1. 病毒知识
一、特点 寄生性、隐蔽性、非法性、传染性、破坏性二、分类: 1、引导型病毒:寄生在系统引导区,比较容易被清除,现在已经很少见。
2、文件型病毒:寄生在可执行文件中,感染速度快,较易清除。 3、目录型病毒:寄生在系统目录结构中 4、混合型病毒:多种类型的混合 5、宏病毒:专门感染Microsoft Office 系列文件的病毒 6、蠕虫病毒:感染网络,使网速大大降低。
目前流行的病毒大多集成了黑客技术、木马技术和病毒技术三种,非常难以清除而且很容易中。三、一些常见危害较大的病毒 1、CIH病毒:文件型病毒,4月26日发作时破坏性最大,首个能破坏硬件系统的病毒。
2、Melissa病毒:宏病毒,邮件传播 3、冲击波、震荡波病毒:利用WINDOWS的漏洞,使计算机自动重启并堵塞网络。一般来说,计算机病毒可分为二大类,“良性”病毒和恶性病毒。
所谓“良性”病毒,是指病毒不对计算机数据进行破坏,但会造成计算机程序工作异常。有时病毒还会出来表现一番,例如:“小球(pingpang)”病毒、“台湾一号”和“维也纳”等。
恶性病毒往往没有直观的表现,但会对计算机数据进行破坏,有的甚至会破坏计算机硬件,造成整个计算机瘫痪。例如:前几年流行的“米开朗基罗”、“黑色星期五”和今天的“cih系统毁灭者”病毒等均属此类。
“良性”病毒一般比较容易判断,病毒发作时会尽可能地表现自己,虽然影响程序的正常运行,但重新启动后可继续工作。恶性病毒感染后一般没有异常表现,病毒会想方设法将自己隐藏得更深。
一旦恶性病毒发作,等人们察觉时,已经对计算机数据或硬件造成了破坏,损失将很难挽回。إ 纯数据文件不会被病毒感染,如:声音、图像、动画、文本等文件。
病毒一般感染主引导区,硬盘分区表,批处理文件,可执行程序,以及word、excel文档这类非纯粹的数据文件等。إ 如何来判断计算机是否被病毒感染呢?最简便且行之有效的方法当然是利用各种杀毒软件或防病毒卡来检验计算机是否染毒。
应该做到定时查杀,常备不懈。如果没有配备相应的反病毒产品,则可通过如下途径初步判断计算机是否感染了病毒。
إ 1.程序突然工作异常。如文件打不开,word97、excel97出现“宏”警示框(用户无自编“宏”的情况下),死机等。
إ 2.文件大小自动发生改变。إ 3.更换软盘后,列表时内容不变。
إ 4.检查内存,基本内存小于640k(某些机型小于639k)。إ 5.windows出现异常出错信息。
إ 6.用与硬盘相同版本的系统盘从a驱引导后找不到硬盘。إ 7.运行速度变慢。
إ 8.以前运行正常的程序运行时出现内存不足。إ 9.系统无法启动。
إ 出现以上情况之一可怀疑是病毒所为,但最终确认最好是请专业反病毒公司协助。إ 病毒发作的后果إ 根据病毒的不同类型和病毒编写者的不同意图,计算机病毒发作后会有不同的表现,当然其结果也大不一样。
“良性”病毒发作时一般会暂时影响计算机的正常运行,搞一些恶作剧或开一个玩笑,病毒编写者为了表现自己,会让病毒显现出来。重新启动后一般即可重新工作。
إ 恶性病毒发作的后果与“良性”病毒有本质的区别,它会对计算机的软硬件实施破坏。与“良性”病毒不同,通常破坏时无任何迹象,在瞬间就造成毁灭性的破坏。
具体的破坏方式主要有:إ 1.修改数据文件,导致数据紊乱。إ 2.删除可执行文件,导致系统无法正常运行。
إ 3.破坏cmos,导致系统无法正常启动。إ 4.攻击bios,破坏bios芯片,导致硬件系统完全瘫痪。
إ 5.对硬盘进行破坏,表现为:إ ●格式化硬盘,致使硬盘数据完全丢失。إ ●写入垃圾玛,破坏部分或全部数据。
●修改硬盘分区表或引导区信息,使系统无法正常从硬盘引导。若以a盘引导,则c盘仍无法找到。
إ ●破坏文件分配表,造成文件数据丢失或紊乱。إ 病毒发作后的急救措施إ 根据病毒发作后不同的破坏程度,可采用一些相应的急救措施来进行挽救,以使损失减到最校下面就不同的病毒破坏介绍一些较为常用的补救措施。
إ 1.flashbios被破坏إ重写bios程序(一般需专业技术人员进行)或者更换主版。إ 2.cmos被破坏 将cmos放电,然后用计算机的设置程序进行重新设置。
إ 3.引导区或主引导扇区被破坏إ某些杀毒软件提供备份和恢复系统主引导区和引导区信息内容,用此功能进行恢复。若能找到具有相同类型硬盘、同样的分区和安装有同样的操作系统的其他计算机,可利用它进行备份,然后恢复被病毒破坏的引导区或主引导扇区。
إ 4.文件丢失إ 若是在纯dos系统中,可利用ndd等磁盘工具进行恢复。注意,若有其他操作系统,则不能用ndd磁盘工具,否则会带来更大的破坏。
إ 若有备份文件,病毒对磁盘的破坏均可通过备份文件进行恢复。如果没有备份文件,有些较为复杂的操作,例如:部分文件分配表被破坏等,需专业技术人员来进行,碰到这种较为复杂的情况,请向专业反病毒公司救助。
2. 谁能说一下详细的木马知识
特洛伊木马(以下简称木马),英文叫做“Trojan horse”,其名称取自希腊神话的特洛伊木马记。
古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后海伦,希腊人因此远征特洛伊。围攻9年后,到第10年,希腊将领奥德修斯献了一 计,就是把一批勇士埋伏在一匹巨大的木马腹内,放在城外后,佯作退兵。
