计算机病毒防护课件

新疆电力科学研究院计算机病毒及防范11982，苹果电脑，elk cloner病毒2Rich Skrenta 世界上第一个病毒制造者3课程大纲一防病毒二蠕虫防范三木马防范四恶意网页防范五恶意代码的分析24课程目标了解病毒、蠕虫、木马、恶意网页的原理掌握病毒、蠕虫、木马、恶意网页的防范了解恶意代码的分析方法35前言恶意代码定义：恶意代码有害程序（包括病毒、蠕虫、木马、垃圾邮件、间谍程序、拨号程序、玩笑等在内的所有可能危害计算机安全的程序）主要分为病毒、蠕虫、木马、恶意网页四大类。46一、防病毒5734561病毒防范12病毒定义病毒类型病毒的分类病毒技术和特点防病毒产品病毒防范策略681.1病毒定义计算机病毒（Computer Virus）：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。摘自1994年中国人民共和国计算机信息系统安全保护条例79一种能把自己（或经演变）注入其它程序的计算机程序传播机制同生物病毒类似。生物病毒是把自己注入细胞中蠕虫程序与木马程序不是真正意义的病毒810生物病毒VS计算机病毒入侵危害变异特异预防和清除911病毒的起源1977 年，Thomas.J.Ryan的科幻小说The Adolescence ofP-1描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。1983 年，弗雷德科恩(Fred Cohen)研制出一种在运行过程中可以复制自身的破坏性程序，伦艾德勒曼(Len Adleman)将它命名为计算机病毒(computer viruses)，并在每周一次的计算机安全讨论会上正式提出，8 小时后专家们在 VAX11/750 计算机系统上运行，第一个病毒实验成功，一周后又获准进行 5 个实验的演示，从而在实验上验证了计算机病毒的存在。1012电脑病毒的工作原理病毒三部曲:1.住进阶段:执行被感染的程序,病毒就加载入计算机内存2.感染阶段:病毒把自己注入其他程序,包括远程文件3.执行阶段:当某些条件成熟时,一些病毒会有一些特别的行为.例如重新启动,删除文件.1113病毒发展演变趋势图12141.2 病毒分类按病毒存在的媒体按病毒攻击操作系统分类按病毒传染的方法分类按病毒破坏能力分类13151.2.1按病毒存在媒体分类一、引导型计算机病毒主要是感染磁盘的引导扇区，也就是常说的磁盘的BOOT区。我们在使用被感染的磁盘（无论是软盘还是硬盘）启动计算机时它们就会首先取得系统控制权，驻留内存之后再引导系统，并伺机传染其它软盘或硬盘的引导区。二、文件型计算机病毒一般只传染磁盘上的可执行文件（COM，EXE），在用户调用染毒的可执行文件时，计算机病毒首先被运行，然后计算机病毒驻留内存伺机传染其他文件，其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。三、宏病毒（Macro Virus）传播依赖于包括Word、Excel和PowerPoint等应用程序在内的Office套装软件.四、电子邮件计算机病毒就是以电子邮件作为传播途径的计算机病毒14161517按病毒攻击操作系统分类DOSWindowsUnix（Linux）OS/21618按病毒传染的方法分类驻留型病毒 驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，处于激活状态，一直到关机或重新启动非驻留型病毒 非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染1719按病毒破坏能力分类无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型：这类病毒在计算机系统操作中造成严重的错误。非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。18201.3病毒命名一般格式：.病毒前缀指一个病毒的种类，用来区别病毒的种族。不同的种类的病毒，其前缀也是不同的。Trojan：木马病毒前缀 Macro：宏病毒前缀 Script：脚本病毒前缀 Worm：蠕虫病毒前缀 Backdoor：后门病毒前缀 Joke：玩笑病毒前缀病毒名指一个病毒的家族特征，是用来区别和标识病毒家族。比如 CIH、Sasser 病毒病毒后缀指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指 振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多，可以采用数字与字母混合表示变种标识1921常见病毒及前缀1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。