6.1 惡意代碼

惡意代碼指在不為人知的情況下侵入用戶的計算機系統，破壞系統、網絡、信息的保密性、完整性和可用性的程序或代碼。與正常代碼相比，具有非授權性、破壞性等特點。

6.1.1 計算機病毒

在計算機程序中插?的破壞計算機功能并能?我復制的?組程序代碼。依
附于正常的軟件或者?件中。不能獨?運?。

主要表現（特點）：傳染性、潛伏性、可觸發性、寄生性、非授權性、破壞性

計算機病毒的結構：

• 引導模塊（基本模塊）：負責完成病毒正常運行所需的請求內存、修改系統中斷等工作。
• 搜索模塊：發現或者定位病毒的感染對象
• 感染模塊（核心模塊）：通過感染模塊實現自我繁殖
• 表現模塊：不同病毒的不同特征
• 標識模塊（輔助模塊）：不是所有病毒都包含，可以標識系統已感染病毒等

6.1.2 計算機蠕蟲

通過計算機?絡?我復制，消耗系統資源和?絡資源的程序

有以下幾個模塊：

搜索模塊

攻擊模塊：通過漏洞自動攻擊，獲取權限

傳輸模塊：負責計算機間的蠕蟲程序復制

負載模塊：進入被感染系統后，實施信息收集、現場清理和攻擊破壞等

控制模塊：調整蠕蟲行為，控制被感染主機

6.1.3 特洛伊木馬

指?種與遠程計算機建?連接，使遠程計算機能夠通過?絡控制本地計算
機的程序。

分為以下幾類：

密碼竊取型木馬

投放器型木馬：在感染系統內安裝惡意程序

下載型木馬：同上

監視型木馬

代理型木馬

點擊型木馬：引導用戶點擊特點Web網站等

遠程控制型木馬

6.2 木馬的工作原理

??體系結構：C/S架構，??程序+控制端程序
??程序即為服務器端程序，控制端程序作為客戶端，?于攻擊者遠程控制被植???的機
器。
與遠程控制程序的區別：隱蔽性；?授權性。

黑客利用木馬入侵包含6個步驟：配置木馬、傳播木馬、運行木馬、信息反饋、建立連接、遠程控制。

• 配置??：配置監聽端?、DNS、IP等；配置功能；配置安裝路徑、?件名等
• 傳播??：通過軟件下載、郵件附件、通信軟件等。?細分為分為主動植?和被動植
  ?。
• 啟動??：?動加載、潛伏待命。可以通過修改注冊表組策略、添加系統服務、替換系統DLL等實現
• 信息反饋：??運?以后，要把感染主機的?些信息反饋給?客。使得?客能夠連接上受害者主機或者反饋?客感興趣的信息。?如賬號密碼等。
• 建?連接：正向連接或者反向連接。因為IP地址稀缺，很多運營商都采?DHCP協議為?戶分配IP地址。且因為NAT技術，內?地址?法為外?所訪問。攻擊者?法隨時根據IP地址找到感染主機，反向連接技術應運??。該技術還可以輕易穿過受害者防?墻。
• 遠程控制：?客可以通過客戶端端?與服務器端?之間的通道與??程序取得聯系，并進?遠程控制。包括獲取?標機器信息；記錄?戶事件；遠程操作。

6.3 木馬的隱藏技術

• 加載時的隱藏：
• 存儲時的隱藏：???件/?錄隱藏：通過某種?段使得?戶?法發現???件和?錄。例如使?隱藏，還有更換圖標等
• 運行時的隱藏
  • 啟動隱藏：使得?標主機在運???程序時不被發現。
  • 進程隱藏：隱藏??進程，使得其在任務管理器中不可?。
    • 偽隱藏：指程序的進程依然存在，只不過讓他消失在進程列表中。
      設置窗?不可?
      把??注冊成服務
      欺騙查看進程的函數
      使?可變的?端?
      使?系統服務端?
    • 真隱藏：讓程序徹底消失，不以?個進程或者服務的?式?作。
      • 替換系統驅動或者DLL
      • 動態嵌?，使?窗?hook、掛接API、遠程現成等?式將??程序嵌?到正在運?的進程中
    • 通信隱藏：不直接與控制者進?通信，通過特殊的ICMP報文、端口復用技術或通過中間?交換信息。?如?盤、??、電?郵件等。

6.4 發現主機感染木馬的最基本方法

• 注意監聽端口
• 注意本機建立的網絡連接

6.5 針對木馬的防范技術

不執?任何來歷不明的軟件。因為軟件可能已經被?客篡改。
不能輕信他?。因為他?可能是?客偽裝的，不是??的好友。
對系統進?合理安全的配置。?如顯示隱藏?件、擴展名等。
及時安裝軟件和系統補丁。
安裝殺毒軟件。

總結

以上是生活随笔為你收集整理的【网络攻防原理与技术】第6章：特洛伊木马的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。