計算機網絡攻防技術的分析與研究

• • @[TOC](計算機網絡攻防技術的分析與研究
  • 計算機網絡攻防技術的分析與研究
  • • • • 張濟源
  • （長春大學 計算機科學技術學院 長春 130000）
  • Analysis and Research on Attack and Defense Technology of Computer Network
  • ZHANG Jiyuan
  • (College of Computer Science and Technology, Changchun University, Changchun 130000)
  • 0 引言
  • 1 Windows系統漏洞攻防
  • 1.1 Windows XP系統常見漏洞
  • 1.2 Windows 7系統常見漏洞
  • 1.3 PRC服務遠程漏洞入侵及防御實戰
  • 此外，如果計算機存在一個高危漏洞，總是修復不了，應該怎么操作？
  • 2 木馬攻防
  • 2.1木馬的發展演變
  • 2.2常見的木馬偽裝的方式
  • 3 病毒攻防
  • 3.1計算機病毒的特點：
  • 3.2 病毒的工作流程
  • 3.3 計算機中病毒后的表現
  • 3.4 VBS腳本病毒
  • 3.4.1 VBS腳本病毒的特點
  • 3.4.2 VBS病毒的弱點
  • 3.4.3 常見的VBS腳本病毒傳播的方式
  • 3.4.4 VBS腳本生成機
  • 3.4.5 如何防范VBS腳本病毒
  • 3.4.6 病毒的分類
  • 3.4.7 防止U盤中病毒？中毒后怎么處理？
  • 4 后門攻防
  • 4.1 后門技術的發展歷程
  • 4.2 后門的不同類別
  • 4.3 檢測系統中的后門程序
  • 4.4 快速檢測計算機中是否存在后門程序
  • 5 智能手機病毒與木馬攻防
  • 5.1 手機木馬分類
  • 5.2 手機木馬攻擊的原理
  • 5.3 常見的手機病毒
  • 5.3.1 短信病毒
  • 5.3.2 釣魚王病毒
  • 5.3.3 手機骷髏病毒
  • 5.3.4 同花順大盜
  • 5.3.5 卡比爾病毒
  • 6 結語
  • 7 參考文獻

計算機網絡攻防技術的分析與研究

張濟源

（長春大學 計算機科學技術學院 長春 130000）

摘要：本文主要介紹Windows系統漏洞攻防、木馬攻防、病毒攻防、后門攻防、智能手機病毒與木馬攻防，會從安全威脅產生的原因、特點、分類以及中病毒后的表現進行介紹，會介紹各種攻擊防御的方法。
關鍵詞：攻防；病毒；木馬；漏洞；后門；智能手機病毒與木馬

Analysis and Research on Attack and Defense Technology of Computer Network

ZHANG Jiyuan

(College of Computer Science and Technology, Changchun University, Changchun 130000)

Abstract:This article mainly introduces Windows system vulnerability attack and defense, Trojan attack and defense, virus attack and defense, backdoor attack and defense, smart phone virus and Trojan attack and defense, will introduce the causes, characteristics, classification and performance of the virus after the security threat, will introduce various The method of attack defense.

Keywords:Attack and Defense; Virus; Trojan; Vulnerability; Backdoor; Smartphone virus and Trojan

0 引言

在信息化飛速發展的今天，計算機網絡得到了廣泛的應用但隨著網絡之間信息傳輸的急劇增長，一些機構部門在得益于網絡加快業務運作的同時，其上網的數據也遭到了不同程度的攻擊和破壞。在當前的Internet 上有一批熟諳網絡技術的人，其中不乏網絡天才，他們只是經常利用網絡上現存的漏洞，想法設法進入他人的計算機網絡系統，探究他人的隱私等但并不會對他人的計算機造成危害。許多網絡系統都存在著這樣的漏洞，也有可能是系統本身所有的，也有可能是由于網關的疏忽而造成的的，黑客利用這些漏洞就能完成密碼探測、系統入侵等攻擊。對于系統本身的漏洞，可以安裝軟件補丁；另外網管也需要仔細工作，盡量避免因疏忽而使目的郵箱被撐爆而無法使用。攻擊者不僅可以竊聽網絡上信息，竊聽用戶口令、數據庫的信息；還可以篡改數據庫內容，偽造用戶身份，否認自己的簽名。更有甚者，他們刪除數據庫的內容，摧毀網絡節點，釋放計算機病毒等等，這些都使數據的安全性和自身的利益受到了嚴重的威脅。
隨著我國互聯網行業的飛速發展，木馬、后門、病毒等計算機惡意程序也越來越成為廣大計算機用戶面臨的最大網絡危害。網絡安全防護形勢嚴峻木馬問題引發社會關注。

1 Windows系統漏洞攻防

漏洞是硬件、軟件、協議的具體實現或系統安全策略上存在缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。這個缺陷或錯誤將可能被不法者或黑客利用，通過植入木馬、病毒等方式攻擊或控制整個計算機，從而竊取計算機中的重要性資料和信息，甚至破壞系統。
計算機系統漏洞的產生大致有三個原因：（1）程序邏輯結構設計不合理，不嚴謹；（2）程序設計錯誤漏洞；（3）硬件限制。
在這里主要介紹Windows XP系統常見漏洞和Windows 7系統常見漏洞，Windows XP 系統常見的漏洞有UPNP服務漏洞、升級程序漏洞、幫助和支持中心漏洞、壓縮文件夾漏洞、服務拒絕漏洞、Windows Media Player漏洞、RDP漏洞、熱鍵漏洞、賬號快速切換漏洞等。而Windows 7系統常見的漏洞就比Windows XP的漏洞少很多了，主要有快捷方式漏洞、SMB協議漏洞。

1.1 Windows XP系統常見漏洞

（1）UPNP服務漏洞
漏洞描述：允許攻擊者執行任意指令。
防御策略：禁用UPNP服務之后，下載并安裝對應的補丁程序。
（2）升級程序漏洞
漏洞描述：如將Windows XP 升級至Windows Prp,IE會重新安裝，以前的補丁程序將會被全部清除。
防御策略：如IE瀏覽器未下載升級補丁可至微軟網站下載最新的補丁程序。
（3）幫助和支持中心漏洞
漏洞描述：刪除用戶系統文件
防御策略：安裝Windows XP的Service Pack 3。
（4）壓縮文件夾漏洞
漏洞描述：Windows XP壓縮文件夾可按攻擊者的選擇運行代碼。
防御策略：不接收不信任的郵件附件，也不下載不信任的文件。
（5）服務拒絕漏洞
漏洞描述：服務拒絕
防御策略：關閉PPTP服務
（6）Windows Media Player漏洞
漏洞描述：可能導致用戶信息的泄露；腳本的調用；緩存路徑泄露
（7）RDP漏洞
漏洞描述：信息泄露并拒絕服務
防御策略：Windows XP默認并啟動它的遠程桌面服務。即使遠程桌面服務啟動，只需要在防火墻中屏蔽3389端口，就可以避免該攻擊了。
（8）VM漏洞
漏洞描述：可能會造成信息泄露，并執行攻擊者代碼
防御策略：經常進行相關軟件的安全更新。
（9）熱鍵漏洞：
漏洞描述：設置熱鍵后，由于Windows XP的自注銷功能，可使系統“假注銷”，其他用戶即可通過熱鍵調用程序。
防御策略：
①由于該漏洞被利用的前提為熱鍵所用，因此需檢查可能會帶來危害的程序和服務的熱鍵。
②啟動屏幕保護程序，并設置密碼
③在離開計算機時鎖定計算機
（10）賬號快速切換漏洞
漏洞描述：Windows XP快速賬號切換功能存在問題，可造成賬號鎖定，使所有非管理員賬號均無法登錄。
防御策略：被鎖定后可注銷計算機，重新進入賬號。
（10）代碼文件自動升級漏洞
漏洞描述：該漏洞可攻擊任何一臺提供PPTP服務的服務器，對于PPTP服務客戶端的工作站，攻擊者只需激活PPTP會話，即可進行攻擊。對任何遭到攻擊系統，可通過重啟來恢復正常的操作。
防御策略：建議不默認啟動PPTP。

