网络安全理论与技术第十八讲
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
由于绝大多数恶意代码都或多或少地具有计算机 病毒的特征,因此在下一节中专门论述计算机病毒, 这里不多做解释。
4. 可感染的独立性恶意代码
(1) 蠕虫 计算机蠕虫(worm)是一种通过计算机网络能够自我
复制和扩散的程序。蠕虫与病毒的区别在于“附着”。蠕 虫不需要宿主,不会与其他特定程序混合。因此,与病毒 感染特定目标程序不同,蠕虫感染的是系统环境(如操作 系统或邮件系统)。
己的程序。一个典型的细菌是在多任务系统中生成它的两 个副本,然后同时执行这两个副本,这一过程递归循环, 迅速以指数形式膨胀,最终会占用全部的处理器时间和内 存或磁盘空间,从而导致计算资源耗尽无法为用户提供服 务。细菌通常发生在多用户系统和网络环境中,目的就是 占用所有的资源。
上述分类是为了从概念上把握恶意代码的主要特征, 便于理解和研究。随着恶意代码的不断进化,实际中的 许多恶意代码同时具有多种特征,这样可以具有更大的 威胁性。最典型的是蠕虫病毒,它是蠕虫和病毒的混合
注册表。
逻辑炸弹(Logic bomb)
逻辑炸弹是一段具有破坏性的代码,事先预置于较大 的程序中,等待某扳机事件发生触发其破坏行为。扳机事 件可以是特殊日期,也可以是指定事件。逻辑炸弹往往被 那些有怨恨的职员利用,他们希望在离开公司后,通过启 动逻辑炸弹来损伤公司利益。一旦逻辑炸弹被触发,就会 造成数据或文件的改变或删除、计算机死机等破坏性事件。
30分钟后 在全球的感染面积
RPC DCOM蠕虫
2003年8月11日首先被发现,然后迅速扩散,这时候距离被利用 漏洞的发布日期还不到1个月 该蠕虫病毒针对的系统类型范围相当广泛(包括Windows NT/2000/XP) 截至8月24日,国内被感染主机的数目为25~100万台 全球直接经济损失几十亿美金
失或系统已经损坏需要重新安装,惊惶失措的受骗者可能会做出不 明智的操作,如设法恢复丢失的数据或阻止数据再次丢失,或进行 系统重新安装而致使数据丢失甚至无法进入系统,从而导致真正的 破坏。
3. 可感染的依附性恶意代码
计算机病毒(viru)是一段附着在其他程序上的 可以进行自我繁殖的代码。由此可见,计算机病毒是 既有依附性,又有感染性。
1997年4月,一伙人开发出一个名叫AOL4FREE.COM 的特洛伊木马,声称可以免费访问AOL,但它却损坏了 执行它的机器硬盘。
直接攻击 电子邮件
文件下载
浏览网页
合并文件
+
经过伪装的木马 被植入目标机器
特洛伊木马程序的位置和危险级别
特洛伊木马程序代表了一种很高级别的威胁 危险,主要是有以下几个原因。
定义中有3点需要进一步解释:
第一,“有用的或必需的功能的程序”只是诱饵,就像典 故里的特洛伊木马,表面看上去很美但实际上暗 藏危机。
第二,“为人不知的功能”定义了其欺骗性,是危机所在 之处,为几乎所有的特洛伊木马所必备的特点。
第三,“往往是有害的”定义了其恶意性,恶意企图包括: (1)试图访问未授权资源(如盗取口令、个人隐私或企业机密); (2)试图阻止正常访问(如拒绝服务攻击); (3)试图更改或破坏数据和系统(如删除文件、创建后门等)。
体,同时具有蠕虫和病毒的特征。
网络威胁
恶意代码及黑客攻击手段的三大特点 :
传播速度惊人 受害面惊人 穿透深度惊人
红色代码
