（病毒木马钓鱼）知识普及，教你如何辨认各种病毒，木马，和反钓鱼。_QQ微信技术

　Solitarily°

ZxID：17826425

等级: 兵马大元帅

举报只看楼主使用道具楼主发表于: 2012-09-28 0

— 本帖被惜如初见。执行提前操作(2012-09-28) —

                                                 先说说病毒和木马的区别
              病毒,是以破坏计算机系统或文件为目的,使用户不能正常使用计算机的恶意程序
              木马,是以盗窃目标计算机资料或者用户隐私为目的的恶意程序
              很多朋友说"我中毒了",其实一般中的是木马,病毒在当今网络上已经很少了,现在的病毒制造者都已经改行做木马了,因为病毒造成破坏不能给作者带来任何的好处,无非是技术狂人才会做的事情.另外还有蠕虫,也归为病毒一类.

问：什么是网络安全？
答：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，系统可以连续可靠正常地运行，网络服务不被中断。

问：什么是计算机病毒？
答：计算机病毒（Computer Virus）是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

问：什么是木马？
答：木马是一种带有恶意性质的远程控制软件。木马一般分为客户端（client）和服务器端（server）。客户端就是本地使用的各种命令的控制台，服务器端则是要给别人运行，只有运行过服务器端的计算机才能够完全受控。木马不会像病毒那样去感染文件。

问：什么是防火墙？它是如何确保网络安全的？
答：使用防火墙（Firewall）是一种确保网络安全的方法。防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的惟一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

问：什么是后门？为什么会存在后门？
答：后门（Back Door）是指一种绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段，程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道，或是在发布软件之前没有删除，那么它就成了安全隐患。

问：什么叫蠕虫病毒？
答：蠕虫病毒（Worm）源自第一种在网络上传播的病毒。1988年，22岁的康奈尔大学研究生罗伯特·莫里斯（Robert Morris）通过网络发送了一种专为攻击UNIX系统缺陷、名为“蠕虫”（Worm）的病毒。蠕虫造成了6000个系统瘫痪，估计损失为200万到6000万美元。由于这只蠕虫的诞生，在网上还专门成立了计算机应急小组（CERT）。现在蠕虫病毒家族已经壮大到成千上万种，并且这千万种蠕虫病毒大都出自黑客之手。

问：什么是操作系统型病毒？它有什么危害？
答：这种病毒会用它自己的程序加入操作系统或者取代部分操作系统进行工作，具有很强的破坏力，会导致整个系统瘫痪。而且由于感染了操作系统，这种病毒在运行时，会用自己的程序片断取代操作系统的合法程序模块。根据病毒自身的特点和被替代的操作系统中合法程序模块在操作系统中运行的地位与作用，以及病毒取代操作系统的取代方式等，对操作系统进行破坏。同时，这种病毒对系统中文件的感染性也很强。

首先说说目前最常见的和危害最大的   木马
鉴于木马的巨大危害性，我们将分原理篇，防御与反击篇，资料篇三部分来详细介绍木马，

基础知识
　　在介绍木马的原理之前有一些木马构成的基础知识我们要事先加以说明,因为下面有很多地方会提到这些内容。
   一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。
      (1)硬件部分：建立木马连接所必须的硬件实体。控制端：对服务端进行远程控制的一方。服务端：被控制端远程控制的一方。 INTERNET：控制端对服务端进行远程控制，数据传输的网络载体。
     (2)软件部分：实现远程控制所必须的软件程序。控制端程序：控制端用以远程控制服务端的程序。木马程序：潜入服务端内部，获取其操作权限的程序。木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。
     (3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。

一..配置木马
   一般来说一个设计成熟的木马都有木马配置程序，从具体的配置内容看，主要是为了实现以下两方面功能：
       (1)木马伪装：木马配置程序为了在服务端尽可能的好的隐藏木马，会采用多种伪装手段，如修改图标，捆绑文件，定制端口，自我销毁等，我们将在“传播木马”这一节中详细介绍。
(2)信息反馈：木马配置程序将就信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，IRC号，ICO号等等，

