鄭州市2015網(wǎng)絡(luò)安全員培訓(xùn)考試資料技術(shù)第四章

第四章計(jì)算機(jī)惡意代碼防治

惡意是一種程序，它通過把代碼在不被察覺的

代碼情況下鑲嵌到另一段程序中，從而達(dá)到破壞被

感染電腦數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、

破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。

惡意代碼按傳播方式，可以分成以下幾類：

1.計(jì)算機(jī)病毒：一組能夠進(jìn)行自我傳播、需要

用戶干預(yù)來觸發(fā)執(zhí)行的破壞性程序或代碼。如CIH、

愛蟲、新歡樂時(shí)光、求職信、惡鷹、rose…

2.蠕蟲：一種可以自我復(fù)制的完全獨(dú)立的程序，它的

傳播不需要借助被感染主機(jī)中的其他程序。蠕蟲的自我

復(fù)制不像其他的病毒，它可以自動(dòng)創(chuàng)建與它的功能完全

相同的副本，并在沒人干涉的情況下自動(dòng)運(yùn)行。蠕蟲是

通過系統(tǒng)存在的漏洞和設(shè)置的不安全性來進(jìn)行入侵的，

它的自身特性可以使它以及快的速度傳輸。如紅色代

碼、SQL蠕蟲王、沖擊波、震蕩波、熊貓燒香。

3.特洛伊木馬：是指一類看起來具有正常功能，但實(shí)際

上隱藏著很多用戶不希望功能的程序，通常由控制端和

被控制端兩端組成。一些木馬程序會(huì)通過覆蓋系統(tǒng)中已

經(jīng)存在的文件的方式存在于系統(tǒng)之中，同時(shí)它可以攜帶

惡意代碼，還有一些木馬會(huì)以一個(gè)軟件的身份出現(xiàn)，但

它實(shí)際上是一個(gè)竊取密碼的工具。這種病毒通常不容易

被發(fā)現(xiàn)。如冰河、網(wǎng)絡(luò)神偷、灰鴿子……

4.后門：使得攻擊者可以對(duì)系統(tǒng)進(jìn)行非授權(quán)訪問的

一類程序。

5.惡意軟件：是指在未明確提示用戶或未經(jīng)用

戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝

運(yùn)行，侵犯用戶合法權(quán)益的軟件。

6.移動(dòng)代碼：是指能夠從主機(jī)傳輸?shù)娇蛻舳擞?jì)算機(jī)上并

執(zhí)行的代碼，它通常是作為病毒，蠕蟲，或是特洛伊木

馬的一部分被傳送到客戶計(jì)算機(jī)上的。另外，移動(dòng)代碼

可以利用系統(tǒng)的漏洞進(jìn)行入侵，例如非法的數(shù)據(jù)訪問和

盜取root帳號(hào)。通常用于編寫移動(dòng)代碼的工具包括Java

appIets,ActiveX,JavaScript,和VBScript。

二、計(jì)算機(jī)病毒

1.計(jì)算機(jī)病毒概述

計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插

入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使

用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。

2.病毒的分類

按破壞性分

（1）良性病毒

⑵惡性病毒

⑶極惡性病毒

(4)災(zāi)難性病毒

按傳染方式分

⑴引導(dǎo)區(qū)病毒：主要通過軟盤在操作系統(tǒng)中傳

播，感染引導(dǎo)區(qū)，蔓延到硬盤，并能感染到硬盤中

的“主引導(dǎo)記錄”。

⑵文件病毒：文件型病毒是文件感染者，也稱為寄生

病毒。它運(yùn)行在計(jì)算機(jī)存儲(chǔ)器中，通常感染擴(kuò)展名為

COM、EXE、SYS等類型的文件。

⑶混合型病毒：具有引導(dǎo)區(qū)病毒和文件病毒兩者

的特點(diǎn)。

⑷宏病毒：是指用BASIC語(yǔ)言編寫的病毒程序寄存

在Office文檔上的宏代碼。宏病毒影響對(duì)文檔的各

種操作。

3.計(jì)算機(jī)病毒的組成結(jié)構(gòu)

計(jì)算機(jī)病毒的種類很多，但通過分析現(xiàn)有的計(jì)

算機(jī)病毒，發(fā)現(xiàn)幾乎所有的計(jì)算機(jī)病毒都是由三個(gè)

部分組成即：引導(dǎo)模塊、傳播模塊、表現(xiàn)模塊。

4.病毒的網(wǎng)絡(luò)傳播途徑

(1)感染本地文件、局域網(wǎng)共享目錄中的文件或

者復(fù)制副本到對(duì)方目錄。

(2)尋找Email地址，大量發(fā)送垃圾郵件(附件

攜帶病毒體)。

(3)通過網(wǎng)絡(luò)共享軟件進(jìn)行傳播。

(4)建立后門程序，通過后門進(jìn)行傳播。

(5)通過IRC進(jìn)行傳播，通過QQ、MSN等即時(shí)軟件

進(jìn)行傳播。

(6)通過U盤、磁盤、光盤等其他磁介質(zhì)進(jìn)行傳播。

(7)利用系統(tǒng)軟件的漏洞進(jìn)行傳播。

5.計(jì)算機(jī)病毒特征

(1)傳染性：是指計(jì)算機(jī)病毒的再生機(jī)制，即病

毒具有自己復(fù)制到其他程序中的特性。帶有病毒的

程序或存儲(chǔ)介質(zhì)，鎖定目標(biāo)或?qū)⒆陨泶a插入其中，

與系統(tǒng)中的程序連接在一起，達(dá)到自我繁殖的目的。

感染的程序有可能被運(yùn)行，再次感染其他程序。感

染的磁盤、移動(dòng)硬盤等存儲(chǔ)介質(zhì)被移到其他計(jì)算機(jī)

中，或者通過網(wǎng)絡(luò)，只要有一臺(tái)計(jì)算機(jī)感染，若不

及時(shí)處理，病毒就會(huì)迅速擴(kuò)散。

⑵潛伏性：計(jì)算機(jī)的潛伏性是指計(jì)算機(jī)感染病毒

后并非是馬上發(fā)作，而是要潛伏一段時(shí)間。從病

毒感染某個(gè)計(jì)算機(jī)到該病毒發(fā)作為止的這段時(shí)