1.2 Windows 7系統常見漏洞

（1）快捷方式漏洞
漏洞描述：快捷方式漏洞是Windows Shell框架中存在的一個危機安全漏洞，在Shell32.dll的解析過程中，會通過“快捷方式”的文件格式去逐個解析：首先找到快捷方式所指向的文件路徑，接著找到快捷方式依賴圖標的圖標資源。這樣，Windows桌面和開始菜單上就可以看到各種漂亮的圖標，我們點擊這些快捷方式時，就會執行相應的程序。
微軟lnk漏洞就是利用了系統解析的機制，攻擊者惡意構造一個特殊的lnk(快捷方式)文件，精心構造一串程序代碼來騙過操作系統。當Shell32.dll解析到這串編碼的時候，會認為這個“快捷方式”依賴一個系統控件（dll文件），于是將這個“系統控件”加載到內存中執行。如果這個“系統控件”是病毒，那么Windows在解析這個lnk(快捷方式)時，就把病毒激活了。該病毒很可能通過USB存儲器進行進行傳播。
防御策略：禁用USB存儲器的自動運行功能，并且手動檢查USB存儲器的根文件夾。
（2）SMB協議漏洞
漏洞描述：SMB協議只要是作為Microsoft網絡的網絡通信協議。用于在計算機間共享文件、打印機、串口等。當用戶執行SMB2協議時，系統將會受到網絡攻擊，從而導致系統崩潰或重啟。因此只要故意發送一個錯取得網絡協議請求，Windows 7系統就會頁面錯誤，導致藍屏會死機。
防御策略：關閉SMB服務。

1.3 PRC服務遠程漏洞入侵及防御實戰

DcomRpc漏洞往往是利用溢出工具來完成入侵，其實“溢出”在一定程度上也可以看成系統內的“間諜”，它對黑客們的入侵一呼即應，一應即將所有的權限拱手讓人。所以需認識DcomRpc漏洞入侵手段，以便更好地做好計算機的安全防護。
Rpc服務作為操作系統中一個重要服務，其描述為“提供終結點映射程序及其他RPC服務”，系統大多數功能和服務都依賴于它。目前已知的DcomRpc接口漏洞有MS03-026(DocRpc接口堆棧緩沖區溢出漏洞)、MS03-039（堆棧出漏洞）和一個RPC包長度域造成的漏洞和另外幾個拒絕服務漏洞。
要利用這個漏洞，可以發送畸形請求給遠程服務器監聽的特定DcoRpc漏洞溢出攻擊前，用戶需下載DcoRpc.xpn作為X-scan插件，復制到X-scan所在文件夾的Plugin文件夾中，擴展X-scan的掃描DcoRPc漏洞的功能，也可下載RpcDcom.exe專用DcomRPC漏洞掃描工具，掃描具有DcoRPC漏洞的目標主機，使用網上諸多的DcoRPC溢出工具進行攻擊。
RPC服務遠程漏洞入侵具體的操作方法如下：
（1）運行X-scan掃描工具，選擇“設置”-“掃描參數”菜單項，即可彈出“掃描參數”對話框。選擇“全局設置”-“掃描模塊”選項，即可看到增加的“DcoRPC溢出漏洞”模塊。
（2）在使用X-Scan掃描到具有DcoRpc接口漏洞的主機時，可以看到在X-Scan中有明顯的提示信息。如果使用RpcDcom.exe專用DcomRPC溢出漏洞掃描工具，則可先打開“命令提示符”窗口，進入RpcDcom.exe所在文件夾，執行“RpcDcom-d IP 地址”命令后，開始掃描并看到最終的掃描結果。
如果操作成功，則執行溢出操作將立即得到了被入侵主機的系統管理員權限了。
RPC服務遠程漏洞防御具體的操作方法如下：
（1）打好補丁
盡可能的在服務廠商的網站中下載補丁；打補丁的時候務必注意相應的系統版本。
（2）封鎖135端口
135端口非常的危險，但是卻難以了解其用途無法實際感受到其危險性的代表性端口之一，該工具是由提供安全相關技術信息和工具類軟件的“SecurityFriday.com”公司提供的。以簡單明了的形式驗證了135端口的危險性，不過，由于該工具的特征代碼追加到了病毒定義庫文件中。如果在安裝了該公司的病毒掃描軟件中的計算機中安裝了IE,EN,就有可能將其視為病毒。
（3）關閉RPC服務
關閉RPC服務也是防范DcomRPC漏洞攻擊的方法之一，而且效果非常的徹底。具體方法方法為：選擇“開始”-“設置”-“控制面板”-“管理工具”菜單項，即可打開“管理工具”窗口。雙擊“服務”圖標，即可打開“服務”窗口。雙擊打開“Remote Procedure Call”屬性窗口，在屬性窗口中將啟動類型設置為“已禁用”，這樣自下次啟動開始RPC就將不再啟動。要想將設置為有效，需在注冊表編輯器中將“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlServices\RpcSs”的“Start”的值由0x04變成0x02后，重新啟動計算機即可。
但進行這種設置后，將會給Windows運行帶來很大影響，這是因為Windows的很多服務都依賴RPC,而這些服務在將RPC設置為無效后將無法正常啟動。由于這樣做弊端非常大，因此一般來說，不能關閉RPC服務。
（4）手動為計算機啟用（或禁用）DCOM
以Windows 7為例，在“運行”中輸入Dcomcnfg,單擊“確定”按鈕。依次選擇“控制臺節點”，“組件服務”，“計算機”，“我的電腦”選項找到屬性，選擇“默認屬性”選項卡，取消勾選“在此計算機上啟用分布式COM”復選框，單擊“確定”。依次選擇“計算機”-“新建”-“計算機”選項。

此外，如果計算機存在一個高危漏洞，總是修復不了，應該怎么操作？

計算機體檢高風險但是不能完成修復主要是因為檢測項異?；蜿P聯錯誤導致的，首先從軟件環境入手，之后針對系統環境進行更新，漏洞修復以及殺毒等操作，一些項可能牽扯到系統環境，有可能軟件誤報，若確定操作后依舊，可添加信任嘗試。把殺毒軟件和安全衛士卸載后重新一遍，建議使用金山衛士或是360安全衛士等，然后再修復漏洞。如果用戶的系統安裝時間很久了，重裝系統也是解決問題的方式。

