1、2022-1-2012022-1-201计算机计算机与网络与网络安全安全Computer&Network Security计算机病毒基本知识计算机病毒基本知识2022-1-2022022-1-202内内 容容p计算机病毒概述计算机病毒概述p计算机病毒的发展计算机病毒的发展p计算机病毒生命周期与特性计算机病毒生命周期与特性p计算机病毒传播途径与分类计算机病毒传播途径与分类p预防计算机病毒的方法预防计算机病毒的方法 p计算机病毒结构及变体计算机病毒结构及变体2022-1-2032022-1-203计算机病毒概述计算机病毒概述v计算机病毒概念的提出计算机病毒概念的提出20世纪世纪70年代,托马斯年代
2、,托马斯J瑞恩瑞恩(Thomas J. Ryan)的科的科幻小说幻小说P-1的春天一书中构思了一种能够自我复制,的春天一书中构思了一种能够自我复制,利用通信进行传播的计算机程序,他借用生物学中的利用通信进行传播的计算机程序,他借用生物学中的“病毒病毒”一词,称之为一词,称之为“计算机病毒计算机病毒”。 计算机病毒与医学上的计算机病毒与医学上的“病毒病毒”不同,它不是天然存不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,在的,是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。编制的具有特殊功能的程序。2022-1-2042022-1-204v病毒的定义:病毒的
3、定义:中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例,第二十八条中明确指出:第二十八条中明确指出:“计算机病毒,是指编制或计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码令或者程序代码”。 此定义具有法律权威性。此定义具有法律权威性。2022-1-2052022-1-205v携带有计算机病毒的计算机程序被称为携带有计算机病毒的计算机程序被称为计算机计算机病毒载体病毒载体或或被感染程序被感染程
4、序。v是否具有是否具有传染性传染性是判别一个程序是否为计算机是判别一个程序是否为计算机病毒的最重要条件。病毒的最重要条件。2022-1-2062022-1-206广义的计算机病毒广义的计算机病毒 v特洛伊木马特洛伊木马一种潜伏执行非授权功能的技术,它在正常程序中存一种潜伏执行非授权功能的技术,它在正常程序中存放秘密指令,使计算机在仍能完成原先指定任务的情放秘密指令,使计算机在仍能完成原先指定任务的情况下,执行非授权功能。特洛伊木马的关键是采用潜况下,执行非授权功能。特洛伊木马的关键是采用潜伏机制来执行非授权的功能。特洛伊木马通常又称为伏机制来执行非授权的功能。特洛伊木马通常又称为黑客程序。黑客
5、程序。v蠕蠕 虫虫一个程序或程序序列,通过分布式网络来扩散传播特一个程序或程序序列,通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生定的信息或错误,进而造成网络服务遭到拒绝并发生死锁或系统崩溃。蠕虫病毒的危害日益显著,死锁或系统崩溃。蠕虫病毒的危害日益显著,“爱虫爱虫”(ILOVEYOU)就是影响极大的一例。)就是影响极大的一例。2022-1-2072022-1-207病毒与蠕虫的差异病毒与蠕虫的差异2022-1-2082022-1-208计算机病毒存在的原因计算机病毒存在的原因 v计算机系统脆弱性是产生计算机病毒的客观因素。计算机系统脆弱性是产生计算机病毒的客观因素。
6、Herschberg和和Paans指出:计算机病毒将长期存在指出:计算机病毒将长期存在可追溯到冯可追溯到冯诺依曼关于诺依曼关于自我复制机器自我复制机器的论点。的论点。v1949年,计算机之父冯年,计算机之父冯诺依曼在诺依曼在复杂自动机组织论复杂自动机组织论中定义中定义了计算机病毒的概念了计算机病毒的概念一种一种“能够实际复制自身的自动机能够实际复制自身的自动机”,他指出:一部事实上足够复杂的机器能够复制自身。他指出:一部事实上足够复杂的机器能够复制自身。v 这一开拓性论点发表后的三十年里,引起了激烈的争论,反对这一开拓性论点发表后的三十年里,引起了激烈的争论,反对者认为机器不能复制自身。者认为
