網(wǎng)絡(luò)安全計(jì)算機(jī)病毒

網(wǎng)絡(luò)安全計(jì)算機(jī)病毒網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第1頁網(wǎng)絡(luò)安全組成物理安全性設(shè)備物理安全：防火、防盜、防破壞等通信網(wǎng)絡(luò)安全性預(yù)防入侵和信息泄露系統(tǒng)安全性計(jì)算機(jī)系統(tǒng)不被入侵和破壞用戶訪問安全性經(jīng)過身份判別和訪問控制，阻止資源被非法用戶訪問數(shù)據(jù)安全性數(shù)據(jù)完整、可用數(shù)據(jù)保密性信息加密存放和傳輸網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第2頁安全分層結(jié)構(gòu)和主要技術(shù)物理安全層網(wǎng)絡(luò)安全層系統(tǒng)安全層用戶安全層應(yīng)用安全層數(shù)據(jù)安全層加密訪問控制授權(quán)用戶/組管理單機(jī)登錄身份認(rèn)證反病毒風(fēng)險評定入侵檢測審計(jì)分析安全通信協(xié)議VPN防火墻存放備份網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第3頁計(jì)算機(jī)病毒概述網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第4頁計(jì)算機(jī)病毒概念計(jì)算機(jī)病毒是一個特殊“計(jì)算機(jī)程序”，它不但能破壞計(jì)算機(jī)系統(tǒng)，而且還能夠傳輸、感染到其它系統(tǒng)。它通常隱藏在其它看起來無害程序中，能生成本身復(fù)制品并將其插入其它程序中，執(zhí)行惡意操作《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第28條明確指出：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入破壞計(jì)算機(jī)功效或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制一組計(jì)算機(jī)指令或者程序代碼?！卑殡SInternet技術(shù)發(fā)展，計(jì)算機(jī)病毒含義也在逐步發(fā)生著改變。與計(jì)算機(jī)病毒特征和危害有類似之處“特洛伊木馬”和“蠕蟲”，從廣義角度而言也可歸為計(jì)算機(jī)病毒之列網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第5頁計(jì)算機(jī)病毒發(fā)展過程-1磁芯大戰(zhàn)20世紀(jì)60年代初，美國貝爾試驗(yàn)室三個年輕程序員編寫一個游戲，游戲中一方經(jīng)過復(fù)制本身來擺脫對方控制，這就是所謂“計(jì)算機(jī)病毒第一個雛形”。巴基斯坦智囊20世紀(jì)80年代后期，巴基斯坦兩個以編軟件為生弟兄,為了打擊那些盜版軟件使用者而設(shè)計(jì)，該病毒只傳染軟盤引導(dǎo)區(qū)。這就是最早在世界上流行第一個真正病毒。20世紀(jì)90年代以前病毒弱點(diǎn)被感染文件大小顯著增加病毒代碼主體沒有加密。訪問文件日期得到更新。很輕易被debug工具跟蹤網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第6頁計(jì)算機(jī)病毒發(fā)展過程-2能對本身進(jìn)行簡單加密病毒1741病毒：用DIR列目錄表時候，這個病毒就會掩蓋被感染文件后增加字節(jié)數(shù)，使人看起來文件大小沒有什么改變DIR2病毒：1992年出現(xiàn)，整個程序大小只有263個字節(jié)宏病毒漂亮莎,臺灣一號等病毒生產(chǎn)機(jī)1996年下六個月在國內(nèi)終于發(fā)覺了“G2、IVP、VCL”三種“病毒生產(chǎn)機(jī)軟件”網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第7頁計(jì)算機(jī)病毒發(fā)展過程-3Internet廣泛應(yīng)用，激發(fā)了病毒活力CIH惡性病毒1998年2月，由臺灣省學(xué)生陳盈豪編寫，并定于每年4月26日發(fā)作破壞。