蠕虫木马病毒课件

蠕虫木马病毒6-蠕虫木马病毒病毒技术培训6-蠕虫木马病毒内容概要第一节计算机病毒分类介绍第二节现代计算机病毒的惯用技术第四节手动排查病毒的工具与方法第五节ARP网络地址欺骗防护第三节计算机病毒的危害与预防6-蠕虫木马病毒早期病毒——DOS病毒概念：

DOS病毒指针对DOS操作系统开发的病毒，是一种只能在DOS环境下运行、传染的计算机病毒，是最早出现的计算机病毒。目前，几乎没有新制作的DOS病毒，由于Windows系统的普及，DOS病毒几乎绝迹，但是有相当一部分可感染Windows9X系统并传播，或者导致系统死机或程序运行异常。分类：引导型：指感染（主）引导扇区的病毒，如“米氏病毒”；文件型：指感染DOS可执行文件（.EXE、.COM、.BAT）的病毒，如“黑色星期五”；混合型：指既感染（主）引导，又感染文件的病毒。如：“幽灵”病毒、Natas病毒；6-蠕虫木马病毒代表：耶路撒冷（Jerusalem）：更广为人知的别称叫做黑色星期五，因为只要每逢十三号又是星期五的日子，这个病毒就会发作。而发作时将会终止所有使用者所执行的程序，症状相当凶狠。米开朗基罗（Michelangelo）：米开朗基罗的名字，对于一些早一点的电脑使用者而言，真可说是大名鼎鼎，如雷贯耳。著名的原因除了它拥有一代艺术大师米开朗基罗的名字之外，更重要的是它的杀伤力惊人:每年到了3月6日米开朗基罗生日（这也就是它为什么叫做米开朗基罗的原因）时，这个病毒就会以Format硬盘来为这位大师祝寿。于是乎，你辛苦建立的所有资料都毁于一旦，永无翻身之日。危害：

DOS时期的病毒种类相当繁杂，而且不断有人改写现有的病毒。而病毒发作的症状更是各式各样，有的会删除文件、有的会Format硬盘、有的还会在屏幕上显出各式各样的图形与音效。但是，现在对于这些DOS时期的古董级病毒，大部分杀毒软件都可以轻易地扫除，杀伤力已经大不如前了。早期病毒——DOS病毒6-蠕虫木马病毒典型病毒实例分析病毒名：小球(Ping-Pong)、BALL、Bouncing；传播途径：通过软盘传染到计算机系统的。当电脑由带病毒的盘启动时，病毒就会侵入。发作现象：屏幕上出现一个小球，不停地跳动，呈近似正弦曲线状运动。病毒特性：（1）这是在1989年4月，国内发现的第一种病毒，它寄生在DOS引导区中，引导后驻留内存高端，并修改INT13H中断向量。以后读盘时，若非上次使用的驱动器或两次读盘间隔大于1分钟则向磁盘传染病毒；（2）当磁盘DOS引导记录偏移1FCH处一个字不是1357H(小球病毒标志)时，病毒程序在磁盘上寻找一个空闲簇，将引导记录写到该簇的第二个扇区，病毒写入引导扇区和该簇的第一个扇区，并将该簇标为坏簇，扇区号放在病毒伪引导记录偏移1F9H处的一个字内；（3）如果发现已感染病毒的磁盘病毒版本号(偏移1FBH处一个字节)较低，则更新盘上的病毒；（4）当读盘操作正好发生在整点或半点时，病毒程序修改INT08H时钟中断向量，指向病毒中的一段程序。该程序使屏幕上出现一个小球(CHR(7))漫游。小球沿斜线方向运动，遇到ASCII码末3位为3(011)的字符发生行反射，末3位为5时(101)发生列反射，其它字符不改变小球运动方向；（5）小球病毒设计精巧，是一种良性病毒。但它会严重破坏显示画面，使有些对硬件依赖的程序受干扰不正确执行；6-蠕虫木马病毒病毒名称：CIH（PE_CIH,CIHV,SPACEFILLER,VIN32,CHERNOBYL,TSHERNOBYL）病毒发源：1998年6月初于台湾（作者：陈盈豪）传播途径：通过“ICQ中文Ch_at模块”工具为载体，并以热门盗版光盘游戏如“古墓奇兵”或Win9X为媒介，经Internet和电子邮件其传播，主要仍将通过软盘或光盘途径。1998/6/2 台湾传出首例CIH病毒报告1998/6/6 发现CIHV1.2版本1998/6/12 发现CIHV1.3版本1998/6/26 V1.3版本造成一定破坏1998/6/30 发现CIHV1.4版本1998/7 在互联网环境中发现分布感染实例1998/8 在WingCommander游戏站点DEMO被感染1998/8 两家欧洲的PC游戏杂志光盘被发现感染1998/8/26 CIH1.4版本爆发,首次在全球蔓延1998/9 Yamaha编写的驱动软件被感染CIH1998/10 全球发行的游戏SiN的DEMO被感染CIH1999/3CIH1.2被发现在IBM的Aptiva机器中预装1999/4/26CIH1.2版本首次大范围爆发2000/4/26CIH1.2版本第二次大范围爆发2001/4/26CIH第三次大范围爆发典型文件型病毒实例分析病毒特性：（1）CIH病毒感染windows9X系统下的EXE文件，当染毒文件被执行时，

