第10章 病毒与木马攻击和防范
合集下载
木马攻击与防范课件
木马攻击与防范
二:实验原理—1.木马的特性
❖ 伪装性:伪装成合法程序。 ❖ 隐蔽性:在系统中采用隐藏手段,不让使用
者觉察到木马的存在。 ❖ 破坏性:对目标计算机的文件进行删除、修
改、远程运行,还可以进行诸如改变系统配 置等恶性破坏操作。 ❖ 窃密性:偷取被入侵计算机上的所有资料。
木马攻击与防范
二:实验原理—2.木马的入侵途径
一:实验目的
❖ 通过对木马的练习,理解和掌握木马传播和 运行机制;
❖ 通过手动删除木马,掌握检查木马和删除木 马的技巧,学会防御木马的相关知识,加深 对木马的安全防范意识。
木马攻击与防范
二:实验原理
❖ 木马的全称为特洛伊木马,来源于古希腊神 话。木马是具有远程控制、信息偷取、隐蔽 传输功能的恶意代码,它通过欺骗后者诱骗 的方式安装,并在用户计算机中隐藏以实现 控制用户计算机的目的。
网络通信; ❖ 通信隐藏:进行通信时,将目标端口设定为常用的
80、21等端口,可以躲过防火墙的过滤; ❖ 隐藏加载方式:通过各类脚本允许木马;修改设备
驱动程序或修改动态链接库(DLL)来加载木马。
木马攻击与防范
二:实验原理—5.木马的检测
❖ 木马的远程控制功能要实现,必须通过执行 一段代码来实现。为此,木马采用的技术再 新,也会在操作系统中留下痕迹。
木马对目标计算机进行控制。
木马攻击与防范
二:实验原理—3.木马的连接方式
❖ 一般木马都采用C/S运行模式,即客户端和服 务端木马程序。
❖ 黑客安装木马的客户端,同时诱骗用户安装 木马的服务端。
木马攻击与防范
木马攻击与防范Leabharlann 木马攻击与防范二:实验原理—4.木马的隐藏方式
❖ 任务栏隐藏:使程序不出现在任务栏; ❖ 进程隐藏:躲避任务管理器等进程管理工具; ❖ 端口隐藏:躲避嗅探工具,使用户无法发现隐蔽的
二:实验原理—1.木马的特性
❖ 伪装性:伪装成合法程序。 ❖ 隐蔽性:在系统中采用隐藏手段,不让使用
者觉察到木马的存在。 ❖ 破坏性:对目标计算机的文件进行删除、修
改、远程运行,还可以进行诸如改变系统配 置等恶性破坏操作。 ❖ 窃密性:偷取被入侵计算机上的所有资料。
木马攻击与防范
二:实验原理—2.木马的入侵途径
一:实验目的
❖ 通过对木马的练习,理解和掌握木马传播和 运行机制;
❖ 通过手动删除木马,掌握检查木马和删除木 马的技巧,学会防御木马的相关知识,加深 对木马的安全防范意识。
木马攻击与防范
二:实验原理
❖ 木马的全称为特洛伊木马,来源于古希腊神 话。木马是具有远程控制、信息偷取、隐蔽 传输功能的恶意代码,它通过欺骗后者诱骗 的方式安装,并在用户计算机中隐藏以实现 控制用户计算机的目的。
网络通信; ❖ 通信隐藏:进行通信时,将目标端口设定为常用的
80、21等端口,可以躲过防火墙的过滤; ❖ 隐藏加载方式:通过各类脚本允许木马;修改设备
驱动程序或修改动态链接库(DLL)来加载木马。
木马攻击与防范
二:实验原理—5.木马的检测
❖ 木马的远程控制功能要实现,必须通过执行 一段代码来实现。为此,木马采用的技术再 新,也会在操作系统中留下痕迹。
木马对目标计算机进行控制。
木马攻击与防范
二:实验原理—3.木马的连接方式
❖ 一般木马都采用C/S运行模式,即客户端和服 务端木马程序。
❖ 黑客安装木马的客户端,同时诱骗用户安装 木马的服务端。
木马攻击与防范
木马攻击与防范Leabharlann 木马攻击与防范二:实验原理—4.木马的隐藏方式
❖ 任务栏隐藏:使程序不出现在任务栏; ❖ 进程隐藏:躲避任务管理器等进程管理工具; ❖ 端口隐藏:躲避嗅探工具,使用户无法发现隐蔽的
如何防范病毒或木马的攻击
如何防范病毒或木马的攻击电脑病毒木马的存在形式多种多样,令人防不胜防。
它们会攻击系统数据区,导致系统无法启动,如攻击文件,包括可执行文件和数据文件,干扰键盘、喇叭和显示屏幕,侵占系统内存,攻击硬盘,破坏主板,干扰计算机系统运行,使速度下降,攻击网络,导致个人密码账号、隐私等被盗取。
有效的防范措施有哪些呢?一、安装杀毒软件。
网络上有很多便民且强大杀毒软件是很好的选择。
比如:“火绒安全软件”轻巧高效且免费,占用资源小。
“360 安全卫士”功能强大,具有查杀木马、清理插件、修复漏洞等多种功能。
“卡巴斯基杀毒软件”来自俄罗斯的优秀杀毒软件,能够保护多种设备和系统,实时监控文件、网页、邮件等,有效防御各类恶意程序的攻击。
二、在日常上网过程中,一定要谨慎对待不明链接和邮件附件。
不随意点击来路不明的链接,尤其是那些包含诱惑性语言或承诺的链接,如“免费领取大奖”“限时优惠”等。
对于陌生邮件中的附件,更要保持警惕,即使看起来像是正规文件,也不要轻易打开。
因为这些附件很可能携带病毒或恶意程序,一旦打开,就可能导致电脑中毒,个人信息泄露,甚至造成财产损失。
同时,在社交媒体上也要小心,不随意点击或转发未知来源的链接和信息,保护好自己的账号和个人隐私。
三、定期更新系统:定期检查并更新操作系统、软件和浏览器,确保使用的是最新版本。
这些更新通常包含安全补丁和漏洞修复,能够有效提高系统的安全性,防止黑客利用已知漏洞进行攻击。
四、设置复杂密码:密码应包含数字、字母(大小写)和特殊符号,长度至少 12 位,且无规律排列。
