第9章计算机病毒与反病毒复习

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第,9,章,计算机病毒与反病毒技术,学习目标,恶意代码,计算机病毒的发展历史及危害,计算机病毒的基本特征及传播方式,病毒的结构,常用的反病毒技术,常用的病毒防范方法,代码是指计算机程序代码，可以被执行完成特定功能。,起着破坏作用的计算机程序，这就是恶意代码。,9.1 恶意代码9.1.1 恶意代码的概念,恶意代码可以按照两种分类标准,是否需要宿主,需要宿主具有依附性，不能独立运行；,具有独立性，可独立运行。,是否能够自我复制,不能自我复制的恶意代码是不感染的；,能够自我复制的恶意代码是可感染的。,9.1.2 恶意代码的分类,4大类恶意代码,分类标准,需要宿主,无需宿主,不能自我复制,不感染的依附性恶意代码,不感染的独立性恶意代码,能够自我复制,可感染的依附性恶意代码,可感染的独立性恶意代码,恶意代码的分类实例,类别,实例,不感染的依附性恶意代码,特洛伊木马（Trojan horse）,逻辑炸弹（Logic bomb）,后门（Backdoor）或陷门（Trapdoor）,不感染的独立性恶意代码,点滴器（Dropper）,繁殖器（Generator）,恶作剧（Hoax）,可感染的依附性恶意代码,病毒（Virus）,可感染的独立性恶意代码,蠕虫（Worm）,细菌（Germ）,(1)特洛伊木马:,是一段能实现有用的或必需的功能的程序，但是同时还完成一些不为人知的功能，这些额外的功能往往是有害的。”,有3点解释：,第一，“有用的或必需的功能的程序”只是诱饵,第二，“为人不知的功能”定义了其欺骗性，是危机所在之处，为几乎所有的特洛伊木马所必备的特点,。,第三，“往往是有害的”定义了其恶意性包括：,（1）试图访问未授权资源（如盗取口令、个人隐私或企业机密）；,（2）试图阻止正常访问（如拒绝服务攻击）；,（3）试图更改或破坏数据和系统（如删除文件、创建后门等）。,特洛伊木马一般没有自我复制的机制，所以不会自动复制自身。,特洛伊木马的欺骗性是其得以传播的根本原因。特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等，上载到电子新闻组或通过电子邮件直接传播，很容易被不知情的用户接收和继续传播。,1997年4月，开发出名叫的特洛伊木马，声称可以免费访问AOL，,这个木马程序一旦执行就删除硬盘上的所有文件,。,(2) 逻辑炸弹,逻辑炸弹（Logic bomb）是一段具有破坏性的代码，事先预置于较大的程序中，等待某扳机事件发生触发其破坏行为。一旦逻辑炸弹被触发，就会造成数据或文件的改变或删除、计算机死机等破坏性事件。,扳机事件可以是特殊日期，也可以是指定事件。,美国马里兰州某县的图书馆系统，开发该系统的承包商在系统中插入了一个逻辑炸弹，如果承包商在规定日期得不到全部酬金，它将在该日期使整个系统瘫痪。当图书馆因系统响应时间过长准备扣留最后酬金时，承包商指出了逻辑炸弹的存在，并威胁如果酬金不到位的话就会让它爆炸。,一个著名的例子,(3) 后门（backdoor）或陷门（trapdoor）,进入系统或程序的一个秘密入口，它能够通过识别某种特定的输入序列或特定账户，使访问者绕过访问的安全检查，直接获得访问权利，并且通常高于普通用户的特权。,程序员为了调试和测试程序一直合法地使用后门，但当程序员或他所在的公司另有企图时，后门就变成了一种威胁。,(1) 点滴器,点滴器（dropper）是为传送和安装其他恶意代码而设计的程序，它本身不具有直接的感染性和破坏性。,点滴器专门对抗反病毒检测，使用了加密手段，以阻止反病毒程序发现它们。当特定事件出现时，它便启动，将自身包含的恶意代码释放出来。,(2) 繁殖器,繁殖器（generator）是为制造恶意代码而设计的程序，通过这个程序，把某些已经设计好的恶意代码模块按照使用者的选择组合起来，没有创造新恶意代码的能力。,检测由繁殖器产生的病毒比较容易，繁殖器的典型例子是VCL（Virus Creation Laboratory）。,(3) 恶作剧,恶作剧（hoax）是为欺骗使用者而设计的程序，它侮辱使用者或让其做出不明智的举动。