齊魯醫(yī)學(xué)計(jì)算機(jī)病毒及惡意代碼

1、第五章 計(jì)算機(jī)病毒及惡意代碼 本章學(xué)習(xí)重點(diǎn)掌握內(nèi)容：傳統(tǒng)病毒原理腳本病毒原理網(wǎng)絡(luò)蠕蟲原理木馬技術(shù)網(wǎng)絡(luò)釣魚技術(shù)僵尸網(wǎng)絡(luò)流氓軟件2021/9/301第五章 計(jì)算機(jī)病毒及惡意代碼5.1 計(jì)算機(jī)病毒概述5.2 傳統(tǒng)的計(jì)算機(jī)病毒5.3 腳本病毒5.4網(wǎng)絡(luò)蠕蟲5.5木馬技術(shù)5.6網(wǎng)絡(luò)釣魚5.7僵尸網(wǎng)絡(luò)5.8流氓軟件5.9瀏覽器劫持2021/9/3025.1計(jì)算機(jī)病毒概述 5.1.1 計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 2021/9/3035.1.2計(jì)算機(jī)病毒發(fā)展歷史計(jì)算機(jī)病毒的 計(jì)算機(jī)病毒伴隨計(jì)

2、算機(jī)、網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展而日趨復(fù)雜多變，其破壞性和傳播能力也不斷增強(qiáng)。計(jì)算機(jī)病毒發(fā)展主要經(jīng)歷了五個重要的階段。（1）原始病毒階段（第一階段）攻擊目標(biāo)和破壞性比較單一。病毒程序不具有自我保護(hù)功能，較容易被人們分析、識別和清除。（2）混合型病毒階段（第二階段）1989-1991，隨著計(jì)算機(jī)局域網(wǎng)的應(yīng)用與普及，給計(jì)算機(jī)病毒帶來了第一次流行高峰。主要特點(diǎn)：攻擊目標(biāo)趨于綜合，以更隱蔽的方法駐留在內(nèi)在和傳染目標(biāo)中，系統(tǒng)感染病毒后沒有明顯的特征，病毒程序具有自我保護(hù)功能，出現(xiàn)眾多病毒的變種（3）多態(tài)性病毒階段（第三階段）在每次傳染目標(biāo)時，放入宿主程序中的病毒程序大部分是可變的。防病毒軟件難以查殺，如94

3、年“幽靈“病毒。（4）網(wǎng)絡(luò)病毒階段（第四階段）隨國際互聯(lián)網(wǎng)廣泛發(fā)展，依賴互聯(lián)網(wǎng)傳播的郵件病毒和宏病毒等泛濫，呈現(xiàn)出病毒傳播快、隱蔽性強(qiáng)、破壞性大特點(diǎn)?；赪indows運(yùn)行環(huán)境的病毒，隨著微軟Office軟件的普及，出現(xiàn)了宏病毒，各種腳本病毒也日益增多著名病毒如 CIH病毒等（5）主動攻擊型病毒階段（第五階段）典型代表：沖擊波、震蕩波病毒和木馬等。2021/9/3045.1.2計(jì)算機(jī)病毒發(fā)展歷史計(jì)算機(jī)病毒的產(chǎn)生原因 計(jì)算機(jī)病毒的產(chǎn)生原因主要有4個方面：1） 惡作劇型2） 報復(fù)心理型3） 版權(quán)保護(hù)型4） 特殊目的型 2021/9/3055.1.3計(jì)算機(jī)病毒的命名方式病毒的命名并無統(tǒng)一的規(guī)定，基本

4、都是采用前后綴法來進(jìn)行命名。一般格式為：前綴.病毒名.后綴。以振蕩波蠕蟲病毒的變種c“Worm. Sasser. c”為例，Worm指病毒的種類為蠕蟲，Sasser是病毒名，c指該病毒的變種。（1）病毒前綴（2）病毒名（3）病毒后綴2021/9/3065.1.4 計(jì)算機(jī)病毒的分類（1）1. 以病毒攻擊的操作系統(tǒng)分類（1） 攻擊DOS 系統(tǒng)的病毒（2） 攻擊Windows 系統(tǒng)的病毒用戶使用多，主要的攻擊對象（3） 攻擊UNIX 系統(tǒng)的病毒（4） 攻擊OS/2 系統(tǒng)的病毒（5） 攻擊NetWare 系統(tǒng)的病毒2以病毒的攻擊機(jī)型分類（1） 攻擊微型計(jì)算機(jī)的病毒（2） 攻擊小型機(jī)的計(jì)算機(jī)病毒（3）

5、攻擊服務(wù)器的計(jì)算機(jī)病毒2021/9/3075.1.4 計(jì)算機(jī)病毒的分類（2）3按照計(jì)算機(jī)病毒的鏈接方式分類（1） 源碼型病毒（2） 嵌入型病毒將計(jì)算機(jī)病毒的主體程序與其攻擊對象以插入方式進(jìn)行鏈接，一旦進(jìn)入程序中就難以清除。（3） 外殼型病毒將自身包圍在合法的主程序的周圍，對原來的程序并不作任何修改。常見、易于編寫、易發(fā)現(xiàn)。（4） 操作系統(tǒng)型病毒4按照計(jì)算機(jī)病毒的破壞能力分類根據(jù)病毒破壞的能力可劃分為4種：（1） 無害型（2） 無危險型（3） 危險型 （4） 非常危險型2021/9/3085.1.4 計(jì)算機(jī)病毒的分類（3）5按照傳播媒介不同分類（1）單機(jī)病毒（2）網(wǎng)絡(luò)病毒6按傳播方式不同分類（1

6、）引導(dǎo)型病毒（2）文件型病毒： .com .exe（3）混合型病毒7根據(jù)病毒特有的算法不同分類（1） 伴隨型病毒（2） 蠕蟲型病毒（3） 寄生型病毒（4） 練習(xí)型病毒（5） 詭秘型病毒（6） 變型病毒（又稱幽靈病毒）2021/9/3095.1.4 計(jì)算機(jī)病毒的分類（4）8. 按照病毒的寄生部位或傳染對象分類（1）磁盤引導(dǎo)區(qū)傳染的計(jì)算機(jī)病毒（2）操作系統(tǒng)傳染的計(jì)算機(jī)病毒（3）可執(zhí)行程序傳染的計(jì)算機(jī)病毒 以上三種病毒的分類，實(shí)際上可以歸納為兩大類：一類是引導(dǎo)區(qū)型傳染的計(jì)算機(jī)病毒；另一類是可執(zhí)行文件型傳染的計(jì)算機(jī)病毒。 2021/9/30105.1.5 計(jì)算機(jī)病毒特征根據(jù)對計(jì)算機(jī)病毒的產(chǎn)生、傳播和破

