网络安全技术及应用第五章.ppt

第五章第五章 计算机病毒及恶意代码计算机病毒及恶意代码 本章学习重点掌握内容：本章学习重点掌握内容：n传统病毒原理传统病毒原理n脚本病毒原理脚本病毒原理n网络蠕虫原理网络蠕虫原理n木马技术木马技术n网络钓鱼技术网络钓鱼技术n僵尸网络僵尸网络9/15/20241第五章第五章 计算机病毒及恶意代码计算机病毒及恶意代码n5.1 计算机病毒概述计算机病毒概述n5.2 传统的计算机病毒传统的计算机病毒n5.3 脚本病毒脚本病毒n5.4网络蠕虫网络蠕虫n5.5木马技术木马技术n5.6网络钓鱼网络钓鱼n5.7僵尸网络僵尸网络n5.8浏览器劫持浏览器劫持n5.9 流氓软件流氓软件9/15/202425.1计算机病毒概述计算机病毒概述 n5.1.1 计算机病毒的定义计算机病毒，是指编制或者在计算机程序中插入计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程使用，并能自我复制的一组计算机指令或者程序代码 9/15/202435.1计算机病毒概述计算机病毒概述n5.1.2计算机病毒历史n1977年，美国著名的贝尔实验室中设计磁芯大战年，美国著名的贝尔实验室中设计磁芯大战（（Core War）的游戏，第一步将计算机病毒感染）的游戏，第一步将计算机病毒感染性的概念体现出来性的概念体现出来 n第一个具备完整特征的计算机病毒出现于第一个具备完整特征的计算机病毒出现于1987年，年，病毒病毒C-BRAIN,由一对巴基斯坦兄弟：由一对巴基斯坦兄弟：Basit和和Amjad所写。

目的是防止他们的软件被任意盗拷目的是防止他们的软件被任意盗拷只要有人盗拷他们的软件，只要有人盗拷他们的软件，C-BRAIN就会发作，将就会发作，将盗拷者的硬盘剩余空间给吃掉盗拷者的硬盘剩余空间给吃掉 9/15/202445.1.2计算机病毒历史nDOS病毒病毒,破坏表现：唱歌、删除文件、格式化硬破坏表现：唱歌、删除文件、格式化硬盘、屏幕上显出各式各样的图形与音效主要病毒盘、屏幕上显出各式各样的图形与音效主要病毒如耶路撒冷、米开朗基罗、猴子病毒等如耶路撒冷、米开朗基罗、猴子病毒等 n基于基于Windows运行环境的病毒，随着微软运行环境的病毒，随着微软Office软件的普及，出现了宏病毒，各种脚本病毒也日益软件的普及，出现了宏病毒，各种脚本病毒也日益增多著名病毒如增多著名病毒如 CIH病毒等n网络时代病毒已经突破了传统病毒的技术，融合许网络时代病毒已经突破了传统病毒的技术，融合许多网络攻击技术，如蠕虫技术、木马技术、流氓软多网络攻击技术，如蠕虫技术、木马技术、流氓软件、网络钓鱼等，件、网络钓鱼等，9/15/202455.1计算机病毒概述计算机病毒概述n5.1.3 计算机病毒特征n破破坏坏性性 计计算算机机所所有有资资源源包包括括硬硬件件资资源源和和软软件件资资源源，，软件所能接触的地方均可能受到计算机病毒的破坏软件所能接触的地方均可能受到计算机病毒的破坏n隐隐蔽蔽性性 。

通通过过隐隐蔽蔽技技术术使使宿宿主主程程序序的的大大小小没没有有改改变，以至于很难被发现变，以至于很难被发现 n潜潜伏伏性性 长长期期隐隐藏藏在在系系统统中中，，只只有有在在满满足足特特定定条条件件时，才启动其破坏模块时，才启动其破坏模块 n传传染染性性 指指病病毒毒具具有有把把自自身身复复制制到到其其它它程程序序中中的的特特性性 9/15/202465.1.3 计算机病毒特征n网络病毒又增加很多新的特点网络病毒又增加很多新的特点 n主动通过网络和邮件系统传播主动通过网络和邮件系统传播 n计算机的病毒种类呈爆炸式增长计算机的病毒种类呈爆炸式增长n变种多，容易编写，并且很容易被修改，生成很多变种多，容易编写，并且很容易被修改，生成很多病毒变种病毒变种 n融合多种网络技术，并被黑客所使用融合多种网络技术，并被黑客所使用 9/15/202475.2 传统的计算机病毒传统的计算机病毒n5.2.1 计算机病毒的基本机制分为三大模块：传染机制、破坏机制、触发机制 n计算机病毒的传染机制计算机病毒的传染机制 n指计算机病毒由一个宿主传播到另一个宿主程序，由一个指计算机病毒由一个宿主传播到另一个宿主程序，由一个系统进入另一个系统的过程。

系统进入另一个系统的过程 n触发机制触发机制n计算机病毒在传染和发作之前，要判断某些特定条件是否计算机病毒在传染和发作之前，要判断某些特定条件是否满足，这个条件就是计算机病毒的触发条件满足，这个条件就是计算机病毒的触发条件n3、破坏机制、破坏机制 n良性病毒表现为占用内存或硬盘资源恶性病毒则会对目良性病毒表现为占用内存或硬盘资源恶性病毒则会对目标主机系统或信息产生严重破坏标主机系统或信息产生严重破坏 9/15/202485.2 传统的计算机病毒传统的计算机病毒n5.2.2 病毒分析Windows环境下，主要病毒有文件型病毒、引环境下，主要病毒有文件型病毒、引导性病毒和宏病毒等导性病毒和宏病毒等 n文件型病毒文件型病毒n文件型病毒主要感染可执行文件，文件型病毒主要感染可执行文件，Windows环境环境下主要为下主要为.EXE文件，为文件，为PE格式文件格式文件nPE是是 Win32环境自身所带的执行体文件格式环境自身所带的执行体文件格式 9/15/202495.2.2 病毒分析nPE文件结构如图文件结构如图5-1所示所示 MS-DOS头部MS-DOS实模式残余程序PE文件标志”PE\0\0” (4字节)PE文件头(14H字节)PE文件可选头Section table（节表）Section1Section2Section3… …9/15/2024105.2.2 病毒分析n当运行一个当运行一个PE可执行文件时可执行文件时 n当当PE文件被执行，文件被执行，PE装载器检查装载器检查 DOS MZ header 里的里的 PE header 偏移量。

如果找到，则偏移量如果找到，则跳转到跳转到 PE header nPE装载器检查装载器检查 PE header 的有效性如果有效，的有效性如果有效，就跳转到就跳转到PE header的尾部 n紧跟紧跟 PE header 的是节表的是节表PE装载器读取其中装载器读取其中的节信息，并采用文件映射方法将这些节映射到的节信息，并采用文件映射方法将这些节映射到内存，同时附上节表里指定的节属性内存，同时附上节表里指定的节属性 nPE文件映射入内存后，文件映射入内存后，PE装载器将处理装载器将处理PE文件中文件中类似类似 import table（引入表）逻辑部分引入表）逻辑部分 9/15/2024115.2.2 病毒分析n感染感染PE文件，必须满足两个基本条件：文件，必须满足两个基本条件：n是能够在宿主程序中被调用，获得运行权限；主要采用重定是能够在宿主程序中被调用，获得运行权限；主要采用重定位的方法，改位的方法，改PE文件在系统运行文件在系统运行PE文件时，病毒代码可以获文件时，病毒代码可以获取控制权，在执行完感染或破坏代码后，再将控制权转移给取控制权，在执行完感染或破坏代码后，再将控制权转移给正常的程序代码。

