计算机病毒CoputerVirus.ppt

计算机病毒Computer Virus 傅建明 Fujms@； fujms@ 第七章 破坏性程序分析 7.1 特洛伊木马 7.2 邮件炸弹 7.3 垃圾邮件 7.1 特洛伊木马 木马全称是“特洛伊木马(Trojan Horse)”，原指古希腊人把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，木马指在可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，这些程序可能造成用户的系统被破坏，甚至瘫痪。 7.1 特洛伊木马 特洛伊木马，从本质上讲，是一种基于远程控制的工具，类似于远端管理软件，如PCAnywhere。与一般远程管理软件的区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现会采用多种手段隐藏木马。非授权性是指一旦控制端与服务端建立连接后，控制端将窃取用户密码，以及获取大部分操作权限，如修改文件、修改注册表、重启或关闭服务端操作系统、断开网络连接、控制服务端的鼠标及键盘、监视服务器端桌面操作、查看服务器端进程等，这些权限并不是用户赋予的，而是通过木马程序窃取的。 木马的功能 （1）窃取数据 （2）接受非授权操作者的指令 （3）篡改文件和数据 （4）删除文件和数据 （5）施放病毒 （6）使系统自毁 7.1.2 木马的基本原理 木马系统软件一般由木马配置程序、控制端程序和木马程序(服务器程序)等三部分组成。 木马程序，也称服务器程序，它驻留在受害者的系统中，非法获取其操作权限，负责接收控制端指令，并根据指令或配置发送数据给控制端。 木马配置程序设置木马程序的端口号、触发条件、木马名称等，使其在服务端藏得更隐蔽，有时该配置功能被集成在控制端程序菜单内，不单独作为一个程序。 控制端程序控制远程服务器，有些程序集成了木马配置的功能。 木马的自启动 (1) 注册表启动键HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion下以Run开头的子键进行设置，如run和runservices子键。 HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\Run HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\RunOnce HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\RunOnceEx HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion\RunServices 木马的自启动 木马的自启动 (3) ini文件在win.ini的[windows]下的load和run后面进行设置。一般情况下命令行load=和run=后面是空白的，有些木马会在此处添加其文件名。 run=c:\windows\server.exe load=wscan.exe 木马的自启动 (4) 对system.ini的[boot]下的Shell=文件名进行设置。一般情况下该文件名是explorer.exe，有些木马会将此文件名改为木马程序名。另外，在system.ini中[386enh]字段中，注意段内“driver=path\程序”可被木马利用。再有在system.ini中，[mic]、[drivers]、[drivers32]这三个字段起到加载驱动程序的作用，但也是增添木马程序的场所。 木马的自启动 木马的自启动 木马的自启动 木马的自启动 (9).借助自动运行功能 其实硬盘也支持自动运行，你可尝试在D盘根目录下新建一个Autorun.inf，用记事本打开它，输入如下内容： 　　[autorun] 　　open=Notepad.exe (10) 通过API HOOK启动 　　这种方法较为高级，通过替换系统的DLL文件，让系统启动指定的程序。例如：拨号上网的用户必须使用Rasapi32.dll中的API函数来进行连接，那么黑客就会替换这个DLL，当用户的应用程序调用这个API函数，黑客的程序就会先启动，然后调用真正的函数完成这个功能 木马的自启动 木马的隐藏性 木马的预防 木马技术的发展 （1）、关端口 ICMP是IP协议的附属协议; （2）、隐藏进程:远程线程技术 （3）、争夺系统控制权:提升权限 （4）、穿透防火墙 (5)、隧道技术：HTTP隧道 木马技术的发展 木马的示例—冰河  木马的示例—冰河 木马的示例—冰河 网页木马 网页木马是一