計算機病毒及防范技術(shù)

1、計算機病毒及防范技術(shù)網(wǎng)絡安全教學目的：（1）了解計算機病毒的定義、由來、特征、分類傳播及工作方式、破壞行為、作用機制；（2）理解病毒預防、檢測、清除等原理。 （3）了解病毒的發(fā)展趨勢。 重點、難點：工作方式、作用機制教學課時：2課時教學方法：講授和探討8/21/2022病毒演示8/21/2022病毒演示CIH病毒CIH 將硬盤 FORMAT !CIH將BIOS給毀了 !8/21/2022病毒演示彩帶病毒8/21/2022病毒演示女鬼病毒8/21/2022病毒演示千年老妖8/21/2022病毒演示圣誕節(jié)病毒8/21/2022病毒演示白雪公主巨大的黑白螺旋占據(jù)了屏幕位置，使計算機使用者無法進行任何

2、操作！8/21/2022紅色代碼1() 8/21/20225.1 計算機病毒概念 定義：計算機病毒是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。（國外）1994年2月18日，國家正式頒布實施了中華人民共和國計算機信息系統(tǒng)安全保護條例，在第二十八條中明確指出：計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)影響計算機使用并能自我復制的一組計算機指令或者程序代碼。（國內(nèi)） 1.1.1計算機病毒定義 8/21/2022 時 間 名 稱 特 點1949年 諾依曼復雜自動機器的理論與結(jié)構(gòu)程序可以在內(nèi)存進行自我復制和變異的理論20世紀60年代初Core War通過復制自身來擺脫對

3、方控制1981年Elk Cloner通過磁盤進行感染1986年底Brain首次使用了偽裝手段1987年Casade自我加解密1987年12月Christmas Tree在VM/CMS操作系統(tǒng)下傳播1988年“耶路撒冷”病毒文件型病毒1988年11月2日蠕蟲程序造成6000多臺機子癱瘓 5.5 計算機病毒概念 5.1.2 計算機病毒產(chǎn)生和發(fā)展 8/21/2022首例能夠破壞硬件的病毒CIH1998年6月第一個使用FTP進行傳播Homer1997年4月第一個Linux環(huán)境下的病毒Bliss 1997年2月攻擊Windows操作系統(tǒng)病毒大規(guī)模出現(xiàn)宏病毒Concept1995年8月9日感染C語言和Pa

4、scal語言感染OBJ文件SrcVirShifter1993、1994年第一個多態(tài)病毒Chameleon1990年標志著計算機病毒開始入侵我國“小球”1989年4月格式化硬盤Yankee1989年特點名稱時間 5.1 計算機病毒概念 5.1.2 計算機病毒產(chǎn)生和發(fā)展 8/21/2022 時 間 名 稱 特 點1999年美麗殺宏病毒和蠕蟲的混合物，通過電子郵件傳播2000年VBS/KAK使用腳本技術(shù)2001年紅色代碼利用微軟操作系統(tǒng)的緩沖區(qū)溢出的漏洞傳播2001年Nimda利用電子郵件傳播2001年網(wǎng)絡神偷木馬/黑客病毒，對本地及遠程驅(qū)動器的文件進行任何操作2002年6月Perrum第一個從程序

5、感染轉(zhuǎn)變?yōu)閿?shù)據(jù)文件感染的病毒2003年“2003蠕蟲王”多元混合化，數(shù)小時內(nèi)使全球主干網(wǎng)陷入癱瘓2004年震蕩波頻繁的變種病毒大量出現(xiàn) 5.1 計算機病毒概念 5.1.2 計算機病毒產(chǎn)生和發(fā)展 8/21/20222006年5至6月份相繼出現(xiàn)針對銀行的木馬、病毒事件和進行網(wǎng)絡敲詐活動的“敲詐者”病毒。2006年11月，我國又連續(xù)出現(xiàn) “熊貓燒香”、“仇英”、“艾妮”等盜取網(wǎng)上用戶密碼帳號的病毒和木馬。 2007年以盜取網(wǎng)絡游戲帳號為目的編寫的“網(wǎng)游盜號木馬”病毒成為新的毒王，“QQ通行證”病毒和“灰鴿子”分列第二、第三位。2008年機器狗系列病毒 AV終結(jié)者病毒系列 。2009年上半年，計算機病

6、毒、木馬的傳播方式以網(wǎng)頁掛馬為主。掛馬者主要通過微軟以及其它應用普遍的第三方軟件漏洞為攻擊目標。 8/21/2022我國最流行的十種計算機病毒 時間排名2001,52002,52003,52004，52005，52006，62007，62008，61CIHExploitRedlofNetskyTrojan.PSW.LMirTrojan.DL.Agent（木馬代理）Trojan.DL.Agent（木馬代理）Gamepass（網(wǎng)游大盜）2FunloveNimdaSpageRedlofQqpassPhel（下載助手）Gamepass（網(wǎng)游大盜）AutoRun3BingheBingheNimdaHom

7、epageNetskyGpigeon（灰鴿子）ANI/RIFF（艾妮）JS.Agent4W.markerJS.SeekerTrojan.QQKiller6.8.serUnknown mailBlaster exploitLmir/Lemir（傳奇木馬）熊貓燒香Delf（德芙）5MTXHappytimeKlezLovegateGaobotQQHelper（QQ助手）Mnless（梅勒斯）KillAV（AV終結(jié)者）6Troj.eraseFunloveFunloveFunloveMht exploitDelf（德芙）Delf（德芙）Gpigeon（灰鴿子）7BOKlezJS.AppletAcxhta

8、dropperRedlofSDBotGpigeon（灰鴿子）Small及其變種8YAICIHMail.virusWebimportBackDoor.RbotStartPageSmall及其變種JS.RealPlr9WyxGopScript.exploit.htm.pageactiveXComponentBeagleLovgate（愛之門）Qqpass（QQ木馬）JS.Psyme10Troj.gdoorTthiefHack.crack.foxmailWyxLovegateQqpass（QQ木馬）Lmir/Lemir（傳奇木馬）HTML.IFrame8/21/20228/21/20228/21/2

