網(wǎng)絡(luò)安全技術(shù)項目化教程項目4計算機病毒及防治

1、4 計算機病毒及防治1 雙機互連對等網(wǎng)絡(luò)的組建 14.1 項目提出 有一天，小李在QQ聊天時，收到一位網(wǎng)友發(fā)來的信息，如圖4-1所示，出于好奇和對網(wǎng)友的信任，小李打開了網(wǎng)友提供的超鏈接，此時突然彈出一個無法關(guān)閉的窗口，提示系統(tǒng)即將在一分鐘以后關(guān)機，并進入一分鐘倒計時狀態(tài)，如圖4-2所示。小李驚呼上當受騙，那么小李的計算機究竟怎么了？24.2 項目分析 小李的計算機中了沖擊波(Worm.Blaster)病毒。2002年8月12日，沖擊波病毒導致全球范圍內(nèi)數(shù)以億計的計算機中毒，所帶來的直接經(jīng)濟損失達數(shù)十億美金。病毒運行時會不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Windows 2000或XP的計算機

2、，找到后就利用RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染，使系統(tǒng)操作異常、不停重新啟動、甚至導致系統(tǒng)崩潰。另外，該病毒還會對Microsoft的一個升級網(wǎng)站進行拒絕服務(wù)攻擊，導致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級系統(tǒng)。3病毒手動清除方法：用DOS系統(tǒng)啟動盤啟動進入DOS環(huán)境下，刪除C:windowsmsblast.exe文件；也可安全模式下刪除該文件。預防方法：打上RPC漏洞安全補丁。據(jù)北京江民新科技術(shù)有限公司統(tǒng)計，2011年上半年最為活躍的病毒類型為木馬病毒，其共占據(jù)所有病毒數(shù)量中60%的比例。其次，分別為蠕蟲病毒和后門病毒。這三種類型的病毒共占據(jù)所有

3、病毒數(shù)量中83%的比例，如圖4-3所示，可見目前網(wǎng)民面臨的首要威脅仍舊來自于這三種傳統(tǒng)的病毒類型。防范計算機病毒等的有效方法是除了及時打上各種安全補丁外，還應(yīng)安裝反病毒工具，并進行合理設(shè)置，比較常見的工具有360殺毒軟件、360安全衛(wèi)士等。44.3 相關(guān)知識點 4.3.1 計算機病毒的概念1. 計算機病毒的定義計算機病毒在中華人民共和國計算機信息系統(tǒng)安全保護條例中被明確定義，病毒指“編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。52. 計算機病毒的產(chǎn)生與發(fā)展隨著計算機應(yīng)用的普及，早期就有一些科普作家意識到可能會有人利用計算機

4、進行破壞，提出了“計算機病毒”這個概念。不久，計算機病毒便在理論、程序上都得到了證實。1949年，計算機的創(chuàng)始人馮諾依曼發(fā)表復雜自動裝置的理論及組識的進行的論文，提出了計算機程序可以在內(nèi)存中進行自我復制和變異的理論。61959年，美國著名的AT&T貝爾實驗室中，三個年輕人在工作之余，很無聊的玩起一種游戲: 彼此撰寫出能夠吃掉別人程序的程序來互相作戰(zhàn)。這個叫做磁芯大戰(zhàn)（core war）的游戲，進一步將電腦病毒感染性的概念體現(xiàn)出來。1975年，美國科普作家約翰布魯勒爾寫了一本名為震蕩波騎士的書，該書第一次描寫了在信息社會中，計算機作為正義和邪惡雙方斗爭的工具的故事，成為當年最佳暢銷書之一。 19

5、77年夏天，托馬斯.捷.瑞安的科幻小說P-1的青春成為美國的暢銷書，轟動了科普界。作者幻想了世界上第一個計算機病毒，可以從一臺計算機傳染到另一臺計算機，最終控制了7000臺計算機，釀成了一場災(zāi)難。71983年，F(xiàn)red Cohen博士研制出一種在運行過程中可以復制自身的破壞性程序。并在全美計算機安全會議上提出和在VAX II/150機上演示，從而證實計算機病毒的存在，這也是公認的第一個計算機病毒程序的出現(xiàn)。世界上公認的第一個在個人電腦上廣泛流行的病毒是1986年初誕生的大腦(Brain)病毒，又稱 “巴基斯坦”病毒。1988年，羅伯特莫里斯 (Robert Morris) 制造的蠕蟲病毒是首個

6、通過網(wǎng)絡(luò)傳播而震撼世界的“計算機病毒侵入網(wǎng)絡(luò)的案件”。81998年，臺灣大學生陳盈豪研制的迄今為止破壞性最嚴重的病毒CIH病毒，也是世界上首例破壞計算機硬件的病毒。它發(fā)作時不僅破壞硬盤的引導區(qū)和分區(qū)表，而且破壞計算機系統(tǒng)的BIOS，導致主板損壞。1999年，Melissa是最早通過電子郵件傳播的病毒之一，當用戶打開一封電子郵件的附件，病毒會自動發(fā)送到用戶通訊簿中的前50個地址，因此這個病毒在數(shù)小時之內(nèi)傳遍全球。2003年，沖擊波病毒利用了Microsoft軟件中的一個缺陷，對系統(tǒng)端口進行瘋狂攻擊，可以導致系統(tǒng)崩潰。9沖突域和廣播域2007年，“熊貓燒香”病毒會使所有程序圖標變成熊貓燒香，并使它

7、們不能應(yīng)用。2009年，木馬下載器病毒會產(chǎn)生10002000不等的木馬病毒，導致系統(tǒng)崩潰，短短3天變成360安全衛(wèi)士首殺榜前三名。2011年，U盤寄生蟲病毒利用自動播放特性激活自身，運行后可執(zhí)行下載其它惡意程序、感染存儲設(shè)備根目錄等功能。10沖突域和廣播域計算機病毒的主要發(fā)展趨勢有以下6個方面。 網(wǎng)絡(luò)成為計算機病毒傳播的主要載體，局域網(wǎng)、Web站點、電子郵件、P2P、IM聊天工具都成為病毒傳播的渠道。 網(wǎng)絡(luò)蠕蟲成為最主要和破壞力最大的病毒類型，此類病毒的編寫更加簡單。 惡意網(wǎng)頁代碼、腳本及ActiveX的使用，使基于Web頁面的攻擊成為破壞的新類型。病毒的傳播方式以網(wǎng)頁掛馬為主。11交換機的互