可以感染windows操作系统的*.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。2、蠕虫病毒蠕虫病毒的前缀是：Worm。通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波，小邮差。（通常单列）3、木马/黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息。（通常单列）2022常见病毒及前缀（cont.）4、脚本病毒脚本病毒的前缀是：Script。用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）5、宏病毒宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。如著名的美丽莎(Macro.Melissa)。6、后门病毒后门病毒的前缀是：Backdoor。通过网络传播，给系统开后门，给用户电脑带来安全隐患。如IRC后门Backdoor.IRCBot。7、病毒种植程序病毒运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。2123常见病毒及前缀（cont.）8破坏性程序病毒破坏性程序病毒的前缀是：Harm。用好看的图标来诱惑用户点击，当点击这类病毒时，便会直接对计算机产生破坏。如格式化C盘（Harm.formatC.f）9玩笑病毒玩笑病毒的前缀是：Joke。也称恶作剧病毒。用好看的图标来诱惑用户点击，但不对电脑进行破坏。如：女鬼（Joke.Girlghost）病毒。10捆绑机病毒捆绑机病毒的前缀是：Binder。用特定的捆绑程序将病毒与应用程序如QQ、IE捆绑起来，当运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒。如：捆绑QQ（Binder.QQPass.QQBin）.22241.4病毒技术和特点1.密码破解技术应用此技术的病毒可对win2000以上的操作系统的密码进行破解。此类病毒一般会带有约几百单词数量（有时会更大的）的字典库，可对“弱口令”进行破解。例：爱情后门病毒23251.4病毒技术和特点2.端口监听技术（原多见于木马程序）Moodown.y病毒利用自身的SMTP发信引擎来发送病毒邮件，监听82端口，等待攻击者连接，可自动下载并执行新的病毒。振荡波病毒的最新变种监听1023端口（支持USER、PASS、PORT、RETR和QUIT命令），并实现一个tftp服务器，并进行攻击。24261.4病毒技术和特点3.多线程扫描技术现在常见病毒多采用此技术，此技术可加速网络病毒的传播速度。如I-Worm.Sasser.e（振荡波.e）开辟128个线程扫描网络，传播病毒。25271.4病毒技术和特点4.漏洞技术利用操作系统和软件系统（主要是微软的软件系统）漏洞进行攻击;即发送不正常的数据包，使获得的系统出现错误，从而使病毒夺取对方电脑的控制权。例：冲击波利用rpc漏洞，震荡波利用LSASS漏洞26281.5目前存在病毒的传播途径27291.5 防病毒软件的结构防病毒软件的3个组成部分扫描应用扫描引擎防病毒软件病毒定义库28301.5 防病毒网关由于目前的防火墙并不能防止目前所有的病毒进入内网，所以在某些情况下，需要在网络的数据出入口处和网络中重要设备前配置防病毒网关，以防止病毒进入内部网络。29311.5 防病毒网关防病毒网关按照处理流量分为：1.百兆2.千兆防病毒网关按照功能上分有两种:1.保护网络入口的防病毒网关2.保护邮件器的防病毒网关30321.6反病毒技术第一代反病毒技术简单特征码扫描特征码就是一串表明病毒自身特征的十六进制的字符串。比如大麻病毒特征码：第1034字节处是下面的内容：0 xec,0 x99,0 x80,0 x99不能检测加密和变形病毒第二代反病毒技术静态广谱特征扫描可以检测变形病毒，但是误报率高，杀毒风险大3133第三代反病毒技术静态扫描和动态仿真跟踪相结合第四代反病毒技术启发式、脱壳、解压缩、虚拟机等32341.6反病毒技术发展趋势人工智能技术的应用提高清除病毒准确性以网络为核心的防病毒技术多种技术的融合33351.7病毒的预防措施1、新购置的计算机硬软件系统的测试2、计算机系统的启动3、单台计算机系统的安全使用4、重要数据文件要有备份5、不要随便直接运行或直接打开电子函件中夹带的附件文件6、计算机网络的安全使用（1）安装网络服务器时应保证没有计算机病毒存在。（2）在安装网络服务器时，应将文件系统划分成多个文件卷系统。（3）一定要用硬盘启动网络服务器。（4）为各个卷分配不同的用户权限。（5）在网络服务器上必须安装真正有效的防杀计算机病毒软件。