7、壞行為的分析，可以將計(jì)算機(jī)病毒概括為以下6 個主要特點(diǎn)。1.傳染性指病毒具有把自身復(fù)制到其它程序中的特性 2. 取得系統(tǒng)控制權(quán)3. 隱蔽性隱蔽性 。通過隱蔽技術(shù)使宿主程序的大小沒有改變，以至于很難被發(fā)現(xiàn)。 4. 破壞性破壞性 計(jì)算機(jī)所有資源包括硬件資源和軟件資源，軟件所能接觸的地方均可能受到計(jì)算機(jī)病毒的破壞5. 潛伏性潛伏性 長期隱藏在系統(tǒng)中，只有在滿足特定條件時，才啟動其破壞模塊。 6. 不可預(yù)見性2021/9/30115.1.5 計(jì)算機(jī)病毒特征網(wǎng)絡(luò)病毒又增加很多新的特點(diǎn) 主動通過網(wǎng)絡(luò)和郵件系統(tǒng)傳播 計(jì)算機(jī)的病毒種類呈爆炸式增長變種多，容易編寫，并且很容易被修改，生成很多病毒變種 融合多種網(wǎng)

8、絡(luò)技術(shù)，并被黑客所使用 2021/9/30125.1.6病毒的組成結(jié)構(gòu)與傳播計(jì)算機(jī)病毒的組成結(jié)構(gòu)計(jì)算機(jī)病毒的種類很多，但通過分析現(xiàn)有的計(jì)算機(jī)病毒，發(fā)現(xiàn)幾乎所有的計(jì)算機(jī)病毒都是由3 個部分組成即:引導(dǎo)模塊傳播模塊表現(xiàn)模塊2021/9/30135.1.6病毒的組成結(jié)構(gòu)與傳播病毒傳播可分為兩種方式：（1） 用戶在進(jìn)行復(fù)制磁盤或文件時，把病毒由一個載體復(fù)制到另一個載體上，或者通過網(wǎng)絡(luò)把一個病毒程序從一方傳遞到另一方，這種傳播方式叫做計(jì)算機(jī)病毒的被動傳播；（2） 計(jì)算機(jī)病毒以計(jì)算機(jī)系統(tǒng)的運(yùn)行以及病毒程序處于激活狀態(tài)為先決條件，在病毒處于激活狀態(tài)下，只要傳播條件滿足，病毒程序能主動把病毒自身傳播給另一個載

9、體或另一個系統(tǒng)，這種傳播方式叫做計(jì)算機(jī)病毒的主動傳播。 2021/9/30145.1.6病毒的組成結(jié)構(gòu)與傳播計(jì)算機(jī)病毒的傳播途徑：（1） 通過不可移動的計(jì)算機(jī)硬件設(shè)備進(jìn)行傳播，即利用專用ASIC 芯片和硬盤進(jìn)行傳播；（2） 通過移動存儲設(shè)備來傳播，其中U盤和移動硬盤是使用最廣泛、移動最頻繁的存儲介質(zhì)；（3） 通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳播；（4） 通過點(diǎn)對點(diǎn)通信系統(tǒng)和無線通道傳播。2021/9/30155.1.7 計(jì)算機(jī)中毒的異常表現(xiàn)1. 計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)（1） 平時運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無緣無故地死機(jī)（2） 操作系統(tǒng)無法正常啟動（3） 運(yùn)行速度明顯變慢（4） 正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足

10、問題（5） 打印和通訊出現(xiàn)異常（6） 無意中要求對U盤進(jìn)行寫操作（7） 以往正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯誤 （8） 系統(tǒng)文件的時間、日期、大小發(fā)生變化（9） 無法另存為一個Word文檔（10） 磁盤空間迅速減少（11） 網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用。（12） 基本內(nèi)存發(fā)生變化。（13） 陌生人發(fā)來的電子郵件（14）自動鏈接到一些陌生的網(wǎng)站2021/9/30165.1.7 計(jì)算機(jī)中毒的異常表現(xiàn)2. 計(jì)算機(jī)病毒發(fā)作時的現(xiàn)象（1）提示不相關(guān)對話（2）發(fā)出音樂（3）產(chǎn)生特定的圖象（4）硬盤燈不斷閃爍（5）進(jìn)行游戲算法（6）Windows桌面圖標(biāo)發(fā)生變化（7）突然死機(jī)或重啟（8）自動發(fā)送電

11、子郵件（9）鼠標(biāo)自己在動2021/9/30175.1.7 計(jì)算機(jī)中毒的異常表現(xiàn)3. 計(jì)算機(jī)病毒發(fā)作后的表現(xiàn)（1） 硬盤無法啟動，數(shù)據(jù)丟失（2） 系統(tǒng)文件丟失或被破壞（3） 文件目錄發(fā)生混亂（4） 部分文檔丟失或被破壞（5） 部分文檔自動加密碼（6） 修改Autoexec.bat文件，導(dǎo)致計(jì)算機(jī)重新啟動時格式化硬盤（7） 使部分可軟件升級主板的BIOS程序混亂，主板被破壞（8） 網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù) 2021/9/30185.2 傳統(tǒng)的計(jì)算機(jī)病毒5.2.1 計(jì)算機(jī)病毒的基本機(jī)制分為三大模塊：傳染機(jī)制、破壞機(jī)制、觸發(fā)機(jī)制。 計(jì)算機(jī)病毒的傳染機(jī)制 指計(jì)算機(jī)病毒由一個宿主傳播到另一個宿主程序，

12、由一個系統(tǒng)進(jìn)入另一個系統(tǒng)的過程。 觸發(fā)機(jī)制計(jì)算機(jī)病毒在傳染和發(fā)作之前，要判斷某些特定條件是否滿足，這個條件就是計(jì)算機(jī)病毒的觸發(fā)條件。破壞機(jī)制 良性病毒表現(xiàn)為占用內(nèi)存或硬盤資源。惡性病毒則會對目標(biāo)主機(jī)系統(tǒng)或信息產(chǎn)生嚴(yán)重破壞。 2021/9/30195.2.2 病毒分析Windows環(huán)境下，主要病毒有文件型病毒、引導(dǎo)性病毒和宏病毒等 文件型病毒文件型病毒主要感染可執(zhí)行文件，Windows環(huán)境下主要為.EXE文件，為PE格式文件PE是 Win32環(huán)境自身所帶的執(zhí)行體文件格式。 2021/9/30205.2.2 病毒分析當(dāng)運(yùn)行一個PE可執(zhí)行文件時 當(dāng)PE文件被執(zhí)行，PE裝載器檢查 DOS MZ hea

