1、n【本章要点】【本章要点】n通过本章的学习,可以了解计算机病毒的定通过本章的学习,可以了解计算机病毒的定义。掌握计算机病毒特征以及检测、防范等义。掌握计算机病毒特征以及检测、防范等技术。初步了解木马攻击的技术、特点。技术。初步了解木马攻击的技术、特点。4.1计算机病毒概述4.2计算机病毒的危害及其表现4.3计算机病毒的检测与防范4.4木马病毒4.5木马的攻击防护技术4.1.1 计算机病毒的起源计算机病毒的起源4.1.2 计算机病毒的定义及特征计算机病毒的定义及特征4.1.3 计算机病毒的生命周期计算机病毒的生命周期4.1.4 计算机病毒的分类计算机病毒的分类 可以从不同角度给出计算机病毒的定义
2、。可以从不同角度给出计算机病毒的定义。(1)通过磁盘、磁带和网络等作为媒介传播扩散,)通过磁盘、磁带和网络等作为媒介传播扩散,能能“传染传染”其他程序的一种程序;其他程序的一种程序;(2)能够实现自身复制且借助一定的载体存在的具)能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序;有潜伏性、传染性和破坏性的程序;(3)是一种人为制造的程序,它通过不同的途径潜)是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里,伏或寄生在存储媒体(如磁盘、内存)或程序里,当某种条件或时机成熟时,当某种条件或时机成熟时,它会自生复制并传播,它会自生复制并传播,使
3、计算机的资源受到不同程序的破坏。使计算机的资源受到不同程序的破坏。n1、通过电子邮件进行传播、通过电子邮件进行传播n2、利用系统漏洞进行传播、利用系统漏洞进行传播n3、通过、通过 MSN、QQ等即时通信软件进行传等即时通信软件进行传播播n4、通过网页进行传播、通过网页进行传播n5、通过移动存储设备进行传播、通过移动存储设备进行传播 n今后任何时候病毒都不会很快地消失,并呈现快速增长的态今后任何时候病毒都不会很快地消失,并呈现快速增长的态势。仅在势。仅在2019年年1至至6月,瑞星月,瑞星“云安全云安全”系统共截获新增系统共截获新增病毒样本病毒样本1,633万余个,病毒总体数量比万余个,病毒总体
4、数量比2019年下半年增年下半年增长长93.01%,呈现出一个爆发式的增长态势。其中木马病毒,呈现出一个爆发式的增长态势。其中木马病毒1,172万个,占总体病毒的万个,占总体病毒的71.8%,和,和2019年一样是第一年一样是第一大种类病毒。新增病毒样本包括蠕虫病毒(大种类病毒。新增病毒样本包括蠕虫病毒(Worm)198万万个,占总体数量的个,占总体数量的12.16%,成为第二大种类病毒。感染型,成为第二大种类病毒。感染型(Win32)病毒)病毒97万个,占总体数量的万个,占总体数量的5.99%,后门病毒,后门病毒(Backdoor)66万个,占总体数量的万个,占总体数量的4.05%,位列第三
5、,位列第三和第四。恶意广告(和第四。恶意广告(Adware)、黑客程序()、黑客程序(Hack)、病)、病毒释放器(毒释放器(Dropper)、恶意驱动()、恶意驱动(Rootkit)依次排列,)依次排列,比例分别为比例分别为1.91%、1.03%、0.62%和和0.35%。1、计算机病毒的几种起源说(1)科学幻想起源说)科学幻想起源说(2)恶作剧起源说)恶作剧起源说(3)游戏程序起源说)游戏程序起源说n病毒的发展史呈现一定的规律性,一般情况是新的病毒的发展史呈现一定的规律性,一般情况是新的病毒技术出现后,病毒会迅速发展,接着反病毒技病毒技术出现后,病毒会迅速发展,接着反病毒技术的发展会抑制其
6、流传。操作系统升级后,病毒也术的发展会抑制其流传。操作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。会调整为新的方式,产生新的病毒技术。IT行业普行业普遍认为,从最原始的单机磁盘病毒到现在逐步进入遍认为,从最原始的单机磁盘病毒到现在逐步进入人们视野的手机病毒,计算机病毒主要经历了六个人们视野的手机病毒,计算机病毒主要经历了六个重要的发展阶段。重要的发展阶段。n第一阶段为原始病毒阶段。第一阶段为原始病毒阶段。n第二阶段为混合型病毒阶段。第二阶段为混合型病毒阶段。n第三阶段为多态性病毒阶段。第三阶段为多态性病毒阶段。n第四阶段为网络病毒阶段。第四阶段为网络病毒阶段。n第五阶段为主动攻击型病