CIH驻留内存，其他程序被访问时对其进行感染。（2）发作时会覆盖掉硬盘中的绝大多数据，还会试图覆盖FlashBIOS中的数据。（3）CIH病毒代码的大小在1K左右，独特地使用面向Windows的VxD技术编制，被感染后的可执行文件大小根本没有变化，其实时性和隐蔽性都特别强。（4）为了获取对系统文件的调用，该病毒跟踪处理器0环到3环的跳转。6-蠕虫木马病毒Office杀手——宏病毒概念：（1）宏，译自Macro，是OFFICE的一个特殊功能。它利用简单的VB语法，把一系列常用操作集成在一小段程序内，需要重复时运行宏即可，实现文档中一些任务的自动化。默认Office将宏存贮在通用模板Normal.dot中，该特点为宏病毒利用。（2）宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，宏病毒就会被激活，转移到计算机并驻留在Normal模板上。自此所有自动保存的文档都会“感染”上该宏病毒，其他用户打开了染毒文档，宏病毒又会转移到其他计算机。特点：制作、变种方便，隐蔽性强，传播迅速，破坏可能性极大，但兼容性不高等。6-蠕虫木马病毒Offics杀手——宏病毒危害：不能正常打印、改变文件存储、将文件改名、乱复制文件、封闭菜单、删除选项、无法正常编辑、只能存为模板格式、破坏数据文档、设置密码、调用系统命令造成破坏。

防治：（1）将常用的Word模板文件改为只读属性；（2）禁止自动执行宏功能（winword.exe/mDisableAutoMacros）；清除：（1）应急时可以用写字板或WORD6.0将文档打开并另外存储。（2）进入“宏管理器”，在“宏有效范围”列表中将不明的自动执行宏删除；（3）首选用最新版的反病毒软件查杀；6-蠕虫木马病毒典型病毒实例分析一、Nuclear宏病毒这是一个对操作系统文件和打印输出有破坏功能的宏病毒。包含以下病毒宏：AutoExec

AutoOpenDropSurivInsertPayloadPayload。

1.打开一个染毒文档井打印的时候，它会在您打印的最后一段加上“STOPALLFRENCHNUCLEAR

TESTINGINTHEPACIFIC！”，这个现象是在每分钟的55秒～60秒之间操作打印时发生。

2.如果在每天17:00～18:00之间打开一个染毒文档，Nuclear会将PH33R驻留型病毒传染到计算机上。

3.在每年的4月5日，该病毒会将计算机上IO.SYS和MSDOS.SYS文件清零，并且删除C盘根目录上的文件。一旦病毒发作，MSDOS就不可能被引导，计算机将陷入瘫痪。二、台湾一号病毒该病毒会在每月的13日影响用户正常使用Word文档和编辑器。它包含以下病毒宏：AutoCloseAutoNewAutoOpen，为可被编辑宏。在病毒宏中含有如下的语句：IfDay(Now())=13Then...在每月13日，若用户使用Word打开一个带毒的文档（模板）时，病毒会被激发。激发时的现象是：在屏幕正中央弹出一个对话框，该对话框提示用户做一个心算题，如做错，它将会无限制地打开文件，直至Word内存不够出错为止；如心算题做对，提示用户“什么是巨集病毒（宏病毒）？”，回答是“我就是巨集病毒”，再提示用户：“如何预防巨集病毒？”，回答是“不要看我”。6-蠕虫木马病毒互联网瘟疫——蠕虫病毒由来：

1982年，Shock和Hupp提出了一种“蠕虫”（Worm）程序的思想。这种程序常驻于一台或多台机器中，并有自动重新定位的能力。如果它检测到网络中某台机器未被占用，就把自身的一个拷贝发送给那台机器，并且每个程序段都具有重新定位和识别占用的能力。

结构：“蠕虫”由两部分组成：一个主程序和一个引导程序。主程序一旦建立，就会去收集与当前联网的其它机器的信息。随后，它尝试利用某些缺陷去在这些远程机器上建立其引导程序。概念：蠕虫病毒（Worm）是通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁的一类计算机病毒。6-蠕虫木马病毒互联网瘟疫——蠕虫病毒特点：