13、der 里的 PE header 偏移量。如果找到，則跳轉(zhuǎn)到 PE header。 PE裝載器檢查 PE header 的有效性。如果有效，就跳轉(zhuǎn)到PE header的尾部。 緊跟 PE header 的是節(jié)表。PE裝載器讀取其中的節(jié)信息，并采用文件映射方法將這些節(jié)映射到內(nèi)存，同時附上節(jié)表里指定的節(jié)屬性。 PE文件映射入內(nèi)存后，PE裝載器將處理PE文件中類似 import table（引入表）邏輯部分。 2021/9/30215.2.2 病毒分析感染PE文件，必須滿足兩個基本條件：是能夠在宿主程序中被調(diào)用，獲得運(yùn)行權(quán)限；主要采用重定位的方法，改PE文件在系統(tǒng)運(yùn)行PE文件時，病毒代碼可以獲取控制

14、權(quán)，在執(zhí)行完感染或破壞代碼后，再將控制權(quán)轉(zhuǎn)移給正常的程序代碼。方法有：可以修改文件頭中代碼開始執(zhí)行位置（AddressOfEntryPoint） 在PE文件中添加一個新節(jié) 病毒進(jìn)行各種操作時需調(diào)用API函數(shù) ，有兩種解決方案。在感染PE文件的時候，可以搜索宿主的引入函數(shù)節(jié)的相關(guān)地址。解析導(dǎo)出函數(shù)節(jié)，尤其是Kernel32.DLL 2021/9/30225.2.2 病毒分析宏病毒 就是使用宏語言編寫的程序，可以在一些數(shù)據(jù)處理系統(tǒng)中運(yùn)行，存在于字處理文檔、數(shù)據(jù)表格、數(shù)據(jù)庫、演示文檔等數(shù)據(jù)文件中 感染過程 改寫Word宏改寫文檔自動執(zhí)行宏，如AutoOpen、FileSave FilePrint等等

15、 2021/9/30235.2.2 病毒分析轉(zhuǎn)換成文檔模板的宏 當(dāng)宏病毒獲得運(yùn)行權(quán)限之后，把所關(guān)聯(lián)的宿主文檔轉(zhuǎn)換成模板格式，然后把所有宏病毒復(fù)制到該模板之中 感染其它Word文檔 當(dāng)其它的Word文件打開時，由于自動調(diào)用該模板因而會自動運(yùn)行宏病毒 WordExcelAutoOpenAuto_Open AutoCloseAuto_CloseAutoExecAutoExitAutoNewAuto_ActivateAuto_Deactivate2021/9/30245.2.2 病毒分析宏病毒具有如下特點(diǎn) 傳播快Word文檔是交流最廣的文件類型。人們大多對外來的文檔文件基本是直接瀏覽使用，這給Word

16、宏病毒傳播帶來很多便利。 制作、變種方便Word使用宏語言WordBasic來編寫宏指令。用戶很方便就可以看到這種宏病毒的全部面目。把宏病毒稍微加以改變，立即就生產(chǎn)出了一種新的宏病毒. 破壞性大2021/9/30255.2.3 傳統(tǒng)計(jì)算機(jī)病毒防御文件型病毒一般采用以下一些方法 安裝最新版本、有實(shí)時監(jiān)控文件系統(tǒng)功能的防病毒軟件。及時更新病毒引擎，最好每周更新一次，并在有病毒突發(fā)事件時立即更新。經(jīng)常使用防毒軟件對系統(tǒng)進(jìn)行病毒檢查。對關(guān)鍵文件，如系統(tǒng)文件、重要數(shù)據(jù)等，在無毒環(huán)境下備份。在不影響系統(tǒng)正常工作的情況下對系統(tǒng)文件設(shè)置最低的訪問權(quán)限。2021/9/30265.2.3 傳統(tǒng)計(jì)算機(jī)病毒防御宏病毒

17、的預(yù)防與清除找到一個無毒的Normal.dot 文件的備份，將位于“MSOffice Template ”文件夾下的通用模板Normal.dot文件替換掉；對于已染病毒的文件，先打開一個無毒W(wǎng)ord文件，按照以下菜單打開對話框：工具-宏-安全性，設(shè)置安全性為高 2021/9/30275.3 腳本病毒 5.3.1 腳本病毒概述腳本病毒依賴一種特殊的腳本語言（如：VBScript、JavaScript等）起作用，同時需要應(yīng)用環(huán)境能夠正確識別和翻譯這種腳本語言中嵌套的命令，腳本病毒可以在多個產(chǎn)品環(huán)境中進(jìn)行。腳本病毒具有如下特征 編寫簡單由于腳本的簡單性，使以前對病毒不了解的人都可以在很短的時間里編出

18、一個新型病毒。病毒源碼容易被獲取、變種多其源代碼可讀性非常強(qiáng) 2021/9/30285.3.1 腳本病毒概述感染力強(qiáng)。采用腳本高級語言可以實(shí)現(xiàn)多種復(fù)雜操作，感染其它文件或直接自動運(yùn)行。破壞力強(qiáng) 腳本病毒可以寄生于HTML或郵件通過網(wǎng)絡(luò)傳播，其傳播速度非?？臁Ｄ_本病毒不但能夠攻擊被感染的主機(jī)，獲取敏感信息，刪除關(guān)鍵文件；更可以攻擊網(wǎng)絡(luò)或者服務(wù)器，造成拒絕服務(wù)攻擊，產(chǎn)生嚴(yán)重破壞。傳播范圍廣這類病毒通過HTML文檔，Email附件或其它方式，可以在很短時間內(nèi)傳遍世界各地。采用多種欺騙手段腳本病毒為了得到運(yùn)行機(jī)會，往往會采用各種讓用戶不大注意的手段， 2021/9/30295.3.2 腳本病毒原理腳本

19、病毒的傳播分析 腳本病毒一般是直接通過自我復(fù)制來感染文件的，病毒中的絕大部分代碼都可以直接附加在其它同類程序中間：腳本病毒通過網(wǎng)絡(luò)傳播的幾種方式通過電子郵件傳播 通過局域網(wǎng)共享傳播感染HTML、ASP、JSP、PHP等網(wǎng)頁通過瀏覽器傳播 通過U盤自動運(yùn)行傳播其它的傳播方式 2021/9/30305.3.2 腳本病毒原理腳本病毒的獲得控制權(quán)的方法分析修改注冊表項(xiàng) 修改自動加載項(xiàng)通過映射文件執(zhí)行方式欺騙用戶，讓用戶自己執(zhí)行desktop.ini和folder.htt互相配合如果用戶的目錄中含有這兩個文件，當(dāng)用戶進(jìn)入該目錄時，就會觸發(fā)folder.htt中的病毒代碼。直接復(fù)制和調(diào)用可執(zhí)行文件2021

