1、第 4 章计算机病毒与木马 第 4 章计算机病毒与木马4.1计算机病毒概述计算机病毒概述4.2计算机病毒的危害及其表现计算机病毒的危害及其表现4.3计算机病毒的检测与防范计算机病毒的检测与防范4.4木马病毒木马病毒4.5木马的攻击防护技术木马的攻击防护技术4.1计算机病毒概述计算机病毒概述计算机病毒是一个程序,一段可执行代码,可以从不同角度给出计算机病毒的定义。(1)通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序的一种程序;(2)能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序;(3)是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或
2、程序里,当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏。4.1.1 计算机病毒的起源计算机病毒的起源 1、计算机病毒的几种起源说、计算机病毒的几种起源说(1)科学幻想起源说。美国作家写了一本名为冲击波骑士的书,计算机作为正义和邪恶双方斗争的工具。(2)恶作剧起源说。对计算机知识和技术非常感兴趣的人,热衷于哪些别人认为不可能做成的事情,向别人展示自己的才能。如美国网络蠕虫病毒的编写者莫里斯。(3)游戏程序起源说。计算机发展早期,美国贝尔实验室的程序员曾自娱自乐,编制了吃掉对方程序的程序,看谁先把对方的程序吃光。1983年11月3日美国计算机专家弗莱德-科恩在美国国家
3、计算机安全会议上,演示了自己研究的一种在运行过程中可以复制自身的破坏性程序,并在VAXII/750计算机系统上运行,这是世界上第一例被证实的计算机病毒。计算机病毒的发展史计算机病毒的发展史l在病毒的发展史上,呈现一定的规律性,一般情况是新的病毒技术出现后,病毒会迅速发展,接着反病毒技术的发展会抑制其流传。操作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。它可划分为:l(1)DOS引导阶段。1987年,软盘传播,在计算机通过软盘启动过程中取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率。l(2)DOS可执行阶段。1989年,利用DOS系统加载执行文件的机制,在系统执行文件时取
4、得控制权,修改DOS中断,在系统调用时进行传染,并自我复制。代表病毒:耶路撒冷,星期天l(3)伴随、批次型阶段。1992年,利用DOS加载文件的优先顺序工作,不改变原来的文件内容和属性,受此感染的EXE文件会生成一个扩展名为COM的同名伴随文件。(4)幽灵、多形阶段 (汇编语言)(5)生成器、变体机阶段(汇编语言)(6)网络,蠕虫阶段(7)视窗阶段。1996年,随着Windows视窗操作系统的日益普及,利用Windows进行工作的病毒开始发展,如典型的word宏病毒,利用word提供的宏语言编写病毒程序。(8)爪哇(Java)、邮件炸弹阶段。随着java技术在互联网上的普及,典型代表java
5、snake和Mail-Bomb。(9)互连网阶段。泛指通过互联网传播的病毒。蠕虫病毒 简介l蠕虫病毒是一种常见的计算机病毒。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。l它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。l蠕虫病毒是自包含的程序(或是一套程序),它能传播自身功能的拷贝或自身(蠕虫病毒)的某些部分到其他的计算机系统中(通常是经过网络连接)。蠕虫病毒 特点l蠕虫病毒主要具备以下特点。l1较强的独立性。从某种意义上来讲,蠕虫病毒开辟了计算机病毒传播和破坏能力的新纪元,不依赖宿主程序,它是一段独立的程序或代
6、码,因此也就避免了受宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而主动地实施攻击。l2利用漏洞主动攻击。蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。尼姆达病毒利用了IE浏览器的漏洞,使感染了病毒的邮件附件在不被打开的情况下就能激活病毒;红色代码利用了微软IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播;而蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。蠕虫病毒 特点l蠕虫病毒主要具备以下特点。l3传播更快更广。它不仅仅感染本地计算机,而且会以本地计算机为基础,感染网络中所有的服务器和客户端。蠕虫病毒可以通过网络中的共享文件夹、电子邮件、恶意网页以及存在着大量漏洞的服
