網(wǎng)絡(luò)安全技術(shù)項(xiàng)目化教程項(xiàng)目4計(jì)算機(jī)病毒及防治

1、4 計(jì)算機(jī)病毒及防治1 雙機(jī)互連對(duì)等網(wǎng)絡(luò)的組建 14.1 項(xiàng)目提出 有一天，小李在QQ聊天時(shí)，收到一位網(wǎng)友發(fā)來的信息，如圖4-1所示，出于好奇和對(duì)網(wǎng)友的信任，小李打開了網(wǎng)友提供的超鏈接，此時(shí)突然彈出一個(gè)無法關(guān)閉的窗口，提示系統(tǒng)即將在一分鐘以后關(guān)機(jī)，并進(jìn)入一分鐘倒計(jì)時(shí)狀態(tài)，如圖4-2所示。小李驚呼上當(dāng)受騙，那么小李的計(jì)算機(jī)究竟怎么了？24.2 項(xiàng)目分析 小李的計(jì)算機(jī)中了沖擊波(Worm.Blaster)病毒。2002年8月12日，沖擊波病毒導(dǎo)致全球范圍內(nèi)數(shù)以億計(jì)的計(jì)算機(jī)中毒，所帶來的直接經(jīng)濟(jì)損失達(dá)數(shù)十億美金。病毒運(yùn)行時(shí)會(huì)不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Windows 2000或XP的計(jì)算機(jī)

2、，找到后就利用RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常、不停重新啟動(dòng)、甚至導(dǎo)致系統(tǒng)崩潰。另外，該病毒還會(huì)對(duì)Microsoft的一個(gè)升級(jí)網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級(jí)系統(tǒng)。3病毒手動(dòng)清除方法：用DOS系統(tǒng)啟動(dòng)盤啟動(dòng)進(jìn)入DOS環(huán)境下，刪除C:windowsmsblast.exe文件；也可安全模式下刪除該文件。預(yù)防方法：打上RPC漏洞安全補(bǔ)丁。據(jù)北京江民新科技術(shù)有限公司統(tǒng)計(jì)，2011年上半年最為活躍的病毒類型為木馬病毒，其共占據(jù)所有病毒數(shù)量中60%的比例。其次，分別為蠕蟲病毒和后門病毒。這三種類型的病毒共占據(jù)所有

3、病毒數(shù)量中83%的比例，如圖4-3所示，可見目前網(wǎng)民面臨的首要威脅仍舊來自于這三種傳統(tǒng)的病毒類型。防范計(jì)算機(jī)病毒等的有效方法是除了及時(shí)打上各種安全補(bǔ)丁外，還應(yīng)安裝反病毒工具，并進(jìn)行合理設(shè)置，比較常見的工具有360殺毒軟件、360安全衛(wèi)士等。44.3 相關(guān)知識(shí)點(diǎn) 4.3.1 計(jì)算機(jī)病毒的概念1. 計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒在中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中被明確定義，病毒指“編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。52. 計(jì)算機(jī)病毒的產(chǎn)生與發(fā)展隨著計(jì)算機(jī)應(yīng)用的普及，早期就有一些科普作家意識(shí)到可能會(huì)有人利用計(jì)算機(jī)

4、進(jìn)行破壞，提出了“計(jì)算機(jī)病毒”這個(gè)概念。不久，計(jì)算機(jī)病毒便在理論、程序上都得到了證實(shí)。1949年，計(jì)算機(jī)的創(chuàng)始人馮諾依曼發(fā)表復(fù)雜自動(dòng)裝置的理論及組識(shí)的進(jìn)行的論文，提出了計(jì)算機(jī)程序可以在內(nèi)存中進(jìn)行自我復(fù)制和變異的理論。61959年，美國著名的AT&T貝爾實(shí)驗(yàn)室中，三個(gè)年輕人在工作之余，很無聊的玩起一種游戲: 彼此撰寫出能夠吃掉別人程序的程序來互相作戰(zhàn)。這個(gè)叫做磁芯大戰(zhàn)（core war）的游戲，進(jìn)一步將電腦病毒感染性的概念體現(xiàn)出來。1975年，美國科普作家約翰布魯勒爾寫了一本名為震蕩波騎士的書，該書第一次描寫了在信息社會(huì)中，計(jì)算機(jī)作為正義和邪惡雙方斗爭的工具的故事，成為當(dāng)年最佳暢銷書之一。 19

5、77年夏天，托馬斯.捷.瑞安的科幻小說P-1的青春成為美國的暢銷書，轟動(dòng)了科普界。作者幻想了世界上第一個(gè)計(jì)算機(jī)病毒，可以從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)計(jì)算機(jī)，最終控制了7000臺(tái)計(jì)算機(jī)，釀成了一場災(zāi)難。71983年，F(xiàn)red Cohen博士研制出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序。并在全美計(jì)算機(jī)安全會(huì)議上提出和在VAX II/150機(jī)上演示，從而證實(shí)計(jì)算機(jī)病毒的存在，這也是公認(rèn)的第一個(gè)計(jì)算機(jī)病毒程序的出現(xiàn)。世界上公認(rèn)的第一個(gè)在個(gè)人電腦上廣泛流行的病毒是1986年初誕生的大腦(Brain)病毒，又稱 “巴基斯坦”病毒。1988年，羅伯特莫里斯 (Robert Morris) 制造的蠕蟲病毒是首個(gè)

6、通過網(wǎng)絡(luò)傳播而震撼世界的“計(jì)算機(jī)病毒侵入網(wǎng)絡(luò)的案件”。81998年，臺(tái)灣大學(xué)生陳盈豪研制的迄今為止破壞性最嚴(yán)重的病毒CIH病毒，也是世界上首例破壞計(jì)算機(jī)硬件的病毒。它發(fā)作時(shí)不僅破壞硬盤的引導(dǎo)區(qū)和分區(qū)表，而且破壞計(jì)算機(jī)系統(tǒng)的BIOS，導(dǎo)致主板損壞。1999年，Melissa是最早通過電子郵件傳播的病毒之一，當(dāng)用戶打開一封電子郵件的附件，病毒會(huì)自動(dòng)發(fā)送到用戶通訊簿中的前50個(gè)地址，因此這個(gè)病毒在數(shù)小時(shí)之內(nèi)傳遍全球。2003年，沖擊波病毒利用了Microsoft軟件中的一個(gè)缺陷，對(duì)系統(tǒng)端口進(jìn)行瘋狂攻擊，可以導(dǎo)致系統(tǒng)崩潰。9沖突域和廣播域2007年，“熊貓燒香”病毒會(huì)使所有程序圖標(biāo)變成熊貓燒香，并使它

7、們不能應(yīng)用。2009年，木馬下載器病毒會(huì)產(chǎn)生10002000不等的木馬病毒，導(dǎo)致系統(tǒng)崩潰，短短3天變成360安全衛(wèi)士首殺榜前三名。2011年，U盤寄生蟲病毒利用自動(dòng)播放特性激活自身，運(yùn)行后可執(zhí)行下載其它惡意程序、感染存儲(chǔ)設(shè)備根目錄等功能。10沖突域和廣播域計(jì)算機(jī)病毒的主要發(fā)展趨勢有以下6個(gè)方面。 網(wǎng)絡(luò)成為計(jì)算機(jī)病毒傳播的主要載體，局域網(wǎng)、Web站點(diǎn)、電子郵件、P2P、IM聊天工具都成為病毒傳播的渠道。 網(wǎng)絡(luò)蠕蟲成為最主要和破壞力最大的病毒類型，此類病毒的編寫更加簡單。 惡意網(wǎng)頁代碼、腳本及ActiveX的使用，使基于Web頁面的攻擊成為破壞的新類型。病毒的傳播方式以網(wǎng)頁掛馬為主。11交換機(jī)的互