7、毒。第五阶段为主动攻击型病毒。n第六阶段为第六阶段为“移动终端病毒移动终端病毒”阶段。阶段。1.计算机病毒的定义2.计算机病毒的产生3.计算机病毒的特点(1)计算机病毒的程序性)计算机病毒的程序性(可执行性可执行性)(2)计算机病毒的传染性)计算机病毒的传染性(3)计算机病毒的潜伏性)计算机病毒的潜伏性(4)计算机病毒的可触发性)计算机病毒的可触发性(5)计算机病毒的破坏性)计算机病毒的破坏性(6)攻击的主动性)攻击的主动性(7)病毒的针对性)病毒的针对性(8)病毒的非授权性)病毒的非授权性(9)病毒的隐蔽性)病毒的隐蔽性(10)病毒的衍生性)病毒的衍生性(11)病毒的寄生性)病毒的寄生性(依
8、附性依附性)(12)病毒的持久性)病毒的持久性(1)开发期)开发期(2)传染期)传染期(3)潜伏期)潜伏期(4)发作期)发作期(5)发现期)发现期(6)消化期)消化期(7)消亡期)消亡期n1.按攻击对像分类n若按病毒攻击的对象来分类,可分为攻击微若按病毒攻击的对象来分类,可分为攻击微型计算机、小型机和工作站的病毒,甚至安型计算机、小型机和工作站的病毒,甚至安全措施很好的大型机及计算机网络也是病毒全措施很好的大型机及计算机网络也是病毒攻击的目标。这些攻击对象之中,以攻击微攻击的目标。这些攻击对象之中,以攻击微型计算机的病毒最多,其中型计算机的病毒最多,其中90是攻击是攻击IBM PC机及其兼容饥
9、的。其他还有攻击机及其兼容饥的。其他还有攻击Macintosh及及Amiga计算机的。计算机的。(1)操作系统病毒)操作系统病毒(2)外壳病毒)外壳病毒(3)源码病毒)源码病毒(4)入侵病毒)入侵病毒(1)传染磁盘引导区的病毒)传染磁盘引导区的病毒(2)传染可执行文件的病毒)传染可执行文件的病毒传染操作系统文件的病毒传染操作系统文件的病毒传染一般可执行文件的病毒传染一般可执行文件的病毒既传染文件又传染磁盘引导区的病毒既传染文件又传染磁盘引导区的病毒n可以分为网络病毒、文件病毒和引导型病毒。网络可以分为网络病毒、文件病毒和引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件;病毒通过计算
10、机网络传播感染网络中的可执行文件;文件病毒感染计算机中的文件(如:文件病毒感染计算机中的文件(如:COM,EXE,DOC等);引导型病毒感染启动扇区(等);引导型病毒感染启动扇区(Boot)和)和硬盘的系统引导扇区(硬盘的系统引导扇区(MBR)。还有这三种情况的)。还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。使用了加密和变形算法。(1)无害
11、型。除了传染时减少磁盘的可用空间外,)无害型。除了传染时减少磁盘的可用空间外,对系统没有其他影响。对系统没有其他影响。(2)无危险型。这类病毒仅仅是减少内存、显示图)无危险型。这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。像、发出声音及同类音响。(3)危险型。这类病毒在计算机系统操作中造成严)危险型。这类病毒在计算机系统操作中造成严重的错误。重的错误。(4)非常危险型。这类病毒删除程序、破坏数据、)非常危险型。这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。清除系统内存区和操作系统中重要的信息。(1)伴随型病毒。)伴随型病毒。(2)“蠕虫蠕虫”型病毒。型病毒。(3)寄
