病毒木馬的工作原理及其防范

計算機病毒、木馬及防范技術(shù)目錄病毒的起源和發(fā)展病毒的定義及分類VBS病毒的起源與發(fā)展及其危害蠕蟲病毒緩沖區(qū)溢出與病毒攻擊的原理木馬程序計算機日常使用的安全建議一、病毒的起源和發(fā)展病毒的起源和發(fā)展1949年，計算機的先驅(qū)者馮.諾依曼在論文《復雜自動機組織論》中，提出了計算機程序能夠在內(nèi)存中自我復制；20世紀60年代初，美國貝爾實驗室，三個年輕的程序員編寫了一個名為“磁芯大戰(zhàn)”的游戲，游戲中通過復制自身來擺脫對方的控制，這就是病毒的第一個雛形。20世紀70年代，美國作家雷恩在《P1的青春》一書中闡述了一種能夠自我復制的計算機程序，并第一次稱之為“計算機病毒”。1983年11月，在國際計算機安全學術(shù)研討會上，美國計算機專家首次將病毒程序在VAX/750計算機上進行實驗，世界上第一個計算機病毒就這樣誕生在實驗室中。20世紀80年代后期，巴基斯坦有兩個以編軟件為生的兄弟，為了打擊盜版軟件，設(shè)計出了一個名為“巴基斯坦智囊”的病毒，該病毒只傳染軟盤引導區(qū)，成為世界上流行的第一個真正的病毒。一、病毒的起源和發(fā)展計算機病毒是一組人為設(shè)計的程序，這種特殊的程序隱藏在計算機系統(tǒng)中，能夠把自身或自身的一部分復制到其它程序上，給計算機系統(tǒng)造成一定損害甚至嚴重破壞。這種程序的活動方式與生物學上的病毒非常相似，所以被稱為計算機病毒。計算機病毒的危害主要體現(xiàn)在以下方面： 破壞文件分配表或目錄區(qū) 刪除文件、修改或破壞文件中的數(shù)據(jù) 大量復制自身，減少磁盤可用的存儲空間 修改或破壞系統(tǒng)信息 非法格式化磁盤，非法加密或解密用戶文件 在磁盤上產(chǎn)生壞扇區(qū) 降低系統(tǒng)運行速度病毒的起源和發(fā)展二、病毒的定義和分類 計算機病毒是一個程序，一段可執(zhí)行碼，具有獨特的復制能力。計算機病毒可以快速地傳染，并很難解除。它們把自身附著在各種類型的文件上。當文件被復制或從一個用戶傳送到另一個用戶時，病毒就隨著文件一起被傳播了。 計算機病毒確切定義是能夠通過某種途徑潛伏在計算機存儲介質(zhì)（或程序）里，當達到某種條件時即被激活具有對計算機資源進行破壞的一組程序或指令的集合。病毒的定義和分類

一、

病毒的定義計算機病毒的特點1）可執(zhí)行性

當用戶運行正常程序時，病毒伺機竊取到系統(tǒng)的控制權(quán)，得以搶先運行。2）破壞性

無論何種病毒程序，一旦侵入系統(tǒng)都會對操作系統(tǒng)的運行造成不同程度的影響。3）傳染性

把自身復制到其他程序中的特性。

是計算機病毒最重要的特征，是判斷一段程序代碼是否為計算機病毒的依據(jù)。

病毒可以附著在其它程序上，通過磁盤、光盤、計算機網(wǎng)絡(luò)等載體進行傳染，被傳染的計算機又成為病毒的生存的環(huán)境及新傳染源。病毒的定義和分類4）潛伏性

病毒發(fā)作是由觸發(fā)條件來確定。為了防止用戶察覺，計算機病毒會想方設(shè)法隱藏自身。通常粘附在正常程序之中或磁盤引導扇區(qū)中，或者磁盤上標為壞簇的扇區(qū)中，以及一些空閑概率較大的扇區(qū)中，即非法可存儲性。5）針對性

