软件简介:6 J: t4 M s4 F6 Y3 _
(注意:本教程配有语音,请打开您的音响,并且使用1024*768或以上的屏幕分辨率来观看!)
. w0 s0 k8 `+ u8 d0 \% w) N2 a9 m本次动画教程主题: 局域网病毒潜伏及攻击传播原理现象
" k* U, d7 ]7 D; ?) s8 k制作时间:2007年10月27日 制作人:甲面将军 QQ:121813720# y0 y! Y2 Y) G% u- M& Z# t
U7 w* x2 Q- d
演示环境:windows xp sp2操作系统; o& k h! B1 ^
一:病毒潜伏技巧7 A- G$ F% T- [ w0 g: |# d+ n; q
木马是一种基于远程控制的病毒程序,该程序具有很强的隐蔽性和危害性,它可以在人不知鬼不觉的状态下控制你或者监视你。有人说,既然9 P8 _$ \5 N" |4 d& J! v, c
木马这么厉害,那我离它远一点不就可以了!当然有办法,除非你根本就不上网。那我怎么知道木马在哪里呢,相信不熟
( r1 X! N; ~+ M1 ]+ l' {/ V悉木马的朋友们肯定想知道这样的问题。下面就是木马潜伏的诡招,看了以后不要忘记采取绝招来对付这些损招!
" q. E7 V) F$ Z$ f8 ~ 1、集成到程序中
) A% \' _5 @. _" N! Q" } 其实木马也是一个服务器-客户端程序,它为了不让用户能轻易地把它删除,就常常集成到程序里,一旦用户激活木马程序,那么木马文件
, `! M( A- U) {6 {和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被安装上去' b/ h8 {4 \: \. {
了。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。* ?5 i& O+ Z, l% ?* O6 p8 F
2、隐藏在配置文件中
1 [+ k& s8 ?$ j( N$ z' t' y 木马实在是很狡猾,知道朋友们平时使用的是图形化界面的操作系统,对于那些已经不太重要的配置文件大多数是不闻不问了,这正好给
+ b" T* D& U0 V# w木马提供了一个藏身之处。而且利用配置文件的特殊作用,木马很容易就能在大家的计算机中运行、发作,从而偷窥或者监视大家。不过,现
A/ f5 Q8 B8 u% m- D在这种方式不是很隐蔽,容易被发现,所以在Autoexec.bat和Config.sys中加载木马程序的并不多见,但也不能因此而掉以轻心。
0 Q O. t" p, t0 q9 l8 _ 3、潜伏在Win.ini中( f# h) i) E: R5 @8 `7 C# v
木马要想达到控制或者监视计算机的目的,必须要运行,然而没有人会傻到自己在自己的计算机中运行这个木马。当然,木马也早
2 ^1 Y/ w( U( ]2 p2 R4 r有心理准备,知道人类是高智商的动物,不会帮助它工作的,因此它必须找一个既安全又能在系统启动时自动运行的地方,于是潜伏在Win.ini
9 w+ b' t0 K5 E$ `( } o( q中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看,在它的[windows]字段中有启动命令load=和run=,在一般情况下=
" P: r) P) H. {& x* Q后面是空白的,如果有后跟程序,比方说是这个样子:run=c:\windows\muma.exe load=c:\windows\muma.exe
, @2 L5 G9 q& x" ?6 @! N& ]这时你就要小心了,这个muma.exe很可能是木马。
# z8 w9 ^% v, N 4、伪装在普通文件中5 c$ L) o" ~; _2 h! V& @
这个方法出现的比较晚,不过现在很流行,对于不熟练的windows操作者,很容易上当。具体方法是把可执行文件伪装成图片或文本----在1 W! x+ G9 F L. e4 ]; Y8 w) b
程序中把图标改成Windows的默认图片图标, 再把文件名改为1.jpg.exe, 由于有些我们系统默认设置是不显示已知的文件后缀名,文件将会显' \' L& @7 c: x& w4 e4 b: J
示为1.jpg, 不注意的人一点这个图标就中木马了。
, C" x' F ?( E7 z N0 Q; _ 5、内置到注册表中; g6 i, `! v3 Z# b0 G
上面的方法让木马着实舒服了一阵,既没有人能找到它,又能自动运行,真是爽咯!然而好景不长,人类很快就把它的马脚揪了出来,并
) W& D! Y- j* t B$ E% }对它进行了激烈的追杀!但是它还心有不甘,总结了失败教训后,认为上面的藏身之处很容易找,现在必须躲在不容易被人发现的地方,于是2 A1 i" ]* h1 i
