計算機網(wǎng)絡應用基礎教案-4.5計算機木馬

4.5計算機木馬教學內容：計算機木馬。教學目的：掌握計算機木馬的產生與防范。教學重難點：計算機木馬的特征與分類、防范。教學課時：2課時教學過程：一、引入。木馬病毒木馬（Trojan）這個名字來源于古希臘傳說（荷馬史詩中木馬計的故事，Trojan一詞的特洛伊木馬本意是特洛伊的，即代指特洛伊木馬，也就是木馬計的故事）?！澳抉R”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種者的電腦?！澳抉R”與計算機網(wǎng)絡中常常要用到的遠程控制軟件有些相似，但由于遠程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達到的是“偷竊”性的遠程控制，如果沒有很強的隱蔽性的話，那就是“毫無價值”的。它是指通過一段特定的程序（木馬程序）來控制另一臺計算機。木馬通常有兩個可執(zhí)行程序：一個是客戶端，即控制端；另一個是服務端，即被控制端。植入被種者電腦的是“服務器”部分，而所謂的“黑客”正是利用“控制器”進入運行了“服務器”的電腦。運行了木馬程序的“服務器”以后，被種者的電腦就會有一個或幾個端口被打開，使黑客可以利用這些打開的端口進入電腦系統(tǒng)，安全和個人隱私也就全無保障了！木馬的設計者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。木馬的服務一旦運行并被控制端連接，其控制端將享有服務端的大部分操作權限，例如給計算機增加口令，瀏覽、移動、復制、刪除文件，修改注冊表，更改計算機配置等。隨著病毒編寫技術的發(fā)展，木馬程序對用戶的威脅越來越大，尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己，使普通用戶很難在中毒后發(fā)覺。二、木馬病毒傳播途徑1、電子郵件附件傳播2、通過下載文件傳播3、通過網(wǎng)頁傳播4、通過聊開工具傳播三、一些特殊類型的木馬1、反彈端口木馬簡單地說，就是由木馬的服務端主動連接客戶端所在IP對應的電腦的80端口。相信沒有哪個防火墻會攔截這樣的連接（因為它們一般認為這是用戶在瀏覽網(wǎng)頁），所以反彈端口型木馬可以穿墻。反彈端口型木馬：利用反彈端口原理，躲避防火墻攔截的一類木馬的統(tǒng)稱。國產的優(yōu)秀反彈端口型木馬主要有：灰鴿子、上興遠程控制、PcShare等。2、無進程木馬隱藏進正常的進程中。3、無控制端木馬4、嵌套型木馬5、其他木馬四、工作原理一個完整的特洛伊木馬套裝程序含了兩部分：服務端（服務器部分）和客戶端（控制器部分）。植入對方電腦的是服務端，而黑客正是利用客戶端進入運行了服務端的電腦。運行了木馬程序的服務端以后，會產生一個有著容易迷惑用戶的名稱的進程，暗中打開端口，向指定地點發(fā)送數(shù)據(jù)（如網(wǎng)絡游戲的密碼，即時通信軟件密碼和用戶上網(wǎng)密碼等），黑客甚至可以利用這些打開的端口進入電腦系統(tǒng)。特洛伊木馬程序不能自動操作，一個特洛伊木馬程序是包含或者安裝一個存心不良的程序的，它可能看起來是有用或者有趣的計劃（或者至少無害）對一不懷疑的用戶來說，但是實際上有害當它被運行。特洛伊木馬不會自動運行，它是暗含在某些用戶感興趣的文檔中，用戶下載時附帶的。當用戶運行文檔程序時，特洛伊木馬才會運行，信息或文檔才會被破壞和遺失。特洛伊木馬和后門不一樣，后門指隱藏在程序中的秘密功能，通常是程序設計者為了能在日后隨意進入系統(tǒng)而設置的。特洛伊木馬有兩種，universal的和transitive的，universal就是可以控制的，而transitive是不能控制，刻死的操作。五、木馬運行征兆1、死機重啟2、頻繁訪問硬盤3、無端搜索軟、光驅4、系統(tǒng)異常緩慢。六、木馬隱藏與啟動1、偽裝修改圖標、捆綁文件、出錯顯示、定制端口、自我銷毀、木馬更名2、運行方式自啟動、觸發(fā)式激活3、木馬運行進程Netstat–a–n查看端口狀態(tài)常用端口1-1024保留端口。FTP：21；SMTP：25；POP3：110；HTTP：801025以上連續(xù)端口4000OICQ端口6667IRC如有其他端口，可能有木馬運行。