方法有：正常的程序代码方法有：n可以修改文件头中代码开始执行位置（可以修改文件头中代码开始执行位置（AddressOfEntryPoint）） n在在PE文件中添加一个新节文件中添加一个新节 n 病毒进行各种操作时需调用病毒进行各种操作时需调用API函数函数 ，有两种解决方案有两种解决方案n在感染在感染PE文件的时候，可以搜索宿主的引入函数节的相关地址文件的时候，可以搜索宿主的引入函数节的相关地址n解析导出函数节，尤其是解析导出函数节，尤其是Kernel32.DLL 9/15/2024125.2.2 病毒分析n宏病毒宏病毒 n就是使用宏语言编写的程序，可以在一些数据处就是使用宏语言编写的程序，可以在一些数据处理系统中运行，存在于字处理文档、数据表格、理系统中运行，存在于字处理文档、数据表格、数据库、演示文档等数据文件中数据库、演示文档等数据文件中 n感染过程感染过程 n改写改写Word宏宏n改写文档自动执行宏，如改写文档自动执行宏，如AutoOpen、、FileSave FilePrint等等等等 9/15/2024135.2.2 病毒分析n转换成文档模板的宏转换成文档模板的宏 n当宏病毒获得运行权限之后，把所关当宏病毒获得运行权限之后，把所关联的宿主文档转换成模板格式，然后联的宿主文档转换成模板格式，然后把所有宏病毒复制到该模板之中把所有宏病毒复制到该模板之中 n感染其它感染其它Word文档文档 n当其它的当其它的Word文件打开时，由于自文件打开时，由于自动调用该模板因而会自动运行宏病毒动调用该模板因而会自动运行宏病毒 WordExcelAutoOpenAuto_Open AutoCloseAuto_CloseAutoExec AutoExit AutoNew  Auto_Activate Auto_Deactivate9/15/2024145.2.2 病毒分析n宏病毒具有如下特点宏病毒具有如下特点 n传播快传播快nWord文档是交流最广的文件类型。

人们大多对外来的文文档是交流最广的文件类型人们大多对外来的文档文件基本是直接浏览使用，这给档文件基本是直接浏览使用，这给Word宏病毒传播带来宏病毒传播带来很多便利很多便利n 制作、变种方便制作、变种方便nWord使用宏语言使用宏语言WordBasic来编写宏指令用户很方来编写宏指令用户很方便就可以看到这种宏病毒的全部面目把宏病毒稍微加便就可以看到这种宏病毒的全部面目把宏病毒稍微加以改变，立即就生产出了一种新的宏病毒以改变，立即就生产出了一种新的宏病毒.n 破坏性大破坏性大9/15/2024155.2 传统的计算机病毒传统的计算机病毒n5.2.3 传统计算机病毒防御n文件型病毒一般采用以下一些方法文件型病毒一般采用以下一些方法 n安装最新版本、有实时监控文件系统功能的防病毒软件安装最新版本、有实时监控文件系统功能的防病毒软件n及时更新病毒引擎，最好每周更新一次，并在有病毒突发事及时更新病毒引擎，最好每周更新一次，并在有病毒突发事件时立即更新件时立即更新n经常使用防毒软件对系统进行病毒检查经常使用防毒软件对系统进行病毒检查n对关键文件，如系统文件、重要数据等，在无毒环境下备份对关键文件，如系统文件、重要数据等，在无毒环境下备份。

n在不影响系统正常工作的情况下对系统文件设置最低的访问在不影响系统正常工作的情况下对系统文件设置最低的访问权限9/15/2024165.2.3 传统计算机病毒防御n宏病毒的预防与清除宏病毒的预防与清除n找到一个无毒的找到一个无毒的Normal.dot 文件的备份，将位于文件的备份，将位于“MSOffice \Template ”文件夹下的通用模板文件夹下的通用模板Normal.dot文件替换掉；文件替换掉；n对于已染病毒的文件，先打开一个无毒对于已染病毒的文件，先打开一个无毒Word文件，文件，按照以下菜单打开对话框：工具按照以下菜单打开对话框：工具->宏宏->安全性，安全性，设置安全性为高设置安全性为高 9/15/2024175.3 脚本病毒脚本病毒 n5.3.1 脚本病毒概述n脚本病毒依赖一种特殊的脚本语言（如：脚本病毒依赖一种特殊的脚本语言（如：VBScript、、JavaScript等）起作用，同时需要应用环境能够正等）起作用，同时需要应用环境能够正确识别和翻译这种脚本语言中嵌套的命令，脚本病确识别和翻译这种脚本语言中嵌套的命令，脚本病毒可以在多个产品环境中进行毒可以在多个产品环境中进行。

n脚本病毒具有如下特征脚本病毒具有如下特征 n编写简单由于脚本的简单性，使以前对病毒不了编写简单由于脚本的简单性，使以前对病毒不了解的人都可以在很短的时间里编出一个新型病毒解的人都可以在很短的时间里编出一个新型病毒n病毒源码容易被获取、变种多其源代码可读性非病毒源码容易被获取、变种多其源代码可读性非常强常强 9/15/2024185.3.1 脚本病毒概述n感染力强采用脚本高级语言可以实现多种复杂操感染力强采用脚本高级语言可以实现多种复杂操作，感染其它文件或直接自动运行作，感染其它文件或直接自动运行n破坏力强破坏力强 脚本病毒可以寄生于脚本病毒可以寄生于HTML或邮件通过或邮件通过网络传播，其传播速度非常快脚本病毒不但能够网络传播，其传播速度非常快脚本病毒不但能够攻击被感染的主机，获取敏感信息，删除关键文件；攻击被感染的主机，获取敏感信息，删除关键文件；更可以攻击网络或者服务器，造成拒绝服务攻击，更可以攻击网络或者服务器，造成拒绝服务攻击，产生严重破坏产生严重破坏n传播范围广这类病毒通过传播范围广这类病毒通过HTML文档，文档，Email附附件或其它方式，可以在很短时间内传遍世界各地。

件或其它方式，可以在很短时间内传遍世界各地n采用多种欺骗手段脚本病毒为了得到运行机会，采用多种欺骗手段脚本病毒为了得到运行机会，往往会采用各种让用户不大注意的手段，往往会采用各种让用户不大注意的手段， 9/15/2024195.3 脚本病毒脚本病毒n5.3.2 脚本病毒原理n脚本病毒的传播分析脚本病毒的传播分析n 脚本病毒一般是直接通过自我复制来感染文件的，病毒中的脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其它同类程序中间：绝大部分代码都可以直接附加在其它同类程序中间：n脚本病毒通过网络传播的几种方式脚本病毒通过网络传播的几种方式n通过电子邮件传播通过电子邮件传播 n通过局域网共享传播通过局域网共享传播n感染感染HTML、、ASP、、JSP、、PHP等网页通过浏览器传播等网页通过浏览器传播 n通过通过U盘自动运行传播盘自动运行传播n其它的传播方式其它的传播方式 9/15/2024205.3.2 脚本病毒原理n脚本病毒的获得控制权的方法分析脚本病毒的获得控制权的方法分析n修改注册表项修改注册表项 修改自动加载项修改自动加载项n通过映射文件执行方式通过映射文件执行方式n欺骗用户，让用户自己执行欺骗用户，让用户自己执行ndesktop.ini和和folder.htt互相配合互相配合n如果用户的目录中含有这两个文件，当用户进入该目录时，如果用户的目录中含有这两个文件，当用户进入该目录时，就会触发就会触发folder.htt中的病毒代码。