二.传播木马
(1)传播方式:
　　木马的传播方式主要有两种:一种是通过E-MAIL,控制端将木马程序以附件的形式夹在邮件中发送出去, 收信人只要打开附件系统就会感染木马;另一种是软件下载，一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后，只要一运行这些程序，木马就会自动安装。
(2)伪装方式:
　　鉴于木马的危害性,很多人对木马知识还是有一定了解的,这对木马的传播起了一定的抑制作用,这是木马设计者所不愿见到的,因此他们开发了多种功能来伪装木马,以达到降低用户警觉,欺骗用户的目的。
(一)修改图标
　　当你在E-MAIL的附件中看到这个图标时,是否会认为这是个文本文件呢?但是我不得不告诉你,这也有可能是个木马程序,现在已经有木马可以将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,这有相当大的迷惑性,但是目前提供这种功能的木马还不多见,并且这种伪装也不是无懈可击的,所以不必整天提心吊胆,疑神疑鬼的。
(二)捆绑文件
　　这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下 ,偷偷的进入了系统。至于被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。
(三)出错显示
　　有一定木马知识的人都知道,如果打开一个文件,没有任何反应,这很可能就是个木马程序, 木马的设计者也意识到了这个缺陷,所以已经有木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个如下图所示的错误提示框(这当然是假的),错误内容可自由定义,大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时,木马却悄悄侵入了系统。

木马的危害
1、盗取我们的网游账号，威胁我们的虚拟财产的安全
　　木马病毒会盗取我们的网游账号，它会盗取我们帐号后，并立即将帐号中的游戏装备转移，再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。
　　2、盗取我们的网银信息，威胁我们的真实财产的安全
　　木马采用键盘记录等方式盗取我们的网银帐号和密码，并发送给黑客，直接导致我们的经济损失。
　　3、利用即时通讯软件盗取我们的身份，传播木马病毒
　　中了此类木马病毒后，可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序，具有不确定的危害性。如恶作剧等。
　　4、给我们的电脑打开后门，使我们的电脑可能被黑客控制
　　如灰鸽子木马等。当我们中了此类木马后，我们的电脑就可能沦为肉鸡，成为黑客手中的工具。

查出木马
在使用目前常见的木马查杀软件及杀软件的同时，系统自带的一些基本命令也可以发现木马病毒：

一、检测网络连接　如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
　　具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto（连接方式）、local address（本地连接地址）、foreign address（和本地建立连接的地址）、state（当前端口状态）。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。
二、禁用不明服务
　　很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。
　　方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。
三、轻松检查账户
　　很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。
　　为了避免这种情况，可以用很简单的方法对账户进行检测。
　　首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user 用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是！如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧！
　　联网状态下的客户端。对于没有联网的客户端，当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程，也使用户的计算机时刻处于最佳的保护环境之下。
四、对比系统服务项
　　1、点击“开始，运行”输入“msconfig.exe"回车，打开”系统配置实用程序，然后在“服务”选项卡中勾选“隐藏所有Microsoft服务”，这时列表中显示的服务项都是非系统程序。
　　2、再点击“开始，运行”，输入Services.msc"回车，打开“系统服务管理”，对比两张表，在该“服务列表”中可以逐一找出刚才显示的非系统服务项。
　　3、在“系统服务”管理界面中，找到那些服务后，双击打开，在“常规”选项卡中的可执行文件路径中可以看到服务的可执行文件位置，一般正常安装的程序，比如杀毒，MSN，防火墙，等，都会建立自己的系统服务，不在系统目录下，如果有第三方服务指向的路径是在系统目录下，那么他就是“木马”。选中它，选择表中的“禁止”，重新启动计算机即可。
　　4、要点：有一个表的左侧：有被选中的服务程序说明，如果没用，它就是木马。

删除木马病毒

1、禁用系统还原
　　如果您运行的是 Windows Me 或 Windows XP，建议您暂时关闭“系统还原”。此功能默认情况下是启用的，一旦计算机中的文件被破坏，Windows 可使用该功能将其还原。如果病毒、蠕虫或特洛伊木马感染了计算机，则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
　　Windows 禁止包括防病毒程序在内的外部程序修改系统还原。因此，防病毒程序或工具无法删除 System Restore 文件夹中的威胁。这样，系统还原就可能将受感染文件还原到计算机上，即使您已经清除了所有其他位置的受感染文件。
　　此外，病毒扫描可能还会检测到 System Restore 文件夹中的威胁，即使您已将该威胁删除。
　　注意：蠕虫移除干净后，请按照上述文章所述恢复系统还原的设置。
2、安全模式或VGA 模式
　　关闭计算机，等待至少 30 秒钟后重新启动到安全模式或者 VGA 模式
　　Windows 95/98/Me/2000/XP 用户：将计算机重启到安全模式。所有 Windows 32-bit 作系统，除了Windows NT，可以被重启到安全模式。更多信息请参阅文档如何以安全模式启动计算机。
　　Windows NT 4 用户：将计算机重启到 VGA 模式。
　　扫描和删除受感染文件启动防病毒程序，并确保已将其配置为扫描所有文件。运行完整的系统扫描。如果检测到任何文件被 Download.Trojan 感染，请单击“删除”。如有必要，清除 Internet Explorer 历史和文件。如果该程序是在 Temporary Internet Files 文件夹中的压缩文件内检测到的，请执行以下步骤：
　　启动 Internet Explorer。单击“工具”>；“Internet 选项”。单击“常规”选项卡“Internet 临时文件”部分中，单击“删除文件”，然后在出现提示后单击“确定”。在“历史”部分，单击“清除历史”，然后在出现提示后单击“是”。