避免使用常见的字符串,如生日、电话号码等。
同时,不同的重要账户应设置不同的密码,并定期更换密码,以增加密码的安全性。
五、下载软件时尽量到官方网站或大型软件下载网站,在安装或打开来历不明的软件或文件前先杀毒。
六、使用网络通信工具时不随意接收陌生人的文件,若已接收可通过取消“隐藏已知文件类型扩展名”的功能来查看文件类型;七、对公共磁盘空间加强权限管理,定期查杀病毒;八、打开移动存储前先用杀毒软件进行检查,可在移动存储器中建立名为autorun.inf的文件夹(可防U盘病毒启动);九、需要从互联网等公共网络上下载资料转入内网计算机时,用刻录光盘的方式实现转存;十、定期备份重要文件,以便遭到病毒严重破坏后能迅速修复。
木马攻击和防范-PPT精品文档
二:实验原理—1.木马的特性
伪装性:伪装成合法程序。
隐蔽性:在系统中采用隐藏手段,不让使用
者觉察到木马的存在。 破坏性:对目标计算机的文件进行删除、修 改、远程运行,还可以进行诸如改变系统配 置等恶性破坏操作。 窃密性:偷取被入侵计算机上的所有资料。
二:实验原理—2.木马的入侵途径
捆绑欺骗:与普通文件捆绑,通过电子邮件、QQ 等发送给用户;或者放在网上,被下载并执行。 利用网页脚本入侵:通过Script、ActiveX、及ASP、 CGI交互脚本的方式入侵,利用浏览器漏洞实现木 马的下载和安装。 利用漏洞入侵:利用系统的漏洞入侵。 和病毒协作入侵:在病毒感染目标计算机后,通过 木马对目标计算机进行控制。
二:实验原理—5.木马的检测
木马的远程控制功能要实现,必须通过执行
一段代码来实现。为此,木马采用的技术再 新,也会在操作系统中留下痕迹。 如果能够对系统中的文件、注册表做全面的 监控,可以实现发现和清除各种木马的目的。
中木马后出现的状况
浏览器自己打开,并且进入某个网站; Windows系统配置自动莫名其妙地被更改;比如 CD-ROM的自动运行配置; 硬盘经常无缘由的进行读写操作; 系统越来越慢,系统资源占用很多; 经常死机; 启动项增加; 莫名的进程; 网络端口的增加;
木马攻击与防范
Hale Waihona Puke 一:实验目的 通过对木马的练习,理解和掌握木马传播和
运行机制; 通过手动删除木马,掌握检查木马和删除木 马的技巧,学会防御木马的相关知识,加深 对木马的安全防范意识。
二:实验原理
木马的全称为特洛伊木马,来源于古希腊神
话。木马是具有远程控制、信息偷取、隐蔽 传输功能的恶意代码,它通过欺骗后者诱骗 的方式安装,并在用户计算机中隐藏以实现 控制用户计算机的目的。
《网络安全课件:防范电脑病毒和木马攻击》
定期更新您的操作系统和防 病毒软件,以保持其对最新 威胁的充分防护。
备份数据
定期备份您的数据到云存储 间,以防止数据丢失。选 择可信赖和安全的云存储提
网络安全意识培训
1
教育培训
2
提供网络安全培训,增强员工对潜
在威胁和防范措施的认识。
3
制定安全政策
建立明确的网络安全政策和规程, 使员工了解并遵守最佳实践。
定期演练
进行网络安全演练,测试应急响应 计划的有效性,并加以改进。
保护您的个人信息
谨慎公开个人信息
避免在公共场所或不可信的网站上公开个 人信息,以防止身份盗窃。
定期检查账户活动
定期查看账户的活动记录,及时发现异常 情况并采取相应措施。
多因素身份验证
启用多因素身份验证功能,提高账户的安 全性,防止未经授权的访问。
木马是一种伪装成合法程序的恶意软件。 它可以远程操控您的计算机,窃取个人 信息。保持警惕,避免访问可疑网站。
常见的网络攻击手段
钓鱼网站
钓鱼网站是冒充合法网站 的虚假网站,旨在获取用 户的个人信息。要时刻保 持警惕,避免提供个人信 息给不可信的来源。
恶意软件下载
谨慎下载未知来源的软件, 特别是破解软件。它们可 能包含恶意软件,导致系 统感染。
加密通信
在进行网上交易或发送敏感信息时,确保 使用加密的通信方式。
维护更新的系统
操作系统 Windows macOS Linux
最新版本 Windows 10 Catalina Ubuntu 20.04
常见的网络安全威胁
网络钓鱼
谨防伪装成合法机构的钓鱼 邮件,防止泄露个人信息或 安装恶意软件。
勒索软件
网络安全课件:防范电脑 病毒和木马攻击
病毒木马的工作原理及其防范讲解
VBS病毒的起源与发展及其危害
三、 VBS病毒的发展和危害 1、VBS脚本病毒如何感染、搜索文件
VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒 中的绝大部分代码都可以直接附加在其他同类程序的中间, 譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾 部,并在顶部加入一条调用病毒代码的语句,而爱虫病毒则 是直接生成一个文件的副本,将病毒代码拷入其中,并以原 文件名作为病毒文件名的前缀,vbs作为后缀。
计算机病毒、木马 及防范技术
目录
病毒的起源和发展 病毒的定义及分类 VBS病毒的起源与发展及其危害 蠕虫病毒 缓冲区溢出与病毒攻击的原理 木马程序 计算机日常使用的安全建议
一、病毒的起源和发展
病毒的起源和发展
一、病毒的起源和发展
