計算機病毒及惡意代碼

1、第五章 計算機病毒及惡意代碼 本章學習重點掌握內容：傳統病毒原理腳本病毒原理網絡蠕蟲原理網絡釣魚技術僵尸網絡流氓軟件1第五章 計算機病毒及惡意代碼5.1 計算機病毒概述5.2 傳統的計算機病毒5.3 腳本病毒5.4網絡蠕蟲5.5木馬技術5.6網絡釣魚5.7僵尸網絡5.8流氓軟件5.9瀏覽器劫持25.1計算機病毒概述 5.1.1 計算機病毒的定義計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。 35.1.2計算機病毒發(fā)展歷史計算機病毒的 計算機病毒伴隨計算機、網絡信息技術的快速發(fā)展而日趨復雜多變，其破壞性和傳播能力

2、也不斷增強。計算機病毒發(fā)展主要經歷了五個重要的階段。（1）原始病毒階段（第一階段）攻擊目標和破壞性比較單一。病毒程序不具有自我保護功能，較容易被人們分析、識別和清除。（2）混合型病毒階段（第二階段）1989-1991，隨著計算機局域網的應用與普及，給計算機病毒帶來了第一次流行高峰。主要特點：攻擊目標趨于綜合，以更隱蔽的方法駐留在內在和傳染目標中，系統感染病毒后沒有明顯的特征，病毒程序具有自我保護功能，出現眾多病毒的變種（3）多態(tài)性病毒階段（第三階段）在每次傳染目標時，放入宿主程序中的病毒程序大部分是可變的。防病毒軟件難以查殺，如94年“幽靈“病毒。（4）網絡病毒階段（第四階段）隨國際互聯網廣泛

3、發(fā)展，依賴互聯網傳播的郵件病毒和宏病毒等泛濫，呈現出病毒傳播快、隱蔽性強、破壞性大特點?；赪indows運行環(huán)境的病毒，隨著微軟Office軟件的普及，出現了宏病毒，各種腳本病毒也日益增多著名病毒如 CIH病毒等（5）主動攻擊型病毒階段（第五階段）典型代表：沖擊波、震蕩波病毒和木馬等。45.1.2計算機病毒發(fā)展歷史計算機病毒的產生原因 計算機病毒的產生原因主要有4個方面：1） 惡作劇型2） 報復心理型3） 版權保護型4） 特殊目的型 55.1.3計算機病毒的命名方式病毒的命名并無統一的規(guī)定，基本都是采用前后綴法來進行命名。一般格式為：前綴.病毒名.后綴。以振蕩波蠕蟲病毒的變種c“Worm.

4、Sasser. c”為例，Worm指病毒的種類為蠕蟲，Sasser是病毒名，c指該病毒的變種。（1）病毒前綴（2）病毒名（3）病毒后綴65.1.4 計算機病毒的分類（1）1. 以病毒攻擊的操作系統分類（1） 攻擊DOS 系統的病毒（2） 攻擊Windows 系統的病毒用戶使用多，主要的攻擊對象（3） 攻擊UNIX 系統的病毒（4） 攻擊OS/2 系統的病毒（5） 攻擊NetWare 系統的病毒2以病毒的攻擊機型分類（1） 攻擊微型計算機的病毒（2） 攻擊小型機的計算機病毒（3） 攻擊服務器的計算機病毒75.1.4 計算機病毒的分類（2）3按照計算機病毒的鏈接方式分類（1） 源碼型病毒（2） 嵌

5、入型病毒將計算機病毒的主體程序與其攻擊對象以插入方式進行鏈接，一旦進入程序中就難以清除。（3） 外殼型病毒將自身包圍在合法的主程序的周圍，對原來的程序并不作任何修改。常見、易于編寫、易發(fā)現。（4） 操作系統型病毒4按照計算機病毒的破壞能力分類根據病毒破壞的能力可劃分為4種：（1） 無害型（2） 無危險型（3） 危險型 （4） 非常危險型85.1.4 計算機病毒的分類（3）5按照傳播媒介不同分類（1）單機病毒（2）網絡病毒6按傳播方式不同分類（1）引導型病毒（2）文件型病毒： .com .exe（3）混合型病毒7根據病毒特有的算法不同分類（1） 伴隨型病毒（2） 蠕蟲型病毒（3） 寄生型病毒（4

6、） 練習型病毒（5） 詭秘型病毒（6） 變型病毒（又稱幽靈病毒）95.1.4 計算機病毒的分類（4）8. 按照病毒的寄生部位或傳染對象分類（1）磁盤引導區(qū)傳染的計算機病毒（2）操作系統傳染的計算機病毒（3）可執(zhí)行程序傳染的計算機病毒 以上三種病毒的分類，實際上可以歸納為兩大類：一類是引導區(qū)型傳染的計算機病毒；另一類是可執(zhí)行文件型傳染的計算機病毒。 105.1.5 計算機病毒特征根據對計算機病毒的產生、傳播和破壞行為的分析，可以將計算機病毒概括為以下6 個主要特點。1.傳染性指病毒具有把自身復制到其它程序中的特性 2. 取得系統控制權3. 隱蔽性隱蔽性 。通過隱蔽技術使宿主程序的大小沒有改變，以

