防病毒之特洛伊木马原理分析.pptxVIP

防病毒之特洛伊木马原理分析防病毒之特洛伊木马原理分析第1页

2讲座纲领1.特洛伊小说2.木马宏观情况3.木马工作原理3.1木马开启3.2木马隐藏3.3木马伪装3.4木马注入3.5木马种类4.使用C#实现简单木马程序5.木马程序防范防病毒之特洛伊木马原理分析第2页

3什么是木马这不是小鸡吃米图吗？古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人所以远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大木马腹内，放在城外后，佯作退兵。特洛伊人认为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。以后，大家在写文章时就常见“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合活动特洛伊木马没有复制能力，它特点是伪装成一个实用工具或者一个可爱游戏，这会诱使用户将其安装在PC或者服务器上。防病毒之特洛伊木马原理分析第3页

4木马发展第一阶段最初网络还处于以UNIX平台为主时期，木马就产生了，在这个时期木马设计者和使用者大都是些技术人员，必须具备相当网络和编程知识。第二阶段伴随WINDOWS平台日益普及，一些基于图形操作木马程序出现了，用户界面改进，使用者不用懂太多专业知识就能够熟练木马，相正确木马入侵事件也频繁出现，而且木马功效已日趋完善，对服务端破坏也更大了。木马发展到今天，已经无所不极，一旦被木马控制，你电脑将毫无秘密可言。防病毒之特洛伊木马原理分析第4页

5木马宏观情况之数量《２００７年上六个月中国电脑病毒疫情及互联网安全汇报》A:我国受感染电脑超出７５０万台，与去年同期相比增加了１２.２％，其中被感染计算机中遭受过木马病毒攻击百分比占到９１.３５％。B:２００７年上六个月，金山毒霸共截获新增病毒样本总计１１,１４７４种，比去年同期快速增加了２３％。其中木马病毒新增数占总病毒新增数６８.７１％，高达７６５９３种。C:值得大家留心是，网页挂木马问题在２００７年上六个月出现了爆炸式增加。教授表示，网页挂木马不光是在一些疏于防范网站，很多安全办法做得很好网站也被挂上木马。你电脑没有中毒还叫电脑吗？防病毒之特洛伊木马原理分析第5页

6木马宏观情况之灾区年病毒重灾区排行版：广东首当其冲，“中招”机器高达１１％，其次：另外，汇报还显示出一个新趋势，２００７年出现了大量新（变种）病毒。单一病毒感染计算机数量不再是衡量其危害标准，频繁生成变种有效加速了病毒传输。浙江8%江苏8%上海8%四川7%山东7%北京6%防病毒之特洛伊木马原理分析第6页

7木马宏观情况之趋势趋势动机：自我炫耀搜集敏感或有价值信息目标：处处蔓延针对性攻击最受欢迎攻击对象网络游戏成为木马主要目标木马病毒野心膨胀，直指网络银行防病毒之特洛伊木马原理分析第7页

8木马宏观情况之网银1三年600倍每个月160防病毒之特洛伊木马原理分析第8页

9木马宏观情况之蔓延利益驱使带毒网站数量众多QQ尾巴为木马传输推波助澜黑客网站对木马明码标价baidu等服务平台助长蔓延态势法律不健全防病毒之特洛伊木马原理分析第9页

10木马工作原理目标和伎俩A：有什么信息好偷（编写动机）B：怎样偷得到（传输伎俩）原理1:怎样注入2:怎样开启3:运行时怎样隐藏4:文件怎样伪装防病毒之特洛伊木马原理分析第10页

11木马工作原理之开启1：在Win.ini中开启在Win.ini[windows]字段中有开启命令load＝和run＝，在普通情况下＝后面是空白，假如有后跟程序，比喻说是这个样子：run=c:\windows\file.exeload=c:\windows\file.exe要小心了，这个file.exe很可能是木马哦。类似还有：System.ini，Autoexec.bat，Config.sys，Winstart.bat，*.INI（配置文件）防病毒之特洛伊木马原理分析第11页

12木马工作原理之开启2.利用注册表加载运行统计到注册表[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]项和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows