1、 2006工程兵工程学院 计算机教研室第十三章病毒防御技术病毒防御技术本章主要内容本章主要内容n病毒作用过程;病毒作用过程;n基于主机防御技术;基于主机防御技术;n基于网络防御技术。基于网络防御技术。病毒防御技术病毒防御技术本讲主要内容本讲主要内容n病毒存在形式病毒存在形式;n病毒植入方式病毒植入方式;n病毒隐藏和病毒隐藏和运行;运行;n病毒感染和病毒感染和传播;传播;n病毒破坏病毒破坏过程;过程;n病毒作用过程病毒作用过程实例。实例。病毒防御技术病毒防御技术 病毒病毒可以是一段寄生在其他程序和文件中的恶可以是一段寄生在其他程序和文件中的恶意代码,也可以是一个完整的程序意代码,也可以是一个完整
2、的程序。n寄生寄生病毒病毒n脚本病毒脚本病毒n宏病毒宏病毒nPEPE病毒病毒n非寄生病毒非寄生病毒病毒防御技术病毒防御技术 对于对于寄生病毒,病毒植入是指将包含病毒的宿主程序寄生病毒,病毒植入是指将包含病毒的宿主程序或宿主文件传输到主机系统中的过程。对于非寄生病毒,或宿主文件传输到主机系统中的过程。对于非寄生病毒,病毒植入是指将独立、完整的病毒程序传输到主机系统中病毒植入是指将独立、完整的病毒程序传输到主机系统中的过程的过程。n移动移动媒体媒体n访问访问网页网页n下载下载实用程序实用程序n下载和复制下载和复制OfficeOffice文档文档n邮件邮件附件附件n黑客上黑客上传传n蠕虫蔓延蠕虫蔓延
3、病毒防御技术病毒防御技术1 1病毒首次运行过程病毒首次运行过程(1 1)U U盘盘AutoRunAutoRun病毒病毒 修改修改U U盘的盘的AutoRun.infAutoRun.inf文件,将病毒程序作为双击文件,将病毒程序作为双击U U盘盘后执行的程序。如果已经启动后执行的程序。如果已经启动Windows Windows 的自动播放功能,当的自动播放功能,当用户打开该用户打开该U U盘时,首先执行病毒程序。盘时,首先执行病毒程序。(2 2)宏病毒)宏病毒 用用OfficeOffice软件打开包含宏病毒的软件打开包含宏病毒的OfficeOffice文档时,才能执文档时,才能执行包含在行包含在
4、OfficeOffice文档中的宏病毒。文档中的宏病毒。(3 3)脚本病毒)脚本病毒 当浏览器浏览包含脚本病毒的网页时,浏览器执行包含当浏览器浏览包含脚本病毒的网页时,浏览器执行包含在网页中的脚本病毒。在网页中的脚本病毒。病毒防御技术病毒防御技术1 1病毒首次运行过程病毒首次运行过程(4 4)PEPE病毒病毒 人工执行,或者由其他进程调用包含人工执行,或者由其他进程调用包含PEPE病毒的病毒的PEPE格式文格式文件时,才能执行包含在件时,才能执行包含在PEPE格式文件中的格式文件中的PEPE病毒。病毒。(5 5)蠕虫病毒)蠕虫病毒 蠕虫病毒能够自动地将自身植入网络中的其他主机系统,蠕虫病毒能够
5、自动地将自身植入网络中的其他主机系统,并运行。并运行。病毒防御技术病毒防御技术2 2病毒激发机制病毒激发机制n嵌入嵌入BIOSBIOS和引导区;和引导区;n病毒程序作为自启动项;病毒程序作为自启动项;n修改名字。修改名字。病毒防御技术病毒防御技术 病毒每一次运行过程,或是完成感染和传播过程。病毒每一次运行过程,或是完成感染和传播过程。 一般情况下,一般情况下,PEPE病毒感染病毒感染PEPE格式文件,宏病毒感染格式文件,宏病毒感染OfficeOffice文档,脚本病毒感染文档,脚本病毒感染HTMLHTML文档。蠕虫病毒自动完成传文档。蠕虫病毒自动完成传播过程。播过程。病毒防御技术病毒防御技术n
6、设置后门;设置后门;n监控用户操作过程;监控用户操作过程;n破坏硬盘信息;破坏硬盘信息;n破坏破坏BIOSBIOS;n发起拒绝服务攻击;发起拒绝服务攻击;n蠕虫蔓延。蠕虫蔓延。病毒防御技术病毒防御技术(1 1)木马病毒结构及功能)木马病毒结构及功能 木马病毒采用客户木马病毒采用客户/ /服务器结构,由客户端和服务器端服务器结构,由客户端和服务器端代码组成,激活服务器端代码后,黑客通过启动客户端代码,代码组成,激活服务器端代码后,黑客通过启动客户端代码,和服务器端建立连接,并通过客户端对服务器端系统进行操和服务器端建立连接,并通过客户端对服务器端系统进行操作。作。病毒防御技术病毒防御技术(2 2