它想到了注册表!的确注册表由于比较复杂,木马常常喜欢藏在这里做运动,这时候我们就可以赶快检查一下,有什么程序在其下,9 L9 D: A) n8 T! ] x) w( b* h
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以run开头的键值;& G+ o/ b( j! R
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以run开头的键值;& E. `% V, A( O" K' c
HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion下所有以run开头的键值。, g/ }( `8 ^% K; _
6、在System.ini中藏身" F4 P6 V/ H' y* b
木马真是无处不在的!什么地方有空子,它就往哪里钻!Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点,( g; g* z, k l1 X( S
打开这个文件看看,它与正常文件有什么不同,在该文件的有些字段中,是不是有这样的内容,那就是shell=Explorer.exe woshimuma.exe" H. {2 T r+ V# P0 H3 {& M
,如果确实有这样的内容,那你就不幸了,因为这里的woshimuma.exe就是木马服务端程序!另外,在System.ini中的[386Enh]字段,要注意检& w- V/ e$ {2 F+ S/ [, l
查在此段内的driver=路径\程序名,这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这三个字段
% [; A2 v3 U% F8 c/ N( A: `* v,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里。- h' @! C1 f! Q3 L) l
7、隐形于启动组中
* ^, l# v' k" C. z! r 有时木马并不在乎自己的行踪,它更注意的是能否自动加载到系统中,因为一旦木马加载到系统中,任你用什么方法你都无法将它赶跑! W5 D" S" o- u8 S% }& r3 f
,因此按照这个逻辑,启动组也是木马可以藏身的好地方,因为这里的确是自动加载运行的好场所。启动组对应的文件) V- |8 D7 c8 h2 [7 s: D
夹为:C:\windows\startmenu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\
, o' P* Q! p& X, R4 R; K' ZCurrentVersion\Explorer\ShellFolders Startup=C:\windows\startmenu\programs\startup。要注意经常检查启动组哦!, C" T6 A5 W" L" w
* g0 O' \4 K- @( ? 8、隐蔽在Winstart.bat中
! E( m/ A' C0 P8 a) w2 |% \ 按照上面的逻辑理论,凡是利于木马能自动加载的地方,木马都喜欢呆。这不,Winstart.bat也是一个能自动被Windows加载运行的文件," V1 ^" V7 S* K! h5 _4 [ x% Z
它多数情况下为应用程序及Windows自动生成,在执行了Win.com并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟# \* e% _8 T5 }" I% X6 W
踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运3 l e- N7 S4 v. ]5 N
行,危险由此而来。
, Y C& K$ h2 v; f; u" d
2 f/ @4 `/ {( b% _ 9、捆绑在启动文件中
- ^, I5 H! D$ w. l" K1 U0 J 即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名* X4 |8 k8 c, n8 r
文件,这样就可以达到启动木马的目的了。
( B/ J7 Y: Z7 P, n 10、设置在超级连接中
+ f& K- M a+ X/ \7 K 木马的主人在网页上放置恶意代码,引诱用户点击,用户点击的结果不言而喻:开门揖盗!奉劝不要随便点击网页上的链接,除非你了解 d- `% _$ x5 k: S, D1 z
它,信任它,为它死了也愿意等等。& a$ L5 W; E1 m$ X1 Z" T( D
