基于Windows系统漏洞的攻击技术的研究与防范.doc

摘要 Windows操作系统拥有全球最多的用户，它自然而然会成为众多攻击者所觊觎的攻击目标，所以Windows系统的安全问题日益得到重视。文章以基于Windows操作系统漏洞的漏洞攻击为核心对此展开研究，通过了解攻击者的攻击动机和攻击流程并还原利用系统漏洞发起的攻击如冰河木马攻击、冲击波病毒攻击和IDQ&IDA溢出漏洞攻击等实例分析其中的攻击原理然后做出相应的防范措施以保护计算机用户的信息安全。为使用Windows操作系统的用户提供一个安全的保障。关键词 Windows操作系统，安全，漏洞攻击，防范ABSTRACT Windows operating system with the most users, it will become many attackers coveted target, so the security problem of Windows operating system has been paid more attention to. Based on the Windows operating system loophole attack based on this study, by understanding the motives of attackers and attack process and reducing the system vulnerability attacks such as Trojan horse attacks, virus attacks and IDQ&IDA overflow attack example analysis of attack principle and make the corresponding preventive measures to protect the information security of computer user the. To use the Windows operating system of the user to provide a security.KEY WORDS Windows operating system, security, vulnerability attacks, prevention目录前 言- 1 -第一章 Windows操作系统及其漏洞概述- 2 -1.1 Windows操作系统简述- 2 -1.2 Windows操作系统使用现状- 2 -1.3 Windows操作系统漏洞简述- 2 -1.4 Windows操作系统存在漏洞的原因- 3 -第二章 基于Windows操作系统漏洞的入侵攻击- 6 -2.1 攻击者的攻击动机- 6 -2.2 攻击者的攻击流程- 8 -2.3 木马攻击技术- 10 -2.3.1 木马的概念- 10 -2.3.2 木马的功能和特征- 11 -2.3.3 木马的伪装技术- 14 -2.4 病毒攻击技术- 16 -2.4.1 计算机病毒的定义- 16 -2.4.2 计算机病毒的特征- 16 -2.4.3 计算机病毒的结构- 18 -第三章 基于Windows操作系统漏洞攻击的实例- 20 -3.1 Windows 2000操作系统的输入法漏洞- 20 -3.2 IIS5.0中的IDA&IDQ漏洞- 25 -3.3 冰河木马攻击- 30 -3.4 冲击波病毒攻击- 35 -第四章 基于Windows操作系统漏洞攻击的防范- 40 -4.1 Windows操作系统漏洞扫描- 40 -4.2 修补系统漏洞- 44 -4.3 个人计算机的日常维护与安全防范- 47 -4.3.1 个人软件防火墙- 47 -4.3.2 个人计算机维护工具- 49 -4.3.3 培养良好的个人计算机使用习惯- 50 -第五章 总结- 52 -参考文献- 53 -致 谢- 54 -前 言随着计算机科技的迅猛发展，几乎每个家庭都拥有一台个人电脑。拥有如此庞大的计算机使用用户群体，其中计算机安全问题自然是一个十分严峻的问题。现在，Windows操作系统是全球使用用户最多的桌面操作系统。