网络攻击技术文档资料.ppt

网络攻击技术网络攻击技术网络攻击技术网络攻击技术目录：目录：目录：目录：& 黑客与攻击技术概述：黑客与攻击技术概述： & 漏洞扫描技术：漏洞扫描技术：& 网络嗅探技术：网络嗅探技术：& 口令破解技术：口令破解技术：& 计算机病毒及特洛伊木马：计算机病毒及特洛伊木马：& 网络入侵技术概述：网络入侵技术概述：& 网络后门技术：网络后门技术：& 网络隐身技术：网络隐身技术： 第一讲、黑客与攻击技术概述第一讲、黑客与攻击技术概述第一讲、黑客与攻击技术概述第一讲、黑客与攻击技术概述一、黑客概述：一、黑客概述：二、网络攻击的类型：二、网络攻击的类型：三、网络攻击的一般流程：三、网络攻击的一般流程：四、网络管理及攻防常用命令：四、网络管理及攻防常用命令：一、黑客概述：一、黑客概述：一、黑客概述：一、黑客概述：1 1、黑客和骇客：、黑客和骇客：““黑客黑客””是是“Hacker”“Hacker”的音译，指的音译，指““干了一件非常漂亮事的人干了一件非常漂亮事的人””对于计算机网络而言，黑客就是精通网络、系统、外设以及对于计算机网络而言，黑客就是精通网络、系统、外设以及软硬件技术的人，是专门研究、发现计算机和网络漏洞的计算机软硬件技术的人，是专门研究、发现计算机和网络漏洞的计算机爱好者，他们伴随着计算机和网络的发展而产生、成长。

黑客对爱好者，他们伴随着计算机和网络的发展而产生、成长黑客对计算机有着狂热的兴趣和执着的追求，他们不断地研究计算机和计算机有着狂热的兴趣和执着的追求，他们不断地研究计算机和网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法 到了今天，黑客一词已被用于泛指那些专门利用计算机搞破坏到了今天，黑客一词已被用于泛指那些专门利用计算机搞破坏或恶作剧的人，对这些人的正确英文叫法是或恶作剧的人，对这些人的正确英文叫法是CrackerCracker，有人也翻译，有人也翻译成成““骇客骇客””或是或是““入侵者入侵者””，也正是由于入侵者的出现玷污了黑，也正是由于入侵者的出现玷污了黑客的声誉，使人们把黑客和入侵者混为一谈，黑客被人们认为是客的声誉，使人们把黑客和入侵者混为一谈，黑客被人们认为是在网上到处搞破坏的人在网上到处搞破坏的人 黑客概述（续）：黑客概述（续）：黑客概述（续）：黑客概述（续）：2 2、红客：、红客：Ø红客最早出于红客最早出于19991999年的中美黑客大战，王重浪先生在他的《我是黑客》也年的中美黑客大战，王重浪先生在他的《我是黑客》也有阐明：有阐明：““中国红客从来都爱憎分明，有强烈的爱国之心。

相对黑客而言，中国红客从来都爱憎分明，有强烈的爱国之心相对黑客而言，我们是伸张正义、为保护民族利益而专门从事黑客行为的红客我们是伸张正义、为保护民族利益而专门从事黑客行为的红客”“”“红客的红客的原则是，遇事而出，凡是与中国过意不去的，我们就下山；凡是要损害中原则是，遇事而出，凡是与中国过意不去的，我们就下山；凡是要损害中华民族利益的，我们将出动华民族利益的，我们将出动…… ”…… ”Ø红客（红客（HonkerHonker），是区别于以获取技术快感为目的的西方传统黑客是区别于以获取技术快感为目的的西方传统黑客红红””便象征着中国，具有中国特色的便象征着中国，具有中国特色的““红色红色””黑客就演化为现在伸张正义的黑客就演化为现在伸张正义的红客红客希望以政治立场的正义性来证实自己攻击行为的合法性，红客红客红客希望以政治立场的正义性来证实自己攻击行为的合法性，红客的组成人员以年轻人为主，在５月８日进行的中国鹰派新闻发布会上，组的组成人员以年轻人为主，在５月８日进行的中国鹰派新闻发布会上，组织者称他们的成员中织者称他们的成员中““６５％是在校学生６５％是在校学生””红客就是从事网络安全行业红客就是从事网络安全行业的爱国黑客。

红客是爱憎分明、疾恶如仇的的爱国黑客红客是爱憎分明、疾恶如仇的Ø““中国红客联盟中国红客联盟””（（Honker Union of ChinaHonker Union of China），即真正的），即真正的“HUC”“HUC”，已经，已经于于2004/12/312004/12/31由由LionLion宣告解散宣告解散 二、网络攻击的类型：二、网络攻击的类型：1 1、被动攻击：、被动攻击： ¶攻击形式：攻击形式：Ø监视明文：监视明文：Ø解密通信数据：解密通信数据：Ø口令嗅探：口令嗅探：Ø通信量分析：通信量分析：Ø… … … … ¶防范措施：防范措施：Ø对于被动攻击，可以通过对于被动攻击，可以通过VPNVPN、加密被保护网络、使用、加密被保护网络、使用加保护的分布式网络，防止被动攻击加保护的分布式网络，防止被动攻击 网络攻击的类型（续）：网络攻击的类型（续）：网络攻击的类型（续）：网络攻击的类型（续）：2 2、主动攻击：、主动攻击：¶其主要形式有：其主要形式有：修改传输中的数据或伪装成授权的用户或服务器、利用系统软件漏修改传输中的数据或伪装成授权的用户或服务器、利用系统软件漏洞、利用恶意代码、利用协议或基础设施的系统缺陷、拒绝服务等方式洞、利用恶意代码、利用协议或基础设施的系统缺陷、拒绝服务等方式对目标进行攻击。

对目标进行攻击¶防范措施：防范措施：对于主动攻击，可以采用增强内部网络的保护（如防火墙和边界护对于主动攻击，可以采用增强内部网络的保护（如防火墙和边界护卫），采用基于身份认证的访问控制、远程访问保护、质量安全管理、卫），采用基于身份认证的访问控制、远程访问保护、质量安全管理、自动病毒检测、审计和入侵检测等技术，抵御主动攻击自动病毒检测、审计和入侵检测等技术，抵御主动攻击 网络攻击的类型（续）：网络攻击的类型（续）：网络攻击的类型（续）：网络攻击的类型（续）：3 3、邻近物理攻击：、邻近物理攻击： ¶其攻击形式有：其攻击形式有：修改数据或收集信息、系统干涉、物理破坏等修改数据或收集信息、系统干涉、物理破坏等4 4、内部人员攻击：、内部人员攻击： ¶其攻击形式有：其攻击形式有：修改数据或安全机制、擅自连接网络、物理损坏或破坏等修改数据或安全机制、擅自连接网络、物理损坏或破坏等¶防范措施：防范措施：对于邻近攻击和内部人员攻击，可以通过强化网络管理来进行防范对于邻近攻击和内部人员攻击，可以通过强化网络管理来进行防范 三、网络攻击的一般流程：三、网络攻击的一般流程：三、网络攻击的一般流程：三、网络攻击的一般流程：¯第一步：寻找目标第一步：寻找目标¯第二步：获取登陆权限第二步：获取登陆权限¯第三步：获取控制权限第三步：获取控制权限¯第四步：实施入侵第四步：实施入侵¯第五步：保留后门第五步：保留后门¯第六步：网络隐身第六步：网络隐身o后门：后门程序一般是指那些绕过安全性控制而获取对后门：后门程序一般是指那些绕过安全性控制而获取对程序或系统访问权的程序方法。