–2001年7月19日,全球的入侵检测系统(IDS)几乎同时报 告遭到不名蠕虫攻击 –在红色代码首次爆发的短短9小时内,以迅雷不及掩耳 之势迅速感染了250,000台服务器 –最初发现的红色代码蠕虫只是篡改英文站点主页,显示 “Welcome to http://www.worm.com! Hacked by Chinese!” –随后的红色代码蠕虫便如同洪水般在互联网上泛滥,发 动拒绝服务(DoS)攻击以及格式化目标系统硬盘,并会在 每月20日~28日对白宫的WWW站点的IP地址发动DoS攻 击,使白宫的WWW站点不得不全部更改自己的IP地址。
由此,可以得出以下4大类恶意代码
分类标准
需要宿主
无需宿主
不能自我复制 不感染的依附性恶意代码 不感染的独立性恶意代码
能够自我复制 可感染的依附性恶意代码 可感染的独立性恶意代码
目前发现并命名的主要恶意代码按上 述分类方法的分类结果如下表所示。
类别
实例
特洛伊木马(Trojan horse)
不感染的依附性恶意代码
system.ini文件中,因为系统启动的时候需要装载这3 个文件。
下面从几个方面具体说明特洛伊木马程序是怎样自动 加载的。
在win.ini文件中的[WINDOWS]下面,“run=”和“load=” 是可能加载特洛伊木马程序的途径。
在system.ini文件中, “shell=explorer.exe程序名”,那么 后面跟着的那个程序就是特洛伊木马程序。
“红色代码”的蔓延速度
尼姆达(Nimda)源自文库
尼姆达是在 9·11 恐怖袭击整整一个星期后出现的,当时传 言是中国为了试探美国对网络恐怖袭击的快速反应能力而散 布了尼姆达病毒 尼姆达是在早上9:08发现的,明显比红色代码更快、更具有 摧毁功能,半小时之内就传遍了整个世界。随后在全球各地 侵袭了830万部电脑,总共造成将近10亿美元的经济损失 传播方式包括:电子邮件、网络临近共享文件、IE浏览器的 内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历漏洞、 CodeRedII和Sadmind/IIS蠕虫留下的后门等
特洛伊木马的检测
若要检测在文件或操作系统中特洛伊木马程序是 否存在,首先用户必须对所用的操作系统有比较深入 的认识,此外还应对加密知识和一些加密算法有一定 的了解。
1.检测的基本方法 2.检测工具MD5
特洛伊木马的防范
1.特洛伊木马的基本工作原理 特洛伊木马程序一般存在于注册表、win.ini文件或
(1) 点滴器 点滴器(dropper)是为传送和安装其他恶意代码而设计的程序,
它本身不具有直接的感染性和破坏性。点滴器专门对抗反病毒检测, 使用了加密手段,以阻止反病毒程序发现它们。当特定事件出现时, 它便启动,将自身包含的恶意代码释放出来。 (2) 繁殖器
繁殖器(generator)是为制造恶意代码而设计的程序,通过这个 程序,只要简单地从菜单中选择你想要的功能,就可以制造恶意代 码,不需要任何程序设计能力。事实上,它只是把某些已经设计好 的恶意代码模块按照使用者的选择组合起来而已,没有任何创造新 恶意代码的能力。因此,检测由繁殖器产生的任何病毒都比较容易, 只要通过搜索一个字符串,每种组合都可以被发现。繁殖器的典型 例子是VCL(Virus Creation Laboratory)。
14.1.2 恶意代码的分类
恶意代码可以按照两种分类标准,从两个角度进行 直交分类。