➢1949年,计算机的先驱者冯.诺依曼在论文《复杂自动机组织论》中, 提出了计算机程序能够在内存中自我复制;20世纪60年代初,美国贝尔 实验室,三个年轻的程序员编写了一个名为“磁芯大战”的游戏,游戏 中通过复制自身来摆脱对方的控制,这就是病毒的第一个雏形。 ➢20世纪70年代,美国作家雷恩在《P1的青春》一书中阐述了一种能够 自我复制的计算机程序,并第一次称之为“计算机病毒”。 ➢1983年11月,在国际计算机安全学术研讨会上,美国计算机专家首次 将病毒程序在VAX/750计算机上进行实验,世界上第一个计算机病毒就 这样诞生在实验室中。 ➢20世纪80年代后期,巴基斯坦有两个以编软件为生的兄弟,为了打击 盗版软件,设计出了一个名为“巴基斯坦智囊”的病毒,该病毒只传染 软盘引导区,成为世界上流行的第一个真正的病毒。
发包数量前列的IP地址为22.163.0.9的主机,其从网络 收到的数据包数是0,但其向网络发出的数据包是445 个;
实验4-木马及病毒攻击与防范65页
10
三. 实验环境
三. 实验环境
两台运行windows 2000/XP/2019的计算机, 通过网络连接。通过配置“灰鸽子”木马, 了解木马工作原理并实现对木马的检测和查 杀。
11
四. 实验内容
四. 实验内容
1.灰鸽子介绍
灰鸽子是国内近年来危害非常严重的一种木马程 序。
12
四. 实验内容
4.配置服务端:在使用木马前配置好,一般不改变, 选择默认值。 细节注意如下:监听端口7626可更换(范围 在1024~32768之间);关联可更改为与EXE文件 关联(就是无论运行什么exe文件,冰河就开始 加载;还有关键的邮件通知设置:如下图!
33
冰河操作(9)
4.配置服务端:
34
冰河操作(10)
第五代木马在隐藏方面比第四代木马又进行了进 一步提升,它普遍采用了rootkit技术,通过 rootkit技术实现木马运行
5
二. 实验原理
二. 实验原理
4.木马的连接方式
一般木马都采用C/S运行模式,它分为两部分, 即客户端和服务器端木马程序。黑客安装木马的 客户端,同时诱骗用户安装木马的服务器端。
RootKit技术
RootKit是一种隐藏技术,它使得恶意程序可以逃避操 作系统标准诊断程序的查找。
9
二. 实验原理
二. 实验原理
6.木马的检测
木马的远程控制功能要实现,必须通过执行 一段代码来实现。为此,木马采用的技术再新, 也会在操作系统中留下痕迹。如果能够对系统中 的文件、注册表做全面的监控,可以实现发现和 清除各种木马的目的。
其生日号。2.2版本后均非黄鑫制作。
21
端口扫描工具
工具下载:远程木马——冰河v6.0GLUOSHI专版 扫描工具——X-way2.5
三. 实验环境
三. 实验环境
两台运行windows 2000/XP/2019的计算机, 通过网络连接。通过配置“灰鸽子”木马, 了解木马工作原理并实现对木马的检测和查 杀。
11
四. 实验内容
四. 实验内容
1.灰鸽子介绍
灰鸽子是国内近年来危害非常严重的一种木马程 序。
12
四. 实验内容
4.配置服务端:在使用木马前配置好,一般不改变, 选择默认值。 细节注意如下:监听端口7626可更换(范围 在1024~32768之间);关联可更改为与EXE文件 关联(就是无论运行什么exe文件,冰河就开始 加载;还有关键的邮件通知设置:如下图!
33
冰河操作(9)
4.配置服务端:
34
冰河操作(10)
第五代木马在隐藏方面比第四代木马又进行了进 一步提升,它普遍采用了rootkit技术,通过 rootkit技术实现木马运行
5
二. 实验原理
二. 实验原理
4.木马的连接方式
一般木马都采用C/S运行模式,它分为两部分, 即客户端和服务器端木马程序。黑客安装木马的 客户端,同时诱骗用户安装木马的服务器端。
RootKit技术
RootKit是一种隐藏技术,它使得恶意程序可以逃避操 作系统标准诊断程序的查找。
9
二. 实验原理
二. 实验原理
6.木马的检测
木马的远程控制功能要实现,必须通过执行 一段代码来实现。为此,木马采用的技术再新, 也会在操作系统中留下痕迹。如果能够对系统中 的文件、注册表做全面的监控,可以实现发现和 清除各种木马的目的。
其生日号。2.2版本后均非黄鑫制作。
21
端口扫描工具
工具下载:远程木马——冰河v6.0GLUOSHI专版 扫描工具——X-way2.5
《木马攻击与防范》课件
《木马攻击与防范》PPT 课件
# 木马攻击与防范
什么是木马
木马的定义
木马是一种隐藏在正常程序中的恶意软件,通过伪装成合法程序的方式进行潜入和传播。
木马的特点与分类
木马具有隐蔽性和破坏性,常见的木马分类有远程控制木马、数据窃取木马和勒索软件。
木马攻击的方式
1 邮件附件
攻击者通过发送带有木马程序的邮件附件,诱使接收者点击打开,从而实现木马的植入。
2 网络文件下载
攻击者通过欺骗用户下载文件,藉此实施木马的传播和感染。
3 假冒安全软件
攻击者通过制作伪装成安全软件的木马程序,骗取用户下载并安装,实际上是木马的植 入。
木马的危害
1 窃取个人信息
2 控制系统操作
木马可以监控用户的操作、 窃取敏感信息,如账号密 码、银行卡信息以及个人 隐私。
木马常被用来远程控制受 感染的系统,攻击者可以 在背后操控、控制文件操 作,损坏系统或进行非法 活动。