9、0228/21/20228/21/20225.1.3 計算機病毒的產(chǎn)生原因 計算機病毒的產(chǎn)生原因主要有4個方面： （1） 惡作劇型 （2） 報復心理型 （3） 版權(quán)保護型 （4） 特殊目的型8/21/20225.1.4 計算機病毒的命名方式 病毒的命名并無統(tǒng)一的規(guī)定，基本都是采用前后綴法來進行命名。 一般格式為：前綴.病毒名.后綴。 以振蕩波蠕蟲病毒的變種c“Worm. Sasser. c”為例，Worm指病毒的種類為蠕蟲，Sasser是病毒名，c指該病毒的變種。 （1）病毒前綴 （2）病毒名 （3）病毒后綴8/21/20225.2 計算機病毒原理 1。破壞性：(體系設計者的意圖） 無論何種病

10、毒一旦進入系統(tǒng)對OS的運行就會造成不同程度的影響，小到占用資源（石頭、小球），大到刪除數(shù)據(jù)和使系統(tǒng)崩潰，使之無法恢復，造成補課挽回的損失。2.傳染性:(最重要的特征）計算機病毒也會通過各種媒體從已被感染的計算機擴散到未被感染的計算機。 3.隱蔽性: 病毒是一種具有很高編程技巧，短小精悍的可執(zhí)行程序，他通常粘附在正常程序或磁盤引導扇區(qū)中，以及一些空閑概率比較大的扇區(qū)中，目的就是不讓用戶發(fā)現(xiàn)。計算機病毒不經(jīng)過程序代碼分析或計算機病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開來的。 5.2.1 計算機病毒特征 8/21/20225.2 計算機病毒原理 5.2.1 計算機病毒特征 4.潛伏性： 計算機

11、病毒潛伏性是指病毒具有依附其他媒體而寄生的能力。大部分病毒感染系統(tǒng)以后，一般不會馬上發(fā)作，他可長期的隱藏，只有條件滿足才會啟動。因此，病毒可以在磁盤、光盤或其他介質(zhì)上靜靜的呆上幾天，甚至是幾年。 5.可觸發(fā)性：病毒的可觸發(fā)性是指當病毒觸發(fā)條件滿足時，病毒才在感染了的計算機上開始發(fā)作，表現(xiàn)出一定的癥狀和破壞性。6.不可預見性： 從對病毒的檢測來看，病毒具有不可預見性。病毒永遠超前于反病毒軟件。8/21/2022 5.2 計算機病毒原理 5.2.2 計算機病毒的分類 病毒可以分別按照破壞性、傳染性、連接方式、病毒特有算法4種方式進行分類。 分 類 表現(xiàn)及影響良性病毒只是顯示信息、湊樂、發(fā)出聲響、自

12、我復制。除了減少磁盤空間外，對系統(tǒng)沒有其他影響惡性病毒封鎖、干擾、中斷輸入輸出、使用戶無法打印，甚至終止計算機的運行，使系統(tǒng)造成嚴重的錯誤（Azsua、TypoCOM）極惡性病毒刪除普通程序或系統(tǒng)文件，破壞系統(tǒng)配置，導致死機、崩潰等災難性病毒破壞分區(qū)信息。主引導區(qū)信息、FAT，刪除數(shù)據(jù)文件，甚至格式硬盤按破壞性分類的病毒8/21/2022 5.2 計算機病毒原理 2. 按感染形式分類文件病毒：通過在執(zhí)行文件中插入指令把自己依附在可執(zhí)行文件上，此種病毒感染文件，并寄生在文件中，進而造成文件損壞。如“耶路撒冷”、“百年病毒”引導區(qū)病毒：潛伏在軟盤的引導扇區(qū)，或在硬盤的引導區(qū)，或主引導紀錄（分區(qū)扇區(qū)

13、）中插入指令。如果計算機用被感染的軟盤引導時，病毒就會感染到引導硬盤，并把自己的代碼調(diào)入內(nèi)存。（小球、石頭）混合型病毒：具有引導型和文件型兩種病毒的特性。CIH病毒就是這種混合型病毒。5.2.2 計算機病毒的分類 8/21/2022 5.2 計算機病毒原理 3。 按連接方式分類源碼型病毒：較少見，也難以編寫。因為他要攻擊高級語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯。連接成可執(zhí)行文件。此時剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。入侵型病毒：可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對性強，一般難以發(fā)現(xiàn)，清除也較困難。操作系統(tǒng)型病毒：可用其自身部分

14、加入或替代操作系統(tǒng)的部分功能。由于其直接感染操作系統(tǒng)，這類病毒的危害性也較大。（小球，大麻）外殼型病毒：將自身依附在正常程序的開頭或結(jié)尾，相當于給正常程序加了個外殼。大部分文件型病毒屬于此類5.2.2 計算機病毒的分類 8/21/2022 5.2 計算機病毒原理 4按病毒特有的算法分類 1）伴隨型病毒：這類病毒不改變文件本身，他根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同擴展名（COM）。 2）蠕蟲型病毒：通過計算機網(wǎng)絡傳播，不改變文件和資料信息，利用網(wǎng)絡從一臺機器的內(nèi)存?zhèn)鞑サ狡渌麢C器的內(nèi)存，計算網(wǎng)絡地址，將自身的病毒通過網(wǎng)絡發(fā)送。他們在系統(tǒng)中存在，一般除了占用內(nèi)存以外不會占用其他資源

15、。 3）寄生型病毒：除了伴隨和蠕蟲，其他的都可以成為寄生型病毒，他們依附在系統(tǒng)的引導區(qū)或文件，通過系統(tǒng)的功能進行傳播 4）練習型病毒：病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒處于調(diào)試階段 5）變形病毒：這病毒使用一個復雜的算法，使自己每傳播一份都具有不同的內(nèi)容與長度。5.2.2 計算機病毒的分類 8/21/20225.2.3 計算機病毒的傳播途徑：1）通過不可移動的設備進行傳播 較少見，但破壞力很強。2）通過移動存儲設備進行傳播 最廣泛的傳播途徑3）通過網(wǎng)絡進行傳播 反病毒所面臨的新課題4）通過點對點通訊系統(tǒng)和無線通道傳播 預計將來會成為兩大傳播渠道8/21/20228/21/202