7、机器不能复制自身。2022-1-2092022-1-209冯冯诺依曼指出,一部足够复杂的机器具有复制其诺依曼指出,一部足够复杂的机器具有复制其自身的能力。此处所说的自身的能力。此处所说的“机器机器”不仅包含硬件,不仅包含硬件,而是包含硬件和软件的特殊组合,也即现在所谓的而是包含硬件和软件的特殊组合,也即现在所谓的系统。系统。争论持续了多年,最终证明冯争论持续了多年,最终证明冯诺依曼是正确的。诺依曼是正确的。用一部复杂的机器用一部复杂的机器(包含硬件和软件的组合包含硬件和软件的组合)去复制去复制其自身是很简单的其自身是很简单的: 硬件被固定,编写一个程序去硬件被固定,编写一个程序去复制其自身。复
8、制其自身。2022-1-20102022-1-2010v病毒利用了冯病毒利用了冯诺依曼计算机结构体系。把存诺依曼计算机结构体系。把存储的软件当作数据处理,可以动态地进行修储的软件当作数据处理,可以动态地进行修改,以满足变化多端的需求。操作系统和应改,以满足变化多端的需求。操作系统和应用程序都是如此。用程序都是如此。v病毒利用了系统中可执行程序可被修改的属病毒利用了系统中可执行程序可被修改的属性、去达到病毒自身的不同于系统或用户的性、去达到病毒自身的不同于系统或用户的特殊目的。特殊目的。冯冯诺依曼体系与病毒的存在诺依曼体系与病毒的存在2022-1-20112022-1-2011信息共享与病毒传播
9、信息共享与病毒传播v冯冯诺依曼体系提供了病毒存在的可能,信息共享使病毒诺依曼体系提供了病毒存在的可能,信息共享使病毒的存在成为现实。的存在成为现实。v如果没有信息共享,病毒使不可能传播。如果没有信息共享,病毒使不可能传播。 信息共享使病毒程序和正常程序具有共用的部分,从而两者互相信息共享使病毒程序和正常程序具有共用的部分,从而两者互相接触,有了由此到彼的桥梁。因此,信息共享使病毒有了转移、接触,有了由此到彼的桥梁。因此,信息共享使病毒有了转移、发病的机会;而冯发病的机会;而冯诺依曼体系为病毒提供了进行感染、破坏的诺依曼体系为病毒提供了进行感染、破坏的物质基础。物质基础。 因此,只要冯因此,只要
10、冯诺依曼体系存在,只要有信息共享,病毒就将存诺依曼体系存在,只要有信息共享,病毒就将存在。在。 反言之,要根除病毒,就要消除冯反言之,要根除病毒,就要消除冯诺依曼体系和信息共享。诺依曼体系和信息共享。2022-1-20122022-1-2012v事实上,冯事实上,冯诺依曼体系和信息共享这两件事物,将长诺依曼体系和信息共享这两件事物,将长期存在,哪一个也不能根除。期存在,哪一个也不能根除。v事实已经证明,在信息被共享时,信息可以解释;在事实已经证明,在信息被共享时,信息可以解释;在信息可以被转发的任何系统中,病毒可以通过系统进信息可以被转发的任何系统中,病毒可以通过系统进行传播。阻止病毒传播的唯
11、一希望在于限制系统的功行传播。阻止病毒传播的唯一希望在于限制系统的功能。但这些功能是计算机广泛被使用的必需的功能。能。但这些功能是计算机广泛被使用的必需的功能。v必须在计算机具有脆弱性的前提下,来研究对付计算必须在计算机具有脆弱性的前提下,来研究对付计算机病毒的策略。机病毒的策略。 2022-1-20132022-1-2013计算机病毒的历史计算机病毒的历史v计算机刚刚诞生,就有了计算机病毒的概念。计算机刚刚诞生,就有了计算机病毒的概念。1949年,冯年,冯诺依曼便定义了计算机病毒的概念,即一种诺依曼便定义了计算机病毒的概念,即一种“能够实际复制自身的自动机能够实际复制自身的自动机”。1960
12、年,美国的约翰年,美国的约翰康维在编写康维在编写“生命游戏生命游戏”程序时,程序时,首先实现了程序自我复制技术。他的游戏程序运行时,首先实现了程序自我复制技术。他的游戏程序运行时,在屏幕上有许多在屏幕上有许多“生命元素生命元素”图案在运动变化。这些元图案在运动变化。这些元素过于拥挤时,会因缺少生存空间而死亡。如果元素过素过于拥挤时,会因缺少生存空间而死亡。如果元素过于稀疏会由于相互隔绝失去生命支持系统,也会死亡。于稀疏会由于相互隔绝失去生命支持系统,也会死亡。只有处于合适环境的元素才非常活跃,它们能够自我复只有处于合适环境的元素才非常活跃,它们能够自我复制并进行传播。制并进行传播。2022-1
13、-20142022-1-2014v五十年代末六十年代初,美国电话电报公司(五十年代末六十年代初,美国电话电报公司(AT&T)贝尔实验室)贝尔实验室的三位年轻程序员道格拉斯的三位年轻程序员道格拉斯麦耀莱麦耀莱(Douglas McIlroy) 、维克特、维克特维维索斯基索斯基(Victor Vysottsky)以及罗伯特以及罗伯特莫里斯莫里斯(Robert T. Morris)也受也受到冯到冯诺依曼理论的启发,发明了诺依曼理论的启发,发明了“磁心大战(磁心大战(core war)”游戏。游戏。玩这个游戏的两个人编制许多能自身复制、并可保存在磁心存储器玩这个游戏的两个人编制许多能自身复制、并可保存