3 加密文件勒索
某些木马会将用户文件加 密,然后勒索用Байду номын сангаас支付赎 金才能解密文件,给用户 带来严重的财产损失。
木马的防范
1 常用安全软件
安装可信赖的安全软件,如杀毒软件、防火 墙和恶意软件清理工具,定期更新并全面扫 描。
3 注意邮件和下载来源
谨慎打开未知发件人的邮件附件,只从可靠 的官方或信任的网站下载文件。
3 系统重装
在严重受感染的情况下, 重新格式化硬盘并重新安 装操作系统。
总结
1 木马的危害与防范
了解木马的危害,采取有 效的安全防范措施以保护 个人信息和系统安全。
2 提高安全意识
加强用户教育和培训,提 高对木马的识别和防范能 力。
# 木马攻击与防范
什么是木马
木马的定义
木马是一种隐藏在正常程序中的恶意软件,通过伪装成合法程序的方式进行潜入和传播。
木马的特点与分类
木马具有隐蔽性和破坏性,常见的木马分类有远程控制木马、数据窃取木马和勒索软件。
木马攻击的方式
1 邮件附件
攻击者通过发送带有木马程序的邮件附件,诱使接收者点击打开,从而实现木马的植入。
2 网络文件下载
攻击者通过欺骗用户下载文件,藉此实施木马的传播和感染。
3 假冒安全软件
攻击者通过制作伪装成安全软件的木马程序,骗取用户下载并安装,实际上是木马的植 入。
木马的危害
1 窃取个人信息
2 控制系统操作
木马可以监控用户的操作、 窃取敏感信息,如账号密 码、银行卡信息以及个人 隐私。
木马常被用来远程控制受 感染的系统,攻击者可以 在背后操控、控制文件操 作,损坏系统或进行非法 活动。
3 加密文件勒索
某些木马会将用户文件加 密,然后勒索用Байду номын сангаас支付赎 金才能解密文件,给用户 带来严重的财产损失。
木马的防范
1 常用安全软件
安装可信赖的安全软件,如杀毒软件、防火 墙和恶意软件清理工具,定期更新并全面扫 描。
3 注意邮件和下载来源
谨慎打开未知发件人的邮件附件,只从可靠 的官方或信任的网站下载文件。
3 系统重装
在严重受感染的情况下, 重新格式化硬盘并重新安 装操作系统。
总结
1 木马的危害与防范
了解木马的危害,采取有 效的安全防范措施以保护 个人信息和系统安全。
2 提高安全意识
加强用户教育和培训,提 高对木马的识别和防范能 力。
木马攻击与防范ppt课件
木马对目的计算机进展控制。
二:实验原理—3.木马的衔接方式
❖ 普通木马都采用C/S运转方式,即客户端和效 力端木马程序。
❖ 黑客安装木马的客户端,同时诱骗用户安装 木马的效力端。
二:实验原理—4.木马的隐藏方式
❖ 义务栏隐藏:使程序不出如今义务栏; ❖ 进程隐藏:躲避义务管理器等进程管理工具; ❖ 端口隐藏:躲避嗅探工具,运用户无法发现隐蔽的
❖ 假设可以对系统中的文件、注册表做全面的 监控,可以实现发现和去除各种木马的目的。
中木马后出现的情况
❖ 阅读器本人翻开,并且进入某个网站; ❖ Windows系统配置自动莫名其妙地被更改;比如
CD-ROM的自动运转配置; ❖ 硬盘经常无缘由的进展读写操作; ❖ 系统越来越慢,系统资源占用很多; ❖ 经常死机; ❖ 启动项添加; ❖ 莫名的进程; ❖ 网络端口的添加;
二:实验原理—1.木马的特性
❖ 伪装性:伪装成合法程序。 ❖ 隐蔽性:在系统中采用隐藏手段,不让运用
者觉察到木马的存在。 ❖ 破坏性:对目的计算机的文件进展删除、修
正、远程运转,还可以进展诸如改动系统配 置等恶性破坏操作。 ❖ 保密性:偷取被入侵计算机上的一切资料。
二:实验原理—2.木马的入侵途径
❖ 捆绑欺Leabharlann :与普通文件捆绑,经过电子邮件、QQ 等发送给用户;或者放在网上,被下载并执行。
❖ 利用网页脚本入侵:经过Script、ActiveX、及ASP、 CGI交互脚本的方式入侵,利用阅读器破绽实现木 马的下载和安装。
❖ 利用破绽入侵:利用系统的破绽入侵。 ❖ 和病毒协作入侵:在病毒感染目的计算机后,经过
网络通讯; ❖ 通讯隐藏:进展通讯时,将目的端口设定为常用的
80、21等端口,可以躲过防火墙的过滤; ❖ 隐藏加载方式:经过各类脚本允许木马;修正设备
二:实验原理—3.木马的衔接方式
❖ 普通木马都采用C/S运转方式,即客户端和效 力端木马程序。
❖ 黑客安装木马的客户端,同时诱骗用户安装 木马的效力端。
二:实验原理—4.木马的隐藏方式
❖ 义务栏隐藏:使程序不出如今义务栏; ❖ 进程隐藏:躲避义务管理器等进程管理工具; ❖ 端口隐藏:躲避嗅探工具,运用户无法发现隐蔽的
❖ 假设可以对系统中的文件、注册表做全面的 监控,可以实现发现和去除各种木马的目的。
中木马后出现的情况
❖ 阅读器本人翻开,并且进入某个网站; ❖ Windows系统配置自动莫名其妙地被更改;比如
CD-ROM的自动运转配置; ❖ 硬盘经常无缘由的进展读写操作; ❖ 系统越来越慢,系统资源占用很多; ❖ 经常死机; ❖ 启动项添加; ❖ 莫名的进程; ❖ 网络端口的添加;
二:实验原理—1.木马的特性
❖ 伪装性:伪装成合法程序。 ❖ 隐蔽性:在系统中采用隐藏手段,不让运用
者觉察到木马的存在。 ❖ 破坏性:对目的计算机的文件进展删除、修
正、远程运转,还可以进展诸如改动系统配 置等恶性破坏操作。 ❖ 保密性:偷取被入侵计算机上的一切资料。