16、2 5.2 計算機病毒原理 5.2.4病毒的表現(xiàn)形式： 狡猾的病毒通過多種途徑感染計算機，那么我們怎么看出計算機已中毒？ 1）平時運行正常的計算機突然經(jīng)常性無故死機?？赡懿《拘薷牧酥袛嗵幚沓绦虻?。2）操作系統(tǒng)無法正常啟動。關機后重啟，操作系統(tǒng)報告缺少必要的啟動文件或文件破壞，系統(tǒng)無法啟動?？赡懿《靖腥鞠到y(tǒng)文件使文件結(jié)構(gòu)發(fā)生變化。3）運行速度明顯變慢。4）以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤，或使用程序中的某個功能時報說內(nèi)存不足?？赡懿《菊加昧藘?nèi)存。8/21/2022 5.2 計算機病毒原理 5.2.4 病毒的表現(xiàn)形式：5）打印和通信發(fā)生錯誤。打印出來的是亂碼，調(diào)制解調(diào)器不能撥號?？赡苁遣?/p>

17、毒駐留內(nèi)存占用打印端口、串行通信端口的中斷服務程序。6）無意中要求對軟盤進行讀寫操作。如操作系統(tǒng)提示軟驅(qū)中沒有插軟盤等。7）系統(tǒng)文件的時間、日期、大小發(fā)生變化。這是最明顯計算機病毒跡象。8）運行Word，打開Word文檔后，該文檔另存為時只能以模板方式保存。無法存為另一DOC文檔。中了宏病毒的緣故。8/21/2022 5.2 計算機病毒原理 5.2.4 病毒的表現(xiàn)形式：9）磁盤空間迅速減少。10）陌生人發(fā)來的電子郵件。尤其是那些很具有誘惑力的，如笑話或情書等，又帶有附件的郵件。11）自動鏈接到一些陌生的網(wǎng)站。計算機沒有上網(wǎng)，但他自己撥號并連接到一個陌生的站點，有可能被遠程控制了。12）提示一些

18、不相干的話。宏病毒，在滿足發(fā)作的條件就會彈出對話框顯示某句話，并要求用戶確定。13）發(fā)出一段美妙的音樂?！皸罨焙汀盀g陽河”。14）產(chǎn)生特定的圖像?！靶∏颉?/21/2022 5.2 計算機病毒原理 5.2.4病毒的表現(xiàn)形式：15）進行游戲算法?！皞髌娌《尽?6）Windows桌面圖標發(fā)生變化。17）自動發(fā)送電子郵件。在某一特定的時刻向同一個服務器發(fā)送無用的信件。18）鼠標自己動。受到黑客的控制。8/21/2022 5.2 計算機病毒原理 雖然不同類型的計算機病毒的機制和表現(xiàn)手法不盡相同，但計算機病毒的結(jié)構(gòu)基相似，一般說來是由以下三個程序模塊組成。 1.引導模塊 2.傳染模塊 3.破壞與表現(xiàn)模

19、塊 5.2.5 計算機病毒的結(jié)構(gòu) 8/21/2022 5.2 計算機病毒原理 1.引導模塊 當被感染的軟硬盤，應用程序開始工作時，病毒的引導模塊將病毒由外存引入存，并使病毒程序成為相對獨立于宿主程序的部分，從而使病毒的傳染模塊和破壞模塊進入待機狀態(tài)。5.2.5 計算機病毒的結(jié)構(gòu) 8/21/2022 5.2 計算機病毒原理 2傳染模塊 傳染模塊包括三部分內(nèi)容： （1）傳染控制部分。病毒一般都有一個控制條件，一旦滿足這個條件就開始感染。例如，病毒先判斷某個文件是否是.EXE文件，如果是再進行傳染，否則再尋找下一個文件； （2）傳染判斷部分。每個病毒程序都有一個標記，在傳染時將判斷這個標記，如果磁盤

20、或者文件已經(jīng)被傳染就不再傳染，否則就要傳染了；（3）傳染操作部分。在滿足傳染條件時進行傳染操作。8/21/2022 5.2 計算機病毒原理 3.破壞與表現(xiàn)模塊 破壞與表現(xiàn)模塊是病毒程序的核心部分，也是病毒設計者意圖的體現(xiàn)部分。這部分程序負責捕捉進入破壞程序的條件，在條件滿足時開始進行破壞系統(tǒng)或數(shù)據(jù)的工作，甚至可以毀掉包括自己在內(nèi)的系統(tǒng)資源。 5.2.5計算機病毒的結(jié)構(gòu) 8/21/20221. 計算機病毒的觸發(fā)機制（2） 目前病毒采用的觸發(fā)條件主要有以下幾種。 （1） 時間觸發(fā) （2） 鍵盤觸發(fā)如AIDS病毒Invader病毒 （3） 感染觸發(fā)Black Monday病毒在運行第240個染毒程序

21、時被激活 （4） 啟動觸發(fā)Anti-Tei和Telecom病毒當系統(tǒng)第400次啟動時被激活 （5） 訪問磁盤次數(shù)觸發(fā) （6） CPU 型號/主板型號觸發(fā) 5.2.6 計算機病毒的觸發(fā)與生存8/21/2022 計算機病毒的產(chǎn)生過程可分為程序設計傳播潛伏觸發(fā)運行實行攻擊。 計算機病毒擁有一個完整的生命周期，從產(chǎn)生到徹底根除，病毒生命周期包括： （1） 開發(fā)期 （2） 傳播期 （3） 潛伏期 （4） 發(fā)作期 （5） 發(fā)現(xiàn)期 （6） 消化期 （7） 消亡期 2. 計算機病毒的生存周期8/21/2022計算機病毒的發(fā)展趨勢21世紀是計算機病毒與反病毒激烈角逐的時代，而智能化、人性化、隱蔽化、多樣化也在逐

22、漸成為新世紀計算機病毒的發(fā)展趨勢。 智能化 人性化 隱蔽化 多樣化 8/21/20225.3 反病毒技術(shù) 防重于治，防重在管：制度；注冊、權(quán)限、屬性、服務器安全；集中管理、報警。綜合防護：木桶原理；防火墻與防毒軟件結(jié)合最佳均衡原則：占用較小的網(wǎng)絡資源管理與技術(shù)并重正確選擇反毒產(chǎn)品多層次防御：病毒檢測、數(shù)據(jù)保護、實時監(jiān)控注意病毒檢測的可靠性：經(jīng)常升級；兩種以上。5.3.1網(wǎng)絡環(huán)境下的病毒防治原則與策略8/21/2022防毒：預防入侵； 病毒過濾、監(jiān)控、隔離查毒：發(fā)現(xiàn)和追蹤病毒； 統(tǒng)計、報警解毒：從感染對象中清除病毒；恢復功能8/21/2022計算機病毒的預防 計算機病毒防治，要采取預防為主的方針

