【正文】 毒防護(hù)合二為一，可以更加實(shí)時(shí)有效地保護(hù)工作站及通向服務(wù)器的橋梁。防病毒卡可以達(dá)到實(shí)時(shí)檢測(cè)的目的，但防病毒卡的升級(jí)不方便，從實(shí)際應(yīng)用的效果看，對(duì)工作站的運(yùn)行速度有一定的影響。軟件防治可以不斷提高防治能力，但需人為地經(jīng)常去啟動(dòng)軟盤防病毒軟件，因而不僅給工作人員增加了負(fù)擔(dān)，而且很有可能在病毒發(fā)作后才能檢測(cè)到。只有把好這道大門，才能有效防止病毒的侵入。 ） 被木馬感染后的緊急措施1) 更改所有的賬號(hào)和密碼2) 刪除硬盤上所有原來(lái)沒(méi)有的東西（系統(tǒng)還原）3) 殺毒軟件清理 木馬的監(jiān)測(cè)1) cmd→C:\Documents and Settings\acernetstat –an2) 監(jiān)測(cè)本機(jī)的活動(dòng)端口軟件（Active Ports）3) 1~1024保留端口4) 1025以上的連續(xù)端口，用于文件傳輸5) 8000端口 木馬的防治1) 木馬修改注冊(cè)表→←注冊(cè)表鎖定HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system寫入DWORD值DisableRegistryTools=1*解鎖：組策略管理器（）→本地計(jì)算機(jī)策略→用戶配置→管理模板→系統(tǒng)→阻止訪問(wèn)注冊(cè)表編輯工具→鉤選“已禁止”2) IE設(shè)置中有選擇地禁用ActiveX控件、Java小程序3) 修改文件的打開關(guān)聯(lián)→←防止修改（注冊(cè)表鎖定）4) 5) 停用Guest賬戶6) 使用屏幕鍵盤輸入密碼（運(yùn)行→“附件”→“輔助功能”中查找執(zhí)行） 木馬的清除技巧1) 解除非法的文件關(guān)聯(lián)：HKEY_CLASSES_ROOT\***file\shell\Open\Commanda) EXE文件的正確關(guān)聯(lián)值 %1 %*b) TXT、INI、INF文件的正確關(guān)聯(lián)值 C:\WINDOWS\System32\ %12) 正常地顯示隱藏文件a)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN→CheckedValue=2b)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL→CheckedValue=1圖25圖26圖27 木馬的查殺工具 木馬清道夫 2008：中國(guó)專業(yè)級(jí)的反木馬信息安全產(chǎn)品，經(jīng)公安部認(rèn)證木馬防線 2005：Antiy Ghostbusters（“捉鬼隊(duì)”），經(jīng)公安部認(rèn)證Ewido：國(guó)外的超強(qiáng)木馬查殺工具，（已更名為AVG AntiSpyware）。如果把網(wǎng)絡(luò)切斷，木馬就無(wú)法實(shí)施遠(yuǎn)程控制了。將原值從%SystemRoot%\system32\ %1變?yōu)?SystemRoot%\system32\ %1，雙擊*.txt文件，8. 