20、/9/30315.3.3 腳本病毒防御腳本病毒要求被感染系統(tǒng)具有如下支持能力：VBScript代碼是通過Windows Script Host來解釋執(zhí)行的，wscript.exe就是該功能的相關(guān)支持程序。絕大部分VBS腳本病毒運(yùn)行的時候需要對象FileSystemObject的支持。通過網(wǎng)頁傳播的病毒需要ActiveX的支持通過Email傳播的病毒需要郵件軟件的自動發(fā)送功能支持。2021/9/30325.3.3 腳本病毒防御因此可以采用以下方法防御腳本病毒可以通過打開“我的計(jì)算機(jī)”，依次點(diǎn)擊查看文件夾選項(xiàng)文件類型在文件類型中將后綴名為“VBS、VBE、JS、JSE、WSH、WSF”的所有針對腳

21、本文件的操作均刪除。這樣這些文件就不會被執(zhí)行了。 在IE設(shè)置中將ActiveX插件和控件以及Java相關(guān)的組件全部禁止，可以避免一些惡意代碼的攻擊。方法是：打開IE，點(diǎn)擊“工具”“Internet選項(xiàng)”“安全”“自定義級別”，在“安全設(shè)置”對話框中，將其中所有的ActiveX插件和控件以及與Java相關(guān)的組件全部禁止即可。禁用文件系統(tǒng)對象FileSystemObject， 用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統(tǒng)對象。禁止郵件軟件的自動收發(fā)郵件功能Windows默認(rèn)的是“隱藏已知文件類型的擴(kuò)展名稱”，將其修改為顯示所有文件類型的擴(kuò)展名稱。選擇一款好的防病毒軟件并

22、做好及時升級。2021/9/30335.4網(wǎng)絡(luò)蠕蟲 5.4.1 網(wǎng)絡(luò)蠕蟲概述網(wǎng)絡(luò)蠕蟲是一種智能化、自動化并綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計(jì)算機(jī)病毒技術(shù)，不要計(jì)算機(jī)使用者干預(yù)即可運(yùn)行的攻擊程序或代碼。它會掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點(diǎn)主機(jī)，通過網(wǎng)絡(luò)從一個節(jié)點(diǎn)傳播到另外一個節(jié)點(diǎn)。 2021/9/30345.4.1 網(wǎng)絡(luò)蠕蟲概述網(wǎng)絡(luò)蠕蟲具有以下特征(2-1)主動攻擊從搜索漏洞，到利用搜索結(jié)果攻擊系統(tǒng)，到攻擊成功后復(fù)制副本，整個流程全由蠕蟲自身主動完成。利用軟件漏洞蠕蟲利用系統(tǒng)的漏洞獲得被攻擊的計(jì)算機(jī)系統(tǒng)的相應(yīng)權(quán)限，使之進(jìn)行復(fù)制和傳播過程成為可能。造成網(wǎng)絡(luò)擁塞在傳播的過程中，蠕蟲需要判斷其它計(jì)算機(jī)是否存活

23、；判斷特定應(yīng)用服務(wù)是否存在；判斷漏洞是否存在等等，這將產(chǎn)生大量的網(wǎng)絡(luò)數(shù)據(jù)流量。同時出于攻擊網(wǎng)絡(luò)的需要，蠕蟲也可以產(chǎn)生大量惡意流量，當(dāng)大量的機(jī)器感染蠕蟲時，就會產(chǎn)生巨大的網(wǎng)絡(luò)流量，導(dǎo)致整個網(wǎng)絡(luò)癱瘓。消耗系統(tǒng)資源蠕蟲入侵到計(jì)算機(jī)系統(tǒng)之后，一方面由于要搜索目標(biāo)主機(jī)、漏洞、感染其它主機(jī)需要消耗一定的資源；另一方面，許多蠕蟲會惡意耗費(fèi)系統(tǒng)的資源。2021/9/30355.4.1 網(wǎng)絡(luò)蠕蟲概述留下安全隱患大部分蠕蟲會搜集、擴(kuò)散、暴露系統(tǒng)敏感信息（如用戶信息等），并在系統(tǒng)中留下后門。行蹤隱蔽蠕蟲的傳播過程中，不需要用戶的輔助工作，其傳播的過程中用戶基本上不可察覺。反復(fù)性即使清除了蠕蟲留下的任何痕跡，如果沒有

24、修補(bǔ)計(jì)算機(jī)系統(tǒng)漏洞，網(wǎng)絡(luò)中的計(jì)算機(jī)還是會被重新感染。破壞性越來越多的蠕蟲開始包含惡意代碼，破壞被攻擊的計(jì)算機(jī)系統(tǒng)，而且造成的經(jīng)濟(jì)損失數(shù)目越來越大。2021/9/3036 蠕蟲造成的損失對照表 病毒名稱持續(xù)時間造成損失莫里斯蠕蟲(MORRIS)1988年6000多臺計(jì)算機(jī)感染，占但是互聯(lián)網(wǎng)的10%，直接經(jīng)濟(jì)損失達(dá)一千多萬美元愛蟲病毒(ILOVEYOU)2000年5月至今眾多用戶計(jì)算機(jī)被感染，損失超過100億美元紅色代碼(Code Red)2001年7月100多萬臺計(jì)算機(jī)感染，直接經(jīng)濟(jì)損失超過26億美元求職信2001年12月大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元SQL蠕蟲王2003年1月網(wǎng)絡(luò)大面

25、積癱瘓，銀行自動提款機(jī)運(yùn)做中斷，直接經(jīng)濟(jì)損失超過26億美元沖擊波(Blaster)2003年20億100億美元，受到感染的計(jì)算機(jī)不計(jì)其數(shù)霸王蟲(Sobig.F)2003年50億100億美元，超過100萬臺計(jì)算機(jī)被感染震蕩波(Sasser)2004年8月?lián)p失估計(jì)：數(shù)千萬美元2021/9/30375.4.2 網(wǎng)絡(luò)蠕蟲工作機(jī)制 網(wǎng)絡(luò)蠕蟲的工作機(jī)制分為3個階段：信息收集、攻擊滲透、現(xiàn)場處理信息收集按照一定的策略搜索網(wǎng)絡(luò)中存活的主機(jī)，收集目標(biāo)主機(jī)的信息，并遠(yuǎn)程進(jìn)行漏洞的分析。如果目標(biāo)主機(jī)上有可以利用的漏洞則確定為一個可以攻擊的主機(jī)，否則放棄攻擊。攻擊滲透通過收集的漏洞信息嘗試攻擊，一旦攻擊成功，則獲得控