具有超强的自我复制能力和传播性、特定的触发性、一定的潜伏性和很大的破坏性。

传播过程：

（1）扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。（2）攻击：攻击模块按漏洞攻击步骤找到对象，取得该主机权限，获得一个shell。（3）复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。与一般病毒的异同：（1）蠕虫也是一种病毒，因此具有病毒的共同特征；（2）一般的病毒是需要寄生的，而蠕虫则是复制自身在互联网环境下进行传播；（3）一般计算机病毒的传染目标主要针对计算机内的文件系统而言，而蠕虫病毒的传染目标是网内所有计算机。6-蠕虫木马病毒蠕虫病毒的传播方式⑴.利用系统漏洞系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并尝试溢出，然后将自身复制过去。网络中的客户端感染这一类病毒后，会不断自动拨号上网，并利用文件中的地址或者网络共享传播，从而导致网络服务遭到拒绝并发生死锁，最终破坏数据。⑵.MIME（多用途的网际邮件扩充协议）：它其实只是一小段用来描述信息类型的数据。浏览器通过读取它来得知接收到的数据该怎么处理，如果是文本和图片就显示出来，是程序就弹出下载确认，是音乐就直接播放。音乐文件和程序文件都是一样的二进制数据，都需要解码还原数据到系统临时目录里，然后浏览器通过简单的文件后缀名判断来决定该用哪种方法处理它。靠邮件传播的蠕虫主要有SoBig、MyDoom、求职信等。6-蠕虫木马病毒⑶.网页代码

IFrame是一段用于往网页里放入一个小页面的HTML语言，它用来实现“框架”结构。向一个页面里放入多个IFrame时，框架里请求运行程序的代码就会被执行，由于IFrame的尺寸可以自由设置，因此破坏者可以在一个页面里放入多个“看不见”的框架，并附带多个“看不见”的有害程序，浏览了那个网页的人自然就成了受害者！相对于邮件蠕虫，利用网页传播的蠕虫手段无疑更为高明传统使用的技术又包括两种：①.用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫；②.用IFrame漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它，完成蠕虫传播。⑷.社会工程学人为的缺陷，主要是指的是计算机用户的疏忽。这就是所谓的社会工程学(socialengineering),当收到一封邮件带着病毒的求职信邮件时候，大多数人都会报着好奇去点击的。蠕虫病毒的传播方式6-蠕虫木马病毒典型病毒实例分析（上）病毒名称：Worm.Blaster（W32.Blaster.Worm,W32/Lovsan.worm,Worm.MSblaster）类型长度：网络蠕虫/6,176bytes（采用UPX压缩）传播途径：网络/RPC漏洞（RemoteProcedureCall

BufferOverrun漏洞原理及攻击代码最早为Flashsky发布在安全焦点，两星期后被病毒作者利用写出MSBlast蠕虫病毒。）

依赖系统:MicrosoftWindowsNT4.0/2000/XP/2003病毒描述：该病毒使用C编写，包含主要针对Windows2000操作系统而编写的攻击代码，攻击代码中包含绝大部分Widnows2000溢出文件偏移地址，因为操作系统版本不相同，溢出文件偏移地址也不相同，针对NT4/XP/2003溢出攻击都不会成功，溢出不成功将会导致RPC服务停止，文件复制贴粘无法使用，COM属性无法正常使用，会导致计算机重新启动。PRC服务通讯依赖TCP/135端口进行通讯。病毒代码内隐藏一段文本信息：

IjustwanttosayLOVEYOUSAN!!

billygateswhydoyoumakethispossible?Stopmakingmoneyandfixyoursoftware!!6-蠕虫木马病毒病毒行为：（1）病毒运行时会建立一个名为：“BILLY”的互斥量，使病毒自身不重复进入内存；（2）病毒运行时会将自身复制为：%systemdir%\msblast.exe（3）修改注册表：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run增加“windowsautoupdate”=“msblast.exe”键值，使得病毒可以在系统启动时自动运行。（4）然后向该随机段IP段的机器的所有135端口发布攻击代码，成功后，在TCP4444端口创建cmd.exe，在UDP的端口69上接受外界指令，发送文件Msblast.exe网络蠕虫主体。（5）发送TFTP指令到远程计算机，使其连接被感染的主机，下载并运行Msblast.exe文件。（6）如果当前月份大于8月或当前日期大于15号，对""实施DoS攻击。典型病毒实例分析（下）6-蠕虫木马病毒尼姆达病毒在全球的传播6-蠕虫木马病毒防止蠕虫病毒的安全建议⑴.购买主流的网络安全产品，并注意随时更新。⑵.提高防杀毒意识，不要轻易点击陌生的站点。⑶.不随意查看陌生邮件，尤其是带有附件的邮件。⑷.对于蠕虫病毒应当注意不要轻易运行邮件中的附件文件，如果发现邮件有异常并且没有附件时应该看一看邮件的详细信息。⑸.关闭OutlookExpress、Foxmail等的

