第四章計算機惡意代碼防治

惡意是一種程序，它通過把代碼在不被察覺的

代碼情況下鑲嵌到另一段程序中，從而達到破壞被

感染電腦數據、運行具有入侵性或破壞性的程序、

破壞被感染電腦數據的安全性和完整性的目的。

惡意代碼按傳播方式，可以分成以下幾類：

1.計算機病毒：一組能夠進行自我傳播、需要

用戶干預來觸發執行的破壞性程序或代碼。如CIH、

愛蟲、新歡樂時光、求職信、惡鷹、rose…

2.蠕蟲：一種可以自我復制的完全獨立的程序，它的

傳播不需要借助被感染主機中的其他程序。蠕蟲的自我

復制不像其他的病毒，它可以自動創建與它的功能完全

相同的副本，并在沒人干涉的情況下自動運行。蠕蟲是

通過系統存在的漏洞和設置的不安全性來進行入侵的，

它的自身特性可以使它以及快的速度傳輸。如紅色代

碼、SQL蠕蟲王、沖擊波、震蕩波、熊貓燒香。

3.特洛伊木馬：是指一類看起來具有正常功能，但實際

上隱藏著很多用戶不希望功能的程序，通常由控制端和

被控制端兩端組成。一些木馬程序會通過覆蓋系統中已

經存在的文件的方式存在于系統之中，同時它可以攜帶

惡意代碼，還有一些木馬會以一個軟件的身份出現，但

它實際上是一個竊取密碼的工具。這種病毒通常不容易

被發現。如冰河、網絡神偷、灰鴿子……

4.后門：使得攻擊者可以對系統進行非授權訪問的

一類程序。

5.惡意軟件：是指在未明確提示用戶或未經用

戶許可的情況下，在用戶計算機或其他終端上安裝

運行，侵犯用戶合法權益的軟件。

6.移動代碼：是指能夠從主機傳輸到客戶端計算機上并

執行的代碼，它通常是作為病毒，蠕蟲，或是特洛伊木

馬的一部分被傳送到客戶計算機上的。另外，移動代碼

可以利用系統的漏洞進行入侵，例如非法的數據訪問和

盜取root帳號。通常用于編寫移動代碼的工具包括Java

appIets,ActiveX,JavaScript,和VBScript。

二、計算機病毒

1.計算機病毒概述

計算機病毒，是指編制或者在計算機程序中插

入的破壞計算機功能或者毀壞數據，影響計算機使

用，并能自我復制的一組計算機指令或者程序代碼。

2.病毒的分類

按破壞性分

（1）良性病毒

⑵惡性病毒

⑶極惡性病毒

(4)災難性病毒

按傳染方式分

⑴引導區病毒：主要通過軟盤在操作系統中傳

播，感染引導區，蔓延到硬盤，并能感染到硬盤中

的“主引導記錄”。

⑵文件病毒：文件型病毒是文件感染者，也稱為寄生

病毒。它運行在計算機存儲器中，通常感染擴展名為

COM、EXE、SYS等類型的文件。

⑶混合型病毒：具有引導區病毒和文件病毒兩者

的特點。

⑷宏病毒：是指用BASIC語言編寫的病毒程序寄存

在Office文檔上的宏代碼。宏病毒影響對文檔的各

種操作。

3.計算機病毒的組成結構

計算機病毒的種類很多，但通過分析現有的計

算機病毒，發現幾乎所有的計算機病毒都是由三個

部分組成即：引導模塊、傳播模塊、表現模塊。

4.病毒的網絡傳播途徑

(1)感染本地文件、局域網共享目錄中的文件或

者復制副本到對方目錄。

(2)尋找Email地址，大量發送垃圾郵件(附件

攜帶病毒體)。

(3)通過網絡共享軟件進行傳播。

(4)建立后門程序，通過后門進行傳播。

(5)通過IRC進行傳播，通過QQ、MSN等即時軟件

進行傳播。

(6)通過U盤、磁盤、光盤等其他磁介質進行傳播。

(7)利用系統軟件的漏洞進行傳播。

5.計算機病毒特征

(1)傳染性：是指計算機病毒的再生機制，即病

毒具有自己復制到其他程序中的特性。帶有病毒的

程序或存儲介質，鎖定目標或將自身代碼插入其中，

與系統中的程序連接在一起，達到自我繁殖的目的。

感染的程序有可能被運行，再次感染其他程序。感

染的磁盤、移動硬盤等存儲介質被移到其他計算機

中，或者通過網絡，只要有一臺計算機感染，若不

及時處理，病毒就會迅速擴散。

⑵潛伏性：計算機的潛伏性是指計算機感染病毒

后并非是馬上發作，而是要潛伏一段時間。從病

毒感染某個計算機到該病毒發作為止的這段時

期，稱為病毒的潛伏期。病毒之間潛伏性的差異

很大。

有的病毒非常外露，每次病毒程序運行的時候都企圖進