在软件的开发阶段，程程序或系统访问权的程序方法在软件的开发阶段，程序员常常会在软件内创建后门程序以便可以修改程序设序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷但是，如果这些后门被其他人知道，或是计中的缺陷但是，如果这些后门被其他人知道，或是在发布软件之前没有删除后门程序，那么它就成了安全在发布软件之前没有删除后门程序，那么它就成了安全风险，容易被黑客当成漏洞进行攻击风险，容易被黑客当成漏洞进行攻击四、网络管理及攻防常用命令：四、网络管理及攻防常用命令：四、网络管理及攻防常用命令：四、网络管理及攻防常用命令：1 1、、pingping命令：命令：命令格式：命令格式：ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]TOS]（（1 1）、不带参数用于测试网络连通性，主要用于测试不带参数用于测试网络连通性，主要用于测试命令格式：命令格式：C:\>ping TargetC:\>ping Target：：（（2 2）、）、-t:-t:命令格式：命令格式：C:\>ping –t Target C:\>ping –t Target 或或C:\>ping Target –tC:\>ping Target –t：：（（3 3）、）、-a:-a:命令格式：命令格式：C:\>ping –a TargetC:\>ping –a Target或或C:\>ping Target –aC:\>ping Target –a（（局域网内不确定局域网内不确定适用适用）：）：pingpingpingping命令（续）命令（续）命令（续）命令（续）pingpingpingping命令（续）命令（续）命令（续）命令（续）（（4 4）、）、-n:-n:命令格式：命令格式：C:\>ping -n count Target：：（（5 5）、）、-l:-l:命令格式：命令格式：C:\>ping -l size Target：：如：如：C:＼＼>ping -l 65500 -t 192.168.1.21（（6 6）、）、-r:-r:命令格式：命令格式：C:\>ping -r count Target：：如如C:＼＼>ping -n 1 -r 9 202.96.105.101 （发送一个数据（发送一个数据包，最多记录包，最多记录9个路由）个路由）2 2 2 2、、、、PathpingPathpingPathpingPathping命令：命令：命令：命令：显示在任何特定路由器或链接处的数据显示在任何特定路由器或链接处的数据显示在任何特定路由器或链接处的数据显示在任何特定路由器或链接处的数据包的丢失程度包的丢失程度包的丢失程度包的丢失程度   格式为：格式为：C:\> pathping [-g host-list] [-h maximum_hops] [-i address] [-n]         [-p period] [-q num_queries] [-w timeout] [-P] [-R] [-T]         [-4] [-6] target_name3 3 3 3、、、、TracertTracertTracertTracert（（（（TracerouteTracerouteTracerouteTraceroute）命令：）命令：）命令：）命令：ò命令格式：命令格式：C:\> tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_nameò简单事例：简单事例：C:\>tarcert Target4 4 4 4、、、、ipconfigipconfigipconfigipconfig命令：命令：命令：命令：¶命令格式：命令格式：ipconfig [/? | /all | /renew [adapter] | /release [adapter] |          /flushdns | /displaydns | /registerdns |          /showclassid adapter |          /setclassid adapter [classid] ]¶参数：参数：（（1）、）、/all （（2）、）、/release [adapter]（（3）、）、/renew [adapter]（（4）、）、/flushdns：清除客户端的：清除客户端的DNS缓冲区的缓存。

缓冲区的缓存5）、）、/registerdns：在客户端刷新了它的：在客户端刷新了它的DHCP租借期后将使用租借期后将使用DNS动态更新重新注册动态更新重新注册6）、）、/displaydns：查看客户端的：查看客户端的DNS解析器的缓存解析器的缓存7）、）、/showclassid adapter：列出适配器上允许的所有的类：列出适配器上允许的所有的类ID (标标识符识符)，注意必须指定适配器注意必须指定适配器ipconfigipconfigipconfigipconfig命令（续）：命令（续）：命令（续）：命令（续）：5 5 5 5、、、、netstatnetstatnetstatnetstat命令：命令：命令：命令：¶命令格式：命令格式：C:\> NETSTAT [-a] [-b] [-e] [-n] [-o] [-p proto] [-r] [-s] [-v] [interval]¶参数：参数：（（1）、）、-s——本选项能够按照各个协议分别显示其统计数据如果你的应本选项能够按照各个协议分别显示其统计数据如果你的应用程序（如用程序（如web浏览器）运行速度比较慢，或者不能显示浏览器）运行速度比较慢，或者不能显示web页之类页之类的数据，那么你就可以用本选项来查看一下所显示的信息。

的数据，那么你就可以用本选项来查看一下所显示的信息2）、）、-e——本选项用于显示关于以太网的统计数据它列出的项目包括本选项用于显示关于以太网的统计数据它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量3）、）、-r——本选项可以显示关于路由表的信息，类似于后面所讲使用本选项可以显示关于路由表的信息，类似于后面所讲使用route print命令时看到的命令时看到的 信息除了显示有效路由外，还显示当前有信息除了显示有效路由外，还显示当前有效的连接效的连接4）、）、-a——本选项显示一个所有的有效连接信息列表，包括已建立的连本选项显示一个所有的有效连接信息列表，包括已建立的连接（接（established），也包括监听连接请求（），也包括监听连接请求（listening）的那些连接的那些连接5）、）、-n——显示所有已建立的有效连接显示所有已建立的有效连接netstatnetstatnetstatnetstat命令（续）：命令（续）：命令（续）：命令（续）：¶简单实例：简单实例：C:\>netstat –ea：显示以太网统计信息。

显示以太网统计信息C:\>netstat –es：显示按协议统计信息显示按协议统计信息C:\>netstat –an：可以查看目前活动的连接和开放的端口，是网络管理：可以查看目前活动的连接和开放的端口，是网络管理员查看网络是否被入侵的最简单的方法员查看网络是否被入侵的最简单的方法 6 6 6 6、、、、nbtstatnbtstatnbtstatnbtstat命令：命令：命令：命令：¶命令格式：命令格式：C:> NBTSTAT [ [-a RemoteName] [-A IP address] [-c] [-n]        [-r] [-R] [-RR] [-s] [-S] [interval] ]¶参数：参数：（（1）、）、-n——显示寄存在本地的名字和服务程序显示寄存在本地的名字和服务程序2）、）、-c——本命令用于显示本命令用于显示netbios名字高速缓存的内容名字高速缓存的内容netbios名字高速缓存用于寸放与本计算机最近进行通信的其他计算机的名字高速缓存用于寸放与本计算机最近进行通信的其他计算机的netbios名字和名字和ip地址对3）、）、-r——本命令用于清除和重新加载本命令用于清除和重新加载netbios名字高速缓存。

名字高速缓存4）、）、-a ip——通过通过ip显示另一台计算机的物理地址和名字列表，你显示另一台计算机的物理地址和名字列表，你所显示的内容就像对方计算机自己运行所显示的内容就像对方计算机自己运行nbtstat -n一样5）、）、-s ip——显示实用其显示实用其ip地址的另一台计算机的地址的另一台计算机的netbios连接表7 7 7 7、、、、arparparparp命令：命令：命令：命令：¶命令格式：命令格式：C:\>ARP -s inet_addr eth_addr [if_addr]ARP -d inet_addr [if_addr]ARP -a [inet_addr] [-N if_addr]¶参数：参数：（（1）、）、-a或或-g——用于查看高速缓存中的所有项目用于查看高速缓存中的所有项目 （（2）、）、-a ip——如果你有多个网卡，那么使用如果你有多个网卡，那么使用arp -a加上接口的加上接口的ip地地址，就可以只显示与该接口相关的址，就可以只显示与该接口相关的arp信息3）、）、-s ip 物理地址物理地址——你可以向你可以向arp高速缓存中人工输入一个静态高速缓存中人工输入一个静态项目。