8、連方式 出現(xiàn)帶有明顯病毒特征的木馬或木馬特征的病毒，病毒與黑客程序緊密結(jié)合。病毒制造、傳播者在巨大利益的驅(qū)使下，利用病毒木馬技術(shù)進(jìn)行網(wǎng)絡(luò)盜竊、詐騙活動(dòng)，通過網(wǎng)絡(luò)販賣病毒、木馬，教授病毒編制技術(shù)和網(wǎng)絡(luò)攻擊技術(shù)等形式的網(wǎng)絡(luò)犯罪活動(dòng)明顯增多。 病毒自我防御能力不斷提高，難于及時(shí)被發(fā)現(xiàn)和清除。此外，病毒生成器的出現(xiàn)和使用，使得病毒變種更多，難于清除。 跨操作系統(tǒng)平臺(tái)病毒出現(xiàn)，病毒作用范圍不僅限于普通計(jì)算機(jī)。2000年6月，世界上第一個(gè)手機(jī)病毒VBS.Timofonica在西班牙出現(xiàn)。123. 計(jì)算機(jī)病毒發(fā)作的癥狀 計(jì)算機(jī)系統(tǒng)運(yùn)行速度減慢，計(jì)算機(jī)運(yùn)行比平常遲鈍，程序載入時(shí)間比平常久。 磁盤出現(xiàn)異常訪問，

9、在無數(shù)據(jù)讀寫要求時(shí)，系統(tǒng)自動(dòng)頻繁讀寫磁盤。 屏幕上出現(xiàn)異常顯示。 文件長度、日期、時(shí)間、屬性等發(fā)生變化。 系統(tǒng)可用資源(如內(nèi)存)容量忽然大量減少，CPU利用率過高。13 系統(tǒng)內(nèi)存中增加一些不熟悉的常駐程序，或注冊表啟動(dòng)項(xiàng)目中增加了一些特殊程序。 文件奇怪地消失，或被修改，或用戶不可以刪除文件。 WORD或EXCEL提示執(zhí)行“宏”。 網(wǎng)絡(luò)主機(jī)信息與參數(shù)被修改，不能連接到網(wǎng)絡(luò)。用戶連接網(wǎng)絡(luò)時(shí)，莫名其妙地連接到其他站點(diǎn)，一般釣魚網(wǎng)站病毒與ARP病毒會(huì)產(chǎn)生此類現(xiàn)象。 殺毒軟件被自動(dòng)關(guān)閉或不能使用。144.3.2 計(jì)算機(jī)病毒的特征 傳染性。計(jì)算機(jī)病毒會(huì)通過各種媒介從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)

10、。這些媒介可以是程序、文件、存儲(chǔ)介質(zhì)、網(wǎng)絡(luò)等。 隱蔽性。不經(jīng)過程序代碼分析或計(jì)算機(jī)病毒代碼掃描，計(jì)算機(jī)病毒程序與正常程序是不容易區(qū)分的。在沒有防護(hù)措施的情況下，計(jì)算機(jī)病毒程序一經(jīng)運(yùn)行并取得系統(tǒng)控制權(quán)后，可以迅速感染給其他程序，而在此過程中屏幕上可能沒有任何異常顯示。這種現(xiàn)象就是計(jì)算機(jī)病毒傳染的隱蔽性。15 潛伏性。病毒具有依附其他媒介寄生的能力，它可以在磁盤、光盤或其他介質(zhì)上潛伏幾天，甚至幾年。不滿足其觸發(fā)條件時(shí)，除了感染其他文件以外不做破壞；觸發(fā)條件一旦得到滿足，病毒就四處繁殖、擴(kuò)散、破壞。 觸發(fā)性。計(jì)算機(jī)病毒發(fā)作往往需要一個(gè)觸發(fā)條件，其可能利用計(jì)算機(jī)系統(tǒng)時(shí)鐘、病毒體自帶計(jì)數(shù)器、計(jì)算機(jī)內(nèi)執(zhí)行

11、的某些特定操作等。如CIH病毒在每年4月26日發(fā)作，而一些郵件病毒在打開附件時(shí)發(fā)作。16 破壞性。當(dāng)觸發(fā)條件滿足時(shí)，病毒在被感染的計(jì)算機(jī)上開始發(fā)作。根據(jù)計(jì)算機(jī)病毒的危害性不同，病毒發(fā)作時(shí)表現(xiàn)出來的癥狀和破壞性可能有很大差別。從顯示一些令人討厭的信息，到降低系統(tǒng)性能、破壞數(shù)據(jù)(信息)，直到永久性摧毀計(jì)算機(jī)硬件和軟件，造成系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓等。 不可預(yù)見性。病毒相對(duì)于殺毒軟件永遠(yuǎn)是超前的，從理論上講，沒有任何殺毒軟件可以殺除所有的病毒。17為了達(dá)到保護(hù)自己的目的，計(jì)算機(jī)病毒作者在編寫病毒程序時(shí)，一般都采用一些特殊的編程技術(shù)，例如： 自加密技術(shù)。就是為了防止被計(jì)算機(jī)病毒檢測程序掃描出來，并被輕易地反

12、匯編。計(jì)算機(jī)病毒使用了加密技術(shù)后，對(duì)分析和破譯計(jì)算機(jī)病毒的代碼及清除計(jì)算機(jī)病毒等工作都增加了很多困難。 采用變形技術(shù)。當(dāng)某些計(jì)算機(jī)病毒編制者通過修改某種已知計(jì)算機(jī)病毒的代碼，使其能夠躲過現(xiàn)有計(jì)算機(jī)病毒檢測程序時(shí)，稱這種新出現(xiàn)的計(jì)算機(jī)病毒是原來被修改前計(jì)算機(jī)病毒的變形。當(dāng)這種變形了的計(jì)算機(jī)病毒繼承了原父本計(jì)算機(jī)病毒的主要特征時(shí)，就稱為是其父本計(jì)算機(jī)病毒的一個(gè)變種。18 對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)。計(jì)算機(jī)病毒采用對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng)技術(shù)時(shí)，當(dāng)發(fā)現(xiàn)磁盤上有某些著名的計(jì)算機(jī)病毒殺毒軟件或在文件中查找到出版這些軟件的公司名稱時(shí)，就會(huì)刪除這些殺毒軟件或文件，造成殺毒軟件失效，甚至引起計(jì)算機(jī)系統(tǒng)崩潰。 反跟蹤

13、技術(shù)。計(jì)算機(jī)病毒采用反跟蹤措施的目的是要提高計(jì)算機(jī)病毒程序的防破譯能力和偽裝能力。常規(guī)程序使用的反跟蹤技術(shù)在計(jì)算機(jī)病毒程序中都可以利用。194.3.3 計(jì)算機(jī)病毒的分類1. 按病毒存在的媒體分 網(wǎng)絡(luò)病毒，文件型病毒，引導(dǎo)型病毒網(wǎng)絡(luò)病毒通過計(jì)算機(jī)網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件文件型病毒感染計(jì)算機(jī)中的文件（如：.com、.exe和.bat文件等）引導(dǎo)型病毒感染啟動(dòng)扇區(qū)(Boot)和硬盤的系統(tǒng)主引導(dǎo)記錄(MBR)。 202. 按病毒傳染的方法分駐留型病毒和非駐留型病毒駐留型病毒感染計(jì)算機(jī)后，把自身的內(nèi)存駐留部分放在內(nèi)存(RAM)中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去，它處于激活狀態(tài)，一直到