7、)木马病毒传播及首次激活过程)木马病毒传播及首次激活过程 常见的传播木马病毒的途径有以下几种,嵌入用脚本语常见的传播木马病毒的途径有以下几种,嵌入用脚本语言编写的木马病毒的言编写的木马病毒的HTMLHTML文档;以嵌入木马病毒的可执行文文档;以嵌入木马病毒的可执行文件为附件的电子邮件;通过类似缓冲区溢出等漏洞上传并运件为附件的电子邮件;通过类似缓冲区溢出等漏洞上传并运行木马病毒。行木马病毒。病毒防御技术病毒防御技术(3 3)木马病毒激活机制)木马病毒激活机制木马病毒首次激活需要完成下述功能:木马病毒首次激活需要完成下述功能:n将木马服务器端代码作为独立的可执行文件存放在攻击目标将木马服务器端代
8、码作为独立的可执行文件存放在攻击目标的文件系统中;的文件系统中;n修改注册表,将存放木马服务器端代码的路径加入到注册表修改注册表,将存放木马服务器端代码的路径加入到注册表的自启动项列表中,系统启动过程中,自动激活木马服务器的自启动项列表中,系统启动过程中,自动激活木马服务器端代码。或者将注册表端代码。或者将注册表HKEY_CLASSES_ROOTHKEY_CLASSES_ROOT主键下主键下“txtfiletxtfileshellopencommandshellopencommand”的键值由的键值由“C:WINDOWSNOTEPAD.EXE %1”C:WINDOWSNOTEPAD.EXE %
9、1”改为存放木马服务器端代改为存放木马服务器端代码的路径,只要用户通过双击打开扩展名为码的路径,只要用户通过双击打开扩展名为txttxt的文件,首的文件,首先激活木马服务器端代码。先激活木马服务器端代码。病毒防御技术病毒防御技术(4 4)实施非法访问)实施非法访问 建立服务器端与客户端之间的建立服务器端与客户端之间的TCPTCP连接后,黑客可以通连接后,黑客可以通过客户端对服务器端资源实施非法访问。过客户端对服务器端资源实施非法访问。病毒防御技术病毒防御技术 (1 1)缓冲区溢出漏洞)缓冲区溢出漏洞 由于函数由于函数B B使用缓冲区时没有检测缓冲区边界这一步,当函数使用缓冲区时没有检测缓冲区边
10、界这一步,当函数B B的输的输入数据超过规定长度时,函数入数据超过规定长度时,函数B B的缓冲区发生溢出,超过规定长度部分的的缓冲区发生溢出,超过规定长度部分的数据将继续占用其他存储空间,覆盖用于保留函数数据将继续占用其他存储空间,覆盖用于保留函数A A的返回地址的存储单的返回地址的存储单元。元。 黑客终端发送给该功能块的数据中包含某段恶意代码,而且,用于黑客终端发送给该功能块的数据中包含某段恶意代码,而且,用于覆盖函数覆盖函数A A返回地址的数据恰恰是该段恶意代码的入口地址。返回地址的数据恰恰是该段恶意代码的入口地址。病毒防御技术病毒防御技术 (2 2)扫描)扫描WebWeb服务器服务器 确
11、定目标主机是否是确定目标主机是否是WebWeb服务器的方法是尝试建立与目服务器的方法是尝试建立与目标主机之间目的端口号为标主机之间目的端口号为8080的的TCPTCP连接,如果成功建立该连接,如果成功建立该TCPTCP连接,表明目标主机是连接,表明目标主机是WebWeb服务器。服务器。病毒防御技术病毒防御技术(3 3)获取)获取WebWeb服务器信息服务器信息向目标主机发送一个错误的向目标主机发送一个错误的HTTPHTTP请求消息,目标主机回送的请求消息,目标主机回送的HTTPHTTP响应消息响应消息中会给出有关目标主机中会给出有关目标主机WebWeb服务器的一些信息。服务器的一些信息。 HT
