網(wǎng)絡(luò)安全與攻防技術(shù)

第4章惡意代碼

惡意代碼的泛濫不僅給企業(yè)和用戶帶來了重大的經(jīng)濟(jì)損失，也對國家安全構(gòu)成了嚴(yán)重挑戰(zhàn)。當(dāng)計(jì)算機(jī)受到惡意代碼的侵害，關(guān)鍵信息可能會(huì)丟失，甚至可能損壞計(jì)算機(jī)硬件。在非法網(wǎng)絡(luò)活動(dòng)的推動(dòng)下，勒索軟件和加密貨幣挖礦木馬等惡意程序持續(xù)活躍。

根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）的《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報(bào)告》，2021年上半年，檢測到的惡意軟件樣本總數(shù)約為2307萬，平均每天傳播超過582萬次，涉及惡意代碼家族約20.8萬個(gè)。就傳播源頭而言，惡意代碼主要來自海外，尤其是美國、印度和日本等地。因此為了確保網(wǎng)絡(luò)環(huán)境與信息數(shù)據(jù)的安全，我們必須掌握一定的計(jì)算機(jī)防病毒知識(shí)和防護(hù)技能。章節(jié)導(dǎo)讀職業(yè)能力目標(biāo)與要求知識(shí)目標(biāo)：掌握計(jì)算機(jī)病毒、計(jì)算機(jī)蠕蟲和特洛伊木馬的特性。理解特洛伊木馬的運(yùn)行機(jī)制。區(qū)分病毒、木馬和蠕蟲的不同點(diǎn)。熟悉特洛伊木馬的攻擊和防御策略。

能夠通過檢查，能夠識(shí)別出特洛伊木馬的存在。能夠進(jìn)行圖片與木馬的綁定操作。掌握手動(dòng)刪除特洛伊木馬的技巧。認(rèn)識(shí)惡意代碼可能帶來的經(jīng)濟(jì)損害和社會(huì)影響。培養(yǎng)健康的網(wǎng)絡(luò)使用習(xí)慣，并關(guān)注信息安全領(lǐng)域的最新發(fā)展。探索新的防御策略和技術(shù)，以應(yīng)對不斷變化的網(wǎng)絡(luò)威脅環(huán)境。技能目標(biāo)：素質(zhì)目標(biāo)：

惡意代碼（MaliciousCode）是指未經(jīng)授權(quán)認(rèn)證，通過存儲(chǔ)介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播，破壞計(jì)算機(jī)系統(tǒng)完整性的程序或代碼。它包括計(jì)算機(jī)病毒、蠕蟲、特洛伊木馬、邏輯炸彈、病菌、腳本惡意代碼和惡意ActiveX控件等。4.1惡意代碼概述

計(jì)算機(jī)病毒是附著在其他程序上的自我繁殖代碼。它具有依附性和感染性，能夠在達(dá)到特定條件時(shí)感染其他程序，并可能對計(jì)算機(jī)資源造成破壞。計(jì)算機(jī)病毒（ComputerVirus）

蠕蟲是一種可以自我復(fù)制的代碼，并且通過網(wǎng)絡(luò)傳播，無須人為干預(yù)就能傳播。蠕蟲入侵并完全控制一臺(tái)計(jì)算機(jī)之后，就會(huì)把這臺(tái)機(jī)器作為宿主，進(jìn)而掃描并感染其他計(jì)算機(jī)，這種行為會(huì)一直延續(xù)下去。蠕蟲（Worms）

特洛伊木馬是一段能實(shí)現(xiàn)有用的或必需的功能的程序，但同時(shí)還完成一些不為人知的額外功能，這些額外功能往往是有害的。特洛伊木馬一般沒有自我復(fù)制的機(jī)制，所以不會(huì)自動(dòng)復(fù)制自身。特洛伊木馬（TrojanHorse）1234.1.1惡意代碼的分類惡意代碼（MaliciousCode）是指未經(jīng)授權(quán)認(rèn)證，通過存儲(chǔ)介質(zhì)和網(wǎng)絡(luò)進(jìn)行傳播，破壞計(jì)算機(jī)系統(tǒng)完整性的程序或代碼。它包括計(jì)算機(jī)病毒、蠕蟲、特洛伊木馬、邏輯炸彈、病菌、腳本惡意代碼和惡意ActiveX控件等。4.1.1惡意代碼的分類