期，稱為病毒的潛伏期。病毒之間潛伏性的差異

很大。

有的病毒非常外露，每次病毒程序運(yùn)行的時(shí)候都企圖進(jìn)

行感染，但這種病毒編制技巧比較簡(jiǎn)單，很容易被人發(fā)

現(xiàn)，因此往往以高效率的感染率來?yè)Q取較短的生命周

期；有的病毒卻不容易被發(fā)現(xiàn)，它通過降低感染發(fā)作的

頻率來隱蔽自己，

該病毒侵入系統(tǒng)后不動(dòng)聲色，看上去近似偶然的機(jī)會(huì)進(jìn)

行感染，來獲得較大的感染范圍，與外屬性病毒相比，

這些隱蔽性的病毒更可怕。著名的“黑色星期五”病毒

是每逢13日是星期五時(shí)發(fā)作.CIH是每月26日發(fā)作。

這些病毒在平時(shí)隱蔽的很好，只有發(fā)作日才會(huì)露出本來

面目。

⑶破壞性：破壞是計(jì)算機(jī)病毒最終的表現(xiàn)，只要病毒

入侵計(jì)算機(jī)系統(tǒng)，就會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度

的影響?？赡苄薷南到y(tǒng)配置信息、刪除數(shù)據(jù)、破壞硬盤

分區(qū)表、引導(dǎo)記錄等，甚至格式化磁盤、導(dǎo)致系統(tǒng)崩潰,

對(duì)數(shù)據(jù)造成不可挽回的破壞。

(4)隱蔽性：病毒為了隱藏，病毒代碼設(shè)計(jì)的非常短小

精悍，一般只有幾百個(gè)字節(jié)或IKB大小，病毒瞬間就可

以將短短的代碼附加到正常的程序中或磁盤較隱蔽的

地方，使入侵不易察覺。

其設(shè)計(jì)微小的目的也是盡量使病毒代碼與受傳染的

文件或程序融合在一起，具有正常程序的一些特性,

隱藏在正常程序中，在不經(jīng)過特殊代碼分析的情況

下，病毒程序與正常程序是不容易區(qū)別開來的。

⑸觸發(fā)性：計(jì)算機(jī)病毒因某個(gè)事件的出現(xiàn)，誘發(fā)病毒

進(jìn)行感染或進(jìn)行破壞，稱為病毒的觸發(fā)。每個(gè)病毒都有

自己的觸發(fā)條件，這些條件可能是時(shí)間、日期、文件類

型或某些特定的數(shù)據(jù)。如果滿足了這些條件，病毒就進(jìn)

行感染和破壞，如果沒有滿足條件，則繼續(xù)潛伏。

(6)衍生性：衍生性表現(xiàn)在兩個(gè)方面，有些計(jì)算機(jī)病毒

本身在傳染過程中會(huì)通過一套變換機(jī)制，產(chǎn)生出許多與

源代碼不同的病毒；另一方面，有些攻擊者人為地修改

病毒源代碼，這兩種方式都有可能產(chǎn)生不同于原病毒代

碼的病毒一一變種病毒，使人們防不勝防。

⑺寄生性：寄生性是指病毒對(duì)其他文件或系統(tǒng)進(jìn)行一

系列的非法操作，使其帶有這種病毒，并成為該病毒的

一個(gè)新傳染源。

(8)不可預(yù)見性：病毒相對(duì)于防毒軟件永遠(yuǎn)是超前

的，理論上講，沒有任何殺毒軟件能將所有的病毒清除。

6.引導(dǎo)區(qū)病毒

引導(dǎo)型病毒是一種在ROMBIOS之后，系統(tǒng)引導(dǎo)時(shí)

出現(xiàn)的病毒，它先于操作系統(tǒng)，依托的環(huán)境是BIOS中

斷服務(wù)程序。引導(dǎo)型病毒是利用操作系統(tǒng)的引導(dǎo)模塊放

在某個(gè)固定的位置，并且控制權(quán)其轉(zhuǎn)交方式是以物理位

置為依據(jù)，而不是以操作系統(tǒng)引導(dǎo)區(qū)的內(nèi)容為依據(jù)，因

而病毒占據(jù)該物理位置即可獲得控制權(quán)，而將真正的引

導(dǎo)區(qū)內(nèi)容搬家轉(zhuǎn)移或替換，待病毒程序執(zhí)行后，將控制

權(quán)交給真正的引導(dǎo)區(qū)內(nèi)容，使得這個(gè)帶病毒的系統(tǒng)看似

正常運(yùn)轉(zhuǎn)，而病毒已隱藏在系統(tǒng)中并伺機(jī)傳染、發(fā)作。

7.文件病毒

文件型病毒通常感染帶有.com、.exe、

.drv、.ovl、.sys等擴(kuò)展名的可執(zhí)行文件。它們?cè)诿?/p>

次激活時(shí)，感染文件把自身復(fù)制到其他可執(zhí)行的文件

中，并能在內(nèi)存中保存很長(zhǎng)時(shí)間，直至病毒被激活。

當(dāng)用戶調(diào)用感染了病毒的可執(zhí)行文件時(shí)，病毒首先

會(huì)運(yùn)行，然后病毒駐留在內(nèi)存中感染其他文件。這

種病毒的特點(diǎn)是依附于正常文件，成為程序文件的

—外殼。

8.復(fù)合型病毒

這類病毒既感染文件、又感染磁盤引導(dǎo)區(qū)與主引導(dǎo)

