个人介绍陈兴钰长春方联计算机高级技术培训中心讲师E-mail:chenxy@@hotmail.comTel:0431-85155777/888/999-813网络攻击技术第六、计算机病毒及特洛伊木马一、计算机病毒:二、特洛伊木马:三、计算机病毒及特洛伊木马的清除:一、计算机病毒:(一)、计算机病毒概述:1、什么是计算机病毒:国外最流行的定义为:计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。在《中华人民共和国计算机信息系统安全保护条例》中的定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒是指具有自我复制能力的计算机程序,它能影响计算机软件、硬件的正常运行,破坏数据的正确性与完整性。计算机病毒本身是一个程序、一段可执行代码,具有独特的复制能力,它能够以很快的速度蔓延,并且难以根除。计算机病毒的特性:计算机病毒是一个程序;计算机病毒具有传染性,可以传染其它程序;计算机病毒的传染方式是修改其它程序,把自身拷贝嵌入到其它程序中而实现的;计算机病毒概述(续):2、计算机病毒简史:3、计算机病毒的特征:非授权可执行性:隐蔽性:传染性:潜伏性:表现性或破坏性:可触发性:4、计算机病毒的主要危害:攻击系统数据区攻击文件攻击内存干扰系统运行影响计算机运行速度攻击磁盘干扰网络发送垃圾邮件计算机病毒概述(续):5、计算机病毒的分类:(1).按照病毒的寄生方式分类(2)、按照计算机病毒传染方式进行分类:(3)、按照计算机病毒特有的算法进行分类:6、计算机病毒的工作原理(1)病毒的逻辑结构引导模块传染模块发作(表现和破坏)模块计算机病毒概述(续):(2)病毒的磁盘存储结构:①、系统型病毒的磁盘存储结构:病毒的一部分存放在磁盘的引导扇区中另一部分则存放在磁盘其它扇区中引导型病毒没有对应的文件名字②、文件型病毒的磁盘存储结构:文件型病毒专门感染系统中可执行文件;如COM、EXE文件等。其程序依附在被感染文件的首部、尾部、中部或空闲部位;绝大多数文件型病毒都属于外壳型病毒。(3)病毒的内存驻留结构①系统型病毒的内存驻留结构②文件型病毒的内存驻留结构计算机病毒概述(续):(4)中断与计算机病毒(二)、典型计算机病毒剖析:1.CIH病毒:(1)、CIH病毒的表现形式:(2)、CIH病毒的行为机制:2.蠕虫病毒:(1)、蠕虫病毒的概念及原理:(2)、蠕虫病毒的特性:①、传染方式多:②、传播速度快:③、清除难度大:④、破坏性强:典型计算机病毒剖析(续):3、“尼姆达”病毒:(1)、概念:(2)、病毒特征:(3)、解决办法:4、冲击波病毒:(1)、概念:(2)、病毒特征:5、震荡波(Sasser):(1)、概念:(2)、病毒特征:二、特洛伊木马:1、特洛伊木马概述:(1)、什么是特洛伊木马:①、概念:特洛伊木马――Trojanhorse――简称木马,名称来源与古希腊神话《木马屠城记》。全称为特洛伊木马(TrojanHorse)。作为网络攻击程序,特洛伊木马程序与神话中的木马具有相同的功能,“一经潜入,后患无穷!”。完整的特洛伊木马由服务端程序和控制端程序两部分组成。通常说中了木马是指系统中被安装了特洛伊木马的服务端程序,此时控制端程序可以通过网络控制该系统,为所欲为。可以说,它是一种非常危险的攻击形式。目前常见的特洛伊木马主要有冰河、NC、广外幽灵、SubSeven和BO2000等。特洛伊木马(续):②、特洛伊木马的特点:特洛伊木马有以下的特点:(1)主程序有两个,一个是服务端,另一个是控制端。(2)服务端需要在主机执行。(3)一般特洛伊木马程序都是隐蔽的进程。