1、第9章 计算机病毒与反病毒技术 学习目标学习目标n恶意代码 n计算机病毒的发展历史及危害n计算机病毒的基本特征及传播方式n病毒的结构n常用的反病毒技术n常用的病毒防范方法n 代码是指计算机程序代码,可以被执行完成特定功能。n 起着破坏作用的计算机程序,这就是恶意代码。9.1 恶意代码9.1.1 恶意代码的概念恶意代码可以按照两种分类标准n是否需要宿主n需要宿主具有依附性,不能独立运行;n具有独立性,可独立运行。n是否能够自我复制n不能自我复制的恶意代码是不感染的;n能够自我复制的恶意代码是可感染的。9.1.2 恶意代码的分类4大类恶意代码分类标准需要宿主无需宿主不能自我复制不感染的依附性恶意代
2、码不感染的独立性恶意代码能够自我复制可感染的依附性恶意代码可感染的独立性恶意代码恶意代码的分类实例类别实例不感染的依附性恶意代码特洛伊木马(Trojan horse)逻辑炸弹(Logic bomb)后门(Backdoor)或陷门(Trapdoor)不感染的独立性恶意代码点滴器(Dropper)繁殖器(Generator)恶作剧(Hoax)可感染的依附性恶意代码病毒(Virus)可感染的独立性恶意代码蠕虫(Worm)细菌(Germ)1.不感染的依附性恶意代码(1)特洛伊木马:是一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能,这些额外的功能往往是有害的。”有3点解释:第一,“
3、有用的或必需的功能的程序”只是诱饵第二,“为人不知的功能”定义了其欺骗性,是危机所在之处,为几乎所有的特洛伊木马所必备的特点。第三,“往往是有害的”定义了其恶意性包括: (1)试图访问未授权资源(如盗取口令、个人隐私或企业机密); (2)试图阻止正常访问(如拒绝服务攻击); (3)试图更改或破坏数据和系统(如删除文件、创建后门等)。特洛伊木马一般没有自我复制的机制,所以不会自动复制自身。 特洛伊木马的欺骗性是其得以传播的根本原因。特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等,上载到电子新闻组或通过电子邮件直接传播,很容易被不知情的用户接收和继续传播。1997年4月,开发出
4、名叫AOL4FREE.COM的特洛伊木马,声称可以免费访问AOL,这个木马程序一旦执行就删除硬盘上的所有文件 。(2) 逻辑炸弹逻辑炸弹(Logic bomb)是一段具有破坏性的代码,事先预置于较大的程序中,等待某扳机事件发生触发其破坏行为。一旦逻辑炸弹被触发,就会造成数据或文件的改变或删除、计算机死机等破坏性事件。扳机事件可以是特殊日期,也可以是指定事件。 美国马里兰州某县的图书馆系统,开发该系统的承包商在系统中插入了一个逻辑炸弹,如果承包商在规定日期得不到全部酬金,它将在该日期使整个系统瘫痪。当图书馆因系统响应时间过长准备扣留最后酬金时,承包商指出了逻辑炸弹的存在,并威胁如果酬金不到位的话
5、就会让它爆炸。一个著名的例子(3) 后门(backdoor)或陷门(trapdoor)进入系统或程序的一个秘密入口,它能够通过识别某种特定的输入序列或特定账户,使访问者绕过访问的安全检查,直接获得访问权利,并且通常高于普通用户的特权。程序员为了调试和测试程序一直合法地使用后门,但当程序员或他所在的公司另有企图时,后门就变成了一种威胁。2.不感染的独立性恶意代码(1) 点滴器点滴器(dropper)是为传送和安装其他恶意代码而设计的程序,它本身不具有直接的感染性和破坏性。 点滴器专门对抗反病毒检测,使用了加密手段,以阻止反病毒程序发现它们。当特定事件出现时,它便启动,将自身包含的恶意代码释放出来
6、。(2) 繁殖器繁殖器(generator)是为制造恶意代码而设计的程序,通过这个程序,把某些已经设计好的恶意代码模块按照使用者的选择组合起来,没有创造新恶意代码的能力。检测由繁殖器产生的病毒比较容易,繁殖器的典型例子是VCL(Virus Creation Laboratory)。(3) 恶作剧恶作剧(hoax)是为欺骗使用者而设计的程序,它侮辱使用者或让其做出不明智的举动。恶作剧通过“心理破坏”达到“现实破坏”。如:有些恶作剧会让受骗者相信他的数据正在丢失或系统已经损坏需要重新安装,受骗者可能会做出不明智的操作。3.可感染的依附性恶意代码计算机病毒(virus)是一段附着在其他程序上的可以进
