7- 破坏性程序.pptVIP

计算机病毒Computer Virus 第七章 破坏性程序分析 特洛伊木马 邮件炸弹 垃圾邮件 特洛伊木马 特洛伊木马 木马的功能 窃取数据 接受非授权操作者的指令 篡改文件和数据 删除文件和数据 释放病毒 使系统自毁 木马的基本原理 木马系统软件一般由木马配置程序、控制端程序和木马程序(服务器程序)等三部分组成。 木马程序，也称服务器程序，它驻留在受害者的系统中，非法获取其操作权限，负责接收控制端指令，并根据指令或配置发送数据给控制端。 木马配置程序设置木马程序的端口号、触发条件、木马名称等，使其在服务端藏得更隐蔽，有时该配置功能被集成在控制端程序菜单内，不单独作为一个程序。 控制端程序控制远程服务器，有些程序集成了木马配置的功能。 木马的自启动 注册表启动键HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion下以Run开头的子键进行设置，如run和runservices子键。 HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\Run HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\RunOnce HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\RunOnceEx HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\RunServices 木马的自启动 木马的自启动 ini文件在win.ini的[windows]下的load和run后面进行设置。一般情况下命令行load=和run=后面是空白的，有些木马会在此处添加其文件名。 run=c:\windows\server.exe load=wscan.exe 木马的自启动 对system.ini的[boot]下的Shell=文件名进行设置。一般情况下该文件名是explorer.exe，有些木马会将此文件名改为木马程序名。 另外，在system.ini中[386enh]字段中，注意段内“driver=path\程序”可被木马利用。 再有在system.ini中，[mic]、[drivers]、[drivers32]这三个字段起到加载驱动程序的作用，但也是增添木马程序的场所。 木马的自启动 木马的自启动 木马的自启动 木马的自启动 借助自动运行功能 其实硬盘也支持自动运行，你可尝试在D盘根目录下新建一个Autorun.inf，用记事本打开它，输入如下内容：  　[autorun] 　　open=Notepad.exe 通过API HOOK启动 这种方法较为高级，通过替换系统的DLL文件，让系统启动指定的程序。例如：拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接，那么黑客就会替换这个DLL，当用户的应用程序调用这个API函数，黑客的程序就会先启动，然后调用真正的函数完成这个功能 木马的自启动 木马的隐藏性 木马的预防 木马技术的发展 关端口 ICMP是IP协议的附属协议 隐藏进程:远程线程技术 争夺系统控制权:提升权限 穿透防火墙 隧道技术：HTTP隧道 木马技术的发展 木马的示例—冰河  木马的示例—冰河 木马的示例—冰河 邮件炸弹 邮件炸弹 电子邮件攻击主要有两种方式： 一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪； 二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其它木马程序，这类欺骗只要用户提高警惕，一般危害性不是太大。 * 中南大学信息科学与工程学院 课程名称：计算机病毒 教材：计算机病毒分析与对抗 * 骂团异吼抖舰喂油勃颇一灸烷籍褒添挟眼蔡径和鹿煽学烃砖再斜履湿铆驯7- 破坏性程序7- 破坏性程序 汪洁 jwang@ 顷济券介监掳谆参荧仔挪营尊道灶碎赊钙严殿烧凡打萤朔堡驰菲映裤阿蚁7- 破坏性程序7- 破坏性程序 皂辉庞角渊垫苛单尤扛晨扎爹房侈临洒徊询账啪凿利坐狞怠递顿永镭舰礁7- 破坏性程序7- 破坏性程序 木马全称是“特洛伊木马(Trojan Horse)”，