病毒木馬的工作原理及其防范

計(jì)算機(jī)病毒、木馬及防范技術(shù)目錄病毒的起源和發(fā)展病毒的定義及分類VBS病毒的起源與發(fā)展及其危害蠕蟲病毒緩沖區(qū)溢出與病毒攻擊的原理木馬程序計(jì)算機(jī)日常使用的安全建議一、病毒的起源和發(fā)展病毒的起源和發(fā)展1949年，計(jì)算機(jī)的先驅(qū)者馮.諾依曼在論文《復(fù)雜自動(dòng)機(jī)組織論》中，提出了計(jì)算機(jī)程序能夠在內(nèi)存中自我復(fù)制；20世紀(jì)60年代初，美國(guó)貝爾實(shí)驗(yàn)室，三個(gè)年輕的程序員編寫了一個(gè)名為“磁芯大戰(zhàn)”的游戲，游戲中通過(guò)復(fù)制自身來(lái)擺脫對(duì)方的控制，這就是病毒的第一個(gè)雛形。20世紀(jì)70年代，美國(guó)作家雷恩在《P1的青春》一書中闡述了一種能夠自我復(fù)制的計(jì)算機(jī)程序，并第一次稱之為“計(jì)算機(jī)病毒”。1983年11月，在國(guó)際計(jì)算機(jī)安全學(xué)術(shù)研討會(huì)上，美國(guó)計(jì)算機(jī)專家首次將病毒程序在VAX/750計(jì)算機(jī)上進(jìn)行實(shí)驗(yàn)，世界上第一個(gè)計(jì)算機(jī)病毒就這樣誕生在實(shí)驗(yàn)室中。20世紀(jì)80年代后期，巴基斯坦有兩個(gè)以編軟件為生的兄弟，為了打擊盜版軟件，設(shè)計(jì)出了一個(gè)名為“巴基斯坦智囊”的病毒，該病毒只傳染軟盤引導(dǎo)區(qū)，成為世界上流行的第一個(gè)真正的病毒。一、病毒的起源和發(fā)展計(jì)算機(jī)病毒是一組人為設(shè)計(jì)的程序，這種特殊的程序隱藏在計(jì)算機(jī)系統(tǒng)中，能夠把自身或自身的一部分復(fù)制到其它程序上，給計(jì)算機(jī)系統(tǒng)造成一定損害甚至嚴(yán)重破壞。這種程序的活動(dòng)方式與生物學(xué)上的病毒非常相似，所以被稱為計(jì)算機(jī)病毒。計(jì)算機(jī)病毒的危害主要體現(xiàn)在以下方面： 破壞文件分配表或目錄區(qū) 刪除文件、修改或破壞文件中的數(shù)據(jù) 大量復(fù)制自身，減少磁盤可用的存儲(chǔ)空間 修改或破壞系統(tǒng)信息 非法格式化磁盤，非法加密或解密用戶文件 在磁盤上產(chǎn)生壞扇區(qū) 降低系統(tǒng)運(yùn)行速度病毒的起源和發(fā)展二、病毒的定義和分類 計(jì)算機(jī)病毒是一個(gè)程序，一段可執(zhí)行碼，具有獨(dú)特的復(fù)制能力。計(jì)算機(jī)病毒可以快速地傳染，并很難解除。它們把自身附著在各種類型的文件上。當(dāng)文件被復(fù)制或從一個(gè)用戶傳送到另一個(gè)用戶時(shí)，病毒就隨著文件一起被傳播了。 計(jì)算機(jī)病毒確切定義是能夠通過(guò)某種途徑潛伏在計(jì)算機(jī)存儲(chǔ)介質(zhì)（或程序）里，當(dāng)達(dá)到某種條件時(shí)即被激活具有對(duì)計(jì)算機(jī)資源進(jìn)行破壞的一組程序或指令的集合。病毒的定義和分類

一、

病毒的定義計(jì)算機(jī)病毒的特點(diǎn)1）可執(zhí)行性

當(dāng)用戶運(yùn)行正常程序時(shí)，病毒伺機(jī)竊取到系統(tǒng)的控制權(quán)，得以搶先運(yùn)行。2）破壞性

無(wú)論何種病毒程序，一旦侵入系統(tǒng)都會(huì)對(duì)操作系統(tǒng)的運(yùn)行造成不同程度的影響。3）傳染性

把自身復(fù)制到其他程序中的特性。

是計(jì)算機(jī)病毒最重要的特征，是判斷一段程序代碼是否為計(jì)算機(jī)病毒的依據(jù)。

病毒可以附著在其它程序上，通過(guò)磁盤、光盤、計(jì)算機(jī)網(wǎng)絡(luò)等載體進(jìn)行傳染，被傳染的計(jì)算機(jī)又成為病毒的生存的環(huán)境及新傳染源。病毒的定義和分類4）潛伏性