14、在磁心存储器中的程序,然后发出信号。双方的程序在指令控制下就会竭力去消中的程序,然后发出信号。双方的程序在指令控制下就会竭力去消灭对方的程序。在预定的时间内,谁的程序繁殖得多,谁就得胜。灭对方的程序。在预定的时间内,谁的程序繁殖得多,谁就得胜。这种有趣的游戏很快就传播到其他计算机中心。这种有趣的游戏很快就传播到其他计算机中心。v由于这种程序与生物医学上的由于这种程序与生物医学上的“计算机病毒计算机病毒”同样具有传染和破坏同样具有传染和破坏的特性,所以后来就把这种具有自我复制和破坏机理的程序称为计的特性,所以后来就把这种具有自我复制和破坏机理的程序称为计算机病毒。这就是所谓算机病毒。这就是所谓“
15、病毒病毒”的第一个雏形。的第一个雏形。 2022-1-20152022-1-2015v20世纪世纪70年代,美国作家雷恩在其出版的年代,美国作家雷恩在其出版的p-1的青春的青春一书中构思一书中构思了一种能够自我复制的计算机程序,并第一次称之为了一种能够自我复制的计算机程序,并第一次称之为“计算机病毒计算机病毒”。 v1982年,年,elk cloner病毒出现在苹果电脑中,这个由病毒出现在苹果电脑中,这个由Rich Skrenta编写编写的恶作剧程序,是世界上已知的第一个电脑病毒。当的恶作剧程序,是世界上已知的第一个电脑病毒。当elk cloner发作时,发作时,电脑屏幕上会现出一段韵文:电脑
16、屏幕上会现出一段韵文:it will get on all your disks(它会占领你所有的磁盘)(它会占领你所有的磁盘) it will infiltrate your chips(潜入你的芯片)(潜入你的芯片) yes its cloner! (是的,它就是克隆病毒!)(是的,它就是克隆病毒!) it will stick to you like glue(它会像胶水一样粘着你)(它会像胶水一样粘着你) it will modify ram too(也会修改你的内存)(也会修改你的内存) send in the cloner! (传播这个克隆病毒!)(传播这个克隆病毒!)2022-1
17、-20162022-1-2016v1983年年11月,在国际计算机安全学术研讨会上,美国月,在国际计算机安全学术研讨会上,美国计算机专家首次将病毒程序在计算机专家首次将病毒程序在vax/750计算机上进行计算机上进行了实验,世界上第一个计算机病毒就这样出生在实验了实验,世界上第一个计算机病毒就这样出生在实验室中。室中。 v20世纪世纪80年代后期,巴基斯坦有两个以编软件为生的年代后期,巴基斯坦有两个以编软件为生的兄弟,他们为了打击那些盗版软件的使用者,设计出兄弟,他们为了打击那些盗版软件的使用者,设计出了一个名为了一个名为“巴基斯坦智囊巴基斯坦智囊”的病毒,该病毒只传染的病毒,该病毒只传染软盘
18、引导。这就是最早在世界上流行的一个真正的病软盘引导。这就是最早在世界上流行的一个真正的病毒。毒。 2022-1-20172022-1-2017v1987年年 世界各地的计算机用户几乎同时发现了形形色色的计算机病世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、毒,如大麻、IBM圣诞树、黑色星期五等等。面对计算机病毒的突圣诞树、黑色星期五等等。面对计算机病毒的突然袭击,众多计算机用户甚至专业人员都惊慌失措。然袭击,众多计算机用户甚至专业人员都惊慌失措。v1989年年 全世界的计算机病毒攻击十分猖獗,我国也未幸免。其中全世界的计算机病毒攻击十分猖獗,我国也未幸免。其中“米开朗基罗米开
19、朗基罗”病毒给许多计算机用户造成极大损失。病毒给许多计算机用户造成极大损失。v1991年年 在在“海湾战争海湾战争”中,美军第一次将计算机病毒用于实战,在中,美军第一次将计算机病毒用于实战,在空袭巴格达的战斗中,成功地破坏了对方的指挥系统并使之瘫痪,空袭巴格达的战斗中,成功地破坏了对方的指挥系统并使之瘫痪,保证了战斗的顺利进行,直至最后胜利。保证了战斗的顺利进行,直至最后胜利。v1992年年 出现针对杀毒软件出现针对杀毒软件“幽灵幽灵”病毒,如病毒,如One-half。v1996年年 出现针对微软公司出现针对微软公司Office的的“宏病毒宏病毒”。v1997年年 被公认为计算机反病毒界的被公