行感染，但這種病毒編制技巧比較簡單，很容易被人發

現，因此往往以高效率的感染率來換取較短的生命周

期；有的病毒卻不容易被發現，它通過降低感染發作的

頻率來隱蔽自己，

該病毒侵入系統后不動聲色，看上去近似偶然的機會進

行感染，來獲得較大的感染范圍，與外屬性病毒相比，

這些隱蔽性的病毒更可怕。著名的“黑色星期五”病毒

是每逢13日是星期五時發作.CIH是每月26日發作。

這些病毒在平時隱蔽的很好，只有發作日才會露出本來

面目。

⑶破壞性：破壞是計算機病毒最終的表現，只要病毒

入侵計算機系統，就會對系統及應用程序產生不同程度

的影響。可能修改系統配置信息、刪除數據、破壞硬盤

分區表、引導記錄等，甚至格式化磁盤、導致系統崩潰,

對數據造成不可挽回的破壞。

(4)隱蔽性：病毒為了隱藏，病毒代碼設計的非常短小

精悍，一般只有幾百個字節或IKB大小，病毒瞬間就可

以將短短的代碼附加到正常的程序中或磁盤較隱蔽的

地方，使入侵不易察覺。

其設計微小的目的也是盡量使病毒代碼與受傳染的

文件或程序融合在一起，具有正常程序的一些特性,

隱藏在正常程序中，在不經過特殊代碼分析的情況

下，病毒程序與正常程序是不容易區別開來的。

⑸觸發性：計算機病毒因某個事件的出現，誘發病毒

進行感染或進行破壞，稱為病毒的觸發。每個病毒都有

自己的觸發條件，這些條件可能是時間、日期、文件類

型或某些特定的數據。如果滿足了這些條件，病毒就進

行感染和破壞，如果沒有滿足條件，則繼續潛伏。

(6)衍生性：衍生性表現在兩個方面，有些計算機病毒

本身在傳染過程中會通過一套變換機制，產生出許多與

源代碼不同的病毒；另一方面，有些攻擊者人為地修改

病毒源代碼，這兩種方式都有可能產生不同于原病毒代

碼的病毒一一變種病毒，使人們防不勝防。

⑺寄生性：寄生性是指病毒對其他文件或系統進行一

系列的非法操作，使其帶有這種病毒，并成為該病毒的

一個新傳染源。

(8)不可預見性：病毒相對于防毒軟件永遠是超前

的，理論上講，沒有任何殺毒軟件能將所有的病毒清除。

6.引導區病毒

引導型病毒是一種在ROMBIOS之后，系統引導時

出現的病毒，它先于操作系統，依托的環境是BIOS中

斷服務程序。引導型病毒是利用操作系統的引導模塊放

在某個固定的位置，并且控制權其轉交方式是以物理位

置為依據，而不是以操作系統引導區的內容為依據，因

而病毒占據該物理位置即可獲得控制權，而將真正的引

導區內容搬家轉移或替換，待病毒程序執行后，將控制

權交給真正的引導區內容，使得這個帶病毒的系統看似

正常運轉，而病毒已隱藏在系統中并伺機傳染、發作。

7.文件病毒

文件型病毒通常感染帶有.com、.exe、

.drv、.ovl、.sys等擴展名的可執行文件。它們在每

次激活時，感染文件把自身復制到其他可執行的文件

中，并能在內存中保存很長時間，直至病毒被激活。

當用戶調用感染了病毒的可執行文件時，病毒首先

會運行，然后病毒駐留在內存中感染其他文件。這

種病毒的特點是依附于正常文件，成為程序文件的

—外殼。

8.復合型病毒

這類病毒既感染文件、又感染磁盤引導區與主引導

區。能破壞計算機主板芯片的CIH毀滅者病毒屬于該類

病毒。CIH是一個臺灣大學生編寫的一個病毒，當時把

它放置在大學的BBS站上，1998年傳入大陸，發作日

期是每個月的26日

該病毒是第一個直接攻擊計算機硬件的病毒，破壞性極

強，發作時破壞計算機FIashBIOS芯片中的系統程序,

導致主板與硬盤數據的損壞。1999年4月26日，CIH

病毒在中國、俄羅斯、韓國等地大規模發作，僅大陸就

造成數十萬計算機癱瘓，大量硬盤數據被破壞。

9.宏病毒

宏譯自英文單詞Macro宏是微軟公司為其office

軟件包設計的一個特殊功能，軟件設計者為了讓人們在

使用軟件進行工作時，避免一再地重復相同的動作而設

計出來的一種工具它利用簡單的語法，把常用的動作寫

成宏，當工作時，就可以直接利用事先編好的宏自動運

行，去完成某項特定的任務，而不必再重復相同的動作,

目的是讓用戶文檔中的一些任務自動化。