7、务器等途径肆意传播,几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致,因此,蠕虫病毒的传播速度可以是传统病毒的几百倍,甚至可以在几个小时内蔓延全球,造成难以估量的损失。我们可以做一个简单的计算:如果某台被蠕虫感染的计算机的地址簿中有100个人的邮件地址,那么病毒就会自动给这100个人发送带有病毒的邮件,假设这100个人中每个人的地址簿中又都有100个人的联系方式,那很快就会有100 100=10 000个人感染该病毒,如果病毒再次按照这种方式传播就会再有100 100 100 1 000 000个人感染,而整个感染过程很可能会在几个小时内完成。由此可见,蠕虫病毒的传播速度非常惊人。蠕虫病毒 特点l
8、蠕虫病毒主要具备以下特点。l4更好的伪装和隐藏方式。在通常情况下,我们在接收、查看电子邮件时,都采取双击打开邮件主题的方式浏览邮件内容,如果邮件中带有病毒,用户的计算机就会立刻被病毒感染。因此,通常的经验是:不运行邮件的附件就不会感染蠕虫病毒。但是,目前比较流行的蠕虫病毒将病毒文件通过base64编码隐藏到邮件的正文中,并且通过mine的漏洞造成用户在单击邮件时,病毒就会自动解码到硬盘上并运行。l5技术更加先进。一些蠕虫病毒与网页的脚本相结合,利用VB Script、Java、ActiveX等技术隐藏在HTML页面里。当用户上网浏览含有病毒代码的网页时,病毒会自动驻留内存并伺机触发。还有一些蠕
9、虫病毒与后门程序或木马程序相结合,比较典型的是红色代码病毒,它会在被感染计算机Web目录下的scripts下将生成一个root.exe后门程序,病毒的传播者可以通过这个程序远程控制该计算机。蠕虫病毒 原理和传播l蠕虫的基本程序结构为:l传播模块:负责蠕虫的传播。l隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现。l目的功能模块:实现对计算机的控制、监视或破坏等功能。l传播模块又可以分为三个基本模块:扫描模块、攻击模块和复制模块。蠕虫程序的一般传播过程为:l扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后,就得到一个可传播的对象。l攻击
10、:攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象,取得该主机的权限(一般为管理员权限),获得一个shell。l复制:复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。4.1.2 计算机病毒的定义及特征 1.计算机病毒的定义:计算机病毒的定义:编制或者在计算机程序中插入的破坏计算机功能湖综合破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。2.计算机病毒的产生。计算机病毒的产生。展示才华、报复、好奇、为软件拿不到报酬预留的陷阱,政治军事宗教、获取利益3.计算机病毒的特点计算机病毒的特点(1)计算机病毒的程序性(可执行性)。寄生或单独(2)计算机病毒的传染性。病毒
11、程序一旦进入计算机并得以执行,就会自动搜索其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。可通过U盘,网络等手段进行传播。(3)计算机病毒的潜伏性。表现(一)不通过专门杀毒软件无法检测和识别,(二)不满足触发条件时,病毒除了传染不做破坏工作,不易察觉。(4)计算机病毒的可触发性。时间,日期,文件类型或某些特定数据。(5)计算机病毒的破坏性。消耗资源,降低系统性能,毁掉数据,破坏硬件,盗取敏感信息。3.计算机病毒的特点计算机病毒的特点(6)攻击的主动性。无法彻底排除攻击(7)病毒的针对性。针对特定操作系统,软件,硬件等存在的漏洞。(8)病毒的非授权性。(9
12、)病毒的隐蔽性。传染的隐藏性,存在的隐藏性。(10)病毒的衍生性。产生各种变种,难以完全抵御(11)病毒的寄生性(依附性)。依赖于宿主程序(12)病毒的持久性。从存在到被发现的周期很长,及时被发现后的清除工作也很复杂。4.1.3 计算机病毒的生命周期计算机病毒的生命周期(1)开发期。以前制作一个病毒需要有很好的编程基础,现在有一点计算机编程知识的人都能制作病毒,通常是在一个漏洞被公开后的一段时间内。(2)传染期。复制和传播,通过感染热门论坛和站点使得病毒迅速传播到互联网。(3)潜伏期。触发条件不满足,发作前(4)发作期。触发条件满足进行发作,有各种特征(5)发现期。防病毒厂商和相关安全部门(6