2 木馬攻防

如今網絡世界中，木馬帶來的安全問題已經遠遠超過病毒，他們如幽靈般的滲入到計算機中，已成為監控，竊取和破壞我們信息安全的頭號殺手。一直以來，由于公眾對木馬知之甚少，才使得木馬有機可乘，只有將木馬的使用伎倆公之于眾才能橫好的保護我們的信息財富。以下主要介紹了木馬攻擊的技巧，其中包括木馬的偽裝手段、捆綁木馬及木馬清除工具的使用等，可有效幫助用戶避免自己的計算機中木馬，從而就可以保護計算機的安全。
木馬在計算機領域中指的是一種后門程序，是黑客用來盜取其他用戶的個人信息，與病毒相似，木馬程序有很強的隱秘性，他會隨著操作系統啟動而啟動。工作原理：一個完整的木馬程序包括兩部分：服務端（服務器部分）和客戶端（控制器部分）。植入對方計算機的是服務端，而黑客正是利用客戶端進入運行了服務端的計算機，運行了木馬程序的服務端以后，會產生一個有著容易迷惑用戶的名稱的進程，暗中打開端口，向指定地點發送數據（如網絡游戲的密碼，實時通信軟件密碼和用戶上網密碼等），黑客甚至可以利用這些打開的端口進入計算機系統。

2.1木馬的發展演變

第一代：是最原始的木馬程序。主要是密碼的竊取，通過電子郵件發送信息等具備木馬最基本的功能。
第二代：冰河木馬。技術上有了進步。
第三代：ICMP木馬。主要改進在數據傳遞技術，利用畸形報文傳遞數據，增加了殺毒軟件查殺識別的難度。
第四代：DLL木馬。采用內核插入式的嵌入式方式，利用遠程插入線程技術，嵌入DLL線程。或者是掛接PSAPI，實現木馬程序的隱藏，甚至是在Windows NT/2000下，都達到了良好的隱藏效果，灰鴿子和蜜蜂大盜是比較出名的DLL木馬。
第五代：驅動級木馬。使用了大量的Rootkit技術來達到深層隱藏的效果，并深入內核空間，感染后針對殺毒軟件和網絡防火墻進行攻擊，可將系統SSDT初始化，導致殺毒防火墻失去效應。有的驅動級木馬可駐留BIOS,并且很難查殺。
第六代：黏蟲技術類型和特殊反顯技術類型木馬。前者主要是以盜取和篡改用戶敏感信息為主，后者以動態口令和硬證書攻擊為主，PassCopy和暗黑蜘蛛俠是這類木馬的代表。
一個完整的木馬有硬件部分和軟件部分和具體連接部分組成。
常見的木馬只要可以分為以下9類
（1）破壞性。這類木馬主要功能就是破壞并且刪除文件，能夠自動刪除目標主機上的DLL、INI、EXE文件
（2）密碼發送性。因為Windows提供密碼記憶功能，這類木馬恰好就是利用這一點獲取目標機的密碼，他們會在重新啟動Windows時重新運行，而且多使用25號端口發送E-mail。
（3）遠程訪問型。可以遠程訪問被攻擊者的硬盤只用運行了服務端程序，客戶端通過掃描等手段就會知道服務端的IP地址，就可以實現遠程控制了。遠程訪問型木馬會在目標上打開一個端口，而且有些木馬還可以改變端口，設置連接密碼等，為的是能夠讓黑客自己控制這個木馬。只有改變了大家都熟知的端口，才更具有隱蔽性。
（4）鍵盤記錄型木馬。隨著Windows的啟動而啟動，會記錄受害者的鍵盤敲擊并且在日志文件中查找密碼，他們會有在線和離線的記錄選項，科技分別記錄用戶在線和離線狀態下的按鍵情況，黑客會從記錄中知道密碼等有用的信息，甚至是信用卡賬號密碼等。而且這種類型的木馬很多具有郵件發送功能，會自動將密碼發送到黑客的指定郵箱。
（5）Dos攻擊木馬。有一種類似Dos的木馬叫做郵件炸彈木馬，一旦機器被感染，木馬就會隨機生成各種各樣的主題信件，對它定的郵箱不同的發送郵件，一直到對方癱瘓、不能接收郵件為止。
（6）FTP木馬。最古老的木馬，現在新FTP木馬還加上了密碼保護功能，這樣，只有攻擊者本人才知道正確的密碼，從而進入對方的計算機。
（7）反彈端口型木馬。與一般的木馬相反，反彈端口型木馬的服務端（被控制端）使用主動端口，客戶端（控制端）使用被動端口。木馬定時監測控制端的存在，發現控制端上線立即彈出端口主動連接控制端打開的被動端口；控制端口一般在80。
（8）代理木馬。黑客會給“肉雞”種上代理木馬，通過代理木馬，攻擊者可以再匿名的情況下使用Telnet、ICQ、IRC等程序，從而隱蔽自己的蹤跡。
（9）程序殺手木馬。要在對方的計算機上發揮木馬的作用，還要提防防木馬軟件才行，常見的防木馬軟件有ZoneAlarm、Norton Amti-Virus等。程序殺手木馬就是關閉對方計算機上的這種程序，讓其他的木馬更好地發揮作用。