14、關(guān)機(jī)或重新啟動(dòng)。非駐留型病毒在得到機(jī)會(huì)激活時(shí)并不感染計(jì)算機(jī)內(nèi)存一些病毒在內(nèi)存中留有小部分，但是并不通過這一部分進(jìn)行傳染，這類病毒也被劃分為非駐留型病毒。 213. 按病毒破壞的能力分無害型、無危險(xiǎn)型、危險(xiǎn)型和非常危險(xiǎn)型。 無害型。除了傳染時(shí)減少磁盤的可用空間外，對(duì)系統(tǒng)沒有其它影響。 無危險(xiǎn)型。這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。 危險(xiǎn)型。這類病毒在計(jì)算機(jī)系統(tǒng)操作中造成嚴(yán)重的錯(cuò)誤。 非常危險(xiǎn)型。這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。224. 按病毒鏈接的方式分 源碼型病毒。該病毒攻擊高級(jí)語言編寫的程序，該病毒在高級(jí)語言所編寫的程序編譯前插入到源程序中

15、，經(jīng)編譯成為合法程序的一部分。 嵌入型病毒。這種病毒是將自身嵌入到現(xiàn)有程序中，把病毒的主體程序與其攻擊的對(duì)象以插入的方式鏈接。這種病毒是難以編寫的，一旦侵入程序體后也較難消除。 外殼型病毒。該病毒將其自身包圍在主程序的四周，對(duì)原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般測試文件的大小即可知道。 操作系統(tǒng)型病毒。這種病毒用它自己的程序意圖加入或取代部分操作系統(tǒng)的程序模塊進(jìn)行工作，具有很強(qiáng)的破壞性，可以導(dǎo)致整個(gè)系統(tǒng)的癱瘓。235. 按病毒激活的時(shí)間分 定時(shí)型病毒。定時(shí)型病毒是在某一特定時(shí)間才發(fā)作的病毒，它以時(shí)間為發(fā)作的觸發(fā)條件，如果時(shí)間不滿足，此類病毒將不會(huì)進(jìn)行破壞活動(dòng)。 隨機(jī)

16、型病毒。與定時(shí)型病毒不同的是隨機(jī)型病毒，此類病毒不是通過時(shí)間進(jìn)行觸發(fā)的。244.3.4 宏病毒和蠕蟲病毒1. 宏病毒宏(Macro)是Microsoft公司為其Office軟件包設(shè)計(jì)的一項(xiàng)特殊功能，Microsoft公司設(shè)計(jì)它的目的是讓人們在使用Office軟件進(jìn)行工作時(shí)避免一再地重復(fù)相同的動(dòng)作。利用簡單的語法，把常用的動(dòng)作寫成宏，在工作時(shí)，可以直接利用事先編寫好的宏自動(dòng)運(yùn)行，完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的動(dòng)作，讓用戶文檔中的一些任務(wù)自動(dòng)化。25使用Word軟件時(shí)，通用模板(Normal.dot)里面就包含了基本的宏，因此當(dāng)使用該模板時(shí)，Word為用戶設(shè)定了很多基本的格式。宏病毒是用

17、Visual Basic語言編寫的，這些宏病毒不是為了方便人們的工作而設(shè)計(jì)的，而是用來對(duì)系統(tǒng)進(jìn)行破壞的。當(dāng)含有這些宏病毒的文檔被打開時(shí)，里面的宏病毒就會(huì)被激活，并能通過DOC文檔及DOT模板進(jìn)行自我復(fù)制及傳播。以往病毒只感染程序，不感染數(shù)據(jù)文件，而宏病毒專門感染數(shù)據(jù)文件，徹底改變了“數(shù)據(jù)文件不會(huì)傳播病毒”的錯(cuò)誤認(rèn)識(shí)。宏病毒會(huì)感染Office的文檔及其模板文件。26宏病毒防范措施 提高宏的安全級(jí)別。目前，高版本的Word軟件可以設(shè)置宏的安全級(jí)別，在不影響正常使用的情況下，應(yīng)該選擇較高的安全級(jí)別。 刪除不知來路的宏定義。 將Normal.dot模板進(jìn)行備份，當(dāng)被病毒感染后，使用備份模板進(jìn)行覆蓋。如

18、果懷疑外來文件含有宏病毒，可以使用寫字板軟件打開該文件，然后將文本粘貼到Word文檔中，轉(zhuǎn)換后的文檔是不會(huì)含有宏病毒的。272. 蠕蟲病毒(1) 蠕蟲病毒的概念蠕蟲(Worm)病毒是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等，同時(shí)具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合。在產(chǎn)生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。28根據(jù)使用者情況可將蠕蟲病毒分為兩類。一類是面向企業(yè)用戶和局域網(wǎng)的，這類病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，對(duì)整個(gè)Inter

19、net可造成癱瘓性的后果，如“尼姆達(dá)”、“SQL蠕蟲王”、“沖擊波”等。另一類是針對(duì)個(gè)人用戶的，通過網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁形式)迅速傳播，以愛蟲病毒、求職信病毒為代表。在這兩類蠕蟲病毒中，第一類具有很大的主動(dòng)攻擊性，而且爆發(fā)也有一定的突然性。第二類病毒的傳播方式比較復(fù)雜、多樣，少數(shù)利用了Microsoft應(yīng)用程序的漏洞，更多的是利用社會(huì)工程學(xué)對(duì)用戶進(jìn)行欺騙和誘使，這樣的病毒造成的損失是非常大的，同時(shí)也是很難根除的，比如求職信病毒，在2001年就已經(jīng)被各大殺毒廠商發(fā)現(xiàn)，但直到2002年底依然排在病毒危害排行榜的首位。29(2) 蠕蟲病毒與一般病毒的區(qū)別30(3) “熊貓燒香”病毒實(shí)例20

20、06年底，“熊貓燒香”病毒在我國Internet上大規(guī)模爆發(fā)，由于該病毒傳播手段極為全面，并且變種頻繁更新，讓用戶和殺毒廠商防不勝防，被列為2006年10大病毒之首?！靶茇垷恪辈《臼且环N蠕蟲病毒(尼姆達(dá))的變種，而且是經(jīng)過多次變種而來的。由于中毒計(jì)算機(jī)的可執(zhí)行文件會(huì)出現(xiàn)“熊貓燒香”圖案，所以被稱為“熊貓燒香”病毒?！靶茇垷恪辈《臼怯肈elphi語言編寫的，這是一個(gè)有黑客性質(zhì)感染型的蠕蟲病毒(即：蠕蟲木馬)。2007年2月，“熊貓燒香”病毒設(shè)計(jì)者李俊歸案，交出殺病毒軟件。2007年9月，湖北省仙桃市法院一審以破壞計(jì)算機(jī)信息系統(tǒng)罪判處李俊有期徒刑4年。31 感染“熊貓燒香”病毒的癥狀關(guān)閉眾多殺

21、毒軟件和安全工具。感染所有EXE、SCR、PIF、COM文件，并更改圖標(biāo)為燒香熊貓，如圖4-4所示。32循環(huán)遍歷磁盤，感染文件，對(duì)關(guān)鍵系統(tǒng)文件跳過，不感染W(wǎng)indows媒體播放器、MSN、IE等程序。在硬盤各個(gè)分區(qū)中生成文件autorun.inf和setup.exe。感染所有.htm、.html、.asp、.php、.jsp、.aspx文件，添加木馬惡意代碼，導(dǎo)致用戶一打開這些網(wǎng)頁文件，IE就會(huì)自動(dòng)連接到指定的病毒網(wǎng)址中下載病毒。自動(dòng)刪除*.gho文件，使用戶的系統(tǒng)備份文件丟失。計(jì)算機(jī)會(huì)出現(xiàn)藍(lán)屏、頻繁重新啟動(dòng)。33 “熊貓燒香”病毒的傳播途徑。通過U盤和移動(dòng)硬盤進(jìn)行傳播。通過局域網(wǎng)共享文件夾、