13、)消化期。针对衍生病毒和由此引起新病毒的检测。(7)消亡期。已感染的计算机成功清除,并打了补丁,安装了防病毒软件。发现到消亡通常是一个长期的过程4.1.4 计算机病毒的分类计算机病毒的分类 l1.按攻击对像分类按攻击对像分类l若按病毒攻击的对象来分类,可分为攻击微型计算机、小型机和工作站的病毒,甚至安全措施很好的大型机及计算机网络也是病毒攻击的目标。这些攻击对象之中,以攻击微型计算机的病毒最多,其中90是攻击IBM PC机及其兼容饥的。其他还有攻击Macintosh及Amiga计算机的。2.按入侵途径分类按入侵途径分类(1)操作系统病毒。用病毒本身的程序意图加入或替代部分操作系统进行工作。(2
14、)外壳病毒。附在宿主程序的首尾,一般对源程序不进行修改。(3)源码病毒。大型程序源码被编译前插入病毒代码,技术难度大,较为少见。(4)入侵病毒。侵入的主程序中,并替代主程序中部分不常用的功能模块或堆栈区。3.按传染方式分类按传染方式分类(1)传染磁盘引导区的病毒(2)传染可执行文件的病毒传染操作系统文件的病毒传染一般可执行文件的病毒既传染文件又传染磁盘引导区的病毒4.按病毒存在的媒体分类按病毒存在的媒体分类l可以分为网络病毒、文件病毒和引导型病毒。l网络病毒通过计算机网络传播感染网络中的可执行文件;l文件病毒感染计算机中的文件(如:COM,EXE,DOC等);l引导型病毒感染启动扇区(Boot
15、)和硬盘的系统引导扇区(MBR)。l还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。5.按病毒破坏的能力分类按病毒破坏的能力分类(1)无害型。除了传染时减少磁盘的可用空间外,对系统没有其他影响。(2)无危险型。这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。(3)危险型。这类病毒在计算机系统操作中造成严重的错误。(4)非常危险型。这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。6.按计算机病毒特有的算法分类按计算机病毒特有的算法分类(1)伴随型病毒。
16、不改变文件本身,根据算法产生exe文件的伴随体,具有同样的名字和不同的扩展名(com)。当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的文件。(2)“蠕虫”型病毒。独立存在,不依赖宿主程序。(3)寄生型病毒。依附在系统的引导扇区或文件中,通过系统的功能进行传播。7.按其表现性质按其表现性质良性病毒和恶意病毒。恶意病毒“四大家族”宏病毒 CIH病毒 蠕虫病毒木马病毒4.2 计算机病毒的危害及其表现计算机病毒的危害及其表现 4.2.1 计算机病毒的危害计算机病毒的危害1、病毒激发对计算机数据信息的直接破坏、病毒激发对计算机数据信息的直接破坏作用作用。大部分病毒在激发的时候直接破坏。
17、大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和目录区、格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的垃圾数据改删除重要文件或者用无意义的垃圾数据改写文件、破坏写文件、破坏CMO5设置等。设置等。2、占用磁盘空间和对信息的破坏、占用磁盘空间和对信息的破坏l寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区,覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失,无法恢复,所以在传染过程中一般不破坏磁盘上的原有数据,但非法侵占了磁盘空间,造成磁盘空间的严重浪费。
18、3、抢占系统资源、抢占系统资源l除VIENNA、CASPER等少数病毒外,其他大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存,导致内存减少,一部分软件不能运行。除占用内存外,病毒还抢占中断,干扰系统运行。4、影响计算机运行速度、影响计算机运行速度 病毒进驻内存后不但干扰系统运行,还影响计算机速度,主要表现在:(1)病毒为了判断传染激发条件,总要对计算机的工作状态进行监视,这相对于计算机的正常运行状态既多余又有害。(2)有些病毒为了保护自己,不但对磁盘上的静态病毒加密,而且进驻内存后的动态病毒也处在加密状态;而病毒运行结