20、认为计算机反病毒界的“宏病毒宏病毒”年。年。“宏病毒宏病毒”主要主要感染感染WORD、EXCEL等文件,常见的如:等文件,常见的如:Tw no.1、Setmd、Consept、Mdma等。等。v1998年年 出现针对出现针对Windows95/98系统的病毒,如系统的病毒,如CIH,1998年被公认年被公认为计算机反病毒界的为计算机反病毒界的CIH病毒年。病毒年。 2022-1-20182022-1-2018v1998年年11月月2日美国发生了日美国发生了“蠕虫计算机病毒蠕虫计算机病毒”事件,给计算机技事件,给计算机技术的发展罩上了一层阴影。蠕虫计算机病毒是由美国术的发展罩上了一层阴影。蠕虫计
21、算机病毒是由美国CORNELL大大学研究生莫里斯编写。虽然并无恶意,但在当时,学研究生莫里斯编写。虽然并无恶意,但在当时,“蠕虫蠕虫”在在Internet上大肆传染,使得数千台联网的计算机停止运行,并造成上大肆传染,使得数千台联网的计算机停止运行,并造成巨额损失,成为一时的舆论焦点。美国巨额损失,成为一时的舆论焦点。美国6000多台计算机被计算机病多台计算机被计算机病毒感染,造成毒感染,造成Internet不能正常运行。不能正常运行。v这一典型的计算机病毒入侵计算机网络的事件,迫使美国政府立即这一典型的计算机病毒入侵计算机网络的事件,迫使美国政府立即作出反应,国防部成立了计算机应急行动小组。此
22、次事件中遭受攻作出反应,国防部成立了计算机应急行动小组。此次事件中遭受攻击的包括击的包括5个计算机中心和拥有政府合同的个计算机中心和拥有政府合同的25万台计算机。这次计万台计算机。这次计算机病毒事件,计算机系统直接经济损失达算机病毒事件,计算机系统直接经济损失达9600万美元。万美元。2022-1-20192022-1-2019v这个计算机病毒是历史上第一个通过这个计算机病毒是历史上第一个通过Internet传播的计算机病毒。它传播的计算机病毒。它的设计者罗伯特的设计者罗伯特莫里斯正是利用系统存在的弱点编写了入侵莫里斯正是利用系统存在的弱点编写了入侵Arpanet网的最大的电子入侵者,从而获准
23、参加康奈尔大学的毕业设网的最大的电子入侵者,从而获准参加康奈尔大学的毕业设计,并获得哈佛大学计,并获得哈佛大学Aiken中心超级用户的特权。他也因此被判中心超级用户的特权。他也因此被判3年年缓刑,罚款缓刑,罚款1万美元,还被命令进行万美元,还被命令进行400小时的社区服务,成为历史小时的社区服务,成为历史上第一个因为制造计算机病毒受到法律惩罚的人,从而揭开了世界上第一个因为制造计算机病毒受到法律惩罚的人,从而揭开了世界上通过法律手段来解决计算机病毒问题的新一页。上通过法律手段来解决计算机病毒问题的新一页。v附注附注: 此处的此处的Robert T. Morris (Jr)是是P.14中提到的中
24、提到的Robert T. Morris (Sr)的儿子,当时大的儿子,当时大 Morris 刚好是负责刚好是负责 Arpanet网路安全。网路安全。 2022-1-2020计算机病毒疫情监测周报(计算机病毒疫情监测周报(2012.10.14-2012.10.20) 国家计算机病毒应急处理中心国家计算机病毒应急处理中心序序号号病毒名称病毒名称病毒特点病毒特点1“木马下载者木马下载者”(Trojan_Downloader)及变种及变种 该木马通过网联网或是网页挂马的方式进行传播感染该木马通过网联网或是网页挂马的方式进行传播感染,并且它会自动并且它会自动连接互联网络中的指定服务器,下载大量病毒、木马
25、等恶意程序,导连接互联网络中的指定服务器,下载大量病毒、木马等恶意程序,导致计算机用户系统中的重要数据信息失密窃。致计算机用户系统中的重要数据信息失密窃。2“U盘杀手盘杀手”(Worm_Autorun)及变)及变种种 该病毒是一个利用该病毒是一个利用U盘等移动设备进行传播的蠕虫。盘等移动设备进行传播的蠕虫。autorun.inf文件文件一般存在于一般存在于U盘、盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用、移动硬盘和硬盘各个分区的根目录下,当用户双击户双击U盘盘 等设备的时候,该文件就会利用等设备的时候,该文件就会利用Windows系统的自动播放系统的自动播放功能优先运行功能优先运行au