12、TP/1.1 400 Bad RequestHTTP/1.1 400 Bad RequestServer:MicrosoftServer:Microsoft-IIS/4.0-IIS/4.0Date:Sat,03 Apr 1999 08:42:40 GMTDate:Sat,03 Apr 1999 08:42:40 GMTContent-Content-Type:textType:text/html/htmlContent-Length:87Content-Length:87 Error Error The parameter is incorrect. The parameter is inco
13、rrect. 病毒防御技术病毒防御技术(4 4)通过缓冲区溢出植入并运行引导程序)通过缓冲区溢出植入并运行引导程序 一旦确定一旦确定WebWeb服务器存在缓冲区溢出漏洞,精心设计一服务器存在缓冲区溢出漏洞,精心设计一个个HTTPHTTP请求消息,请求消息,WebWeb服务器将该请求消息读入缓冲区时,服务器将该请求消息读入缓冲区时,导致缓冲区溢出,并运行嵌入在导致缓冲区溢出,并运行嵌入在HTTPHTTP请求消息中的引导程序。请求消息中的引导程序。引导程序建立与黑客终端之间的引导程序建立与黑客终端之间的TCPTCP连接(反向连接(反向TCPTCP连接),连接),从黑客终端下载完整的蠕虫病毒并激活。
14、从黑客终端下载完整的蠕虫病毒并激活。病毒防御技术病毒防御技术本讲主要内容本讲主要内容n基于特征的扫描技术;基于特征的扫描技术;n基于线索的扫描技术;基于线索的扫描技术;n基于完整性检测的扫描技术;基于完整性检测的扫描技术;n基于行为的检测技术;基于行为的检测技术;n基于模拟运行环境的检测技术。基于模拟运行环境的检测技术。病毒防御技术病毒防御技术 通过通过分析已分析已经发现的病毒,经发现的病毒,提取出每一种病提取出每一种病毒有别于正常代毒有别于正常代码或文本的病毒码或文本的病毒特征,并因此建特征,并因此建立病毒特征库。立病毒特征库。然后根据病毒特然后根据病毒特征库在扫描的文征库在扫描的文件中进行
15、匹配件中进行匹配操操作。作。病毒防御技术病毒防御技术 基于基于特征的扫描技术主要存在以下问题:特征的扫描技术主要存在以下问题:n由于通过特征匹配来检测病毒,因此无法检测出变形、由于通过特征匹配来检测病毒,因此无法检测出变形、加密和未知病毒;加密和未知病毒;n必须及时更新病毒特征库;必须及时更新病毒特征库;n由于病毒总是在造成危害后才被发现,因此,它是一由于病毒总是在造成危害后才被发现,因此,它是一种事后补救措施。种事后补救措施。病毒防御技术病毒防御技术 基于基于线索扫描技术通常不是精确匹配特定二进制位线索扫描技术通常不是精确匹配特定二进制位流模式或文本模式,而是通过分析可执行文件入口处流模式或
16、文本模式,而是通过分析可执行文件入口处代码的功能来确定该文件是否感染病毒。代码的功能来确定该文件是否感染病毒。病毒防御技术病毒防御技术 对对系统中的所有文件计算出对应系统中的所有文件计算出对应的报文摘要的报文摘要C C,将,将C C存储在某个列表文存储在某个列表文件中,扫描软件定期地重新计算系统中文件对应的件中,扫描软件定期地重新计算系统中文件对应的C C,并将计算结果和列表,并将计算结果和列表中存储的结果进行比较,如果相等,表明文件没有发生改变,如果不相等,中存储的结果进行比较,如果相等,表明文件没有发生改变,如果不相等,表明文件自计算出列表中存储的表明文件自计算出列表中存储的C C以后已经
17、发生改变。以后已经发生改变。 为了为了防止一些精致的病毒能够在感染文件的同时,修改文件的原始报防止一些精致的病毒能够在感染文件的同时,修改文件的原始报文文摘要摘要在计算出某个文件对应的原始报文摘要后,用扫描软件自带的密钥在计算出某个文件对应的原始报文摘要后,用扫描软件自带的密钥K K对报文摘要进行加密运算,然后将密文存储在原始检测码列表对报文摘要进行加密运算,然后将密文存储在原始检测码列表中。中。病毒防御技术病毒防御技术存在问题存在问题n基于完整性检测的扫描技术只能检测出文件是否发生改变,基于完整性检测的扫描技术只能检测出文件是否发生改变,并不能确定文件是否被病毒感染;并不能确定文件是否被病毒
