专题一：计算机病毒与木马

5、木马的伪装方式
◆修改图标 ◆出错显示
◆捆绑文件
◆清除现场
◆改变端口
6、木马的激活方式
① 注册表 木马的自动启动脚本可以出现在注册表的
HKEY—LOAL—MACHINE和HKEY—CURRENT—USER
的以下分支： Software\Microsoft\Windows\Current Version\Run Software\Microsoft\Windows\Current Version\RunServices ② WIN.INI WIN.INI文件放在C：\WINDOWS的目录下，是Windows的一 个启动配置文件。如果用文本方式打开，在[Windows]字段中有启 果有启动程序，可能是木马。
取自希腊神话的特洛伊木马记
★“木马的来源” ●木马的功能是：通过客户端可以操纵服务器， 进而操纵对方主机。
2、木马的特点
◆ 隐蔽性
◆ 非授权性
那么通知方式呢？
★ 木马一般有一个配置程序，允许使用者配置木马
的伪装方式和木马的反馈信息 ★ 木马的伪装方式： 包括木马在释放的时候，怎样避免受害者的发现。 ★ 木马的反馈信息： 就是木马被黑客释放以后，如果成功地驻留在某个
④ AUTOEXE.BAT
AUTOEXE.BAT文件放在C盘的根目录下。是系统启动的时 候自动运行的一个脚本。木马服务端程序的启动脚本可以被放在这 个文件中。
6、木马的激活方式
⑤ CONFIG.SYS
CONFIG.SYS文件放在C盘的根目录下。是系统启动的时候
自动运行的一个脚本。木马服务端程序的启动脚本可以被放在这 个文件中。 ⑥ 启动菜单
系统中，就向黑客反馈信息通知它的状态，如受害系统
的IP地址、木马服务端程序的端口等。
3、木马的危害
它直接威胁了信息安全的机密性
如何讲？ 它也威胁了信息安全的完整性 如何讲？ 它也威胁了信息安全的可用性
如何讲？
想一想：如何发现并清除木马呢？ 使用木马扫描工具和杀毒软件。
4、木马的传播方式
木马的传播是指：
设置方法：通过选择菜单栏“设置”下的菜单项“配置服务器程序”。
在出现的“服务器配置”对话框中选择服务器端程序
win32.exe进行配置，并填写访问服务器端程序的口令，
单击“确定”按钮以后，就将“冰河”的服务器端程序种到
某一台主机上了。
7、常见的木马使用
之后可以做什么呢？
●可以查看对方计算机的基本信息 ●可以在对方计算机上进行任意的操作 ●可以查看并控制对方的屏幕 等等
设置缺省信息和端口信息
客户端—服务端交互
结束
2、客户端与服务器端的交互框图
服务器 创建监听
绑定监听
监听连接
客户端
创建客户端
等待连接
创建连接
反馈连接建立信息
连接请求
建立连接
请求数据
发送请求
处理服务请求
发送应答信息
应答数据
接收应答
关闭连接
关闭连接
3、实现过程
首先使用VB建立两个程序，一个为客户端程序Client，一个为服务器 端程序systry。 在Client程序中建立一个窗体，加载WinSock控件，称为tcpClient，协 议选择TCP，再加入两个文本框，用以输入服务器的IP地址或服务器名， 然后建立一个按钮，按下之后就可以对连接进行初始化了。 连接建立之后就可以使用DataArrival事件处理所收到的数据了。 在服务器端systry程序也建立一个窗体，加载WinSock控件，称为 tcpServer，协议选择TCP。然后准备应答客户端程序的请求连接，使用 ConnectionRequest事件来应答户端程序的请求。 建立连接后服务器端的程序通过DataArrival事件接收客户机端程序所发 的指令运行既定的程序。
4、效果形式（客户端）
4、效果形式（服务器端）
今天的课就到这里！ 谢谢大家！
1、什么是恶意代码？
它是一种计算机程序，它既有利用系统缺陷的攻击特性， 又有计算机病毒和木马的特性。
?
