第四章計算機惡意代碼防治惡意是一種程序,它通過把代碼在不被察覺的代碼情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數(shù)據(jù)、運行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。惡意代碼按傳播方式,可以分成以下幾類:1.計算機病毒:一組能夠進行自我傳播、需要用戶干預來觸發(fā)執(zhí)行的破壞性程序或代碼。如CIH、愛蟲、新歡樂時光、求職信、惡鷹、rose….蠕蟲:一種可以自我復制的完全獨立的程序,它的傳播不需要借助被感染主機中的其他程序。蠕蟲的自我復制不像其他的病毒,它可以自動創(chuàng)建與它的功能完全相同的副本,并在沒人干涉的情況下自動運行。蠕蟲是通過系統(tǒng)存在的漏洞和設置的不安全性來進行入侵的,它的自身特性可以使它以及快的速度傳輸。如紅色代碼、SQL蠕蟲王、沖擊波、震蕩波、熊貓燒香。.特洛伊木馬:是指ー類看起來具有正常功能,但實際上隱藏著很多用戶不希望功能的程序,通常由控制端和被控制端兩端組成。一些木馬程序會通過覆蓋系統(tǒng)中已經(jīng)存在的文件的方式存在于系統(tǒng)之中,同時它可以攜帶惡意代碼,還有一些木馬會以ー個軟件的身份出現(xiàn),但它實際上是ー個竊取密碼的工具。這種病毒通常不容易被發(fā)現(xiàn)。如冰河、網(wǎng)絡神偷、灰鴿子…….后門:使得攻擊者可以對系統(tǒng)進行非授權訪問的ー類程序。5.惡意軟件:是指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權益的軟件。6.移動代碼:是指能夠從主機傳輸?shù)娇蛻舳擞嬎銠C上并執(zhí)行的代碼,它通常是作為病毒,蠕蟲,或是特洛伊木馬的一部分被傳送到客戶計算機上的。另外,移動代碼可以利用系統(tǒng)的漏洞進行入侵,例如非法的數(shù)據(jù)訪問和盜取root帳號。通常用于編寫移動代碼的工具包括JavaappIets,ActiveX,JavaScript,和VBScript。二、計算機病毒1.計算機病毒概述計算機病毒,是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù),影響計算機使用,并能自我復制的ー組計算機指令或者程序代碼。2.病毒的分類按破壞性分(1)良性病毒⑵惡性病毒⑶極惡性病毒(4)災難性病毒按傳染方式分⑴引導區(qū)病毒:主要通過軟盤在操作系統(tǒng)中傳播,感染引導區(qū),蔓延到硬盤,并能感染到硬盤中的“主引導記錄”。⑵文件病毒:文件型病毒是文件感染者,也稱為寄生病毒。它運行在計算機存儲器中,通常感染擴展名為COM、EXE、SYS等類型的文件。⑶混合型病毒:具有引導區(qū)病毒和文件病毒兩者的特點。(4)宏病毒:是指用BASIC語言編寫的病毒程序寄存在Office文檔上的宏代碼。宏病毒影響對文檔的各種操作。.計算機病毒的組成結構計算機病毒的種類很多,但通過分析現(xiàn)有的計算機病毒,發(fā)現(xiàn)幾乎所有的計算機病毒都是由三個部分組成即:引導模塊、傳播模塊、表現(xiàn)模塊。.病毒的網(wǎng)絡傳播途徑(1)感染本地文件、局域網(wǎng)共享目錄中的文件或者復制副本到對方目錄。(2)尋找Email地址,大量發(fā)送垃圾郵件(附件攜帶病毒體)。(3)通過網(wǎng)絡共享軟件進行傳播。(4)建立后門程序,通過后門進行傳播。(5)通過IRC進行傳播,通過QQ、MSN等即時軟件進行傳播。(6)通過U盤、磁盤、光盤等其他磁介質(zhì)進行傳播。(7)利用系統(tǒng)軟件的漏洞進行傳播。5,計算機病毒特征(1)傳染性:是指計算機病毒的再生機制,即病毒具有自己復制到其他程序中的特性。帶有病毒的程序或存儲介質(zhì),鎖定目標或?qū)⒆陨泶a插入其中,與系統(tǒng)中的程序連接在ー起,達到自我繁殖的目的。感染的程序有可能被運行,再次感染其他程序。感染的磁盤、移動硬盤等存儲介質(zhì)被移到其他計算機中,或者通過網(wǎng)絡,只要有一臺計算機感染,若不及時處理,病毒就會迅速擴散。