第5章b1 特洛伊木马关键技术

特洛伊木马攻击技术与防范策略敬晓芳（中国工程物理研究院化工材料研究所，绵阳629100）摘要：特洛伊木马是一种程序，它驻留在目标计算机里，随计算机自动启动并在某一端口进行侦听，对接收的数据识别后，对目标计算机执行特定的操作。

其隐蔽性强，种类数量繁多，危害性很大。

本文介绍了木马的攻击原理、常用攻击技术以及防范策略。

关键词：特洛伊木马；驻留；攻击技术；防范策略1引言特洛伊木马（Trojan Horse），简称木马，是一种程序，这种程序被包含在合法的或表面上无害的程序上的恶意程序。

其实质只是一个通过端口进行通信的网络客户/服务程序。

木马具有很强的隐蔽性，而且能够自启动，并进行自我保护。

木马属于“外来代码”的范畴，它表面上提供一些令人感兴趣的有用的功能，但除了用户能看到的功能以外，这种程序还通过内嵌的特殊代码执行一些用户所不知道的恶意的功能。

木马的制造者常常是将一些特殊的代码添加到正常的应用程序代码中来实现这些隐藏的特殊的功能。

对攻击者而言，使用外来代码的关键优势之一就是，通过将非本地代码或二进制代码引入操作系统环境，从而断绝与系统或网络管理员所控制资源的依赖性。

相比较而言，添加或修改系统帐户，或直接操纵其他系统资源，可能被警惕性高的管理员发现，而安装一个“外来代码”则可以在一段时间内不被发现，尤其是通过对操作系统做广泛的修改可使其隐蔽性更好。

随着计算机技术的发展，木马的功能越来越强大，隐蔽性和破坏性不断提高，其数量也在急剧增加。

2木马的原理和种类自木马程序诞生至今，己经出现了多种类型，常见的有玩笑型、破坏型、密码发送型、远程访问型、键盘记录型、代理木马、反弹端口型木马等。

大多数的木马都不是单一功能的木马，它们往往是很多种功能的集成品，因此，此处也只能给出一个大致的分类。

（1）玩笑型玩笑木马程序不造成损坏，但会从计算机的扬声器中发出惹人讨厌的声音，让计算机屏幕看起来七扭八歪，或在屏幕上显示吓人的信息，如“现在正在格式化硬盘！”虽然这类木马程序非常气人，让人厌烦，但它们是无害的，很容易删除。

第5章恶意代码第5章恶意代码――欺骗与隐藏何路helu@本章主要内容 5.1 恶意代码概述 5.2 恶意代码攻击模型5.3 特洛伊木马的植入技术 5.4 特洛伊木马的隐藏技术 5.5 特洛伊木马的检测与防范何路计算机网络安全案例20XX年5月4日，一种名为“我爱你”的电脑病毒开始在全球各地迅速传播。

这个病毒是通过Microsoft Out ook电子邮件系统传播的，邮件的主题为“I LOVE YOU”并包含一个附件。

一旦在Microsoft Ou tlook里打开这个邮件，系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。

计算机网络安全何路案例20XX年1月25日，突如其来的“SQL”蠕虫，不亚于让人们不能忘怀的“9.11”事件。

互联网遭遇到全球性的病毒攻击，此病毒的病毒体极其短小,却具有极强的传播性。

何路计算机网络安全20XX年网络安全事件类型统计何路计算机网络安全不同类别病毒比例图何路计算机网络安全恶意代码定义早期恶意代码的主要形式是计算机病毒。

80年代，计算机病毒被定义为一种在运行过程中可以复制自身的破坏性程序。

90年代末，计算机病毒被定义为，经过存储介质和网络进行传播，从一台计算机系统到另外一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码何路计算机网络安全恶意代码包括何路计算机病毒(Computer Virus) 特洛伊木马(Trojan Horse) 计算机蠕虫(Worms) 逻辑炸弹(Logic Bombs) 用户级RootKit 内核级RootKit 脚本恶意代码(Malicious scripts) 恶意ActiveX控件其它恶意代码计算机网络安全计算机病毒计算机病毒是指能实现自我复制的程序或可执行代码，这些程序或代码可以破坏计算机的功能或者毁坏数据，影响计算机的正常使用。

计算机病毒一般分为三个部分：初始化部分感染部分功能部分何路计算机网络安全蠕虫网络蠕虫是一种智能化、自动化的攻击程序或代码，它综合了网络攻击、密码学和计算机病毒技术。

