计算机网络——计算机网络病毒和黑客

admin管理员组

文章数量:1591691

计算机网络病毒的分类

• （1）系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。
• （2）蠕虫病毒的前缀是：Worm。自包含程序，它能传播自身功能的拷贝或自身的某些部分到其他计算机系统中。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。
• （3）脚本病毒的前缀是：Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行的传播的病毒。
• （4）后门病毒的前缀是：Backdoor。该类病毒的共有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。
• （5）破坏性程序病毒的前缀是：Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。
• （6）玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。
• （7）IRC病毒：集黑客、蠕虫、后门功能于一体，通过局域网共享目录和系统漏洞进行传播，病毒自带有简单的口令字典，用户如果不设置密码或密码过于简单都会使系统易受病毒影响。
• （8）木马病毒：两个特征，一是用户自己下载进电脑，二是里应外合木马和黑客相辅相成，木马病毒不会自身复制
• 莫里斯蠕虫病毒、爱虫病毒、

计算机网络病毒的特征

• （1）计算机病毒的程序性(可执行性)：计算机病毒与其他合法程序一样，是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有—切程序所能得到的权力；
• （2）计算机病毒的传染性：传染性是病毒的基本特征，计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的；
• （3）计算机病毒的潜伏性：一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件中，对其他系统进行传染，而不被人发现；
• （4）计算机病毒的可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性；
• （5）计算机病毒的破坏性：系统被病毒感染后，病毒一般不即时发作，而是潜藏在系统中，等条件成熟后，便会发作，给系统带来严重的破坏；
• （6）攻击的主动性：病毒对系统的攻击是主动的，计算机系统无论采取多么严密的保护措施都不可能彻底地排除病毒对系统的攻击，而保护措施充其量是一种预防的手段而已；
• （7）病毒的针对性：计算机病毒是针对特定的计算机和特定的操作系统的。例如，有针对IBM PC机及其兼容机的，有针对Apple公司的Macintosh的，还有针对UNIX操作系统的。例如小球病毒是针对IBM PC机及其兼容机上的DOS操作系统的。

计算机病毒的防护

• 建立良好的安全习惯、关闭或删除系统中不需要的服务、经常升级操作系统的安全补丁、使用复杂的密码、迅速隔离受感染的计算机、安装专业的防病毒软件进行全面监控、及时安装防火墙

特洛伊木马

• 特洛伊木马(Trojan Horse) ：是一种与远程计算机之间建立起连接，使 远程计算机 能够通过 网络 控制 用户计算机 系统并且可能造成用户的信息损失、系统损坏甚至瘫痪的 程序 。
• 服务器与控制端间的元素
• 一： 硬件（控制端、服务器端、Internet）
• 二： 软件（控制程序、木马程序、木马配置程序）
• 三： 连接（控制、服务端IP，控制、服务端Port）
  

特洛伊木马的经历阶段

• 第一阶段：主要实现简单的密码窃取、发送功能
• 第二阶段：技术上的进步（隐藏、控制等方面）
• 第三阶段：数据传递技术上的改进（出现了基于ICMP协议的木马）
• 第四阶段：进程隐藏方面的改动
• 第五阶段：驱动级木马（使用Rootkit技术达到深度隐藏的效果）
• 第六阶段：身份认证UsbKey和杀毒软件主动防御的兴起（粘虫技术类型和特殊反显技术类型木马开始系统化）

挂马关键技术

• 网页木马：网页挂马是攻击者通过正常的页面中（通常是网站的主页）插入一段代码。浏览者再打开该网页的时候，这段代码被执行，然后下载并运行某木马的服务端程序，进而控制浏览者主机。分为直接木马和简介木马（统计网站上，使用该网站的所有网站都被间接挂马）。

• 挂马关键技术：

• 框架挂马
  

• JS挂马
  

• 图片伪装
  

• 网站钓鱼
  

• 伪装挂马
  

• 木马病毒的三个特点：欺骗性的隐蔽下载、 自动运行里应外合、 远程控制攻击系统

• 常见的木马植入手段：邮件植入、IM植入（QQ，MSN等有文件传输功能，木马程序通过合并软件和其他的可执行文件绑在一起，欺骗受害者下载运行）、下载传播、漏洞植入、网上邻居植入、网页植入（黑客制作一个ActiveX控件，放在网页里面，当用户选择安装时，将会自动在服务器上下载一个木马程序并运行）