8、連方式 出現(xiàn)帶有明顯病毒特征的木馬或木馬特征的病毒，病毒與黑客程序緊密結(jié)合。病毒制造、傳播者在巨大利益的驅(qū)使下，利用病毒木馬技術(shù)進行網(wǎng)絡(luò)盜竊、詐騙活動，通過網(wǎng)絡(luò)販賣病毒、木馬，教授病毒編制技術(shù)和網(wǎng)絡(luò)攻擊技術(shù)等形式的網(wǎng)絡(luò)犯罪活動明顯增多。 病毒自我防御能力不斷提高，難于及時被發(fā)現(xiàn)和清除。此外，病毒生成器的出現(xiàn)和使用，使得病毒變種更多，難于清除。 跨操作系統(tǒng)平臺病毒出現(xiàn)，病毒作用范圍不僅限于普通計算機。2000年6月，世界上第一個手機病毒VBS.Timofonica在西班牙出現(xiàn)。123. 計算機病毒發(fā)作的癥狀 計算機系統(tǒng)運行速度減慢，計算機運行比平常遲鈍，程序載入時間比平常久。 磁盤出現(xiàn)異常訪問，

9、在無數(shù)據(jù)讀寫要求時，系統(tǒng)自動頻繁讀寫磁盤。 屏幕上出現(xiàn)異常顯示。 文件長度、日期、時間、屬性等發(fā)生變化。 系統(tǒng)可用資源(如內(nèi)存)容量忽然大量減少，CPU利用率過高。13 系統(tǒng)內(nèi)存中增加一些不熟悉的常駐程序，或注冊表啟動項目中增加了一些特殊程序。 文件奇怪地消失，或被修改，或用戶不可以刪除文件。 WORD或EXCEL提示執(zhí)行“宏”。 網(wǎng)絡(luò)主機信息與參數(shù)被修改，不能連接到網(wǎng)絡(luò)。用戶連接網(wǎng)絡(luò)時，莫名其妙地連接到其他站點，一般釣魚網(wǎng)站病毒與ARP病毒會產(chǎn)生此類現(xiàn)象。 殺毒軟件被自動關(guān)閉或不能使用。144.3.2 計算機病毒的特征 傳染性。計算機病毒會通過各種媒介從已被感染的計算機擴散到未被感染的計算機

10、。這些媒介可以是程序、文件、存儲介質(zhì)、網(wǎng)絡(luò)等。 隱蔽性。不經(jīng)過程序代碼分析或計算機病毒代碼掃描，計算機病毒程序與正常程序是不容易區(qū)分的。在沒有防護措施的情況下，計算機病毒程序一經(jīng)運行并取得系統(tǒng)控制權(quán)后，可以迅速感染給其他程序，而在此過程中屏幕上可能沒有任何異常顯示。這種現(xiàn)象就是計算機病毒傳染的隱蔽性。15 潛伏性。病毒具有依附其他媒介寄生的能力，它可以在磁盤、光盤或其他介質(zhì)上潛伏幾天，甚至幾年。不滿足其觸發(fā)條件時，除了感染其他文件以外不做破壞；觸發(fā)條件一旦得到滿足，病毒就四處繁殖、擴散、破壞。 觸發(fā)性。計算機病毒發(fā)作往往需要一個觸發(fā)條件，其可能利用計算機系統(tǒng)時鐘、病毒體自帶計數(shù)器、計算機內(nèi)執(zhí)行

11、的某些特定操作等。如CIH病毒在每年4月26日發(fā)作，而一些郵件病毒在打開附件時發(fā)作。16 破壞性。當觸發(fā)條件滿足時，病毒在被感染的計算機上開始發(fā)作。根據(jù)計算機病毒的危害性不同，病毒發(fā)作時表現(xiàn)出來的癥狀和破壞性可能有很大差別。從顯示一些令人討厭的信息，到降低系統(tǒng)性能、破壞數(shù)據(jù)(信息)，直到永久性摧毀計算機硬件和軟件，造成系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓等。 不可預見性。病毒相對于殺毒軟件永遠是超前的，從理論上講，沒有任何殺毒軟件可以殺除所有的病毒。17為了達到保護自己的目的，計算機病毒作者在編寫病毒程序時，一般都采用一些特殊的編程技術(shù)，例如： 自加密技術(shù)。就是為了防止被計算機病毒檢測程序掃描出來，并被輕易地反

12、匯編。計算機病毒使用了加密技術(shù)后，對分析和破譯計算機病毒的代碼及清除計算機病毒等工作都增加了很多困難。 采用變形技術(shù)。當某些計算機病毒編制者通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，稱這種新出現(xiàn)的計算機病毒是原來被修改前計算機病毒的變形。當這種變形了的計算機病毒繼承了原父本計算機病毒的主要特征時，就稱為是其父本計算機病毒的一個變種。18 對抗計算機病毒防范系統(tǒng)。計算機病毒采用對抗計算機病毒防范系統(tǒng)技術(shù)時，當發(fā)現(xiàn)磁盤上有某些著名的計算機病毒殺毒軟件或在文件中查找到出版這些軟件的公司名稱時，就會刪除這些殺毒軟件或文件，造成殺毒軟件失效，甚至引起計算機系統(tǒng)崩潰。 反跟蹤

13、技術(shù)。計算機病毒采用反跟蹤措施的目的是要提高計算機病毒程序的防破譯能力和偽裝能力。常規(guī)程序使用的反跟蹤技術(shù)在計算機病毒程序中都可以利用。194.3.3 計算機病毒的分類1. 按病毒存在的媒體分 網(wǎng)絡(luò)病毒，文件型病毒，引導型病毒網(wǎng)絡(luò)病毒通過計算機網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件文件型病毒感染計算機中的文件（如：.com、.exe和.bat文件等）引導型病毒感染啟動扇區(qū)(Boot)和硬盤的系統(tǒng)主引導記錄(MBR)。 202. 按病毒傳染的方法分駐留型病毒和非駐留型病毒駐留型病毒感染計算機后，把自身的內(nèi)存駐留部分放在內(nèi)存(RAM)中，這一部分程序掛接系統(tǒng)調(diào)用并合并到操作系統(tǒng)中去，它處于激活狀態(tài)，一直到

14、關(guān)機或重新啟動。非駐留型病毒在得到機會激活時并不感染計算機內(nèi)存一些病毒在內(nèi)存中留有小部分，但是并不通過這一部分進行傳染，這類病毒也被劃分為非駐留型病毒。 213. 按病毒破壞的能力分無害型、無危險型、危險型和非常危險型。 無害型。除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。 無危險型。這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。 危險型。這類病毒在計算機系統(tǒng)操作中造成嚴重的錯誤。 非常危險型。這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。224. 按病毒鏈接的方式分 源碼型病毒。該病毒攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到源程序中