⑵潛伏性:計算機的潛伏性是指計算機感染病毒后并非是馬上發(fā)作,而是要潛伏一段時間。從病毒感染某個計算機到該病毒發(fā)作為止的這段時期,稱為病毒的潛伏期。病毒之間潛伏性的差異很大。有的病毒非常外露,每次病毒程序運行的時候都企圖進行感染,但這種病毒編制技巧比較簡單,很容易被人發(fā)現(xiàn),因此往往以高效率的感染率來換取較短的生命周期;有的病毒卻不容易被發(fā)現(xiàn),它通過降低感染發(fā)作的頻率來隱蔽自己,該病毒侵入系統(tǒng)后不動聲色,看上去近似偶然的機會進行感染,來獲得較大的感染范圍,與外屬性病毒相比,這些隱蔽性的病毒更可怕。著名的“黑色星期五”病毒是每逢13日是星期五時發(fā)作.CIH是每月26日發(fā)作。這些病毒在平時隱蔽的很好,只有發(fā)作日オ會露出本來面目。⑶破壞性:破壞是計算機病毒最終的表現(xiàn),只要病毒入侵計算機系統(tǒng),就會對系統(tǒng)及應用程序產(chǎn)生不同程度的影響?？赡苄薷南到y(tǒng)配置信息、刪除數(shù)據(jù)、破壞硬盤分區(qū)表、引導記錄等,甚至格式化磁盤、導致系統(tǒng)崩潰,對數(shù)據(jù)造成不可挽回的破壞。(4)隱蔽性:病毒為了隱藏,病毒代碼設計的非常短小精悍,一般只有幾百個字節(jié)或IKB大小,病毒瞬間就可以將短短的代碼附加到正常的程序中或磁盤較隱蔽的地方,使入侵不易察覺。其設計微小的目的也是盡量使病毒代碼與受傳染的文件或程序融合在ー起,具有正常程序的ー些特性,隱藏在正常程序中,在不經(jīng)過特殊代碼分析的情況下,病毒程序與正常程序是不容易區(qū)別開來的。⑸觸發(fā)性:計算機病毒因某個事件的出現(xiàn),誘發(fā)病毒進行感染或進行破壞,稱為病毒的觸發(fā)。每個病毒都有自己的觸發(fā)條件,這些條件可能是時間、日期、文件類型或某些特定的數(shù)據(jù)。如果滿足了這些條件,病毒就進行感染和破壞,如果沒有滿足條件,則繼續(xù)潛伏。⑹衍生性:衍生性表現(xiàn)在兩個方面,有些計算機病毒本身在傳染過程中會通過ー套變換機制,產(chǎn)生出許多與源代碼不同的病毒;另一方面,有些攻擊者人為地修改病毒源代碼,這兩種方式都有可能產(chǎn)生不同于原病毒代碼的病毒ーー變種病毒,使人們防不勝防。⑺寄生性:寄生性是指病毒對其他文件或系統(tǒng)進行ー系列的非法操作,使其帶有這種病毒,并成為該病毒的一個新傳染源。(8)不可預見性：病毒相對于防毒軟件永遠是超前的,理論上講,沒有任何殺毒軟件能將所有的病毒清除。6.引導區(qū)病毒引導型病毒是一種在ROMBIOS之后,系統(tǒng)引導時出現(xiàn)的病毒,它先于操作系統(tǒng),依托的環(huán)境是BIOS中斷服務程序。引導型病毒是利用操作系統(tǒng)的引導模塊放在某個固定的位置,并且控制權其轉(zhuǎn)交方式是以物理位置為依據(jù),而不是以操作系統(tǒng)引導區(qū)的內(nèi)容為依據(jù),因而病毒占據(jù)該物理位置即可獲得控制權,而將真正的引導區(qū)內(nèi)容搬家轉(zhuǎn)移或替換,待病毒程序執(zhí)行后,將控制權交給真正的引導區(qū)內(nèi)容,使得這個帶病毒的系統(tǒng)看似正常運轉(zhuǎn),而病毒已隱藏在系統(tǒng)中并伺機傳染、發(fā)作。7.文件病毒文件型病毒通常感染帶有.com、.exe、.drv、.ovl、.sys等擴展名的可執(zhí)行文件。它們在每次激活時,感染文件把自身復制到其他可執(zhí)行的文件中,并能在內(nèi)存中保存很長時間,直至病毒被激活。當用戶調(diào)用感染了病毒的可執(zhí)行文件時,病毒首先會運行,然后病毒駐留在內(nèi)存中感染其他文件。這種病毒的特點是依附于正常文件,成為程序文件的ー個外殼。.復合型病毒這類病毒既感染文件、又感染磁盤引導區(qū)與主引導區(qū)。能破壞計算機主板芯片的CIH毀滅者病毒屬于該類病毒。