后門是一種秘密通道，允許繞過正常的安全檢查直接獲得系統(tǒng)訪問權(quán)限。它們可以是程序員為了調(diào)試目的而故意留下的，但也可能被惡意使用以獲得未授權(quán)的訪問。后門（Backdoor）45

腳本惡意代碼通常用于網(wǎng)頁中，當(dāng)用戶訪問特定網(wǎng)頁時(shí)，這些腳本會(huì)自動(dòng)執(zhí)行，可能會(huì)收集用戶信息或下載其他惡意軟件。腳本惡意代碼（MaliciousScripts）67

邏輯炸彈是預(yù)置于程序中的破壞性代碼，它會(huì)在特定的觸發(fā)條件下激活，執(zhí)行破壞性操作，如數(shù)據(jù)損壞或系統(tǒng)崩潰。邏輯炸彈（LogicBombs）

ActiveX控件是一種可以在瀏覽器中運(yùn)行的組件，惡意的ActiveX控件可以執(zhí)行未經(jīng)授權(quán)的操作。惡意ActiveX控件，4.2計(jì)算機(jī)病毒

計(jì)算機(jī)病毒是一種由開發(fā)者插入到計(jì)算機(jī)程序中的特殊指令或代碼，這些指令或代碼能對計(jì)算機(jī)的正常運(yùn)行和數(shù)據(jù)造成破壞，并且具有自我復(fù)制的能力。

計(jì)算機(jī)病毒本質(zhì)上是一種特定的程序，一段可以執(zhí)行的代碼，它與生物病毒在特性上有著相似之處，包括自我繁殖、相互傳播以及激活重生等。計(jì)算機(jī)病毒擁有獨(dú)特的復(fù)制功能，它們能迅速擴(kuò)散，且往往難以完全消除。計(jì)算機(jī)病毒能夠?qū)⑵渥陨砀郊釉诟黝愇募?，?dāng)這些文件被復(fù)制或者從一個(gè)用戶傳輸給另一個(gè)用戶時(shí)，計(jì)算機(jī)病毒也會(huì)隨著這些文件一起廣泛傳播。4.2.1計(jì)算機(jī)病毒的特征傳染性計(jì)算機(jī)病毒的顯著特點(diǎn)之一是其感染性，它能夠通過U盤、網(wǎng)絡(luò)等途徑侵入計(jì)算機(jī)。一旦侵入，通常能實(shí)現(xiàn)病毒的散播，感染尚未受到感染的計(jì)算機(jī)，進(jìn)而可能引發(fā)大范圍的系統(tǒng)崩潰等事故。1破壞性病毒侵入計(jì)算機(jī)后，通常具有強(qiáng)大的破壞力，能夠破壞數(shù)據(jù)信息，甚至可能導(dǎo)致大面積的計(jì)算機(jī)系統(tǒng)癱瘓，給計(jì)算機(jī)用戶造成重大損失。2潛伏性病毒進(jìn)入系統(tǒng)后通常不會(huì)立即發(fā)作，它可以在幾周、幾個(gè)月甚至幾年內(nèi)隱藏在合法程序中，無聲無息地進(jìn)行傳染擴(kuò)散而不被發(fā)現(xiàn)，潛伏期越長，它在系統(tǒng)中的存在時(shí)間就越長，傳播范圍也就越廣。3隱蔽性為了規(guī)避防病毒系統(tǒng)的檢測，計(jì)算機(jī)病毒會(huì)采用各種手段進(jìn)行偽裝，使其難以被偵測。有些病毒甚至在防病毒軟件的檢測下也能隱藏，或在系統(tǒng)中時(shí)隱時(shí)現(xiàn)，給防病毒工作帶來了極大的挑戰(zhàn)。4可觸發(fā)性