18、感染;n必须在正常修改文件后,重新计算该文件对应的原始检测码,必须在正常修改文件后,重新计算该文件对应的原始检测码,并将其存储在原始检测码列表中,否则,在定期检测过程中并将其存储在原始检测码列表中,否则,在定期检测过程中扫描软件会对该文件示警;扫描软件会对该文件示警;n对于系统中需要经常改变的文件,每一次文件改变后,都需对于系统中需要经常改变的文件,每一次文件改变后,都需要通过用户干预,生成与改变后的文件一致的原始检测码,要通过用户干预,生成与改变后的文件一致的原始检测码,这种干预可能会使用户感到不便;这种干预可能会使用户感到不便;n对于文件在计算初始检测码前已经感染病毒的情况,这种检对于文件
19、在计算初始检测码前已经感染病毒的情况,这种检测技术是无效的。测技术是无效的。病毒防御技术病毒防御技术 当当某个用户进程发出修改注册表中自启动项列表,格式某个用户进程发出修改注册表中自启动项列表,格式化文件系统,删除某个系统文件的操作请求时,可以认为该化文件系统,删除某个系统文件的操作请求时,可以认为该用户进程正在实施病毒代码要求完成的操作用户进程正在实施病毒代码要求完成的操作。 如果如果请求中要求的资源访问操作违背为发出请求的用户请求中要求的资源访问操作违背为发出请求的用户规定的访问权限,表明该用户进程可能包含病毒规定的访问权限,表明该用户进程可能包含病毒代码。代码。病毒防御技术病毒防御技术
20、存在存在以下缺陷,一是由于在执行过程中检测病毒,检测以下缺陷,一是由于在执行过程中检测病毒,检测到病毒时有可能已经执行部分病毒代码,已经执行的这部分到病毒时有可能已经执行部分病毒代码,已经执行的这部分病毒代码有可能已经对系统造成危害。二是由于很难区分正病毒代码有可能已经对系统造成危害。二是由于很难区分正常和非正常的资源访问操作,无法为用户精确配置资源访问常和非正常的资源访问操作,无法为用户精确配置资源访问权限,常常发生漏报和误报病毒的情况。权限,常常发生漏报和误报病毒的情况。病毒防御技术病毒防御技术 当当基于线索的检测技术怀疑某个可执行文件或文本文件基于线索的检测技术怀疑某个可执行文件或文本文
21、件感染病毒时,为了确定该可执行文件或文本文件是否包含病感染病毒时,为了确定该可执行文件或文本文件是否包含病毒,在模拟运行环境中运行该可执行文件或文本文件,并对毒,在模拟运行环境中运行该可执行文件或文本文件,并对每一条指令的执行结果进行分析。如果发生某种病毒的操作每一条指令的执行结果进行分析。如果发生某种病毒的操作特征时特征时,确定,确定该可执行文件或文本文件感染病毒。如果直到该可执行文件或文本文件感染病毒。如果直到整个代码仿真执行完成,都没有发生和操作特征库匹配的操整个代码仿真执行完成,都没有发生和操作特征库匹配的操作,或违背资源访问原则的资源访问操作,断定该文件没有作,或违背资源访问原则的资
22、源访问操作,断定该文件没有感染病毒。感染病毒。病毒防御技术病毒防御技术本讲主要内容本讲主要内容n防火墙;防火墙;n网络入侵检测网络入侵检测系统;系统;n防毒防毒墙;墙;n数字数字免疫系统。免疫系统。病毒防御技术病毒防御技术 可以可以通过配置有效的访问控制策略隔断病毒的网络传播通过配置有效的访问控制策略隔断病毒的网络传播途径和木马客户端与服务器端的通信途径和木马客户端与服务器端的通信过程。如防火墙过程。如防火墙配置的配置的访问控制策略只允许内网终端发起访问外网访问控制策略只允许内网终端发起访问外网WebWeb服务器的服务器的过程。过程。病毒防御技术病毒防御技术 这种这种情况下,木马情况下,木马服