二:实验原理—2.木马的入侵途径
❖ 捆绑欺Leabharlann :与普通文件捆绑,经过电子邮件、QQ 等发送给用户;或者放在网上,被下载并执行。
❖ 利用网页脚本入侵:经过Script、ActiveX、及ASP、 CGI交互脚本的方式入侵,利用阅读器破绽实现木 马的下载和安装。
❖ 利用破绽入侵:利用系统的破绽入侵。 ❖ 和病毒协作入侵:在病毒感染目的计算机后,经过
网络通讯; ❖ 通讯隐藏:进展通讯时,将目的端口设定为常用的
80、21等端口,可以躲过防火墙的过滤; ❖ 隐藏加载方式:经过各类脚本允许木马;修正设备
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
(4)连接IRC服务器并接受黑客指令
• 病毒会自动连接、服务器并接受指令,使中毒计算机可被黑客远 程控制。
10.3.2 魔波(Worm.Mocbot.a)和魔波变种B蠕虫病 毒分析
2、魔波病毒分析报告
(5)试图通过IM(即时通信软件)传播
• 针对性 • 变异性 • 不可预见性
10.1.3 计算机病毒的分类
• 根据技术手段和发展阶段大致可以分为:
• 传统病毒
• 传统病毒主要在计算机和网络发展的早期阶段(如DoS、WINDOWS 95等)大量出现,这些病毒主要攻击单台 用户电脑,一般通过软盘、光盘传播
• 传统病毒中还有一种是文件型病毒,这种病毒主要寄生在文件中并以文件作为主要感染对象的一种病毒,它 可以感染可执行文件和数据文件
图10-7 蠕虫病毒工作流程
10.3.2 魔波(Worm.Mocbot.a)和魔波变种B蠕虫病 毒分析
1、魔波病毒概述
• 驻留内存,受影响系统包括WINDOWS 2000和WINDOWS XP。该病毒利用MS06-040漏洞进行传播, 传播过程中可导致系统服务崩溃,网络连接被断开等现象。被感染的计算机还会自动连接指定 的IRC服务器,被黑客远程控制,同时还会自动从互联网上下载的一个名为“等级代理木马变种 AWP”的木马病毒。
10.2.1 宏病毒概述
• 宏病毒的作用机制
• 一旦病毒宏侵入WORD,它就会替代原有的正常宏,如fileopen、filesave、filesaveas或fileprint等, 并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时,相应的病 毒宏就会夺取控制权,实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。 宏病毒在感染一个文档时,首先要把文档转换成模板格式,然后把所有病毒宏(包括自动宏) 复制到该文档中,被转换成模板格式后的染毒文件无法转存为任何其它格式。当含有宏病毒的 文档被其它电脑的WORD系统打开时,便会自动感染该电脑。例如,如果病毒捕获并修改了 fileopen(打开文件)操作,那么它将感染每一个被打开的WORD文件。
• 微软OFFICE中的WORD宏病毒利用一些数据处理系统内置宏命令编程语言的特性而形成的。这 些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘,病毒可以把特定的宏命令代码附 加在指定文件上,通过文件的打开或关闭来获取控制权,实现宏命令在不同文件之间的共享和 传递,从而在未经使用者许可的情况下获取系统控制权,达到传染的目的。
第10章 病毒与木马攻击和防范
• 10.1 计算机病毒概述 • 10.2 宏病毒分析和防范 • 10.3 蠕虫病毒分析和防范 • 10.4 木马分析和防范 • 10.5 网页脚本病毒分析和防范 • 10.6 即时通信病毒分析与防范 • 10.7 手机病毒分析与防范
10.1 计算机病毒概述
• 10.1.1 计算机病毒的定义 • 10.1.2 计算机病毒的特征 • 10.1.3 计算机病毒的分类 • 10.1.4 防病毒软件
• 梅丽莎病毒分析报告
(1)病毒通过电子邮件的方式传播,当用户打开附件中的“list.doc”文件时将立刻感染。 (2)病毒的代码使用OFFICE WORD的VBA语言编写,通过对注册表进行修改,并调用OUTLOOK发 送含有病毒的邮件,进行快速传播。 (3)修改注册表 (4)发送邮件 (5)修改WORD模板
• 病毒会在IM类软件中发送消息,消息中包含一个URL下载地址,如果用户点击地址并下载该地址的程 序,则好友列表里的人都将收到该条包含URL的消息。
(6)利用MS06-040漏洞传播
• 病毒会利用WINDOWS的服务远程缓冲区溢出漏洞(MS06-040)。WINDOWS的远程服务在处理RPC通 讯中的恶意消息时存在溢出漏洞,远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞,导致执 行任意代码。
10.2.3 宏病毒防范
• 宏病毒感染主要通过两条路径,一是电子邮件,二是移动存储介质(U盘、移动硬盘等), 其共同特点是只能通过OFFICE文件格式传播
• 但是同一种程序下编制的宏病毒只能感ቤተ መጻሕፍቲ ባይዱ同一类型的文件,不同类型宏病毒不能交叉感染
10.2.3 宏病毒防范
1、如何判断是否感染宏病毒