特洛伊人以为敌兵已退,就把木马作为战利品搬入城中。到了 夜间,埋伏在木马中的勇士跳出来,打开了城门,希腊将士一拥而入攻下了城池。
后来,人们在写文章时就常用“特洛伊木马”这一典 故,用来比喻在敌方营垒里埋下伏兵里应外合的活动。 在计算机领域中,它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位 置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等 等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转 指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练 的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
3. 病毒与木马知识(800字左右)
什么是木马病毒(Trojan) 木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的 特洛伊木马本意是特洛伊的,即代指特洛伊木马,也就是木马计的故事)。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
它是指通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行 程序:一个是客户端,即控制端,另一个是服务端,即被控制端。
植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。
木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。 随着病毒编写技术的发展,木马程序对用户的威胁越来越大,尤其是一些木马程序采用了极其狡猾的手段来隐蔽自己,使普通用户很难在中毒后发觉。
[编辑本段]木马病毒的原理 一个完整的特洛伊木马套装程序含了两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方电脑的是服务端,而黑客正是利用客户端进入运行了服务端的电脑。
运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,即时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入电脑系统。 特洛伊木马程序不能自动操作, 一个特洛伊木马程序是包含或者安装一个存心不良的程序的, 它可能看起来是有用或者有趣的计划(或者至少无害)对一不怀疑的用户来说,但是实际上有害当它被运行。
特洛伊木马不会自动运行,它是暗含在某些用户感兴趣的文档中,用户下载时附带的。当用户运行文档程序时,特洛伊木马才会运行,信息或文档才会被破坏和遗失。
特洛伊木马和后门不一样,后门指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的。 特洛伊木马有两种,universal的和transitive的,universal就是可以控制的,而transitive是不能控制,刻死的操作。
[编辑本段]木马病毒的特征 特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小,运行时不会浪费太多资源,因此没有使用杀毒软件是难以发觉的;运行时很难阻止它的行动,运行后,立刻自动登录在系统引导区,之后每次在Windows加载时自动运行;或立刻自动变更文件名,甚至隐形;或马上自动复制到其他文件夹中,运行连用户本身都无法运行的动作。
[编辑本段]木马病毒的发展 木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇,或是急于显示自己实力,不断改进木马程序的编写。
至今木马程序已经经历了四代的改进: 第一代,是最原始的木马程序。主要是简单的密码窃取,通过电子邮件发送信息等,具备了木马最基本的功能。
第二代,在技术上有了很大的进步,冰河是中国木马的典型代表之一。 第三代,主要改进在数据传递技术方面,出现了ICMP等类型的木马,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。
第四代 在进程隐藏方面有了很大改动,采用了内核插入式的嵌入方式,利用远程插入线程技术,嵌入DLL线程。或者挂接PSAPI,实现木马程序的隐藏,甚至在Windows NT/2000下,都达到了良好的隐藏效果。
灰鸽子和蜜蜂大盗是比较出名的DLL木马。 第五代, 驱动级木马。
驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果,并深入到内核空间的,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。
第六代,随着身份认证UsbKey和杀毒软件主动防御的兴起,黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主。
