计算机病毒及恶意代码

1、第五章 计算机病毒及恶意代码 本章学习重点掌握内容：传统病毒原理脚本病毒原理网络蠕虫原理网络钓鱼技术僵尸网络流氓软件1第五章 计算机病毒及恶意代码5.1 计算机病毒概述5.2 传统的计算机病毒5.3 脚本病毒5.4网络蠕虫5.5木马技术5.6网络钓鱼5.7僵尸网络5.8流氓软件5.9浏览器劫持25.1计算机病毒概述 5.1.1 计算机病毒的定义计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 35.1.2计算机病毒发展历史计算机病毒的 计算机病毒伴随计算机、网络信息技术的快速发展而日趋复杂多变，其破坏性和传播能力

2、也不断增强。计算机病毒发展主要经历了五个重要的阶段。（1）原始病毒阶段（第一阶段）攻击目标和破坏性比较单一。病毒程序不具有自我保护功能，较容易被人们分析、识别和清除。（2）混合型病毒阶段（第二阶段）1989-1991，随着计算机局域网的应用与普及，给计算机病毒带来了第一次流行高峰。主要特点：攻击目标趋于综合，以更隐蔽的方法驻留在内在和传染目标中，系统感染病毒后没有明显的特征，病毒程序具有自我保护功能，出现众多病毒的变种（3）多态性病毒阶段（第三阶段）在每次传染目标时，放入宿主程序中的病毒程序大部分是可变的。防病毒软件难以查杀，如94年“幽灵“病毒。（4）网络病毒阶段（第四阶段）随国际互联网广泛

3、发展，依赖互联网传播的邮件病毒和宏病毒等泛滥，呈现出病毒传播快、隐蔽性强、破坏性大特点。基于Windows运行环境的病毒，随着微软Office软件的普及，出现了宏病毒，各种脚本病毒也日益增多著名病毒如 CIH病毒等（5）主动攻击型病毒阶段（第五阶段）典型代表：冲击波、震荡波病毒和木马等。45.1.2计算机病毒发展历史计算机病毒的产生原因 计算机病毒的产生原因主要有4个方面：1） 恶作剧型2） 报复心理型3） 版权保护型4） 特殊目的型 55.1.3计算机病毒的命名方式病毒的命名并无统一的规定，基本都是采用前后缀法来进行命名。一般格式为：前缀.病毒名.后缀。以振荡波蠕虫病毒的变种c“Worm.

4、Sasser. c”为例，Worm指病毒的种类为蠕虫，Sasser是病毒名，c指该病毒的变种。（1）病毒前缀（2）病毒名（3）病毒后缀65.1.4 计算机病毒的分类（1）1. 以病毒攻击的操作系统分类（1） 攻击DOS 系统的病毒（2） 攻击Windows 系统的病毒用户使用多，主要的攻击对象（3） 攻击UNIX 系统的病毒（4） 攻击OS/2 系统的病毒（5） 攻击NetWare 系统的病毒2以病毒的攻击机型分类（1） 攻击微型计算机的病毒（2） 攻击小型机的计算机病毒（3） 攻击服务器的计算机病毒75.1.4 计算机病毒的分类（2）3按照计算机病毒的链接方式分类（1） 源码型病毒（2） 嵌

5、入型病毒将计算机病毒的主体程序与其攻击对象以插入方式进行链接，一旦进入程序中就难以清除。（3） 外壳型病毒将自身包围在合法的主程序的周围，对原来的程序并不作任何修改。常见、易于编写、易发现。（4） 操作系统型病毒4按照计算机病毒的破坏能力分类根据病毒破坏的能力可划分为4种：（1） 无害型（2） 无危险型（3） 危险型 （4） 非常危险型85.1.4 计算机病毒的分类（3）5按照传播媒介不同分类（1）单机病毒（2）网络病毒6按传播方式不同分类（1）引导型病毒（2）文件型病毒： .com .exe（3）混合型病毒7根据病毒特有的算法不同分类（1） 伴随型病毒（2） 蠕虫型病毒（3） 寄生型病毒（4