恶作剧通过“心理破坏”达到“现实破坏”。,如：有些恶作剧会让受骗者相信他的数据正在丢失或系统已经损坏需要重新安装，受骗者可能会做出不明智的操作。,计算机病毒（virus）是一段附着在其他程序上的可以进行自我繁殖的代码。由此可见，计算机病毒是既有依附性，又有感染性。,绝大多数恶意代码都或多或少地具有计算机病毒的特征。,(1) 蠕虫（worm）,一种通过计算机网络能够自我复制和扩散的程序。,蠕虫与病毒的主要区别：依附性。蠕虫不需要宿主，不会与其他特定程序混合。因此，与病毒感染特定目标程序不同，蠕虫感染的是系统环境（如操作系统或邮件系统）。,根据传播方式可分为：,电子邮件蠕虫（,Email Worm,）通过电子邮件传播；,任意协议蠕虫（,Arbitrary Protocol Worm,）通过电子邮件以外的其他网络协议传播。,蠕虫的分类:,根据启动方式可分为：,自动启动蠕虫（,Self-Launching Worm,）不需要与受害者交互而自动执行，如,Morris Worm,；,用户启动蠕虫（,User-Launched Worm,）必须由使用者来执行，因此需要一定的伪装，如,CHRISTMA EXEC,；,混合启动蠕虫（,Hybrid-Launch Worm,）包含上述两种启动方式。,(2) 细菌,计算机细菌（germ）是一种在计算机系统中不断复制自己的程序。一个典型的细菌是在多任务系统中生成它的两个副本，然后同时执行这两个副本，迅速以指数形式膨胀，最终会占用全部的处理器时间和内存或磁盘空间，从而导致计算资源耗尽无法为用户提供服务。,细菌通常发生在多用户系统和网络环境中，目的就是占用所有的资源。,随着恶意代码的不断进化，实际中的许多恶意代码同时具有多种特征，这样可以具有更大的威胁性。最典型的是蠕虫病毒，它是蠕虫和病毒的混合体，同时具有蠕虫和病毒的特征。,恶意代码总结,9.2,计算机病毒,计算机病毒的历史,1983,年,11,月,3,日，弗雷德科恩（,Fred Cohen,）博士研制出一种在运行过程中可以复制自身的破坏性程序.,1986年初，巴基斯坦的巴锡特（Basit）和阿姆杰德（Amjad）两兄弟编写了Pakistan病毒（即Brain病毒），该病毒在一年内流传到了世界各地。,1988年11月2日，美国6000多台计算机被病毒感染，造成Internet不能正常运行,1988年底，在我国的国家统计部门发现小球病毒。,1989年，全世界计算机病毒攻击十分猖獗，我国也未幸免，其中米开朗基罗病毒给许多计算机用户造成极大损失。,1991年，在“海湾战争”中，美军第一次将计算机病毒用于实战，在空袭巴格达的战斗中，利用病毒成功地破坏了对方的指挥系统，保证了战斗的胜利。,1992年，出现针对杀毒软件的幽灵病毒，如One_Half。还出现了实现机理与以往的文件型病毒有明显区别的DIR2病毒。,1994年5月，南非第一次多种族全民大选的计票工作，因计算机病毒的破坏停止30多个小时，被迫推迟公布选举结果。,1996年，出现针对微软公司Office的宏病毒。1997年被公认为计算机反病毒界的“宏病毒年”，其后几年宏病毒大量泛滥。,1998年，首例破坏计算机硬件的CIH病毒出现，引起人们的恐慌。,1999年3月26日，出现一种通过因特网进行传播的美丽杀手病毒（Melissa）。,1999年4月26日，CIH病毒在我国大规模爆发，造成巨大损失。,2003年1月，全球爆发“蠕虫风暴”病毒（SQL1434），3月又爆发了“口令蠕虫”病毒（Dvldr32），5月份出现了“大无极”病毒变种， 8月份全球计算机网络遭受了“冲击波”病毒的袭击。,2004年5月，“震荡波”病毒。,2006年5至6月份相继出现针对银行的木马、病毒事件和进行网络敲诈活动的“敲诈者”病毒。2006年11月，我国又连续出现 “熊猫烧香”、“仇英”、“艾妮”等盗取网上用户密码帐号的病毒和木马。,病毒的本质,1,病毒的定义,在中华人民共和国计算机信息系统安全保护条例中对计算机病毒进行了明确定义：“,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,”。