26、制該主機(jī)的權(quán)限，將蠕蟲代碼滲透到被攻擊主機(jī)?，F(xiàn)場處理當(dāng)攻擊成功后，開始對被攻擊的主機(jī)進(jìn)行一些處理工作，將攻擊代碼隱藏，為了能使被攻擊主機(jī)運(yùn)行蠕蟲代碼，還要通過注冊表將蠕蟲程序設(shè)為自啟動狀態(tài)；可以完成它想完成的任何動作，如惡意占用CPU資源；收集被攻擊主機(jī)的敏感信息，可以危害被感染的主機(jī)，刪除關(guān)鍵文件。 2021/9/30385.4.3 網(wǎng)絡(luò)蠕蟲掃描策略(2-1)網(wǎng)絡(luò)蠕蟲掃描越是能夠盡快地發(fā)現(xiàn)被感染主機(jī)，那么網(wǎng)絡(luò)蠕蟲的傳播速度就越快。 隨機(jī)掃描隨機(jī)選取某一段IP地址，然后對這一地址段上的主機(jī)掃描。由于不知道哪些主機(jī)已經(jīng)感染蠕蟲，很多掃描是無用的。這一方法的蠕蟲傳播速度較慢。但是隨著蠕蟲的擴(kuò)散，網(wǎng)

27、絡(luò)上存在大量的蠕蟲時，蠕蟲造成的網(wǎng)絡(luò)流量就變得非常巨大。 選擇掃描選擇性隨機(jī)掃描將最有可能存在漏洞主機(jī)的地址集作為掃描的地址空間。所選的目標(biāo)地址按照一定的算法隨機(jī)生成。選擇性隨機(jī)掃描算法簡單，容易實(shí)現(xiàn)，若與本地優(yōu)先原則結(jié)合則能達(dá)到更好的傳播效果。紅色代碼和“Slammer”的傳播采用了選擇性隨機(jī)掃描策略。2021/9/30395.4.3 網(wǎng)絡(luò)蠕蟲掃描策略(2-2)順序掃描順序掃描是被感染主機(jī)上蠕蟲會隨機(jī)選擇一個C類網(wǎng)絡(luò)地址進(jìn)行傳播，根據(jù)本地優(yōu)先原則，網(wǎng)絡(luò)地址段順序遞增?；谀繕?biāo)列表的掃描 基于目標(biāo)列表掃描是指網(wǎng)絡(luò)蠕蟲根據(jù)預(yù)先生成易感染的目標(biāo)列表，搜尋感染目標(biāo)，?；贒NS掃描 從DNS服務(wù)器獲

28、取IP地址來建立目標(biāo)地址庫，優(yōu)點(diǎn)在于獲得的IP地址塊針對性強(qiáng)和可用性高。關(guān)鍵問題是如何從DNS服務(wù)器得到網(wǎng)絡(luò)主機(jī)地址，以及DNS服務(wù)器是否存在足夠的網(wǎng)絡(luò)主機(jī)地址。2021/9/30405.4網(wǎng)絡(luò)蠕蟲掃描策略設(shè)計(jì)的原則有三點(diǎn) 盡量減少重復(fù)的掃描，使掃描發(fā)送的數(shù)據(jù)包盡量是沒有被感染蠕蟲的機(jī)器；保證掃描覆蓋到盡量大的可用地址段，包括盡量大的范圍，掃描的地址段為互聯(lián)網(wǎng)上的有效地址段；處理好掃描的時間分布，使得掃描不要集中在某一時間內(nèi)發(fā)生。2021/9/30415.4.4 網(wǎng)絡(luò)蠕蟲傳播模型分為3個階段 慢速發(fā)展階段，漏洞被蠕蟲設(shè)計(jì)者發(fā)現(xiàn)，并利用漏洞設(shè)計(jì)蠕蟲發(fā)布于互聯(lián)網(wǎng)，大部分用戶還沒有通過服務(wù)器下載補(bǔ)丁

29、，網(wǎng)絡(luò)蠕蟲只是感染了少量的網(wǎng)絡(luò)中的主機(jī)?？焖侔l(fā)展階段，如果每個感染蠕蟲的可以掃描并感染的主機(jī)數(shù)為W，n為感染的次數(shù)，那么感染主機(jī)數(shù)擴(kuò)展速度為Wn，感染蠕蟲的機(jī)器成指數(shù)冪急劇增長。緩慢消失階段，隨著網(wǎng)絡(luò)蠕蟲的爆發(fā)和流行，人們通過分析蠕蟲的傳播機(jī)制，采取一定措施及時更新補(bǔ)丁包，并采取措刪除本機(jī)存在的蠕蟲，感染蠕蟲數(shù)量開始緩慢減少。 2021/9/30425.4.5 網(wǎng)絡(luò)蠕蟲防御和清除 給系統(tǒng)漏洞打補(bǔ)丁蠕蟲病毒大多數(shù)都是利用系統(tǒng)漏洞進(jìn)行傳播的，因此在清除蠕蟲病毒之前必須將蠕蟲病毒利用的相關(guān)漏洞進(jìn)行修補(bǔ)。清除正在運(yùn)行的蠕蟲進(jìn)程每個進(jìn)入內(nèi)存的蠕蟲一般會以進(jìn)程的形式存在，只要清除了該進(jìn)程，就可以使蠕蟲失效

30、。刪除蠕蟲病毒的自啟動項(xiàng)感染蠕蟲主機(jī)用戶一般不可能啟動蠕蟲病毒，蠕蟲病毒需要就自己啟動。需要在這些自啟動項(xiàng)中清除蠕蟲病毒的設(shè)置。刪除蠕蟲文件可以通過蠕蟲在注冊表的鍵值可以知道病毒的躲藏位置，對于那些正在運(yùn)行或被調(diào)用的文件無法直接刪除，可以借助于相關(guān)工具刪除。利用自動防護(hù)工具，如個人防火墻軟件通過個人防火墻軟件可以設(shè)置禁止不必要的服務(wù)。另外也可以設(shè)置監(jiān)控自己主機(jī)有那些惡意的流量。2021/9/30435.5木馬技術(shù) 5.5.1 木馬技術(shù)概述指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和DoS攻擊等特殊功能的后門程序。它與控制主機(jī)之間建立起連接，使得控制

