计算机病毒与木马

1.木马的定义 2.木马的特征 3.木马的功能 4.木马的种类 5.木马的伪装方式 6.木马的危害 7.木马的查杀
木马的定义
木马通过一段特定的程序（木马程序）来控制另 一台计算机。木马通常有两个可执行程序：一个 是客户端(控制端)另一个是服务端(被控制端)植 入被种者电脑的是“服务器”部分，而所谓的 “黑客”正是利用“控制器”进入运行了“服务 器”的电脑。运行了木马程序的“服务器”以后， 被种者的电脑就会有一个或几个端口被打开，使 黑客可以利用这些打开的端口进入电脑系统，安 全和个人隐私也就全无保障了！ 木马的设计者为 了防止木马被发现，而采用多种手段隐藏木马， 木马给计算机增加口令，浏览、移动、复制、删 除文件，修改注册表，更改计算机配置等。
病毒征兆 屏幕上出现不应有的特殊字符或图像、字符
无规则变或脱落、静止、滚动、雪花、跳动、 小球亮点、莫名其妙的信息提等。 发出尖叫、蜂鸣音或非正常奏乐等。
经常无故死机，随机地发生重新启动或无法
正常启动、运行速度明显下降、内存空间变 小、磁盘驱动器以及其他设备无缘无故 地 磁碟机变成无效设备等现象
4.启动黑屏：病毒感染；显示器故障；显示卡 故障；主板故障；超频过度；CPU损坏等等 5.数据丢失：病毒删除了文件；硬盘扇区损坏； 因恢复文件而覆盖原文件；也可能是由于其 它用户误删除了。 6.软盘等设备未访问时出读写信号：病毒感染； 软盘取走了还在打开曾经在软盘中打开过的 文件，出现大量来历不明的文件：病毒复制 文件
木马的伪装方式
出错显示 有一定木马知识的人都知道，如果打开一个文 件，没有任何反应，这很可能就是个木马程序， 木马的设计者也意识到了这个缺陷，所以已经 有木马提供了一个叫做出错显示的功能。当服 务端用户打开木马程序时，会弹出一个错误提 示框（这当然是假的），错误内容可自由 定义， 大多会定制成 一些诸如“文件已破坏，无法打 开的！”之类的信息，当服务端用户信以 为真 时，木马却悄悄侵入了系统。
如何发现和判断计算机存在病毒感染
1. 经常死机：病毒打开了许多文件或占用了大量内 存；不稳定（如内存质量差，硬件超频性能差 等）；运行了大容量的软件占用了大量的内存和 磁盘空间。 2. 系统无法启动：病毒修改了硬盘的引导信息，或 删除了某些启动文件。如引导型病毒引导文件损 坏；硬盘损坏或参数设置不正确；系统文件人为 地误删除等。 3. 文件打不开：病毒修改了文件格式；病毒修改了 文件链接位置。文件损坏；硬盘损坏；文件快捷 方式对应的链接位置发生了变化；原来编辑文件 的软件删除了。
自动打开端口 木马程序潜入人的电脑之中的目的不主要为了破坏你 的系统，更是为了获取你的系统中有用的信息，这样 就必需当你上网时能与远端客户进行通讯，这样木马 程序就会用服务器/客户端的通讯手段把信息告诉黑 客们，以便黑客们控制你的机器，或实施更加进一步 入侵企图。 特殊性 通常的木马的功能都是十分特殊的，除了普通的文件 操作以外，还有些木马具有搜索cache中的口令、设 置口令、扫描目标机器人的IP地址、进行键盘记录、 远程注册表的操作、以及锁定鼠标等功能，上面所讲 的远程控制软件的功能当然不会有的，毕竟远程控制 软件是用来控制远程机器，方便自己操作而已，而不 是用来黑对方的机器的。
木马的功能
1．远程监控 可以控制对方的鼠标、键盘和监视对方 屏幕。 2．记录密码 3．取得电脑主机的信息资料 如果你在电脑用户账户填上真名的话， 对方就可能知道你的姓名了。 4．远程控制 5．发送信息
木马的种类