2.2常見的木馬偽裝的方式

（1）修改圖標
現在已經有木馬可以將木馬服務端程序的圖標改成HTML、TXT、ZIP等各種文件的圖標，但是提供這種功能的木馬還是很少見的，偽裝也很容易識破。
（2）捆綁軟件
這種偽裝手段一般會把木馬捆綁在安裝程序上，當安裝程序運行時，木馬進入系統，被捆綁的文件一般都是可執行文件（exe,com一類的文件）。本人機器最近就遭受了這種木馬的襲擊，真的是深受其傷害。該木馬偽裝成騰訊電腦管家中的exe文件，每次開機啟動就會修改IE主頁，還會進行網頁
（3）出錯顯示
當用戶打開文件卻沒有任何反應，就很可能是一個木馬程序。為了讓用戶更難以察覺，設計者就專門為木馬提供一個出錯顯示功能，用戶打開服務端程序時會彈出“文件已破壞，無法打開”。
（4）把木馬偽裝成文件夾
把木馬文件偽裝成文件夾圖標后，放在一個文件夾中，然后在外面在套三四個空文件夾，很多人出于連續點擊的習慣，點到那個偽裝成文件夾的木馬時，也會點下去，這樣木馬就成功運行了，識別方法：不要隱藏系統中已知文件類型的擴展名稱即可。
（5）自我銷毀
自我銷毀是指安裝完木馬后，源木馬文件自動銷毀，這樣服務端用戶就
（6）木馬更名
有的木馬把名稱改為“windows.exe”,還有的就是更改一些后綴名，如把dll改為數字“11”而非此處的英文字母“ll”。
（7）冒充圖片文件
將圖片偽裝成圖像文件，如照片等，只要入侵者扮成美女及更改服務端口程序的文件名為“類似”圖像文件的名稱，再假裝傳送圖片給受害者，受害者就會立刻執行它。
在這里簡單介紹一下EXE捆綁機和自解壓捆綁木馬。
黑客主要利用捆綁技術將一個正常的可執行文件和木馬捆綁在一起。一旦用戶運行這個包含有木馬的可執行文件，就可以通過木馬控制或攻擊用戶的計算機，EXE捆綁機可以將兩個執行文件（EXE文件）捆綁成一個文件，運行捆綁文件等于同時運行了兩個文件。它會自動更改圖標，使捆綁后的文件與捆綁前的文件圖標一樣。在執行過程中最好將第一個可執行文件選擇為正常的可執行文件，第二個可執行文件選擇為木馬文件，這樣捆綁后的文件圖標會與正常的可執行文件的圖標相同。
隨著人們安全意識的提高，木馬、硬盤炸彈等程序的生存越來越成為問題，于是有些人就利用WinRAR自解壓程序捆綁惡意程序。利用WinRAR制作的自解壓文件，不僅可以用來隱蔽的加載木馬服務端程序，還可以用來修改運行者注冊表鍵值。還可以把這個自解壓文件和木馬服務端程序或硬盤炸彈用WinRAR捆綁在一起，然后制成自解壓文件，不僅能破壞注冊表，還會破壞大家的硬盤數據。
為了使得木馬程序難以被各種殺毒軟件查殺，就促使了各種加殼工具與脫殼工具的使用，加殼就是將一個可知性程序中的各種資源，包括EXE、DLL等文件進行壓縮，壓縮后的可執行文件依然可以正常運行，運行前先在內存中將各種資源壓縮，再調入資源執行程序。加殼后的文件變小，代碼也發生了變化，從而避免了被木馬查殺軟件掃描出來并查殺，加殼后的文件也可通過專門的軟件查看是否加殼成功。而脫殼就是去掉木馬外面的殼，脫殼后的木馬很容易被殺毒軟件掃描并查殺。
ASPack是專門對WIN32可執行程序進行壓縮的工具，壓縮后程序能正常運行，即使已經將ASPack從系統中刪除，曾經壓縮過的文件仍可以正常使用。
木馬加殼過后可以躲過很多殺毒軟件的查殺，但是還會有一些特別強的殺毒軟件仍可以查殺出加過一次殼的木馬，所以只有進行多次加殼才能保證不被軟件的查殺。北斗程序壓縮文件（NsPack）多次加殼工具，是一款擁有自主知識產權的壓縮文件，是一個exe/dll/ocx/scr等32位，64位可運行文件的壓縮器，壓縮后的文件會減少程序的加載和下載時間。
有當量的木馬程序需要進行壓縮加殼時，可以使用“北斗程序壓縮”的“目錄”壓縮功能，進行批量壓縮加殼。經過“北斗程序壓縮”加殼的木馬程序，可以使用ASPack等加殼工具進行再次加殼，這樣就有了兩層殼的保護。
PE-Scan是一個類似FileInfo和PE iDentifier的工具，可以很方便的檢測出軟件到底加的是什么殼，給漢化/脫殼/破解帶來了極大的便利。PE-Scan還可以檢測出一些殼的入口點（OEP）,方便你手動脫殼，它對加殼軟件的識別能力完全超過FileInfo和PE iDentifiter，它能識別出當今流行的絕大多數殼的類型，內建脫殼器，目前支持脫去ASPack、PECompact 0.90和0.92版本加的殼；具備高級掃描器；具備重建脫殼后的文件資源表功能。
在查出來木馬的加殼程序之后，就需要找到原加殼程序進行脫殼，上述木馬使用ASPack進行加殼，所以需要使用ASPack的脫殼工具UnASPack進行脫殼。一定要注意使用UnASPack進行脫殼時注意，UnASPack的版本要與加殼時的加殼時的ASPack一致，才能夠成功為木馬脫殼。
木馬清除專家是專業防殺木馬的軟件，針對當前的流行木馬病毒特別有效，可徹底查殺各種流行的QQ盜號木馬、網游盜號木馬、沖擊波、灰鴿子、黑客后門等上萬種木馬間諜程序，是計算機不可或缺的堅固堡壘。軟件除了采用傳統的病毒庫查殺木馬外，還能智能查殺未知變種木馬，自動監控內存可以程序，實時查殺內存硬盤木馬，采用第二代木馬掃描內核，查殺木馬快速。軟件本身還集成了IE修復、惡意網站攔截系統文件修復、硬盤掃描功能、系統進程管理和啟動項目管理等。
具體操作步驟如下：
（1）安裝時，最好安裝在默認的目錄下，安裝完畢之后就可以進行體驗了。

（2）第一次使用先點擊“更新”按鈕對病毒庫進行更新。

（3）更新完成后進入木馬清道夫主頁面，單擊“掃描進程”按鈕。

（4）單擊“掃描”，按鈕對系統進行掃描。查看掃描結果，沒有掃描到木馬，單擊“確定”按鈕返回主頁面，如果掃描到了木馬，則選中該文件后單擊“清除”按鈕，即可將其刪除。

（5）選擇掃描硬盤，在彈出的快捷菜單中單擊“高速掃描硬盤”。掃描結束后可對掃描出的木馬進行清除或隔離操作。

（6）接下來就可以掃描注冊表了，查看掃描結果，單擊“修復”，修復掃描到的問題。

（7）單擊漏洞掃描，但是此功能只支持32位系統。

（8）此后還可以進行可以模塊的探測，將可疑模塊上報。

（9）還可以切換到專業版本，進行木馬監控，內存監控掃描，查看掃描到的結果，如果掃描到了木馬，可以進行清除隔離全部。

3 病毒攻防

計算機病毒在《中華人民共和國計算機信息系統安全保護條例》中被明確定義，是指“編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或程序代碼”。

3.1計算機病毒的特點：

（1）寄生性。計算機病毒寄生在其他程序之中，當執行這個程序時，病毒就起破壞作用。
（2）傳染性。病毒程序代碼一旦進入計算機并被執行，就會自動搜尋其他符合其傳染條件的程序或存儲介質，確定目標后再將自身代碼插入其中，實現自我繁殖。
（3）潛伏性。一個編制精巧的計算機病毒程序，進入系統后一般不會馬上發作，可以在一段時間內隱藏在合法文件中，對其他系統進行感染，而不被人發現。
（4）可觸發性。可觸發性是指某個事件或數值的出現，誘使病毒實施感染或進行攻擊的特性。
（5）破壞性。病毒等到條件成熟后，便會發作，給系統帶來嚴重的破壞。
（6）主動性。病毒的攻擊是主動的，計算機系統無論采取多么嚴密的保護措施，都不可能徹底排除病毒對系統的攻擊，而保護措施只是一種預防的手段。
（7）針對性。計算機病毒是針對特定的計算機和特定的操作系統的。