(4)当控制端连接服务端主机后,控制端会向服务端主机发出命令。而服务端主机在接受命令后,会执行相应的任务。(5)每个系统都存在特洛伊木马。(包括Windows,Unix,liunx等)③、特洛伊木马的工作过程:(2)、特洛伊木马的危害:特洛伊木马(续):(3)、特洛伊木马的种类:①、远程控制类特洛伊木马:②、信息窃取类特洛伊木马:③、破坏类特洛伊木马:④、端口反弹类特洛伊木马:(4)、特洛伊木马的植入方法:①、修改图标:②、捆绑文件:③、出错显示:④、自我销毁:⑤、服务端程序更名:特洛伊木马(续):(5)、系统被植入特洛伊木马之后的现象:TCP端口被开启、注册表被修改:浏览器自动运行:弹出窗口:系统配置被修改:硬盘频繁读写:特洛伊木马(续):2、冰河:(1)、冰河简介:①、冰河的主要功能:自动跟踪目标机屏幕变化记录各种口令信息:获取系统信息:限制系统功能:远程文件操作:注册表操作:发送信息:点对点通讯:②、冰河的组成:特洛伊木马(续):G_Server.exe(服务端程序/被监控端程序):在目标系统的后台运行实时监控程序,该程序运行一次即自动安装,并可以任意更改名称。G_Client.exe(控制端程序):用于远程控制被安装了服务端程序的系统和配置服务端程序。(2)、启用冰河:①、植入冰河的服务端程序:②、冰河控制端:(3)、冰河的使用:三、计算机病毒及特洛伊木马的清除:正常用户启动模式下:计算机病毒及特洛伊木马的清除(续):安全模式下:计算机病毒及特洛伊木马的清除(续):运行CMD后,显示:计算机病毒及特洛伊木马的清除(续):瑞星杀毒后:计算机病毒及特洛伊木马的清除(续):瑞星杀毒后隔离区信息:计算机病毒及特洛伊木马的清除(续):1、计算机病毒防范的总体措施:(1)、用户计算机病毒防范:①、用户计算机病毒防范的基本措施:②、客户端应用程序的防病毒设置:(2)、网络服务器病毒防范基本措施:(3)、邮件服务器病毒防范:①、SMTP网关扫描程序:②、集成的服务器扫描程序:计算机病毒及特洛伊木马的清除(续):2、网络防病毒系统部署:(1)、单机防病毒软件与网络防病毒系统:(2)、SymantecAntiVirusCorporateEdition:(3)、部署过程:①、安装网络防病毒系统管理平台:②、安装服务器端:③、配置网络防病毒系统一级服务器:④、安装网络防病毒系统客户端:计算机病毒及特洛伊木马的清除(续):3、特洛伊木马的防范措施:(1)、安装防病毒软件并及时升级:(2)、安装个人防火墙软件:(3)、提高安全意识:4、特洛伊木马的定位与清除:(1)、系统被植入特洛伊木马之后的现象:TCP端口被开启、注册表被修改:浏览器自动运行:弹出窗口:系统配置被修改:硬盘频繁读写:计算机病毒及特洛伊木马的清除(续):(2)、手动检查:任务管理器:Msconfig命令:Netstat命令:5、手动清除计算机病毒及特洛伊木马:清除计算机病毒流程:计算机中毒断开网络连接查看主机进程记录异常进程名称结束异常进程启动杀毒软件全盘扫描、杀毒清除隔离病毒完毕安全模式ntsd清除临时文件修复注册表C:\DocumentsandSettings\Username\LocalSettings\TempC:\DocumentsandSettings\Username\LocalSettings\TemporaryInternetFilesC:\Windows\Temp手动查杀所有本地磁盘根目录C:\Windows\C:\Windows\System32\.exe/.com/.dll/.bat/.tmp/.ini/.infNONONO带命令行提示的安全模式结束谢谢!