第7章 计算机木马.pptxVIP

本PPT是机械工业出版社出版的教材《网络攻防原理与技术（第3版）》配套教学PPT（部分内容的深度和广度比教材有所扩展），作者：吴礼发，洪征，李华波 本PPT可能会直接或间接采用了网上资源或公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！ 本PPT可免费使用、修改，使用时请保留此页。;;内容提纲;一、定义;恶意代码(malicious code)：执行恶意功能的计算机代码 不同厂商（或学术机构）在恶意代码的分类（一般都包括病毒、蠕虫和木马，其它的则有所不同）和定义上有所不同 不同时间段内，恶意代码的分类和定义也会有变化;美国科恩博士（最早定义）：计算机病毒是一种计算机程序，它通过修改其他程序把自己的一个拷贝或演化的拷贝插入到其他程序中实施感染 传染特性，即病毒可以自我繁殖 演化特性，即病毒在感染过程中可以改变自身的一些特征，以逃避查杀;赛门铁克Peter Szor给出定义：计算机病毒是一种计算机程序，它递归地、明确地复制自己或其演化体。 “明确递归”来区别病毒与正常程序的复制过程，“递归”反映了一个文件在被病毒感染以后会进一步感染其他文件，“明确”强调了自我复制是病毒的主要功能。;《中华人民共和国计算机信息系统安全保护条例》(1994.2.18)的第二十八条：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。;几个典型特性 传染性 潜伏性 可触发性 寄生性 非授权执行性 破坏性 ;典型计算机病毒基于功能模块 引导模块 有哪些信誉好的足球投注网站模块 感染模块 表现模块 标识模块;计算机蠕虫（Worm）：一种可以独立运行，并通过网络传播的恶性代码。 具有计算机病毒的一些特性，如传播性、隐蔽性、破坏性等，但蠕虫也具有自己的特点，如漏洞依赖性等，需要通过网络系统漏洞进行传播，另外蠕虫也不需要宿主文件，有的蠕虫甚至只存在于内存中;典型计算机蠕虫基于功能模块 有哪些信誉好的足球投注网站模块 攻击模块 传输模块 负???模块 控制模块;计算机木马;计算机木马;计算机木马;计算机木马;计算机木马;从木马形态上分，可以分为有文件木马和无文件木马 有文件木马：木马本身是一个可执行文件 无文件木马：木马不是一个可执行文件，需要依靠其它软件来触发执行;无文件木马：木马不是一个独立可执行的文件，而是通过特定方式隐藏在其它文件中，通过其它软件来触发执行。 例如：Office文档中的宏；一段可解释执行的语言代码，如Java、Python代码段；Shell脚本；配置文件中一段脚本；注册表中的一个键值等。 通常功能比较简单，只是攻击的第一步，执行后再下载更多的攻击代码到目标机器中;计算机木马;计算机木马木马;微软表示，在2020年8月至2021年1月期间，每月检测到大约14万个网络恶意shell，相比去年报告的7.7万个，几乎翻了一倍;讨论：一句话木马是不是无文件木马？;病毒、蠕虫、木马的区别;二、恶意代码概念的演变;2000年以前：病毒时代 背景：DOS退场，Windows 9x / NT广泛应用，促进了网络应用进入日常生活中 在DOS时代，感染式病毒（Virus）、蠕虫（Worm）和特洛伊木马（Trojan），都是相对窄而互斥的技术概念：Virus是主流;2000~2005：蠕虫大爆发时代 Happy99蠕虫利用劫持电子邮件的方式传播并快速流行，拉开了蠕虫时代大幕 2011年：红色代码（CodeRed）及其变种“红色代码II”（CodeRed II）大爆发：扫描溢出型蠕虫的典型代表 ;2005~2010：木马泛滥时代 随着端系统的安全性的提高（DEP、ALSR等技术的应用），蠕虫的影响开始减弱 2005年，以灰鸽子、冰河为代表的远程控制程序在技术上趋于成熟，感染数量持续增加 2007~2009：地下经济运作日趋“成熟”，基于木马的黑色产业链 2007年上半年：毒王“AV终结者”;2010~2020：虚拟货币和隐秘网络带动的勒索新对抗 2013年开始，勒索软件、挖矿木马逐步泛滥 2016：Mirai爆发，致瘫Dyn 2017：WannaCry全球大爆发 2019：WannaMine挖矿木马爆发;恶意代码种类;恶意代码种类;恶意代码种类;恶意代码种类;360;传统意义上的病毒越来越少，当前主流恶意代码形式是木马（占绝大多数）和蠕虫 不同恶意代码形式的界限越来越模糊，采用的技术有融合的趋势;内容提纲;远程控制木马;远程控制木马的运行步骤;配置木马： 通信配置：监听端口、DNS、IP等 功能配置：文件读取、键盘监听、截屏等 安装配置：安装路径、文件名、是否删除安装文件、注册表启动项等 ;案例：冰河木马的配置界