6、） 练习型病毒（5） 诡秘型病毒（6） 变型病毒（又称幽灵病毒）95.1.4 计算机病毒的分类（4）8. 按照病毒的寄生部位或传染对象分类（1）磁盘引导区传染的计算机病毒（2）操作系统传染的计算机病毒（3）可执行程序传染的计算机病毒 以上三种病毒的分类，实际上可以归纳为两大类：一类是引导区型传染的计算机病毒；另一类是可执行文件型传染的计算机病毒。 105.1.5 计算机病毒特征根据对计算机病毒的产生、传播和破坏行为的分析，可以将计算机病毒概括为以下6 个主要特点。1.传染性指病毒具有把自身复制到其它程序中的特性 2. 取得系统控制权3. 隐蔽性隐蔽性 。通过隐蔽技术使宿主程序的大小没有改变，以

7、至于很难被发现。 4. 破坏性破坏性 计算机所有资源包括硬件资源和软件资源，软件所能接触的地方均可能受到计算机病毒的破坏5. 潜伏性潜伏性 长期隐藏在系统中，只有在满足特定条件时，才启动其破坏模块。 6. 不可预见性115.1.5 计算机病毒特征网络病毒又增加很多新的特点 主动通过网络和邮件系统传播 计算机的病毒种类呈爆炸式增长变种多，容易编写，并且很容易被修改，生成很多病毒变种 融合多种网络技术，并被黑客所使用 125.1.6病毒的组成结构与传播计算机病毒的组成结构计算机病毒的种类很多，但通过分析现有的计算机病毒，发现几乎所有的计算机病毒都是由3 个部分组成即:引导模块传播模块表现模块135

8、.1.6病毒的组成结构与传播病毒传播可分为两种方式：（1） 用户在进行复制磁盘或文件时，把病毒由一个载体复制到另一个载体上，或者通过网络把一个病毒程序从一方传递到另一方，这种传播方式叫做计算机病毒的被动传播；（2） 计算机病毒以计算机系统的运行以及病毒程序处于激活状态为先决条件，在病毒处于激活状态下，只要传播条件满足，病毒程序能主动把病毒自身传播给另一个载体或另一个系统，这种传播方式叫做计算机病毒的主动传播。 145.1.6病毒的组成结构与传播计算机病毒的传播途径：（1） 通过不可移动的计算机硬件设备进行传播，即利用专用ASIC 芯片和硬盘进行传播；（2） 通过移动存储设备来传播，其中U盘和移

9、动硬盘是使用最广泛、移动最频繁的存储介质；（3） 通过计算机网络进行传播；（4） 通过点对点通信系统和无线通道传播。155.1.7 计算机中毒的异常表现1. 计算机病毒发作前的表现（1） 平时运行正常的计算机突然经常性无缘无故地死机（2） 操作系统无法正常启动（3） 运行速度明显变慢（4） 正常运行的软件经常发生内存不足问题（5） 打印和通讯出现异常（6） 无意中要求对U盘进行写操作（7） 以往正常运行的应用程序经常发生死机或者非法错误 （8） 系统文件的时间、日期、大小发生变化（9） 无法另存为一个Word文档（10） 磁盘空间迅速减少（11） 网络驱动器卷或共享目录无法调用。（12） 基本

10、内存发生变化。（13） 陌生人发来的电子邮件（14）自动链接到一些陌生的网站165.1.7 计算机中毒的异常表现2. 计算机病毒发作时的现象（1）提示不相关对话（2）发出音乐（3）产生特定的图象（4）硬盘灯不断闪烁（5）进行游戏算法（6）Windows桌面图标发生变化（7）突然死机或重启（8）自动发送电子邮件（9）鼠标自己在动175.1.7 计算机中毒的异常表现3. 计算机病毒发作后的表现（1） 硬盘无法启动，数据丢失（2） 系统文件丢失或被破坏（3） 文件目录发生混乱（4） 部分文档丢失或被破坏（5） 部分文档自动加密码（6） 修改Autoexec.bat文件，导致计算机重新启动时格式化硬盘

11、（7） 使部分可软件升级主板的BIOS程序混乱，主板被破坏（8） 网络瘫痪，无法提供正常的服务 185.2 传统的计算机病毒5.2.1 计算机病毒的基本机制分为三大模块：传染机制、破坏机制、触发机制。 计算机病毒的传染机制 指计算机病毒由一个宿主传播到另一个宿主程序，由一个系统进入另一个系统的过程。 触发机制计算机病毒在传染和发作之前，要判断某些特定条件是否满足，这个条件就是计算机病毒的触发条件。破坏机制 良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统或信息产生严重破坏。 195.2.2 病毒分析Windows环境下，主要病毒有文件型病毒、引导性病毒和宏病毒等 文件型病毒文件型病