所以针对Windows操作系统的攻击固然也会增多。如今电脑攻击入侵犯罪活动日益猖獗，他们利用各种入侵手段基于Windows操作系统的本身存在的漏洞进行攻击，木马攻击、病毒攻击就是典型的入侵攻击例子。由于木马及病毒的隐蔽性、远程可植入性和可控制性等技术特点，已成为攻击者攻击或不法分子入侵网络的重要工具。而为攻击行为打开大门的恰恰是Windows操作系统本身存在的漏洞，所以对系统漏洞的检测和分析攻击原理并做出防范是至关重要的。Windows操作系统的漏洞是一个计算机安全隐患。不及时填补漏洞的后果将是给计算机用户带来极大的危害。木马与病毒针对Windows操作系统的漏洞攻击的危害不言而知，它们会泄露用户的秘密信息，攻击者通过贩卖企业信息、恶意破坏等等手段为用户带来无限的利益损害。通过研究和分析已知基于存在的安全漏洞的攻击入侵行为，了解其攻击的技巧、思路和攻击方法，进而针对一些典型的攻击提出了相应的解决方法，建立一套相对比较完善的防御体系，是主动防范基于Windows操作系统漏洞攻击的有效方法之一。尽管入侵行为的危害大，只要了解攻击原理，就能及时填补入侵的入口，即存在的安全漏洞，就能快速防御来自攻击者的攻击。 所谓魔高一尺，道高一丈。要坚信只要做到知己知彼，就一定能够克服困难，在与攻击者的这场攻防大战中取得胜利。第一章 Windows操作系统及其漏洞概述1.1 Windows操作系统简述Windows操作系统是美国微软公司推出的视窗电脑操作系统。随着计算机硬件和软件系统的不断升级，微软的Windows操作系统也在不断升级，从16位、32位到64位操作系统。从最初的Windows1.0到大家熟知的Windows 95、Windows NT、Windows 97、Windows 98、Windows 2000、Windows Me、Windows XP、Windows Server系列、Windows Vista，Windows 7，Windows 8各种版本的持续更新。微软一直在尽力于Windows操作的开发和完善。如今，Windows操作系统是全球用户最多的计算机操作系统。1.2 Windows操作系统使用现状 如上面简述所说，Windows操作系统是全球用户最多的计算机操作系统。由于版本的快速更新，许多用户都会为了更好的体验微软给用户带来的新的功能而升级，所以随着新的Windows操作系统发布，必然会有一个旧版本的Windows操作系统遭到淘汰，所以直至今天，Windows XP版本以前的Windows操作系统都已经基本淘汰。由于现在计算机硬件市场的发展也同样迅速，新生代的计算机硬件普遍都支持新系统的安装，所以新系统是多数人所追求的。在我国，由于企业以及市场、生产等领域的计算机普及时期正值Windows XP版本的鼎盛时期，大量的计算机配置只能流畅适用于Windows XP版本，所以如今这批计算机已无法支持新版本的更新，而且Windows XP的功能足以满足企业以及生产需求，所以我国的Windows操作系统的使用还是以Windows XP为主，因此针对企业而针对Windows XP操作系统漏洞的攻击也是最为突出的。1.3 Windows操作系统漏洞简述Windows系统漏洞是指Windows操作系统本身所存在的技术缺陷。它的产生是系统在逻辑设计上的缺陷或在编写时产生的错误，这个缺陷或错误可以被不法者或者电脑黑客利用，通过植入木马、病毒等方式来攻击或控制整个电脑，从而窃取电脑中的重要资料和信息，甚至破坏系统。 植入木马、病毒的攻击是针对Windows操作系统漏洞攻击的常见和常用的攻击手段。Windows操作系统漏洞会影响到的范围很大，其中包括系统本身以及其支撑软件，网络客户和服务器软件，网络路由器和安全防火墙等。换而言之，在这些不同的软件和硬件设备中都可能存在不同的安全漏洞问题。在不同种类的软件、硬件设备，同种设备的不同版本之间，由不同设备构成的不同系统之间，以及同种系统在不同的设备条件下，都会存在各自不同的安全漏洞问题。Windows操作系统的系统漏洞问题是与实践紧密相关的。