中的病毒代码n直接复制和调用可执行文件直接复制和调用可执行文件9/15/2024215.3 脚本病毒脚本病毒n5.3.3 脚本病毒防御n脚本病毒要求被感染系统具有如下支持能力：脚本病毒要求被感染系统具有如下支持能力：nVBScript代码是通过代码是通过Windows Script Host来解来解释执行的，释执行的，wscript.exe就是该功能的相关支持程就是该功能的相关支持程序n绝大部分绝大部分VBS脚本病毒运行的时候需要对象脚本病毒运行的时候需要对象FileSystemObject的支持n通过网页传播的病毒需要通过网页传播的病毒需要ActiveX的支持的支持n通过通过Email传播的病毒需要邮件软件的自动发送功传播的病毒需要邮件软件的自动发送功能支持9/15/2024225.3.3 脚本病毒防御n因此可以采用以下方法防御脚本病毒因此可以采用以下方法防御脚本病毒n可以通过打开可以通过打开“我的计算机我的计算机”，依次点击，依次点击[查看查看]→[文件夹选项文件夹选项]→[文件类型文件类型]在文件类型中将后缀名为在文件类型中将后缀名为“VBS、、VBE、、JS、、JSE、、WSH、、WSF”的所有针对脚本文件的操作均删除。

这样这些文件就不会被执的所有针对脚本文件的操作均删除这样这些文件就不会被执行了 n在在IE设置中将设置中将ActiveX插件和控件以及插件和控件以及Java相关的组件全部禁止，相关的组件全部禁止，可以避免一些恶意代码的攻击方法是：打开可以避免一些恶意代码的攻击方法是：打开IE，点击，点击“工具工具”→“Internet选项选项”→“安全安全”→“自定义级别自定义级别”，在，在“安全设安全设置置”对话框中，将其中所有的对话框中，将其中所有的ActiveX插件和控件以及与插件和控件以及与Java相关相关的组件全部禁止即可的组件全部禁止即可n禁用文件系统对象禁用文件系统对象FileSystemObject，， 用用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象这条命令就可以禁止文件系统对象n禁止邮件软件的自动收发邮件功能禁止邮件软件的自动收发邮件功能nWindows默认的是默认的是“隐藏已知文件类型的扩展名称隐藏已知文件类型的扩展名称”，将其修改为，将其修改为显示所有文件类型的扩展名称显示所有文件类型的扩展名称n选择一款好的防病毒软件并做好及时升级选择一款好的防病毒软件并做好及时升级。

9/15/2024235.4网络蠕虫网络蠕虫 n5.4.1 网络蠕虫概述网络蠕虫是一种智能化、自动化并综合网络攻击、网络蠕虫是一种智能化、自动化并综合网络攻击、密码学和计算机病毒技术，不要计算机使用者密码学和计算机病毒技术，不要计算机使用者干预即可运行的攻击程序或代码它会扫描和干预即可运行的攻击程序或代码它会扫描和攻击网络上存在系统漏洞的节点主机，通过网攻击网络上存在系统漏洞的节点主机，通过网络从一个节点传播到另外一个节点络从一个节点传播到另外一个节点 9/15/2024245.4.1 网络蠕虫概述n网络蠕虫具有以下特征网络蠕虫具有以下特征n主动攻击从搜索漏洞，到利用搜索结果攻击系统，到攻击主动攻击从搜索漏洞，到利用搜索结果攻击系统，到攻击成功后复制副本，整个流程全由蠕虫自身主动完成成功后复制副本，整个流程全由蠕虫自身主动完成n利用软件漏洞蠕虫利用系统的漏洞获得被攻击的计算机系利用软件漏洞蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能统的相应权限，使之进行复制和传播过程成为可能n造成网络拥塞在传播的过程中，蠕虫需要判断其它计算机造成网络拥塞在传播的过程中，蠕虫需要判断其它计算机是否存活；判断特定应用服务是否存在；判断漏洞是否存在是否存活；判断特定应用服务是否存在；判断漏洞是否存在等等，这将产生大量的网络数据流量。

同时出于攻击网络的等等，这将产生大量的网络数据流量同时出于攻击网络的需要，蠕虫也可以产生大量恶意流量，当大量的机器感染蠕需要，蠕虫也可以产生大量恶意流量，当大量的机器感染蠕虫时，就会产生巨大的网络流量，导致整个网络瘫痪虫时，就会产生巨大的网络流量，导致整个网络瘫痪n消耗系统资源蠕虫入侵到计算机系统之后，一方面由于要消耗系统资源蠕虫入侵到计算机系统之后，一方面由于要搜索目标主机、漏洞、感染其它主机需要消耗一定的资源；搜索目标主机、漏洞、感染其它主机需要消耗一定的资源；另一方面，许多蠕虫会恶意耗费系统的资源另一方面，许多蠕虫会恶意耗费系统的资源9/15/2024255.4.1 网络蠕虫概述n留下安全隐患大部分蠕虫会搜集、扩散、暴露系留下安全隐患大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后统敏感信息（如用户信息等），并在系统中留下后门n行踪隐蔽蠕虫的传播过程中，不需要用户的辅助行踪隐蔽蠕虫的传播过程中，不需要用户的辅助工作，其传播的过程中用户基本上不可察觉工作，其传播的过程中用户基本上不可察觉n反复性即使清除了蠕虫留下的任何痕迹，如果没反复性即使清除了蠕虫留下的任何痕迹，如果没有修补计算机系统漏洞，网络中的计算机还是会被有修补计算机系统漏洞，网络中的计算机还是会被重新感染。

重新感染n破坏性：越来越多的蠕虫开始包含恶意代码，破坏破坏性：越来越多的蠕虫开始包含恶意代码，破坏被攻击的计算机系统，而且造成的经济损失数目越被攻击的计算机系统，而且造成的经济损失数目越来越大，见表来越大，见表5-39/15/202426 蠕虫造成的损失对照表蠕虫造成的损失对照表 病毒名称持续时间造成损失莫里斯蠕虫(MORRIS)1988年6000多台计算机感染，占但是互联网的10%，直接经济损失达一千多万美元爱虫病毒(ILOVEYOU)2000年5月至今众多用户计算机被感染，损失超过100亿美元红色代码(Code Red)2001年7月100多万台计算机感染，直接经济损失超过26亿美元求职信2001年12月大量病毒邮件堵塞服务器，损失达数百亿美元SQL蠕虫王2003年1月网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元冲击波(Blaster)2003年20亿~100亿美元，受到感染的计算机不计其数霸王虫(Sobig.F)2003年50亿~100亿美元，超过100万台计算机被感染震荡波(Sasser)2004年8月损失估计：数千万美元9/15/2024275.4网络蠕虫网络蠕虫n5.4.2 网络蠕虫工作机制网络蠕虫工作机制 网络蠕虫的工作机制分为网络蠕虫的工作机制分为3个阶段：信息收集、攻击渗透、现场处理个阶段：信息收集、攻击渗透、现场处理n信息收集。

按照一定的策略搜索网络中存活的主机，收集目标主信息收集按照一定的策略搜索网络中存活的主机，收集目标主机的信息，，并远程进行漏洞的分析如果目标主机上有可以利机的信息，，并远程进行漏洞的分析如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机，否则放弃攻击用的漏洞则确定为一个可以攻击的主机，否则放弃攻击n攻击渗透通过收集的漏洞信息尝试攻击，一旦攻击成功，则获攻击渗透通过收集的漏洞信息尝试攻击，一旦攻击成功，则获得控制该主机的权限，将蠕虫代码渗透到被攻击主机得控制该主机的权限，将蠕虫代码渗透到被攻击主机n现场处理当攻击成功后，开始对被攻击的主机进行一些处理工现场处理当攻击成功后，开始对被攻击的主机进行一些处理工作，将攻击代码隐藏，为了能使被攻击主机运行蠕虫代码，还要作，将攻击代码隐藏，为了能使被攻击主机运行蠕虫代码，还要通过注册表将蠕虫程序设为自启动状态；可以完成它想完成的任通过注册表将蠕虫程序设为自启动状态；可以完成它想完成的任何动作，如恶意占用何动作，如恶意占用CPU资源；收集被攻击主机的敏感信息，可资源；收集被攻击主机的敏感信息，可以危害被感染的主机，删除关键文件以危害被感染的主机，删除关键文件。