12、毒主要感染可执行文件，Windows环境下主要为.EXE文件，为PE格式文件PE是 Win32环境自身所带的执行体文件格式。 205.2.2 病毒分析当运行一个PE可执行文件时 当PE文件被执行，PE装载器检查 DOS MZ header 里的 PE header 偏移量。如果找到，则跳转到 PE header。 PE装载器检查 PE header 的有效性。如果有效，就跳转到PE header的尾部。 紧跟 PE header 的是节表。PE装载器读取其中的节信息，并采用文件映射方法将这些节映射到内存，同时附上节表里指定的节属性。 PE文件映射入内存后，PE装载器将处理PE文件中类似 imp

13、ort table（引入表）逻辑部分。 215.2.2 病毒分析感染PE文件，必须满足两个基本条件：是能够在宿主程序中被调用，获得运行权限；主要采用重定位的方法，改PE文件在系统运行PE文件时，病毒代码可以获取控制权，在执行完感染或破坏代码后，再将控制权转移给正常的程序代码。方法有：可以修改文件头中代码开始执行位置（AddressOfEntryPoint） 在PE文件中添加一个新节 病毒进行各种操作时需调用API函数 ，有两种解决方案。在感染PE文件的时候，可以搜索宿主的引入函数节的相关地址。解析导出函数节，尤其是Kernel32.DLL 225.2.2 病毒分析宏病毒 就是使用宏语言编写的程

14、序，可以在一些数据处理系统中运行，存在于字处理文档、数据表格、数据库、演示文档等数据文件中 感染过程 改写Word宏改写文档自动执行宏，如AutoOpen、 等等 235.2.2 病毒分析转换成文档模板的宏 当宏病毒获得运行权限之后，把所关联的宿主文档转换成模板格式，然后把所有宏病毒复制到该模板之中 感染其它Word文档 当其它的Word文件打开时，由于自动调用该模板因而会自动运行宏病毒 245.2.2 病毒分析宏病毒具有如下特点 传播快Word文档是交流最广的文件类型。人们大多对外来的文档文件基本是直接浏览使用，这给Word宏病毒传播带来很多便利。 制作、变种方便Word使用宏语言WordB

15、asic来编写宏指令。用户很方便就可以看到这种宏病毒的全部面目。把宏病毒稍微加以改变，立即就生产出了一种新的宏病毒. 破坏性大255.2.3 传统计算机病毒防御文件型病毒一般采用以下一些方法 安装最新版本、有实时监控文件系统功能的防病毒软件。及时更新病毒引擎，最好每周更新一次，并在有病毒突发事件时立即更新。经常使用防毒软件对系统进行病毒检查。对关键文件，如系统文件、重要数据等，在无毒环境下备份。在不影响系统正常工作的情况下对系统文件设置最低的访问权限。265.2.3 传统计算机病毒防御宏病毒的预防与清除找到一个无毒的Normal.dot 文件的备份，将位于“MSOffice Template

16、”文件夹下的通用模板Normal.dot文件替换掉；对于已染病毒的文件，先打开一个无毒Word文件，按照以下菜单打开对话框：工具-宏-安全性，设置安全性为高 275.3 脚本病毒 5.3.1 脚本病毒概述脚本病毒依赖一种特殊的脚本语言（如：VBScript、JavaScript等）起作用，同时需要应用环境能够正确识别和翻译这种脚本语言中嵌套的命令，脚本病毒可以在多个产品环境中进行。脚本病毒具有如下特征 编写简单由于脚本的简单性，使以前对病毒不了解的人都可以在很短的时间里编出一个新型病毒。病毒源码容易被获取、变种多其源代码可读性非常强 285.3.1 脚本病毒概述感染力强。采用脚本高级语言可以实