7、行自我繁殖的代码。由此可见,计算机病毒是既有依附性,又有感染性。绝大多数恶意代码都或多或少地具有计算机病毒的特征。4.可感染的独立性恶意代码(1) 蠕虫(worm)一种通过计算机网络能够自我复制和扩散的程序。蠕虫与病毒的主要区别:依附性。蠕虫不需要宿主,不会与其他特定程序混合。因此,与病毒感染特定目标程序不同,蠕虫感染的是系统环境(如操作系统或邮件系统)。根据传播方式可分为:n电子邮件蠕虫(Email Worm)通过电子邮件传播;n任意协议蠕虫(Arbitrary Protocol Worm)通过电子邮件以外的其他网络协议传播。蠕虫的分类:根据启动方式可分为:n自动启动蠕虫(Self-Laun
8、ching Worm)不需要与受害者交互而自动执行,如Morris Worm;n用户启动蠕虫(User-Launched Worm)必须由使用者来执行,因此需要一定的伪装,如CHRISTMA EXEC;n混合启动蠕虫(Hybrid-Launch Worm)包含上述两种启动方式。(2) 细菌计算机细菌(germ)是一种在计算机系统中不断复制自己的程序。一个典型的细菌是在多任务系统中生成它的两个副本,然后同时执行这两个副本,迅速以指数形式膨胀,最终会占用全部的处理器时间和内存或磁盘空间,从而导致计算资源耗尽无法为用户提供服务。细菌通常发生在多用户系统和网络环境中,目的就是占用所有的资源。 随着恶意
9、代码的不断进化,实际中的许多恶意代码同时具有多种特征,这样可以具有更大的威胁性。最典型的是蠕虫病毒,它是蠕虫和病毒的混合体,同时具有蠕虫和病毒的特征。恶意代码总结9.2 计算机病毒计算机病毒 计算机病毒的历史计算机病毒的历史n1983年11月3日,弗雷德科恩(Fred Cohen)博士研制出一种在运行过程中可以复制自身的破坏性程序.n1986年初,巴基斯坦的巴锡特(Basit)和阿姆杰德(Amjad)两兄弟编写了Pakistan病毒(即Brain病毒),该病毒在一年内流传到了世界各地。 n1988年11月2日,美国6000多台计算机被病毒感染,造成Internet不能正常运行 n1988年底,
10、在我国的国家统计部门发现小球病毒。n1989年,全世界计算机病毒攻击十分猖獗,我国也未幸免,其中米开朗基罗病毒给许多计算机用户造成极大损失。n1991年,在“海湾战争”中,美军第一次将计算机病毒用于实战,在空袭巴格达的战斗中,利用病毒成功地破坏了对方的指挥系统,保证了战斗的胜利。n1992年,出现针对杀毒软件的幽灵病毒,如One_Half。还出现了实现机理与以往的文件型病毒有明显区别的DIR2病毒。n1994年5月,南非第一次多种族全民大选的计票工作,因计算机病毒的破坏停止30多个小时,被迫推迟公布选举结果。n1996年,出现针对微软公司Office的宏病毒。1997年被公认为计算机反病毒界的
11、“宏病毒年”,其后几年宏病毒大量泛滥。n1998年,首例破坏计算机硬件的CIH病毒出现,引起人们的恐慌。n1999年3月26日,出现一种通过因特网进行传播的美丽杀手病毒(Melissa)。n1999年4月26日,CIH病毒在我国大规模爆发,造成巨大损失。 n2003年1月,全球爆发“蠕虫风暴”病毒(SQL1434),3月又爆发了“口令蠕虫”病毒(Dvldr32),5月份出现了“大无极”病毒变种, 8月份全球计算机网络遭受了“冲击波”病毒的袭击。n2004年5月,“震荡波”病毒。n2006年5至6月份相继出现针对银行的木马、病毒事件和进行网络敲诈活动的“敲诈者”病毒。2006年11月,我国又连续
12、出现 “熊猫烧香”、“仇英”、“艾妮”等盗取网上用户密码帐号的病毒和木马。 病毒的本质病毒的本质1病毒的定义 在中华人民共和国计算机信息系统安全保护条例中对计算机病毒进行了明确定义:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒的产生原因n(1)编制人员出于一种炫耀和显示自己能力的目的n(2)某些软件作者出于版权保护的目的而编制 n(3)出于某种报复目的或恶作剧而编写病毒 n(4)出于政治、战争的需要计算机病毒的发展历程n1. DOS引导阶段n2. DOS可执行阶段n3. 伴随阶段n4. 多形阶段n5.