破壞主板BIOS經(jīng)過網(wǎng)絡(luò)（軟件下載）傳輸全球有超出6000萬臺機(jī)器被感染第一個能夠破壞計(jì)算機(jī)硬件病毒全球直接經(jīng)濟(jì)損失超出10億美元“漂亮莎”病毒1999年2月，席卷了整個歐美大陸世界上最大一次病毒浩劫，也是最大一次網(wǎng)絡(luò)蠕蟲大泛濫在16小時內(nèi)席卷全球互聯(lián)網(wǎng)最少造成10億美元損失！經(jīng)過email傳輸傳輸規(guī)模（50n次方，n為傳輸次數(shù)）網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第8頁計(jì)算機(jī)病毒發(fā)展過程-4“愛蟲”網(wǎng)絡(luò)蠕蟲病毒5月出現(xiàn)，vbs腳本病毒微軟、Intel等在內(nèi)大型企業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓全球經(jīng)濟(jì)損失達(dá)幾十億美元特點(diǎn)經(jīng)過電子郵件傳輸，向地址本中全部用戶發(fā)帶毒郵件經(jīng)過聊天通道IRC、VBS、網(wǎng)頁傳輸能刪除計(jì)算機(jī)內(nèi)部分文件制造大量新電子郵件，使用戶文件泄密、網(wǎng)絡(luò)負(fù)荷劇增。一年后出現(xiàn)愛蟲變種VBS／LoveLetter．CM它還會在Windows目錄下駐留一個染有CIH病毒文件，并將其激活。網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第9頁計(jì)算機(jī)病毒發(fā)展過程-5更多網(wǎng)絡(luò)蠕蟲紅色代碼，藍(lán)色代碼、求職者病毒、尼姆達(dá)（Nimda）、FUN_LOVE，新歡樂時光等等紅色代碼被攻擊電腦數(shù)量到達(dá)35.9萬臺。被攻擊電腦中44%位于美國，11%在韓國，5%在中國特點(diǎn)經(jīng)過微軟企業(yè)IIS系統(tǒng)漏洞進(jìn)行感染，病毒駐留后再次經(jīng)過此漏洞感染其它服務(wù)器只存在于內(nèi)存，傳染時借助服務(wù)器網(wǎng)絡(luò)連接攻擊其它服務(wù)器，直接從一臺電腦內(nèi)存?zhèn)鞯搅硪慌_電腦內(nèi)存主要是涂改網(wǎng)頁，對網(wǎng)絡(luò)上其它服務(wù)器進(jìn)行攻擊，被攻擊服務(wù)器又能夠繼續(xù)攻擊其它服務(wù)器。在每個月20-27日，向美國白宮網(wǎng)站發(fā)動攻擊將WWW英文站點(diǎn)改寫為“Hello!Welcometowww.W!HackedbyChinese!”。網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第10頁計(jì)算機(jī)病毒發(fā)展過程-6紅色代碼II

特點(diǎn)含有紅色代碼特點(diǎn)能夠攻擊任何語言系統(tǒng)在遭到攻擊機(jī)器上植入“特洛伊木馬”，擁有極強(qiáng)可擴(kuò)充性未感染則注冊Atom并創(chuàng)建300個病毒線程當(dāng)判斷到系統(tǒng)默認(rèn)語言ID是中華人民共和國或中國臺灣時，線程數(shù)猛增到600個IP隨機(jī)數(shù)發(fā)生器產(chǎn)生用于病毒感染目標(biāo)電腦IP地址。(40萬/天）當(dāng)病毒在判斷日期大于10月時，會立刻強(qiáng)行重啟計(jì)算機(jī)

造成損失網(wǎng)絡(luò)性能急劇下降，路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備負(fù)載加重，甚至瓦解等硬盤數(shù)據(jù)能夠被遠(yuǎn)程讀寫直接經(jīng)濟(jì)損失：26億美元網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第11頁計(jì)算機(jī)病毒發(fā)展過程-7尼姆達(dá)病毒最為兇猛惡意蠕蟲病毒，不但傳輸速度快、危害性強(qiáng)，而且自我繁殖能力更是位居各大病毒之首利用unicode漏洞，與黑客技術(shù)相結(jié)合傳輸過程9月18日，首先在美國出現(xiàn)，當(dāng)日下午，有超出130，000臺服務(wù)器和個人電腦受到感染（北美洲）9月18日晚上，在日本、香港、南韓、新加坡和中國都收到了受到感染匯報(bào)（亞洲）9月19日，有超出150000