木马和病毒的区别

《木马和病毒的区别》由会员分享，可在线阅读，更多相关《木马和病毒的区别（12页珍藏版）》请在装配图网上搜索。

1、木马跟病毒的区别一 计算机病毒的定义计算机病毒(Computer Virus)在中华人民共和国计算机信息系统安全保护条例中被明拟定义，病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且可以自我复制的一组计算机指令或者程序代码”。二 计算机病毒的特点计算机病毒是人为的特制程序，具有自我复制能力，很强的感染性，一定的潜伏性，特定的触发性和很大的破坏性。三 病毒存在的必然性计算机的信息需要存取、复制、传送，病毒作为信息的一种形式可以随之繁殖、感染、破坏，而当病毒获得控制权之后，她们会积极寻找感染目的，使自身广为流传。四 计算机病毒的长期性病毒往往会运用计算机操作系统的

2、弱点进行传播，提高系统的安全性是防病毒的一种重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的规定让人们在泄密和抓住病毒之间无法选择。病毒与反病毒将作为一种技术对抗长期存在，两种技术都将随计算机技术的发展而得到长期的发展。五 计算机病毒的产生病毒不是来源于突发或偶尔的因素.一次突发的停电和偶尔的错误，会在计算机的磁盘和内存中产生某些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精致严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶尔形成，并且需要

3、有一定的长度，这个基本的长度从概率上来讲是不也许通过随机代码产生的。病毒是人为的特制程序目前流行的病毒是由人为故意编写的，多数病毒可以找到作者信息和产地信息，通过大量的资料分析记录来看，病毒作者重要状况和目的是：某些天才的程序员为了体现自己和证明自己的能力，处在对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等.固然也有因政治，军事，宗教，民族.专利等方面的需求而专门编写的，其中也涉及某些病毒研究机构和黑客的测试病毒.六 计算机病毒分类根据近年对计算机病毒的研究，按照科学的、系统的、严密的措施，计算机病毒可分类如下：按照计算机病毒属性的措施进行分

4、类，计算机病毒可以根据下面的属性进行分类：按照计算机病毒存在的媒体进行分类根据病毒存在的媒体，病毒可以划分为网络病毒，文献病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文献，文献病毒感染计算机中的文献(如：COM，EXE，DOC等)，引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)，尚有这三种状况的混合型，例如：多型病毒(文献和引导型)感染文献和引导扇区两种目的，这样的病毒一般都具有复杂的算法，它们使用非常规的措施侵入系统，同步使用了加密和变形算法。按照计算机病毒传染的措施进行分类根据病毒传染的措施可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的

5、内存驻留部分放在内存(RAM)中，这一部分程序挂接系统调用并合并到操作系统中去,她处在激活状态,始终到关机或重新启动.非驻留型病毒在得到机会激活时并不感染计算机内存,某些病毒在内存中留有小部分,但是并不通过这一部分进行传染,此类病毒也被划分为非驻留型病毒。按照计算机病毒破坏的能力进行分类根据病毒破坏的能力可划分为如下几种：无害型除了传染时减少磁盘的可用空间外，对系统没有其他影响。无危险型此类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型此类病毒在计算机系统操作中导致严重的错误。非常危险型此类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统导致的危害，并不是

6、自身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和劫难性的破坏。由病毒引起其他的程序产生的错误也会破坏文献和扇区，这些病毒也按照她们引起的破坏能力划分。某些目前的无害型病毒也也许会对新版的DOS、Windows和其他操作系统导致破坏。例如：在初期的病毒中，有一种“Denzuk”病毒在360K磁盘上较好的工作，不会导致任何破坏，但是在后来的高密度软盘上却能引起大量的数据丢失。按照计算机病毒特有的算法进行分类根据病毒特有的算法，病毒可以划分为：随着型病毒这一类病毒并不变化文献自身，它们根据算法产生EXE文献的随着体，具有同样的名字和不同的扩展名(COM)，例如：XCOPY.EXE的随着

7、体是XCOPY.COM。病毒把自身写入COM文献并不变化EXE文献，当DOS加载文献时，随着体优先被执行到，再由随着体加载执行本来的EXE文献。“蠕虫”型病毒通过计算机网络传播，不变化文献和资料信息，运用网络从一台机器的内存传播到其他机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其他资源。寄生型病毒除了随着和“蠕虫”型，其他病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文献中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒自身涉及错误，不能进行较好的传播，例如某些病毒在调试阶段。诡秘型病毒它们一般不直接修改DOS中断和扇区数据，而是通过设