一种分类标准是,恶意代码是否需要宿主,即特定 的应用程序、工具程序或系统程序。需要宿主的恶意代 码具有依附性,不能脱离宿主而独立运行;不需宿主的 恶意代码具有独立性,可不依赖宿主而独立运行。
另一种分类标准是,恶意代码是否能够自我复制。 不能自我复制的恶意代码是不感染的;能够自我复制的 恶意代码是可感染的。
SQL Slammer蠕虫
Slammer的传播数度比“红色代码”快两个数量级 在头一分钟之内,感染主机数量每8.5秒增长一倍; 3分钟后该病毒的传播速度达到峰值(每秒钟进行5500万次扫描); 接下来,其传播速度由于自身挤占了绝大部分网络带宽而开始下 降; 10分钟后,易受攻击的主机基本上已经被感染殆尽
2.清除特洛伊木马的一般方法 如果发现有特洛伊木马存在,首要的一点是立即将
计算机与网络断开, 首先编辑win.ini文件,接下来编辑 system.ini文件,对注册表进行编辑。
(1)提高防范意识。 (2)多读readme.txt文件。 (3)使用杀毒软件。 (4)立即挂断。 (5)观察目录。 (6)在删除特洛伊木马之前,最重要的一项工作是备份文件和
特洛伊木马一般没有自我复制的机制,所以不会自 动复制自身。电子新闻组和电子邮件是特洛伊木马的主 要传播途径。特洛伊木马的欺骗性是其得以传播的根本 原因。特洛伊木马经常伪装成游戏软件、搞笑程序、屏 保、非法软件、色情资料等,上载到电子新闻组或通过 电子邮件直接传播,很容易被不知情的用户接收和继续
传播。
(3) 恶作剧
恶作剧(hoax)是为欺骗使用者而设计的程序,它侮辱使用者或 让其做出不明智的举动。恶作剧通过“心理破坏”达到“现实破 坏”。
例如,UltraCool声称“如果不按退出按钮的话,一个低水平的硬 盘格式化会在27秒内完成”,然而如果一直用鼠标按住退出按钮的 话,直到计时到0时,便会出现一个“只是玩笑”的信息。这只是愚 弄而已,严重的问题是有些恶作剧会让受骗者相信他的数据正在丢
一个著名的例子是美国马里兰州某县的图书馆系统, 开发该系统的承包商在系统中插入了一个逻辑炸弹,如果 承包商在规定日期得不到全部酬金,它将在该日期使整个 系统瘫痪。当图书馆因系统响应时间过长准备扣留最后酬 金时,承包商指出了逻辑炸弹的存在,并威胁如果酬金不 到位的话就会让它爆炸。
后门(backdoor)或陷门(trapdoor)
特洛伊木马的来历
来源于希腊神话中的特洛伊战争
希腊人攻打特洛伊城十 年,始终未获成功,后来建 造了一个大木马,并假装撤 退,希腊将士却暗藏于马腹 中。特洛伊人以为希腊人已 走,就把木马当作是献给雅 典娜的礼物搬入城中。晚上, 木马中隐藏的希腊将士冲出 来打开城门,希腊将士里应 外合毁灭了特洛伊城。后来 我们把进入敌人内部攻破防 线的手段叫做木马计,木马 计中使用的里应外合的工具 叫做特洛伊木马
逻辑炸弹(Logic bomb)
后门(Backdoor)或陷门(Trapdoor)
不感染的独立性恶意代码 可感染的依附性恶意代码
点滴器(Dropper) 繁殖器(Generator)
恶作剧(Hoax)
病毒(Virus)
可感染的独立性恶意代码
蠕虫(Worm) 细菌(Germ)
1. 不感染的依附性恶意代码 特洛伊木马(Trojan Horse)
后门或陷门是进入系统或程序的一个秘密入口, 它能够通过识别某种特定的输入序列或特定账户,使 访问者绕过访问的安全检查,直接获得访问权利,并 且通常高于普通用户的特权。多年来,程序员为了调 试和测试程序一直合法地使用后门,但当程序员或他 所在的公司另有企图时,后门就变成了一种威胁。