病毒發(fā)作是由觸發(fā)條件來(lái)確定。為了防止用戶察覺，計(jì)算機(jī)病毒會(huì)想方設(shè)法隱藏自身。通常粘附在正常程序之中或磁盤引導(dǎo)扇區(qū)中，或者磁盤上標(biāo)為壞簇的扇區(qū)中，以及一些空閑概率較大的扇區(qū)中，即非法可存儲(chǔ)性。5）針對(duì)性

針對(duì)不同的操作系統(tǒng)、不同的應(yīng)用軟件。6）衍生性

具有依附其他媒體而寄生的能力。

在傳播的過(guò)程中自動(dòng)改變自己的形態(tài)，從而衍生出另一種不同于原版病毒的新病毒，這種新病毒稱為病毒變種。7）抗反病毒軟件性

有變形能力的病毒能更好地在傳播過(guò)程中隱蔽自己，使之不易被反病毒程序發(fā)現(xiàn)及清除，并具有反殺的能力。病毒的定義和分類病毒的傳播方式：

通過(guò)文件系統(tǒng)傳播；

通過(guò)電子郵件傳播；

通過(guò)局域網(wǎng)傳播；

通過(guò)即時(shí)通訊軟件和點(diǎn)對(duì)點(diǎn)軟件等常用工具傳播；

利用系統(tǒng)、應(yīng)用軟件的漏洞進(jìn)行傳播；

利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等；

利用欺騙等社會(huì)工程的方法傳播。病毒的定義和分類三、

VBS病毒的起源與發(fā)展

及其危害VBS病毒的起源與發(fā)展及其危害VBS病毒的運(yùn)行基礎(chǔ)是微軟公司提供的腳本程序：WSH（WindowsScriptingHost）。WSH通用的中文譯名為“Windows腳本宿主”。應(yīng)該說(shuō)，WSH的優(yōu)點(diǎn)在于它使用戶可以充分利用腳本來(lái)實(shí)現(xiàn)計(jì)算機(jī)工作的自動(dòng)化。計(jì)算機(jī)病毒制造者也正是利用腳本語(yǔ)言來(lái)編制病毒，并利用WSH的支持功能，讓這些隱藏著病毒的腳本在網(wǎng)絡(luò)中傳播?！癐LoveYou”病毒便是一個(gè)典型的代表。一、

VBS的運(yùn)行基礎(chǔ)當(dāng)微軟在推出WHS后不久，在Windows95操作系統(tǒng)中就發(fā)現(xiàn)了利用WHS的病毒，隨后又出現(xiàn)了更為厲害的“HapplyTime（歡樂時(shí)光）”病毒，這種病毒不斷的利用自身的復(fù)制功能，把自身復(fù)制到計(jì)算機(jī)內(nèi)的每一個(gè)文件夾內(nèi)。

2000年5月4日在歐美地區(qū)爆發(fā)的“宏病毒”網(wǎng)絡(luò)蠕蟲病毒。由于通過(guò)電子郵件系統(tǒng)傳播，宏病毒在短短幾天內(nèi)狂襲全球數(shù)以百萬(wàn)計(jì)的電腦。包括微軟、Intel等公司在內(nèi)的眾多大型企業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓，全球經(jīng)濟(jì)損失達(dá)數(shù)十億美元。2004年爆發(fā)的“新歡樂時(shí)光”病毒也給全球經(jīng)濟(jì)造成了巨大損失。二、

VBS病毒的發(fā)展和危害VBS病毒的起源與發(fā)展及其危害

1、VBS腳本病毒如何感染、搜索文件VBS腳本病毒一般是直接通過(guò)自我復(fù)制來(lái)感染文件的，病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間，譬如新歡樂時(shí)光病毒可以將自己的代碼附加在.htm文件的尾部，并在頂部加入一條調(diào)用病毒代碼的語(yǔ)句，而愛蟲病毒則是直接生成一個(gè)文件的副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴，vbs作為后綴。 2、VBS腳本病毒通過(guò)網(wǎng)絡(luò)傳播的幾種方式及代碼分析