网络游戏木马：网络游戏木马通常采用记录用户键盘 输入、Hook游戏进程API函数等方法获取用户的密码 和账号。窃取到的信息一般通过发送电子邮件或向远 程脚本程序提交的方式发送给木马作者。 通讯软件木马：一、发送消息型。通过即时通讯软件 自动发送含有恶意网址的消息，目的在于让收到消息 的用户点击网址中毒，用户中毒后又会向更多好友发 送病毒消息。二、盗号型。主要目标在于即时通讯软 件的登录帐号和密码。工作原理和网游木马类似。病 毒作者盗得他人帐号后，可能偷窥聊天记录等隐私内 容，或将帐号卖掉。三、传播自身型。2005年初， “MSN性感鸡”等通过MSN传播的蠕虫泛滥了一阵 之后，MSN推出新版本，禁止用户传送可执行文件。
木马的危害
1、盗取我们的网游账号，威胁我们的虚 拟财产的安全 2、盗取我们的网银信息，威胁我们的真 实财产的安全 3、利用即时通讯软件盗取我们的身份， 传播木马病毒等不良信息 4、给我们的电脑打开后门，使我们的电 脑可能被黑客控制
木马的查杀
1、禁用系统还原：如果病毒、蠕虫或特洛伊 木马感染了计算机，则系统还原功能会在该 计算机上备份病毒、蠕虫或特洛伊木马。 Windows 禁止包括防病毒程序在内的外部程 序修改系统还原。因此，防病毒程序或工具 无法删除 System Restore 文件夹中的威胁。 这样，系统还原就可能将受感染文件还原到 计算机上，即使您已经清除了所有其他位置 的受感染文件。
修改图标 有木马可以将木马服务端程序的图标改成 HTML,TXT,ZIP等各种文件的图标，这有相 当大的迷 惑性，但是提供这种功能的木马还 不多见，并且这种 伪装也不是无懈可击的， 所以不必整天提心吊胆，疑神疑鬼的。 捆绑文件 这种伪装手段是将木马捆绑到一个安装程序 上，当安装程序运行时，木马在用无察觉的 情况下，偷偷的进入了系统。至于被捆绑的 文件一般是可执行文件（即EXE,COM一类 的文件）。
潜伏性
计算机病毒潜伏性是指计算机病毒可
以依附于其它媒体寄生的能力，侵入 后的病毒潜伏到条件成熟才发作， 会 使电脑变慢。 隐蔽性
计算机病毒具有很强的隐蔽性，可以
通过病毒软件检查出来少数，隐蔽性 计算机病毒时隐时现、变化无常，这 类病毒处理起来非常困难。
传染性 计算机病毒传染性是指计算机病毒通过修改别 的程序将自身的复制品或其变体传染到其它无 毒的对象上，这些对象可以是一个程序也可以 是系统中的某一个部件。 可触发性 编制计算机病毒的人，一般都为病毒程序设定 了一些触发条件，例如，系统时钟的某个时间 或日期、系统运行了某些程序等。一旦条件满 足，计算机病毒就会“发作”，使系统遭到破 坏。
计算机病毒：计算机病毒是什么？木马 是什么？如何发现和判断计算机存在病 毒感染？举一个典型的例子，进行说明
1.计算机病毒的定义 2.计算机病毒的特征 3.计算机病毒的征兆
4.计算机病毒的一般表现 5.计算机病毒的预防
计算机的定义 计算机病毒，是指编制或者在计算机程序 中插入的“破坏计算机功能或者毁坏数据， 影响计算机使用，并能自我复制的一组计 算机指令或者程序代码”。 计算机的特征及周期 计算机病毒具有传播性、隐蔽性、感染性、 潜伏性、可激发性、表现性或破坏性。计 算机病毒的生命周期：开发期→传染期→ 潜伏期→发作期→发现期→消化期→消亡 期。
木马的特征
隐蔽性 如其它所有的病毒一样，木马也是一种病毒，它必需 隐藏在系统之中。很多人对木马和远程控制软件 木 马病毒扫描有点分不清，因为木马程序就要通过木马 程序驻留目标机器后通过远程控制功能控制目标机器。 它的隐蔽性主要体现在以下两个方面： a、不产生图标：它虽然在你系统启动时会自动运行， 但它不会在“任务栏”中产生一个图标。我们知道要 想在任务栏中隐藏图标，只需要在木马程序开发时把 "Form"的"Visible"属性设置为"False"、把 "ShowintaskBar"属性设置为"Flase"即可； b、木马程序自动在任务管理器中隐藏，并以“系统 服务”的方式欺骗操作系统。