12、生型病毒。)寄生型病毒。恶意病毒恶意病毒“四大家族四大家族”宏病毒宏病毒 CIH病毒病毒 蠕虫病毒蠕虫病毒木马病毒木马病毒4.2.1 计算机病毒的危害1、病毒激发对计算机数据信息的直接破坏作用 大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的垃圾数据改写文件、破坏CMOS设置等。n寄生在磁盘上的病毒总要非法占用一部分磁寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区,覆盖一个磁盘扇毒本身占据磁盘引导扇区,覆盖一个磁盘扇区。被覆盖
13、的扇区数据永久性丢失,无法恢区。被覆盖的扇区数据永久性丢失,无法恢复,所以在传染过程中一般不破坏磁盘上的复,所以在传染过程中一般不破坏磁盘上的原有数据,但非法侵占了磁盘空间,造成磁原有数据,但非法侵占了磁盘空间,造成磁盘空间的严重浪费。盘空间的严重浪费。n除除VIENNA、CASPER等少数病毒外,其他等少数病毒外,其他大多数病毒在动态下都是常驻内存的,这就大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。病毒所占用的基必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒本内存长度大致与病毒本身长度相当。病毒抢占内存,导致内存减少,一部分软件不能抢占内存,导
14、致内存减少,一部分软件不能运行。除占用内存外,病毒还抢占中断,干运行。除占用内存外,病毒还抢占中断,干扰系统运行。扰系统运行。病毒进驻内存后不但干扰系统运行,还影响计算机速度,主要病毒进驻内存后不但干扰系统运行,还影响计算机速度,主要表现在:表现在:(1)病毒为了判断传染激发条件,总要对计算机的工作状态)病毒为了判断传染激发条件,总要对计算机的工作状态进行监视,进行监视,这相对于计算机的正常运行状态既多余又有害。这相对于计算机的正常运行状态既多余又有害。(2)有些病毒为了保护自己,不但对磁盘上的静态病毒加密,)有些病毒为了保护自己,不但对磁盘上的静态病毒加密,而且进驻内存后的动态病毒也处在加密
15、状态;而病毒运行结而且进驻内存后的动态病毒也处在加密状态;而病毒运行结束时再用一段程序对病毒重新加密。这样束时再用一段程序对病毒重新加密。这样CPU额外执行数千额外执行数千条以至上万条指令。条以至上万条指令。(3)病毒在进行传染时同样要插入非法的额外操作,特别是)病毒在进行传染时同样要插入非法的额外操作,特别是传染软盘时不但计算机速度明显变慢,而且软盘正常的读写传染软盘时不但计算机速度明显变慢,而且软盘正常的读写顺序被打乱,发出刺耳的噪声。顺序被打乱,发出刺耳的噪声。n计算机病毒与其他计算机软件的最重要差别是病毒计算机病毒与其他计算机软件的最重要差别是病毒的无责任性。编制一个完善的计算机软件需
16、要耗费的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力,经过长时间调试完善,软件才大量的人力、物力,经过长时间调试完善,软件才能推出。但在病毒编制者看来既没有必要这样做,能推出。但在病毒编制者看来既没有必要这样做,也不可能这样做。很多计算机病毒都是个别人在一也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出,绝大部分台计算机上匆匆编制调试后就向外抛出,绝大部分病毒都存在不同程度的错误。计算机病毒错误所产病毒都存在不同程度的错误。计算机病毒错误所产生的后果往往是不可预见的,反病毒工作者曾经详生的后果往往是不可预见的,反病毒工作者曾经详细指出黑色星期五病毒存
17、在细指出黑色星期五病毒存在9处错误,乒乓病毒有处错误,乒乓病毒有5处错误等。但是人们不可能花费大量时间去分析数处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在。大量含有未知错误的病毒扩万种病毒的错误所在。大量含有未知错误的病毒扩散传播,其后果是难以预料的。散传播,其后果是难以预料的。n兼容性是计算机软件的一项重要指标,兼容兼容性是计算机软件的一项重要指标,兼容性好的软件可以在各种计算机环境下运行,性好的软件可以在各种计算机环境下运行,反之兼容性差的软件则对运行条件反之兼容性差的软件则对运行条件“挑肥拣挑肥拣瘦瘦”,要求机型和操作系统版本等,而病毒,要求机型和操作系统版本等,而病毒
18、的兼容性较差,常常会导致死机。的兼容性较差,常常会导致死机。n据有关计算机销售部门统计,计算机售后用户怀疑据有关计算机销售部门统计,计算机售后用户怀疑计算机有病毒而提出咨询约占售后服务工作量的计算机有病毒而提出咨询约占售后服务工作量的60以上。经检测确实存在病毒的约占以上。经检测确实存在病毒的约占70,另有,另有30情况只是用户怀疑,而实际上计算机并没有病情况只是用户怀疑,而实际上计算机并没有病毒,仅仅怀疑病毒而冒然格式化磁盘所带来的损失毒,仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户,在一些大型更是难以弥补。不仅是个人单机用户,在一些大型网络系统中也难免为甄别病毒
19、而停机。总之计算机网络系统中也难免为甄别病毒而停机。总之计算机病毒像病毒像“幽灵幽灵”一样笼罩在广大计算机用户心头,一样笼罩在广大计算机用户心头,给人们造成巨大的心理压力,极大地影响了现代计给人们造成巨大的心理压力,极大地影响了现代计算机的使用效率,由此带来的无形损失是难以估量算机的使用效率,由此带来的无形损失是难以估量的。的。(1)平时运行正常的计算机突然经常性无缘无故地死机)平时运行正常的计算机突然经常性无缘无故地死机(2)操作系统无法正常启动)操作系统无法正常启动(3)运行速度明显变慢)运行速度明显变慢(4)以前能正常运行的软件经常发生内存不足的错误)以前能正常运行的软件经常发生内存不足
20、的错误(5)打印和通讯发生异常)打印和通讯发生异常(6)无意中要求对软盘进行写操作)无意中要求对软盘进行写操作(7)以前能正常运行的应用程序经常发生死机或者非法错误)以前能正常运行的应用程序经常发生死机或者非法错误(8)系统文件的时间、日期、大小发生变化)系统文件的时间、日期、大小发生变化(9)对于)对于Word文档,另存时只能以模板方式保存,无法另存为一个文档,另存时只能以模板方式保存,无法另存为一个DOC文档。文档。(10)磁盘空间迅速减少)磁盘空间迅速减少(11)网络驱动器卷或共享目录无法调用)网络驱动器卷或共享目录无法调用(12)基本内存发生变化)基本内存发生变化(13)陌生人发来的电
21、子函件)陌生人发来的电子函件(14)自动链接到一些陌生的网站)自动链接到一些陌生的网站n计算机计算机病毒工病毒工作流程作流程示意图示意图触发条件可以是单个条件或复合条件触发条件可以是单个条件或复合条件1.单条件触发2.复合条件触发(1)时间触发条件)时间触发条件(2)功能触发条件)功能触发条件(3)宿主触发条件)宿主触发条件n(1)引导型、病毒文件型病毒和复合型病毒)引导型、病毒文件型病毒和复合型病毒n引导型病毒有:大麻病毒、引导型病毒有:大麻病毒、2708病毒、火炬病毒、病毒、火炬病毒、小球病毒、小球病毒、Girl病毒等。病毒等。n文件型病毒有:文件型病毒有:1575/1591病毒、病毒、8
22、48病毒(感病毒(感染染.COM和和.EXE等可执行文件)等可执行文件)Macro/Concept、Macro/Atoms等宏病毒(感染等宏病毒(感染.DOC文件)。文件)。n复合型病毒有:复合型病毒有:Flip病毒、新世际病毒、病毒、新世际病毒、One-half病毒等。病毒等。n(2)良性病毒和恶性病毒)良性病毒和恶性病毒n良性病毒有:小球病毒、良性病毒有:小球病毒、1575/1591病毒、病毒、救护车病毒、扬基病毒、救护车病毒、扬基病毒、Dabi病毒等等。恶病毒等等。恶性病毒有:黑色星期五病毒、火炬病毒、米性病毒有:黑色星期五病毒、火炬病毒、米开朗基罗病毒等。开朗基罗病毒等。n4.3.1计
