1、第十一講思考題:1、計算機病毒有哪些特征？計算機病毒有哪些表現(xiàn)現(xiàn)象？如何防范計算機病毒？2、蠕蟲病毒與一般病毒比較有何特點？試述它的傳播途徑及防范方法3、木馬與一般病毒比較有何特點？試述木馬的基本原理第1頁，共30頁。第4章 計算機病毒與黑客本章教學(xué)要求： （1）掌握計算機病毒的定義、特征，(3.1)（2）了解病毒的傳播途徑、類型；(3.1)（3）了解計算機病毒表現(xiàn)現(xiàn)象(3.1)（4）掌握木馬原理；(3.4)（5）了解木馬的啟動方式；(3.4)（6）了解特木馬隱藏的基本方法；(3.4)（7）了解特洛伊木馬查殺方法；(3.4)（8）掌握計算機病毒與黑客的防范基本方法。 (3.5)第2頁，共30頁

2、。 4.1 計算機病毒的概述4.1.1 計算機病毒的定義 中華人民共和國計算機信息系統(tǒng)安全保護條例對病毒定義表明了計算機病毒就是具有破壞性的計算機程序。4.1.2 計算機病毒的特征(思考題1.1) 1破壞性。 2隱蔽性。 3傳染性。 病毒通過自身復(fù)制來感染正常文件. 第3頁，共30頁。 計算機病毒的破壞性、隱蔽性、傳染性是計算機病毒的基本特征。 4潛伏性。 5可觸發(fā)性。 6不可預(yù)見性。4.1.3 計算機病毒的產(chǎn)生原因 1軟件產(chǎn)品的脆弱性是產(chǎn)生計算機病毒根本的技術(shù)原因 2社會因素是產(chǎn)生計算機病毒的土壤第4頁，共30頁。4.1.4 計算機病毒的傳播途徑 計算機病毒主要是通過復(fù)制文件、發(fā)送文件、運行

3、程序等操作傳播的。通常有以下幾種傳播途徑： 1移動存儲設(shè)備 包括軟盤、硬盤、移動硬盤、光盤、磁帶等。硬盤是數(shù)據(jù)的主要存儲介質(zhì)，因此也是計算機病毒感染的主要目標(biāo)。 2網(wǎng)絡(luò) 目前大多數(shù)病毒都是通過網(wǎng)絡(luò)進行傳播的，破壞性很大。第5頁，共30頁。4.1.5 計算機病毒的分類 我們把計算機病毒大致歸結(jié)為7種類型。 1引導(dǎo)型病毒。主要通過感染軟盤、硬盤上的引導(dǎo)扇區(qū)或改寫磁盤分區(qū)表（FAT）來感染系統(tǒng)。早期的計算機病毒大多數(shù)屬于這類病毒。 2文件型病毒。它主要是以感染COM、EXE等可執(zhí)行文件為主，被感染的可執(zhí)行文件在執(zhí)行的同時，病毒被加載并向其它正常的可執(zhí)行文件傳染或執(zhí)行破壞操作。文件型病毒大多數(shù)也是常駐

4、內(nèi)存的。3宏病毒。宏病毒是一種寄存于微軟Office的文檔或模板的宏中的計算機病毒，是利用宏語言編寫的。由于Office軟件在全球存在著廣泛的用戶，所以宏病毒的傳播十分迅速和廣泛。第6頁，共30頁。4網(wǎng)頁病毒。網(wǎng)頁病毒一般也是使用腳本語言將有害代碼直接寫在網(wǎng)頁上，當(dāng)瀏覽網(wǎng)頁時會立即破壞本地計算機系統(tǒng)，輕者修改或鎖定主頁，重者格式化硬盤，使你防不勝防。 5混合型病毒。兼有上述計算機病毒特點的病毒統(tǒng)稱為混合型病毒，所以它的破壞性更大，傳染的機會也更多，殺毒也更加困難。 以上病毒為通常意義上的普通病毒 第7頁，共30頁。6蠕蟲病毒。（思考題2.1） 蠕蟲病毒和一般的病毒有著很大的區(qū)別。對于蠕蟲，現(xiàn)在

