计算机病毒原理及防范技术 -王路群 第6章 其他破坏性程序.pptVIP

计算机病毒原理及防范技术 第6章 其他破坏性程序 教学要求： 理解：蠕虫的工作原理，邮件炸弹的原理 掌握：木马的定义、特性、基本原理、启动方式及检测方法,蠕虫的定义和工作方式,蠕虫与病毒的区别与联系 6.1 木马程序 木马的全称是“特洛伊木马（Trojan Horse）”，原指古希腊人把士兵藏在木马内进入了特洛伊城，从而占领敌方城市取得战争胜利的故事。 在Internet中，特洛伊木马（也叫黑客程序或后门）是指隐藏在正常程序中的一段具有特殊功能的恶意代码，一旦侵入用户的计算机，就悄悄在宿主计算机上运行，在用户毫无觉察的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户计算机中破坏或删除文件、修改注册表、记录键盘，或窃取用户信息，可能造成用户系统被破坏，甚至瘫痪。 6.1 木马程序（续） 木马概述 木马是一种基于远程控制的黑客工具，是一种恶意程序，具备计算机病毒的特征，我们常把它看作广义病毒的一个子类。目前很多木马程序为了在更大范围内传播，与计算机病毒相结合，因此，木马程序也可以看做一种伪装潜伏的网络病毒。 6.1 木马程序 （续） 木马的发展历程 世界上第一个计算机木马是出现于1986年的PC-Write木马。这种病毒通过伪装成一个合法性程序诱骗用户上当，故被称作第一代木马 ：伪装型木马。 它伪装成Quicksoft公司发布的共享软件PC-Write的2.72版本（事实上， Quicksoft公司从未发行过PC-Write的2.72版本），一旦用户运行，这个木马程序就会对用户的硬盘进行格式化。 1989年又出现了AIDS木马。可以说第二代木马已具备了传播特征（尽管通过传统的邮递方式）。 由于当时很少有人使用电子邮件， AIDS的制造者竟然利用现实生活中的邮政邮件进行传播。该木马运行后虽然不会破坏用户硬盘中的数据，但是会将用户的硬盘加密锁死，然后提示受感染用户花钱消灾。 6.1 木马程序 （续） 木马的发展历程 计算机网络的发展木马的传播带来了极大的便利。新一代的木马：网络传播性木马兼备伪装和传播两种特征，同时还具有了新的特征： 添加了“后门”功能 后门就是一种可以为计算机系统秘密开启访问入口的程序。后门是一种登录系统的方法，一旦被安装，这些程序就能够使攻击者绕过系统已有的安全设置进入系统。 添加了击键记录功能 该功能主要是记录用户所有的击键内容，并形成击键记录的日志文件发送给攻击者。 6.1 木马程序 （续） 木马的发展历程 该类型木马中比较有名的有国外的BO2000（BackOrifice）和国内的冰河木马。它们都是基于网络的客户端/服务器应用程序。具有搜集信息、执行系统命令、重新设置机器、重新定向等功能。 当木马程序攻击得手后，用户计算机就完全成了黑客控制的傀儡主机，黑客成了超级用户，用户的所有计算机操作不仅没有任何秘密可言，而且黑客可以远程控制傀儡主机对别的主机发动攻击，这时候被俘获的傀儡主机就成了黑客进行进一步攻击的挡箭牌和跳板。 6.1 木马程序 （续） 木马病毒的功能 通过木马，黑客可以通过网络从远程对用户电脑进行任意操作，比如删除程序、修改注册表、获取用户必威体育官网网址信息、远程关机等。木马使用户的电脑完全暴露在网络环境之中，成为别人操纵的对象，这对于网络用户来说是极其可怕的。 6.1 木马程序 （续） 木马病毒的功能 就目前出现的木马看，木马大致有以下一些功能： 查看文件系统，修改、删除、获取文件； 查看系统中的进程，启动和停止进程； 截取计算机的屏幕显示，并发给控制端； 控制计算机的键盘、鼠标或其他硬件设备的动作； 以本机为跳板，攻击网络中的其他计算机； 通过网络下载新的病毒文件。 使系统自毁。可以有很多种方法，如改变时钟频率、使芯片热崩溃而损坏、造成系统瘫痪等。 6.1 木马程序 （续） 木马病毒的功能 随着目前国内网络游戏和网上银行的兴起，以盗取网络游戏软件、OICQ、网上银行的登录密码和账号为目的的木马病毒越来越猖獗。 这些木马病毒利用操作系统提供的接口，在后台不停地查找这些软件的窗体，一旦发现登录窗体就会找到窗体中的用户名和密码的输入框，然后窃取输入的用户名和密码。还有的木马会拦截计算机的键盘和鼠标的动作，只要键盘和鼠标被点击，病毒就会判断当前正在进行输入的窗体是否是游戏的登录界面，如果是的话就将键盘输入的数据复制一份。另外，有的木马还会直接拦截网络数据包，窃取数据包中的用户名和密码，并将窃取到用户名和密码信息通过网络发送电子邮件到黑客的邮箱内，用以进行盗窃或网络诈骗。 6.1 木马程序 （续） 木马的特性 隐蔽性 隐蔽性是指木马的设计者为了防止木马被发现，会采用各种手段隐藏木马，使木马在用户不易觉察的情况下完成一些危害用户的操作。 隐蔽性是木马的