PassCopy和暗黑蜘蛛侠是这类木马的代表。 [编辑本段]木马病毒的种类 1. 网络游戏木马 随着网络在线游戏的普及和升温,我国拥有规模庞大的网游玩家。
网络游戏中的金钱、装备等虚拟财富与现实财富之间的界限越来越模糊。与此同时,以盗取网游帐号密码为目的的木马病毒也随之发展泛滥起来。
网络游戏木马通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取 特洛伊木马病毒用户的密。
4. 什么是木马病毒
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。 病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。 防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。 它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。
所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。 所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。
从木马的发展来看,基本上可以分为两个阶段。 最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。
而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。 所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。
鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解。 原 理 篇 基础知识 在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。
一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。 (1)硬件部分:建立木马连接所必须的硬件实体。
控制端:对服务端进行远程控制的一方。 服务端:被控制端远程控制的一方。
INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。 (2)软件部分:实现远程控制所必须的软件程序。
控制端程序:控制端用以远程控制服务端的程序。 木马程序:潜入服务端内部,获取其操作权限的程序。
木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。 (3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。
控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。
木马原理 用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。 一.配置木马 一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能: (1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。
(2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。 二.传播木马 (1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为 名义,将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。
(2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。 (一)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。
(二)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时。
5. 木马主要有那些病毒
什么是木马? 特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记。
它是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,由于不能确定其具体位置,往往只能望“马”兴叹。
所谓非授权性是指一旦控制端与服务端连接后,控制端将享有服务端的大部分操作权限,包括修改文件,修改注册表,控制鼠标,键盘等等,而这些权力并不是服务端赋予的,而是通过木马程序窃取的。 从木马的发展来看,基本上可以分为两个阶段。
最初网络还处于以UNIX平台为主的时期,木马就产生了,当时的木马程序的功能相对简单,往往是将一段程序嵌入到系统文件中,用跳转指令来执行一些木马的功能,在这个时期木马的设计者和使用者大都是些技术人员,必须具备相当的网络和编程知识。 而后随着WINDOWS平台的日益普及,一些基于图形操作的木马程序出现了,用户界面的改善,使使用者不用懂太多的专业知识就可以熟练的操作木马,相对的木马入侵事件也频繁出现,而且由于这个时期木马的功能已日趋完善,因此对服务端的破坏也更大了。