19、束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上万条指令。(3)病毒在进行传染时同样要插入非法的额外操作,特别是传染软盘时不但计算机速度明显变慢,而且软盘正常的读写顺序被打乱,发出刺耳的噪声。5、计算机病毒错误与不可预见的危害、计算机病毒错误与不可预见的危害l计算机病毒与其他计算机软件的最重要差别是病毒的无责任性。l编制一个完善的计算机软件需要耗费大量的人力、物力,经过长时间调试完善,软件才能推出。l但在病毒编制者看来既没有必要这样做,也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出,绝大部分病毒都存在不同程度的错误。l计算机病毒错误所产生的后果往往
20、是不可预见的,反病毒工作者曾经详细指出黑色星期五病毒存在9处错误,乒乓病毒有5处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在。大量含有未知错误的病毒扩散传播,其后果是难以预料的。6、计算机病毒的兼容性对系统运行的影响、计算机病毒的兼容性对系统运行的影响l兼容性是计算机软件的一项重要指标,兼容性好的软件可以在各种计算机环境下运行,反之兼容性差的软件则对运行条件“挑肥拣瘦”,要求机型和操作系统版本等,而病毒的兼容性较差,常常会导致死机。7、计算机病毒给用户造成严重的心理压力、计算机病毒给用户造成严重的心理压力l据有关计算机销售部门统计,计算机售后用户怀疑计算机有病毒而提出咨询约占售
21、后服务工作量的60以上。经检测确实存在病毒的约占70,另有30情况只是用户怀疑,而实际上计算机并没有病毒,仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是个人单机用户,在一些大型网络系统中也难免为甄别病毒而停机。l总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头,给人们造成巨大的心理压力,极大地影响了现代计算机的使用效率,由此带来的无形损失是难以估量的。4.2.2 计算机病毒的表现计算机病毒的表现(1)平时运行正常的计算机突然经常性无缘无故地死机(2)操作系统无法正常启动(3)运行速度明显变慢(4)以前能正常运行的软件经常发生内存不足的错误(5)打印和通讯发生异常(6)无意中要
22、求对软盘进行写操作(7)以前能正常运行的应用程序经常发生死机或者非法错误(8)系统文件的时间、日期、大小发生变化(9)对于Word文档,另存时只能以模板方式保存,无法另存为一个DOC文档。(10)磁盘空间迅速减少(11)网络驱动器卷或共享目录无法调用(12)基本内存发生变化(13)陌生人发来的电子函件(14)自动链接到一些陌生的网站 计算机病毒工作流程示意图触发条件可以是单个条件或复合条件1.单条件触发。萨达姆病毒,每当中断向量单条件触发。萨达姆病毒,每当中断向量int21H调调用用8次,病毒的表现部分即被显示次,病毒的表现部分即被显示2.复合条件触发复合条件触发(1)时间触发条件(2)功能触
23、发条件。以计算机提供的功能作为触发条件,如copy(3)宿主触发条件。许多病毒,尤其是传染可执行文件的病毒,对于正在运行或当前目录下的程序或正在引导中的磁盘时有选择性的。如:4月1日病毒仅感染扩展名为com的可执行文件 黑色星期五病毒触发条件为某月13日,且为周五4.2.4 常见的计算机病毒常见的计算机病毒l(1)引导型、病毒文件型病毒和复合型病毒l引导型病毒有:大麻病毒、2708病毒、火炬病毒、小球病毒、Girl病毒等。l文件型病毒有:1575/1591病毒、848病毒(感染.COM和.EXE等可执行文件)Macro/Concept、Macro/Atoms等宏病毒(感染.DOC文件)。l复合
24、型病毒有:Flip病毒、新世际病毒、One-half病毒等。l(2)良性病毒和恶性病毒l良性病毒有:小球病毒、1575/1591病毒、救护车病毒、扬基病毒等等。l恶性病毒有:黑色星期五病毒、火炬病毒、米开朗基罗病毒等。4.3计算机病毒的检测与防范 l4.3.1 计算机病毒检测方法 l1、比较法:用原始备份与被检测的引导扇区或被检测文件进行比较。使用比较法的前提是必须保留原始备份,容易发现异常,如文件长度的变化,但无法确定异常发生的原因是由于程序或硬件的意外还是病毒造成的,即使确定是病毒,也无法确定病毒的种类和名称。l2、加总对比法。根据每个程序的名称、大小、时间、日期及内容,加总为一个检查码,