個企業(yè)被感染，西門子在他網(wǎng)絡(luò)受到滲透之后，被迫關(guān)掉服務(wù)器（歐洲）傳輸方式：文件感染、Email、WWW、局域網(wǎng)網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第12頁計(jì)算機(jī)病毒發(fā)展過程-8中國黑客6月6日出現(xiàn)，創(chuàng)造了全球首創(chuàng)“三線程”技術(shù)根本程：往硬盤寫入病毒文件或感染其它執(zhí)行文件分線程1：監(jiān)視根本程并確保根本程運(yùn)行，一旦根本程被去除，這個監(jiān)視器就將主病毒體再次調(diào)入分線程2：不停監(jiān)視注冊表某個值（run項(xiàng)），一旦被人工或反病毒軟件修改，他馬上重新寫入這個值，確保自己下次開啟時拿到控制權(quán)病毒特點(diǎn)很多反病毒軟件普通都是直接修改會引發(fā)病毒自動加載注冊表選項(xiàng)，不過中國黑客病毒馬上又將這個值改回去在傳輸方式上，“中國黑客”尋找用戶郵件地址薄來向外發(fā)病毒郵件傳輸，或經(jīng)過局域網(wǎng)傳輸在Windows95/98/Me系統(tǒng)下，“中國黑客”病毒學(xué)習(xí)了CIH病毒，取得了系統(tǒng)最高權(quán)限”中國黑客”病毒還預(yù)留了接口，只要作者愿意話很多破壞功效與傳輸方式很快就能夠加上病毒體內(nèi)感染開關(guān)沒有打開，所以當(dāng)前此病毒還不能感染文件，但實(shí)際上病毒體內(nèi)感染代碼已經(jīng)比較完整，加上幾行代碼就能夠?qū)崿F(xiàn)感染W(wǎng)indows下.EXE、.DLL、.SCR等文件

網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第13頁病毒發(fā)展趨勢病毒向有智能和有目標(biāo)方向發(fā)展未來凡能造成重大危害，一定是“蠕蟲”“蠕蟲”特征是快速地不停復(fù)制本身，以求在最短時間內(nèi)傳輸?shù)阶畲蠓秶《鹃_始與黑客技術(shù)結(jié)合，將會為世界帶來無可估量損失從Sircam、“尼姆達(dá)”、“求職信”、“漢字求職信”到“中國黑客”，這類病毒越來越向輕感染文件、重復(fù)制本身方向發(fā)展病毒大面積傳輸與網(wǎng)絡(luò)發(fā)展密不可分基于分布式通信病毒很可能在很快即將出現(xiàn)未來病毒與反病毒之間比就是速度，而增強(qiáng)對新病毒反應(yīng)和處理速度，將成為反病毒廠商關(guān)鍵競爭力之一網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第14頁計(jì)算機(jī)病毒產(chǎn)生開個玩笑，一個惡作劇產(chǎn)生于個他人報(bào)復(fù)心理用于版權(quán)保護(hù)用于經(jīng)濟(jì)、軍事和政治目標(biāo)網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第15頁計(jì)算機(jī)病毒特征-1破壞性傳染性隱蔽性潛伏性不可預(yù)見性針對性網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第16頁計(jì)算機(jī)病毒特征-2破壞性破壞系統(tǒng)正常運(yùn)行，主要表現(xiàn)有占用系統(tǒng)資源、破壞用戶數(shù)據(jù)、干擾系統(tǒng)正常運(yùn)行。惡性病毒危害性很大，嚴(yán)重時可造成系統(tǒng)死機(jī)，甚至網(wǎng)絡(luò)癱瘓傳染性也叫自我復(fù)制或叫傳輸性，這是其本質(zhì)特征。在一定條件下，病毒能夠經(jīng)過某種渠道從一個文件或一臺計(jì)算機(jī)上傳染到另外沒被感染文件或計(jì)算機(jī)上，輕則使被感染文件或計(jì)算機(jī)數(shù)據(jù)破壞或工作失常，重則使系統(tǒng)癱瘓網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第17頁計(jì)算機(jī)病毒特征-3隱蔽性普通是含有很高編程技巧、短小靈活程序，通常依附在正常程序或磁盤中較隱蔽地方，也有以隱含文件夾形式出現(xiàn)，用戶極難發(fā)覺。假如不經(jīng)過代碼分析，是極難將病毒程序與正常程序區(qū)分開。