15、，經(jīng)編譯成為合法程序的一部分。 嵌入型病毒。這種病毒是將自身嵌入到現(xiàn)有程序中，把病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種病毒是難以編寫的，一旦侵入程序體后也較難消除。 外殼型病毒。該病毒將其自身包圍在主程序的四周，對原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般測試文件的大小即可知道。 操作系統(tǒng)型病毒。這種病毒用它自己的程序意圖加入或取代部分操作系統(tǒng)的程序模塊進行工作，具有很強的破壞性，可以導致整個系統(tǒng)的癱瘓。235. 按病毒激活的時間分 定時型病毒。定時型病毒是在某一特定時間才發(fā)作的病毒，它以時間為發(fā)作的觸發(fā)條件，如果時間不滿足，此類病毒將不會進行破壞活動。 隨機

16、型病毒。與定時型病毒不同的是隨機型病毒，此類病毒不是通過時間進行觸發(fā)的。244.3.4 宏病毒和蠕蟲病毒1. 宏病毒宏(Macro)是Microsoft公司為其Office軟件包設(shè)計的一項特殊功能，Microsoft公司設(shè)計它的目的是讓人們在使用Office軟件進行工作時避免一再地重復相同的動作。利用簡單的語法，把常用的動作寫成宏，在工作時，可以直接利用事先編寫好的宏自動運行，完成某項特定的任務(wù)，而不必再重復相同的動作，讓用戶文檔中的一些任務(wù)自動化。25使用Word軟件時，通用模板(Normal.dot)里面就包含了基本的宏，因此當使用該模板時，Word為用戶設(shè)定了很多基本的格式。宏病毒是用

17、Visual Basic語言編寫的，這些宏病毒不是為了方便人們的工作而設(shè)計的，而是用來對系統(tǒng)進行破壞的。當含有這些宏病毒的文檔被打開時，里面的宏病毒就會被激活，并能通過DOC文檔及DOT模板進行自我復制及傳播。以往病毒只感染程序，不感染數(shù)據(jù)文件，而宏病毒專門感染數(shù)據(jù)文件，徹底改變了“數(shù)據(jù)文件不會傳播病毒”的錯誤認識。宏病毒會感染Office的文檔及其模板文件。26宏病毒防范措施 提高宏的安全級別。目前，高版本的Word軟件可以設(shè)置宏的安全級別，在不影響正常使用的情況下，應(yīng)該選擇較高的安全級別。 刪除不知來路的宏定義。 將Normal.dot模板進行備份，當被病毒感染后，使用備份模板進行覆蓋。如

18、果懷疑外來文件含有宏病毒，可以使用寫字板軟件打開該文件，然后將文本粘貼到Word文檔中，轉(zhuǎn)換后的文檔是不會含有宏病毒的。272. 蠕蟲病毒(1) 蠕蟲病毒的概念蠕蟲(Worm)病毒是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性，隱蔽性，破壞性等，同時具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中），對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合。在產(chǎn)生的破壞性上，蠕蟲病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲可以在短時間內(nèi)蔓延整個網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓。28根據(jù)使用者情況可將蠕蟲病毒分為兩類。一類是面向企業(yè)用戶和局域網(wǎng)的，這類病毒利用系統(tǒng)漏洞，主動進行攻擊，對整個Inter

19、net可造成癱瘓性的后果，如“尼姆達”、“SQL蠕蟲王”、“沖擊波”等。另一類是針對個人用戶的，通過網(wǎng)絡(luò)(主要是電子郵件，惡意網(wǎng)頁形式)迅速傳播，以愛蟲病毒、求職信病毒為代表。在這兩類蠕蟲病毒中，第一類具有很大的主動攻擊性，而且爆發(fā)也有一定的突然性。第二類病毒的傳播方式比較復雜、多樣，少數(shù)利用了Microsoft應(yīng)用程序的漏洞，更多的是利用社會工程學對用戶進行欺騙和誘使，這樣的病毒造成的損失是非常大的，同時也是很難根除的，比如求職信病毒，在2001年就已經(jīng)被各大殺毒廠商發(fā)現(xiàn)，但直到2002年底依然排在病毒危害排行榜的首位。29(2) 蠕蟲病毒與一般病毒的區(qū)別30(3) “熊貓燒香”病毒實例20

20、06年底，“熊貓燒香”病毒在我國Internet上大規(guī)模爆發(fā)，由于該病毒傳播手段極為全面，并且變種頻繁更新，讓用戶和殺毒廠商防不勝防，被列為2006年10大病毒之首。“熊貓燒香”病毒是一種蠕蟲病毒(尼姆達)的變種，而且是經(jīng)過多次變種而來的。由于中毒計算機的可執(zhí)行文件會出現(xiàn)“熊貓燒香”圖案，所以被稱為“熊貓燒香”病毒?！靶茇垷恪辈《臼怯肈elphi語言編寫的，這是一個有黑客性質(zhì)感染型的蠕蟲病毒(即：蠕蟲木馬)。2007年2月，“熊貓燒香”病毒設(shè)計者李俊歸案，交出殺病毒軟件。2007年9月，湖北省仙桃市法院一審以破壞計算機信息系統(tǒng)罪判處李俊有期徒刑4年。31 感染“熊貓燒香”病毒的癥狀關(guān)閉眾多殺

21、毒軟件和安全工具。感染所有EXE、SCR、PIF、COM文件，并更改圖標為燒香熊貓，如圖4-4所示。32循環(huán)遍歷磁盤，感染文件，對關(guān)鍵系統(tǒng)文件跳過，不感染W(wǎng)indows媒體播放器、MSN、IE等程序。在硬盤各個分區(qū)中生成文件autorun.inf和setup.exe。感染所有.htm、.html、.asp、.php、.jsp、.aspx文件，添加木馬惡意代碼，導致用戶一打開這些網(wǎng)頁文件，IE就會自動連接到指定的病毒網(wǎng)址中下載病毒。自動刪除*.gho文件，使用戶的系統(tǒng)備份文件丟失。計算機會出現(xiàn)藍屏、頻繁重新啟動。33 “熊貓燒香”病毒的傳播途徑。通過U盤和移動硬盤進行傳播。通過局域網(wǎng)共享文件夾、

22、系統(tǒng)弱口令等傳播，當病毒發(fā)現(xiàn)能成功連接攻擊目標的139或445端口后，將使用內(nèi)置的一個用戶列表及密碼字典進行連接。(猜測被攻擊端的密碼)當成功的連接上以后，將自己復制過去并利用計劃任務(wù)啟動激活病毒。通過網(wǎng)頁傳播。34“熊貓燒香”病毒所造成的破壞。關(guān)閉眾多殺毒軟件。每隔1秒尋找桌面窗口，并關(guān)閉窗口標題中含有以下字符的程序：QQKav、QQAV、防火墻、進程、VirusScan、網(wǎng)鏢、殺毒、毒霸、瑞星、江民、超級兔子、優(yōu)化大師、木馬克星、注冊表編輯器、卡巴斯基反病毒、Symantec AntiVirus、Duba修改注冊表。修改注冊表，使得病毒能自啟動、刪除安全軟件在注冊表中的鍵值、不顯示隱藏文件