3.2 病毒的工作流程

（1）傳染源。病毒總是依附于某些存儲介質，如軟盤、硬盤等構成傳染源。
（2）傳染媒介。病毒傳染的媒介是由其工作的環境來決定，可能是計算機網絡，也可能是可移動的存儲介質，如U盤等。
（3）病毒激活。是指將病毒裝入內存，并設置觸發條件。一旦觸發條件成熟，病毒就開始自我復制到傳染對象中，進行各種破壞活動等。
（4）病毒觸發。觸發的條件多種多樣，可能是內部鬧鐘，系統的日期，用戶標識符，也可能是系統一次通信等。
（5）病毒表現。表現是病毒的主要目的之一。有時在屏幕上顯示出來，有時則表現為破壞系統數據。
（6）病毒傳染。病毒傳染的第一步是駐留內存；一旦進入內存之后，尋找傳染機會，尋找可攻擊對象，判斷條件是否滿足，決心是否可以傳染；當條件滿足時進行傳染，將病毒寫入磁盤系統。

3.3 計算機中病毒后的表現

計算機中病毒通常有以下幾種癥狀。
（1）計算機操作系統運行速度減慢或經常死機
（2）系統無法啟動
（3）文件打不開或被更改圖標
（4）提示硬盤空間不足
（5）文件目錄發生混亂

3.4 VBS腳本病毒

VBS腳本病毒一般是直接通過自我復制來感染文件的，病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間。

3.4.1 VBS腳本病毒的特點

（1）編寫簡單。
（2）感染力大。
（3）破壞力大。
（4）傳播范圍大。
（5）病毒源碼容易被獲取，變種多。
（6）欺騙性強。
（7）使得病毒生產機實現起來非常容易。

3.4.2 VBS病毒的弱點

（1）絕大部分VBS腳本病毒運行時需要用到一個對象：FileSystemObject，具有局限性。
（2）VBScript代碼是通過Windows Script Host來解釋執行的。
（3）VBS腳本病毒的運行需要其關聯程序Wscript.exe的支持，缺少Wscript.exe該病毒就會無法運行，具有依賴型。
（4）通過網頁進行傳播的病毒需要ActiveX的支持。
（5）通過E-mail傳播的病毒需要OE的自動發送郵件功能支持，但是絕大部分病毒都是以E-mail為主要傳播方式的。

3.4.3 常見的VBS腳本病毒傳播的方式

（1）通過E-mail附件進行傳播
病毒可以通過各種方法得到合法的E-mail地址，最常見的就是直接獲取Outlook地址薄中的郵件地址，也可以通過程序在用戶文檔中搜索E-mail地址。
（3）通過局域網共享傳播
局域網共享傳播也是一種非常普遍并且有效的網絡傳播方式，為了局域網交流的方便一定存在不少共享目錄，并且具有可寫權限，這樣病毒通過搜索這些共享目錄就可以將病毒代碼傳播代碼到這些目錄之中。
（4）通過感染htm、asp、jsp、php等網頁文件傳播
病毒通過感染htm等文件，采用了和絕大部分網頁惡意代碼相同的原理，這段代碼是病毒FSO、WSH等對象能夠在網頁運行的關鍵，并且勢必會導致所有訪問過該網頁的用戶計算機感染病毒。
（5）通過IRC聊天通道進行傳播
病毒也可以通過現在廣泛流行的KaZaA進行傳播。將病毒文件復制到KaZaA的默認目錄中，這樣，當其他用戶訪問這臺計算機時，就有可能下載該病毒文件并執行。這種傳播方法可能會隨著KaZaA這種點對點共享工具的流行而發生作用。

3.4.4 VBS腳本生成機

“VBS腳本病毒生成機”是一個傻瓜式的VBS病毒制造程序，程序向用戶提供各項選擇，自動產生需要的VBS腳本病毒。即使沒有一點編程知識也可以制造出來一個VBS腳本病毒。病毒生成之后，可以使用修改文件名，使用雙后綴的文件名，如“病毒.txt.vbs”等，然后通過郵件發送出去。在使用此軟件制造生成病毒的同時，會產生一個名為“reset.vbs”的恢復文件，如果不小心運行了病毒，系統不能正常工作，則可以運行它來解決。

3.4.5 如何防范VBS腳本病毒

防范VBS腳本病毒措施如下:
（1）禁用文件系統對象FileSystemObject。
（2）卸載Windows Scripting Host。
（3）在Windows目錄中，找到WScript.exe，將其更改名稱或者刪除，如果以后要用到，最好更改名稱。
（4）要徹底防治蠕蟲病毒，還需要設置一下瀏覽器。
（5）禁止OE的自動收發郵件功能。
（6）由于蠕蟲病毒大多數利用文件擴展名做文章，所以要防范它就不要隱藏系統中已知文件類型的擴展名。Windows默認的是“隱藏已知文件類型的擴展名稱”，將其修改為顯示所有文件類型的擴展名稱。
（7）刪除VBS、VBE、JS、JSE文件后綴名與應用程序的映射
（8）將系統的網絡連接的安全級別至少設置為“中等”，它可以在一定程度上預防某些有害的Java程序或者是某些ActiveX組件對計算機的侵害。
（9）殺毒軟件的使用

3.4.6 病毒的分類

根據病毒存在的媒體，媒體可以分為網絡病毒、文件病毒、和引導型病毒。網絡病毒通過計算機網絡傳播感染網絡中的可執行文件；文件并蘇感染計算機中的文件，如COM、EXE、DOC等；引導型病毒感染啟動扇區（Boot）和硬盤的系統引導扇區（MBR）,還有這三種情況的混合型，如多型病毒（文件和引導型）感染文件和引導扇區兩種目標，這樣的病毒通常都具有復雜的算法，他們使用非常規的方法侵入系統，同時使用了加密和變形算法。
根據病毒傳染的方式可分為駐留型病毒和非駐留型病毒，駐留型病毒感染計算機后，把自身的內存駐留部分放在內純種，這一部分程序掛接系統調用并合并到操作系統中去，它處于激活狀態，一直到關機或重新啟動；非駐留型病毒在得到機會激活時并不感染計算機內存，一些病毒在內存中留有小部分，但是并不通過這一部分進行傳染，這類病毒也被劃分為非駐留型病毒。

3.4.7 防止U盤中病毒？中毒后怎么處理？

為了防止U盤中毒，每次插入U盤的時候，按住“shift”鍵，它就不會自動打開，打開U盤的時候不要雙擊，要右擊打開，因為有時候中毒了會出現量噶打開，雙擊打開就是默認了第一個打開，那么就會中毒。
如果中了毒也不要擔心，單擊“工具”中的“文件夾選項”命令，再在里面單擊查看，把“顯示隱藏的文件、文件夾和驅動器”單選按鈕選中，再回到你的U盤，把你的文件夾后面是.exe的全部刪掉，如果中毒太深，連U盤都打不開，就在U盤還插在計算機上時重啟計算機，重啟計算機，重啟計算機時按“F8”間進入安全模式，之后就按照計算機上的提示操作，這種方法可以殺掉包括計算機在內的計算機上的所有病毒。

