计算机病毒及恶意代码

第五章计算机病毒及恶意代码

本章学习重点掌握内容:

曲传统病毒原理

-脚本病毒原理

-网络蠕虫原理

田木马技术

曲网络钓鱼技术

-僵尸网络

-流氓软件

1

第五章计算机病毒及恶意代码

5.1计算机病毒彳既述

5.2传统的计算机病毒

5.3脚本病毒

5.4网络蠕虫

5.5木马技术

5.6网络钓鱼

57僵尸网络

5.8流氓软件

5.9浏览器劫持

2

5.工计算机病毒概述

5.1.1计算机病毒的定义

有计算机病毒，是指编制或者在计算机程序中插

入的破坏计算机功能或者毁坏数据，影响计算

机使用，并能自我复制的一组计算机指令或者

程序代码。

3

5.L2计算机病毒发展历史

计算机病毒的计算机病毒伴随计算机、网络信息技术的快速发展而日趋复

杂多变，其破坏性和传播能力也不断增强。计算机病毒发展主要经历了五个

重要的阶段。

(1)原始病毒阶段(第一阶段)

s攻击目标和破坏性比较单一。病毒程序不具有自我保护功能，较容易被人们分析、识别

和清除。

(2)混合型病毒阶段(第二阶段)

91989-1991,随着计算机局域网的应用与普及，给计算机病毒带来了第一次流行高峰。

主要特点：攻击目标趋于综合，以更隐蔽的方法驻留在内在和传染目标中，系统感染病

毒后没有明显的特征，病毒程序具有自我保护功能，出现众多病毒的变种

(3)多态性病毒阶段(第三阶段)

s在每次传染目标时，放入宿主程序中的病毒程序大部分是可变的。防病毒软件难以查杀,

如94年"幽灵"病毒。

(4)网络病毒阶段(第四阶段)

9随国际互联网广泛发展，依赖互联网传播的邮件病毒和宏病毒等泛滥，呈现出病毒传播

快、隐蔽性强、破坏性大特点。

基于Windows运行环境的病毒，随着微软Office软件的普及，出现了宏病毒，各种脚

本病毒也日益增多著名病毒如CIH病毒等

(5)主动攻击型病毒阶段(第五阶段)

9典型代表：冲击波、震荡波病毒和木马等。

4

5.L2计算机病毒发展历史

计算机病毒的产生原因

-计算机病毒的产生原因主要有4个方面:

1)恶作剧型

2)报复心理型

3)版权保护型

4)特殊目的型

5

5.1.3计算机病毒的命名方式

病毒的命名并无统一的规定，基本都是采

用前后缀法来进行命名。

曲一般格式为：［前缀］.［病毒名］.［后缀］。

♦以振荡波蠕虫病毒的变种c"Worm,Sasser,c”为

例，Worm指病毒的种类为蠕虫，Sasser是病毒

名，c指该病毒的变种。

(1)病毒前缀

(2)病毒名

(3)病毒后缀

6

5.1.4计算机病毒的分类(工)

1.以病毒攻击的操作系统分类

(1)攻击DOS系统的病毒

(2)攻击Windows系统的病毒

-用户使用多，主要的攻击对象

(3)攻击UNIX系统的病毒

(4)攻击OS/2系统的病毒

(5)攻击NetWare系统的病毒

2.以病毒的攻击机型分类

(1)攻击微型计算机的病毒

(2)攻击小型机的计算机病毒

(3)攻击服务器的计算机病毒

7

&5.1.4计算机病毒的分类(2)

3rl安照计算机病毒的链接方式分类

(1)源码型病毒

(2)嵌入型病毒

＜将计算机病毒的主体程序与其攻击对象以插入方式进行链接,

一旦进入程序中就难以清除。

(3)外壳型病毒

9将自身包围在合法的主程序的周围，对原来的程序并不作任

何修改。常见、易于编写、易发现。

(4)操作系统型病毒

4.按照计昇机病毒的破坏能力分类

-根据病毒破坏的能力可划分为4种：

(1)无害型

(2)无危险型

(3)危险型

(4)非常危险型

8

5.1.4计算机病毒的分类(3)

5.按照传播媒介不同分类

(1)单机病毒

(2)网络病毒

6.按传播方式不同分类

(工)引导型病毒

(2)文件型病毒：.com.exe

(3)混合型病毒

7.根据病毒特有的算法不同分类

(1)伴随型病毒

(2)“蠕虫”型病毒

(3)寄生型病毒

(4)练习型病毒

(5)诡秘型病毒

(6)变型病毒(又称幽灵病毒)

9

5.1.4计算机病毒的分类(4)