（6）系统管理员的职责.361.7 有防护的办公网络中病毒传播大型内部网络，一般均有防火墙等边界防护措施，但是还经常会出现病毒，病毒是如何传入的呢？病毒传入途径：1.终端漏洞导致病毒传播；2.邮件接收导致病毒传播；3.外部带有病毒的介质直接接入网络导致病毒传播；4.内部用户绕过边界防护措施，直接接入因特网导致病毒被引入；5.网页中的恶意代码传入；371.7 物理隔离网络中病毒的传播国家机关和军队、银行等为了保护网络，一般均采用物理隔离措施，这类网络理论上应该是安全的，不过也有病毒的出现，这类网络，病毒主要是靠几种途径传入的：1.外部带有病毒的介质接入网络导致病毒传播2.内部用户私自在将所使用的终端接入因特网导致病毒被引入381.7 建立有效的病毒防范管理机制建立防病毒管理机构防病毒管理机制的制定和完善制定防病毒管理制度用技术手段保障管理的有效性加强培训以保障管理机制执行391.7建立有效的病毒应急响应机制建立应急响应中心病毒事件分级制定应急响应处理预案应急响应流程应急响应的事后处理 401.7 通常的病毒应急反应预案流程图 人员到位工具到位应急处理分离数据分 清关键的主机和网段备份和配置备份离病毒源除病毒源数据恢复安全问题解决文档提交漏洞加固经验总结相关处理结束39启动应急响应预案41二、蠕虫防范4042Robert T.Morris Jr.世界上第一个蠕虫制造者世界上第一个蠕虫制造者1988年年11月月2日下午日下午5点，互联网的点，互联网的 管理人员首次发现网络有不明入侵管理人员首次发现网络有不明入侵者者11月月3日清晨日清晨5点，当加州伯克利分校点，当加州伯克利分校的专家找出阻止病毒蔓延的办法时，短的专家找出阻止病毒蔓延的办法时，短短短12小时内，已有小时内，已有6200台采用台采用Unix操操作系统的作系统的SUN工作站和工作站和VAX小型机瘫小型机瘫痪或半瘫痪，不计其数的数据和资料毁痪或半瘫痪，不计其数的数据和资料毁于这一夜之间。造成一场损失近亿美元于这一夜之间。造成一场损失近亿美元的空前大劫难！的空前大劫难！这个程序只有这个程序只有99行，利用了行，利用了Unix系统系统中的缺点，用中的缺点，用Finger命令查联机用户命令查联机用户名单，然后破译用户口令，用名单，然后破译用户口令，用Mail系统系统复制、传播复制、传播本身的源程序，再编译本身的源程序，再编译生成代码生成代码4312342 蠕虫技术蠕虫的特征蠕虫的基本结构蠕虫发作特点和趋势蠕虫分析和防范41442000年爱虫蠕虫LoveLetter2001年尼姆达蠕虫Worms.Nimda2001年红色代码Red Code 网络瘫痪，直接经济损失超过26亿美元2003年冲击波蠕虫 Worm.Blaster2009年conficker蠕虫 感染主机超过7000万4345恶意代码排行榜44462.1蠕虫的特征定义：蠕虫是一个能够独立运行和自我传播的程序从狭义上讲，与病毒共同点：传播性隐蔽性不同点：蠕虫不利用文件寄生，而是独立程序蠕虫通过网络传播，速度和破坏性远远超过病毒广义上可以理解为蠕虫是通过网络传播的恶性病毒4547网络蠕虫传播途径利用系统漏洞进行传播红色代码：IIS的缓冲区溢出漏洞尼姆达：IIS Unicode 漏洞SQL蠕虫：sqlsort.dll存在的缓冲区溢出漏洞Conflicker蠕虫：RPC 漏洞，MS08-067利用电子邮件进行传播 爱虫蠕虫：邮件的主题为“I LOVE YOU”求职信蠕虫：4648蠕虫的基本结构1、传播模块：负责蠕虫的传播。2、隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。3、目的功能模块：实现对计算机的控制、监视或破坏等功能。4749蠕虫传播模块4850蠕虫的扫描策略（1）理想化的扫描策略 理想化的扫描策略就是能够使蠕虫在最短时间内找到Internet上全部可以被感染的主机，并且没有多余的扫描，这就要求蠕虫能够事先知道所有具备该漏洞的主机，并且蠕虫之间采取协同工作方式，即蠕虫不会去扫描已经被感染的主机。4951蠕虫的扫描策略（con.）（2）随机扫描和选择性随机扫描 随机扫描就是在整个地址空间中随机选择一个IP作为目标地址，即扫描空间为 232，比如CodeRed蠕虫和Slammer蠕虫都采用这种方式。选择性随机扫描是对随机扫描的一种改进，其目标选择空间不包括那些不可能出现在Internet上的地址，比如保留地址、未分配的地址块等等，因此其 空间远远小于232。5052蠕虫的扫描策略（con.）（3）局部优先扫描 局部优先扫描就是感染主机优先扫描同一个子网的其它易感染主机 采用局部优先扫描的蠕虫的传播速度快于采用随机扫描的蠕虫，如CodeRed II蠕虫。5153蠕虫的扫描策略（con.）（4）基于目标列表的扫描 这种扫描可以分为两个阶段：在第一阶段，蠕虫扫描并感染目标列表中的主机。由于目标主机已经事先确定，因此这个阶段的传播非常快。