特洛伊木马分析特洛伊木马分析摘要在计算机如此普及的网络时代，病毒对于我们来说早已不是一个新鲜的名词，而通常被称为木马病毒的特洛伊木马也被广为所知，为了更好的保护自己的电脑我们应该了解跟多有关特洛伊病毒的信息。

本文对该病毒原理、预防和清除进行了详细的阐述，并对此发表了一些个人的看法。

关键词特洛伊木马病毒木马特洛伊木马是一种特殊的程序，它们不感染其他文件，不破坏系统，不自身复制和传播。

在它们身上找不到病毒的特点，但它们们仍然被列为计算机病毒的行列。

它们的名声不如计算机病毒广，但它们的作用却远比病毒大。

利用特洛伊木马，远程用户可以对你的计算机进行任意操作（当然物理的除外），可以利用它们传播病毒，盗取密码，删除文件，破坏系统。

于是这个在网络安全界扮演重要角色，课进行超强功能远程管理的“功臣”，自然而然也被列为受打击的行列。

在网络上，各种各样的特洛伊木马已经多如牛毛，它们和蠕虫病毒、垃圾邮件一起构成了影响网络正常秩序的三大害。

下面我就来说说特洛伊木马的特点、工作原理、预防和清除的方法，以及我自己对木马病毒及其防护方法的一些见解。

一．什么是特洛伊木马特洛伊木马简称木马，英文名为Trojan。

它是一种不同于病毒，但仍有破坏性的程序，普通木马最明显的一个特征就是本身可以被执行，所以一般情况下它们是由.exe文件组成的，某些特殊木马也许还有其他部分，或者只有一个.dll文件。

木马常被用来做远程控制、偷盗密码等活动。

惯用伎俩是想办法让远程主机执行木马程序，或者主动入侵到远程主机，上传木马后再远程执行。

当木马在远程主机被执行后，就等待可控制程序连接，一旦连接成功，就可以对远程主机实施各种木马功能限定内的操作。

功能强大的木马可以在远程主机中做任何事情，就如同在自己的机器上操作一样方便。

可见，木马实际上就是一个具有特定功能的可以里应外合的后门程序，将其与其他的病毒程序结合起来造成的危害将会是相当大的。

二．木马的工作原理当木马程序或藏有木马的程序被执行后，木马首先会在系统中潜伏下来，并会想办法使自己在每次开机时自动加载，以达到长期控制目标的目的。

1. 特洛伊木馬程式原理7n一、引言otnpy特洛伊木馬是Trojan Horse 的中譯，是借自"木馬屠城記"中那只木馬的名稱。

古希臘有大軍圍攻特洛伊城，逾年無法攻下。

有人獻計製造一隻高二丈的大木馬假裝作戰馬神，攻擊數天後仍然無功，遂留下木馬拔營而去。

城中得到解圍的消息，及得到"木馬"這個奇異的戰利品，全城飲酒狂歡。

到午夜時份，全城軍民盡入夢鄉，匿於木馬中的將士開暗門垂繩而下，開啟城門及四處縱火，城外伏兵湧入，焚屠特洛伊城。

後世稱這只木馬為"特洛伊木馬"，現今電腦術語借用其名，意思是"一經進入，後患無窮"。

特洛伊木馬原則上它和Laplink 、PCanywhere 等程式一樣，只是一種遠端管理工具。

而且本身不帶傷害性，也沒有感染力，所以不能稱之為病毒(也有人稱之為第二代病毒)；但卻常常被視之為病毒。

原因是如果有人不當的使用，破壞力可以比病毒更強。

iagavi©摩尼BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請BBS網路社區-- 音樂.歌詞.小遊戲.MTV.桌布.圖庫.笑話.影片.星座.下載.動漫畫.免費留言板申請E(/I 二、木馬攻擊原理cHt特洛伊木馬是一個程式，它駐留在目標電腦裡，可以隨電腦自動啟動並在某一連接進行偵聽，在對接收的資料識別後，對目標電腦執行特定的****作。

木馬，其實只是一個使用連接進行通訊的網路客戶/伺服器程式。

e2/基本概念：網路客戶/伺服器模式的原理是一台主機提供伺服器(伺服端)，另一台主機接受伺服器(客戶端)。

作為伺服端的主機一般會開啟一個預設的連接埠並進行監聽(Listen)，如果有客戶端向伺服端的這一連接埠提出連接請求(Connect Request)，伺服端上的相對應程式就會自動執行，來回覆客戶端的請求。