針對不同的操作系統(tǒng)、不同的應(yīng)用軟件。6）衍生性

具有依附其他媒體而寄生的能力。

在傳播的過程中自動改變自己的形態(tài)，從而衍生出另一種不同于原版病毒的新病毒，這種新病毒稱為病毒變種。7）抗反病毒軟件性

有變形能力的病毒能更好地在傳播過程中隱蔽自己，使之不易被反病毒程序發(fā)現(xiàn)及清除，并具有反殺的能力。病毒的定義和分類病毒的傳播方式：

通過文件系統(tǒng)傳播；

通過電子郵件傳播；

通過局域網(wǎng)傳播；

通過即時通訊軟件和點對點軟件等常用工具傳播；

利用系統(tǒng)、應(yīng)用軟件的漏洞進行傳播；

利用系統(tǒng)配置缺陷傳播，如弱口令、完全共享等；

利用欺騙等社會工程的方法傳播。病毒的定義和分類三、

VBS病毒的起源與發(fā)展

及其危害VBS病毒的起源與發(fā)展及其危害VBS病毒的運行基礎(chǔ)是微軟公司提供的腳本程序：WSH（WindowsScriptingHost）。WSH通用的中文譯名為“Windows腳本宿主”。應(yīng)該說，WSH的優(yōu)點在于它使用戶可以充分利用腳本來實現(xiàn)計算機工作的自動化。計算機病毒制造者也正是利用腳本語言來編制病毒，并利用WSH的支持功能，讓這些隱藏著病毒的腳本在網(wǎng)絡(luò)中傳播?！癐LoveYou”病毒便是一個典型的代表。一、

VBS的運行基礎(chǔ)當微軟在推出WHS后不久，在Windows95操作系統(tǒng)中就發(fā)現(xiàn)了利用WHS的病毒，隨后又出現(xiàn)了更為厲害的“HapplyTime（歡樂時光）”病毒，這種病毒不斷的利用自身的復制功能，把自身復制到計算機內(nèi)的每一個文件夾內(nèi)。

2000年5月4日在歐美地區(qū)爆發(fā)的“宏病毒”網(wǎng)絡(luò)蠕蟲病毒。由于通過電子郵件系統(tǒng)傳播，宏病毒在短短幾天內(nèi)狂襲全球數(shù)以百萬計的電腦。包括微軟、Intel等公司在內(nèi)的眾多大型企業(yè)網(wǎng)絡(luò)系統(tǒng)癱瘓，全球經(jīng)濟損失達數(shù)十億美元。2004年爆發(fā)的“新歡樂時光”病毒也給全球經(jīng)濟造成了巨大損失。二、

VBS病毒的發(fā)展和危害VBS病毒的起源與發(fā)展及其危害

1、VBS腳本病毒如何感染、搜索文件VBS腳本病毒一般是直接通過自我復制來感染文件的，病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間，譬如新歡樂時光病毒可以將自己的代碼附加在.htm文件的尾部，并在頂部加入一條調(diào)用病毒代碼的語句，而愛蟲病毒則是直接生成一個文件的副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴，vbs作為后綴。 2、VBS腳本病毒通過網(wǎng)絡(luò)傳播的幾種方式及代碼分析