8.按照病毒的寄生部位或传染对象分类

(1)磁盘引导区传染的计算机病毒

(2)操作系统传染的计算机病毒

(3)可执行程序传染的计算机病毒

斤以上三种病毒的分类，实际上可以归纳为两

大类：

-一类是引导区型传染的计算机病毒；

-另一类是可执行文件型传染的计算机病毒。

10

5.1.5计算机病毒特征

根据对计算机病毒的产生、传播和破坏行为的分析，可

以修计算机病毒概括为以下6个主要特点。

1.传染性

《指病毒具有把自身复制到其它程序中的特性

2.取得系统控制权

3.隐蔽性

-隐蔽性。通过隐蔽技术使宿主程序的大小没有改变，以至于很难被

发现。

4.破坏性

-破坏性计算机所有资源包括硬件资源和软件资源，软件所能接触的

地方均可能受到计算机病毒的破坏

5.潜伏性

力潜伏性长期隐藏在系统中，只有在满足特定条件时，才启动其破坏

模块。

6.不可预见性

11

5.1.5计算机病毒特征

网络病毒又增加很多新的特点

它主动通过网络和邮件系统传播

年计算机的病毒种类呈爆炸式增长

利变种多，容易编写，并且很容易被修改，生成

很多病毒变种

句融合多种网络技术，并被黑客所使用

12

金5.L6病毒的组成结构与传播

＞计算机病毒的组成结构

计算机病毒的种类很多，但通过分析现有的计

算机病毒，发现几乎所有的计算机病毒都是由

3个部分组成即：

-引导模块

♦传播模块

9表现模块

13

5.L6病毒的组成结构与传播

病毒传播可分为两种方式：

(1)用户在进行复制磁盘或文件时，把病毒由

一个载体复制到另一个载体上，或者通过网络

把一'个病毒程序从一'方传递到另一'方,这种传

播方式叫做计算机病毒的被动传播；

(2)计算机病毒以计算机系统的运行以及病毒

程序处于激活状态为先决条件，在病毒处于激

活状态下，只要传播条件满足，病毒程序能主

动把病毒自身传播给另一个载体或另一个系统，

这种传播方式叫做计算机病毒的主动传播。

14

金5.L6病毒的组成结构与传播

＞计算机病毒的传播途径:

(1)通过不可移动的计算机硬件设备进行传播,

即利用专用ASIC芯片和硬盘进行传播；

(2)通过移动存储设备来传播，其中U盘和移

动硬盘是使用最广泛、移动最频繁的存储介质;

