【文章內(nèi)容簡介】 62 頁 計算機(jī)木馬的分類 a. 破壞型：破壞刪除文件（ *.ini、 *.dll、 *.exe） b. 發(fā)送密碼型：找到隱藏的密碼，發(fā)送到指定的郵箱 c. 遠(yuǎn)程訪問型：只要運行了服務(wù)端程序，如果客戶知道服務(wù)端的 IP 地址，就可以實現(xiàn)遠(yuǎn)程控制 d. 鍵盤記錄型：記錄用戶在線或離線時按鍵情況，統(tǒng)計用戶按鍵的頻度，進(jìn)行密碼分析 e. 分布式攻擊（ DoS）型 f. 在一臺又一臺的計算機(jī)（ ―肉機(jī) ‖）上植入 DoS 攻擊木馬，形成 DoS 攻擊機(jī)群，攻擊第三方的計算機(jī) g. 郵件炸彈：機(jī)器一旦 被掛馬，木馬就會隨機(jī)生成各種各樣的主題信件，對特定的郵箱不停發(fā)送信件，直到對方郵件服務(wù)器癱瘓 h. 代理（ Proxy）型：黑客隱藏自己的足跡，讓肉機(jī)淪為 ―替罪羊 ‖ i. FTP 型：打開端口 21，等待用戶連接 畢業(yè) 設(shè)計論文 第 23 頁 /共 62 頁 j. 程序殺手型：關(guān)閉受害者計算機(jī)上運行的防木馬軟件，踢開木馬執(zhí)行的 ―絆腳石 ‖ k. 反彈端口型：防火墻對用戶主動向外連接的端口往往疏于防范，木馬的受害端使用主動端口，攻擊端使用被動端口，當(dāng)發(fā)現(xiàn)被控制的計算機(jī)聯(lián)網(wǎng)后，攻擊端立刻彈出主動端口，與受害計算機(jī)相連接。 計算機(jī)木馬的運行原理 由客戶端 和服務(wù)端兩個程序組成 客戶端是攻擊者用來植入被攻擊者機(jī)器的程序 服務(wù)端是木馬程序 攻擊者要通過木馬攻擊你的系統(tǒng)，首先木馬客戶端程序必須植入到被攻擊者的計算機(jī)里面 主要傳播途徑：通過一定方法（電子郵件、下載、交互腳本）把木馬執(zhí)行文件植入被攻擊者的計算機(jī)里，引誘用戶執(zhí)行該文件，程序悄悄地在后臺運行。 當(dāng)服務(wù)端在被感染的機(jī)器上成功運行后，攻擊者就可使用客戶端與服務(wù)端建立連接，并進(jìn)一步控制被感染的機(jī)器。 計算機(jī)木馬入侵后出現(xiàn)的癥狀（其他問題也可能出現(xiàn)這些癥狀） 瀏覽器窗口自動開啟，并鏈入某一網(wǎng)站莫 名其妙的彈出警告框或詢問框，問用戶一些從未接觸過的問題 ,用戶的 Windows 配置信畢業(yè) 設(shè)計論文 第 24 頁 /共 62 頁 息被自動更改，比如屏保顯示的信息、聲音大小、鼠標(biāo)靈敏度 ， 運行某個程序沒有任何反映，系統(tǒng)變得越來越慢 ， 硬盤無緣無故讀盤，網(wǎng)絡(luò)傳輸指示燈一直閃爍 。 計算機(jī)木馬是如何啟動的？ 由觸發(fā)條件激活木馬，然后運行。 將自身拷貝到系統(tǒng)文件夾中（ C:\Windows 或C:\Windows\System32），然后在注冊表、啟動項、非啟動組中設(shè)置好觸發(fā)條件，就完成了木馬的安裝。 啟動木馬的條件 ——觸發(fā)文件所在的位置 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run（系統(tǒng)啟動時自動執(zhí)行的程序）或 RunServices（系統(tǒng)啟動時自動執(zhí)行的系統(tǒng)服務(wù)程序）或 RunOnce 為開頭的主鍵 2. C:\Windows\（啟動命令 load=和 run=一般是空白的，若有啟動程序，可能是木馬） 3. C:\Windows\（在 386Enh、 mic 和 driver32 中有命令行，可以找到木馬的啟動命令） 4. C:\ 和 （需要控制端用戶與服務(wù)端建立連接后，將已添加木馬啟動命令的同名文件上傳至服務(wù)端覆蓋干凈的文件才行） 5. *.ini（控制端制作帶有木馬的同名啟動文件，上傳到服務(wù)端，覆蓋原有干凈文件） 畢業(yè) 設(shè)計論文 第 25 頁 /共 62 頁 6. 