通過(guò)E-mail附件傳播

通過(guò)局域網(wǎng)共享傳播三、

VBS病毒的發(fā)展和危害VBS病毒的起源與發(fā)展及其危害四、蠕蟲病毒蠕蟲病毒蠕蟲病毒是一種常見的計(jì)算機(jī)病毒。它是利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播，傳染途徑是通過(guò)網(wǎng)絡(luò)和電子郵件。蠕蟲病毒是自包含的程序(或是一套程序)，它能傳播自身功能的拷貝或自身（蠕蟲病毒）的某些部分到其他的計(jì)算機(jī)系統(tǒng)中(通常是經(jīng)過(guò)網(wǎng)絡(luò)連接)。蠕蟲病毒的傳染目標(biāo)是互聯(lián)網(wǎng)內(nèi)的所有計(jì)算機(jī).局域網(wǎng)條件下的共享文件夾，電子郵件email，網(wǎng)絡(luò)中的惡意網(wǎng)頁(yè)，大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在幾個(gè)小時(shí)內(nèi)蔓延全球!而且蠕蟲的主動(dòng)攻擊性和突然爆發(fā)性會(huì)使得人們手足無(wú)策蠕蟲與漏洞網(wǎng)絡(luò)蠕蟲最大特點(diǎn)是利用各種漏洞進(jìn)行自動(dòng)傳播根據(jù)網(wǎng)絡(luò)蠕蟲所利用漏洞的不同，又可以將其細(xì)分郵件蠕蟲主要是利用MIME(MultipurposeInternetMailExtensionProtocol，多用途的網(wǎng)際郵件擴(kuò)充協(xié)議)漏洞MIME描述漏洞蠕蟲與漏洞網(wǎng)頁(yè)蠕蟲（木馬）主要是利用IFrame漏洞和MIME漏洞網(wǎng)頁(yè)蠕蟲可以分為兩種用一個(gè)IFrame插入一個(gè)Mail框架，同樣利用MIME漏洞執(zhí)行蠕蟲，這是直接沿用郵件蠕蟲的方法用IFrame漏洞和瀏覽器下載文件的漏洞來(lái)運(yùn)作的，首先由一個(gè)包含特殊代碼的頁(yè)面去下載放在另一個(gè)網(wǎng)站的病毒文件，然后運(yùn)行它，完成蠕蟲傳播系統(tǒng)漏洞蠕蟲利用RPC溢出漏洞的沖擊波、沖擊波殺手利用LSASS溢出漏洞的震蕩波、震蕩波殺手系統(tǒng)漏洞蠕蟲一般具備一個(gè)小型的溢出系統(tǒng)，它隨機(jī)產(chǎn)生IP并嘗試溢出，然后將自身復(fù)制過(guò)去它們往往造成被感染系統(tǒng)性能速度迅速降低，甚至系統(tǒng)崩潰，屬于最不受歡迎的一類蠕蟲蠕蟲的工作方式與掃描策略蠕蟲的工作方式一般是“掃描→攻擊→復(fù)制”蠕蟲的工作方式與掃描策略蠕蟲的掃描策略現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標(biāo)，一般是盡快地傳播到盡量多的計(jì)算機(jī)中掃描模塊采用的掃描策略是：隨機(jī)選取某一段IP地址，然后對(duì)這一地址段上的主機(jī)進(jìn)行掃描沒有優(yōu)化的掃描程序可能會(huì)不斷重復(fù)上面這一過(guò)程，大量蠕蟲程序的掃描引起嚴(yán)重的網(wǎng)絡(luò)擁塞對(duì)掃描策略的改進(jìn)在IP地址段的選擇上，可以主要針對(duì)當(dāng)前主機(jī)所在的網(wǎng)段進(jìn)行掃描，對(duì)外網(wǎng)段則隨機(jī)選擇幾個(gè)小的IP地址段進(jìn)行掃描對(duì)掃描次數(shù)進(jìn)行限制，只進(jìn)行幾次掃描把掃描分散在不同的時(shí)間段進(jìn)行蠕蟲的工作方式與掃描策略蠕蟲常用的掃描策略選擇性隨機(jī)掃描(包括本地優(yōu)先掃描)可路由地址掃描(RoutableScan)地址分組掃描(Divide-ConquerScan)組合掃描(HybridScan)極端掃描(ExtremeScan)從傳播模式進(jìn)行安全防御對(duì)蠕蟲在網(wǎng)絡(luò)中產(chǎn)生的異常，有多種的的方法可以對(duì)未知的蠕蟲進(jìn)行檢測(cè)，比較通用的方法是對(duì)流量異常的統(tǒng)計(jì)分析，主要包括對(duì)TCP連接異常的分析和ICMP數(shù)據(jù)異常分析的方法。從傳播模式進(jìn)行安全防御在蠕蟲的掃描階段，蠕蟲會(huì)隨機(jī)的或者偽隨機(jī)的生成大量的IP地址進(jìn)行掃描，探測(cè)漏洞主機(jī)。這些被掃描主機(jī)中會(huì)存在許多空的或者不可達(dá)的IP地址，從而在一段時(shí)間里，蠕蟲主機(jī)會(huì)接收到大量的來(lái)自不同路由器的ICMP不可達(dá)數(shù)據(jù)包。流量分析系統(tǒng)通過(guò)對(duì)這些數(shù)據(jù)包進(jìn)行檢測(cè)和統(tǒng)計(jì)，在蠕蟲的掃描階段將其發(fā)現(xiàn)，然后對(duì)蠕蟲主機(jī)進(jìn)行隔離，對(duì)蠕蟲其進(jìn)行分析，進(jìn)而采取防御措施。將ICMP不可達(dá)數(shù)據(jù)包進(jìn)行收集、解析，并根據(jù)源和目的地址進(jìn)行分類，如果一個(gè)IP在一定時(shí)間（T）內(nèi)對(duì)超過(guò)一定數(shù)量（N）的其它主機(jī)的同一端口（P）進(jìn)行了掃描，則產(chǎn)生一個(gè)發(fā)現(xiàn)蠕蟲的報(bào)警（同時(shí)還會(huì)產(chǎn)生其它的一些報(bào)警）。用Sniffer進(jìn)行蠕蟲檢測(cè)一般進(jìn)行流量分析時(shí)，首先關(guān)注的是產(chǎn)生網(wǎng)絡(luò)流量最大的那些計(jì)算機(jī)。利用Sniffer的HostTable功能，將所有計(jì)算機(jī)按照發(fā)出數(shù)據(jù)包的包數(shù)多少進(jìn)行排序發(fā)包數(shù)量前列的IP地址為的主機(jī)，其從網(wǎng)絡(luò)收到的數(shù)據(jù)包數(shù)是0，但其向網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包是445個(gè)；這對(duì)HTTP協(xié)議來(lái)說(shuō)顯然是不正常的，HTTP協(xié)議是基于TCP的協(xié)議，是有連接的，不可能是光發(fā)不收的，一般來(lái)說(shuō)光發(fā)包不收包是種類似于廣播的同樣，我們可以發(fā)現(xiàn)，如下IP地址存在同樣的問(wèn)題首先我們對(duì)IP地址為的主機(jī)產(chǎn)生的網(wǎng)絡(luò)流量進(jìn)行過(guò)濾蠕蟲病毒流量分析發(fā)出的數(shù)據(jù)包的內(nèi)容五、緩沖區(qū)溢出與病毒

