项目5-计算机病毒与木马

1、网络安全技术项目化教程主编 段新华 宋风忠中国水利水电出版社项目5 计算机病毒与木马项目导读 日新月异的计算机病毒，就像幽灵一样伴随着计算机和网络的普及而四处游荡，并不断地通过各种手段袭击互联网上的每一台计算机，令人防不胜防。伴随着计算机技术的不断进步，计算机病毒也在不停的产生变化。早期的计算机病毒还主要依靠文件的拷贝来传递，但在互联网飞速发展的今天，计算机病毒找到了它的新媒介，新的病毒可以在短时间内通过网络迅速蔓延开来，往往因此造成巨大的损失。计算机病毒与木马的防护是保证网络安全运行的重要保障。教学目标掌握计算机病毒、木马的类别、结构和特点。掌握计算机病毒的检测与防范方法。掌握木马的清除方法

2、。掌握查毒软件的使用方法。任务1 认识计算机病毒与木马任务描述 随着互联网的日益流行，各种病毒木马也猖獗起来，几乎每天都有新的病毒产生，大肆传播破坏，给广大互联网用户造成了极大的危害，几乎到了令人谈毒色变的地步。各种病毒、蠕虫、木马纷至沓来，令人防不胜防。在此将从计算机病毒和木马的基本概念入手，使大家对其有充分的认识，达到防范于未然的目的。任务要求掌握计算机病毒的定义、分类和结构。掌握计算机病毒的特点。掌握木马的定义和分类。知识链接1计算机病毒的起源（1）科学幻想起源说。（2）恶作剧起源说。（3）游戏程序起源说。（4）软件制造商保护软件起源说。2病毒的特性（1）破坏性。（2）传染性。（3）潜伏

3、性。（4）隐蔽性。（5）可触发性。（6）加密性。（7）多态性。3计算机病毒的分类（1）按计算机病毒的寄生方式和传染途径分类。引导型病毒文件型病毒复合型病毒（2）按计算机病毒的连接方式分类。源码型病毒入侵型病毒操作系统型病毒外壳型病毒（3）按计算机病毒的破坏性分类。良性病毒恶性病毒4计算机病毒的表现（1）计算机经常性无缘无故地死机。（2）操作系统无法正常启动。（3）运行速度明显变慢。 （4）内存不足的错误。（5）硬盘无法启动，数据丢失。（6）系统文件丢失或被破坏。（7）文件目录发生混乱。（8）文档丢失或被破坏。（9）使部分可软件升级主板的BIOS程序混乱，主板被破坏。5木马的概念和分类 计算机领

4、域，特洛伊木马(Trojan)是指一段具有特殊功能的恶意代码，这些代码通常是隐藏在正常程序中的。这些恶意代码会入侵用户的计算机，然后窃取用户信息，破坏用户系统，或把用户计算机当做跳板实现Dos攻击或者隐藏自身的一种后门程序。常见的木马病毒可以分为以下八类：（1）破坏型。（2）密码盗取型。（3）远程访问型。（4）键盘记录木马。（5）DoS攻击木马。（6）FTP木马。（7）代理木马。（8）程序杀手木马。5木马的攻击技术（1）配置木马。（2）传播木马。（3）伪装木马（4）运行木马。任务2 宏病毒任务描述 宏病毒依附在正常的Word文件上，利用Word文件执行其内部宏命令代码的方式，在Word文件打开

5、或关闭时感染系统。宏病毒会造成文件的破坏，严重的会格式化硬盘。本次任务通过一个宏病毒的制作实例对其原理和运行机制进行分析。任务要求 掌握宏病毒的概念和传播方法。 掌握宏病毒的防范方法。知识链接1什么是宏 宏（macro)是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。Microsoft Word中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列word命令，它能使日常工作变得更容易”。2什么是宏病毒 宏病毒是一种寄存在文

6、档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏自动被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。3宏病毒的表现 以Word为例，一旦病毒宏侵入Word，它就会替代原有的正常宏，如FileOpen、FileSave、FileSaveAs和FilePrint等等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。当某项功能被调用时，相应的病毒宏就会纂夺控制权，实施病毒所定义的非法操作，包括传染操作、表现操作以及破坏操作等等。4宏病毒的识