23、、刪除相關(guān)安全服務(wù)等。下載病毒文件。每隔10秒，下載病毒制作者指定的文件，并用命令行檢查系統(tǒng)中是否存在共享，如果共享存在就運行net share命令關(guān)閉admin$共享。354.3.5 木馬木馬全稱“特洛伊木馬”，英文名稱為Trojan Horse，據(jù)說這個名稱來源于希臘神話木馬屠城記。古希臘大軍圍攻特洛伊城，久久無法攻下。于是有人獻計制造一只高二丈的大木馬，假裝作戰(zhàn)馬神，讓士兵藏匿于巨大的木馬中，大部隊假裝撤退而將木馬擯棄于特洛伊城下。城中得知解圍的消息后，遂將“木馬”作為奇異的戰(zhàn)利品拖入城內(nèi)，全城飲酒狂歡。到午夜時分，全城軍民盡入夢鄉(xiāng)，匿于木馬中的將士開秘門游繩而下，開啟城門及四處縱火，城

24、外伏兵涌入，部隊里應(yīng)外合，焚屠特洛伊城。后世稱這只大木馬為“特洛伊木馬”，如今黑客程序借用其名，有“一經(jīng)潛入，后患無窮”之意。36木馬是一種目的非常明確的有害程序，通常會通過偽裝吸引用戶下載并執(zhí)行。一旦用戶觸發(fā)了木馬程序(俗稱種馬)，被種馬的計算機就會為施種木馬者提供一條通道，使施種者可以任意毀壞、竊取被種者的文件、密碼等，甚至遠程操控被種者的計算機。木馬程序通常會設(shè)法隱藏自己，以騙取用戶的信任。木馬程序?qū)τ脩舻耐{越來越大，尤其是一些木馬程序采用了極其特殊的手段來隱藏自己，使普通用戶很難在中毒后發(fā)覺。371. 服務(wù)端和客戶端木馬通常有兩個可執(zhí)行程序：一個是客戶端，即控制端；另一個是服務(wù)端，即

25、被控制端。黑客們將服務(wù)端成功植入用戶的計算機后，就有可能通過客戶端“進入”用戶的計算機。被植入木馬服務(wù)端的計算機常稱被“種馬”，也俗稱為“中馬”。用戶一旦運行了被種植在計算機中的木馬服務(wù)端，就會有一個或幾個端口被打開，使黑客有可能利用這些打開的端口進入計算機系統(tǒng)，安全和個人隱私也就全無保障了。木馬服務(wù)端一旦運行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計算機增加口令，瀏覽、移動、復制、刪除文件，修改注冊表，更改計算機配置等。由于運行了木馬服務(wù)端的計算機完全被客戶端控制，任由黑客宰割，所以，運行了木馬服務(wù)端的計算機也常被人戲稱為“肉機”。382. 木馬程序的基本特征 隱蔽性。隱

26、蔽性是木馬的首要特征。要讓遠方的客戶端能成功入侵被種馬的計算機，服務(wù)端必須有效地隱藏在系統(tǒng)之中。隱藏的目的一是誘惑用戶運行服務(wù)端；二是防止用戶發(fā)現(xiàn)被木馬感染。除了可以在任務(wù)欄中隱藏、在任務(wù)管理器中隱藏外，木馬為了隱藏自己，通常還會不產(chǎn)生程序圖標或產(chǎn)生一些讓用戶錯覺的圖標。如將木馬程序的圖標修改為文件夾圖標或文本文件圖標后，由于系統(tǒng)默認是“隱藏已知文件類型的擴展名”，用戶就有可能將其誤認為是文件夾或文本文件。39 自動運行性。木馬除會誘惑用戶運行外，通常還會自啟動，即當用戶的系統(tǒng)啟動時自動運行木馬程序。 欺騙性。木馬程序為了達到長期潛伏的目的，常會使用與系統(tǒng)文件相同或相近的文件名以explore

27、r.exe(Windows資源管理器)為例，這是一個非常重要的系統(tǒng)文件，正確的位置為C:Windowsexplorer.exe。不少木馬和病毒都在這個文件上做文章，如將木馬文件置于其他文件夾中并命名為explorer.exe，或?qū)⒛抉R文件命名為exp1orer.exe(將字母“l(fā)”用數(shù)字“1”代替)或expl0rer.exe(將字母“o”用數(shù)字“0”代替)，并將其存放在C:Windows中。40 能自動打開特定的端口。和一般的病毒不同，木馬程序潛入用戶的計算機主要目的不是為了破壞系統(tǒng)，而是為了獲取系統(tǒng)中的有用信息。正因為如此，木馬程序通常會自動打開系統(tǒng)特定的端口，以便能和客戶端進行通信。 功能

28、的特殊性。木馬通常都具有特定的目的，其功能也就有特殊性。以盜號類的木馬為例，除了能對用戶的文件進行操作之外，還會搜索cache中的口令、記錄用戶鍵盤的操作等。413. 木馬程序功能木馬程序由服務(wù)端和客戶端兩部分組成，所以木馬程序是典型的Client/Server(客戶機/服務(wù)器，C/S)結(jié)構(gòu)的程序。木馬程序的主要功能是進行遠程控制，黑客使用客戶端程序遠程控制被植入服務(wù)端的計算機，對“肉機”進行遠程監(jiān)控、盜取系統(tǒng)中的密碼信息和其他有用資料、對肉機進行遠程控制等。424. 木馬的分類常見的木馬主要可以分為以下9大類。(1) 破壞型木馬。這種木馬唯一的功能就是破壞并刪除文件，它們能夠刪除目標機上的D

29、LL、INI、EXE文件，計算機一旦被感染其安全性就會受到嚴重威脅。(2) 密碼發(fā)送型木馬。這種木馬可以找到目標機的隱藏密碼，在受害者不知道的情況下，把它們發(fā)送到指定的郵箱。有人喜歡把自己的各種密碼以文件的形式存放在計算機中，認為這樣方便；還有人喜歡用Windows提供的密碼記憶功能，這樣就可以不必每次都輸入密碼了。這類木馬恰恰是利用這一點獲取目標機的密碼，它們大多數(shù)會在每次啟動Windows時重新運行，而且大多使用25號端口發(fā)送E-mail。43(3) 遠程訪問型木馬。這種木馬是使用最廣泛的木馬，它可以遠程訪問被攻擊者的硬盤。只要有人運行了服務(wù)端程序，客戶端通過掃描等手段知道了服務(wù)端的IP地