通過E-mail附件傳播

通過局域網(wǎng)共享傳播三、

VBS病毒的發(fā)展和危害VBS病毒的起源與發(fā)展及其危害四、蠕蟲病毒蠕蟲病毒蠕蟲病毒是一種常見的計算機病毒。它是利用網(wǎng)絡(luò)進行復制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。蠕蟲病毒是自包含的程序(或是一套程序)，它能傳播自身功能的拷貝或自身（蠕蟲病毒）的某些部分到其他的計算機系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連接)。蠕蟲病毒的傳染目標是互聯(lián)網(wǎng)內(nèi)的所有計算機.局域網(wǎng)條件下的共享文件夾，電子郵件email，網(wǎng)絡(luò)中的惡意網(wǎng)頁，大量存在著漏洞的服務(wù)器等都成為蠕蟲傳播的良好途徑。網(wǎng)絡(luò)的發(fā)展也使得蠕蟲病毒可以在幾個小時內(nèi)蔓延全球!而且蠕蟲的主動攻擊性和突然爆發(fā)性會使得人們手足無策蠕蟲與漏洞網(wǎng)絡(luò)蠕蟲最大特點是利用各種漏洞進行自動傳播根據(jù)網(wǎng)絡(luò)蠕蟲所利用漏洞的不同，又可以將其細分郵件蠕蟲主要是利用MIME(MultipurposeInternetMailExtensionProtocol，多用途的網(wǎng)際郵件擴充協(xié)議)漏洞MIME描述漏洞蠕蟲與漏洞網(wǎng)頁蠕蟲（木馬）主要是利用IFrame漏洞和MIME漏洞網(wǎng)頁蠕蟲可以分為兩種用一個IFrame插入一個Mail框架，同樣利用MIME漏洞執(zhí)行蠕蟲，這是直接沿用郵件蠕蟲的方法用IFrame漏洞和瀏覽器下載文件的漏洞來運作的，首先由一個包含特殊代碼的頁面去下載放在另一個網(wǎng)站的病毒文件，然后運行它，完成蠕蟲傳播系統(tǒng)漏洞蠕蟲利用RPC溢出漏洞的沖擊波、沖擊波殺手利用LSASS溢出漏洞的震蕩波、震蕩波殺手系統(tǒng)漏洞蠕蟲一般具備一個小型的溢出系統(tǒng)，它隨機產(chǎn)生IP并嘗試溢出，然后將自身復制過去它們往往造成被感染系統(tǒng)性能速度迅速降低，甚至系統(tǒng)崩潰，屬于最不受歡迎的一類蠕蟲蠕蟲的工作方式與掃描策略蠕蟲的工作方式一般是“掃描→攻擊→復制”蠕蟲的工作方式與掃描策略蠕蟲的掃描策略現(xiàn)在流行的蠕蟲采用的傳播技術(shù)目標，一般是盡快地傳播到盡量多的計算機中掃描模塊采用的掃描策略是：隨機選取某一段IP地址，然后對這一地址段上的主機進行掃描沒有優(yōu)化的掃描程序可能會不斷重復上面這一過程，大量蠕蟲程序的掃描引起嚴重的網(wǎng)絡(luò)擁塞對掃描策略的改進在IP地址段的選擇上，可以主要針對當前主機所在的網(wǎng)段進行掃描，對外網(wǎng)段則隨機選擇幾個小的IP地址段進行掃描對掃描次數(shù)進行限制，只進行幾次掃描把掃描分散在不同的時間段進行蠕蟲的工作方式與掃描策略蠕蟲常用的掃描策略選擇性隨機掃描(包括本地優(yōu)先掃描)可路由地址掃描(RoutableScan)地址分組掃描(Divide-ConquerScan)組合掃描(HybridScan)極端掃描(ExtremeScan)從傳播模式進行安全防御對蠕蟲在網(wǎng)絡(luò)中產(chǎn)生的異常，有多種的的方法可以對未知的蠕蟲進行檢測，比較通用的方法是對流量異常的統(tǒng)計分析，主要包括對TCP連接異常的分析和ICMP數(shù)據(jù)異常分析的方法。從傳播模式進行安全防御在蠕蟲的掃描階段，蠕蟲會隨機的或者偽隨機的生成大量的IP地址進行掃描，探測漏洞主機。這些被掃描主機中會存在許多空的或者不可達的IP地址，從而在一段時間里，蠕蟲主機會接收到大量的來自不同路由器的ICMP不可達數(shù)據(jù)包。流量分析系統(tǒng)通過對這些數(shù)據(jù)包進行檢測和統(tǒng)計，在蠕蟲的掃描階段將其發(fā)現(xiàn)，然后對蠕蟲主機進行隔離，對蠕蟲其進行分析，進而采取防御措施。將ICMP不可達數(shù)據(jù)包進行收集、解析，并根據(jù)源和目的地址進行分類，如果一個IP在一定時間（T）內(nèi)對超過一定數(shù)量（N）的其它主機的同一端口（P）進行了掃描，則產(chǎn)生一個發(fā)現(xiàn)蠕蟲的報警（同時還會產(chǎn)生其它的一些報警）。用Sniffer進行蠕蟲檢測一般進行流量分析時，首先關(guān)注的是產(chǎn)生網(wǎng)絡(luò)流量最大的那些計算機。利用Sniffer的HostTable功能，將所有計算機按照發(fā)出數(shù)據(jù)包的包數(shù)多少進行排序發(fā)包數(shù)量前列的IP地址為的主機，其從網(wǎng)絡(luò)收到的數(shù)據(jù)包數(shù)是0，但其向網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包是445個；這對HTTP協(xié)議來說顯然是不正常的，HTTP協(xié)議是基于TCP的協(xié)議，是有連接的，不可能是光發(fā)不收的，一般來說光發(fā)包不收包是種類似于廣播的同樣，我們可以發(fā)現(xiàn)，如下IP地址存在同樣的問題首先我們對IP地址為的主機產(chǎn)生的網(wǎng)絡(luò)流量進行過濾蠕蟲病毒流量分析發(fā)出的數(shù)據(jù)包的內(nèi)容五、緩沖區(qū)溢出與病毒

