项目4计算机病毒与防治概要.ppt

4. 任务实施步骤 准备一个Word文件(如“myfile.doc”)和一个木马程序(如“木马.exe”)，在本任务中，为了安全起见，把计算器程序“calc.exe”改名为“木马.exe”，即用计算器程序代替木马程序。 步骤1：下载并安装 WinRAR软件。 步骤2：右击“myfile.doc”文件，在弹出的快捷菜单中选择“添加到压缩文件”命令，打开“压缩文件名和参数”对话框，在“常规”选项卡中，选中“创建自解压格式压缩文件”复选框，并把压缩文件名改为“利用自解压文件携带木马程序.exe”，如图4-33所示。 步骤3：在“文件”选项卡中，单击“要添加的文件”文本框右侧的“追加”按钮，此时可以选择一个预先准备好的“木马.exe”文件，如图4-34所示。 步骤4：在如图4-35所示的“高级”选项卡中，单击“自解压选项”按钮，打开“高级自解压选项”对话框，如图4-36所示。 步骤5：在“常规”选项卡中，选中“在当前文件夹创建”单选按钮，并在“解压后运行”文本框中输入“木马.exe”。 步骤6：单击“确定”按钮，返回到“压缩文件名和参数”对话框，再单击“确定”按钮，最终将产生一个自解压文件“利用自解压文件携带木马程序.exe”。 步骤7：把产生的自解压文件“利用自解压文件携带木马程序.exe”拷贝到其他文件夹中，并双击运行，观察运行结果。 4.4.5 任务5: 反弹端口木马(灰鸽子)的演示 1. 任务目标 (1) 了解反弹端口木马(灰鸽子)的工作原理和配置方法。 (2) 了解灰鸽子木马的危害。 2. 任务内容 (1) 配置服务端程序。 (2) 传播木马。 (3) 控制端操作。 3. 完成任务所需的设备和软件 (1) 装有Windows XP/2003操作系统的PC机2台。 (2) 灰鸽子木马程序1套。 4. 任务实施步骤 在局域网中，在A主机(1)上安装灰鸽子控制端，在B主机(2)上安装灰鸽子服务端，A主机控制B主机。 (1) 配置服务端程序 步骤1：在A主机上先关闭杀毒软件，然后运行灰鸽子客户端程序H_Client.exe，打开“灰鸽子”主窗口，单击“配置服务程序”按钮，打开“服务器配置”窗口，在“连接类型”选项卡中，选中“自动上线型”单选按钮，并在“DNS解析域名”文本框中输入“1”(控制端A主机的IP地址)，在“上线端口”文本框中输入“80”，在“保存路径”文本框中输入“C:\服务端程序.exe”，如图4-37所示。 其中，80端口是控制端打开的监听端口，伪装为WWW监听端口。 步骤2：按图4-38、图4-39、图4-40所示进一步进行设置，继续进行伪装。 步骤3：最后单击“生成服务器”按钮，最终在C盘根目录下生成“服务端程序.exe”文件。 步骤4：在“灰鸽子”主窗口中，选择“设置”→“系统设置”命令，打开“系统设置”窗口，在“端口设置”选项卡中，设置“自动上线端口”为“80”，如图4-41所示，单击“保存设置”按钮，并关闭“系统设置”窗口。 (2) 传播木马 通过各种方式传播该木马服务端程序，并诱惑用户运行该程序。在本任务中可直接把“服务端程序.exe”文件拷贝到服务端B主机(2)上。 (3) 控制端操作 步骤1：在服务端B主机上先关闭杀毒软件，然后运行“服务端程序.exe”程序后，在控制端A主机的“灰鸽子”主窗口中，可看到服务端B主机(2)已自动上线，如图4-42所示，此时可进行以下操作：获取系统信息、限制系统功能、屏幕捕获、文件管理、远程控制、注册表管理、文件传输、远程通信等操作。 步骤2：在控制端A主机上运行“netstat -a”命令，查看控制端的端口情况，如图4-43所示，可见控制端打开的是HTTP端口(80端口)。 步骤3：在服务端B主机上运行“netstat -a”命令，查看服务端的端口情况，如图4-44所示，可见服务端连接的是控制端1主机的HTTP端口(80端口)，与访问某台Web服务器是一样的，服务端的防火墙一般会允许这样的连接。 4.5 拓展提高：手机病毒 根据2011年金山网络安全中心监测，手机病毒从每日新增6～10个飙升至每日新增80～200个，国内30%的安卓用户在不知不觉中被恶意扣费500元以上。 传统的计算机病毒作者都开始向安卓平台转移，同时还将各种广泛应用在计算机上的病毒技术移植到安卓平台，针对安卓平台的智能手机病毒增长迅猛、受害人数有不断扩大的趋势。 手机病毒是一种具有传染性、破坏性、隐蔽性的手机程序。其可利用发送短信、彩信，电子邮件，浏览网站，下载铃声，蓝牙等方式进行传播，会导致用户手机死机、关机、个人资料被删、向外发送垃圾邮件泄露个人信息、自动拨打电话、发短(彩)信等进行恶意扣费，甚至会损毁SIM卡、芯片等硬件，导致使用者无法正常使用手机。 目前手机