蠕虫病毒

• 蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫:主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝加入到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫"野兔"，蠕虫病毒一般是通过1434端口漏洞传播。
  

蠕虫病毒的发作机理

• （1）扫描功能，主要负责探测远程主机的漏洞，模拟了攻防的Scan过程，当蠕虫向某个主机发送探测漏洞的信息并收到成功的应答后，就得到了一个潜在的传播对象。
• （2）攻击，特定漏洞的攻击方法对潜在的传播对象进行自动攻击，取得该主机的合适权限，为后续步骤做准备。
• （3）复制，在特定权限下，复制功能实现蠕虫引导程序的远程建立工作，即把引导程序复制到攻击对象上。

蠕虫病毒的检测和防范

• 对未知蠕虫的检测：

• （1）通用的方法是对流量异常的统计分析：对TCP连接异常的分析，对ICMP数据异常的分析。

• （2）在蠕虫的扫描阶段，会随机地或伪随机地生成大量的IP地址进行扫描，探测漏洞主机，这些被扫描的IP地址中会存在许多空的或者不可达的IP地址，从而在一段时间内蠕虫主机会接收到大量来自不同路由器的ICMP-T3（目标不可达）数据包，通过对这些数据包进行检测和统计可在蠕虫的扫描阶段将其发现，然后隔离分析，并采取相应措施。

• 对蠕虫的防范：

• （1）定期扫描系统，防病毒软件都能够设置成在计算机每次启动时扫描系统或定期运行扫描工作，一些程序还可以在连接到因特网上时在后台扫描系统。

• （2）更新防病毒软件，确保它是最新的。

• （3）限制邮件附件。

• （4）禁止运行附件中的可执行文件（.COM、.EXE等），预防DOC、XLS等附件文档，不要直接运行脚本文件（VBS、SHS）。

• （5）邮件程序设置，“附件的安全性”设为“高”，禁止“服务器脚本运行”，慎用邮件预览功能。

• （6）关闭WSH功能,有些电子邮件病毒是利用WSH进行破坏的。

普通病毒、蠕虫和木马比较

后门病毒

• 后门是一个允许攻击者 绕过 系统中 常规 安全控制机制 的程序， 他按照攻击者自己的意图提供通道。后门的重点在于为攻击者提供进入目标计算机的通道。

后门类型

• 1、本地权限的提升。对系统有访问权限的 攻击者 变换其权限等级 成为管理员， 然后攻击者可以重新设置 该系统 或 访问人和 存储在系统中的文件。
• 2、单个命令的远程执行。攻击者可以向目标计算机发送消息。每执行一个单独的命令，后门 执行 攻击者 的命令 并将 输出 返回给 攻击者。
• 3、远程命令行 解释器 访问。 正如远程Shell，这类后门允许 攻击者 通过 网络 快速直接地 键入 受害 计算机 的 命令 提示。其 比“单个命令远程执行”要强大的多。
• 4、远程控制GUI（Graphical User Interface）。攻击者可以看到目标计算机的GUI，控制鼠标的移动，输入对键盘的操作，这些都通过网络实现。
• 无端后门（防御后门）和有端后门

后门的启动

• 1、感染普通执行文件或系统文件，添加程序到“开始”—“程序”—“启动”选项
• 2、修改系统配置文件
• 3、通过修改注册表 启动 键值，修改文件关联的 打开方式，添加计划任务。
• 4、利用自定义文件夹风格进行注册

后门启动的检查

• 手工检测：对注册表启动键值、 启动选项、关联方式、计划任务等进行全面的搜索检测。
• 工具检测：利用Autorung、GFI LanGuard等程序来进行完整的后门检测程序。

后门病毒的来源

• （1）攻击者利用欺骗的手段，通过发送电子邮件或者文件，并诱使主机的操作员打开或运行藏有木马程序的邮件或文件，这些木马程序就会在主机上创建一个后门。
• （2）攻击者攻陷一台主机，获得其控制权后，在主机上建立后门，比如安装木马程序，以便下一次入侵时使用。
• （3）软件开发过程中引入的。在软件的开发阶段，程序员常会在软件内创建后门以方便测试或者修改程序中的缺陷，但在软件发布时，后门被有意或者无意忽视了，没有被删除，那么这个软件天生就存在后门，安装该软件的主机就不可避免的引入了后门。