22、系統(tǒng)弱口令等傳播，當(dāng)病毒發(fā)現(xiàn)能成功連接攻擊目標(biāo)的139或445端口后，將使用內(nèi)置的一個(gè)用戶列表及密碼字典進(jìn)行連接。(猜測被攻擊端的密碼)當(dāng)成功的連接上以后，將自己復(fù)制過去并利用計(jì)劃任務(wù)啟動(dòng)激活病毒。通過網(wǎng)頁傳播。34“熊貓燒香”病毒所造成的破壞。關(guān)閉眾多殺毒軟件。每隔1秒尋找桌面窗口，并關(guān)閉窗口標(biāo)題中含有以下字符的程序：QQKav、QQAV、防火墻、進(jìn)程、VirusScan、網(wǎng)鏢、殺毒、毒霸、瑞星、江民、超級(jí)兔子、優(yōu)化大師、木馬克星、注冊表編輯器、卡巴斯基反病毒、Symantec AntiVirus、Duba修改注冊表。修改注冊表，使得病毒能自啟動(dòng)、刪除安全軟件在注冊表中的鍵值、不顯示隱藏文件

23、、刪除相關(guān)安全服務(wù)等。下載病毒文件。每隔10秒，下載病毒制作者指定的文件，并用命令行檢查系統(tǒng)中是否存在共享，如果共享存在就運(yùn)行net share命令關(guān)閉admin$共享。354.3.5 木馬木馬全稱“特洛伊木馬”，英文名稱為Trojan Horse，據(jù)說這個(gè)名稱來源于希臘神話木馬屠城記。古希臘大軍圍攻特洛伊城，久久無法攻下。于是有人獻(xiàn)計(jì)制造一只高二丈的大木馬，假裝作戰(zhàn)馬神，讓士兵藏匿于巨大的木馬中，大部隊(duì)假裝撤退而將木馬擯棄于特洛伊城下。城中得知解圍的消息后，遂將“木馬”作為奇異的戰(zhàn)利品拖入城內(nèi)，全城飲酒狂歡。到午夜時(shí)分，全城軍民盡入夢鄉(xiāng)，匿于木馬中的將士開秘門游繩而下，開啟城門及四處縱火，城

24、外伏兵涌入，部隊(duì)里應(yīng)外合，焚屠特洛伊城。后世稱這只大木馬為“特洛伊木馬”，如今黑客程序借用其名，有“一經(jīng)潛入，后患無窮”之意。36木馬是一種目的非常明確的有害程序，通常會(huì)通過偽裝吸引用戶下載并執(zhí)行。一旦用戶觸發(fā)了木馬程序(俗稱種馬)，被種馬的計(jì)算機(jī)就會(huì)為施種木馬者提供一條通道，使施種者可以任意毀壞、竊取被種者的文件、密碼等，甚至遠(yuǎn)程操控被種者的計(jì)算機(jī)。木馬程序通常會(huì)設(shè)法隱藏自己，以騙取用戶的信任。木馬程序?qū)τ脩舻耐{越來越大，尤其是一些木馬程序采用了極其特殊的手段來隱藏自己，使普通用戶很難在中毒后發(fā)覺。371. 服務(wù)端和客戶端木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶端，即控制端；另一個(gè)是服務(wù)端，即

25、被控制端。黑客們將服務(wù)端成功植入用戶的計(jì)算機(jī)后，就有可能通過客戶端“進(jìn)入”用戶的計(jì)算機(jī)。被植入木馬服務(wù)端的計(jì)算機(jī)常稱被“種馬”，也俗稱為“中馬”。用戶一旦運(yùn)行了被種植在計(jì)算機(jī)中的木馬服務(wù)端，就會(huì)有一個(gè)或幾個(gè)端口被打開，使黑客有可能利用這些打開的端口進(jìn)入計(jì)算機(jī)系統(tǒng)，安全和個(gè)人隱私也就全無保障了。木馬服務(wù)端一旦運(yùn)行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計(jì)算機(jī)增加口令，瀏覽、移動(dòng)、復(fù)制、刪除文件，修改注冊表，更改計(jì)算機(jī)配置等。由于運(yùn)行了木馬服務(wù)端的計(jì)算機(jī)完全被客戶端控制，任由黑客宰割，所以，運(yùn)行了木馬服務(wù)端的計(jì)算機(jī)也常被人戲稱為“肉機(jī)”。382. 木馬程序的基本特征 隱蔽性。隱

26、蔽性是木馬的首要特征。要讓遠(yuǎn)方的客戶端能成功入侵被種馬的計(jì)算機(jī)，服務(wù)端必須有效地隱藏在系統(tǒng)之中。隱藏的目的一是誘惑用戶運(yùn)行服務(wù)端；二是防止用戶發(fā)現(xiàn)被木馬感染。除了可以在任務(wù)欄中隱藏、在任務(wù)管理器中隱藏外，木馬為了隱藏自己，通常還會(huì)不產(chǎn)生程序圖標(biāo)或產(chǎn)生一些讓用戶錯(cuò)覺的圖標(biāo)。如將木馬程序的圖標(biāo)修改為文件夾圖標(biāo)或文本文件圖標(biāo)后，由于系統(tǒng)默認(rèn)是“隱藏已知文件類型的擴(kuò)展名”，用戶就有可能將其誤認(rèn)為是文件夾或文本文件。39 自動(dòng)運(yùn)行性。木馬除會(huì)誘惑用戶運(yùn)行外，通常還會(huì)自啟動(dòng)，即當(dāng)用戶的系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行木馬程序。 欺騙性。木馬程序?yàn)榱诉_(dá)到長期潛伏的目的，常會(huì)使用與系統(tǒng)文件相同或相近的文件名以explore

27、r.exe(Windows資源管理器)為例，這是一個(gè)非常重要的系統(tǒng)文件，正確的位置為C:Windowsexplorer.exe。不少木馬和病毒都在這個(gè)文件上做文章，如將木馬文件置于其他文件夾中并命名為explorer.exe，或?qū)⒛抉R文件命名為exp1orer.exe(將字母“l(fā)”用數(shù)字“1”代替)或expl0rer.exe(將字母“o”用數(shù)字“0”代替)，并將其存放在C:Windows中。40 能自動(dòng)打開特定的端口。和一般的病毒不同，木馬程序潛入用戶的計(jì)算機(jī)主要目的不是為了破壞系統(tǒng)，而是為了獲取系統(tǒng)中的有用信息。正因?yàn)槿绱?，木馬程序通常會(huì)自動(dòng)打開系統(tǒng)特定的端口，以便能和客戶端進(jìn)行通信。 功能

28、的特殊性。木馬通常都具有特定的目的，其功能也就有特殊性。以盜號(hào)類的木馬為例，除了能對(duì)用戶的文件進(jìn)行操作之外，還會(huì)搜索cache中的口令、記錄用戶鍵盤的操作等。413. 木馬程序功能木馬程序由服務(wù)端和客戶端兩部分組成，所以木馬程序是典型的Client/Server(客戶機(jī)/服務(wù)器，C/S)結(jié)構(gòu)的程序。木馬程序的主要功能是進(jìn)行遠(yuǎn)程控制，黑客使用客戶端程序遠(yuǎn)程控制被植入服務(wù)端的計(jì)算機(jī)，對(duì)“肉機(jī)”進(jìn)行遠(yuǎn)程監(jiān)控、盜取系統(tǒng)中的密碼信息和其他有用資料、對(duì)肉機(jī)進(jìn)行遠(yuǎn)程控制等。424. 木馬的分類常見的木馬主要可以分為以下9大類。(1) 破壞型木馬。這種木馬唯一的功能就是破壞并刪除文件，它們能夠刪除目標(biāo)機(jī)上的D