30、址，就可以實現(xiàn)遠程控制。當然，這種遠程控制也可以用于教師監(jiān)控學生在機器上的所有操作。遠程訪問木馬會在目標機上打開一個端口，而且有些木馬還可以改變端口、設(shè)置連接密碼等，為的是只有黑客自己來控制這個木馬。因此，用戶經(jīng)常改變端口的選項是非常重要的，只有改變了端口才會有更大的隱蔽性。44(4) 鍵盤記錄木馬。這種木馬可以隨著Windows的啟動而啟動，記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。它們有在線記錄和離線記錄兩種選項，可以分別記錄用戶在線和離線狀態(tài)下敲擊鍵盤時的按鍵情況，也就是說在目標計算機上按過什么按鍵，黑客可以從記錄中知道，并從中找出密碼信息，甚至是信用卡賬號。這種類型的木馬，很多都

31、具有郵件發(fā)送功能，木馬找到需要的密碼后，將自動把密碼發(fā)送到黑客指定的郵箱。45(5) DoS 攻擊木馬。隨著DOS(拒絕服務(wù))攻擊的增多，被用于DOS攻擊的木馬也越來越多。當黑客入侵一臺機器后，為其種上DOS 攻擊木馬，那么日后這臺計算機就成為黑客DOS 攻擊的最得力助手。黑客控制的肉雞數(shù)量越多，發(fā)動DOS攻擊取得成功的機率就越大。所以，這種木馬的危害不是體現(xiàn)在被感染計算機上，而是體現(xiàn)在黑客利用它來攻擊一臺又一臺計算機，給網(wǎng)絡(luò)造成很大的傷害和帶來損失。(6) FTP 木馬。這種木馬是最簡單而古老的木馬，它的唯一功能就是打開21號端口等待用戶連接。新FTP木馬還加上密碼功能，這樣只有黑客本人才知

32、道正確的密碼，從而進入對方計算機。46(7) 反彈端口型木馬。防火墻對于連入的連接往往會進行非常嚴格的過濾，但是對于連出的連接卻疏于防范。和一般的木馬相反，反彈端口型木馬的服務(wù)端(被控制端)往往使用主動端口，客戶端(控制端)使用被動端口。木馬定時監(jiān)測控制端的存在，發(fā)現(xiàn)控制端上線立即彈出端口主動連結(jié)控制端打開的被動端口；為了隱蔽起見，控制端的被動端口一般是80，使用戶以為是自己在瀏覽網(wǎng)頁。47(8) 代理木馬。黑客在入侵的同時需要會掩蓋自己的足跡，謹防別人發(fā)現(xiàn)自己的身份。代理木馬最重要的任務(wù)就是給被控制的肉雞種上代理木馬，讓其變成攻擊者發(fā)動攻擊的跳板。通過代理木馬，攻擊者可以在匿名的情況下使用T

33、elnet，ICQ，IRC等程序，從而隱蔽自己的蹤跡。(9) 程序殺手木馬。前面的木馬功能雖然形形色色，不過到了對方機器上要發(fā)揮作用，還需要過防木馬軟件這一關(guān)。常見的防木馬軟件有Zone Alarm，Norton Anti-Virus等。而程序殺手木馬則可以關(guān)閉對方機器上運行的這類程序，使得其他的木馬能更好地發(fā)揮作用。484.3.6 反病毒技術(shù)1病毒檢測原理在與病毒的對抗中，及早發(fā)現(xiàn)病毒是很重要的。早發(fā)現(xiàn)，早處置，可以減少損失。檢測病毒方法有：特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法、比較法、傳染實驗法等這些方法依據(jù)的原理不同，實現(xiàn)時所需開銷不同，檢測范圍不同，各有所長。49 特征代碼法。

34、特征代碼法是檢測已知病毒的最簡單、開銷最小的方法。其原理是采集所有已知病毒的特征代碼，并將這些病毒獨有的特征代碼存放在一個病毒資料庫(病毒庫)中。檢測時，以掃描的方式將待檢測文件與病毒庫中的病毒特征代碼進行一一對比，如果發(fā)現(xiàn)有相同的特征代碼，由于特征代碼與病毒一一對應(yīng)，便可以斷定，被查文件中患有何種病毒。特征代碼法的優(yōu)點是：檢測準確快速、可識別病毒的名稱、誤報警率低、依據(jù)檢測結(jié)果可做解毒處理。特征代碼法對從未見過的新病毒，自然無法知道其特征代碼，因而無法去檢測這些新病毒。50 校驗和法。校驗和法是將正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地

35、或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致，以此來發(fā)現(xiàn)文件是否感染病毒。采用校驗和法檢測病毒既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒，但是它不能識別病毒種類，更不能報出病毒名稱。由于病毒感染并非文件內(nèi)容改變的唯一的非他性原因，文件內(nèi)容的改變有可能是正常程序引起的，所以校驗和法常常誤報警。51 行為監(jiān)測法。利用病毒的特有行為特征來監(jiān)測病毒的方法，稱為行為監(jiān)測法。通過對病毒多年的觀察、研究，人們發(fā)現(xiàn)有一些行為是病毒的共同行為，而且比較特殊。當程序運行時，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報警。52 軟件模擬法。它是一種軟件分析器，用軟件方法來模擬和分析程序的運行，之后演繹為

36、虛擬機上進行的查毒，啟發(fā)式查毒技術(shù)等，是相對成熟的技術(shù)。新型檢測工具納入了軟件模擬法，該類工具開始運行時，使用特征代碼法檢測病毒，如果發(fā)現(xiàn)有隱蔽性病毒或多態(tài)性病毒(采用特殊加密技術(shù)編寫的病毒)嫌疑時，啟動軟件模擬模塊，監(jiān)視病毒的運行，待病毒自身的密碼譯碼以后，再運用特征代碼法來識別病毒的種類。53 比較法。比較法是用原始的或正常的文件與被檢測的文件進行比較。比較法包括長度比較法、內(nèi)容比較法、內(nèi)存比較法、中斷比較法等。這種比較法不需要專用的檢測病毒程序，只要用常規(guī)DOS軟件和PCtools等工具軟件就可以進行。54 傳染實驗法。這種方法的原理是利用了病毒的最重要的基本特征：傳染性。所有的病毒都會