捆綁文件（首先要控制端與服務(wù)端通過木馬建立連接，然后控制端用工具將木馬文件和某一應(yīng)用程序捆綁在一起，上傳到服務(wù)端覆蓋原文件，這樣即使木馬被刪除，只要運行捆綁了木馬的應(yīng)用程序，木馬又會被重新安裝） 7. HKEY_CLASSES_ROOT\Google （具體某文件的類型） \shell\open\mand 例如 ―冰河 ‖木馬修改HKEY_CLASSES_ROOT\txtfile（文本文件類型） \shell\open\mand下的鍵值。將原值從 %SystemRoot%\system32\ %1變?yōu)?%SystemRoot%\system32\ %1，雙擊 *.txt 文件，原本應(yīng)啟動 打開文件的，現(xiàn)在變成了用 木馬程序打開文件 8. 啟動菜單 利用 ―開始 ‖→ ―程序 ‖→ ―啟動 ‖選項啟動木馬 木馬被激活，進(jìn)入內(nèi)存，開啟事先定義好的木馬端口，與控制端建立連接，建立后將在控制端端口和木馬端口產(chǎn)生一條通道，控制端上的控制程序可通過該通道與服務(wù)端的木馬程序取得聯(lián)系，通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制 1） 竊取密碼 2） 文件操作 3） 修改注冊表 4） 系統(tǒng)操作 計算機(jī)木馬的本質(zhì) 畢業(yè) 設(shè)計論文 第 26 頁 /共 62 頁 一個傳統(tǒng)的網(wǎng)絡(luò)客戶 /服務(wù)器（ C/S）模式，作為提供服務(wù)的主機(jī)一般會打開默認(rèn)端口監(jiān)聽，若有客戶機(jī)向其發(fā)出連接請求，服務(wù)器上的相應(yīng)程序就會自動運行，應(yīng)答客戶機(jī)的請求，這個程序 就稱為守護(hù)進(jìn)程。木馬程序端就是服務(wù)端，控制木馬程序端就是客戶端。如果把網(wǎng)絡(luò)切斷，木馬就無法實施遠(yuǎn)程控制了。 計算機(jī)木馬的發(fā)展趨勢 1） 隱蔽性增加 a） 采用非 TCP/UDP 封裝的 IP 數(shù)據(jù)包攜帶盜取的信息 b) 寄生在 TCP 端口，與正常通信流混合傳送 2) 傳輸方式多樣化（如網(wǎng)頁掛馬） 3) 編程機(jī)制多樣化（針對網(wǎng)卡或 Modem 的底層通信編程，跳過防火墻） 4) 跨平臺性（一個木馬程序可兼容不同公司不同版本的操作系統(tǒng)） 5) 模塊化設(shè)計（易于組裝） 6) 更新更強(qiáng)的感染模式 7) 即時通知（ Email 即時通知控制端木馬的安裝情況，以應(yīng)對服務(wù)端 IP 動態(tài)變化的局面） 8) 商業(yè)病毒木馬的泛濫（如木馬點擊器 Clicker 病毒，侵入用戶電腦后，會根據(jù)病毒編寫者預(yù)先設(shè)定的網(wǎng)址，去點擊網(wǎng)上的廣告，如百度競價排名、 Google AdSense 等，讓廣告主支付更多的廣告費，而病毒犯罪團(tuán)伙及其合作伙伴則會分享這些額外的 ―利潤 ‖。 ） 畢業(yè) 設(shè)計論文 第 27 頁 /共 62 頁 被木馬感染后的緊急措施 1) 更改所有的賬號和密碼 2) 刪除硬盤上所有原來沒有的東西（系統(tǒng)還原） 3) 殺毒軟件清理 木 馬的監(jiān)測 1) cmd→ C:\Documents and Settings\acerstat –an 2) 監(jiān)測本機(jī)的活動端口軟件（ Active Ports） 3) 1~1024 保留端口 4) 1025 以上的連續(xù)端口，用于文件傳輸 5) 8000 端口 木馬的防治 1) 木馬修改注冊表→←注冊表鎖定HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system 寫入 DWORD 值 DisableRegistryTools=1 *解鎖：組策略管理器（ ）→本地計算機(jī)策略→用戶配置→管理模板→系統(tǒng)→阻止訪問注冊表編輯工具→鉤選 ―已禁止 ‖ 2) IE 設(shè)置中有選擇地禁用 ActiveX 控件、 Java 小程序 3) 修改文件的打開關(guān)聯(lián)→←防止修改（注冊表鎖定） 4) 停止 中的 Server 服務(wù) 5) 停用 Guest 賬戶 6) 使用屏幕鍵盤輸入密碼（運行→ 或在 ―附件 ‖→ ―輔助畢業(yè) 設(shè)計論文 第 28 頁 /共 62 頁 功能 ‖中查找執(zhí)行） 木馬的清除技巧 1) 解除非法的文 件關(guān)聯(lián)：HKEY_CLASSES_ROOT\***file\shell\Open\Command a) EXE 文件的正確關(guān)聯(lián)值 %1 %* b) TXT、 INI、 INF 文件的正確關(guān)聯(lián)值 C:\WINDOWS\System32\ %1 2) 正常地顯示隱藏文件 a)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN→CheckedValue=2 b)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL→CheckedValue=1 木馬的查殺工具 木馬清道夫 2021：中國專業(yè)級的反木馬信息安全產(chǎn)品，經(jīng)公安部認(rèn)證 木馬防線 2021： Antiy Ghostbusters（ ―捉鬼隊 ‖），經(jīng)公安部認(rèn)證 Ewido：國外的超強(qiáng)木馬查殺工具， （已更 名為 AVG AntiSpyware）。 木馬專殺： 醫(yī)生、 木馬專殺工具 畢業(yè) 設(shè)計論文 第 29 頁 /共 62 頁 ―征途 ‖、 ―魔獸 ‖ 、 ―劍網(wǎng) ‖等網(wǎng)絡(luò)游戲的木馬專殺工具 ——金山毒霸網(wǎng)游專殺工具 ―網(wǎng)銀大盜 ‖木馬專殺（鍵盤記錄盜號；使用中突然彈出要求用戶修改密碼的提示框） ——江民新網(wǎng)銀木馬專殺工具 ―灰鴿子 ‖木馬專殺：金山、瑞星 ―落雪 ‖木馬專殺（俗稱 ―游戲大盜 ‖，紅色圖標(biāo)，偽裝成游戲登錄器） 各大反病毒廠商的專殺工具下載地址 金山： 江民： 瑞星： *注意：網(wǎng)址也包括病毒專殺程序！ 第五章 計算機(jī)網(wǎng)絡(luò)病毒實例 1 —— 宏病毒 宏的定義 軟公司為其 OFFICE 軟件包設(shè)計的一個特殊功能，目的是讓用戶文檔中的一些任務(wù)自化。 OFFICE 中的 WORD 和 EXEAL 都有宏。在下面的討論中我們以 WORD 為例 。 如果在 Word 中重復(fù)進(jìn)行某項工作，可用宏使其自動執(zhí)行。