2. 不感染的独立性恶意代码
(1)特洛伊木马程序很难被发现。 (2)在许多情况下,特洛伊木马程序是在二进制代码
中发现的,它们大多以无法阅读的形式存在。 (3)特洛伊木马程序可以作用于许多机器中。
特洛伊木马的类型
1.远程访问型特洛伊木马 2.密码发送型特洛伊木马 3.键盘记录型特洛伊木马 4.毁坏型特洛伊木马 5.FTP型特洛伊木马
特洛伊木马程序并不是一种病毒,因为它不具 有病毒的可传染性、自我复制能力等特性,但是特 洛伊木马程序具有很大的破坏力和危害性。
在计算机领域,特洛伊木马是一段吸引人而不 为人警惕的程序,但它们可以执行某些秘密任务。 大多数安全专家统一认可的定义是:“特洛伊木马 是一段能实现有用的或必需的功能的程序,但是同 时还完成一些不为人知的功能,这些额外的功能往 往是有害的。”
网络病毒在全球范围内高速扩散 2001年7月19日 20:15:00
2001年7月19日 01:05:00
第十四章 恶意代码与计算机病毒的防治 14.1 恶意代码 14.2 计算机病毒 14.3 防治措施
14.1 恶意代码
14.1.1 恶意代码的概念
代码是指计算机程序代码,可以被执行完成特定功 能。任何事物都有正反两面,人类发明的所有工具既可 造福也可作孽,这完全取决于使用工具的人。计算机程 序也不例外,在善良的软件工程师们编写了大量的有用 软件(操作系统、应用系统、数据库系统等)的同时, 黑客们却在编写着扰乱社会和他人,甚至起着破坏作用 的计算机程序,这就是恶意代码。
蠕虫利用一些网络工具复制和传播自身,其中包括: 电子邮件蠕虫会把自身的副本邮寄到其他系统中;
远程执行蠕虫能够执行在其他系统中的副本;
远程登录蠕虫能够像用户一样登录到远程系统中,然 后使用系统命令将其自身从一个系统复制到另一个系统中。
(2) 细菌 计算机细菌(germ)是一种在计算机系统中不断复制自
4. 可感染的独立性恶意代码
(1) 蠕虫 计算机蠕虫(worm)是一种通过计算机网络能够自我
复制和扩散的程序。蠕虫与病毒的区别在于“附着”。蠕 虫不需要宿主,不会与其他特定程序混合。因此,与病毒 感染特定目标程序不同,蠕虫感染的是系统环境(如操作 系统或邮件系统)。
己的程序。一个典型的细菌是在多任务系统中生成它的两 个副本,然后同时执行这两个副本,这一过程递归循环, 迅速以指数形式膨胀,最终会占用全部的处理器时间和内 存或磁盘空间,从而导致计算资源耗尽无法为用户提供服 务。细菌通常发生在多用户系统和网络环境中,目的就是 占用所有的资源。
上述分类是为了从概念上把握恶意代码的主要特征, 便于理解和研究。随着恶意代码的不断进化,实际中的 许多恶意代码同时具有多种特征,这样可以具有更大的 威胁性。最典型的是蠕虫病毒,它是蠕虫和病毒的混合
注册表。
逻辑炸弹(Logic bomb)
逻辑炸弹是一段具有破坏性的代码,事先预置于较大 的程序中,等待某扳机事件发生触发其破坏行为。扳机事 件可以是特殊日期,也可以是指定事件。逻辑炸弹往往被 那些有怨恨的职员利用,他们希望在离开公司后,通过启 动逻辑炸弹来损伤公司利益。一旦逻辑炸弹被触发,就会 造成数据或文件的改变或删除、计算机死机等破坏性事件。
30分钟后 在全球的感染面积
RPC DCOM蠕虫
2003年8月11日首先被发现,然后迅速扩散,这时候距离被利用 漏洞的发布日期还不到1个月 该蠕虫病毒针对的系统类型范围相当广泛(包括Windows NT/2000/XP) 截至8月24日,国内被感染主机的数目为25~100万台 全球直接经济损失几十亿美金