37、進行傳染，如果不會傳染，就稱不上病毒。如果系統(tǒng)中有異常行為，最新版的檢測工具也查不出病毒時，就可以做傳染實驗，運行可疑系統(tǒng)中的程序后，再運行一些確切知道不帶毒的正常程序，然后觀察這些正常程序的長度和校驗和，如果發(fā)現(xiàn)有的程序長度增長，或者校驗和發(fā)生變化，就可斷言系統(tǒng)中有病毒。552反病毒軟件到目前為止，反病毒軟件已經(jīng)經(jīng)歷了4個階段 第一代反病毒軟件采取單純的特征碼檢測技術(shù)，將病毒從染毒文件中清除。這種方法準確可靠。但后來由于病毒采取了多態(tài)、變形等加密技術(shù)后，這種簡單的靜態(tài)掃描技術(shù)就有些力不從心了。 第二代反病毒軟件采用了一般的啟發(fā)式掃描技術(shù)、特征碼檢測技術(shù)和行為監(jiān)測技術(shù)，加入了病毒防火墻，實時對

38、病毒進行動態(tài)監(jiān)控。56 第三代反病毒軟件在第二代的基礎(chǔ)上采用了虛擬機技術(shù)，將查殺病毒合二為一，具有了能全面實現(xiàn)防、查、殺等反病毒所必備的能力，并且以駐留內(nèi)存的形式有效防止病毒的入侵。 現(xiàn)在的反病毒軟件已經(jīng)基本跨入了第四代。第四代反病毒軟件在第三代反病毒軟件的基礎(chǔ)上，結(jié)合人工智能技術(shù)，實現(xiàn)啟發(fā)式、動態(tài)、智能的查殺技術(shù)。它采用了CRC校驗和掃描機理、啟發(fā)式智能代碼分析模塊、動態(tài)數(shù)據(jù)還原模塊(這種技術(shù)能一定程度上查殺加殼偽裝后的病毒)、內(nèi)存殺毒模塊、自身免疫模塊(防止自身染毒，防止自身被病毒強行關(guān)閉)等先進技術(shù)，較好的克服了前幾代反病毒軟件的缺點。573病毒的預防 操作系統(tǒng)漏洞的檢測和安全補丁安裝。

39、對病毒的預防是從安裝操作系統(tǒng)開始的，安裝前應(yīng)準備好操作系統(tǒng)補丁和反病毒軟件、防火墻軟件等。安裝操作系統(tǒng)時，必須拔掉網(wǎng)線。操作系統(tǒng)安裝完畢后，必須立即打上補丁并安裝反病毒軟件和防火墻軟件。 操作系統(tǒng)安全設(shè)置。必須設(shè)置登錄賬戶密碼，并且必須設(shè)置得復雜一些，不能太簡單或不設(shè)置。這部分的內(nèi)容在項目2中已作詳細介紹。 58 及時升級病毒特征庫。要及時升級反病毒軟件和病毒特征庫，一般可設(shè)置為每天自動定時升級。 關(guān)閉不必要的端口。病毒入侵和傳播通常使用137、138、139和445端口，關(guān)閉這些端口后，將無法再使用網(wǎng)上鄰居和文件共享功能。建議用戶關(guān)閉這些端口。 謹慎安裝各種插件。訪問網(wǎng)頁時，若網(wǎng)頁彈出提示框

40、，要求安裝什么插件時，一定要看清楚是安裝什么東西，不要隨意同意安裝。59 不要隨意訪問不知名網(wǎng)站，可減少中病毒的機會，可以考慮使用帶有網(wǎng)頁防御功能的安全瀏覽器產(chǎn)品。 不要隨意下載文件、打開電子郵件附件及使用P2P傳輸文件等。 刪除系統(tǒng)中的默認共享資源。 定期備份重要文件，定期檢查敏感文件和敏感部位。604.4 項目實施 4.4.1 任務(wù)1：360殺毒軟件的使用1. 任務(wù)目標 (1) 掌握360殺毒軟件的使用方法。 (2) 了解安裝殺毒軟件的重要性。2. 任務(wù)內(nèi)容 (1) 安裝360殺毒軟件。 (2) 軟件升級。 (3) 病毒查殺。 (4) 軟件卸載。613. 完成任務(wù)所需的設(shè)備和軟件 (1)

41、裝有Windows XP/2003操作系統(tǒng)的PC機1臺。 (2) 360殺毒軟件1套。624任務(wù)實施步驟360殺毒軟件是360安全中心出品的一款免費的云安全殺毒軟件，具有查殺率高、資源占用少、升級迅速等優(yōu)點。360殺毒軟件于2009年10月28日通過了公安部計算機病毒防治產(chǎn)品檢驗中心的檢驗，2009年12月首次參加國際權(quán)威VB100認證即獲通過，2011年4月11日再度高分通過VB100測試。(1) 安裝360殺毒軟件步驟1：在360殺毒官方網(wǎng)站()下載最新版本的360殺毒軟件安裝程序，本項目以360殺毒軟件v3.0版本為例來說明。63步驟2：雙擊已經(jīng)下載的安裝程序圖標，進入安裝向?qū)В鐖D4-

42、5所示，選中“我已閱讀并同意軟件安裝協(xié)議”復選框，否則無法安裝。安裝路徑默認為“C:Program Files360360sd”，也可單擊右側(cè)的按鈕更改安裝路徑。步驟3：單擊“下一步”按鈕，開始安裝360殺毒軟件，如圖4-6所示。64步驟4：安裝結(jié)束時，詢問是否安裝360安全衛(wèi)士，選中“安裝360安全衛(wèi)士”復選框，如圖4-7所示。步驟5：單擊“下一步”按鈕，系統(tǒng)開始下載“360安全衛(wèi)士”軟件，下載完成后自動進行安裝，安裝完成后，選中“重新啟動計算機”復選框，如圖4-8所示。65步驟6：單擊“完成”按鈕，彈出“重新啟動計算機”對話框，單擊“重新啟動”按鈕，如圖4-9所示，立即重新啟動系統(tǒng)。66(

43、2) 軟件升級步驟1：雙擊桌面上的“360殺毒”圖標，打開“360殺毒”主窗口，選擇“產(chǎn)品升級”選項卡，如圖4-10所示。67步驟2：單擊“修改”鏈接，打開“設(shè)置”對話框，在左側(cè)窗格中選擇“升級設(shè)置”選項，在右側(cè)窗格中選中“自動升級病毒特征庫及程序”單選按鈕，如圖4-11所示。68步驟3：單擊“確定”按鈕，返回“360殺毒”主窗口，也可單擊“檢查更新”按鈕進行手動更新，升級程序會連接服務(wù)器檢查是否有可用更新，如果有的話就會下載并安裝升級文件，升級完成后會提示“恭喜您！現(xiàn)在，360殺毒已經(jīng)可以查殺最新病毒啦！”。69(3) 病毒查殺360殺毒軟件提供了四種手動病毒掃描方式：快速掃描、全盤掃描、指

