病毒与木马的认知与防护-教案9

网络安全技术实践教程》

教案

授课单位：___________________

授课时间：___________________

授课班级：___________________

授课教师：___________________

年月日

教案9

（第9号/17号）

课程名称网络安全授课日期、节次

班级课堂类型理论+实投地点

章节（任

任务4.3木马检测

务）名称

1.了解木马程序的常见隐藏方式（进程、文件、注册表等）。

知识目标2.掌握木马的典型启动方式及其对应系统机制。

3.识别主流木马检测技术的原理与应用场景。

1.能够使用火绒剑对可疑进程和未知文件进行监控与分析。

教学目标能力目标2.能够使用D盾和Wcbshcll本地扫描器查杀Webshcll并识别风险文件。

3.能够根据行为特征判断可疑程序是否为木马。

1.培养严谨细致的安全排查习惯。

素质目标2.增强对系统安全威胁的敏感性与责任感。

3.树立主动防御和持续监控的信息安全意识。

授课对象：计算机网络技术专业学生，包括中职与普高混合班,学生特点：计算机网络技术专

学情分析业学生，基础知识存在差异，需针对性讲解与实践操作结合。

学习习惯：，扁爱实践性强的课程，理论学习兴趣较低。乐于通过案例和互动式教学理解知识点。

1.木马的典型隐藏方式与启动机制理解。

教学重点2.木马检测技术的原理与类型区分。

重难点3.火绒剑、D盾、Webshell扫描器的实际使用方法。

分析1.行为分析与虚拟机检测等动态检测技术的理解。

教学难点2.判断未知程序是否为木马的逻辑分析能力。

3.工具操作中对可疑文件判断的准确性与处理策略。

信息化应通过课件、视频、案例分析、互动提问等多种信息化方式，借助学习通平台发布学习资源和任

用方法务，学生自主学习并完成任务。

1.网络安全事关国家安全，培养学生的家国情怀与责任感。

课程思政

2.树立服务意识，塑造职业精神，使学生形成运用所学专业知识为社会贡献的责任感。

元素

3.锻炼学生实事求是的工作态度，培养学生严灌细致的工作作风、精益求精的工匠精神。

课前：

平台发布病毒与木马的认知与防护任务3学习任务，学生预习。

课中：

导入新课

教学实施

众智科技深知木马入住可能对客户信息系统带来严重威胁。通过上次的系统入侵演示，客户深度r解到木

过程

马的危害。因此，客户要求为其提供几个简单的木马检测工具及操作方法，以便后续及时发现并规避潜在的安

全风险。

任务一知识点讲解

一.木马的隐藏

P

A

G

E

为r能在目标系统中长时间存-在向不被发现或清除，木马通过各朴陶疲技术，如进程隐版、义件陶世、注

册表隐僦等，躲避用户的宜接观察和常规安全软件的检测。常见的木马隐藏方式有以下几种。

1.进程隐藏

通过修改操作系统的核心组件，木马可以隐藏其进程、线程或文件，使得常规工具（如任务管理器等；无

法检测到它们。通过DLL（DynamicLinkedLibrary,动态连接库）注入，木马将自身注入其他合法进程之中,

利用这些进程作为宿主，从而掩盖其存在。木马进程可使用与系统进程相似的名称，以混淆视听，实现降藏。

2.文件隐藏

通过隐写，可以将木马代码嵌入看似无害的文件中，如图片、文档或音频文件。通过加密与压缩木马文件,

可以使其看起来像普通数据文件。通过藏身「硬盘的空闲扇区，木马可避免克接文件系统检测。

3.注册表除被

木马可以通过修改注册表启动项或将自身添加到注册表系统服务中，利用系统自身的启动机制进行陷藏.