项目 （（4）、）、-d ip——使用本命令能够人工删除一个静态项目使用本命令能够人工删除一个静态项目8 8 8 8、、、、netnetnetnet命令：命令：命令：命令：¶命令格式：命令格式：NET [ ACCOUNTS | COMPUTER | CONFIG | CONTINUE | FILE | GROUP | HELP |      HELPMSG | LOCALGROUP | NAME | PAUSE | PRINT | SEND | SESSION |      SHARE | START | STATISTICS | STOP | TIME | USE | USER | VIEW ]（（1）、）、net view：：显示正由指定的计算机共享显示正由指定的计算机共享的域、计算机或资源的列表的域、计算机或资源的列表 ¶命令格式：命令格式：C:\>net view [\\computername [/CACHE] | /DOMAIN[:domainname]] /NETWORK:NW [\\computername]net view（续）：（续）：①①、、\\Target computername：：列出目标计算机上共享的资源。

列出目标计算机上共享的资源②②、、\\Target computername /cache：：列出目标计算机上共享的资源及缓存资源列出目标计算机上共享的资源及缓存资源③③、／、／DOMAIN: domainname ：：指定用户希望浏览有效的计算机所在的域指定用户希望浏览有效的计算机所在的域 ④④、／、／NETWORK: NW [\\computername]：： 显示显示 NetWare 网络上所有可用的服务器网络上所有可用的服务器（（2）、）、net use：：¶用于将计算机与共享的资源相连接（建立磁盘映射），或者切断用于将计算机与共享的资源相连接（建立磁盘映射），或者切断计算机与共享资源的连接计算机与共享资源的连接(删除磁盘映射删除磁盘映射)，当不带选项使用本命，当不带选项使用本命令时，它会列出计算机的连接令时，它会列出计算机的连接 ¶命令格式：命令格式：NET USE[devicename | *] [\\computername\sharename[\volume] [password | *]]        [/USER:[domainname\]username]        [/USER:[dotted domain name\]username]        [/USER:[username@dotted domain name]        [/SMARTCARD]        [/SAVECRED]        [[/DELETE] | [/PERSISTENT:{YES | NO}]]NET USE {devicename | *} [password | *] /HOMENET USE [/PERSISTENT:{YES | NO}]net use（续）：（续）：①①、建立、建立IPC$空连接：空连接：IPC$(Internet Process Connection)是共享是共享“命名管道命名管道”的资的资源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名源，它是为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。

从而实现对远程计算机的访问¶命令格式为：命令格式为：C:\>net use \\Target \ipc$ “” /user:””¶删除删除IPC$空连接：空连接：C:\>net use \\Target \ipc$ “” /user:”” /del ②②、建立、建立IPC$信任连接：信任连接：¶命令格式为：命令格式为：C:\> net use \\Target \ipc$ password /user:username¶删除删除IPC$信任连接：信任连接：C:\>net use \\Target \ipc$ password /user:username /delnet use（续）：（续）：③③、映射网络驱动器：、映射网络驱动器：¶命令格式为：命令格式为：C:\> net use 驱动器名称驱动器名称 \\Target \sharename password /user:username¶简单事例：简单事例：C:\>net use z: \\fl-server1\e P@ssw0rd /user:administrator¶删除网络驱动器：删除网络驱动器：C:\> net use 驱动器名称驱动器名称 /del如：C:\>net use z: /del（（3）、）、net start：：¶命令格式：命令格式：C:\>NET START [service]（（1）、不带参数，显示本地已启动服务的列表。

不带参数，显示本地已启动服务的列表命令格式为：命令格式为：C:\>net start（（2）、启动）、启动/停止本地服务：停止本地服务：命令格式为：命令格式为：C:\>net start[stop] servicename（（4）、）、Net Statistics命令：命令：¶命令格式：命令格式：C:\>NET STATISTICS[WORKSTATION | SERVER](1)、键入不带参数的、键入不带参数的net statistics列出其统计信息可用的运行服列出其统计信息可用的运行服务 命令格式为：命令格式为：C:\>net Statistics(2)、、workstation显示本地工作站服务的统计信息显示本地工作站服务的统计信息 命令格式为：命令格式为：C:\>net Statistics workstation(3)、、server显示本地服务器服务的统计信息显示本地服务器服务的统计信息命令格式为：命令格式为：C:\>net Statistics server（（5）、）、Net Session命令：命令：¶命令格式：命令格式：C:\>net session [\\computername] [/delete](1)、所有与本地计算机的会话的信息。

所有与本地计算机的会话的信息命令格式为：命令格式为：C:\>net session(2)、列出或断开会话的计算机列出或断开会话的计算机 命令格式为：命令格式为：C:\>net \\computername(3)、结束与目标计算机的会话结束与目标计算机的会话命令格式为：命令格式为：C:\>net \\computername /delete（（6）、）、net share命令：命令：¶命令格式为：命令格式为：C:\>net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"](1)、不带参数显示本地计算机上所有共享资源的信息不带参数显示本地计算机上所有共享资源的信息2)、、sharename:共享资源的网络名称共享资源的网络名称3)、、drive:path:指定共享目录的绝对路径指定共享目录的绝对路径 (4)、、/users:number:设置可同时访问共享资源的最大用户数设置可同时访问共享资源的最大用户数5)、、/unlimited:不限制同时访问共享资源的用户数不限制同时访问共享资源的用户数。

 (6)、、/remark:“text ”:添加关于资源的注释，注释文字用引号引添加关于资源的注释，注释文字用引号引住¶简单事例：简单事例：　　C:\>net share hello=e:\aa /users:10 /remark:"reme"以以share为共享名共享为共享名共享e:\aa目录，备注为目录，备注为reme，用户数限制为，用户数限制为10C:>net share mylove /delete停止共享停止共享mylove目录目录（（7）、）、NET USER命令：命令：¶命令格式：命令格式：C:>net user [username [password | *] /add {/delete}[options]] [/domain] (1)、键入不带参数的、键入不带参数的net user查看计算机上的用户帐号列表查看计算机上的用户帐号列表 (2)、、username：添加、删除、更改或查看用户帐号名添加、删除、更改或查看用户帐号名 (3)、、password：为用户帐号分配或更改密码为用户帐号分配或更改密码 (4)、、*：提示输入密码提示输入密码 (5)、、/domain：在计算机主域的主域控制器中执行操作。

在计算机主域的主域控制器中执行操作 (6)、、/add或或/del：将用户帐户添加到用户帐户数据库中或删除用：将用户帐户添加到用户帐户数据库中或删除用户¶简单事例：简单事例： C:>net user mary p@ssw0rd /addC:\>net user guest /active:yes 激活Guest用户（（8）、）、Net Localgroup命令：命令：¶命令格式：命令格式：C:>net localgroup groupname /username {/ADD [/COMMENT:"text"] | /DELETE} [/DOMAIN] (1)、键入不带参数的、键入不带参数的net localgroup显示服务器名称和计算机的本地组名称显示服务器名称和计算机的本地组名称 (2)、、groupname：要添加、扩充或删除的本地组名称要添加、扩充或删除的本地组名称 (3)、、/comment: "text "：为新建或现有组添加注释为新建或现有组添加注释 (4)、、/domain：在当前域的主域控制器中执行操作，否则仅在本地计算机上执行操：在当前域的主域控制器中执行操作，否则仅在本地计算机上执行操作作? (5)、、name [ ...]：列出要添加到本地组或从本地组中删除的一个或多个用户名或组：列出要添加到本地组或从本地组中删除的一个或多个用户名或组名。

名 (6)、、/add：将全局组名或用户名添加到本地组中将全局组名或用户名添加到本地组中 (7)、、/delete：从本地组中删除组名或用户名从本地组中删除组名或用户名 ¶简单事例：简单事例： (1)net localgroup administrators mary /add(2)net localgroup usrs显示显示love本地组中的用户本地组中的用户（（9）、）、NET TIME命令命令¶命令格式：命令格式：C:>net time [\\computername | /domain[:name]] [/set] (1)、、 \\computername ：要检查或同步的服务器名要检查或同步的服务器名 (2)、、/domain[:name]:指定要与其时间同步的域指定要与其时间同步的域 (3)、、/set:使本计算机时钟与指定计算机或域的时钟同步使本计算机时钟与指定计算机或域的时钟同步¶简单事例：简单事例： C:>net time \\192.168.0.19 9 9 9、、、、atatatat命令：命令：命令：命令：¶命令格式：命令格式：AT [\\computername] [ [id] [/DELETE] | /DELETE [/YES]]AT [\\computername] time [/INTERACTIVE]    [ /EVERY:date[,...] | /NEXT:date[,...]] "command"（（1）、）、 \\computername ：：指定远程计算机。