13、 生成器、变体机阶段n6. 网络、蠕虫阶段n7. 视窗阶段n8. 宏病毒阶段n9. 邮件病毒阶段n10. 手持移动设备病毒阶段 2 2病毒的生命周期病毒的生命周期(1)隐藏阶段:病毒程序处于休眠状态,用户根本感觉不到病毒的存在,但并非所有病毒均会经历潜伏阶段。(2)传播阶段:病毒把自身的副本传播到未感染的程序或磁盘。(3)触发阶段:这个阶段病毒将被激活去执行病毒设计者预先设计好的功能。 病毒进入这一阶段也需要一些系统事件的触发,比如:病毒本身进行复制的副本数达到了某个数量。(4)执行阶段:这一阶段病毒将执行预先设计的功能直至执行完毕。计算机病毒病毒主要由潜伏机制、传染机制和表现机制构成。在程序
14、结构上由实现这3种机制的模块组成。3.计算机病毒的结构病毒的传染机制是强制性的(1)潜伏机制潜伏机制的功能包括初始化、隐藏和捕捉。潜伏机制模块随着感染的宿主程序的执行进入内存:n首先,初始化其运行环境,使病毒相对独立于宿主程序,为传染机制做好准备。n然后,利用各种可能的隐藏方式,躲避各种检测,欺骗系统,将自己隐蔽起来。n最后,不停地捕捉感染目标交给传染机制,不停地捕捉触发条件交给表现机制。(2)传染机制传染机制的功能包括判断和感染。n先判断候选感染目标是否已被感染,感染与否通过感染标记来判断,感染标记是计算机系统可以识别的特定字符或字符串。n发现作为候选感染目标的宿主程序中没有感染标记,就对其
15、进行感染,也就是将病毒代码和感染标记放入宿主程序之中。(3)表现机制表现机制的功能包括判断和表现。n首先对触发条件进行判断,然后根据不同的条件决定什么时候表现、如何表现。表现内容多种多样。表现机制反映了病毒设计者的意图,是病毒间差异最大的部分。潜伏机制和传染机制是为表现机制服务的。病毒的一般结构 Program v:=goto main; 1234567; subroutine infect-executable:= loop: file:=get-radom-executable-file; if (first-line-of-file = 1234567) then goto loop;
16、else prepend V to file; subroutine do-damage:= whatever damage is to be done subroutine trigger-pulled:= return true if some condition holds main: main-program:= infect-executable; if trigger-pulled then do-damage; goto next;next: 向病毒的主程序跳转感染标记n挂接性病毒挂接性病毒,注入到其他程序中,只要这些程序一运行,病毒就被激活。n 例如:病毒将拷贝添加到可执行文件
17、的第一条指令前,所有病毒指令将被最先执行,执行完后,控制权才交回程序第一条指令。n包裹性病毒包裹性病毒,在初始程序之前和之后都由病毒来控制运行. n整合并替换性病毒整合并替换性病毒,病毒用自身替换整合入目标代码.必须清楚知道初始程序的结构.4、计算机病毒的寄生方式挂接性病毒挂接性病毒包裹性病毒包裹性病毒整合并替换性病毒整合并替换性病毒(file infector)(boot sector)5、病毒的分类病毒分类按感染对象n混合型病毒混合型病毒兼顾引导型和文件型两种,不但感染破坏硬盘的引导区,而且感染和破坏文件 CIH病毒n文档类病毒文档类病毒( (document virus; macro v
18、irus):):文字文件数据库幻灯片电子数据表等文档包含数据部分(字符和数字)和命令部分(公式标准操作链接等,是高级语言的一部分,包括宏变量过程文件访问系统调用5、病毒的分类病毒分类按感染对象按病毒的隐藏方式n加密型病毒(encrypted virus)用不同密钥加密,病毒存储形态各不相同.包含:解密密钥,被加密的病毒代码,未被加密的用以说明解密规则的代码. 由于解密规则本身或对解密规则库的调用必须是公开的,就成了这类病毒的特征. n隐蔽型病毒(stealth virus)不仅隐藏部分病毒代码,而是病毒整体隐藏 例如压缩n多态病毒(polymorphic virus)能够改变自己外观的病毒如拥