5、還沒有一個成套的理論體系。一般認(rèn)為：蠕蟲是一種通過網(wǎng)絡(luò)傳播的惡性病毒， （1）蠕蟲病毒與一般的計算機病毒不同，它不采用將自身拷貝附加到其它程序中的方式來復(fù)制自己，也就是說蠕蟲病毒不需要將其自身附著到宿主程序上。 （2）蠕蟲即可獨自傳播。蠕蟲病毒主要通過網(wǎng)絡(luò)傳播，具有極強的自我復(fù)制能力、傳播性和破壞性。最危險的是，蠕蟲可大量復(fù)制。例如，蠕蟲可向電子郵件地址簿中的所有聯(lián)系人發(fā)送自己的副本，聯(lián)系人的計算機也將執(zhí)行同樣的操作，結(jié)果造成多米諾效應(yīng)（網(wǎng)絡(luò)通信負(fù)擔(dān)沉重），業(yè)務(wù)網(wǎng)絡(luò)和整個 Internet 的速度都將減慢。一旦新的蠕蟲被釋放，傳播速度將非常迅速。不僅使網(wǎng)絡(luò)堵塞，還使您（和其他人）花費兩倍于以往

6、的時間才能看到 Internet 網(wǎng)頁。第8頁，共30頁。蠕蟲病毒的傳播與防范(思考題2.2) 蠕蟲病毒是傳播最快的病毒種類之一，傳播速度最快的蠕蟲可以在幾分鐘之內(nèi)傳遍全球，2003年的“沖擊波”病毒、2004年的“震蕩波”病毒、2005年上半年的“性感烤雞”病毒都屬于蠕蟲病毒。目前危害比較大的蠕蟲病毒主要通過三種途徑傳播：系統(tǒng)漏洞、電子郵件和聊天軟件。 （ 1）、 利用系統(tǒng)漏洞傳播的蠕蟲病毒：往往傳播速度極快，如利用微軟04-011漏洞的“震蕩波”病毒，三天之內(nèi)就感染了全球至少 50 萬臺計算機。防止系統(tǒng)漏洞類蠕蟲病毒的侵害，最好的辦法是打好相應(yīng)的系統(tǒng)補丁，可以應(yīng)用瑞星殺毒軟件的“漏洞掃描”

7、工具，這款工具可以引導(dǎo)用戶打好補丁并進行相應(yīng)的安全設(shè)置，徹底杜絕病毒的感染。（）、通過電子郵件傳播的蠕蟲病毒：是近年來病毒作者青睞的方式之一，像“惡鷹”、“網(wǎng)絡(luò)天空”等都是危害巨大的郵件蠕蟲病毒。這樣的病毒往往會頻繁大量的出現(xiàn)變種，用戶中毒后往往會造成數(shù)據(jù)丟失、個人信息失竊、系統(tǒng)運行變慢等。防范郵件蠕蟲的最好辦法 ，就是提高自己的安全意識，不要輕易打開帶有附件的電子郵件。另外，啟用瑞星殺毒軟件的“郵件發(fā)送監(jiān)控”和“郵件接收監(jiān)控”功能，也可以提高自己對病毒郵件的防護能力。（）、通過聊天軟件傳播的蠕蟲病毒從2004年起，MSN 、QQ等聊天軟件開始成為蠕蟲病毒傳播的途徑之一。“性感烤雞”病毒就通過

8、MSN軟件傳播，在很短時間內(nèi)席卷全球，一度造成中國大陸地區(qū)部分網(wǎng)絡(luò)運行異常。對于普通用戶來講，防范聊天蠕蟲的主要措施之一，就是提高安全防范意識，對于通過聊天軟件發(fā)送的任何文件，都要經(jīng)過好友確認(rèn)后再運行；不要隨意點擊聊天軟件發(fā)送的網(wǎng)絡(luò)鏈接。第9頁，共30頁。 5特洛伊木馬型病毒。特洛伊木馬型病毒實際上就是黑客程序。（思考題3.1) （1）一般不對計算機系統(tǒng)進行直接破壞，而是通（過網(wǎng)絡(luò)控制其它計算機，包括竊取秘密信息，占用計算機系統(tǒng)資源等現(xiàn)象。 （2）程序本身并不具備主動傳播的特性，因而有時不認(rèn)為是病毒。最近的特洛伊木馬都以電子郵件的形式傳播。 （3）木馬程序通常并不感染文件，木馬一般會修改注冊表

9、的啟動項，或者修改打開文件的關(guān)聯(lián)而獲得運行機會。正是由于這個特點，使得我們了解某個木馬的入侵特征后，可以相對容易地用手工方法將其清除。 殺毒軟件清除木馬的方法一般就是刪除木馬生成的文件，因此在你使用殺毒軟件掃描后，發(fā)現(xiàn)最終是刪除了這個帶毒文件，也不用感到奇怪。這個程序本來就不是系統(tǒng)的正常文件，把它刪除不會對系統(tǒng)產(chǎn)生任何不良影響。 第10頁，共30頁。4.1.6 計算機病毒的表現(xiàn)現(xiàn)象 (思考題1.2) 1平時運行正常的計算機突然經(jīng)常性無緣無故地死機。 2運行速度明顯變慢。 3打印和通訊發(fā)生異常。 4系統(tǒng)文件的時間、日期、大小發(fā)生變化。 5磁盤空間迅速減少。 6收到陌生人發(fā)來的電子郵件。 7自動鏈