所以所木马发展到今天,已经无所不用其极,一旦被木马控制,你的电脑将毫无秘密可言。 鉴于木马的巨大危害性,我们将分原理篇,防御与反击篇,资料篇三部分来详细介绍木马,希望大家对特洛伊木马这种攻击手段有一个透彻的了解。
原 理 篇 基础知识 在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。 一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。
(1)硬件部分:建立木马连接所必须的硬件实体。 控制端:对服务端进行远程控制的一方。
服务端:被控制端远程控制的一方。 INTERNET:控制端对服务端进行远程控制,数据传输的网络载体。
(2)软件部分:实现远程控制所必须的软件程序。 控制端程序:控制端用以远程控制服务端的程序。
木马程序:潜入服务端内部,获取其操作权限的程序。 木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。
(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。
控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马 程序。 木马原理 用木马这种黑客工具进行网络入侵,从过程上看大致可分为六步(具体可见下图),下面我们就按这六步来详细阐述木马的攻击原理。
一.配置木马 一般来说一个设计成熟的木马都有木马配置程序,从具体的配置内容看,主要是为了实现以下两方 面功能: (1)木马伪装:木马配置程序为了在服务端尽可能的好的隐藏木马,会采用多种伪装手段,如修改图标 ,捆绑文件,定制端口,自我销毁等,我们将在“传播木马”这一节中详细介绍。 (2)信息反馈:木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,IRC号 ,ICO号等等,具体的我们将在“信息反馈”这一节中详细介绍。
二.传播木马 (1)传播方式: 木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出 去, 收信人只要打开附件系统就会感染木马;另一种是软件下载,一些非正规的网站以提供软件下载为 名义, 将木马捆绑在软件安装程序上,下载后,只要一运行这些程序,木马就会自动安装。 (2)伪装方式: 鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这 是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目 的。
(一)修改图标 当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告 诉你,这也有可能是个木马程序,现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷 惑性,但是目前提供这种功能的木马还不多见,并且这种 伪装也不是无懈可击的,所以不必整天提 心吊胆,疑神疑鬼的。 (二)捆绑文件 这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的 情况下 ,偷偷的进入了系统。
至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。 (三)出错显示 有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的 设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。
当服务 端用户打开木 马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由 定义,大多会定制成 一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以 为真时,木马却悄悄侵入了 系统。 (四)定制端口 很多老式的木马端口都是固定的,这给判断是否感染。
6. 什么叫木马
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了
木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
传染方式:通过电子邮件附件发出,捆绑在其他的程序中。
病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
防范措施:用户提高警惕,不下载和运行来历不明的程序,对于不明来历的邮件附件也不要随意打开。
“木马”程序是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。“木马”与计算机网络中常常要用到的远程控制软件有些相似,但由于远程控制软件是“善意”的控制,因此通常不具有隐蔽性;“木马”则完全相反,木马要达到的是“偷窃”性的远程控制,如果没有很强的隐蔽性的话,那就是“毫无价值”的。