29、LL、INI、EXE文件，計(jì)算機(jī)一旦被感染其安全性就會(huì)受到嚴(yán)重威脅。(2) 密碼發(fā)送型木馬。這種木馬可以找到目標(biāo)機(jī)的隱藏密碼，在受害者不知道的情況下，把它們發(fā)送到指定的郵箱。有人喜歡把自己的各種密碼以文件的形式存放在計(jì)算機(jī)中，認(rèn)為這樣方便；還有人喜歡用Windows提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。這類木馬恰恰是利用這一點(diǎn)獲取目標(biāo)機(jī)的密碼，它們大多數(shù)會(huì)在每次啟動(dòng)Windows時(shí)重新運(yùn)行，而且大多使用25號(hào)端口發(fā)送E-mail。43(3) 遠(yuǎn)程訪問型木馬。這種木馬是使用最廣泛的木馬，它可以遠(yuǎn)程訪問被攻擊者的硬盤。只要有人運(yùn)行了服務(wù)端程序，客戶端通過掃描等手段知道了服務(wù)端的IP地

30、址，就可以實(shí)現(xiàn)遠(yuǎn)程控制。當(dāng)然，這種遠(yuǎn)程控制也可以用于教師監(jiān)控學(xué)生在機(jī)器上的所有操作。遠(yuǎn)程訪問木馬會(huì)在目標(biāo)機(jī)上打開一個(gè)端口，而且有些木馬還可以改變端口、設(shè)置連接密碼等，為的是只有黑客自己來控制這個(gè)木馬。因此，用戶經(jīng)常改變端口的選項(xiàng)是非常重要的，只有改變了端口才會(huì)有更大的隱蔽性。44(4) 鍵盤記錄木馬。這種木馬可以隨著Windows的啟動(dòng)而啟動(dòng)，記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。它們有在線記錄和離線記錄兩種選項(xiàng)，可以分別記錄用戶在線和離線狀態(tài)下敲擊鍵盤時(shí)的按鍵情況，也就是說在目標(biāo)計(jì)算機(jī)上按過什么按鍵，黑客可以從記錄中知道，并從中找出密碼信息，甚至是信用卡賬號(hào)。這種類型的木馬，很多都

31、具有郵件發(fā)送功能，木馬找到需要的密碼后，將自動(dòng)把密碼發(fā)送到黑客指定的郵箱。45(5) DoS 攻擊木馬。隨著DOS(拒絕服務(wù))攻擊的增多，被用于DOS攻擊的木馬也越來越多。當(dāng)黑客入侵一臺(tái)機(jī)器后，為其種上DOS 攻擊木馬，那么日后這臺(tái)計(jì)算機(jī)就成為黑客DOS 攻擊的最得力助手。黑客控制的肉雞數(shù)量越多，發(fā)動(dòng)DOS攻擊取得成功的機(jī)率就越大。所以，這種木馬的危害不是體現(xiàn)在被感染計(jì)算機(jī)上，而是體現(xiàn)在黑客利用它來攻擊一臺(tái)又一臺(tái)計(jì)算機(jī)，給網(wǎng)絡(luò)造成很大的傷害和帶來損失。(6) FTP 木馬。這種木馬是最簡單而古老的木馬，它的唯一功能就是打開21號(hào)端口等待用戶連接。新FTP木馬還加上密碼功能，這樣只有黑客本人才知

32、道正確的密碼，從而進(jìn)入對(duì)方計(jì)算機(jī)。46(7) 反彈端口型木馬。防火墻對(duì)于連入的連接往往會(huì)進(jìn)行非常嚴(yán)格的過濾，但是對(duì)于連出的連接卻疏于防范。和一般的木馬相反，反彈端口型木馬的服務(wù)端(被控制端)往往使用主動(dòng)端口，客戶端(控制端)使用被動(dòng)端口。木馬定時(shí)監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動(dòng)連結(jié)控制端打開的被動(dòng)端口；為了隱蔽起見，控制端的被動(dòng)端口一般是80，使用戶以為是自己在瀏覽網(wǎng)頁。47(8) 代理木馬。黑客在入侵的同時(shí)需要會(huì)掩蓋自己的足跡，謹(jǐn)防別人發(fā)現(xiàn)自己的身份。代理木馬最重要的任務(wù)就是給被控制的肉雞種上代理木馬，讓其變成攻擊者發(fā)動(dòng)攻擊的跳板。通過代理木馬，攻擊者可以在匿名的情況下使用T

33、elnet，ICQ，IRC等程序，從而隱蔽自己的蹤跡。(9) 程序殺手木馬。前面的木馬功能雖然形形色色，不過到了對(duì)方機(jī)器上要發(fā)揮作用，還需要過防木馬軟件這一關(guān)。常見的防木馬軟件有Zone Alarm，Norton Anti-Virus等。而程序殺手木馬則可以關(guān)閉對(duì)方機(jī)器上運(yùn)行的這類程序，使得其他的木馬能更好地發(fā)揮作用。484.3.6 反病毒技術(shù)1病毒檢測原理在與病毒的對(duì)抗中，及早發(fā)現(xiàn)病毒是很重要的。早發(fā)現(xiàn)，早處置，可以減少損失。檢測病毒方法有：特征代碼法、校驗(yàn)和法、行為監(jiān)測法、軟件模擬法、比較法、傳染實(shí)驗(yàn)法等這些方法依據(jù)的原理不同，實(shí)現(xiàn)時(shí)所需開銷不同，檢測范圍不同，各有所長。49 特征代碼法。

34、特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。其原理是采集所有已知病毒的特征代碼，并將這些病毒獨(dú)有的特征代碼存放在一個(gè)病毒資料庫(病毒庫)中。檢測時(shí)，以掃描的方式將待檢測文件與病毒庫中的病毒特征代碼進(jìn)行一一對(duì)比，如果發(fā)現(xiàn)有相同的特征代碼，由于特征代碼與病毒一一對(duì)應(yīng)，便可以斷定，被查文件中患有何種病毒。特征代碼法的優(yōu)點(diǎn)是：檢測準(zhǔn)確快速、可識(shí)別病毒的名稱、誤報(bào)警率低、依據(jù)檢測結(jié)果可做解毒處理。特征代碼法對(duì)從未見過的新病毒，自然無法知道其特征代碼，因而無法去檢測這些新病毒。50 校驗(yàn)和法。校驗(yàn)和法是將正常文件的內(nèi)容，計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地

35、或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，以此來發(fā)現(xiàn)文件是否感染病毒。采用校驗(yàn)和法檢測病毒既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒，但是它不能識(shí)別病毒種類，更不能報(bào)出病毒名稱。由于病毒感染并非文件內(nèi)容改變的唯一的非他性原因，文件內(nèi)容的改變有可能是正常程序引起的，所以校驗(yàn)和法常常誤報(bào)警。51 行為監(jiān)測法。利用病毒的特有行為特征來監(jiān)測病毒的方法，稱為行為監(jiān)測法。通過對(duì)病毒多年的觀察、研究，人們發(fā)現(xiàn)有一些行為是病毒的共同行為，而且比較特殊。當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報(bào)警。52 軟件模擬法。它是一種軟件分析器，用軟件方法來模擬和分析程序的運(yùn)行，之后演繹為

36、虛擬機(jī)上進(jìn)行的查毒，啟發(fā)式查毒技術(shù)等，是相對(duì)成熟的技術(shù)。新型檢測工具納入了軟件模擬法，該類工具開始運(yùn)行時(shí)，使用特征代碼法檢測病毒，如果發(fā)現(xiàn)有隱蔽性病毒或多態(tài)性病毒(采用特殊加密技術(shù)編寫的病毒)嫌疑時(shí)，啟動(dòng)軟件模擬模塊，監(jiān)視病毒的運(yùn)行，待病毒自身的密碼譯碼以后，再運(yùn)用特征代碼法來識(shí)別病毒的種類。53 比較法。比較法是用原始的或正常的文件與被檢測的文件進(jìn)行比較。比較法包括長度比較法、內(nèi)容比較法、內(nèi)存比較法、中斷比較法等。這種比較法不需要專用的檢測病毒程序，只要用常規(guī)DOS軟件和PCtools等工具軟件就可以進(jìn)行。54 傳染實(shí)驗(yàn)法。這種方法的原理是利用了病毒的最重要的基本特征：傳染性。所有的病毒都會(huì)