攻擊的原理緩沖區(qū)溢出與病毒攻擊的原理 緩沖區(qū)溢出是指當計算機程序向緩沖區(qū)內(nèi)填充的數(shù)據(jù)位數(shù)超過緩沖區(qū)本身的容量。溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上。理想情況是，程序檢查數(shù)據(jù)長度并且不允許輸入超過緩沖區(qū)長度的字符串。大多數(shù)程序都會假設(shè)數(shù)據(jù)長度總是與所分配的存儲空間相匹配，這就為緩沖區(qū)溢出埋下隱患。操作系統(tǒng)所使用的緩沖區(qū)又被稱為堆棧，在各個操作進程之間，指令被臨時存儲在堆棧當中，堆棧也會出現(xiàn)緩沖區(qū)溢出。 當一個超長的數(shù)據(jù)進入到緩沖區(qū)時，超出部分就會被寫入其他緩沖區(qū)，其他緩沖區(qū)存放的可能是數(shù)據(jù)、下一條指令的指針、或者是其他程序的輸出內(nèi)容，這些內(nèi)容都被覆蓋或者破壞掉了?？梢娨恍〔糠謹?shù)據(jù)或者一套指令的溢出就可能導致一個程序或者操作系統(tǒng)崩潰。一、

緩沖區(qū)溢出緩沖區(qū)溢出是由編程錯誤引起的。如果緩沖區(qū)被寫滿，而程序沒有去檢查緩沖區(qū)邊界，也沒有停止接收數(shù)據(jù)，這時緩沖區(qū)溢出就會發(fā)生。緩沖區(qū)溢出之所以泛濫，是由于開放源代碼程序的本質(zhì)決定的。某些編程語言對于緩沖區(qū)溢出是具有免疫力的，例如Perl能夠自動調(diào)節(jié)字節(jié)排列的大小，Ada95能夠檢查和阻止緩沖區(qū)溢出。但是被廣泛使用的C語言卻沒有建立檢測機制。標準C語言具有許多復制和添加字符串的函數(shù)，這使得標準C語言很難進行邊界檢查。C++語言略微好一些，但是仍然存在緩沖區(qū)溢出情況。一般情況下，覆蓋其他數(shù)據(jù)區(qū)的數(shù)據(jù)是沒有意義的，最多造成應(yīng)用程序錯誤，但是，如果輸入的數(shù)據(jù)是經(jīng)過“黑客”或者病毒精心設(shè)計的，覆蓋緩沖區(qū)的數(shù)據(jù)恰恰是“黑客”或者病毒的攻擊程序代碼，一旦多余字節(jié)被編譯執(zhí)行，“黑客”或者病毒就有可能為所欲為，獲取系統(tǒng)的控制權(quán)。二、緩沖區(qū)溢出的根源在于編程錯誤緩沖區(qū)溢出與病毒攻擊的原理 緩沖區(qū)溢出是目前導致“黑客”型病毒橫行的主要原因。從“紅色代碼”到“Slammer”，再到“沖擊波”，都是利用緩沖區(qū)溢出漏洞的典型病毒案例。緩沖區(qū)溢出是一個編程問題，防止利用緩沖區(qū)溢出發(fā)起的攻擊，關(guān)鍵在于程序開發(fā)者在開發(fā)程序時仔細檢查溢出情況，不允許數(shù)據(jù)溢出緩沖區(qū)。此外，用戶需要經(jīng)常登錄操作系統(tǒng)和應(yīng)用程序提供商的網(wǎng)站，跟蹤公布的系統(tǒng)漏洞，及時下載補丁程序，彌補系統(tǒng)漏洞。三、緩沖區(qū)溢出導致“黑客”病毒橫行緩沖區(qū)溢出與病毒攻擊的原理沖擊波病毒警惕程度：★★★★病毒類型：蠕蟲病毒發(fā)作時間：隨機傳播途徑：網(wǎng)絡(luò)/RPC漏洞依賴系統(tǒng)：Windows2000WindowsXPWindowsServer2003RPCRPC（RemoteProcedureCallProtocol）遠程過程調(diào)用協(xié)議