23、。下面是一些行之有效的措施。4.3 反病毒技術(shù) 安裝防病毒軟件定期升級防病毒軟件不隨便打開不明來源 的郵件附件盡量減少其他人使用你的計算機及時打系統(tǒng)補丁從外面獲取數(shù)據(jù)先檢察建立系統(tǒng)恢復盤定期備份文件綜合各種防病毒技術(shù)8/21/2022網(wǎng)關級防毒Internet企業(yè)內(nèi)部網(wǎng)絡STOP!服務器端防毒客戶端防毒防毒集中管理器STOP!STOP!Mail ServerSTOP!全方位的網(wǎng)絡病毒防護體系STOP!Meb ServerSTOP!8/21/2022一個典型的客戶端/服務器病毒防護步驟如下：（1）減小受攻擊面（2）應用安全更新（3）啟用基于主機的防火墻（4）安裝防病毒軟件（5）測試漏洞掃描程序（

24、6）使用最少特權(quán)策略（7）限制未授權(quán)的應用程序8/21/2022企業(yè)構(gòu)建整體防病毒系統(tǒng)的基本思路1、防病毒系統(tǒng)一定要實現(xiàn)全方位、多層次防病毒。2、網(wǎng)關防病毒是整體防病毒的首要防線。3、沒有集中管理的防病毒系統(tǒng)是無效的防病毒系統(tǒng)。4、服務是整體防病毒系統(tǒng)中極為重要的一環(huán)。8/21/20225.3 反病毒技術(shù) 檢測病毒主要是基于四種方法： 5.3.2 檢測病毒比較法特征代碼掃描法校驗和法檢測原理觀察比較用程序比較用專用軟件用通用軟件分析法8/21/2022 5.3 反病毒技術(shù) 1.比較法 比較法是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較。比較時可以靠打印的代碼清單 （比如DEBUG的D命

25、令輸出格式）進行比較，或用程序來進行比較（如DOS的DISKCOMP、COM P或PCTOOLS等其它軟件）。而且用這種比較法還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查病毒程序發(fā)現(xiàn)的計算機病毒。因為病毒傳播得很快，新病毒層出不窮，還沒有做出通用的能查出一切病毒，發(fā)現(xiàn)新病毒就只有靠比較法和分析法，有時必須結(jié)合這兩者來一同工作。 5.3.2 檢測病毒8/21/2022 5.3 反病毒技術(shù) 2.特征代碼掃描法 病毒的特征代碼是病毒程序編制者用來識別自己編寫程序唯一的代碼串?？衫貌《镜奶卣鞔a檢測病毒程序和防止病毒程序傳染。 特征代碼掃描法所用的軟件稱病毒掃描軟件由兩部分組成：一部分是病毒代碼庫，含有經(jīng)過特別選

26、定的各種計算機病毒的代碼串；另一部分是利用該代碼庫進行掃描的掃描程序。打開被檢測文件，搜索檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)現(xiàn)病毒特征代碼，由于特征代碼與病毒一一對應，便可以斷定被查文件中患有何種病毒。常見的病毒掃描程序有我國公安部發(fā)行的SCAN. EXE和美國McAfee Associates的SCAN.EXE。5.3.2檢測病毒原理 8/21/2022 5.3 反病毒技術(shù) 3.校驗和法 將正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。在文件使用過程中，定期地或每次使用文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和是否一致，因而可以發(fā)現(xiàn)文件

27、是否感染，這種方法叫校驗和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。在SCAN工具的后期版本中除了病毒特征代碼法之外，還納入校驗和法，以提高其檢測能力。5.3.2 檢測病毒原理 8/21/2022 5.3 反病毒技術(shù) 4.分析法 一般使用分析法的人不是普通用戶，而是反病毒技術(shù)人員。使用分析法的目的在于：確認被觀察的磁盤引導區(qū)和程序中是否含有病毒；如果有病毒，確認病毒的類型和種類，判定其是否是一種新病毒； 如果是新病毒，搞清楚病毒體的大致結(jié)構(gòu)，提取特征代碼或特征字，用于增添到病毒代碼庫供病毒掃描和識別程序用；詳細分析病毒代碼，為制定相應的反病毒措施制定方案。5.3.2 檢測病毒原理 8/21/20

28、22 5.3 反病毒技術(shù) 一般計算機病毒感染后，修復前盡可能再次備份重要的數(shù)據(jù)文件。 發(fā)現(xiàn)計算機病毒后，一般應利用防殺計算機病毒軟件清除文件中的計算機病毒，如果可執(zhí)行文件中的計算機病毒不能被清除，一般應將其刪除，然后重新安裝相應的應用程序。殺毒完后重啟計算機，再次用防殺計算機病毒軟件檢查系統(tǒng)中是否還存在計算機病毒，并確定被感染破壞的數(shù)據(jù)確實被完全恢復。 5.3.3 清除病毒8/21/2022 5.4 防病毒產(chǎn)品介紹 5.防病毒軟件功能 預防，預防病毒對系統(tǒng)的感染、對可執(zhí)行文件（.COM 和.EXE）的改變并在文件分配表或引導扇區(qū)被改變或硬盤將被重新格式化時發(fā)出聲音警告。檢測，在磁盤和系統(tǒng)的其它

29、部分尋找病毒。包括將文件與預先設定的算法或特征進行對比，或計算每個文件的檢查摘要。消除，包括將病毒代碼從文件和磁盤上清除出去。免疫，在可執(zhí)行文件（.COM 和.EXE）中加入特殊的代碼，在程序運行時檢查特征的改變或其它的不正常情況。破壞控制，減少病毒導致的破壞。8/21/20225.4 防病毒產(chǎn)品介紹2、選擇防毒軟件的標準“高偵測率”是基本條件，誤報率：漏報率：“盡量小影響”是基本要求，“容易管理”是基本要求，未知病毒“隔離政策”是關鍵。8/21/20224.4 防病毒產(chǎn)品介紹4.3.4 防病毒軟件 8/21/20224.5 小 結(jié)1.計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或