(1)鉴于绝大多数人都不需要或者不会使用OFFICE中的“宏”这个功能,因此,如果OFFICE文档在打 开时,出现是否启动“宏”的提示,则极有可能带有宏病毒。 (2)在WORD工具栏及菜单中看不到某些原有的选项,或某些选项不可用,某些命令不能执行。例如, “工具菜单”中看不到“宏”选项,或能看到“宏”,但鼠标单击无反应,则可以肯定感染了宏病毒, 因为病毒制造者不希望用户查觉病毒的存在或不想让用户查看、编辑源程序,而限制了对它们的使用。 (3)在运行OFFICE的过程中,WINDOWS桌面图标突然全部改变,有可能是宏病毒所致。 (4)打开OFFICE应用后,在存储文件时无法以正常文件格式存储,而只能存储为模板文件,或在“另 存为”窗口中只能以模板方式存盘,则有可能感染了宏病毒。 (5)打开一个OFFICE文件,不进行任何操作马上就退出,且提示需要存盘,则该文件极有可能带有宏 病毒。 (6)OFFICE中经常执行一些错误的操作,比如在WORD中单击“模板与加载项”时却弹出别的窗口, 或者文件中出现莫名其妙的提示和文字信息,则有可能是感染了宏病毒。
(3)安装杀毒软件
• 所有杀毒软件都具有宏病毒的查杀功能,如360、金山毒霸、卡巴斯基、赛门铁克等
10.3 蠕虫病毒分析和防范
• 10.3.1 蠕虫病毒概述 • 10.3.2 魔波(Worm.Mocbot.a)和魔波变种B蠕虫病毒分析 • 10.3.3 防范蠕虫病毒
10.3.1 蠕虫病毒概述
• 蠕虫病毒是一个自包含的程序,它能通过网络传播它自身功能的拷贝或它的某些部分到其它的 计算机系统中
• 蠕虫病毒的程序结构通常包括三个模块:
(1)传播模块:负责蠕虫的传播,它可以分为扫描模块、攻击模块和复制模块三个子模块。 (2)隐藏模块:侵入主机后,负责隐藏蠕虫程序,防止被用户发现。 (3)目标功能模块:实现对计算机的控制、监视或破坏等。
10.3.1 蠕虫病毒概述
• 蠕虫病毒的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。首先蠕虫程序 随机(或在某种倾向性策略下)选取某一段IP地址,接着对这一地址段的主机扫描,当扫 描到有漏洞的计算机系统后将蠕虫主体迁移到目标主机;然后,蠕虫程序进入被感染的系 统,对目标主机进行现场处理;同时,蠕虫程序生成多个副本,重复上述流程,如图10-7 所示。
• 蠕虫病毒和一般的病毒有着很大的区别,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的 一些共性,如传播性、隐蔽性、破坏性等,同时具有自己的一些特征,如不利用文件寄生(有 的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等。
• 蠕虫病毒主要分为两类,一类是面向企业用户和局域网,这种病毒利用系统漏洞主动进行攻击, 可以对整个互联网造成瘫痪性的后果;另一类针对个人用户,通过网络(主要是电子邮件、恶 意网页形式)迅速传播。
• 蠕虫病毒
• 蠕虫病毒是一种可独立运行的程序,它通过扫描网络中那些存在漏洞的计算机,获得部分或全部控制权来进 行传播,它能利用网络进行传播并能够自我复制
• 木马病毒
• 从严格意义上说,木马和病毒是两种不同的恶意软件,但因为两种能互相融合,所以习惯把木马当作病毒的 一种
• WEB时代出现的各种新型病毒
• 目前国内杀毒软件有三大巨头:360杀毒、金山毒霸、瑞星杀毒软件 • 国外的杀毒软件有:卡巴斯基、赛门铁克诺顿、趋势科技、迈克菲(MCAFEE)等 • VB100是国际上最严格的一项杀毒产品检测,安全软件厂商都会选择参与VB 100测试,并
以此来展现自己产品的质量
10.2 宏病毒分析和防范
• 10.2.1 宏病毒概述 • 10.2.2 梅丽莎(Macro.Melissa)宏病毒分析 • 10.2.3 宏病毒防范
• 这些新型病毒包括网页脚本病毒、网络钓鱼程序、移动通信病毒、即时通信病毒、流氓软件等,这些病毒的 一大特点是绝大部分以获取某种经济利益为目的,如盗号、窃取网银账户、非法转账等等
10.1.4 防病毒软件
• 对付病毒最重要的工具是防病毒软件,也称为杀毒软件或反病毒软件。杀毒软件是用于消 除电脑病毒、木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除 以及自动升级等功能,有的杀毒软件还可以进行数据恢复,是主机防御系统的重要组成部 分
10.2.3 宏病毒防范
2、防范宏病毒
• 在OFFICE 2000及以上版本中提供了防范宏病毒的感染和传播的功能 • 以OFFICE中的WORD为例,介绍如何防范宏病毒
(1)提高安全级别
• 选择“工具”->“宏”->“安全性”,在对话框中把宏的安全级别设为“高级”
(2)设置共用模板保存提示
• 选择“工具”->“选项”->“保存”,如图10-6所示。把“提示保存NORMAL模板”前面打上钩,这样如果共用 模板被修改,退出时就会出现需要保存的提示信息
10.2.1 宏病毒概述
• 宏病毒是一种寄存在文档或文档模板中的计算机病毒。一旦打开这样的文档,其中的宏会 被执行,宏病毒就会被激活,转移到计算机上,并驻留在NORMAL模板上,以后所有自动 保存的文档都会感染上这种宏病毒。如果其他用户打开了感染病毒的文档,宏病毒又会转 移到其它计算机上。