23、务器端只能发起建立服务器端只能发起建立与木马客户端之间目的与木马客户端之间目的端口号为端口号为8080的的TCPTCP连接,连接,而且木马服务器端发送而且木马服务器端发送给木马客户端的数据必给木马客户端的数据必须封装成须封装成HTTPHTTP请求消息请求消息格式,且符合格式,且符合HTTPHTTP请求请求消息要求的语法和语义消息要求的语法和语义规范,同样,木马客户规范,同样,木马客户端发送给木马服务器端端发送给木马服务器端的数据必须封装成的数据必须封装成HTTPHTTP响应消息格式,且符合响应消息格式,且符合HTTPHTTP响应消息要求的语响应消息要求的语法和语义法和语义规范。规范。病毒防御技
24、术病毒防御技术 一一是由是由WAFWAF对所有对所有进入进入WebWeb服务器的信息流进行检测,如果发现服务器的信息流进行检测,如果发现与对与对WebWeb服务器实施攻击相关的信息流,服务器实施攻击相关的信息流,WAFWAF将丢弃这些信息流,以此将丢弃这些信息流,以此避免黑客将脚本病毒嵌入避免黑客将脚本病毒嵌入WebWeb服务器中网页的情况发生。二是由服务器中网页的情况发生。二是由WAFWAF对对WebWeb服务器传输给用户终端的文本文件进行检测,一旦发现嵌入脚本服务器传输给用户终端的文本文件进行检测,一旦发现嵌入脚本病毒的文本文件,立即丢弃该文本文件。病毒的文本文件,立即丢弃该文本文件。病毒
25、防御技术病毒防御技术 网络网络入侵检测系统通过检测流经关键网段的信息流,发现可能存在入侵检测系统通过检测流经关键网段的信息流,发现可能存在的蠕虫病毒传播过程,并予以制止的蠕虫病毒传播过程,并予以制止。 假定每秒假定每秒允许建立允许建立500500个与指定个与指定WebWeb服务器之间的服务器之间的TCPTCP连接,如果某个连接,如果某个单位时间内接收到超过单位时间内接收到超过500500的请求建立与指定的请求建立与指定WebWeb服务器之间的服务器之间的TCPTCP连接的连接的请求报文,表明检测到请求报文,表明检测到SYNSYN泛洪攻击,探测器丢弃第泛洪攻击,探测器丢弃第501501个及以后的
26、请求建个及以后的请求建立与指定立与指定WebWeb服务器之间的服务器之间的TCPTCP连接的请求报文。连接的请求报文。病毒防御技术病毒防御技术 防毒防毒墙是一种用于防御病毒的网关,能够对流经该网关的墙是一种用于防御病毒的网关,能够对流经该网关的HTTPHTTP消息、消息、FTPFTP消息、消息、SMTPSMTP消息、消息、POP3POP3消息进行深度检测,发现包含在消息中的各种消息进行深度检测,发现包含在消息中的各种类型的病毒,阻止病毒植入内部网络终端类型的病毒,阻止病毒植入内部网络终端。 防毒防毒墙检测病毒时,通常采用基于特征的扫描技术和基于线索的扫墙检测病毒时,通常采用基于特征的扫描技术和
27、基于线索的扫描技术,携带病毒特征库,允许在线更新病毒特征库。描技术,携带病毒特征库,允许在线更新病毒特征库。病毒防御技术病毒防御技术 客户客户机通过自身的病毒检测软件发现可疑文件,将可疑文件发送给机通过自身的病毒检测软件发现可疑文件,将可疑文件发送给管理管理机,机,管理管理机将机将可疑可疑文件加密后传输文件加密后传输给病毒给病毒分析。分析。病毒分析机在模拟运病毒分析机在模拟运行环境中逐条仿真可疑文件代码,并监控每一条指令的执行结果,分析病行环境中逐条仿真可疑文件代码,并监控每一条指令的执行结果,分析病毒的感染和破坏机理,形成检测该病毒的行为特征和代码特征,以及基于毒的感染和破坏机理,形成检测该病毒的行为特征和代码特征,以及基于多种特定扫描技术的检测规则,将这些信息加密处理后发送给各个子网的多种特定扫描技术的检测规则,将这些信息加密处理后发送给各个子网的管理机,管理机解密后,传输给子网内的所有客户机,客户机病毒检测软管理机,管理机解密后,传输给子网内的所有客户机,客户机病毒检测软件根据这些信息及时更新病毒特征库件根据这些信息及时更新病毒特征库,添加,添加对应的检测对应的检测规则。规则。