9/15/2024285.4网络蠕虫网络蠕虫n5.4.3 网络蠕虫扫描策略n网络蠕虫扫描越是能够尽快地发现被感染主机，那么网络蠕虫扫描越是能够尽快地发现被感染主机，那么网络蠕虫的传播速度就越快网络蠕虫的传播速度就越快 n随机扫描随机选取某一段随机扫描随机选取某一段IP地址，然后对这一地址段上的地址，然后对这一地址段上的主机扫描由于不知道哪些主机已经感染蠕虫，很多扫描是主机扫描由于不知道哪些主机已经感染蠕虫，很多扫描是无用的这一方法的蠕虫传播速度较慢但是随着蠕虫的扩无用的这一方法的蠕虫传播速度较慢但是随着蠕虫的扩散，网络上存在大量的蠕虫时，蠕虫造成的网络流量就变得散，网络上存在大量的蠕虫时，蠕虫造成的网络流量就变得非常巨大非常巨大 n选择扫描选择性随机扫描将最有可能存在漏洞主机的地址选择扫描选择性随机扫描将最有可能存在漏洞主机的地址集作为扫描的地址空间所选的目标地址按照一定的算法随集作为扫描的地址空间所选的目标地址按照一定的算法随机生成选择性随机扫描算法简单，容易实现，若与本地优机生成选择性随机扫描算法简单，容易实现，若与本地优先原则结合则能达到更好的传播效果红色代码和先原则结合则能达到更好的传播效果。

红色代码和“Slammer”的传播采用了选择性随机扫描策略的传播采用了选择性随机扫描策略9/15/2024295.4.3 网络蠕虫扫描策略n顺序扫描顺序扫描是被感染主机上蠕虫会随机选顺序扫描顺序扫描是被感染主机上蠕虫会随机选择一个择一个C类网络地址进行传播，根据本地优先原则，类网络地址进行传播，根据本地优先原则，网络地址段顺序递增网络地址段顺序递增n基于目标列表的扫描基于目标列表的扫描 基于目标列表扫描是指网基于目标列表扫描是指网络蠕虫根据预先生成易感染的目标列表，搜寻感染络蠕虫根据预先生成易感染的目标列表，搜寻感染目标，n基于基于DNS扫描 从从DNS服务器获取服务器获取IP地址来建立地址来建立目标地址库，优点在于获得的目标地址库，优点在于获得的IP地址块针对性强和地址块针对性强和可用性高关键问题是如何从可用性高关键问题是如何从DNS服务器得到网络服务器得到网络主机地址，以及主机地址，以及DNS服务器是否存在足够的网络主服务器是否存在足够的网络主机地址9/15/2024305.4网络蠕虫网络蠕虫n扫描策略设计的原则有三点扫描策略设计的原则有三点 n尽量减少重复的扫描，使扫描发送的数据包尽量是尽量减少重复的扫描，使扫描发送的数据包尽量是没有被感染蠕虫的机器；没有被感染蠕虫的机器；n保证扫描覆盖到尽量大的可用地址段，包括尽量大保证扫描覆盖到尽量大的可用地址段，包括尽量大的范围，扫描的地址段为互联网上的有效地址段；的范围，扫描的地址段为互联网上的有效地址段；n处理好扫描的时间分布，使得扫描不要集中在某一处理好扫描的时间分布，使得扫描不要集中在某一时间内发生。

时间内发生 9/15/2024315.4网络蠕虫网络蠕虫n5.4.4 网络蠕虫传播模型n分为分为3个阶段个阶段 n慢速发展阶段，漏洞被蠕虫设计者发现，并利用漏洞设计蠕慢速发展阶段，漏洞被蠕虫设计者发现，并利用漏洞设计蠕虫发布于互联网，大部分用户还没有通过服务器下载补丁，虫发布于互联网，大部分用户还没有通过服务器下载补丁，网络蠕虫只是感染了少量的网络中的主机网络蠕虫只是感染了少量的网络中的主机n快速发展阶段，如果每个感染蠕虫的可以扫描并感染的主机快速发展阶段，如果每个感染蠕虫的可以扫描并感染的主机数为数为W，，n为感染的次数，那么感染主机数扩展速度为为感染的次数，那么感染主机数扩展速度为Wn，，感染蠕虫的机器成指数幂急剧增长感染蠕虫的机器成指数幂急剧增长n缓慢消失阶段，随着网络蠕虫的爆发和流行，人们通过分析缓慢消失阶段，随着网络蠕虫的爆发和流行，人们通过分析蠕虫的传播机制，采取一定措施及时更新补丁包，并采取措蠕虫的传播机制，采取一定措施及时更新补丁包，并采取措删除本机存在的蠕虫，感染蠕虫数量开始缓慢减少删除本机存在的蠕虫，感染蠕虫数量开始缓慢减少 9/15/2024325.4网络蠕虫网络蠕虫n5.4.5 网络蠕虫防御和清除网络蠕虫防御和清除 n给系统漏洞打补丁。

蠕虫病毒大多数都是利用系统给系统漏洞打补丁蠕虫病毒大多数都是利用系统漏洞进行传播的，因此在清除蠕虫病毒之前必须将漏洞进行传播的，因此在清除蠕虫病毒之前必须将蠕虫病毒利用的相关漏洞进行修补蠕虫病毒利用的相关漏洞进行修补n清除正在运行的蠕虫进程每个进入内存的蠕虫一清除正在运行的蠕虫进程每个进入内存的蠕虫一般会以进程的形式存在，只要清除了该进程，就可般会以进程的形式存在，只要清除了该进程，就可以使蠕虫失效以使蠕虫失效n删除蠕虫病毒的自启动项，感染蠕虫主机用户一般删除蠕虫病毒的自启动项，感染蠕虫主机用户一般不可能启动蠕虫病毒，蠕虫病毒需要就自己启动不可能启动蠕虫病毒，蠕虫病毒需要就自己启动需要在这些自启动项中清除蠕虫病毒的设置需要在这些自启动项中清除蠕虫病毒的设置9/15/2024335.4.5 网络蠕虫防御和清除网络蠕虫防御和清除n删除蠕虫文件可以通过蠕虫在注册表的键值可以删除蠕虫文件可以通过蠕虫在注册表的键值可以知道病毒的躲藏位置，对于那些正在运行或被调用知道病毒的躲藏位置，对于那些正在运行或被调用的文件无法直接删除，可以借助于相关工具删除的文件无法直接删除，可以借助于相关工具删除n利用自动防护工具，如个人防火墙软件。

