网络攻防原理与技术教学课件（共14章）第7章 计算机木马.pptxVIP

第 七 章 计算机木马内容提纲恶意代码1木马的工作原理2木马隐藏技术3恶意代码检测与防御4一、定义恶意代码恶意代码(malicious code)：执行恶意功能的计算机代码不同厂商（或学术机构）在恶意代码的分类（一般都包括病毒、蠕虫和木马，其它的则有所不同）和定义上有所不同不同时间段内，恶意代码的分类和定义也会有变化计算机病毒美国科恩博士（最早定义）：计算机病毒是一种计算机程序，它通过修改其他程序把自己的一个拷贝或演化的拷贝插入到其他程序中实施感染传染特性，即病毒可以自我繁殖演化特性，即病毒在感染过程中可以改变自身的一些特征，以逃避查杀计算机病毒赛门铁克Peter Szor给出定义：计算机病毒是一种计算机程序，它递归地、明确地复制自己或其演化体。“明确递归”来区别病毒与正常程序的复制过程，“递归”反映了一个文件在被病毒感染以后会进一步感染其他文件，“明确”强调了自我复制是病毒的主要功能。计算机病毒《中华人民共和国计算机信息系统安全保护条例》(1994.2.18)的第二十八条：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。计算机病毒几个典型特性传染性潜伏性可触发性寄生性非授权执行性破坏性计算机病毒典型计算机病毒基于功能模块引导模块有哪些信誉好的足球投注网站模块感染模块表现模块标识模块计算机蠕虫计算机蠕虫（Worm）：一种可以独立运行，并通过网络传播的恶性代码。具有计算机病毒的一些特性，如传播性、隐蔽性、破坏性等，但蠕虫也具有自己的特点，如漏洞依赖性等，需要通过网络系统漏洞进行传播，另外蠕虫也不需要宿主文件，有的蠕虫甚至只存在于内存中计算机蠕虫典型计算机蠕虫基于功能模块有哪些信誉好的足球投注网站模块攻击模块传输模块负载模块控制模块计算机木马RFC1244 (Request for Comments : 1244) 中是这样描述木马的:　“木马是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能，但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。” 计算机木马RFC1244的定义可以澄清一些模糊概念：首先木马程序并不一定实现某种对用户来说有意义或有帮助的功能，但却会实现一些隐藏的、危险的功能；其次木马所实现的主要功能并不为受害者所知，只有程序编制者最清楚。第三，这个定义暗示“有效负载”是恶意的。计算机木马目前，大多数安全专家统一认可的定义是：木马是一段能实现有用的或必需的功能的程序，但是同时还完成一些不为人知的功能。 计算机木马木马程序具有很大的危害性，主要表现在:自动有哪些信誉好的足球投注网站已中木马的计算机；管理对方资源，如复制文件、删除文件、查看文件内容、上传文件、下载文件等；跟踪监视对方屏幕；直接控制对方的键盘、鼠标；随意修改注册表和系统文件；共享被控计算机的硬盘资源；监视对方任务且可终止对方任务；远程重启和关闭机器。计算机木马从木马所实现的功能角度可分为：破坏型密码发送型远程访问型键盘记录木马DoS攻击木马代理木马反弹端口型木马计算机木马从木马形态上分，可以分为有文件木马和无文件木马有文件木马：木马本身是一个可执行文件无文件木马：木马不是一个可执行文件，需要依靠其它软件来触发执行计算机木马无文件木马：木马不是一个独立可执行的文件，而是通过特定方式隐藏在其它文件中，通过其它软件来触发执行。例如：Office文档中的宏；一段可解释执行的语言代码，如Java、Python代码段；Shell脚本；配置文件中一段脚本；注册表中的一个键值等。通常功能比较简单，只是攻击的第一步，执行后再下载更多的攻击代码到目标机器中计算机木马一句话木马是指只有一行代码的木马，利用Web编程语言（asp、php、jsp、aspx）的某个函数来执行攻击命令，也称为webshell。PHP一句话木马示例：?php eval($_POST[sb])??php assert($_POST[sb]);??$_POST[sa]($_POST[sb],$_POST[sc])??php @eval($_POST[cmd]); ?计算机木马木马ASP一句话木马示例：%eval request(sb)%%execute request(sb)%%% loop %:%%execute request(sb)%%ExecuteGlobal request(sb)%JSP一句话木马示例：%if(request.getParameter(f)!=null)(new java.io.FileOutputStream(application.getRealPath(\\)+request.getParameter(f))).write(request.getParameter(t).getBytes());%其它：一句话木马