, W( ]( S; F% e: M$ ^; `二、局域网病毒攻击传播原理及现象' C- X5 m S7 {+ g1 a& a. L
一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站、无盘工作站和1 R9 F0 r% [7 ^ z# d7 B" a
远程工作站)。计算机病毒一般首先通过各种途径进入到有盘工作站,也就进入网络,然后开始在网上
+ J7 a1 B7 i4 U4 v$ b9 A1 }的传播。具体地说,其传播方式有以下几种。
2 V0 ^# ]( Y. S- B) } (1)病毒直接从工作站拷贝到服务器中或通过邮件在网内传播;- y5 _7 Y% D. |. d5 k+ ~: q$ u5 V
(2)病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器; 什么
$ H _. M( g/ P6 j: C$ c8 e是工作站(Workstation)
" E/ O: B& C/ ` 今天,工作站是指连接到网络的计算机。在过去,工作站是指高性能的工程系统和计算机辅助设
* ^% O9 q4 V2 s0 E5 N' K& E7 n7 p* r计/计算机辅助制造(CAD/CAM)系统。) \- ?! f7 M2 R0 U$ a; n( v8 h
. F P- N& u/ c6 i% Q
(3)病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中 。0 h8 k# h6 n$ |
(4)如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件
. h% O5 N. F: T/ k, f服务器,就可通过它迅速传染到整个网络的每一个计算机上。而对于无盘工作站来说,由于其并非真的无盘(它的盘是网络盘),当其运行
6 A. Z( Z0 }4 W/ ~! ~ A. F/ F5 x网络盘上的一个带毒程序时,便将内存中& Z7 _, ?& e( V% s
的病毒传染给该程序或通过映像路径传染到服务器的其他的文件上,因此无盘工作站也是病毒孽生的温' ^* |4 K. k6 e" _6 @# ~! u% s
床。
p" g% T. y( g! r) l# |8 \ 由以上病毒在网络上的传播方式可见,在网络环境下,网络病毒除了具有可传播性、可执行性、破7 X0 w' x6 m- M9 z( Y$ ]$ n; f: W
坏性等计算机病毒的共性外,还具有一些新的特点。
% B$ J7 }8 Z. o' n (1)感染速度快: {' I" e, f4 t- h
在单机环境下,病毒只能通过介质从一台计算机带到另一台,而在网络中则可以通过网络通讯机制' e. G8 Q8 ?- x
进行迅速扩散。根据测定,在网络正常工作情况下,只要有一台工作站有病毒,就可在几十分钟内将网3 N& x0 j/ v8 l% V
上的数百台计算机全部感染。
u" A; D5 I. ~: h1 @ (2)扩散面广. U" l# Q) f6 Z5 c1 p" i
由于病毒在网络中扩散非常快,扩散范围很大,不但能迅速传染局域网内所有计算机,还能通过远
0 ]9 K$ h$ U. A p程工作站将病毒在一瞬间传播到千里之外。4 M" g& d8 j# {4 \: i
(3)传播的形式复杂多样, t: ] ? {( w. d4 N0 R. t
计算机病毒在网络上一般是通过工作站到服务器到工作站的途径进行传播的,但现在病毒技3 `$ |* j6 W- V- g% h3 t8 h. ]
术进步了不少,传播的形式复杂多样。5 ?2 |$ b9 ?/ z$ v9 K& w
(4)难于彻底清除
: {7 M1 S/ m% u 单机上的计算机病毒有时可以通过带毒文件来解决。低级格式化硬盘等措施能将病毒彻底清除。而
! z- ]1 u( H! }, K( @8 r网络中只要有一台工作站未能清除干净9 Q0 b t7 u2 Q* T5 a# c8 f
,就可使整个网络重新被病毒感染,甚至刚刚完成杀毒工作的一台工作站,就有可能被网上另一台带毒工作站所感染。因此,仅对工作站进行
2 r# ]5 d4 `3 ] }- S杀毒,并不能解决病毒对网络的危害。# T# A; b, I2 G6 C3 t, n
(5)破坏性大
' z' L$ ]6 D! j* J3 I% V- v- [8 J 网络病毒将直接影响网络的工作,轻则降低速度,影响工作效率,重则使网络崩溃,破坏服务器信息,使多年工作毁于一旦。) o3 e" X. [5 D
(6)可激发性; ]' Q) `1 ^; j
网络病毒激发的条件多样化,可以是内部时钟、系统的日期和用户名,也可以是网络的一次通信等。一个病毒程序可以按照病毒设计者的. x) z* D0 w; O' m) w7 I7 k8 T