7、至于很難被發(fā)現。 4. 破壞性破壞性 計算機所有資源包括硬件資源和軟件資源，軟件所能接觸的地方均可能受到計算機病毒的破壞5. 潛伏性潛伏性 長期隱藏在系統中，只有在滿足特定條件時，才啟動其破壞模塊。 6. 不可預見性115.1.5 計算機病毒特征網絡病毒又增加很多新的特點 主動通過網絡和郵件系統傳播 計算機的病毒種類呈爆炸式增長變種多，容易編寫，并且很容易被修改，生成很多病毒變種 融合多種網絡技術，并被黑客所使用 125.1.6病毒的組成結構與傳播計算機病毒的組成結構計算機病毒的種類很多，但通過分析現有的計算機病毒，發(fā)現幾乎所有的計算機病毒都是由3 個部分組成即:引導模塊傳播模塊表現模塊135

8、.1.6病毒的組成結構與傳播病毒傳播可分為兩種方式：（1） 用戶在進行復制磁盤或文件時，把病毒由一個載體復制到另一個載體上，或者通過網絡把一個病毒程序從一方傳遞到另一方，這種傳播方式叫做計算機病毒的被動傳播；（2） 計算機病毒以計算機系統的運行以及病毒程序處于激活狀態(tài)為先決條件，在病毒處于激活狀態(tài)下，只要傳播條件滿足，病毒程序能主動把病毒自身傳播給另一個載體或另一個系統，這種傳播方式叫做計算機病毒的主動傳播。 145.1.6病毒的組成結構與傳播計算機病毒的傳播途徑：（1） 通過不可移動的計算機硬件設備進行傳播，即利用專用ASIC 芯片和硬盤進行傳播；（2） 通過移動存儲設備來傳播，其中U盤和移

9、動硬盤是使用最廣泛、移動最頻繁的存儲介質；（3） 通過計算機網絡進行傳播；（4） 通過點對點通信系統和無線通道傳播。155.1.7 計算機中毒的異常表現1. 計算機病毒發(fā)作前的表現（1） 平時運行正常的計算機突然經常性無緣無故地死機（2） 操作系統無法正常啟動（3） 運行速度明顯變慢（4） 正常運行的軟件經常發(fā)生內存不足問題（5） 打印和通訊出現異常（6） 無意中要求對U盤進行寫操作（7） 以往正常運行的應用程序經常發(fā)生死機或者非法錯誤 （8） 系統文件的時間、日期、大小發(fā)生變化（9） 無法另存為一個Word文檔（10） 磁盤空間迅速減少（11） 網絡驅動器卷或共享目錄無法調用。（12） 基本

10、內存發(fā)生變化。（13） 陌生人發(fā)來的電子郵件（14）自動鏈接到一些陌生的網站165.1.7 計算機中毒的異常表現2. 計算機病毒發(fā)作時的現象（1）提示不相關對話（2）發(fā)出音樂（3）產生特定的圖象（4）硬盤燈不斷閃爍（5）進行游戲算法（6）Windows桌面圖標發(fā)生變化（7）突然死機或重啟（8）自動發(fā)送電子郵件（9）鼠標自己在動175.1.7 計算機中毒的異常表現3. 計算機病毒發(fā)作后的表現（1） 硬盤無法啟動，數據丟失（2） 系統文件丟失或被破壞（3） 文件目錄發(fā)生混亂（4） 部分文檔丟失或被破壞（5） 部分文檔自動加密碼（6） 修改Autoexec.bat文件，導致計算機重新啟動時格式化硬盤

11、（7） 使部分可軟件升級主板的BIOS程序混亂，主板被破壞（8） 網絡癱瘓，無法提供正常的服務 185.2 傳統的計算機病毒5.2.1 計算機病毒的基本機制分為三大模塊：傳染機制、破壞機制、觸發(fā)機制。 計算機病毒的傳染機制 指計算機病毒由一個宿主傳播到另一個宿主程序，由一個系統進入另一個系統的過程。 觸發(fā)機制計算機病毒在傳染和發(fā)作之前，要判斷某些特定條件是否滿足，這個條件就是計算機病毒的觸發(fā)條件。破壞機制 良性病毒表現為占用內存或硬盤資源。惡性病毒則會對目標主機系統或信息產生嚴重破壞。 195.2.2 病毒分析Windows環(huán)境下，主要病毒有文件型病毒、引導性病毒和宏病毒等 文件型病毒文件型病

12、毒主要感染可執(zhí)行文件，Windows環(huán)境下主要為.EXE文件，為PE格式文件PE是 Win32環(huán)境自身所帶的執(zhí)行體文件格式。 205.2.2 病毒分析當運行一個PE可執(zhí)行文件時 當PE文件被執(zhí)行，PE裝載器檢查 DOS MZ header 里的 PE header 偏移量。如果找到，則跳轉到 PE header。 PE裝載器檢查 PE header 的有效性。如果有效，就跳轉到PE header的尾部。 緊跟 PE header 的是節(jié)表。PE裝載器讀取其中的節(jié)信息，并采用文件映射方法將這些節(jié)映射到內存，同時附上節(jié)表里指定的節(jié)屬性。 PE文件映射入內存后，PE裝載器將處理PE文件中類似 imp