• 宏病毒工作原理
10.2.2 梅丽莎(Macro.Melissa)宏病毒分析
• 梅丽莎病毒
• 不驻留内存,受影响系统包括WORD2000与WORD2003。病毒伪装成一封来自朋友或同事的“重 要信息”电子邮件,用户打开邮件后,病毒会让受感染的电脑向外发送50封携毒邮件。病毒不 会删除电脑系统文件,但它引发的大量电子邮件会阻塞电子邮件服务器,使之瘫痪。
10.1.2 计算机病毒的特征
• 病毒会自动连接、服务器并接受指令,使中毒计算机可被黑客远 程控制。
10.3.2 魔波(Worm.Mocbot.a)和魔波变种B蠕虫病 毒分析
2、魔波病毒分析报告
(5)试图通过IM(即时通信软件)传播
• 针对性 • 变异性 • 不可预见性
10.1.3 计算机病毒的分类
• 根据技术手段和发展阶段大致可以分为:
• 传统病毒
• 传统病毒主要在计算机和网络发展的早期阶段(如DoS、WINDOWS 95等)大量出现,这些病毒主要攻击单台 用户电脑,一般通过软盘、光盘传播
• 传统病毒中还有一种是文件型病毒,这种病毒主要寄生在文件中并以文件作为主要感染对象的一种病毒,它 可以感染可执行文件和数据文件
图10-7 蠕虫病毒工作流程
10.3.2 魔波(Worm.Mocbot.a)和魔波变种B蠕虫病 毒分析
1、魔波病毒概述
• 驻留内存,受影响系统包括WINDOWS 2000和WINDOWS XP。该病毒利用MS06-040漏洞进行传播, 传播过程中可导致系统服务崩溃,网络连接被断开等现象。被感染的计算机还会自动连接指定 的IRC服务器,被黑客远程控制,同时还会自动从互联网上下载的一个名为“等级代理木马变种 AWP”的木马病毒。
10.2.1 宏病毒概述
• 宏病毒的作用机制
• 一旦病毒宏侵入WORD,它就会替代原有的正常宏,如fileopen、filesave、filesaveas或fileprint等, 并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时,相应的病 毒宏就会夺取控制权,实施病毒所定义的非法操作,包括传染操作、表现操作以及破坏操作等。 宏病毒在感染一个文档时,首先要把文档转换成模板格式,然后把所有病毒宏(包括自动宏) 复制到该文档中,被转换成模板格式后的染毒文件无法转存为任何其它格式。当含有宏病毒的 文档被其它电脑的WORD系统打开时,便会自动感染该电脑。例如,如果病毒捕获并修改了 fileopen(打开文件)操作,那么它将感染每一个被打开的WORD文件。
• 微软OFFICE中的WORD宏病毒利用一些数据处理系统内置宏命令编程语言的特性而形成的。这 些数据处理系统内置宏编程语言的存在使得宏病毒有机可乘,病毒可以把特定的宏命令代码附 加在指定文件上,通过文件的打开或关闭来获取控制权,实现宏命令在不同文件之间的共享和 传递,从而在未经使用者许可的情况下获取系统控制权,达到传染的目的。
第10章 病毒与木马攻击和防范
• 10.1 计算机病毒概述 • 10.2 宏病毒分析和防范 • 10.3 蠕虫病毒分析和防范 • 10.4 木马分析和防范 • 10.5 网页脚本病毒分析和防范 • 10.6 即时通信病毒分析与防范 • 10.7 手机病毒分析与防范
10.1 计算机病毒概述
• 10.1.1 计算机病毒的定义 • 10.1.2 计算机病毒的特征 • 10.1.3 计算机病毒的分类 • 10.1.4 防病毒软件
• 梅丽莎病毒分析报告
(1)病毒通过电子邮件的方式传播,当用户打开附件中的“list.doc”文件时将立刻感染。 (2)病毒的代码使用OFFICE WORD的VBA语言编写,通过对注册表进行修改,并调用OUTLOOK发 送含有病毒的邮件,进行快速传播。 (3)修改注册表 (4)发送邮件 (5)修改WORD模板
• 病毒会在IM类软件中发送消息,消息中包含一个URL下载地址,如果用户点击地址并下载该地址的程 序,则好友列表里的人都将收到该条包含URL的消息。
(6)利用MS06-040漏洞传播
• 病毒会利用WINDOWS的服务远程缓冲区溢出漏洞(MS06-040)。WINDOWS的远程服务在处理RPC通 讯中的恶意消息时存在溢出漏洞,远程攻击者可以通过发送恶意的RPC报文来触发这个漏洞,导致执 行任意代码。
10.2.3 宏病毒防范
• 宏病毒感染主要通过两条路径,一是电子邮件,二是移动存储介质(U盘、移动硬盘等), 其共同特点是只能通过OFFICE文件格式传播
• 但是同一种程序下编制的宏病毒只能感ቤተ መጻሕፍቲ ባይዱ同一类型的文件,不同类型宏病毒不能交叉感染
10.2.3 宏病毒防范
1、如何判断是否感染宏病毒
(1)鉴于绝大多数人都不需要或者不会使用OFFICE中的“宏”这个功能,因此,如果OFFICE文档在打 开时,出现是否启动“宏”的提示,则极有可能带有宏病毒。 (2)在WORD工具栏及菜单中看不到某些原有的选项,或某些选项不可用,某些命令不能执行。例如, “工具菜单”中看不到“宏”选项,或能看到“宏”,但鼠标单击无反应,则可以肯定感染了宏病毒, 因为病毒制造者不希望用户查觉病毒的存在或不想让用户查看、编辑源程序,而限制了对它们的使用。 (3)在运行OFFICE的过程中,WINDOWS桌面图标突然全部改变,有可能是宏病毒所致。 (4)打开OFFICE应用后,在存储文件时无法以正常文件格式存储,而只能存储为模板文件,或在“另 存为”窗口中只能以模板方式存盘,则有可能感染了宏病毒。 (5)打开一个OFFICE文件,不进行任何操作马上就退出,且提示需要存盘,则该文件极有可能带有宏 病毒。 (6)OFFICE中经常执行一些错误的操作,比如在WORD中单击“模板与加载项”时却弹出别的窗口, 或者文件中出现莫名其妙的提示和文字信息,则有可能是感染了宏病毒。