病毒內(nèi)部含有一種觸發(fā)機(jī)制，當(dāng)不滿足觸發(fā)條件時(shí)，病毒除了傳播外不會(huì)進(jìn)行任何破壞。一旦滿足觸發(fā)條件，病毒便開始活躍，有的只是在屏幕上顯示信息、圖形或特殊標(biāo)志，有的則執(zhí)行破壞系統(tǒng)的操作。54.2.2典型的計(jì)算機(jī)病毒

WannaCry是一種蠕蟲式的勒索病毒軟件，由不法分子利用美國國家安全局（NSA）泄露的名為“永恒之藍(lán)”（EternalBlue）的嚴(yán)重安全漏洞進(jìn)行傳播。這種勒索軟件的肆虐，無疑是一場全球性的互聯(lián)網(wǎng)災(zāi)難，給廣大計(jì)算機(jī)用戶帶來了巨大的損失。自熊貓燒香病毒以來，WannaCry的影響力是最大的。WannaCry（2017年）01

熊貓燒香病毒實(shí)際上是一種蠕蟲病毒的變種，它經(jīng)歷了多次變種。由于受感染的計(jì)算機(jī)中的可執(zhí)行文件會(huì)顯示為“熊貓燒香”的圖案，因此得名。然而，原病毒只會(huì)對EXE圖標(biāo)進(jìn)行替換，并不會(huì)對系統(tǒng)本身進(jìn)行破壞。大部分熊貓燒香病毒是中等程度的變種，當(dāng)用戶計(jì)算器被感染后，可能會(huì)出現(xiàn)藍(lán)屏、頻繁重啟以及系統(tǒng)硬盤中數(shù)據(jù)文件損壞等現(xiàn)象。熊貓燒香（2006年）024.2.2典型的計(jì)算機(jī)病毒

CIH病毒是一種能夠破壞計(jì)算機(jī)系統(tǒng)硬件的惡性病毒。該病毒由中國臺(tái)灣集嘉通訊公司手機(jī)研發(fā)中心主任工程師陳盈豪在臺(tái)灣大同工學(xué)院念書期間制作的。最初CIH病毒通過國際盜版集團(tuán)販賣的盜版光盤在歐美等地廣泛傳播，隨后進(jìn)一步通過互聯(lián)網(wǎng)傳遍全球各地。CIH病毒每月26日都會(huì)爆發(fā)，當(dāng)病毒爆發(fā)時(shí)，它會(huì)徹底刪除儲(chǔ)存在計(jì)算機(jī)硬盤上的數(shù)據(jù)，并且對某些計(jì)算機(jī)主板的BIOS進(jìn)行改寫。BIOS被改寫后系統(tǒng)無法啟動(dòng)，必須送回廠家進(jìn)行修理，更換BIOS芯片。

梅利莎病毒由大衛(wèi)·史密斯制造，是一種迅速傳播的宏病毒，通過電子郵件附件進(jìn)行傳播。梅利莎病毒郵件的標(biāo)題通常是“這是你要的資料，不要讓任何人看見（Hereisthatdocumentyouaskedfor，don'tshowanybodyelse）”。當(dāng)收件人打開郵件時(shí)，病毒會(huì)自我復(fù)制，并向用戶通信錄中的前50位聯(lián)系人發(fā)送相同的郵件。由于它發(fā)送大量郵件，形成了巨大的電子郵件流量，可能導(dǎo)致企業(yè)或其他郵件服務(wù)端程序無法正常運(yùn)行，但它不會(huì)破壞文件或其他資源。03CIH病毒（1998年）04梅利莎（1999年）4.2.2典型的計(jì)算機(jī)病毒

沖擊波病毒的傳播利用了2003年7月21日公開的RPC漏洞，并在同年8月達(dá)到爆發(fā)高峰。該病毒在運(yùn)行過程中，會(huì)不斷使用IP掃描技術(shù)搜尋網(wǎng)絡(luò)中運(yùn)行Win2000或XP操作系統(tǒng)的計(jì)算機(jī)。發(fā)現(xiàn)目標(biāo)后就利用DCOM/RPC緩沖區(qū)漏洞發(fā)起攻擊，一旦攻擊成功，病毒將會(huì)被傳送到目標(biāo)計(jì)算機(jī)中進(jìn)行感染，導(dǎo)致系統(tǒng)操作異常、頻繁重啟，甚至導(dǎo)致系統(tǒng)崩潰。05沖擊波病毒（2003年）4.3計(jì)算機(jī)蠕蟲