對於特洛伊木馬，被控制端就成為一台伺服器。

第01章作业一、判断题1）开发一个新产品、完成一份订单、聘用一位新员工等均是企业业务流程的例子。

2）完全数字化的公司只提供数字化产品或服务。

3）信息技术是指企业用于支持业务目标的所有硬件,而信息系统包括所有软件和必要的业务流程。

4)信息系统的维度包括管理、组织和信息技术.5）知识工作者是指承担企业所有层面的书面工作的工作者。

6）企业有四个主要的业务职能: 销售和营销、生产和制造、财务和会计，以及信息技术.7)内联网（Intranets）允许企业与第三方供应商方便地协作。

8）一直以来的研究表明，对IT投资较多的企业比投资较少的企业能够获得更多的收益。

9）企业对有效业务流程的投资是对组织互补性资产的一种投资.10）信息系统的行为方法通常不关注技术解决方案，而是分析系统的心理、社会和经济方面的影响。

二、选择题1）信息技术6个重要的业务目标是新产品、新服务和新商业模式;与客户和供应商的密切关系；企业生存;竞争优势;卓越运营;以及（）。

A) 改善灵活性B) 改善决策C）改善业务实践D) 改善效率2）企业出于必要性而使用信息系统，体现了哪种业务目标？A）企业生存B）改善业务实践C）竞争优势D）改善灵活性3）以下哪种目标较好地描述了本章讨论的案例--迪斯尼运营指挥中心所实施技术背后的业务战略？A) 卓越运营B) 新产品和新服务C) 竞争优势D）客户支持4）组织利用信息系统中哪三类活动产生的信息来控制运营的?A) 信息检索、研究和分析B）输入、输出和反馈C）输入、处理和输出D）数据分析、处理和反馈5）被公司大多数员工所接受的一组基本的假设、价值观和做事方式称为A) 文化B）环境C）氛围D）价值观6) 企业利用信息系统创造新的产品和服务的一个例子是A) 沃尔玛的零售链（RetailLink）系统B) 文华东方(Mandarin Oriental）酒店的客户偏好追踪系统C）威瑞森电信（Verizon）公司基于Web的数字仪表板D）苹果公司的 iPod7) 企业利用信息系统与客户和供应商建立密切关系的一个例子是A) 沃尔玛的零售链（RetailLink）系统B) 文华东方（Mandarin Oriental)酒店的客户偏好追踪系统C）威瑞森电信(Verizon）公司基于Web的数字仪表板D) 苹果公司的 iPod8) 保持组织的财务记录是哪个主要业务职能部门的核心目的？A）制造和会计B）财务和会计C）销售和制造D）财务和销售。

一 判断题1501 通用入侵检测框架（CIDF)模型中,____的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件.A 事件产生器B 事件分析器C 事件数据库D 响应单元 1502基于网络的入侵检测系统的信息源是____。

A 系统的审计日志B 系统的行为数据C 应用程序的事务日志文件 D 网络中的数据包1503 误用入侵检测技术的核心问题是____的建立以及后期的维护和更新。

A 异常模型B 规则集处理引擎C 网络攻击特征库D 审计日志 1504 ____是在蜜罐技术上逐步发展起来的一个新的概念，在其中可以部署一个或者多个蜜罐,来构成一个黑客诱捕网络体系架构。

A 蜜网B 鸟饵C 鸟巢D 玻璃鱼缸 1505下面关于响应的说法正确的是____。

A 主动响应和被动响应是相互对立的，不能同时采用B 被动响应是入侵检测系统中的唯一响应方式C 入侵检测系统提供的警报方式只能是显示在屏幕上的警告信息或窗口 D 主动响应的方式可以是自动发送邮件给入侵发起方的系统管理员请求协助以识别问题和处理问题1506下面说法错误的是____。

A 由于基于主机的入侵检测系统可以监视一个主机上发生的全部事件，它们能够检测基于网络的入侵检测系统不能检测的攻击B 基于主机的入侵检测可以运行在交换网络中 C 基于主机的入侵检测系统可以检测针对网络中所有主机的网络扫描 D 基于应用的入侵检测系统比起基于主机的入侵检测系统更容易受到攻击，因为应用程序日志并不像操作系统审计追踪日志那样被很好地保护1507使用漏洞库匹配的扫描方法,能发现____。

