【正文】 理由要求收件人登錄某網(wǎng)頁提交用戶名、密碼、身份證號、信用卡號等信息，繼而盜竊用戶資金 ? 利用虛假的電子商務進行詐騙 ? 此類犯罪活動往往是建立電子商務網(wǎng)站，或是在比較知名、大型的電子商務網(wǎng)站上發(fā)布虛假的商品銷售信息，犯罪分子在收到受害人的購物匯款后就銷聲匿跡 65 網(wǎng)絡釣魚技術 ? 利用 、 MSN甚至手機短信等即時通信方式欺騙用戶 ? 冒充軟件運營商告訴某用戶中獎或者免費獲得游戲幣等方式，這一方法的主要欺騙目的是獲取游戲幣，或者通過移動服務上收取信息費。 ? 檢查系統(tǒng)進程 ? 很多木馬在運行期間都會在系統(tǒng)中生成進程。 ? 被動植入 ：是指攻擊者預先設置某種環(huán)境，然后被動等待目標系統(tǒng)用戶的某種可能的操作，只有這種操作執(zhí)行，木馬程序才有可能植入目標系統(tǒng)。 49 木馬的實現(xiàn)原理與攻擊技術 ? 插入其它文件內(nèi)部 ? 利用運行 flash文件和影視文件具有可以執(zhí)行腳本文件的特性，一般使用“插馬”工具將腳本文件插入到 swf、 rm等類型的flash文件和影視文件中 ? 偽裝成應用程序擴展組件 ? 黑客們通常將木馬程序寫成為任何類型的文件然后掛在一個常用的軟件中 。 ? 自動運行性 ? 木馬程序通過修改系統(tǒng)配置文件，在目標主機系統(tǒng)啟動時自動運行或加載。 ? 刪除蠕蟲文件 ? 可以通過蠕蟲在注冊表的鍵值可以知道病毒的躲藏位置，對于那些正在運行或被調(diào)用的文件無法直接刪除，可以借助于相關工具刪除。 40 網(wǎng)絡蠕蟲掃描策略 (22) ? 順序掃描 ? 順序掃描是被感染主機上蠕蟲會隨機選擇一個 C類網(wǎng)絡地址進行傳播，根據(jù)本地優(yōu)先原則，網(wǎng)絡地址段順序遞增。 ? 隨機掃描 ? 隨機選取某一段 IP地址，然后對這一地址段上的主機掃描。 ? 行蹤隱蔽 ? 蠕蟲的傳播過程中，不需要用戶的輔助工作，其傳播的過程中用戶基本上不可察覺。 34 網(wǎng)絡蠕蟲概述 ? 網(wǎng)絡蠕蟲是一種智能化、自動化并綜合網(wǎng)絡攻擊、密碼學和計算機病毒技術，不要計算機使用者干預即可運行的攻擊程序或代碼。 ? 通過網(wǎng)頁傳播的病毒需要 ActiveX的支持 ? 通過 Email傳播的病毒需要郵件軟件的自動發(fā)送功能支持。 ? 病毒源碼容易被獲取、變種多 ? 其源代碼可讀性非常強 29 腳本病毒概述 ? 感染力強。用戶很方便就可以看到這種宏病毒的全部面目。 ? 計算機病毒的傳染機制 ? 指計算機病毒由一個宿主傳播到另一個宿主程序，由一個系統(tǒng)進入另一個系統(tǒng)的過程。 ? 指病毒具有把自身復制到其它程序中的特性 2. 取得系統(tǒng)控制權 3. 隱蔽性 ? 隱蔽性 。 5 ? 計算機病毒的產(chǎn)生原因 ? 計算機病毒的產(chǎn)生原因主要有 4個方面： 1） 惡作劇型 2） 報復心理型 3） 版權保護型 4） 特殊目的型 6 ? 病毒的命名并無統(tǒng)一的規(guī)定，基本都是采用前后綴法來進行命名。計算機病毒發(fā)展主要經(jīng)歷了五個重要的階段。 （ 2）混合型病毒階段（第二階段） ? 19891991，隨著計算機局域網(wǎng)的應用與普及，給計算機病毒帶來了第一次流行高峰。 （ 1）病毒前綴 （ 2）病毒名 （ 3）病毒后綴 7 計算機病毒的分類（ 1） 1. 以病毒攻擊的操作系統(tǒng)分類 （ 1） 攻擊 DOS 系統(tǒng)的病毒 （ 2） 攻擊 Windows 系統(tǒng)的病毒 ? 