HTML预览功能，以防止病毒邮件在被点击时就发作。⑹.对于网络管理人员，尤其是邮件服务器的管理人员来说，要经常对邮件服务器的日程流量进行统计，一旦发现邮件服务器的外发邮件流量猛增的话，就说明有可能在企业的网络中存在病毒。6-蠕虫木马病毒隐藏的危机——木马病毒由来：特洛伊木马(以下简称木马)，英文叫做“Trojanhorse”，其名称取自希腊神话《特洛伊木马记》，它是一种基于远程控制黑客工具，具有隐蔽性和非授权性特点。概念：指通过一段特定的程序（木马程序）来控制另一台计算机。木马一旦运行并被控制端连接，其控制端将享有服务端的大部分的系统操作权限。结构：（1）控制端程序：控制端用以远程控制服务端程序；（2）木马程序：潜入服务端内部获取其操作权限程序；（3）木马配置程序：设置木马程序参数的程序，作用是伪装木马和信息反馈；6-蠕虫木马病毒隐藏的危机——木马病毒伪装方式：修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名等；特点：

（1）木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意”地去感染其他文件，它通过将自身伪装从而吸引用户下载并执行，向施种木马者提供打开被种者电脑的门户，使施种者可以破坏数据、窃取信息，远程操控被种者的电脑。（2）“木马”与计算机网络中常常要用到的远程控制软件有些相似，但由于远程控制软件是“善意”的控制，因此通常不具有隐蔽性；“木马”则完全相反，木马要达到的是“偷窃”性的远程控制，如果没有很强的隐蔽性的话，那就是“毫无价值”的。6-蠕虫木马病毒木马病毒的分类1.针对网游的木马

2004年，网络游木马出现，它会盗取用户帐号，并立即将帐号中的游戏装备转移，再由木马病毒使用者卖出这些盗取的游戏装备而获利。2.针对网上银行的木马病毒

网银木马专门针对网络银行攻击，采用记录键盘和系统动作的方法盗取网银的帐号和密码，并发送到作者指定的邮件，直接导致用户的经济损失。3.针对即时通讯工具的木马病毒可以利用即时通讯工具进行传播。中了木马后电脑会下载病毒作者指的任意程序，其危害不可确定。会造成恶作剧，比如“MSN我要结婚”病毒，中毒者会向联系人发送“我今天要结婚”的恶作剧消息。4.给计算机开后门的木马病毒5.推广广告的木马病毒6-蠕虫木马病毒网银类木马诈骗6-蠕虫木马病毒木马病毒的隐藏性1.伪装成系统文件2.将木马病毒的服务端伪装成系统服务3.将木马程序加载到系统文件中4.充分利用端口隐藏5.隐藏在注册表中6.自动备份7.木马程序于其它程序绑定8.“穿墙术”9.利用远程线程的方式隐藏10.通过拦截系统功能调用的方式来隐藏自己11.攻击杀毒软件6-蠕虫木马病毒防范木马病毒的安全建议使用专业安全厂商的正版防火墙产品，邀请经验丰富的信息安全专家对杀毒软件和防火墙进行合理配置。使用工具软件隐藏本机的真是IP地址。注意电子邮件安全，尽量不要在网络中公开自己关键的邮箱地址，不要打开陌生地址发来的电子邮件，更不要在没有采取任何防护措施的情况下下载或打开邮件的附件。在使用即时通讯工具时，不要轻易运行“朋友”发来的程序或链接，对从网络上下载的任何程序都要使用杀毒软件或木马诊断软件进行反复查杀，确认安全之后再运行。、尽量少浏览和访问个人网站。不要隐藏文件的扩展名。一些扩展名为VBS、SHS、PIF的文件多为木马病毒的特征文件只有在显示文件全名时才能及时发现。定期观察系统服务管理器中的服务，检查是否有病毒新建的服务进程。定期检查系统进程，查看是否有可疑的进程。根据文件创建日期定期观察系统目录下是否有近期新建的可执行文件，如果有的话可能是病毒文件。6-蠕虫木马病毒内容概要第一节计算机病毒分类介绍第二节现代计算机病毒的惯用技术第四节手动排查病毒的工具与方法第五节ARP网络地址欺骗防护第三节计算机病毒的危害与预防6-蠕虫木马病毒钩子（上）概念：钩子(Hook)，是Windows消息处理机制的一个平台，应用程序可以在上面设置子程以监视指定窗口的某种消息，而且所监视的窗口可以是其他进程所创建的。当消息到达后，在目标窗口处理函数之前处理它。钩子机制允许应用程序截获处理window消息或特定事件。运行机制：