一个Windows操作系统从发布的那一天起，随着用户的深入使用以及黑客团队的不断对Windows操作系统的分析与研究，系统中存在的漏洞会被不断地暴露出来，这些在早期被发现的漏洞也会不断被系统供应商即微软公司发布的漏洞补丁软件修补，或者会在以后发布的新版系统中的一纠正。但是在新版Windows操作系统纠正了旧版本的Windows操作系统中所具有的漏洞的同时，也许也会引入一些新的漏洞和未知错误。例如早在Windows 2000版本时期就出现的输入法漏洞，它是由于切换至输入法状态下在输入法栏中利用“帮助”页面弹出URL框，从而直接进入Windows操作系统的系统目录，再利用NET命令行添加用户以及升格权限，从而获得被控制机器的账户所有权，虽然这个输入法漏洞早被微软修补了，但在今天的最新Windows操作系统版本中依然看到它的踪影，如从最新版的Windows 8操作系统中发现QQ输入法漏洞，漏洞实验验证与分析将在后文继续操作。所以随着时间的推移，旧版本Windows操作系统的系统漏洞会不断地消失，但是新版本的Windows操作系统的系统漏洞将会不断出现，Windows操作系统的系统漏洞问题也会长期存在。如果使用中的计算机没有及时修补漏洞或者平时没有利用计算机防护工具监察异常情况发生的话，就会大大增加利用Windows操作系统漏洞攻击的发生几率。1.4 Windows操作系统存在漏洞的原因 其实在Windows操作系统在设计的初期并没有完全考虑到各方面应用的安全需求，只是在操作系统正式发布以后，微软公司根据用户试用和售后用户体验的各种问题的反馈从而提供修复补丁对操作系统本身提供修复和完善系统。基于Windows操作系统漏洞的攻击就是根据操作系统本身存在的隐性漏洞和缺陷进行攻击，从而Windows操作系统的漏洞就作为了攻击者的攻击突破点。如Windows操作系统在Internet上使用的基础协议中，有很多早期的协议在最初的设计时并没有考虑安全方面的需求。在这样一个基础并不安全的、动态的、分布的环境中保证Windows操作系统本身的安全就变得非常困难。 正是由于Internet的开放性和系统本身对Internet协议的原始设计，在网络上对Windows操作系统实施普通的电子攻击可以是快速、容易、低成本的，甚至有些攻击很难被检测或者跟踪到，就由于频繁地对目标计算机进行各种各样的攻击试探和骚扰，攻击者最终就能从中找到系统中的隐性漏洞进而发起基于漏洞的攻击。 Windows操作系统上存在漏洞的另一个原因是根据Windows操作系统衍生出来的应用类型高速膨胀。各种各样崭新的、复杂的操作系统软件层出不穷，通常这些软件在设计、部署和维护阶段都会出现安全的问题。在将新产品快速推入市场的过程中，软件设计者们不能保证他们不犯以前犯过的错误，也不能保证不引入新的错误，这都可能造成Windows操作系统衍生出来的服务软件出现漏洞。 从技术角度而言，漏洞的来源主要有以下几个方面： （1）软件或协议设计时的瑕疵 Windows操作系统中网络通讯部分，协议定义了网络上计算机会话和通讯的规则，如果在协议设计时存在瑕疵，那么无论实现该协议的方法多么完美，它都会存在漏洞。网络文件系统便是一个例子。网络文件系统提供的功能是在网络上共享文件，这个协议本身不包括认证机制，也就是说无法确定登录到服务器的用户确定是某一个用户，所以网络文件系统经常成为攻击者的目标。另外，在软件设计之初，通常不会存在不安全的因素。然而当各种组件不断添加进来的时候，软件可能就不会像当初期望那样工作，从而可能引入不可知的漏洞。 （2）软件或协议现实中的弱点 即使Windows操作系统中协议设计得很完美，实现协议的方法仍然可能引入漏洞。例如Outlook中与E-mail有关的某个协议的某种实现方式能够让攻击者通过与被攻击主机的邮件端口建立连接，达到欺骗受害者主机执行意想不到的任务的目的。如果入侵者在“To:”字段填写的不是正确的邮件地址，而是一段特殊的数据，受害主机就有可能把用户和密码信息送给攻击者，或者使攻击者具有访问受保护文件和执行服务器上程序的权限。这样的漏洞使攻击者不需要访问主机的凭证就能够从远端攻击目标计算机。 （3）软件本身的瑕疵 Windows操作系统中的软件本身的瑕疵也会带来漏洞对操作系统本身构成威胁，这一类的漏洞又可以分为很多子类。