铜仁学院网络协会计算机安全基础讲座课件.pptVIP

铜仁学院计算机网络协会讲座 主讲人:刘洲 2010-12-10 木马的原理 1.什么是木马? 严格说来：木马不是病毒。木马与病毒、蠕虫、后门程序并列从属于恶意程序范畴。 2.木马与病毒区别： 计算机病毒具有如下几个特征：感染性、隐藏性、潜伏性、可触发性、衍生性、破坏性。 病毒是最早出现的计算机恶意程序。 木马的原理 3.木马的特征： ①木马并不具有感染性，木马并不会使那些正常的文件变成木马，但病毒可以感染正常文件使其成为病毒或者病毒传播的介质 ②木马不具有隐藏性和潜伏性，木马程序都是我们看得到的，并没有把自己隐藏起来，也不像病毒那样通过系统中断或者其他的一些什么机制来定期发作，木马只是伪装成一个你想要使用的正常程序，甚至具有正常程序的一切功能，当你使用这些正常的功能的同时，木马的行为也就同时发作了。 ③木马没有破坏性，纯粹的木马旨在盗取用户资料，取得用户的信息，并不会破坏用户的系统。 木马的原理 4.木马、病毒、蠕虫、后门都是些什么？ 木马是以盗取用户资料为目的的恶意程序。 病毒是以破坏用户计算机为目的的恶意程序。 蠕虫是潜伏在用户电脑内一直没有发作的恶意程序。 后门是由于软件开发者有意或者无意造成的软件漏洞。 木马的原理 从上面几点就能很清楚的看出木马和病毒的区别了 蠕虫不感染、不隐藏、不破坏计算机，它是通过阻塞网络或者恶意侵占用户资源来造成系统运行的不稳定甚至崩溃 后门程序则本身是正常程序，或出于某种恶意的设计或出于疏忽大意，这些正常程序中留有可能被利用来破坏计算机的漏洞，就成为了后门程序…… 木马的原理 虽说木马和病毒有区别，不过这些区别只是理论定义上的。木马制造者不会因为定义上说木马不破坏计算机，他就不制造破坏计算机的木马。而且事实上现在确实有这种木马了，这种木马其实是木马和病毒的混合体，同样的，也有蠕虫与病毒的混合体。还有后门、木马、病毒形成一个自动下载发作的程序链协同作战的。所以这些区别仅仅做个了解即可，他们之间的界限正在慢慢模糊。 同时，在日常生活中，为了称呼方便，又把木马和病毒，蠕虫等统称为病毒。 木马的原理 5.木马的构成 在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明，因为下面有很多地方会提到这些内容。? 一个完整的木马系统由硬件部分、软件部分和具体连接部分组成。? 木马的原理 1)硬件部分:建立木马连接所必须的硬件实体。包括? ①控制端：对服务端进行远程控制的一方。 ②服务端：被控制端远程控制的一方。 ③INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。 木马的原理 2).软件部分: 实现远程控制所必须的软件程序。包括 ①控制端程序：控制端用以远程控制服务端的程序。? ②木马程序：潜入服务端内部，获取其操作权限的程序。? ③木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序 木马原理 3）.具体连接部分?：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。包括：? ①控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。? ②控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。 木马的原理 6.木马的攻击步骤。用木马这种黑客工具进行网络入侵，从过程上看大致可分为六步，下面我们就按这六步来详细阐述木马的攻击原理。? 1）配置木马。一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：?①木马伪装：木马配置程序为了在服务端尽可能好的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件，定制端口，自我销毁等等。?②信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址、IRC号、ICQ号等。 木马的原理 2） 传播木马。①传播方式 木马的传播方式主要有两种：一种是通过E－MAIL，控制端将木马程序以附件的形式夹在邮件中发送出去， 收信人只要打开附件系统就会感染木马.　另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。?②伪装方式 鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。一般来说有以下几种：? 木马的原理 ◆修改图标。也许你会在E－MAIL的附件中看到一个很平常的文本