，因此很难用判断、清除计算机病毒的方式来扫描和处理，而且也很难防范。算机病毒的方式来扫描和处理，而且也很难防范。算机病毒的方式来扫描和处理，而且也很难防范。算机病毒的方式来扫描和处理，而且也很难防范。n n3.3.黑客病毒的传染机制：黑客型计算机病黑客病毒的传染机制：黑客型计算机病毒不同于传统计算机病毒，其感染机制是毒不同于传统计算机病毒，其感染机制是利用操作系统软件或常用应用软件中的设利用操作系统软件或常用应用软件中的设计缺陷而设计的。所以反计算机病毒软件计缺陷而设计的。所以反计算机病毒软件正常的警报系统是反映不出任何问题的，正常的警报系统是反映不出任

46、何问题的，而黑客型计算机病毒感染系统后却可以反而黑客型计算机病毒感染系统后却可以反客为主，破坏驻留在内存中的反计算机病客为主，破坏驻留在内存中的反计算机病毒程序的进程。毒程序的进程。求职信求职信、YAHAYAHA、GenerGener、物物BB等都属于这类计算机病毒。等都属于这类计算机病毒。n n4.4.4.4.黑客型计算机病毒的危害性更强：黑客型计算机病毒的危害性更强：黑客型计算机病毒的危害性更强：黑客型计算机病毒的危害性更强：n n黑客型计算机病毒比传统计算机病毒更具危害性，主动攻黑客型计算机病毒比传统计算机病毒更具危害性，主动攻黑客型计算机病毒比传统计算机病毒更具危害性，主动攻黑客型计算

47、机病毒比传统计算机病毒更具危害性，主动攻击计算机系统以及反计算机病毒程序，夺取系统的控制权。击计算机系统以及反计算机病毒程序，夺取系统的控制权。击计算机系统以及反计算机病毒程序，夺取系统的控制权。击计算机系统以及反计算机病毒程序，夺取系统的控制权。n n黑客型计算机病毒多是网络蠕虫类型，利用网络和系统漏黑客型计算机病毒多是网络蠕虫类型，利用网络和系统漏黑客型计算机病毒多是网络蠕虫类型，利用网络和系统漏黑客型计算机病毒多是网络蠕虫类型，利用网络和系统漏洞感染计算机，感染速度快且完全清除十分困难。传统反洞感染计算机，感染速度快且完全清除十分困难。传统反洞感染计算机，感染速度快且完全清除十分困难。传

48、统反洞感染计算机，感染速度快且完全清除十分困难。传统反计算机病毒软件多数运行在单机系统，对于这种网络计算计算机病毒软件多数运行在单机系统，对于这种网络计算计算机病毒软件多数运行在单机系统，对于这种网络计算计算机病毒软件多数运行在单机系统，对于这种网络计算机病毒往往在一定时期难以杀尽，所以传统反计算机病毒机病毒往往在一定时期难以杀尽，所以传统反计算机病毒机病毒往往在一定时期难以杀尽，所以传统反计算机病毒机病毒往往在一定时期难以杀尽，所以传统反计算机病毒软件在防御黑客型计算机病毒时显得势单力薄。同时由于软件在防御黑客型计算机病毒时显得势单力薄。同时由于软件在防御黑客型计算机病毒时显得势单力薄。同时

49、由于软件在防御黑客型计算机病毒时显得势单力薄。同时由于黑客型计算机病毒的横行，系统失去反计算机病毒软件的黑客型计算机病毒的横行，系统失去反计算机病毒软件的黑客型计算机病毒的横行，系统失去反计算机病毒软件的黑客型计算机病毒的横行，系统失去反计算机病毒软件的保护，传统计算机病毒也会出来为虎作怅，这时进一步加保护，传统计算机病毒也会出来为虎作怅，这时进一步加保护，传统计算机病毒也会出来为虎作怅，这时进一步加保护，传统计算机病毒也会出来为虎作怅，这时进一步加大了网络安全的压力。大了网络安全的压力。大了网络安全的压力。大了网络安全的压力。n n四、后门病毒四、后门病毒n n1.1.1.1.原理原理原理原

50、理 n n后门（后门（后门（后门（BackdoorBackdoorBackdoorBackdoor）是程序或系统内的一种功能，它允许没）是程序或系统内的一种功能，它允许没）是程序或系统内的一种功能，它允许没）是程序或系统内的一种功能，它允许没有账号的用户或普通受限用户使用高权限甚至完全控制系有账号的用户或普通受限用户使用高权限甚至完全控制系有账号的用户或普通受限用户使用高权限甚至完全控制系有账号的用户或普通受限用户使用高权限甚至完全控制系统。后门在程序开发中有合法的用途，有时会因设计需要统。后门在程序开发中有合法的用途，有时会因设计需要统。后门在程序开发中有合法的用途，有时会因设计需要统。后门