Windows系统是建立在事件驱动的机制上的，说穿了就是整个系统都是通过消息的传递来实现的。钩子是Windows系统中非常重要的系统接口，用它可以截获并处理送给其他应用程序的消息，来完成普通应用程序难以实现的功能。钩子实际上是一个处理消息的程序段，通过系统调用，把它挂入系统。每当特定消息发出，在没有到达目的窗口前，钩子程序就先捕获该消息，亦即钩子函数先得到控制权。这时钩子函数即可以加工处理（改变）该消息，也可以不作处理而继续传递该消息，还可以强制结束消息传递。一般来说，最近安装的钩子放在链的开始，而最早安装的钩子放在最后，也就是后加入的先获得控制权。6-蠕虫木马病毒一．按事件分类（1）键盘钩子（可以监视各种键盘消息）（2）鼠标钩子（可以监视各种鼠标消息）（3）外壳钩子（可以监视各种Shell事件消息）（4）日志钩子（可以记录系统消息队列取出的各种事件消息）（5）窗口过程钩子（监视所有从系统消息队列发往目标窗口的消息）二．按使用范围分类（1）线程钩子（监视指定线程的事件消息）（2）系统钩子（监视系统中的所有线程的事件消息）钩子（下）三、可以利用的类型：1、WH_CALLWNDPROC和

WH_CALLWNDPROCRETHooks2、WH_CBTHook3、WH_DEBUGHook4、WH_FOREGROUNDIDLEHook5、WH_GETMESSAGEHook6、WH_JOURNALPLAYBACKHook7、WH_JOURNALRECORDHook8、WH_KEYBOARDHook9、WH_KEYBOARD_LLHook10、WH_MOUSEHook11、WH_MOUSE_LLHook12、WH_MSGFILTER和

WH_SYSMSGFILTERHooks13、WH_SHELLHook6-蠕虫木马病毒RootKit（上）由来：

Rootkit一词首先出现在1994年2月，一篇安全咨询报告《OngoingNetworkMonitoringAttacks》中。从出现至今发展非常迅速，其中针对SunOS和Linux两种操作系统的rootkit最多。概念：

Root在英语中是根,扎根的意思,kit是包的意思。rootkit我们可以把它理解成一个利用很多技术来潜伏在系统中的一个后门，并且包含了一个功能比较多的程序包，当然它的设计者也要用一些技术来隐藏自己，确保不被发现。隐藏操作包括隐藏进程、文件、端口、或句柄、注册表的项，键值等等。简单地说，Rootkit是指攻击者用来隐藏自己的踪迹和保留root访问权限的工具集。结构：一般地，一个典型的rootkit基本上都是由几个独立的程序组成，包括：（1）以太网嗅探器程程序； （2）特洛伊木马程序，为攻击者提供后门；（3）隐藏攻击者的目录和进程的程序；（4）可能还包括一些日志清理工具；（5）一些特殊系统服务程序；（6）一些用来清理其他目录中文件的脚本程序；6-蠕虫木马病毒RootKit（中）WindowsRootkits类型：（1）进程注入式Rootkits：通常通过释放动态链接库（DLL）文件，并将它们注入到其它软件及系统进程中运行，通过HOOK方式对消息进行拦截，阻止Windows及应用程序对被保护的文件进行访问。（2）驱动级Rootkits：通过在Windows启动时加载Rootkits驱动程序，获取对系统的控制权。当程序通过系统API及NTAPI访问系统时进行监视，当发现程序访问被Rootkits保护的文件时返回一个虚假结果，达到隐藏或锁定的目的。

Ring0Rootkit：随着安全技术的发展，一般的木马后门越来越难生存，木马从一个赤裸裸的网络远程控制软件，发展到反弹型木马，DLL型木马，已经发展到现在的“隐身”型木马，技术水平越来越高。但在传统的RING3里，木马技术已经没有太多发展空间，于是一部分木马作者开始投向系统底层——ring0。位于ring0的是系统核心模块和各种驱动程序模块，所以这一层的木马也是以驱动的形式存在的。由于它运行在ring0级别，拥有与系统核心同等级的权限，因此可以轻易地隐藏自身进程、文件、端口、甚至流量，并且通常的系统工具都失去了作用，就是常说的Rootkit。例如“HackerDefender”、“byshell”等。6-蠕虫木马病毒RootKit（下）与传统的木马相比，RING0木马的优势是什么？（1）无进程

RING0木马编译后是一个SYS文件，它和DLL文件那样，是插入到进程里运行的。但RING0木马插入到地址在0x80000000以上的系统区，而且所有进程共享，若其本身不提供unload例程很难被卸载，而且没有多少个工具可以列举系统里装载的SYS模块。（2）无端口