37、進(jìn)行傳染，如果不會(huì)傳染，就稱不上病毒。如果系統(tǒng)中有異常行為，最新版的檢測工具也查不出病毒時(shí)，就可以做傳染實(shí)驗(yàn)，運(yùn)行可疑系統(tǒng)中的程序后，再運(yùn)行一些確切知道不帶毒的正常程序，然后觀察這些正常程序的長度和校驗(yàn)和，如果發(fā)現(xiàn)有的程序長度增長，或者校驗(yàn)和發(fā)生變化，就可斷言系統(tǒng)中有病毒。552反病毒軟件到目前為止，反病毒軟件已經(jīng)經(jīng)歷了4個(gè)階段 第一代反病毒軟件采取單純的特征碼檢測技術(shù)，將病毒從染毒文件中清除。這種方法準(zhǔn)確可靠。但后來由于病毒采取了多態(tài)、變形等加密技術(shù)后，這種簡單的靜態(tài)掃描技術(shù)就有些力不從心了。 第二代反病毒軟件采用了一般的啟發(fā)式掃描技術(shù)、特征碼檢測技術(shù)和行為監(jiān)測技術(shù)，加入了病毒防火墻，實(shí)時(shí)對(duì)

38、病毒進(jìn)行動(dòng)態(tài)監(jiān)控。56 第三代反病毒軟件在第二代的基礎(chǔ)上采用了虛擬機(jī)技術(shù)，將查殺病毒合二為一，具有了能全面實(shí)現(xiàn)防、查、殺等反病毒所必備的能力，并且以駐留內(nèi)存的形式有效防止病毒的入侵。 現(xiàn)在的反病毒軟件已經(jīng)基本跨入了第四代。第四代反病毒軟件在第三代反病毒軟件的基礎(chǔ)上，結(jié)合人工智能技術(shù)，實(shí)現(xiàn)啟發(fā)式、動(dòng)態(tài)、智能的查殺技術(shù)。它采用了CRC校驗(yàn)和掃描機(jī)理、啟發(fā)式智能代碼分析模塊、動(dòng)態(tài)數(shù)據(jù)還原模塊(這種技術(shù)能一定程度上查殺加殼偽裝后的病毒)、內(nèi)存殺毒模塊、自身免疫模塊(防止自身染毒，防止自身被病毒強(qiáng)行關(guān)閉)等先進(jìn)技術(shù)，較好的克服了前幾代反病毒軟件的缺點(diǎn)。573病毒的預(yù)防 操作系統(tǒng)漏洞的檢測和安全補(bǔ)丁安裝。

39、對(duì)病毒的預(yù)防是從安裝操作系統(tǒng)開始的，安裝前應(yīng)準(zhǔn)備好操作系統(tǒng)補(bǔ)丁和反病毒軟件、防火墻軟件等。安裝操作系統(tǒng)時(shí)，必須拔掉網(wǎng)線。操作系統(tǒng)安裝完畢后，必須立即打上補(bǔ)丁并安裝反病毒軟件和防火墻軟件。 操作系統(tǒng)安全設(shè)置。必須設(shè)置登錄賬戶密碼，并且必須設(shè)置得復(fù)雜一些，不能太簡單或不設(shè)置。這部分的內(nèi)容在項(xiàng)目2中已作詳細(xì)介紹。 58 及時(shí)升級(jí)病毒特征庫。要及時(shí)升級(jí)反病毒軟件和病毒特征庫，一般可設(shè)置為每天自動(dòng)定時(shí)升級(jí)。 關(guān)閉不必要的端口。病毒入侵和傳播通常使用137、138、139和445端口，關(guān)閉這些端口后，將無法再使用網(wǎng)上鄰居和文件共享功能。建議用戶關(guān)閉這些端口。 謹(jǐn)慎安裝各種插件。訪問網(wǎng)頁時(shí)，若網(wǎng)頁彈出提示框

40、，要求安裝什么插件時(shí)，一定要看清楚是安裝什么東西，不要隨意同意安裝。59 不要隨意訪問不知名網(wǎng)站，可減少中病毒的機(jī)會(huì)，可以考慮使用帶有網(wǎng)頁防御功能的安全瀏覽器產(chǎn)品。 不要隨意下載文件、打開電子郵件附件及使用P2P傳輸文件等。 刪除系統(tǒng)中的默認(rèn)共享資源。 定期備份重要文件，定期檢查敏感文件和敏感部位。604.4 項(xiàng)目實(shí)施 4.4.1 任務(wù)1：360殺毒軟件的使用1. 任務(wù)目標(biāo) (1) 掌握360殺毒軟件的使用方法。 (2) 了解安裝殺毒軟件的重要性。2. 任務(wù)內(nèi)容 (1) 安裝360殺毒軟件。 (2) 軟件升級(jí)。 (3) 病毒查殺。 (4) 軟件卸載。613. 完成任務(wù)所需的設(shè)備和軟件 (1)

41、裝有Windows XP/2003操作系統(tǒng)的PC機(jī)1臺(tái)。 (2) 360殺毒軟件1套。624任務(wù)實(shí)施步驟360殺毒軟件是360安全中心出品的一款免費(fèi)的云安全殺毒軟件，具有查殺率高、資源占用少、升級(jí)迅速等優(yōu)點(diǎn)。360殺毒軟件于2009年10月28日通過了公安部計(jì)算機(jī)病毒防治產(chǎn)品檢驗(yàn)中心的檢驗(yàn)，2009年12月首次參加國際權(quán)威VB100認(rèn)證即獲通過，2011年4月11日再度高分通過VB100測試。(1) 安裝360殺毒軟件步驟1：在360殺毒官方網(wǎng)站()下載最新版本的360殺毒軟件安裝程序，本項(xiàng)目以360殺毒軟件v3.0版本為例來說明。63步驟2：雙擊已經(jīng)下載的安裝程序圖標(biāo)，進(jìn)入安裝向?qū)?，如圖4-

42、5所示，選中“我已閱讀并同意軟件安裝協(xié)議”復(fù)選框，否則無法安裝。安裝路徑默認(rèn)為“C:Program Files360360sd”，也可單擊右側(cè)的按鈕更改安裝路徑。步驟3：單擊“下一步”按鈕，開始安裝360殺毒軟件，如圖4-6所示。64步驟4：安裝結(jié)束時(shí)，詢問是否安裝360安全衛(wèi)士，選中“安裝360安全衛(wèi)士”復(fù)選框，如圖4-7所示。步驟5：單擊“下一步”按鈕，系統(tǒng)開始下載“360安全衛(wèi)士”軟件，下載完成后自動(dòng)進(jìn)行安裝，安裝完成后，選中“重新啟動(dòng)計(jì)算機(jī)”復(fù)選框，如圖4-8所示。65步驟6：單擊“完成”按鈕，彈出“重新啟動(dòng)計(jì)算機(jī)”對(duì)話框，單擊“重新啟動(dòng)”按鈕，如圖4-9所示，立即重新啟動(dòng)系統(tǒng)。66(