31、者能夠通過網(wǎng)絡(luò)控制受害系統(tǒng)，最大的特征在于隱秘性，偷偷混入對方的主機(jī)里面，但是卻沒有被對方發(fā)現(xiàn)。這與戰(zhàn)爭中的木馬戰(zhàn)術(shù)十分相似，因而得名木馬程序。 2021/9/30445.5.1 木馬技術(shù)概述木馬的發(fā)展歷程 第一代木馬出現(xiàn)在網(wǎng)絡(luò)發(fā)展的早期，是以竊取網(wǎng)絡(luò)密碼為主要任務(wù)，這種木馬通過偽裝成一個合法的程序誘騙用戶上當(dāng)。第一代木馬還不具有傳染性，在隱藏和通信方面也均無特別之處。第二代木馬在技術(shù)上有了很大的進(jìn)步，它使用標(biāo)準(zhǔn)的C/S架構(gòu)，提供遠(yuǎn)程文件管理、屏幕監(jiān)視等功能，在隱藏、自啟動和操縱服務(wù)器等技術(shù)上也有很大的發(fā)展。由于植入木馬的服務(wù)端程序會打開連接端口等候客戶端連接，比較容易被用戶發(fā)現(xiàn)。冰河、BO2

32、000等都是典型的第二代木馬。第三代木馬改變主要在網(wǎng)絡(luò)連接方式上，特征是不打開連接端口進(jìn)行偵聽，而是使用ICMP通信協(xié)議進(jìn)行通信或使用TCP端口反彈技術(shù)讓服務(wù)器端主動連接客戶端，以突破防火墻的攔截。增加了查殺難度，如網(wǎng)絡(luò)神偷(Netthief)、灰鴿子木馬等。2021/9/30455.5.1 木馬技術(shù)概述第四代木馬在進(jìn)程隱藏方面做了較大改動，讓木馬服務(wù)器運(yùn)行時沒有進(jìn)程。如rootkit技術(shù)，嵌入木馬通過替換系統(tǒng)程序、DLL、甚至是驅(qū)動程序，替換之后還能夠提供原來程序正常的服務(wù)從而實(shí)現(xiàn)木馬的隱藏。木馬不是單獨(dú)的進(jìn)程或者以注冊服務(wù)的形式出現(xiàn)，無法通過“任務(wù)管理器”查看到正在運(yùn)行的木馬。需要專門的工

33、具才能發(fā)現(xiàn)以及專業(yè)的木馬查殺工具才能清除。第五代木馬實(shí)現(xiàn)了與病毒緊密結(jié)合，利用操作系統(tǒng)漏洞，直接實(shí)現(xiàn)感染傳播的目的，而不必象以前的木馬那樣需要欺騙用戶主動激活。2021/9/30465.5.1 木馬技術(shù)概述木馬特征 隱蔽性隱蔽性是木馬的首要特征。木馬類軟件的SERVER端程序在被控主機(jī)系統(tǒng)上運(yùn)行時，會使用各種方法來隱藏自己。自動運(yùn)行性木馬程序通過修改系統(tǒng)配置文件，在目標(biāo)主機(jī)系統(tǒng)啟動時自動運(yùn)行或加載。欺騙性木馬程序要達(dá)到其長期隱蔽的目的，就必需借助系統(tǒng)中已有的文件，以防用戶發(fā)現(xiàn)。自動恢復(fù)性很多的木馬程序中的功能模塊已不再是由單一的文件組成，而是具有多重備份，可以相互恢復(fù)。系統(tǒng)一旦被植入木馬，只刪

34、除某一個木馬文件來進(jìn)行清除是無法清除干凈的。破壞或信息收集木馬通常具有搜索Cache中的口令、設(shè)置口令、掃描目標(biāo)機(jī)器的IP地址、進(jìn)行鍵盤記錄、遠(yuǎn)程注冊表的操作、以及鎖定鼠標(biāo)等功能。 2021/9/30475.5.2 木馬的實(shí)現(xiàn)原理與攻擊技術(shù)在了解木馬攻擊技術(shù)之前，需要先了解木馬欺騙技術(shù)，木馬欺騙技術(shù)是木馬欺騙用戶安裝、欺騙用戶運(yùn)行以及隱藏自己的關(guān)鍵技術(shù)。木馬欺騙技術(shù)主要有 ：偽裝成其它類型的文件 ，可執(zhí)行文件需要偽裝其它文件。如偽裝成圖片文件 合并程序欺騙合并程序是可以將兩個或兩個以上的可執(zhí)行文件(exe文件) 結(jié)合為一個文件，以后只需執(zhí)行這個合并文件，兩個可執(zhí)行文件就會同時執(zhí)行。 2021/

35、9/30485.5.2 木馬的實(shí)現(xiàn)原理與攻擊技術(shù)插入其它文件內(nèi)部利用運(yùn)行flash文件和影視文件具有可以執(zhí)行腳本文件的特性，一般使用“插馬”工具將腳本文件插入到swf、rm等類型的flash文件和影視文件中 偽裝成應(yīng)用程序擴(kuò)展組件黑客們通常將木馬程序?qū)懗蔀槿魏晤愋偷奈募缓髵煸谝粋€常用的軟件中 。利用WinRar制作成自釋放文件，把木馬程序和其它常用程序利用WinRar捆綁在一起，將其制作成自釋放文件。 在Word文檔中加入木馬文件，在Word文檔末尾加入木馬文件，只要別人點(diǎn)擊這個所謂的Word文件就會中木馬。 2021/9/30495.5.2 木馬的實(shí)現(xiàn)原理與攻擊技術(shù)一個木馬程序要通過網(wǎng)絡(luò)入

36、侵并控制被植入的計(jì)算機(jī)，需要采用以下四個環(huán)節(jié) ：首先是向目標(biāo)主機(jī)植入木馬，通過網(wǎng)絡(luò)將木馬程序植入到被控制的計(jì)算機(jī)；啟動和隱藏木馬，木馬程序一般是一個單獨(dú)文件需要一些系統(tǒng)設(shè)置來讓計(jì)算機(jī)自動啟動木馬程序，為了防止被植入者發(fā)現(xiàn)和刪除運(yùn)行的木馬程序，就需要將運(yùn)行的木馬程隱藏起來。植入者控制被植入木馬的主機(jī)，需要通過網(wǎng)絡(luò)通信，需要采取一定的隱藏技術(shù)，使通信過程不能夠使被植入者通過防火墻等發(fā)現(xiàn)。就是植入者通過客戶端遠(yuǎn)程控制達(dá)到其攻擊的目的，可以收集被植入者的敏感信息，可以監(jiān)視被植入者的計(jì)算機(jī)運(yùn)行和動作，甚至可以用來攻擊網(wǎng)絡(luò)中的其它系統(tǒng)。2021/9/30505.5.2 木馬的實(shí)現(xiàn)原理與攻擊技術(shù)植入技術(shù)，木

