1. 病毒知識(shí)

一、特點(diǎn) 寄生性、隱蔽性、非法性、傳染性、破壞性二、分類： 1、引導(dǎo)型病毒：寄生在系統(tǒng)引導(dǎo)區(qū)，比較容易被清除，現(xiàn)在已經(jīng)很少見。

2、文件型病毒：寄生在可執(zhí)行文件中，感染速度快，較易清除。 3、目錄型病毒：寄生在系統(tǒng)目錄結(jié)構(gòu)中 4、混合型病毒：多種類型的混合 5、宏病毒：專門感染Microsoft Office 系列文件的病毒 6、蠕蟲病毒：感染網(wǎng)絡(luò)，使網(wǎng)速大大降低。

目前流行的病毒大多集成了黑客技術(shù)、木馬技術(shù)和病毒技術(shù)三種，非常難以清除而且很容易中。三、一些常見危害較大的病毒 1、CIH病毒：文件型病毒，4月26日發(fā)作時(shí)破壞性最大，首個(gè)能破壞硬件系統(tǒng)的病毒。

2、Melissa病毒：宏病毒，郵件傳播 3、沖擊波、震蕩波病毒：利用WINDOWS的漏洞，使計(jì)算機(jī)自動(dòng)重啟并堵塞網(wǎng)絡(luò)。一般來說，計(jì)算機(jī)病毒可分為二大類，“良性”病毒和惡性病毒。

所謂“良性”病毒，是指病毒不對計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞，但會(huì)造成計(jì)算機(jī)程序工作異常。有時(shí)病毒還會(huì)出來表現(xiàn)一番，例如：“小球（pingpang）”病毒、“臺(tái)灣一號(hào)”和“維也納”等。

惡性病毒往往沒有直觀的表現(xiàn)，但會(huì)對計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞，有的甚至?xí)茐挠?jì)算機(jī)硬件，造成整個(gè)計(jì)算機(jī)癱瘓。例如：前幾年流行的“米開朗基羅”、“黑色星期五”和今天的“cih系統(tǒng)毀滅者”病毒等均屬此類。

“良性”病毒一般比較容易判斷，病毒發(fā)作時(shí)會(huì)盡可能地表現(xiàn)自己，雖然影響程序的正常運(yùn)行，但重新啟動(dòng)后可繼續(xù)工作。惡性病毒感染后一般沒有異常表現(xiàn)，病毒會(huì)想方設(shè)法將自己隱藏得更深。

一旦惡性病毒發(fā)作，等人們察覺時(shí)，已經(jīng)對計(jì)算機(jī)數(shù)據(jù)或硬件造成了破壞，損失將很難挽回。? 純數(shù)據(jù)文件不會(huì)被病毒感染，如：聲音、圖像、動(dòng)畫、文本等文件。

病毒一般感染主引導(dǎo)區(qū)，硬盤分區(qū)表，批處理文件，可執(zhí)行程序，以及word、excel文檔這類非純粹的數(shù)據(jù)文件等。? 如何來判斷計(jì)算機(jī)是否被病毒感染呢？最簡便且行之有效的方法當(dāng)然是利用各種殺毒軟件或防病毒卡來檢驗(yàn)計(jì)算機(jī)是否染毒。

應(yīng)該做到定時(shí)查殺，常備不懈。如果沒有配備相應(yīng)的反病毒產(chǎn)品，則可通過如下途徑初步判斷計(jì)算機(jī)是否感染了病毒。

? 1.程序突然工作異常。如文件打不開，word97、excel97出現(xiàn)“宏”警示框（用戶無自編“宏”的情況下），死機(jī)等。

? 2.文件大小自動(dòng)發(fā)生改變。? 3.更換軟盤后，列表時(shí)內(nèi)容不變。

? 4.檢查內(nèi)存，基本內(nèi)存小于640k（某些機(jī)型小于639k）。? 5.windows出現(xiàn)異常出錯(cuò)信息。

? 6.用與硬盤相同版本的系統(tǒng)盤從a驅(qū)引導(dǎo)后找不到硬盤。? 7.運(yùn)行速度變慢。

? 8.以前運(yùn)行正常的程序運(yùn)行時(shí)出現(xiàn)內(nèi)存不足。? 9.系統(tǒng)無法啟動(dòng)。

? 出現(xiàn)以上情況之一可懷疑是病毒所為，但最終確認(rèn)最好是請專業(yè)反病毒公司協(xié)助。? 病毒發(fā)作的后果? 根據(jù)病毒的不同類型和病毒編寫者的不同意圖，計(jì)算機(jī)病毒發(fā)作后會(huì)有不同的表現(xiàn)，當(dāng)然其結(jié)果也大不一樣。

“良性”病毒發(fā)作時(shí)一般會(huì)暫時(shí)影響計(jì)算機(jī)的正常運(yùn)行，搞一些惡作劇或開一個(gè)玩笑，病毒編寫者為了表現(xiàn)自己，會(huì)讓病毒顯現(xiàn)出來。重新啟動(dòng)后一般即可重新工作。

? 惡性病毒發(fā)作的后果與“良性”病毒有本質(zhì)的區(qū)別，它會(huì)對計(jì)算機(jī)的軟硬件實(shí)施破壞。與“良性”病毒不同，通常破壞時(shí)無任何跡象，在瞬間就造成毀滅性的破壞。