43、2) 軟件升級(jí)步驟1：雙擊桌面上的“360殺毒”圖標(biāo)，打開“360殺毒”主窗口，選擇“產(chǎn)品升級(jí)”選項(xiàng)卡，如圖4-10所示。67步驟2：單擊“修改”鏈接，打開“設(shè)置”對(duì)話框，在左側(cè)窗格中選擇“升級(jí)設(shè)置”選項(xiàng)，在右側(cè)窗格中選中“自動(dòng)升級(jí)病毒特征庫及程序”單選按鈕，如圖4-11所示。68步驟3：單擊“確定”按鈕，返回“360殺毒”主窗口，也可單擊“檢查更新”按鈕進(jìn)行手動(dòng)更新，升級(jí)程序會(huì)連接服務(wù)器檢查是否有可用更新，如果有的話就會(huì)下載并安裝升級(jí)文件，升級(jí)完成后會(huì)提示“恭喜您！現(xiàn)在，360殺毒已經(jīng)可以查殺最新病毒啦！”。69(3) 病毒查殺360殺毒軟件提供了四種手動(dòng)病毒掃描方式：快速掃描、全盤掃描、指

44、定位置掃描和右鍵掃描。步驟1：在“360殺毒”主窗口中，選擇“病毒查殺”選項(xiàng)卡，如圖4-12所示。70步驟2：單擊“快速掃描”鏈接，360殺毒主要掃描Windows系統(tǒng)目錄、Program Files目錄等關(guān)鍵位置。步驟3：單擊“全盤掃描”鏈接，360殺毒掃描所有磁盤。步驟4：單擊“指定位置掃描”鏈接，打開“選擇掃描目錄”對(duì)話框，選擇需要掃描的盤符或目錄，如“本地磁盤(C:)”，如圖4-13所示，單擊“掃描”按鈕開始對(duì)指定的盤符或目錄進(jìn)行病毒查殺。71步驟5：右鍵掃描。右擊某文件夾，如“C:Program Files”，在彈出的快捷菜單中選擇“使用 360殺毒 掃描”命令，如圖4-14所示，可

45、對(duì)該文件夾進(jìn)行病毒查殺。72步驟6：啟動(dòng)掃描后，會(huì)顯示掃描進(jìn)度窗口，在這個(gè)窗口中可看到掃描的文件、總體進(jìn)度，以及發(fā)現(xiàn)的威脅對(duì)象和威脅類型，如圖4-15所示。步驟7：如果希望360殺毒在掃描完成后自動(dòng)關(guān)閉計(jì)算機(jī)，請(qǐng)選中“掃描完成后關(guān)閉計(jì)算機(jī)”復(fù)選框。73(4) 軟件卸載步驟1：選擇“開始”“程序”“360安全中心”“360殺毒”“卸載360殺毒”命令，打開“360殺毒-卸載確認(rèn)”對(duì)話框，如圖4-16所示。74步驟2：選中“我要直接卸載360殺毒”單選按鈕，再單擊“直接卸載”按鈕，卸載程序開始刪除程序文件，如圖4-17所示。75步驟3：卸載完成后，提示是否重新啟動(dòng)計(jì)算機(jī)，如圖4-18所示，如果想立

46、即重新啟動(dòng)計(jì)算機(jī)，先關(guān)閉其他應(yīng)用程序，再選中“是，現(xiàn)在重新啟動(dòng)”單選按鈕，單擊“完成”按鈕重新啟動(dòng)系統(tǒng)。重新啟動(dòng)系統(tǒng)之后，360殺毒卸載完成。764.4.2 任務(wù)2:360安全衛(wèi)士軟件的使用 1. 任務(wù)目標(biāo) (1) 掌握360安全衛(wèi)士的使用方法。 (2) 了解360安全衛(wèi)士的作用。2. 任務(wù)內(nèi)容 (1) 升級(jí)360安全衛(wèi)士。 (2) 電腦體檢。 (3) 查殺木馬。 (4) 清理插件。 (5) 修復(fù)漏洞。773. 完成任務(wù)所需的設(shè)備和軟件(1) 裝有Windows XP/2003操作系統(tǒng)的PC機(jī)1臺(tái)。(2) 360安全衛(wèi)士軟件1套。784. 任務(wù)實(shí)施步驟(1) 升級(jí)360安全衛(wèi)士360安全衛(wèi)士的

47、升級(jí)會(huì)在每次啟動(dòng)時(shí)自動(dòng)完成的，單擊任務(wù)欄中的360安全衛(wèi)士圖標(biāo)，打開360安全衛(wèi)士主窗口，系統(tǒng)自動(dòng)完成升級(jí)，如圖4-19所示，也可雙擊窗口底部狀態(tài)欄中的“檢查更新”鏈接，進(jìn)行手動(dòng)更新。79(2) 電腦體檢步驟1：在360安全衛(wèi)士主窗口中，單擊“常用”按鈕，在“電腦體檢”選項(xiàng)卡中，單擊“立即體檢”按鈕，360安全衛(wèi)士開始對(duì)系統(tǒng)的木馬病毒、系統(tǒng)漏洞、差評(píng)插件等各個(gè)項(xiàng)目進(jìn)行檢測，檢測結(jié)束后給出一個(gè)體檢得分，如圖4-20所示。步驟2：單擊“一鍵修復(fù)”按鈕，對(duì)所有存在問題的項(xiàng)目進(jìn)行一鍵修復(fù)。80(3) 查殺木馬步驟1：在“查殺木馬”選項(xiàng)卡中(如圖4-21所示)，可以選擇“快速掃描”、“全盤掃描”和“自定

48、義掃描”來檢查用戶的電腦里是否存在木馬程序。步驟2：掃描結(jié)束后若出現(xiàn)疑似木馬，可以選擇刪除或加入信任區(qū)。81(4) 清理插件步驟1：在“清理插件”選項(xiàng)卡中，單擊“開始掃描”按鈕，360安全衛(wèi)士開始掃描用戶電腦中所有存在的插件。步驟2：掃描結(jié)束后，360安全衛(wèi)士列出所有檢測到的插件，如圖4-22所示，選中需要清理的插件，單擊“立即清理”按鈕進(jìn)行清理。82(5) 修復(fù)漏洞步驟1：選擇“修復(fù)漏洞”選項(xiàng)卡，360安全衛(wèi)士自動(dòng)開始掃描用戶電腦中存在的系統(tǒng)漏洞。步驟2：掃描結(jié)束后，360安全衛(wèi)士列出所有檢測到的系統(tǒng)漏洞，如圖4-23所示，選中需要修復(fù)的漏洞，單擊“立即清理”按鈕進(jìn)行修復(fù)。834.4.3 任

49、務(wù)3: 宏病毒和網(wǎng)頁病毒的防范1. 任務(wù)目標(biāo) (1) 掌握宏病毒的防范方法。 (2) 掌握網(wǎng)頁病毒的防范方法。2. 任務(wù)內(nèi)容 (1) 宏病毒的防范。 (2) 網(wǎng)頁病毒的防范。3. 完成任務(wù)所需的設(shè)備和軟件 (1) 裝有Windows XP/2003操作系統(tǒng)的PC機(jī)1臺(tái)。 (2) Office辦公軟件1套。844. 任務(wù)實(shí)施步驟(1) 宏病毒的防范 制作一個(gè)簡單的宏病毒步驟1：在Word文檔中，選擇“插入”“對(duì)象”命令，打開“對(duì)象”對(duì)話框，如圖4-24所示。85步驟2：在“新建”選項(xiàng)卡中，選擇“包”選項(xiàng)后，單擊“確定”按鈕，打開“對(duì)象包裝程序”窗口，如圖4-25所示，選擇該窗口中的“編輯”“命令

50、行”命令，在打開的“命令行”對(duì)話框中輸入“C:windowssystem32format a:/q”，單擊“確定”按鈕。86步驟3：然后在“對(duì)象包裝程序”窗口中單擊“插入圖標(biāo)”按鈕，打開“更改圖標(biāo)”對(duì)話框，如圖4-26所示，為該命令行選擇一個(gè)有誘惑力的圖標(biāo)，然后關(guān)閉“對(duì)象包裝程序”窗口。87步驟4：此時(shí)會(huì)在文檔的相關(guān)位置出現(xiàn)一個(gè)和相關(guān)命令關(guān)聯(lián)的圖標(biāo)，還可以在圖標(biāo)旁邊加注一些鼓動(dòng)性的文字，如圖4-27所示，盡量使瀏覽者看到后想用鼠標(biāo)單擊，這樣一個(gè)簡單的宏病毒就制作成功了。88 宏病毒的防范步驟1：使用殺毒軟件查殺Office軟件的安裝目錄和相關(guān)Office文檔。步驟2：在Word 2003軟件中