指定远程计算机 如果省略这个参数，会计划在本地计算机上运行命令如果省略这个参数，会计划在本地计算机上运行命令2）、）、id：：指定给已计划命令的识别号指定给已计划命令的识别号3）、）、/delete：：删除某个已计划的命令如果省略删除某个已计划的命令如果省略 id，计算机上所有已计划的命令都会被删，计算机上所有已计划的命令都会被删除4）、）、/yes：：不需要进一步确认时，跟删除所有作业的命令一起使用不需要进一步确认时，跟删除所有作业的命令一起使用5）、）、time：：指定运行命令的时间指定运行命令的时间atat命令（续）：命令（续）：（（6）、）、/interactive：：允许作业在运行时，与当时登录的用户桌面进行交互允许作业在运行时，与当时登录的用户桌面进行交互7）、）、/every:date[,...]：：每个月或每个星期在指定的日期运行命令如果省略日期，则默认为在每月每个月或每个星期在指定的日期运行命令如果省略日期，则默认为在每月的本日运行的本日运行8）、）、/next:date[,...]：：指定在下一个指定日期指定在下一个指定日期(如，下周四如，下周四)运行命令如果省略日期，则默认为在运行命令。

如果省略日期，则默认为在每月的本日运行每月的本日运行9）、）、"command"：：准备运行的准备运行的 Windows NT 命令或批处理程序命令或批处理程序¶简单事例：简单事例：C:\>at  \\192.168.0.10 11:05  tlntsvr.exe  G_Server.exe10101010、、、、attribattribattribattrib命令：命令：命令：命令：¶命令格式：命令格式：ATTRIB [+R | -R] [+A | -A ] [+S | -S] [+H | -H] [[drive:] [path] filename] [/S [/D]]（（1）、）、+：设置属性设置属性2）、）、-：清除属性清除属性3）、）、R：只读文件属性只读文件属性4）、）、A：存档文件属性存档文件属性5）、）、S：系统文件属性系统文件属性6）、）、H：隐藏文件属性隐藏文件属性7）、）、[drive:][path][filename]：指定要处理的文件属性指定要处理的文件属性8）、）、/S：处理当前文件夹及其子文件夹中的匹配文件处理当前文件夹及其子文件夹中的匹配文件9）、）、/D：处理文件夹。

处理文件夹11111111、、、、tasklisttasklisttasklisttasklist命令：命令：命令：命令：¶命令格式：命令格式：TASKLIST [/S system [/U username [/P [password]]]]         [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]（（1）、）、/S system：指定连接到的远程系统指定连接到的远程系统2）、）、/U [domain\]user：指定应该在哪个用户上下文执行这个命令指定应该在哪个用户上下文执行这个命令3）、）、/P [password]：为提供的用户上下文指定密码如果忽略，提示：为提供的用户上下文指定密码如果忽略，提示输入4）、）、/M [module]：列出所有其中符合指定模式名的：列出所有其中符合指定模式名的 DLL 模块的所有模块的所有任务如果没有指定模块名，则显示每个任务加载的所有模块如果没有指定模块名，则显示每个任务加载的所有模块5）、）、/SVC：显示每个进程中的服务显示每个进程中的服务6）、）、/V：指定要显示详述信息。

指定要显示详述信息7）、）、/FI filter：显示一系列符合筛选器指定的标准的任务显示一系列符合筛选器指定的标准的任务8）、）、/FO：：format：指定输出格式有效值：指定输出格式有效值: "TABLE"、、"LIST"、、"CSV"9）、）、/NH：指定栏标头不应该在输出中显示只对：指定栏标头不应该在输出中显示只对 "TABLE" 和和 "CSV" 格式有效格式有效10）、）、/?：显示帮助：显示帮助/用法12121212、、、、ntsdntsdntsdntsd命令：命令：命令：命令：¶最常用命令格式：最常用命令格式：Ntsd -s -h -r -a13131313、、、、copycopycopycopy命令：命令：命令：命令：¶命令格式：命令格式：COPY [/D] [/V] [/N] [/Y | /-Y] [/Z] [/A | /B ] source [/A | /B] [+ source [/A | /B] [+ ...]] [destination [/A | /B]]（（1）、）、source：指定要复制的文件指定要复制的文件2）、）、/A：表示一个：表示一个 ASCII 文本文件。

文本文件3）、）、/B：表示一个二进位文件表示一个二进位文件4）、）、/D：允许解密要创建的目标文件：允许解密要创建的目标文件（（5）、）、destination：为新文件指定目录和：为新文件指定目录和/或文件名或文件名6）、）、/V：验证新文件写入是否正确验证新文件写入是否正确7）、）、/N：复制带有非：复制带有非 8dot3 名称的文件时，尽可能使用短文件名名称的文件时，尽可能使用短文件名8）、）、/Y：不使用确认是否要改写现有目标文件的提示不使用确认是否要改写现有目标文件的提示9）、）、/-Y：使用确认是否要改写现有目标文件的提示使用确认是否要改写现有目标文件的提示10）、）、/Z：用可重新启动模式复制已联网的文件用可重新启动模式复制已联网的文件¶ 简单事例：简单事例：    C:\>copy  srv.exe \\192.168.0.10\admin$第二讲、漏洞扫描技术第二讲、漏洞扫描技术第二讲、漏洞扫描技术第二讲、漏洞扫描技术一、漏洞扫描概述：一、漏洞扫描概述：二、漏洞扫描软件：二、漏洞扫描软件：三、漏洞修复：三、漏洞修复：一、漏洞扫描概述：一、漏洞扫描概述：1 1、漏洞：、漏洞：漏洞漏洞――即即Vulnerability，本义为，本义为“弱点或攻击弱点或攻击”，在计算机网络中，成为，在计算机网络中，成为“漏洞漏洞”；在军事术语中，它更为明确，即；在军事术语中，它更为明确，即“存在遭受攻击的嫌疑存在遭受攻击的嫌疑”。

漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统漏洞会影响到很大范围的软可以使攻击者能够在未授权的情况下访问或破坏系统漏洞会影响到很大范围的软硬件设备，包括作系统本身及其支撑软件，网络客户和服务器软件，网络路由器和硬件设备，包括作系统本身及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等安全防火墙等2 2、漏洞扫描：、漏洞扫描：（（1 1）、漏洞扫描的概念：）、漏洞扫描的概念：漏洞扫描是一种基于网络远程检测目标网络或本地主机安全性脆弱点的技术漏洞扫描是一种基于网络远程检测目标网络或本地主机安全性脆弱点的技术漏洞扫描可以针对系统中不合适的设置（如弱口令）以及其他同安全规则相抵触的漏洞扫描可以针对系统中不合适的设置（如弱口令）以及其他同安全规则相抵触的对象进行检查，也可以通过执行一些程序模拟对系统进行攻击行为，记录系统的反对象进行检查，也可以通过执行一些程序模拟对系统进行攻击行为，记录系统的反应，从而发现其中的漏洞应，从而发现其中的漏洞2 2）、漏洞扫描的意义：）、漏洞扫描的意义：漏洞扫描就是一种主动的防范措施，它可以有效避免黑客的攻击行为，防患漏洞扫描就是一种主动的防范措施，它可以有效避免黑客的攻击行为，防患于未然。