失或系统已经损坏需要重新安装,惊惶失措的受骗者可能会做出不 明智的操作,如设法恢复丢失的数据或阻止数据再次丢失,或进行 系统重新安装而致使数据丢失甚至无法进入系统,从而导致真正的 破坏。
3. 可感染的依附性恶意代码
计算机病毒(viru)是一段附着在其他程序上的 可以进行自我繁殖的代码。由此可见,计算机病毒是 既有依附性,又有感染性。
1997年4月,一伙人开发出一个名叫AOL4FREE.COM 的特洛伊木马,声称可以免费访问AOL,但它却损坏了 执行它的机器硬盘。
直接攻击 电子邮件
文件下载
浏览网页
合并文件
+
经过伪装的木马 被植入目标机器
特洛伊木马程序的位置和危险级别
特洛伊木马程序代表了一种很高级别的威胁 危险,主要是有以下几个原因。
定义中有3点需要进一步解释:
第一,“有用的或必需的功能的程序”只是诱饵,就像典 故里的特洛伊木马,表面看上去很美但实际上暗 藏危机。
第二,“为人不知的功能”定义了其欺骗性,是危机所在 之处,为几乎所有的特洛伊木马所必备的特点。
第三,“往往是有害的”定义了其恶意性,恶意企图包括: (1)试图访问未授权资源(如盗取口令、个人隐私或企业机密); (2)试图阻止正常访问(如拒绝服务攻击); (3)试图更改或破坏数据和系统(如删除文件、创建后门等)。
体,同时具有蠕虫和病毒的特征。
网络威胁
恶意代码及黑客攻击手段的三大特点 :
传播速度惊人 受害面惊人 穿透深度惊人
红色代码
–2001年7月19日,全球的入侵检测系统(IDS)几乎同时报 告遭到不名蠕虫攻击 –在红色代码首次爆发的短短9小时内,以迅雷不及掩耳 之势迅速感染了250,000台服务器 –最初发现的红色代码蠕虫只是篡改英文站点主页,显示 “Welcome to http://www.worm.com! Hacked by Chinese!” –随后的红色代码蠕虫便如同洪水般在互联网上泛滥,发 动拒绝服务(DoS)攻击以及格式化目标系统硬盘,并会在 每月20日~28日对白宫的WWW站点的IP地址发动DoS攻 击,使白宫的WWW站点不得不全部更改自己的IP地址。
由此,可以得出以下4大类恶意代码
分类标准
需要宿主
无需宿主
不能自我复制 不感染的依附性恶意代码 不感染的独立性恶意代码
能够自我复制 可感染的依附性恶意代码 可感染的独立性恶意代码
目前发现并命名的主要恶意代码按上 述分类方法的分类结果如下表所示。
类别
实例
特洛伊木马(Trojan horse)
不感染的依附性恶意代码
system.ini文件中,因为系统启动的时候需要装载这3 个文件。
下面从几个方面具体说明特洛伊木马程序是怎样自动 加载的。
在win.ini文件中的[WINDOWS]下面,“run=”和“load=” 是可能加载特洛伊木马程序的途径。
在system.ini文件中, “shell=explorer.exe程序名”,那么 后面跟着的那个程序就是特洛伊木马程序。
“红色代码”的蔓延速度
尼姆达(Nimda)源自文库
尼姆达是在 9·11 恐怖袭击整整一个星期后出现的,当时传 言是中国为了试探美国对网络恐怖袭击的快速反应能力而散 布了尼姆达病毒 尼姆达是在早上9:08发现的,明显比红色代码更快、更具有 摧毁功能,半小时之内就传遍了整个世界。随后在全球各地 侵袭了830万部电脑,总共造成将近10亿美元的经济损失 传播方式包括:电子邮件、网络临近共享文件、IE浏览器的 内嵌MIME类型自动执行漏洞、IIS服务器文件目录遍历漏洞、 CodeRedII和Sadmind/IIS蠕虫留下的后门等