具體的破壞方式主要有：? 1.修改數(shù)據(jù)文件，導(dǎo)致數(shù)據(jù)紊亂。? 2.刪除可執(zhí)行文件，導(dǎo)致系統(tǒng)無法正常運(yùn)行。

? 3.破壞cmos，導(dǎo)致系統(tǒng)無法正常啟動(dòng)。? 4.攻擊bios，破壞bios芯片，導(dǎo)致硬件系統(tǒng)完全癱瘓。

? 5.對硬盤進(jìn)行破壞，表現(xiàn)為：? ●格式化硬盤，致使硬盤數(shù)據(jù)完全丟失。? ●寫入垃圾瑪，破壞部分或全部數(shù)據(jù)。

●修改硬盤分區(qū)表或引導(dǎo)區(qū)信息，使系統(tǒng)無法正常從硬盤引導(dǎo)。若以a盤引導(dǎo)，則c盤仍無法找到。

? ●破壞文件分配表，造成文件數(shù)據(jù)丟失或紊亂。? 病毒發(fā)作后的急救措施? 根據(jù)病毒發(fā)作后不同的破壞程度，可采用一些相應(yīng)的急救措施來進(jìn)行挽救，以使損失減到最校下面就不同的病毒破壞介紹一些較為常用的補(bǔ)救措施。

? 1.flashbios被破壞?重寫bios程序（一般需專業(yè)技術(shù)人員進(jìn)行）或者更換主版。? 2.cmos被破壞 將cmos放電，然后用計(jì)算機(jī)的設(shè)置程序進(jìn)行重新設(shè)置。

? 3.引導(dǎo)區(qū)或主引導(dǎo)扇區(qū)被破壞?某些殺毒軟件提供備份和恢復(fù)系統(tǒng)主引導(dǎo)區(qū)和引導(dǎo)區(qū)信息內(nèi)容，用此功能進(jìn)行恢復(fù)。若能找到具有相同類型硬盤、同樣的分區(qū)和安裝有同樣的操作系統(tǒng)的其他計(jì)算機(jī)，可利用它進(jìn)行備份，然后恢復(fù)被病毒破壞的引導(dǎo)區(qū)或主引導(dǎo)扇區(qū)。

? 4.文件丟失? 若是在純dos系統(tǒng)中，可利用ndd等磁盤工具進(jìn)行恢復(fù)。注意，若有其他操作系統(tǒng)，則不能用ndd磁盤工具，否則會(huì)帶來更大的破壞。

? 若有備份文件，病毒對磁盤的破壞均可通過備份文件進(jìn)行恢復(fù)。如果沒有備份文件，有些較為復(fù)雜的操作，例如：部分文件分配表被破壞等，需專業(yè)技術(shù)人員來進(jìn)行，碰到這種較為復(fù)雜的情況，請向?qū)I(yè)反病毒公司救助。

2. 誰能說一下詳細(xì)的木馬知識(shí)

特洛伊木馬（以下簡稱木馬），英文叫做“Trojan horse”，其名稱取自希臘神話的特洛伊木馬記。

古希臘傳說，特洛伊王子帕里斯訪問希臘，誘走了王后海倫，希臘人因此遠(yuǎn)征特洛伊。圍攻9年后，到第10年，希臘將領(lǐng)奧德修斯獻(xiàn)了一 計(jì)，就是把一批勇士埋伏在一匹巨大的木馬腹內(nèi)，放在城外后，佯作退兵。

特洛伊人以為敵兵已退，就把木馬作為戰(zhàn)利品搬入城中。到了 夜間，埋伏在木馬中的勇士跳出來，打開了城門，希臘將士一擁而入攻下了城池。

后來，人們在寫文章時(shí)就常用“特洛伊木馬”這一典 故，用來比喻在敵方營壘里埋下伏兵里應(yīng)外合的活動(dòng)。 在計(jì)算機(jī)領(lǐng)域中，它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。

所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位 置，往往只能望“馬”興嘆。 所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分操作權(quán)限，包括修改文件，修改注冊表，控制鼠標(biāo)，鍵盤等 等，而這些權(quán)力并不是服務(wù)端賦予的，而是通過木馬程序竊取的。

從木馬的發(fā)展來看，基本上可以分為兩個(gè)階段。 最初網(wǎng)絡(luò)還處于以UNIX平臺(tái)為主的時(shí)期，木馬就產(chǎn)生了，當(dāng)時(shí)的木馬程序的功能相對簡單，往往是將一段程序嵌入到系統(tǒng)文件中，用跳轉(zhuǎn) 指令來執(zhí)行一些木馬的功能，在這個(gè)時(shí)期木馬的設(shè)計(jì)者和使用者大都是些技術(shù)人員，必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識(shí)。

而后隨著WINDOWS平臺(tái)的日益普及，一些基于圖形操作的木馬程序出現(xiàn)了，用戶界面的改善，使使用者不用懂太多的專業(yè)知識(shí)就可以熟練 的操作木馬，相對的木馬入侵事件也頻繁出現(xiàn)，而且由于這個(gè)時(shí)期木馬的功能已日趨完善，因此對服務(wù)端的破壞也更大了。 所以所木馬發(fā)展到今天，已經(jīng)無所不用其極，一旦被木馬控制，你的電腦將毫無秘密可言。