A 未知的漏洞 B 已知的漏洞 C 自行设计的软件中的漏洞D 所有漏洞1508下面____不可能存在于基于网络的漏洞扫描器中。

A 漏洞数据库模块B 扫描引擎模块C 当前活动的扫描知识库模块 D 阻断规则设置模块1509网络隔离技术，根据公认的说法，迄今已经发展了____个阶段。

A 六B 五C 四D 三 1510下面关于隔离网闸的说法，正确的是____。

特洛伊⽊马原理分析特洛伊⽊马是如何⼯作的 ⼀般的⽊马程序都包括客户端和服务端两个程序，其中客户端是⽤于攻击者远程控制植⼊⽊马的机器，服务器端程序即是⽊马程序他所做的第⼀步是要把⽊马的服务器端。

攻击者要通过⽊马攻击你的系统，程序植⼊到你的电脑⾥⾯。

⽬前⽊马⼊侵的主要途径还是先通过⼀定的⽅法把⽊马执⾏⽂件弄到被攻击者的电脑系统⾥，利⽤的途径有邮件附件、下载软件中等，然后通过⼀定的提⽰故意误导被攻击者打开执⾏⽂件，⽐如故意谎称这个⽊马执⾏⽂件，是你朋友送给你贺卡，可能你打开这个⽂件后，确实有贺卡的画⾯出现，但这时可能⽊马已经悄悄在你的后台运⾏了。

⼀般的⽊马执⾏⽂件⾮常⼩，⼤部分都是⼏K到⼏⼗K，如果把⽊马捆绑到其他正常⽂件上，你很难发现，所以，有⼀些⽹站提供的软件下载往往是捆绑了⽊马⽂件的，你执⾏这些下载的⽂件，也同时运⾏了⽊马。

⽊马也可以通过Script、ActiveX及Asp.CGI交互脚本的⽅式植⼊，由于微软的浏览器在执⾏Senipt脚本存在⼀些漏洞。

攻击者可以利⽤这些漏洞传播病毒和⽊马，甚⾄直接对浏览者电脑进⾏⽂件操作等控制。

前不久献出现⼀个利⽤微软Scripts脚本漏洞对浏览者硬盘进⾏格式化的HTML页⾯。

如果攻击者有办法把⽊马执⾏⽂件下载到攻击主机的⼀个可执⾏WWW⽬录夹⾥⾯，他可以通过编制CGI程序在攻击主机上执⾏⽊马⽬录。

此外，⽊马还可以利⽤系统的⼀些漏洞进⾏植⼈，如微软著名的US服务器溢出漏洞，通过⼀个IISHACK攻击程序即可使IIS服务器崩溃，并且同时攻击服务器，执⾏远程⽊马执⾏⽂件。

当服务端程序在被感染的机器上成功运⾏以后，攻击者就可以使⽤客户端与服务端建⽴连接，并进⼀步控制被感染的机器。

在客户端和服务端通信协议的选择上，绝⼤多数⽊马使⽤的是TCP/IP协议，但是也有⼀些⽊马由于特殊的原因，使⽤UDP协议进⾏通讯。

当服务端在被感染机器上运⾏以后，它⼀⽅⾯尽量把⾃⼰隐藏在计算机的某个⾓落⾥⾯，以防被⽤户发现；同时监听某个特定的端⼝，等待客户端与其取得连接;另外为了下次重启计算机时仍然能正常⼯作。