CIH是ー個臺灣大學生編寫的一個病毒,當時把它放置在大學的BBS站上,1998年傳入大陸,發(fā)作日期是每個月的26日該病毒是第一個直接攻擊計算機硬件的病毒,破壞性極強,發(fā)作時破壞計算機FlashBIOS芯片中的系統(tǒng)程序,導致主板與硬盤數(shù)據(jù)的損壞。1999年4月26日,CIH病毒在中國、俄羅斯、韓國等地大規(guī)模發(fā)作,僅大陸就造成數(shù)十萬計算機癱瘓,大量硬盤數(shù)據(jù)被破壞。.宏病毒宏譯自英文單詞Macro宏是微軟公司為其office軟件包設計的ー個特殊功能,軟件設計者為了讓人們在使用軟件進行工作時,避免一再地重復相同的動作而設計出來的ー種工具它利用簡單的語法,把常用的動作寫成宏,當工作時,就可以直接利用事先編好的宏自動運行,去完成某項特定的任務,而不必再重復相同的動作,目的是讓用戶文檔中的一些任務自動化。office中的word和ExceI都有宏。word便為大眾事先定義ー個共用的通用模板(Normal.dot),里面包含了基本的宏。只要啟動Word,就會自動運行NormaI.dot文件。如果在word中重復進行某項エ作,可用宏使其自動執(zhí)行。word提供了兩種創(chuàng)建宏的方法:宏錄制器和VisualBasic編織器。宏將一系列的word命令和指令組合在ー起,形成一個命令,以實現(xiàn)任務執(zhí)行的自動化。在默認情況下,word特定存貯在Normal模板中,以便所有的word文檔均能使用,這ー特點幾乎為所有的宏病毒所利用。如果撰寫了有問題的宏,感染了通用模板(NormaI.dot),那么只要執(zhí)行word,這個受感染的通用模板便會傳播到之后所編織的文檔中去,如果其他用戶打開了感染病毒的文檔,宏病毒又會轉(zhuǎn)移到其他的計算機上。目前,人們所說的宏病毒主要指word和Excel宏病用。.腳本病毒腳本是指從ー個數(shù)據(jù)文檔中進行一個任務的ー組指令,這一點與宏相似。與宏相同腳本也是嵌入到ー個靜態(tài)文件中,它們的指令是由一個應用程序而不是計算機處理運行,目前大多數(shù)是使用web瀏覽器,如Netscape和IE都具有腳本功能,能夠運行嵌入在網(wǎng)頁中的腳本。腳本病毒是使用應用程序和操作系統(tǒng)中的自動腳本功能復制和傳播的,例如,當在一個具有腳本功能的瀏覽器中打開一個HTML文件時,ー個嵌入在HTMI、文件中的腳本病毒就會自動執(zhí)行。腳本病毒主要通過電子郵件和網(wǎng)頁傳播。三、網(wǎng)絡蠕蟲1.網(wǎng)絡蠕蟲概述網(wǎng)絡蠕蟲是ー種智能化、自動化并綜合網(wǎng)絡攻擊、密碼學和計算機病毒技術,不要計算機使用者干預即可運行的攻擊程序或代碼。它會掃描和攻擊網(wǎng)絡上存在系統(tǒng)漏洞的節(jié)點主機,通過網(wǎng)絡從ー個節(jié)點傳播到另外一個節(jié)點。網(wǎng)絡蠕蟲具有以下特征:(1)主動攻擊:從搜索漏洞,到利用搜索結果攻擊系統(tǒng),到攻擊成功后復制副本,整個流程全由蠕蟲自身主動完成。(2)利用軟件漏洞:蠕蟲利用系統(tǒng)的漏洞獲得被攻擊的計算機系統(tǒng)的相應權限,使之進行復制和傳播過程成為可能。(3)造成網(wǎng)絡擁塞:在傳播的過程中,蠕蟲需要判斷其它計算機是否存活;判斷特定應用服務是否存在;判斷漏洞是否存在等等,這將產(chǎn)生大量的網(wǎng)絡數(shù)據(jù)流量。同時出于攻擊網(wǎng)絡的需要,蠕蟲也可以產(chǎn)生大量惡意流量,當大量的機器感染蠕蟲時,就會產(chǎn)生巨大的網(wǎng)絡流量,導致整個網(wǎng)絡癱瘓。(4)留下安全隱患:大部分蠕蟲會搜集、擴散、暴露系統(tǒng)敏感信息(如用戶信息等),并在系統(tǒng)中留下后門。(5)行蹤隱蔽:蠕蟲的傳播過程中,不需要用戶的輔助工作,其傳播的過程中用戶基本上不可察覺。(6)反復性:即使清除了蠕蟲留下的任何痕跡,如果沒有修補計算機系統(tǒng)漏洞,網(wǎng)絡中的計算機還是會被重新感染。(7)破壞性：越來越多的蠕蟲開始包含惡意代碼,破壞被攻擊的計算機系統(tǒng),而且造成的經(jīng)濟損失數(shù)目越來越大。.