《信息安全技术基础》课件 7.2清除木马.pptx

第七单元病毒与木马

主要内容任务2清除木马

任务2清除木马小卫领导的电脑速度变得越来越慢，打开任务管理器发现有很多看不懂的进程，领导想要小卫帮他看看是不是这些进程在作怪。小卫查看任务管理器的进程，确实存在一些可疑进程。他进一步查看系统当前对外网络连接的服务和端口，发现也有一些可疑对外连接，小卫初步判断该电脑已经中了木马，需要进行木马排查和清除。【任务情境】

任务2清除木马1、木马“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。它是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即控制端；另一个是服务端，即被控制端。植入被种者电脑的是服务端部分，而所谓的“黑客”正是利用控制端进入运行了服务端的电脑。运行了木马程序的服务端以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统，安全和个人隐私也就全无保障了。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置等。【知识准备】

任务2清除木马2、木马特征和原理一个完整的木马套装程序含了两部分：服务端和客户端。植入对方电脑的是服务端，而黑客正是利用客户端进入运行了服务端的电脑。运行了木马程序的服务端以后，会产生一个有着容易迷惑用户的名称的进程，暗中打开端口，向指定地点发送数据（如网络游戏的密码，即时通信软件密码和用户上网密码等），黑客甚至可以利用这些打开的端口进入电脑系统。木马程序不能自动操作，一个木马程序是包含或者安装一个存心不良的程序的，它可能看起来是有用或者有趣（或者至少无害）对一不怀疑的用户来说，但是实际上有害当它被运行。木马不会自动运行，它是暗含在某些用户感兴趣的文档中，用户下载时附带的。当用户运行文档程序时，木马才会运行，信息或文档才会被破坏和遗失。木马和后门不一样，后门指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设置的。【知识准备】

任务2清除木马木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的，运行时很难阻止它的行动，运行后，立刻自动登录在系统引导区，之后每次在Windows加载时自动运行，或立刻自动变更文件名，甚至隐形，或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作。【知识准备】

任务2清除木马3、木马的伪装方式鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的。? 修改图标当你在邮件的附件中看到这个图标时，是否会认为这是个文本文件呢?但是我得告诉你,这也有可能是个木马程序，已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标，这有相当大的迷惑性，但是提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆，疑神疑鬼的。? 捆绑文件这种伪装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件（即EXE,COM一类的文件）。【知识准备】

任务2清除木马? 出错显示有一定木马知识的人都知道，如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者也意识到了这个缺陷，所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框（这当然是假的），错误内容可自由定义，大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。? 定制端口很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以很多新式的木马都加入了定制端口的功能，控制端用户可以在1024---65535之间任选一个端口作为木马端口（一般不选1024以下的端口），这样就给判断所感染木马类型带来了麻烦。【知识准备】

任务2清除木马? 自我销毁这项功能是为了弥补木马的一个缺陷。我们知道当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中（C:\Windows或者C:\Windows\system32目录下），一般来说原木马文件和系统文件夹中的木马文件的大小是一样