计算机木马病毒介绍专家讲座.pptxVIP

第五章计算机木马病毒介绍计算机木马病毒介绍专家讲座第1页

木马病毒基础木马病毒定义3000多年前特洛伊王国及古希腊战争把战场上巨大木马带回自己王国而带来沦陷在Internet网络上下载应用程序或游戏中,包含了能够控制用户计算机系统程序,它们让被害计算机对着未知入侵敞开了大门,使得受害系统和数据暴露在混乱网络世界里,计算机木马病毒介绍专家讲座第2页

木马病毒工作原理计算机木马定义:能潜伏在受害者计算机里,而且秘密开放一个甚至多个数据传输通道远程控制程序客户端(控制端)和服务器端木马植入计算机过程入侵者必须经过各种伎俩把服务器端程序传送给受害者运行,才能到达木马传输目标当服务器端被受害者计算机执行时,便将自己复制到系统目录,并把运行代码加入系统开启时会自动调用区域里,借以到达跟随系统开启而运行,这一区域通常称为开启项.当木马完成这部分操作后,便进入潜伏期__偷偷开放系统端口,等候入侵者连接.木马入侵主要路径邮件附件、下载软件，以一定提醒有意误导被攻击者打开执行文件，文件很小几K到几十K木马能够经过ScriptActiveXAsp.CGI交互脚本方式植入（漏洞）客户端与服务器成功运行后，在通信协议上大多采取TCP/IP少数使用UDP协议进行通讯当服务端在被感染机器上运行以后，它首先尽可能把自己隐藏在计算机某个角落里面，以防被用户发觉，同时监听某个特定端口，等候客户与其取得连接，另外为了下次重启计算机时依然能正常工作，木马程序普通会经过修改注册表或者其它方法让自己成为自开启程序计算机木马病毒介绍专家讲座第3页

特洛伊木马含有特征包含在正常程序中，当用户执行正常程序时，开启本身，在用户难以觉察情况下，完成一些危害用户操作，含有隐蔽性。木马执行远程序控制及正常远程控制程序差异 不产生图标木马在你系统开启时会自动运行，但它不会在“任务栏”中产生一个图际木马程序自动在任务管理器中隐藏，并以“系统服务”方式坑骗操作系统含有自动运行性在系统开启时即跟伴随开启，所以必须潜入在你开启配置文件中如win.inisystem.iniwinstart.bat及开启组等文件中包含含有未公开而且可能产生危险后果功效程序具备自动恢复功效现在很多木马程序中功效模块不再由单一文件组成，而是含有多重备份，能够相互恢复能自动打开尤其端口功效特殊性除普通文件操作以外，有此木马含有搜索cache中口令、设置口令、扫描目标机器IP地址、进行键盘统计、远程注册表操作以及锁定鼠标功效计算机木马病毒介绍专家讲座第4页

木马病毒判断当你浏览一个网络，弹出一些广告窗口是很正常事情，可是假如你根本没有打开浏览器，而浏览器突然自己打开，而且进入某个网站系统配置老是自动被更改，比如屏保显示文字，时间和日期，声音大小，还有CDROM自动运行配置硬盘老没缘由读盘，软驱灯经常自己亮起，网络连接及鼠标屏幕出现异常现象Netstat—a经过端口扫描方法也可能发觉一些弱智木马，软件来检验系统进程来发觉木马计算机木马病毒介绍专家讲座第5页

用基本命令检验电脑是否中了木马检测网络连接Netstat–an禁用不明服务Netstartnetstopserver轻松检验账户Netusernetuset+用户名计算机木马病毒介绍专家讲座第6页

木马开启方式木马开启方式概述:自开启功效是优异木马确保木马不会因为你一次关机操作而彻底失去作用木马编程人员不停地研究和探索新自开启技术,并时常有新发觉如:木马加入到用户经常执行程序(explorer.exe)中,用户执行该程序时,则木马自动发生作用,如:windows系统文件和注册表计算机木马病毒介绍专家讲座第7页

木马开启方式1在win.ini中开启(load=run=原为空木马可改写如load=c:\windows\file.exe)2在system.ini中开启(boot字段shell=Explorer.exe386Enh字段driver=路径\程序名micdriversdrivers32)3利用注册表加载运行(1、自己不熟悉自动开启文件扩展名为EXE2、伪装蒙混过关3、找到木马程序文件名，再在整个注册表中搜索即可)4在Autoexec.bat和Config.sys中加载运行（控制端用户与服务端建立连接后，将已添加木马开启命令同名文件上传到服务端覆盖这两个文件才行，不多见，）5在winstart.bat中开启（自动被windows加载运行文件。多数情况下为应用程序及windows自动生成）6开启组（开启组对应文件夹c:\windows\startmenu\programs\startup）计算机木马病毒介绍专家讲座第8页

木马开启方式7*.INI（即应用程序开启配置文件，控制端利用这些文件能开启程序