37、馬植入技術(shù)可以大概分為主動植入與被動植入兩類。主動植入：就是攻擊者利用網(wǎng)絡(luò)攻擊技術(shù)通過網(wǎng)絡(luò)將木馬程序植入到遠(yuǎn)程目標(biāo)主機(jī)，這個行為過程完全由攻擊者主動掌握。被動植入：是指攻擊者預(yù)先設(shè)置某種環(huán)境，然后被動等待目標(biāo)系統(tǒng)用戶的某種可能的操作，只有這種操作執(zhí)行，木馬程序才有可能植入目標(biāo)系統(tǒng)。2021/9/30515.5.2 木馬的實(shí)現(xiàn)原理與攻擊技術(shù)主動植入技術(shù)主要包括 ： 利用系統(tǒng)自身漏洞植入攻擊者利用所了解的系統(tǒng)的安全漏洞及其特性主動出擊。利用第三方軟件漏洞植入。 利用即時通信軟件發(fā)送偽裝的木馬文件植入 利用電子郵件發(fā)送植入木馬 2021/9/30525.5.2 木馬的實(shí)現(xiàn)原理與攻擊技術(shù)被動植入 包括

38、：軟件下載一些非正規(guī)的網(wǎng)站以提供軟件下載為名義，將木馬捆綁在軟件安裝程序上，下載后只要一運(yùn)行這些程序，木馬就會自動安裝。利用共享文件學(xué)?；騿挝坏木钟蚓W(wǎng)里為了學(xué)習(xí)和工作方便，會將許多硬盤或文件夾共享出來，甚至不加密碼，具有可寫權(quán)限。利用Autorun文件傳播這一方法主要是利用Autorun文件自動運(yùn)行的特性，通過U盤植入。網(wǎng)頁瀏覽傳播這種方法利用Script/ActiveX控件、JavaApplet等技術(shù)編寫出一個HTML網(wǎng)頁，當(dāng)瀏覽該頁面時，會在后臺將木馬程序下載到計(jì)算機(jī)緩存中，然后修改系統(tǒng)注冊表，使相關(guān)鍵值指向“木馬”程序。2021/9/30535.5.2 木馬的實(shí)現(xiàn)原理與攻擊技術(shù)木馬的自動

39、加載技術(shù) 針對Windows系統(tǒng)，木馬程序的自動加載運(yùn)行主要有以下一些方法：修改系統(tǒng)文件。修改目標(biāo)的系統(tǒng)文件以達(dá)到自動加載的目的。修改系統(tǒng)注冊表修改文件打開關(guān)聯(lián) 修改任務(wù)計(jì)劃修改組策略 替換系統(tǒng)自動運(yùn)行的文件 替換系統(tǒng)DLL 作為服務(wù)啟動 利用AppInit_DLLs 注入2021/9/30545.5.2 木馬的實(shí)現(xiàn)原理與攻擊技術(shù)木馬隱藏技術(shù) 主要分為兩類：主機(jī)隱藏和通信隱藏。主機(jī)隱藏主要指在主機(jī)系統(tǒng)上表現(xiàn)為正常的進(jìn)程。主機(jī)隱藏方式很多，主要有文件隱藏、進(jìn)程隱藏等。文件隱藏主要有兩種方式采用欺騙的方式偽裝成其它文件偽裝成系統(tǒng)文件， 2021/9/30555.5.2 木馬的實(shí)現(xiàn)原理與攻擊技術(shù)進(jìn)程

40、隱藏 動態(tài)鏈接庫注入技術(shù)，將“木馬”程序做成一個動態(tài)鏈接庫文件，并將調(diào)用動態(tài)鏈接庫函數(shù)的語句插入到目標(biāo)進(jìn)程，這個函數(shù)類似于普通程序中的入口程序。Hooking API技術(shù)。通過修改API函數(shù)的入口地址的方法來欺騙試圖列舉本地所有進(jìn)程的程序 2021/9/30565.5.2 木馬的實(shí)現(xiàn)原理與攻擊技術(shù)通信隱藏主要包括通信端口隱藏、內(nèi)容隱藏采用以下技術(shù)： 復(fù)用正常服務(wù)端口。直接綁定到正常用戶進(jìn)程的端口，接受數(shù)據(jù)后，根據(jù)包格式判斷是不是自己的，如果是自己處理，如果不是通過的地址交給真正的服務(wù)器應(yīng)用進(jìn)行處理，以利用正常的網(wǎng)絡(luò)連接隱藏木馬的通信狀態(tài)。 采用其它不需要端口的協(xié)議進(jìn)行通信。如ICMP協(xié)議，主要

41、缺點(diǎn)是防火墻可能把所有ICMP協(xié)議的信息過濾掉。利用“反彈端口”技術(shù)。木馬程序啟動后主動連接客戶，為了隱蔽起見，控制端的被動端口一般開在80。利用SPI防火墻技術(shù)隱藏。采用嗅探技術(shù) 2021/9/30575.5.2 木馬的實(shí)現(xiàn)原理與攻擊技術(shù)遠(yuǎn)程控制端口掃描。采用端口掃描技術(shù)獲得那些安裝了木馬主機(jī)的IP地址。一旦發(fā)現(xiàn)中了木馬的主機(jī)則添加到客戶端控制程序的木馬主機(jī)列表。郵件發(fā)送。一些木馬具有郵件發(fā)送功能，在設(shè)置木馬程序時，填入免費(fèi)郵箱，一旦木馬程序啟動，就會將其植入主機(jī)的IP地址發(fā)送給植入者的郵箱。植入者根據(jù)IP地址和對應(yīng)的端口與木馬建立連接通道。如網(wǎng)絡(luò)公牛等。UDP通知。植入者將自己的IP地址寫

42、到主頁空間的指定文件里，被植入的木馬讀取文件的內(nèi)容，得到客戶端的IP地址以及其它信息（主機(jī)名、IP地址、上線時間等等），然后木馬用UDP協(xié)議發(fā)送給植入者，如網(wǎng)絡(luò)神偷就是采用了該項(xiàng)技術(shù)。利用QQ、MSN等通信軟件2021/9/30585.5.2 木馬的實(shí)現(xiàn)原理與攻擊技術(shù)木馬危害 竊取密碼 遠(yuǎn)程訪問控制DoS攻擊代理攻擊程序殺手2021/9/30595.5.4 木馬的防御根據(jù)木馬工作原理，木馬檢測一般有以下一些方法 ：掃描端口大部分的木馬服務(wù)器端會在系統(tǒng)中監(jiān)聽某個端口，因此，通過查看系統(tǒng)上開啟了那些端口能有效地發(fā)現(xiàn)遠(yuǎn)程控制木馬的蹤跡。 檢查系統(tǒng)進(jìn)程 很多木馬在運(yùn)行期間都會在系統(tǒng)中生成進(jìn)程。因此，檢