它是一種通過網(wǎng)絡(luò)從遠程計算機程序上請求服務(wù)。病毒原理利用微軟公司公布的RPC漏洞進行傳播的，只要是計算機上有RPC服務(wù)并且沒有打安全補丁的計算機都存在有RPC漏洞。DCOM分布式組件對象模型微軟軟件的一系列程序接口，利用這個接口，客戶端程序?qū)ο竽軌蛘埱髞碜跃W(wǎng)絡(luò)中另一臺計算機上的服務(wù)器程序?qū)ο蟆７植际浇M件對象模型基于組件對象模型（COM），COM提供了一套允許同一臺計算機上的客戶端和服務(wù)器之間進行通信的接口。病毒運行時......不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為XP的計算機,找到后就利用DCOMRPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染，使系統(tǒng)操作異常、不停重啟、甚至導致系統(tǒng)崩潰。另外，該病毒還會對微軟的一個升級網(wǎng)站進行拒絕服務(wù)攻擊，導致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級系統(tǒng)。病毒發(fā)作系統(tǒng)資源被大量占用，并且系統(tǒng)反復重啟，不能收發(fā)郵件、不能正常復制文件、無法正常瀏覽網(wǎng)頁，復制粘貼等操作受到嚴重破壞，且不能復制粘貼，有時會彈出RPC服務(wù)終止的對話框。病毒如何進行......1.將自身復制到window目錄下，并命名為.msblast.exe。⒉病毒運行時會在系統(tǒng)中建立一個名為：“BILLY”的互斥量，目的是病毒只保證在內(nèi)存中有一份病毒體，為了避免用戶發(fā)現(xiàn)。⒊病毒運行時會在內(nèi)存中建立一個名為：“msblast.exe”的進程，該進程就是活的病毒體。⒋病毒會修改注冊表，以便每次啟動系統(tǒng)時，病毒都會運行。會以20秒為間隔，每20秒檢測一次網(wǎng)絡(luò)狀態(tài)，當網(wǎng)絡(luò)可用時，病毒會在本地建立一個服務(wù)器并啟動一個攻擊傳播線程，不斷地隨機生成攻擊地址，進行攻擊。另外該病毒攻擊時，會首先搜索子網(wǎng)的IP地址，以便就近攻擊。當病毒掃描到計算機后，就會向目標計算機端口發(fā)送攻擊數(shù)據(jù)。成功后，便會監(jiān)聽目標計算機的端口，并綁定cmd.exe。然后蠕蟲會連接到這個端口，發(fā)送命令，回連到發(fā)起進攻的主機，將msblast.exe傳到目標計算機上并運行。病毒如何進行......六、木馬程序特洛伊木馬的定義特洛伊木馬(TrojanHorse)，簡稱木馬，是一種惡意程序，是一種基于遠程控制的黑客工具，一旦侵入用戶的計算機，就悄悄地在宿主計算機上運行，在用戶毫無察覺的情況下，讓攻擊者獲得遠程訪問和控制系統(tǒng)的權(quán)限，進而在用戶的計算機中修改文件、修改注冊表、控制鼠標、監(jiān)視/控制鍵盤，或竊取用戶信息古希臘特洛伊之戰(zhàn)中利用木馬攻陷特洛伊城；現(xiàn)代網(wǎng)絡(luò)攻擊者利用木馬，采用偽裝、欺騙(哄騙，Spoofing)等手段進入被攻擊的計算機系統(tǒng)中，竊取信息，實施遠程監(jiān)控特洛伊木馬是一種秘密潛伏的能夠通過遠程網(wǎng)絡(luò)進行控制的惡意程序。控制者可以控制被秘密植入木馬的計算機的一切動作和資源，是惡意攻擊者進行竊取信息等的工具。他由黑客通過種種途徑植入并駐留在目標計算機里。木馬可以隨計算機自動啟動并在某一端口進行偵聽，在對目標計算機的的數(shù)據(jù)、資料、動作進行識別后，就對其執(zhí)行特定的操作，并接受“黑客”指令將有關(guān)數(shù)據(jù)發(fā)送到“黑客大本營”。這只是木馬的搜集信息階段，黑客同時可以利用木馬對計算機進行進一步的攻擊！這時的目標計算機就是大家常聽到的“肉雞”了！2．