3. 病毒與木馬知識(shí)（800字左右）

什么是木馬病毒（Trojan） 木馬（Trojan）這個(gè)名字來源于古希臘傳說（荷馬史詩中木馬計(jì)的故事，Trojan一詞的 特洛伊木馬本意是特洛伊的，即代指特洛伊木馬，也就是木馬計(jì)的故事）。

“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。“木馬”與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒有很強(qiáng)的隱蔽性的話，那就是“毫無價(jià)值”的。

它是指通過一段特定的程序（木馬程序）來控制另一臺(tái)計(jì)算機(jī)。木馬通常有兩個(gè)可執(zhí)行 程序：一個(gè)是客戶端，即控制端，另一個(gè)是服務(wù)端，即被控制端。

植入被種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進(jìn)入運(yùn)行了“服務(wù)器”的電腦。運(yùn)行了木馬程序的“服務(wù)器”以后，被種者的電腦就會(huì)有一個(gè)或幾個(gè)端口被打開，使黑客可以利用這些打開的端口進(jìn)入電腦系統(tǒng)，安全和個(gè)人隱私也就全無保障了！ 木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，而采用多種手段隱藏木馬。

木馬的服務(wù)一旦運(yùn)行并被控制端連接，其控制端將享有服務(wù)端的大部分操作權(quán)限，例如給計(jì)算機(jī)增加口令，瀏覽、移動(dòng)、復(fù)制、刪除文件，修改注冊表，更改計(jì)算機(jī)配置等。 隨著病毒編寫技術(shù)的發(fā)展，木馬程序?qū)τ脩舻耐{越來越大，尤其是一些木馬程序采用了極其狡猾的手段來隱蔽自己，使普通用戶很難在中毒后發(fā)覺。

[編輯本段]木馬病毒的原理 一個(gè)完整的特洛伊木馬套裝程序含了兩部分：服務(wù)端（服務(wù)器部分）和客戶端（控制器部分）。植入對方電腦的是服務(wù)端，而黑客正是利用客戶端進(jìn)入運(yùn)行了服務(wù)端的電腦。

運(yùn)行了木馬程序的服務(wù)端以后，會(huì)產(chǎn)生一個(gè)有著容易迷惑用戶的名稱的進(jìn)程，暗中打開端口，向指定地點(diǎn)發(fā)送數(shù)據(jù)（如網(wǎng)絡(luò)游戲的密碼，即時(shí)通信軟件密碼和用戶上網(wǎng)密碼等），黑客甚至可以利用這些打開的端口進(jìn)入電腦系統(tǒng)。 特洛伊木馬程序不能自動(dòng)操作， 一個(gè)特洛伊木馬程序是包含或者安裝一個(gè)存心不良的程序的， 它可能看起來是有用或者有趣的計(jì)劃（或者至少無害）對一不懷疑的用戶來說，但是實(shí)際上有害當(dāng)它被運(yùn)行。

特洛伊木馬不會(huì)自動(dòng)運(yùn)行，它是暗含在某些用戶感興趣的文檔中，用戶下載時(shí)附帶的。當(dāng)用戶運(yùn)行文檔程序時(shí)，特洛伊木馬才會(huì)運(yùn)行，信息或文檔才會(huì)被破壞和遺失。

特洛伊木馬和后門不一樣，后門指隱藏在程序中的秘密功能，通常是程序設(shè)計(jì)者為了能在日后隨意進(jìn)入系統(tǒng)而設(shè)置的。 特洛伊木馬有兩種，universal的和transitive的，universal就是可以控制的，而transitive是不能控制，刻死的操作。

[編輯本段]木馬病毒的特征 特洛伊木馬不經(jīng)電腦用戶準(zhǔn)許就可獲得電腦的使用權(quán)。程序容量十分輕小，運(yùn)行時(shí)不會(huì)浪費(fèi)太多資源，因此沒有使用殺毒軟件是難以發(fā)覺的；運(yùn)行時(shí)很難阻止它的行動(dòng)，運(yùn)行后，立刻自動(dòng)登錄在系統(tǒng)引導(dǎo)區(qū)，之后每次在Windows加載時(shí)自動(dòng)運(yùn)行；或立刻自動(dòng)變更文件名，甚至隱形；或馬上自動(dòng)復(fù)制到其他文件夾中，運(yùn)行連用戶本身都無法運(yùn)行的動(dòng)作。

[編輯本段]木馬病毒的發(fā)展 木馬程序技術(shù)發(fā)展可以說非常迅速。主要是有些年輕人出于好奇，或是急于顯示自己實(shí)力，不斷改進(jìn)木馬程序的編寫。

至今木馬程序已經(jīng)經(jīng)歷了四代的改進(jìn)： 第一代，是最原始的木馬程序。主要是簡單的密碼竊取，通過電子郵件發(fā)送信息等，具備了木馬最基本的功能。

第二代，在技術(shù)上有了很大的進(jìn)步，冰河是中國木馬的典型代表之一。 第三代，主要改進(jìn)在數(shù)據(jù)傳遞技術(shù)方面，出現(xiàn)了ICMP等類型的木馬，利用畸形報(bào)文傳遞數(shù)據(jù)，增加了殺毒軟件查殺識(shí)別的難度。

第四代 在進(jìn)程隱藏方面有了很大改動(dòng)，采用了內(nèi)核插入式的嵌入方式，利用遠(yuǎn)程插入線程技術(shù)，嵌入DLL線程。或者掛接PSAPI，實(shí)現(xiàn)木馬程序的隱藏，甚至在Windows NT/2000下，都達(dá)到了良好的隱藏效果。