特洛伊⽊马攻防介绍 ⽊马程序⽤“瞒天过海”或“披着⽺⽪的狼”之类的词来形容这类程序⼀点也不为过,直截了当的说法是⽊马有两个程序,⼀个是服务器程序,⼀个是控制器程序,当你的电脑运⾏了服务器程序后下⾯由店铺给你做出详细的特洛伊密码攻防介绍!希望对你有帮助! 特洛伊⽊马攻防介绍： 特洛伊⽊马是什么： ⼀个⽊马要⼯作,那麽其服务器程序必须在⽬标上运⾏,没有⼈会主动要求去运⾏它,但是会有这麽⼀天,有⼈对你抱以和善的微笑说,"我这有⼀个好游戏""我有漂亮的MM屏保和你分享⼀下"等等,当你打开这些所谓的程序时,⼀个宿主程序已经悄悄潜⼊你的机⼦,第⼀步就这样完成了,这完全是我们疏于防范造成的. 然后,⽊马⼀般会在以下三个地⽅安营扎寨:注册表、win.ini、system.ini,因为电脑启动的时候,需要装载这三个⽂件,⼤部分⽊马是使⽤这三种⽅式启动的.也有捆绑⽅式启动的,⽊马phAse 1.0版本和NetBus 1.53版本就可以以捆绑⽅式装到⽬标电脑上,可以捆绑到启动程序上,也可以捆绑到⼀般程序的常⽤程序上.如果捆绑到⼀般的程序上,启动是不确定的,这要看⽬标电脑主⼈了,如果他不运⾏,⽊马就不会进⼊内存.捆绑⽅式是⼀种⼿动的安装⽅式,⼀般捆绑的是⾮⾃动⽅式启动的⽊马.⾮捆绑⽅式的⽊马因为会在注册表等位置留下痕迹,所以,很容易被发现,⽽捆绑⽊马可以由⿊客⾃⼰确定捆绑⽅式、捆绑位置、捆绑程序等,位置的多变使⽊马由很强的隐蔽性. ⽊马的服务器程序⽂件⼀般位置是在c:\windows和c:\windows\system中,为什么要在这两个⽬录下,因为windows的⼀些系统⽂件在这两个位置,如果你误删了⽂件,你的电脑可能崩溃,你不得不重新安装系统. ⽊马的⽂件名更是⼀种学问,⽊马的⽂件名尽量和windows的系统⽂件接近,这样你就会弄糊涂了,⽐如⽊马SubSeven 1.7版本的服务器⽂件名是c:\windows\KERNEL16.DL,⽽windows由⼀个系统⽂件是c:\windows\KERNEL32.DLL,他们之差⼀点点,但是删错了的话,结果可⼤不相同的哦,删除KERNEL32.DLL会让你死翘翘的哦.再⽐如,⽊马phAse 1.0版本,⽣成的⽊马是C:\WINDOWS\System\Msgsrv32.exe,愣是和windows的系统⽂件C:\WINDOWS\System\Msgsrv32.exe⼀模⼀样,只是图标有点两样,你可不要删错了哦.上⾯两个是假扮系统⽂件的类型,我们再来看看⽆中⽣有的类型,⽊马SubSeven 1.5版本服务器⽂件名是c:\windows\window.exe,看清楚了哦,少⼀个s的哦,如果不告诉你这是⽊马,你有胆⼦删吗? 但是⽊马有⼀个致命的缺点,相对固定的端⼝,⿊客要进⼊你的电脑,必须要有通往你电脑的途径,也就是说,⽊马必须打开某个端⼝,⼤家叫这个端⼝为“后门”,⽊马也叫“后门⼯具”.这个不得不打开的后门是很难隐蔽的,只能采取混淆的办法,很多⽊马的端⼝是固定的,让⼈⼀眼就能看出是什么样的⽊马造成的.所以,端⼝号可以改变,这是⼀种混淆的办法.我们知道7306是⽊马netspy的,⽊马SUB7可以改变端⼝号,SUB7默认的端⼝是1243,但是如果把1243端⼝改成了7306呢,呵呵,⼀定会把⽬标电脑的主⼈弄混淆了.有些⼈会问,要是这个端⼝会⾃动改变那该多好呀,每次上⽹端⼝号⾃动改变,呵呵,真聪明,可惜聪明过头了.⽐如,真有这样的⽊马装在我的电脑上,每次上⽹的端⼝均会改变,你是⿊客,你打算怎么进⼊我的电脑呢?你知道这个⽊马现在开放的端⼝号是多少吗?想扫描我的电脑?端⼝⼀共有6万多个,你什么时候扫描完毕?半个⼩时,呵呵,我早发现了,早把你炸死了.即使我是菜鸟⼀个,你这样⾼速度扫描我的电脑,也会导致我的电脑通讯阻塞,谁会在⽹速⾮常慢的情况下在⽹络上待半个⼩时?所以,这基本上是不太可能的事情. ⽊马有很强的隐蔽性,在WINDOWS中,如果某个程序出现异常,⽤正常的⼿段不能退出的时候,采取的办法时按“Ctrl+Alt+Del"键,跳出⼀个窗⼝,找到需要终⽌的程序,然后关闭它.早期的⽊马会在按“Ctrl+Alt+Del"显露出来,现在⼤多数⽊马已经看不到了.所以只能采⽤内存⼯具来看内存中时候存在⽊马. ⽊马还具有很强潜伏的能⼒,表⾯上的⽊马被发现并删除以后,后备的⽊马在⼀定的条件下会跳出来.这种条件主要是⽬标电脑主⼈的操作造成的.