23、算机病毒检测方法计算机病毒检测方法n1.比较法比较法n2.加总对比法加总对比法n3.搜索法搜索法n4.分析法分析法n5.人工智能陷阱技术和宏病毒陷阱技术人工智能陷阱技术和宏病毒陷阱技术n6.软件仿真扫描法软件仿真扫描法n7.先知扫描法先知扫描法n1.文件型计算机病毒文件型计算机病毒n(1)安装最新版本的、功能强大的防杀计算机病毒软件,如安装最新版本的、功能强大的防杀计算机病毒软件,如瑞星、卡巴斯基等。瑞星、卡巴斯基等。n(2)及时更新查杀计算机病毒引擎,特别是发生计算机病毒及时更新查杀计算机病毒引擎,特别是发生计算机病毒突发事件时要立即更新。突发事件时要立即更新。n(3)经常使用防杀计算机病毒
24、软件对系统进行计算机病毒检经常使用防杀计算机病毒软件对系统进行计算机病毒检查。查。n(4)对关键文件,如系统文件、保密的数据等,在没有计算对关键文件,如系统文件、保密的数据等,在没有计算机病毒的环境下经常机病毒的环境下经常 备份。备份。n(5)在不影响系统正常工作的情况下对系统文件设置最低的在不影响系统正常工作的情况下对系统文件设置最低的访问权限,以防止计算机病毒的侵害。访问权限,以防止计算机病毒的侵害。n(6)当使用当使用Windows操作系统时,修改文件夹窗口中的默操作系统时,修改文件夹窗口中的默认属性。认属性。n引导型病毒寄生在主引导区、引导区,病毒利用操作系统的引导型病毒寄生在主引导区
25、、引导区,病毒利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的内容为依据,物理位置为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移,待病毒程序执行后,将控制权交给真正的区内容搬家转移,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。主引导记录病毒感染硬
26、已隐藏在系统中并伺机传染、发作。主引导记录病毒感染硬盘的主引导区,如大麻病毒、盘的主引导区,如大麻病毒、2708病毒、火炬病毒等;分病毒、火炬病毒等;分区引导记录病毒感染硬盘的活动分区引导记录,如小球病毒、区引导记录病毒感染硬盘的活动分区引导记录,如小球病毒、Girl病毒等。病毒等。n(1)坚持从硬盘引导系统。坚持从硬盘引导系统。n(2)安装能够实时监控引导扇区的防杀安装能够实时监控引导扇区的防杀计算机病毒软件,或经常用能够查杀引导型计算机病毒软件,或经常用能够查杀引导型计算机病毒的防杀计算机病毒软件进行检查。计算机病毒的防杀计算机病毒软件进行检查。n(3)经常备份系统引导扇区。经常备份系统引
27、导扇区。n(4)有效利用主板上提供引导扇区计算有效利用主板上提供引导扇区计算机病毒保护功能机病毒保护功能(Virus Protect)。1.宏病毒2.宏病毒的判断方法(1)在打开)在打开“宏病毒防护功能宏病毒防护功能”的情况下,当打开一个你自的情况下,当打开一个你自己写的文档时,系统会弹出相应的警告框。而你并没有在其己写的文档时,系统会弹出相应的警告框。而你并没有在其中使用宏或并不知道宏到底怎么用,那么你可以完全肯定你中使用宏或并不知道宏到底怎么用,那么你可以完全肯定你的文档已经感染了宏病毒。的文档已经感染了宏病毒。(2)同样情况下,你的)同样情况下,你的OFFICE文档中一系列的文件在打开文
28、档中一系列的文件在打开时都给出宏警告。可以肯定这些文档中有宏病毒。时都给出宏警告。可以肯定这些文档中有宏病毒。(3)如果软件中关于宏病毒防护选项启用后,一旦发现你的)如果软件中关于宏病毒防护选项启用后,一旦发现你的机器中设置的宏病毒防护功能选项无法在两次启动机器中设置的宏病毒防护功能选项无法在两次启动WORD之间保持有效,则你的系统一定已经感染了宏病毒。也就是之间保持有效,则你的系统一定已经感染了宏病毒。也就是说一系列说一系列WORD模板、特别是模板、特别是normal.dot 已经被感染。已经被感染。(1)用最新版的反病毒软件清除宏病毒。)用最新版的反病毒软件清除宏病毒。(2)用写字板或)用