于未然 漏洞扫描概述（续）：3 3、漏洞扫描的步骤和基本技术：、漏洞扫描的步骤和基本技术：（（1 1）、漏洞扫描的步骤：）、漏洞扫描的步骤：一次完整的漏洞扫描通常分为三个阶段：一次完整的漏洞扫描通常分为三个阶段：þ第一阶段：第一阶段：发现目标主机或网络发现目标主机或网络þ第二阶段：第二阶段：搜集目标信息搜集目标信息――――（也就是进行（也就是进行““踩点踩点””））搜集目标信息：包括操作系统类别、运行的服务及服务软件的版本信搜集目标信息：包括操作系统类别、运行的服务及服务软件的版本信息等；如果目标是一个网络，可以进一步发现网络的拓扑结构、路由设备息等；如果目标是一个网络，可以进一步发现网络的拓扑结构、路由设备及各主机的信息及各主机的信息þ第三阶段：第三阶段：信息汇总、判断信息汇总、判断根据搜集的信息判断或进一步测试该系统是否存在安全漏洞等根据搜集的信息判断或进一步测试该系统是否存在安全漏洞等三、漏洞修复：三、漏洞修复：1 1、漏洞修复的必要性：、漏洞修复的必要性：2 2、漏洞修复的方法：、漏洞修复的方法：（（1 1）、及时升级操作系统：）、及时升级操作系统：¶自动方式升级操作系统自动方式升级操作系统。

¶手动方式升级操作系统手动方式升级操作系统 （（2 2）、关闭不需要的端口和服务：）、关闭不需要的端口和服务：（（3 3）、加强用户帐户和口令的安全管理：）、加强用户帐户和口令的安全管理：¶清除所有不必要的用户帐户：清除所有不必要的用户帐户：¶使用安全的口令：使用安全的口令：¶将系统管理员或超级用户帐户改名：将系统管理员或超级用户帐户改名：第三讲、网络监听第三讲、网络监听第三讲、网络监听第三讲、网络监听（嗅探）技术（嗅探）技术（嗅探）技术（嗅探）技术一、网络嗅探概述：一、网络嗅探概述：二、网络嗅探造成的危害：二、网络嗅探造成的危害：三、网络嗅探工具：三、网络嗅探工具：四、网络嗅探的对策：四、网络嗅探的对策：一、网络嗅探概述：一、网络嗅探概述：1 1、嗅探的概念：、嗅探的概念：嗅探（嗅探（SnifferSniffer）技术是网络安全攻防技术中很重要的一种对黑客来说，通）技术是网络安全攻防技术中很重要的一种对黑客来说，通过嗅探技术能以非常隐蔽的方式攫取网络中的大量敏感信息，与主动扫描相比，嗅过嗅探技术能以非常隐蔽的方式攫取网络中的大量敏感信息，与主动扫描相比，嗅探行为更难被察觉，也更容易操作。

对安全管理人员来说，借助嗅探技术，可以对探行为更难被察觉，也更容易操作对安全管理人员来说，借助嗅探技术，可以对网络活动进行实时监控，并进行发现各种网络攻击行为网络活动进行实时监控，并进行发现各种网络攻击行为 2 2、嗅探原理：、嗅探原理：因为以太网是基于广播方式传送数据的，所有的物理信号都会被传送到每一因为以太网是基于广播方式传送数据的，所有的物理信号都会被传送到每一个主机节点，此外网卡可以被设置成混杂接收模式个主机节点，此外网卡可以被设置成混杂接收模式(Promiscuous)(Promiscuous)，这种模式下，，这种模式下，无论监听到的数据帧目的地址如何，网卡都能予以接收而无论监听到的数据帧目的地址如何，网卡都能予以接收而TCP/IPTCP/IP协议栈中的应用协议栈中的应用协议大多数明文在网络上传输，这些明文数据中，往往包含一些敏感信息（如密码、协议大多数明文在网络上传输，这些明文数据中，往往包含一些敏感信息（如密码、账号等），因此使用账号等），因此使用SnifferSniffer可以悄无声息地监听到所有局域网内的数据通信，得可以悄无声息地监听到所有局域网内的数据通信，得到这些敏感信息。

到这些敏感信息 SnifferSniffer的局限性是只能在局域网的冲突域中进行，或者是在点到点连接的中的局限性是只能在局域网的冲突域中进行，或者是在点到点连接的中间节点上进行监听间节点上进行监听 oSniffer的正面应用n在系统管理员角度来看，网络监听的主要用途是进行数据包分析，通过网络监听软件，管理员可以观测分析实时经由的数据包，从而快速的进行网络故障定位oSniffer的反面应用n入侵者与管理员感兴趣的(对数据包进行分析)有所不同，入侵者感兴趣的是数据包的内容，尤其是账号、口令等敏感内容网络嗅探概述（续）： 交换式网络嗅探方法：交换式网络嗅探方法：（1）、ARP欺骗（2）、交换机MAC地址表溢出（3）、 MAC地址伪造（4）、 ICMP重定向攻击二、网络嗅探造成的危害：二、网络嗅探造成的危害：1 1、捕获口令捕获口令2 2、捕获专用的或者机密的信息捕获专用的或者机密的信息 3 3、危害网络邻居的安全危害网络邻居的安全4 4、窥探低级的协议信息窥探低级的协议信息三、网络嗅探工具：三、网络嗅探工具：1 1、、Sniffer ProSniffer Pro：：（（1 1）、）、Sniffer ProSniffer Pro简介：简介：①①、功能、功能：¶实时监控网络活动实时监控网络活动¶采集单个工作站、对话或网络任何部分的详细利用率和错误统计数据；采集单个工作站、对话或网络任何部分的详细利用率和错误统计数据；¶保存历史利用率和错误信息，进行原始分析；保存历史利用率和错误信息，进行原始分析；¶生成实时的声光警报；生成实时的声光警报；¶检测到故障通知管理员；检测到故障通知管理员；¶捕获网络通信量，对数据包进行详细分析；捕获网络通信量，对数据包进行详细分析；¶接收专家系统对网络通信量的分析；接收专家系统对网络通信量的分析；¶模拟通信量、测量反应时间、统计跃点数、排除故障。

模拟通信量、测量反应时间、统计跃点数、排除故障②②、工作的环境、工作的环境¶以太网以太网¶快速以太网快速以太网¶千兆以太网千兆以太网¶无线局域网（无线局域网（802.11b））¶令牌环网令牌环网¶ATM¶WAN 网络嗅探工具（续）：（（2 2）、）、 Sniffer Pro Sniffer Pro的使用：的使用：¶Sniffer Pro快捷按钮快捷按钮 ¶监控网络及捕获特定数据包监控网络及捕获特定数据包 网络嗅探工具（续）：2 2、、EtherealEthereal：：（（1 1）、简介：）、简介：Ehtereal的特性：的特性： ¶实时从网络连接处捕获数据，或者从捕获文件处读取数据；实时从网络连接处捕获数据，或者从捕获文件处读取数据；¶可以读取从可以读取从TCPDump、网络通用嗅探器、、网络通用嗅探器、Sniffer Pro等众多嗅等众多嗅探器中捕获的数据探器中捕获的数据¶可以从以太网、可以从以太网、FDDI、、IEEE802.11、、ATM上的上的IP等网络中读取等网络中读取实时数据；实时数据；¶可以编辑、修改被捕获的文件；可以编辑、修改被捕获的文件；¶通过显示过滤器可以精确显示数据；通过显示过滤器可以精确显示数据；¶可以将所有或部分被捕获的网络跟踪报告保存到磁盘中。