特洛伊木马的检测
若要检测在文件或操作系统中特洛伊木马程序是 否存在,首先用户必须对所用的操作系统有比较深入 的认识,此外还应对加密知识和一些加密算法有一定 的了解。
1.检测的基本方法 2.检测工具MD5
特洛伊木马的防范
1.特洛伊木马的基本工作原理 特洛伊木马程序一般存在于注册表、win.ini文件或
(1) 点滴器 点滴器(dropper)是为传送和安装其他恶意代码而设计的程序,
它本身不具有直接的感染性和破坏性。点滴器专门对抗反病毒检测, 使用了加密手段,以阻止反病毒程序发现它们。当特定事件出现时, 它便启动,将自身包含的恶意代码释放出来。 (2) 繁殖器
繁殖器(generator)是为制造恶意代码而设计的程序,通过这个 程序,只要简单地从菜单中选择你想要的功能,就可以制造恶意代 码,不需要任何程序设计能力。事实上,它只是把某些已经设计好 的恶意代码模块按照使用者的选择组合起来而已,没有任何创造新 恶意代码的能力。因此,检测由繁殖器产生的任何病毒都比较容易, 只要通过搜索一个字符串,每种组合都可以被发现。繁殖器的典型 例子是VCL(Virus Creation Laboratory)。
14.1.2 恶意代码的分类
恶意代码可以按照两种分类标准,从两个角度进行 直交分类。
一种分类标准是,恶意代码是否需要宿主,即特定 的应用程序、工具程序或系统程序。需要宿主的恶意代 码具有依附性,不能脱离宿主而独立运行;不需宿主的 恶意代码具有独立性,可不依赖宿主而独立运行。
另一种分类标准是,恶意代码是否能够自我复制。 不能自我复制的恶意代码是不感染的;能够自我复制的 恶意代码是可感染的。
SQL Slammer蠕虫
Slammer的传播数度比“红色代码”快两个数量级 在头一分钟之内,感染主机数量每8.5秒增长一倍; 3分钟后该病毒的传播速度达到峰值(每秒钟进行5500万次扫描); 接下来,其传播速度由于自身挤占了绝大部分网络带宽而开始下 降; 10分钟后,易受攻击的主机基本上已经被感染殆尽
2.清除特洛伊木马的一般方法 如果发现有特洛伊木马存在,首要的一点是立即将
计算机与网络断开, 首先编辑win.ini文件,接下来编辑 system.ini文件,对注册表进行编辑。
(1)提高防范意识。 (2)多读readme.txt文件。 (3)使用杀毒软件。 (4)立即挂断。 (5)观察目录。 (6)在删除特洛伊木马之前,最重要的一项工作是备份文件和
特洛伊木马一般没有自我复制的机制,所以不会自 动复制自身。电子新闻组和电子邮件是特洛伊木马的主 要传播途径。特洛伊木马的欺骗性是其得以传播的根本 原因。特洛伊木马经常伪装成游戏软件、搞笑程序、屏 保、非法软件、色情资料等,上载到电子新闻组或通过 电子邮件直接传播,很容易被不知情的用户接收和继续
传播。
(3) 恶作剧
恶作剧(hoax)是为欺骗使用者而设计的程序,它侮辱使用者或 让其做出不明智的举动。恶作剧通过“心理破坏”达到“现实破 坏”。
例如,UltraCool声称“如果不按退出按钮的话,一个低水平的硬 盘格式化会在27秒内完成”,然而如果一直用鼠标按住退出按钮的 话,直到计时到0时,便会出现一个“只是玩笑”的信息。这只是愚 弄而已,严重的问题是有些恶作剧会让受骗者相信他的数据正在丢