29、写字板或WORD 6.0文档作为清除宏文档作为清除宏病毒的桥梁。病毒的桥梁。个人用户对蠕虫病毒的防范措施有以下几点:个人用户对蠕虫病毒的防范措施有以下几点:(1)选购合适的杀毒软件。)选购合适的杀毒软件。(2)经常升级病毒库。蠕虫病毒的传播速度快、变种多,所)经常升级病毒库。蠕虫病毒的传播速度快、变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒。以必须随时更新病毒库,以便能够查杀最新的病毒。(3)提高防杀毒意识。不要轻易去点击陌生的站点,有可能)提高防杀毒意识。不要轻易去点击陌生的站点,有可能里面就含有恶意代码!里面就含有恶意代码!当运行当运行IE时,点击时,点击“工具工具Interne
30、t选项选项安全安全 Internet区域的安全级别区域的安全级别”,把安全级别由,把安全级别由“中中”改为改为“高高”。(4)不随意查看陌生邮件,尤其是带有附件的邮件。)不随意查看陌生邮件,尤其是带有附件的邮件。n1.主流病毒皆为综合利用多种编程新主流病毒皆为综合利用多种编程新技术技术产产生生n2.ARP病毒仍是局域网的最大祸害病毒仍是局域网的最大祸害n3.网游病毒把逐利当作唯一目标网游病毒把逐利当作唯一目标n4.不可避免的面对驱动级病毒不可避免的面对驱动级病毒n4.4.1 木马的概述木马的概述 n木马(木马(Trojan)这个名字来源于古希腊传说)这个名字来源于古希腊传说(荷马史诗中木马计的
31、故事,(荷马史诗中木马计的故事,Trojan一词的一词的本意是特洛伊,即指特洛伊木马,也就是木本意是特洛伊,即指特洛伊木马,也就是木马计的故事)。马计的故事)。4.4.2 木马的发展历史木马的发展历史第一代木马:伪装性病毒。第一代木马:伪装性病毒。第二代木马第二代木马:AIDS型木马。型木马。第三代木马:网络传播性木马。第三代木马:网络传播性木马。1、添加了、添加了“后门后门”功能。功能。2、添加了击键记录功能。、添加了击键记录功能。1.网络游戏木马 2.网银木马 3.即时通讯软件木马 4.网页点击类木马 5.下载类木马6.代理类木马 1.隐蔽性隐蔽性 2.自动运行性3.欺骗性4.自动恢复5.
32、自动打开特别的端口6.功能的特殊性7.黑客组织趋于公开化4.5.1 常见木马的应用常见木马的应用1.系统病毒2.蠕虫病毒3.木马病毒、黑客病毒4.脚本病毒5.宏病毒6.后门病毒7.病毒种植程序病毒8.破坏性程序病毒9.玩笑病毒10.捆绑机病毒1.什么是加壳加壳一般是指保护程序资源的方法。软件加壳是作者写完软件加壳一般是指保护程序资源的方法。软件加壳是作者写完软件后,为了保护自己的代码或维护软件产权等利益所常用到的后,为了保护自己的代码或维护软件产权等利益所常用到的手段。作者编好软件后,编译成手段。作者编好软件后,编译成exe可执行文件。可执行文件。例如:例如:(1)有一些版权信息需要保护起来,
33、不想让别人随便改动,)有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名,即为了保护软件不被破解,通常都是采用加如作者的姓名,即为了保护软件不被破解,通常都是采用加壳来进行保护。壳来进行保护。(2)需要把程序搞的小一点,从而方便使用。于是,需要用)需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将到一些软件,它们能将exe可执行文件压缩。可执行文件压缩。(3)在黑客界给木马等软件加壳脱壳以躲避杀毒软件。)在黑客界给木马等软件加壳脱壳以躲避杀毒软件。2.加壳软件(1)最常见的加壳软件有)最常见的加壳软件有ASPACK,UPX,Pecompact。(2)侦测壳的软件)侦
34、测壳的软件fileinfo.exe 简称简称fi.exe(侦测壳(侦测壳的能力极强)。的能力极强)。(3)侦测壳和软件所用编写语言的软件)侦测壳和软件所用编写语言的软件language.exe,推荐,推荐language2000中文版(专中文版(专门检测加壳类型)。门检测加壳类型)。(4)软件常用编写语言)软件常用编写语言Delphi,VisualBasic(VB)-最难破,最难破,VisualC(VC)常用脱壳工具:常用脱壳工具:(1)文件分析工具(侦测壳的类型):)文件分析工具(侦测壳的类型):Fi,GetTyp,peid,pe-scan(2)OEP入口查找工具:入口查找工具:SoftIC