30、者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。它的主要特征是：傳染性、隱蔽性、潛伏性、表現(xiàn)性。2.計算機病毒分類方式有多種：按傳染方式分為引導型、文件型、混合型病毒和宏病毒；按寄生方式分為代替式病毒、連接式病毒、轉(zhuǎn)儲式病毒、充式病毒；按攻擊方式分為源碼型、機器碼型、混合碼；按病毒操作方式分為隱蔽型變形型。3. 計算機病毒的機制和表現(xiàn)形式不同，但其結(jié)構(gòu)基本相同，一般是由引導模塊、傳染模塊、破壞和表現(xiàn)模塊組成。4. 反計算機病毒技術(shù)要對已知病毒徹底預防、徹底殺除。計算機病毒的防治策略是從防毒、查毒、殺毒三方面進行。5. 反病毒軟件按其工作原理分：比較法、特征代碼掃描法、檢驗和

31、法、分析法。計算機病毒的檢測要從檢查系統(tǒng)資源的異常情況入手。防止感染病毒的途徑可概括為兩類：一是用戶遵守和加強安全操作控制措施：二是使用硬件和軟件防病毒工具。6. 選購殺病毒軟件需要注意掃描速度、正確識別率、誤報率、技術(shù)支持水平、升級的難易度、可管理性和警示手段等多個指標。8/21/2022網(wǎng)絡防病毒作業(yè)參考題目：木馬熊貓燒香沖擊波ARP病毒蠕蟲灰鴿子8/21/2022網(wǎng)絡防病毒作業(yè)（續(xù)）要求：社會背景，經(jīng)濟損失現(xiàn)象原理 傳播途徑傳播機制破壞機制清除方法（自動 / 手動）項目組人員分工情況8/21/20225.6 習 題一填空題1.計算機病毒的特征是： 、 、 。2.計算機病毒的復制過程是發(fā)生

32、在 時候。3.惡意程序基本存在形式有 、 、 、 、 。4 蠕蟲是通過 進行傳播的。5.計算機病毒有那些工作方式有： 、 、 。6.清除計算機病毒完全是建立在正確 的基礎之上的。8/21/20224.6習 題 二選擇題1. 計算機病毒是指_ _。 A. 帶細菌的磁盤 B. 以損壞的磁盤 C. 具有破壞性的特制程序 D. 被破壞了的程序2. 計算機病毒傳播的基本媒質(zhì)是_ _。 A. 人手接觸 B. 軟磁盤 C. 內(nèi)部存儲器 D. 電源3. 當用各種清病毒軟件都不能清除系統(tǒng)病毒時，則應該對此軟盤_ _。 A. 丟棄不用 B. 刪除所有文件 C. 重新進行格式化 D. 刪除COMMAND.COM文件

33、4.下列說法正確的是 。 A. 一張軟盤經(jīng)反病毒軟件檢測和清除后，該軟盤就成為沒有病毒的干凈盤 B.若發(fā)現(xiàn)軟盤帶有病毒，則應立即將軟盤上的所有文件復制到一張干凈軟盤上，然后將原來的有病毒軟盤進行格式化 C. 若軟盤上存放有文件和數(shù)據(jù)，且沒有病毒，則只要將該軟盤寫保護就不會感染上病毒 D. 如果一張軟盤上沒有可執(zhí)行文件，則不會感染上病毒8/21/20224.6習 題 三簡答題 1.什么是計算機病毒?計算機病毒的特征是什么? 2.什么是特洛伊木馬程序？它與病毒程序有何不同？ 3.引導扇區(qū)病毒是如何傳染的？ 4.什么是“病毒的特征代碼”?它都有什么作用? 5.病毒傳播方式有哪幾種? 6.什么是網(wǎng)絡蠕

34、蟲?它的傳播途徑是什么? 7.敘述計算機病毒的一般構(gòu)成、各個功能模塊的作用。 8. 簡述計算機病毒破壞性的主要表現(xiàn)。 9. 簡述計算機病毒攻擊的對象及所造成的危害。 10.病毒的防治主要策略什么？ 11.簡述檢測計算機病毒的常用方法。 12.選購殺毒軟件的指標有哪些?常用哪些防，殺毒軟件有哪些?8/21/2022蠕蟲 返回8/21/2022一 蠕蟲的定義與特征 1982年，Xerox PARC的John F.Shoch等人為了進行分布式計算的模型實驗，編寫了稱為蠕蟲的程序。但是他們沒有想到，這種“可以自我復制”，并可以“從一臺計算機移動到另一臺計算機”的程序，后來不斷給計算機界帶來災難。198

35、8年被Robert Morris釋放的Morris蠕蟲，在Internet上爆發(fā)，在幾個小時之內(nèi)迅速感染了所能找到的、存在漏洞的計算機。 人們通常也將蠕蟲稱為蠕蟲病毒。但是嚴格地講，它們并不是病毒。 8/21/2022下面討論蠕蟲與病毒之間的異同。1. 存在的獨立性病毒具有寄生性，寄生在宿主文件中；而蠕蟲是獨立存在的程序個體。2. 傳染的反復性病毒與蠕蟲都具有傳染性，它們都可以自我復制。但是，病毒與蠕蟲的傳染機制有三點不同： 病毒傳染是一個將病毒代碼嵌入到宿主程序的過程，而蠕蟲的傳染是自身的拷貝； 病毒的傳染目標針對本地程序（文件），而蠕蟲是針對網(wǎng)絡上的其他計算機； 病毒是在宿主程序運行時被觸

36、發(fā)進行傳染，而蠕蟲是通過系統(tǒng)漏洞進行傳染。8/21/2022 此外，由于蠕蟲是一種獨立程序，所以它們也可以作為病毒的寄生體，攜帶病毒，并在發(fā)作時釋放病毒，進行雙重感染。 病毒防治的關鍵是將病毒代碼從宿主文件中摘除，蠕蟲防治的關鍵是為系統(tǒng)打補?。╬atch），而不是簡單地摘除。只要漏洞沒有完全修補，就會重復感染。8/21/20223. 攻擊的主動性 計算機使用者病毒的傳染的觸發(fā)者，而蠕蟲的傳染與操作者是否進行操作無關，它搜索到計算機的漏洞后即可主動攻擊進行傳染。4. 破壞的嚴重性 病毒雖然對系統(tǒng)性能有影響，但破壞的主要是文件系統(tǒng)。而蠕蟲主要是利用系統(tǒng)及網(wǎng)絡漏洞影響系統(tǒng)和網(wǎng)絡性能，降低系統(tǒng)性能。例