44、定位置掃描和右鍵掃描。步驟1：在“360殺毒”主窗口中，選擇“病毒查殺”選項卡，如圖4-12所示。70步驟2：單擊“快速掃描”鏈接，360殺毒主要掃描Windows系統(tǒng)目錄、Program Files目錄等關(guān)鍵位置。步驟3：單擊“全盤掃描”鏈接，360殺毒掃描所有磁盤。步驟4：單擊“指定位置掃描”鏈接，打開“選擇掃描目錄”對話框，選擇需要掃描的盤符或目錄，如“本地磁盤(C:)”，如圖4-13所示，單擊“掃描”按鈕開始對指定的盤符或目錄進行病毒查殺。71步驟5：右鍵掃描。右擊某文件夾，如“C:Program Files”，在彈出的快捷菜單中選擇“使用 360殺毒 掃描”命令，如圖4-14所示，可

45、對該文件夾進行病毒查殺。72步驟6：啟動掃描后，會顯示掃描進度窗口，在這個窗口中可看到掃描的文件、總體進度，以及發(fā)現(xiàn)的威脅對象和威脅類型，如圖4-15所示。步驟7：如果希望360殺毒在掃描完成后自動關(guān)閉計算機，請選中“掃描完成后關(guān)閉計算機”復選框。73(4) 軟件卸載步驟1：選擇“開始”“程序”“360安全中心”“360殺毒”“卸載360殺毒”命令，打開“360殺毒-卸載確認”對話框，如圖4-16所示。74步驟2：選中“我要直接卸載360殺毒”單選按鈕，再單擊“直接卸載”按鈕，卸載程序開始刪除程序文件，如圖4-17所示。75步驟3：卸載完成后，提示是否重新啟動計算機，如圖4-18所示，如果想立

46、即重新啟動計算機，先關(guān)閉其他應(yīng)用程序，再選中“是，現(xiàn)在重新啟動”單選按鈕，單擊“完成”按鈕重新啟動系統(tǒng)。重新啟動系統(tǒng)之后，360殺毒卸載完成。764.4.2 任務(wù)2:360安全衛(wèi)士軟件的使用 1. 任務(wù)目標 (1) 掌握360安全衛(wèi)士的使用方法。 (2) 了解360安全衛(wèi)士的作用。2. 任務(wù)內(nèi)容 (1) 升級360安全衛(wèi)士。 (2) 電腦體檢。 (3) 查殺木馬。 (4) 清理插件。 (5) 修復漏洞。773. 完成任務(wù)所需的設(shè)備和軟件(1) 裝有Windows XP/2003操作系統(tǒng)的PC機1臺。(2) 360安全衛(wèi)士軟件1套。784. 任務(wù)實施步驟(1) 升級360安全衛(wèi)士360安全衛(wèi)士的

47、升級會在每次啟動時自動完成的，單擊任務(wù)欄中的360安全衛(wèi)士圖標，打開360安全衛(wèi)士主窗口，系統(tǒng)自動完成升級，如圖4-19所示，也可雙擊窗口底部狀態(tài)欄中的“檢查更新”鏈接，進行手動更新。79(2) 電腦體檢步驟1：在360安全衛(wèi)士主窗口中，單擊“常用”按鈕，在“電腦體檢”選項卡中，單擊“立即體檢”按鈕，360安全衛(wèi)士開始對系統(tǒng)的木馬病毒、系統(tǒng)漏洞、差評插件等各個項目進行檢測，檢測結(jié)束后給出一個體檢得分，如圖4-20所示。步驟2：單擊“一鍵修復”按鈕，對所有存在問題的項目進行一鍵修復。80(3) 查殺木馬步驟1：在“查殺木馬”選項卡中(如圖4-21所示)，可以選擇“快速掃描”、“全盤掃描”和“自定

48、義掃描”來檢查用戶的電腦里是否存在木馬程序。步驟2：掃描結(jié)束后若出現(xiàn)疑似木馬，可以選擇刪除或加入信任區(qū)。81(4) 清理插件步驟1：在“清理插件”選項卡中，單擊“開始掃描”按鈕，360安全衛(wèi)士開始掃描用戶電腦中所有存在的插件。步驟2：掃描結(jié)束后，360安全衛(wèi)士列出所有檢測到的插件，如圖4-22所示，選中需要清理的插件，單擊“立即清理”按鈕進行清理。82(5) 修復漏洞步驟1：選擇“修復漏洞”選項卡，360安全衛(wèi)士自動開始掃描用戶電腦中存在的系統(tǒng)漏洞。步驟2：掃描結(jié)束后，360安全衛(wèi)士列出所有檢測到的系統(tǒng)漏洞，如圖4-23所示，選中需要修復的漏洞，單擊“立即清理”按鈕進行修復。834.4.3 任

49、務(wù)3: 宏病毒和網(wǎng)頁病毒的防范1. 任務(wù)目標 (1) 掌握宏病毒的防范方法。 (2) 掌握網(wǎng)頁病毒的防范方法。2. 任務(wù)內(nèi)容 (1) 宏病毒的防范。 (2) 網(wǎng)頁病毒的防范。3. 完成任務(wù)所需的設(shè)備和軟件 (1) 裝有Windows XP/2003操作系統(tǒng)的PC機1臺。 (2) Office辦公軟件1套。844. 任務(wù)實施步驟(1) 宏病毒的防范 制作一個簡單的宏病毒步驟1：在Word文檔中，選擇“插入”“對象”命令，打開“對象”對話框，如圖4-24所示。85步驟2：在“新建”選項卡中，選擇“包”選項后，單擊“確定”按鈕，打開“對象包裝程序”窗口，如圖4-25所示，選擇該窗口中的“編輯”“命令

50、行”命令，在打開的“命令行”對話框中輸入“C:windowssystem32format a:/q”，單擊“確定”按鈕。86步驟3：然后在“對象包裝程序”窗口中單擊“插入圖標”按鈕，打開“更改圖標”對話框，如圖4-26所示，為該命令行選擇一個有誘惑力的圖標，然后關(guān)閉“對象包裝程序”窗口。87步驟4：此時會在文檔的相關(guān)位置出現(xiàn)一個和相關(guān)命令關(guān)聯(lián)的圖標，還可以在圖標旁邊加注一些鼓動性的文字，如圖4-27所示，盡量使瀏覽者看到后想用鼠標單擊，這樣一個簡單的宏病毒就制作成功了。88 宏病毒的防范步驟1：使用殺毒軟件查殺Office軟件的安裝目錄和相關(guān)Office文檔。步驟2：在Word 2003軟件中