特洛伊木馬病毒的危害性特洛伊木馬和病毒、蠕蟲之類的惡意程序一樣，也會刪除或修改文件、格式化硬盤、上傳和下載文件、騷擾用戶、驅(qū)逐其他惡意程序。除此以外，木馬還有其自身的特點：竊取內(nèi)容；遠程控制。特洛伊木馬技術(shù)的發(fā)展木馬的發(fā)展及成熟，大致也經(jīng)歷了兩個階段Unix階段Windows階段木馬技術(shù)發(fā)展至今，已經(jīng)經(jīng)歷了4代第一代木馬只是進行簡單的密碼竊取、發(fā)送等，沒有什么特別之處第二代木馬在密碼竊取、發(fā)送等技術(shù)上有了很大的進步，冰河可以說是國內(nèi)木馬的典型代表之一第三代木馬在數(shù)據(jù)傳輸技術(shù)上，又做了不小的改進，出現(xiàn)了ICMP等類型的木馬，利用畸形報文傳遞數(shù)據(jù)，增加了查殺的難度第四代木馬在進程隱藏方面，做了很大的改動，采用了內(nèi)核插入式的嵌入方式，利用遠程插入線程技術(shù)，嵌入DLL線程；或者掛接PSAPI(ProcessStatusAPI)，實現(xiàn)木馬程序的隱藏常見的特洛伊木馬常見的特洛伊木馬，例如BackOrifice和SubSeven等，都是多用途的攻擊工具包，功能非常全面，包括捕獲屏幕、聲音、視頻內(nèi)容的功能。這些特洛伊木馬可以當作鍵記錄器、遠程控制器、FTP服務(wù)器、HTTP服務(wù)器、Telnet服務(wù)器，還能夠?qū)ふ液透`取密碼。由于功能全面，所以這些特洛伊木馬的體積也往往較大，通常達到100KB至300KB，相對而言，要把它們安裝到用戶機器上而不引起任何人注意的難度也較大。常見的特洛伊木馬對于功能比較單一的特洛伊木馬，攻擊者會力圖使它保持較小的體積，通常是10KB到30KB，以便快速激活而不引起注意。這些木馬通常作為鍵記錄器使用，它們把受害用戶的每一個鍵擊事件記錄下來，保存到某個隱藏的文件，這樣攻擊者就可以下載文件分析用戶的操作了。常見的特洛伊木馬BackOrifice是一個遠程訪問特洛伊木馬的病毒，該程序使黑客可以經(jīng)TCP/IP網(wǎng)絡(luò)進入并控制windows系統(tǒng)并任意訪問系統(tǒng)任何資源，通過調(diào)用cmd.exe系統(tǒng)命令實現(xiàn)自身的功能，其破壞力極大。SubSeven可以作為鍵記錄器、包嗅探器使用，還具有端口重定向、注冊表修改、麥克風和攝像頭記錄的功能。SubSeven還具有其他功能：攻擊者可以遠程交換鼠標按鍵，關(guān)閉/打開CapsLock、NumLock和ScrollLock，禁用Ctrl+Alt+Del組合鍵，注銷用戶，打開和關(guān)閉CD-ROM驅(qū)動器，關(guān)閉和打開監(jiān)視器，翻轉(zhuǎn)屏幕顯示，關(guān)閉和重新啟動計算機常見的特洛伊木馬在2006年之前，冰河在國內(nèi)一直是不可動搖的領(lǐng)軍木馬，在國內(nèi)沒用過冰河的人等于沒用過木馬，由此可見冰河木馬在國內(nèi)的影響力之巨大。該軟件主要用于遠程監(jiān)控，自動跟蹤目標機屏幕變化等。冰河原作者：黃鑫，冰河的開放端口7626據(jù)傳為其生日號。1．自動跟蹤目標機屏幕變化，同時可以完全模擬鍵盤及鼠標輸入,即在同步被控端屏幕變化的同時，監(jiān)控端的一切鍵盤及鼠標操作將反映在被控端屏幕（局域網(wǎng)適用）；2．記錄各種口令信息：包括開機口令、屏?？诹?、各種共享資源口令及絕大多數(shù)在對話框中出現(xiàn)過的口令信息；3．獲取系統(tǒng)信息：包括計算機名、注冊公司、當前用戶、系統(tǒng)路徑、操作系統(tǒng)版本、當前顯示分辨率、物理及邏輯磁盤信息等多項系統(tǒng)數(shù)據(jù)；4．限制系統(tǒng)功能：包括遠程關(guān)機、遠程重啟計算機、鎖定鼠標、鎖定系統(tǒng)熱鍵及鎖定注冊表等多項功能限制；5．