25、再将检查码附于程序的后面,或者将所有检查码放在同一个数据库中,再利用加总对比系统,追踪并记录灭个程序的检查码是否遭篡改,以判断是否感染了计算机病毒。确定是误判断高,且无法确认是那种计算机病毒感染的。4.3.1 计算机病毒检测方法l3、搜索法。用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描。l国外对这种按搜索法工作的计算机病毒扫描软件叫virus scanner。计算机病毒扫描软件由两部分组成:一部分是计算机病毒代码库,含有经过特别选定的各种计算机病毒的代码串;另一部分是利用该代码库进行扫描的程序。目前常见的防杀计算机病毒软件对已知病毒的检测多采用这种方法。l病毒库内特征码的数量越多
26、,其能识别的病毒就越多。计算机病毒特征码的选择非常重要,一旦选择不当容易造成误杀,通常采用复合特征码。l缺点:扫描费时,特征串选择难度较高,特征库需要不断升级,病毒制造者获得特征码后很容易制作变种病毒,容易产生误报,难以识别多维变形病毒。4.3.1 计算机病毒检测方法4、分析法。具体分析步骤如下:l(1)确认被观察的磁盘引导扇区和程序中是否含有计算机病毒。l(2)确认计算机病毒的类型和种类,判定其是否是一种新的计算机病毒。l(3)明确病毒体的大致结构,提取特征识别用的字符串和特征字,用于添加到计算机病毒代码库供病毒扫描和识别程序用l(4)详细分析计算机病毒代码,指定防杀病毒的方案。l上述工作一
27、般是技术人员做,需要有较全面的计算机,操作系统和网络等的结构和功能调用以及关于计算机病毒方面的各种知识,还需要使用反汇编工具,二进制文件处理。l防杀计算机病毒工作中不可缺少的重要技术,核心工作。l分析的步骤可分为静态分析和动态分析两种。静态分析是指利用反汇编工具将计算机病毒源码解析出来,然后分析其模块构成,采用的系统调用等关键技术,并将病毒感染文件的过程翻转为清除病毒,修复文件的过程,判断哪些代码可以作为判断此种病毒的特征码。动态分析则是利用debug等调试工具,在内存带毒的情况下对计算机病毒做动态跟踪,观察病毒的具体工作过程和工作原理。4.3.1 计算机病毒检测方法5、人工智能陷阱技术和宏病
28、毒陷阱技术。人工智能陷阱是一种检测计算机行为的常驻式扫描技术,将所有计算机病毒所产生的行为归纳起来,自动检测系统异常行为,并发出警告,程序编写难度较大。宏陷阱技术是结合了搜索法和人工智能陷阱技术,依行为模式来侦测已知和未知的宏病毒。6、软件仿真扫描法。针对多态变形计算机病毒(每次传染时都将自身以不同的随机数加密于每个感染的文件中,传统搜索算法对其无效),软件仿真通过在DOS虚拟机下伪执行计算机病毒程序,安全将病毒解密,使其露出本来面目,再加以扫描。7、先知扫描法。将专业人员用来判断程序是否存在计算机病毒代码的方法,分析归纳成专家系统和知识库,在利用软件模拟技术伪执行新的计算机病毒,超前分析出新
29、计算机病毒代码趋势4.3.2 常见计算机病毒的防范(略)l1、文件型病毒、文件型病毒 l2、引导型病毒、引导型病毒l3、宏病毒、宏病毒l4、蠕虫病毒、蠕虫病毒4.3.3 计算机病毒未来发展趋势l1、主流病毒皆为综合利用多种编程新技术产生。l2、ARP病毒仍是局域网的最大祸害。ARP病毒发作时网络连接正常,但内部网络电脑经常掉线甚至无法上网。l3、网游病毒把逐利当做唯一目标。l4、不可避免的面对驱动级病毒。ARP病毒larp病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称。larp协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC地址)
30、。l通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。l传奇外挂携带的ARP木马攻击,当局域网内使用外挂时,外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。l解决方法是在能上网时,进入MS-DOS窗口,输入命令:arp a查看网关IP对应的正确MAC地址,将其记录,如果已不能上网,则先运行一次命令arp d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,禁用网卡或拔掉网线,再运行arp a。4.4
31、木马病毒木马病毒l4.4.1 木马的概述 l木马(Trojan)这个名字来源于古希腊传说(荷马史诗中木马计的故事,Trojan一词的本意是特洛伊,即指特洛伊木马,也就是木马计的故事)。l特洛伊木马的故事是在古希腊传说中,希腊联军围困特洛伊久攻不下,于是假装撤退,留下一具巨大的中空木马,特洛伊守军不知是计,把木马运进城中作为战利品。夜深人静之际,木马腹中躲藏的希腊士兵打开城门,特洛伊沦陷。木马程序的组成l完整的木马程序一般由两个部分组成:一个是服务端(被控制端),一个是客户端(控制端)。l“中了木马”就是指安装了木马的服务端程序,若你的电脑被安装了服务端程序,则拥有相应客户端的人就可以通过网络控