35、E,TRW,ollydbg,loader,peid(3)dump工具:工具:IceDump,TRW,PEditor,ProcDump32,LordPE(4)PE文件编辑工具文件编辑工具PEditor,ProcDump32,LordPE(5)重建)重建Import Table工具:工具:ImportREC,ReVirgin(6)ASProtect脱壳专用工具:脱壳专用工具:Caspr(ASPr V1.1-V1.2有有效),效),Rad(只对(只对ASPr V1.1有效),有效),loader,peid(1)Aspack:用的最多,但只要用用的最多,但只要用UNASPACK或或PEDUMP32脱壳
36、就行了脱壳就行了(2)ASProtect+aspack:次之,国外的软件多用它加壳,脱壳时需要用到:次之,国外的软件多用它加壳,脱壳时需要用到SOFTICE+ICEDUMP,需要一定的专业知识,但最新版现在暂时没有办法。,需要一定的专业知识,但最新版现在暂时没有办法。(3)Upx:可以用可以用UPX本身来脱壳,但要注意版本是否一致,用本身来脱壳,但要注意版本是否一致,用-D 参数参数。(4)Armadill:可以用可以用SOFTICE+ICEDUMP脱壳。脱壳。(5)Dbpe:国内比较好的加密软件,新版本暂时不能脱,但可以破解。国内比较好的加密软件,新版本暂时不能脱,但可以破解。(6)NeoL
37、ite:可以用自己来脱壳可以用自己来脱壳。(7)Pcguard:可以用可以用SOFTICE+ICEDUMP+FROGICE来脱壳来脱壳。(8)Pecompat:用用SOFTICE配合配合PEDUMP32来脱壳,但不要专业知识。来脱壳,但不要专业知识。(9)Petite:有一部分的老版本可以用有一部分的老版本可以用PEDUMP32直接脱壳,新版本脱壳时需直接脱壳,新版本脱壳时需要用到要用到SOFTICE+ICEDUMP,需要一定的专业知识,需要一定的专业知识。(10)WWpack32:和和PECOMPACT一样其实有一部分的老版本可以用一样其实有一部分的老版本可以用PEDUMP32直接脱壳,不过
38、有时候资源无法修改,也就无法汉化,所以最好还直接脱壳,不过有时候资源无法修改,也就无法汉化,所以最好还是用是用SOFTICE配合配合 PEDUMP32脱壳脱壳。(1)aspack壳,脱壳可用壳,脱壳可用unaspack或或caspr。Unaspack:使用方法类似使用方法类似lanuage,傻瓜式软件,运行后选取待脱壳的软件即可。,傻瓜式软件,运行后选取待脱壳的软件即可。缺点:只能脱缺点:只能脱aspack早些时候版本的壳,不能脱高版本的壳。早些时候版本的壳,不能脱高版本的壳。caspr第一种:待脱壳的软件(如第一种:待脱壳的软件(如aa.exe)和)和caspr.exe位于同一目录下,执行位
39、于同一目录下,执行windows起始菜单的运行,键入起始菜单的运行,键入 caspr aa.exe脱壳后的文件为脱壳后的文件为aa.ex_,删掉原来的删掉原来的aa.exe,将,将aa.ex_改名为改名为aa.exe即可。优点:可以脱即可。优点:可以脱aspack任何版本的壳,脱壳能力极强。缺点:任何版本的壳,脱壳能力极强。缺点:Dos界面。界面。第二种:将第二种:将aa.exe的图标拖到的图标拖到caspr.exe的图标上。若已侦测出是的图标上。若已侦测出是aspack壳,用壳,用unaspack脱壳出错,说明是脱壳出错,说明是aspack高版本的壳,用高版本的壳,用caspr脱即脱即可。可
40、。(2)upx壳,脱壳可用壳,脱壳可用upx待脱壳的软件(如待脱壳的软件(如aa.exe)和)和upx.exe位于同一目录下,执行位于同一目录下,执行windows起始菜单的运行,键入起始菜单的运行,键入upx-d aa.exe。(3)PEcompact壳,脱壳用壳,脱壳用unpecompact使用方法类似使用方法类似lanuage傻瓜式软件,运行后选取待脱壳的软件傻瓜式软件,运行后选取待脱壳的软件即可。即可。(4)procdump 万能脱壳但不精,一般不要用。万能脱壳但不精,一般不要用。使用方法:运行后,先指定壳的名称,再选定欲脱壳软件,确使用方法:运行后,先指定壳的名称,再选定欲脱壳软件,
