一、病毒

1、简介

编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码，计算机病毒是人为制造的，有破坏性，又有传染性和潜伏性的，对计算机信息或系统起破坏作用的程序。它不是独立存在的，而是隐蔽在其他可执行的程序之中。计算机中病毒后，轻则影响机器运行速度，重则死机系统破坏；因此，病毒给用户带来很大的损失，通常情况下，我们称这种具有破坏作用的程序为计算机病毒。

2、七个阶段

开发期→传染期→潜伏期→发作期→发现期→消化期→消亡期

3、七种特性

传染性、隐蔽性、感染性、潜伏性、可激发性、表现性、破坏性

4、类型

• 依附的媒体类型分类

  （1）网络病毒

  通过计算机网络感染可执行文件的计算机病毒

  （2）文件病毒

  主攻计算机内文件的病毒

  （3）引导型病毒

  是一种主攻感染驱动扇区和硬盘系统引导扇区的病毒

• 计算机特定算法分类

  （1）附带型病毒

  通常附带于一个EXE文件上，其名称与EXE文件名相同，但扩展是不同的，一般不会破坏更改文件本身，但在DOS读取时首先激活的就是这类病毒

  （2）蠕虫病毒

  使用计算机网络从一个计算机存储切换到另一个计算机存储来计算网络地址来感染病毒

  （3）可变病毒

  可以自行应用复杂的算法

5、传播途径

• 通过移动设备传播

  u盘、移动硬盘、CD、软盘等

• 通过网络传播

  社交软件、邮件、应用程序、源码等

二、木马

1、简介

计算机木马（又名间谍程序）是一种后门程序，常被黑客用作控制远程计算机的工具。英文单词“Troj”，直译为“特洛伊”，木马程序是比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不刻意地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。

2、原理

木马病毒通常是基于计算机网络的，是基于客户端和服务端的通信、监控程序。客户端的程序用于黑客远程控制，可以发出控制命令，接收服务端传来的信息。服务端程序运行在被控计算机上，一般隐藏在被控计算机中，可以接收客户端发来的命令并执行，将客户端需要的信息发回，也就是常说的木马程序。

木马病毒可以发作的必要条件是客户端和服务端必须建立起网络通信，这种通信是基于IP地址和端口号的。藏匿在服务端的木马程序一旦被触发执行，就会不断将通信的IP地址和端口号发给客户端。客户端利用服务端木马程序通信的IP地址和端口号，在客户端和服务端建立起一个通信链路。客户端的黑客便可以利用这条通信链路来控制服务端的计算机。

运行在服务端的木马程序首先隐匿自己的行踪，伪装成合法的通信程序，然后采用修改系统注册表的方法设置触发条件，保证自己可以被执行，并且可以不断监视注册表中的相关内容。发现自己的注册表被删除或被修改，可以自动修复

3、类型

1、网游木马

通常采用记录用户键盘输入、Hook游戏进程API函数等方法获取用户的密码和帐号。窃取到的信息一般通过发送电子邮件或向远程脚本程序提交的方式发送给木马作者2、网银木马

针对银行系统进行分析，攻击薄弱环节，其目的为了盗取用户的卡号、密码，甚至安全证书

3、下载类

从网络下载病毒程序或广告软件

4、代理类

用户感染代理类木马后，会在本机开启HTTP、SOCKS等代理服务功能。黑客把受感染计算机作为跳板，以被感染用户的身份进行黑客活动，达到隐藏自己的目的

5、通讯软件类

经过通讯软件进行传播

6、网页点击类

模拟用户点击

4、特征

(1)隐蔽性

(2)欺骗性

(3)顽固性

5、传播途径

（1）利用下载进行传播

（2）利用系统漏洞进行传播

（3）利用邮件、短信进行传播

（4）利用分享链接进行传播

（5）利用远程连接进行传播

（6）利用网页进行传播

（7）利用蠕虫病毒进行传播

三、病毒的简单实现

1.无限弹框

代码如下：

四、木马的简单实现

1、屏幕实时监控

服务端代码：

客户端代码：

以上就是今天要讲的内容，本文仅仅简单介绍了木马与病毒的区别与实现方式。