網(wǎng)絡蠕蟲工作機制網(wǎng)絡蠕蟲的工作機制分為三個階段:信息收集、攻擊滲透、現(xiàn)場處理(1)信息收集:按照一定的策略搜索網(wǎng)絡中存活的主機,收集目標主機的信息,并遠程進行漏洞的分析。如果目標主機上有可以利用的漏洞則確定為ー個可以攻擊的主機,否則放棄攻擊。(2)攻擊滲透:通過收集的漏洞信息嘗試攻擊,一旦攻擊成功,則獲得控制該主機的權限,將蠕蟲代碼滲透到被攻擊主機。(3)現(xiàn)場處理:當攻擊成功后,開始對被攻擊的主機進行一些處理工作,將攻擊代碼隱藏,為了能使被攻擊主機運行蠕蟲代碼,還要通過注冊表將蠕蟲程序設為自啟動狀態(tài);可以完成它想完成的任何動作,如惡意占用CPU資源;收集被攻擊主機的敏感信息,可以危害被感染的主機,刪除關鍵文件。.網(wǎng)絡蠕蟲掃描策略網(wǎng)絡蠕蟲掃描越是能夠盡快地發(fā)現(xiàn)被感染主機,那么網(wǎng)絡蠕蟲的傳播速度就越快。(1)隨機掃描:隨機選取某一段IP地址,然后對這ー地址段上的主機掃描。由于不知道哪些主機已經(jīng)感染蠕蟲,很多掃描是無用的。這一方法的蠕蟲傳播速度較慢。但是隨著蠕蟲的擴散,網(wǎng)絡上存在大量的蠕蟲時,蠕蟲造成的網(wǎng)絡流量就變得非常巨大。(2)選擇掃描:選擇性隨機掃描將最有可能存在漏洞主機的地址集作為掃描的地址空間。所選的目標地址按照一定的算法隨機生成。選擇性隨機掃描算法簡單,容易實現(xiàn),若與本地優(yōu)先原則結合則能達到更好的傳播效果。紅色代碼和"Slammer”的傳播采用了選擇性隨機掃描策略。(3)順序掃描:順序掃描是被感染主機上蠕蟲會隨機選擇ー個C類網(wǎng)絡地址進行傳播,根據(jù)本地優(yōu)先原則,網(wǎng)絡地址段順序遞增。(4)基于目標列表的掃描：基于目標列表掃描是指網(wǎng)絡蠕蟲根據(jù)預先生成易感染的目標列表,搜尋感染目標。(5)基于DNS掃描:從DNS服務器獲取IP地址來建立目標地址庫,優(yōu)點在于獲得的IP地址塊針對性強和可用性高。關鍵問題是如何從DNS服務器得到網(wǎng)絡主機地址,以及DNS服務器是否存在足夠的網(wǎng)絡主機地址。.掃描策略設計的原則(1)盡量減少重復的掃描,使掃描發(fā)送的數(shù)據(jù)包盡量是沒有被感染蠕蟲的機器;(2)保證掃描覆蓋到盡量大的可用地址段,包括盡量大的范圍,掃描的地址段為互聯(lián)網(wǎng)上的有效地址段;(3)處理好掃描的時間分布,使得掃描不要集中在某ー時間內(nèi)發(fā)生。.網(wǎng)絡蠕蟲防御和清除(1)給系統(tǒng)漏洞打補丁:蠕蟲病毒大多數(shù)都是利用系統(tǒng)漏洞進行傳播的,因此在清除蠕蟲病毒之前必須將蠕蟲病毒利用的相關漏洞進行修補。(2)清除正在運行的蠕蟲進程:每個進入內(nèi)存的蠕蟲一般會以進程的形式存在,只要清除了該進程,就可以使蠕蟲失效。(3)刪除蠕蟲病毒的自啟動項:感染蠕蟲主機用戶一般不可能啟動蠕蟲病毒,蠕蟲病毒需要就自己啟動。需要在這些自啟動項中清除蠕蟲病毒的設置。(4)刪除蠕蟲文件:可以通過蠕蟲在注冊表的鍵值可以知道病毒的躲藏位置,對于那些正在運行或被調(diào)用的文件無法直接刪除,可以借助于相關工具刪除。(5)利用自動防護工具,如個人防火墻軟件:通過個人防火墻軟件可以設置禁止不必要的服務。另外也可以設置監(jiān)控自己主機有哪些惡意的流量。四、木馬與后門1,木馬的概念木馬是指隱藏在正常程序中的一段具有特殊功能的惡意代碼,是具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和DOS攻擊等特殊功能的后門程序。它與控制主機之間建立起連接,使得控制者能夠通過網(wǎng)絡控制受害系統(tǒng),最大的特征在于隱秘性。.木馬特征(1)隱蔽性:隱蔽性是木馬的首要特征。木馬類軟件的SERVER端程序在被控主機系統(tǒng)上運行時,會使用各種方法來隱藏自己。(2)自動運行性:木馬程序通過修改系統(tǒng)配置文件,在目標主機系統(tǒng)啟動時自動運行或加載。(3)欺騙性：木馬程序要達到其長期隱蔽的目的,就必需借助系統(tǒng)中已有的文件,以防用戶發(fā)現(xiàn)。