26、torun.inf文件,而该文件就会立即执行所要加载的病文件,而该文件就会立即执行所要加载的病毒程序,从而破坏毒程序,从而破坏 用户计算机,使用户计算机遭受损失。用户计算机,使用户计算机遭受损失。3“代理木马代理木马”(Trojan_Agent)及变种及变种 它是一个木马家族,有很多的变种。它是一个木马家族,有很多的变种。“代理木马代理木马”及变种运行后,会及变种运行后,会在临时文件夹下释放病毒文件,修改注册表,实现其开机自动运行。在临时文件夹下释放病毒文件,修改注册表,实现其开机自动运行。迫使系统连接指定的服务器,在被感染计算机上下载其它病毒、木马迫使系统连接指定的服务器,在被感染计算机上下
27、载其它病毒、木马等恶意程序。等恶意程序。4“灰鸽子灰鸽子”(Backdoor_GreyPigeon) 及变种及变种 该变种比以前的更具有隐蔽性,伪装成操作系统中常用应用软件。将该变种比以前的更具有隐蔽性,伪装成操作系统中常用应用软件。将病毒文件命名为病毒文件命名为“原名称原名称+空格空格.exe”或者删掉可执行扩展名或者删掉可执行扩展名.exe,使得,使得变种原文件复制伪装成系统中正常应用软件,并使用原应用文件的图变种原文件复制伪装成系统中正常应用软件,并使用原应用文件的图标。标。5Hack_Kido及变种及变种 利用微软利用微软 MS08-067 漏洞发起攻击的黑客程序。该程序会启动攻击线漏
28、洞发起攻击的黑客程序。该程序会启动攻击线程开始发起攻击。攻击线程会随机生成程开始发起攻击。攻击线程会随机生成IP地址,并试图对该地址,并试图对该IP地址发地址发起攻击。感染后,其会关闭系统自动更新、起攻击。感染后,其会关闭系统自动更新、 安全中心、安全中心、WinDefend等等服务,并通过删除相关注册表项使服务,并通过删除相关注册表项使“安全中心安全中心”和和“WinDefend”不再不再可用。被感染的系统还会出现无法访问微软和一些可用。被感染的系统还会出现无法访问微软和一些 安全软件站点的情安全软件站点的情况。况。2022-1-20212022-1-2021几种典型的计算机病毒几种典型的计
29、算机病毒-CIH病毒病毒 2022-1-20222022-1-2022几种典型的计算机病毒几种典型的计算机病毒-CIH病毒病毒 2022-1-20232022-1-2023几种典型的计算机病毒几种典型的计算机病毒-美丽莎美丽莎 2022-1-20242022-1-2024几种典型的计算机病毒几种典型的计算机病毒-爱虫爱虫 2022-1-2025几种典型的计算机病毒几种典型的计算机病毒-爱虫爱虫 2022-1-2026几种典型的计算机病毒几种典型的计算机病毒-熊猫烧香熊猫烧香 2022-1-2027几种典型的计算机病毒几种典型的计算机病毒-熊猫烧香熊猫烧香 2022-1-2028几种典型的计算机
30、病毒几种典型的计算机病毒-熊猫烧香熊猫烧香 2022-1-2029几种典型的计算机病毒几种典型的计算机病毒-熊猫烧香熊猫烧香 2022-1-20306.7.5 *典型木马病毒分析 “冰河冰河”是有名的用是有名的用C+ Builder编写的国产远程管理软件编写的国产远程管理软件,其自我保护功能很强,主要由病毒安装模块、端口控制和,其自我保护功能很强,主要由病毒安装模块、端口控制和通信模块、远程控制模块等程序模块组成通信模块、远程控制模块等程序模块组成 病毒安装模块一般会把自己隐藏起来运行,安装方式通常病毒安装模块一般会把自己隐藏起来运行,安装方式通常有下列有下列4种:自我复制法、资源文件法、网页
31、方式安装、类病种:自我复制法、资源文件法、网页方式安装、类病毒捆绑法毒捆绑法(如如YAI)。自我复制法适用于本身就一个文件;资源。自我复制法适用于本身就一个文件;资源文件法可以同时安装好几个文件;网页方式安装要先向微软文件法可以同时安装好几个文件;网页方式安装要先向微软交费换安全签证;类病毒捆绑法利用了病毒的原理交费换安全签证;类病毒捆绑法利用了病毒的原理几种典型的计算机病毒几种典型的计算机病毒-冰河木马冰河木马 2022-1-20316.7.5 *典型木马病毒分析 冰河使用冰河使用Winsock控件来编写网络客户服务程序。该部分代码控件来编写网络客户服务程序。该部分代码首先用首先用G_Ser