17、现多种复杂操作，感染其它文件或直接自动运行。破坏力强 脚本病毒可以寄生于HTML或邮件通过网络传播，其传播速度非常快。脚本病毒不但能够攻击被感染的主机，获取敏感信息，删除关键文件；更可以攻击网络或者服务器，造成拒绝服务攻击，产生严重破坏。传播范围广这类病毒通过HTML文档，Email附件或其它方式，可以在很短时间内传遍世界各地。采用多种欺骗手段脚本病毒为了得到运行机会，往往会采用各种让用户不大注意的手段， 295.3.2 脚本病毒原理脚本病毒的传播分析 脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其它同类程序中间：脚本病毒通过网络传播的几种方式通过电子邮件传

18、播 通过局域网共享传播感染HTML、ASP、JSP、PHP等网页通过浏览器传播 通过U盘自动运行传播其它的传播方式 305.3.2 脚本病毒原理脚本病毒的获得控制权的方法分析修改注册表项 修改自动加载项通过映射文件执行方式欺骗用户，让用户自己执行desktop.ini和folder.htt互相配合如果用户的目录中含有这两个文件，当用户进入该目录时，就会触发folder.htt中的病毒代码。直接复制和调用可执行文件315.3.3 脚本病毒防御脚本病毒要求被感染系统具有如下支持能力：VBScript代码是通过Windows Script Host来解释执行的，wscript.exe就是该功能的相关

19、支持程序。绝大部分VBS脚本病毒运行的时候需要对象的支持。通过网页传播的病毒需要ActiveX的支持通过Email传播的病毒需要邮件软件的自动发送功能支持。325.3.3 脚本病毒防御因此可以采用以下方法防御脚本病毒可以通过打开“我的计算机”，依次点击查看文件夹选项文件类型在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。 在IE设置中将ActiveX插件和控件以及Java相关的组件全部禁止，可以避免一些恶意代码的攻击。方法是：打开IE，点击“工具”“Internet选项”“安全”“自定义级别”，在“安全设置”对话

20、框中，将其中所有的ActiveX插件和控件以及与Java相关的组件全部禁止即可。禁用文件系统对象， 用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。禁止邮件软件的自动收发邮件功能Windows默认的是“隐藏已知文件类型的扩展名称”，将其修改为显示所有文件类型的扩展名称。选择一款好的防病毒软件并做好及时升级。335.4网络蠕虫 5.4.1 网络蠕虫概述网络蠕虫是一种智能化、自动化并综合网络攻击、密码学和计算机病毒技术，不要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过网络从一个节点传播到另外一个节点。 345.4.1 网络

21、蠕虫概述网络蠕虫具有以下特征(2-1)主动攻击从搜索漏洞，到利用搜索结果攻击系统，到攻击成功后复制副本，整个流程全由蠕虫自身主动完成。利用软件漏洞蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。造成网络拥塞在传播的过程中，蠕虫需要判断其它计算机是否存活；判断特定应用服务是否存在；判断漏洞是否存在等等，这将产生大量的网络数据流量。同时出于攻击网络的需要，蠕虫也可以产生大量恶意流量，当大量的机器感染蠕虫时，就会产生巨大的网络流量，导致整个网络瘫痪。消耗系统资源蠕虫入侵到计算机系统之后，一方面由于要搜索目标主机、漏洞、感染其它主机需要消耗一定的资源；另一方面，许多

22、蠕虫会恶意耗费系统的资源。355.4.1 网络蠕虫概述留下安全隐患大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。行踪隐蔽蠕虫的传播过程中，不需要用户的辅助工作，其传播的过程中用户基本上不可察觉。反复性即使清除了蠕虫留下的任何痕迹，如果没有修补计算机系统漏洞，网络中的计算机还是会被重新感染。破坏性越来越多的蠕虫开始包含恶意代码，破坏被攻击的计算机系统，而且造成的经济损失数目越来越大。36 蠕虫造成的损失对照表 病毒名称持续时间造成损失莫里斯蠕虫(MORRIS)1988年6000多台计算机感染，占但是互联网的10%，直接经济损失达一千多万美元爱虫病毒(ILOVEYO