4 后門攻防

4.1 后門技術的發展歷程

（1）功能上的發展
最原始的后門只有一個cmdshell功能，如列表進行，結束進程等。在winshell之后的后門在功能上已經趨于完善，擁有開啟遠程終端、克隆用戶等功能，甚至有些后門就具有替換桌面的功能。
（2）隱藏性上的發展
后門程序的隱蔽性一般體現在自啟動、連接、進程等方面的隱蔽性。
①自啟動的隱蔽性
在啟動方面，最初是利用注冊表中的RUN項來實現的，但這種啟動方法在“系統配置實用程序”中很容易被發現，而且在沒有用戶登錄的情況下也可以啟動，這樣隱蔽性就提高了，現在又相繼出現ActiveX啟動、SVChost.exe加載啟動及感染系統文件啟動，還有API HOOK技術，可以實現在用戶模式下無進程、無啟動項、無文件啟動。
②連接上的隱藏性
在連接上，最初是正向連接后門，后門監聽一個端口，遠程計算機對其進行連接。只要查看端口和程序的對應關系就可以很容易發現后門，所以這種后門的隱蔽性是非常弱的。
③進程上的隱藏性
當遇到對進程進行過濾的防火墻時，反向連接后門需要用到遠程線程技術。在線程方面，應用最多的是遠程技術，先把后門寫成一個.dll文件，通過遠程線程函數注入其他進程，從而實現無進程。所以通過遠程插入線程可突破對進程進行過濾的防火墻。另外，還有其他隱藏方法，如利用原始套接字的嗅探后門等。

4.2 后門的不同類別

（1）網頁后門。一般是通過服務器上正常的Web服務器來構造自己的連接形式，國內的主流形式是想利用某種腳本樓棟上傳腳本后門，瀏覽服務器內安裝和程序，找到提升權限的突破口，進而得到服務器的系統權限。
（2）線程插入后門。這種后門在運行時沒有進程，所有網絡操作在其他應用程序的進程中完成，即使客戶端安裝的防火墻擁有“應用程序訪問權限功能”，也不能對這樣的后門進行有效的警告和攔截。
（3）擴展后門。擴展后門本身就集成了很多功能，從而可以方便的直接控制肉雞或服務器。這類后門非常受初學者的喜愛，通常集成了文件上傳、下載、系統用戶的檢測、HTTP訪問、終端安裝、端口開放、啟動/停止服務等功能。
（4）C/S后門。傳統的木馬程序通常使用C/S架構，C/S后門和傳統的木馬程序有類似的控制方法，即采用“客戶端/服務端”的控制方式，通過某種特定的訪問方式來啟動后門進而控制服務器等功能。
（5）RootKit。RootKit是黑客用來隱蔽自己的蹤跡額保留root訪問權限的工具，通常，攻擊者通過遠程攻擊獲得root訪問權限，進入系統后，攻擊者會在侵入的主機中安裝RootKit，再將經常通過RootKit的后門監察系統是否有其他用戶登錄哦，如果只有自己，攻擊者就會開始著手清理日志中的有關信息。如果存在其他用戶，則會通過RootKit的網絡嗅塘器獲得其他系統的用戶和密碼，攻擊者就會利用這些信息進入其他計算機。
（6）BootRoot。通過在Windows內核啟動過程中額外插入第三方代碼的技術項目-即為“BootRoot”。國外的eBye通過這種新的RootKit啟動技術-并賦予
這種無須依賴Windows內核啟動過程去加載自身代碼的技術及其衍生品-“BootRoot”,即“Boot RootKit”
我們可以使用不同的工具實現系統服務后門技術，像Instsrv、Srvinstw等工具，黑客在成功控制一臺計算機時，便可使用命令實現Guest賬戶的啟用與禁用，當輸入net user Guest/active:no時，就表示禁用Guest用戶，當輸入net user Guest/active:yes時，則表示啟用Guest賬戶。以下是查看了自己的Guest賬戶的具體信息，可見賬戶啟用為No。

接下來給大家介紹一個可以遠程克隆賬號權限的工具：CA.exe，其命令格式為：ca.exe\ip<賬號><密碼><克隆賬號><密碼>,其中各個參數的含義是：
①<賬號>：被克隆的賬號（擁有管理員的權限）
②<密碼>：被克隆賬號的密碼
③<克隆賬號>：克隆的賬號（該賬號在克隆前必須存在）。
④<密碼>：設置克隆賬號的密碼
例如：ca.exe\192.168.59.128 Adminstrator 123 Guest命令是指將目標計算機中密碼為123的Adminstrator賬戶權限克隆給Guest賬戶，即使得Guest擁有和Administrator一樣的管理員賬戶權限。

4.3 檢測系統中的后門程序

（1）簡單手工監測法
用AutoRuns檢查系統啟動項，觀察可疑啟動服務。可疑啟動程序路徑。如果已經中毒，一般是要檢查最近被修改過的文件，當然了，目前一些高級的webshell后門程序已經支持更改自身的創建修改時間來迷惑管理員了。
（3）擁有反向連接的后門檢測
這類后門程序一般會監聽某個指定的端口，要檢查這類后門需要用到DOS命令，在沒有打開任何網絡連接頁面和防火墻的情況下，輸入netstat -an監聽本地開放端口，看是否有本地IP 連接外網IP。
（4）無連接的系統后門
這類后門如shift、放大鏡、屏保后門，一般都是修改了系統文件，所以檢測這類后門的方法就是對照他們的MD5值。
（5）CA后門
CA克隆賬號這樣的后門建立以$為后綴的超級管理員在DOS下無法查看該用戶，用戶組管理也不顯示該用戶，手工檢查一般是在SAM里刪除該鍵值。沒有經驗的話，建議還是用工具刪除，CA有可能克隆的是Guest用戶，所以建議服務器最好把Guest設置為一個復雜的密碼。
（6）ICMP后門
這類后門罕見，如果要預防只有在默認的情況下Windows防火墻中設置只允許ICMP傳入的回顯請求。
（7）RootKit后門
BootRoot也是該后門的一種高級變種，為了抵御這類高級后門，國外也相繼出現了這類查殺工具，例如，荷蘭的反RootKit的工具Gmer,Rootkit Unhooker和RKU都可以檢測并刪除這些變種的RootKit。

4.4 快速檢測計算機中是否存在后門程序

（1）關閉系統中所有可能連接網路的程序，然后只登錄某個程序，打開命令提示符，輸入并執行“Netstat -an>C:\NET1.TXT”命令，將未運行木馬前的網絡連接狀態保存在C:\NET1.TXT之中，關閉程序。
（2）運行“后門”，配置并生成木馬程序。
（3）運行生成的QQ木馬程序后重新登錄程序。打開命令提示符，輸入執行“Netstat -an>C:\NET2.TXT”命令，將運行木馬程序后的網絡連接保存在C:\NET2.TXT中。
（4）比較NET1.TXT和NET2.TXT
我們會發現在NET2.TXT中多出了幾個網絡地址，而除了我們配置得到的木啊馬地址外，其他就是后門了。

