計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用基礎(chǔ)教案-4.5計(jì)算機(jī)木馬

4.5計(jì)算機(jī)木馬教學(xué)內(nèi)容：計(jì)算機(jī)木馬。教學(xué)目的：掌握計(jì)算機(jī)木馬的產(chǎn)生與防范。教學(xué)重難點(diǎn)：計(jì)算機(jī)木馬的特征與分類(lèi)、防范。教學(xué)課時(shí)：2課時(shí)教學(xué)過(guò)程：一、引入。木馬病毒木馬（Trojan）這個(gè)名字來(lái)源于古希臘傳說(shuō)（荷馬史詩(shī)中木馬計(jì)的故事，Trojan一詞的特洛伊木馬本意是特洛伊的，即代指特洛伊木馬，也就是木馬計(jì)的故事）?！澳抉R”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過(guò)將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開(kāi)被種者電腦的門(mén)戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦?！澳抉R”與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒(méi)有很強(qiáng)的隱蔽性的話，那就是“毫無(wú)價(jià)值”的。它是指通過(guò)一段特定的程序（木馬程序）來(lái)控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行程序：一個(gè)是客戶端，即控制端；另一個(gè)是服務(wù)端，即被控制端。植入被種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進(jìn)入運(yùn)行了“服務(wù)器”的電腦。運(yùn)行了木馬程序的“服務(wù)器”以后，被種者的電腦就會(huì)有一個(gè)或幾個(gè)端口被打開(kāi)，使黑客可以利用這些打開(kāi)的端口進(jìn)入電腦系統(tǒng)，安全和個(gè)人隱私也就全無(wú)保障了！木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務(wù)一旦運(yùn)行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計(jì)算機(jī)增加口令，瀏覽、移動(dòng)、復(fù)制、刪除文件，修改注冊(cè)表，更改計(jì)算機(jī)配置等。隨著病毒編寫(xiě)技術(shù)的發(fā)展，木馬程序?qū)τ脩舻耐{越來(lái)越大，尤其是一些木馬程序采用了極其狡猾的手段來(lái)隱蔽自己，使普通用戶很難在中毒后發(fā)覺(jué)。二、木馬病毒傳播途徑1、電子郵件附件傳播2、通過(guò)下載文件傳播3、通過(guò)網(wǎng)頁(yè)傳播4、通過(guò)聊開(kāi)工具傳播三、一些特殊類(lèi)型的木馬1、反彈端口木馬簡(jiǎn)單地說(shuō)，就是由木馬的服務(wù)端主動(dòng)連接客戶端所在IP對(duì)應(yīng)的電腦的80端口。相信沒(méi)有哪個(gè)防火墻會(huì)攔截這樣的連接（因?yàn)樗鼈円话阏J(rèn)為這是用戶在瀏覽網(wǎng)頁(yè)），所以反彈端口型木馬可以穿墻。反彈端口型木馬：利用反彈端口原理，躲避防火墻攔截的一類(lèi)木馬的統(tǒng)稱。國(guó)產(chǎn)的優(yōu)秀反彈端口型木馬主要有：灰鴿子、上興遠(yuǎn)程控制、PcShare等。2、無(wú)進(jìn)程木馬隱藏進(jìn)正常的進(jìn)程中。3、無(wú)控制端木馬4、嵌套型木馬5、其他木馬四、工作原理一個(gè)完整的特洛伊木馬套裝程序含了兩部分：服務(wù)端（服務(wù)器部分）和客戶端（控制器部分）。植入對(duì)方電腦的是服務(wù)端，而黑客正是利用客戶端進(jìn)入運(yùn)行了服務(wù)端的電腦。運(yùn)行了木馬程序的服務(wù)端以后，會(huì)產(chǎn)生一個(gè)有著容易迷惑用戶的名稱的進(jìn)程，暗中打開(kāi)端口，向指定地點(diǎn)發(fā)送數(shù)據(jù)（如網(wǎng)絡(luò)游戲的密碼，即時(shí)通信軟件密碼和用戶上網(wǎng)密碼等），黑客甚至可以利用這些打開(kāi)的端口進(jìn)入電腦系統(tǒng)。特洛伊木馬程序不能自動(dòng)操作，一個(gè)特洛伊木馬程序是包含或者安裝一個(gè)存心不良的程序的，它可能看起來(lái)是有用或者有趣的計(jì)劃（或者至少無(wú)害）對(duì)一不懷疑的用戶來(lái)說(shuō)，但是實(shí)際上有害當(dāng)它被運(yùn)行。特洛伊木馬不會(huì)自動(dòng)運(yùn)行，它是暗含在某些用戶感興趣的文檔中，用戶下載時(shí)附帶的。當(dāng)用戶運(yùn)行文檔程序時(shí)，特洛伊木馬才會(huì)運(yùn)行，信息或文檔才會(huì)被破壞和遺失。特洛伊木馬和后門(mén)不一樣，后門(mén)指隱藏在程序中的秘密功能，通常是程序設(shè)計(jì)者為了能在日后隨意進(jìn)入系統(tǒng)而設(shè)置的。特洛伊木馬有兩種，universal的和transitive的，universal就是可以控制的，而transitive是不能控制，刻死的操作。五、木馬運(yùn)行征兆1、死機(jī)重啟2、頻繁訪問(wèn)硬盤(pán)3、無(wú)端搜索軟、光驅(qū)4、系統(tǒng)異常緩慢。六、木馬隱藏與啟動(dòng)1、偽裝修改圖標(biāo)、捆綁文件、出錯(cuò)顯示、定制端口、自我銷(xiāo)毀、木馬更名2、運(yùn)行方式自啟動(dòng)、觸發(fā)式激活3、木馬運(yùn)行進(jìn)程N(yùn)etstat–a–n查看端口狀態(tài)常用端口1-1024保留端口。FTP：21；SMTP：25；POP3：110；HTTP：801025以上連續(xù)端口4000OICQ端口6667IRC如有其他端口，可能有木馬運(yùn)行。