木马病毒基础课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,“,”,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,二级,三级,四级,五级,*,计算机病毒与防治,计算机病毒与防治,木马病毒的功能,木马的定义和起源,木马病毒的特点,第一讲 木马病毒基础,木马病毒的分类,木马病毒的工作原理,木马病毒的功能木马的定义和起源木马病毒的特点第一,木马病毒的由来,哪位同学能给我们讲一讲关于木马的传说,一段古希腊故事,越形象越生动越好哦！,木马病毒的由来哪位同学能给我们讲一讲关于木马的传说一段古,木马病毒的起源,你应该听过“木马屠城记”的故事吧？,然而，这场持续了九年的大战，为何最终竟终结在一只木马上呢？,话说风流倜傥的特洛伊,王子巴里德，遇上希腊皇后,海伦后，竞一发不可收拾地,将其诱拐带回国。此举也激,起了一场死伤无数的滔天大,战,。,特洛伊木马城遗址,木马病毒的起源你应该听过“木马屠城记”的故事吧？,木马病毒的起源,原来，希腊人见特洛伊城久攻不下，便特制了一匹巨大的木马，打算,来个,“,木马屠城计,”,。希腊人在木马中安排了一批视死如归的勇士，待两军,激战正酣时，借故战败撤退，诱敌,上钩。果然，被敌军撤退喜讯弄得,神志不清的特洛伊人哪知中计，当,晚使把木马拉进城中，打算来个欢,天喜地的庆功宴。谁知，就在大家,兴高采烈喝酒欢庆之际，木马中的,精锐悍将早己暗中打开城门，来个,里应外合的大抢攻开始了！顿时，,一个美丽的城市变成了一堆瓦砾、,焦土，毁灭于历史中,。,传说中的特洛伊木马,木马屠城的故事,木马病毒的起源 原来，希腊人见特洛伊城久攻不下，,什么是木马病毒呢？,我们所要谈的当然不仅仅是这个希腊故事，但我们要谈的木马,(,也称,“,特洛伊木马,”,),，原理跟这个故事差不多。,所谓的木马程序其实就是一种远程控制程序，只是后来其功,能被修改得越来越强大而已。,严格来说它不能算是一种病毒，基,本上只要不运行到它就不会有事。一般的用法都是，它会有一个,client,端程序,(,己方计算机,),、一个,sever,端程序,(,对方计算机,),给对,方运行，只要同时在线就能通过,client,端的程序来控制对方的计,算机。,什么是木马病毒呢？我们所要谈的当然不仅仅是这个希,木马的功能,远程监控,记录密码,窃取主机的信息资料,设置系统功能,远程文件操作,发送信息,可以控制对方的鼠标、键盘和监视对方屏幕。,更改主机名称，设置系统路径和得知系统版本等。,可以远程关机或重新升机，设置鼠标或是把鼠标隐藏起来，,终止系统程序，或是耗用大量主机资源致使系统死机。,入侵者可以远程控制对方的文件。,木马的功能远程监控 记录密码 窃取主机的信息资料 设置系统功,木马病毒的特点,特性,一般病毒,蠕虫,木马,传染性,强,强,弱,感染对象,文件,进程,进程,主要传播方式,文件、网络,网络,网络,破坏性,强,强,弱,隐蔽性,强,强,强,顽固性,较强,较强,极强,欺骗性,一般,一般,强,主要攻击目的,破坏数据、信息,破坏数据、信息,窃取数据、信息,木马病毒的特点特性一般病毒蠕虫木马传染性强强弱感染对象文件进,木马病毒的分类,远程访问型木马是现在最广泛的特洛伊木马。这种木马起着,远程控制的功能，用起来非常简单，只需先运行服务端程序，同,时获得远程主机的,IP,地址，控制者就能任意访问被控制端的计算机。,这种木马可以使远程控制者在本地机器上做任意的事情，比如键盘,记录、上传和下载功能、发送一个,“,截取屏幕,”,等等。这种类型的木,马有著名的,BO(Backoffice),和国产的冰河,等。,1.,远程访问型木马,木马病毒的分类 远程访问型木马是现在最广泛的特,木马病毒的分类,密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类木马程序不会在每次,Windows,重启时都自动加载,它们大多数使用,25,号端口发送电子邮件。