我们的课题讨论结束，谢谢观看！
ຫໍສະໝຸດ Baidu
网页点击类木马 网页点击类木马会恶意模拟用户点击广告等动作，在 短时间内可以产生数以万计的点击量。病毒作者的编 写目的一般是为了赚取高额的广告推广费用。此类病 毒的技术简单，一般只是向服务器发送HTTP GET请 求。 下载类木马 这种木马程序的体积一般很小，其功能是从网络上下 载其他病毒程序或安装广告软件，用户中毒后会把后 门主程序下载到本机运行。网银木马：网银木马是针 对网上交易系统编写的木马病毒，其目的是盗取用户 的卡号、密码，甚至安全证书。此类木马种类数量虽 然比不上网游木马，但它的危害更加直接，受害用户 的损失更加惨重。
欺骗性 木马程序要达到其长期隐蔽的目的，就必需借 助系统中已有的文件，它经常使用的是常见的 文件名或扩展名，如“dll\win\sys\explorer等 字样，常常修改文件中难以分辨的字符，更有 甚者干脆就借用系统文件中已有的文件名，只 不过它保存在不同路径之中。还有的木马程序 为了隐藏自己，也常把自己设置成一个ZIP文 件（压缩文件）式图标，当你一不小心打开它 时，它就马上运行。
蠕虫病毒，传说中的“U盘杀手”
在这个分类中最为有名的 “熊猫烧香”病毒，这个 病毒不但会肆意关闭电脑 正在运行的程序，还会一 直点击某个网站，并下载 指定的文件
那么我们如何防治这个病毒呢？
使用具有实时监控功能的杀毒软件，防范邮件 蠕虫的最好办法 ，就是提高自己的安全意识，不要 轻易打开带有附件的电子邮件，选购合适的杀毒软 件。经常升级病毒库，杀毒软件对病毒的查杀是以 病毒的特征码为依据的，而病毒每天都层出不穷， 尤其是在网络时代，蠕虫病毒的传播速度快、变种 多，所以必须随时更新病毒库，以便能够查杀最新 的病毒，提高防杀毒意识。不要轻易去点击陌生的 站点，有可能里面就含有恶意代码！
磁盘标号被自动改写、出现异常文件、 出现固定的坏扇区、可用磁盘空间变 小、文件无故变大、失踪或被改乱、 可执行文件（exe）变得无法运行等。 打印异常、打印速度明显降低、不能 打印、不能打印汉字与图形等或打印 时出现乱码。 收到来历不明的电子邮件、自动链接 到陌生的网站、自动发送电子邮件等。
保护预防 程序或数据神秘地消失了，文件名 不能辨认等；注意对系统文件、可 执行文件和数据写保护；不使用来 历不明的程序或数据；尽量不用软 盘进行系统引导。 不轻易打开来历不明的电子邮件； 使用新的计算机系统或软件时，先 杀毒后使用；备份系统和参数，建 立系统的应急计划等。安装杀毒软 件。分类管理数据。
计算机病毒特征
繁殖性
计算机病毒可以像生物病毒一样进行繁殖，
当正常程序运行时，它也进行运行自身复制， 是否具有繁殖、感染的特征是判断某段程序 为计算机病毒的首要条件。 破坏性
计算机中毒后，可能会导致正常的程序无法
运行，把计算机内的文件删除或受到不同程 度的损坏。破坏引导扇区及BIOS，硬件环 境破坏。
自动运行性 它是一个当你系统启动时即自动运行的程序， 所以它必须潜入在你的启动配置文件中，如 win.ini、system.ini、winstart.bat以及启动组 等文件之中。 自动恢复功能 很多的木马程序中的功能模块已不是由单一的 文件组成，而是具有多重备份，可以相互恢复。 黑客组织 以往还从未发现有什么公开化的病毒组织，多 数病毒是由个别人出于好奇，想试一下自己的 病毒程序开发水平而做的，但他（她）绝对不 敢公开，因为一旦发现是会被判坐牢或罚款的。