8、备技术和文献缓冲区等DOS内部修改，不易看到资源，使用比较高档的技术。运用DOS空闲的数据区进行工作。变型病毒(又称幽灵病毒)这一类病毒使用一种复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体构成。特洛伊木马(如下简称木马)，英文叫做“Trojan house”，其名称取自希腊神话的特洛伊木马记。它是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。所谓隐蔽性是指木马的设计者为了避免木马被发现，会采用多种手段隐藏木马，这样服务端虽然发现感染了木马，由于不能拟定其具体位置，往往只能望“马”兴叹。所谓非授权性是指一旦控制端与服务

9、端连接后，控制端将享有服务端的大部分操作权限，涉及修改文献，修改注册表，控制鼠标，键盘等等，而这些权力并不是服务端赋予的，而是通过木马程序窃取的。从木马的发展来看，基本上可以分为两个阶段。最初网络还处在以UNIX平台为主的时期，木马就产生了，当时的木马程序的功能相对简朴，往往是将一段程序嵌入到系统文献中，用跳转指令来执行某些木马的功能，在这个时期木马的设计者和使用者大都是些技术人员，必须具有相称的网络和编程知识。而后随着WINDOWS平台的日益普及，某些基于图形操作的木马程序浮现了，顾客界面的改善，使使用者不用懂太多的专业知识就可以纯熟的操作木马，相对的木马入侵事件也频繁浮现，并且由于这个时期

10、木马的功能已日趋完善，因此对服务端的破坏也更大了。因此所木马发展到今天，已经无所不用其极，一旦被木马控制，你的电脑将毫无秘密可言。鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来具体简介木马，但愿人们对特洛伊木马这种袭击手段有一种透彻的理解。原 理 篇基本知识在简介木马的原理之前有某些木马构成的基本知识我们要事先加以阐明,由于下面有诸多地方会提到这些内容。一种完整的木马系统由硬件部分，软件部分和具体连接部分构成。(1)硬件部分：建立木马连接所必须的硬件实体。 控制端：对服务端进行远程控制的一方。 服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，

11、数据传播的网络载体。(2)软件部分：实现远程控制所必须的软件程序。 控制端程序：控制端用以远程控制服务端的程序。 木马程序：潜入服务端内部，获取其操作权限的程序。 木马配备程序：设立木马程序的端标语，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传播的目的地。 控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马 程序。木马原理用木马这种黑客工具进行网络入侵，从过程上看大体可分为六步(具体可见

12、下图)，下面我们就按这六步来具体论述木马的袭击原理。一.配备木马一般来说一种设计成熟的木马均有木马配备程序，从具体的配备内容看，重要是为了实现如下两方 面功能：(1)木马伪装：木马配备程序为了在服务端尽量的好的隐藏木马，会采用多种伪装手段，如修改图标 ，捆绑文献，定制端口，自我销毁等，我们将在“传播木马”这一节中具体简介。(2)信息反馈：木马配备程序将就信息反馈的方式或地址进行设立，如设立信息反馈的邮件地址，IRC号 ，ICO号等等，具体的我们将在“信息反馈”这一节中具体简介。二.传播木马(1)传播方式:木马的传播方式重要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发

13、送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，某些非正规的网站以提供软件下载为 名义， 将木马捆绑在软件安装程序上，下载后，只要一运营这些程序，木马就会自动安装。(2)伪装方式:鉴于木马的危害性,诸多人对木马知识还是有一定理解的,这对木马的传播起了一定的克制作用,这 是木马设计者所不肯见到的,因此她们开发了多种功能来伪装木马,以达到减少顾客警惕,欺骗顾客的目 的。(一)修改图标当你在E-MAIL的附件中看到这个图标时,与否会觉得这是个文本文献呢?但是我不得不告 诉你,这也有也许是个木马程序,目前 已有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等多种文献的图

14、标,这有相称大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,因此不必成天提 心吊胆,疑神疑鬼的。(二)捆绑文献这种伪装手段是将木马捆绑到一种安装程序上,当安装程序运营时,木马在顾客毫无察觉的 状况下 ,偷偷的进入了系统。至于被捆绑的文献一般是可执行文献(即EXE,COM一类的文献)。(三)出错显示有一定木马知识的人都懂得,如果打开一种文献,没有任何反映,这很也许就是个木马程序, 木马的 设计者也意识到了这个缺陷,因此已有木马提供了一种叫做出错显示的功能。当服务 端顾客打开木 马程序时,会弹出一种如下图所示的错误提示框(这固然是假的),错误内容可自由 定义,大多