(3)通过计算机网络进行传播；

(4)通过点对点通信系统和无线通道传播。

15

5.1.7计算机中毒的异常表现

1.计算机病毒发作前的表现

(1)平时运行正常的计算机突然经常性无缘无故地死机

(2)操作系统无法正常启动

(3)运行速度明显变慢

(4)正常运行的软件经常发生内存不足问题

(5)打印和通讯出现异常

(6)无意中要求对U盘进行写操作

(7)以往正常运行的应用程序经常发生死机或者非法错误

(8)系统文件的时间、日期、大小发生变化

(9)无法另存为一个Word文档

(10)磁盘空间迅速减少

(11)网络驱动器卷或共享目录无法调用。

(12)基本内存发生变化。

(13)陌生人发来的电子邮件

(14)自动链接到一些陌生的网站

16

5.1.7计算机中毒的异常表现

2.计算机病毒发作时的现象

(1)提示不相关对话

(2)发出音乐

(3)产生特定的图象

(4)硬盘灯不断闪烁

(5)进行游戏算法

(6)Windows桌面图标发生变化

(7)突然死机或重启

(8)自动发送电子邮件

(9)鼠标自己在动

17

5.1.7计算机中毒的异常表现

3.计算机病毒发作后的表现

(1)硬盘无法启动，数据丢失

(2)系统文件丢失或被破坏

(3)文件目录发生混乱

(4)部分文档丢失或被破坏

(5)部分文档自动加密码

(6)修改Autoexecbat文件，导致计算机重

新启动时格式化硬盘

(7)使部分可软件升级主板的BIOS程序混乱,

主板被破坏

(8)网络瘫痪，无法提供正常的服务

18

5.2传统的计算机病毒

5.2.1计算机病毒的基本机制

，分为三大模块：传染机制、破坏机制、触发机

制。

《计算机病毒的传染机制

指计算机病毒由一个宿主传播到另一个宿主程序，

由一个系统进入另一个系统的过程。

6触发机制

计算机病毒在传染和发作之前，要判断某些特定条

件是否满足，这个条件就是计算机病毒的触发条件。

9破坏机制

良性病毒表现为占用内存或硬盘资源。恶性病毒则

会对目标主机系统或信息产生严重破坏。

19

5.2.2病毒分析

Windows环境下,主要病毒有文件型病毒、

引导性病毒和宏病毒等

句文件型病毒

文件型病毒主要感染可执行文件，Windows环境

下主要为,EXE文件，为PE格式文件

«PE是Win32环境自身所带的执行体文件格式。

20

5.2.2病毒分析

当运行一个PE可执行文件时

当PE文件被执行，PE装载器检查DOSMZheader

里的PEheader偏移量。如果找到，则跳转到PE

header。

PE装载器检查PEheader的有效性。如果有效，就

另先转至|PEheader的尾部。

•紧跟PEheader的是节表。PE装载器读取其中的节

信息，并采用文件映射方法将这些节映射到内存，

同时附上节表里指定的节属性。

■PE文件映射入内存后，PE装载器将处理PE文件中类

似importtable（引入表）逻辑部分。

5.2.2病毒分析

感染PE文件，必须满足两个基本条件：

夕是能够在宿主程序中被调用，获得运行权限；主要采

用重定位的方法，改PE文件在系统运行PE文件时，

病毒代码可以获取控制权，在执行完感染或破坏代码

后，再将控制权转移给正常的程序代码。方法有：

《可以修改文件头中代码开始执行位置

(AddressOfEntryPoint)

-在PE文件中添加一个新节

句病毒进行各种操作时需调用API函数，有两种解决方

案。

9在感染PE文件的时候，可以搜索宿主的引入函数节的相关地

址。

g解析导出函数节，尤其是Kernel32.DLL

22

5.2.2病毒分析

宏病毒

沪就是使用宏语言编写的程序，可以在一些数

据处理系统中运行，存在于字处理文档、数

据表格、数据库、演示文档等数据文件中

感染过程

尹改写Word宏

改写文档自动执行宏，如AutoOpen、FileSave

FilePrint等等

23

5.2.2病毒分析

句转换成文档模板的宏

小当宏病毒获得运行权限之后，把

所关联的宿主文档转换成模板格

WordExcel

式，然后把所有宏病毒复制到该

AutoOpenAutoOpen

模板之中AutoCloseAuto_Close

-感染其它Word文档AutoExec

AutoExit

♦当其它的Word文件打开时，由AutoNew

于自动调用该模板因而会自动运AutoActivate

行宏病毒AutoDeactiva

te

24

5.2.2病毒分析

宏病毒具有如下特点

-传播快

,Word文档是交流最广的文件类型。人们大多对外

来的文档文件基本是直接浏览使用，这给Word宏

病毒传播带来很多便利。

-制作、变种方便

♦Word使用宏语言WordBasic来编写宏指令。用

户很方便就可以看到这种宏病毒的全部面目。把

宏病毒稍微加以改变，立即就生产出了一种新的

宏病毒.

曹破坏性大

25

5.2.3传统计算机病毒防御

文件型病毒一般采用以下一些方法

b安装最新版本、有实时监控文件系统功能的防

病毒软件。

育及时更新病毒引擎，最好每周更新一次，并在

有病毒突发事件时立即更新。

-经常使用防毒软件对系统进行病毒检查。

年对关键文件，如系统文件、重要数据等，在无

毒环境下备份。

在不影响系统正常工作的情况下对系统文件设

置最低的访问权限。

26

5.2.3传统计算机病毒防御

宏病毒的预防与清除

曲找到一个无毒的Normal.dot文件的备份，将

位于uMSOffice'Template”文件夹下的通

用模板Normal.dot文件替换掉；

它对于已染病毒的文件，先打开一个无毒Word

文件，按照以下菜单打开对话框：

小工具，宏。安全性，设置安全性为高

27

5.3脚本病毒

5.3.1脚本病毒概述

背脚本病毒依赖一种特殊的脚本语言（如：VBScript.