攻擊的原理緩沖區(qū)溢出與病毒攻擊的原理 緩沖區(qū)溢出是指當(dāng)計(jì)算機(jī)程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過(guò)緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。理想情況是，程序檢查數(shù)據(jù)長(zhǎng)度并且不允許輸入超過(guò)緩沖區(qū)長(zhǎng)度的字符串。大多數(shù)程序都會(huì)假設(shè)數(shù)據(jù)長(zhǎng)度總是與所分配的存儲(chǔ)空間相匹配，這就為緩沖區(qū)溢出埋下隱患。操作系統(tǒng)所使用的緩沖區(qū)又被稱為堆棧，在各個(gè)操作進(jìn)程之間，指令被臨時(shí)存儲(chǔ)在堆棧當(dāng)中，堆棧也會(huì)出現(xiàn)緩沖區(qū)溢出。 當(dāng)一個(gè)超長(zhǎng)的數(shù)據(jù)進(jìn)入到緩沖區(qū)時(shí)，超出部分就會(huì)被寫入其他緩沖區(qū)，其他緩沖區(qū)存放的可能是數(shù)據(jù)、下一條指令的指針、或者是其他程序的輸出內(nèi)容，這些內(nèi)容都被覆蓋或者破壞掉了?？梢娨恍〔糠?jǐn)?shù)據(jù)或者一套指令的溢出就可能導(dǎo)致一個(gè)程序或者操作系統(tǒng)崩潰。一、