19、有两个彼此等价的开始代码(病毒被安装后,会选择其中一个来初始化。不断随机重定位自身的所有部分并随即改变所有的固定数据。将一些无害的指令随机分散在自身代码中)n变型病毒(metamorphic virus)每次感染病毒都发生变异,重写病毒体,不仅改变病毒代码的组织形式,且病毒行为也改变了。 传统单机病毒欧洲防病毒协会提供了一段测试代码,可以快速而有效的检测你的杀毒软件的防护能力,测试测试方法方法: :1.鼠标右键点击桌面空白处,创建一个txt。2.将下面这段测试代码复制到txt里,保存,然后可以直接右键点击这个文本,用杀毒软件扫描,会自动报毒并将该文本删除。测试代码如下:X5O!P%AP4PZX
20、54(P)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*病毒的分类n测试原理: n 该段代码是欧洲计算机防病毒协会开发的一种病毒代码,其中的特征码已经包含在各种杀毒软件的病毒代码库里,所以可以用做测试病毒扫描引擎。 n测试等级: n 特等:复制完代码后便提示内存有病毒。n 优等:刚保存完就提示病毒。n 中等:保存后几秒提示病毒。n 下等:需自己启动病毒扫描查杀才提示病毒。n 劣等:无论怎么扫描都无法提示病毒。6、病毒的传播途径 (1)通过移动存储设备来传播(2)网络传播(3)无线传播病毒的具体危害主要表现在以下几个方面(1)病毒发作对计算机数据信息
21、的直接破坏(2)占用磁盘空间和对信息的破坏(3)抢占系统资源(4)影响计算机运行速度(5)计算机病毒错误与不可预见的危害(6)计算机病毒给用户造成严重的心理压力 7、病毒的危害、病毒的危害8、病毒的命名 病毒前缀.病毒名.病毒后缀。病毒前缀病毒前缀是指一个病毒的种类。病毒的种类。如:常见的木马的前缀是Trojan,蠕虫的前缀是Worm。病毒名病毒名是指一个病毒的家族特征病毒的家族特征如著名的CIH病毒的家族名都是统一的CIH,振荡波蠕虫病毒的家族名是Sasser。病毒后缀病毒后缀是区别病毒的变种的特征,区别病毒的变种的特征,可以采用数字与字母混合表示变种标识。如:Worm.Sasser.b就是
22、指振荡波蠕虫病毒的变种b。常见病毒前缀(1)系统病毒 系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的公有特性是可以感染Windows操作系统的*.exe和*.dll文件,并通过这些文件进行传播,如CIH病毒(Win95.CIH,Win32.CIH)(2)蠕虫病毒 蠕虫病毒的前缀是:Worm。如网络天空(Worm.Netsky.A)、贝革热(Worm.Bbeagle.A)、高波(Worm.Agobot.3)、震荡波(Worm.Sasser)等。 (3)木马病毒、黑客病毒n木马病毒其前缀是:Trojan,黑客病毒前缀名一般:Hack。(4)脚本病毒n脚本病毒的前缀是:
23、Script。脚本病毒的公有特性是使用脚本语言编写的病毒,如红色代码(Script.Redlof)。有的脚本病毒用VBS、JS作前缀,用来表明是用VBScript还是用JavaScript编写的,如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。常见病毒前缀(5)宏病毒n该类病毒的公有特性是能感染Office系列文档,然后通过Office通用模板进行传播,宏病毒的前缀是:Macro。如美丽杀手(Macro.Melissa)。(6)后门病毒n该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患,后门病毒的前缀是:Backdoor。如瑞波(B
24、ackdoor.Rbot)、IRC后门(Backdoor.IRCBot)。 常见病毒前缀n病毒演示9.3 几种典型病毒的分析几种典型病毒的分析9.3.1 CIH病毒病毒 CIH病毒,属于文件型病毒,主要感染Windows 9x下的可执行文件。CIH病毒使用了面向Windows的VxD技术,使得这种病毒传播的实时性和隐蔽性都特别强. v1.2发作日是每年4月26日。v1.3版本发作日是每年6月26日。v1.4版本发作日为每月26日。 VxD(virul x device)可以虚拟根本不存在的硬件,工作在操作系统的最底层,具备扩展操作系统的能力。 CIH病毒的破坏性病毒的破坏性nCIH病毒占据一般
25、的可执行文件空余的位置,所以感染后的文件大小没有变化,病毒代码的大小在1K左右。当一个染毒的EXE文件被执行,CIH病毒驻留内存,在其他程序被访问时对它们进行感染。nCIH对计算机硬盘计算机硬盘以及BIOS具有很强的破坏能力。n在病毒发作时,病毒将从硬盘主引导区开始依次往硬盘中写入垃圾数据,直到硬盘数据全被破坏为止;n还试图覆盖BIOS中的数据。一旦BIOS被覆盖掉,机器将不能启动,只有对BIOS进行重写。CIH病毒的破坏性病毒的破坏性3如何判断是否感染如何判断是否感染CIH病毒病毒有两种简单的方法可以判断是否已经感染上了CIH病毒:(1)CIH病毒感染EXE可执行文件,可以用工具软件Ultr