二、木马的启动

木马为了能够在目标计算机上持久运行并执行其恶意任务，采用了多种启动方式来确保每次系统启动时共

都能白动加载。以下是木马的几种主要启动方式，这些方式涵盖从传统的Windows系统机制到更隐蔽的技术手

段。

L注册表启动

木马通过修改注册表中的特定键值来实现自启动。主要涉及的键值包括：

IIKEY_LOCAL_^fACH1NE\Software\MicrosofL\Windows\CurrentVersion\Run

HKEY_Cl'RRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

这些键值决定了系统启动时自动运行的程序列表。

2.文件夹启动

在用户的“启动”文件夹中放苣快捷方式或可执行文件，使得用户每次登录时木马都能自启动。

3.服务或驱动启动

木马将自己注册为系统服务或设备驱动，这些服务或驱动在系统启动时会自动加我。由于服务或郭动运行

在较高的权限级别下，使得木马能够拥有更多系统权限。

4.任务计划程序启动

利用Windows的任务计划程序创建任务，设置木马在特定时间或系统事件触发时自启动。

5.DLL注入与挂钩启动

木马通过将恶意DLL注入其他合法进程中，或挂钩系统API（ApplicationProgramInterface,应用程序

接口）调用，从而在这些程序启动时激活木马功能。

6.文件关联劫持启动

改变文件类型关联，这样当用户尝试打开某一类型的文件时，实际上激活的是木马程序而非预期的应用。

例如，木马可能会篡改系统中常用文件类型的打开方式，如将DOC、JPG或TXT等文件类型与一个看似合法但

实际上包含恶意代码的程序关联起来。这样，当用户试图打开一个看似无需的文档或图片时，实际上激活的是

木马。

三、主流的木马检测技术简介

木马作为一种隐蔽性强、危害性大的恶意软件，持续对个人用户、企业网络乃至国家安全构成严峻威协。

为了有效抵御这威胁，安全专家与研究人员不断探索与革新木马检测技术，力求在恶意软件造成实际损害前

将其识别并阻断，主流的木马检测技术介绍如鼠

（1）特征码检测技术。特征码检测技术是反病毒反木马领域较早使用的技术，也是目前公认的最成典、

最有效的木马检测技术之一。即便现在动态检测技术发展如此迅速，也没有撼动特征码检测技术的地位。特征

码检测技术准确性高、误报率低、检测速度快的优点是大多数检测k术无法比拟的，因此一直被杀毒软件广泛

使用并且沿用至今。特征码检测技术主要包括基「,特征码的静态扫拈、广谱特征码扫描和内存特征码比对技术

3类。

（2）基于文件群态特征的检测技术。木马程序的本质是可执行文件。通常Windows操作系统中的EXE文

件和32位的DLL文件都采用的是PE格式。由于PE文件具有规范的结构，因此可以利用数据挖掘等信息处理

技术分析木马文件与正常的可执行文件的静态特征。通过研究两者的区别，找出木马文件不同于正常的可执行

P

A

G

E

文件的特征，用于木马的检测。

（3）文件完整性检测技术。由于木马感染计算机后通常会修改某些系统文件，因此可以通过检查系统文

件的完整性来判断木马是否存在。文件完整性检测技术乂称校验和检测技术，其基本原理是在系统正常的情况

卜对所有的系统文件做校验，得到每个系统文件的校验和，并将其保存到数据库中。在后续检测时，首先计算

当前状态下系统文件的校验和，然后将其与数据库中保存的完整的校验和做比较，如果出现某个系统文件的两

个校验和不一致，则认为此文件的完整性被破坏，即此文件被修改过，则当前计克机有可能感染了木马。

（4）虚拟机检测技术。虚拟机检测技术的原理是建立一种模仇操作系统环境的虚拟环境。虚拟机检测技

术检溯木马的方法是诱使木马把虚拟机当作真正的主机环境，并执行安装、运行以及破坏等操作，这样木马就

把运行的流程以及行为特征都暴露在分析人员的眼前，分析人员就可以根据这些信息判断其是否为木马并制定

反木马的策略。

<5>行为分析技术“行为分析技术是一种基于程序行为的动态分析技术，其主要用于对未知木马进行检

测，在一定程度上解决r信息安全领域防御落后于攻击的难题，是主动防御技术的一种实现。行为分析技术根

据可疑程序运行过程中所体现的一系列行为来判断程序是否为木马。这些行为包括对文件、注册表的操作以及

网络通信的动作等。因此首先要动态监控并获取运行程序的行为，然后分析行为之间的逻辑关系，并运用一定

的算法计算出此程序的可疑度，从而决定是否把该程序判定为木马。

（6）入侵检测技术。入侵检测技术是用于检测损害或企图损害系统的机密性、完整性或可用性等行为的

一类安全技术。此类技术通过在受保护网络或系统中部署检测设备来监视受保护网络或系统的状态与活动，根

据所采集的数据，采用相应的检测方法来发现非授权或恶意的系统及网络行为，并为防范入侵行为提供技术支

持。

（7）云安全技术。根据互联网的发展趋势，可以预测不久的将来杀毒软件可能无法有效地处理日益增多

的恶意程序。来自互联网的在要威胁正在由计算机病毒转向恶意程序及木马，在这样的情况卜.，仅仅采用传统

的特征库判别法显然已不再能满足需求。云安全技术应用后，使得识别和查杀病毒不再仅仅依靠本地硬盘中的

病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处理。

任务三实施步骤

1.火绒剑的使用

（1）打开火绒剑程序，苜先看到“系统”选项卡，单击“开启监控”按钮对此刻计算机中的进程进行监

控，如图如34所示。

0大域SI互际安全分*E-□X

Qr遏“02g»n/QR4»