13、ort table（引入表）邏輯部分。 215.2.2 病毒分析感染PE文件，必須滿足兩個基本條件：是能夠在宿主程序中被調用，獲得運行權限；主要采用重定位的方法，改PE文件在系統運行PE文件時，病毒代碼可以獲取控制權，在執(zhí)行完感染或破壞代碼后，再將控制權轉移給正常的程序代碼。方法有：可以修改文件頭中代碼開始執(zhí)行位置（AddressOfEntryPoint） 在PE文件中添加一個新節(jié) 病毒進行各種操作時需調用API函數 ，有兩種解決方案。在感染PE文件的時候，可以搜索宿主的引入函數節(jié)的相關地址。解析導出函數節(jié)，尤其是Kernel32.DLL 225.2.2 病毒分析宏病毒 就是使用宏語言編寫的程

14、序，可以在一些數據處理系統中運行，存在于字處理文檔、數據表格、數據庫、演示文檔等數據文件中 感染過程 改寫Word宏改寫文檔自動執(zhí)行宏，如AutoOpen、 等等 235.2.2 病毒分析轉換成文檔模板的宏 當宏病毒獲得運行權限之后，把所關聯的宿主文檔轉換成模板格式，然后把所有宏病毒復制到該模板之中 感染其它Word文檔 當其它的Word文件打開時，由于自動調用該模板因而會自動運行宏病毒 245.2.2 病毒分析宏病毒具有如下特點 傳播快Word文檔是交流最廣的文件類型。人們大多對外來的文檔文件基本是直接瀏覽使用，這給Word宏病毒傳播帶來很多便利。 制作、變種方便Word使用宏語言WordB

15、asic來編寫宏指令。用戶很方便就可以看到這種宏病毒的全部面目。把宏病毒稍微加以改變，立即就生產出了一種新的宏病毒. 破壞性大255.2.3 傳統計算機病毒防御文件型病毒一般采用以下一些方法 安裝最新版本、有實時監(jiān)控文件系統功能的防病毒軟件。及時更新病毒引擎，最好每周更新一次，并在有病毒突發(fā)事件時立即更新。經常使用防毒軟件對系統進行病毒檢查。對關鍵文件，如系統文件、重要數據等，在無毒環(huán)境下備份。在不影響系統正常工作的情況下對系統文件設置最低的訪問權限。265.2.3 傳統計算機病毒防御宏病毒的預防與清除找到一個無毒的Normal.dot 文件的備份，將位于“MSOffice Template

16、”文件夾下的通用模板Normal.dot文件替換掉；對于已染病毒的文件，先打開一個無毒Word文件，按照以下菜單打開對話框：工具-宏-安全性，設置安全性為高 275.3 腳本病毒 5.3.1 腳本病毒概述腳本病毒依賴一種特殊的腳本語言（如：VBScript、JavaScript等）起作用，同時需要應用環(huán)境能夠正確識別和翻譯這種腳本語言中嵌套的命令，腳本病毒可以在多個產品環(huán)境中進行。腳本病毒具有如下特征 編寫簡單由于腳本的簡單性，使以前對病毒不了解的人都可以在很短的時間里編出一個新型病毒。病毒源碼容易被獲取、變種多其源代碼可讀性非常強 285.3.1 腳本病毒概述感染力強。采用腳本高級語言可以實

17、現多種復雜操作，感染其它文件或直接自動運行。破壞力強 腳本病毒可以寄生于HTML或郵件通過網絡傳播，其傳播速度非?？?。腳本病毒不但能夠攻擊被感染的主機，獲取敏感信息，刪除關鍵文件；更可以攻擊網絡或者服務器，造成拒絕服務攻擊，產生嚴重破壞。傳播范圍廣這類病毒通過HTML文檔，Email附件或其它方式，可以在很短時間內傳遍世界各地。采用多種欺騙手段腳本病毒為了得到運行機會，往往會采用各種讓用戶不大注意的手段， 295.3.2 腳本病毒原理腳本病毒的傳播分析 腳本病毒一般是直接通過自我復制來感染文件的，病毒中的絕大部分代碼都可以直接附加在其它同類程序中間：腳本病毒通過網絡傳播的幾種方式通過電子郵件傳

18、播 通過局域網共享傳播感染HTML、ASP、JSP、PHP等網頁通過瀏覽器傳播 通過U盤自動運行傳播其它的傳播方式 305.3.2 腳本病毒原理腳本病毒的獲得控制權的方法分析修改注冊表項 修改自動加載項通過映射文件執(zhí)行方式欺騙用戶，讓用戶自己執(zhí)行desktop.ini和folder.htt互相配合如果用戶的目錄中含有這兩個文件，當用戶進入該目錄時，就會觸發(fā)folder.htt中的病毒代碼。直接復制和調用可執(zhí)行文件315.3.3 腳本病毒防御腳本病毒要求被感染系統具有如下支持能力：VBScript代碼是通過Windows Script Host來解釋執(zhí)行的，wscript.exe就是該功能的相關