7、别 （1）打开一个用户自己编写的文档时，系统会弹出相应的警告框。而用户清楚并没有在其中使用宏或并不知道宏到底怎么用，可以确定文档已经感染了宏病毒。（2）Office文档中一系列的文件都在打开时给出宏警告，然而一般情况下用户很少使用到宏，所以当看到很多的文档都有宏警告时，可以肯定这些文档中有宏病毒。（3）如果杀毒软件中关于宏病毒防护选项启用后，一旦发现机器中设置的宏病毒防护功能选项无法在两次启动Word之间保持有效，则系统已经感染了宏病毒，此时一系列Word模板，特别是Office目录下的normal.dot已经被感染。（4）宏病毒会对Word、Excel文档感染，造成无法正常打印、无法正常存储

8、及改变存储路径、无法编辑文档等异常行为。不要在软件给予提示的情况下为了查看文档而选择运行不明来历的宏。实现方法1宏病毒的制作2宏病毒的防范任务3 脚本和网页病毒任务描述 网页病毒就是网页中含有病毒脚本文件或JAVA小程序。当用户登录某些含有网页病毒的网站时，网页病毒就会被激活，对用户的计算机系统进行破坏。本次任务通过网页病毒的制作实例分析其运行机制，并对网页病毒进行防范和清除。任务要求 了解脚本和网页病毒的概念。 掌握网页病毒的特点和攻击方式。 掌握网页病毒的防范和清除方法。知识连接1什么是脚本 脚本（Script）是使用一种特定的描述性语言，依据一定的格式编写的可执行文件，又称作批处理文件。

9、脚本是批处理文件的延伸，是一种纯文本保存的程序。 脚本通常可以由应用程序临时调用并执行。各类脚本被广泛地应用于网页设计中，因为脚本不仅可以减小网页的规模和提高网页浏览速度，而且可以丰富网页的表现，如动画、声音等。2什么是网页病毒？ 网页病毒是利用网页来进行破坏的病毒，它使用一些Script语言编写的一些恶意代码利用浏览器的漏洞来实现病毒植入。当用户登录某些含有网页病毒的网站时，网页病毒便被悄悄激活，这些病毒一旦激活，可以利用系统的一些资源进行破坏。3网页病毒的特点及攻击方式 网页病毒使得各种非法恶意程序能够得以被自动执行，在于它完全不受用户的控制。用户一旦浏览含有病毒的网页，就会在不知不觉的情

10、况下马上中招，给系统带来不同程度的破坏。 网页病毒简单的说就是一个网页，但这个网页运行时所执行的操作不仅仅是下载后再读出，伴随着前者的操作背后，还有病毒程序的下载，或是木马的下载和执行，悄悄地修改的注册表等。4网页病毒的种类 （1）通过Java Script、Applet、ActiveX编辑的脚本程序修改IE浏览器。 （2）通过Java Script、Applet、ActiveX编辑的脚本程序修改用户操作系统。实现方法1脚本文件的执行2网页病毒的防范任务4 冰河木马任务描述 木马程序与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，而是通过将自身伪装吸引用户下载执行，向攻击者提供打

11、开被种木马者计算机的门户，使攻击者可以任意毁坏、窃取被种木马者的文件，甚至远程操控被种者的计算机。木马与计算机网络中常常要用到的远程控制软件有些相似，但远程控制软件是善意的控制，因此通常不具有隐蔽性，木马则完全相反，木马要达到的是偷窃性的远程控制。本次任务将详细说明冰河木马的配置和使用，并介绍植入冰河木马的计算机如何彻底清除木马。任务要求 了解木马的工作原理。 掌握冰河木马的配置和使用。 掌握冰河木马的卸载方法。知识链接1木马的工作原理 木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务器端，即被控制端。植入被种者计算机的是服务器端部分，而攻击者正是利用控制端进入运行了服务器端的计算机。运行了木马程序的服务器端以后，被种者的计算机就会有一个或几个端口被打开，使攻击者可以利用这些打开的端口进入计算机，安全和个人隐私也就全无保障。知识链接2木马的连接方式 第一代和第二代木马使用的是传统连接方式，即C/S方式，由肉鸡打开端口等待外部连接，当攻击者需要与肉鸡建立连接时，向肉鸡发送一个连接请求，从而建立连接。 第三代木马采用反弹端口技术，由肉鸡主动连接攻击者，攻击者打开端口，等待肉鸡主动连接。实现方法1冰河木马的使用2. 冰河木马的清除任务5 使用自解压文件携带木马任务描述 利用WinRAR捆绑木马是伪装隐藏木