啟動(dòng)菜單利用“開始”→“程序”→“啟動(dòng)”選項(xiàng)啟動(dòng)木馬木馬被激活，進(jìn)入內(nèi)存，開啟事先定義好的木馬端口，與控制端建立連接，建立后將在控制端端口和木馬端口產(chǎn)生一條通道，控制端上的控制程序可通過(guò)該通道與服務(wù)端的木馬程序取得聯(lián)系，通過(guò)木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制1）竊取密碼2）文件操作3）修改注冊(cè)表4）系統(tǒng)操作 計(jì)算機(jī)木馬的本質(zhì) 一個(gè)傳統(tǒng)的網(wǎng)絡(luò)客戶/服務(wù)器（C/S）模式，作為提供服務(wù)的主機(jī)一般會(huì)打開默認(rèn)端口監(jiān)聽(tīng)，若有客戶機(jī)向其發(fā)出連接請(qǐng)求，服務(wù)器上的相應(yīng)程序就會(huì)自動(dòng)運(yùn)行，應(yīng)答客戶機(jī)的請(qǐng)求，這個(gè)程序就稱為守護(hù)進(jìn)程。 計(jì)算機(jī)木馬是如何啟動(dòng)的？將自身拷貝到系統(tǒng)文件夾中（C:\Windows或C:\Windows\System32），然后在注冊(cè)表、啟動(dòng)項(xiàng)、非啟動(dòng)組中設(shè)置好觸發(fā)條件，就完成了木馬的安裝。當(dāng)服務(wù)端在被感染的機(jī)器上成功運(yùn)行后，攻擊者就可使用客戶端與服務(wù)端建立連接，并進(jìn)一步控制被感染的機(jī)器。下面是兩大國(guó)產(chǎn)殺毒軟件公司的網(wǎng)絡(luò)安全報(bào)告瑞星反病毒監(jiān)測(cè)網(wǎng) 圖21 圖22金山反病毒監(jiān)測(cè)網(wǎng) 圖23圖24 計(jì)算機(jī)木馬的分類a. 破壞型：破壞刪除文件（*.ini、*.dll、*.exe）b. 發(fā)送密碼型：找到隱藏的密碼，發(fā)送到指定的郵箱c. 遠(yuǎn)程訪問(wèn)型：只要運(yùn)行了服務(wù)端程序，如果客戶知道服務(wù)端的IP地址，就可以實(shí)現(xiàn)遠(yuǎn)程控制d. 鍵盤記錄型：記錄用戶在線或離線時(shí)按鍵情況，統(tǒng)計(jì)用戶按鍵的頻度，進(jìn)行密碼分析e. 分布式攻擊（DoS）型f. 在一臺(tái)又一臺(tái)的計(jì)算機(jī)（“肉機(jī)”）上植入DoS攻擊木馬，形成DoS攻擊機(jī)群，攻擊第三方的計(jì)算機(jī)g. 郵件炸彈：機(jī)器一旦被掛馬，木馬就會(huì)隨機(jī)生成各種各樣的主題信件，對(duì)特定的郵箱不停發(fā)送信件，直到對(duì)方郵件服務(wù)器癱瘓h. 代理（Proxy）型：黑客隱藏自己的足跡，讓肉機(jī)淪為“替罪羊”i. FTP型：打開端口21，等待用戶連接j. 程序殺手型：關(guān)閉受害者計(jì)算機(jī)上運(yùn)行的防木馬軟件，踢開木馬執(zhí)行的“絆腳石”k. 反彈端口型：防火墻對(duì)用戶主動(dòng)向外連接的端口往往疏于防范，木馬的受害端使用主動(dòng)端口，攻擊端使用被動(dòng)端口，當(dāng)發(fā)現(xiàn)被控制的計(jì)算機(jī)聯(lián)網(wǎng)后，攻擊端立刻彈出主動(dòng)端口，與受害計(jì)算機(jī)相連接。e. 特殊功能：除普通的文件操作外，還有諸如搜索cache口令、掃描目標(biāo)主機(jī)的IP地址、鍵盤記錄等功能 計(jì)算機(jī)木馬與病毒的區(qū)別木馬不具有自我復(fù)制性和傳染性，不會(huì)像病毒那樣自我復(fù)制、刻意感染其他文件。c. 自動(dòng)恢復(fù)能力：多文件組合、多重備份，只要觸發(fā)文件組合中的一個(gè)程序，就會(huì)啟動(dòng)該木馬。 