5 智能手機病毒與木馬攻防

5.1 手機木馬分類

手機木馬有很多分類，且功能各有不相同，既可以單獨使用也可以幾種木馬同時使用，幾種木馬同時使用可以使木馬的功能更加強大。這里列舉幾種常見的手機木馬分類：
（1）遠程控制木馬：這類木馬的主要功能就是通過遠程主機控制用戶手機，其數量最多，危害最大，是木馬中功能最強的一種。它具有鍵盤記錄、數據記載和下載、下載系統功能，以及判斷系統信息等功能。并且會在“肉雞”上打開一個端口，以保證目標主機能夠被長久控制，這里“肉雞”指已經被黑客控制的用戶手機。
（2）破壞型木馬：其主要用途就是破壞已經成功控制手機的系統文件，以造成系統崩潰或者數據丟失故障。破壞型木馬的這一特點類似病毒。兩者的不同點在于破壞型木馬的激活不是受用戶控制，而是受攻擊者控制，傳播和感染能力低于病毒。
（3）鍵盤記錄木馬：這類木馬主要的就是記錄用戶的輸入，隨著用戶手機一起啟動。鍵盤記錄密碼就會記錄用戶在鍵盤上輸入的內容和順序，然后將鍵盤記錄發送到攻擊者的主機上。
（4）代理木馬：代理木馬就是攻擊者入侵遠程用戶手機時的一個跳板。攻擊者通過使用代理木馬可以隱藏攻擊的痕跡，以便不易被發現。通過代理木馬，攻擊者還可以在匿名的情況下使用Telnet、IRC等程序，從而隱藏自己的足跡。
（5）程序禁用木馬：這是一類禁用用戶手機程序的木馬。它會關閉用戶手機中的殺毒防護軟件，如360手機助手、百度衛士等軟件。手機中的防護軟件一旦被禁止，其他類型的木馬就能夠更好地發揮作用。這就要求用戶最好定期使用安全軟件對系統進行木馬查殺，清除系統中潛藏的程序禁用木馬。
（6）DoS攻擊木馬：當黑客入侵一臺用戶手機在并植入DOS攻擊木馬之后，這部手機就成了黑客最有利的助手，黑客控制的手機數量越多發動DOS攻擊成功的概率也就越大。
（7）郵件炸彈木馬：手機一旦感染上這種木馬，隨機生成各種各樣主題的郵件，對黑客指引的郵件不停地發送郵件，一直到對方郵件癱瘓而不能接收郵件為止。

5.2 手機木馬攻擊的原理

木馬攻擊的過程大體可以分為三個部分：配置木馬、傳播木馬、運行木馬。
（1）配置木馬
攻擊者在設計好木馬程序后可以通過木馬配置程序對木馬程序進行配置，并根據不同的需要配置不同的功能，從具體的配置內容上來看，主要是為了實現以下兩種方面功能。
①木馬偽裝：偽裝是木馬程序的一大特點，木馬配置程序為了在服務端盡可能好地隱藏木馬程序，會采用多種偽裝手段，如修改圖標、捆綁軟件、定制端口、自我銷毀等。
②信息反饋：木馬程序在入侵用戶手機后會向攻擊者反饋用戶的信息，木馬配置程序將就信息反饋的方式或地址進行設置，如設置信息反饋的郵件地址、QQ號等。
（2）傳播木馬
木馬傳播過程中需要進行兩項工作，一項是確定木馬的傳播方式，另一項是確定木馬的偽裝方式。既要讓木馬能成功順利地傳播到目標手機上，還要能夠將自己隱藏起來。
①傳播方式：傳播方式主要有兩種：一種是通過E-mail傳播，控制端將木馬程序以附件的形式夾在郵件中發送出去用戶只要在手機上打開郵件中的附件系統就會感染木馬；另一方面是通過軟件下載的方式傳播，一些非正規的網站提供軟件看似正常，但很可能已經被捆綁了木馬程序。用戶在不知道的情況下下載軟件后，只要開始運行這些軟件，木馬程序就會自動啟動安裝。
②偽裝方式：木馬常見的偽裝方式有以下幾種：修改圖標、捆綁文件、出錯顯示、定制端口、自我銷毀、木馬更名。其中前三種方式在前面已經進行了詳細的闡述，在這里就不予以詳細介紹。
定制端口：因為客戶端與服務器區通信的時候都是通過端口號識別固定服務，我們可以通過某一服務對應的端口號來識別正在進行的是何種服務。以前的木馬程序都是采用固定的端口號來通信，用戶就可以通過查看手機中的正在提供的服務的端口號來判斷是否感染了木馬，并且只要查一下特定的端口就知道感染了什么木馬。為了克服這個缺陷，現在攻擊者在設計木馬程序的時候都加入了定制端口的功能。攻擊者可以識別在控制端選用1024-65535之間的任何端口為木馬端口，通過這種方式用戶就很難識別哪一個端口為木馬程序使用的端口。
自我銷毀：木馬的自我銷毀功能就是為了不讓用戶發現原木馬文件，因為用戶在找到原木馬文件后就可以根據原木馬文件在自己的手機中找到正在運行的木馬文件，這樣木馬就會很容易暴露，將源木馬程序銷毀，服務端用戶就很難找到木馬來源，在沒有查殺木馬工具的幫助下，就很難刪除木馬了。
木馬更名：現在的攻擊者在設計木馬時大都允許控制端用戶自由定義安裝后的木馬文件名，這樣就很難判斷所感染的木馬種類了。
（3）運行木馬
服務端用戶運行用戶或捆綁木馬的程序后，木馬就會自動安裝，安裝后就可以啟動木馬了。

5.3 常見的手機病毒

手機病毒就沒有手機木馬那么“溫柔”了，它主要就是破壞用戶的手機，接下來我們來了解一下常見的幾種手機病毒。

5.3.1 短信病毒

“安卓短信臥底”是首款出現在Android手機中的病毒，它的主要功能就是竊取手機中的短信內容，造成用戶隱私嚴重泄漏?！鞍沧慷绦排P底”出現后不久，手機安全機構又截獲了他的變種，這個變種不但能夠竊取短信，還能監控用戶的通話記錄?！鞍沧慷绦排P底”給用戶帶來的危害有以下兩種。
（1）竊取隱私
攻擊者在制造“安卓短信臥底”時，會對該病毒進行設置，用戶手機一旦中毒，病讀程序就會按照攻擊者設定的方式來發送用戶的短信和通信記錄等隱私信息。
（2）自動聯網
中毒后的手機會在用戶不知情的情況下打開手機的聯網功能，用戶手機連接到網絡后就可以利用郵件的形式向攻擊者發送用戶的隱私信息，造成用戶隱私的泄露。

5.3.2 釣魚王病毒

手機病毒中出現過一種叫做InSpirit.A的“釣魚王”手機病毒，這種病毒通過欺騙的方式使用釣魚網站非法獲取用戶的賬號和密碼信息。因此提醒廣大用戶要謹慎打開不明短信中的鏈接，如果收到了銀行發來的類似短信該立即通過電話或到營業廳確認信息的真偽。除此之外，用戶還可以安裝正規的手機殺毒軟件，借以識別釣魚網站，防止自己受騙。