37、如它們的快速復制以及在傳播過程中的大面積漏洞搜索，會造成巨量的數(shù)據(jù)流量，導致網(wǎng)絡擁塞甚至癱瘓；對一般系統(tǒng)來說，多個副本形成大量進程，則會大量耗費系統(tǒng)資源，導致系統(tǒng)性能下降，對網(wǎng)絡服務器尤為明顯。表1.2為幾種主要蠕蟲所造成的損失。8/21/20228/21/20225. 行蹤的隱蔽性 由于蠕蟲傳播過程的主動性，不需要像病毒那樣需要計算機使用者的操作觸發(fā)，因而基本不可察覺。 從上述討論可以看出，蠕蟲雖然與病毒有些不同，但也有許多共同之處。如果說，凡是能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。那么，從這個意義上，蠕蟲也應當是一種病毒。它以計算機為載體，以網(wǎng)絡為攻擊對象，是通過網(wǎng)絡傳

38、播的惡性病毒。 8/21/2022二 蠕蟲的基本原理 關于蠕蟲，現(xiàn)在還沒有形成系統(tǒng)的理論。下面從蠕蟲的功能和程序組成兩個方面討論蠕蟲的工作原理。 8/21/20221. 蠕蟲程序的功能結(jié)構(gòu)一個蠕蟲程序的基本功能包括傳播模塊、隱藏模塊和目的模塊三部分。（1）傳播模塊傳播模塊由掃描模塊、攻擊模塊和復制模塊組成。 掃描模塊負責探測存在漏洞的主機。當程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后，就會得到一個可傳播的對象。 攻擊模塊按照漏洞攻擊步驟自動攻擊已經(jīng)找到的攻擊對象，獲得一個shell。獲得一個shell，就擁有了對整個系統(tǒng)的控制權(quán)。對Win 2x來說，就是cmd.exe。 復制模塊通

39、過原主機和新主機的交互，將蠕蟲程序復制到新主機并啟動，實際上是一個文件傳輸過程。（2）隱藏模塊：侵入主機后，隱藏蠕蟲程序，防止被用戶發(fā)現(xiàn)。 （3）目的模塊：實現(xiàn)對計算機的控制、監(jiān)視或破壞等功能。 8/21/20222. 蠕蟲程序的傳播過程蠕蟲程序的一般傳播過程為：（1）掃描：由蠕蟲的掃描功能模塊負責探測存在漏洞的主機。當程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。 （2）攻擊：攻擊模塊按漏洞攻擊步驟自動攻擊步驟1中找到的對象，取得該主機的權(quán)限（一般為管理員權(quán)限），獲得一個shell。 （3）復制：復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機并啟動。

40、 可以看到，傳播模塊實現(xiàn)的實際上是自動入侵的功能。所以蠕蟲的傳播技術(shù)是蠕蟲技術(shù)的首要技術(shù)，沒有蠕蟲的傳播技術(shù)，也就談不上什么蠕蟲技術(shù)了。 8/21/20223. 蠕蟲的掃描機制 如前所述，蠕蟲在掃描漏洞時，要放松大量的數(shù)據(jù)包，從而會引起網(wǎng)絡擁塞，占用網(wǎng)絡通信帶寬。但是，這并不是蠕蟲本身所希望的。實際上，蠕蟲更希望隱蔽地傳播?，F(xiàn)在流行的蠕蟲采用的傳播原則是：盡快地傳播更多的主機。根據(jù)這一原則，掃描模塊采取的掃描策略是：隨機選取一段IP地址，然后對這一地址段上的主機進行掃描。 差的掃描程序并不知道一段地址是否已經(jīng)被掃描過，只是隨機地掃描Internet，很有可能重復掃描一個地址段。于是，隨著蠕蟲傳

41、播的越廣，網(wǎng)上的掃描包越多，即使探測包很小，但積少成多，就會引起嚴重的網(wǎng)絡擁塞。8/21/2022掃描策略改進的原則是，盡量減少重復的掃描，使掃描發(fā)送的數(shù)據(jù)包盡量少，并保證掃描覆蓋盡量大的范圍。按照這一原則，可以有如下一些策略：（1）在網(wǎng)段的選擇上，可以主要對當前主機所在網(wǎng)段進行掃描，對外網(wǎng)段隨機選擇幾個小的IP地址段進行掃描。（2）對掃描次數(shù)進行限制。（3）將掃描分布在不同的時間段進行，不集中在某一時間內(nèi)。（4）針對不同的漏洞設計不同的探測包，提高掃描效率。例如： 對遠程緩沖區(qū)溢出漏洞，通過發(fā)出溢出代碼進行探測； 對Web CGI漏洞，發(fā)出一個特殊的HTTP請求探測。8/21/20224.

42、蠕蟲的隱藏手法蠕蟲為了不被發(fā)現(xiàn)，就要采用一些反檢查技術(shù)，盡量隱藏自己。但是，隱藏技術(shù)有相當大的難度，需要大量了解反病毒軟件和系統(tǒng)管理員的查毒手法。下面介紹蠕蟲的幾種隱藏手法。（1）修改蠕蟲在系統(tǒng)中的進程號和進程名稱，掩蓋蠕蟲啟動的時間記錄。此方法在Windows95/98下可以使用RegisterServiceProcess API函數(shù)使得進程不可見。但是，在Windows NT/2000下，由于沒有這個函數(shù)，方法就要困難一些了：只能在psapi.dll的EnumProcess API上設置“鉤子”,建立一個虛的進程查看函數(shù)。（2）將蠕蟲拷貝到一個目錄下，并更換文件名為已經(jīng)運行的服務名稱，使任

43、務管理器不能終止蠕蟲運行。 這時要參考ADV API32.DLL中的OpnSCManagerA和CreateServiceA.API函數(shù)。 8/21/2022（3）刪除自己： 在Windows95系統(tǒng)中，可以采用Delete函數(shù)。 在Windows 98/NT/2000中，只能在系統(tǒng)下次啟動時刪除自己。比較好的方法是：在注冊表中寫一條：”HKLMSoftWareMOROSOFTWNDOWSCurrentVetsionRUNONCE%COMSPEC%/C DEL PATH_TO_WORMWORM_ 然后重新啟動操作系統(tǒng)。 8/21/2022三 蠕蟲舉例1. I_WORM.Blebla.B網(wǎng)絡蠕蟲