緩沖區(qū)溢出緩沖區(qū)溢出是由編程錯(cuò)誤引起的。如果緩沖區(qū)被寫滿，而程序沒有去檢查緩沖區(qū)邊界，也沒有停止接收數(shù)據(jù)，這時(shí)緩沖區(qū)溢出就會(huì)發(fā)生。緩沖區(qū)溢出之所以泛濫，是由于開放源代碼程序的本質(zhì)決定的。某些編程語(yǔ)言對(duì)于緩沖區(qū)溢出是具有免疫力的，例如Perl能夠自動(dòng)調(diào)節(jié)字節(jié)排列的大小，Ada95能夠檢查和阻止緩沖區(qū)溢出。但是被廣泛使用的C語(yǔ)言卻沒有建立檢測(cè)機(jī)制。標(biāo)準(zhǔn)C語(yǔ)言具有許多復(fù)制和添加字符串的函數(shù)，這使得標(biāo)準(zhǔn)C語(yǔ)言很難進(jìn)行邊界檢查。C++語(yǔ)言略微好一些，但是仍然存在緩沖區(qū)溢出情況。一般情況下，覆蓋其他數(shù)據(jù)區(qū)的數(shù)據(jù)是沒有意義的，最多造成應(yīng)用程序錯(cuò)誤，但是，如果輸入的數(shù)據(jù)是經(jīng)過(guò)“黑客”或者病毒精心設(shè)計(jì)的，覆蓋緩沖區(qū)的數(shù)據(jù)恰恰是“黑客”或者病毒的攻擊程序代碼，一旦多余字節(jié)被編譯執(zhí)行，“黑客”或者病毒就有可能為所欲為，獲取系統(tǒng)的控制權(quán)。二、緩沖區(qū)溢出的根源在于編程錯(cuò)誤緩沖區(qū)溢出與病毒攻擊的原理 緩沖區(qū)溢出是目前導(dǎo)致“黑客”型病毒橫行的主要原因。從“紅色代碼”到“Slammer”，再到“沖擊波”，都是利用緩沖區(qū)溢出漏洞的典型病毒案例。緩沖區(qū)溢出是一個(gè)編程問(wèn)題，防止利用緩沖區(qū)溢出發(fā)起的攻擊，關(guān)鍵在于程序開發(fā)者在開發(fā)程序時(shí)仔細(xì)檢查溢出情況，不允許數(shù)據(jù)溢出緩沖區(qū)。此外，用戶需要經(jīng)常登錄操作系統(tǒng)和應(yīng)用程序提供商的網(wǎng)站，跟蹤公布的系統(tǒng)漏洞，及時(shí)下載補(bǔ)丁程序，彌補(bǔ)系統(tǒng)漏洞。三、緩沖區(qū)溢出導(dǎo)致“黑客”病毒橫行緩沖區(qū)溢出與病毒攻擊的原理沖擊波病毒警惕程度：★★★★病毒類型：蠕蟲病毒發(fā)作時(shí)間：隨機(jī)傳播途徑：網(wǎng)絡(luò)/RPC漏洞依賴系統(tǒng)：Windows2000WindowsXPWindowsServer2003RPCRPC（RemoteProcedureCallProtocol）遠(yuǎn)程過(guò)程調(diào)用協(xié)議

它是一種通過(guò)網(wǎng)絡(luò)從遠(yuǎn)程計(jì)算機(jī)程序上請(qǐng)求服務(wù)。病毒原理利用微軟公司公布的RPC漏洞進(jìn)行傳播的，只要是計(jì)算機(jī)上有RPC服務(wù)并且沒有打安全補(bǔ)丁的計(jì)算機(jī)都存在有RPC漏洞。DCOM分布式組件對(duì)象模型微軟軟件的一系列程序接口，利用這個(gè)接口，客戶端程序?qū)ο竽軌蛘?qǐng)求來(lái)自網(wǎng)絡(luò)中另一臺(tái)計(jì)算機(jī)上的服務(wù)器程序?qū)ο蟆７植际浇M件對(duì)象模型基于組件對(duì)象模型（COM），COM提供了一套允許同一臺(tái)計(jì)算機(jī)上的客戶端和服務(wù)器之間進(jìn)行通信的接口。病毒運(yùn)行時(shí)......不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為XP的計(jì)算機(jī),找到后就利用DCOMRPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會(huì)被傳送到對(duì)方計(jì)算機(jī)中進(jìn)行感染，使系統(tǒng)操作異常、不停重啟、甚至導(dǎo)致系統(tǒng)崩潰。另外，該病毒還會(huì)對(duì)微軟的一個(gè)升級(jí)網(wǎng)站進(jìn)行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無(wú)法通過(guò)該網(wǎng)站升級(jí)系統(tǒng)。病毒發(fā)作系統(tǒng)資源被大量占用，并且系統(tǒng)反復(fù)重啟，不能收發(fā)郵件、不能正常復(fù)制文件、無(wú)法正常瀏覽網(wǎng)頁(yè)，復(fù)制粘貼等操作受到嚴(yán)重破壞，且不能復(fù)制粘貼，有時(shí)會(huì)彈出RPC服務(wù)終止的對(duì)話框。病毒如何進(jìn)行......1.將自身復(fù)制到window目錄下，并命名為.msblast.exe。⒉病毒運(yùn)行時(shí)會(huì)在系統(tǒng)中建立一個(gè)名為：“BILLY”的互斥量，目的是病毒只保證在內(nèi)存中有一份病毒體，為了避免用戶發(fā)現(xiàn)。⒊病毒運(yùn)行時(shí)會(huì)在內(nèi)存中建立一個(gè)名為：“msblast.exe”的進(jìn)程，該進(jìn)程就是活的病毒體。⒋病毒會(huì)修改注冊(cè)表，以便每次啟動(dòng)系統(tǒng)時(shí)，病毒都會(huì)運(yùn)行。會(huì)以20秒為間隔，每20秒檢測(cè)一次網(wǎng)絡(luò)狀態(tài)，當(dāng)網(wǎng)絡(luò)可用時(shí)，病毒會(huì)在本地建立一個(gè)服務(wù)器并啟動(dòng)一個(gè)攻擊傳播線程，不斷地隨機(jī)生成攻擊地址，進(jìn)行攻擊。另外該病毒攻擊時(shí)，會(huì)首先搜索子網(wǎng)的IP地址，以便就近攻擊。當(dāng)病毒掃描到計(jì)算機(jī)后，就會(huì)向目標(biāo)計(jì)算機(jī)端口發(fā)送攻擊數(shù)據(jù)。成功后，便會(huì)監(jiān)聽目標(biāo)計(jì)算機(jī)的端口，并綁定cmd.exe。然后蠕蟲會(huì)連接到這個(gè)端口，發(fā)送命令，回連到發(fā)起進(jìn)攻的主機(jī)，將msblast.exe傳到目標(biāo)計(jì)算機(jī)上并運(yùn)行。病毒如何進(jìn)行......六、木馬程序特洛伊木馬的定義特洛伊木馬(TrojanHorse)，簡(jiǎn)稱木馬，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具，一旦侵入用戶的計(jì)算機(jī)，就悄悄地在宿主計(jì)算機(jī)上運(yùn)行，在用戶毫無(wú)察覺的情況下，讓攻擊者獲得遠(yuǎn)程訪問(wèn)和控制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修改文件、修改注冊(cè)表、控制鼠標(biāo)、監(jiān)視/控制鍵盤，或竊取用戶信息古希臘特洛伊之戰(zhàn)中利用木馬攻陷特洛伊城；現(xiàn)代網(wǎng)絡(luò)攻擊者利用木馬，采用偽裝、欺騙(哄騙，Spoofing)等手段進(jìn)入被攻擊的計(jì)算機(jī)系統(tǒng)中，竊取信息，實(shí)施遠(yuǎn)程監(jiān)控特洛伊木馬是一種秘密潛伏的能夠通過(guò)遠(yuǎn)程網(wǎng)絡(luò)進(jìn)行控制的惡意程序?？刂普呖梢钥刂票幻孛苤踩肽抉R的計(jì)算機(jī)的一切動(dòng)作和資源，是惡意攻擊者進(jìn)行竊取信息等的工具。他由黑客通過(guò)種種途徑植入并駐留在目標(biāo)計(jì)算機(jī)里。