JavaScript等）起作用，同时需要应用环境能够正确

识别和翻译这种脚本语言中嵌套的命令，脚本病毒可

以在多个产品环境中进行。

＞脚本病毒具有如下特征

，编写简单

9由于脚本的简单性，使以前对病毒不了解的人都可以在很短

的时间里编出一个新型病毒。

-病毒源码容易被获取、变种多

9其源代码可读性非常强

28

5.3.1脚本病毒概述

感染力强。

小采用脚本高级语言可以实现多种复杂操作，感染其它文件或

直接自动运行。

破坏力强

小脚本病毒可以寄生于HTML或邮件通过网络传播，其传播速

度非常快。脚本病毒不但能够攻击被感染的主机，获取敏感

信息，删除关键文件；更可以攻击网络或者服务器，造成拒

绝服务攻击，产生严重破坏。

传播范围广

＜这类病毒通过HTML文档，Ema”附件或其它方式，可以在很

短时间内传遍世界各地。

采用多种欺骗手段

9脚本病毒为了得到运行机会，往往会采用各种让用户不大注

意的手段，

29

5.3,2脚本病毒原理

脚本病毒的传播分析

-脚本病毒一般是直接通过自我复制来感染文

件的，病毒中的绝大部分代码都可以直接附加

在其它同类程序中间：

脚本病毒通过网络传播的几种方式

年通过电子邮件传播

底通过局域网共享传播

句感染HTML、ASP、JSP、PHP等网页通过浏

览器传播

曾通过U盘自动运行传播

句其它的传播方式

30

5.3,2脚本病毒原理

脚本病毒的获得控制权的方法分析

廿修改注册表项修改自动加载项

年通过映射文件执行方式

叱欺骗用户，让用户自己执行

-desktop.ini和folder.htt互相配合

〈如果用户的目录中含有这两个文件，当用户进入该

目录时，就会触发folder.htt中的病毒代码。

年直接复制和调用可执行文件

31

5,3,3脚本病毒防御

脚本病毒要求被感染系统具有如下支持能

力：

eVBScript代码是通过WindowsScriptHost

来解释执行的,wscript.exe就是该务能的相

关支持程序。

e绝大部分VBS脚本病毒运行的时候需要对象

FileSystemObject^支持。

廿通过网页传播的病毒需要ActiveX的支持

田通过Email传播的病毒需要邮件软件的自动发

送功能支持。

32

：5.3,3脚本病毒防御

野此可以采用以下方法防御脚本病毒

-可以通过打开“我的计算机”，依次点击［查看］一［文件

夹选项］一［文件类型］在文件类型中将后缀名为VBS.

VBE、JS、JSE、WSH.WSF”的所有针对脚本文件的操

作均删除。这样这些文件就不会被执行了。

-在IE设置中将ActiveX插件和控件以及Java相关的组件全

部禁止，可以避免一些恶意代码的攻击。方法是：

9打开IE,点击“工具”一“Internet选项"一“安全”一“自定

义级别”，在“安全设置”对话框中，将其中所有的ActiveX插

件和控件以及与Java相关的组件全部禁止即可。

廿禁用文件系统对^FileSystemObject,用regsvr32

soTundl/u这条命令就可以禁止文件系统对象。

-禁止邮件软件的自动收发邮件功能

bWindows默认的是“隐藏已知文件类型的扩展名称”，

将其修改为显示所有文件类型的扩展名称。

卡选择一款好的防病毒软件并做好及时升级。33

54网络蠕虫

5.4.1网络蠕虫概述

▼网络蠕虫是一种智能化、自动化并综合网络攻

击、密码学和计算机病毒技术，不要计算机使

用者干预即可运行的攻击程序或代码。它会扫

描和攻击网络上存在系统漏洞的节点主机，通

过网络从一个节点传播到另夕|"一^个节点。

34

5.4.1网络蠕虫概述

网络蠕虫具有以下特征(2・1)

-主动攻击

《从搜索漏洞，到利用搜索结果攻击系统，到攻击成功后复制

副工，整个流灌全由蠕虫自身主务完晟。

句利用软件漏洞

s蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，

夜之进行复朝花后孑番过超晟火可能。

吠造成网络拥塞

够在传播的过程中，蠕虫需要判断其它计算机是否存活；判断

特定应用服务是否存在；判断漏洞是否存在等等，这将产生

关量的网络数据流量。同时出于攻击网络的需妥，蠕虫也可

以产生丈量恶意流量，当美量的机器感染蠕土时，就会产生

巨大的网络流量，导致整个网络瘫痪。

行消耗系统资源

9蠕虫入侵到计算机系统之后，一方面由于要搜索目标主机、

漏洞、感鎏其它主机需要消耗一定的资源；另一方面，许多

蠕虫会恶意藕患系统的资源。

35

5.4.1网络蠕虫概述

留下安全隐患

小大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息

等），并在系统中留下后门。

行踪隐蔽

《蠕虫的传播过程中，不需要用户的辅助工作，其传播的过程

中用户基本上不可察觉。

反复性

＜即使清除了蠕虫留下的任何痕迹，如果没有修补计算机系统

漏洞，网络中的计算机还是会被重新感染。

破坏性

9越来越多的蠕虫开始包含恶意代码，破坏被攻击的计算机系

统，而且造成的经济损失数目越来越大。

36

蠕虫造成的损失对照表

病毋名称持续时间造成损失

莫里斯蠕虫6000多台计算机感染，占但是互联网的10%,直

1988年

(MORRIS)接经济损失达一千多万美元

爱虫病母

2000年5月至今众多用户计算机被感染，损失超过100亿美元

(ILOVEYOU)

红色代码(Code100乏万台计算机感染，直接经济损失超过26亿美

2001年7月

Red)元

求职信2001年12月大量病毒邮件堵塞服务器，损失达数百亿美兀

网络大面积瘫痪，银行自动提款机运做中断，直

SQL蠕虫王2003年1月

接经济损失超过26亿美元

冲击波(Blaster)2003年20亿〜100亿美元，受到感染的计算机不计其数

霸王虫(Sobig.F)2003年50亿〜100亿美元，超过100万台计算机被感染

震荡波(Sasser)2004年8月损失估计：数千万美元

37

5.4.2网络蠕虫工作机制

网络蠕虫的工作机制分为3个阶段：信息收集、

攻击渗透、现场处理

叱信息收集

《按照一定的策略搜索网络中存活的主机，收集目标主机的信

息，并远程进行漏洞的分析。如果目标主机上有可以利用的

漏洞则确定为一个可以攻击的主机，否则放弃攻击。

行攻击渗透

够通过收集的漏洞信息尝试攻击，一旦攻击成功，则获得控制

该主机的权限，将蠕虫代码渗透到被攻击主机。

同现场处理

9当攻击成功后，开始对被攻击的主机进行一些处理工作，将

攻击代码隐藏，为了能使被攻击主机运行蠕虫代码，还要通

过注册表将蠕虫程序设为自启动状态；可以完成它想完成的

任何动作，如恶意占用CPU资源；收集被攻击主机的敏感信

息，可以危害被感染的主机，删除关键文件。

38

543网络蠕虫扫描策略(2-1)