15、会定制成 某些诸如“文献已破坏，无法打开的!”之类的信息，当服务端顾客信以 为真时,木马却悄悄侵入了 系统。(四)定制端口诸多老式的木马端口都是固定的,这给判断与否感染了木马带来了以便,只要查一下特定的 端口就 懂得感染了什么木马,因此目前诸多新式的木马都加入了定制端口的功能,控制端顾客可 以在1024-65535之间任选一种端口作为木马端口(一般不选1024如下的端口)，这样就给判断 所感染木马类型带 来了麻烦。(五)自我销毁这项功能是为了弥补木马的一种缺陷。我们懂得当服务端顾客打开具有木马的文献后，木马 会将自己拷贝到WINDOWS的系统文献夹中(C:WINDOWS或C:WINDOWSSY

16、STEM目录下)，一般来说 原木马文献 和系统文献夹中的木马文献的大小是同样的(捆绑文献的木马除外),那么中了木马 的朋友只要在近来 收到的信件和下载的软件中找到原木马文献,然后根据原木马的大小去系统 文献夹找相似大小的文献, 判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木 马后，原木马文献将自动销毁，这 样服务端顾客就很难找到木马的来源，在没有查杀木马的工具协助下，就很难删除木马了。(六)木马改名安装到系统文献夹中的木马的文献名一般是固定的，那么只要根据某些查杀木马的文章,按 图索骥在系统文献夹查找特定的文献,就可以断定中了什么木马。因此目前有诸多木马都容许控 制端顾客自由定制安

17、装后的木马文献名，这样很难判断所感染的木马类型了。三.运营木马服务端顾客运营木马或捆绑木马的程序后,木马就会自动进行安装。一方面将自身拷贝到WINDOWS的 系统文献夹中(C:WINDOWS或C:WINDOWSSYSTEM目录下),然后在注册表,启动组,非启动组中设立好木马 的触发条件 ,这样木马的安装就完毕了。安装后就可以启动木马了，具体过程见下图：(1)由触发条件激活木马触发条件是指启动木马的条件,大体出目前下面八个地方:1.注册表:打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunServices

18、主键,在其中寻找也许是启动木马的键值。2.WIN.INI:C:WINDOWS目录下有一种配备文献win.ini，用文本方式打开，在windows字段中有启动 命令 load=和run=,在一般状况下是空白的,如果有启动程序,也许是木马。 3.SYSTEM.INI:C:WINDOWS目录下有个配备文献system.ini，用文本方式打开，在386Enh,mic， drivers32中有命令行,在其中寻找木马的启动命令。4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文献也可以启动木马。但这种加载方式一般都 需要控制端顾客与服务端建立连接后，将已添加木马启动命令的同名 文

19、献上传 到服务端覆盖这两个文献才行。5.*.INI:即应用程序的启动配备文献，控制端运用这些文献能启动程序的特点，将制作好的带有木马 启动命令的同名文献上传到服务端覆盖这同名文献，这样就可以达到启动木马的目的了。6.注册表:打开HKEY_CLASSES_ROOT文献类型shellopencommand主键,查看其键值。举个例子,国产 木马“冰河”就是修改HKEY_CLASSES_ROOTtxtfileshellopencommand下的键值,将“C :WINDOWS NOTEPAD.EXE %1”该为“C:WINDOWSSYSTEMSYXXXPLR.EXE %1”，这时你双 击一种TXT文献

20、后，原本应用NOTEPAD打开文献的，目前却变成启动木马程序了。还要阐明的是不光是TXT文献 ，通过修改HTML，EXE，ZIP等文献的启动命令的键值都可以启动木马 ，不同之处只在于“文献类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP，人们可以 试着去找一下。7.捆绑文献:实现这种触发条件一方面要控制端和服务端已通过木马建立连接，然后控制端顾客用工具 软件将木马文献和某一应用程序捆绑在一起，然后上传到服务端覆盖原文献，这样虽然 木马被删 除了，只要运营捆绑了木马的应用程序，木马又会被安装上去了。8.启动菜单:在“开始-程序-启动”选项下也也许有木马的触发条件。(2)木马运营