在第二个阶段，蠕虫对剩余空间进行随机扫描。比如flash蠕虫5254蠕虫的扫描策略（con.）（5）基于路由的扫描 利用了路由表信息，从中选择地址进行扫描。根据BGP路由表，当前只有28.6%的IPv4地址是可路由的。（6）分治扫描 利用“分而治之”的思想，让不同的感染主机分别扫描不同的子空间，以使传播速度尽可能加快，这需要蠕虫之间相互协同工作。5355蠕虫的攻击利用漏洞进行传播0-day：没有公开的漏洞，“未知漏洞”1-day：公开漏洞，但还没有补丁0-day可能会在地下流传很久（数月，数年）dtlogin remote root（2002年6月6日被黑客DaveAitel发现，2004年3月才公布）5456基本过程5557蠕虫的传播模型传染病传播模型56582.3蠕虫防范及时打补丁不随意查看陌生邮件，尤其是带有附件的邮件不轻易点击陌生网站5759三、木马防范58603.1木马定义定义：当目标主机上的木马程序被执行后，目标主机就成为了一个网络服务器，这时通过木马程序的另一部分，就可以对目标主机进行监视、控制。本质上是一种基于远程控制的程序，具有很强的隐蔽性和危害性。5961木马的组成控制端 黑客的控制机器被控端 被植入木马的机器6062木马的基本特征1、隐蔽性是其首要的特征，主要体现：a、伪装成系统文件或服务b、DLL注入、进程劫持、系统调用劫持svchost.exe svch0st.exesvchost.exe scvhost.exeexplorer.exe explore.exe6163木马的基本特征（con.）2、它具有自动运行性3、具备自动恢复功能4、能自动打开特别的端口5、先发制人攻击杀毒软件7、地下产业链已经形成626463653.1木马程序的生存方式（1）直接伪装成合法程序；（2）包含在一个合法程序中，与合法程序绑定在一起，在用户调用该合法程序时，木马程序也被启动；（3）在一个合法程序中加入此非法程序执行代码，该代码在用户调用合法程序时被执行。64663.2五代木马技术发展第一代木马是简单的具有口令窃取及发送功能的木马程序。（1）口令发送型木马（2）键盘记录型木马第二代木马在技术上有了很大的进步，是最早的监视控制型木马。6567第三代木马在数据传递技术上、木马程序隐藏技术上又做了进一步的改进。第四代木马在程序的隐身技术及植入方式上又将进一步提高：第五代木马与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的6668Rootkit恶意程序,间谍软件,广告软件提升反侦测能力恶意系统程序是一种提供反侦测能力技术 隐藏文件,进程,网络端口和连接,系统设置,系统服务 可以在恶意程序之中,例如 Berbew,也有独立软件,例如 Hackder Defender恶意系统程序历史 首次出现在隐形病毒中,例如 Brain 1994年第一个恶意系统程序出现在 SunOS,替换核心系统工具(ls,ps 等)来隐藏恶意进程6769Rootkit程序功能程序功能隐匿系统资源进程系统服务网络端口文件实现手段用户模式系统调用劫持核心模式系统调用劫持核心模式数据篡改核心模式中断处理程序劫持注册表设置用户帐号68702E系统调用实例应用程序CreateFile();ntdll.dllZwCreateFileKernel32.dllmov eax,25h7FFE0300h用户模式(Ring 3)核心模式CreateFileW软件中断发送表mov edx,7FFE0300hcall dword ptr edxretn 4系统服务发送表mov edx,espsysenter(or int 2E)retNtCreateFile(Ring 0)KiSystemService(maybe via KiFastCallEntry)(25h)NtCreateFileIoCreateFileIopCreateFile6971用户模式系统调用劫持实例用户模式文件查询ZwQueryDirectoryFileOutlook.exe,Explorer.exeWinlogon.exeNtdll.dllRootkituser modekernel modeOutlook.exe,Malware.exe,Winlogon.exe弱点:用户程序可直接呼叫核心系统调用优点:可感染普通用户帐号707271核心模式系统调用劫持实例核心模式文件查询 NtQueryDirectoryFileAttrib.exe,Explorer.exeuser modekernel modeCmd.exeNtdll.dllExplorer.exe,Attrib.exe,Malware.exe,Cmd.exeRootkitWinlogon.exe弱点:需要运行管理员帐号才能感染系统 较难开发及调试优点:难以侦测及清除73核心模式数据篡改动态篡改核心模式数据,例如 ActiveProcessListActiveProcessesExplorer.exeMalware.exeWinlogon.exe弱点:需要运行管理员帐号才能感染系统 较难开发及调试，容易造成系统崩溃优点:难以侦测及清除72743.3检测软件chkrootkitChkrootkit：检测sniffers、Trojans和worms和其它的病毒。