网络蠕虫扫描越是能够尽快地发现被感染主机,

那么网络蠕虫的传播速度就越快。

行随机扫描

9随机选取某一段IP地址，然后对这一地址段上的主机扫描。

由于不知道哪些主机已经感染蠕虫，很多扫描是无用的。这

一方法的蠕虫传播速度较慢。但是随着蠕虫的扩散，网络上

存在大量的蠕虫时，蠕虫造成的网络流量就变得非常巨大。

-选择扫描

9选择性随机扫描将最有可能存在漏洞主机的地址集作为扫描

的地址空间。所选的目标地址按照一定的算法随机生成。选

择性随机扫描算法简单，容易实现，若与本地优先原则结合

则能达到更好的传播效果。红色代码和"Slammer”的传播

采用了选择性随机扫描策略。

39

543网络蠕虫扫描策略(2-2)

句顺序扫描

9顺序扫描是被感染主机上蠕虫会随机选择一个c类

网络地址进行传播，根据本地优先原则，网络地址

段顺序递增。

-基于目标列表的扫描

心基于目标列表扫描是指网络蠕虫根据预先生成易

感染的目标列表，搜寻感染目标，。

句基于DNS扫描

,从DNS服务器获取IP地址来建立目标地址库，优

点在于获得的IP地址块针对性强和可用性高。关键

问题是如何从DNS服务器得到网络主机地址，以及

DNS服务器是否存在足够的网络主机地址。

40

54网络蠕虫

扫描策略设计的原则有三点

夕尽量减少重复的扫描，使扫描发送的数据包尽

量是没有被感染蠕虫的机器；

华保证扫描覆盖到尽量大的可用地址段，包括尽

量大的范围，扫描的地址段为互联网上的有效

地址段；

行处理好扫描的时间分布，使得扫描不要集中在

某一时间内发生。

41

5.4.4网络蠕虫传播模型

分为3个阶段

句慢速发展阶段，漏洞被蠕虫设计者发现，并利用漏洞

设计蠕虫发布于互联网，大部分用户还没有通过服务

器下载补丁，网络蠕虫只是感染了少量的网络中的主

机。

它快速发展阶段，如果每个感染蠕虫的可以扫描并感染

的主机数为W,n为感染的次数，那么感染主机数扩

展速度为WL感染蠕虫的机器成指数赛急剧增长。

句缓慢消失阶段，随着网络蠕虫的爆发和流行，人们通

过分析蠕虫的传播机制，采取一定措施及时更新补丁

包，并采取措删除本机存在的蠕虫，感染蠕虫数量开

始缓慢减少。

42

5.4.5网络蠕虫防御和清除

＞给系统漏洞打补丁

-蠕虫病毒大多数都是利用系统漏洞进行传播的，因此在清除蠕虫

病毒之前必须将蠕虫病毒利用的相关漏洞进行修补。

＞清除正在运行的蠕虫进程

-每个进入内存的蠕虫一般会以进程的形式存在，只要清除了该进

程，就可以使蠕虫失效。

＞删除蠕虫病毒的自启动项

-感染蠕虫主机用户一般不可能启动蠕虫病毒，蠕虫病毒需要就自

己启动。需要在这些自启动项中清除蠕虫病毒的设置。

＞删除蠕虫文件

b可以通过蠕虫在注册表的键值可以知道病毒的躲藏位置，对于那

些正在运行或被调用的文件无法直接删除，可以借助于相关工具

删除。

＞利用自动防护工具，如个人防火墙软件

，通过个人防火墙软件可以设置禁止不必要的服务。另外也可以设

置监控自己主机有那些恶意的流量。

43

5.5木马技术

5.5.1木马技术概述

句指隐藏在正常程序中的一段具有特殊功能的恶

意代码，是具备破坏和删除文件、发送密码、

记录键盘和DoS攻击等特殊功能的后门程序。

它与控制主机之间建立起连接，使得控制者能

够通过网络控制受害系统，最大的特征在于隐

秘性，偷偷混入对方的主机里面，但是却没有

被对方发现。这与战争中的木马战术十分相似,

因而得名木马程序。

44

5.5.1木马技术概述

木马的发展历程

-第一代木马出现在网络发展的早期，是以窃取网络密

码为主要任务，这种木马通过伪装成一人合法的程序

诱骗用户上当。第一代木马还不具有传染性，在隐藏

布通律方面也均先特别之处。

-第二代木马在技术上有了很大的进龙，它使用标准的

c/s架构，提供远程文件管理、屏基监视等功能，在

隐藏、自启动和操纵服务器等技术上也有很大的发展。

由于植入木马的服务端程序会打开连接端口等候客户

端连接，比较容易被用户发现。冰河、B02000等都

是典型的第二代木马。

句第三代木马改变主要在网络连接方式上，特征是不打

开连接端口进行侦听，而是使用ICMP通信协议进行

通信或使用TCP端口反弹技术让服务器端主动连接客