41、确定即可脱壳后的文件大于原文件。由于脱壳软件很成熟,手定即可脱壳后的文件大于原文件。由于脱壳软件很成熟,手动脱壳一般用不到动脱壳一般用不到(1)下载软件:木马的服务器端程序非常小,几)下载软件:木马的服务器端程序非常小,几K到几十到几十K不等,把木马不等,把木马用用EXE捆绑机捆绑起来可谓轻而易举,而且不易引起怀疑。有些网站所捆绑机捆绑起来可谓轻而易举,而且不易引起怀疑。有些网站所提供的软件当中就有可能捆绑有木马程序。当用户下载并且执行了该文提供的软件当中就有可能捆绑有木马程序。当用户下载并且执行了该文件以后,木马程序也相应的被激活了。件以后,木马程序也相应的被激活了。(2)交换脚本:众所周知
42、,微软的浏览器在执行)交换脚本:众所周知,微软的浏览器在执行Script脚本上存在一些漏脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至可以直接对浏览者洞,攻击者可以利用这些漏洞传播病毒和木马,甚至可以直接对浏览者电脑进行文件操作等控制。电脑进行文件操作等控制。Script、ActiveX及及ASP、JSP、CGI等等都等等都有可能是木马的滋生地。有可能是木马的滋生地。(3)系统漏洞:木马还可以利用操作系统的一些漏洞进行植入,如)系统漏洞:木马还可以利用操作系统的一些漏洞进行植入,如IIS服服务器溢出漏洞,通过务器溢出漏洞,通过IISHACK攻击程序既可使攻击程序既可使IIS服务
43、器崩溃,并且同服务器崩溃,并且同时在攻击服务器中执行远程木马服务器端程序。时在攻击服务器中执行远程木马服务器端程序。对应防范措施:对应防范措施:(1)慎防网络资源:现在网络上小至木马程序,大至盗版)慎防网络资源:现在网络上小至木马程序,大至盗版windows操作系统也有下载,其中来源也各式各样,有操作系统也有下载,其中来源也各式各样,有http、ftp,BT等等。任何从网上下载回来的资源,第一步等等。任何从网上下载回来的资源,第一步必须要做的动作便是进行病毒扫描。现在大多反病毒软件都必须要做的动作便是进行病毒扫描。现在大多反病毒软件都能清除木马,只要及时更新病毒库,安全的系数就可大大提能清除木
44、马,只要及时更新病毒库,安全的系数就可大大提高。高。(2)禁用)禁用ActiveX脚本。脚本。(3)及时升级。操作系统和浏览器都存在不同程度上的漏洞,)及时升级。操作系统和浏览器都存在不同程度上的漏洞,入侵者正是利用这些漏洞植入木马,因此,及时更新系统,入侵者正是利用这些漏洞植入木马,因此,及时更新系统,及时打好补丁,及时把漏洞补上,被入侵的机会就会大大减及时打好补丁,及时把漏洞补上,被入侵的机会就会大大减少。少。(4)启动网络防火墙。防火墙的作用在于控制网络访问。用)启动网络防火墙。防火墙的作用在于控制网络访问。用户可以设置户可以设置IP规则和安全级别来防止非法连接。对个人用户规则和安全级别
45、来防止非法连接。对个人用户来说,比较常用的网络防火墙有天网防火墙和金山网镖。来说,比较常用的网络防火墙有天网防火墙和金山网镖。(1)目前瑞星杀毒软件目前瑞星杀毒软件2009是国内最优秀的杀是国内最优秀的杀毒软件之一,它功能强大,病毒库更新快,毒软件之一,它功能强大,病毒库更新快,对国内病毒反应快,误杀率低。对国内病毒反应快,误杀率低。(2)安装安装360度安全卫士。度安全卫士。(3)下载软件推荐使用迅雷下载软件推荐使用迅雷(4)菜鸟注意一般不要安装防火墙。菜鸟注意一般不要安装防火墙。(5)多下载一些病毒专杀工具,以备不时之需。多下载一些病毒专杀工具,以备不时之需。n本章主要介绍了计算机病毒、木马的相关知本章主要介绍了计算机病毒、木马的相关知识,通过本章学习,学生可掌握常见病毒、识,通过本章学习,学生可掌握常见病毒、木马的种类,防范方法等知识,了解病毒、木马的种类,防范方法等知识,了解病毒、木马的攻击原理。木马的攻击原理。