區(qū)。能破壞計(jì)算機(jī)主板芯片的CIH毀滅者病毒屬于該類

病毒。CIH是一個(gè)臺(tái)灣大學(xué)生編寫的一個(gè)病毒，當(dāng)時(shí)把

它放置在大學(xué)的BBS站上，1998年傳入大陸，發(fā)作日

期是每個(gè)月的26日

該病毒是第一個(gè)直接攻擊計(jì)算機(jī)硬件的病毒，破壞性極

強(qiáng)，發(fā)作時(shí)破壞計(jì)算機(jī)FIashBIOS芯片中的系統(tǒng)程序,

導(dǎo)致主板與硬盤數(shù)據(jù)的損壞。1999年4月26日，CIH

病毒在中國(guó)、俄羅斯、韓國(guó)等地大規(guī)模發(fā)作，僅大陸就

造成數(shù)十萬計(jì)算機(jī)癱瘓，大量硬盤數(shù)據(jù)被破壞。

9.宏病毒

宏譯自英文單詞Macro宏是微軟公司為其office

軟件包設(shè)計(jì)的一個(gè)特殊功能，軟件設(shè)計(jì)者為了讓人們?cè)?/p>

使用軟件進(jìn)行工作時(shí)，避免一再地重復(fù)相同的動(dòng)作而設(shè)

計(jì)出來的一種工具它利用簡(jiǎn)單的語(yǔ)法，把常用的動(dòng)作寫

成宏，當(dāng)工作時(shí)，就可以直接利用事先編好的宏自動(dòng)運(yùn)

行，去完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的動(dòng)作,

目的是讓用戶文檔中的一些任務(wù)自動(dòng)化。

office中的word和ExceI都有宏。word便為大眾

事先定義一個(gè)共用的通用模板(Normal,dot),里面

包含了基本的宏。只要啟動(dòng)Word,就會(huì)自動(dòng)運(yùn)行

NormaI.dot文件。如果在word中重復(fù)進(jìn)行某項(xiàng)工

作，可用宏使其自動(dòng)執(zhí)行。

word提供了兩種創(chuàng)建宏的方法：宏錄制器和Visual

Basic編織器。宏將一系列的word命令和指令組合

在一起，形成一個(gè)命令，以實(shí)現(xiàn)任務(wù)執(zhí)行的自動(dòng)化。

在默認(rèn)情況下，word特定存貯在Normal模板中，以

便所有的word文檔均能使用，這一特點(diǎn)幾乎為所有

的宏病毒所利用。

如果撰寫了有問題的宏，感染了通用模板

(NormaI.dot),那么只要執(zhí)行word,這個(gè)受感染的

通用模板便會(huì)傳播到之后所編織的文檔中去，如果

其他用戶打開了感染病毒的文檔，宏病毒又會(huì)轉(zhuǎn)移

到其他的計(jì)算機(jī)上。

目前，人們所說的宏病毒主要指word和ExceI

宏病毒。

10.腳本病毒

腳本是指從一個(gè)數(shù)據(jù)文檔中進(jìn)行一個(gè)任務(wù)的一

組指令，這一點(diǎn)與宏相似。與宏相同腳本也是嵌入

到一個(gè)靜態(tài)文件中，它們的指令是由一個(gè)應(yīng)用程序

而不是計(jì)算機(jī)處理運(yùn)行，目前大多數(shù)是使用web瀏

覽器，如Netscape和IE都具有腳本功能，能夠運(yùn)

行嵌入在網(wǎng)頁(yè)中的腳本。

腳本病毒是使用應(yīng)用程序和操作系統(tǒng)中的自動(dòng)腳本

功能復(fù)制和傳播的，例如，當(dāng)在一個(gè)具有腳本功能

的瀏覽器中打開一個(gè)HTML文件時(shí),一個(gè)嵌入在HTMI、

文件中的腳本病毒就會(huì)自動(dòng)執(zhí)行。腳本病毒主要通

過電子郵件和網(wǎng)頁(yè)傳播。

三、網(wǎng)絡(luò)蠕蟲

1.網(wǎng)絡(luò)蠕蟲概述

網(wǎng)絡(luò)蠕蟲是一種智能化、自動(dòng)化并綜合網(wǎng)絡(luò)攻擊、

密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，不要計(jì)算機(jī)使用者干預(yù)即可

運(yùn)行的攻擊程序或代碼。它會(huì)掃描和攻擊網(wǎng)絡(luò)上存在系

統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過網(wǎng)絡(luò)從一個(gè)節(jié)點(diǎn)傳播到另外一

