单元6 计算机漏洞、病毒和木马

单元6计算机漏洞、病毒和木马《网络安全技术》课程授课人：_______________授课班级：_______________课程目录COURSECONTENTS网络安全基础核心模块01计算机漏洞深入解析漏洞的定义、成因与常见分类，剖析漏洞对计算机系统与数据安全构成的潜在威胁，建立基础的风险认知。02计算机端口系统梳理端口的工作原理、分类标准及常用知名端口号，理解端口作为网络通信出入口的关键作用与安全意义。03端口扫描实验通过工具实战演示TCP全连接、半开放及UDP扫描技术，分析扫描结果的含义，掌握端口扫描的防御与检测策略。04计算机病毒探究病毒的生命周期、传播途径与感染机制，分析引导型、文件型及混合型病毒的特征，建立科学的病毒防范体系。05计算机木马揭秘木马程序的伪装手段与植入流程，解析远程控制的核心原理，学习使用专业工具进行木马的检测、清除与防范。06单元小结系统回顾漏洞、端口、病毒与木马的核心知识体系，总结网络安全防御的关键原则，通过案例串联巩固本单元学习成果。6.1计算机漏洞01/漏洞定义计算机漏洞是指应用软件或操作系统在逻辑设计上存在的缺陷，或在代码编写过程中产生的错误。这类缺陷和错误本身是系统的“先天不足”，但极易被不法分子发现并利用，成为攻击和控制计算机系统、窃取数据或破坏运行的突破口。02/核心特点非直接破坏性：漏洞本身不会直接造成危害，而是作为被利用的条件。安全威胁性：只有可能威胁到系统安全的错误或缺陷才被认定为漏洞。时空关联性：漏洞与系统环境、时间密切相关，会随系统迭代而演变，且长期潜伏。03/分类原则基础属性原则：客观性、互斥性、完备性，确保分类体系的严谨与无遗漏。识别与验证原则：确定性、唯一性、可重复性，保障漏洞定位准确且可复现。应用拓展原则：可扩展性、可用性、可接受性，适应技术发展需求。6.1.3漏洞常用分类01.按漏洞成因分类涵盖输入验证错误、缓冲区溢出、边界条件错误、访问校验错误等代码级问题；也包含意外处置错误、设计逻辑缺陷、竞态条件错误及系统环境/配置不当引发的漏洞。02.按威胁来源分类从攻击发起的载体和位置划分：主机漏洞（系统软件缺陷）、网络漏洞（协议/服务弱点）、物理漏洞（设备接触/窃取）以及管理漏洞（制度/流程缺失）。03.按直接威胁影响分类依据漏洞被利用后造成的直接后果，分为获取远程/本地管理员权限、普通用户权限、权限提升、拒绝服务（DoS）以及敏感信息泄露等典型场景。04.按漏洞利用严重性分级高级（高危）：可直接获取远程或本地管理员权限，危害最大；中级（中危）：导致权限提升、拒绝服务等影响系统可用性；低级（低危）：仅造成信息泄露、欺骗或轻微功能异常，影响范围有限。05.按漏洞利用访问方式分类本地漏洞：攻击者需先获得目标系统的普通用户权限才能利用，通常用于权限提升；远程漏洞：攻击者无需本地访问，通过网络即可直接发起攻击，具有极强的扩散性和危害性。6.2计算机端口01.核心定义：进程的数字标识操作系统为网络进程分配的协议端口，通过16位正整数标识。数据报到达主机后，内核会根据目的端口号将其分发到对应的应用进程，本质上是主机内部进程间通信的逻辑通道与关联队列。02.公认端口：0-1023(Well-Known)与系统核心服务或特定协议严格绑定，由IANA统一管理分配。例如：80端口对应HTTP服务，22端口对应SSH远程管理，443端口对应HTTPS加密传输，是网络服务最基础的身份标识。03.注册端口：1024-49151(Registered)可由用户或应用程序根据需求在IANA注册使用，用途非常广泛。这是系统分配动态端口的起始范围，常用于各类第三方应用服务，如数据库、中间件等非核心网络服务的默认监听端口。04.动态私有端口：49152-65535(Ephemeral)理论上不分配给任何固定服务，完全用于客户端临时连接。当用户发起网络请求时，系统会随机从该范围选取一个端口作为源端口，建立与服务端的临时会话，会话结束后端口即释放。6.2.3核心常用端口对照表端口号协议/服务名称核心作用与安全特性说明22SSH(SecureShell)加密远程管理协议，通过非对称加密保障数据传输安全，是远程服务器管理的首选方式。23Telnet早期明文远程管理协议，数据传输未加密，极易被窃听，现代网络环境中已基本被SSH替代。53DNS(DomainNameSystem)域名系统服务端口，负责将人类可读的域名解析为机器可识别的IP地址，是互联网访问的基础。80HTTP(超文本传输协议)Web服务器默认端口，用于传输网页内容，数据以明文形式发送，安全性较低，常用于非敏感信息访问。443HTTPS(加密超文本传输)HTTP的安全版本，基于SSL/TLS协议对传输数据进行加密，是网银、支付、登录等敏感操作的标准协议。3389RDP(远程桌面协议)Windows系统专用的图形化远程管理端口，允许用户通过图形界面远程控制计算机，需注意权限管理。137-139NetBIOS/SMBWindows系统局域网文件和打印机共享服务端口组，在局域网内设备发现和通信中起关键作用。安全提示：在网络防护中，应仅开放业务必需的端口，关闭或限制非核心端口（如23、139）的公网访问。6.2.4X-Scan端口扫描实验01工具核心定位与特性X-Scan是一款免费的绿色多线程漏洞扫描工具，完美支持图形化与命令行双操作模式。其核心功能涵盖目标端口开放情况探测、系统弱口令检测、已知漏洞挖掘及后门程序扫描等，轻量化设计使其无需安装即可运行，适合网络安全入门实验。02扫描环境与参数配置启动软件后，进入主界面“设置→扫描参数”菜单。首先精准填写待扫描的目标IP地址范围；关键性能参数需配置为：最大并发线程数100，并发主机数10，以此在保证扫描速度的同时，避免因负载过高导致网络拥塞或扫描失败。03启动扫描与过程监控确认所有参数无误后，点击主界面“开始扫描”按钮，工具将自动启动多线程异步扫描引擎。在扫描过程中，可实时观察界面中的进度条与日志窗口，直观掌握当前扫描的端口状态、响应时间及线程运行的健康情况。04结果分析与报告生成扫描任务完成后，系统将自动生成详细的HTML检测报告。报告中完整列出了目标主机开放的所有端口号、对应的网络服务类型（如Web服务、FTP服务等），并对端口关联的已知CVE漏洞、服务版本缺陷及潜在安全风险进行了深度的可视化解析。6.3计算机病毒01/病毒本质定义计算机病毒是人为蓄意制造的，能够自我复制并对计算机系统资源产生破坏作用的一组程序或指令集合。