19、支持程序。絕大部分VBS腳本病毒運行的時候需要對象的支持。通過網頁傳播的病毒需要ActiveX的支持通過Email傳播的病毒需要郵件軟件的自動發(fā)送功能支持。325.3.3 腳本病毒防御因此可以采用以下方法防御腳本病毒可以通過打開“我的計算機”，依次點擊查看文件夾選項文件類型在文件類型中將后綴名為“VBS、VBE、JS、JSE、WSH、WSF”的所有針對腳本文件的操作均刪除。這樣這些文件就不會被執(zhí)行了。 在IE設置中將ActiveX插件和控件以及Java相關的組件全部禁止，可以避免一些惡意代碼的攻擊。方法是：打開IE，點擊“工具”“Internet選項”“安全”“自定義級別”，在“安全設置”對話

20、框中，將其中所有的ActiveX插件和控件以及與Java相關的組件全部禁止即可。禁用文件系統對象， 用regsvr32 scrrun.dll /u這條命令就可以禁止文件系統對象。禁止郵件軟件的自動收發(fā)郵件功能Windows默認的是“隱藏已知文件類型的擴展名稱”，將其修改為顯示所有文件類型的擴展名稱。選擇一款好的防病毒軟件并做好及時升級。335.4網絡蠕蟲 5.4.1 網絡蠕蟲概述網絡蠕蟲是一種智能化、自動化并綜合網絡攻擊、密碼學和計算機病毒技術，不要計算機使用者干預即可運行的攻擊程序或代碼。它會掃描和攻擊網絡上存在系統漏洞的節(jié)點主機，通過網絡從一個節(jié)點傳播到另外一個節(jié)點。 345.4.1 網絡

21、蠕蟲概述網絡蠕蟲具有以下特征(2-1)主動攻擊從搜索漏洞，到利用搜索結果攻擊系統，到攻擊成功后復制副本，整個流程全由蠕蟲自身主動完成。利用軟件漏洞蠕蟲利用系統的漏洞獲得被攻擊的計算機系統的相應權限，使之進行復制和傳播過程成為可能。造成網絡擁塞在傳播的過程中，蠕蟲需要判斷其它計算機是否存活；判斷特定應用服務是否存在；判斷漏洞是否存在等等，這將產生大量的網絡數據流量。同時出于攻擊網絡的需要，蠕蟲也可以產生大量惡意流量，當大量的機器感染蠕蟲時，就會產生巨大的網絡流量，導致整個網絡癱瘓。消耗系統資源蠕蟲入侵到計算機系統之后，一方面由于要搜索目標主機、漏洞、感染其它主機需要消耗一定的資源；另一方面，許多

22、蠕蟲會惡意耗費系統的資源。355.4.1 網絡蠕蟲概述留下安全隱患大部分蠕蟲會搜集、擴散、暴露系統敏感信息（如用戶信息等），并在系統中留下后門。行蹤隱蔽蠕蟲的傳播過程中，不需要用戶的輔助工作，其傳播的過程中用戶基本上不可察覺。反復性即使清除了蠕蟲留下的任何痕跡，如果沒有修補計算機系統漏洞，網絡中的計算機還是會被重新感染。破壞性越來越多的蠕蟲開始包含惡意代碼，破壞被攻擊的計算機系統，而且造成的經濟損失數目越來越大。36 蠕蟲造成的損失對照表 病毒名稱持續(xù)時間造成損失莫里斯蠕蟲(MORRIS)1988年6000多臺計算機感染，占但是互聯網的10%，直接經濟損失達一千多萬美元愛蟲病毒(ILOVEYO

23、U)2000年5月至今眾多用戶計算機被感染，損失超過100億美元紅色代碼(Code Red)2001年7月100多萬臺計算機感染，直接經濟損失超過26億美元求職信2001年12月大量病毒郵件堵塞服務器，損失達數百億美元SQL蠕蟲王2003年1月網絡大面積癱瘓，銀行自動提款機運做中斷，直接經濟損失超過26億美元沖擊波(Blaster)2003年20億100億美元，受到感染的計算機不計其數霸王蟲(Sobig.F)2003年50億100億美元，超過100萬臺計算機被感染震蕩波(Sasser)2004年8月損失估計：數千萬美元375.4.2 網絡蠕蟲工作機制 網絡蠕蟲的工作機制分為3個階段：信息收集、