例如，没有进行数据内容和大小检查，没有进行成功/失败检查，不能正常处理资源耗尽的情况，对运行环境没有做完全检查，不正确地使用系统调用，或者重用某个组件时没有考虑到它的应用条件。攻击者通过渗透这些漏洞，即使不具有特权帐号，也可能获得额外的、未授权的访问。 （4）Windows操作系统和网络的错误配置 这一类的漏洞并不是由Windows操作系统中的网络协议或软件本身的问题造成的，而是由服务和软件的不正确部署和配置造成的。通常这些软件安装时都会有一个默认配置，如果计算机用户不更改这些配置，计算机依然能够提供正常的服务，但是攻击者就能够利用这些配置对目标计算机造成威胁。例如，SQL server的默认安装就具有用户名为sa、密码为空的管理员帐号，这确实是一件十分危险的事情，假如用户利用自己带有Windows操作系统的计算机作为服务器的话，攻击者就能利用sa用户名直接对数据库进行入侵。另外，对FTP服务器的匿名帐号也同样应该注意权限的管理。 以上四个方面是Windows操作系统漏洞的主要来源，能够了解漏洞的来源就能更好地把握住自己计算机的隐患之处，从而也更好地防范基于Windows操作系统漏洞的攻击。第二章 基于Windows操作系统漏洞的入侵攻击2.1 攻击者的攻击动机 计算机攻击者，我们又叫入侵者、黑客、骇客等。从攻击者的行为上划分，攻击者有“善意”与“恶意”两种。带有“善意”攻击者利用他们的技能做一些善事，而带有“恶意”的攻击者则利用他们的技能做一些恶事。带有善意的攻击者长期致力于改善计算机社会及其资源，为了改善服务质量以及产品，他们不断寻找弱点以及系统的脆弱部分并公布于众。例如，带有善意的攻击者们为了找出Windows操作系统中程序的安全漏洞，帮助微软公司完善他们的操作系统，带有善意的攻击者们做了大量的安全上的测试工作。他们所作的工作实际上是一种公众测试形式，又如苹果公司背后有着一批经验丰富的系统开发工作者，他们就是本着寻找系统中的缺陷，尽量完善系统的心去工作着。与带善意的攻击者的攻击相反的，带有恶意的攻击者主要从事一些破坏活动，如攻击普通计算机用户的个人电脑，又如行为较为恶劣的攻击银行服务器等等。他们从事的是一种犯罪行为。大量的案例分析具有恶意的攻击者有以下主要的犯罪动机。 （1）好奇心 许多具有恶意的攻击者声称，他们只是对计算机以及电话网感到好奇，希望通过探究这些网络更好地了解它们是如何工作的。 （2）个人声望 通过破坏具有高价值的目标以提高在攻击者社会中的可信度以及知名度。许多的例子告诉我们，许多的攻击者为了提高自己在业界的声望，都会做出一次比较庞大的攻击足以提升自己的知名度，如入侵银行服务器盗取客户机密资料的攻击者，又如检测苹果系统漏洞从而进行越狱的肌肉男团队，他们所做的都是为了提高自己在业界的知名度。 （3）智力挑战 为了向自己的智力极限挑战或者为了向他人炫耀，证明自己的能力，他们热衷于作为攻击者的传说。将自己想象成网络上无所不能的神一样，将基于Windows操作系统漏洞的攻击和网络入侵作为寻求刺激的最佳方法。我们都知道，要作为一名计算机系统攻击者不是一件简单的事情，它是对个人的智慧、计算机知识有一定高度和认识的人才能够成为一名攻击者。所以作为一名攻击者，简单的漏洞攻击不会容易满足他们，所以他们就更想往另一个层次的攻击深入研究，从而挑战自己的极限。 （4）窃取情报 在网络上件事个人、企业以及竞争对手的活动信息及数据文件，以达到窃取情报的目的。其实窃取情报是多数的攻击者的攻击目的，因为目标对攻击者来说有利害关系，攻击者才会对目标下手，同时这种攻击手段是极为恶劣的行为，但同时它又是多数攻击者的攻击目的。 （5）报复 计算机犯罪感到其雇主本该提升自己，增加薪水或以其他方式承认他的工作。所以基于Windows操作系统漏洞的攻击成为他反击雇主的方法，也希望借此引起别人的注意。 （6）获取非法利益 有相当一部分计算机犯罪是为了赚取金钱。网络世界与现实世界的相关性不断地增大，使得盗窃、抢劫这种现实中的犯罪行为在网络中以新的形式出现。他们攻击与利益相关的网站，如（银行、购物、稀缺资源提供者）非法获取利益。