21、过程木马被激活后，进入内存，并启动事先定义的木马端口，准备与控制端建立连接。这时服务端用 户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口 开放的，如果有端口开放，你就要注意与否感染木马了。下面是电脑感染木马后，用NETSTAT命令查 看端口的两个实例：其中是服务端与控制端建立连接时的显示状态，是服务端与控制端尚未建立连接时的显示状态。在上网过程中要下载软件，发送信件，网上聊天等必然打开某些端口，下面是某些常用的端口：(1)1-1024之间的端口：这些端口叫保存端口，是专给某些对外通讯的程序用的，如FTP使用21， SMTP使用25，PO

22、P3使用110等。只有很少木马会用保存端口作为木马端口 的。(2)1025以上的持续端口：在上网浏览网站时，浏览器会打开多种持续的端口下载文字，图片到本地 硬盘上，这些端口都是1025以上的持续端口。(3)4000端口：这是OICQ的通讯端口。(4)6667端口：这是IRC的通讯端口。 除上述的端口基本可以排除在外，如发现尚有其他端口打开，特别是数值比较大的端口，那就要怀疑 与否感染了木马，固然如果木马有定制端口的功能，那任何端口均有也许是木马端口。四.信息泄露:一般来说，设计成熟的木马均有一种信息反馈机制。所谓信息反馈机制是指木马成功安装后会收集 某些服务端的软硬件信息，并通过E-MAIL，

23、IRC或ICO的方式告知控制端顾客。下图是一种典型的信息反馈邮件。从这封邮件中我们可以懂得服务端的某些软硬件信息，涉及使用的操作系统，系统目录，硬盘分区况， 系统口令等，在这些信息中，最重要的是服务端IP，由于只有得到这个参数，控制端才干与服务端建立连接，具体的连接措施我们会在下一节中解说。五.建立连接：这一节我们解说一下木马连接是如何建立的 。一种木马连接的建立一方面必须满足两个条件：一是 服务端已安装了木马程序;二是控制端，服务端都要在线 。在此基本上控制端可以通过木马端口与服务端建立连接。为了便于阐明我们采用图示的形式来解说。如上图所示A机为控制端，B机为服务端，对于A机来说要与B机建立

24、连接必须懂得B机的木马端口和IP地 址，由于木马端口是A机事先设定的，为已知项，因此最重要的是如何获得B机的IP地址。获得B机的IP 地址的措施重要有两种：信息反馈和IP扫描。对于前一种已在上一节中已经简介过了，不再赘述，我们 重点来简介IP扫描，由于B机装有木马程序，因此它的木马端口7626是处在开放状态的，因此目前A机只 要扫描IP地址段中7626端口开放的主机就行了，例如图中B机的IP地址是202.102.47.56，当A机扫描到 这个IP时发现它的7626端口是开放的，那么这个IP就会被添加到列表中，这时A机就可以通过木马的控 制端程序向B机发出连接信号，B机中的木马程序收到信号后立即

25、做出响应，当A机收到响应的信号后， 启动一种随后端口1031与B机的木马端口7626建立连接，到这时一种木马连接才算真正建立。值得一提 的要扫描整个IP地址段显然费时费力，一般来说控制端都是先通过信息反馈获得服务端的IP地址，由于 拨号上网的IP是动态的，即顾客每次上网的IP都是不同的，但是这个IP是在一定范畴内变动的，如图中 B机的IP是202.102.47.56，那么B机上网IP的变动范畴是在202.102.000.000-202.102.255.255，因此每次控制端只要搜索这个IP地址段就可以找到B机了。六.远程控制：木马连接建立后，控制端端口和木马端口之间将会浮现一条通道，见下图控制

26、端上的控制端程序可藉这条通道与服务端上的木马程序获得联系,并通过木马程序对服务端进行远 程控制。下面我们就简介一下控制端具体能享有哪些控制权限，这远比你想象的要大。(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外诸多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，因此一旦有木马入侵， 密码将很容易被窃取。(2)文献操作：控制端可藉由远程控制对服务端上的文献进行删除,新建,修改,上传,下载,运营,更改属 性等一系列操作,基本涵盖了WINDOWS平台上所有的文献操作功能。(3)修改注册表：控制端可任意修改服务端注册表，涉及删除，新建或修改主键，子键，键值。有了这 项功能控制端就可以严禁服务端软驱，光驱的使用，锁住服务端的注册表，将服务端 上木马的触发条件设立得更隐蔽的一系列高档操作。(4)系统操作：这项内容涉及重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上忽然跳出一段话，不吓人一跳才怪。