24、攻擊滲透、現場處理信息收集按照一定的策略搜索網絡中存活的主機，收集目標主機的信息，并遠程進行漏洞的分析。如果目標主機上有可以利用的漏洞則確定為一個可以攻擊的主機，否則放棄攻擊。攻擊滲透通過收集的漏洞信息嘗試攻擊，一旦攻擊成功，則獲得控制該主機的權限，將蠕蟲代碼滲透到被攻擊主機?，F場處理當攻擊成功后，開始對被攻擊的主機進行一些處理工作，將攻擊代碼隱藏，為了能使被攻擊主機運行蠕蟲代碼，還要通過注冊表將蠕蟲程序設為自啟動狀態(tài)；可以完成它想完成的任何動作，如惡意占用CPU資源；收集被攻擊主機的敏感信息，可以危害被感染的主機，刪除關鍵文件。 385.4.3 網絡蠕蟲掃描策略(2-1)網絡蠕蟲掃描越是能夠

25、盡快地發(fā)現被感染主機，那么網絡蠕蟲的傳播速度就越快。 隨機掃描隨機選取某一段IP地址，然后對這一地址段上的主機掃描。由于不知道哪些主機已經感染蠕蟲，很多掃描是無用的。這一方法的蠕蟲傳播速度較慢。但是隨著蠕蟲的擴散，網絡上存在大量的蠕蟲時，蠕蟲造成的網絡流量就變得非常巨大。 選擇掃描選擇性隨機掃描將最有可能存在漏洞主機的地址集作為掃描的地址空間。所選的目標地址按照一定的算法隨機生成。選擇性隨機掃描算法簡單，容易實現，若與本地優(yōu)先原則結合則能達到更好的傳播效果。紅色代碼和“Slammer”的傳播采用了選擇性隨機掃描策略。395.4.3 網絡蠕蟲掃描策略(2-2)順序掃描順序掃描是被感染主機上蠕蟲會

26、隨機選擇一個C類網絡地址進行傳播，根據本地優(yōu)先原則，網絡地址段順序遞增。基于目標列表的掃描 基于目標列表掃描是指網絡蠕蟲根據預先生成易感染的目標列表，搜尋感染目標，。基于DNS掃描 從DNS服務器獲取IP地址來建立目標地址庫，優(yōu)點在于獲得的IP地址塊針對性強和可用性高。關鍵問題是如何從DNS服務器得到網絡主機地址，以及DNS服務器是否存在足夠的網絡主機地址。405.4網絡蠕蟲掃描策略設計的原則有三點 盡量減少重復的掃描，使掃描發(fā)送的數據包盡量是沒有被感染蠕蟲的機器；保證掃描覆蓋到盡量大的可用地址段，包括盡量大的范圍，掃描的地址段為互聯網上的有效地址段；處理好掃描的時間分布，使得掃描不要集中在某

27、一時間內發(fā)生。415.4.4 網絡蠕蟲傳播模型分為3個階段 慢速發(fā)展階段，漏洞被蠕蟲設計者發(fā)現，并利用漏洞設計蠕蟲發(fā)布于互聯網，大部分用戶還沒有通過服務器下載補丁，網絡蠕蟲只是感染了少量的網絡中的主機?？焖侔l(fā)展階段，如果每個感染蠕蟲的可以掃描并感染的主機數為W，n為感染的次數，那么感染主機數擴展速度為Wn，感染蠕蟲的機器成指數冪急劇增長。緩慢消失階段，隨著網絡蠕蟲的爆發(fā)和流行，人們通過分析蠕蟲的傳播機制，采取一定措施及時更新補丁包，并采取措刪除本機存在的蠕蟲，感染蠕蟲數量開始緩慢減少。 425.4.5 網絡蠕蟲防御和清除 給系統漏洞打補丁蠕蟲病毒大多數都是利用系統漏洞進行傳播的，因此在清除蠕蟲

28、病毒之前必須將蠕蟲病毒利用的相關漏洞進行修補。清除正在運行的蠕蟲進程每個進入內存的蠕蟲一般會以進程的形式存在，只要清除了該進程，就可以使蠕蟲失效。刪除蠕蟲病毒的自啟動項感染蠕蟲主機用戶一般不可能啟動蠕蟲病毒，蠕蟲病毒需要就自己啟動。需要在這些自啟動項中清除蠕蟲病毒的設置。刪除蠕蟲文件可以通過蠕蟲在注冊表的鍵值可以知道病毒的躲藏位置，對于那些正在運行或被調用的文件無法直接刪除，可以借助于相關工具刪除。利用自動防護工具，如個人防火墻軟件通過個人防火墻軟件可以設置禁止不必要的服務。另外也可以設置監(jiān)控自己主機有那些惡意的流量。435.5木馬技術 5.5.1 木馬技術概述指隱藏在正常程序中的一段具有特殊

29、功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和DoS攻擊等特殊功能的后門程序。它與控制主機之間建立起連接，使得控制者能夠通過網絡控制受害系統，最大的特征在于隱秘性，偷偷混入對方的主機里面，但是卻沒有被對方發(fā)現。這與戰(zhàn)爭中的木馬戰(zhàn)術十分相似，因而得名木馬程序。 445.5.1 木馬技術概述木馬的發(fā)展歷程 第一代木馬出現在網絡發(fā)展的早期，是以竊取網絡密碼為主要任務，這種木馬通過偽裝成一個合法的程序誘騙用戶上當。第一代木馬還不具有傳染性，在隱藏和通信方面也均無特別之處。第二代木馬在技術上有了很大的進步，它使用標準的C/S架構，提供遠程文件管理、屏幕監(jiān)視等功能，在隱藏、自啟動和操縱服務器等

