实验5 木马相关.docVIP

PAGE PAGE 6 《计算机网络安全》实验讲稿 授课教师：许玉龙 适用于信息技术学院 实验5：木马相关 主 要 内 容 一、端口相关知识 二、木马相关知识 三、木马的预防和发现 四、木马源程序实例 重点 ：一定要把上课讲到，演示到的安全命令记住！！ 实验目的 （1） 熟悉常见端口和模块知识 （2） 熟悉常见的木马相关知识。 （3） 练习常见病毒木马识别方法。 （4） 熟悉木马运行机制。 实验步骤 （1） 首先讲解木马相关知识 （2） 然后讲解常见木马运行方法和机制 （3） 讲解常见木马病毒识别方法 （4）学生练习木马病毒运行 （5）学生了解病毒木马相关源程序。 计算机木马 计算机木马的产生 （1）、一些计算机爱好者出于好奇或兴趣，也有的是为了满足自己的表现欲。 （2）、产生于个别人的报复心理。 （3）、来源于软件加密。 （4）、产生于游戏。 （5）、用于研究或实验而设计的?°有用?±程序，由于某种原因失去控制而扩散出来。 （6）、由于政治、经济和军事等特殊目的，信息战的一种有效武器。 其它原因？ 病毒感染的途径 （1）、引进的计算机系统和软件中带有病毒。? （2）、各类出国人员带回的机器和软件染有病毒。? （3）、染有病毒的游戏软件。? （4）、非法拷贝中毒。? （5）、计算机生产、经营单位销售的机器和软件染有病毒。? （6）、维修部门交叉感染。? （7）、有人研制、改造病毒。? （8）、敌对分子以病毒为媒体或武器进行宣传和破坏。 （9）、通过互联网（访问web、下载email和文件等）传入的。 按照计算病毒的攻击类型分类： 特洛伊木马：使计算机潜伏执行非授权的远程管理/控制功能。--网页木马 Rootkit是一组被特洛伊化的系统应用程序 。攻击者使用rootkit中的相关程序替代系统原来的ps、ls、netstat和df等程序，使系统管理员无法通过这些工具发现自己的踪迹。 ?木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。 Trojan.QQ3344 ，Hack.Nether.Client ?后门病毒的前缀是：Backdoor 7、病毒种植程序病毒 　这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。 获取API函数地址 Win32 PE病毒和普通Win32 PE程序一样需要调用API函数，但是普通的Win32 PE程序里面有一个引入函数表，该函数表对应了代码段中所用到的api函数在动态连接库中的真实地址。这样，调用api函数时就可以通过该引入函数表找到相应api函数的真正执行地址。 但是，对于Win32 PE病毒来说，他只有一个代码段，他并不存在引入函数段。要获得API函数地址，我们首先需要获得Kernel32的基地址。 特洛伊木马 木马全称是“特洛伊木马(Trojan Horse)”，原指古希腊人把士兵藏在木马内进入敌方城市从而占领敌方城市的故事。在Internet上，木马指在可从网络上下载(Download)的应用程序或游戏中，包含了可以控制用户的计算机系统的程序，这些程序可能造成用户的系统被破坏，甚至瘫痪。 特洛伊木马，从本质上讲，是一种基于远程控制的工具，类似于远端管理软件，如PCAnywhere。与一般远程管理软件的区别是木马具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为防止木马被发现会采用多种手段隐藏木马。非授权性是指一旦控制端与服务端建立连接后，控制端将窃取用户密码，以及获取大部分操作权限，如修改文件、修改注册表、重启或关闭服务端操作系统、断开网络连接、控制服务端的鼠标及键盘、监视服务器端桌面操作、查看服务器端进程等，这些权限并不是用户赋予的，而是通过木马程序窃取的。 木马的功能 （1）窃取数据 （2）接受非授权操作者的指令 （3）篡改文件和数据 （4）删除文件和数据 （5）施放病毒 （6）使系统自毁 木马的基本原理 木马系统软件一般由木马配置程序、控制端程序和木马程序(服务器程序)等三部分组成。 木马程序，也称服务器程序，它驻留在受害者的系统中，非法获取其操作权限，负责接收控制端指令，并根据指令或配置发送数据给控制端。 木马配置程序设置木马程序的端口号、触发条件、木马名称等，使其在服务端藏得更隐蔽，有时该配置功能被集成在控制端程序菜单内，不单独作为一个程序。 控制端程序控制远程服务器，有些程序集成了木马配置的功能。 木马的自启动 1) 注册表启动键HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVerion下以Run开头的子键进行设置，如run和runservices子键。 HKEY-LOCAL-M