(4)自動恢復性：很多的木馬程序中的功能模塊已不再是由單ー的文件組成,而是具有多重備份,可以相互恢復。系統(tǒng)一旦被植入木馬,只刪除某ー個木馬文件來進行清除是無法清除干凈的。(5)破壞或信息收集:木馬通常具有搜索Cache中的口令、設置口令、掃描目標機器的IP地址、進行鍵盤記錄、遠程注冊表的操作、以及鎖定鼠標等功能。.木馬的偽裝方式鑒于木馬的危害性,很多人對木馬知識還是有一定了解的,這對木馬的傳播起了一定的抑制作用,這是木馬設計者所不愿見到的,因此他們開發(fā)了多種功能來偽裝木馬,以達到降低用戶警覺,欺騙用戶的目的。1)修改圖標當你在E-MAIL的附件中看到這個圖標時,是否會認為這是個文本文件呢?但是我不得不告訴你,這也有可能是個木馬程序,現(xiàn)在已經(jīng)有木馬可以將木馬服務端程序的圖標改成HTML,TXT,ZIP等各種文件的圖標,這有相當大的迷惑性,但是目前提供這種功能的木馬還不多見,并且這種偽裝也不是無懈可擊的,所以不必整天提心吊膽,疑神疑鬼的。(2)捆綁文件這種偽黑客利用木馬病毒盜取網(wǎng)銀用戶,安裝手段是將木馬捆綁到ー個安裝程序上,當安裝程序運行時,木馬在用戶毫無察覺的情況下,偷偷的進入了系統(tǒng)。至于被捆綁的文件一般是可執(zhí)行文件(即EXE,COMー類的文件)。(3)出錯顯示有一定木馬知識的人都知道,如果打開ー個文件,沒有任何反應,這很可能就是個木馬程序,木馬的設計者會提供一個叫做出錯顯示的功能。當服務端用戶打開木馬程序時,會彈出ー個錯誤提示框,錯誤內(nèi)容可自由定義,大多會定制成一些諸如“文件已破壞,無法打開的!”之類的信息,當服務端用戶信以為真時,木馬卻悄悄侵入了系統(tǒng)。(4)定制端口很多老式的木馬端口都是固定的,這給判斷是否感染了木馬帶來了方便,只要查一下特定的端口就知道感染了什么木馬,所以現(xiàn)在很多新式的木馬都加入了定制端口的功能,控制端用戶可以在1024一一65535之間任選ー個端口作為木馬端口（一般不選1024以下的端ロ）,這樣就給判斷所感染木馬類型帶來了麻煩。5）自我銷毀我們知道當服務端用戶打開含有木馬的文件后,木馬會將自己拷貝到WINDOWS的系統(tǒng)文件夾中,一般來說,原木馬文件和系統(tǒng)文件夾中的木馬文件的大小是ー樣的,那么中了木馬的用戶只要在近來收到的信件和下載的軟件中找到原木馬文件,然后根據(jù)原木馬的大小去系統(tǒng)文件夾找相同大小的文件,判斷一下哪個是木馬就行了。而木馬的自我銷毀功能是指安裝完木馬后,原木馬文件將自動銷毀,這樣服務端用戶就很難找到木馬的來源,在沒有查殺木馬的工具的幫助下,就很難刪除木馬了。（6）木馬更名安裝到系統(tǒng)文件夾中的木馬的文件名一般是固定的,那么只要根據(jù)ー些查殺木馬的文章,在系統(tǒng)文件夾查找特定的文件,就可以斷定中了什么木馬。所以現(xiàn)在有很多木馬都允許控制端用戶自由定制安裝后的木馬文件名,這樣很難判斷所感染的木馬類型了。.木馬的運行方式服務端用戶運行木馬或捆綁木馬的程序后,木馬就會自動進行安裝。首先將自身拷貝到WINDOWS的系統(tǒng)文件夾中（C:WINDOWS或C:WINDOWS\SYSTEM目錄下），然后在注冊表,啟動組,非啟動組中設置好木馬的觸發(fā)條件,這樣木馬的安裝就完成了。安裝后就可以啟動木馬了,具體過程如下:（1）自啟動激活木馬自啟動木馬的條件,大致出現(xiàn)在下面6個地方:①注冊表:打開HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下的五個以Run和RunServices主鍵,在其中尋找可能是啟動木馬的鍵值。②WIN.INI:C:WINDOWS目錄下有一個配置文件win.ini,用文本方式打開,在[windows]字段中有啟動命令load二和run二,在一般情況下是空白的,如果有啟動程序,可能是木馬。③SYSTEM.INI:C:WINDOWS目錄下有個配置文件system,ini,用文本方式打開,在[386Enh],[mei],[drivers32]中有命令行,在其中尋找木馬的啟動命令。