a4•停1UMUKBxB壬“A31

时蜃MSenosxt*

2007:118)9,L・6612。38只NET.recv1921%1.1必0

2007120419g-66120羯父NtTjecv192161.1:9090

2007：12<4196612038S2NET.g19i16&1.1：9090

6612。M父NfT.recv1WJ6a.1.1^090

2007:1281966120犯乂NtTjecv19216&1.1:9090

2007:12^41ff<j-6612058父NET.rp192.16ai.1：9090

XM)7：12alCchrome..6612。M父NtT.reor192.16^11^090

2007:12^418g-6612033^2NET.g19il6ai.1:9O9O

2007:12血9661203852NET.E19^16&1.1：9O9O

200712g6612。maN(Tjecv19216ali他0

2007：12<4666120NET.g19i16&1.1：9090

2OO7：U<H69,iG・6612，3852NET_r<cv192J6BJ.1夕30

20071204666129maNtT.recv192.16a1.1^090

2007:12<469d.s・66120S8S2NEY.g19il6&1.1：9090

9,L・66120泗父NET.recr192J6&1.1MO

级川20489me66120刘父NET.Mtp19MW1.1birVliKsf«d»nrV«*MceWope«Kia»h/lodbaf,$how.«y5?_=02329B9W426673”

2CH>7：12<489mi・6612038S2NET.wnd19il6&1.1：0O

XH)7：12：18.'hro™6612次4M父WE.Bnc«t・CAU8Wpop\AppO«t*Uoc・AaoglA8rom«\5er也

2«O41»240Hl£,Wnc«tcCAUxc5pV«>f>De\Ux.g-dDc%>T4*tfo<m\L4>op\AcM«K«Kc/b1

2007:12:323®<—•・66123NET.rp192.16&1,1:80

XH>7：V：)?96612。M父N(T_reor192gl.1:80

2007:12475CFswthostewe1MM仍280RtG.opetUce,HKEY.LOCAL.*MCHINE

2007:12乂75ff]1X015280REG.cpckvyHlSYJOCM.MACHINeXSOFTWARexMkrowlIXPGScyKlan^rVd^aiAM^iwryOptmMtKJflXDODcmnk

2007:12975(Fmhctt*ne1960s132a0W6j)etv*lXKlV.lOCM.MACHIN(\$OHWfcR£\MicrowfnM5cy*Urv»9^def・*/t\(MwyOpti^»tioiigDo«nk

2007：12乂75(Tisvthcstewe1960105280RtG.ytv*!HKEV.LOCAI.M*CHINE\SOFTWARE\Mi«o«42>o5M.Z9«<\def.gDZEQP^“必叫DODownk

・・_2，•”》，・c，・・・・・・，・”•■<c—・•*・cc，・・、・，m・―••・・•、~八、•

<

e>oc：i94j斫ma：[X3开磨

图4-34火绒剑实时监控进程

P

A

G

E

（2）切换到“进程”选项卡，查看可疑进程的父进程和子进程的关系，并能够看到某个进程主程序的所

在位置，如图4-35所示。

□大3•5防安全分Ntttt-OX

aMr,也・

灵内•w/nsasmB量动*I生女*4>

M与

MOa««io公司名MS.

CCldW00IdW

tinpi«ry124124

W面40SyMcm

£5160MicrosoftCc*por«t>o«iCA^MNDOW$\$y«*9m3Avn«*^ie

m7080MicrotonCcrporabooO»e«ServerRunti**P»OCBCA\MndowASyrtem3Z\c"$&eBe

DTIKA0MicrowitCcepor«t>cnO>«r«S«rwrRuntimeP)OCM«G\V^Sf>dcw»\SyM«m32\ctr******

-皿石向不8R0Micro*©^Cc<por«t>ocWindowsCA\Mndow»\$Kem)不

JrFB840M<ro«o4tC<xpora6o0用C\\^Sndow«\S>'Mem3Z\4efvice4.eie

mOB5W0MicrovoltCocpocaticfiCA停ndow»\&yU«m32\tvchc9fts*x»

RWm9vvCC•”，汹0<©*por•<>©<•Vl/M*"EC)AM^^'XW^OW4C••

rFlucwp^eie38760McfOsdtCcfpOf«6onSMctofe<McaltxcksiofWMI一CAg\r>dcwASxM«m3Z\wt>e*Yi\uMec3ppe»

国dlho.tc.2W20Micro*oACcrporaticnCOMSurrogateG\\YndowA$”tom32Vdlho«t«8

[7]CMiM(«eNe4Z2S0MicrosCorpOr«6(^Micros©^IM(C\V\Sndow5\$>-rtem)2\lnpvtMe<hc^CM$\

画unsecapp.eiw15320MicrosoftCoeporNs3toreceveaiyndrcecutcelbacksforWMI_CA\7ndow*\5xrtem3Z\wbenAun$e<«pp.。，