用戶使用多，主要的攻擊對象 （ 3） 攻擊 UNIX 系統(tǒng)的病毒 （ 4） 攻擊 OS/2 系統(tǒng)的病毒 （ 5） 攻擊 NetWare 系統(tǒng)的病毒 2．以病毒的攻擊機型分類 （ 1） 攻擊微型計算機的病毒 （ 2） 攻擊小型機的計算機病毒 （ 3） 攻擊服務器的計算機病毒 8 計算機病毒的分類（ 2） 3．按照計算機病毒的鏈接方式分類 （ 1） 源碼型病毒 （ 2） 嵌入型病毒 ? 將計算機病毒的主體程序與其攻擊對象以插入方式進行鏈接，一旦進入程序中就難以清除。 6. 不可預見性 12 計算機病毒特征 ? 網(wǎng)絡病毒又增加很多新的特點 ? 主動通過網(wǎng)絡和郵件系統(tǒng)傳播 ? 計算機的病毒種類呈爆炸式增長 ? 變種多，容易編寫，并且很容易被修改，生成很多病毒變種 ? 融合多種網(wǎng)絡技術，并被黑客所使用 13 ? 計算機病毒的組成結構 ? 計算機病毒的種類很多，但通過分析現(xiàn)有的計算機病毒，發(fā)現(xiàn)幾乎所有的計算機病毒都是由3 個部分組成即 : ? 引導模塊 ? 傳播模塊 ? 表現(xiàn)模塊 14 ? 病毒傳播可分為兩種方式： （ 1） 用戶在進行復制磁盤或文件時，把病毒由一個載體復制到另一個載體上，或者通過網(wǎng)絡把一個病毒程序從一方傳遞到另一方，這種傳播方式叫做 計算機病毒的被動傳播 ； （ 2） 計算機病毒以計算機系統(tǒng)的運行以及病毒程序處于激活狀態(tài)為先決條件，在病毒處于激活狀態(tài)下，只要傳播條件滿足，病毒程序能主動把病毒自身傳播給另一個載體或另一個系統(tǒng)，這種傳播方式叫做 計算機病毒的主動傳播 。惡性病毒則會對目標主機系統(tǒng)或信息產(chǎn)生嚴重破壞。 ? 經(jīng)常使用防毒軟件對系統(tǒng)進行病毒檢查。腳本病毒不但能夠攻擊被感染的主機，獲取敏感信息，刪除關鍵文件；更可以攻擊網(wǎng)絡或者服務器，造成拒絕服務攻擊，產(chǎn)生嚴重破壞。 ? 在 IE設置中將 ActiveX插件和控件以及 Java相關的組件全部禁止，可以避免一些惡意代碼的攻擊。 ? 利用軟件漏洞 ? 蠕蟲利用系統(tǒng)的漏洞獲得被攻擊的計算機系統(tǒng)的相應權限，使之進行復制和傳播過程成為可能。 38 網(wǎng)絡蠕蟲工作機制 ? 網(wǎng)絡蠕蟲的工作機制分為 3個階段：信息收集、攻擊滲透、現(xiàn)場處理 ? 信息收集 ? 按照一定的策略搜索網(wǎng)絡中存活的主機，收集目標主機的信息，并遠程進行漏洞的分析。但是隨著蠕蟲的擴散，網(wǎng)絡上存在大量的蠕蟲時，蠕蟲造成的網(wǎng)絡流量就變得非常巨大。關鍵問題是如何從 DNS服務器得到網(wǎng)絡主機地址，以及DNS服務器是否存在足夠的網(wǎng)絡主機地址。 44 木馬技術概述 ? 指隱藏在正常程序中的一段具有特殊功能的惡意代碼，是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和 DoS攻擊等特殊功能的后門程序。系統(tǒng)一旦被植入木馬，只刪除某一個木馬文件來進行清除是無法清除干凈的。 50 木馬的實現(xiàn)原理與攻擊技術 ? 一個木馬程序要通過網(wǎng)絡入侵并控制被植入的計算機，需要采用以下四個環(huán)節(jié) ： ? 首先是向目標主機植入木馬，通過網(wǎng)絡將木馬程序植入到被控制的計算機； ? 啟動和隱藏木馬，木馬程序一般是一個單獨文件需要