(4)Autoexec,bat和Config.sys:在C盤根目錄下的這兩個文件也可以啟動木馬。但這種加載方式ー般都需要控制端用戶與服務端建立連接后,將已添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件オ行。⑤*.INI:即應用程序的啟動配置文件,控制端利用這些文件能啟動程序的特點,將制作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋這同名文件,這樣就可以達到啟動木馬的目的了。⑥啟動菜單:在“開始一ー程序ー一啟動”選項下也可能有木馬的觸發(fā)條件。(2)觸發(fā)式激活木馬注冊表:打開HKEY_CLASSES_ROOT文件類型\sheII\open\command主鍵,查看其鍵值。例如,國產(chǎn)木馬“冰河”就是修改HKEY_CLASSES_ROOT\txtfile\shelI\open\command下的鍵值,將rtC:WINDOWS\NOTEPAD.EXE%1”改為C:WINDOWS\SYSTEM\SYXXXPLR.EXE%1”當用戶雙擊ー個TXT文件后,原本應用文本程序打開文件的,現(xiàn)在卻變成啟動木馬程序了。還要說明的是不光TXT文件,通過修改HTML,EXE,ZIP等文件的啟動命令的鍵值都可以啟動木馬,不同之處只在于“文件類型”這個主鍵的差別，TXT是txtfiIe,ZIP是WINZIP。②捆綁文件:實現(xiàn)這種觸發(fā)條件首先要控制端和服務端已通過木馬建立連接,然后控制端用戶用工具軟件將木馬文件和某ー應用程序捆綁在ー起,然后上傳到服務端覆蓋原文件,這樣即使木馬被刪除了,只要運行捆綁了木馬的應用程序,木馬又會被安裝上去了。③自動播放式:自動播放本是用于光盤的,當插入ー個電影光盤到光驅(qū)時,系統(tǒng)會自動播放里面的內(nèi)容,這就是自動播放的本意,播放什么是由光盤中的AutoRun.inf文件指定的,修改AutoRun.inf中的open一行可以指定在自動播放過程中運行的程序。后來有人用于了硬盤與U盤,在U盤或硬盤的分區(qū),創(chuàng)建Autorun.inf文件,并在Open中指定木馬程序,這樣,當你打開硬盤分區(qū)或U盤時,就會觸發(fā)木馬程序的運行。木馬被激活后,進入內(nèi)存,并開啟事先定義的木馬端口,準備與控制端建立連接。這時服務端用戶可以在MS-DOS方式下,鍵入NETSTAT-AN查看端口狀態(tài),一般個人電腦在脫機狀態(tài)下是不會有端口開放的,如果有端口開放,你就要注意是否感染木馬了。在上網(wǎng)過程中要下載軟件,發(fā)送信件,網(wǎng)上聊天等必然打開ー些端口,下面是ー些常用的端口：(1)1一一1024之間的端口:這些端口叫保留端口,是專給ー些對外通訊的程序用的,如FTP使用21,SMTP使用25,POP3使用110等。只有很少木馬會用保留端口作為木馬端口的。(2)1025以上的連續(xù)端口:在上網(wǎng)瀏覽網(wǎng)站時,瀏覽器會打開多個連續(xù)的端口下載文字,圖片到本地硬盤±,這些端口都是1025以上的連續(xù)端口。(3)4000端口:這是0ICQ的通訊端口。(4)6667端口:這是IRC的通訊端口。除上述的端口基本可以排除在外,如發(fā)現(xiàn)還有其它端口打開,尤其是數(shù)值比較大的端口,那就要懷疑是否感染了木馬,當然如果木馬有定制端口的功能,那任何端ロ都有可能是木馬端口。.木馬的防御根據(jù)木馬工作原理,木馬檢測一般有以下ー些方法:(1)掃描端口:大部分的木馬服務器端會在系統(tǒng)中監(jiān)聽某個端口,因此,通過查看系統(tǒng)上開啟了那些端口能有效地發(fā)現(xiàn)遠程控制木馬的蹤跡。(2)檢查系統(tǒng)進程:很多木馬在運行期間都會在系統(tǒng)中生成進程。因此,檢查進程是ー種非常有效的發(fā)現(xiàn)木馬蹤跡方法。(3)檢查ini文件、注冊表和服務等自啟動項。(4)監(jiān)視網(wǎng)絡通訊,木馬的通信監(jiān)控可以通過防火墻來監(jiān)控。.