,2.,密码发送型木马,木马病毒的分类 密码发送型木马的目的是找到所有的隐藏密,木马病毒的分类,键盘记录型木马是非常简单的，它们只做一种事情，就是记录受害者的键盘敲击，并且在,LOG,文件里做完整的记录。这种木马程序随着,Windows,的启动而启动，知道受害者在线并且记录每一个用户事件，然后通过邮件或其他方式发送给控制者。,3.,键盘记录型木马,木马病毒的分类 键盘记录型木马是非常简单的，它们只做一,木马病毒的分类,大部分木马程序只窃取信息，不做破坏性的事件，但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动地删除受控制者计算机上所有的,dl1,或,exe,文件，甚至远程格式化受害者硬盘。毁坏型木马的危害很大，一旦计算机被感染而没有即时删除，系统中的信息会在顷刻间,“,灰飞烟灭,”,。,4.,毁坏型木马,木马病毒的分类 大部分木马程序只窃取信息，不做破坏性的,木马病毒的基本工作原理,PRIORITY,是一个,VB,编写的,“,木马,”,，该,“,木马,”,包括服务器端的,SERVER.EXE,及客户端的,PRIORITYEXE,两个程序。,服务器端,SERVER.EXE,建立了一个,SERVER,窗体，设定为隐藏窗体，,并在任务栏及任务管理器中隐藏，窗体中定义了一个名为,TCP2,的,WINSOCK,控件，使用该控件打开,1001,端口并监听,：,Private Sub Form Load(),TCP2.LocalPort=1001,TCP2.1isten,End Sub,服务器端监听端口,1001,Priority,木马结构分析,木马病毒的基本工作原理 PRIORITY是一个 VB编,木马病毒的基本工作原理,当黑客用客户端,PRIORITY.EXE,发出远程连接请求时，隐藏在,被害用户电脑中的,SERVER.EXE,接受连接请求：,PrivateSubTCP2_ConnectionRequest(ByVal requesteld As Long),TCP2.Accept requested,End Sub,Priority,木马结构分析,木马病毒的基本工作原理 当黑客用客户端 PRIORIT,木马病毒的基本工作原理,SERVER.EXE,执行客户端发出的命令：,Private Sub TCP2_DataArrival(ByVal bytesTotal As Long),Dim strData As String,TCP2.GetData strData,If strData=,“,ExecuteReboot Then,重新启动,ExitWindows EWX_LogOff,&HFFFFFFFF,Elself strOata=ExecuteDisableCtrlAltDel Then,CallDisableCtrlAltDelete(True),使,Ctrl-Alt-Del,无效,Elself,其它功能,End If,End Sub,Priority,木马结构分析,木马病毒的基本工作原理SERVER.EXE执行客户端发出的命,木马病毒的基本工作原理,客户端,PRORITY EXE,建立了一个,frmMain,窗体，在窗体中定义了一个名为,TCPl,的,WINSOCK,控件、一个,cmdConnect,按钮、一个,IP,文本框及完成各种命令的菜单。当黑客欲,“,窥视,”,被害者电脑时，与服务器建立连接：,Private Sub cmdConnectes _Click(),Server=IP.Text,TCP1.RemoteHost=Server,TCP1.RemotePort=1001,TCP1.Connect,End Sub,若黑客想远程控制被害者电脑重启动机器，则发送命令：,Private Sub mnureboot _ClickQ,TCP1.SendData ExecuteReboot,End Sub,Priority,木马结构分析,木马病毒的基本工作原理 客户端PRORITY EXE建,本讲小结,什么是木马病毒,木马病毒的功能和特点,木马病毒的分类,Priority,木马结构分析,掌握木马病毒,基础知识,本讲小结什么是木马病毒木马病毒的功能和特点木马病毒的分类Pr,