30、技術上也有很大的發(fā)展。由于植入木馬的服務端程序會打開連接端口等候客戶端連接，比較容易被用戶發(fā)現。冰河、BO2000等都是典型的第二代木馬。第三代木馬改變主要在網絡連接方式上，特征是不打開連接端口進行偵聽，而是使用ICMP通信協議進行通信或使用TCP端口反彈技術讓服務器端主動連接客戶端，以突破防火墻的攔截。增加了查殺難度，如網絡神偷(Netthief)、灰鴿子木馬等。455.5.1 木馬技術概述第四代木馬在進程隱藏方面做了較大改動，讓木馬服務器運行時沒有進程。如rootkit技術，嵌入木馬通過替換系統程序、DLL、甚至是驅動程序，替換之后還能夠提供原來程序正常的服務從而實現木馬的隱藏。木馬不是單

31、獨的進程或者以注冊服務的形式出現，無法通過“任務管理器”查看到正在運行的木馬。需要專門的工具才能發(fā)現以及專業(yè)的木馬查殺工具才能清除。第五代木馬實現了與病毒緊密結合，利用操作系統漏洞，直接實現感染傳播的目的，而不必象以前的木馬那樣需要欺騙用戶主動激活。465.5.1 木馬技術概述木馬特征 隱蔽性隱蔽性是木馬的首要特征。木馬類軟件的SERVER端程序在被控主機系統上運行時，會使用各種方法來隱藏自己。自動運行性木馬程序通過修改系統配置文件，在目標主機系統啟動時自動運行或加載。欺騙性木馬程序要達到其長期隱蔽的目的，就必需借助系統中已有的文件，以防用戶發(fā)現。自動恢復性很多的木馬程序中的功能模塊已不再是由

32、單一的文件組成，而是具有多重備份，可以相互恢復。系統一旦被植入木馬，只刪除某一個木馬文件來進行清除是無法清除干凈的。破壞或信息收集木馬通常具有搜索Cache中的口令、設置口令、掃描目標機器的IP地址、進行鍵盤記錄、遠程注冊表的操作、以及鎖定鼠標等功能。 475.5.2 木馬的實現原理與攻擊技術在了解木馬攻擊技術之前，需要先了解木馬欺騙技術，木馬欺騙技術是木馬欺騙用戶安裝、欺騙用戶運行以及隱藏自己的關鍵技術。木馬欺騙技術主要有 ：偽裝成其它類型的文件 ，可執(zhí)行文件需要偽裝其它文件。如偽裝成圖片文件 合并程序欺騙合并程序是可以將兩個或兩個以上的可執(zhí)行文件(exe文件) 結合為一個文件，以后只需執(zhí)行

33、這個合并文件，兩個可執(zhí)行文件就會同時執(zhí)行。 485.5.2 木馬的實現原理與攻擊技術插入其它文件內部利用運行flash文件和影視文件具有可以執(zhí)行腳本文件的特性，一般使用“插馬”工具將腳本文件插入到swf、rm等類型的flash文件和影視文件中 偽裝成應用程序擴展組件黑客們通常將木馬程序寫成為任何類型的文件然后掛在一個常用的軟件中 。利用WinRar制作成自釋放文件，把木馬程序和其它常用程序利用WinRar捆綁在一起，將其制作成自釋放文件。 在Word文檔中加入木馬文件，在Word文檔末尾加入木馬文件，只要別人點擊這個所謂的Word文件就會中木馬。 495.5.2 木馬的實現原理與攻擊技術一個木

34、馬程序要通過網絡入侵并控制被植入的計算機，需要采用以下四個環(huán)節(jié) ：首先是向目標主機植入木馬，通過網絡將木馬程序植入到被控制的計算機；啟動和隱藏木馬，木馬程序一般是一個單獨文件需要一些系統設置來讓計算機自動啟動木馬程序，為了防止被植入者發(fā)現和刪除運行的木馬程序，就需要將運行的木馬程隱藏起來。植入者控制被植入木馬的主機，需要通過網絡通信，需要采取一定的隱藏技術，使通信過程不能夠使被植入者通過防火墻等發(fā)現。就是植入者通過客戶端遠程控制達到其攻擊的目的，可以收集被植入者的敏感信息，可以監(jiān)視被植入者的計算機運行和動作，甚至可以用來攻擊網絡中的其它系統。505.5.2 木馬的實現原理與攻擊技術植入技術，木