户端，以突破防火墙的拦截。增加了查杀难度，如网

络神偷(Netthief)、灰鸽子木马等。

45

5.5.1木马技术概述

第四代木马在进程隐藏方面做了较大改动，让

木马服务器运行时没有进程。如rootkit技术，

嵌入木马通过替换系统程序、DLL、甚至是驱

动程序，替换之后还能够提供原来程序正常的

服务从而实现木马的隐藏。木马不是单独的进

程或者以注册服务的形式出现，无法通过“任

务管理器”查看到正在运行的木马。需要专门

的工具才能发现以及专业的木马查杀工具才能

清除。

第五代木马实现了与病毒紧密结合，利用操作

系统漏洞，直接实现感染传播的目的，而不必

象以前的木马那样需要欺骗用户主动激活。

46

5.5.1木马技术概述

木马特征

，隐蔽性

g隐蔽性是木马的首要特征。木马类软件的SERVER端程序在

被控主抗家统上运行昼，会使用各科方忠柒隐藏白己。

-自动运行性

小木马程序通过修改系统配置文件，在目标主机系统启动时自

动运行员加载。

廿欺骗性

-木马程序要达到其长期隐蔽的目的，就必需借助系统中已有

的文件，以防用户爰现。

它自动恢复性

9很多的木马程序中的功能模块已不再是由单一的文件组成，

而是具有多重备份，可以相互恢复。系统一■旦被植入木马，

只删除某一个木马文件来进行清除是无法清除干净的。

-破坏或信息收集

＜木马通常具有搜索Cache中的口令、设置口令、扫描目标机

器的IP地址、进行键盘记录、远程注册表的操作、以及锁定

鼠标等功能。

47

5.5.2木马的实现原理与攻击技术

在了解木马攻击技术之前，需要先了解木

马欺骗技术,木马欺骗技术是木马欺骗用

户安装、欺骗用户运行以及隐藏自己的关

键技术。木马欺骗技术主要有：

由伪装成其它类型的文件，可执行文件需要伪

装其它文件。如伪装成图片文件

b合并程序欺骗

i合并程序是可以修两个或两个以上的可执行文件

（exe文件）结合为一个文件，以后只需执行这个合

并文件，两个可执行文件就会同时执行。

48

5.5.2木马的实现原理与攻击技术

插入其它文件内部

咚利用运行flash文件和影视文件具有可以执行脚本文件的特性,

一般使用“插马”工具将脚本文件插入到swf、rm等类型的

flash文件和影视文件中

伪装成应用程序扩展组件

小黑客们通常将木马程序写成为任何类型的文件然后挂在一个

常用的软件中。

利用WinRar制作成自释放文件，把木马程序和其它

常用程序利用WinRar捆绑在一起，将其制作成自释

放文件。

在Word文档中加入木马文件，在Word文档末尾加入

木马文件，只要别人点击这个所谓的Word文件就会

中木马。

49

5.5.2木马的实现原理与攻击技术

一个木马程序要通过网络入侵并控制被植入的计

算机，需要采用以下四个环节：

它首先是向目标主机植入木马，通过网络将木马程序植

入到菠控制的计算机；

历启动和隐藏木马，木马程序一般是一■个单独文件需要

一些系统设置来让计算机自动启动木马程序，为了防

止被植入者发现和删除运行的木马程序，就需要修运

行的木马程隐藏起来。

-植入者控制被植入木马的主机，需要通过网络通信，

需要采取一定的隐藏技术，使通信过程不能够使被植

入署通过防火墙等发现。

它就是植入者通过客户端远程控制达到其攻击的目的，

可以收集被植入者的敏感信息，可以监视被植入者的

计算机运行和动作，甚至可以用来攻击网络中的其它

系统。

50

5.5.2木马的实现原理与攻击技术

植入技术，木马植入技术可以大概分为主

动植入与被动延入两类。

年主动植入：就是攻击者利用网络攻击技术通过

网络将木马程序植入到远程目标主机，这个行

为过程完全由攻击者主动掌握。

年被动植入：是指攻击者预先设置某种环境，然

后被动等待目标系统用户的某种可能的操作,

只有这种操作执行，木马程序才有可能植入目

标系统。

51

5.5.2木马的实现原理与攻击技术

主动植入技术主要包括：

▼利用系统自身漏洞植入

9攻击者利用所了解的系统的安全漏洞及其特性主动

出击。

曲利用第三方软件漏洞植入。

-利用即时通信软件发送伪装的木马文件植入

-利用电子邮件发送植入木马

52

5.5.2木马的实现原理与攻击技术

被动植入包括：

句软件下载