26、a Edit打开一个常用的EXE文件,然后按下“切换16进制模式按钮(ctrl+H)”,再查找“CIHv1.”,如果发现“CIH v1.2”,“CIH v1.3”或“CIH v1.4”等字符串,则说明已经被感染。-适用于其他感染可执行文件的病毒检测(2)感染了CIH v1.2版,则所有WinZip自解压文件均无法自动解开,同时会出现信息“WinZip自解压首部中断。可能原因:磁盘或文件传输错误。”感染了CIHv1.3版,则部分WinZip自解压文件无法自动解开。如果遇到以上情况,有可能就是感染上CIH病毒了。n宏:就是由一些命令组合而成的单一程序语句宏:就是由一些命令组合而成的单一程序语句,用
27、于完成某一项特定的任务。宏的集合就构成用于完成某一项特定的任务。宏的集合就构成了特定的了特定的“宏语言宏语言”。n微软公司当初为方便用户使用其产品,将WORD和EXECL 中的很多基本功能均以宏语言的形式提供给用户。n随着产品不断升级,微软宏语言的功能也在不断发展、壮大, 通过使用宏语言,用户能够以简捷的方法编制出格式复杂、功能强大的电子文档或电子表格,并以宏语言编程的方式自动完成一系列复杂或重复的操作。9.3.2 宏病毒 宏的录制n例:例:把一个词第一个字设置成红色,第二个字设置成蓝色。n录制宏前先把光标定到第一个字母前,开始录制,Shift+右键(选中第一个字母),用鼠标点工具栏“字符颜色
28、”后的下箭头,选颜色,(第一个字母颜色就设好了);右键(移到第二个字母前),Shift+右键(选中第二个字母),再选工具栏“字符颜色”后的下箭头,选颜色,(第二个字母颜色就设好了)。停止录制。录制好宏如下。 9.3.2 宏病毒 n宏病毒是一种使用宏语言编写的病毒,主要寄生于office文档或模板的宏中。n一旦打开这样的文档,宏病毒就会被激活,进入计算机内存,并驻留在Normal模板上。从此以后,所有自动保存的文档都会感染上这种宏病毒,如果网上其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。n宏病毒通常使用VB脚本,影响微软的Office组件或类似的应用软件,大多通过邮件传播。最有名
29、的例子是1999年的美丽杀手病毒(Melissa),通过Outlook来把自己放在电子邮件的附件中自动寄给其他收件人。n该病毒采用名为“MP”的单宏模块,并且当打开一个被病毒感染的文档时,病毒将感染Word的通用模板NORMAL.DOT,并影响到以后使用的Word文档。n当完成感染程序后,它将尝试将映射驱动器中的根目录及文件删除。n病毒的特征:当打开打开感染了该病毒的文档时,会出现带有 “Please Check Outlook Inbox E-Mail!”消息的消息框。按下“确认”按钮后,打开的文档中将看到被插入了以下的内容:“Hint: Get Norton 2000 not McAfee
30、 4.02 ”。Melissa V病毒特征1、宏病毒的特点、宏病毒的特点(1)专门感染数据文件专门感染数据文件以往病毒只感染程序,不感染数据文件,而宏病毒专门感染数据文件,彻底改变了人们的“数据文件不会传播病毒”的认识。(2)多平台交叉感染多平台交叉感染宏病毒冲破了以往病毒在单一平台上传播的局限。当Word、Excel这类著名应用软件在不同平台如Windows、OS/2和MacinTosh上运行时,会被宏病毒交叉感染。(3)容易编写容易编写以往病毒是以二进制的机器码形式出现,而宏病毒则是以人们容易阅读的源代码形式出现,所以编写和修改宏病毒比以往更容易。这也是前几年宏病毒的数量居高不下的原因。(
31、4)容易传播容易传播用户只要一打开带有宏病毒的电子邮件,计算机就会被宏病毒感染。此后,打开或新建文件都可能染上宏病毒,这导致了宏病毒的感染率非常高。2宏病毒的预防 (1)禁止所有自动宏的执行:打开word时,按住shift键。(2)检查是否存在可疑的宏:打开word-工具-宏-删除 (3)按照自己的习惯设置:将自己设置的宏保存生成Normal.dot,遇到宏病毒时,用其覆盖当前模板。 (4)提示保存Normal模板:工具-选项-选中“提示保存Normal模板”,感染宏病毒,提示更改模板时选择“否” (5)使用.rtf和.csv格式代替.doc和.xls:rtf和csv格式不支持宏应用,所以交换