計(jì)算機(jī)蠕蟲是一種廣泛存在的惡意程序。它主要通過互聯(lián)網(wǎng)進(jìn)行自身的復(fù)制和傳播，其傳播途徑主要包括網(wǎng)絡(luò)和電子郵件。最初蠕蟲之所以得名，是因?yàn)樵贒OS系統(tǒng)環(huán)境下，當(dāng)病毒發(fā)作時(shí)，屏幕上會(huì)出現(xiàn)一種類似蟲子的圖案，它會(huì)隨意地吞噬屏幕上的字母并改變它們的形狀。計(jì)算機(jī)蠕蟲是一種具有自我復(fù)制和傳播能力、可獨(dú)立自動(dòng)運(yùn)行的惡意代碼。它融合了黑客技術(shù)和計(jì)算機(jī)病毒技術(shù)，通過利用系統(tǒng)中存在漏洞的主機(jī)，將自身從一個(gè)節(jié)點(diǎn)傳播到另一個(gè)節(jié)點(diǎn)。4.3計(jì)算機(jī)蠕蟲

計(jì)算機(jī)蠕蟲具有一些與病毒相似的特性，如傳染性、隱蔽性和破壞性等。然而蠕蟲與病毒的一個(gè)關(guān)鍵區(qū)別在于“依附”方式。蠕蟲不需要宿主，它是一段完整的獨(dú)立代碼，而病毒需要成為宿主程序的一部分；蠕蟲可以自主地利用網(wǎng)絡(luò)進(jìn)行傳播，復(fù)制自身并在互聯(lián)網(wǎng)環(huán)境中進(jìn)行傳播，而病毒的傳播能力主要是針對計(jì)算機(jī)內(nèi)的文件系統(tǒng)，蠕蟲的傳播目標(biāo)則是互聯(lián)網(wǎng)中的所有計(jì)算機(jī)。局域網(wǎng)中的共享文件夾、電子郵件、網(wǎng)絡(luò)中的惡意網(wǎng)頁和大量存在漏洞的服務(wù)器等都可能成為蠕蟲的傳播途徑。4.3計(jì)算機(jī)蠕蟲相較于傳統(tǒng)病毒，蠕蟲具有更強(qiáng)的傳染性，不僅感染本地計(jì)算機(jī)，還能以本地計(jì)算機(jī)為基礎(chǔ)，感染整個(gè)網(wǎng)絡(luò)中的所有服務(wù)器和客戶端。通過共享文件夾、電子郵件、惡意網(wǎng)頁以及存在著大量漏洞的服務(wù)器等途徑，蠕蟲能迅速廣泛地傳播，速度遠(yuǎn)超傳統(tǒng)病毒，甚至可以在幾個(gè)小時(shí)內(nèi)蔓延全球。3．快速廣泛的傳播能力一般而言，計(jì)算機(jī)病毒需要依附于宿主程序，將自身代碼注入其中。當(dāng)宿主程序運(yùn)行，病毒會(huì)優(yōu)先執(zhí)行，引發(fā)感染和破壞。然而，蠕蟲不依賴任何宿主程序，它獨(dú)立存在，因此可以自由地執(zhí)行，主動(dòng)發(fā)起攻擊，而不受到宿主程序的限制。1．高度獨(dú)立性由于不受宿主程序約束，蠕蟲能針對操作系統(tǒng)的漏洞，主動(dòng)進(jìn)行攻擊。例如，尼姆達(dá)病毒通過IE瀏覽器的漏洞，使得無須打開郵件附件便能激活；紅色代碼病毒利用了微軟IIS服務(wù)器軟件的漏洞來進(jìn)行傳播；而蠕蟲王病毒則利用了微軟數(shù)據(jù)庫系統(tǒng)的漏洞進(jìn)行攻擊。2．利用漏洞主動(dòng)攻擊計(jì)算機(jī)蠕蟲的特點(diǎn)。4.3計(jì)算機(jī)蠕蟲當(dāng)大量系統(tǒng)被蠕蟲感染后，攻擊者可以利用多種方式對目標(biāo)站點(diǎn)發(fā)起攻擊，并通過蠕蟲網(wǎng)絡(luò)隱藏自己的位置，這使得追蹤攻擊者變得異常困難。6．追蹤難度加大為了在更廣闊的范圍內(nèi)傳播，蠕蟲的制造者注重其隱藏手段。通常，用戶通過雙擊郵件主題來瀏覽郵件內(nèi)容，如果郵件含有病毒，計(jì)算機(jī)便會(huì)立即被感染。4．高級的偽裝和隱蔽手段一些蠕蟲與網(wǎng)頁腳本結(jié)合，使用VBScript、Java、ActiveX等技術(shù)隱藏在HTML頁面中。用戶訪問含病毒代碼的網(wǎng)頁時(shí)，病毒會(huì)自動(dòng)駐留內(nèi)存并尋找機(jī)會(huì)觸發(fā)。此外，一些蠕蟲與后門或木馬程序結(jié)合，如紅色代碼病毒，允許傳播者遠(yuǎn)程控制受感染的計(jì)算機(jī)。這類結(jié)合黑客技術(shù)的蠕蟲構(gòu)成更大的潛在威脅。5．技術(shù)領(lǐng)先4.4特洛伊木馬