在此推荐用冰点或者影子系统

木马病毒的藏身之地

　　木马是一种基于远程控制的病毒程序，该程序具有很强的隐蔽性和危害性，它可以在人不知鬼不觉的状态下控制你或者监视你。下面就是木马潜伏的诡招，看了以后不要忘记采取绝招来对付这些损招。
1、集成到程序中
　　其实木马也是一个服务器――客户端程序，它为了不让用户能轻易地把它删除，就常常集成到程序里，一旦用户激活木马程序，那么木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么每一次Windows启动均会启动木马。
2、隐藏在配置文件中
　　木马实在是太狡猾，知道菜鸟们平时使用的是图形化界面的操作系统，对于那些已经不太重要的配置文件大多数是不闻不问了，这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用，木马很容易就能在大家的计算机中运行、发作，从而偷窥或者监视大家。不过，现在这种方式不是很隐蔽，容易被发现，所以在Autoexec.bat和Config.sys中加载木马程序的并不多见，但也不能因此而掉以轻心。
3、潜伏在Win.ini中
　　木马要想达到控制或者监视计算机的目的，必须要运行，然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然，木马也早有心理准备，知道人类是高智商的动物，不会帮助它工作的，因此它必须找一个既安全又能在系统启动时自动运行的地方，于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看，在它的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“=”后面是空白的，如果有后跟程序，比方说是这个样子：run=c：windowsfile. Exeload=c：windowsfile.exe。这时你就要小心了，这个file.exe很可能是木马。
4、伪装在普通文件中
　　这个方法出现的比较晚，不过现在很流行，对于不熟练的windows操作者，很容易上当。具体方法是把可执行文件伪装成图片或文本——在程序中把图标改成Windows的默认图片图标，再把文件名改为*.jpg.exe，由于Win98默认设置是“不显示已知的文件后缀名”，文件将会显示为*.jpg，不注意的人一点这个图标就中木马了（如果你在程序中嵌一张图片就更完美了）。`
5、内置到注册表中
　　上面的方法让木马着实舒服了一阵，既没有人能找到它，又能自动运行，真是快哉！然而好景不长，人类很快就把它的马脚揪了出来，并对它进行了严厉的惩罚！但是它还心有不甘，总结了失败教训后，认为上面的藏身之处很容易找，现在必须躲在不容易被人发现的地方，于是它想到了注册表！的确注册表由于比较复杂，木马常常喜欢藏在这里快活，赶快检查一下，有什么程序在其下，睁大眼睛仔细看了，别放过木马：
　　HKEY_LOCAL_MACHINE\Software\Microsof\tWindows\CurrentVersion\ 下所有以“run”开头的键值； HKEY_CURRENT_USER\Software\Microsof\tWindows\CurrentVersion\ 下所有以“run”开头的键值； HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion\ 下所有以“run”开头的键值。
6、在驱动程序中藏身
　　木马真是无处不在呀！什么地方有空子，它就往哪里钻！这不，Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点，打开这个文件看看，它与正常文件有什么不同，在该文件的[boot]字段中，是不是有这样的内容，那就是shell=Explorer.exe file.exe，如果确实有这样的内容，那你就不幸了，因为这里的file.exe就是木马服务端程序！另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所，现在你该知道也要注意这里。
7、隐形于启动组中
　　有时木马并不在乎自己的行踪，它更注意的是能否自动加载到系统中，因为一旦木马加载到系统中，任你用什么方法你都无法将它赶跑（哎，这木马脸皮也真是太厚），因此按照这个逻辑，启动组也是木马可以藏身的好地方，因为这里的确是自动加载运行的好场所。假设启动组对应的文件夹为：
　　C:\windows\startmenu\programs\startup
　　在注册表中的位置：
　　HKEY_CURRENT_USER\Softwar\eMicrosoft\Windows\ CurrentVersio\nExplorer\ShellFolders\Startup= “C：windows\startmenu\programs\startup”
　　要注意经常检查启动组。
8、在Winstart.bat中
　　按照上面的逻辑理论，凡是利于木马能自动加载的地方，木马都喜欢呆。这不，Winstart.bat也是一个能自动被Windows加载运行的文件，它多数情况下为应用程序及Windows自动生成，在执行了Win. com并加载了多数驱动程序之后开始执行（这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知）。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。
9、捆绑在启动文件中
　　即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。
10、设置在超级连接中
　　木马的主人在网页上放置恶意代码，引诱用户点击，用户点击的结果不言而喻：开门揖盗！奉劝不要随便点击网页上的链接，除非你了解它，信任它。

