- 1、本文档共19页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
主讲人:于长青 邮件地址:xaycq@163.com 西安工业大学北方信息工程学院 第八讲 计算机木马防范 本讲的目标 了解计算机木马的工作原理 掌握查杀计算机木马的方法(手动方式、专用工具); 授课建议 了解计算机木马的工作原理 掌握查杀计算机木马的方法(手动方式、专用工具); 木马程序的利用与监测 “木马”指一些程序设计人员在其可从网络上下载的应用程序或游戏中,包含了可以控制用户的计算机系统的程序,可能造成用户的系统被破坏甚至瘫痪。 木马原则上和Laplink、PCanywhere 等程序一样,只是一种远程管理工具 木马本身不带伤害性,也没有感染力,所以不能称之为病毒 (也有人称之为第二代病毒) 计算机木马种类 键盘记录型木马 主要用来截取用户的密码资料信息,类似于QQ、msn、魔兽世界等大多网游或即使通讯程序的密码,当然,对于用户网上银行的资料记录,这类木马也能够记录下来。 远程监控型木马 Dos攻击木马 木马技术的发展 第一代木马 个将自己伪装成特殊的程序或文件的软件,如本身伪装成一个用户登陆窗口,当用户运行了木马伪装的登陆窗口,输入用户名与密码后,木马将自动记录数据并转发给供给者,入侵者借此来获得用户的重要信息,达到自己的目的。 第二代木马 有能够进行的远程控制操作 第三代木马 由原来的服务端被动连接变为服务端主动连接 第四代木马 远程线程插入技术,将木马线程插入DLL 线程中,增加了隐藏进程技术 典型的C/S结构, 隐蔽性差 隐藏、自启动和操纵服 务器等技术上有长足进步 隐藏、自启动和数据传递技术上 有根本性进步,出现了以ICMP进行数 据传输的木马 采用改写和替换系统文件的做法 木马连接方式 传统方式 端口反弹方式 计算机木马工作原理运行机制 木马运行机制 第一步:木马客户端会将自己的IP 地址以及监听端口发送给一个“中间机器”,如某网页文件,/ip.txt, 第二步:木马服务端会连接“中间机器”,获取服务端目前的IP 地址和端口信息。 第三步:木马服务端主动向客户端发出连接请求,直至双方建立连接成功 计算机木马的工作原理欺骗方式 捆绑欺骗 把木马服务端和某个游戏,或者flash 文件捆绑成一个文件 邮件冒名欺骗 压缩包伪装 网页欺骗 利用net send 欺骗 木马隐藏 在任务栏里隐藏 任务栏中隐藏文件图标 在任务管理器隐藏 把木马设置为“系统服务”, 通信端口的隐藏 加载方式 必威体育精装版隐身技术 通过修改虚拟设备驱动程序(VXD)或修改动态链接库 (DLL)来加载木马 特洛伊木马隐身方法 主要途径有 躲避(改成重要的系统文件名) 绑定器(将木马和合法程序混合在一起产生一个可执行的程序) 在任务栏中隐藏自己 “化妆”为驱动程序 使用动态链接库技术 木马启动方式 在win.ini中启动 在system.ini中启动 通过启动组实现自启动 *.ini 修改文件关联 捆绑文件 反弹技术 木马潜伏时的常见症状 网速突然很慢,系统性能显著下降 系统进程中出现陌生进程 浏览器经常弹出网页窗口 计算机莫名重启或关机 手工查杀木马 1. 查看计算机启动时启动的所有程序有无陌生进程 2. 查看系统服务,有无非自身安装的服务。 3. 找到上述两种方式查找出的木马以及其相关程序路径。 4. 结束木马进程,删除木马启动项以及木马本身。 灰鸽子的特征 灰鸽子木马使用了“线程插入”技术以及“Rootkit 隐藏”技术。其进程在“任务资源管理器”上无法被发现。其次在“服务”列表中也隐藏了起来。 灰鸽子木马的客户端在执行后,会将其自身拷贝到系统目录(C:\windows\system32)下,紧接着,会释放出两个dll 文件。比如我们设定的客户端名称是Setup.exe,那么运行该客户端后,会在系统目录下新增Setup.exe、Setup.dll、Setup_Hook.dll 三个文件。 其中,Setup.exe 是灰鸽子服务端主程序,Setup.dll 文件实现后门功能,与灰鸽子控制端进行通信。Setup_Hool.dll 则是通过拦截API 调用来隐藏病毒。因此,中了灰鸽子后,我们看不到灰鸽子文件,也看不到灰鸽子在注册表以及服务项里的键值。随着灰鸽子服务端设置的不同,Hook.dll 会插入explorer.exe(或者Iexplore.exe)进程中。 由于灰鸽子拦截了API 调用,在常规下,木马程序文件和它注册的服务项均被隐藏,即使用户设置了“显示所有隐藏文件”,在系统目录下你也看不到它们。所以,要清除灰鸽子,用户首先得进入安全模式下。 手动清除灰鸽子木马 清除灰鸽子的服务; 删除灰鸽子程序文件,重启系统,进入“安全模式” 设置显示所有文件 在系统目录下,找到Setupdll.dll和Setupap
您可能关注的文档
- 第二单元(二)五脏.ppt
- 第二十五章50、60年代新诗.ppt
- 北京造价员讲课资料.ppt
- 第二单元第2课一、兴趣及其培养.ppt
- 中国品牌第一人——(余明阳)-中华讲师网.ppt
- 北半球冬夏季季风.ppt
- 第二次世界大战的爆发.ppt
- 北大青鸟2003系统管理PPTCHAP8-组策略.ppt
- 第二章(惯性仪器测试与数据分析)器件建模.ppt
- 中国梦(任春艳xy).ppt
- 交通安全知识培训PPT课件(共23页PPT).pptx
- 中医三伏天课件下载必威体育精装版完整版本.pptx
- 中医53课件网官网必威体育精装版完整版本.pptx
- 中医53课件网官网登录必威体育精装版完整版本.pptx
- DB13T 1844-2013 绿色食品(A级)薄皮甜瓜生产技术规程.pdf
- DB13T 2005-2014 电阻分压电子式电压互感器.pdf
- DB13T 2018-2014 农村气象灾害应急准备要求.pdf
- DB13T 2018-2021 农村气象灾害防御应急准备要求.pdf
- DB13T 1764-2013 苗木质量分级 中华金叶榆(美人榆).pdf
- DB13T 1802-2013 太阳能电池(硅系)工业废水治理工程技术导则.pdf
最近下载
- 危险化学品生产经营单位安全管理.pptx VIP
- DBJ33_T 1283-2022顶管工程技术规程.pdf VIP
- 《防止电力建设工程施工安全事故三十项重点要求》宣贯与解读.pdf VIP
- 新能源汽车高压安全操作规范.pptx VIP
- 吉利汽车财务报表分析.docx
- 2024年中考语文试题分项汇编:词语运用(第03期)(解析版).pdf VIP
- SMW工法围护桩监理实施细则[全面]范本.doc VIP
- 浅谈市政工程项目成本控制开源与节流.doc VIP
- 必威体育精装版人教版数学一年级下册第七单元《7.3 数量关系》教学课件(2025年春-新教材).pptx VIP
- 2024年中考语文一轮专题复习:图文转换 专项练习题(Word版,含答案).docx VIP
文档评论(0)