32、文件时,保存为这两种格式较安全。 n方法一:nWord中新建一个空文档;n工具-选项-安全性n单击宏安全性,将安全级设置为“非常高”n工具-选项-保存对话框选择“提示保存Normal”模板n打开感染的word文档,出现启用宏提示时,选择否,然后将文档内容全部复制文档内容全部复制。n切换到新建的空word文档,文档内容文档内容粘贴保存,则宏病毒被清除。n关闭原来打开的感染的word文档,如出现是否保存Normal.dot提示时,选择否。3、宏病毒的清除n方法二:n工具-宏-管理器-宏方案-宏有效范围中打开要检查的文档。列表中出现该文档包含的宏,讲不明来源的宏删除。n退出word,C:根目录下有A
33、utoexec.dot文件删除。nC:documents and SettingsUserApplication DataMicrosoftTemplates 目录下找到删除Normal.dot9.3.3 蠕虫病毒 n 蠕虫(Worm)病毒是一种通过网络传播的恶性病毒,它通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁。 n 蠕虫与传统的病毒区别:如不利用文件寄生、对网络造成拒绝服务、与黑客技术相结合等。 普通病毒普通病毒蠕虫病毒蠕虫病毒存在形式存在形式寄生于文件独立程序传染机制传染机制宿主程序运行主动攻击传染目标传染目标本地文件网络计算机病毒名称 爆发时间造成损失
34、 莫里斯蠕虫1988年6000多台电脑停机,经济损失达9600万美元爱虫病毒2000年5月通过Outlook电子邮件系统传播,邮件的主题为“I LOVE YOU”,可以改写本地及网络硬盘上面的某些文件。众多用户电脑被感染.红色代码2001年7月通过微软公司 IIS系统漏洞进行感染,将网络蠕虫、计算机病毒、木马程序合为一体,可称之为划时代的病毒。直接经济损失超过26亿美元求职信2001年12月大量病毒邮件堵塞服务器,损失达数百亿美元蠕虫王2003年1月攻击安装有Microsoft SQL 的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码
35、.造成网络大面积瘫痪,银行自动提款机运做中断,直接经济损失超过26亿美元冲击波2003年7月大量网络瘫痪,造成了数十亿美金的损失MyDoom2004年1月一种通过电子邮件附件和P2P网络传播的病毒,当用户打开并运行附件即向外发送大量的垃圾邮件,并在系统留下后门。攻击SCO和微软网站,给全球经济造成了300多亿美元的损失2蠕虫病毒的基本结构和传播过程(1)蠕虫的基本程序结构包括以下3个模块:n传播模块:负责蠕虫的传播,传播模块又可以分为三个基本模块:扫描模块、攻击模块和复制模块。n隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。n目的功能模块:实现对计算机的控制、监视或破坏等功能。n扫描:由
36、蠕虫的扫描模块负责探测存在漏洞的主机。收到成功的反馈信息后,就得到一个可传播的对象。n攻击:攻击模块按漏洞攻击步骤自动攻击上一步骤中找到的对象,取得该主机的权限(一般为管理员权限)。 n复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。(2)蠕虫程序的一般传播过程为:3蠕虫病毒实例爱情后门 n爱情后门(Worm.Lovgate)发作时间是随机的,主要通过网络和邮件来传播,感染对象为硬盘文件夹。n中毒特征:d、e、f等盘不能打开。n根目录下存在Autorun.tif、command.exe、及很多.zip .rar的压缩文件。nNetMeeting.exe、Winhelp.ex
37、e等进程占用CPU。nNetstat an查看网络连接,会发现很多端口处于连接或监听状态。网速极慢。n任务管理器中看到多个cmd.exe进程。等病毒的清除n为系统账户设置足够复杂的登录密码n关闭共享文件夹n给系统打补丁n升级杀毒软件病毒库,断开网络物理连接,关闭系统还原功能,进入安全模式杀毒。9.3.4 木马一个完整的木马系统由硬件部分,软件部分和具体连接部分组成。(1)硬件部分:建立木马连接所必须的硬件实体。 (2)软件部分:实现远程控制所必须的软件程序。(3)具体连接部分:通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。 (1)硬件部分:n控制端:对服务端进行远程控制