特洛伊木馬簡稱木馬，起源于希臘的神話故事，原指古希臘士兵隱藏在一個(gè)巨大的木馬內(nèi)，以欺騙方式進(jìn)入敵方城市并成功占領(lǐng)。與典型的計(jì)算機(jī)病毒不同，木馬不會(huì)自我復(fù)制或主動(dòng)感染其他文件。相反，木馬程序通過偽裝成誘人的文件，誘導(dǎo)用戶下載并運(yùn)行，從而為攻擊者打開了進(jìn)入受害者計(jì)算機(jī)的通道。

一旦木馬程序被激活，攻擊者便能夠獲得對遠(yuǎn)程計(jì)算機(jī)的幾乎全部控制權(quán)限，這臺(tái)遠(yuǎn)程計(jì)算機(jī)對于他們來說，操作起來與自己的設(shè)備沒有顯著差異。攻擊者可以利用木馬程序進(jìn)行各種惡意活動(dòng)，包括修改文件、篡改注冊表、控制鼠標(biāo)和鍵盤、監(jiān)控用戶的攝像頭以及截取密碼等，甚至執(zhí)行受害者用戶可以進(jìn)行的幾乎所有操作。

通常特洛伊木馬包含兩個(gè)可執(zhí)行組件：一是控制者所持的客戶端，二是被植入受害者計(jì)算機(jī)的服務(wù)器端。當(dāng)攻擊者成功將服務(wù)器端植入到受害者的計(jì)算機(jī)后，便能夠借助客戶端遠(yuǎn)程訪問該計(jì)算機(jī)。受害者一旦運(yùn)行了被種植在計(jì)算機(jī)中的木馬服務(wù)器端，就會(huì)在受害者毫不知情的情況下打開一個(gè)或幾個(gè)端口并進(jìn)行監(jiān)聽，這些端口好像“后門”一樣，所以特洛伊木馬也稱為后門工具。攻擊者利用客戶端程序向該端口發(fā)出連接請求，木馬便與其建立連接。攻擊者可以使用控制器進(jìn)入計(jì)算機(jī)，通過客戶端程序發(fā)送命令達(dá)到控制服務(wù)器端的目的，受害者的安全和個(gè)人隱私也就全無保障了。由于運(yùn)行了木馬服務(wù)器端的計(jì)算機(jī)完全被客戶端控制，任由攻擊者宰割，因此運(yùn)行了木馬服務(wù)器端的計(jì)算機(jī)也常被稱為“肉雞”。4.4.1木馬的工作原理01遠(yuǎn)程控制型木馬是數(shù)量最多、危害最大、知名度最高的一種木馬，它會(huì)在受害者的計(jì)算機(jī)上打開一個(gè)端口以保持連接，可以讓攻擊者完全控制被感染的計(jì)算機(jī)，其危害程度不可忽視。遠(yuǎn)程控制型木馬02密碼發(fā)送型木馬是專門為了盜取被感染計(jì)算機(jī)上的密碼而編寫的，一旦執(zhí)行，它就會(huì)自動(dòng)搜索內(nèi)存、Cache、臨時(shí)文件夾及各種敏感密碼文件，如果找到有用的密碼，木馬就會(huì)利用電子郵件服務(wù)將密碼發(fā)送到指定的郵箱。密碼發(fā)送型木馬03鍵盤記錄型木馬非常簡單，只記錄受害者的鍵盤敲擊并查找LOG文件中的密碼。該類型木馬有在線和離線兩種記錄模式，隨著系統(tǒng)的啟動(dòng)而啟動(dòng)，分別記錄在線和離線狀態(tài)下的按鍵情況。通過分析這些按鍵記錄，攻擊者可以獲得信用卡賬號和密碼等信息。鍵盤記錄型木馬4.4.2木馬的分類根據(jù)其功能和特點(diǎn)，可以將木馬劃分成以下9種主要類型。04

破壞型木馬的唯一功能是破壞受害者計(jì)算機(jī)的文件系統(tǒng)，導(dǎo)致系統(tǒng)崩潰或重要數(shù)據(jù)丟失。從這一點(diǎn)來看，它與病毒相似。破壞型木馬05隨著DDoS攻擊的廣泛應(yīng)用，用于DDoS攻擊的木馬也越來越流行。當(dāng)攻擊者控制了一臺(tái)計(jì)算機(jī)并植入DDoS攻擊木馬后，該計(jì)算機(jī)將成為攻擊者的得力助手。DDoS攻擊型木馬06黑客為了掩蓋自己的足跡并防止他人發(fā)現(xiàn)自己的身份，會(huì)在被控制的“肉雞”上植入代理木馬，使其成為攻擊者發(fā)動(dòng)攻擊的跳板。通過代理木馬，攻擊者可以在匿名情況下使用Telnet、QQ、IRC等程序，從而隱藏自己的蹤跡。代理型木馬4.4.2木馬的分類07FTP型木馬是最簡單和古老的木馬之一，其唯一功能是打開21端口等待用戶連接?，F(xiàn)在新的FTP型木馬還加入了密碼功能，只有攻擊者知道正確的密碼，才能進(jìn)入對方計(jì)算機(jī)。FTP型木馬08根據(jù)防火墻的特性，防火墻對于連入的連接往往會(huì)進(jìn)行非常嚴(yán)格的過濾，但對于連出的連接卻疏于防范。與一般的木馬相反，反彈端口型木馬的服務(wù)器端使用主動(dòng)端口，客戶端使用被動(dòng)端口。木馬定時(shí)監(jiān)測客戶端的存在，發(fā)現(xiàn)客戶端上線立即彈出端口主動(dòng)連接客戶端打開的主動(dòng)端口；為了隱蔽起見，客戶端的被動(dòng)端口通常開在80端口，這樣即使用戶使用端口掃描軟件檢查自己的端口情況，也會(huì)以為是自己在瀏覽網(wǎng)頁，防火墻也不會(huì)阻止向外連接80端口。反彈端口型木馬09前面介紹的木馬功能雖然多樣，但在對方計(jì)算機(jī)上要發(fā)揮作用還需過防木馬軟件這一關(guān)。程序殺手型木馬可以關(guān)閉對方計(jì)算機(jī)上運(yùn)行的這類程序，使其他木馬能更好地發(fā)揮作用。程序殺手型木馬4.4.2木馬的分類4.5.1木馬的工作過程配置木馬

通常情況下，攻擊者可以通過配置程序打造一個(gè)符合個(gè)人需求的木馬，主要配置的內(nèi)容包括用戶信息反饋的郵件地址、端口設(shè)定、守護(hù)進(jìn)程和自我銷毀機(jī)制等。傳播木馬

