铜仁学院网络协会计算机安全基础讲座课件.ppt

铜仁学院计算机网络协会讲座 主讲人 刘洲2010 12 10 木马的原理 1 什么是木马 严格说来 木马不是病毒 木马与病毒 蠕虫 后门程序并列从属于恶意程序范畴 2 木马与病毒区别 计算机病毒具有如下几个特征 感染性 隐藏性 潜伏性 可触发性 衍生性 破坏性 病毒是最早出现的计算机恶意程序 木马的原理 3 木马的特征 木马并不具有感染性 木马并不会使那些正常的文件变成木马 但病毒可以感染正常文件使其成为病毒或者病毒传播的介质 木马不具有隐藏性和潜伏性 木马程序都是我们看得到的 并没有把自己隐藏起来 也不像病毒那样通过系统中断或者其他的一些什么机制来定期发作 木马只是伪装成一个你想要使用的正常程序 甚至具有正常程序的一切功能 当你使用这些正常的功能的同时 木马的行为也就同时发作了 木马没有破坏性 纯粹的木马旨在盗取用户资料 取得用户的信息 并不会破坏用户的系统 木马的原理 4 木马 病毒 蠕虫 后门都是些什么 木马是以盗取用户资料为目的的恶意程序 病毒是以破坏用户计算机为目的的恶意程序 蠕虫是潜伏在用户电脑内一直没有发作的恶意程序 后门是由于软件开发者有意或者无意造成的软件漏洞 木马的原理 从上面几点就能很清楚的看出木马和病毒的区别了蠕虫不感染 不隐藏 不破坏计算机 它是通过阻塞网络或者恶意侵占用户资源来造成系统运行的不稳定甚至崩溃后门程序则本身是正常程序 或出于某种恶意的设计或出于疏忽大意 这些正常程序中留有可能被利用来破坏计算机的漏洞 就成为了后门程序 木马的原理 虽说木马和病毒有区别 不过这些区别只是理论定义上的 木马制造者不会因为定义上说木马不破坏计算机 他就不制造破坏计算机的木马 而且事实上现在确实有这种木马了 这种木马其实是木马和病毒的混合体 同样的 也有蠕虫与病毒的混合体 还有后门 木马 病毒形成一个自动下载发作的程序链协同作战的 所以这些区别仅仅做个了解即可 他们之间的界限正在慢慢模糊 同时 在日常生活中 为了称呼方便 又把木马和病毒 蠕虫等统称为病毒 木马的原理 5 木马的构成在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明 因为下面有很多地方会提到这些内容 一个完整的木马系统由硬件部分 软件部分和具体连接部分组成 木马的原理 1 硬件部分 建立木马连接所必须的硬件实体 包括 控制端 对服务端进行远程控制的一方 服务端 被控制端远程控制的一方 INTERNET 控制端对服务端进行远程控制 数据传输的网络载体 木马的原理 2 软件部分 实现远程控制所必须的软件程序 包括 控制端程序 控制端用以远程控制服务端的程序 木马程序 潜入服务端内部 获取其操作权限的程序 木马配置程序 设置木马程序的端口号 触发条件 木马名称等 使其在服务端藏得更隐蔽的程序 木马原理 3 具体连接部分 通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素 包括 控制端IP 服务端IP 即控制端 服务端的网络地址 也是木马进行数据传输的目的地 控制端端口 木马端口 即控制端 服务端的数据入口 通过这个入口 数据可直达控制端程序或木马程序 木马的原理 6 木马的攻击步骤 用木马这种黑客工具进行网络入侵 从过程上看大致可分为六步 下面我们就按这六步来详细阐述木马的攻击原理 1 配置木马 一般来说一个设计成熟的木马都有木马配置程序 从具体的配置内容看 主要是为了实现以下两方面功能 木马伪装 木马配置程序为了在服务端尽可能好的隐藏木马 会采用多种伪装手段 如修改图标 捆绑文件 定制端口 自我销毁等等 信息反馈 木马配置程序将就信息反馈的方式或地址进行设置 如设置信息反馈的邮件地址 IRC号 ICQ号等 木马的原理 2 传播木马 传播方式木马的传播方式主要有两种 一种是通过E MAIL 控制端将木马程序以附件的形式夹在邮件中发送出去 收信人只要打开附件系统就会感染木马 另一种是软件下载 一些非正规的网站以提供软件下载为名义 将木马捆绑在软件安装程序上 下载后 只要一运行这些程序 木马就会自动安装 伪装方式鉴于木马的危害性 很多人对木马知识还是有一定了解的 这对木马的传播起了一定的抑制作用 这是木马设计者所不愿见到的 因此他们开发了多种功能来伪装木马 以达到降低用户警觉 欺骗用户的目的 