一个著名的例子是美国马里兰州某县的图书馆系统, 开发该系统的承包商在系统中插入了一个逻辑炸弹,如果 承包商在规定日期得不到全部酬金,它将在该日期使整个 系统瘫痪。当图书馆因系统响应时间过长准备扣留最后酬 金时,承包商指出了逻辑炸弹的存在,并威胁如果酬金不 到位的话就会让它爆炸。
后门(backdoor)或陷门(trapdoor)
特洛伊木马的来历
来源于希腊神话中的特洛伊战争
希腊人攻打特洛伊城十 年,始终未获成功,后来建 造了一个大木马,并假装撤 退,希腊将士却暗藏于马腹 中。特洛伊人以为希腊人已 走,就把木马当作是献给雅 典娜的礼物搬入城中。晚上, 木马中隐藏的希腊将士冲出 来打开城门,希腊将士里应 外合毁灭了特洛伊城。后来 我们把进入敌人内部攻破防 线的手段叫做木马计,木马 计中使用的里应外合的工具 叫做特洛伊木马
逻辑炸弹(Logic bomb)
后门(Backdoor)或陷门(Trapdoor)
不感染的独立性恶意代码 可感染的依附性恶意代码
点滴器(Dropper) 繁殖器(Generator)
恶作剧(Hoax)
病毒(Virus)
可感染的独立性恶意代码
蠕虫(Worm) 细菌(Germ)
1. 不感染的依附性恶意代码 特洛伊木马(Trojan Horse)
后门或陷门是进入系统或程序的一个秘密入口, 它能够通过识别某种特定的输入序列或特定账户,使 访问者绕过访问的安全检查,直接获得访问权利,并 且通常高于普通用户的特权。多年来,程序员为了调 试和测试程序一直合法地使用后门,但当程序员或他 所在的公司另有企图时,后门就变成了一种威胁。
2. 不感染的独立性恶意代码
(1)特洛伊木马程序很难被发现。 (2)在许多情况下,特洛伊木马程序是在二进制代码
中发现的,它们大多以无法阅读的形式存在。 (3)特洛伊木马程序可以作用于许多机器中。
特洛伊木马的类型
1.远程访问型特洛伊木马 2.密码发送型特洛伊木马 3.键盘记录型特洛伊木马 4.毁坏型特洛伊木马 5.FTP型特洛伊木马
特洛伊木马程序并不是一种病毒,因为它不具 有病毒的可传染性、自我复制能力等特性,但是特 洛伊木马程序具有很大的破坏力和危害性。
在计算机领域,特洛伊木马是一段吸引人而不 为人警惕的程序,但它们可以执行某些秘密任务。 大多数安全专家统一认可的定义是:“特洛伊木马 是一段能实现有用的或必需的功能的程序,但是同 时还完成一些不为人知的功能,这些额外的功能往 往是有害的。”
网络病毒在全球范围内高速扩散 2001年7月19日 20:15:00
2001年7月19日 01:05:00
第十四章 恶意代码与计算机病毒的防治 14.1 恶意代码 14.2 计算机病毒 14.3 防治措施
14.1 恶意代码
14.1.1 恶意代码的概念
代码是指计算机程序代码,可以被执行完成特定功 能。任何事物都有正反两面,人类发明的所有工具既可 造福也可作孽,这完全取决于使用工具的人。计算机程 序也不例外,在善良的软件工程师们编写了大量的有用 软件(操作系统、应用系统、数据库系统等)的同时, 黑客们却在编写着扰乱社会和他人,甚至起着破坏作用 的计算机程序,这就是恶意代码。
蠕虫利用一些网络工具复制和传播自身,其中包括: 电子邮件蠕虫会把自身的副本邮寄到其他系统中;
远程执行蠕虫能够执行在其他系统中的副本;
远程登录蠕虫能够像用户一样登录到远程系统中,然 后使用系统命令将其自身从一个系统复制到另一个系统中。
(2) 细菌 计算机细菌(germ)是一种在计算机系统中不断复制自