遠程文件操作：包括創(chuàng)建、上傳、下載、復制、刪除文件或目錄、文件壓縮、快速瀏覽文本文件、遠程打開文件（提供了四中不同的打開方式——正常方式、最大化、最小化和隱藏方式）等多項文件操作功能；6．注冊表操作：包括對主鍵的瀏覽、增刪、復制、重命名和對鍵值的讀寫等所有注冊表操作功能；常見的特洛伊木馬灰鴿子（Hack.Huigezi）是一個集多種控制方法于一體的木馬病毒，一旦用戶電腦不幸感染，可以說用戶的一舉一動都在黑客的監(jiān)控之下，要竊取賬號、密碼、照片、重要文件都輕而易舉。自2001年，灰鴿子誕生之日起，就被反病毒專業(yè)人士判定為最具危險性的后門程序，并引發(fā)了安全領(lǐng)域的高度關(guān)注。2004年、2005年、2006年，灰鴿子木馬連續(xù)三年被國內(nèi)各大殺毒廠商評選為年度十大病毒，灰鴿子也因此聲名大噪，逐步成為媒體以及網(wǎng)民關(guān)注的焦點。特洛伊木馬的定義木馬與病毒一般情況下，病毒是依據(jù)其能夠進行自我復制即傳染性的特點而定義的特洛伊木馬主要是根據(jù)它的有效載體，或者是其功能來定義的，更多情況下是根據(jù)其意圖來定義的木馬一般不進行自我復制，但具有寄生性，如捆綁在合法程序中得到安裝、啟動木馬的權(quán)限，DLL木馬甚至采用動態(tài)嵌入技術(shù)寄生在合法程序的進程中木馬一般不具有普通病毒所具有的自我繁殖、主動感染傳播等特性，但我們習慣上將其納入廣義病毒，也就是說，木馬也是廣義病毒的一個子類木馬的最終意圖是竊取信息、實施遠程監(jiān)控木馬與合法遠程控制軟件(如pcAnyWhere)的主要區(qū)別在于是否具有隱蔽性、是否具有非授權(quán)性特洛伊木馬的結(jié)構(gòu)木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序(服務(wù)器程序)三部分組成特洛伊木馬的基本原理運用木馬實施網(wǎng)絡(luò)入侵的基本過程特洛伊木馬的基本原理木馬控制端與服務(wù)端連接的建立控制端要與服務(wù)端建立連接必須知道服務(wù)端的木馬端口和IP地址由于木馬端口是事先設(shè)定的，為已知項，所以最重要的是如何獲得服務(wù)端的IP地址獲得服務(wù)端的IP地址的方法主要有兩種：信息反饋和IP掃描特洛伊木馬的基本原理木馬控制端與服務(wù)端連接的建立特洛伊木馬的基本原理木馬通道與遠程控制木馬連接建立后，控制端端口和服務(wù)端木馬端口之間將會出現(xiàn)一條通道控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過木馬程序?qū)Ψ?wù)端進行遠程控制，實現(xiàn)的遠程控制就如同本地操作特洛伊木馬的傳播方式木馬常用的傳播方式，有以下幾種：以郵件附件的形式傳播控制端將木馬偽裝之后添加到附件中，發(fā)送給收件人通過OICQ、QQ等聊天工具軟件傳播在進行聊天時，利用文件傳送功能發(fā)送偽裝過的木馬程序給對方通過提供軟件下載的網(wǎng)站(Web/FTP/BBS)傳播木馬程序一般非常小，只有是幾K到幾十K，如果把木馬捆綁到其它正常文件上，用戶是很難發(fā)現(xiàn)的，所以，有一些網(wǎng)站被人利用，提供的下載軟件往往捆綁了木馬文件，在用戶執(zhí)行這些下載的文件的同時，也運行了木馬通過一般的病毒和蠕蟲傳播通過帶木馬的磁盤和光盤進行傳播七、計算機日常使用的

安全建議計算機日常使用的安全建議 建立良好的安全習慣。例如：對一些來歷不明的郵件及附件不要打開，不要上一些不太了解的網(wǎng)站、不要執(zhí)行從Internet下載后未經(jīng)殺毒處理的軟件等，這些必要的習慣會使您的計算機更安全。

關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)。默認情況下，許多操作系統(tǒng)會安裝一些輔助服務(wù)，如FTP客戶端、Telnet和Web服務(wù)器。這些服務(wù)為攻擊者提供了方便，而又對用戶沒有太大用處，刪除它