灰鴿子和蜜蜂大盜是比較出名的DLL木馬。 第五代， 驅(qū)動(dòng)級(jí)木馬。

驅(qū)動(dòng)級(jí)木馬多數(shù)都使用了大量的Rootkit技術(shù)來達(dá)到在深度隱藏的效果，并深入到內(nèi)核空間的，感染后針對殺毒軟件和網(wǎng)絡(luò)防火墻進(jìn)行攻擊，可將系統(tǒng)SSDT初始化，導(dǎo)致殺毒防火墻失去效應(yīng)。有的驅(qū)動(dòng)級(jí)木馬可駐留BIOS，并且很難查殺。

第六代，隨著身份認(rèn)證UsbKey和殺毒軟件主動(dòng)防御的興起，黏蟲技術(shù)類型和特殊反顯技術(shù)類型木馬逐漸開始系統(tǒng)化。前者主要以盜取和篡改用戶敏感信息為主，后者以動(dòng)態(tài)口令和硬證書攻擊為主。

PassCopy和暗黑蜘蛛俠是這類木馬的代表。 [編輯本段]木馬病毒的種類 1. 網(wǎng)絡(luò)游戲木馬 隨著網(wǎng)絡(luò)在線游戲的普及和升溫，我國擁有規(guī)模龐大的網(wǎng)游玩家。

網(wǎng)絡(luò)游戲中的金錢、裝備等虛擬財(cái)富與現(xiàn)實(shí)財(cái)富之間的界限越來越模糊。與此同時(shí)，以盜取網(wǎng)游帳號(hào)密碼為目的的木馬病毒也隨之發(fā)展泛濫起來。

網(wǎng)絡(luò)游戲木馬通常采用記錄用戶鍵盤輸入、Hook游戲進(jìn)程API函數(shù)等方法獲取 特洛伊木馬病毒用戶的密。

4. 什么是木馬病毒

木馬病毒源自古希臘特洛伊戰(zhàn)爭中著名的“木馬計(jì)”而得名，顧名思義就是一種偽裝潛伏的網(wǎng)絡(luò)病毒，等待時(shí)機(jī)成熟就出來害人。

傳染方式：通過電子郵件附件發(fā)出，捆綁在其他的程序中。 病毒特性：會(huì)修改注冊表、駐留內(nèi)存、在系統(tǒng)中安裝后門程序、開機(jī)加載附帶的木馬。

木馬病毒的破壞性：木馬病毒的發(fā)作要在用戶的機(jī)器里運(yùn)行客戶端程序，一旦發(fā)作，就可設(shè)置后門，定時(shí)地發(fā)送該用戶的隱私到木馬程序指定的地址，一般同時(shí)內(nèi)置可進(jìn)入該用戶電腦的端口，并可任意控制此計(jì)算機(jī)，進(jìn)行文件刪除、拷貝、改密碼等非法操作。 防范措施：用戶提高警惕，不下載和運(yùn)行來歷不明的程序，對于不明來歷的郵件附件也不要隨意打開。

特洛伊木馬（以下簡稱木馬），英文叫做“Trojan house”，其名稱取自希臘神話的特洛伊木馬記。 它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。

所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆。 所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分操作權(quán)限，包括修改文件，修改注冊表，控制鼠標(biāo)，鍵盤等等，而這些權(quán)力并不是服務(wù)端賦予的，而是通過木馬程序竊取的。

從木馬的發(fā)展來看，基本上可以分為兩個(gè)階段。 最初網(wǎng)絡(luò)還處于以UNIX平臺(tái)為主的時(shí)期，木馬就產(chǎn)生了，當(dāng)時(shí)的木馬程序的功能相對簡單，往往是將一段程序嵌入到系統(tǒng)文件中，用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能，在這個(gè)時(shí)期木馬的設(shè)計(jì)者和使用者大都是些技術(shù)人員，必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識(shí)。

而后隨著WINDOWS平臺(tái)的日益普及，一些基于圖形操作的木馬程序出現(xiàn)了，用戶界面的改善，使使用者不用懂太多的專業(yè)知識(shí)就可以熟練的操作木馬，相對的木馬入侵事件也頻繁出現(xiàn)，而且由于這個(gè)時(shí)期木馬的功能已日趨完善，因此對服務(wù)端的破壞也更大了。 所以所木馬發(fā)展到今天，已經(jīng)無所不用其極，一旦被木馬控制，你的電腦將毫無秘密可言。

鑒于木馬的巨大危害性，我們將分原理篇，防御與反擊篇，資料篇三部分來詳細(xì)介紹木馬，希望大家對特洛伊木馬這種攻擊手段有一個(gè)透徹的了解。 原 理 篇 基礎(chǔ)知識(shí) 在介紹木馬的原理之前有一些木馬構(gòu)成的基礎(chǔ)知識(shí)我們要事先加以說明，因?yàn)橄旅嬗泻芏嗟胤綍?huì)提到這些內(nèi)容。

一個(gè)完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。 （1）硬件部分：建立木馬連接所必須的硬件實(shí)體。

控制端：對服務(wù)端進(jìn)行遠(yuǎn)程控制的一方。 服務(wù)端：被控制端遠(yuǎn)程控制的一方。

INTERNET：控制端對服務(wù)端進(jìn)行遠(yuǎn)程控制，數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體。 （2）軟件部分：實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。