在完成木馬的配置之后，接下來可以進(jìn)行其傳播過程。木馬傳播的途徑主要包括以下幾點(diǎn)：首先，可以通過大量發(fā)送電子郵件，將木馬作為郵件附件進(jìn)行傳遞；其次，木馬程序可以被偽裝成工具或者游戲，誘導(dǎo)用戶下載并運(yùn)行；此外，還可以利用QQ等即時(shí)通訊軟件來傳播木馬；最后，木馬程序可能會(huì)潛伏在帶有惡意的網(wǎng)站中，當(dāng)目標(biāo)系統(tǒng)的用戶訪問這些網(wǎng)站時(shí)，通過Script、ActiveX和XML等交互腳本，木馬便被植入到用戶系統(tǒng)中。0102利用木馬進(jìn)行信息竊取和惡意攻擊的整個(gè)過程可以劃分為4個(gè)階段。4.5.1木馬的工作過程啟動(dòng)木馬

在木馬成功感染一臺(tái)計(jì)算機(jī)之后，接下來的關(guān)鍵步驟是激活木馬程序。最基礎(chǔ)的激活方式是依賴于用戶主動(dòng)執(zhí)行包含木馬的程序。然而更高效的策略是，木馬會(huì)自我復(fù)制到Windows系統(tǒng)的目錄中然后在系統(tǒng)注冊表的啟動(dòng)項(xiàng)中，設(shè)置好觸發(fā)條件。通過這種機(jī)制，當(dāng)系統(tǒng)重啟時(shí)，木馬便能夠自動(dòng)加載。一旦激活，木馬會(huì)開啟預(yù)設(shè)的網(wǎng)絡(luò)端口，以便進(jìn)行后續(xù)的惡意活動(dòng)。進(jìn)行控制

建立一個(gè)木馬連接必須滿足兩個(gè)條件：一是服務(wù)端已安裝有木馬程序；二是控制端、服務(wù)端都要在線。在初次嘗試連接時(shí)，控制端還需要知道被控制端的IP地址。IP地址一般通過木馬程序的信息反饋機(jī)制或掃描固定端口等方式得到。木馬連接成功建立后，控制端口和木馬端口之間將會(huì)有一條通道，通過這個(gè)通道，控制端軟件能夠與被控制端的木馬程序進(jìn)行通信，并進(jìn)而實(shí)現(xiàn)對被控制端的遠(yuǎn)程操控。03044.5.2木馬的隱藏與偽裝方式

木馬程序可以利用程序捆綁方式，將自己和正常的可執(zhí)行文件進(jìn)行捆綁。當(dāng)用戶雙擊運(yùn)行捆綁后的程序時(shí)，正常的可執(zhí)行文件運(yùn)行的同時(shí)木馬程序也在后臺(tái)悄悄地運(yùn)行。程序隱藏

將木馬服務(wù)端程序的圖標(biāo)改成jpeg、html、txt、zip等各種文件的圖標(biāo)，增加木馬的迷惑?性。圖標(biāo)隱藏

所謂啟動(dòng)隱藏，是指木馬程序在目標(biāo)計(jì)算機(jī)上自動(dòng)執(zhí)行而不被用戶察覺的過程。啟動(dòng)隱藏

在Windows系統(tǒng)中，各個(gè)進(jìn)程擁有專屬的內(nèi)存地址空間。當(dāng)訪問內(nèi)存時(shí)，任何進(jìn)程都無法觸及其他進(jìn)程的私有內(nèi)存區(qū)域。因此，可以將木馬程序植入到其他進(jìn)程中，實(shí)現(xiàn)隱藏木馬的效果，從而逃避檢測。進(jìn)程隱藏木馬程序與普通遠(yuǎn)程管理程序的一個(gè)主要差異在于其隱藏性。木馬被植入后，通常利用各種手段來隱藏痕跡，以防止被發(fā)現(xiàn)和追蹤，盡可能延長生存期。01Windows注冊表是木馬常用的隱藏地點(diǎn)之一，通過在注冊表中添加或修改鍵值，木馬可以確保自己隨系統(tǒng)啟動(dòng)而激活。通過注冊表啟動(dòng)02啟動(dòng)組也是木馬可以藏身的地方，這里的程序可以自動(dòng)加載運(yùn)行。但這種方式的隱蔽性不高，因?yàn)檫@種自啟動(dòng)方式會(huì)在“系統(tǒng)配置實(shí)用程序”（msconfig）中留下痕跡，容易被用戶察覺。在啟動(dòng)組中啟動(dòng)4.5.3木馬的啟動(dòng)方式木馬傳播完之后，為了發(fā)揮其功能，木馬程序需要隨著操作系統(tǒng)的啟動(dòng)而自動(dòng)執(zhí)行，并打開相應(yīng)的端口，因此木馬必須尋找一個(gè)既安全又能在系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行的位置。通常情況下，木馬會(huì)駐留在以下3個(gè)位置，即啟動(dòng)配置文件、啟動(dòng)組和注冊表，因?yàn)橛?jì)算機(jī)在啟動(dòng)過程中需要加載這3份文件。此外，還有捆綁方式和通過超級鏈接等方式啟動(dòng)的木馬，接下來將分別進(jìn)行介紹。03