38、的一方。 n服务端:被控制的一方。(2)软件部分:n控制端程序:控制端用以远程控制服务端的程序。 n木马程序:潜入服务端内部,获取其操作权限的程序。 n木马配置程序:设置木马程序的端口号,触发条件,木马名称等,使其在服务端藏得更隐蔽的程序。 (3)具体连接部分:建立一条木马通道所必须的元素。 n控制端IP,服务端IP:即控制端,服务端的网络地址,也是木马进行数据传输的目的地。 n控制端端口,木马端口:即控制端,服务端的数据入口,通过这个入口,数据可直达控制端程序或木马程序。 木马的原理配置木马 (1)木马伪装:木马配置程序为了在服务端尽可能的隐藏木马,会采用多种伪装手段。 伪装方式伪装方式 修
39、改图标修改图标 n将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标 捆绑文件捆绑文件 n将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷的进入了系统。被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。 出错显示出错显示 n有的木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时,会弹出一个错误提示框,错误内容可自由定义,大多会定制成一些诸如“文件已破坏,无法打开的!”之类的信息,当服务端用户信以为真时,木马却悄悄侵入了系统。 定制端口定制端口 n很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端
40、口就 知道感染了什么木马, 现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断所感染木马类型带来了麻烦。 自我销毁自我销毁 n当服务端用户打开含有木马的文件后,木马会将自己拷贝到WINDOWS的系统文件夹中(如C:WINDOWS)。n木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁,这样服务端用户就很难找到木马的来源,在没有查杀木马的工具帮助下,就很难删除木马了。 木马更名木马更名 n现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难判断所感染的木马类型。 (2)建立连接
41、)建立连接 n必须满足两个条件:一是服务端已安装了木马程序;二是控制端,服务端都要在线 。 在此基础上控制端可以通过木马端口与服务端建立连接。 建立连接过程建立连接过程n假设A机为控制端,B机为服务端,A与B建立连接必须知道B的木马端口和IP地 址,木马端口是A机事先设定的,为已知项,所以最重要的是如何获得B的IP地址。n获得B的IP 地址的方法主要有两种:信息反馈和IP扫描。n信息反馈:木马配置程序将信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址,ICQ号等。通过设置方式将IP地址反馈给控制端。nIP扫描:因为B机装有木马程序,假设它的木马端口是7626,处于开放状态的,A机只要扫描
42、IP地址段中7626端口开放的主机就行了。n建立连接:A机通过木马的控制端程序向B机发出连接信号,B机中的木马程序收到信号后立即作出响应,当A机收到响应的信号后, 开启一个随即端口1031与B机的木马端口7626建立连接,到这时一个木马连接才算真正建立。(3)远程控制)远程控制 n木马连接建立后,控制端程序可与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。实现:(1)窃取密码:一切以明文的形式,*形式或缓存在CACHE中的密码都能被木马侦测到,此外很多木马还提供有击键记录功能,它将会记录服务端每次敲击键盘的动作,所以一旦有木马入侵, 密码将很容易被窃取。 (2)文件操作:控制
43、端可由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。 (3)修改注册表:控制端可任意修改服务端注册表,包括删除,新建或修改主键,子键,键值。有了这项功能控制端就可以禁止服务端软驱,光驱的使用,锁住服务端的注册表,将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。 (4)系统操作:这项内容包括重启或关闭服务端操作系统,断开服务端网络连接,控制服务端的鼠标, 键盘,监视服务端桌面操作,查看服务端进程等,控制端甚至可以随时给服务端发送信息,想象一下,当服务端的桌面上突然跳出一段话,不吓人一跳才怪。 木马查找