我们先来看⼀个典型的例⼦：⽊马Glacier(冰河1.2正式版)现在已经升级到3.0版, 这个⽊马有两个服务器程序,C:\WINDOWS\SYSTEM\Kernel32.exe挂在注册表的启动组中,当电脑启动的时候,会装⼊内存,这是表⾯上的⽊马.另⼀个是C:\WINDOWS\SYSTEM\Sysexplr.exe,也在注册表中,它修改了⽂本⽂件的关联,当你点击⽂本⽂件的时候,它就启动了,它会检查Kernel32.exe是不是存在,如果存在的话,什么事情也不做.当表⾯上的⽊马Kernel32.exe被发现并删除以后,⽬标电脑的主⼈可能会觉得⾃⼰已经删除⽊马了,应该是安全的了.如果⽬标电脑的主⼈在以后的⽇⼦中点击了⽂本⽂件,那么这个⽂件⽂件照样运⾏,⽽Sysexplr.exe被启动了.Sysexplr.exe会发现表⾯上的⽊马Kernel32.exe已经被删除,就会再⽣成⼀个Kernel32.exe,于是,⽬标电脑以后每次启动电脑⽊马⼜被装上了. 说了这麽多,是不是感到很恐怖,很上⽕,别着急,清凉解暑药马上就到. 特洛伊密码攻防办法： 特洛伊密码攻防办法1.必须提⾼防范意识,不要打开陌⽣⼈信中的附件,哪怕他说的天花乱坠,熟⼈的也要确认⼀下来信的原地址是否合法. 特洛伊密码攻防办法2.多读readme.txt.许多⼈出于研究⽬的下载了⼀些特洛伊⽊马程序的软件包,在没有弄清软件包中⼏个程序的具体功能前,就匆匆地执⾏其中的程序,这样往往就错误地执⾏了服务器端程序⽽使⽤户的计算机成为了特洛伊⽊马的牺牲品.软件包中经常附带的readme.txt⽂件会有程序的详细功能介绍和使⽤说明,尽管它⼀般是英⽂的,但还是有必要先阅读⼀下,如果实在读不懂,那最好不要执⾏任何程序,丢弃软件包当然是最保险的了.有必要养成在使⽤任何程序前先读readme.txt的好习惯. 值得⼀提的是,有许多程序说明做成可执⾏的readme.exe形式,readme.exe往往捆绑有病毒或特洛伊⽊马程序,或者⼲脆就是由病毒程序、特洛伊⽊马的服务器端程序改名⽽得到的,⽬的就是让⽤户误以为是程序说明⽂件去执⾏它,可谓⽤⼼险恶.所以从互联⽹上得来的readme.exe最好不要执⾏它. 特洛伊密码攻防办法3.使⽤杀毒软件.现在国内的杀毒软件都推出了清除某些特洛伊⽊马的功能,如KV300、KILL98、瑞星等等,可以不定期地在脱机的情况下进⾏检查和清除.另外,有的杀毒软件还提供⽹络实时监控功能,这⼀功能可以在⿊客从远端执⾏⽤户机器上的⽂件时,提供报警或让执⾏失败,使⿊客向⽤户机器上载可执⾏⽂件后⽆法正确执⾏,从⽽避免了进⼀步的损失,但是要记住,它不是万能的. 特洛伊密码攻防办法4.⽴即挂断.尽管造成上⽹速度突然变慢的原因有很多,但有理由怀疑这是由特洛伊⽊马造成的,当⼊侵者使⽤特洛伊的客户端程序访问你的机器时,会与你的正常访问抢占宽带,特别是当⼊侵者从远端下载⽤户硬盘上的⽂件时,正常访问会变得奇慢⽆⽐.这时,你可以双击任务栏右下⾓的连接图标,仔细观察⼀下“已发送字节”项,如果数字变化成1～3kbps(每秒1～3千字节),⼏乎可以确认有⼈在下载你的硬盘⽂件,除⾮你正在使⽤ftp功能.对TCP/IP端⼝熟悉的⽤户,可以在“MS-DOS⽅式”下键⼊“netstat-a"来观察与你机器相连的当前所有通信进程,当有具体的IP正使⽤不常见的端⼝(⼀般⼤于1024)与你通信时,这⼀端⼝很可能就是特洛伊⽊马的通信端⼝.当发现上述可疑迹象后,你所能做的就是：⽴即挂断,然后对硬盘有⽆特洛伊⽊马进⾏认真的检查. 特洛伊密码攻防办法5.观察⽬录.普通⽤户应当经常观察位于c：\、c：\windows、c：\windows\system这三个⽬录下的⽂件.⽤“记事本”逐⼀打开c：\下的⾮执⾏类⽂件(除exe、bat、com以外的⽂件),查看是否发现特洛伊⽊马、击键程序的记录⽂件,在c：\Windows或c：\Windows\system下如果有光有⽂件名没有图标的可执⾏程序,你应该把它们删除,然后再⽤杀毒软件进⾏认真的清理. 特洛伊密码攻防办法6.在删除⽊马之前,最最重要的⼀项⼯作是备份,需要备份注册表,防⽌系统崩溃,备份你认为是⽊马的⽂件,如果不是⽊马就可以恢复,如果是⽊马你就可以对⽊马进⾏分析.不同的不马有不同的清除⽅法,由于涉及⾯太⼤,这⾥就不详述了. 总之不管你喜欢不喜欢,⽊马总是存在的,你只有去多多少少的了解⼀些⽊马的知识,才不⾄于遭⼈暗算,警惕啊,我的朋友,在茫茫的⼤海中,总有那麽⼀双眼睛在窥视着你.。