要求,在某个工作站上激发并发出攻击。" X/ ]6 U, o. w5 N. h2 | F
: ]4 i1 ^! I( d& k" t$ t
(7)潜在性! r8 I/ h/ M& c* Y! x
网络一旦感染了病毒,即使病毒已被清除,其潜在的危险性也是巨大的。根据统计,病毒在网络上被清除后,85%的网络在30天内会被再/ i5 P4 y v2 v# ]+ ^9 C2 y
次感染。) X( m; b7 T* ^: c9 X. _
例如尼姆达病毒,会搜索本地网络的文件共享,无论是文件服务器还是终端客户机,一旦找到,便安装一个隐藏文件,名为Riched20.DLL8 \+ \+ F" t- b' j" `
到每一个包含DOC和eml文件的目录中,当用户通过Word、写字板、Outlook打开DOC和eml文档时,这些应用程序将执行Riched20.DLL文6 G$ {& p) H* R0 b3 M. K
件,从而使机器被感染,同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件,不需你打开附件,只要阅读或预览了5 U/ N' _6 T. D% A+ C2 J
带病毒的邮件,就会继续发送带毒邮件给你通讯簿里的朋友。, W7 ~& z1 K, ?/ a: |5 d
三、局域网病毒预防方法1 ^0 N, @. G, j8 q% `* w6 H: P3 b
以尼姆达病毒为例,(是一种通过电子邮件传播的恶意蠕虫。)个人用户感染该病毒后,使用单机版杀毒软件即可清除;然而企业的网络
c3 O, V9 K" f* t中,一台机器一旦感染尼姆达,病毒便会自动复制、发送并采用各种手段不停交叉感染局域网内的其他用户。
: o+ p, r/ V" @0 p" y7 V0 E0 B9 v, e9 X 计算机病毒形式及传播途径日趋多样化,因此,大型企业网络系统的防病毒工作已不再像单台计算机病毒的检测及清除那样简单,而需要
; W) c; s! J b5 Z+ W建立多层次的、立体的病毒防护体系,而且要具备完善的管理系统来设置和维护对病毒的防护策略。) F2 J/ i1 A1 m' f0 y
一个企业网的防病毒体系是建立在每个局域网的防病毒系统上的,应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别5 v' Q [5 t, C) O, y
设置有针对性的防病毒策略。
% V1 J6 E. ?5 }; B0 l5 t
$ X, J/ M2 o$ u$ U) r5 H- O% D1.挑选网络版杀毒软件
% l! R6 A, p) @2 o' a8 I) T 选择一个功力高深的网络版病毒杀手就至关重要了。一般而言,查杀是否彻底,界面是否友好、方便,能否集中管理是决定一个网络杀: M3 R# ?( S- h% W8 F' V7 [: Y
毒软件的三大要素。. M" @; M" ?+ D) J' j$ |
2.增加安全意识
* f9 D) ^% L2 j8 ~: g9 p2 ?' ? 杜绝病毒,主观能动性起到很重要的作用。病毒的蔓延,经常是由于企业内部员工对病毒的传播方式不够了解,病毒传播的渠道有很多种8 Z8 t7 K D8 h" d* Q
,可通过网络、物理介质等。查杀病毒,首先要知道病毒到底是什么,它的危害是怎么样的,知道了病毒危害性,提高了安全意识,杜绝毒瘤
6 i* t" [2 ~5 w+ G" r4 s* b- D% A的战役就已经成功了一半。平时,企业要从加强安全意识着手,对日常工作中隐藏的病毒危害增加警觉性,如安装一种大众认可的网络版杀毒1 S2 [. z, V W+ {) U
软件,定时更新病毒定义,对来历不明的文件运行前进行查杀,每周查杀一次病毒,减少共享文件夹的数量,文件共享的时候尽量控制权限和! q" |& |1 c) J) a) c
增加密码等,都可以很好地防止病毒在网络中的传播。
/ x1 o1 r/ s8 R+ q- s2 w; o3.小心邮件# Q' J' ]6 G; { n1 X6 \1 o' u* C) A" ^
随着网络的普及,电子信箱成了人们工作中不可缺少的一种媒介。它方便快捷在提高了人们的工作效率的同时,也无意之中成为了病毒的+ N8 d! ~/ M6 w
帮凶。有数据显示,如今有超过90%的病毒通过邮件进行传播。
2 J+ d$ m5 f: o ^5 H 尽管这些病毒的传播原理很简单,但这块决非仅仅是技术问题,还应该教育用户和企业,让它们采取适当的措施。只要用户随时小心警惕
9 }3 ?7 y3 ~0 w; ^( V,不要打开值得怀疑的邮件,就可把病毒拒绝在外。
* f" q( L! u# v9 w下载地址:
|
天龙八部在线充值脚本和支持在线充值的Bill