個(gè)節(jié)點(diǎn)。

網(wǎng)絡(luò)蠕蟲具有以下特征：

(1)主動(dòng)攻擊：從搜索漏洞，到利用搜索結(jié)果攻

擊系統(tǒng)，到攻擊成功后復(fù)制副本，整個(gè)流程全由蠕蟲自

身主動(dòng)完成。

(2)利用軟件漏洞：蠕蟲利用系統(tǒng)的漏洞獲得被

攻擊的計(jì)算機(jī)系統(tǒng)的相應(yīng)權(quán)限，使之進(jìn)行復(fù)制和傳播過

程成為可能。

(3)造成網(wǎng)絡(luò)擁塞：在傳播的過程中，蠕蟲需要判斷

其它計(jì)算機(jī)是否存活；判斷特定應(yīng)用服務(wù)是否存在；判

斷漏洞是否存在等等，這將產(chǎn)生大量的網(wǎng)絡(luò)數(shù)據(jù)流量。

同時(shí)出于攻擊網(wǎng)絡(luò)的需要，蠕蟲也可以產(chǎn)生大量惡意流

量，當(dāng)大量的機(jī)器感染蠕蟲時(shí)，就會(huì)產(chǎn)生巨大的網(wǎng)絡(luò)流

量，導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。

(4)留下安全隱患：大部分蠕蟲會(huì)搜集、擴(kuò)散、暴露

系統(tǒng)敏感信息(如用戶信息等)，并在系統(tǒng)中留下后門。

(5)行蹤隱蔽：蠕蟲的傳播過程中，不需要用戶

的輔助工作，其傳播的過程中用戶基本上不可察覺。

(6)反復(fù)性：即使清除了蠕蟲留下的任何痕跡，如果

沒有修補(bǔ)計(jì)算機(jī)系統(tǒng)漏洞，網(wǎng)絡(luò)中的計(jì)算機(jī)還是會(huì)被重

新感染。

(7)破壞性：越來越多的蠕蟲開始包含惡意代碼,

破壞被攻擊的計(jì)算機(jī)系統(tǒng)，而且造成的經(jīng)濟(jì)損失數(shù)目越

來越大。

2.網(wǎng)絡(luò)蠕蟲工作機(jī)制

網(wǎng)絡(luò)蠕蟲的工作機(jī)制分為三個(gè)階段：信息收集、攻

擊滲透、現(xiàn)場(chǎng)處理

(1)信息收集：按照一定的策略搜索網(wǎng)絡(luò)中存活的

主機(jī)，收集目標(biāo)主機(jī)的信息，并遠(yuǎn)程進(jìn)行漏洞的分析。

如果目標(biāo)主機(jī)上有可以利用的漏洞則確定為一個(gè)可以攻

擊的主機(jī)，否則放棄攻擊。

(2)攻擊滲透：通過收集的漏洞信息嘗試攻擊，一

旦攻擊成功，則獲得控制該主機(jī)的權(quán)限，將蠕蟲代

碼滲透到被攻擊主機(jī)。

(3)現(xiàn)場(chǎng)處理：當(dāng)攻擊成功后，開始對(duì)被攻擊的主機(jī)

進(jìn)行一些處理工作，將攻擊代碼隱藏，為了能使被攻擊

主機(jī)運(yùn)行蠕蟲代碼，還要通過注冊(cè)表將蠕蟲程序設(shè)為自

啟動(dòng)狀態(tài)；可以完成它想完成的任何動(dòng)作，如惡意占用

CPU資源；收集被攻擊主機(jī)的敏感信息，可以危害被感

染的主機(jī)，刪除關(guān)鍵文件。

3.網(wǎng)絡(luò)蠕蟲掃描策略

網(wǎng)絡(luò)蠕蟲掃描越是能夠盡快地發(fā)現(xiàn)被感染主

機(jī)，那么網(wǎng)絡(luò)蠕蟲的傳播速度就越快。

(1)隨機(jī)掃描：隨機(jī)選取某一段IP地址，然后對(duì)這一

地址段上的主機(jī)掃描。由于不知道哪些主機(jī)已經(jīng)感染蠕

蟲，很多掃描是無用的。這一方法的蠕蟲傳播速度較慢。

但是隨著蠕蟲的擴(kuò)散，網(wǎng)絡(luò)上存在大量的蠕蟲時(shí)，蠕蟲

造成的網(wǎng)絡(luò)流量就變得非常巨大。

(2)選擇掃描：選擇性隨機(jī)掃描將最有可能存在漏

洞主機(jī)的地址集作為掃描的地址空間。所選的目標(biāo)

地址按照一定的算法隨機(jī)生成。選擇性隨機(jī)掃描算

法簡(jiǎn)單，容易實(shí)現(xiàn)，若與本地優(yōu)先原則結(jié)合則能達(dá)

到更好的傳播效果。紅色代碼和"Slammer”的傳播

采用了選擇性隨機(jī)掃描策略。

(3)順序掃描：順序掃描是被感染主機(jī)上蠕蟲會(huì)隨機(jī)選

擇一個(gè)C類網(wǎng)絡(luò)地址進(jìn)行傳播，根據(jù)本地優(yōu)先原則，網(wǎng)

絡(luò)地址段順序遞增。

(4)基于目標(biāo)列表的掃描：基于目標(biāo)列表掃描是指

網(wǎng)絡(luò)蠕蟲根據(jù)預(yù)先生成易感染的目標(biāo)列表，搜尋感染目

標(biāo)。

(5)基于DNS掃描：從DNS服務(wù)器獲取IP地址來

建立目標(biāo)地址庫(kù)，優(yōu)點(diǎn)在于獲得的IP地址塊針對(duì)性

強(qiáng)和可用性高。關(guān)鍵問題是如何從DNS服務(wù)器得到

網(wǎng)絡(luò)主機(jī)地址，以及DNS服務(wù)器是否存在足夠的網(wǎng)

絡(luò)主機(jī)地址。

4.掃描策略設(shè)計(jì)的原則

(1)盡量減少重復(fù)的掃描，使掃描發(fā)送的數(shù)據(jù)