通过个人利用自动防护工具，如个人防火墙软件通过个人防火墙软件可以设置禁止不必要的服务另外也可防火墙软件可以设置禁止不必要的服务另外也可以设置监控自己主机有那些恶意的流量以设置监控自己主机有那些恶意的流量9/15/2024345.5木马技术木马技术 n5.5.1 木马技术概述n指隐藏在正常程序中的一段具有特殊功能的恶指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、意代码，是具备破坏和删除文件、发送密码、记录键盘和记录键盘和DoS攻击等特殊功能的后门程序攻击等特殊功能的后门程序它与控制主机之间建立起连接，使得控制者能它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，最大的特征在于隐够通过网络控制受害系统，最大的特征在于隐秘性，偷偷混入对方的主机里面，但是却没有秘性，偷偷混入对方的主机里面，但是却没有被对方发现这与战争中的木马战术十分相似，被对方发现这与战争中的木马战术十分相似，因而得名木马程序因而得名木马程序 9/15/2024355.5.1 木马技术概述n木马的发展历程木马的发展历程 n第一代木马出现在网络发展的早期，是以窃取网络密码为主第一代木马出现在网络发展的早期，是以窃取网络密码为主要任务，这种木马通过伪装成一个合法的程序诱骗用户上当。

要任务，这种木马通过伪装成一个合法的程序诱骗用户上当第一代木马还不具有传染性，在隐藏和通信方面也均无特别第一代木马还不具有传染性，在隐藏和通信方面也均无特别之处n第二代木马在技术上有了很大的进步，它使用标准的第二代木马在技术上有了很大的进步，它使用标准的C/S架构，架构，提供远程文件管理、屏幕监视等功能，在隐藏、自启动和操提供远程文件管理、屏幕监视等功能，在隐藏、自启动和操纵服务器等技术上也有很大的发展由于植入木马的服务端纵服务器等技术上也有很大的发展由于植入木马的服务端程序会打开连接端口等候客户端连接，比较容易被用户发现程序会打开连接端口等候客户端连接，比较容易被用户发现冰河、冰河、BO2000等都是典型的第二代木马等都是典型的第二代木马n第三代木马改变主要在网络连接方式上，特征是不打开连接第三代木马改变主要在网络连接方式上，特征是不打开连接端口进行侦听，而是使用端口进行侦听，而是使用ICMP通信协议进行通信或使用通信协议进行通信或使用TCP端口反弹技术让服务器端主动连接客户端，以突破防火墙的端口反弹技术让服务器端主动连接客户端，以突破防火墙的拦截增加了查杀难度，如网络神偷拦截增加了查杀难度，如网络神偷(Netthief)、灰鸽子木、灰鸽子木马等。

马等9/15/2024365.5.1 木马技术概述n第四代木马在进程隐藏方面做了较大改动，让木马第四代木马在进程隐藏方面做了较大改动，让木马服务器运行时没有进程如服务器运行时没有进程如rootkit技术，嵌入木马技术，嵌入木马通过替换系统程序、通过替换系统程序、DLL、甚至是驱动程序，替换、甚至是驱动程序，替换之后还能够提供原来程序正常的服务从而实现木马之后还能够提供原来程序正常的服务从而实现木马的隐藏木马不是单独的进程或者以注册服务的形的隐藏木马不是单独的进程或者以注册服务的形式出现，无法通过式出现，无法通过“任务管理器任务管理器”查看到正在运行查看到正在运行的木马需要专门的工具才能发现以及专业的木马的木马需要专门的工具才能发现以及专业的木马查杀工具才能清除查杀工具才能清除n第五代木马实现了与病毒紧密结合，利用操作系统第五代木马实现了与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象以前的漏洞，直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活木马那样需要欺骗用户主动激活9/15/2024375.5.1 木马技术概述n木马特征木马特征 n隐蔽性隐蔽性是木马的首要特征。

木马类软件的隐蔽性隐蔽性是木马的首要特征木马类软件的SERVER端程序在被控主机系统上运行时，会使用端程序在被控主机系统上运行时，会使用各种方法来隐藏自己各种方法来隐藏自己n自动运行性木马程序通过修改系统配置文件，在自动运行性木马程序通过修改系统配置文件，在目标主机系统启动时自动运行或加载目标主机系统启动时自动运行或加载n欺骗性木马程序要达到其长期隐蔽的目的，就必欺骗性木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防用户发现需借助系统中已有的文件，以防用户发现9/15/2024385.5.1 木马技术概述n自动恢复性很多的木马程序中的功能模块已不再自动恢复性很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相是由单一的文件组成，而是具有多重备份，可以相互恢复系统一旦被植入木马，只删除某一个木马互恢复系统一旦被植入木马，只删除某一个木马文件来进行清除是无法清除干净的文件来进行清除是无法清除干净的n破坏或信息收集木马通常具有搜索破坏或信息收集木马通常具有搜索Cache中的口中的口令、设置口令、扫描目标机器的令、设置口令、扫描目标机器的IP地址、进行键盘地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。

记录、远程注册表的操作、以及锁定鼠标等功能 9/15/2024395.5木马技术木马技术n5.5.2 木马的实现原理与攻击技术在了解木马攻击技术之前，需要先了解木马欺骗技术，在了解木马攻击技术之前，需要先了解木马欺骗技术，木马欺骗技术是木马欺骗用户安装、欺骗用户运行以木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术木马欺骗技术主要有及隐藏自己的关键技术木马欺骗技术主要有 ：：n伪装成其它类型的文件伪装成其它类型的文件 ，可执行文件需要伪装其它文件如，可执行文件需要伪装其它文件如伪装成图片文件伪装成图片文件 n 合并程序欺骗合并程序是可以将两个或两个以上的可执行合并程序欺骗合并程序是可以将两个或两个以上的可执行文件文件(exe文件文件) 结合为一个文件，以后只需执行这个合并文结合为一个文件，以后只需执行这个合并文件，两个可执行文件就会同时执行件，两个可执行文件就会同时执行 9/15/2024405.5.2 木马的实现原理与攻击技术n插入其它文件内部利用运行插入其它文件内部利用运行flash文件和影视文件具有可以文件和影视文件具有可以执行脚本文件的特性，一般使用执行脚本文件的特性，一般使用“插马插马”工具将脚本文件插工具将脚本文件插入到入到swf、、rm等类型的等类型的flash文件和影视文件中文件和影视文件中 n伪装成应用程序扩展组件。

黑客们通常将木马程序写成为任伪装成应用程序扩展组件黑客们通常将木马程序写成为任何类型的文件然后挂在一个常用的软件中何类型的文件然后挂在一个常用的软件中 n利用利用WinRar制作成自释放文件，把木马程序和其它常用程序制作成自释放文件，把木马程序和其它常用程序利用利用WinRar捆绑在一起，将其制作成自释放文件捆绑在一起，将其制作成自释放文件 n在在Word文档中加入木马文件，在文档中加入木马文件，在Word文档末尾加入木马文文档末尾加入木马文件，只要别人点击这个所谓的件，只要别人点击这个所谓的Word文件就会中木马文件就会中木马 9/15/2024415.5.2 木马的实现原理与攻击技术n一个木马程序要通过网络入侵并控制被植入的计算机，需要采用一个木马程序要通过网络入侵并控制被植入的计算机，需要采用以下四个环节以下四个环节 ：：n首先是向目标主机植入木马，通过网络将木马程序植入到被控制首先是向目标主机植入木马，通过网络将木马程序植入到被控制的计算机；的计算机；n启动和隐藏木马，木马程序一般是一个单独文件需要一些系统设启动和隐藏木马，木马程序一般是一个单独文件需要一些系统设置来让计算机自动启动木马程序，为了防止被植入者发现和删除置来让计算机自动启动木马程序，为了防止被植入者发现和删除运行的木马程序，就需要将运行的木马程隐藏起来。