9一些非正规的网站以提供软件下载为名义，将木马捆绑在软

件安装程序上，下载后只要一运行这些程序，木马就会自动

安装。

年利用共享文件

9学校或单位的局域网里为了学习和工作方便，会将许多硬盘

或文件夹共享出来，甚至不加密码，具有可写权限。

-利用Autorun文件传播

♦这一方法主要是利用Autorun文件自动运行的特性，通过U

盘植入。

-网页浏览传播

♦这种方法利用Script/ActiveX控件、JavaApplet等技术编

写出一个HTML网页，当浏览该页面时，会在后台将木马程

序下载到计算机缓存中，然后修改系统注册表，使相关键值

指向“木马”程序。

53

5.5.2木马的实现原理与攻击技术

木马的自动加载技术针对Windows系统，木马

程序的自动加载运行主要有以下一些方法：

-修改系统文件。修改目标的系统文件以达到自动加载

的目的。

，修改系统注册表

，修改文件打开关联

句修改任务计划

-修改组策略

-替换系统自动运行的文件

句替换系统DLL

年作为服务启动

，利用AppInit_DLLs注入

54

5.5.2木马的实现原理与攻击技术

木马隐藏技术

主要分为两类：主机隐藏和通信隐藏。

-主机隐藏主要指在主机系统上表现为正常的进

程。主机隐藏方式很多，主要有文件隐藏、进

程隐藏等。

b文件隐藏主要有两种方式

9采用欺骗的方式伪装成其它文件

力伪装成系统文件，

55

5.5.2木马的实现原理与攻击技术

进程隐藏

-动态链接库注入技术，将“木马”程序做成一个

动态链接库文件，并修调用动态链接库函数的语句

插入到目标进程，这个函数类似于普通程序中的人

口程序。

iHookingAPI技术。通过修改API函数的入口地址

的方法来欺骗试图列举本地所有进程的程序

56

5.5.2木马的实现原理与攻击技术

通信隐藏主要包括通信端口隐藏、内容隐藏采用

以下技术：

它复用正常服务端口。直接绑定到正常用户进程的端口,

接受数据后，根据包格式判断是不是自己的，如果是

自己处理，如果不是通过工27.0・0.工的地址交给真正

的服务器应用进行处理，以利用正常的网络连接隐藏

是马的通信状态。

，采用其它不需要端口的协议进行通信。如ICMP协议,

主要缺点是防火墙可能把所有ICMP协议的信息过滤

掉。

-利用“反弹端口”技术。木马程序启动后主动连接客

户，为了隐蔽起见，控制端的被动端口一般开在80。

年利用SPI防火墙技术隐藏。

句采用嗅探技术

57

5.5.2木马的实现原理与攻击技术

远程控制

底端口扫描。采用端口扫描技术获得那些安装了木马主

机的IP地址。一旦发现中了木马的主机则添加到客户

端控制程序的木马主机列表。

，邮件发送。一些木马具有邮件发送功能，在设置木马

程序时，填入免费邮箱，一旦木马程序启动，就会修

其植入主机的IP地址发送给植入者的邮箱。植入者根

据IP地址和对应的端口与木马建立连接通道。如网络

公牛等。

句UDP通知。植入者将自己的IP地址写到主页空间的指

定文件里，被植入的木马读取文件的内容，得到客户

端的IP地址以及其它信息（主机名、IP地址、上线时

间等等），然后木马用UDP协议发送给植入者，如网

络神偷就是采用了该项技术。

曹利用QQ、MSN等通信软件

58

35.5.2木马的实现原理与攻击技术

＞木马危害

得窃取密码

b远程访问控制

-DoS攻击

曹代理攻击

田程序杀手

59

45.5.4木马的防御

＞根据木马工作原理，木马检测一'般有以下一■些方

法：

扫描端口

9大部分的木马服务器端会在系统中监听某个端口，因此，通

过查看系统上开启了那些端口能有效地发现远程控制木马的

踪迹。

检查系统进程

9很多木马在运行期间都会在系统中生成进程。因此，检查进

程是一种非常有效的发现木马踪迹方法。

检查ini文件、注册表和服务等自启动项

监视网络通讯，木马的通信监控可以通过防火墙来监

控

60

5.5.5几款免费的木马专杀工具

几款免费木马专杀工具如：Windows清理

助手、恶意软件清理助手、Atool、冰刃

田冰刃（Icesword）是专业查杀木马工具中较好

的工具之一，杀木马特点：

g删除文件，许多木马文件为了防止删除，具有写保

护功能，无法直接删除。冰刃提供了可以完全删除