RING0木马可以直接控制网卡收发包，从而骗过系统和防火墙，因此可使用任何端口或协议。也可通过使防火墙的NDIS驱动失效，突破其封堵。（3）难发现，难查杀，生存能力强由于Rootkit具有强大的隐藏技术，一般的系统工具都无法检测，并且处理极其困难，而编写者则需要对系统内核和通讯协议（尤其ntoskrnl.exe、hal.dll、ndis.sys）非常熟悉。检测及清除工具：进程注入式Rootkits较好处理，通过开机扫描（StartupScan）功能都可以轻松清除。然而，对于驱动级的Rootkits，较好的处理是对Windows驱动程序加载点进行拦截，当发现Rootkits时自动使其保护功能失效。常用工具有icesword、darkspy、RootkitRevealer、及瑞星卡卡上网安全助手（kaka）等。6-蠕虫木马病毒内容概要第一节计算机病毒分类介绍第二节现代计算机病毒的惯用技术第四节手动排查病毒的工具与方法第五节ARP网络地址欺骗防护第三节计算机病毒的危害与预防6-蠕虫木马病毒计算机病毒的危害劫持IE浏览器，篡改首页及一些默认项目（如默认搜索）；修改Host文件，导致用户不能访问某些网站，或被引导到“钓鱼网站”；添加驱动保护，使用户无法删除某些软件；修改系统启动项目，使某些恶意软件可以随着系统启动；在用户计算机上开置后门，黑客可以通过此后门远程控制中毒机器，组成僵尸网络，对外发动攻击、发送垃圾邮件、点击网络广告等牟利；采用映像劫持技术，使多种杀毒软件和安全工具无法使用；记录用户的键盘、鼠标操作，窃取银行卡、网游密码等信息；记录用户的摄像头操作，可以从远程窥探隐私；使用户的机器运行变慢，大量消耗系统资源；

……6-蠕虫木马病毒计算机病毒的预防（上）1．备份重要数据（包括操作系统本身和主要应用数据）并妥善保管；2．安装正版的杀毒软件及防火墙程序，设定必要的安全策略，经常更新病毒库；3．及时修补操作系统及常用软件的漏洞；4．禁用Guest账户，为系统设置强密码；5．关闭不必要的系统服务；6．最好使用NTFS文件系统格式；7．不要随便共享文件，如果确实需要使用，最好设置权限限定访问，建议不可写入；8．不要轻易下载和安装盗版的、不可信任的软件；9．注意软盘、U盘、光盘等移动存储设备的安全使用；6-蠕虫木马病毒计算机病毒的预防（下）10．不要随便打开不明来历的电子邮件，尤其是邮件附件；11．不要浏览一些缺乏可信度的网站，尤其注意浏览器插件的安装；12．不要随便点击打开QQ、MSN等IM工具上发来的链接信息或传送来的文件；13．警惕电脑使用中的异常状况；14．使用专用软件加固重要的应用服务器；15．在网关处架设病毒过滤设备；16．加强内网终端系统和用户的管理；17．注意定期地扫描计算机系统和网络、查看并分析病毒、攻击等事件日志；18．及时关注流行病毒以及下载专杀工具；6-蠕虫木马病毒系统安全检查清单（上）1．物理安全（监控、上锁等）；2．停掉Guest帐号（保险起见，最好给guest加一个复杂的密码）；3．限制不必要的用户数量，经常检查并删除不用的临时帐户,共享帐号等；4．创建2个管理员用帐号，一个一般权限帐号用来处理日常事物，另一个Administrator权限帐户只在必要时使用。5．把系统administrator帐号改名并尽量把它伪装成普通用户；6．创建一个陷阱帐号，设置上最低权限和超级复杂密码；7．把共享文件的权限从”everyone”组改成“授权用户”，包括打印共享；8．使用安全密码；9．设置屏幕保护密码，不要使用OpenGL和一些复杂的屏幕保护程序；10．使用NTFS格式分区；11．运行防毒软件，避免感染攻击者使用的木马后门程序，并经常升级病毒库。12．保障备份盘的安全，千万别把资料备份在同一台服务器上。6-蠕虫木马病毒系统安全检查清单（中）1．利用win2000的安全配置工具来配置策略2．关闭不必要的服务3．关闭不必要的端口4．打开审核策略5．开启密码密码策略6．开启帐户策略7．不显示上次登陆的用户名HKLM/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon/DontDisplayLastUserName，

REG_SZ＝1.8．禁止建立空连接（HKLM/System/CurrentControlSet/Control/LSA-RestrictAnonymous值改成”1”）

9．到微软网站下载最新的补丁程序6-蠕虫木马病毒系统安全检查清单（下）1．关闭DirectDraw（HKLM/SYSTEM/CurrentControlSet/Control/GraphicsDrivers/DCI的Timeout(REG_DWORD)为0）2．关闭默认共享（X$、ADMIN$、FAX$、IPC$、NetLogon、PRINT$）；3．禁止dumpfile的产生；4．使用文件加密系统EFS；（）5．加密temp文件夹6．锁住注册表（）7．关机时清除掉页面文件（HKLM/SYSTEM/CurrentControlSet/Control/SessionManager/MemoryManagement把ClearPage的值设置成1。8．禁止从软盘和CDRom启动系统9．考虑使用智能卡来代替密码10．考虑使用IPSec（）6-蠕虫木马病毒内容概要第一节计算机病毒分类介绍第二节现代计算机病毒的惯用技术第四节手动排查病毒的工具与方法第五节ARP网络地址欺骗防护第三节计算机病毒的危害与预防6-蠕虫木马病毒一些基本的系统概念（上）一、进程：