00glM£~ewo0MicrotekCcrporMionMicrotekIM€CA\、，ndcw<5N«rrL32VnputM"c^CK$\

m$UftM«nutxpenenceHost.12080C\\Mndcw4\Syrt«*rA0x\Mv，o«>&VMcd<

(ET«itirputHmt«x«97760MicrotoltCorporalienCA\7ndow»\SyU<»rApa\M<jc>w♦tW>do

(E4rtimeBrokers。1015；0MicrosoftCorpor«t»o<iBrokerCA、、Sndc»*5\$p«rm)Z^uf4z&c4cK”、

>

■决夕医0x

云辱女生找$fitt大小公司£

<_*

卫里JG丽・为加伊

图4-35火绒剑查看进程

（3）也可以切换到其他选项卡进行查看，这里主要对火绒剑反馈的未知文件进行判断，判断其是否为正

常文件，如图4-36所示。

□ET互炳方金分FK«*-□X

5戚氐>»71»

008、耽eu»M«6女”4,

am1,Av|♦»

X际安全收EWi公司a»*

登仔啊

J[DRVTQr^rSCPI决统如OrfFFFCBO..CAW!NDOWS\SyWmJ2\d-ACPUysMicrosdlCcrpo心8即

JgSMFAC^.HU«CK«M“CW・.

JPRVTPr^Wpio累统久怜OtFFFFCBCL.CAWINDOWS\Sy*f32\ajacpiexSMicrosoftCcrpOf«t»cnAC

2SA90

C|DRV)ai\Mpip«grBMXrt(WFFCW..CAWiN00W$\$Km)2\d舟EWpiagr.fy%MicrotekCcrporMiccM

嫌鹿今知

&【DRVTQrXWD林文件(XFFFFCBO..CAWlNDOWS\iyitemJ2\4rr^fA^l*y$MiCfOSC^Corpo心8W；

gVTQr^AaW.wetn(MFFFCM..CAWiNOOWSty加e32\d^rec\•\ni«aMicros-CcrporMiocAF.

J(DRV]府0性(XffFFCBO..G\WINDOWS\syitem32\PRlVERS>h<ach«.i0MkfOKACoepor«6oc*P

®(DRV)'jDrw\b«mBttxn(WFFC8CL.CAWlN00W$\«yst.m3AdTOrt\bMnty»MicrotoACcrporMicc6A

m

1(DKV)ptwrr\B«MiDHpUyE5Wo^rrrcoo-.CAWlNDOW3\3yk«vn3Z\D«t*vtVwfcVtte«cpu»iU-MktvwACu*pvt«uvnMi

CPU。

JgVTM^AAUdSnder初秋(XHFFC8CL.CAW!NDOW$\$Kf3KMwwrUoW；知>o5一MicrovoltCcrpor«t>cnMi

CPU1

J|DRV3'P»weABeepg?件(WFFCBCL.C\WINDOWS\Sys»em32\DnrefABe«pSYSMkrosc/tC<xpor«6ccB£

CPU2

。(DRV)(jDrv**r\bu««nMmB«ssn(XfHFC8cL.CAWlNDOWS\$yM«m3Adrw9rt\kMwnufTv«yvWr3om(R)\Mc7DD<prouderSj*

CPU3

J(DRV]*pvwe«Vcdrom3m(WFK80..C.\WINDOWS\S炉FNydXrndstyiM<roso4tCorpor«6ocSC

CPU4

JgVTM^OFS豺6性OBFFFFCBO..6WlN00WS\Sk«3入<Ht37YSMicrotekCcrpor«ticnCo

CPU5

&|DRV3'PrweACNGOwWKBCL.CAWINDOWS\Sy5»jm32\driven\cn9.»yjMicrosdtCocporadocKe

J(DRV)jDr^w\CfulHdAudM欧学Mm件(hffFFCBO..CAWlNDOWS\»yttom5A4™rt\CHD«TM.«^Con«xartSyvtemtInc.64

J|WV)'X>nve<\Cooip<H«te..MS件(wiKeo..GWiNDOWS\Sys*m32\Ddre^oW；le««po讥.MicrosoftCcrpor«6o<*Mi

@(DRV)jDmr\ccrdrv展败忡OrfFFFCBCL.CAWINDOWSXSyMfmSAdrwertVc^fV-»y*MicrotekCcrporAlienCo

、

>

RO5W0FMtlOCksp^

Xrai名尔muSB

备过蜩：

3

眄

>

图4-36对火绒剑反债的未知文件进仃判断

2.D盾的使用

（1）D盾是目前最为流行的Webshell查杀工具之一，使用起来也简单方便，在Web应急处置的过程中经

常会用到它。D盾的功能比较强大，我们可以用它查杀Webshcll并陷离可疑文件。首先打开D盾软件，主界面

如图4-37所示。

P

A

G

E

4Dl.WebBMViO.8体久免■]Xtp，Af.dWnetreV

D盾Web殴杀3BmRS»(

传用代日分