CIW-04(木马的原理、病毒的危害).ppt

* 《清平乐·六盘山》 天高云淡， 望断南飞雁。 不到长城非好汉， 屈指行程二万。 六盘山上高峰， 红旗漫卷西风。 今日长缨在手， 何时缚住苍龙？ * * * * * 目前的病毒一般的情况下，没有明确的恶意危害感染主机的意图。 病毒并不有意的去隐藏自己。 1.在任务栏里隐藏 　　这是最基本的隐藏方式。如果在windows的任务栏里出现一个莫名其妙的图标，傻子都会明白是怎么回事。要实现在任务栏中隐藏在编程时是很容易实现的。我们以VB为例。在VB中，只要把from的Visible属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。 2、在任务管理器里隐藏 查看正在运行的进程最简单的方法就是按下Ctrl+Alt+Del时出现的任务管理器。如果你按下Ctrl+Alt+Del后可以看见一个木马程序在运行，那么这肯定不是什么好木马。所以，木马会千方百计地伪装自己，使自己不出现在任务管理器里。木马发现把自己设为 “系统服务“就可以轻松地骗过去。 3、无进程、无端口的DLL（动态链接库）木马 所谓的无进程实际上是利用Windows Socket 2 SPI技术将DLL木马，注入到其它EXE文件中，使其成为木马的合法载体。（一般黑客会选择Explorer.exe、Svchost.exe等系统关键性服务程序，这样用户就很难终止木马的运行）。而所谓的无端口，实际上是重复利用了机器已经打开的端口（如80、135，139等常用端口）来传送数据，这样就避免了开新端口，也能骗过防火墙。并且这样的端口复用是在保证端口默认服务正常工作的条件下进行复用。 1、传统木马主要通过修改启动组/注册表/autoexec.bat/win.ini/sysytem.ini/wininit.ini/*.inf(例如autorun.inf)/config.sys来实现自启动。 2、木马phAse 1.0版本和NetBus 1.53版本就可以以捆绑方式装到目标电脑上,可以捆绑到启动程序上,也可以捆绑到一般程序的常用程序上 * 三线程就是指一个木马进程开启了三个线程，其中一个为主线程，负责远程控制的工作。另外两个为辅助线程，其中一个辅助线程称为监视线程，它负责检查木马程序是否被删除和是否被停止自启动，举例而言，一般木马侵入一台电脑后会创建一个备份文件，并在注册表中添加键值，以实现自启动。这个监视线程会定时检查木马程序和注册表中的键值是否存在，如果不存在则使用备份文件恢复木马，并向注册表添加自启动键值。另外一个辅助线程称为守护线程，它驻留在别的EXE文件内，与木马进程同步，一旦木马进程被停止，它就会重新启动该木马，并将自身数据赋给它，类似断点续传，这样就能保证木马程序一直运行。 * * * * * * * * * * * * * * * * 代码传播 利用系统或应用漏洞进行传播 及时下载安装相关补丁 及时更新病毒库 其他常见的防御措施 检查文件完整性 检查注册表 检查系统文件和启动项 检查端口和网络连接 检查补丁安装情况 不要轻易暴露MAIL地址及IP地址 检查文件完整性 Tripwire商用产品 md5sum/md5 查看文件的时间戳和所在路径 查看文件的版权信息 检查隐藏在文件中的数据流 Lads工具(http://www.heysoft.de/nt/lads.zip) 第一个采用ADS数据流的病毒W2K.Stream (河流3628) 感染病毒所在目录，改变原文件大小为3628字节 检查系统文件和启动项 检查启动目录 c:\Documents and Settings\All Users\「开始」菜单\程序\启动 c:\Documents and Settings\Administrator\「开始」菜单\程序\启动 c:\ Documents and Settings\其它用户\「开始」菜单\程序\启动 c:\Documents and Settings\Default User\「开始」菜单\程序\启动 检查配置文件 win.ini [windows]下面，“run=程序名” “load=程序名” system.ini文件中，在[boot]下面，“shell=文件名”。 正确的文件名应该是“explorer.exe” 检查注册表 检查注册表启动项 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce 检查Explorer启动项 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\