正是這種特征才使得病毒在發(fā)覺之前已進(jìn)行了廣泛傳輸，造成了破壞潛伏性大部分計(jì)算機(jī)系統(tǒng)感染病毒后，病毒不會馬上發(fā)作，可在幾天、幾周、幾個月甚至幾年地隱藏起來，而不被發(fā)覺。只有在滿足某種特定條件時才會發(fā)作。如著名“黑色星期五”和“CIH”病毒網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第18頁計(jì)算機(jī)病毒特征-4不可預(yù)見性計(jì)算機(jī)病毒制作技術(shù)不停提升，種類也不停翻新。相比之下，防病毒技術(shù)落后病毒制作技術(shù)。新型操作系統(tǒng)、新型軟件工具應(yīng)用，也為病毒編制者提供了方便。所以，對未來病毒類型、特點(diǎn)及破壞性等均極難預(yù)測衍生性計(jì)算機(jī)病毒程序可被他人模仿或修改，經(jīng)過惡做劇者或惡意攻擊者改寫，就可能成為原病毒變種。針對性很多計(jì)算機(jī)病毒并非任何環(huán)境下都可起作用，而是有一定運(yùn)行環(huán)境要求，只有在軟、硬件條件滿足要求時才能發(fā)作。網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第19頁計(jì)算機(jī)病毒分類-1按破壞程度強(qiáng)弱不一樣良性病毒和惡性病毒；按傳染方式不一樣文件型病毒、引導(dǎo)型病毒和混合型病毒按連接方式不一樣源碼型病毒、嵌入型病毒、操作系統(tǒng)型病毒和外殼型病毒網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第20頁計(jì)算機(jī)病毒分類-2良性病毒只是為了表現(xiàn)本身，并不徹底破壞系統(tǒng)和數(shù)據(jù)，但會占用大量CPU時間，增加系統(tǒng)開銷，降低系統(tǒng)工作效率一類計(jì)算機(jī)病毒該類病毒多為惡作劇者產(chǎn)物惡性病毒一旦發(fā)作，就會破壞系統(tǒng)或數(shù)據(jù)，造成計(jì)算機(jī)系統(tǒng)癱瘓一類計(jì)算機(jī)病毒該類病毒危害極大，有些病毒發(fā)作后可能給用戶造成不可挽回?fù)p失如“黑色星期五”、木馬、蠕蟲病毒等網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第21頁計(jì)算機(jī)病毒分類-3文件型病毒普通只傳染磁盤上可執(zhí)行文件（如.com，.exe）。在用戶運(yùn)行染毒可執(zhí)行文件時，病毒首先被執(zhí)行，然后病毒駐留內(nèi)存伺機(jī)傳染其它文件或直接傳染其它文件。這類病毒特點(diǎn)是附著于正常程序文件中，成為程序文件一個外殼或部件。當(dāng)該病毒完成了它工作后，其正常程序才被運(yùn)行，使人看起來好像一切都很正常引導(dǎo)扇區(qū)型病毒潛伏在軟盤或硬盤引導(dǎo)扇區(qū)或主引導(dǎo)統(tǒng)計(jì)中。假如計(jì)算機(jī)從被感染軟盤引導(dǎo)，病毒就會感染到引導(dǎo)硬盤，并把自己代碼調(diào)入內(nèi)存。病毒可駐留在內(nèi)存并感染被訪問軟盤。觸發(fā)引導(dǎo)扇區(qū)型病毒經(jīng)典事件是系統(tǒng)日期和時間混合型病毒兼有以上兩種病毒特點(diǎn)，既傳染引導(dǎo)區(qū)，又傳染文件，所以擴(kuò)大了這種病毒傳染路徑。當(dāng)染有該類病毒磁盤用于引導(dǎo)系統(tǒng)或調(diào)用執(zhí)行染毒文件時，病毒都會被激活網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第22頁計(jì)算機(jī)病毒分類-4源碼型病毒較為少見，亦難以編寫。它要攻擊高級語言編寫源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件，這么剛才生成可執(zhí)行文件便已經(jīng)帶毒了。嵌入型病毒可用本身代替正常程序中部分模塊，所以，它只攻擊一些特定程序，針對性強(qiáng)。普通情況下也難以被發(fā)覺，去除起來也較困難操作系統(tǒng)型病毒可用其本身部分加入或替換操作系統(tǒng)部分功效。因其直接感染操作系統(tǒng)，所以病毒危害性也較大，可能造成整個系統(tǒng)癱瘓外殼型病毒將本身附著在正常程序開頭或結(jié)尾，相當(dāng)于給正常程序加了個外殼。