恶意软件及其防护 综述.ppt

恶意软件及其防护 4.1 计算机木马及其防护 计算机木马概述 全称“特洛伊木马（Trojan Horse）”，古希腊士兵藏在木马内进入敌城，占领敌城的故事 计算机木马指：黑客在可供网络上传下载的应用程序或游戏中，添加可以控制用户计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。 4.1 计算机木马及其防护 计算机木马的特点 隐蔽性 命名上采用和系统文件的文件名相似的文件名 属性通常是系统文件、隐藏、只读属性 存放在不常用或难以发现的系统文件目录中 在任务栏里隐藏 在任务管理器里隐藏（Ctrl+Alt+Del） 占用端口号1024以上的端口（1024~65535） 确保正常通信的情况下，隐秘通信 隐秘加载，引诱用户运行服务端程序 Windows 2000及以上版本可以看到所有进程，因此，采取了新的隐身技术，替换正常的动态连接库文件（*.DLL）绑定在进程上进行正常的木马操作 4.1 计算机木马及其防护 计算机木马的特点 非授权性：一旦控制端与服务器端连接后，便大开系统之门，毫无秘密而言在不常用或难以发现的系统文件目录中。 包含在正常程序中（例如，与图片文件绑定或生成exe-binder程序） 不产生图标，以免用户注意到任务栏里来历不明的图标 自动隐藏在任务管理器中，以“系统服务”的方式欺骗操作系统 4.1 计算机木马及其防护 计算机木马的特点 自动运行能力：附着在诸如win.ini、system.ini、winstart.ini 或启动组等文件中随系统启动而启动。 自动恢复能力：多文件组合、多重备份，只要触发文件组合中的一个程序，就会启动该木马。 自动打开特别端口，提供给黑客，作为入侵的端口。 特殊功能：除普通的文件操作外，还有诸如有哪些信誉好的足球投注网站cache口令、扫描目标主机的IP地址、键盘记录等功能 4.1 计算机木马及其防护 计算机木马和病毒的区别 木马不具有自我复制性和传染性，不会像病毒那样自我复制、刻意感染其他文件。 木马的主要意图不是为了破坏用户的系统，而是为了监视并窃取系统中的有用信息，如密码、账号。 4.1 计算机木马及其防护 两大国产杀毒软件公司的网络安全报告 瑞星反病毒监测网 4.1 计算机木马及其防护 两大国产杀毒软件公司的网络安全报告 金山反病毒监测网 4.1 计算机木马及其防护 计算机木马的分类 破坏型：破坏删除文件（*.ini、*.dll、*.exe） 发送密码型：找到隐藏的密码，发送到指定的邮箱 远程访问型：只要运行了服务端程序，如果客户知道服务端的IP地址，就可以实现远程控制 键盘记录型：记录用户在线或离线时按键情况，统计用户按键的频度，进行密码分析 4.1 计算机木马及其防护 计算机木马的分类 分布式攻击（DoS）型 在一台又一台的计算机（“肉机”）上植入DoS攻击木马，形成DoS攻击机群，攻击第三方的计算机 邮件炸弹：机器一旦被挂马，木马就会随机生成各种各样的主题信件，对特定的邮箱不停发送信件，直到对方邮件服务器瘫痪 代理（Proxy）型：黑客隐藏自己的足迹，让肉机沦为“替罪羊” FTP型：打开端口21，等待用户连接 4.1 计算机木马及其防护 计算机木马的分类 程序杀手型：关闭受害者计算机上运行的防木马软件，踢开木马执行的“绊脚石” 反弹端口型：防火墙对用户主动向外连接的端口往往疏于防范，木马的受害端使用主动端口，攻击端使用被动端口，当发现被控制的计算机联网后，攻击端立刻弹出主动端口，与受害计算机相连接。 4.1 计算机木马及其防护 计算机木马的运行原理 由客户端和服务端两个程序组成 客户端是攻击者用来植入被攻击者机器的程序 服务端是木马程序 攻击者要通过木马攻击你的系统，首先木马客户端程序必须植入到被攻击者的计算机里面 主要传播途径：通过一定方法（电子邮件、下载、交互脚本）把木马执行文件植入被攻击者的计算机里，引诱用户执行该文件，程序悄悄地在后台运行。 4.1 计算机木马及其防护 计算机木马的运行原理 当服务端在被感染的机器上成功运行后，攻击者就可使用客户端与服务端建立连接，并进一步控制被感染的机器。 计算机木马入侵后出现的症状（其他问题也可能出现这些症状） 浏览器窗口自动开启，并链入某一网站 莫名其妙的弹出警告框或询问框，问用户一些从未接触过的问题 用户的Windows配置信息被自动更改，比如屏保显示的信息、声音大小、鼠标灵敏度 运行某个程序没有任何反映，系统变得越来越慢 硬盘无缘无故读盘，网络传输指示灯一直闪烁 4.1 计算机木马及其防护 计算机木马是如何启动的？ 由触发条件激活木马，然后运行。 将自身拷贝到系统文件夹中（C:\Windows或C:\Windows\System32），然后在注册表、启动项、非启动组中设置好触发条件，就完成了木马的安装。 4.1 计算机木马及其防护 启动木马的条