可以将所有或部分被捕获的网络跟踪报告保存到磁盘中2 2）、安装）、安装EtherealEthereal：：（（3 3）、使用）、使用EtherealEthereal捕获数据包：捕获数据包：网络嗅探工具（续）：3 3、、CainCain：：（（1 1）、）、CainCain简介：简介：Cain原意是指圣经中的该隐（即亚当之子）在此处，原意是指圣经中的该隐（即亚当之子）在此处，Cain是一个是一个具有恢复屏保、具有恢复屏保、PWL密码、共享密码、缓存口令、远程共享口令、密码、共享密码、缓存口令、远程共享口令、SMB口令、支持口令、支持VNC口令解码、口令解码、Cisco Type-7口令解码、口令解码、Base 64口令解口令解密、密、SQL Server 7.0/2000口令解码、口令解码、Remote Desktop口令解码、口令解码、Access Database口令解码、口令解码、Cisco PIX Firewall口令解码、口令解码、Cisco MD5解密等众多功能的综合工具解密等众多功能的综合工具 它可以通过字典和暴力破解两种方式进行远程恢复，而且器它可以通过字典和暴力破解两种方式进行远程恢复，而且器Sniffer功能极其功能极其强大，几乎可以明文捕获一切帐号口令，包括强大，几乎可以明文捕获一切帐号口令，包括FTP、、HTTP、、POP3、、SMB、、Telnet、、VNC、、SMTP、、MSN、、Radius-Keys、、Radius-Users、、ICQ等。

等2 2）、安装）、安装CainCain：：官方网站：官方网站：http://www.oxid.it/cain.html 网络嗅探工具（续）：（（3 3）、使用）、使用CainCain：：¶嗅探：嗅探：¶主动扫描：主动扫描：¶密码破解：密码破解：¶破解经过加密的用户名和口令信息破解经过加密的用户名和口令信息 ¶查看系统中保存的密码信息查看系统中保存的密码信息 四、网络嗅探的对策：四、网络嗅探的对策：1 1、如何确定自己可能被嗅探：、如何确定自己可能被嗅探：¶你的网络通讯掉包率反常的高你的网络通讯掉包率反常的高¶你的网络带宽将出现反常你的网络带宽将出现反常¶通常一个通常一个sniffer的记录文件会很快增大并填满文件空间的记录文件会很快增大并填满文件空间¶一个主机上的一个主机上的sniffer会将网络接口置为混杂模式以接收所有数据包会将网络接口置为混杂模式以接收所有数据包2 2、常见的嗅探对策：、常见的嗅探对策：¶及时打补丁：及时打补丁：¶本机监控：本机监控：¶监控本地局域网的数据帧：监控本地局域网的数据帧：¶对敏感数据加密：对敏感数据加密：¶使用安全的拓朴结构：使用安全的拓朴结构：第四讲、网络入侵技术第四讲、网络入侵技术第四讲、网络入侵技术第四讲、网络入侵技术一、网络入侵概述：一、网络入侵概述：二、常见的网络入侵技术：二、常见的网络入侵技术： 三、常见的三、常见的DoSDoS、、DDoSDDoS攻击工具：攻击工具：四、四、DoSDoS、、DDoSDDoS的防范：的防范：一、网络入侵概述：一、网络入侵概述：网网络络入入侵侵是是网网络络攻攻击击的的一一种种形形式式，，它它是是黑黑客客获获取取到到目目标标网网络络或或目目标标主主机机的的相相关关信信息息后后，，对对其其发发动动的的攻攻击击行行为为，，其其目目的的就就是是要要获获取取目目标标网网络络或或主主机机内内的的敏敏感感信信息息，，破获目标网络或目标主机的正常运行。

破获目标网络或目标主机的正常运行二、常见的网络入侵技术：二、常见的网络入侵技术：（（1）、欺骗攻击：）、欺骗攻击：（（2）、会话劫持：）、会话劫持：（（3）、缓冲区溢出攻击：）、缓冲区溢出攻击：（（4）、拒绝服务攻击（）、拒绝服务攻击（DoS）：）：（（5）、分布式拒绝服务攻击（）、分布式拒绝服务攻击（DDoS）：）：（一）、欺骗攻击：1 1、、IPIP欺骗：欺骗：欺骗攻击（续）：2 2、电子邮件欺骗：、电子邮件欺骗：电子邮件欺骗是伪造电子电子邮件欺骗是伪造电子邮件头，导致信息看起来来源于某个人或某邮件头，导致信息看起来来源于某个人或某个地方，而实际却不是真实的源地址个地方，而实际却不是真实的源地址 欺骗攻击（续）：3 3、、WebWeb欺骗：欺骗： WebWeb欺骗允许攻击者创造整个欺骗允许攻击者创造整个WWWWWW世界世界的影像拷贝影像的影像拷贝影像WebWeb的入口进入到攻击者的的入口进入到攻击者的WebWeb服务器，服务器，经过攻击者机器的过滤作用，允许攻击者监控受攻击者经过攻击者机器的过滤作用，允许攻击者监控受攻击者的任何活动的任何活动, ,包括帐户和口令攻击者也能以受攻击者包括帐户和口令。

攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的的名义将错误或者易于误解的数据发送到真正的WebWeb服服务器，以及以任何务器，以及以任何WebWeb服务器的名义发送数据给受攻击服务器的名义发送数据给受攻击者简而言之，攻击者观察和控制着受攻击者在者简而言之，攻击者观察和控制着受攻击者在WebWeb上上做的每一件事做的每一件事 钓鱼网站钓鱼网站（二）、会话劫持：会话劫持是一种结合了嗅探以及欺骗技术在内的攻击手段从会话劫持是一种结合了嗅探以及欺骗技术在内的攻击手段从广义上说，会话劫持就是在一次正常的通信过程中，黑客作为第广义上说，会话劫持就是在一次正常的通信过程中，黑客作为第三方参与到其中，或者是在数据流（例如基于三方参与到其中，或者是在数据流（例如基于TCPTCP的会话）里注入的会话）里注入额外的信息，或者是将双方的通信模式暗中改变，即从直接联系额外的信息，或者是将双方的通信模式暗中改变，即从直接联系变成有黑客联系变成有黑客联系 （三）、缓冲区溢出攻击：o缓冲区溢出是目前最常见的一种安全问题，操作系统以及应用缓冲区溢出是目前最常见的一种安全问题，操作系统以及应用程序大都存在缓冲区溢出漏洞。

缓冲区是一段连续内存空间，具程序大都存在缓冲区溢出漏洞缓冲区是一段连续内存空间，具有固定的长度缓冲区溢出是由编程错误引起的，当程序向缓冲有固定的长度缓冲区溢出是由编程错误引起的，当程序向缓冲区内写入的数据超过了缓冲区的容量，就发生了缓冲区溢出，缓区内写入的数据超过了缓冲区的容量，就发生了缓冲区溢出，缓冲区之外的内存单元被程序冲区之外的内存单元被程序““非法非法””修改o 一般情况下，缓冲区溢出导致应用程序的错误或者运行中止，一般情况下，缓冲区溢出导致应用程序的错误或者运行中止，但是，攻击者利用程序中的漏洞，精心设计出一段入侵程序代码，但是，攻击者利用程序中的漏洞，精心设计出一段入侵程序代码，覆盖缓冲区之外的内存单元，这些程序代码就可以被覆盖缓冲区之外的内存单元，这些程序代码就可以被CPUCPU所执行，所执行，从而获取系统的控制权从而获取系统的控制权（四）、拒绝服务攻击（DoS）：拒绝服务攻击拒绝服务攻击――DoS (Denial of Service)――DoS (Denial of Service)，通常是以消耗服务，通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞（这些资源包括磁盘空间、内存、进程甚至网络带宽），从而阻止应阻塞（这些资源包括磁盘空间、内存、进程甚至网络带宽），从而阻止正常用户的访问。