平时我们在网络或者电视新闻中都会留意到某某银行计算机服务器遭到攻击以致客户资料泄漏等新闻的出现，这就是攻击者们利用漏洞对目标银行发起攻击的不良后果，又如最近网上又披露了我国著名的网上支付平台“支付宝”出现严重漏洞的信息新闻，这一切的一切都会作为具有恶意的攻击者的攻击目标。由此而知，攻击者会盗窃他人的虚拟财产（账户盗用）等，给计算机用户、网络金融和网络社区都在成了很大的威胁。 （7）政治目的 在这个信息发达、政府施政透明的年代，任何政治因素都会反映到网络领域中去。因为政治目的而发起攻击的主要表现有：敌对国之间利用网络的破坏活动，例如韩国经常来自朝鲜的网络攻击，导致经济和国防都会产生短暂的混乱；个人及组织对政府不满而产生的破坏活动，如前阵子的钓鱼岛问题到了白热化阶段，中日两国关系又遇寒冬，国内的爱国人士利用自己的攻击技能去入侵日本国某些大型网站从而宣泄不满。这一类具有恶意的攻击者的动机不是钱，几乎永远都是为政治，一般采用的手法包括更改网页、植入计算机病毒等。2.2 攻击者的攻击流程 如今，在网络上流行的扫描工具和软件，在计算机使用者手中是用来检测系统漏洞，防范于未然的；而对于攻击者来说，它是用来寻找目标的攻击入口，为入侵工作做准备的必备工具。 攻击者的入侵主要是为了成为目标计算机的主人，只有获得一台通过联网的计算机的超级用户权限，才能达到入侵的目的。如修改服务配置、安装木马程序、植入病毒、执行任意程序等。虽然说现在的网络安全日新月异，旧的安全漏洞被补上，新的漏洞也会随之出现。基于Windows操作系统漏洞的攻击正是利用这些安全漏洞和缺陷对系统和资源进行攻击的。 尽管攻击者攻击系统的技能有高低之分，入侵系统的手法多种多样，但他们对目标系统实施的流程却大致相同。 攻击者攻击流程如图2-1所示。隐藏自己的行踪查询分析目标计算机获取访问权限留下后门和清除记录拒绝服务攻击窃取目标计算机资源图 2-1 攻击者攻击流程图 （1）隐藏自己的行踪 攻击者入侵就是要神不知鬼不觉地侵入到目标计算机，因此，在入侵攻击之前要对自己做个伪装，不能让被攻击者轻易发现。在通过网络对目标计算机发起攻击之前，先对自己真实的IP地址隐藏。一般攻击者都是利用他人的电脑来隐藏自己真实的IP地址的，也有一些技术比较成熟的攻击者会通过固定电话的无人转接服务连接网络提供信息服务商（中国电信、中国联通等），再套用他人的帐号进行伪装。 （2）查询分析目标计算机 攻击要有目标，在网络中的IP地址就能够真正标识一个在网的计算机，而域名是为了更好地对IP地址进行记忆管理的另一种显现方式，这样利用域名和IP地址就能确定目标计算机了。确定了目标计算机之后，就可以对其操作系统类型及所提供的服务等信息，做一个全方位的分析了解。本文着重分析了解Windows操作系统。 一般的攻击只会用到一些扫描器工具，了解目标主机所使用的操作系统类型及其版本、系统开放了哪些用户、Web服务器程序版本信息等，为攻击做好充分的准备。 （3）获取访问权限 获得目标计算机的权限用户是攻击入侵的最基本手段，攻击者要先设法盗取目标计算机的账户文件进行破解，来得到权限用户的帐号和密码，再寻找合适时机以此身份登录到目标计算机。一般的攻击者都是通过一些比较恶劣的攻击行为或利用系统本身存在的漏洞登录到目标计算机上的，如输入法漏洞就是利用添加用户和提升权限来登录目标计算机的。 以上流程到了第三步，将会有两种可能性出现，其一是顺利获得目标计算机的权限用户，直接登录目标计算机进行攻击入侵，其二是目标计算机的防卫体系级别过高，无法获得权限用户，此时多数的攻击者都会就此放弃攻击和入侵，但是另外一些具有恶意的攻击者则利用他们的技能作出一些恶劣的行为，就是拒绝服务攻击，即使无法顺利攻击入侵目标计算机，也要使目标计算机服务瘫痪。 （4）留下后门和清除记录 在获取目标计算机的权限用户之后，就可以顺利登录目标计算机系统，从而获得控制权了。留下后门和清除记录可以方便攻击者以后不被察觉地再次入侵该目标主机。 其实所谓的后门，只是一些木马程序或者是一些预先编译好的远程操纵程序，将这些程序修改时间和权限传输到目标计算机隐秘的地方藏起来就可以了。一般攻击者喜欢使用特定的传输协议传输文件，以免被目标发现，攻击者还要使用清除日志，删除副本文件等方法清除自己的记录，隐藏好自己的踪迹。 （5）窃取目标计算机资源 顺利经过上面的4步流程之后，攻击者就能达到他窃取目标计算机资源的根本目的。成功入侵目标计算机后，该计算机的所有资料都呈现在攻击者的面前，此时即可下载有用的资料（如一些重要的帐号和密码或其他对攻击者有利的资源），甚至可以将该计算机及所在的网络造成瘫痪。 （6）拒绝服务攻击 如果攻击者未能成功地完成第3步的获取访问权限，多数的攻击者都会放弃继续入侵攻击目标计算机，但是少部分具有恶意的攻击者他们所能采取的最恶毒的手段便是进行拒绝服务攻击。即用精心准备好的漏洞代码攻击系统使目标计算机的服务资源耗尽或者资源过载，以致没有能力再向内外服务。攻击所采用的技术主要是利用协议漏洞以及系统本身存在的隐性漏洞。2.3 木马攻击技术 在众多的攻击入侵手段中，被攻击者最先考虑的就是木马，因为这是基于操作系统漏洞攻击最简单、让攻击者攻击最得心应手的工具。木马可谓无处不在，它无时无刻利用操作系统的漏洞直接进入目标机器进行各种入侵行为，在被浏览的一个网页、系统、程序、打开的一张图片、一本电子图书、一个Flash动画、一个文本文件等，都有可能隐藏着木马程序。只要攻击者善于伪装，木马就可以被隐藏在网络中的任何一个位置，让用户不知不觉地被木马控制、操作。2.3.1 木马的概念 Windows操作系统本身就存在着许多隐性的漏洞，即使是已知漏洞，在计算机使用者没有任何防御措施之下，木马能够轻易地使目标计算机在攻击者的控制之下，这是一个极具威胁攻击工具。木马是一个用以远程控制的客户/服务器模式（c/s模式）程序，其目的是让攻击者充当客户端，而被植入木马程序的目标计算机作为服务器，让攻击者可以连接上远端主机并收集资料。严格意义来说，木马不能算是一种病毒，但它又和病毒一样，具有隐蔽性、非授权性以及危害性等特点，因此木马能够成为目前最为流行的攻击工具。 木马的基本工作原理与平常网络中用到的远程控制软件有点相似，区别是远程控制软件无心对被控制端造成危害，不具有隐蔽性、而木马就恰恰相反，木马是既要得到想要的信息又不能被发现的偷窃行为。当服务端在目标计算机上被启动后，被植入的木马会打开一个预设的端口对目标计算机进行监听，当攻击者向服务端即被攻击者发出连接请求时，服务端的相应程序就会自动启用并应答攻击者发出的请求，使客户端与服务端连接，当两者相连接之后，由公职端发出指令即由攻击者发出指令，服务端在计算机中就会乖乖地执行这些指令，并将相应的数据传送到控制端，以达到控制目标主机的根本目的。2.3.2 木马的功能和特征 木马被用于“打开”被攻击者电脑的门户，以达到破坏或者盗取计算机资源的目的，所以对此木马为了完成攻击任务，它的功能并不是单一的，木马发展至今，它们已经是拥有很多强大功能的集成程序，所以它们有着各种各样的功能和特征，具体能够分为以下几种功能和特征。 1.功能 （1）远程控制 具有远程控制功能的木马是存在数量最多，危害最大的一种木马，它可以让攻击者完全控制被控制的目标计算机，可具体表现为使用木马可以监视被攻击计算机的屏幕操作，并控制鼠标、键盘等操作。 （2）键盘记录 顾名思义，具有键盘记录功能的木马会在当被攻击者在进行键盘操作的时候，木马程序会利用类似Key log的键盘记录把被攻击者的键盘操作记录下来，再通过邮箱等途径发送到攻击者的手中，换而言之，当你输入帐号密码等重要信息的时候都会被具有键盘记录功能的木马所监视，导致这些极为重要的信息展现在攻击者眼前。 （3）控制计算机的信息资料 木马程序可以得到并修改被攻击者系统的各种信息，如主机名称、修改主机名、设定系统路径、查看系统版本等操作，具有这种功能的木马程序，往往都会使被攻击的计算机产生一定的系统混乱，严重者会导致目标计算机的系统崩溃而使其对内外拒绝服务，十分恶劣。 （4）设置系统功能 何为具有设置系统功能的木马程序？如该木马在被攻击计算机上被执行时，攻击者可以远程控制被攻击者计算机执行关机、重新启动计算机、隐藏鼠标、终止系统进程等操作，倘若你遇到以上的种种情况，不用怀疑，你已经被植入了具有设置系统功能的木马程序，它的表现特征足以让你崩溃一阵子。 （5）发送信息 具有发送信息功能的木马能够让攻击者以弹框形式给被攻击者发送信息进而骚扰被攻击者，当该木马在被攻击计算机上执行时，攻击者就能够随意给被攻击者发送信息了。 （6）反馈信息机制 部分比较高端的木马程序有着反馈信息机制的功能，它能够根据植入前特定的定制搜寻目标资料的指令去搜寻目标计算机中攻击者希望得到的数据，再将得到的资料反馈到攻击者，如密码发送型木马是具有这种功能的木马的其中一种，这种木马当被执行时，就会自动搜索目标计算机的内存、缓存、临时文件夹以及各种敏感密码文件，一旦搜索到有用的密码信息，该木马就会利用预设的邮件服务将密码信息发送至指定的邮箱当中，从而使攻击者获得目标用户的密码信息，通常这类木马会使用简单邮件传输协议将信息发送到指定邮箱中。 2.特征 （1）隐蔽性 这也是木马最基本的特征，木马本身隐藏于正常的程序当中，当用户执行这些程序的时候，就会连同木马程序一起激活，在不知不觉中控制用户。木马的隐蔽性主要体现在以下两个方面： 不产生图标。当木马被执行时不会在“任务栏”中产生图标，不然很容易会被被攻击者发现，从而查出异常原因。 隐藏运行。上面已经解释道，木马被执行时不会产生图标，他会在后台中隐秘运行，它会在任务管理器中隐藏起来，并以“系统服务”的方式将自己进行伪装，从而欺骗操作系统，更欺骗了被攻击者。 （2）自动恢复性 当木马入侵到目标计算机后，它不会只停留在第一次入侵的位置，它会做多重的备份，这样的好处是使它的备份可以在相互之间进行恢复。所以你会发现，当你很高兴找到一个木马并将它删除之后，再运行其他程序，你之前删除的那个木马又会跳出来做怪，足以让你头疼。 （3）自动运行性 前文都说过，当攻击者成功入侵目标计算机后都会给自己留下后门和清除日志，木马的自启动性就很好地为攻击者提供了后门服务，因为攻击者不可能每次控制这台目标计算机的时候都发送一次木马程序，所以木马必须在被攻击计算机系统启动时跟着自动启动，它往往会隐藏在系统的启动配置文件当中去，伪装成与其他正常启动文件名类似的文件，以避免被被攻击者发现。 （4）自动打开端口 在木马程序潜入目标计算机后，会通过用户连接互联网时与攻击者进行通信，这样就可以将木马程序从被攻击者手中得到的信息告诉给攻击者，以便攻击者控制用户的计算机或达到其他一些入侵企图。在TCP/IP协议中，每台计算机都有从065535个端口，这也是计算机的入口，木马就会自动开启少数几个不是经常用的端口与攻击者连接，神不知鬼不觉盗走被攻击者的信息。 （5）包含其他功能的程序 木马本身只有控制的功能，但是可以利用一些“后门”把具有其他破坏功能的攻击者工具偷偷运送到被攻击的计算机当中，供攻击者使用，也就是说，这类木马具有相当于管道传输的能力，能够将其他的程序通过它到达被攻击的计算机中，从而方便了攻击者在被攻击者的计算机上做文章。 （6）功能的特殊性 木马的功能十分特殊，除了一些对文件的普通操作之外，还可以对被攻击计算机进行设置口令、扫描目标IP地址、键盘记录、远程操控注册表、锁定鼠标等操作。 从木马的功能与特征中可以看出，木马能够做出许多他人意想不到的攻击操作，也难怪它是攻击者们首选充当来攻击任务的首要工具，与此同时也让人感到木马的可怕，计算机受其威胁的不安。2.3.3 木马的伪装技术 之所以说木马可怕和令人畏惧，因为它能够攻其不备，让人不知所措，这都是因为精湛的伪装技术，不容易让被攻击者发现，从而木马在被攻击计算机的后台从容自在地运行着，说到木马的伪装，它有以下几种伪装特点： （1）给木马服务器端改名 被安装到目标计算机的木马能够隐藏多久，就要取决于木马服务器端程序的命名，这是一个不可忽略的伪装方法，因此木马的命名也是千奇百怪的。例如，有一些木马把名字改为Windows.exe，还有的就是把更改一些后缀名跟正常的系统文件相似，如把xx.dll改为xx.d11，很明显，dll后缀跟d11后缀极为相似，如果不仔细看很难分辨出来，所以许多的木马以这种障眼法来隐藏自己，令被攻击者不容易发现它的存在。 （2）将木马本身和正常的文件捆绑在一起 攻击者巧妙地将木马捆绑在一个可执行文件上，当这个可执行文件被被攻击者执行时，木马也会在无人察觉的情况下偷偷入侵到系统中去。被捆绑的一般是系统中的可执行文件，例如是EXE、COM一类的文件。这种伪装手段也非常常见。