32、制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的账号、密码无安全可言了。木马的简单识别l1、使用netstat -ano命令查看本机是否有处于监听状态的未知端口,尤其是大于1024的端口,记录其进程id。l2、打开windows任务管理器,查看 选择列,在弹出窗口上勾选PID选项,使得任务管理能够显示进程id。l3、通过前面记录的进程id,找到进程名。或用tasklist命令在dos状态下查看id对应的进程名。l4、上网查看是否有类似名字病毒的报告4.4.2 木马的发展历史 4.4.2 木马的发展历史第一代木马:伪装性病毒。伪装成合法程序诱骗用户上当。世界上第一个计算机
33、木马出现在1986年的PC-Write木马,它伪装成PC-Write软件的2.72版本(实际编写PC-Write 软件的Quicksoft公司从未发行过此版本的软件),一旦用户信以为真,下载并运行该木马软件,那么下场就是硬盘被格式化。第二代木马:AIDS型木马。给别人寄去一张含有木马程序的软盘,软盘中正常含有放置AIDS和HIV疾病的药品,价格,预防措施等信息,一旦木马程序被执行,便将硬盘加密锁死,然后提示受感染用户花钱消灾。第三代木马:网络传播性木马。具有两个新特征1、添加了“后门”功能。属于一个客户/服务器模式的程序,被控制的计算机可以看做一台服务器,打开一个默认的端口进行监听,控制端则是
34、一台客户机,可以根据约定格式向服务器发送数据,服务器进行相应的处理,从而控制服务器端。2、添加了击键记录功能。记录用户所有的击键内容,然后形成击键记录的日志文件发送给恶意用户。恶意用户可以从中找到一些敏感信息,如用户名,密码,信用卡号等。4.4.3 木马的分类 1.网络游戏木马。网络游戏木马。虚拟货币的流通使得网游产业链中存在较大的商业利益,通过盗取网游的账号和密码来获取利益的木马软件应运而生。通常通过记录用户键盘深入,Hook游戏进程API函数等方法获取用户的账号和密码,获取的信息一般通过电子邮件或向远程脚本程序提交的方式发送给木马作者n关于Hook技术:API HOOK技术是一种用于改变A
35、PI执行结果的技术,Microsoft 自身也在Windows操作系统里面使用了这个技术,如Windows兼容模式等。nAPI HOOK 技术并不是计算机病毒专有技术,但是计算机病毒经常使用这个技术来达到隐藏自己的目的。n钩子实际上是一个处理消息的程序段,通过系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,亦即钩子函数先得到控制权。这时钩子函数即可以加工处理(改变)该消息,也可以不作处理而继续传递该消息,还可以强制结束消息的传递。4.4.3 木马的分类 2.网银木马。网银木马。网银超级木马是中国国内首个专门针对网络支付编写的病毒,它利用了第三方支付HT
36、TP网页与网银的衔接认证缺陷,可以危害几乎所有的网络银行与第三方支付的衔接环节,窃取成功率极高,犯罪后极难追查。n网银用户在登陆网银时,传统的身份认证技术,是用户输入一个固定密码,认证中心通过用户数据库核定密码是否一致,来确认其身份。事实证明,这种固定密码的认证方式,在网络中使用很不安全。网络上病毒木马目前在技术上还不能有效阻止。因此在网络中,密码被盗是轻而易举的。(例子见P112)n目前各银行采用的最高级别的网银安全手段,是U-Key,有的银行叫U盾。U-Key采用精尖加密技术,运用在网上个人银行中的新型移动数字证书(即数字证书存放在U-Key上)。n动态密码也称动态口令字,每登陆一次产生一
37、个新的密码。密码由机器不断变化产生,不需要记忆也不会搞错,每个密码仅用一次,黑客窃取了也无用,可有效解决密码被盗问题。n目前在中国银行和兴业银行应用了动态密码技术。据了解,全球500强企业80%以上,采用了动态密码身份认证技术,以保护企业信息资产安全;瑞士银行、花旗、汇丰、荷兰等境外金融机构,都采用动态密码身份认证技术保护账户信息及资金安全。4.4.3 木马的分类 3.即时通讯软件木马。即时通讯软件木马。发送消息,传播恶意网址;盗号;传播自身,点击中毒;n“QQ尾巴”从本质上应该是种恶意病毒。此病毒其实是在一些恶意网站上嵌入了一段恶意代码,利用Windows系统下的Internet Explo