正常用户的访问1 1、、DoSDoS的动机：的动机：2 2、表现形式：、表现形式：¶带宽消耗带宽消耗 ¶系统资源消耗系统资源消耗 ¶修改修改( (篡改篡改) )系统策略系统策略 拒绝服务攻击（DoS）（续）：3 3、原理：、原理：正常的正常的TCPTCP三次握手：三次握手：SYN FloodSYN Flood攻击的三次握手：攻击的三次握手：(五)、分布式拒绝服务攻击－－DDoS：分布式拒绝服务攻击分布式拒绝服务攻击――DDoS――Distributed ――DDoS――Distributed Denial of ServiceDenial of Service，使用与普，使用与普通的拒绝服务攻击同样的方法，通的拒绝服务攻击同样的方法，但是发起攻击的源是多个，借助但是发起攻击的源是多个，借助于客户于客户/ /服务器技术，将多个计服务器技术，将多个计算机联合起来作为攻击平台，对算机联合起来作为攻击平台，对一个或多个目标发动一个或多个目标发动DoSDoS攻击，攻击，从而成倍地提高拒绝服务攻击的从而成倍地提高拒绝服务攻击的威力 1 1、攻击运行原理：、攻击运行原理：分布式拒绝服务攻击（续）：2 2、、DDoSDDoS攻击的实施步骤：攻击的实施步骤：¶搜集了解目标的情况搜集了解目标的情况¶占领傀儡机占领傀儡机¶实际攻击实际攻击3 3、被、被DDoSDDoS攻击时的现象攻击时的现象 ：：第五讲、计算机病毒及第五讲、计算机病毒及第五讲、计算机病毒及第五讲、计算机病毒及特洛伊木马特洛伊木马特洛伊木马特洛伊木马一、计算机病毒：一、计算机病毒：二、特洛伊木马：二、特洛伊木马：三、计算机病毒及特洛伊木马的清除：三、计算机病毒及特洛伊木马的清除：一、计算机病毒：一、计算机病毒：（一）、计算机病毒概述：（一）、计算机病毒概述：1 1、什么是计算机病毒：、什么是计算机病毒：国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。

在《中华人民共和国计算机信息系统安全保护实现自我繁殖的程序代码在《中华人民共和国计算机信息系统安全保护条例》中的定义为：条例》中的定义为：““计算机病毒是指编制或者在计算机程序中插入的破计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码指令或者程序代码””计算机病毒是指具有自我复制能力的计算机程序，它能影响计算机软计算机病毒是指具有自我复制能力的计算机程序，它能影响计算机软件、硬件的正常运行，破坏数据的正确性与完整性计算机病毒本身是一件、硬件的正常运行，破坏数据的正确性与完整性计算机病毒本身是一个程序、一段可执行代码，具有独特的复制能力，它能够以很快的速度蔓个程序、一段可执行代码，具有独特的复制能力，它能够以很快的速度蔓延，并且难以根除延，并且难以根除计算机病毒的特性：计算机病毒的特性：¶计算机病毒是一个程序；计算机病毒是一个程序；¶计算机病毒具有传染性，可以传染其它程序；计算机病毒具有传染性，可以传染其它程序；¶计算机病毒的传染方式是修改其它程序，把自身拷贝嵌入到其它程序中而实现计算机病毒的传染方式是修改其它程序，把自身拷贝嵌入到其它程序中而实现的；的；计算机病毒概述（续）：2 2、计算机病毒简史：、计算机病毒简史：3 3、计算机病毒的特征：、计算机病毒的特征：ç非授权可执行性：非授权可执行性： ç隐蔽性：隐蔽性： ç传染性：传染性： ç潜伏性：潜伏性： ç表现性或破坏性：表现性或破坏性： ç可触发性：可触发性： 4 4、计算机病毒的主要危害：、计算机病毒的主要危害：¶攻击系统数据区攻击系统数据区 ¶攻击文件攻击文件¶攻击内存攻击内存 ¶干扰系统运行干扰系统运行 ¶影响计算机运行速度影响计算机运行速度 ¶攻击磁盘攻击磁盘 ¶干扰网络干扰网络 ¶发送垃圾邮件发送垃圾邮件 计算机病毒概述（续）：5 5、计算机病毒的分类：、计算机病毒的分类：（（1 1）．按照病毒的寄生方式分类）．按照病毒的寄生方式分类（（2 2）、按照计算机病毒传染方式进行分类：）、按照计算机病毒传染方式进行分类：（（3 3）、按照计算机病毒特有的算法进行分类：）、按照计算机病毒特有的算法进行分类：6 6、计算机病毒的工作原理、计算机病毒的工作原理（（1 1）） 病毒的逻辑结构病毒的逻辑结构¶引导模块引导模块 ¶传染模块传染模块 ¶发作（表现和破坏）模块发作（表现和破坏）模块 计算机病毒概述（续）：（（2 2）病毒的磁盘存储结构：）病毒的磁盘存储结构：①①、系统型病毒的磁盘存储结构：、系统型病毒的磁盘存储结构：¶ 病毒的一部分存放在磁盘的引导扇区中病毒的一部分存放在磁盘的引导扇区中¶ 另一部分则存放在磁盘其它扇区中另一部分则存放在磁盘其它扇区中¶ 引导型病毒没有对应的文件名字引导型病毒没有对应的文件名字②②、文件型病毒的磁盘存储结构：、文件型病毒的磁盘存储结构：¶ 文件型病毒专门感染系统中可执行文件；如文件型病毒专门感染系统中可执行文件；如COMCOM、、EXEEXE文件等。

文件等¶ 其程序依附在被感染文件的首部、尾部、中部或空闲部位；其程序依附在被感染文件的首部、尾部、中部或空闲部位；¶ 绝大多数文件型病毒都属于外壳型病毒绝大多数文件型病毒都属于外壳型病毒 （（3 3）病毒的内存驻留结构）病毒的内存驻留结构①①系统型病毒的内存驻留结构系统型病毒的内存驻留结构②②文件型病毒的内存驻留结构文件型病毒的内存驻留结构计算机病毒概述（续）：（（4 4）中断与计算机病毒）中断与计算机病毒（二）、典型计算机病毒剖析：1 1．．CIHCIH病毒：病毒：（（1 1）、）、CIHCIH病毒的表现形式：病毒的表现形式：（（2 2）、）、CIHCIH病毒的行为机制：病毒的行为机制：2 2．蠕虫病毒：．蠕虫病毒：（（1 1）、蠕虫病毒的概念及原理：）、蠕虫病毒的概念及原理：（（2 2）、蠕虫病毒的特性：）、蠕虫病毒的特性：①①、传染方式多：、传染方式多：②②、传播速度快：、传播速度快：③③、清除难度大：、清除难度大：④④、破坏性强：、破坏性强：典型计算机病毒剖析（续）：3 3、、““尼姆达尼姆达””病毒：病毒：（（1 1）、概念：）、概念：（（2 2）、病毒特征：）、病毒特征：（（3 3）、解决办法：）、解决办法：4 4、冲击波病毒：、冲击波病毒：（（1 1）、概念：）、概念：（（2 2）、病毒特征：）、病毒特征：5 5、震荡波（、震荡波（SasserSasser）：）：（（1 1）、概念：）、概念：（（2 2）、病毒特征：）、病毒特征：二、特洛伊木马：二、特洛伊木马：1 1、特洛伊木马概述：、特洛伊木马概述：（（1 1）、什么是特洛伊木马：）、什么是特洛伊木马：①①、概念：、概念：特洛伊木马特洛伊木马――Trojan horse――――Trojan horse――简称木马，名称来源与古希腊神话简称木马，名称来源与古希腊神话《木马屠城记》。

全称为特洛伊木马《木马屠城记》全称为特洛伊木马(Trojan Horse)(Trojan Horse) 作为网络攻击程序，特洛伊木马程序与神话中的木马具有相同的功能，作为网络攻击程序，特洛伊木马程序与神话中的木马具有相同的功能，““一经潜入，后患无穷！一经潜入，后患无穷！””完整的特洛伊木马由服务端程序和控制端程完整的特洛伊木马由服务端程序和控制端程序两部分组成序两部分组成通常说中了木马是指系统中被安装了特洛伊木马的服务端程序，此时通常说中了木马是指系统中被安装了特洛伊木马的服务端程序，此时控制端程序可以通过网络控制该系统，为所欲为可以说，它是一种非常控制端程序可以通过网络控制该系统，为所欲为可以说，它是一种非常危险的攻击形式危险的攻击形式目前常见的特洛伊木马主要有冰河、目前常见的特洛伊木马主要有冰河、NCNC、广外幽灵、、广外幽灵、SubSevenSubSeven和和BO2000BO2000等特洛伊木马（续）：②②、特洛伊木马的特点：、特洛伊木马的特点：特洛伊木马有以下的特点：特洛伊木马有以下的特点：（（1 1）主程序有两个，一个是服务端，另一个是控制端主程序有两个，一个是服务端，另一个是控制端。