包盡量是沒有被感染蠕蟲的機(jī)器；

(2)保證掃描覆蓋到盡量大的可用地址段，包括盡

量大的范圍，掃描的地址段為互聯(lián)網(wǎng)上的有效地址

段；

(3)處理好掃描的時(shí)間分布，使得掃描不要集

中在某一時(shí)間內(nèi)發(fā)生。

5.網(wǎng)絡(luò)蠕蟲防御和清除

(1)給系統(tǒng)漏洞打補(bǔ)?。喝湎x病毒大多數(shù)都是

利用系統(tǒng)漏洞進(jìn)行傳播的，因此在清除蠕蟲病毒之

前必須將蠕蟲病毒利用的相關(guān)漏洞進(jìn)行修補(bǔ)。

(2)清除正在運(yùn)行的蠕蟲進(jìn)程：每個(gè)進(jìn)入內(nèi)存的蠕蟲

一般會(huì)以進(jìn)程的形式存在，只要清除了該進(jìn)程，就可以

使蠕蟲失效。

(3)刪除蠕蟲病毒的自啟動(dòng)項(xiàng)：感染蠕蟲主機(jī)用戶

一般不可能啟動(dòng)蠕蟲病毒，蠕蟲病毒需要就自己?jiǎn)?dòng)。

需要在這些自啟動(dòng)項(xiàng)中清除蠕蟲病毒的設(shè)置。

(4)刪除蠕蟲文件：可以通過蠕蟲在注冊(cè)表的鍵值可

以知道病毒的躲藏位置，對(duì)于那些正在運(yùn)行或被調(diào)用的

文件無法直接刪除，可以借助于相關(guān)工具刪除。

(5)利用自動(dòng)防護(hù)工具，如個(gè)人防火墻軟件：通過

個(gè)人防火墻軟件可以設(shè)置禁止不必要的服務(wù)。另外也可

以設(shè)置監(jiān)控自己主機(jī)有哪些惡意的流量。

四、木馬與后門

1.木馬的概念

木馬是指隱藏在正常程序中的一段具有特殊功能的

惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵

盤和DOS攻擊等特殊功能的后門程序。它與控制主機(jī)之

間建立起連接，使得控制者能夠通過網(wǎng)絡(luò)控制受害系統(tǒng),

最大的特征在于隱秘性。

2.木馬特征

(1)隱蔽性：隱蔽性是木馬的首要特征。木馬類

軟件的SERVER端程序在被控主機(jī)系統(tǒng)上運(yùn)行時(shí)，會(huì)使

用各種方法來隱藏自己。

(2)自動(dòng)運(yùn)行性：木馬程序通過修改系統(tǒng)配置文

件，在目標(biāo)主機(jī)系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行或加載。

(3)欺騙性：木馬程序要達(dá)到其長(zhǎng)期隱蔽的目的，就

必需借助系統(tǒng)中已有的文件，以防用戶發(fā)現(xiàn)。

(4)自動(dòng)恢復(fù)性：很多的木馬程序中的功能模塊已

不再是由單一的文件組成，而是具有多重備份，可以相

互恢復(fù)。系統(tǒng)一旦被植入木馬，只刪除某一個(gè)木馬文件

來進(jìn)行清除是無法清除干凈的。

(5)破壞或信息收集：木馬通常具有搜索Cache中

的口令、設(shè)置口令、掃描目標(biāo)機(jī)器的IP地址、進(jìn)行

鍵盤記錄、遠(yuǎn)程注冊(cè)表的操作、以及鎖定鼠標(biāo)等功

能。

3.木馬的偽裝方式

鑒于木馬的危害性，很多人對(duì)木馬知識(shí)還是有

一定了解的，這對(duì)木馬的傳播起了一定的抑制作用，

這是木馬設(shè)計(jì)者所不愿見到的，因此他們開發(fā)了多

種功能來偽裝木馬，以達(dá)到降低用戶警覺，欺騙用

戶的目的。

1)修改圖標(biāo)

當(dāng)你在E-MAIL的附件中看到這個(gè)圖標(biāo)時(shí)，是否會(huì)認(rèn)

為這是個(gè)文本文件呢?但是我不得不告訴你，這也有可

能是個(gè)木馬程序，現(xiàn)在已經(jīng)有木馬可以將木馬服務(wù)端程

序的圖標(biāo)改成HTML,TXT,ZIP等各種文件的圖標(biāo)，這有相

當(dāng)大的迷惑性，但是目前提供這種功能的木馬還不多見,

并且這種偽裝也不是無懈可擊的，所以不必整天提心吊

膽，疑神疑鬼的。

(2)捆綁文件

這種偽黑客利用木馬病毒盜取網(wǎng)銀用戶，安裝手段

是將木馬捆綁到一個(gè)安裝程序上，當(dāng)安裝程序運(yùn)行時(shí)，

木馬在用戶毫無察覺的情況下，偷偷的進(jìn)入了系統(tǒng)。至

于被捆綁的文件一般是可執(zhí)行文件(即EXE,COM一類的

文件)。

(3)出錯(cuò)顯示

有一定木馬知識(shí)的人都知道，如果打開一個(gè)文件，

沒有任何反應(yīng)，這很可能就是個(gè)木馬程序，木馬的設(shè)計(jì)

者會(huì)提供一個(gè)叫做出錯(cuò)顯示的功能。當(dāng)服務(wù)端用戶打開

木馬程序時(shí)，會(huì)彈出一個(gè)錯(cuò)誤提示框，錯(cuò)誤內(nèi)容可自由

定義，大多會(huì)定制成一些諸如“文件已破壞，無法打

開的！”之類的信息，當(dāng)服務(wù)端用戶信以為真時(shí)，木馬

卻悄悄侵入了系統(tǒng)。

(4)定制端口

很多老式的木馬端口都是固定的，這給判斷是否感

染了木馬帶來了方便，只要查一下特定的端口就知道感

染了什么木馬，所以現(xiàn)在很多新式的木馬都加入了定制

端口的功能，控制端用戶可以在1024—-65535之間任

選一個(gè)端口作為木馬端口（一般不選1024以下的端

口），這樣就給判斷所感染木馬類型帶來了麻煩。

5）自我銷毀

我們知道當(dāng)服務(wù)端用戶打開含有木馬的文件后，木

馬會(huì)將自己拷貝到WINDOWS的系統(tǒng)文件夾中，一般來說,

原木馬文件和系統(tǒng)文件夾中的木馬文件的大小是一樣

的，那么中了木馬的用戶只要在近來收到的信件和下載

的軟件中找到原木馬文件，然后根據(jù)原木馬的大小去系

統(tǒng)文件夾找相同大小的文件，判斷一下哪個(gè)是木馬就行

了。

而木馬的自我銷毀功能是指安裝完木馬后，原木馬

文件將自動(dòng)銷毀，這樣服務(wù)端用戶就很難找到木馬

的來源，在沒有查殺木馬的工具的幫助下，就很難

刪除木馬了。

（6）木馬更名

安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定

的，那么只要根據(jù)一些查殺木馬的文章，在系統(tǒng)文件夾

查找特定的文件，就可以斷定中了什么木馬。所以現(xiàn)在

有很多木馬都允許控制端用戶自由定制安裝后的木馬

文件名，這樣很難判斷所感染的木馬類型了。

4.木馬的運(yùn)行方式

服務(wù)端用戶運(yùn)行木馬或捆綁木馬的程序后，木馬就

會(huì)自動(dòng)進(jìn)行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)

文件夾中（C件INDOWS或C:WINDOWS\SYSTEM目錄下），

然后在注冊(cè)表，啟動(dòng)組，非啟動(dòng)組中設(shè)置好木馬的觸

發(fā)條件，這樣木馬的安裝就完成了。安裝后就可以啟動(dòng)

