专题一：计算机病毒与木马.ppt

计算机病毒与木马 ◆计算机病毒 ◆木马 ◆恶意代码 ◆实例简介 3、计算机病毒与一般程序的差别 ① 计算机病毒不是用户想要执行的执行程序 ② 计算机病毒不是一个独立的的执行程序 * * 主要内容： 一、计算机病毒 1、什么是计算机病毒？ ◆ 计算机病毒是一段程序 2、计算机病毒的特点： ◆ 计算机病毒寄生在计算机中 ◆ 具有隐蔽性 ◆ 具有传染性 ◆ 具有破坏性 4、计算机病毒的破坏性 ● 视觉和听觉 ● 破坏文件系统 ● 破坏存储器 ● 占用资源 5、计算机病毒的分类 ① 根据传染性，计算机病毒可分为： 引导区传染 操作系统传染 应用程序传染 ◆ 所有程序都有一个引导区 ◆ 操作系统传染病毒与引导区传染病毒不同，它寄生 在磁盘上的系统文件中 ◆ 应用程序传染病毒寄生在某种特殊的应用程序中 ② 根据破坏性，计算机病毒可以分为: 良性病毒和恶性病毒 ③ 根据触发时间，可分为: 定时与不定时触发病毒 6、计算机病毒的工作机制 过程如下： ★三个实体： ◆传染源 ◆ 传染媒介 ◆目的地 ★三个过程： ◆传染过程 ◆触发过程 ◆破坏过程 传染源 传染媒介 目的地 传染过程 触发过程 破坏过程 7、计算机病毒的防治技术 比较病毒特征码 这是防病毒软件所采用的主要方法 根据病毒的活动规律来判断是否是病毒 一般的防病毒卡是基于这种原理 二、木马 ●木马与计算机病毒的不同点在于： 病毒的设计目标是：破坏系统 而木马的设计目标是：远程控制受害系统 1、什么是木马？ 木马，即特洛伊木马，英文为“Trojan house”,其名称 取自希腊神话的特洛伊木马记 ★“木马的来源” ●木马的功能是：通过客户端可以操纵服务器， 进而操纵对方主机。 2、木马的特点 ◆ 隐蔽性 ◆ 非授权性 ★ 木马一般有一个配置程序，允许使用者配置木马 的伪装方式和木马的反馈信息 ★ 木马的伪装方式： 包括木马在释放的时候，怎样避免受害者的发现。 ★ 木马的反馈信息： 就是木马被黑客释放以后，如果成功地驻留在某个 系统中，就向黑客反馈信息通知它的状态，如受害系统 的IP地址、木马服务端程序的端口等。 那么通知方式呢？ 3、木马的危害 它直接威胁了信息安全的机密性 如何讲？ 它也威胁了信息安全的完整性 如何讲？ 它也威胁了信息安全的可用性 如何讲？ 想一想：如何发现并清除木马呢？ 使用木马扫描工具和杀毒软件。 4、木马的传播方式 木马的传播是指： 将木马服务端程序安装在受害系统上。 分为： 主动传播方式 被动传播方式 那么被动传播方式有什么特点呢？ 就是黑客并不知道哪些系统被装了木马。 所以安装成功的木马应向黑客反馈一些信息。 ◆另外，每一种木马都是用一个特殊的端口（一般都是数值比 较大的陌生端口），所以可以使用端口扫描方式去发现木马 服务端程序的存在。 5、木马的伪装方式 ◆修改图标 ◆出错显示 ◆捆绑文件 ◆清除现场 ◆改变端口 6、木马的激活方式 ① 注册表 木马的自动启动脚本可以出现在注册表的 HKEY—LOAL—MACHINE和HKEY—CURRENT—USER 的以下分支： Software\Microsoft\Windows\Current Version\Run Software\Microsoft\Windows\Current Version\RunServices ② WIN.INI WIN.INI文件放在C：\WINDOWS的目录下，是Windows的一 个启动配置文件。如果用文本方式打开，在[Windows]字段中有启 动命令“Load=”和“run=”。在一般情况下，这两个地方是空的，如 果有启动程序，可能是木马。 6、木马的激活方式 ③ SYSTEM.INI SYSTEM.INI文件放在C：\WINDOWS的目录下，也是Windows 的一个启动配置文件。如果用文本方式打开，在[386Enh]、[mic]或 [drivers32]字段中