宏是將一系列的 Word 命令和指令組合在一起，形成一個命令，以實現(xiàn)任務(wù)執(zhí)行的自動化。您可 創(chuàng)建并執(zhí)行一個宏，以替代人工進(jìn)行一系列費時而重復(fù)的 Word 操作。 畢業(yè) 設(shè)計論文 第 30 頁 /共 62 頁 *以下是宏的一些典型應(yīng)用： 1) 加速日常編輯和格式設(shè)置 2) 組合多個命令 3) 使對話框中的選項更易于訪問 4) 使一系列復(fù)雜的任務(wù)自動執(zhí)行 5) Word 提供了兩種創(chuàng)建宏的方法：宏錄制器和 Visual Basic 編輯器。 6) 宏錄制器可幫助您開始創(chuàng)建宏。 Word 在 Visual Basic for Applications 編程語言中把宏錄制為一系列的 Word 命令。 7) 可在 Visual Basic 編 輯器中打開已錄制的宏，修改其中的指令。也可用 Visual Basic 編輯器創(chuàng)建包括 Visual Basic 指令的非常靈活和強(qiáng)有力的宏。 8) 您可將宏保存到模板或文檔中。在默認(rèn)的情況下， Word 將宏存貯在 Normal 模板中，以便所有的 Word 文檔均能使用。注意這一特點幾乎為所有的宏病毒所利用。 宏病毒的定義 宏病毒是一種寄存在文檔或模板的宏中的計算機(jī)病毒。一旦打開這樣的文檔，其中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計算機(jī)上，并駐留在 Normal 模板上。從此以后，所有自動保存的文 檔都會 ―感染 ‖上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計算機(jī)上。 如果某個文檔中包含了宏病毒，我們稱此文檔感染了宏病毒；畢業(yè) 設(shè)計論文 第 31 頁 /共 62 頁 如果 WORD 系統(tǒng)中的模板包含了宏病毒，我們稱 WORD 系統(tǒng)感染了宏病毒。雖然 OFFICE97/Word97 無法掃描軟盤、硬盤或網(wǎng)絡(luò)驅(qū)動器上的宏病毒（要得到這種保護(hù)，需要購買和安裝專門的防病毒軟件）。但當(dāng)打開一個含有可能攜帶病毒的宏的文檔時，它能夠顯示宏警告信息。這樣就可選擇打開文檔時是否要包含宏，如果希望文檔包含要用到的宏（例如，單位所用的定貨窗體），打 開文檔時就包含宏。 如果您并不希望在文檔中包含宏，或者不了解文檔的確切來源。例如，文檔是作為電子郵件的附件收到的，或是來自網(wǎng)絡(luò)或不安全的 Inter 節(jié)點。在這種情況下，為了防止可能發(fā)生的病毒傳染，打開文檔過程中出現(xiàn)宏警告提示時最好選擇 ―取消宏 ‖。 OFFICE97 軟件包安裝后，系統(tǒng)中包含有關(guān)于宏病毒防護(hù)的選項，其默認(rèn)狀態(tài)是允許 ―宏病毒保護(hù) ‖復(fù)選框。如果愿意，您可以終止系統(tǒng)對文檔宏病毒的檢查。當(dāng) Word 顯示宏病毒警告信息時，清除 ―在打開帶有宏或自定義內(nèi)容的文檔時提問 ‖復(fù)選框?；蛘哧P(guān)閉宏檢查：單擊 ―工具 ‖菜單中的 ―選項 ‖命令，再單擊 ―常規(guī) ‖選項卡，然后清除 ―宏病毒保護(hù) ‖復(fù)選框。不過我強(qiáng)烈建議您不要取消宏病毒防護(hù)功能，否則您會失去這道防護(hù)宏病毒的天然屏障。 宏病毒的判斷方法 雖然不是所有包含宏的文檔都包含了宏病毒，但當(dāng)有下列情況之一