一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入被种者电脑的是“服务器”部分,而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!
还有种解释 就是木头做的小马
7. 关于病毒的知识
一、预防病毒措施由于网络是一个互联的整体,再加上病毒通过网络传播的频繁,因此网络时代的防毒个人客户端、服务器加强防毒意识同等重要。
个人防毒1、慎用软盘、光盘等移动存储介质;2、选用优秀反病毒软件;3、正确使用反病毒软件:首先保持及时升级反病毒软件;第二实时开启反病毒软件的监控功能;4、不要轻易打开电子邮件中的附件,尤其是可执行文件、Office文档文件;5、谨慎下载控件、脚本;6、定制浏览器安全设置,将“自定义级别”设置为禁止(或提示)下载ActiveX、禁用(或提示启动)Java脚本等安全设置;7、养成对免费、共享软件先查毒、后使用的好习惯;8、蠕虫病毒流行的年代,不要在线启动、阅读某些文件,杜绝成为网络病毒的传播者;服务器防毒1、经常备份系统;2、为不同的用户分配各自相应的权限;3、禁止在服务器上运行应用程序;4、杜绝安装盗版软件;5、禁止软盘启动。病毒分类引导区病毒这类病毒隐藏在硬盘或软盘的引导区,当计算机从感染了引导区病毒的硬盘或软盘启动,或当计算机从受感染的软盘中读取数据时,引导区病毒就开始发作。
一旦它们将自己拷贝到您的机器内存中,马上就会感染其他磁盘的引导区,或通过网络传播到其他计算机上。文件型病毒文件型病毒寄生在其他文件中,常常通过对它们的编码加密或使用其他技术来隐藏自己。
文件型病毒劫夺用来启动主程序的可执行命令,用作它自身的运行命令。同时还经常将控制权还给主程序,以伪装您的计算机系统正常运行。
一旦您运行感染了病毒的程序文件,病毒便被激发,执行大量的操作,并进行自我复制,同时附着在您系统其他可执行文件上伪装自身,并留下标记,以后不再重复感染。宏病毒它是一种特殊的文件型病毒,在一些软件开发商开始产品研发中引入宏语言,并允许这些产品在生成载有宏的数据文件之后出现。
宏的功能十分强大,相当多的软件包中都引入了宏,这样便给宏病毒一可趁之机!脚本病毒脚本病毒依赖一种特殊的脚本语言(如:VBScript、JavaScript等)起作用,同时需要主软件或应用环境能够正确识别和翻译这种脚本语言中嵌套的命令。脚本病毒在某方面与宏病毒类似,但脚本病毒可以在多个产品环境中进行,还能在其他所有可以识别和翻译它的产品中运行。
脚本语言比宏语言更具有开放终端的趋势,这样使得病毒制造者对感染脚本病毒得机器可以有更多的控制力。网络蠕虫程序网络蠕虫程序是一种通过间接方式复制自身非感染型病毒。
有些网络蠕虫拦截e-mail系统向世界各地发送自己的复制品;有些则出现在高速下载站点中同时使用两种方法与其它技术传播自身。它的传播速度相当惊人,成千上万的病毒感染造成众多邮件服务器先后崩溃,给人们带来难以弥补的损失。
“特洛伊木马”程序特洛伊木马程序通常是指伪装成合法软件的非感染型病毒,但它不进行自我复制。有些木马可以模仿运行环境,收集所需的信息,最常见的木马便是试图窃取用户名和密码的登录窗口,或者试图从众多的Internet 服务器提供商(ISP)盗窃用户的注册信息和账号信息。
检测病毒方法在与病毒的对抗中,及早发现病毒很重要。早发现,早处置,可以减少损失。
检测病毒方法大致有:特征代码法、校验和法、行为监测法、软件模拟法,这些方法依据的原理不同,实现时所需开销不同,检测范围不同,各有所长。特征代码法特征代码法是使用最为普遍的病毒检测方法,同时是检测已知病毒的最简单、开销最小的方法。
特征码查毒就是检查文件中是否含有病毒数据库中的病毒特征代码。采用病毒特征代码法的检测工具,必须不断更新版本,否则检测工具便会老化,逐渐失去实用价值。
病毒特征代码法对从未见过的新病毒,无法检测。 二、校验和法 将正常文件的内容,计算其校验和,写入文件中保存。
定期检查文件的校验和与原来保存的校验和是否一致,可以发现文件是否感染病毒,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。 由于病毒感染并非文件内容改变的惟一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。
而且此种方法也会影响文件的运行速度。因而用监视文件的校验和来检测病毒,不是最好的方法。
校验和法的优点是:方法简单能发现未知病毒、被查文件的细微变化也能发现。其缺点是:对文件内容的变化过于敏感、会误报警、不能识别病毒名称、不能对付隐蔽型病毒。
三、行为监测法 利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。
当程序运行时,监视其行为,如果发现了病毒行为,立即报警。 行为监测法的长处:可发现未知病毒、可相当准确地预报未知的多数病毒。
行为监测法的短处:可能误报警、不能识别病毒名称、实现时有一定难度。 软件模拟法,以后演绎为虚拟机查毒,启发式查毒技术,是相对成熟的技术。