10、接到一些陌生的網(wǎng)站。 8計算機不識別硬盤。第11頁，共30頁。 9操作系統(tǒng)無法正常啟動。 10部分文檔丟失或被破壞。 11網(wǎng)絡(luò)癱瘓。4.1.7 計算機病毒程序一般構(gòu)成 病毒程序一般由三個基本模塊組成，即安裝模塊、傳染模塊和破壞模塊。 1安裝模塊 病毒程序必須通過自身的程序?qū)崿F(xiàn)自啟動并安裝到計算機系統(tǒng)中，不同類型的病毒程序會使用不同的安裝方法。 第12頁，共30頁。 2傳染模塊 傳染模塊包括三部分內(nèi)容： （1）傳染控制部分。病毒一般都有一個控制條件，一旦滿足這個條件就開始感染。例如，病毒先判斷某個文件是否是.EXE文件，如果是再進行傳染，否則再尋找下一個文件； （2）傳染判斷部分。每個病毒程序都

11、有一個標(biāo)記，在傳染時將判斷這個標(biāo)記，如果磁盤或者文件已經(jīng)被傳染就不再傳染，否則就要傳染了；第13頁，共30頁。 （3）傳染操作部分。在滿足傳染條件時進行傳染操作。 3破壞模塊 計算機病毒的最終目的是進行破壞，其破壞的基本手段就是刪除文件或數(shù)據(jù)。破壞模塊包括兩部分：一是激發(fā)控制，另一個就是破壞操作。 對每一個病毒程序來說，安裝模塊、傳染模塊是必不可少的，而破壞模塊可以直接隱含在傳染模塊中，也可以單獨構(gòu)成一個模塊。 第14頁，共30頁。黑客概述一、什么是黑客 黑客是英文“hacker”的音譯，源于英文動詞hack，意為劈砍，引申為干一件非常漂亮的工作。 現(xiàn)在黑客一般定義為利用技術(shù)手段進入其權(quán)限以外

12、的計算機系統(tǒng)的人。 有一點注意到，進入計算機系統(tǒng)做了些什么？這里并沒有說明，因此黑客本身是一個中性詞，如果做了破壞，可能就是另外一類人。如果不作區(qū)分，不掌握黑客的特征，就會誤用這個詞。第15頁，共30頁。二、典型事例 1999年5月，美國眾議院、白宮和美國陸軍網(wǎng)絡(luò)及數(shù)十個政府網(wǎng)站被黑客攻陷。同時，因北約導(dǎo)彈襲擊中國駐南斯拉夫聯(lián)盟大使館，中國黑客群體出擊美國網(wǎng)站以示抗議。 2000年2月，在三天時間內(nèi)，黑客使美國數(shù)家頂級網(wǎng)站雅虎、亞馬遜、電子港灣、CNN陷入癱瘓。黑客使用了“拒絕服務(wù)攻擊”的攻擊手段，即用大量無用信息阻塞網(wǎng)站的服務(wù)器，使其不能提供正常的服務(wù)。 第16頁，共30頁。三、國內(nèi)黑客分類

13、 紅客：略帶政治色彩與愛國主義情客的黑客。很多時候此類黑客的政治熱情高于對信息安全技術(shù)的熱情。 藍(lán)客：更熱衷于純粹的互聯(lián)網(wǎng)安全技術(shù)，對于其它問題不關(guān)心。 文化黑客：完全追求黑客文化原始本質(zhì)精神、不關(guān)心政治，對技術(shù)也不瘋狂追棒。第17頁，共30頁。 4.5 特洛伊木馬4.5.1 黑客程序與特洛伊木馬 特洛伊木馬實際上是一種典型的黑客程序，它是一種基于遠(yuǎn)程控制的黑客工具，現(xiàn)在已成為黑客程序的代名詞。將黑客程序形容為特洛伊木馬就是要體現(xiàn)黑客程序的隱蔽性和欺騙性。 比較著名的木馬程序有BackOrifice（BO）、Netspy（網(wǎng)絡(luò)精靈）、Glacier（冰河）、廣外女生等，這些木馬程序大多可以在網(wǎng)