32、ver. LocalPort = 7626(冰河的默认端口,可以改为(冰河的默认端口,可以改为别的值)在网络服务端打开一端口,并进行监听(别的值)在网络服务端打开一端口,并进行监听(G_Server.Listen),在客户端设置),在客户端设置G_Client.RemoteHost=ServerIP(设远端地址为服务器地址)和(设远端地址为服务器地址)和G_Client.RemotePort=7626(设远程端口为冰河的默认端口),(设远程端口为冰河的默认端口),并用并用G_Client.Connect (调用调用Winsock控件的连接方法控件的连接方法)向服务器端向服务器端口提出链接请求口
33、提出链接请求(Connect Request),一旦服务端接到客户端的链,一旦服务端接到客户端的链接请求,就接受连接。接请求,就接受连接。几种典型的计算机病毒几种典型的计算机病毒-冰河木马冰河木马 2022-1-20326.7.5 *典型木马病毒分析 远程控制模块主要是利用远程控制模块主要是利用Windows API,完成下列功能:,完成下列功能:l进行远程监控:控制远程计算机鼠标、键盘,并监视对方屏幕进行远程监控:控制远程计算机鼠标、键盘,并监视对方屏幕l记录各种口令信息记录各种口令信息l获取系统信息:偷取远程计算机名、当前用户名、更改计算机获取系统信息:偷取远程计算机名、当前用户名、更改计
34、算机名、设置系统路径、获取系统目录、获取名、设置系统路径、获取系统目录、获取Windows安装目录、取安装目录、取得系统版本、取得当前显示分辨率、限制系统功能得系统版本、取得当前显示分辨率、限制系统功能几种典型的计算机病毒几种典型的计算机病毒-冰河木马冰河木马 2022-1-20336.7.5 *典型木马病毒分析 冰河木马开发于冰河木马开发于1999年,在设计之初,开发者的本意是编年,在设计之初,开发者的本意是编写一个功能强大的远程控制软件。但一经推出,就依靠其强大写一个功能强大的远程控制软件。但一经推出,就依靠其强大的功能成为了黑客们发动入侵的工具,并结束了国外木马一统的功能成为了黑客们发动
35、入侵的工具,并结束了国外木马一统天下的局面,成为国产木马的标志和代名词。天下的局面,成为国产木马的标志和代名词。 在在2006年之前,冰河在国内一直是不可动摇的领军木马,年之前,冰河在国内一直是不可动摇的领军木马,在国内没用过冰河的人等于没用过木马,由此可见冰河木马在在国内没用过冰河的人等于没用过木马,由此可见冰河木马在国内的影响力之巨大。国内的影响力之巨大。(百度百科)(百度百科)几种典型的计算机病毒几种典型的计算机病毒-冰河木马冰河木马 作者:黄 鑫,西安电子科技大学 计算机学院 95级本科。冰河的开放端口7626据传为其生日号。2022-1-20342022-1-2034计算机病毒的生命
36、周期计算机病毒的生命周期 v“计算机病毒计算机病毒”和生物世界的病毒一样,都是有其独和生物世界的病毒一样,都是有其独特的生命周期。而特的生命周期。而“计算机病毒计算机病毒”的生命周期就是由的生命周期就是由以下几个步骤组成的一个循环:以下几个步骤组成的一个循环:l创造期:创造期:l孕育期:孕育期:l潜伏感染期:潜伏感染期:l发作期:发作期:l发现期:发现期:l同化期:同化期:l根除期:根除期:2022-1-20352022-1-2035计算机病毒的特性计算机病毒的特性v计算机病毒与生物病毒有许多相似之处,同样有以下一计算机病毒与生物病毒有许多相似之处,同样有以下一些特性:些特性:计算机病毒的计算
37、机病毒的传染性传染性:传染和破坏是病毒最重要的:传染和破坏是病毒最重要的特性特性计算机病毒的计算机病毒的隐蔽性隐蔽性v传染过程的隐蔽性传染过程的隐蔽性v病毒程序存在的隐蔽性病毒程序存在的隐蔽性2022-1-20362022-1-2036计算机病毒的计算机病毒的潜伏性潜伏性:大部分的计算机病毒感染系统之后一般不会:大部分的计算机病毒感染系统之后一般不会马上发作,只有在满足其特定条件时才启动其表现(破坏)模块。马上发作,只有在满足其特定条件时才启动其表现(破坏)模块。 病毒使用的触发条件主要有以下三种:病毒使用的触发条件主要有以下三种: v利用计算机内的利用计算机内的时钟时钟提供的时间作为触发器提
38、供的时间作为触发器v利用计算机病毒体内自带的利用计算机病毒体内自带的计数器计数器作为触发器作为触发器v利用计算机内执行的某些利用计算机内执行的某些特定操作特定操作作为触发器。作为触发器。计算机病毒的计算机病毒的破坏性破坏性计算机病毒的计算机病毒的针对性针对性计算机病毒的计算机病毒的衍生性衍生性计算机病毒的计算机病毒的寄生性寄生性计算机病毒的计算机病毒的不可预见性不可预见性v病毒的侵入、传播和发作是不可预见的病毒的侵入、传播和发作是不可预见的v病毒的发展速度远远超出了我们的想象病毒的发展速度远远超出了我们的想象2022-1-20372022-1-2037计算机病毒的传播途径计算机病毒的传播途径v