35、馬植入技術可以大概分為主動植入與被動植入兩類。主動植入：就是攻擊者利用網絡攻擊技術通過網絡將木馬程序植入到遠程目標主機，這個行為過程完全由攻擊者主動掌握。被動植入：是指攻擊者預先設置某種環(huán)境，然后被動等待目標系統用戶的某種可能的操作，只有這種操作執(zhí)行，木馬程序才有可能植入目標系統。515.5.2 木馬的實現原理與攻擊技術主動植入技術主要包括 ： 利用系統自身漏洞植入攻擊者利用所了解的系統的安全漏洞及其特性主動出擊。利用第三方軟件漏洞植入。 利用即時通信軟件發(fā)送偽裝的木馬文件植入 利用電子郵件發(fā)送植入木馬 525.5.2 木馬的實現原理與攻擊技術被動植入 包括：軟件下載一些非正規(guī)的網站以提供軟件

36、下載為名義，將木馬捆綁在軟件安裝程序上，下載后只要一運行這些程序，木馬就會自動安裝。利用共享文件學?；騿挝坏木钟蚓W里為了學習和工作方便，會將許多硬盤或文件夾共享出來，甚至不加密碼，具有可寫權限。利用Autorun文件傳播這一方法主要是利用Autorun文件自動運行的特性，通過U盤植入。網頁瀏覽傳播這種方法利用Script/ActiveX控件、JavaApplet等技術編寫出一個HTML網頁，當瀏覽該頁面時，會在后臺將木馬程序下載到計算機緩存中，然后修改系統注冊表，使相關鍵值指向“木馬”程序。535.5.2 木馬的實現原理與攻擊技術木馬的自動加載技術 針對Windows系統，木馬程序的自動加載運

37、行主要有以下一些方法：修改系統文件。修改目標的系統文件以達到自動加載的目的。修改系統注冊表修改文件打開關聯 修改任務計劃修改組策略 替換系統自動運行的文件 替換系統DLL 作為服務啟動 利用AppInit_DLLs 注入545.5.2 木馬的實現原理與攻擊技術木馬隱藏技術 主要分為兩類：主機隱藏和通信隱藏。主機隱藏主要指在主機系統上表現為正常的進程。主機隱藏方式很多，主要有文件隱藏、進程隱藏等。文件隱藏主要有兩種方式采用欺騙的方式偽裝成其它文件偽裝成系統文件， 555.5.2 木馬的實現原理與攻擊技術進程隱藏 動態(tài)鏈接庫注入技術，將“木馬”程序做成一個動態(tài)鏈接庫文件，并將調用動態(tài)鏈接庫函數的語

38、句插入到目標進程，這個函數類似于普通程序中的入口程序。Hooking API技術。通過修改API函數的入口地址的方法來欺騙試圖列舉本地所有進程的程序 565.5.2 木馬的實現原理與攻擊技術通信隱藏主要包括通信端口隱藏、內容隱藏采用以下技術： 復用正常服務端口。直接綁定到正常用戶進程的端口，接受數據后，根據包格式判斷是不是自己的，如果是自己處理，如果不是通過的地址交給真正的服務器應用進行處理，以利用正常的網絡連接隱藏木馬的通信狀態(tài)。 采用其它不需要端口的協議進行通信。如ICMP協議，主要缺點是防火墻可能把所有ICMP協議的信息過濾掉。利用“反彈端口”技術。木馬程序啟動后主動連接客戶，為了隱蔽起

39、見，控制端的被動端口一般開在80。利用SPI防火墻技術隱藏。采用嗅探技術 575.5.2 木馬的實現原理與攻擊技術遠程控制端口掃描。采用端口掃描技術獲得那些安裝了木馬主機的IP地址。一旦發(fā)現中了木馬的主機則添加到客戶端控制程序的木馬主機列表。郵件發(fā)送。一些木馬具有郵件發(fā)送功能，在設置木馬程序時，填入免費郵箱，一旦木馬程序啟動，就會將其植入主機的IP地址發(fā)送給植入者的郵箱。植入者根據IP地址和對應的端口與木馬建立連接通道。如網絡公牛等。UDP通知。植入者將自己的IP地址寫到主頁空間的指定文件里，被植入的木馬讀取文件的內容，得到客戶端的IP地址以及其它信息（主機名、IP地址、上線時間等等），然后木

40、馬用UDP協議發(fā)送給植入者，如網絡神偷就是采用了該項技術。利用QQ、MSN等通信軟件585.5.2 木馬的實現原理與攻擊技術木馬危害 竊取密碼 遠程訪問控制DoS攻擊代理攻擊程序殺手595.5.4 木馬的防御根據木馬工作原理，木馬檢測一般有以下一些方法 ：掃描端口大部分的木馬服務器端會在系統中監(jiān)聽某個端口，因此，通過查看系統上開啟了那些端口能有效地發(fā)現遠程控制木馬的蹤跡。 檢查系統進程 很多木馬在運行期間都會在系統中生成進程。因此，檢查進程是一種非常有效的發(fā)現木馬蹤跡方法。檢查ini文件、注冊表和服務等自啟動項 監(jiān)視網絡通訊，木馬的通信監(jiān)控可以通過防火墻來監(jiān)控605.5.5 幾款免費的木馬專殺