23、U)2000年5月至今众多用户计算机被感染，损失超过100亿美元红色代码(Code Red)2001年7月100多万台计算机感染，直接经济损失超过26亿美元求职信2001年12月大量病毒邮件堵塞服务器，损失达数百亿美元SQL蠕虫王2003年1月网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元冲击波(Blaster)2003年20亿100亿美元，受到感染的计算机不计其数霸王虫(Sobig.F)2003年50亿100亿美元，超过100万台计算机被感染震荡波(Sasser)2004年8月损失估计：数千万美元375.4.2 网络蠕虫工作机制 网络蠕虫的工作机制分为3个阶段：信息收集、

24、攻击渗透、现场处理信息收集按照一定的策略搜索网络中存活的主机，收集目标主机的信息，并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机，否则放弃攻击。攻击渗透通过收集的漏洞信息尝试攻击，一旦攻击成功，则获得控制该主机的权限，将蠕虫代码渗透到被攻击主机。现场处理当攻击成功后，开始对被攻击的主机进行一些处理工作，将攻击代码隐藏，为了能使被攻击主机运行蠕虫代码，还要通过注册表将蠕虫程序设为自启动状态；可以完成它想完成的任何动作，如恶意占用CPU资源；收集被攻击主机的敏感信息，可以危害被感染的主机，删除关键文件。 385.4.3 网络蠕虫扫描策略(2-1)网络蠕虫扫描越是能够

25、尽快地发现被感染主机，那么网络蠕虫的传播速度就越快。 随机扫描随机选取某一段IP地址，然后对这一地址段上的主机扫描。由于不知道哪些主机已经感染蠕虫，很多扫描是无用的。这一方法的蠕虫传播速度较慢。但是随着蠕虫的扩散，网络上存在大量的蠕虫时，蠕虫造成的网络流量就变得非常巨大。 选择扫描选择性随机扫描将最有可能存在漏洞主机的地址集作为扫描的地址空间。所选的目标地址按照一定的算法随机生成。选择性随机扫描算法简单，容易实现，若与本地优先原则结合则能达到更好的传播效果。红色代码和“Slammer”的传播采用了选择性随机扫描策略。395.4.3 网络蠕虫扫描策略(2-2)顺序扫描顺序扫描是被感染主机上蠕虫会

26、随机选择一个C类网络地址进行传播，根据本地优先原则，网络地址段顺序递增。基于目标列表的扫描 基于目标列表扫描是指网络蠕虫根据预先生成易感染的目标列表，搜寻感染目标，。基于DNS扫描 从DNS服务器获取IP地址来建立目标地址库，优点在于获得的IP地址块针对性强和可用性高。关键问题是如何从DNS服务器得到网络主机地址，以及DNS服务器是否存在足够的网络主机地址。405.4网络蠕虫扫描策略设计的原则有三点 尽量减少重复的扫描，使扫描发送的数据包尽量是没有被感染蠕虫的机器；保证扫描覆盖到尽量大的可用地址段，包括尽量大的范围，扫描的地址段为互联网上的有效地址段；处理好扫描的时间分布，使得扫描不要集中在某

27、一时间内发生。415.4.4 网络蠕虫传播模型分为3个阶段 慢速发展阶段，漏洞被蠕虫设计者发现，并利用漏洞设计蠕虫发布于互联网，大部分用户还没有通过服务器下载补丁，网络蠕虫只是感染了少量的网络中的主机。快速发展阶段，如果每个感染蠕虫的可以扫描并感染的主机数为W，n为感染的次数，那么感染主机数扩展速度为Wn，感染蠕虫的机器成指数幂急剧增长。缓慢消失阶段，随着网络蠕虫的爆发和流行，人们通过分析蠕虫的传播机制，采取一定措施及时更新补丁包，并采取措删除本机存在的蠕虫，感染蠕虫数量开始缓慢减少。 425.4.5 网络蠕虫防御和清除 给系统漏洞打补丁蠕虫病毒大多数都是利用系统漏洞进行传播的，因此在清除蠕虫

28、病毒之前必须将蠕虫病毒利用的相关漏洞进行修补。清除正在运行的蠕虫进程每个进入内存的蠕虫一般会以进程的形式存在，只要清除了该进程，就可以使蠕虫失效。删除蠕虫病毒的自启动项感染蠕虫主机用户一般不可能启动蠕虫病毒，蠕虫病毒需要就自己启动。需要在这些自启动项中清除蠕虫病毒的设置。删除蠕虫文件可以通过蠕虫在注册表的键值可以知道病毒的躲藏位置，对于那些正在运行或被调用的文件无法直接删除，可以借助于相关工具删除。利用自动防护工具，如个人防火墙软件通过个人防火墙软件可以设置禁止不必要的服务。另外也可以设置监控自己主机有那些恶意的流量。435.5木马技术 5.5.1 木马技术概述指隐藏在正常程序中的一段具有特殊