有这样的一个例子：攻击者把木马服务器端和某个游戏安装程序捆绑成一个文件，再发布到网络中供他人下载。当普通用户下载这个游戏安装文件后并执行安装，我们可以看到安装的游戏可以正常地运行，但是计算机用户却不知道木马程序已经在后台悄悄运行了，这种捆绑式的植入木马方式会引诱被攻击者安装木马，而且当被攻击者发现木马的存在而重装系统后，只要木马还存在于被攻击计算机的硬盘中时，该木马会依然存在，就可能使被攻击计算机再次中木马，令人防不胜防。 （3）修改图标 修改图标也是木马客户端迷惑被攻击者的重要手段，攻击者常常把木马程序故意伪装成了各种网页或者图片等图标，例如xx.html等。用户往往误认为这些程序对系统是无害的，因此容易诱使被攻击者打开这些被伪装的程序将木马执行起来。 （4）冒充图片文件 在网络上利用网络通信软件进行通讯时，有时候会接收到来自陌生人的发送照片请求，其实这些照片并不是真正的照片，而是木马程序。因为我们都知道，图像文件的扩展名更本不可能是.exe，而木马程序的扩展名必须是.exe，这样的文件名一眼就会看出有问题，所以是行不通的，所以攻击者就从文件的文件名中下手，在.exe的后缀名中添加.jpg的前缀名，而由于Windows操作系统默认是不显示文件的后缀名的，所以被攻击者看见的文件将是xx.jpg，就误以为是真正的照片文件而打开，从而受到攻击。这种伪装方式利用了人们平时的一些疏忽，因此，在接收文件时一定要注意检查文件的扩展名。 （5）把木马伪装成文件夹 这种方法就是攻击者将木马程序的图标伪装成文件夹的样式，然后放在一个文件夹中，在这个文件夹外面再套上几个文件夹，由于许多人都有连续双击的习惯，当被攻击者点到伪装文件夹的木马时，也会因为平时的习惯问题而继续点击下去，最终点击到木马上将其运行。当你点到这一类的伪装木马时，你认为那只是一个普通的文件夹而去打开的话你就大错特错了，因为它是一个不折不扣的伪装木马文件。 （6）利用WinRaR制作自释放文件 这种伪装方法是将木马的服务端程序与WinRaR文件捆绑在一起，将其制作成自释放文件，这种方法隐蔽性极高，即便是最新的杀毒软件也很难发现。识别的方法是对经过WinRaR捆绑的木马文件用鼠标右键单击，在弹出的快捷菜单中选择“属性”命令，在弹出的“属性”对话框中，会出现两个标签“档案文件”和“注释”，这就是木马文件的特征。 （7）伪装成应用程序扩展组件 攻击者会用自己编写的木马dll文件替换已知的系统dll文件，替换了之后，在一些事先约定好的情况下，dll文件会执行一些相对应的操作，如启动一个进程。虽然所有的操作都在dll文件中完成会更加隐蔽，但实际上这样的木马大多数只使用dll文件进行监听，一旦发现攻击者方面的连接请求就自动激活自身，启动一个捆绑端口的进程进行正常的木马操作。操作结束后关闭进程，继续潜伏。目前，也有不少木马程序采用这种内核插入式的嵌入方法，实现木马程序的隐藏，还能达到很高的隐藏效果。 （8）出错提示 一些制作木马的攻击者意识到，如果被攻击用户打开一个文件而没有任何反应，那么被攻击者就很可能怀疑当前打开的程序就是一个木马程序文件。所以为了消除被攻击者的顾虑，一些木马程序会故意显示一些错误的提示。当被攻击者打开木马程序时，往往会弹出一个错误的提示框，而且错误的内容可以自定义，大多数会支撑一些如“文件已破坏，请检查后打开。”之类的提示，然而被攻击者就信以为真而没有察觉当中的异样，此时的木马程序就如攻击者所料乖乖地在被攻击计算机的后台中运行着。2.4 病毒攻击技术2.4.1 计算机病毒的定义 计算机病毒在中华人民共和国计算机信息系统安全保护条例中的定义为：计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 病毒攻击技术主要是基于系统漏洞的攻击技术和社会工程学攻击技术的综合应用，通常攻击者会利用社会工程学将病毒程序绕过安全防御体系引入到目标计算机当中去。在进入目标计算机内部之后，病毒程序自身在提供攻击者进行访问和攻击的通道的同时，还不断地利用掌握的系统漏洞和应用漏洞在目标计算机在内的网络内部进行广泛散播。由于病毒有很强的自我保护和复制能力，因此借助于目标计算机在内的内部网络环境，可以迅速感染目标计算机在内的内部网络中其他的计算机