41、工具幾款免費木馬專殺工具如：Windows清理助手、惡意軟件清理助手、Atool、冰刃 冰刃(Icesword)是專業(yè)查殺木馬工具中較好的工具之一 ，殺木馬特點： 刪除文件，許多木馬文件為了防止刪除，具有寫保護功能，無法直接刪除。冰刃提供了可以完全刪除任何文件的功能。 刪除注冊表項。木馬可以隱藏注冊表項讓Windows自帶的注冊表工具rgedit無法顯示或刪除，而冰刃程序可以容易做到刪除任意的注冊表項和顯示所有的注冊表項。615.5.5 幾款免費的木馬專殺工具終止任意的進程。冰刃程序可以刪除除idle進程、System進程、csrss進程以外的所有進程查看進程通信情況。 查看消息鉤子。 線程創(chuàng)

42、建和線程終止監(jiān)視。 查看SPI和BHO。 其它功能。如自啟動項管理、服務查看等功能。625.6網絡釣魚 5.6.1 網絡釣魚技術 網絡釣魚是通過發(fā)送聲稱來自于銀行或其它知名機構的欺騙性垃圾郵件，或者偽裝成其Web站點，意圖引誘收信人或網站瀏覽者給出敏感信息（如用戶名、口令、帳號 ID 、 ATM PIN 碼或信用卡詳細信息）的一種攻擊方式。網絡釣魚的攻擊方法主要有以下幾種 建立假冒網上銀行、網上證券的網站，騙取用戶帳號密碼實施盜竊。犯罪分子建立起域名和網頁內容都與真正網上銀行系統、網上證券交易平臺極為相似的網站，引誘用戶輸入賬號密碼等信息，進而通過真正的網上銀行、網上證券系統或者偽造銀行儲蓄卡

43、、證券交易卡盜竊資金 635.6.1 網絡釣魚技術發(fā)送電子郵件，以虛假信息引誘用戶中圈套 攻擊者以垃圾郵件的形式大量發(fā)送欺詐性郵件，這些郵件多以中獎、顧問、對帳等內容引誘用戶在郵件中填入金融賬號和密碼，或是以各種緊迫的理由要求收件人登錄某網頁提交用戶名、密碼、身份證號、信用卡號等信息，繼而盜竊用戶資金 利用虛假的電子商務進行詐騙 此類犯罪活動往往是建立電子商務網站，或是在比較知名、大型的電子商務網站上發(fā)布虛假的商品銷售信息，犯罪分子在收到受害人的購物匯款后就銷聲匿跡 645.6.1 網絡釣魚技術利用QQ、MSN甚至手機短信等即時通信方式欺騙用戶 冒充軟件運營商告訴某用戶中獎或者免費獲得游戲幣等

44、方式，這一方法的主要欺騙目的是獲取游戲幣，或者通過移動服務上收取信息費。利用木馬和黑客技術等手段竊取用戶信息后實施盜竊活動 木馬制作者通過發(fā)送郵件或在網站中隱藏木馬等方式大肆傳播木馬程序，當感染木馬的用戶進行網上交易時，木馬程序即以鍵盤記錄的方式獲取用戶賬號和密碼，并發(fā)送給指定郵箱，用戶資金將受到嚴重威脅。655.6.2 網絡釣魚的防御對于用戶端，可以采用以下措施 盡量不通過鏈接打開網頁，而是直接輸入域名訪問網絡。 對于需要輸入帳號和密碼的網站再三確認.給網絡瀏覽器程序安裝補丁，使其補丁保持在最新狀態(tài).利用已有的防病毒軟件，實時防御釣魚網站。 665.7僵尸網絡 5.7.1 概述僵尸網絡是攻擊

45、者通過網絡傳播僵尸程序，利用一對多的命令與控制信道控制大量主機，攻擊其它網絡或主機，從而得到自己惡意目的的網絡。 675.7.1 概述 一個僵尸網絡由以下部分組成 僵尸（Bot）：置于被控制主機，能夠按照預定義的指令執(zhí)行操作，具有一定智能的程序。僵尸計算機(Zombie)：是指被植入僵尸的計算機。僵尸網絡控制服務器可以將僵尸主機連接的IRC服務器，控制者通過該服務器向僵尸主機發(fā)送命令進行控制。685.7.1 概述僵尸網絡主要有以下危害 分布式拒絕服務攻擊(DDoS)。 發(fā)送垃圾郵件 竊取秘密。 取得非法利益資源 作為攻擊跳板 695.7.2 僵尸網絡的工作原理分析僵尸網絡一般采用以下幾種手段感染受害主機 主動攻擊漏洞是通過攻擊系統所存在的漏洞獲得訪問權，并將僵尸程序植入受害主機，從而感染成為僵尸主機。郵件病毒通常在郵件附件中攜帶僵尸程序或者在郵件內容中包含下載執(zhí)行僵尸程序的鏈接，使得接收者主機被感染成為僵尸主機。即時通信軟件攻擊者攻陷即時通信的用戶，并利用好友列表發(fā)送執(zhí)行僵尸程序的鏈接，從而進