核心类比：其行为模式类似生物病毒，具备“病毒体”与“宿主”双重属性，通常嵌入宿主程序的指令序列中隐蔽运行，难以被直接察觉。02/9大核心特征可执行性程序代码构成传染性自我复制扩散隐蔽性潜伏难以发现破坏性篡改删除数据潜伏性等待触发条件寄生性依附宿主存在此外还具备：非授权性（非法执行）、不可预见性（变种多）、诱惑欺骗性（伪装正常文件）等特征。03/感染与传播逻辑STEP1：抢夺控制权病毒代码会设法先于宿主程序运行，接管CPU的执行权，为后续动作做准备。STEP2：生存与传播随宿主程序的执行而常驻内存，伺机感染其他未被感染的程序文件或系统区域。核心策略：高频寄生优先选择系统调用频繁、用户接触多的程序（如可执行文件、宏文件）作为寄生对象。总结：计算机病毒本质上是一种具有破坏性的恶意代码，其核心在于利用系统漏洞进行隐蔽的自我复制与传播。6.3.3病毒分类与传播01.四类核心病毒形态引导型病毒：藏匿于磁盘引导扇区，计算机开机时优先加载，抢占系统控制权，隐蔽性极强。文件型病毒：寄生在.exe、.com等可执行文件中，用户执行文件瞬间激活，感染范围广泛。复合型与宏病毒：复合型兼具前两者特征，破坏力翻倍；宏病毒则利用Office宏代码，潜伏在文档中传播。02.互联网传播的主要途径恶意下载与捆绑传播：病毒常伪装成软件破解包、热门影视资源或工具程序，用户下载安装时即被植入，利用“免费”心理诱导点击。邮件附件与开放性风险：通过伪装成重要文件的附件（如合同、报表）诱骗用户打开；互联网的开放性打破了物理隔离，使得病毒可以跨国界、跨网络迅速扩散。03.移动存储介质的威胁直接传染（即插即跑）：U盘、移动硬盘等设备接入电脑时，若自动运行功能开启，病毒程序会立即执行，快速感染本地磁盘文件，是内网传播的主要方式。潜伏传染（种子机制）：病毒会在移动存储中写入Autorun.inf等配置文件，留下“病毒种子”。即使手动关闭自动运行，双击盘符或特定操作仍可能触发激活。总结：病毒传播手段日益隐蔽，结合了网络开放性与移动设备便携性，构建“分类识别+阻断传播”的防御体系至关重要。6.3.5病毒危害与防御01.6大核心危害系统与硬件破坏：恶意占用或禁止分配内存，干扰操作系统正常运行；篡改硬盘数据，破坏主引导扇区与FAT表，导致系统瘫痪无法启动。数据与性能威胁：对文件进行重命名、删除或内容篡改；后台执行大量冗余程序消耗资源，显著降低计算机运行速度，窃取敏感信息造成数据泄露。02.单机防御体系核心技术：特征码扫描法