特洛伊的故事木马计_特洛伊木马计神话故事《木马计》，古希腊神话故事。

是《特洛伊的故事》中的第五十三个篇章。

这个是史上著名的战略之一!这个计策使得久攻不下的特洛伊城一夜之间崩塌!下面跟小编来看看特洛伊的故事木马计，希望能帮到大家!特洛伊的故事木马计希腊人围攻特洛伊城，久久不能得手。

于是，占卜家和预言家卡尔卡斯召集会议，他说："你们用这种办法攻城是没有用的。

听着，我昨天看到一个预兆：一只雄鹰追逐一只鸽子。

鸽子飞进岩缝里躲了起来。

雄鹰在山岩旁等了许久，鸽子就是不出来。

雄鹰便躲在附近的灌木丛中。

这只蠢鸽子飞了出来。

雄鹰立即扑上去，用利爪抓住了它。

我们应该以这只雄鹰为榜样。

对特洛伊城不能强攻，而应智取。

"他说完后，英雄们绞尽脑汁，要想出一个计谋来尽快结束这场可怕的，但他们想不出来。

最后，奥德修斯想出一个妙计。

"朋友们，你们知道怎么办吗?"说着，他禁不住提高了声音，"让我们造一个巨大的木马，让马腹里尽可能地隐藏足够多的希腊人。

其余的人则乘船离开特洛伊海岸，撤退到忒涅多斯岛。

在出发前必须把军营彻底烧毁，让特洛伊人在城墙上看见烟火，不存戒备，大胆地出城活动。

同时我们让一个特洛伊人不认识的士兵，冒充逃难的人混进城去，告诉他们说，希腊人为了撤退，准备把他杀死献祭神衹，但他设法逃脱了。

他还要说，希腊人造了一个巨大的木马，献给特洛伊人的敌人帕拉斯·雅典娜，他自己就是躲在马腹下面，等到敌人撤退后才偷偷地爬出来的。

这位士兵必须能对特洛伊人复述这个故事，并要说得实有其事，使特洛伊人不致怀疑。

特洛伊人一定会同情这个可怜的外乡人，将他带进城去。

在那里，他设法说动特洛伊人把木马拖进城内。

当我们的敌人熟睡时，他将给我们发出预定的暗号。

这时，躲藏在木马里的人赶快爬出来，并点燃火把召唤隐蔽在忒涅多斯岛附近的战士们。

这样，我们就能用剑与火一举摧毁特洛伊城。

"奥德修斯说出了他的计策，大家都惊叹他的妙计。

精心整理
特洛伊木马的故事特洛伊木马计是什么
大约在公元前13世纪，希腊人和特洛伊人之间发生了一场战争。

希腊人联合起来攻打特洛伊城，但特洛伊城是个十分坚固的城市，希腊人攻打了9年也没有打下来。

第10年的一天早晨，希腊联军的战舰突然扬帆离去，平时喧闹的战场变得寂静无声。

特洛伊人以为希腊人撤军回国了，他们跑到城外，发现海滩上留有一个
从此，“当心希腊人造的礼物”这一名言在世界各地流传开来，它提醒人们要警惕和防止被对手钻进自己的心脏。