39、计算机病毒具有计算机病毒具有自我复制和传播自我复制和传播的特点,研究计算机病毒的特点,研究计算机病毒的传播途径极为重要。的传播途径极为重要。v从计算机病毒的传播机理分析可知,只要是能够进行数据从计算机病毒的传播机理分析可知,只要是能够进行数据交换的介质都可能成为计算机病毒传播途径。交换的介质都可能成为计算机病毒传播途径。 包括:不可移动的计算机硬件设备,即专用集成电路包括:不可移动的计算机硬件设备,即专用集成电路芯片进行传播;移动存储设备;网络;点对点通信系芯片进行传播;移动存储设备;网络;点对点通信系统和无线通信系统传播统和无线通信系统传播2022-1-20382022-1-2038计算机病
40、毒的分类计算机病毒的分类v计算机病毒的分类方法有许多种,比如:计算机病毒的分类方法有许多种,比如:按照计算机病毒的破坏性质按照计算机病毒的破坏性质根据计算机病毒所攻击的操作系统根据计算机病毒所攻击的操作系统根据计算机病毒的传播方式根据计算机病毒的传播方式v但是按照最通用的区分方式,即根据其但是按照最通用的区分方式,即根据其感染的感染的途径途径以及以及采用的技术采用的技术区分,计算机病毒可分为:区分,计算机病毒可分为:2022-1-20392022-1-2039v文件型计算机病毒文件型计算机病毒:这类病毒感染可执行文件,还可细分为驻留型:这类病毒感染可执行文件,还可细分为驻留型计算机病毒、主动型
41、计算机病毒、覆盖型计算机病毒、伴随型计算计算机病毒、主动型计算机病毒、覆盖型计算机病毒、伴随型计算机病毒等。机病毒等。v引导型计算机病毒引导型计算机病毒:这类病毒影响软盘或者硬盘的引导扇区,不感:这类病毒影响软盘或者硬盘的引导扇区,不感染文件。染文件。其感染步骤为:其感染步骤为:v首先,在内存中保留一个位置以便其他程序不能占用该部分首先,在内存中保留一个位置以便其他程序不能占用该部分内存。然后,将自己复制到该保留区域。内存。然后,将自己复制到该保留区域。v此后,计算机病毒不断截取操作系统服务。每次当操作系统此后,计算机病毒不断截取操作系统服务。每次当操作系统调用文件存取功能时,计算机病毒就夺取
42、系统控制权。并检调用文件存取功能时,计算机病毒就夺取系统控制权。并检查被存取的文件是否已经被感染毒,如果没有感染,计算机查被存取的文件是否已经被感染毒,如果没有感染,计算机病毒就会执行复制恶意代码的操作。病毒就会执行复制恶意代码的操作。v最后,病毒干净的引导扇区内容写回到其原先的位置,并将最后,病毒干净的引导扇区内容写回到其原先的位置,并将控制权交换给操作系统。用户觉察不到有异样发生,但计算控制权交换给操作系统。用户觉察不到有异样发生,但计算机病毒会继续发作。机病毒会继续发作。2022-1-20402022-1-2040v宏病毒宏病毒:感染的对象是使用某些程序创建的文本文档、数据库、电子:感染
43、的对象是使用某些程序创建的文本文档、数据库、电子表格等文件,这些类型的文件都能够在文件内部嵌入宏(表格等文件,这些类型的文件都能够在文件内部嵌入宏(macro)。宏)。宏病毒不依赖于操作系统,但可以使用户在文档中执行特定的操作。其病毒不依赖于操作系统,但可以使用户在文档中执行特定的操作。其功能有点类似于批命令,能够执行一系列的操作。需要注意的是,宏功能有点类似于批命令,能够执行一系列的操作。需要注意的是,宏作为一种程序,同样可以被感染,因此也成为计算机病毒的目标。作为一种程序,同样可以被感染,因此也成为计算机病毒的目标。v目录(链接)型病毒目录(链接)型病毒:此类计算机病毒能够修改硬盘上存储的
44、所有文:此类计算机病毒能够修改硬盘上存储的所有文件的地址,因此能够感染所有这些文件。当用户使用某些工具(如件的地址,因此能够感染所有这些文件。当用户使用某些工具(如SCANDISK或或CHKDSK)检测受感染的磁盘时,如果发现大量的文件)检测受感染的磁盘时,如果发现大量的文件链接地址的错误,这些错误可能都是由此类计算机病毒造成的。此时链接地址的错误,这些错误可能都是由此类计算机病毒造成的。此时不要试图用上述软件去修复,否则情况会更糟,因为这样做只会造成不要试图用上述软件去修复,否则情况会更糟,因为这样做只会造成整个系统真正的混乱,其后果比计算机病毒本身产生的结果更坏!整个系统真正的混乱,其后果