一般来说有以下几种 木马的原理 修改图标 也许你会在E MAIL的附件中看到一个很平常的文本图标 但是我不得不告诉你 这也有可能是个木马程序 现在已经有木马可以将木马服务端程序的图标改成HTML TXT ZIP甚至文件夹等各种文件的图标 这有相当大的迷惑性 但是这种伪装也不是无懈可击的 所以不必整天提心吊胆 疑神疑鬼的 捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上 当安装程序运行时 木马在用户毫无察觉的情况下 偷偷的进入了系统 至于被捆绑的文件一般是可执行文件 即EXE COM一类的文件 出错显示 有一定木马知识的人都知道 如果打开一个文件 没有任何反应 这很可能就是个木马程序 木马的设计者也意识到了这个缺陷 所以已经有木马提供了一个叫做出错显示的功能 当服务端用户打开木马程序时 会弹出一个错误提示框 这当然是假的 错误内容可自由定义 大多会定制成一些诸如 文件已破坏 无法打开的 之类的信息 当服务端用户信以为真时 木马却悄悄侵入了系统 木马的原理 定制端口很多老式的木马端口都是固定的 这给判断是否感染了木马带来了方便 只要查一下特定的端口就知道感染了什么木马 所以现在很多新式的木马都加入了定制端口的功能 控制端用户可以在1024 65535之间任选一个端口作为木马端口 这样就给判断所感染木马类型带来了麻烦 自我销毁这项功能是为了弥补木马的一个缺陷 当服务端用户打开含有木马的文件后 木马会将自己拷贝到WINDOWS的系统文件目录下 那么中了木马的朋友只要在近来收到的信件和下载的软件中找到原木马文件 然后根据原木马的大小去系统文件夹找相同大小的文件 判断一下哪个是木马就行了 而木马的自我销毁功能是指安装完木马后 原木马文件将自动销毁 这样用户就很难找到木马的来源 在没有查杀木马的工具帮助下 就很难删除木马了 木马更名 安装到系统文件夹中的木马的文件名一般是固定的 那么只要根据一些查杀木马的文章 按图索骥在系统文件夹查找特定的文件 就可以断定中了什么木马 所以现在有很多木马都允许控制端用户自由定制安装后的木马文件名 这样很难判断所感染的木马类型了 木马的原理 3 运行木马 服务端用户运行木马或捆绑木马的程序后 木马就会自动进行安装 首先将自身拷贝到WINDOWS的系统文件夹中 然后在注册表 启动组 非启动组中设置好木马的触发条件 这样木马的安装就完成了 安装后就可以启动木马了 4 激活木马 用户通过主动或被动方式达到木马运行条件 木马激活 5 盗取资料 木马激活以后 自动盗取用户相关资料 并发送到黑客指定地点 6 后续操作 黑客通过木马 远程操作用户计算机系统 以达到黑客想要的目的 木马的危害 可能有许多人认为中了木马没啥大不了的 反正我一不用网银 二不玩网游 甚至连QQ上也没啥值钱的东西 它木马来就来呗 其实 这种观点是错误的 即使你的电脑上啥都没有 但黑客可以盗取你的QQ行使诈骗 如向你的好友发消息借钱等 甚至用你的电脑作为跳板 入侵其他网站及用户等 如果你的电脑有网银 网游等 一旦你的电脑被木马入侵 那么恭喜你 你不愁钱用不出去了 如何预防木马入侵 既然木马危害大 技术含量高 那我们怎么预防木马入侵呢 最简单的预防方式就是一款杀毒软件了 可是 现在这么多杀毒软件 又该怎么选呢 是不是我多安装几个杀毒软件就安全了呢 是不是国外软件技术相对发达 国内的就不行呢 杀毒软件的选择 选择杀毒软件的标准 病毒库做为一款杀毒软件 首先是能杀毒 决定一款杀软能杀多少毒要看它的病毒库 病毒库的设计有两种思路 一种是全病毒库 从计算机上出现的第一个病毒到最新的一个病毒 这样的病毒库对查毒的数量有很大的帮助 但对引擎要求相当高 目前全病毒库的杀毒软件有卡巴斯基 比特范德等等 另一种是抽拉式病毒库 设计思路是全病毒库太大 一些老的病毒可能不会再出现 所以有一些厂商把病毒库记录数限制在固定一个范围 新的加进来 老的除去 优点是病毒库小 扫描速度快 但对病毒采集部门的技术实力要求很高 目前抽拉式病毒库的软件有麦咖啡等等 另外较为重要的一点是 病毒的清除方法也是存在病毒库中的 一个软件能否杀的了毒 与病毒清除方法的记录数也有关 杀毒软件的选择 杀毒引擎杀毒软件工作的时候是拿被扫描文件去比对病毒库中所有的记录 所以引擎就像发动机 它的好坏直接影响杀毒软件的使用效率 