51、，選擇“工具”“宏”“安全性”命令，打開“安全性”對話框，在“安全級”選項卡中，選中“高”單選按鈕，如圖4-29所示，表示只允許運行可靠來源簽署的宏，未經(jīng)簽署的宏會自動取消。89(2) 網(wǎng)頁病毒的防范 制作一個簡單的網(wǎng)頁病毒步驟1：編寫ASP腳本文件index.asp，內(nèi)容如下:90步驟2：配置好Web服務(wù)器(IIS)，并把index.asp文件保存到Web服務(wù)器的路徑中，如“C:Inetpubindex.asp”。步驟3：打開IE瀏覽器，在地址欄中輸入“”，則將在網(wǎng)頁中可看到“在C盤新建了newfile文件”信息，如圖4-30所示，并且已在C盤根目錄新建了一個newfile文件，如圖4-31

52、所示。91 網(wǎng)頁病毒的防范步驟1：運行“regsvr32 scrrun.dll /u”命令，禁止使用文件系統(tǒng)對象“”。步驟2：在IE瀏覽器中，選擇“工具”“Internet選項”命令，打開“Internet選項”對話框，在“安全”選項卡中，單擊“自定義級別”按鈕，打開“安全設(shè)置”對話框，把“ActiveX控件及插件”欄目中的所有項目設(shè)置為“禁用”，如圖4-32所示。924.4.4 任務(wù)4: 利用自解壓文件攜帶木馬程序1. 任務(wù)目標 (1) 了解利用自解壓文件攜帶木馬程序的方法。 (2) 了解木馬程序的隱藏方法。2. 任務(wù)內(nèi)容 利用自解壓文件攜帶木馬程序。3. 完成任務(wù)所需的設(shè)備和軟件 (1)

53、裝有Windows XP/2003操作系統(tǒng)的PC機1臺。 (2) WinRAR壓縮軟件1套。934. 任務(wù)實施步驟準備一個Word文件(如“my”)和一個木馬程序(如“木馬.exe”)，在本任務(wù)中，為了安全起見，把計算器程序“calc.exe”改名為“木馬.exe”，即用計算器程序代替木馬程序。步驟1：下載并安裝 WinRAR軟件。94步驟2：右擊“my”文件，在彈出的快捷菜單中選擇“添加到壓縮文件”命令，打開“壓縮文件名和參數(shù)”對話框，在“常規(guī)”選項卡中，選中“創(chuàng)建自解壓格式壓縮文件”復選框，并把壓縮文件名改為“利用自解壓文件攜帶木馬程序.exe”，如圖4-33所示。95步驟3：在“文件”選

54、項卡中，單擊“要添加的文件”文本框右側(cè)的“追加”按鈕，此時可以選擇一個預先準備好的“木馬.exe”文件，如圖4-34所示。96步驟4：在如圖4-35所示的“高級”選項卡中，單擊“自解壓選項”按鈕，打開“高級自解壓選項”對話框，如圖4-36所示。97步驟5：在“常規(guī)”選項卡中，選中“在當前文件夾創(chuàng)建”單選按鈕，并在“解壓后運行”文本框中輸入“木馬.exe”。步驟6：單擊“確定”按鈕，返回到“壓縮文件名和參數(shù)”對話框，再單擊“確定”按鈕，最終將產(chǎn)生一個自解壓文件“利用自解壓文件攜帶木馬程序.exe”。步驟7：把產(chǎn)生的自解壓文件“利用自解壓文件攜帶木馬程序.exe”拷貝到其他文件夾中，并雙擊運行，觀

55、察運行結(jié)果。984.4.5 任務(wù)5: 反彈端口木馬(灰鴿子)的演示1. 任務(wù)目標 (1) 了解反彈端口木馬(灰鴿子)的工作原理和配置方法。 (2) 了解灰鴿子木馬的危害。2. 任務(wù)內(nèi)容 (1) 配置服務(wù)端程序。 (2) 傳播木馬。 (3) 控制端操作。3. 完成任務(wù)所需的設(shè)備和軟件 (1) 裝有Windows XP/2003操作系統(tǒng)的PC機2臺。 (2) 灰鴿子木馬程序1套。994. 任務(wù)實施步驟在局域網(wǎng)中，在A主機(1)上安裝灰鴿子控制端，在B主機(2)上安裝灰鴿子服務(wù)端，A主機控制B主機。(1) 配置服務(wù)端程序步驟1：在A主機上先關(guān)閉殺毒軟件，然后運行灰鴿子客戶端程序H_Client.ex

56、e，打開“灰鴿子”主窗口，單擊“配置服務(wù)程序”按鈕，打開“服務(wù)器配置”窗口，在“連接類型”選項卡中，選中“自動上線型”單選按鈕，并在“DNS解析域名”文本框中輸入“1”(控制端A主機的IP地址)，在“上線端口”文本框中輸入“80”，在“保存路徑”文本框中輸入“C:服務(wù)端程序.exe”，如圖4-37所示。其中，80端口是控制端打開的監(jiān)聽端口，偽裝為WWW監(jiān)聽端口。100101步驟2：按圖4-38、圖4-39、圖4-40所示進一步進行設(shè)置，繼續(xù)進行偽裝。102步驟3：最后單擊“生成服務(wù)器”按鈕，最終在C盤根目錄下生成“服務(wù)端程序.exe”文件。103步驟4：在“灰鴿子”主窗口中，選擇“設(shè)置”“系統(tǒng)

57、設(shè)置”命令，打開“系統(tǒng)設(shè)置”窗口，在“端口設(shè)置”選項卡中，設(shè)置“自動上線端口”為“80”，如圖4-41所示，單擊“保存設(shè)置”按鈕，并關(guān)閉“系統(tǒng)設(shè)置”窗口。104(2) 傳播木馬通過各種方式傳播該木馬服務(wù)端程序，并誘惑用戶運行該程序。在本任務(wù)中可直接把“服務(wù)端程序.exe”文件拷貝到服務(wù)端B主機(2)上。105(3) 控制端操作步驟1：在服務(wù)端B主機上先關(guān)閉殺毒軟件，然后運行“服務(wù)端程序.exe”程序后，在控制端A主機的“灰鴿子”主窗口中，可看到服務(wù)端B主機(2)已自動上線，如圖4-42所示，此時可進行以下操作：獲取系統(tǒng)信息、限制系統(tǒng)功能、屏幕捕獲、文件管理、遠程控制、注冊表管理、文件傳輸、遠程通信