29、功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，最大的特征在于隐秘性，偷偷混入对方的主机里面，但是却没有被对方发现。这与战争中的木马战术十分相似，因而得名木马程序。 445.5.1 木马技术概述木马的发展历程 第一代木马出现在网络发展的早期，是以窃取网络密码为主要任务，这种木马通过伪装成一个合法的程序诱骗用户上当。第一代木马还不具有传染性，在隐藏和通信方面也均无特别之处。第二代木马在技术上有了很大的进步，它使用标准的C/S架构，提供远程文件管理、屏幕监视等功能，在隐藏、自启动和操纵服务器等

30、技术上也有很大的发展。由于植入木马的服务端程序会打开连接端口等候客户端连接，比较容易被用户发现。冰河、BO2000等都是典型的第二代木马。第三代木马改变主要在网络连接方式上，特征是不打开连接端口进行侦听，而是使用ICMP通信协议进行通信或使用TCP端口反弹技术让服务器端主动连接客户端，以突破防火墙的拦截。增加了查杀难度，如网络神偷(Netthief)、灰鸽子木马等。455.5.1 木马技术概述第四代木马在进程隐藏方面做了较大改动，让木马服务器运行时没有进程。如rootkit技术，嵌入木马通过替换系统程序、DLL、甚至是驱动程序，替换之后还能够提供原来程序正常的服务从而实现木马的隐藏。木马不是单

31、独的进程或者以注册服务的形式出现，无法通过“任务管理器”查看到正在运行的木马。需要专门的工具才能发现以及专业的木马查杀工具才能清除。第五代木马实现了与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活。465.5.1 木马技术概述木马特征 隐蔽性隐蔽性是木马的首要特征。木马类软件的SERVER端程序在被控主机系统上运行时，会使用各种方法来隐藏自己。自动运行性木马程序通过修改系统配置文件，在目标主机系统启动时自动运行或加载。欺骗性木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防用户发现。自动恢复性很多的木马程序中的功能模块已不再是由

32、单一的文件组成，而是具有多重备份，可以相互恢复。系统一旦被植入木马，只删除某一个木马文件来进行清除是无法清除干净的。破坏或信息收集木马通常具有搜索Cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。 475.5.2 木马的实现原理与攻击技术在了解木马攻击技术之前，需要先了解木马欺骗技术，木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。木马欺骗技术主要有 ：伪装成其它类型的文件 ，可执行文件需要伪装其它文件。如伪装成图片文件 合并程序欺骗合并程序是可以将两个或两个以上的可执行文件(exe文件) 结合为一个文件，以后只需执行

33、这个合并文件，两个可执行文件就会同时执行。 485.5.2 木马的实现原理与攻击技术插入其它文件内部利用运行flash文件和影视文件具有可以执行脚本文件的特性，一般使用“插马”工具将脚本文件插入到swf、rm等类型的flash文件和影视文件中 伪装成应用程序扩展组件黑客们通常将木马程序写成为任何类型的文件然后挂在一个常用的软件中 。利用WinRar制作成自释放文件，把木马程序和其它常用程序利用WinRar捆绑在一起，将其制作成自释放文件。 在Word文档中加入木马文件，在Word文档末尾加入木马文件，只要别人点击这个所谓的Word文件就会中木马。 495.5.2 木马的实现原理与攻击技术一个木

34、马程序要通过网络入侵并控制被植入的计算机，需要采用以下四个环节 ：首先是向目标主机植入木马，通过网络将木马程序植入到被控制的计算机；启动和隐藏木马，木马程序一般是一个单独文件需要一些系统设置来让计算机自动启动木马程序，为了防止被植入者发现和删除运行的木马程序，就需要将运行的木马程隐藏起来。植入者控制被植入木马的主机，需要通过网络通信，需要采取一定的隐藏技术，使通信过程不能够使被植入者通过防火墙等发现。就是植入者通过客户端远程控制达到其攻击的目的，可以收集被植入者的敏感信息，可以监视被植入者的计算机运行和动作，甚至可以用来攻击网络中的其它系统。505.5.2 木马的实现原理与攻击技术植入技术，木