三、恶意代码
2、恶意代码的特性
● 攻击特性
● 病毒特性
● 木马特性
恶意代码给现代互联网的安全造成非常大的威胁，
是网络安全要面对的一个新的问题。
四、实例简介
1、大致流程
程序开始
定义TCP套结字结构
4、计算机病毒的破坏性
● 视觉和听觉 ● 破坏文件系统 ● 破坏存储器 ● 占用资源
5、计算机病毒的分类
① 根据传染性，计算机病毒可分为： 引导区传染
操作系统传染
应用程序传染
◆ 所有程序都有一个引导区
◆ 操作系统传染病毒与引导区传染病毒不同，它寄生 在磁盘上的系统文件中 ◆ 应用程序传染病毒寄生在某种特殊的应用程序中
将木马服务端程序安装在受害系统上。 分为： 主动传播方式 被动传播方式 那么被动传播方式有什么特点呢？
就是黑客并不知道哪些系统被装了木马。
所以安装成功的木马应向黑客反馈一些信息。
◆另外，每一种木马都是用一个特殊的端口（一般都是数值比
较大的陌生端口），所以可以使用端口扫描方式去发现木马 服务端程序的存在。
② 根据破坏性，计算机病毒可以分为:
良性病毒和恶性病毒
③ 根据触发时间，可分为:
定时与不定时触发病毒
6、计算机病毒的工作机制
过程如下：
传染过程 传染源 传染媒介 目的地 ★三个过程： ◆传染过程 ◆触发过程 触发过程 破坏过程
★三个实体：
◆传染源 ◆ 传染媒介
◆目的地
◆破坏过程
7、计算机病毒的防治技术
开始---程序---启动的菜单下包含Windows启动的时候，
自动运行程序。木马服务端程序的启动脚本可以被放在这
个地方中。
7、常见的木马使用
★ 常见的简单木马有：
●NetBus远程控制
●“冰河”木马
● PCAnyWhere远程控制
这里介绍最常见的木马程序：“冰河”
7、常见的木马使用
◆“冰河”包含两个程序文件： 一个是服务器端程序win32.exe 另一个是客户端程序Y-Client.exe ◆将服务器端程序种到对方主机之前需要对服务器端程序 做一些设置：如连接端口、连接密码等。
① 比较病毒特征码
这是防病毒软件所采用的主要方法
② 根据病毒的活动规律来判断是否是病毒
一般的防病毒卡是基于这种原理
二、木马
●木马与计算机病毒的不同点在于：
病毒的设计目标是：破坏系统 而木马的设计目标是：远程控制受害系统 1、什么是木马？ 木马，即特洛伊木马，英文为“Trojan house”,其名称
★木马程序国内外有很多，基本原理与功能和 “冰河”相似，只是有的功能强大些，有的功 能简单些而已。
◆目标主机中了冰河，就可以利用客户端程序来连接服务器端程序。
注意
★由于杀毒软件基本可以查杀大多数著名的木 马程序，所以一些有名的木马程序一般不适 合用来做网络后门的程序。
ቤተ መጻሕፍቲ ባይዱ
三、恶意代码
恶意代码是最近新出来的一个词。可以说它是 系统缺陷、计算机病毒和木马三种特性的圆满结合。
动命令“Load=”和“run=”。在一般情况下，这两个地方是空的，如
6、木马的激活方式
③ SYSTEM.INI
SYSTEM.INI文件放在C：\WINDOWS的目录下，也是Windows 的一个启动配置文件。如果用文本方式打开，在[386Enh]、[mic]或 [drivers32]字段中有命令行，在其中寻找木马的启动命令。
计算机病毒与木马
主要内容：
◆计算机病毒
◆木马
◆恶意代码
◆实例简介
一、计算机病毒
1、什么是计算机病毒？
◆ 计算机病毒是一段程序
2、计算机病毒的特点：
◆ 计算机病毒寄生在计算机中 ◆ 具有隐蔽性
◆ 具有传染性
◆ 具有破坏性
3、计算机病毒与一般程序的差别
① 计算机病毒不是用户想要执行的执行程序 ② 计算机病毒不是一个独立的的执行程序