木馬可以隨計(jì)算機(jī)自動(dòng)啟動(dòng)并在某一端口進(jìn)行偵聽，在對(duì)目標(biāo)計(jì)算機(jī)的的數(shù)據(jù)、資料、動(dòng)作進(jìn)行識(shí)別后，就對(duì)其執(zhí)行特定的操作，并接受“黑客”指令將有關(guān)數(shù)據(jù)發(fā)送到“黑客大本營(yíng)”。這只是木馬的搜集信息階段，黑客同時(shí)可以利用木馬對(duì)計(jì)算機(jī)進(jìn)行進(jìn)一步的攻擊！這時(shí)的目標(biāo)計(jì)算機(jī)就是大家常聽到的“肉雞”了！2．特洛伊木馬病毒的危害性特洛伊木馬和病毒、蠕蟲之類的惡意程序一樣，也會(huì)刪除或修改文件、格式化硬盤、上傳和下載文件、騷擾用戶、驅(qū)逐其他惡意程序。除此以外，木馬還有其自身的特點(diǎn)：竊取內(nèi)容；遠(yuǎn)程控制。特洛伊木馬技術(shù)的發(fā)展木馬的發(fā)展及成熟，大致也經(jīng)歷了兩個(gè)階段Unix階段Windows階段木馬技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了4代第一代木馬只是進(jìn)行簡(jiǎn)單的密碼竊取、發(fā)送等，沒有什么特別之處第二代木馬在密碼竊取、發(fā)送等技術(shù)上有了很大的進(jìn)步，冰河可以說(shuō)是國(guó)內(nèi)木馬的典型代表之一第三代木馬在數(shù)據(jù)傳輸技術(shù)上，又做了不小的改進(jìn)，出現(xiàn)了ICMP等類型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了查殺的難度第四代木馬在進(jìn)程隱藏方面，做了很大的改動(dòng)，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程；或者掛接PSAPI(ProcessStatusAPI)，實(shí)現(xiàn)木馬程序的隱藏常見的特洛伊木馬常見的特洛伊木馬，例如BackOrifice和SubSeven等，都是多用途的攻擊工具包，功能非常全面，包括捕獲屏幕、聲音、視頻內(nèi)容的功能。這些特洛伊木馬可以當(dāng)作鍵記錄器、遠(yuǎn)程控制器、FTP服務(wù)器、HTTP服務(wù)器、Telnet服務(wù)器，還能夠?qū)ふ液透`取密碼。由于功能全面，所以這些特洛伊木馬的體積也往往較大，通常達(dá)到100KB至300KB，相對(duì)而言，要把它們安裝到用戶機(jī)器上而不引起任何人注意的難度也較大。常見的特洛伊木馬對(duì)于功能比較單一的特洛伊木馬，攻擊者會(huì)力圖使它保持較小的體積，通常是10KB到30KB，以便快速激活而不引起注意。這些木馬通常作為鍵記錄器使用，它們把受害用戶的每一個(gè)鍵擊事件記錄下來(lái)，保存到某個(gè)隱藏的文件，這樣攻擊者就可以下載文件分析用戶的操作了。常見的特洛伊木馬BackOrifice是一個(gè)遠(yuǎn)程訪問(wèn)特洛伊木馬的病毒，該程序使黑客可以經(jīng)TCP/IP網(wǎng)絡(luò)進(jìn)入并控制windows系統(tǒng)并任意訪問(wèn)系統(tǒng)任何資源，通過(guò)調(diào)用cmd.exe系統(tǒng)命令實(shí)現(xiàn)自身的功能，其破壞力極大。SubSeven可以作為鍵記錄器、包嗅探器使用，還具有端口重定向、注冊(cè)表修改、麥克風(fēng)和攝像頭記錄的功能。SubSeven還具有其他功能：攻擊者可以遠(yuǎn)程交換鼠標(biāo)按鍵，關(guān)閉/打開CapsLock、NumLock和ScrollLock，禁用Ctrl+Alt+Del組合鍵，注銷用戶，打開和關(guān)閉CD-ROM驅(qū)動(dòng)器，關(guān)閉和打開監(jiān)視器，翻轉(zhuǎn)屏幕顯示，關(guān)閉和重新啟動(dòng)計(jì)算機(jī)常見的特洛伊木馬在2006年之前，冰河在國(guó)內(nèi)一直是不可動(dòng)搖的領(lǐng)軍木馬，在國(guó)內(nèi)沒用過(guò)冰河的人等于沒用過(guò)木馬，由此可見冰河木馬在國(guó)內(nèi)的影響力之巨大。該軟件主要用于遠(yuǎn)程監(jiān)控，自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化等。冰河原作者：黃鑫，冰河的開放端口7626據(jù)傳為其生日號(hào)。1．自動(dòng)跟蹤目標(biāo)機(jī)屏幕變化，同時(shí)可以完全模擬鍵盤及鼠標(biāo)輸入,即在同步被控端屏幕變化的同時(shí)，監(jiān)控端的一切鍵盤及鼠標(biāo)操作將反映在被控端屏幕（局域網(wǎng)適用）；2．記錄各種口令信息：包括開機(jī)口令、屏?？诹?、各種共享資源口令及絕大多數(shù)在對(duì)話框中出現(xiàn)過(guò)的口令信息；3．獲取系統(tǒng)信息：包括計(jì)算機(jī)名、注冊(cè)公司、當(dāng)前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當(dāng)前顯示分辨率、物理及邏輯磁盤信息等多項(xiàng)系統(tǒng)數(shù)據(jù)；4．