后門的概念后門是一個允許攻擊者繞過系統(tǒng)中常規(guī)安全控制機制的程序,他按照攻擊者自己的意圖提供通道。后門的重點在于為攻擊者提供進入目標計算機的通道。后門包括從簡單到復雜,有很多類型。簡單的后門可能只是建立一個新的賬號,或者接管ー個很少使用的賬號;復雜的后門(包括木馬)可能會繞過系統(tǒng)的安全認證而對系統(tǒng)有安全存取權。例如一個login程序,當你輸入特定的密碼時,你就能以管理員的權限來存取系統(tǒng)。后門能相互關聯(lián),而且這個技術被許多黑客所使用。例如,黑客可能使用密碼破解ー個或多個賬號密碼,黑客可能會建立一個或多個賬號。ー個黑客可以存取這個系統(tǒng),黑客可能使用ー些技術或利用系統(tǒng)的某個漏洞來提升權限。黑客可能會對系統(tǒng)的配置文件進行小部分的修改,以降低系統(tǒng)的防衛(wèi)性能。也可能會安裝ー個木馬程序,使系統(tǒng)打開ー個安全漏洞,以利于黑客完全掌握系統(tǒng)。.后門的分類后門可以按照很多方式來分類,標準不同自然分類就不同,從技術方面來考慮后門程序的分類方法:(1)網(wǎng)頁后門:此類后門程序一般都是服務器上正常的web服務來構造自己的連接方式,比如現(xiàn)在非常流行的ASP、cg!腳本后門等。(2)線程插入后門：利用系統(tǒng)自身的某個服務或者線程,將后門程序插入到其中,這也是現(xiàn)在最流行的ー個后門技術。(3)擴展后門：所謂的“擴展”,是指在功能上有大的提升,比普通的單一功能的后門有很強的使用性,這種后門本身就相當于ー個小的安全工具包,能實現(xiàn)非常多的常駐見安全功能。c/s后門：和傳統(tǒng)的木馬程序類似的控制方法,采用“客戶端/服務端”的控制方式,通過某種特定的訪問方式來啟動后門進而控制服務器。五、流氓軟件.起源和概述“流氓軟件”其實起源于國外的“Badware”ー詞,定義為:是ー種跟蹤你上網(wǎng)行為并將你的個人信息反饋給“躲在陰暗處的”市場利益集團的軟件,并且可以通過該軟件能夠向你彈出廣告?！癇adware”分為“間諜軟件”（spyware）、惡意軟件（malware）和欺騙性廣告軟件（deceptiveadware）o國內(nèi)互聯(lián)網(wǎng)業(yè)界人士一般將該類軟件稱之為“流氓軟件”,并歸納出間諜軟件、行為紀錄軟件、瀏覽器劫持軟件、搜索引擎劫持軟件、廣告軟件、自動撥號軟件、盜竊密碼軟件等?！傲髅ボ浖迸c病毒、其他軟件的區(qū)別:計算機病毒指的是:自身具有、或使其它程序具有破壞系統(tǒng)功能、危害用戶數(shù)據(jù)或其它惡意行為的ー類程序。這類程序往往影響計算機使用,并能夠自我復制。正規(guī)軟件指的是:為方便用戶使用計算機工作、娛樂而開發(fā),面向社會公開發(fā)布的軟件?！傲髅ボ浖苯橛趦烧咧g,同時具備正常功能（下載、媒體播放等）和惡意行為（彈廣告、開后門）,給用戶帶來實質(zhì)危害。這些軟件也可能被稱為惡意廣告軟件（adware）＞間諜軟件（spyware）、惡意共享軟件。與病毒或者蠕蟲不同,這些軟件很多不是小團體或者個人秘密地編寫和散播,反而有很多知名企業(yè)和團體涉嫌此類軟件。其中以雅虎旗下的3721最為知名和普遍,也比較典型。.官方定義及特點惡意軟件(流氓軟件)定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權益的軟件,但已被我國法律法規(guī)規(guī)定的計算機病毒除外,它具有如下特點:(1)強制安裝:指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計算機或其他終端上安裝軟件的行為。(2)難以卸載：指未提供通用的卸載方式,或在不受其他軟件影響、人為破壞的情況下,卸載后仍活動程序的行為。(3)瀏覽器劫持：指未經(jīng)用戶許可,修改用戶瀏覽器或其他相關設置,迫使用戶訪問特定網(wǎng)站或?qū)е掠脩魺o法正常上網(wǎng)的行為。(4)廣告彈出:指未明確提示用戶或未經(jīng)用戶許可的情況下,利用安裝在用戶計算機或其他終端上的軟件彈出廣告的行為。