44、木马查找 1、检查网络连接情况 n由于不少木马会主动侦听端口,或者会连接特定的IP和端口,所以可以在没有正常程序连接网络的情况下,通过检查网络连情情况来发现木马的存在。n具体的步骤是点击“开始”-“运行”-“cmd”,然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口。2、查看目前运行的服务 通过点击“开始”-“运行”-“cmd”,然后输入“net start”来查看系统中开启的服务。n如果发现了不是自己开放的服务,我们可以进入任务管理器中的“服务”管理工具,找到相应的服务,停止并禁用它。 n3、检查系统启动项 检查注册表启动项的方法如下:点击“开始
45、”-“运行”-“regedit”,然后检查HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY-USERSDefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。 4、检查系统帐户 n 点击“开始”-“运行”-“cmd”,然后在命令行下输入net user,查看计算机上的用户。n使用“net us
46、er 用户名”查看这个用户是属于什么权限的。n一般除了Administrator是administrators组的,其他都不应该属于administrators组,如果你发现一个系统内置的用户是属于administrators组的,那几乎可以肯定被入侵了。n使用“net user用户名/del”来删掉这个用户。查杀木马的工具nLockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等,木马分析专家是免费软件。9.3.5 病毒的发展趋势 (1)传播网络化(2)利用操作系统和应用程序的漏洞 (3)混合型威胁 (4)病毒制作技术新 (5)病毒家族化特征显著 9.4 反
47、病毒技术 9.4.1 反病毒技术的发展阶段反病毒技术的发展阶段一个合理的反病毒方法,应包括以下几个措施:n检测检测:就是能够确定一个系统是否已发生病毒感染,并能正确确定病毒的位置。n识别识别:检测到病毒后,能够辩别出病毒的种类。n清除清除:识别病毒之后,对感染病毒的程序进行检查,清除病毒并使程序还原到感染之前的状态,从系统中清除病毒以保证病毒不会继续传播。n如果检测到病毒感染,但无法识别或清除病毒,解决方法是删除被病毒感染的文件,重载未被感染的版本。 反病毒软件可以划分为四代:l 第一代:简单的扫描器l 第二代:启发式扫描器l 第三代:行为陷阱l 第四代:全部特征保护第一代:简单的扫描器n需要
48、病毒特征来识别病毒,也称特征代需要病毒特征来识别病毒,也称特征代码法。码法。n方法方法:病毒扫描软件由病毒代码库(从病毒样本中抽取的特征代码)和利用代码库进行扫描的扫描程序两部分构成。n特点:特点:检测准确、可识别病毒的名称、清除彻底。但不能检测未知病毒和变种病毒,需定期更新病毒资料库,具有滞后性。第二代:启发式扫描器n一种方法:通过查找一种方法:通过查找经常与病毒相关联的代经常与病毒相关联的代码段码段确定病毒。n另一种方法是另一种方法是校验和法校验和法:通过病毒感染文件:通过病毒感染文件的特征来识别病毒。的特征来识别病毒。n根据文件的内容计算其校验和,并将所有文件的根据文件的内容计算其校验和
49、,并将所有文件的校验和放在资料库中。检测时将文件现有内容的校验和放在资料库中。检测时将文件现有内容的校验和与资料库中的校验和做比较,若不同则判校验和与资料库中的校验和做比较,若不同则判断其被染毒。断其被染毒。n特点:可检测未知病毒和变种病毒,最大的缺点就是误特点:可检测未知病毒和变种病毒,最大的缺点就是误判断高且无法确认是哪种病毒感染的。判断高且无法确认是哪种病毒感染的。第三代:行为陷阱n通过病毒的行为识别病毒。通过病毒的行为识别病毒。n又称人工智能陷阱又称人工智能陷阱是一种监测计算机行是一种监测计算机行为的常驻内存扫描技术。它将为的常驻内存扫描技术。它将病毒所产病毒所产生的行为生的行为归纳起
50、来,归纳起来,定制可能有感染操定制可能有感染操作的动作集合作的动作集合。n特点:不需定制病毒特征库或启发式规则,特点:不需定制病毒特征库或启发式规则,执行速度快,手续简便且可以检查到各式执行速度快,手续简便且可以检查到各式病毒;但程序设计难,且不容易考虑周全。病毒;但程序设计难,且不容易考虑周全。n可疑的功能:n格式化磁盘类操作n搜索和定位各种可执行程序的操作n实现驻留内存的操作n发现非常的或未公开的系统功能调用的操作n例如,一段程序以如下序列开始:nMOV AH, 5nINT 13hn实现调用格式化盘操作的BIOS指令功能,那么这段程序就高度可疑值得引起警觉,n尤其是假如这段指令之前不存在取