运行的木马程序，就需要将运行的木马程隐藏起来n植入者控制被植入木马的主机，需要通过网络通信，需要采取一植入者控制被植入木马的主机，需要通过网络通信，需要采取一定的隐藏技术，使通信过程不能够使被植入者通过防火墙等发现定的隐藏技术，使通信过程不能够使被植入者通过防火墙等发现n就是植入者通过客户端远程控制达到其攻击的目的，可以收集被就是植入者通过客户端远程控制达到其攻击的目的，可以收集被植入者的敏感信息，可以监视被植入者的计算机运行和动作，甚植入者的敏感信息，可以监视被植入者的计算机运行和动作，甚至可以用来攻击网络中的其它系统至可以用来攻击网络中的其它系统9/15/2024425.5.2 木马的实现原理与攻击技术n植入技术，木马植入技术可以大概分为主动植植入技术，木马植入技术可以大概分为主动植入与被动植入两类入与被动植入两类n主动植入，就是攻击者利用网络攻击技术通过网络主动植入，就是攻击者利用网络攻击技术通过网络将木马程序植入到远程目标主机，这个行为过程完将木马程序植入到远程目标主机，这个行为过程完全由攻击者主动掌握全由攻击者主动掌握n被动植入，是指攻击者预先设置某种环境，然后被被动植入，是指攻击者预先设置某种环境，然后被动等待目标系统用户的某种可能的操作，只有这种动等待目标系统用户的某种可能的操作，只有这种操作执行，木马程序才有可能植入目标系统。

操作执行，木马程序才有可能植入目标系统9/15/2024435.5.2 木马的实现原理与攻击技术n主动植入技术主要包括主动植入技术主要包括 ：：n 利用系统自身漏洞植入攻击者利用所了解的系统利用系统自身漏洞植入攻击者利用所了解的系统的安全漏洞及其特性主动出击的安全漏洞及其特性主动出击n利用第三方软件漏洞植入利用第三方软件漏洞植入 n利用即时通信软件发送伪装的木马文件植入利用即时通信软件发送伪装的木马文件植入 n利用电子邮件发送植入木马利用电子邮件发送植入木马 9/15/2024445.5.2 木马的实现原理与攻击技术n被动植入被动植入 包括：包括：n软件下载一些非正规的网站以提供软件下载为名义，将木软件下载一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后只要一运行这些程序，木马捆绑在软件安装程序上，下载后只要一运行这些程序，木马就会自动安装马就会自动安装n利用共享文件学校或单位的局域网里为了学习和工作方便，利用共享文件学校或单位的局域网里为了学习和工作方便，会将许多硬盘或文件夹共享出来，甚至不加密码，具有可写会将许多硬盘或文件夹共享出来，甚至不加密码，具有可写权限。

权限n利用利用Autorun文件传播这一方法主要是利用文件传播这一方法主要是利用Autorun文件文件自动运行的特性，通过自动运行的特性，通过U盘植入n网页浏览传播这种方法利用网页浏览传播这种方法利用Script/ActiveX控件、控件、JavaApplet等技术编写出一个等技术编写出一个HTML网页，当浏览该页面时，网页，当浏览该页面时，会在后台将木马程序下载到计算机缓存中，然后修改系统注会在后台将木马程序下载到计算机缓存中，然后修改系统注册表，使相关键值指向册表，使相关键值指向“木马木马”程序9/15/2024455.5.2 木马的实现原理与攻击技术n木马的自动加载技术木马的自动加载技术 针对针对Windows系统，木马程序系统，木马程序的自动加载运行主要有以下一些方法：的自动加载运行主要有以下一些方法：n修改系统文件修改目标的系统文件以达到自动加载的目的修改系统文件修改目标的系统文件以达到自动加载的目的n修改系统注册表修改系统注册表n修改文件打开关联修改文件打开关联 n修改任务计划修改任务计划n修改组策略修改组策略 n替换系统自动运行的文件替换系统自动运行的文件 n替换系统替换系统DLL n作为服务启动作为服务启动 n利用利用AppInit_DLLs 注入注入9/15/2024465.5.2 木马的实现原理与攻击技术n木马隐藏技术木马隐藏技术 主要分为两类：主机隐藏和通信隐藏。

主要分为两类：主机隐藏和通信隐藏n主机隐藏主要指在主机系统上表现为正常的进程主机隐藏主要指在主机系统上表现为正常的进程主机隐藏方式很多，主要有文件隐藏、进程隐藏等主机隐藏方式很多，主要有文件隐藏、进程隐藏等n文件隐藏主要有两种方式文件隐藏主要有两种方式n采用欺骗的方式伪装成其它文件采用欺骗的方式伪装成其它文件n伪装成系统文件，伪装成系统文件， 9/15/2024475.5.2 木马的实现原理与攻击技术n进程隐藏进程隐藏 n 动态链接库注入技术，将动态链接库注入技术，将“木马木马”程序做成一个动态链接程序做成一个动态链接库文件，并将调用动态链接库函数的语句插入到目标进程，库文件，并将调用动态链接库函数的语句插入到目标进程，这个函数类似于普通程序中的入口程序这个函数类似于普通程序中的入口程序nHooking API技术通过修改技术通过修改API函数的入口地址的方法函数的入口地址的方法来欺骗试图列举本地所有进程的程序来欺骗试图列举本地所有进程的程序 9/15/2024485.5.2 木马的实现原理与攻击技术n通信隐藏主要包括通信端口隐藏、内容隐藏采用以下通信隐藏主要包括通信端口隐藏、内容隐藏采用以下技术：技术： n复用正常服务端口。

直接绑定到正常用户进程的端口，接受复用正常服务端口直接绑定到正常用户进程的端口，接受数据后，根据包格式判断是不是自己的，如果是自己处理，数据后，根据包格式判断是不是自己的，如果是自己处理，如果不是通过如果不是通过127.0.0.1的地址交给真正的服务器应用进行处的地址交给真正的服务器应用进行处理，以利用正常的网络连接隐藏木马的通信状态理，以利用正常的网络连接隐藏木马的通信状态n 采用其它不需要端口的协议进行通信如采用其它不需要端口的协议进行通信如ICMP协议，主要协议，主要缺点是防火墙可能把所有缺点是防火墙可能把所有ICMP协议的信息过滤掉协议的信息过滤掉n利用利用“反弹端口反弹端口”技术木马程序启动后主动连接客户，为技术木马程序启动后主动连接客户，为了隐蔽起见，控制端的被动端口一般开在了隐蔽起见，控制端的被动端口一般开在80n利用利用SPI防火墙技术隐藏防火墙技术隐藏n采用嗅探技术采用嗅探技术 9/15/2024495.5.2 木马的实现原理与攻击技术n远程控制远程控制n端口扫描采用端口扫描技术获得那些安装了木马主机的端口扫描采用端口扫描技术获得那些安装了木马主机的IP地址一旦发现中了木马的主机则添加到客户端控制程序的地址。

一旦发现中了木马的主机则添加到客户端控制程序的木马主机列表木马主机列表n邮件发送一些木马具有邮件发送功能，在设置木马程序时，邮件发送一些木马具有邮件发送功能，在设置木马程序时，填入免费邮箱，一旦木马程序启动，就会将其植入主机的填入免费邮箱，一旦木马程序启动，就会将其植入主机的IP地址发送给植入者的邮箱植入者根据地址发送给植入者的邮箱植入者根据IP地址和对应的端口地址和对应的端口与木马建立连接通道如网络公牛等与木马建立连接通道如网络公牛等nUDP通知植入者将自己的通知植入者将自己的IP地址写到主页空间的指定文件地址写到主页空间的指定文件里，被植入的木马读取文件的内容，得到客户端的里，被植入的木马读取文件的内容，得到客户端的IP地址以地址以及其它信息（主机名、及其它信息（主机名、IP地址、上线时间等等），然后木马地址、上线时间等等），然后木马用用UDP协议发送给植入者，如网络神偷就是采用了该项技术协议发送给植入者，如网络神偷就是采用了该项技术n利用利用、、MSN等通信软件等通信软件9/15/2024505.5.2 木马的实现原理与攻击技术n木马危害木马危害n 窃取密码窃取密码n 远程访问控制远程访问控制nDoS攻击攻击n代理攻击代理攻击n程序杀手程序杀手9/15/2024515.5木马技术木马技术n5.5.3 木马程序举例n冰河木马冰河木马n冰河木马包括两个可运行程序，服务器端程序冰河木马包括两个可运行程序，服务器端程序G-server.exe和客户端程序和客户端程序G-client.exe，默认连接端口为，默认连接端口为7626。