,病毒的产生原因,（1）编制人员出于一种炫耀和显示自己能力的目的,（2）某些软件作者出于版权保护的目的而编制,（3）出于某种报复目的或恶作剧而编写病毒,（4）出于政治、战争的需要,计算机病毒的发展历程,1. DOS引导阶段,2. DOS可执行阶段,3. 伴随阶段,4. 多形阶段,5. 生成器、变体机阶段,6. 网络、蠕虫阶段,7. 视窗阶段,8. 宏病毒阶段,9. 邮件病毒阶段,10. 手持移动设备病毒阶段,2病毒的生命周期,（1）隐藏阶段:,病毒程序处于休眠状态，用户根本感觉不到病毒的存在，但并非所有病毒均会经历潜伏阶段。,（2）传播阶段:,病毒把自身的副本传播到未感染的程序或磁盘。,（3）触发阶段：,这个阶段病毒将被激活去执行病毒设计者预先设计好的功能。,病毒进入这一阶段也需要一些系统事件的触发，比如：病毒本身进行复制的副本数达到了某个数量。,（4）执行阶段：,这一阶段病毒将执行预先设计的功能直至执行完毕。,计算机,病毒,主要由潜伏机制、传染机制和表现机制构成。在程序结构上由实现这3种机制的模块组成。,病毒的传染机制是强制性的,（1）潜伏机制,潜伏机制的功能包括初始化、隐藏和捕捉。,潜伏机制模块随着感染的宿主程序的执行进入内存：,首先，初始化其运行环境，使病毒相对独立于宿主程序，为传染机制做好准备。,然后，利用各种可能的隐藏方式，躲避各种检测，欺骗系统，将自己隐蔽起来。,最后，不停地捕捉感染目标交给传染机制，不停地捕捉触发条件交给表现机制。,（2）传染机制,传染机制的功能包括判断和感染。,先判断候选感染目标是否已被感染，感染与否通过感染标记来判断，感染标记是计算机系统可以识别的特定字符或字符串。,发现作为候选感染目标的宿主程序中没有感染标记，就对其进行感染，也就是将病毒代码和感染标记放入宿主程序之中。,（3）表现机制,表现机制的功能包括判断和表现。,首先对触发条件进行判断，然后根据不同的条件决定什么时候表现、如何表现。表现内容多种多样。表现机制反映了病毒设计者的意图，是病毒间差异最大的部分。,潜伏机制和传染机制是为表现机制服务的。,病毒的一般结构,Program v:=,goto main;,1234567;,subroutine infect-executable:=,loop,：,file:=get-radom-executable-file;,if,（,first-line-of-file = 1234567,）,then goto loop;,else prepend V to file; ,subroutine do-damage:=, whatever damage is to be done,subroutine trigger-pulled:=, return true if some condition holds,main: main-program:=,infect-executable;,if trigger-pulled then do-damage;,goto next;,next:,向病毒的主程序跳转,感染标记,挂接性病毒,，注入到其他程序中，只要这些程序一运行，病毒就被激活。,例如：病毒将拷贝添加到可执行文件的第一条指令前，所有病毒指令将被最先执行，执行完后，控制权才交回程序第一条指令。,包裹性病毒,在初始程序之前和之后都由病毒来控制运行.,整合并替换性病毒,病毒用自身替换整合入目标代码.必须清楚知道初始程序的结构.,4、计算机病毒的寄生方式,挂接性病毒,包裹性病毒,整合并替换性病毒,文件型病毒,（,file infector）,：通过文件系统进行感染的病毒。可感染EXE、COM、DLL和SYS等。如：CIH病毒，破坏硬盘或改写某些主板上的BIOS。,引导型病毒,（,boot sector）,：感染软盘、硬盘主引导区。即用病毒的部分或全部代码取代正常的引导记录，将正常的引导记录隐藏在磁盘其他地方，系统一启动病毒就获得控制权，病毒执行后，将控制权交给真正的引导区内容。小球病毒：发作后屏幕出现上下滚动的小球。