44、 該病毒是通過電子郵件的附件來發(fā)送的，文件的名稱是：xromeo.exe和xjuliet.chm，該蠕蟲程序的名稱由此而來。 當用戶在使用OE閱讀信件時，這兩個附件自動被保存、運行。當運行了該附件后，該蠕蟲程序?qū)⒆陨戆l(fā)送給Outlook地址簿里的每一個人，并將信息發(fā)送給p.virus 新聞組。該蠕蟲程序是以一個E-mail附件的形式發(fā)送的，信件的主體是以HTML語言寫成的，并且含有兩個附件：xromeo.exe及xjuliet.chm，收件人本身看不見什么郵件的內(nèi)容。 該蠕蟲程序的危害性還表現(xiàn)在它還能修改注冊表一些項目，使得一些文件的執(zhí)行，必須依賴該蠕蟲程序生成的在Windows目錄下的SYS

45、RNJ.EXE文件,由此可見對于該病毒程序的清除不能簡單地將蠕蟲程序刪除掉,而必須先將注冊表中的有關該蠕蟲的設置刪除后,才能刪除這些蠕蟲程序。 8/21/20222. I_WORM/EMANUEL網(wǎng)絡蠕蟲 該病毒通過Microsoft的Outlook Express來自動傳播給受感染計算機的地址簿里的所有人，給每人發(fā)送一封帶有該附件的郵件。該網(wǎng)絡蠕蟲長度1689622000字節(jié)，有多個變種。 在用戶執(zhí)行該附件后，該網(wǎng)絡蠕蟲程序在系統(tǒng)狀態(tài)區(qū)域的時鐘旁邊放置一個“花”一樣的圖標，如果用戶點擊該“花”圖標，就會出現(xiàn)一個消息框，大意是不要按此按鈕。如果按了該按鈕的話，會出現(xiàn)一個以Emmanuel為標題

46、的信息框，當用戶關閉該信息框時又會出現(xiàn)一些別的:諸如上帝保佑你的提示信息。 該網(wǎng)絡蠕蟲程序與其他常見的網(wǎng)絡蠕蟲程序一樣，是通過網(wǎng)絡上的電子郵件系統(tǒng)Outlook來傳播的，同樣是修改Windows系統(tǒng)下的主管電子郵件收發(fā)的wsock32.dll文件。它與別的網(wǎng)絡蠕蟲程序的不同之處在于它不斷可以通過網(wǎng)絡自動發(fā)送網(wǎng)絡蠕蟲程序本身，而且發(fā)送的文件的名稱是變化的。 該病毒是世界上第一個可自我將病毒體分解成多個大小可變化的程序塊（插件），分別潛藏計算機內(nèi)的不同位置，以便躲避查毒軟件。該病毒可將這些碎塊聚合成一個完整的病毒，再進行傳播和破壞。 8/21/20223. I-Worm.Magistr網(wǎng)絡蠕蟲 這

47、是一個惡性病毒，可通過網(wǎng)絡上的電子郵件或在局域網(wǎng)內(nèi)進行傳播，發(fā)作時間是在病毒感染系統(tǒng)一個月后。該病毒隨機在當前機上找一個.EXE或.SCR文件和一些.DOC或.TXT文件作為附件發(fā)出去。蠕蟲會改寫本地機和局域網(wǎng)中電腦上的文件，文件內(nèi)容全部被改寫，這將導致文件不能恢復。在Win 9x環(huán)境下，該蠕蟲會像CIH病毒一樣，破壞BIOS和清除硬盤上的數(shù)據(jù)，是危害性非常大的一種病毒。 該蠕蟲采用了多變形引擎和兩組加密模塊，感染文件的中部和尾部，將中部的原文件部分代碼加密后潛藏在蠕蟲體內(nèi)。其長為2400030000字節(jié)，使用了非常復雜的感染機制，感染.EXE、.DLL、.OCX、.SCR、.CPL等文件；每

48、傳染一個目標，就變化一次，具有無窮次變化，其目的是使反病毒軟件難以發(fā)現(xiàn)和清除。目前，該蠕蟲已有許多變種。 8/21/20224. SQL蠕蟲王 SQL蠕蟲王是2003年1月25日在全球爆發(fā)的蠕蟲。它非常小，僅僅只有376字節(jié)，是針對Microsoft SQL Server 2000的蠕蟲，利用的安全漏洞是“Microsoft SQL Server 2000 Resolution 服務遠程緩沖區(qū)溢出”漏洞，利用的端口是SQL Server Resolution服務的UDP 1434。 Microsoft SQL Server 2000可以在一個物理主機上提供多個邏輯的SQL服務器的實例。每個實例

49、都可以看做一個單獨的服務器。但是，這些實例不能全都使用標準的SQL服務對話端口（TCP 1433），所以QL Server Resolution服務會監(jiān)聽UDP 1434端口，提供一種特殊的SQL服務實例的途徑，用于客戶端查詢適當?shù)木W(wǎng)絡末端。 當SQL Server Resolution服務在UDP 1434端口接收到第一個字節(jié)設置為0 x04的UDP包時，SQL監(jiān)視線程會獲取UDP包中的數(shù)據(jù)，并使用用戶提供的該信息來嘗試打開注冊表中的某一鍵值。利用這一點，攻擊者會在該UDP包后追加大量字符串數(shù)據(jù)。當嘗試打開這個字符串對應的鍵值時，會發(fā)生基于棧的緩沖區(qū)溢出。蠕蟲溢出成功取得系統(tǒng)控制權(quán)后，就開始

50、向隨機IP地址發(fā)送自身。 8/21/20225. 震蕩波 震蕩波（Worm.Sasser）是一種長度為15872字節(jié)的蠕蟲，它依賴于Windows NT/2000/XP/Server2003，以系統(tǒng)漏洞為傳播途徑。下面介紹震蕩波的傳播過程。 （1）拷貝自身到系統(tǒng)目錄（名為%WINDOWS%avserve2.exe，15872字節(jié)），然后登記到自啟動項：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunavserve2.exe = %WINDOWS%avserve2.exe （2）開辟線程，在本地開辟后門：監(jiān)聽TCP 5554端