大部份文件型病毒都屬于這一類網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第23頁計(jì)算機(jī)病毒傳輸網(wǎng)絡(luò)帶有病毒文件、郵件被下載或接收后被打開或運(yùn)行，病毒就會擴(kuò)散到系統(tǒng)中相關(guān)計(jì)算機(jī)上可移動存放設(shè)備如軟盤、磁帶、光盤、優(yōu)盤等通信系統(tǒng)經(jīng)過點(diǎn)對點(diǎn)通信系統(tǒng)和無線通信信道也可傳輸計(jì)算機(jī)病毒。如手機(jī)病毒網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第24頁計(jì)算機(jī)病毒危害攻擊系統(tǒng)數(shù)據(jù)區(qū)包含硬盤主引導(dǎo)扇區(qū)、boot扇區(qū)、FAT表、文件目錄等數(shù)據(jù)區(qū)攻擊文件方式很多，如刪除、更名、替換內(nèi)容、丟失簇和對文件加密等搶占系統(tǒng)資源大多數(shù)病毒在動態(tài)下都常駐內(nèi)存，這就要搶占部分系統(tǒng)資源占用磁盤空間和對信息破壞干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降如不執(zhí)行命令、干擾內(nèi)部命令執(zhí)行、虛假報(bào)警、打不開文件、內(nèi)部棧溢出、占用特殊數(shù)據(jù)區(qū)、時鐘倒轉(zhuǎn)、重開啟、死機(jī)、強(qiáng)制游戲、擾亂串/并接口等攻擊和破壞網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第25頁病毒檢驗(yàn)方法比較法比較被檢測對象與原始備份掃描法利用病毒特征代碼串特征字識別法病毒體內(nèi)特定位置特征分析法和檢驗(yàn)和法利用反匯編技術(shù)對被檢測對象進(jìn)行分析和檢驗(yàn)網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第26頁比較法比較法是用原始備份與被檢測引導(dǎo)扇區(qū)或被檢測文件進(jìn)行比較。該方法可能發(fā)覺異常，如文件長度改變，或程序代碼改變等。優(yōu)點(diǎn)：簡單，方便，不需專用軟件缺點(diǎn)：無法確定病毒類型網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第27頁掃描法掃描法是用每一個病毒體含有特定字符串對被檢測對象進(jìn)行掃描掃描程序由兩部分組成病毒代碼庫對該代碼進(jìn)行掃描程序病毒掃描程序可識別病毒數(shù)目取決于病毒代碼庫中所含病毒種類網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第28頁特征字識別法基于特征串掃描法發(fā)展起來一個新方法只需從病毒體內(nèi)抽取極少幾個關(guān)鍵特征字來組成特征字庫該方法因?yàn)橐幚碜止?jié)極少，所以工作起來速度更加快、誤報(bào)警更少網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第29頁分析法利用對應(yīng)技術(shù)分析被檢測對象，確認(rèn)檢測對象是否為病毒目標(biāo)確認(rèn)被觀察磁盤引導(dǎo)區(qū)和程序中是否含有病毒確認(rèn)病毒類型和種類，是否新病毒搞清病毒體大致結(jié)構(gòu)，提取字節(jié)串或特征字，用于增添到病毒代碼庫詳細(xì)分析病毒代碼，為制訂對應(yīng)反病毒辦法制訂方案網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第30頁校驗(yàn)和法對正常文件內(nèi)容，計(jì)算并保留其校驗(yàn)和。