计算机病毒原理.pptVIP

蠕虫传播 人为因素 (社会工程学) 弱点漏洞 强力传播（前门攻击） Trojans ArchBomb （逻辑炸弹） Backdoor（后门程序） Trojan-PSW（密码小偷） Trojan-Clicker（误导木马/广告木马） Trojan-Downloader（下载木马） Trojan-Dropper（木马包裹） Trojan-Notifier（告密木马） Trojan-Spy（间谍木马） Trojan-Proxy（代理木马） Trojan-Dialer（拨号木马） Bot（IRC-Backdoor傀儡虫） 其他类 Trojans Trojan-Dropper（木马包裹） Trojan-Downloader （下载木马） Trojan dropper可以在一个操作系统中同时调用多种不同种类的恶意程序。一个标准的Trojan dropper一般是用一个很小的打包文件，把多个恶意程序集合集合在一起（trojans,worm,backboor) 这种木马一旦被激活，则被它封闭在文件中的各种恶意程序就一起释放出来，一般都是释放在系统临时缓存文件夹。并开始同时运行。 Trojan downloader 通常是黑客用以掩盖通过网站和FTP网站用来下载相关木马程序真实目，同时下载并运行所需恶意程序的工具。Trojan downloader可以在用户不知情地情况下自动下载木马或者后门程序并激活 Trojans Trojan-PSW （密码小偷） Trojan-Spy （间谍木马） 盗窃密码地木马程序一般利用一个安装在系统重的后门程序和一个键盘记录器来工作。当用户通过键盘来输入密码地时候，隐藏在windows系统内存中地键盘记录模块就开始工作了 。随后把密码数据储存到键盘记录模块地数据库中并立即发送给黑客。 一般在发送密码地同时也会发送受害者地主机IP、RAS (路由转换)和网络架构。 这样地后果就是黑客可以自由地进出受害者地主机，同时还可以利用受害者地网络资源来进行更广泛地犯罪行为。 Trojans Trojan-Clicker 误导木马/广告木马） Trojan-Notifier （告密木马） Trojan Clicker 一般隐藏在系统内存中，并常常试图链接某些特定网站，以增加访问量赚取更大地利润。一些Trojan Clicker 在访问某些特定网站时时隐藏地，受害者不能够直接看见这次访问，您只能在本机端口记录中观察到这次链接。 TrojanNotifier 是用来给网络黑客通告某些有用日志和信息的工具。 例如它可以告知黑客受害者木马代理的安装状况和运行日志还附赠受害者的主机IP和网络资源等。很多时候这种木马是和其他恶意代码捆绑作业的。但也有独立的TrojanNotifier 存在 Trojans Backdoor（后门程序） 黑客们的远程访问工具 backdoor 一旦种植在操作系统后就保持它在系统内存中的激活状态，同时开放一些特殊端口为黑客执行某些特殊命令作准备。一个标准的 backdoor 通常由两个部分 –客户端 和 服务端。某些 backdoor 可以允许黑客按照需求来定制服务端。还有一些特殊的backdoor拥有自己的扫描器，扫描并搜集受害者主机状况来帮助黑客分析和操控受害者主机。 IRC-Backdoor (Bot) 将特殊的bots 种植在所选定的IRC 频道中，并利用BOTS来通讯并散布更多的后门代理程序到同频道的受害者主机上。那些被寄生了bot的受害主机就如同傀儡和僵尸一样，在使用者未知的情况下将后门程序继续在网络中传播。（BOT感染者又称“肉鸡”） Trojans Trojan-Proxy （代理木马） TrojanProxy 是黑客种植在受害者主机上的自动终端。它一旦被激活，则可以让黑客自由的控制受害者主机。这种木马的功能就是在在受害主机上搭设一个代理，让几乎所有网络用户都可以匿名访问受害者主机. 如今，这项技术被广泛应用于垃圾邮件和广告垃圾信息的传播中。病毒的制作者们也常常使用这些木马代理来传播他们的恶意程序 ?Questions? * 文件头寄生－感染力强，传播快，在文件起始位置直接写入病毒活体，可以在源指令间直接书写，也可以将原指令推换到文件尾，在空出的位置进行病毒书写。 文件尾寄生－议案在文件结束位置书写病毒体，但这种方法会明显增大文件体积。虽然病毒体位置在文件尾，但他们还是需要在文件起始位置简单书写一个“触点”代码来引领受害程序运行文件结束位置的病毒体。 文件体寄生－这种寄生一般为少数病毒采用。书写位置在受害文件的中段。一般有两种方式额插入，其一是直接的加载在正常代码中间，其二是移动正常代码至文件尾，然后在留下的“空洞”插入病毒体。采用第二种方法一般是一些所谓空度病毒