控制端程序：控制端用以遠(yuǎn)程控制服務(wù)端的程序。 木馬程序：潛入服務(wù)端內(nèi)部，獲取其操作權(quán)限的程序。

木馬配置程序：設(shè)置木馬程序的端口號(hào)，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽的程序。 （3）具體連接部分：通過INTERNET在服務(wù)端和控制端之間建立一條木馬通道所必須的元素。

控制端IP，服務(wù)端IP：即控制端，服務(wù)端的網(wǎng)絡(luò)地址，也是木馬進(jìn)行數(shù)據(jù)傳輸?shù)哪康牡??？刂贫硕丝?，木馬端口：即控制端，服務(wù)端的數(shù)據(jù)入口，通過這個(gè)入口，數(shù)據(jù)可直達(dá)控制端程序或木馬 程序。

木馬原理 用木馬這種黑客工具進(jìn)行網(wǎng)絡(luò)入侵，從過程上看大致可分為六步（具體可見下圖），下面我們就按這六步來詳細(xì)闡述木馬的攻擊原理。 一.配置木馬 一般來說一個(gè)設(shè)計(jì)成熟的木馬都有木馬配置程序，從具體的配置內(nèi)容看，主要是為了實(shí)現(xiàn)以下兩方 面功能： （1）木馬偽裝：木馬配置程序?yàn)榱嗽诜?wù)端盡可能的好的隱藏木馬，會(huì)采用多種偽裝手段，如修改圖標(biāo) ，捆綁文件，定制端口，自我銷毀等，我們將在“傳播木馬”這一節(jié)中詳細(xì)介紹。

（2）信息反饋：木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置，如設(shè)置信息反饋的郵件地址，IRC號(hào) ，ICO號(hào)等等，具體的我們將在“信息反饋”這一節(jié)中詳細(xì)介紹。 二.傳播木馬 （1）傳播方式： 木馬的傳播方式主要有兩種：一種是通過E-MAIL，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出 去， 收信人只要打開附件系統(tǒng)就會(huì)感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為 名義，將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。

（2）偽裝方式： 鑒于木馬的危害性，很多人對木馬知識(shí)還是有一定了解的，這對木馬的傳播起了一定的抑制作用，這 是木馬設(shè)計(jì)者所不愿見到的，因此他們開發(fā)了多種功能來偽裝木馬，以達(dá)到降低用戶警覺，欺騙用戶的目 的。 （一）修改圖標(biāo) 當(dāng)你在E-MAIL的附件中看到這個(gè)圖標(biāo)時(shí)，是否會(huì)認(rèn)為這是個(gè)文本文件呢？但是我不得不告 訴你，這也有可能是個(gè)木馬程序，現(xiàn)在已經(jīng)有木馬可以將木馬服務(wù)端程序的圖標(biāo)改成HTML,TXT, ZIP等各種文件的圖標(biāo)，這有相當(dāng)大的迷惑性，但是目前提供這種功能的木馬還不多見，并且這種 偽裝也不是無懈可擊的，所以不必整天提 心吊膽，疑神疑鬼的。

（二）捆綁文件 這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上，當(dāng)安裝程序運(yùn)行時(shí)。

5. 木馬主要有那些病毒

什么是木馬？ 特洛伊木馬（以下簡稱木馬），英文叫做“Trojan house”，其名稱取自希臘神話的特洛伊木馬記。

它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性的特點(diǎn)。 所謂隱蔽性是指木馬的設(shè)計(jì)者為了防止木馬被發(fā)現(xiàn)，會(huì)采用多種手段隱藏木馬，這樣服務(wù)端即使發(fā)現(xiàn)感染了木馬，由于不能確定其具體位置，往往只能望“馬”興嘆。

所謂非授權(quán)性是指一旦控制端與服務(wù)端連接后，控制端將享有服務(wù)端的大部分操作權(quán)限，包括修改文件，修改注冊表，控制鼠標(biāo)，鍵盤等等，而這些權(quán)力并不是服務(wù)端賦予的，而是通過木馬程序竊取的。 從木馬的發(fā)展來看，基本上可以分為兩個(gè)階段。

最初網(wǎng)絡(luò)還處于以UNIX平臺(tái)為主的時(shí)期，木馬就產(chǎn)生了，當(dāng)時(shí)的木馬程序的功能相對簡單，往往是將一段程序嵌入到系統(tǒng)文件中，用跳轉(zhuǎn)指令來執(zhí)行一些木馬的功能，在這個(gè)時(shí)期木馬的設(shè)計(jì)者和使用者大都是些技術(shù)人員，必須具備相當(dāng)?shù)木W(wǎng)絡(luò)和編程知識(shí)。 而后隨著WINDOWS平臺(tái)的日益普及，一些基于圖形操作的木馬程序出現(xiàn)了，用戶界面的改善，使使用者不用懂太多的專業(yè)知識(shí)就可以熟練的操作木馬，相對的木馬入侵事件也頻繁出現(xiàn)，而且由于這個(gè)時(shí)期木馬的功能已日趨完善，因此對服務(wù)端的破壞也更大了。