木馬了，具體過程如下：

（1）自啟動(dòng)激活木馬

自啟動(dòng)木馬的條件，大致出現(xiàn)在下面6個(gè)地方：

①注冊(cè)表：打開

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\C

urrentVersion下的五個(gè)以Run和RunServices主鍵，

在其中尋找可能是啟動(dòng)木馬的鍵值。

②WIN.INI:C:WINDOWS目錄下有一個(gè)配置文件win.ini,

用文本方式打開，在[windows]字段中有啟動(dòng)命令

load二和run二，在一般情況下是空白的，如果有啟動(dòng)程序,

可能是木馬。

③SYSTEM.INI:C:WINDOWS目錄下有個(gè)配置文件

system.ini,用文本方式打開，在[386Enh],[mei],

[drivers32]中有命令行，在其中尋找木馬的啟動(dòng)命令。

④Autoexec,bat和Config.sys：在C盤根目錄下

的這兩個(gè)文件也可以啟動(dòng)木馬。但這種加載方式一

般都需要控制端用戶與服務(wù)端建立連接后，將已添

加木馬啟動(dòng)命令的同名文件上傳到服務(wù)端覆蓋這兩

個(gè)文件才行。

⑤*.INI:即應(yīng)用程序的啟動(dòng)配置文件，控制端利用這

些文件能啟動(dòng)程序的特點(diǎn)，將制作好的帶有木馬啟動(dòng)命

令的同名文件上傳到服務(wù)端覆蓋這同名文件，這樣就可

以達(dá)到啟動(dòng)木馬的目的了。

⑥啟動(dòng)菜單：在“開始--程序--啟動(dòng)”選項(xiàng)下也可

能有木馬的觸發(fā)條件。

(2)觸發(fā)式激活木馬

①注冊(cè)表：打開HKEY_CLASSES_ROOT文件類型

\sheII\open\command主鍵，查看其鍵值。例如，國(guó)產(chǎn)

木馬“冰河”就是修改

HKEY_CLASSES_ROOT\txtfile\shelI\open\command下

的鍵值,將^C:WINDOWS\NOTEPAD.EXE%1”改為

C:WINDOWS\SYSTEM\SYXXXPLR.EXE%1”

當(dāng)用戶雙擊一個(gè)TXT文件后，原本應(yīng)用文本程序打開文

件的，現(xiàn)在卻變成啟動(dòng)木馬程序了。還要說明的是不光

TXT文件,通過修改HTML,EXE,ZIP等文件的啟動(dòng)命

令的鍵值都可以啟動(dòng)木馬，不同之處只在于“文件類型”

這個(gè)主鍵的差別，TXT是txtfiIe,ZIP是WINZIP。

②捆綁文件：實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服

務(wù)端已通過木馬建立連接，然后控制端用戶用工具

軟件將木馬文件和某一應(yīng)用程序捆綁在一起，然后

上傳到服務(wù)端覆蓋原文件，這樣即使木馬被刪除

了，只要運(yùn)行捆綁了木馬的應(yīng)用程序，木馬又會(huì)被

安裝上去了。

③自動(dòng)播放式：自動(dòng)播放本是用于光盤的，當(dāng)插入一個(gè)

電影光盤到光驅(qū)時(shí)，系統(tǒng)會(huì)自動(dòng)播放里面的內(nèi)容，這就

是自動(dòng)播放的本意，播放什么是由光盤中的AutoRun.inf

文件指定的，修改AutoRun.inf中的open一行可以指定

在自動(dòng)播放過程中運(yùn)行的程序。后來有人用于了硬盤與U

盤，在U盤或硬盤的分區(qū)，創(chuàng)建Autorun.inf文件，并

在Open中指定木馬程序，這樣，當(dāng)你打開硬盤分區(qū)或U

盤時(shí)，就會(huì)觸發(fā)木馬程序的運(yùn)行。

木馬被激活后，進(jìn)入內(nèi)存，并開啟事先定義的木馬

端口，準(zhǔn)備與控制端建立連接。這時(shí)服務(wù)端用戶可以在

MS-DOS方式下，鍵入NETSTAT-AN查看端口狀態(tài)，一般

個(gè)人電腦在脫機(jī)狀態(tài)下是不會(huì)有端口開放的，如果有端

口開放，你就要注意是否感染木馬了。在上網(wǎng)過程中要

下載軟件，發(fā)送信件，網(wǎng)上聊天等必然打開一些端口，

下面是一些常用的端口：

(1)1---1024之間的端口：這些端口叫保留端口，是專

給一些對(duì)外通訊的程序用的，如FTP使用21,SMTP使

用25,POP3使用110等。只有很少木馬會(huì)用保留端口

作為木馬端口的。

(2)1025以上的連續(xù)端口：在上網(wǎng)瀏覽網(wǎng)站時(shí)，瀏

覽器會(huì)打開多個(gè)連續(xù)的端口下載文字，圖片到本地硬盤

上，這些端口都是1025以上的連續(xù)端口。

⑶4000端口:這是0ICQ的通訊端口。

⑷6667端口:這是IRC的通訊端口。除上述的

端口基本可以排除在外，如發(fā)現(xiàn)還有其它端口打開,

尤其是數(shù)值比較大的端口，那就要懷疑是否感染了

木馬，當(dāng)然如果木馬有定制端口的功能，那任何端

口都有可能是木馬端口。

5.木馬的防御

根據(jù)木馬工作原理，木馬檢測(cè)一般有以下一些

方法：

(1)掃描端口：大部分的木馬服務(wù)器端會(huì)在系

統(tǒng)中監(jiān)聽某個(gè)端口，因此，通過查看系統(tǒng)上開啟了

那些端口能有效地發(fā)現(xiàn)遠(yuǎn)程控制木馬的蹤跡。

(2)檢查系統(tǒng)進(jìn)程：很多木馬在運(yùn)行期間都會(huì)在系

統(tǒng)中生成進(jìn)程。因此，檢查進(jìn)程是一種非常有效的

發(fā)現(xiàn)木馬蹤跡方法。

(3)檢查ini文件、注冊(cè)表和服務(wù)等自啟動(dòng)項(xiàng)。

(4)監(jiān)視網(wǎng)絡(luò)通訊，木馬的通信監(jiān)控可以通過

防火墻來監(jiān)控。

6.后門的概念

后門是一個(gè)允許攻擊者繞過系統(tǒng)中常規(guī)安全控

制機(jī)制的程序，他按照攻擊者自己的意圖提供通道。

后門的重點(diǎn)在于為攻擊者提供進(jìn)入目標(biāo)計(jì)算機(jī)的通

道。

后門包括從簡(jiǎn)單到復(fù)雜，有很多類型。簡(jiǎn)單的后門

可能只是建立一個(gè)新的賬號(hào)，或者接管一個(gè)很少使用的

賬號(hào);復(fù)雜的后門(包括木馬)可能會(huì)繞過系統(tǒng)的安全認(rèn)