通过提取病毒程序特有的特征字节串，建立完善的病毒特征库。扫描文件时将内容与库中特征比对，快速识别已知病毒。基础保障：软件动态升级

病毒变种极快，需及时更新反病毒软件与病毒库；同时开启实时监控功能，对文件读写、邮件接收进行即时拦截与查杀。03.网络立体防御多层级技术防护架构

工作站端部署杀毒软件与防火墙，结合防病毒芯片硬件级防护；服务器端配置实时扫描模块，阻断病毒在网络中的传播路径。管理与意识双重加持

建立严格的网络安全管理制度，规范U盘使用与文件传输；定期开展员工安全意识培训，从源头减少人为操作带来的病毒风险。核心总结：病毒防御需构建“技术+管理+意识”的三位一体体系，既要依靠反病毒软件的被动查杀，更要注重主动的安全策略与行为规范。6.4计算机木马01.核心定义计算机木马是一种非复制性的恶意程序，其核心特征是“伪装性”。它表面看似合法软件或文件，诱导用户执行，实际在后台利用系统漏洞植入，进而实施窃取隐私数据、破坏文件、远程控制主机等非法操作，是网络攻击中最常见的手段之一。02.C/S工作原理角色分工：控制端运行客户端程序，受控端（目标机）运行服务器端程序，两者建立秘密通信信道。连接方式：正向连接由服务端监听端口，客户端主动发起连接；反向连接由服务端主动向外连接客户端，能有效穿透防火墙限制，是目前主流方式。03.指令执行流程1.指令发送：控制端通过信道发送攻击指令（如文件操作、屏幕监控）。2.执行反馈：受控端接收并解析指令，在本地执行后保存结果，再将数据回传。3.循环待机：任务完成后，木马服务端持续驻留内存，等待新指令。防范核心：避免运行来源不明的程序，及时修补系统漏洞，关闭非必要端口，部署专业防火墙与杀毒软件。6.4.3木马功能、特征与防御016大核心功能•窃取敏感信息：后台记录键盘输入，窃取各类账号密码与支付信息。•远程文件操控：攻击者可上传、下载、删除目标主机任意文件。•系统权限掌控：修改注册表、安装服务，实现屏幕监控与进程终结。•断网重启控制：强制切断网络或重启设备，破坏系统正常运行。024大核心特征隐蔽性极强隐藏进程与文件目录，常以系统服务名义潜伏，难以察觉。欺骗性伪装伪装成系统补丁或常用软件图标，诱导用户主动点击运行。顽固自启动修改注册表启动项或捆绑系统进程，实现开机即运行。自动恢复性多模块备份文件，进程守护机制确保被删除后自动重生。032种核心防御手段01.端口扫描与连接检测利用系统命令“netstat-ano”查看所有网络连接，重点排查向外发起的未知远程IP连接，及时关闭异常开放的高危端口。02.系统进程与启动项监控通过任务管理器监控CPU/内存占用异常的进程；定期检查注册表启动项（Run/RunOnce）及服务列表，清理不明自启动程序。核心策略：防范木马需结合“主动防御（关闭高危端口/不运行不明程序）”与“被动监测（定期扫描查杀/审计日志）”，构建全方位安全防线。单元小结01.漏洞与端口解析核心定义：漏洞是系统设计或编码中的缺陷，可按成因、来源、威胁等级等维度分类。端口是网络通信的进程入口，分为公认端口、注册端口和动态端口三类。关键应用：通过端口扫描可发现目标开放的服务，是发现系统潜在攻击面的重要手段，需重点防护高危端口的暴露。02.计算机病毒特征本质属性：一种能够自我复制并对计算机系统造成破坏的程序，具备传染性、潜伏性、破坏性等9大典型特征，主要分为引导型、文件型、宏病毒和网络病毒四类。