所以所木馬發(fā)展到今天，已經(jīng)無所不用其極，一旦被木馬控制，你的電腦將毫無秘密可言。 鑒于木馬的巨大危害性，我們將分原理篇，防御與反擊篇，資料篇三部分來詳細(xì)介紹木馬，希望大家對特洛伊木馬這種攻擊手段有一個(gè)透徹的了解。

原 理 篇 基礎(chǔ)知識(shí) 在介紹木馬的原理之前有一些木馬構(gòu)成的基礎(chǔ)知識(shí)我們要事先加以說明，因?yàn)橄旅嬗泻芏嗟胤綍?huì)提到這些內(nèi)容。 一個(gè)完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。

（1）硬件部分：建立木馬連接所必須的硬件實(shí)體。 控制端：對服務(wù)端進(jìn)行遠(yuǎn)程控制的一方。

服務(wù)端：被控制端遠(yuǎn)程控制的一方。 INTERNET：控制端對服務(wù)端進(jìn)行遠(yuǎn)程控制，數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)載體。

（2）軟件部分：實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。 控制端程序：控制端用以遠(yuǎn)程控制服務(wù)端的程序。

木馬程序：潛入服務(wù)端內(nèi)部，獲取其操作權(quán)限的程序。 木馬配置程序：設(shè)置木馬程序的端口號(hào)，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽的程序。

（3）具體連接部分：通過INTERNET在服務(wù)端和控制端之間建立一條木馬通道所必須的元素。 控制端IP，服務(wù)端IP：即控制端，服務(wù)端的網(wǎng)絡(luò)地址，也是木馬進(jìn)行數(shù)據(jù)傳輸?shù)哪康牡亍?/p>

控制端端口，木馬端口：即控制端，服務(wù)端的數(shù)據(jù)入口，通過這個(gè)入口，數(shù)據(jù)可直達(dá)控制端程序或木馬 程序。 木馬原理 用木馬這種黑客工具進(jìn)行網(wǎng)絡(luò)入侵，從過程上看大致可分為六步（具體可見下圖），下面我們就按這六步來詳細(xì)闡述木馬的攻擊原理。

一.配置木馬 一般來說一個(gè)設(shè)計(jì)成熟的木馬都有木馬配置程序，從具體的配置內(nèi)容看，主要是為了實(shí)現(xiàn)以下兩方 面功能： （1）木馬偽裝：木馬配置程序?yàn)榱嗽诜?wù)端盡可能的好的隱藏木馬，會(huì)采用多種偽裝手段，如修改圖標(biāo) ，捆綁文件，定制端口，自我銷毀等，我們將在“傳播木馬”這一節(jié)中詳細(xì)介紹。 （2）信息反饋：木馬配置程序?qū)⒕托畔⒎答伒姆绞交虻刂愤M(jìn)行設(shè)置，如設(shè)置信息反饋的郵件地址，IRC號(hào) ，ICO號(hào)等等，具體的我們將在“信息反饋”這一節(jié)中詳細(xì)介紹。

二.傳播木馬 （1）傳播方式： 木馬的傳播方式主要有兩種：一種是通過E-MAIL，控制端將木馬程序以附件的形式夾在郵件中發(fā)送出 去， 收信人只要打開附件系統(tǒng)就會(huì)感染木馬；另一種是軟件下載，一些非正規(guī)的網(wǎng)站以提供軟件下載為 名義， 將木馬捆綁在軟件安裝程序上，下載后，只要一運(yùn)行這些程序，木馬就會(huì)自動(dòng)安裝。 （2）偽裝方式： 鑒于木馬的危害性，很多人對木馬知識(shí)還是有一定了解的，這對木馬的傳播起了一定的抑制作用，這 是木馬設(shè)計(jì)者所不愿見到的，因此他們開發(fā)了多種功能來偽裝木馬，以達(dá)到降低用戶警覺，欺騙用戶的目 的。

（一）修改圖標(biāo) 當(dāng)你在E-MAIL的附件中看到這個(gè)圖標(biāo)時(shí)，是否會(huì)認(rèn)為這是個(gè)文本文件呢？但是我不得不告 訴你，這也有可能是個(gè)木馬程序，現(xiàn)在 已經(jīng)有木馬可以將木馬服務(wù)端程序的圖標(biāo)改成HTML,TXT, ZIP等各種文件的圖標(biāo)，這有相當(dāng)大的迷 惑性，但是目前提供這種功能的木馬還不多見，并且這種 偽裝也不是無懈可擊的，所以不必整天提 心吊膽，疑神疑鬼的。 （二）捆綁文件 這種偽裝手段是將木馬捆綁到一個(gè)安裝程序上，當(dāng)安裝程序運(yùn)行時(shí)，木馬在用戶毫無察覺的 情況下 ，偷偷的進(jìn)入了系統(tǒng)。

至于被捆綁的文件一般是可執(zhí)行文件（即EXE,COM一類的文件）。 （三）出錯(cuò)顯示 有一定木馬知識(shí)的人都知道，如果打開一個(gè)文件，沒有任何反應(yīng)，這很可能就是個(gè)木馬程序， 木馬的 設(shè)計(jì)者也意識(shí)到了這個(gè)缺陷，所以已經(jīng)有木馬提供了一個(gè)叫做出錯(cuò)顯示的功能。