(5)惡意收集用戶信息:未明確提示用戶或未經(jīng)用戶許可,惡意收集用戶信息的行為。(6)惡意卸載:指未明確提示用戶、未經(jīng)用戶許可,或誤導、欺騙用戶卸載非惡意軟件的行為。(7)惡意捆綁:指在軟件中捆綁已被認定為惡意軟件的行為。(8)惡意安裝:未經(jīng)許可的情況下,強制在用戶電腦里安裝其它非附帶的獨立軟件。強制安裝到系統(tǒng)盤的軟件也被稱為流氓軟件。.分類根據(jù)不同的特征和危害,困擾廣大計算機用戶的流氓軟件主要有如下幾類:(1)廣告軟件(Adware)定義:廣告軟件是指未經(jīng)用戶允許,下載并安裝在用戶電腦上;或與其他軟件捆綁,通過彈出式廣告等形式牟取商業(yè)利益的程序。危害:此類軟件往往會強制安裝并無法卸載;在后臺收集用戶信息牟利,危及用戶隱私;頻繁彈出廣告,消耗系統(tǒng)資源,使其運行變慢等。例如:用戶安裝了某下載軟件后,會一直彈出帶有廣告內(nèi)容的窗口,干擾正常使用。還有一些軟件安裝后,會在IE瀏覽器的工具欄位置添加與其功能不相干的廣告圖標,普通用戶很難清除（2）間諜軟件（Spyware）定義:間諜軟件是ー種能夠在用戶不知情的情況下,在其電腦上安裝后門、收集用戶信息的軟件。危害:用戶的隱私數(shù)據(jù)和重要信息會被“后門程序”捕獲,并被發(fā)送給黑客、商業(yè)公司等。這些“后門程序”甚至能使用戶的電腦被遠程操縱,組成龐大的“僵尸網(wǎng)絡”,這是目前網(wǎng)絡安全的重要隱患之一。例如:某些軟件會獲取用戶的軟硬件配置,并發(fā)送出去用于商業(yè)目的。（3）瀏覽器劫持定義：瀏覽器劫持是ー種惡意程序,通過瀏覽器插件、BHO（瀏覽器輔助對象）、WinsockLSP等形式對用戶的瀏覽器進行篡改,使用戶的瀏覽器配置不正常,被強行引導到商業(yè)網(wǎng)站。危害：用戶在瀏覽網(wǎng)站時會被強行安裝此類插件,普通用戶根本無法將其卸載,被劫持后,用戶只要上網(wǎng)就會被強行引導到其指定的網(wǎng)站,嚴重影響正常上網(wǎng)瀏覽。例如：ー些不良站點會頻繁彈出安裝窗口,迫使用戶安裝某瀏覽器插件,甚至根本不征求用戶意見,利用系統(tǒng)漏洞在后臺強制安裝到用戶電腦中。這種插件還采用了不規(guī)范的軟件編寫技術來逃避用戶卸載,往往會造成瀏覽器錯誤、系統(tǒng)異常重啟等。(4)行為記錄軟件(TrackWare)定義:行為記錄軟件是指未經(jīng)用戶許可,竊取并分析用戶隱私數(shù)據(jù),記錄用戶電腦使用習慣、網(wǎng)絡瀏覽習慣等個人行為的軟件。危害:危及用戶隱私,可能被黑客利用來進行網(wǎng)絡詐騙。例如：ー些軟件會在后臺記錄用戶訪問過的網(wǎng)站并加以分析,有的甚至會發(fā)送給專門的商業(yè)公司或機構,此類機構會據(jù)此窺測用戶的愛好,并進行相應的廣告推廣或商業(yè)活動。(5)惡意共享軟件定義：惡意共享軟件是指某些共享軟件為了獲取利益,采用誘騙手段、試用陷阱等方式強迫用戶注冊,或在軟件體內(nèi)捆綁各類惡意插件,未經(jīng)允許即將其安裝到用戶機器里。危害:使用“試用陷阱”強迫用戶進行注冊,否則可能會丟失個人資料等數(shù)據(jù)。軟件集成的插件可能會造成用戶瀏覽器被劫持、隱私被竊取等。例如：用戶安裝某個媒體播放軟件后,會被強迫安裝與播放功能毫不相干的軟件而不給出明確提示;并且用戶卸載播放器軟件時不會自動卸載這些附加安裝的軟件。(6)其它隨著網(wǎng)絡的發(fā)展,“流氓軟件”的分類也越來越細,ー些新種類的流氓軟件在不斷出現(xiàn),分類標準必然會隨之調(diào)整?！傲髅ボ浖钡淖畲笊虡I(yè)用途就是散布廣告,并形成了整條灰色產(chǎn)業(yè)鏈:企業(yè)為增加注冊用戶、提高訪問量或推銷產(chǎn)品,向網(wǎng)絡廣告公司購買廣告窗口流量。網(wǎng)絡廣告公司用自己控制的廣告插件程序,在用戶電腦中強行彈出廣告窗口。而為了讓廣告插件神不知鬼不覺地進入用戶電腦,大多數(shù)時候廣告公司是通過聯(lián)系熱門免費共享軟件的作者,以每次幾分錢的價格把廣告程序通過插件的形式捆綁到免費共享軟件中,用戶在下