office中的word和ExceI都有宏。word便為大眾

事先定義一個共用的通用模板(Normal,dot),里面

包含了基本的宏。只要啟動Word,就會自動運行

NormaI.dot文件。如果在word中重復進行某項工

作，可用宏使其自動執行。

word提供了兩種創建宏的方法：宏錄制器和Visual

Basic編織器。宏將一系列的word命令和指令組合

在一起，形成一個命令，以實現任務執行的自動化。

在默認情況下，word特定存貯在Normal模板中，以

便所有的word文檔均能使用，這一特點幾乎為所有

的宏病毒所利用。

如果撰寫了有問題的宏，感染了通用模板

(NormaI.dot),那么只要執行word,這個受感染的

通用模板便會傳播到之后所編織的文檔中去，如果

其他用戶打開了感染病毒的文檔，宏病毒又會轉移

到其他的計算機上。

目前，人們所說的宏病毒主要指word和ExceI

宏病毒。

10.腳本病毒

腳本是指從一個數據文檔中進行一個任務的一

組指令，這一點與宏相似。與宏相同腳本也是嵌入

到一個靜態文件中，它們的指令是由一個應用程序

而不是計算機處理運行，目前大多數是使用web瀏

覽器，如Netscape和IE都具有腳本功能，能夠運

行嵌入在網頁中的腳本。

腳本病毒是使用應用程序和操作系統中的自動腳本

功能復制和傳播的，例如，當在一個具有腳本功能

的瀏覽器中打開一個HTML文件時,一個嵌入在HTMI、

文件中的腳本病毒就會自動執行。腳本病毒主要通

過電子郵件和網頁傳播。

三、網絡蠕蟲

1.網絡蠕蟲概述

網絡蠕蟲是一種智能化、自動化并綜合網絡攻擊、

密碼學和計算機病毒技術，不要計算機使用者干預即可

運行的攻擊程序或代碼。它會掃描和攻擊網絡上存在系

統漏洞的節點主機，通過網絡從一個節點傳播到另外一

個節點。

網絡蠕蟲具有以下特征：

(1)主動攻擊：從搜索漏洞，到利用搜索結果攻

擊系統，到攻擊成功后復制副本，整個流程全由蠕蟲自

身主動完成。

(2)利用軟件漏洞：蠕蟲利用系統的漏洞獲得被

攻擊的計算機系統的相應權限，使之進行復制和傳播過

程成為可能。

(3)造成網絡擁塞：在傳播的過程中，蠕蟲需要判斷

其它計算機是否存活；判斷特定應用服務是否存在；判

斷漏洞是否存在等等，這將產生大量的網絡數據流量。

同時出于攻擊網絡的需要，蠕蟲也可以產生大量惡意流

量，當大量的機器感染蠕蟲時，就會產生巨大的網絡流

量，導致整個網絡癱瘓。

(4)留下安全隱患：大部分蠕蟲會搜集、擴散、暴露

系統敏感信息(如用戶信息等)，并在系統中留下后門。

(5)行蹤隱蔽：蠕蟲的傳播過程中，不需要用戶

的輔助工作，其傳播的過程中用戶基本上不可察覺。

(6)反復性：即使清除了蠕蟲留下的任何痕跡，如果

沒有修補計算機系統漏洞，網絡中的計算機還是會被重

新感染。

(7)破壞性：越來越多的蠕蟲開始包含惡意代碼,

破壞被攻擊的計算機系統，而且造成的經濟損失數目越

來越大。

2.網絡蠕蟲工作機制

網絡蠕蟲的工作機制分為三個階段：信息收集、攻

擊滲透、現場處理

(1)信息收集：按照一定的策略搜索網絡中存活的

主機，收集目標主機的信息，并遠程進行漏洞的分析。

如果目標主機上有可以利用的漏洞則確定為一個可以攻

擊的主機，否則放棄攻擊。

(2)攻擊滲透：通過收集的漏洞信息嘗試攻擊，一

旦攻擊成功，則獲得控制該主機的權限，將蠕蟲代

碼滲透到被攻擊主機。

(3)現場處理：當攻擊成功后，開始對被攻擊的主機

進行一些處理工作，將攻擊代碼隱藏，為了能使被攻擊

主機運行蠕蟲代碼，還要通過注冊表將蠕蟲程序設為自

啟動狀態；可以完成它想完成的任何動作，如惡意占用

CPU資源；收集被攻擊主機的敏感信息，可以危害被感

染的主機，刪除關鍵文件。

3.網絡蠕蟲掃描策略

網絡蠕蟲掃描越是能夠盡快地發現被感染主

機，那么網絡蠕蟲的傳播速度就越快。

(1)隨機掃描：隨機選取某一段IP地址，然后對這一

地址段上的主機掃描。由于不知道哪些主機已經感染蠕

蟲，很多掃描是無用的。這一方法的蠕蟲傳播速度較慢。

但是隨著蠕蟲的擴散，網絡上存在大量的蠕蟲時，蠕蟲