計(jì)算機(jī)木馬的特點(diǎn)1. 隱蔽性a. 命名上采用和系統(tǒng)文件的文件名相似的文件名b. 屬性通常是系統(tǒng)文件、隱藏、只讀屬性c. 存放在不常用或難以發(fā)現(xiàn)的系統(tǒng)文件目錄中d. 在任務(wù)欄里隱藏e. 在任務(wù)管理器里隱藏（Ctrl+Alt+Del）f. 占用端口號(hào)1024以上的端口（1024~65535）g. 確保正常通信的情況下，隱秘通信h. 隱秘加載，引誘用戶運(yùn)行服務(wù)端程序i. Windows 2000及以上版本可以看到所有進(jìn)程，因此，采取了新的隱身技術(shù)，替換正常的動(dòng)態(tài)連接庫(kù)文件（*.DLL）綁定在進(jìn)程上進(jìn)行正常的木馬操作2. 非授權(quán)性一旦控制端與服務(wù)器端連接后，便大開系統(tǒng)之門，毫無(wú)秘密而言在不常用或難以發(fā)現(xiàn)的系統(tǒng)文件目錄中。第二章 計(jì)算機(jī)木馬及其防范 計(jì)算機(jī)木馬概述 全稱“特洛伊木馬（Trojan Horse）”，古希臘士兵藏在木馬內(nèi)進(jìn)入敵城，占領(lǐng)敵城的故事。如屏幕不能正常顯示，干擾用戶的操作；破壞鍵盤輸入程序，封鎖鍵盤、換字和震鈴等，使用戶的正常輸入出現(xiàn)錯(cuò)誤；干擾打印機(jī)，使之出現(xiàn)間歇性打印或假報(bào)警。(9) 占用CPU運(yùn)行時(shí)間，使主機(jī)運(yùn)行效率降低。(7) 對(duì)CMOS進(jìn)行寫入操作，破壞CMOS中的數(shù)據(jù)，使計(jì)算機(jī)無(wú)法工作。(5) 破壞硬盤的主引導(dǎo)扇區(qū)，使計(jì)算機(jī)無(wú)法啟動(dòng)。 (3) 修改或破壞文件中的數(shù)據(jù)，這時(shí)文件的格式是正常的，但內(nèi)容已發(fā)生了變化。 計(jì)算機(jī)網(wǎng)絡(luò)病毒的危害性(1) 破壞磁盤文件分配表(FAT表)，使磁盤上的信息丟失，這時(shí)使用DIR命令查看文件，會(huì)發(fā)現(xiàn)文件還在，但文件名與文件的主體已失去聯(lián)系，文件已無(wú)法使用了。另外，被宏病毒感染的文檔可以很容易地通過(guò)Internet以幾種不同的方式發(fā)送，如電子郵件、FTP或Web瀏覽器。 但是，為了讓網(wǎng)頁(yè)看起來(lái)更生動(dòng)、更豐富，許多語(yǔ)言被開發(fā)出來(lái)，其中最有名的就數(shù)Java和ActiveX了。此外還有利用操作系統(tǒng)的漏洞主動(dòng)入侵聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)的病毒。2）Internet 方式 Internet正在逐步成為病毒入侵的主要途徑。在計(jì)算機(jī)進(jìn)行文件交換、執(zhí)行程序或啟動(dòng)過(guò)程中，病毒可能入侵計(jì)算機(jī)。 計(jì)算機(jī)網(wǎng)絡(luò)病毒的傳播方式計(jì)算機(jī)應(yīng)用的普及使信息交換日益頻繁，信息共享也成為一種發(fā)展趨勢(shì)，所以病毒入侵計(jì)算機(jī)系統(tǒng)的途徑也成倍增長(zhǎng)。(4) 利用操作系統(tǒng)安全漏洞主動(dòng)攻擊。隨著因特網(wǎng)技術(shù)的發(fā)展，電子郵件已經(jīng)成為廣大用戶進(jìn)行信息交流的重要工具。這樣，使用者就會(huì)在神不知鬼不覺(jué)的狀態(tài)下，執(zhí)行了一些來(lái)路不明的程序。