检测系统的日志和文件，查看是否有恶意程序侵入系统，并且寻找关联到不同恶意程序的信号。使用chkrootkit非常简单。#make sense安装并定期运行chkrootkit程序，检测否安装了恶意软件。73753.4 实例174763.4 实例275773.4 实例376783.4 实例477793.5 木马防范查1.检查系统进程2.检查注册表、ini文件和服务3.检查开放端口4.监视网络通讯堵1.堵住控制通路2.杀掉可疑进程杀1.手工删除2.软件杀毒78803.5 如何避免木马的入侵1、不要执行任何来历不明的软件2、不要相信你的邮箱不会收到垃圾和带毒的邮件3、不要轻信他人4、不要随便留下你的个人资料5、网上不要得罪人6、不要随便下载软件7、最好使用第三方邮件程序8、不要轻易打开广告邮件中附件或点击其中的链接9、将windows资源管理器配置成始终显示扩展名10、尽量少用共享文件夹11、运行反木马实时监控程序。7981四、恶意网页防范8082目录一防病毒二蠕虫防范三木马防范四恶意网页防范五恶意代码的分析81834恶意网页1、WSH技术2、网页恶意代码举例3、认识误区82844.1 WSH概念概念WSH，是“Windows Scripting Host”的缩略形式，Windows 脚本宿主”它是内嵌于 Windows 操作系统中的脚本语言工作环境。WSH 架构于 ActiveX 之上，通过充当 ActiveX 的脚本引擎控制器，WSH 为 Windows 用户充分利用威力强大的脚本指令语言设计 WSH 的初衷:为了让计算机能自动地执行一些任务，为 Visual Basic 脚本语言的自动运行提供了方便。（但实际上，这一功能对普通用户而言，并没有太大的意义。相反，实践证明，它倒成了传播病毒的帮凶。）83854.1 WSH 的内置对象WSH 共有 14 个内置对象，它们各自有着明确分工，如图所示：84864.2网页恶意代码举例（一）锁定注册表（二）篡改IE的默认页（三）修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改（四）IE的默认首页灰色按扭不可选（五）IE标题栏被修改（六）IE右键菜单被修改（七）IE默认搜索引擎被修改（八）系统启动时弹出对话框（九）IE默认连接首页被修改（十）IE中鼠标右键失效（十一）查看“源文件”菜单被禁用8587格式化硬盘86888789修改主页88904.3 认识误区一、如果你只浏览信任的网站，那么上网冲浪不可能使你的浏览器受到病毒感染。二、浏览器补丁更新以后，系统就安全了。三、你的病毒防护工具可以阻止各种恶意代码侵入系统。四、每个月更新一次你的病毒防护工具的病毒特征库，系统就会安全。五、大多数恶意代码只是那些出于好玩的心理或者为了在计算机领域扬名的十几岁小孩编写的。8991僵尸网络攻击者利用互联网用户的计算机秘密建立的可以集中控制的计算机群Bot：僵尸程序，秘密运行在被控制计算机中、可以接受预定义命令和执行预定义功能、具有一定人工智能的程序Zombie：僵尸主机，被控制主机IRC bot：利用IRC协议进行通信和控制的BotCommand&Control Server：命令控制服务器90929193利用僵尸网络DDOS垃圾邮件窃取秘密滥用资源92949395五、恶意代码的分析94965恶意代码的分析1 环境的准备2 代码分析3 行为特征分析95975.1环境的准备硬件环境内存软件环境虚拟机VMWARE防火墙96985.2信息获取工具一、主机信息获取工具内存信息磁盘信息文件系统信息注册表信息二、网络信息获取工具SnifferIdsTcpviewNetcat97995.3文件监控 RegMonWinalysis981005.4 代码分析工具文件格式处理工具PEiDProcDump静态代码分析工具UltraEditIDA Pro动态调试工具SoftIce组合调试工具OllyDbgW32Dasm99101p经常不断地学习,你就什么都知道。你知道得越多,你就越有力量pStudyConstantly,AndYouWillKnowEverything.TheMoreYouKnow,TheMorePowerfulYouWillBe写在最后谢谢大家荣幸这一路，与你同行ItS An Honor To Walk With You All The Way演讲人：XXXXXX 时 间：XX年XX月XX日