信息安全专业木马病毒实习汇报.doc

xxxx大学 计算机科学与工程学院 专业实习报告 学生姓名： 学 号： 专 业： 班 级： 指导教师： 实习时间： 2015.6.27-2015.7.1 完成日期： 2015年7月1日 病毒木马攻击原理研究与简单实践 实习时间：2015年6月27日至2015年7月1日 实习地点：软件实验室 实验环境：装有win8系统计算机一台 vmware虚拟机 C++软件 学习目的：了解木马病毒的原理、特征、种类、伪装、挂马及其防范等，利用已学的专业课程，探究木马病毒的原理和方式，为毕业设计中实现模拟病毒木马的攻击与防范流程的心得体会打基础。 实习进程及具体内容： 实习的过程中我听从指导老师的建议由木马和病毒的定义和基本原理入手，通过上网查阅资料、虚拟机模拟操作等手段逐步拨开迷雾，对木马病毒的运作、传播、隐藏等行为进行了深度的研究与总结，从而理解了从病毒入侵到病毒清除和防御的每个步骤及原理，并能够对整体过程进行剖析。 具体内容如下: 1 木马病毒的概述及概述 1.1木马的的定义 木马的全称是“特洛伊木马”，是一种新型的计算机网络病毒程序，是一种基于远程控制的黑客工具，它利用自身具有的植入功能，或依附具有传播功能的病毒，进驻目标机器监听、修改。窃取文件。 1.2木马的基本特征1、隐蔽性是其首要的特征 当用户执行正常程序时，在难以察觉的情况下，完成危害影虎的操作，具有隐蔽性。它的隐蔽性主要体现在6个方面：1.不产生图标、2.文件隐藏、3.在专用文件夹中隐藏、4.自动在任务管理其中隐形、5.无声无息的启动、6.伪装成驱动程序及动态链接库 2、它具有自动运行性　　它是一个当你系统启动时即自动运行的程序，所以它必需潜入在你的启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中。3、木马程序具有欺骗性　　 木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防被你发现，它经常使用的是常见的文件名或扩展名，如“dll\win\sys\explorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”、字母“o”与数字“0”，常修改基本文件中的这些难以分辨的字符，更有甚者干脆就借用系统文件中已有的文件名，只不过它保存在不同路径之中。还有的木马程序为了隐藏自己，也常把自己设置成一个ZIP文件式图标，当你一不小心打开它时，它就马上运行。等等这些手段那些编制木马程序的人还在不断地研究、发掘，总之是越来越隐蔽，越来越专业，所以有人称木马程序为“骗子程序”。4、具备自动恢复功能　　现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。5、能自动打开端口　　 6、功能的特殊性　　通常的木马的功能都是十分特殊的，除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能,上面所讲的远程控制软件的功能当然不会有的，毕竟远程控制软件是用来控制远程机器，方便自己操作而已，而不是用来黑对方的机器的。破坏型 唯一的功能就是破坏并且，可以自动的删除电脑上的DLL、INI、EXE文件 密码发送型 向密码输入窗口发送WM_SETTEXT消息模拟输入密码，向按钮窗口发送WM_COMMAND消息模拟单击。在破解过程中，把密码保存在一个文件中，以便在下一个序列的密码再次进行穷举或多部机器同时进行分工穷举，直到找到密码为止。 可以找到隐藏密码并把它们发送到指定的信箱。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。 远程访问型 最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。 键盘记录木马 这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。 DoS攻击木马 随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DoS攻击木马，你控制的肉鸡数量越多，你发动DoS攻击取得成功的机率就越大。 一旦机器被感染，木马就会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。代理木马 “代理木马”具有自动下载木马病毒的功能，一旦感染系统后，当系统接入互联网，再从指定的网址下载其他木马、病毒等恶意软件它们可以根据病毒编者指定的网址下载木马病毒或其他恶意软件，还可以通过网络和移动存储介质传播。 FTP木马 这种木马可能是最简单和古老的