(3)安装杀毒软件
• 所有杀毒软件都具有宏病毒的查杀功能,如360、金山毒霸、卡巴斯基、赛门铁克等
10.3 蠕虫病毒分析和防范
• 10.3.1 蠕虫病毒概述 • 10.3.2 魔波(Worm.Mocbot.a)和魔波变种B蠕虫病毒分析 • 10.3.3 防范蠕虫病毒
10.3.1 蠕虫病毒概述
• 蠕虫病毒是一个自包含的程序,它能通过网络传播它自身功能的拷贝或它的某些部分到其它的 计算机系统中
• 蠕虫病毒的程序结构通常包括三个模块:
(1)传播模块:负责蠕虫的传播,它可以分为扫描模块、攻击模块和复制模块三个子模块。 (2)隐藏模块:侵入主机后,负责隐藏蠕虫程序,防止被用户发现。 (3)目标功能模块:实现对计算机的控制、监视或破坏等。
10.3.1 蠕虫病毒概述
• 蠕虫病毒的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。首先蠕虫程序 随机(或在某种倾向性策略下)选取某一段IP地址,接着对这一地址段的主机扫描,当扫 描到有漏洞的计算机系统后将蠕虫主体迁移到目标主机;然后,蠕虫程序进入被感染的系 统,对目标主机进行现场处理;同时,蠕虫程序生成多个副本,重复上述流程,如图10-7 所示。
• 蠕虫病毒和一般的病毒有着很大的区别,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的 一些共性,如传播性、隐蔽性、破坏性等,同时具有自己的一些特征,如不利用文件寄生(有 的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等。
• 蠕虫病毒主要分为两类,一类是面向企业用户和局域网,这种病毒利用系统漏洞主动进行攻击, 可以对整个互联网造成瘫痪性的后果;另一类针对个人用户,通过网络(主要是电子邮件、恶 意网页形式)迅速传播。
• 蠕虫病毒
• 蠕虫病毒是一种可独立运行的程序,它通过扫描网络中那些存在漏洞的计算机,获得部分或全部控制权来进 行传播,它能利用网络进行传播并能够自我复制
• 木马病毒
• 从严格意义上说,木马和病毒是两种不同的恶意软件,但因为两种能互相融合,所以习惯把木马当作病毒的 一种
• WEB时代出现的各种新型病毒
• 目前国内杀毒软件有三大巨头:360杀毒、金山毒霸、瑞星杀毒软件 • 国外的杀毒软件有:卡巴斯基、赛门铁克诺顿、趋势科技、迈克菲(MCAFEE)等 • VB100是国际上最严格的一项杀毒产品检测,安全软件厂商都会选择参与VB 100测试,并
以此来展现自己产品的质量
10.2 宏病毒分析和防范
• 10.2.1 宏病毒概述 • 10.2.2 梅丽莎(Macro.Melissa)宏病毒分析 • 10.2.3 宏病毒防范
• 这些新型病毒包括网页脚本病毒、网络钓鱼程序、移动通信病毒、即时通信病毒、流氓软件等,这些病毒的 一大特点是绝大部分以获取某种经济利益为目的,如盗号、窃取网银账户、非法转账等等
10.1.4 防病毒软件
• 对付病毒最重要的工具是防病毒软件,也称为杀毒软件或反病毒软件。杀毒软件是用于消 除电脑病毒、木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除 以及自动升级等功能,有的杀毒软件还可以进行数据恢复,是主机防御系统的重要组成部 分
10.2.3 宏病毒防范
2、防范宏病毒
• 在OFFICE 2000及以上版本中提供了防范宏病毒的感染和传播的功能 • 以OFFICE中的WORD为例,介绍如何防范宏病毒
(1)提高安全级别
• 选择“工具”->“宏”->“安全性”,在对话框中把宏的安全级别设为“高级”
(2)设置共用模板保存提示
• 选择“工具”->“选项”->“保存”,如图10-6所示。把“提示保存NORMAL模板”前面打上钩,这样如果共用 模板被修改,退出时就会出现需要保存的提示信息
10.2.1 宏病毒概述
• 宏病毒是一种寄存在文档或文档模板中的计算机病毒。一旦打开这样的文档,其中的宏会 被执行,宏病毒就会被激活,转移到计算机上,并驻留在NORMAL模板上,以后所有自动 保存的文档都会感染上这种宏病毒。如果其他用户打开了感染病毒的文档,宏病毒又会转 移到其它计算机上。
• 宏病毒工作原理
10.2.2 梅丽莎(Macro.Melissa)宏病毒分析
• 梅丽莎病毒
• 不驻留内存,受影响系统包括WORD2000与WORD2003。病毒伪装成一封来自朋友或同事的“重 要信息”电子邮件,用户打开邮件后,病毒会让受感染的电脑向外发送50封携毒邮件。病毒不 会删除电脑系统文件,但它引发的大量电子邮件会阻塞电子邮件服务器,使之瘫痪。
10.1.2 计算机病毒的特征