14、上下載下來直接使用。第18頁，共30頁。4.5.2 木馬的基本原理(思考題3.2) 木馬本質(zhì)上只是一個網(wǎng)絡(luò)客戶/服務(wù)程序（Client/Server），一般有兩個部分組成：一個是服務(wù)端程序，另一個是客戶端程序。如果某臺計算機中安裝了黑客服務(wù)器程序，黑客就可以利用自己的客戶端進入這臺計算中，通過客戶端達(dá)到控制這臺計算機的目的第19頁，共30頁。 4.5.4 特洛伊木馬端口 當(dāng)木馬已潛入某臺計算機的時候,黑客可以通過客戶端程序命令木馬執(zhí)行任務(wù)了,木馬打開一個或者幾個端口,黑客所使用的客戶端程序就可以進入木馬打開的端口和木馬進行通信。 每種木馬所打開的端口不同，根據(jù)端口號可以識別不同的木馬。 大多數(shù)

15、木馬使用的端口號在1024以上。第20頁，共30頁。 4.5.5 特洛伊木馬的隱藏 木馬為了更好地隱藏自己，通常會將自己的位置放在c:windows和c:windowssystem32等系統(tǒng)目錄中。 木馬的服務(wù)程序命名也很狡猾，通常使用和系統(tǒng)文件相似的文件名。 有的木馬具有很強的潛伏能力，表面上的木馬程序被發(fā)現(xiàn)并被刪除后，后備的木馬在一定的條件下會恢復(fù)被刪除的木馬。 第21頁，共30頁。4.5.6 特洛伊木馬分類 1主動型木馬 主動型木馬原理圖第22頁，共30頁。 2反彈型木馬 反彈型木馬原理圖 黑客將安放在內(nèi)部網(wǎng)絡(luò)的反彈木馬定時地連接外部攻擊的主機，由于連接是從內(nèi)部發(fā)起的，防火墻無法區(qū)分是木

16、馬的連接還是合法的連接。 第23頁，共30頁。 3嵌入式木馬 嵌入式木馬是黑客將木馬程序嵌入到己知的網(wǎng)絡(luò)通信程序中（如IE瀏覽器、操作系統(tǒng)等），利用己知的網(wǎng)絡(luò)通信程序來轉(zhuǎn)發(fā)木馬控制指令，躲過防火墻檢測。第24頁，共30頁。4.5.7 特洛伊木馬查殺 木馬的查殺可以采用自動和手動兩種方式。最簡單的刪除木馬方法是安裝殺毒軟件或一些專殺木馬的軟件。 由于殺毒軟件的升級要慢于木馬的出現(xiàn)，因此學(xué)會手工查殺也是非常必要。 在手工刪除木馬之前，最重要的一項工作是備份注冊表，防止系統(tǒng)崩潰，備份你認(rèn)為是木馬的文件。如果不是木馬就可以恢復(fù)，如果是木馬就可以對木馬進行分析。 第25頁，共30頁。 1查看注冊表 在H

17、KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion和HKEY_CURRENT_USERSoftware MicrosoftWindowsCurrentVersion下所有以“Run”開頭的鍵值名有沒有可疑的文件名。 2檢查啟動組 啟動組對應(yīng)的文件夾為：C:windowsstart menuprogramsstartup，要經(jīng)常檢查啟動組中是否有異常的文件。 第26頁，共30頁。 3檢查系統(tǒng)配置文件 檢查Win.ini、System.ini、Autoexec.bat、Winstart.bat等系統(tǒng)配置文件?，F(xiàn)在修改System.ini中

18、Shell值的情況要多一些，如果在System.ini中看到：Shell=Explorer.exe wind0ws.exe時，這個wind0ws.exe有可能就是木馬程序。 第27頁，共30頁。 4查看端口與進程 使用Windows本身自帶的netstat -an命令就能查看到與本機建立連接的IP以及本機偵聽的端口。也可以使用Active Ports工具監(jiān)視計算機所有打開的TCP/IP/UDP端口，并可以看到打開端口所對應(yīng)的程序所在的路徑等。 如果發(fā)現(xiàn)有可疑的端口開放，可以先記下這個端口號，然后按下“CTRL+ALT+DEL”，進入“任務(wù)管理器”，就可看到系統(tǒng)正在運行的全部進程。也可以使用進程查看器Prcview或Winproc工具來查看系統(tǒng)進程。 第28頁，共30頁。 5查看目前運行的服務(wù) 服務(wù)也是很多木馬用來保持自己在系統(tǒng)中處于運行狀態(tài)的方法之一。使用“net start”命令來查看系統(tǒng)中有哪些服務(wù)在開啟，如果發(fā)現(xiàn)了不是自己開放的服務(wù)，我們可以停止