后门病毒的防御

• （1）查找不寻常的程序。
• （2）查找不寻常的进程。
• （3）利用基于网络的IDS（Intrusion Detection System，入侵检测系统）查找隐蔽的后门命令，如Snort。
• （4）检测本地和网络中的混杂模式的网卡： 本地检测嗅探器（Promiscdetect.exe）远程检测嗅探器（Sentinel,AntiSniff）。

网络中的黑客

黑客常用的攻击方式

• （1）获取口令，一是通过网络监听非法得到用户口令；二是在知道用户的账号后（如电子邮件@前面的部分）利用一些专门软件强行破解用户口令；三是在获得一个服务器上的用户口令文件（此文件成为Shadow文件）后，用暴力破解程序破解用户口令。
• （2）放置特洛伊木马程序，特洛伊木马程序可以直接侵入用户的电脑并进行破坏，它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载，一旦用户打开了这些邮件的附件或者执行了这些程序之后，它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中，并在自己的计算机系统中隐藏一个可以在Windows启动时悄悄执行的程序。当您连接到因特网上时，这个程序就会通知黑客，来报告您的IP地址以及预先设定的端口。黑客在收到这些信息后，再利用这个潜伏在其中的程序，就可以任意地修改您的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。
• （3）WWW的欺骗技术，在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问，如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在：正在访问的网页已经被黑客篡改过，网页上的信息是虚假的！例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器，当用户浏览目标网页的时候，实际上是向黑客服务器发出请求，那么黑客就可以达到欺骗的目的了。获取用户的用户名和密码信息。
• （4）电子邮件攻击，电子邮件攻击主要表现为两种方式：一是电子邮件轰炸和电子邮件“滚雪球”，也就是通常所说的邮件炸弹，指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件，致使受害人邮箱被“炸”；二是电子邮件欺骗，攻击者佯称自己为系统管理员（邮件地址和系统管理员完全相同），给用户发送邮件要求用户修改口令（口令可能为指定字符串）或在貌似正常的附件中加载病毒或其他木马程序。
• （5）通过一个节点来攻击其他节点，黑客在突破一台主机后，往往以此主机作为根据地，攻击其他主机(以隐蔽其入侵路径，避免留下蛛丝马迹)。他们可以使用网络监听方法，尝试攻破同一网络内的其他主机；也可以通过IP欺骗和主机信任关系，攻击其他主机。可在各节点之间插入安全防护。
• （6）网络监听，网络监听是主机的一种工作模式，在这种模式下，主机可以接受到本网段在同一条物理通道上传输的所有信息，而不管这些信息的发送方和接受方是谁。此时，如果两台主机进行通信的信息没有加密，只要使用某些网络监听工具，例如NetXray，sniffit for linux 、solaries等就可以轻而易举地截取包括口令和帐号在内的信息资料。
• （7）寻找系统漏洞，许多系统都有这样那样的安全漏洞（Bugs），其中某些是操作系统或应用软件本身具有的，如Sendmail漏洞，windows系统中的共享目录密码验证漏洞和IE漏洞等，这些漏洞在补丁未被开发出来之前一般很难防御黑客的破坏，除非你将网线拔掉；还有一些漏洞是由于系统管理员配置错误引起的，如在网络文件系统中，将目录和文件以可写的方式调出，将未加Shadow的用户密码文件以明码方式存放在某一目录下，这都会给黑客带来可乘之机，应及时加以修正。
• （8）利用帐号进行攻击，有的黑客会利用操作系统提供的缺省账户和密码进行攻击，例如许多UNIX主机都有FTP和Guest等缺省账户（其密码和账户名同名），有的甚至没有口令。黑客用Unix操作系统提供的命令如Finger和Ruser等收集信息，不断提高自己的攻击能力。
• （9）偷取特权，利用各种特洛伊木马程序、后门程序和黑客自己编写的导致缓冲区溢出的程序进行攻击，前者可使黑客非法获得对用户机器的完全控制权，后者可使黑客获得超级用户的权限，从而拥有对整个网络的绝对控制权。

本文标签： 计算机网络黑客病毒