證而對(duì)系統(tǒng)有安全存取權(quán)。例如一個(gè)login程序，當(dāng)你

輸入特定的密碼時(shí)，你就能以管理員的權(quán)限來存取系統(tǒng)。

后門能相互關(guān)聯(lián)，而且這個(gè)技術(shù)被許多黑客所使用。

例如，黑客可能使用密碼破解一個(gè)或多個(gè)賬號(hào)密碼,

黑客可能會(huì)建立一個(gè)或多個(gè)賬號(hào)。一個(gè)黑客可以存取這

個(gè)系統(tǒng)，黑客可能使用一些技術(shù)或利用系統(tǒng)的某個(gè)漏洞

來提升權(quán)限。黑客可能會(huì)對(duì)系統(tǒng)的配置文件進(jìn)行小部分

的修改，以降低系統(tǒng)的防衛(wèi)性能。也可能會(huì)安裝一個(gè)木

馬程序，使系統(tǒng)打開一個(gè)安全漏洞，以利于黑客完全掌

握系統(tǒng)。

7.后門的分類

后門可以按照很多方式來分類，標(biāo)準(zhǔn)不同自然分類

就不同，從技術(shù)方面來考慮后門程序的分類方法：

(1)網(wǎng)頁(yè)后門：此類后門程序一般都是服務(wù)器上

正常的web服務(wù)來構(gòu)造自己的連接方式，比如現(xiàn)在非常

流行的ASP、cgi腳本后門等。

(2)線程插入后門：利用系統(tǒng)自身的某個(gè)服務(wù)或者線

程，將后門程序插入到其中，這也是現(xiàn)在最流行的一個(gè)

后門技術(shù)。

(3)擴(kuò)展后門：所謂的“擴(kuò)展”，是指在功能上有

大的提升，比普通的單一功能的后門有很強(qiáng)的使用性，

這種后門本身就相當(dāng)于一個(gè)小的安全工具包，能實(shí)現(xiàn)非

常多的常駐見安全功能。

(4)c/s后門：和傳統(tǒng)的木馬程序類似的控制

方法，采用“客戶端/服務(wù)端”的控制方式，通過某

種特定的訪問方式來啟動(dòng)后門進(jìn)而控制服務(wù)器。

五、流氓軟件

1.起源和概述

“流氓軟件”其實(shí)起源于國(guó)外的“Badware”一詞，

定義為：是一種跟蹤你上網(wǎng)行為并將你的個(gè)人信息反饋

給“躲在陰暗處的”市場(chǎng)利益集團(tuán)的軟件，并且可以通

過該軟件能夠向你彈出廣告。

“Badware”分為“間諜軟件”(spyware)、惡意軟

件(malware)和欺騙性廣告軟件(deceptiveadware)。

國(guó)內(nèi)互聯(lián)網(wǎng)業(yè)界人士一般將該類軟件稱之為“流氓軟

件”，并歸納出間諜軟件、行為紀(jì)錄軟件、瀏覽器劫持軟

件、搜索引擎劫持軟件、廣告軟件、自動(dòng)撥號(hào)軟件、盜

竊密碼軟件等。

“流氓軟件”與病毒、其他軟件的區(qū)別：

計(jì)算機(jī)病毒指的是：自身具有、或使其它程序具有

破壞系統(tǒng)功能、危害用戶數(shù)據(jù)或其它惡意行為的一類程

序。這類程序往往影響計(jì)算機(jī)使用，并能夠自我復(fù)制。

正規(guī)軟件指的是：為方便用戶使用計(jì)算機(jī)工作、娛

樂而開發(fā)，面向社會(huì)公開發(fā)布的軟件。

“流氓軟件”介于兩者之間，同時(shí)具備正常功能(下

載、媒體播放等)和惡意行為(彈廣告、開后門)，給用

戶帶來實(shí)質(zhì)危害。這些軟件也可能被稱為惡意廣告軟件

(adware)＞間諜軟件(spyware)、惡意共享軟件。與病毒

或者蠕蟲不同，這些軟件很多不是小團(tuán)體或者個(gè)人秘密

地編寫和散播，反而有很多知名企業(yè)和團(tuán)體涉嫌此類軟

件。其中以雅虎旗下的3721最為知名和普遍，也比較典

型。

2.官方定義及特點(diǎn)

惡意軟件(流氓軟件)定義：是指在未明確提示

用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其

他終端上安裝運(yùn)行，侵犯用戶合法權(quán)益的軟件，但

已被我國(guó)法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外，它具有

如下特點(diǎn)：

(1)強(qiáng)制安裝：指在未明確提示用戶或未經(jīng)用戶許

可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝軟件

的行為。

(2)難以卸載：指未提供通用的卸載方式，或

在不受其他軟件影響、人為破壞的情況下，卸載后

仍活動(dòng)程序的行為。

(3)瀏覽器劫持：指未經(jīng)用戶許可，修改用戶瀏覽器或

其他相關(guān)設(shè)置，迫使用戶訪問特定網(wǎng)站或?qū)е掠脩魺o法

正常上網(wǎng)的行為。

(4)廣告彈出：指未明確提示用戶或未經(jīng)用戶許可

的情況下，利用安裝在用戶計(jì)算機(jī)或其他終端上的軟件

彈出廣告的行為。

(5)惡意收集用戶信息：未明確提示用戶或未經(jīng)用戶許

可，惡意收集用戶信息的行為。

(6)惡意卸載：指未明確提示用戶、未經(jīng)用戶許可,

或誤導(dǎo)、欺騙用戶卸載非惡意軟件的行為。

(7)惡意捆綁：指在軟件中捆綁已被認(rèn)定為惡意軟

件的行為。

(8)惡意安裝：未經(jīng)許可的情況下，強(qiáng)制在用

戶電腦里安裝其它非附帶的獨(dú)立軟件。強(qiáng)制安裝到

系統(tǒng)盤的軟件也被稱為流氓軟件。

3.分類

根據(jù)不同的特征和危害，困擾廣大計(jì)算機(jī)用戶的流

氓軟件主要有如下幾類：

(1)廣告軟件(Adware)