35、马植入技术可以大概分为主动植入与被动植入两类。主动植入：就是攻击者利用网络攻击技术通过网络将木马程序植入到远程目标主机，这个行为过程完全由攻击者主动掌握。被动植入：是指攻击者预先设置某种环境，然后被动等待目标系统用户的某种可能的操作，只有这种操作执行，木马程序才有可能植入目标系统。515.5.2 木马的实现原理与攻击技术主动植入技术主要包括 ： 利用系统自身漏洞植入攻击者利用所了解的系统的安全漏洞及其特性主动出击。利用第三方软件漏洞植入。 利用即时通信软件发送伪装的木马文件植入 利用电子邮件发送植入木马 525.5.2 木马的实现原理与攻击技术被动植入 包括：软件下载一些非正规的网站以提供软件

36、下载为名义，将木马捆绑在软件安装程序上，下载后只要一运行这些程序，木马就会自动安装。利用共享文件学校或单位的局域网里为了学习和工作方便，会将许多硬盘或文件夹共享出来，甚至不加密码，具有可写权限。利用Autorun文件传播这一方法主要是利用Autorun文件自动运行的特性，通过U盘植入。网页浏览传播这种方法利用Script/ActiveX控件、JavaApplet等技术编写出一个HTML网页，当浏览该页面时，会在后台将木马程序下载到计算机缓存中，然后修改系统注册表，使相关键值指向“木马”程序。535.5.2 木马的实现原理与攻击技术木马的自动加载技术 针对Windows系统，木马程序的自动加载运

37、行主要有以下一些方法：修改系统文件。修改目标的系统文件以达到自动加载的目的。修改系统注册表修改文件打开关联 修改任务计划修改组策略 替换系统自动运行的文件 替换系统DLL 作为服务启动 利用AppInit_DLLs 注入545.5.2 木马的实现原理与攻击技术木马隐藏技术 主要分为两类：主机隐藏和通信隐藏。主机隐藏主要指在主机系统上表现为正常的进程。主机隐藏方式很多，主要有文件隐藏、进程隐藏等。文件隐藏主要有两种方式采用欺骗的方式伪装成其它文件伪装成系统文件， 555.5.2 木马的实现原理与攻击技术进程隐藏 动态链接库注入技术，将“木马”程序做成一个动态链接库文件，并将调用动态链接库函数的语

38、句插入到目标进程，这个函数类似于普通程序中的入口程序。Hooking API技术。通过修改API函数的入口地址的方法来欺骗试图列举本地所有进程的程序 565.5.2 木马的实现原理与攻击技术通信隐藏主要包括通信端口隐藏、内容隐藏采用以下技术： 复用正常服务端口。直接绑定到正常用户进程的端口，接受数据后，根据包格式判断是不是自己的，如果是自己处理，如果不是通过的地址交给真正的服务器应用进行处理，以利用正常的网络连接隐藏木马的通信状态。 采用其它不需要端口的协议进行通信。如ICMP协议，主要缺点是防火墙可能把所有ICMP协议的信息过滤掉。利用“反弹端口”技术。木马程序启动后主动连接客户，为了隐蔽起

39、见，控制端的被动端口一般开在80。利用SPI防火墙技术隐藏。采用嗅探技术 575.5.2 木马的实现原理与攻击技术远程控制端口扫描。采用端口扫描技术获得那些安装了木马主机的IP地址。一旦发现中了木马的主机则添加到客户端控制程序的木马主机列表。邮件发送。一些木马具有邮件发送功能，在设置木马程序时，填入免费邮箱，一旦木马程序启动，就会将其植入主机的IP地址发送给植入者的邮箱。植入者根据IP地址和对应的端口与木马建立连接通道。如网络公牛等。UDP通知。植入者将自己的IP地址写到主页空间的指定文件里，被植入的木马读取文件的内容，得到客户端的IP地址以及其它信息（主机名、IP地址、上线时间等等），然后木