目前引擎排名靠前的有麦咖啡的索罗门引擎 卡巴斯基的引擎 以及nod32的引擎 一些知名的杀毒软件的引擎都提供免费版本以供技术交流 如 可牛杀毒就是用的是卡巴斯基的引擎 360杀毒也是用的国外杀毒软件比特范德的引擎 另外病毒清除能力也是一个衡量标准 引擎的健壮与否决定毒能不能清除掉 防御能力杀毒之后就是防毒 防御能力就是指杀毒软件能否抵抗已知或者未知病毒的入侵 这是衡量杀软好坏一个的标准 杀毒软件的选择 新病毒反应速度就像先有禽流感后有感冒药一样 杀毒软件永远在病毒诞生之后才能查杀它 衡量一个杀软很重要的一点就是对新病毒的反应速度 在软件上体现就是更新速度 以及提交病毒可疑文件的反馈速度 目前 最快的是卡巴斯基 大家可以提交可疑文件给卡巴的技术 看他的回信时间 界面的友好程度 杀软毕竟是软件 交由人来操作 界面是否友好决定了用户能否有效的使用它来清楚病毒 目前大多杀软都是左侧竖排标签 一个界面可以操作所以功能 软件的兼融性杀毒软件要装在复杂的环境之中 它对各个版本的操作系统以及知名软件的兼融性也相当重要 从一个杀软支持的操作系统版本的数量也可以看出杀软的优差 如果一个杀毒软件动不动就和其他软件冲突 这种以牺牲用户使用为代价的杀软还不如不用 杀毒软件的选择 与用户使用目的相适应比如某人的电脑主要做程序开发 但他开发出来的程序老是被杀毒软件当做病毒杀掉 那他的这款杀毒软件就无法正常为他的学习服务 对他来说 这款杀毒就不好 再比如 某同学喜欢看电影 但他的杀毒软件总是弹出窗口提示 这就妨碍他的娱乐 那对他而言 这款杀毒软件也不好 更新的更新速度 夸张一点地说 现在的互联网 每一秒钟都有新病毒产生 病毒库得更新是否及时 关系到能否及时查杀新病毒 如果一个杀毒软件的病毒库7天没有更新一次的话 这个杀毒软件就不建议使用了 以上八点可作选择杀毒软件的参考 纯属个人观点 不代表行业规定 杀毒软件的几个误区 1 杀毒软件并非越多越好 总所周知 任何一款杀毒都对软件的行为有一个监控 如果同时装了多款杀毒软件 势必会对杀毒软件的监控效果产生影响 不利于对病毒的查杀 甚至会出现 杀毒软件在查杀病毒之前就被另一个杀毒软件杀了 2 并不是所有国外杀毒软件都比国产好 国外杀毒软件是针对国外的网络环境编写的 它的病毒库也是为国外的病毒而设 如果一个杀毒软件没有针对国内情况作改进处理 那么也不推荐使用该杀毒软件 3 没有哪一款杀毒软件绝对的好或者绝对不好 适合自己的就好 不适合自己的就不好 4 杀毒软件并非万能 装了杀毒软件照样可能中毒 但是不装杀毒软件绝对中毒 如何判断自己有没有中木马 判断自己有没有中木马的方法很多 比如看进程 看端口等等但对大家来说 这种技术含量较高 这里介绍一种比较简单的办法 桌面莫名奇妙多了很多图标 并且删不掉在没有进行复制 粘贴 下载等操作情况下 硬盘灯不停地闪烁 鼠标指针不听指挥地乱动 鼠标未坏 电脑突然变得很卡 容易死机 在没有进行下载或上传时 右下角网络连接的小电脑狂闪 如果有上述现象之一出现 你就要小心了 如果有三者以上同时出现 恭喜你 你迎来了木马的光临 当然 中毒后也不要慌 及时查杀即可 至于如何查杀 请自行查阅相关资料 如何优化自己的电脑 网上关于电脑优化的软件和资料很多 内容涉及方方面面 这里给大家介绍一种非常简单但很有效的方法 在此之前 向大家推荐一款免费软件360安全卫士 安装完成后 会在桌面生成一个图标双击图标 即可运行该软件 如何优化自己的电脑 360主界面 点击 如何优化自己的电脑 如果体检完成后出现下面的情况或者请点击一键修复进行修复 如何优化自己的电脑 如果出现下面的情况 请根据具体实际 升级应用软件 如何优化自己的电脑 如果是下面的画面 就表示你的电脑没有问题 请继续保持 如何优化自己的电脑 此外 我们还应该注意以下几点 软件的安装资料的存放软件的选择 如何优化自己的电脑 1 软件的安装双击我们下载下来的软件安装包 如何优化自己的电脑 在出现路径选择的时候 一般不建议将所有软件都装在C盘 也不建议看到哪个盘就是哪个盘 我们选择浏览 选择你确定的装软件的一个盘的装软件的目录 如何优化自己的电脑 如下图所示 假设d programfiles 为我们的软件安装文件夹 如何优化自己的电脑 在出现下面的内容时请注意 将开机自动运行XX推荐安装XXX软件等复选框前的勾取消 如何优化自己的电脑 2 资料的存放一般说来 相同类别的