5.3.3 手機骷髏病毒

手機骷髏病毒叫做LanPackage.A,又被稱為彩信骷髏病毒、彩信炸彈、XXX彩信門。手機骷髏病毒通過網絡下載傳播，主要針對Symbian S603系列版本操作系統的智能手機，包括大部分諾基亞手機和部分三星手機。
手機骷髏病毒具有以下幾個特點：
①手機骷髏病毒命名為“系統中文語言包”，容易迷惑用戶。用戶下載安裝成功后系統會啟動瀏覽器進入kai_xin***.com網站，這是一個正常的網站。
②手機中病毒后一般會表現為不停地自動聯網、發送彩信，同時會向號碼15810***754、137536***78等隨機號碼發送短信。
③手機骷髏病毒還會在后臺下載、安裝另一程序“設置向導”，該程序也會聯網以消耗流量。
④手機病毒會使Activefile、TaskSpy等常用的文件瀏覽軟件失效，并且會開機自啟，使用戶無法手動停止病毒進程。
⑤手機骷髏病毒還會終止程序管理進程，使用戶無法卸載軟件。
360手機中心的檢測顯示，感染手機骷髏木馬后手機會出現以下幾種情況。
①私自群發短信和彩信
②強制開機自啟動
③無法正常卸載
④下載安裝惡意插件：惡意扣費，惡意扣費軟件通過控制用戶手機私自發送大量短信、彩信，消耗用戶的話費，同時還會強制連接網絡，繼續擴大自己的感染范圍，消耗用戶流量；隱私泄露，中毒后病毒會控制用戶的手機將手機中的手機號碼簿、短信、照片、視頻等個人文件傳給攻擊者。除了上述兩種常見的危害之外，如果下載安裝的是一個臥底軟件，完全有可能監聽用戶的通話、監控用戶所有的操作，甚至通過GPS定位用戶的行蹤。

5.3.4 同花順大盜

同花順手機炒股軟件是目前國內使用量最高、性能最穩定、支持券商最多并支持手機在線交易的隨身免費炒股軟件。
在同花順軟甲得到廣大用戶認可的同時，出現了一款名為“同花順大盜”的惡性盜號木馬病毒。這個病毒主要針對手機炒股軟件“同花順”,用戶一旦感染了這種病毒，盜號木馬病毒程序便開始監聽鍵盤；等用戶登錄成功后木馬病毒程序將鋪貨的賬號和密碼通過短信發送到一個固定的手機號碼中，造成用戶重要隱私信息的嚴重泄露。
針對上述木馬病毒，用戶可以從以下幾點進行防范：
①手機用戶首先要提高自身防范意識，規范網絡行為，及時更新手機防護軟件。
②下載應用程序和軟件、圖片等文件要到正規的網站。
③不要輕易點擊不知名的網頁和鏈接。
④安裝并定期更新手機殺毒軟件，借助于殺毒軟件防止病毒的入侵。
⑤用戶使用的賬戶和密碼要經常更換，防止被盜。

5.3.5 卡比爾病毒

在十年前用戶手機出現過一個名為“卡比爾”的手機病毒，它是2004年6月中旬被制造出來的“概念型”病毒。感染“卡比爾”病毒最明顯的特征是手機屏幕出現“Caribe-VZ/29a”字樣。它能夠運行在Symbian OS Series 60的機型上，并可以通過藍牙設備傳播。
手機中了卡比爾病毒會有以下幾種現象。
①手機耗電速度非?？?#xff0c;用戶在使用手機的時候可以反向手機電池電量急劇下降。
②手機自動控制藍牙功能，并通過藍牙功能搜索附近的藍牙，然后又把病毒送過去。
③感染病毒后手機藍牙功能不再受用戶控制，手機用戶將失去對自己手機藍牙功能的控制權。
未感染該病毒的s60手機用戶應注意以下幾點，避免受到該病毒的危害。
①在不需要的情況下，保持藍牙功能處于關閉狀態。
②使用藍牙設備時將其屬性設置為“隱藏”，這樣就無法被其他藍牙設備搜索到了。
③盡量避免使用“配對”功能，如果必須使用，務必保證所有配對設備都設置為“未驗證”，這樣的連接請求將需要用戶驗證后才能夠被接受。
④到官方網站下載所需要的軟件，不要隨意運行來源不明的軟件。
5.4 手機病毒與木馬的危害和防范
（1）破壞SIM卡
（2）竊取手機及SIM卡信息
（3）竊取個人信息
（4）竊取照片或文件資料
（5）竊取用戶通話及短信內容
（6）收發惡意短信
（7）交易資料外泄
（8）惡意扣費
（9）破壞手機軟硬件：手機中毒后出現頻繁死機、頻繁開關機等現象，這都是因為手機中的病毒或木馬對手機的軟硬件實施破壞。
①手機死機：攻擊者可以通過手機操作系統平臺存在漏洞攻擊用戶手機，導致用戶手機死機。
②手機自動關機：手機頻繁地開關機不僅會影響用戶的正常使用，還會縮短手機的使用壽命。
③導致手機安全軟件無法使用：手機病毒可能會成為偽裝成防毒廠商的更新包，誘騙用戶下載安裝后使手機安全軟件無法正常使用。
（10）手機按鍵功能喪失：用戶手機感染了SYMBOS_LOCKNUT木馬就會導致按鍵功能喪失。
（11）格式化手機內存：一些手機病毒或木馬會針對手機內存進行破壞，用戶的手機被格式化后，之前存儲的數據將會全部丟失。如果用戶沒有對這些數據進行備份，將會有很大的麻煩。
（12）攻擊者取得手機系統權限攻擊者在入侵用戶的手機后，可以取得系統的部分權限甚至是全部權限。用戶擁有的權限越高，對用戶手機的控制能力就越強，例如，專攻WinCE手機的Brador后門程式，中毒后的手機會被黑客遠端下載文件，或者執行特定指令。
隨著計算機技術的不斷發展沒病毒的攻擊技術也越來越強大，僅憑普通軟件是無法對這些病毒進行有效防御的。為了保障自己手機的安全，在手機上安裝專業的殺毒軟件是一個不錯的選擇，推薦可以使用騰訊手機管家和百度手機衛士等。另外，現在不良的WAP網站中有一部分會攜帶木馬病毒，最好不要上這些網站。

6 結語

在如今的互聯網大潮中，無論是專業人士還是普通大眾都需要有網絡安全意識。除了以上介紹的幾種網絡安全需要用戶加強用戶的防范意識，還有WiFi安全攻防、網絡賬號密碼攻防、網絡代理與追蹤技術、局域網攻防、網站腳本攻防、遠程控制技術以及密碼攻防等。
在網絡技術迅猛發展的過程中，隨著技術的廣泛應用，網絡安全問題越來越突出，加強黑客攻擊網絡的防護技術應用就顯得更為重要，加強計算機網絡黑客防護技術的科學應用，就要從多方面進行考慮，保障防護技術的作用充分發揮。通過此次對計算機網絡攻防技術的分析以及研究，確實在很大程度上加強了自身的網絡安全意識。在未來的學習和工作中也會繼續深入了解更多有關網絡安全方面的知識，希望能夠幫助解決實際的網絡安全問題。

7 參考文獻

【1】孫光懿 《基于HSRP和RIP協議實現校園網出口多組負載均衡》天津音樂學院 圖書信息中心 2017（12）
【2】梁斌《網絡攻擊網站常用的技術及方法》中國高新技術企業 2016（08）
【3】趙玉萍《黑客攻防從入門到精通》（應用大全篇 全新升級版）北京大學出版社 2017（02）

總結

以上是生活随笔為你收集整理的计算机网络攻防技术的分析与研究的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。