在文件使用過程中或使用之前，定時地檢驗(yàn)由現(xiàn)有內(nèi)容算出校驗(yàn)和與原來保留校驗(yàn)和是否一致，從而能夠發(fā)覺文件是否被感染優(yōu)點(diǎn)方法簡單，能發(fā)覺未知病毒，也能發(fā)覺被查文件細(xì)微改變?nèi)秉c(diǎn)有誤報(bào)警、不能識別病毒類型和名稱、不能對付隱蔽型病毒網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第31頁病毒去除隔離將染毒計(jì)算機(jī)與其它計(jì)算機(jī)進(jìn)行隔離報(bào)警向網(wǎng)絡(luò)系統(tǒng)安全管理人員報(bào)警查毒源檢驗(yàn)?zāi)切┙?jīng)常引發(fā)病毒感染節(jié)點(diǎn)和用戶，并查找病毒起源采取應(yīng)對方法和對策對病毒破壞程度進(jìn)行分析檢驗(yàn)，并依據(jù)需要決定采取有效病毒去除方法和對策備份數(shù)據(jù)將主要數(shù)據(jù)文件備份去除病毒網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第32頁惡意代碼網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第33頁惡意代碼概念惡意代碼是一個程序，它經(jīng)過把代碼在不被覺察情況下寄宿到另一段程序中，從而到達(dá)破壞被感染計(jì)算機(jī)數(shù)據(jù)、運(yùn)行含有入侵性或破壞性程序、破壞被感染系統(tǒng)數(shù)據(jù)安全性和完整性目標(biāo)按工作機(jī)理和傳輸方式區(qū)分，惡意代碼可有普通病毒、木馬、蠕蟲、移動代碼和復(fù)合型病毒五類網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第34頁木馬概述特洛伊木馬（Trojanhouse）簡稱木馬，一個基于遠(yuǎn)程控制黑客程序，普通經(jīng)過秘密方式安裝到目標(biāo)系統(tǒng)，一旦安裝成功并取得管理員權(quán)限，安裝此程序人就能夠直接遠(yuǎn)程控制目標(biāo)系統(tǒng)在黑客進(jìn)行各種攻擊行為中，木馬都起到了開路先鋒作用特點(diǎn)隱蔽性，難以覺察客戶端/服務(wù)器模式網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第35頁木馬與傳統(tǒng)病毒木馬也算是一個病毒，但與傳統(tǒng)計(jì)算機(jī)病毒不一樣木馬是一個惡意代碼，它通常并不像病毒程序那樣感染文件以尋找后門、竊取密碼和主要文件為主，還能對計(jì)算機(jī)進(jìn)行跟蹤監(jiān)視、控制、查看、修改資料等操作含有很強(qiáng)隱蔽性、突發(fā)性和攻擊性網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第36頁木馬傳輸方式E-mail經(jīng)過E-mail，控制端將木馬程序以附件形式附著在郵件上發(fā)送出去軟件下載一些非正式網(wǎng)站以提供軟件下載名義，將木馬捆綁在軟件安裝程序上會話軟件經(jīng)過會話軟件（如QQ）“傳送文件”進(jìn)行傳輸網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第37頁木馬原理傳統(tǒng)文件型病毒寄生于正?？蓤?zhí)行程序體內(nèi)，經(jīng)過寄主程序執(zhí)行而執(zhí)行木馬程序都有一個獨(dú)立可執(zhí)行文件，普通是以一個正常應(yīng)用身份在系統(tǒng)中運(yùn)行采取客戶機(jī)/服務(wù)器工作模式客戶端放在木馬控制者計(jì)算機(jī)中，服務(wù)器端放置在被入侵計(jì)算機(jī)中木馬控制者經(jīng)過客戶端與被入侵計(jì)算機(jī)服務(wù)器端建立遠(yuǎn)程連接，利用客戶程序向服務(wù)器程序發(fā)送命令，到達(dá)操控用戶機(jī)器目標(biāo)木馬服務(wù)器部分都是能夠定制，攻擊者能夠定制項(xiàng)目普通包含：服務(wù)器運(yùn)行IP端口號、程序開啟時機(jī)、怎樣發(fā)出調(diào)用、怎樣隱身、是否加密等網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第38頁木馬檢測和去除查看開放端口比如，“冰河”木馬使用監(jiān)聽端口是7626，BackOrifice使用監(jiān)聽端口是54320查看和恢復(fù)win.ini和system.ini系統(tǒng)配置文件查看開啟程序并刪除可疑開啟程序查看系統(tǒng)進(jìn)程并停頓可疑系統(tǒng)進(jìn)程查看和還原注冊表網(wǎng)絡(luò)安全計(jì)算機(jī)病毒第39頁網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)蠕蟲一個能自我復(fù)制程序，并