进程为应用程序的运行实例，是应用程序的一次动态执行；可以简单理解为——系统当前运行的执行程序；当运行某程序时，就创建了一个容纳该程序代码及其所需动态链接库的进程。（1）系统进程：用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行状态下的操作系统本身，他们是系统运行所必须的；（2）用户进程：用户进程就是所有由用户执行应用程序所启动的进程。其中应用程序是用户安装的程序的总称，执行一个应用程序时可能会启动多个不同的进程。二、线程：

Threads，也称轻量进程，指运行中的程序的调度单位。线程是进程中的实体，一个进程可拥有多个线程，实现程序的并发执行，但一个线程必须有一个父进程。实际上线程运行而进程不运行，线程不拥有系统资源，它与父进程的其它线程共享该进程所拥有的全部资源。6-蠕虫木马病毒三、服务：

在Windows系统中，服务是指执行特定系统功能的程序、例程或进程，以便支持其他程序，尤其是低层(接近硬件)程序，他们一般随系统启动并在后台运行。四、驱动：驱动是是一种可以使计算机操作系统和设备通信的特殊程序，是操作系统和硬件设备间的通信接口，他们告诉操作系统有哪些设备以及设备的功能。五、DLL：

即动态链接库(DynamicLinkLibrary)，是一种可执行文件。dll文件是一个可以被其它程序共享的程序模块，其中封装了一些可以被共享的代码、数据或函数等资源。DLL文件一般不能单独执行，而应由其他Windows应用程序直接或间接调用。一些基本的系统概念（下）6-蠕虫木马病毒Windows9X启动过程⑴系统加电启动，依次加载扩展卡(如显卡等)、主板BIOS程序，完成自检；⑵读入硬盘的主引导记录、分区引导记录，自动加载IO.SYS；⑶IO.SYS读取MSDOS.SYS，确定启动方式，根据CONFIG.SYS，进行硬件配置；⑷IO.SYS自动加载必要的驱动程序(如HIMEM.SYS、SETVER.EXE，IFSHLP.SYS等)；⑸IO.SYS调入，解释执行AUTOEXEC.BAT，进行软件配置；⑹

IO.SYS进行必要的默认环境设置；⑺自动执行，进入GUI启动阶段；⑻执行WinINIT.EXE，对系统驱动程序进行升级；⑼加载SYSTEM.INI中[BOOT]、[386ENH]、[DEVICES]等节设置的驱动程序；⑽根据SYSTEM.INI、Win.INI和系统注册表进行系统组合、配置，调用各类VXD文件；⑾加载SYSTEM.INI中的“SHELL=”指定的外壳程序；⑿执行HKLM\Software\Microsoft\Windows\CurrentVersion下的Run、RunOnce中的程序；⒀用户登录后执行HKCU\Software\Microsoft\Windows\CurrentVersion\Run(Once)的程序；⒁执行Win.INI中的”LOAD=“和”RUN=“加载的应用程序；⒂执行开始菜单中［启动］组包含的应用程序；6-蠕虫木马病毒WindowsNT启动过程1、电源自检程序开始运行

2、主引导记录被装入内存，并且程序开始执行

3、活动分区的引导扇区被装入内存

4、Ntldr从引导扇区被装入并初始化

5、将处理器的实模式改为32位平滑内存模式

6、Ntldr开始运行适当的小文件系统驱动程序。小文件系统驱动程序是建立在NTLDR内部的，它能读FAT或NTFS。

7、Ntldr读boot.ini文件

8、Ntldr装载所选操作系统

*如果WindowsNT被选择,Ntldr运行

*对于其他的操作系统,Ntldr装载并运行Bootsect.dos然后向它传递控制.

windows

NT过程结束.

9.

搜索计算机硬件并将列表传送给Ntldr,以便将这些信息写进HKEY_LOCAL_MACHINE\HARDWARE中.

10.然后Ntldr装载Ntoskrnl.exe,Hal.dll和系统信息集合

11.Ntldr搜索系统信息集合,并装载设备驱动配置以便设备在启动时开始工作

12.Ntldr把控制权交给Ntoskrnl.exe,这时,启动程序结束,装载阶段开始6-蠕虫木马病毒常见系统进程解析SystemIdleProcessWindows内存处理系统进程systemMicrosoftWindows系统进程smss.exe会话管理子系统csrss.exe子系统服务器进程winlogon.exeWindowsNT用户登陆程序services.exeWindows服务控制器lsass.exe本地安全权限服务rpcss.exeRPC服务映射器regsvc.exe远程注册表服务svchost.exe包含很多系统服务SPOOLSV.EXEWindows打印任务控制程序explorer.exe资源管理器internat.exe托盘区的拼音图标alg.exe应用层网关服务mstask.exeWindows计划任务winmgmt.exeWindows管理服务有用的命令：（1）Tasklist（2）TSKILLPID（3）NTSD-cq-pPID6-蠕虫木马病毒一、通过启动文件夹隐蔽程度： 应用程度：说明：这是一种很常见的自启动方式，正常程序多用，但木马极少。位于..＼DocumentsandSettings＼「”当前用户”