45、比计算机病毒本身产生的结果更坏! 2022-1-2041v花指令花指令防止静态反汇编防止静态反汇编v简单自加密简单自加密对抗特征值查毒法对抗特征值查毒法v多态多态一般就是用一般就是用random key加密相同的加密相同的vir主体代码主体代码,解码部分是变化解码部分是变化的的,存储在磁盘上的代码各不相同,防病毒软件,存储在磁盘上的代码各不相同,防病毒软件无法简单地根据无法简单地根据特征值扫描特征值扫描。v变形变形每传染一次加密算法变化,原病毒体也发生变化每传染一次加密算法变化,原病毒体也发生变化每次每次感染感染后的代码主体都不相同后的代码主体都不相同,使查杀的难度增加使查杀的难度增加,效果比
46、多,效果比多态好。态好。2022-1-20422022-1-20432022-1-2043理论上预防计算机病毒的方法理论上预防计算机病毒的方法 基本隔离法基本隔离法:取消信息共享,将系统:取消信息共享,将系统“隔离隔离”开来。病毒就开来。病毒就不可能随着外部信息传播进来,也不会把系统内部的病毒传不可能随着外部信息传播进来,也不会把系统内部的病毒传播出去。隔离策略是防治病毒最基本的方法。播出去。隔离策略是防治病毒最基本的方法。分割法分割法:把用户分割成为不能互相传递信息的封闭的子集,:把用户分割成为不能互相传递信息的封闭的子集,由于信息流的控制,子集被看作是系统分割成为相互独立的由于信息流的控制
47、,子集被看作是系统分割成为相互独立的子系统。病毒就不会在子系统之间相互传染,而只能传染其子系统。病毒就不会在子系统之间相互传染,而只能传染其中的某个子系统,使得整个系统不至于全部被感染。中的某个子系统,使得整个系统不至于全部被感染。2022-1-20442022-1-2044流模型法流模型法:对共享信息流流过的距离设立阈值。信息只:对共享信息流流过的距离设立阈值。信息只能在一定的区域中流动,以此建立防卫机制。若使用超能在一定的区域中流动,以此建立防卫机制。若使用超过某一距离阈值的信息,就可能存在某种危险。过某一距离阈值的信息,就可能存在某种危险。限制解释法限制解释法:即限制兼容,采用固定的解释
48、模式,就可:即限制兼容,采用固定的解释模式,就可能不被病毒传染。例如对应用程序实行加密就可以及时能不被病毒传染。例如对应用程序实行加密就可以及时检测出可执行文件是否受到病毒的感染,从而清除病毒检测出可执行文件是否受到病毒的感染,从而清除病毒的潜在威胁。的潜在威胁。v要使通用的系统共享和病毒防护共存,实际不可行,只能用要使通用的系统共享和病毒防护共存,实际不可行,只能用综合权衡加以解决。综合权衡加以解决。2022-1-20452022-1-2045计算机病毒结构的基本模式计算机病毒结构的基本模式v一般情况下计算机病毒程序具有三一般情况下计算机病毒程序具有三个主要部分个主要部分安装模块:安装模块:
49、传染模块:传染模块为计算机病毒传染模块:传染模块为计算机病毒提供再生机制。病毒程序搜索程序提供再生机制。病毒程序搜索程序对象,如无特定传染标志,病毒程对象,如无特定传染标志,病毒程序就对程序对象入侵并令其感染病序就对程序对象入侵并令其感染病 毒;如已有特定标志,病毒程序就毒;如已有特定标志,病毒程序就不再入侵此程序对象,传染标志是不再入侵此程序对象,传染标志是病毒程序的一种特定代码中标识符。病毒程序的一种特定代码中标识符。激发模块:激发模块:2022-1-2046 计算机病毒的基本机制计算机病毒的基本机制 传染、破坏、触发传染、破坏、触发 v传染机制传染机制 指计算机病毒由一个宿主传播到另一个
50、宿主程指计算机病毒由一个宿主传播到另一个宿主程序,由一个系统进入另一个系统的过程。序,由一个系统进入另一个系统的过程。 v触发机制触发机制计算机病毒在传染和发作之前,要判断某些特计算机病毒在传染和发作之前,要判断某些特定条件是否满足,这个条件就是计算机病毒的定条件是否满足,这个条件就是计算机病毒的触发条件。触发条件。v破坏机制破坏机制 良性病毒表现为占用内存或硬盘资源。恶性病良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统或信息产生严重破坏。毒则会对目标主机系统或信息产生严重破坏。 2022-1-20472022-1-2047计算机病毒的传染方式计算机病毒的传染方式v计算机病毒的传