以上为木马的知识，虽然有点长，但是看完保证终身受益

病毒
编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码被称为计算机病毒（Computer Virus）。具有破坏性，复制性和传染性。

计算机病毒（Computer Virus）在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，病毒指“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自  熊猫烧香病毒（尼姆亚病毒变种）我复制的一组计算机指令或者程序代码”。与医学上的“病毒”不同，计算机病毒不是天然存在的，是某些人利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码。它能通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，对计算机资源进行破坏，所谓的病毒就是人为造成的，对其他用户的危害性很大！

产生

病毒不是来源于突发的原因。电脑病毒的制造却来自于一次偶然的事件，那时的研究人员为了计算出当时互联网的在线人数，然而它却自己“繁殖”了起来导致了整个服务器的崩溃和堵塞，有时一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合起来，病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。现在流行的病毒是由人为故意编写的，多数病毒可以找到作者和产地信息，从大量的统计分析来看，病毒作者主要情况和目的是：一些天才的程序员为了表现自己和证明自己的能力，出于对上司的不满，为了好奇，为了报复，为了祝贺和求爱，为了得到控制口令，为了软件拿不到报酬预留的陷阱等．当然也有因政治，军事，宗教，民族．专利等方面的需求而专门编写的，其中也包括一些病毒研究机构和黑客的测试病毒．

预防

提高系统的安全性是防病毒的一个重要方面，但完美的系统是不存在的，过于强调提高系统的安全性将使系统多数时间用于病毒检查，系统失去了可用性、实用性和易用性，另一方面，信息保密的要求让人们在泄密和抓住病毒之间无法选择。加强内部网络管理人员以及使用人员的安全意识很多计算机系统常用口令来控制对系统资源的访问，这是防病毒进程中，最容易和最经济的方法之一。

症状

1.计算机系统运行速度减慢。
　　2.计算机系统经常无故发生死机。
　　3.计算机系统中的文件长度发生变化。
　　4.计算机存储的容量异常减少。
　　5.系统引导速度减慢。
　　6.丢失文件或文件损坏。
　　7.计算机屏幕上出现异常显示。
　　8.计算机系统的蜂鸣器出现异常声响。
　　9.磁盘卷标发生变化。
　　10.系统不识别硬盘。
　　11.对存储系统异常访问。
　　12.键盘输入异常。
　　13.文件的日期、时间、属性等发生变化。
　　14.文件无法正确读取、复制或打开。
　　15.命令执行出现错误。
　　16.虚假报警。
　　17.换当前盘。有些病毒会将当前盘切换到C盘。
　　18.时钟倒转。有些病毒会命名系统时间倒转，逆向计时。
　　19.WINDOWS操作系统无故频繁出现错误。
　　20.系统异常重新启动。
　　21.一些外部设备工作异常。
　　22.异常要求用户输入密码。
　　23.WORD或EXCEL提示执行“宏”。
　　24.使不应驻留内存的程序驻留内存。

以上为病毒

下面是钓鱼知识

网络钓鱼（Phishing?，与钓鱼的英语fishing?发音相近，又名钓鱼法或钓鱼式攻击）是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。它是“社会工程攻击”的一种形式。

定义
网络钓鱼（Phishing）攻击者利用欺骗性的电子邮件和伪造的 Web 站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息

危害

中国互联网络信息中心联合国家互联网应急中心发布的《2009年中国网民网络信息安全状况调查报告》显示，2009年有超过九成网民遇到过网络钓鱼[1]，在遭遇过网络钓鱼事件的  各国受网络钓鱼攻击比例[2]网民中，4500万网民蒙受了经济损失，占网民总数11.9％。网络钓鱼给网民造成的损失已达76亿元。

反钓鱼

反钓鱼的意思就是反过来钓钓鱼者

如何反过来钓鱼呢？

下面来看看几张图片

目前网络上面的钓鱼程序基本都是易语言编程钓鱼
当然也就是这些垃圾的人垃圾的软件让易语言这个中国自主研究的编程软件沦为各大杀毒软件的误报

易语言反钓鱼

首先来看一段源码图片