Win.ini和System.ini，這兩個(gè)文件是Windows操作系統(tǒng)的系統(tǒng)配置文件，用于存儲(chǔ)系統(tǒng)設(shè)置和運(yùn)行參數(shù)。在早期的Windows版本中，木馬可能會(huì)通過修改這些文件來添加自己的啟動(dòng)路徑，從而實(shí)現(xiàn)隨系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行。在系統(tǒng)配置文件中啟動(dòng)04正常情況下，文本文件的打開方式為Notepad程序，但是如果計(jì)算機(jī)感染了文件關(guān)聯(lián)木馬，那么文本文件的默認(rèn)打開方式就會(huì)被更改為木馬程序。因此，當(dāng)用戶雙擊一個(gè)文本文件，原本應(yīng)該由Notepad程序來打開文件，現(xiàn)在卻會(huì)啟動(dòng)木馬程序。利用文件關(guān)聯(lián)啟動(dòng)4.5.3木馬的啟動(dòng)方式05

木馬可能會(huì)與其他正常的程序捆綁在一起，當(dāng)用戶啟動(dòng)這些程序時(shí)，木馬也隨之激活。如果木馬捆綁在系統(tǒng)文件上，那么每次系統(tǒng)啟動(dòng)都會(huì)激活木馬。因?yàn)槟抉R是隱藏在正常程序之中的，因此這種方式很難被用戶察覺。捆綁方式啟動(dòng)啟動(dòng)06網(wǎng)頁木馬通常通過在網(wǎng)站上植入惡意代碼來實(shí)施攻擊，它們經(jīng)常采用吸引人的措辭，例如免費(fèi)軟件下載，并將其設(shè)為超鏈接以誘騙用戶點(diǎn)擊。當(dāng)用戶點(diǎn)擊這些超鏈接時(shí)，木馬程序會(huì)自動(dòng)開始下載并執(zhí)行。在超鏈接中啟動(dòng)4.5.3木馬的啟動(dòng)方式通過使用網(wǎng)絡(luò)命令“netstat-an”可以查看計(jì)算機(jī)目前的端口連接情況。由于木馬程序需要打開端口進(jìn)行通信，因此定期檢查開放的端口及其連接狀態(tài)是檢測木馬的重要手段。01檢查端口連接用戶可以使用“Windows任務(wù)管理器”來檢查系統(tǒng)中的活動(dòng)進(jìn)程。注意那些占用CPU資源較多的進(jìn)程，判斷這些進(jìn)程是否合法，從而找到可能隱藏的木馬文件和程序。02檢查系統(tǒng)進(jìn)程4.5.4木馬的檢測隨著木馬技術(shù)的進(jìn)步，其欺騙手段也日益繁多。因此，用戶必須保持高度警覺，及時(shí)更新防病毒軟件，并定期清除木馬。如果發(fā)現(xiàn)計(jì)算機(jī)運(yùn)行速度顯著下降、硬盤不停讀寫、鼠標(biāo)出現(xiàn)無法控制等異常狀況，這可能是木馬程序在操控計(jì)算機(jī)的跡象，可以通過以下方法進(jìn)行檢測。04運(yùn)行“regedit”命令打開注冊表編輯器，檢查注冊表啟