造成的網絡流量就變得非常巨大。

(2)選擇掃描：選擇性隨機掃描將最有可能存在漏

洞主機的地址集作為掃描的地址空間。所選的目標

地址按照一定的算法隨機生成。選擇性隨機掃描算

法簡單，容易實現，若與本地優先原則結合則能達

到更好的傳播效果。紅色代碼和"Slammer”的傳播

采用了選擇性隨機掃描策略。

(3)順序掃描：順序掃描是被感染主機上蠕蟲會隨機選

擇一個C類網絡地址進行傳播，根據本地優先原則，網

絡地址段順序遞增。

(4)基于目標列表的掃描：基于目標列表掃描是指

網絡蠕蟲根據預先生成易感染的目標列表，搜尋感染目

標。

(5)基于DNS掃描：從DNS服務器獲取IP地址來

建立目標地址庫，優點在于獲得的IP地址塊針對性

強和可用性高。關鍵問題是如何從DNS服務器得到

網絡主機地址，以及DNS服務器是否存在足夠的網

絡主機地址。

4.掃描策略設計的原則

(1)盡量減少重復的掃描，使掃描發送的數據

包盡量是沒有被感染蠕蟲的機器；

(2)保證掃描覆蓋到盡量大的可用地址段，包括盡

量大的范圍，掃描的地址段為互聯網上的有效地址

段；

(3)處理好掃描的時間分布，使得掃描不要集

中在某一時間內發生。

5.網絡蠕蟲防御和清除

(1)給系統漏洞打補丁：蠕蟲病毒大多數都是

利用系統漏洞進行傳播的，因此在清除蠕蟲病毒之

前必須將蠕蟲病毒利用的相關漏洞進行修補。

(2)清除正在運行的蠕蟲進程：每個進入內存的蠕蟲

一般會以進程的形式存在，只要清除了該進程，就可以

使蠕蟲失效。

(3)刪除蠕蟲病毒的自啟動項：感染蠕蟲主機用戶

一般不可能啟動蠕蟲病毒，蠕蟲病毒需要就自己啟動。

需要在這些自啟動項中清除蠕蟲病毒的設置。

(4)刪除蠕蟲文件：可以通過蠕蟲在注冊表的鍵值可

以知道病毒的躲藏位置，對于那些正在運行或被調用的

文件無法直接刪除，可以借助于相關工具刪除。

(5)利用自動防護工具，如個人防火墻軟件：通過

個人防火墻軟件可以設置禁止不必要的服務。另外也可

以設置監控自己主機有哪些惡意的流量。

四、木馬與后門

1.木馬的概念

木馬是指隱藏在正常程序中的一段具有特殊功能的

惡意代碼，是具備破壞和刪除文件、發送密碼、記錄鍵

盤和DOS攻擊等特殊功能的后門程序。它與控制主機之

間建立起連接，使得控制者能夠通過網絡控制受害系統,

最大的特征在于隱秘性。

2.木馬特征

(1)隱蔽性：隱蔽性是木馬的首要特征。木馬類

軟件的SERVER端程序在被控主機系統上運行時，會使

用各種方法來隱藏自己。

(2)自動運行性：木馬程序通過修改系統配置文

件，在目標主機系統啟動時自動運行或加載。

(3)欺騙性：木馬程序要達到其長期隱蔽的目的，就

必需借助系統中已有的文件，以防用戶發現。

(4)自動恢復性：很多的木馬程序中的功能模塊已

不再是由單一的文件組成，而是具有多重備份，可以相

互恢復。系統一旦被植入木馬，只刪除某一個木馬文件

來進行清除是無法清除干凈的。

(5)破壞或信息收集：木馬通常具有搜索Cache中

的口令、設置口令、掃描目標機器的IP地址、進行

鍵盤記錄、遠程注冊表的操作、以及鎖定鼠標等功

能。

3.木馬的偽裝方式

鑒于木馬的危害性，很多人對木馬知識還是有

一定了解的，這對木馬的傳播起了一定的抑制作用，

這是木馬設計者所不愿見到的，因此他們開發了多

種功能來偽裝木馬，以達到降低用戶警覺，欺騙用

戶的目的。

1)修改圖標

當你在E-MAIL的附件中看到這個圖標時，是否會認

為這是個文本文件呢?但是我不得不告訴你，這也有可

能是個木馬程序，現在已經有木馬可以將木馬服務端程

序的圖標改成HTML,TXT,ZIP等各種文件的圖標，這有相

當大的迷惑性，但是目前提供這種功能的木馬還不多見,

并且這種偽裝也不是無懈可擊的，所以不必整天提心吊

膽，疑神疑鬼的。

(2)捆綁文件

這種偽黑客利用木馬病毒盜取網銀用戶，安裝手段

是將木馬捆綁到一個安裝程序上，當安裝程序運行時，

木馬在用戶毫無察覺的情況下，偷偷的進入了系統。至

于被捆綁的文件一般是可執行文件(即EXE,COM一類的

文件)。

(3)出錯顯示