當(dāng)服務(wù) 端用戶打開木 馬程序時(shí)，會(huì)彈出一個(gè)如下圖所示的錯(cuò)誤提示框（這當(dāng)然是假的），錯(cuò)誤內(nèi)容可自由 定義，大多會(huì)定制成 一些諸如“文件已破壞，無法打開的！”之類的信息，當(dāng)服務(wù)端用戶信以 為真時(shí)，木馬卻悄悄侵入了 系統(tǒng)。 （四）定制端口 很多老式的木馬端口都是固定的，這給判斷是否感染。

6. 什么叫木馬

“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦。“木馬”與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒有很強(qiáng)的隱蔽性的話，那就是“毫無價(jià)值”的。

一個(gè)完整的“木馬”程序包含了兩部分：“服務(wù)器”和“控制器”。植入被種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進(jìn)入運(yùn)行了“服務(wù)器”的電腦。運(yùn)行了木馬程序的“服務(wù)器”以后，被種者的電腦就會(huì)有一個(gè)或幾個(gè)端口被打開，使黑客可以利用這些打開的端口進(jìn)入電腦系統(tǒng)，安全和個(gè)人隱私也就全無保障了

木馬病毒源自古希臘特洛伊戰(zhàn)爭中著名的“木馬計(jì)”而得名，顧名思義就是一種偽裝潛伏的網(wǎng)絡(luò)病毒，等待時(shí)機(jī)成熟就出來害人。

傳染方式：通過電子郵件附件發(fā)出，捆綁在其他的程序中。

病毒特性：會(huì)修改注冊表、駐留內(nèi)存、在系統(tǒng)中安裝后門程序、開機(jī)加載附帶的木馬。

木馬病毒的破壞性：木馬病毒的發(fā)作要在用戶的機(jī)器里運(yùn)行客戶端程序，一旦發(fā)作，就可設(shè)置后門，定時(shí)地發(fā)送該用戶的隱私到木馬程序指定的地址，一般同時(shí)內(nèi)置可進(jìn)入該用戶電腦的端口，并可任意控制此計(jì)算機(jī)，進(jìn)行文件刪除、拷貝、改密碼等非法操作。

防范措施：用戶提高警惕，不下載和運(yùn)行來歷不明的程序，對于不明來歷的郵件附件也不要隨意打開。

“木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠(yuǎn)程操控被種者的電腦?！澳抉R”與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒有很強(qiáng)的隱蔽性的話，那就是“毫無價(jià)值”的。

一個(gè)完整的“木馬”程序包含了兩部分：“服務(wù)器”和“控制器”。植入被種者電腦的是“服務(wù)器”部分，而所謂的“黑客”正是利用“控制器”進(jìn)入運(yùn)行了“服務(wù)器”的電腦。運(yùn)行了木馬程序的“服務(wù)器”以后，被種者的電腦就會(huì)有一個(gè)或幾個(gè)端口被打開，使黑客可以利用這些打開的端口進(jìn)入電腦系統(tǒng)，安全和個(gè)人隱私也就全無保障了！

還有種解釋 就是木頭做的小馬

7. 關(guān)于病毒的知識(shí)

一、預(yù)防病毒措施由于網(wǎng)絡(luò)是一個(gè)互聯(lián)的整體，再加上病毒通過網(wǎng)絡(luò)傳播的頻繁，因此網(wǎng)絡(luò)時(shí)代的防毒個(gè)人客戶端、服務(wù)器加強(qiáng)防毒意識(shí)同等重要。

個(gè)人防毒1、慎用軟盤、光盤等移動(dòng)存儲(chǔ)介質(zhì)；2、選用優(yōu)秀反病毒軟件；3、正確使用反病毒軟件：首先保持及時(shí)升級(jí)反病毒軟件；第二實(shí)時(shí)開啟反病毒軟件的監(jiān)控功能；4、不要輕易打開電子郵件中的附件，尤其是可執(zhí)行文件、Office文檔文件；5、謹(jǐn)慎下載控件、腳本；6、定制瀏覽器安全設(shè)置，將“自定義級(jí)別”設(shè)置為禁止（或提示）下載ActiveX、禁用（或提示啟動(dòng)）Java腳本等安全設(shè)置；7、養(yǎng)成對免費(fèi)、共享軟件先查毒、后使用的好習(xí)慣；8、蠕蟲病毒流行的年代，不要在線啟動(dòng)、閱讀某些文件，杜絕成為網(wǎng)絡(luò)病毒的傳播者；服務(wù)器防毒1、經(jīng)常備份系統(tǒng)；2、為不同的用戶分配各自相應(yīng)的權(quán)限；3、禁止在服務(wù)器上運(yùn)行應(yīng)用程序；4、杜絕安裝盜版軟件；5、禁止軟盤啟動(dòng)。病毒分類引導(dǎo)區(qū)病毒這類病毒隱藏在硬盤或軟盤的引導(dǎo)區(qū)，當(dāng)計(jì)算機(jī)從感染了引導(dǎo)區(qū)病毒的硬盤或軟盤啟動(dòng)，或當(dāng)計(jì)算機(jī)從受感染的軟盤中讀取數(shù)據(jù)時(shí)，引導(dǎo)區(qū)病毒就開始發(fā)作。

一旦它們將自己拷貝到您的機(jī)器內(nèi)存中，馬上就會(huì)感染其他磁盤的引導(dǎo)區(qū)，或通過網(wǎng)絡(luò)傳播到其他計(jì)算機(jī)上。文件型病毒文件型病毒寄生在其他文件中，常常通過對它們的編碼加密或使用其他技術(shù)來隱藏自己。