2 2）服务端需要在主机执行服务端需要在主机执行3 3）一般特洛伊木马程序都是隐蔽的进程一般特洛伊木马程序都是隐蔽的进程4 4）当控制端连接服务端主机后，控制端会向服务端主机发出命令而）当控制端连接服务端主机后，控制端会向服务端主机发出命令而服务端主机在接受命令后，会执行相应的任务服务端主机在接受命令后，会执行相应的任务5 5）每个系统都存在特洛伊木马包括）每个系统都存在特洛伊木马包括WindowsWindows，，UnixUnix，，liunxliunx等）等）③③、特洛伊木马的工作过程：、特洛伊木马的工作过程：（（2 2）、特洛伊木马的危害：）、特洛伊木马的危害：特洛伊木马（续）：（（3 3）、特洛伊木马的种类：）、特洛伊木马的种类：①①、远程控制类特洛伊木马：、远程控制类特洛伊木马：②②、信息窃取类特洛伊木马：、信息窃取类特洛伊木马：③③、破坏类特洛伊木马：、破坏类特洛伊木马：④④、端口反弹类特洛伊木马：、端口反弹类特洛伊木马：（（4 4）、特洛伊木马的植入方法：）、特洛伊木马的植入方法：①①、修改图标：、修改图标：②②、捆绑文件：、捆绑文件：③③、出错显示：、出错显示：④④、自我销毁：、自我销毁：⑤⑤、服务端程序更名：、服务端程序更名：特洛伊木马（续）：（（5 5）、系统被植入特洛伊木马之后的现象：）、系统被植入特洛伊木马之后的现象：ôTCPTCP端口被开启、注册表被修改：端口被开启、注册表被修改：ô浏览器自动运行：浏览器自动运行：ô弹出窗口：弹出窗口：ô系统配置被修改：系统配置被修改：ô硬盘频繁读写：硬盘频繁读写：特洛伊木马（续）：特洛伊木马（续）：2 2、冰河：、冰河：（（1 1）、冰河简介：）、冰河简介：①①、冰河的主要功能：、冰河的主要功能：Ø自动跟踪目标机屏幕变化自动跟踪目标机屏幕变化 Ø记录各种口令信息：记录各种口令信息： Ø获取系统信息：获取系统信息： Ø限制系统功能：限制系统功能： Ø远程文件操作：远程文件操作： Ø注册表操作：注册表操作： Ø发送信息：发送信息： Ø点对点通讯：点对点通讯： ②②、冰河的组成：、冰河的组成： 特洛伊木马（续）：特洛伊木马（续）：¶G_Server.exe（服务端程序（服务端程序/被监控端程序）：在目标系被监控端程序）：在目标系统的后台运行实时监控程序，该程序运行一次即自动安装，统的后台运行实时监控程序，该程序运行一次即自动安装，并可以任意更改名称。

并可以任意更改名称¶G_Client.exe（控制端程序）：用于远程控制被安装了服（控制端程序）：用于远程控制被安装了服务端程序的系统和配置服务端程序务端程序的系统和配置服务端程序2 2）、启用冰河：）、启用冰河：①①、植入冰河的服务端程序：、植入冰河的服务端程序：②②、冰河控制端：、冰河控制端：（（3 3）、冰河的使用：）、冰河的使用：三、计算机病毒及三、计算机病毒及特洛伊木马的清除：特洛伊木马的清除：正常用户启动模式下:计算机病毒及特洛伊木马的清除（续）：计算机病毒及特洛伊木马的清除（续）：安全模式下:计算机病毒及特洛伊木马的清除（续）：计算机病毒及特洛伊木马的清除（续）：运行CMD后,显示:计算机病毒及特洛伊木马的清除（续）：计算机病毒及特洛伊木马的清除（续）：瑞星杀毒后：计算机病毒及特洛伊木马的清除（续）：计算机病毒及特洛伊木马的清除（续）：瑞星杀毒后隔离区信息：计算机病毒及特洛伊木马的清除（续）：计算机病毒及特洛伊木马的清除（续）：1 1、计算机病毒防范的总体措施：、计算机病毒防范的总体措施：（（1 1）、用户计算机病毒防范：）、用户计算机病毒防范：①①、用户计算机病毒防范的基本措施：、用户计算机病毒防范的基本措施：②②、客户端应用程序的防病毒设置：、客户端应用程序的防病毒设置：（（2 2）、网络服务器病毒防范基本措施：）、网络服务器病毒防范基本措施：（（3 3）、邮件服务器病毒防范：）、邮件服务器病毒防范：①①、、SMTPSMTP网关扫描程序：网关扫描程序：②②、集成的服务器扫描程序：、集成的服务器扫描程序：计算机病毒及特洛伊木马的清除（续）：计算机病毒及特洛伊木马的清除（续）：2 2、网络防病毒系统部署：、网络防病毒系统部署：（（1 1）、单机防病毒软件与网络防病毒系统：）、单机防病毒软件与网络防病毒系统：（（2 2）、）、Symantec AntiVirus Corporate EditionSymantec AntiVirus Corporate Edition：：（（3 3）、部署过程：）、部署过程：①①、安装网络防病毒系统管理平台：、安装网络防病毒系统管理平台：②②、安装服务器端：、安装服务器端：③③、配置网络防病毒系统一级服务器：、配置网络防病毒系统一级服务器：④④、安装网络防病毒系统客户端：、安装网络防病毒系统客户端：计算机病毒及特洛伊木马的清除（续）：计算机病毒及特洛伊木马的清除（续）：3 3、特洛伊木马的防范措施：、特洛伊木马的防范措施：（（1 1）、安装防病毒软件并及时升级：）、安装防病毒软件并及时升级：（（2 2）、安装个人防火墙软件：）、安装个人防火墙软件：（（3 3）、提高安全意识：）、提高安全意识：4 4、特洛伊木马的定位与清除：、特洛伊木马的定位与清除：（（1 1）、系统被植入特洛伊木马之后的现象：）、系统被植入特洛伊木马之后的现象：¶ TCPTCP端口被开启、注册表被修改：端口被开启、注册表被修改：¶ 浏览器自动运行：浏览器自动运行：¶ 弹出窗口：弹出窗口：¶ 系统配置被修改：系统配置被修改：¶ 硬盘频繁读写：硬盘频繁读写：计算机病毒及特洛伊木马的清除（续）：计算机病毒及特洛伊木马的清除（续）：（（2 2）、手动检查：）、手动检查：¶任务管理器：任务管理器：¶MsconfigMsconfig命令：命令：¶NetstatNetstat命令：命令：5 5、手动清除计算机病毒及特洛伊木马：、手动清除计算机病毒及特洛伊木马：清除计算机病毒流程：清除计算机病毒流程：计算机中毒计算机中毒断开网络连接断开网络连接查看主机进程查看主机进程记录异常进程名称记录异常进程名称结束异常进程结束异常进程启动杀毒软件启动杀毒软件全盘扫描、杀毒全盘扫描、杀毒清除隔离病毒清除隔离病毒完毕完毕安全模式安全模式ntsd清除临时文件清除临时文件修复注册表修复注册表C:\Documents and Settings\Username\Local Settings\TempC:\Documents and Settings\Username\Local Settings\Temporary Internet FilesC:\Windows\Temp手动查杀手动查杀所有本地磁盘根目录C:\Windows\C:\Windows\System32\.exe/.com/.dll/.bat/.tmp/.ini/.infNONONO带命令行提示的带命令行提示的安全模式安全模式。