有一定木馬知識的人都知道，如果打開一個文件，

沒有任何反應，這很可能就是個木馬程序，木馬的設計

者會提供一個叫做出錯顯示的功能。當服務端用戶打開

木馬程序時，會彈出一個錯誤提示框，錯誤內容可自由

定義，大多會定制成一些諸如“文件已破壞，無法打

開的！”之類的信息，當服務端用戶信以為真時，木馬

卻悄悄侵入了系統。

(4)定制端口

很多老式的木馬端口都是固定的，這給判斷是否感

染了木馬帶來了方便，只要查一下特定的端口就知道感

染了什么木馬，所以現在很多新式的木馬都加入了定制

端口的功能，控制端用戶可以在1024—-65535之間任

選一個端口作為木馬端口（一般不選1024以下的端

口），這樣就給判斷所感染木馬類型帶來了麻煩。

5）自我銷毀

我們知道當服務端用戶打開含有木馬的文件后，木

馬會將自己拷貝到WINDOWS的系統文件夾中，一般來說,

原木馬文件和系統文件夾中的木馬文件的大小是一樣

的，那么中了木馬的用戶只要在近來收到的信件和下載

的軟件中找到原木馬文件，然后根據原木馬的大小去系

統文件夾找相同大小的文件，判斷一下哪個是木馬就行

了。

而木馬的自我銷毀功能是指安裝完木馬后，原木馬

文件將自動銷毀，這樣服務端用戶就很難找到木馬

的來源，在沒有查殺木馬的工具的幫助下，就很難

刪除木馬了。

（6）木馬更名

安裝到系統文件夾中的木馬的文件名一般是固定

的，那么只要根據一些查殺木馬的文章，在系統文件夾

查找特定的文件，就可以斷定中了什么木馬。所以現在

有很多木馬都允許控制端用戶自由定制安裝后的木馬

文件名，這樣很難判斷所感染的木馬類型了。

4.木馬的運行方式

服務端用戶運行木馬或捆綁木馬的程序后，木馬就

會自動進行安裝。首先將自身拷貝到WINDOWS的系統

文件夾中（C件INDOWS或C:WINDOWS\SYSTEM目錄下），

然后在注冊表，啟動組，非啟動組中設置好木馬的觸

發條件，這樣木馬的安裝就完成了。安裝后就可以啟動

木馬了，具體過程如下：

（1）自啟動激活木馬

自啟動木馬的條件，大致出現在下面6個地方：

①注冊表：打開

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\C

urrentVersion下的五個以Run和RunServices主鍵，

在其中尋找可能是啟動木馬的鍵值。

②WIN.INI:C:WINDOWS目錄下有一個配置文件win.ini,

用文本方式打開，在[windows]字段中有啟動命令

load二和run二，在一般情況下是空白的，如果有啟動程序,

可能是木馬。

③SYSTEM.INI:C:WINDOWS目錄下有個配置文件

system.ini,用文本方式打開，在[386Enh],[mei],

[drivers32]中有命令行，在其中尋找木馬的啟動命令。

④Autoexec,bat和Config.sys：在C盤根目錄下

的這兩個文件也可以啟動木馬。但這種加載方式一

般都需要控制端用戶與服務端建立連接后，將已添

加木馬啟動命令的同名文件上傳到服務端覆蓋這兩

個文件才行。

⑤*.INI:即應用程序的啟動配置文件，控制端利用這

些文件能啟動程序的特點，將制作好的帶有木馬啟動命

令的同名文件上傳到服務端覆蓋這同名文件，這樣就可

以達到啟動木馬的目的了。

⑥啟動菜單：在“開始--程序--啟動”選項下也可

能有木馬的觸發條件。

(2)觸發式激活木馬

①注冊表：打開HKEY_CLASSES_ROOT文件類型

\sheII\open\command主鍵，查看其鍵值。例如，國產

木馬“冰河”就是修改

HKEY_CLASSES_ROOT\txtfile\shelI\open\command下

的鍵值,將^C:WINDOWS\NOTEPAD.EXE%1”改為

C:WINDOWS\SYSTEM\SYXXXPLR.EXE%1”

當用戶雙擊一個TXT文件后，原本應用文本程序打開文

件的，現在卻變成啟動木馬程序了。還要說明的是不光

TXT文件,通過修改HTML,EXE,ZIP等文件的啟動命

令的鍵值都可以啟動木馬，不同之處只在于“文件類型”