43、查進(jìn)程是一種非常有效的發(fā)現(xiàn)木馬蹤跡方法。檢查ini文件、注冊表和服務(wù)等自啟動項(xiàng) 監(jiān)視網(wǎng)絡(luò)通訊，木馬的通信監(jiān)控可以通過防火墻來監(jiān)控2021/9/30605.5.5 幾款免費(fèi)的木馬專殺工具幾款免費(fèi)木馬專殺工具如：Windows清理助手、惡意軟件清理助手、Atool、冰刃 冰刃(Icesword)是專業(yè)查殺木馬工具中較好的工具之一 ，殺木馬特點(diǎn)： 刪除文件，許多木馬文件為了防止刪除，具有寫保護(hù)功能，無法直接刪除。冰刃提供了可以完全刪除任何文件的功能。 刪除注冊表項(xiàng)。木馬可以隱藏注冊表項(xiàng)讓W(xué)indows自帶的注冊表工具rgedit無法顯示或刪除，而冰刃程序可以容易做到刪除任意的注冊表項(xiàng)和顯示所有的注冊

44、表項(xiàng)。2021/9/30615.5.5 幾款免費(fèi)的木馬專殺工具終止任意的進(jìn)程。冰刃程序可以刪除除idle進(jìn)程、System進(jìn)程、csrss進(jìn)程以外的所有進(jìn)程查看進(jìn)程通信情況。 查看消息鉤子。 線程創(chuàng)建和線程終止監(jiān)視。 查看SPI和BHO。 其它功能。如自啟動項(xiàng)管理、服務(wù)查看等功能。2021/9/30625.6網(wǎng)絡(luò)釣魚 5.6.1 網(wǎng)絡(luò)釣魚技術(shù) 網(wǎng)絡(luò)釣魚是通過發(fā)送聲稱來自于銀行或其它知名機(jī)構(gòu)的欺騙性垃圾郵件，或者偽裝成其Web站點(diǎn)，意圖引誘收信人或網(wǎng)站瀏覽者給出敏感信息（如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細(xì)信息）的一種攻擊方式。網(wǎng)絡(luò)釣魚的攻擊方法主要有以下幾種 建立假冒

45、網(wǎng)上銀行、網(wǎng)上證券的網(wǎng)站，騙取用戶帳號密碼實(shí)施盜竊。犯罪分子建立起域名和網(wǎng)頁內(nèi)容都與真正網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券交易平臺極為相似的網(wǎng)站，引誘用戶輸入賬號密碼等信息，進(jìn)而通過真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)或者偽造銀行儲蓄卡、證券交易卡盜竊資金 2021/9/30635.6.1 網(wǎng)絡(luò)釣魚技術(shù)發(fā)送電子郵件，以虛假信息引誘用戶中圈套 攻擊者以垃圾郵件的形式大量發(fā)送欺詐性郵件，這些郵件多以中獎、顧問、對帳等內(nèi)容引誘用戶在郵件中填入金融賬號和密碼，或是以各種緊迫的理由要求收件人登錄某網(wǎng)頁提交用戶名、密碼、身份證號、信用卡號等信息，繼而盜竊用戶資金 利用虛假的電子商務(wù)進(jìn)行詐騙 此類犯罪活動往往是建立電子商務(wù)網(wǎng)站

46、，或是在比較知名、大型的電子商務(wù)網(wǎng)站上發(fā)布虛假的商品銷售信息，犯罪分子在收到受害人的購物匯款后就銷聲匿跡 2021/9/30645.6.1 網(wǎng)絡(luò)釣魚技術(shù)利用QQ、MSN甚至手機(jī)短信等即時通信方式欺騙用戶 冒充軟件運(yùn)營商告訴某用戶中獎或者免費(fèi)獲得游戲幣等方式，這一方法的主要欺騙目的是獲取游戲幣，或者通過移動服務(wù)上收取信息費(fèi)。利用木馬和黑客技術(shù)等手段竊取用戶信息后實(shí)施盜竊活動 木馬制作者通過發(fā)送郵件或在網(wǎng)站中隱藏木馬等方式大肆傳播木馬程序，當(dāng)感染木馬的用戶進(jìn)行網(wǎng)上交易時，木馬程序即以鍵盤記錄的方式獲取用戶賬號和密碼，并發(fā)送給指定郵箱，用戶資金將受到嚴(yán)重威脅。2021/9/30655.6.2 網(wǎng)絡(luò)釣

47、魚的防御對于用戶端，可以采用以下措施 盡量不通過鏈接打開網(wǎng)頁，而是直接輸入域名訪問網(wǎng)絡(luò)。 對于需要輸入帳號和密碼的網(wǎng)站再三確認(rèn).給網(wǎng)絡(luò)瀏覽器程序安裝補(bǔ)丁，使其補(bǔ)丁保持在最新狀態(tài).利用已有的防病毒軟件，實(shí)時防御釣魚網(wǎng)站。 2021/9/30665.7僵尸網(wǎng)絡(luò) 5.7.1 概述僵尸網(wǎng)絡(luò)是攻擊者通過網(wǎng)絡(luò)傳播僵尸程序，利用一對多的命令與控制信道控制大量主機(jī)，攻擊其它網(wǎng)絡(luò)或主機(jī)，從而得到自己惡意目的的網(wǎng)絡(luò)。 2021/9/30675.7.1 概述 一個僵尸網(wǎng)絡(luò)由以下部分組成 僵尸（Bot）：置于被控制主機(jī)，能夠按照預(yù)定義的指令執(zhí)行操作，具有一定智能的程序。僵尸計(jì)算機(jī)(Zombie)：是指被植入僵尸的計(jì)算

48、機(jī)。僵尸網(wǎng)絡(luò)控制服務(wù)器可以將僵尸主機(jī)連接的IRC服務(wù)器，控制者通過該服務(wù)器向僵尸主機(jī)發(fā)送命令進(jìn)行控制。2021/9/30685.7.1 概述僵尸網(wǎng)絡(luò)主要有以下危害 分布式拒絕服務(wù)攻擊(DDoS)。 發(fā)送垃圾郵件 竊取秘密。 取得非法利益資源 作為攻擊跳板 2021/9/30695.7.2 僵尸網(wǎng)絡(luò)的工作原理分析僵尸網(wǎng)絡(luò)一般采用以下幾種手段感染受害主機(jī) 主動攻擊漏洞是通過攻擊系統(tǒng)所存在的漏洞獲得訪問權(quán)，并將僵尸程序植入受害主機(jī)，從而感染成為僵尸主機(jī)。郵件病毒通常在郵件附件中攜帶僵尸程序或者在郵件內(nèi)容中包含下載執(zhí)行僵尸程序的鏈接，使得接收者主機(jī)被感染成為僵尸主機(jī)。即時通信軟件攻擊者攻陷即時通信的用戶，并利用好友列表發(fā)送執(zhí)行僵尸程序的鏈接，從而進(jìn)行感染。惡意網(wǎng)站腳本在提