51、口（支持USER、PASS、PORT、RETR和QUIT命令）被攻擊的機器主動連接本地5554端口，把IP地址和端口傳過來。本線程負責把病毒文件傳送到被攻擊的機器。8/21/2022（3）開辟128個掃描線程。以本地IP地址為基礎，取隨機IP地址，瘋狂地試探連接445端口：如果試探成功，則運行一個新的病毒進程對該目標進行攻擊，把該目標的IP地址保存到“c:win2.log”。（4）利用Windows的LSASS 中存在一個緩沖區(qū)溢出漏洞進行攻擊。一旦攻擊成功，會導致對方機器感染此病毒并進行下一輪的傳播；攻擊失敗也會造成對方機器的緩沖區(qū)溢出,導致對方機器程序非法操作,以及系統(tǒng)異常等。由于該病毒在

52、lsass.exe中溢出，可以獲取管理員的權(quán)限，執(zhí)行任意指令。（5）溢出代碼會主動從原機器下載病毒程序，運行起來，開始新的攻擊。8/21/2022木馬 返回8/21/2022一 木馬程序及其類型1. 木馬程序概述 古希臘詩人荷馬（Homer）在其史詩依利雅得（The Iliad）中，描述了一個故事：希臘王的王妃海倫被特洛伊（Troy）的王子掠走，希臘王在攻打Troy城時，使用了木馬計（the stratagem of Trojan horse），在巨大的木馬內(nèi)裝滿了士兵，然后假裝撤退，把木馬（Trojan horse）留下。特洛伊人把木馬當作戰(zhàn)利品拉回特洛伊城內(nèi)。到了夜間，木馬內(nèi)的士兵，鉆出來

53、作為內(nèi)應，打開城門。希臘王得以攻下特洛伊城。此后，人們就把特洛伊木馬作為偽裝的內(nèi)部顛覆者的代名詞。 RFC1244（Request for Comments:1244）中，關于Trojan（特洛伊木馬）程序的定義是：特洛伊木馬程序是一種程序，它能提供一些有用的或者令人感興趣的功能。但是還具有用戶不知道的其他功能，例如在用戶不知曉的情況下拷貝文件或竊取密碼。簡單地說，凡是人們能在本地計算機上操作的功能，木馬基本上都能實現(xiàn)。 8/21/20222. 基于動作的木馬程序類型根據(jù)木馬程序?qū)τ嬎銠C的動作方式，木馬程序可以分為如下幾種類型。（1）遠程控制型 遠程控制型是木馬程序的主流。所謂遠程控制就是在計

54、算機間通過某種協(xié)議（如TCP/IP協(xié)議）建立起一個數(shù)據(jù)通道。通道的一端發(fā)送命令，另一端解釋并執(zhí)行該命令，并通過該通道返回信息。簡單地說，就是采用Clint/Server（客戶機/服務器，簡稱C/S）工作模式。 采用C/S模式的木馬程序都由兩部分組成：一部分稱為被控端（通常是監(jiān)聽端口的Server端），另一部分被稱為控制端（通常是主動發(fā)起連接的Clint端）。被控端的主要任務是隱藏在被控主機的系統(tǒng)內(nèi)部，并打開一個監(jiān)聽端口，就像隱藏在木馬中的戰(zhàn)士，等待著攻擊的時機，當接收到來自控制端的連接請求后，主線程立即創(chuàng)建一個子線程并把請求交給它處理，同時繼續(xù)監(jiān)聽其他的請求?？刂贫说娜沃皇前l(fā)送命令，并正確地接

55、收返回信息。 這種類型的木馬，運行起來非常簡單，只要先運行服務端程序，同時獲得遠程主機的IP地址，控制者就能任意訪問被控制端的計算機，從而使遠程控制者在本地計算機上做任意想做的事情。 8/21/2022（2）信息竊取型 信息竊取型木馬的目的是收集系統(tǒng)上的敏感信息，例如用戶登陸類型、用戶名、口令、密碼等。這種木馬一般不需要客戶端，運行時不會監(jiān)聽端口，只悄悄地在后臺運行，一邊收集敏感信息，一邊不斷檢測系統(tǒng)的狀態(tài)。一旦發(fā)現(xiàn)系統(tǒng)已經(jīng)連接到Internet上，就在受害者不知情的情形下將收集的信息通過一些常用的傳輸方式（如電子郵件、ICQ、FTP）把它們發(fā)送到指定的地方。（3）鍵盤記錄型 鍵盤記錄型木馬只

56、做一件事情，就是記錄受害者的鍵盤敲擊，并完整地記錄在LOG文件中。（4）毀壞型 毀壞型木馬以毀壞并刪除文件（如受害者計算機上的.dll、.ini或.exe）為主要目的。 8/21/20223. 木馬程序的特征 木馬是一種危害性極大個惡意程序。它可以竊取數(shù)據(jù)，篡改、破壞數(shù)據(jù)和文件，釋放病毒，執(zhí)行遠程非法操作者的指令，甚至可以使系統(tǒng)自毀。下面介紹它的特征。（1）非授權(quán)性與自動運行性：一旦控制端與服務端建立連接后，控制端將竊取用戶密碼，獲取大部分操作權(quán)限，如修改文件、修改注冊表、重啟或關閉服務端操作系統(tǒng)、斷開網(wǎng)絡連接、控制服務端鼠標和鍵盤、監(jiān)視服務端桌面操作、查看服務端進程等。這些權(quán)限不是用戶授權(quán)的

57、，而是木馬自己竊取的。（2）隱藏性和欺騙性：隱藏是一切惡意程序的存在之本。而木馬為了獲得非授權(quán)的服務，還要通過欺騙進行隱藏。（3）可預置性：木馬程序可以在系統(tǒng)軟件和應用軟件的文件傳播中被人置入，也可以在系統(tǒng)或軟件設計是被故意放置進來。例如某操作系統(tǒng)在設計時故意放置了一個木馬程序，可以將客戶的相關信息發(fā)回到其總部。（4）非自繁殖性與非自動感染性。一般說來，病毒具有極強的傳染性，而木馬雖然可以傳播，當本身不具備繁殖性和自動感染的功能。 8/21/2022二 木馬程序的關鍵技術(shù)1. 木馬的傳播形式 木馬的傳播都是先進行偽裝或改頭換面（如利用exe文件綁定將木馬捆綁在小游戲上，或?qū)⒛抉R的圖標直接改為html，txt，