這個主鍵的差別，TXT是txtfiIe,ZIP是WINZIP。

②捆綁文件：實現這種觸發條件首先要控制端和服

務端已通過木馬建立連接，然后控制端用戶用工具

軟件將木馬文件和某一應用程序捆綁在一起，然后

上傳到服務端覆蓋原文件，這樣即使木馬被刪除

了，只要運行捆綁了木馬的應用程序，木馬又會被

安裝上去了。

③自動播放式：自動播放本是用于光盤的，當插入一個

電影光盤到光驅時，系統會自動播放里面的內容，這就

是自動播放的本意，播放什么是由光盤中的AutoRun.inf

文件指定的，修改AutoRun.inf中的open一行可以指定

在自動播放過程中運行的程序。后來有人用于了硬盤與U

盤，在U盤或硬盤的分區，創建Autorun.inf文件，并

在Open中指定木馬程序，這樣，當你打開硬盤分區或U

盤時，就會觸發木馬程序的運行。

木馬被激活后，進入內存，并開啟事先定義的木馬

端口，準備與控制端建立連接。這時服務端用戶可以在

MS-DOS方式下，鍵入NETSTAT-AN查看端口狀態，一般

個人電腦在脫機狀態下是不會有端口開放的，如果有端

口開放，你就要注意是否感染木馬了。在上網過程中要

下載軟件，發送信件，網上聊天等必然打開一些端口，

下面是一些常用的端口：

(1)1---1024之間的端口：這些端口叫保留端口，是專

給一些對外通訊的程序用的，如FTP使用21,SMTP使

用25,POP3使用110等。只有很少木馬會用保留端口

作為木馬端口的。

(2)1025以上的連續端口：在上網瀏覽網站時，瀏

覽器會打開多個連續的端口下載文字，圖片到本地硬盤

上，這些端口都是1025以上的連續端口。

⑶4000端口:這是0ICQ的通訊端口。

⑷6667端口:這是IRC的通訊端口。除上述的

端口基本可以排除在外，如發現還有其它端口打開,

尤其是數值比較大的端口，那就要懷疑是否感染了

木馬，當然如果木馬有定制端口的功能，那任何端

口都有可能是木馬端口。

5.木馬的防御

根據木馬工作原理，木馬檢測一般有以下一些

方法：

(1)掃描端口：大部分的木馬服務器端會在系

統中監聽某個端口，因此，通過查看系統上開啟了

那些端口能有效地發現遠程控制木馬的蹤跡。

(2)檢查系統進程：很多木馬在運行期間都會在系

統中生成進程。因此，檢查進程是一種非常有效的

發現木馬蹤跡方法。

(3)檢查ini文件、注冊表和服務等自啟動項。

(4)監視網絡通訊，木馬的通信監控可以通過

防火墻來監控。

6.后門的概念

后門是一個允許攻擊者繞過系統中常規安全控

制機制的程序，他按照攻擊者自己的意圖提供通道。

后門的重點在于為攻擊者提供進入目標計算機的通

道。

后門包括從簡單到復雜，有很多類型。簡單的后門

可能只是建立一個新的賬號，或者接管一個很少使用的

賬號;復雜的后門(包括木馬)可能會繞過系統的安全認

證而對系統有安全存取權。例如一個login程序，當你

輸入特定的密碼時，你就能以管理員的權限來存取系統。

后門能相互關聯，而且這個技術被許多黑客所使用。

例如，黑客可能使用密碼破解一個或多個賬號密碼,

黑客可能會建立一個或多個賬號。一個黑客可以存取這

個系統，黑客可能使用一些技術或利用系統的某個漏洞

來提升權限。黑客可能會對系統的配置文件進行小部分

的修改，以降低系統的防衛性能。也可能會安裝一個木

馬程序，使系統打開一個安全漏洞，以利于黑客完全掌

握系統。

7.后門的分類

后門可以按照很多方式來分類，標準不同自然分類