51、，選擇“工具”“宏”“安全性”命令，打開“安全性”對(duì)話框，在“安全級(jí)”選項(xiàng)卡中，選中“高”單選按鈕，如圖4-29所示，表示只允許運(yùn)行可靠來源簽署的宏，未經(jīng)簽署的宏會(huì)自動(dòng)取消。89(2) 網(wǎng)頁病毒的防范 制作一個(gè)簡單的網(wǎng)頁病毒步驟1：編寫ASP腳本文件index.asp，內(nèi)容如下:90步驟2：配置好Web服務(wù)器(IIS)，并把index.asp文件保存到Web服務(wù)器的路徑中，如“C:Inetpubindex.asp”。步驟3：打開IE瀏覽器，在地址欄中輸入“”，則將在網(wǎng)頁中可看到“在C盤新建了newfile文件”信息，如圖4-30所示，并且已在C盤根目錄新建了一個(gè)newfile文件，如圖4-31

52、所示。91 網(wǎng)頁病毒的防范步驟1：運(yùn)行“regsvr32 scrrun.dll /u”命令，禁止使用文件系統(tǒng)對(duì)象“”。步驟2：在IE瀏覽器中，選擇“工具”“Internet選項(xiàng)”命令，打開“Internet選項(xiàng)”對(duì)話框，在“安全”選項(xiàng)卡中，單擊“自定義級(jí)別”按鈕，打開“安全設(shè)置”對(duì)話框，把“ActiveX控件及插件”欄目中的所有項(xiàng)目設(shè)置為“禁用”，如圖4-32所示。924.4.4 任務(wù)4: 利用自解壓文件攜帶木馬程序1. 任務(wù)目標(biāo) (1) 了解利用自解壓文件攜帶木馬程序的方法。 (2) 了解木馬程序的隱藏方法。2. 任務(wù)內(nèi)容 利用自解壓文件攜帶木馬程序。3. 完成任務(wù)所需的設(shè)備和軟件 (1)

53、裝有Windows XP/2003操作系統(tǒng)的PC機(jī)1臺(tái)。 (2) WinRAR壓縮軟件1套。934. 任務(wù)實(shí)施步驟準(zhǔn)備一個(gè)Word文件(如“my”)和一個(gè)木馬程序(如“木馬.exe”)，在本任務(wù)中，為了安全起見，把計(jì)算器程序“calc.exe”改名為“木馬.exe”，即用計(jì)算器程序代替木馬程序。步驟1：下載并安裝 WinRAR軟件。94步驟2：右擊“my”文件，在彈出的快捷菜單中選擇“添加到壓縮文件”命令，打開“壓縮文件名和參數(shù)”對(duì)話框，在“常規(guī)”選項(xiàng)卡中，選中“創(chuàng)建自解壓格式壓縮文件”復(fù)選框，并把壓縮文件名改為“利用自解壓文件攜帶木馬程序.exe”，如圖4-33所示。95步驟3：在“文件”選

54、項(xiàng)卡中，單擊“要添加的文件”文本框右側(cè)的“追加”按鈕，此時(shí)可以選擇一個(gè)預(yù)先準(zhǔn)備好的“木馬.exe”文件，如圖4-34所示。96步驟4：在如圖4-35所示的“高級(jí)”選項(xiàng)卡中，單擊“自解壓選項(xiàng)”按鈕，打開“高級(jí)自解壓選項(xiàng)”對(duì)話框，如圖4-36所示。97步驟5：在“常規(guī)”選項(xiàng)卡中，選中“在當(dāng)前文件夾創(chuàng)建”單選按鈕，并在“解壓后運(yùn)行”文本框中輸入“木馬.exe”。步驟6：單擊“確定”按鈕，返回到“壓縮文件名和參數(shù)”對(duì)話框，再單擊“確定”按鈕，最終將產(chǎn)生一個(gè)自解壓文件“利用自解壓文件攜帶木馬程序.exe”。步驟7：把產(chǎn)生的自解壓文件“利用自解壓文件攜帶木馬程序.exe”拷貝到其他文件夾中，并雙擊運(yùn)行，觀

55、察運(yùn)行結(jié)果。984.4.5 任務(wù)5: 反彈端口木馬(灰鴿子)的演示1. 任務(wù)目標(biāo) (1) 了解反彈端口木馬(灰鴿子)的工作原理和配置方法。 (2) 了解灰鴿子木馬的危害。2. 任務(wù)內(nèi)容 (1) 配置服務(wù)端程序。 (2) 傳播木馬。 (3) 控制端操作。3. 完成任務(wù)所需的設(shè)備和軟件 (1) 裝有Windows XP/2003操作系統(tǒng)的PC機(jī)2臺(tái)。 (2) 灰鴿子木馬程序1套。994. 任務(wù)實(shí)施步驟在局域網(wǎng)中，在A主機(jī)(1)上安裝灰鴿子控制端，在B主機(jī)(2)上安裝灰鴿子服務(wù)端，A主機(jī)控制B主機(jī)。(1) 配置服務(wù)端程序步驟1：在A主機(jī)上先關(guān)閉殺毒軟件，然后運(yùn)行灰鴿子客戶端程序H_Client.ex

56、e，打開“灰鴿子”主窗口，單擊“配置服務(wù)程序”按鈕，打開“服務(wù)器配置”窗口，在“連接類型”選項(xiàng)卡中，選中“自動(dòng)上線型”單選按鈕，并在“DNS解析域名”文本框中輸入“1”(控制端A主機(jī)的IP地址)，在“上線端口”文本框中輸入“80”，在“保存路徑”文本框中輸入“C:服務(wù)端程序.exe”，如圖4-37所示。其中，80端口是控制端打開的監(jiān)聽端口，偽裝為WWW監(jiān)聽端口。100101步驟2：按圖4-38、圖4-39、圖4-40所示進(jìn)一步進(jìn)行設(shè)置，繼續(xù)進(jìn)行偽裝。102步驟3：最后單擊“生成服務(wù)器”按鈕，最終在C盤根目錄下生成“服務(wù)端程序.exe”文件。103步驟4：在“灰鴿子”主窗口中，選擇“設(shè)置”“系統(tǒng)

57、設(shè)置”命令，打開“系統(tǒng)設(shè)置”窗口，在“端口設(shè)置”選項(xiàng)卡中，設(shè)置“自動(dòng)上線端口”為“80”，如圖4-41所示，單擊“保存設(shè)置”按鈕，并關(guān)閉“系統(tǒng)設(shè)置”窗口。104(2) 傳播木馬通過各種方式傳播該木馬服務(wù)端程序，并誘惑用戶運(yùn)行該程序。在本任務(wù)中可直接把“服務(wù)端程序.exe”文件拷貝到服務(wù)端B主機(jī)(2)上。105(3) 控制端操作步驟1：在服務(wù)端B主機(jī)上先關(guān)閉殺毒軟件，然后運(yùn)行“服務(wù)端程序.exe”程序后，在控制端A主機(jī)的“灰鴿子”主窗口中，可看到服務(wù)端B主機(jī)(2)已自動(dòng)上線，如圖4-42所示，此時(shí)可進(jìn)行以下操作：獲取系統(tǒng)信息、限制系統(tǒng)功能、屏幕捕獲、文件管理、遠(yuǎn)程控制、注冊表管理、文件傳輸、遠(yuǎn)程通信