任何文件的功能。

餐删除注册表项。木马可以隐藏注册表项让

Windows自带的注册表工具rgedit无法显示或删

除，而冰刃程序可以容易做到删除任意的注册表项

和显示所有的注册表项。

61

5.5.5几款免费的木马专杀工具

终止任意的进程。冰刃程序可以删除除idle进

程、System进程、csrss进程以外的所有进程

查看进程通信情况。

查看消息钩子。

线程创建和线程终止监视。

查看SPI和BHO。

其它功能。如自启动项管理、服务查看等功能。

62

5.6网络钓鱼

5.6.1网络钓鱼技术

行网络钓鱼是通过发送声称来自于银行或其它知名机

构的欺骗性垃圾邮件，或者伪装成其Web站点，意

图引诱收信人或网站浏览者给出敏感信息（如用户

名、口令、帐号ID、ATMPIN码或信用卡详细信

息）的一种攻请•方式。

夕网络钓鱼的攻击方法主要有以下几种

够建立假冒网上银行、网上证券的网站，骗取用户帐号密码实

施盗窃。

犯罪分子建立起域名和网页内容都与真正网上银行系统、

网上证券交易平台极为相似的网站，引诱用户输入账号

密码等信息，进而通过真正的网上银行、网上证券系统

或者伪造银行储蓄卡、证券交易卡盗窃资金

63

5.6.1网络钓鱼技术

发送电子邮件，以虚假信息引诱用户中圈套

i攻击者以垃圾邮件的形式大量发送欺诈性邮件，这

些邮件多以中奖、顾问、对帐等内容引诱用户在邮

件中填入金融账号和密码，或是以各种紧迫的理由

要求收件人登录某网页提交用户名、密码、身份证

号、信用卡号等信息，继而盗窃用户资金

利用虚假的电子商务进行诈骗

餐此类犯罪活动往往是建立电子商务网站，或是在比

较知名、大型的电子商务网站上发布虚假的商品销

售信息，犯罪分子在收到受害人的购物汇款后就销

声匿迹

64

5.6.1网络钓鱼技术

利用QQ、、MSN甚至手机短信等即时通信方式

欺骗用户

力冒充软件运营商告诉某用户中奖或者免费获得游戏

币等方式，这一方法的主要欺骗目的是获取游戏币,

或者通过移动服务上收取信息费。

利用木马和黑客技术等手段窃取用户信息后实

施盗窃活动

小木马制作者通过发送邮件或在网站中隐藏木马等方

式大肆传播木马程序，当感染木马的用户进行网上

交易时，木马程序即以键盘记录的方式获取用户账

号和密码，并发送给指定邮箱，用户资金修受到严

重威胁。

65

5.6.2网络钓鱼的防御

对于用户端，可以采用以下措施

▼尽量不通过链接打开网页，而是直接输入域名

访问网络。

叱对于需要输入帐号和密码的网站再三确认.

行给网络浏览器程序安装补丁，使其补丁保持在

最新状态.

-利用已有的防病毒软件，实时防御钓鱼网站。

66

57僵尸网络

5.7.1概述

年僵尸网络是攻击者通过网络传播僵尸程序，利

用一对多的命令与控制信道控制大量主机，攻

击其它网络或主机，从而得到自己恶意目的的

网络。

67

5.7.1概述

一个僵尸网络由以下部分组成

曲僵尸(Bot):

w置于被控制主机，能够按照预定义的指令执行操作,

具有一定智能的程序。僵尸计算机(Zombie)：是

指被植入僵尸的计算机。

句僵尸网络控制服务器

-可以将僵尸主机连接的IRC服务器，控制者通过该

服务器向僵尸主机发送命令进行控制。

68

45.7.1概述

＞僵尸网络主要有以下危害

曾分布式拒绝服务攻击（DDoS）。

年发送垃圾邮件

它窃取秘密。

它取得非法利公资源

-作为攻击跳板

69

5.7.2僵尸网络的工作原理分析

僵尸网络一般采用以下几种手段感染受害主机

，主动攻击漏洞

9是通过攻击系统所存在的漏洞获得访问权，并将僵尸程序植入受害

主机，从而感染成为僵尸主机。

b邮件病毒

3通常在邮件附件中携带僵尸程序或者在邮件内容中包含下载执行僵

尸程序的链接，使得接收者主机被感染成为僵尸主机。

-即时通信软件

9攻击者攻陷即时通信的用户，并利用好友列表发送执行僵尸程序的

链接，从而进行感染。

-恶意网站脚本

9在提供Web服务的网站中，攻击者在HTML页面上绑定恶意的脚本,

当访问者浏览这些网站时就会执行恶意脚本，使得僵尸程序下载到

主机上。

»欺骗安装

《伪装成有用的软件，在Web网站、FTP服务器、P2P网络中提供，

诱骗用户下