就不同，從技術方面來考慮后門程序的分類方法：

(1)網頁后門：此類后門程序一般都是服務器上

正常的web服務來構造自己的連接方式，比如現在非常

流行的ASP、cgi腳本后門等。

(2)線程插入后門：利用系統自身的某個服務或者線

程，將后門程序插入到其中，這也是現在最流行的一個

后門技術。

(3)擴展后門：所謂的“擴展”，是指在功能上有

大的提升，比普通的單一功能的后門有很強的使用性，

這種后門本身就相當于一個小的安全工具包，能實現非

常多的常駐見安全功能。

(4)c/s后門：和傳統的木馬程序類似的控制

方法，采用“客戶端/服務端”的控制方式，通過某

種特定的訪問方式來啟動后門進而控制服務器。

五、流氓軟件

1.起源和概述

“流氓軟件”其實起源于國外的“Badware”一詞，

定義為：是一種跟蹤你上網行為并將你的個人信息反饋

給“躲在陰暗處的”市場利益集團的軟件，并且可以通

過該軟件能夠向你彈出廣告。

“Badware”分為“間諜軟件”(spyware)、惡意軟

件(malware)和欺騙性廣告軟件(deceptiveadware)。

國內互聯網業界人士一般將該類軟件稱之為“流氓軟

件”，并歸納出間諜軟件、行為紀錄軟件、瀏覽器劫持軟

件、搜索引擎劫持軟件、廣告軟件、自動撥號軟件、盜

竊密碼軟件等。

“流氓軟件”與病毒、其他軟件的區別：

計算機病毒指的是：自身具有、或使其它程序具有

破壞系統功能、危害用戶數據或其它惡意行為的一類程

序。這類程序往往影響計算機使用，并能夠自我復制。

正規軟件指的是：為方便用戶使用計算機工作、娛

樂而開發，面向社會公開發布的軟件。

“流氓軟件”介于兩者之間，同時具備正常功能(下

載、媒體播放等)和惡意行為(彈廣告、開后門)，給用

戶帶來實質危害。這些軟件也可能被稱為惡意廣告軟件

(adware)＞間諜軟件(spyware)、惡意共享軟件。與病毒

或者蠕蟲不同，這些軟件很多不是小團體或者個人秘密

地編寫和散播，反而有很多知名企業和團體涉嫌此類軟

件。其中以雅虎旗下的3721最為知名和普遍，也比較典

型。

2.官方定義及特點

惡意軟件(流氓軟件)定義：是指在未明確提示

用戶或未經用戶許可的情況下，在用戶計算機或其

他終端上安裝運行，侵犯用戶合法權益的軟件，但

已被我國法律法規規定的計算機病毒除外，它具有

如下特點：

(1)強制安裝：指在未明確提示用戶或未經用戶許

可的情況下，在用戶計算機或其他終端上安裝軟件

的行為。

(2)難以卸載：指未提供通用的卸載方式，或

在不受其他軟件影響、人為破壞的情況下，卸載后

仍活動程序的行為。

(3)瀏覽器劫持：指未經用戶許可，修改用戶瀏覽器或

其他相關設置，迫使用戶訪問特定網站或導致用戶無法

正常上網的行為。

(4)廣告彈出：指未明確提示用戶或未經用戶許可

的情況下，利用安裝在用戶計算機或其他終端上的軟件

彈出廣告的行為。

(5)惡意收集用戶信息：未明確提示用戶或未經用戶許

可，惡意收集用戶信息的行為。

(6)惡意卸載：指未明確提示用戶、未經用戶許可,

或誤導、欺騙用戶卸載非惡意軟件的行為。

(7)惡意捆綁：指在軟件中捆綁已被認定為惡意軟

件的行為。

(8)惡意安裝：未經許可的情況下，強制在用

戶電腦里安裝其它非附帶的獨立軟件。強制安裝到

系統盤的軟件也被稱為流氓軟件。

3.分類

根據不同的特征和危害，困擾廣大計算機用戶的流

氓軟件主要有如下幾類：

(1)廣告軟件(Adware)