一旦运一旦运行行G-server，那么该程序就会在，那么该程序就会在C:\Windows\System目录目录下生成下生成Kernel32.exe和和Sysexplr.exe，并删除自身并删除自身Kernel32.exe在系统启动时自动加载运行，在系统启动时自动加载运行，Sysexplr.exe和和TXT文件关联即使删除了文件关联即使删除了Kernel32.exe，但只要打开，但只要打开TXT文件，文件，Sysexplr.exe就会被激活，它将再次生成就会被激活，它将再次生成Kernel32.exe，因此手工删除很难删除干净，必须使用专用，因此手工删除很难删除干净，必须使用专用的查杀工具对其进行查杀的查杀工具对其进行查杀9/15/2024525.5.3 木马程序举例n冰河木马控制主要包括以下方面：冰河木马控制主要包括以下方面：n自动跟踪目标机屏幕变化自动跟踪目标机屏幕变化n 记录各种口令信息记录各种口令信息n 获取系统信息获取系统信息n限制系统功能限制系统功能n 远程文件操作远程文件操作n 注册表操作注册表操作n发送信息发送信息n 点对点通讯点对点通讯9/15/2024535.5木马技术木马技术n5.5.4 木马的防御n根据木马工作原理，木马检测一般有以下一些根据木马工作原理，木马检测一般有以下一些方法方法 ：：n扫描端口大部分的木马服务器端会在系统中监听某扫描端口大部分的木马服务器端会在系统中监听某个端口，因此，通过查看系统上开启了那些端口能个端口，因此，通过查看系统上开启了那些端口能有效地发现远程控制木马的踪迹。

有效地发现远程控制木马的踪迹 n检查系统进程检查系统进程 很多木马在运行期间都会在系统中很多木马在运行期间都会在系统中生成进程因此，检查进程是一种非常有效的发现生成进程因此，检查进程是一种非常有效的发现木马踪迹方法木马踪迹方法9/15/2024545.5.4 木马的防御n检查检查ini文件、注册表和服务等自启动项文件、注册表和服务等自启动项 n监视网络通讯监视网络通讯,木马的通信监控可以通过防火墙来木马的通信监控可以通过防火墙来监控监控 9/15/2024555.5木马技术木马技术n5.5.5 几款免费的木马专杀工具n几款免费木马专杀工具如：几款免费木马专杀工具如：Windows清理助手、恶意清理助手、恶意软件清理助手、软件清理助手、Atool、冰刃、冰刃 n冰刃冰刃(Icesword)是专业查杀木马工具中较好的工具之是专业查杀木马工具中较好的工具之一一 ，杀木马特点：，杀木马特点： n删除文件，许多木马文件为了防止删除，具有写保护功能，删除文件，许多木马文件为了防止删除，具有写保护功能，无法直接删除冰刃提供了可以完全删除任何文件的功能无法直接删除冰刃提供了可以完全删除任何文件的功能。

n删除注册表项木马可以隐藏注册表项让删除注册表项木马可以隐藏注册表项让Windows自带的注自带的注册表工具册表工具rgedit无法显示或删除，而冰刃程序可以容易做到无法显示或删除，而冰刃程序可以容易做到删除任意的注册表项和显示所有的注册表项删除任意的注册表项和显示所有的注册表项9/15/2024565.5.5 几款免费的木马专杀工具n终止任意的进程冰刃程序可以删除除终止任意的进程冰刃程序可以删除除idle进程、进程、System进程、进程、csrss进程以外的所有进程进程以外的所有进程n查看进程通信情况查看进程通信情况 n查看消息钩子查看消息钩子 n 线程创建和线程终止监视线程创建和线程终止监视 n查看查看SPI和和BHO n其它功能如自启动项管理、服务查看等功能其它功能如自启动项管理、服务查看等功能9/15/2024575.6网络钓鱼网络钓鱼 n5.6.1 网络钓鱼技术 网络钓鱼是通过发送声称来自于银行或其它知名机构的欺骗性网络钓鱼是通过发送声称来自于银行或其它知名机构的欺骗性垃圾邮件，或者伪装成其垃圾邮件，或者伪装成其Web站点，意图引诱收信人或网站站点，意图引诱收信人或网站浏览者给出敏感信息（如用户名、口令、帐号浏览者给出敏感信息（如用户名、口令、帐号 ID 、、 ATM PIN 码或信用卡详细信息）的一种攻击方式。

码或信用卡详细信息）的一种攻击方式网络钓鱼的攻击方法主要有以下几种网络钓鱼的攻击方法主要有以下几种 n建立假冒网上银行、网上证券的网站，骗取用户帐号密码实建立假冒网上银行、网上证券的网站，骗取用户帐号密码实施盗窃犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券犯罪分子建立起域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站，引诱用户输入账号密码等信息，进交易平台极为相似的网站，引诱用户输入账号密码等信息，进而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、而通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金证券交易卡盗窃资金 9/15/2024585.6.1 网络钓鱼技术n发送电子邮件，以虚假信息引诱用户中圈套发送电子邮件，以虚假信息引诱用户中圈套 攻击者以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多攻击者以垃圾邮件的形式大量发送欺诈性邮件，这些邮件多以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账以中奖、顾问、对帐等内容引诱用户在邮件中填入金融账号和密码，或是以各种紧迫的理由要求收件人登录某网页号和密码，或是以各种紧迫的理由要求收件人登录某网页提交用户名、密码、身份证号、信用卡号等信息，继而盗提交用户名、密码、身份证号、信用卡号等信息，继而盗窃用户资金窃用户资金 n利用虚假的电子商务进行诈骗利用虚假的电子商务进行诈骗 n此类犯罪活动往往是建立电子商务网站，或是在比较知名、此类犯罪活动往往是建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息，犯罪分大型的电子商务网站上发布虚假的商品销售信息，犯罪分子在收到受害人的购物汇款后就销声匿迹子在收到受害人的购物汇款后就销声匿迹 9/15/2024595.6.1 网络钓鱼技术n利用利用、、MSN甚至短信等即时通信方式欺骗甚至短信等即时通信方式欺骗用户用户 冒充软件运营商告诉某用户中奖或者免费获得游戏币等方式，冒充软件运营商告诉某用户中奖或者免费获得游戏币等方式，这一方法的主要欺骗目的是获取游戏币，或者通过移动服这一方法的主要欺骗目的是获取游戏币，或者通过移动服务上收取信息费。