定義：廣告軟件是指未經(jīng)用戶允許，下載并安裝在

用戶電腦上；或與其他軟件捆綁，通過彈出式廣告等形

式牟取商業(yè)利益的程序。

危害：此類軟件往往會(huì)強(qiáng)制安裝并無法卸載；在后臺(tái)收

集用戶信息牟利，危及用戶隱私；頻繁彈出廣告，消耗

系統(tǒng)資源，使其運(yùn)行變慢等。

例如：用戶安裝了某下載軟件后，會(huì)一直彈出帶有

廣告內(nèi)容的窗口，干擾正常使用。還有一些軟件安裝后,

會(huì)在IE瀏覽器的工具欄位置添加與其功能不相干的廣告

圖標(biāo)，普通用戶很難清除

(2)間諜軟件(Spyware)

定義：間諜軟件是一種能夠在用戶不知情的情

況下，在其電腦上安裝后門、收集用戶信息的軟件。

危害：用戶的隱私數(shù)據(jù)和重要信息會(huì)被“后門程序”捕

獲，并被發(fā)送給黑客、商業(yè)公司等。這些“后門程序”

甚至能使用戶的電腦被遠(yuǎn)程操縱，組成龐大的“僵尸網(wǎng)

絡(luò)”，這是目前網(wǎng)絡(luò)安全的重要隱患之一。

例如：某些軟件會(huì)獲取用戶的軟硬件配置，并發(fā)送

出去用于商業(yè)目的。

(3)瀏覽器劫持

定義：瀏覽器劫持是一種惡意程序，通過瀏覽器插

件、BHO(瀏覽器輔助對(duì)象)、WinsockLSP等形式對(duì)用

戶的瀏覽器進(jìn)行篡改，使用戶的瀏覽器配置不正常，被

強(qiáng)行引導(dǎo)到商業(yè)網(wǎng)站。

危害：用戶在瀏覽網(wǎng)站時(shí)會(huì)被強(qiáng)行安裝此類插件，普通

用戶根本無法將其卸載，被劫持后，用戶只要上網(wǎng)就會(huì)

被強(qiáng)行引導(dǎo)到其指定的網(wǎng)站，嚴(yán)重影響正常上網(wǎng)瀏覽。

例如：一些不良站點(diǎn)會(huì)頻繁彈出安裝窗口，迫使用

戶安裝某瀏覽器插件，甚至根本不征求用戶意見，利用

系統(tǒng)漏洞在后臺(tái)強(qiáng)制安裝到用戶電腦中。這種插件還采

用了不規(guī)范的軟件編寫技術(shù)來逃避用戶卸載，往往會(huì)造

成瀏覽器錯(cuò)誤、系統(tǒng)異常重啟等。

(4)行為記錄軟件(TrackWare)

定義：行為記錄軟件是指未經(jīng)用戶許可，竊取并分

析用戶隱私數(shù)據(jù)，記錄用戶電腦使用習(xí)慣、網(wǎng)絡(luò)瀏覽習(xí)

慣等個(gè)人行為的軟件。

危害：危及用戶隱私，可能被黑客利用來進(jìn)行網(wǎng)絡(luò)

詐騙。

例如：一些軟件會(huì)在后臺(tái)記錄用戶訪問過的網(wǎng)站并加以

分析，有的甚至?xí)l(fā)送給專門的商業(yè)公司或機(jī)構(gòu)，此類

機(jī)構(gòu)會(huì)據(jù)此窺測(cè)用戶的愛好，并進(jìn)行相應(yīng)的廣告推廣或

商業(yè)活動(dòng)。

(5)惡意共享軟件

定義：惡意共享軟件是指某些共享軟件為了獲取利

益，采用誘騙手段、試用陷阱等方式強(qiáng)迫用戶注冊(cè)，或

在軟件體內(nèi)捆綁各類惡意插件，未經(jīng)允許即將其安裝到

用戶機(jī)器里。

危害：使用“試用陷阱”強(qiáng)迫用戶進(jìn)行注冊(cè)，否則可能

會(huì)丟失個(gè)人資料等數(shù)據(jù)。軟件集成的插件可能會(huì)造成用

戶瀏覽器被劫持、隱私被竊取等。

例如：用戶安裝某個(gè)媒體播放軟件后，會(huì)被強(qiáng)迫安

裝與播放功能毫不相干的軟件而不給出明確提示；并且

用戶卸載播放器軟件時(shí)不會(huì)自動(dòng)卸載這些附加安裝的軟

件。

(6)其它

隨著網(wǎng)絡(luò)的發(fā)展，“流氓軟件”的分類也越來越細(xì),

一些新種類的流氓軟件在不斷出現(xiàn)，分類標(biāo)準(zhǔn)必然會(huì)隨

之調(diào)整。

“流氓軟件”的最大商業(yè)用途就是散布廣告，并形成

了整條灰色產(chǎn)業(yè)鏈：企業(yè)為增加注冊(cè)用戶、提高訪問量

或推銷產(chǎn)品，向網(wǎng)絡(luò)廣告公司購(gòu)買廣告窗口流量。

網(wǎng)絡(luò)廣告公司用自己控制的廣告插件程序，在用戶

電腦中強(qiáng)行彈出廣告窗口。而為了讓廣告插件神不知鬼

不覺地進(jìn)入用戶電腦，大多數(shù)時(shí)候廣告公司是通過聯(lián)系

熱門免費(fèi)共享軟件的作者，以每次幾分錢的價(jià)格把廣告

程序通過插件的形式捆綁到免費(fèi)共享軟件中，用戶在下

載安裝這些免費(fèi)共享軟件時(shí)廣告程序也就趁虛而入

網(wǎng)絡(luò)廣告的計(jì)費(fèi)是按彈