38、rer的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,让用户运行恶意程序这些运行了的而已程序会留在用户的系统中,进而借助QQ发用垃圾信息的目的。n病毒程序自动监控QQ聊天窗口,发送按钮等。当用户发送 消息时他就将之截获,并在后面添加病毒自身指定的内容再发送出去,这样就成了“QQ尾巴”。l4、网页点击类木马。恶意模拟用户点击广告动作,在短时间内产生数以万计的点击量,从而进行网站的恶意推广或者赚取高额的推广费用,或攻击竞争对手,使其产生高额的推广费用。l主要是由于搜索引擎的根据点击等情况进行排名的设计,同时也包括了百度的竞价排名,推广广告按照点击率收费等商业模式引起的l可以通过在
39、热点论坛挂马(点开网页后自动弹出重定向的广告网页),肉鸡恶意点击,ADSL动态地址恶意点击(收费按照ip或物理地址收费,单位时间内点多了也无效)4.4.3 木马的分类 l5、下载类木马。体积一般较小,主要是用来从网络上下载其他病毒程序或安装广告软件。如灰鸽子木马。l灰鸽子远程监控软件分两部分:客户端和服务端。黑客操纵着客户端,利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe,然后黑客通过各种渠道传播这个服务端(俗称种木马)。比如,黑客可以将它与一张图片绑定,然后假冒成一个羞涩的MM通过QQ把木马传给你,诱骗你运行;也可以建立一个个人网页,诱骗你点击,利用IE漏
40、洞把木马下载到你的机器上并运行;还可以将文件上传到某个软件下载站点,冒充成一个有趣的软件诱骗用户下载,这正违背了我们开发灰鸽子的目的。lGame_Hook.DLL是灰鸽子的文件,则在操作系统安装目录下还会有Game.exe和Game.dll文件。打开Windows目录,果然有这两个文件,同时还有一个用于记录键盘操作的GameKey.dll文件。4.4.3 木马的分类 l6、代理类木马。用户感染代理木马后,会在本机开启HTTP、SOCKET等代理服务功能。黑客把受感染的计算机作为跳板(肉鸡),以被感染用户的身份进行黑客活动,达到隐藏自己的目的。l“代理木马”具有自动下载木马病毒的功能,它们可以根
41、据病毒编者指定的网址下载木马病毒或其他恶意软件,还可以通过网络和移动存储介质传播。一旦感染系统后,当系统接入互联网,再从指定的网址下载其他木马、病毒等恶意软件,下载的病毒或木马可能会盗取用户的账号、密码等信息并发送到黑客指定的信箱或者网页中。4.4.3 木马的分类 4.4.4 木马的特征 1.隐蔽性。隐蔽性。不产生图标;自动在任务管理器中隐藏,并以“系统服务”的方式欺骗操作系统。2.自动运行性。自动运行性。加入启动配置文件3.欺骗性。欺骗性。借助系统中已有的文件,以防被发现。如仿制一些不易被人区别的文件名,“I”,“1”,字母“O”和“0”,大小写等,伪装成解压缩文件等。4.自动恢复。自动恢复
42、。具有多重备份,可以相互恢复。5.自动打开特别的端口。自动打开特别的端口。开放端口,通常大于10246.功能的特殊性。功能的特殊性。除具有普通的文件操作外,还有搜索cache中的口令,设置口令,扫描目标机器的ip地址,进行键盘记录,远程注册表操作,锁定鼠标等。7.黑客组织趋于公开化。黑客组织趋于公开化。拥有网站,公开招人。4.5木马的攻击防护技术木马的攻击防护技术4.5.1 常见木马的应用常见木马的应用1.系统病毒2.蠕虫病毒3.木马病毒、黑客病毒4.脚本病毒。使用脚本语言编写,通过网页传播5.宏病毒6.后门病毒7.病毒种植程序病毒。从体内释放多个新病毒8.破坏性程序病毒9.玩笑病毒。吓唬人1
43、0.捆绑机病毒。与特定程序捆绑,如qq,ie4.5.2木马的加壳与脱壳木马的加壳与脱壳 1.什么是加壳什么是加壳加壳一般是指保护程序资源的方法,全称是可执行程序资源压缩。壳是指在一个程序的外面再包裹上另外一段代码,保护里面的代码不被非法修改或反编译的程序。他们一般都是先于程序运行,拿到控制权,然后完成他们保护软件的任务。加壳过的程序可以直接运行,但不能查看源代码,要经过脱壳才可查看源代码。加壳的另一种常用方式是在二进制的程序中植入一段代码,在运行的时候有限缺的程序的控制权,做一些额外的工作。大多数病毒就是基于此原理。加壳的程序经常想尽办法阻止对程序的反编译分析或者动态分析,以达到它不可告人的目