限制系統(tǒng)功能：包括遠(yuǎn)程關(guān)機(jī)、遠(yuǎn)程重啟計(jì)算機(jī)、鎖定鼠標(biāo)、鎖定系統(tǒng)熱鍵及鎖定注冊(cè)表等多項(xiàng)功能限制；5．遠(yuǎn)程文件操作：包括創(chuàng)建、上傳、下載、復(fù)制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠(yuǎn)程打開文件（提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式）等多項(xiàng)文件操作功能；6．注冊(cè)表操作：包括對(duì)主鍵的瀏覽、增刪、復(fù)制、重命名和對(duì)鍵值的讀寫等所有注冊(cè)表操作功能；常見的特洛伊木馬灰鴿子（Hack.Huigezi）是一個(gè)集多種控制方法于一體的木馬病毒，一旦用戶電腦不幸感染，可以說(shuō)用戶的一舉一動(dòng)都在黑客的監(jiān)控之下，要竊取賬號(hào)、密碼、照片、重要文件都輕而易舉。自2001年，灰鴿子誕生之日起，就被反病毒專業(yè)人士判定為最具危險(xiǎn)性的后門程序，并引發(fā)了安全領(lǐng)域的高度關(guān)注。2004年、2005年、2006年，灰鴿子木馬連續(xù)三年被國(guó)內(nèi)各大殺毒廠商評(píng)選為年度十大病毒，灰鴿子也因此聲名大噪，逐步成為媒體以及網(wǎng)民關(guān)注的焦點(diǎn)。特洛伊木馬的定義木馬與病毒一般情況下，病毒是依據(jù)其能夠進(jìn)行自我復(fù)制即傳染性的特點(diǎn)而定義的特洛伊木馬主要是根據(jù)它的有效載體，或者是其功能來(lái)定義的，更多情況下是根據(jù)其意圖來(lái)定義的木馬一般不進(jìn)行自我復(fù)制，但具有寄生性，如捆綁在合法程序中得到安裝、啟動(dòng)木馬的權(quán)限，DLL木馬甚至采用動(dòng)態(tài)嵌入技術(shù)寄生在合法程序的進(jìn)程中木馬一般不具有普通病毒所具有的自我繁殖、主動(dòng)感染傳播等特性，但我們習(xí)慣上將其納入廣義病毒，也就是說(shuō)，木馬也是廣義病毒的一個(gè)子類木馬的最終意圖是竊取信息、實(shí)施遠(yuǎn)程監(jiān)控木馬與合法遠(yuǎn)程控制軟件(如pcAnyWhere)的主要區(qū)別在于是否具有隱蔽性、是否具有非授權(quán)性特洛伊木馬的結(jié)構(gòu)木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序(服務(wù)器程序)三部分組成特洛伊木馬的基本原理運(yùn)用木馬實(shí)施網(wǎng)絡(luò)入侵的基本過(guò)程特洛伊木馬的基本原理木馬控制端與服務(wù)端連接的建立控制端要與服務(wù)端建立連接必須知道服務(wù)端的木馬端口和IP地址由于木馬端口是事先設(shè)定的，為已知項(xiàng)，所以最重要的是如何獲得服務(wù)端的IP地址獲得服務(wù)端的IP地址的方法主要有兩種：信息反饋和IP掃描特洛伊木馬的基本原理木馬控制端與服務(wù)端連接的建立特洛伊木馬的基本原理木馬通道與遠(yuǎn)程控制木馬連接建立后，控制端端口和服務(wù)端木馬端口之間將會(huì)出現(xiàn)一條通道控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制，實(shí)現(xiàn)的遠(yuǎn)程控制就如同本地操作特洛伊木馬的傳播方式木馬常用的傳播方式，有以下幾種：以郵件附件的形式傳播控制端將木馬偽裝之后添加到附件中，發(fā)送給收件人通過(guò)OICQ、QQ等聊天工具軟件傳播在進(jìn)行聊天時(shí)，利用文件傳送功能發(fā)送偽裝過(guò)的木馬程序給對(duì)方通過(guò)提供軟件下載的網(wǎng)站(Web/FTP/BBS)傳播木馬程序一般非常小，只有是幾K到幾十K，如果把木馬捆綁到其它正常文件上，用戶是很難發(fā)現(xiàn)的，所以，有一些網(wǎng)站被人利用，提供的下載軟件往往捆綁了木馬文件，在用戶執(zhí)行這些下載的文件的同時(shí)，也運(yùn)行了木馬通過(guò)一般的病毒和蠕蟲傳播通過(guò)帶木馬的磁盤和光盤進(jìn)行傳播七、計(jì)算機(jī)日常使用的

安全建議計(jì)算機(jī)日常使用的安全建議 建立良好的安全習(xí)慣。例如：對(duì)一些來(lái)歷不明的郵件及附件不要打開，不要上一些不太了解的網(wǎng)站、不要執(zhí)行從Internet下載后未經(jīng)殺毒處理的軟件等，這些必要的習(xí)慣會(huì)使您的計(jì)算機(jī)更安全。

關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)。默認(rèn)情況下，許多操作系統(tǒng)會(huì)安裝一些輔助服務(wù)，如FTP客戶端、Telnet和Web服務(wù)器。這些服務(wù)為攻擊者提供了方便，而又對(duì)用戶沒有太大用處，刪除它