文件型病毒劫奪用來啟動(dòng)主程序的可執(zhí)行命令，用作它自身的運(yùn)行命令。同時(shí)還經(jīng)常將控制權(quán)還給主程序，以偽裝您的計(jì)算機(jī)系統(tǒng)正常運(yùn)行。

一旦您運(yùn)行感染了病毒的程序文件，病毒便被激發(fā)，執(zhí)行大量的操作，并進(jìn)行自我復(fù)制，同時(shí)附著在您系統(tǒng)其他可執(zhí)行文件上偽裝自身，并留下標(biāo)記，以后不再重復(fù)感染。宏病毒它是一種特殊的文件型病毒，在一些軟件開發(fā)商開始產(chǎn)品研發(fā)中引入宏語言，并允許這些產(chǎn)品在生成載有宏的數(shù)據(jù)文件之后出現(xiàn)。

宏的功能十分強(qiáng)大，相當(dāng)多的軟件包中都引入了宏，這樣便給宏病毒一可趁之機(jī)！腳本病毒腳本病毒依賴一種特殊的腳本語言（如：VBScript、JavaScript等）起作用，同時(shí)需要主軟件或應(yīng)用環(huán)境能夠正確識(shí)別和翻譯這種腳本語言中嵌套的命令。腳本病毒在某方面與宏病毒類似，但腳本病毒可以在多個(gè)產(chǎn)品環(huán)境中進(jìn)行，還能在其他所有可以識(shí)別和翻譯它的產(chǎn)品中運(yùn)行。

腳本語言比宏語言更具有開放終端的趨勢，這樣使得病毒制造者對感染腳本病毒得機(jī)器可以有更多的控制力。網(wǎng)絡(luò)蠕蟲程序網(wǎng)絡(luò)蠕蟲程序是一種通過間接方式復(fù)制自身非感染型病毒。

有些網(wǎng)絡(luò)蠕蟲攔截e-mail系統(tǒng)向世界各地發(fā)送自己的復(fù)制品；有些則出現(xiàn)在高速下載站點(diǎn)中同時(shí)使用兩種方法與其它技術(shù)傳播自身。它的傳播速度相當(dāng)驚人，成千上萬的病毒感染造成眾多郵件服務(wù)器先后崩潰，給人們帶來難以彌補(bǔ)的損失。

“特洛伊木馬”程序特洛伊木馬程序通常是指偽裝成合法軟件的非感染型病毒，但它不進(jìn)行自我復(fù)制。有些木馬可以模仿運(yùn)行環(huán)境，收集所需的信息，最常見的木馬便是試圖竊取用戶名和密碼的登錄窗口，或者試圖從眾多的Internet 服務(wù)器提供商（ISP）盜竊用戶的注冊信息和賬號(hào)信息。

檢測病毒方法在與病毒的對抗中，及早發(fā)現(xiàn)病毒很重要。早發(fā)現(xiàn)，早處置，可以減少損失。

檢測病毒方法大致有：特征代碼法、校驗(yàn)和法、行為監(jiān)測法、軟件模擬法，這些方法依據(jù)的原理不同，實(shí)現(xiàn)時(shí)所需開銷不同，檢測范圍不同，各有所長。特征代碼法特征代碼法是使用最為普遍的病毒檢測方法，同時(shí)是檢測已知病毒的最簡單、開銷最小的方法。

特征碼查毒就是檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼。采用病毒特征代碼法的檢測工具，必須不斷更新版本，否則檢測工具便會(huì)老化，逐漸失去實(shí)用價(jià)值。

病毒特征代碼法對從未見過的新病毒，無法檢測。 二、校驗(yàn)和法 將正常文件的內(nèi)容，計(jì)算其校驗(yàn)和，寫入文件中保存。

定期檢查文件的校驗(yàn)和與原來保存的校驗(yàn)和是否一致，可以發(fā)現(xiàn)文件是否感染病毒，這種方法叫校驗(yàn)和法，它既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒。 由于病毒感染并非文件內(nèi)容改變的惟一的非他性原因，文件內(nèi)容的改變有可能是正常程序引起的，所以校驗(yàn)和法常常誤報(bào)警。

而且此種方法也會(huì)影響文件的運(yùn)行速度。因而用監(jiān)視文件的校驗(yàn)和來檢測病毒，不是最好的方法。

校驗(yàn)和法的優(yōu)點(diǎn)是：方法簡單能發(fā)現(xiàn)未知病毒、被查文件的細(xì)微變化也能發(fā)現(xiàn)。其缺點(diǎn)是：對文件內(nèi)容的變化過于敏感、會(huì)誤報(bào)警、不能識(shí)別病毒名稱、不能對付隱蔽型病毒。

三、行為監(jiān)測法 利用病毒的特有行為特征性來監(jiān)測病毒的方法，稱為行為監(jiān)測法。通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且比較特殊。

當(dāng)程序運(yùn)行時(shí)，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即報(bào)警。 行為監(jiān)測法的長處：可發(fā)現(xiàn)未知病毒、可相當(dāng)準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒。

行為監(jiān)測法的短處：可能誤報(bào)警、不能識(shí)別病毒名稱、實(shí)現(xiàn)時(shí)有一定難度。 軟件模擬法，以后演繹為虛擬機(jī)查毒，啟發(fā)式查毒技術(shù)，是相對成熟的技術(shù)。