务上收取信息费n利用木马和黑客技术等手段窃取用户信息后实施盗利用木马和黑客技术等手段窃取用户信息后实施盗窃活动窃活动 木马木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁定邮箱，用户资金将受到严重威胁9/15/2024605.6网络钓鱼网络钓鱼n5.6.2 网络钓鱼的防御对于用户端，可以采用以下措施对于用户端，可以采用以下措施 n尽量不通过链接打开网页，而是直接输入域名访问尽量不通过链接打开网页，而是直接输入域名访问网络 n对于需要输入帐号和密码的网站再三确认对于需要输入帐号和密码的网站再三确认.n给网络浏览器程序安装补丁，使其补丁保持在最新给网络浏览器程序安装补丁，使其补丁保持在最新状态状态.n利用已有的防病毒软件，实时防御钓鱼网站利用已有的防病毒软件，实时防御钓鱼网站 9/15/2024615.7僵尸网络僵尸网络 n5.7.1 概述僵尸网络是攻击者通过网络传播僵尸程序，利用一对僵尸网络是攻击者通过网络传播僵尸程序，利用一对多的命令与控制信道控制大量主机，攻击其它网络多的命令与控制信道控制大量主机，攻击其它网络或主机，从而得到自己恶意目的的网络。

或主机，从而得到自己恶意目的的网络 9/15/2024625.7.1 概述n 一个僵尸网络由以下部分组成一个僵尸网络由以下部分组成 n僵尸（僵尸（Bot）：置于被控制主机，能够按照预定义）：置于被控制主机，能够按照预定义的指令执行操作，具有一定智能的程序僵尸计算的指令执行操作，具有一定智能的程序僵尸计算机机(Zombie)：是指被植入僵尸的计算机是指被植入僵尸的计算机n僵尸网络控制服务器：可以将僵尸主机连接的僵尸网络控制服务器：可以将僵尸主机连接的IRC服务器，控制者通过该服务器向僵尸主机发送命令服务器，控制者通过该服务器向僵尸主机发送命令进行控制进行控制9/15/2024635.7.1 概述n僵尸网络主要有以下危害僵尸网络主要有以下危害 n分布式拒绝服务攻击分布式拒绝服务攻击(DDoS) n发送垃圾邮件发送垃圾邮件 n窃取秘密窃取秘密 n取得非法利益资源取得非法利益资源 n作为攻击跳板作为攻击跳板 9/15/2024645.7僵尸网络僵尸网络n5.7.2 僵尸网络的工作原理分析僵尸网络一般采用以下几种手段感染受害主机僵尸网络一般采用以下几种手段感染受害主机 n主动攻击漏洞是通过攻击系统所存在的漏洞获得访问权，主动攻击漏洞。

是通过攻击系统所存在的漏洞获得访问权，并将僵尸程序植入受害主机，从而感染成为僵尸主机并将僵尸程序植入受害主机，从而感染成为僵尸主机n邮件病毒通常在邮件附件中携带僵尸程序或者在邮件内容邮件病毒通常在邮件附件中携带僵尸程序或者在邮件内容中包含下载执行僵尸程序的链接，使得接收者主机被感染成中包含下载执行僵尸程序的链接，使得接收者主机被感染成为僵尸主机为僵尸主机n即时通信软件攻击者攻陷即时通信的用户，并利用好友列即时通信软件攻击者攻陷即时通信的用户，并利用好友列表发送执行僵尸程序的链接，从而进行感染表发送执行僵尸程序的链接，从而进行感染n恶意网站脚本在提供恶意网站脚本在提供Web服务的网站中，攻击者在服务的网站中，攻击者在HTML页面上绑定恶意的脚本，当访问者浏览这些网站时就会执行页面上绑定恶意的脚本，当访问者浏览这些网站时就会执行恶意脚本，使得僵尸程序下载到主机上恶意脚本，使得僵尸程序下载到主机上n欺骗安装伪装成有用的软件，在欺骗安装伪装成有用的软件，在Web网站、网站、FTP 服务器、服务器、P2P 网络中提供，诱骗用户下载并执行网络中提供，诱骗用户下载并执行9/15/2024655.7.2 僵尸网络的工作原理分析n随着僵尸网络技术发展，采用了以下随着僵尸网络技术发展，采用了以下3种通信种通信方式方式 n基于基于IRC协议协议 n基于基于HTTP协议的命令与控制机制协议的命令与控制机制 n基于基于P2P协议通信协议通信9/15/2024665.7僵尸网络僵尸网络n5.7.3 僵尸网络的检测和防御检测和分析僵尸网络主要采用以下方法检测和分析僵尸网络主要采用以下方法 :n利用蜜罐利用蜜罐( Honeypot)发现发现n网络流量研究网络流量研究 nIRC Server 识别技术的研究识别技术的研究9/15/2024675.8浏览器劫持浏览器劫持 n浏览器劫持是网页浏览器（浏览器劫持是网页浏览器（IE等）被恶意程序等）被恶意程序修改的一种行为，恶意软件通过操纵浏览器的修改的一种行为，恶意软件通过操纵浏览器的行为，可以使用户浏览器转移到特定网站，取行为，可以使用户浏览器转移到特定网站，取得商业利益，或者在用户计算机端收集敏感信得商业利益，或者在用户计算机端收集敏感信息，危及用户隐私安全息，危及用户隐私安全 。

9/15/2024685.8浏览器劫持浏览器劫持n浏览器劫持通过以下技术实现浏览器劫持通过以下技术实现 n浏览器辅助对象实现浏览器劫持浏览器辅助对象实现浏览器劫持 n利用利用HOOK钩子钩子 n利用利用Winsock 2 SPI 包过滤技术包过滤技术(Service Provider Interface，，SPI））9/15/2024695.9 流氓软件流氓软件 n流氓软件是介于流氓软件是介于病毒病毒和正规和正规软件软件之间的软件之间的软件流氓软件流氓软件”介于两者之间，同时具备正常功介于两者之间，同时具备正常功能（能（下载下载、媒体播放等）和恶意行为（弹广告、、媒体播放等）和恶意行为（弹广告、开后门），给用户带来危害开后门），给用户带来危害n其特点是：它具有一定的实用价值，一般是为其特点是：它具有一定的实用价值，一般是为方便用户使用计算机工作、娱乐而开发，面向方便用户使用计算机工作、娱乐而开发，面向社会公众公开发布的软件，并且一般是免费的，社会公众公开发布的软件，并且一般是免费的，不属于正规的商业软件；同时也具有恶意软件不属于正规的商业软件；同时也具有恶意软件的种种特征，给用户带来一定危害。

的种种特征，给用户带来一定危害9/15/2024705.9 流氓软件流氓软件n流氓软件具有以下特征流氓软件具有以下特征 n强制安装流氓软件一般通过与其它常用软件捆绑强制安装流氓软件一般通过与其它常用软件捆绑在一起，强行安装到用户计算机中在一起，强行安装到用户计算机中n难以删除，或者无法彻底删除未提供通用的卸载难以删除，或者无法彻底删除未提供通用的卸载方式，或卸载后仍然有活动程序的行为方式，或卸载后仍然有活动程序的行为n广告弹出在未明确提示用户或未经用户许可的情广告弹出在未明确提示用户或未经用户许可的情况下，在用户计算机或其它终端上弹出广告的行为况下，在用户计算机或其它终端上弹出广告的行为n恶意收集用户信息指未明确提示用户或未经用户恶意收集用户信息指未明确提示用户或未经用户许可，恶意收集用户信息的行为许可，恶意收集用户信息的行为n其它侵犯用户知情权、选择权的恶意行为其它侵犯用户知情权、选择权的恶意行为9/15/2024715.9 流氓软件流氓软件n浏览器劫持的防御方法浏览器劫持的防御方法 n直接使用直接使用IE浏览器的管理加载项，禁用恶意的加载浏览器的管理加载项，禁用恶意的加载项n使用专用工具卸载恶意插件，如安全卫士使用专用工具卸载恶意插件，如安全卫士360、超、超级兔子等。

级兔子等n专用工具查看是否有恶意的专用工具查看是否有恶意的SPI，如冰刃，如冰刃IceSword.exe9/15/202472。