例如Java和ActiveX的執(zhí)行方式，是把程序碼寫在網(wǎng)頁(yè)上。最常見(jiàn)的就是一些可執(zhí)行文件，“寄主”的宏病毒。 (2) 不需要寄主。 計(jì)算機(jī)網(wǎng)絡(luò)病毒 計(jì)算機(jī)網(wǎng)絡(luò)病毒的特點(diǎn)(1) 入侵計(jì)算機(jī)網(wǎng)絡(luò)的病毒形式多樣。計(jì)算機(jī)病毒是一段特殊的程序或代碼，只要了解病毒程序的人就可以將程序隨意改動(dòng)，只要原程序有所變化，也許只是將發(fā)作日期，或者是攻擊對(duì)象發(fā)生簡(jiǎn)單變化，表現(xiàn)出不同的癥狀，便衍生出另一種不同于原版病毒的新病毒，這種衍生出的病毒被稱為病毒的變種。同樣，攻擊DOS的病毒也不能在UNIX操作系統(tǒng)下運(yùn)行等。5. 針對(duì)性 計(jì)算機(jī)病毒的針對(duì)性是指病毒的運(yùn)行需要特定的軟、硬件環(huán)境，只能在特定的操作系統(tǒng)和硬件平臺(tái)上運(yùn)行，并不能傳染所有的計(jì)算機(jī)系統(tǒng)或所有的計(jì)算機(jī) 程序。滿足觸發(fā)條件的時(shí)候，病毒發(fā)作，對(duì)系統(tǒng)或文件進(jìn)行感染或破壞。因此，病毒為了又隱蔽自己，又保持殺傷力，就必須設(shè)置合理的觸發(fā)條件。為了不讓用戶發(fā)現(xiàn)，病毒必須隱藏起來(lái)，少做動(dòng)作。重者則可以破壞或刪除系統(tǒng)的重要數(shù)據(jù)和文件，或者加密文件、格式化磁盤，甚至攻擊計(jì)算機(jī)硬件，導(dǎo)致整個(gè)系統(tǒng)癱瘓。病毒破壞的嚴(yán)重程度取決于病毒制造者的目的和技術(shù)水平。任何病毒只要入侵系統(tǒng)就會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生不同程度的影響。病毒的潛伏性與病毒的傳染性相輔相成，病毒可以在潛伏階段傳播，潛伏性越大，傳播的范圍越廣。因此，它通常附著在正常程序或磁盤較隱蔽的地方，也有個(gè)別的病毒以隱含文件的方式出現(xiàn)。2. 潛伏性 計(jì)算機(jī)病毒的潛伏性是指病毒具有依附其他媒體而寄生的能力，也稱隱蔽性。 計(jì)算機(jī)病毒一般有自己的標(biāo)志。 只要一臺(tái)計(jì)算機(jī)感染病毒，如果沒(méi)有得到及時(shí)的控制，那么病毒會(huì)很快在這臺(tái)計(jì)算機(jī)上擴(kuò)散，被感染的文件又成了新的傳染源，通過(guò)與其他計(jì)算機(jī)進(jìn)行信息交換，進(jìn)行更大范圍的傳染。傳染性是病毒的基本屬性，是判斷一個(gè)可疑程序是否是病毒的主要依據(jù)。如GPI病毒是世界上第一個(gè)專門攻擊計(jì)算機(jī)網(wǎng)絡(luò)的病毒。3) 攻擊網(wǎng)絡(luò)的病毒 近幾年來(lái)，因特網(wǎng)在全世界迅速發(fā)展，上網(wǎng)已成為計(jì)算機(jī)使用者的時(shí)尚。 2) 攻擊Windows的病毒 攻擊Windows的病毒多種多樣，其中的宏病毒變形很多，有感染W(wǎng)ord的宏病毒，有感染Excel的宏病毒，還有感染Access的宏病毒，其中感染W(wǎng)ord的宏病毒最多。在已發(fā)現(xiàn)的病毒中，攻擊DOS的病毒種類最多、數(shù)量最多，且每種病毒都有變種，所以這種病毒傳播得非常廣泛。所以，對(duì)于蠕蟲型計(jì)算機(jī)病毒