40、马用UDP协议发送给植入者，如网络神偷就是采用了该项技术。利用QQ、MSN等通信软件585.5.2 木马的实现原理与攻击技术木马危害 窃取密码 远程访问控制DoS攻击代理攻击程序杀手595.5.4 木马的防御根据木马工作原理，木马检测一般有以下一些方法 ：扫描端口大部分的木马服务器端会在系统中监听某个端口，因此，通过查看系统上开启了那些端口能有效地发现远程控制木马的踪迹。 检查系统进程 很多木马在运行期间都会在系统中生成进程。因此，检查进程是一种非常有效的发现木马踪迹方法。检查ini文件、注册表和服务等自启动项 监视网络通讯，木马的通信监控可以通过防火墙来监控605.5.5 几款免费的木马专杀

41、工具几款免费木马专杀工具如：Windows清理助手、恶意软件清理助手、Atool、冰刃 冰刃(Icesword)是专业查杀木马工具中较好的工具之一 ，杀木马特点： 删除文件，许多木马文件为了防止删除，具有写保护功能，无法直接删除。冰刃提供了可以完全删除任何文件的功能。 删除注册表项。木马可以隐藏注册表项让Windows自带的注册表工具rgedit无法显示或删除，而冰刃程序可以容易做到删除任意的注册表项和显示所有的注册表项。615.5.5 几款免费的木马专杀工具终止任意的进程。冰刃程序可以删除除idle进程、System进程、csrss进程以外的所有进程查看进程通信情况。 查看消息钩子。 线程创

42、建和线程终止监视。 查看SPI和BHO。 其它功能。如自启动项管理、服务查看等功能。625.6网络钓鱼 5.6.1 网络钓鱼技术 网络钓鱼是通过发送声称来自于银行或其它知名机构的欺骗性垃圾邮件，或者伪装成其Web站点，意图引诱收信人或网站浏览者给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。网络钓鱼的攻击方法主要有以下几种 建立假冒网上银行、网上证券的网站，骗取用户帐号密码实施盗窃。犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡

43、、证券交易卡盗窃资金 635.6.1 网络钓鱼技术发送电子邮件，以虚假信息引诱用户中圈套 攻击者以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金 利用虚假的电子商务进行诈骗 此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹 645.6.1 网络钓鱼技术利用QQ、MSN甚至手机短信等即时通信方式欺骗用户 冒充软件运营商告诉某用户中奖或者免费获得游戏币等

44、方式，这一方法的主要欺骗目的是获取游戏币，或者通过移动服务上收取信息费。利用木马和黑客技术等手段窃取用户信息后实施盗窃活动 木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁。655.6.2 网络钓鱼的防御对于用户端，可以采用以下措施 尽量不通过链接打开网页，而是直接输入域名访问网络。 对于需要输入帐号和密码的网站再三确认.给网络浏览器程序安装补丁，使其补丁保持在最新状态.利用已有的防病毒软件，实时防御钓鱼网站。 665.7僵尸网络 5.7.1 概述僵尸网络是攻击

45、者通过网络传播僵尸程序，利用一对多的命令与控制信道控制大量主机，攻击其它网络或主机，从而得到自己恶意目的的网络。 675.7.1 概述 一个僵尸网络由以下部分组成 僵尸（Bot）：置于被控制主机，能够按照预定义的指令执行操作，具有一定智能的程序。僵尸计算机(Zombie)：是指被植入僵尸的计算机。僵尸网络控制服务器可以将僵尸主机连接的IRC服务器，控制者通过该服务器向僵尸主机发送命令进行控制。685.7.1 概述僵尸网络主要有以下危害 分布式拒绝服务攻击(DDoS)。 发送垃圾邮件 窃取秘密。 取得非法利益资源 作为攻击跳板 695.7.2 僵尸网络的工作原理分析僵尸网络一般采用以下几种手段感染受害主机 主动攻击漏洞是通过攻击系统所存在的漏洞获得访问权，并将僵尸程序植入受害主机，从而感染成为僵尸主机。邮件病毒通常在邮件附件中携带僵尸程序或者在邮件内容中包含下载执行僵尸程序的链接，使得接收者主机被感染成为僵尸主机。即时通信软件攻击者攻陷即时通信的用户，并利用好友列表发送执行僵尸程序的链接，从而进