44、的。常见应用包括:(1)来保护软件版权,防止软件被破解或修改版权信息。(2)需要把程序搞的小一点,从而方便使用。于是,需要用到一些软件,它们能将exe可执行文件压缩。(3)在黑客界给木马等软件加壳脱壳以躲避杀毒软件。加壳的原理加壳的原理l加壳:其实是利用特殊的算法,对exe、dll文件里的资源进行压缩,加密。类似winrar的效果,只不过这个压缩后的文件,可以独立运行,解压过程完全隐藏,都在内存中完成。l壳附加在原程序上通过windows加载器载入内存后,先于原程序执行,得到控制权,执行过程中对原始程序进行解密,还原,还原后再把控制权交给原始程序,执行原来的代码部分。l加上外壳后,原始程序代码
45、在磁盘文件中一般是以加密后的形式存在的,只在执行时在内存中还原,这样可以比较有效的防止破解者对程序文件的非法修改,同时也可以防止程序被静态反编译。解压原理解压原理l是加壳工具在文件头里加了一段指令,告诉CPU,怎么才能解压自己。l通常说的对外壳加密,都是指通过网上免费或者非免费的软件,被一些专门的加壳程序加壳,基本上是对程序的压缩或者不压缩。因为有的时候程序会很大,需要压缩。但是大部分程序是因为防止反跟踪,防止程序被人跟踪调试,防止算法程序不想被别人静态分析。加密代码和数据,保护你的程序数据的完整性。l加壳虽然增加了CPU的负担,但是减少了硬盘的读写时间,实际应用时加壳以后程序的运行速度更快。
46、lRar和zip都是压缩软件,但不是加壳工具,他们解压时是需要进行磁盘读写,“壳”的解压缩是直接在内存中进行的,用rar或者zip压缩一个病毒,在解压缩的时候杀毒软件肯定会发现,而用加壳手段封装老木马,能发现的杀毒软件就很少了。加壳软件的分类l加壳工具通常分为压缩壳和加密壳两类l压缩壳的特点是减小软件体积大小,加密保护不是重点。l加密壳种类比较多,不同壳的侧重点不同,一些壳单纯保护程序,另一些壳提供额外的功能,如提供注册机制,使用次数,时间限制等。常用加壳对应的脱壳工具:(1)Aspack:用的最多,但只要用UNASPACK或PEDUMP32脱壳就行了(2)ASProtect+aspack:次
47、之,国外的软件多用它加壳,脱壳时需要用到SOFTICE+ICEDUMP,需要一定的专业知识,最新版现在暂时没有办法。(3)Upx:可以用UPX本身来脱壳,但要注意版本是否一致,用-D 参数。(4)Armadill:可以用SOFTICE+ICEDUMP脱壳。(5)Dbpe:国内比较好的加密软件,新版本暂时不能脱,但可以破解。(6)NeoLite:可以用自己来脱壳。(7)Pcguard:可以用SOFTICE+ICEDUMP+FROGICE来脱壳。(8)Pecompat:用SOFTICE配合PEDUMP32来脱壳,但不要专业知识。(9)Petite:有一部分的老版本可以用PEDUMP32直接脱壳,新
48、版本脱壳时需要用到SOFTICE+ICEDUMP,需要一定的专业知识。(10)WWpack32:和PECOMPACT一样其实有一部分的老版本可以用PEDUMP32直接脱壳,不过有时候资源无法修改,也就无法汉化,所以最好还是用SOFTICE配合 PEDUMP32脱壳。4.5.3 木马的防范木马的防范要想防范木马,首先要知道木马是如何被植入系统的。通常有如下三种方法可以将木马服务器端程序植入目标系统:(1)下载软件:木马的服务器端程序非常小,几K到几十K不等,把木马用EXE捆绑机捆绑起来可谓轻而易举,而且不易引起怀疑。有些网站所提供的软件当中就有可能捆绑有木马程序。当用户下载并且执行了该文件以后,
49、木马程序也相应的被激活了。(2)交换脚本:众所周知,微软的浏览器在执行Script脚本上存在一些漏洞,攻击者可以利用这些漏洞传播病毒和木马,甚至可以直接对浏览者电脑进行文件操作等控制。Script、ActiveX及ASP、JSP、CGI等等都有可能是木马的滋生地。(3)系统漏洞:木马还可以利用操作系统的一些漏洞进行植入,如IIS服务器溢出漏洞,通过IISHACK攻击程序既可使IIS服务器崩溃,并且同时在攻击服务器中执行远程木马服务器端程序。(1)慎防网络资源:现在网络上小至木马程序,大至盗版windows操作系统也有下载,其中来源也各式各样,有http、ftp,BT等等。任何从网上下载回来的资
50、源,第一步必须要做的动作便是进行病毒扫描。现在大多反病毒软件都能清除木马,只要及时更新病毒库,安全的系数就可大大提高。(2)禁用ActiveX脚本。(3)及时升级。操作系统和浏览器都存在不同程度上的漏洞,入侵者正是利用这些漏洞植入木马,因此,及时更新系统,及时打好补丁,及时把漏洞补上,被入侵的机会就会大大减少。(4)启动网络防火墙。防火墙的作用在于控制网络访问。用户可以设置IP规则和安全级别来防止非法连接。对个人用户来说,比较常用的网络防火墙有天网防火墙和金山网镖。对应防范措施:对应防范措施:4.5.4 安全解决方案安全解决方案(1)目前瑞星杀毒软件2009是国内最优秀的杀毒软件之一,它功能强