/AllUsers」＼「开始」菜单＼程序＼启动自启动方式（上）三、通过Autoexec.bat、winstart.bat或config.sys文件隐蔽程度： 应用程度：说明：这些文件在Windows启动前运行，系统处于DOS环境，只能运行16位程序。二、通过Win.ini文件隐蔽程度： 应用程度：说明：从Win3.2开始就可以利用该文件中[Windows]域的load和run项启动。

6-蠕虫木马病毒自启动方式（中）四、通过System.ini文件隐蔽程度: 应用程度：说明：该文件的[Boot]域中的Shell项的正常值是“Explorer.exe”，但可以在其后添加其他程序的路径，即使在安全模式也会启动。五、通过某特定程序或文件启动隐蔽程度: 应用程度：说明：（1）捆绑或寄生于特定程序；（2）修改特定程序启动路径；（3）修改系统文件关联；6-蠕虫木马病毒六、通过注册表启动隐蔽程度： 应用程度：说明：这是很多Windows程序都采用的自启动方法，也是木马最常用的，下述热度递减、难度递增。自启动方式（下）HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnceHKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnceExHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_CURRENT_USER＼Software＼Microsoft＼WindowsNT＼CurrentVersion＼Windows＼load、HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼WindowsNT＼CurrentVersion＼Winlogon＼UserinitHKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼RunHKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Policies＼Explorer＼Run6-蠕虫木马病毒灰鸽子病毒简介灰鸽子是国内一款著名后门，可以说是国内后门的集大成者。其丰富而强大的功能、灵活多变的操作、良好的隐藏性使其他后门都相形见绌。客户端简易便捷的操作使刚入门的初学者都能充当黑客。当使用在合法情况下时，灰鸽子是一款优秀的远程控制软件。但如果拿它做一些非法的事，灰鸽子就成了很强大的黑客工具。

灰鸽子客户端和服务端都是采用Delphi编写。黑客利用客户端程序配置出服务端程序。可配置的信息主要包括上线类型（如等待连接还是主动连接）、主动连接时使用的公网IP（域名）、连接密码、使用的端口、启动项名称、服务名称，进程隐藏方式，使用的壳，代理，图标等等。

服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。6-蠕虫木马病毒灰鸽子病毒结构配置出来的服务端文件文件名为G_Server.exe（这是默认的，当然也可以改变）。然后黑客利用一切办法诱骗用户运行G_Server.exe程序。G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。

G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端。G_Server_Hook.dll负责隐藏灰鸽子。通过截获进程的API调用隐藏灰鸽子的文件、服务的注册表项，甚至是进程中的模块名。截获的函数主要是用来遍历文件、遍历注册表项和遍历进程模块的一些函数。所以有些时候用户感觉种了毒，但仔细检查却又发现不了什么异常。有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。6-蠕虫木马病毒灰鸽子病毒特点

1.只用一个端口来传输所有通讯数据；2.可以支持控制多种方式上网的电脑，软件智能读取系统设定的代理信息；3.无需知道服务端IP，自动上线功能让服务端自动上线报道；4.自动上线可以在第一次设置分组，自定义图像、备注等，同时具有搜索功能；5.文件管理：支持复制、粘贴、删除，断点下载、上传文件，均以加密方式传输。6.远程控制命令：包括远程进程管理、窗口管理、键盘记录、服务管理等；7.注册表编辑器：可以像操作本机注册表一样的编辑远程注册表。8.常用命令广播，控制众多主机更方便！9.除了具有语音监听、语音发送，还有远程视频监控功能；10.可以设置服务端开放Socks5和HTTP代理服务功能，无需第三方软件支持；11.软件附带有修改EXE文件图标、内网端口映射、服务器等实用工具：12.服务端在WindowsNT上可以以服务启动,支持发送多种组合键；13.全中文友好操作界面，你一目了然；6-蠕虫木马病毒灰鸽子的手工检测由于灰鸽子拦截了API调用，在正常模式下服务端程序文件和它注册的服务项均被隐藏。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。但是仍然是有规律可循的，无论自定义文件名是什么，一般都会在操作系统的安装目录下生成一个以“_hook.dll”结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子服务端。检测灰鸽子的操作一定要在安全模式下进行。1、“显示所有文件和文件夹”；2、在Windows的安装目录搜索文件“_hook.dll”；3、经过搜索，发现了一个名为xxx_Hook.dll的文件；4、那么在系统目录下还会有xxx.exe和xxx.dll文件（可能还有xxxKey.dll）；6-蠕虫木马病毒灰鸽子的清除与预防一、灰鸽子的手工清除

1.清除灰鸽子的服务打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。查找目标“xxx.exe”，找到并删除整个xxx_Server项（此例为xxx_Server）。