定義：廣告軟件是指未經用戶允許，下載并安裝在

用戶電腦上；或與其他軟件捆綁，通過彈出式廣告等形

式牟取商業利益的程序。

危害：此類軟件往往會強制安裝并無法卸載；在后臺收

集用戶信息牟利，危及用戶隱私；頻繁彈出廣告，消耗

系統資源，使其運行變慢等。

例如：用戶安裝了某下載軟件后，會一直彈出帶有

廣告內容的窗口，干擾正常使用。還有一些軟件安裝后,

會在IE瀏覽器的工具欄位置添加與其功能不相干的廣告

圖標，普通用戶很難清除

(2)間諜軟件(Spyware)

定義：間諜軟件是一種能夠在用戶不知情的情

況下，在其電腦上安裝后門、收集用戶信息的軟件。

危害：用戶的隱私數據和重要信息會被“后門程序”捕

獲，并被發送給黑客、商業公司等。這些“后門程序”

甚至能使用戶的電腦被遠程操縱，組成龐大的“僵尸網

絡”，這是目前網絡安全的重要隱患之一。

例如：某些軟件會獲取用戶的軟硬件配置，并發送

出去用于商業目的。

(3)瀏覽器劫持

定義：瀏覽器劫持是一種惡意程序，通過瀏覽器插

件、BHO(瀏覽器輔助對象)、WinsockLSP等形式對用

戶的瀏覽器進行篡改，使用戶的瀏覽器配置不正常，被

強行引導到商業網站。

危害：用戶在瀏覽網站時會被強行安裝此類插件，普通

用戶根本無法將其卸載，被劫持后，用戶只要上網就會

被強行引導到其指定的網站，嚴重影響正常上網瀏覽。

例如：一些不良站點會頻繁彈出安裝窗口，迫使用

戶安裝某瀏覽器插件，甚至根本不征求用戶意見，利用

系統漏洞在后臺強制安裝到用戶電腦中。這種插件還采

用了不規范的軟件編寫技術來逃避用戶卸載，往往會造

成瀏覽器錯誤、系統異常重啟等。

(4)行為記錄軟件(TrackWare)

定義：行為記錄軟件是指未經用戶許可，竊取并分

析用戶隱私數據，記錄用戶電腦使用習慣、網絡瀏覽習

慣等個人行為的軟件。

危害：危及用戶隱私，可能被黑客利用來進行網絡

詐騙。

例如：一些軟件會在后臺記錄用戶訪問過的網站并加以

分析，有的甚至會發送給專門的商業公司或機構，此類

機構會據此窺測用戶的愛好，并進行相應的廣告推廣或

商業活動。

(5)惡意共享軟件

定義：惡意共享軟件是指某些共享軟件為了獲取利

益，采用誘騙手段、試用陷阱等方式強迫用戶注冊，或

在軟件體內捆綁各類惡意插件，未經允許即將其安裝到

用戶機器里。

危害：使用“試用陷阱”強迫用戶進行注冊，否則可能

會丟失個人資料等數據。軟件集成的插件可能會造成用

戶瀏覽器被劫持、隱私被竊取等。

例如：用戶安裝某個媒體播放軟件后，會被強迫安

裝與播放功能毫不相干的軟件而不給出明確提示；并且

用戶卸載播放器軟件時不會自動卸載這些附加安裝的軟

件。

(6)其它

隨著網絡的發展，“流氓軟件”的分類也越來越細,

一些新種類的流氓軟件在不斷出現，分類標準必然會隨

之調整。

“流氓軟件”的最大商業用途就是散布廣告，并形成

了整條灰色產業鏈：企業為增加注冊用戶、提高訪問量

或推銷產品，向網絡廣告公司購買廣告窗口流量。

網絡廣告公司用自己控制的廣告插件程序，在用戶

電腦中強行彈出廣告窗口。而為了讓廣告插件神不知鬼

不覺地進入用戶電腦，大多數時候廣告公司是通過聯系

熱門免費共享軟件的作者，以每次幾分錢的價格把廣告

程序通過插件的形式捆綁到免費共享軟件中，用戶在下

載安裝這些免費共享軟件時廣告程序也就趁虛而入

網絡廣告的計費是按彈