“特洛伊木马”成了“挖心战”的同义语，比喻打进对手心脏的战术。

所以，有人将那些会将自己伪装成某种应用程序来吸引使用者下载或执行，并进而破坏使用者电脑资料或窃取其他信息的程序，成为“特洛伊木马”病毒。

精心整理
---来源网络，仅供分享学习2/2。

第一章计算机信息安全技术概述1、计算机信息系统安全的威胁因素主要有哪些?(1)人为无意失误(2)人为恶意攻击(3)计算机软件的漏洞和后门2、从技术角度分析引起计算机信息系统安全问题的根本原因。

(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全3、信息安全的CIA指的是什么?Confidenciality 隐私性,也可称为机密性,是指只有授权的用户才能获取信息Integrity 完整性,是指信息在传输过程中,不被非法授权和破坏,保证数据的一致性Availability 可用性,是指信息的可靠度4、简述PPDR安全模型的构成要素及运作方式PPDR由安全策略,防护,检测和响应构成运作方式:PPDR模型在整体的安全策略的控制和指导下,综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的安全响应将系统调整在一个相对安全的状态。

防护,检测和响应构成一个完整的、动态的安全循环。

5、计算机信息安全研究的主要内容有哪些?(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全6、计算机信息安全的定义是什么?计算机信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及信息系统实施防护,检测和恢复的科学7、信息安全系统中,人、制度和技术之间的关系如何?在信息安全系统中,人是核心。

任何安全系统的核心都是人。

而技术是信息安全系统发展的动力,技术的发展推动着信息安全系统的不断完善。

信息安全系统不仅要靠人和技术,还应该建立相应的制度以起到规范的作用。

只有三者的完美结合,才有安全的信息安全系统第二章密码技术一、选择题1．下列（RSA算法）算法属于公开密钥算法。

2.下列（天书密码）算法属于置换密码。

3.DES加密过程中，需要进行（16）轮交换。

二、填空题1.给定密钥K=10010011，若明文为P=11001100，则采用异或加密的方法得到的密文为01011111 。

第一章计算机病毒概述1.※计算机病毒定义计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

2.※计算机病毒的特性破坏性传染性寄生性隐蔽性触发（潜伏）性3.※计算机病毒的发展趋势是什么？哪些病毒代表了这些趋势？病毒发展趋势：网络化专业化简单化多样化自动化犯罪化代表病毒：蠕虫、木马4. ※计算机病毒的主要危害直接危害：（1）病毒激发对计算机数据信息的直接破坏作用（2）占用磁盘空间和对信息的破坏（3）抢占系统资源（4）影响计算机运行速度（5）计算机病毒错误与不可预见的危害（6）计算机病毒的兼容性对系统运行的影响间接危害：（1）计算机病毒给用户造成严重的心理压力（2）造成业务上的损失（3）法律上的问题5. ※计算机病毒和医学上的病毒相似之处是什么？区别又是什么？相似之处：与生物医学上的病毒同样有寄生、传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来区别：不是天然存在，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。

6．（了解）木马病毒（闪盘窃密者、证券大盗、外挂陷阱、我的照片我正向外闪）7．※计算机病毒的命名规则1991年计算机反病毒组织(CARO)提出了一套命名规则，病毒的命名包括五个部分：•家族名•组名•大变种•小变种•修改者CARO规则的一些附加规则包括：•不用地点命名•不用公司或商标命名•如果已经有了名字就不再另起别名•变种病毒是原病毒的子类举例说明：精灵（Cunning）是瀑布（Cascade）的变种，它在发作时能奏乐，因此被命名为Cascade.1701.A。

Cascade是家族名，1701是组名。

因为Cascade病毒的变种的大小不一（1701, 1704, 1621等），所以用大小来表示组名。

A 表示该病毒是某个组中的第一个变种。

业界补充：反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。