,5、病毒的分类,病毒,分类按感染对象,混合型病毒,兼顾引导型和文件型两种,不但感染破坏硬盘的引导区,而且感染和破坏文件,CIH,病毒,文档类病毒,(,document virus；,macro virus,):,文字文件,数据库,幻灯片,电子数据表等文档包含数据部分,(,字符和数字,),和命令部分,(,公式,标准操作,链接等,是高级语言的一部分,包括宏,变量,过程,文件访问,系统调用,5、病毒的分类,病毒,分类按感染对象,按病毒的隐藏方式,加密型病毒（,encrypted virus）,用不同密钥加密,病毒存储形态各不相同,.,包含,:,解密密钥,被加密的病毒代码,未被加密的用以说明解密规则的代码,.,由于解密规则本身或对解密规则库的调用必须是公开的,就成了这类病毒的特征,.,隐蔽型病毒（,stealth virus）不仅隐藏部分病毒代码，而是病毒整体隐藏 例如压缩,多态病毒,（,polymorphic virus,）能够改变自己外观的病毒如拥有两个彼此等价的开始代码（病毒被安装后，会选择其中一个来初始化。不断随机重定位自身的所有部分并随即改变所有的固定数据。将一些无害的指令随机分散在自身代码中）,变型病毒（,metamorphic virus）每次感染病毒都发生变异，重写病毒体，不仅改变病毒代码的组织形式，且病毒行为也改变了。,传统单机病毒,欧洲防病毒协会提供了一段测试代码，可以快速而有效的检测你的杀毒软件的防护能力，,测试方法,:,1.,鼠标右键点击桌面空白处，创建一个,txt,。,2.,将下面这段测试代码复制到,txt,里，保存，然后可以直接右键点击这个文本，用杀毒软件扫描，会自动报毒并将该文本删除。,测试代码如下,:,X5O!P%AP4PZX54(P)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*,病毒的分类,测试原理：,该段代码是欧洲计算机防病毒协会开发的一种病毒代码，其中的特征码已经包含在各种杀毒软件的病毒代码库里，所以可以用做测试病毒扫描引擎。,测试等级：,特等：复制完代码后便提示内存有病毒。,优等：刚保存完就提示病毒。,中等：保存后几秒提示病毒。,下等：需自己启动病毒扫描查杀才提示病毒。,劣等：无论怎么扫描都无法提示病毒。,6、病毒的传播途径,（1）通过移动存储设备来传播,（2）网络传播,（3）无线传播,病毒的具体危害主要表现在以下几个方面,（1）病毒发作对计算机数据信息的直接破坏,（2）占用磁盘空间和对信息的破坏,（3）抢占系统资源,（4）影响计算机运行速度,（5）计算机病毒错误与不可预见的危害,（6）计算机病毒给用户造成严重的心理压力,7、病毒的危害,8、病毒的命名,病毒前缀.病毒名.病毒后缀。,病毒前缀,是指一个,病毒的种类。,如：常见的木马的前缀是Trojan，蠕虫的前缀是Worm。,病毒名,是指一个,病毒的家族特征,如著名的CIH病毒的家族名都是统一的CIH，振荡波蠕虫病毒的家族名是Sasser。,病毒后缀,是,区别病毒的变种的特征，,可以采用数字与字母混合表示变种标识。,如：就是指振荡波蠕虫病毒的变种b。,常见病毒前缀,（1）系统病毒,系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的公有特性是可以感染Windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播，如CIH病毒（，）,（2）蠕虫病毒,蠕虫病毒的前缀是：Worm。如网络天空（）、贝革热（）、高波（）、震荡波（）等。,（3）木马病毒、黑客病毒,木马病毒其前缀是：Trojan，黑客病毒前缀名一般：Hack。,（4）脚本病毒,脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写的病毒，如红色代码（）。有的脚本病毒用VBS、JS作前缀，用来表明是用VBScript还是用JavaScript编写的，如欢乐时光（）、十四日（）等。,常见病毒前缀,（5）宏病毒,该类病毒的公有特性是能感染Office系列文档，然后通过Office通用模板进行传播，宏病毒的前缀是：Macro。如美丽杀手（）。,（6）后门病毒,该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患，后门病毒的前缀是：Backdoor。如瑞波（）、IRC后门（）。,常见病毒前缀,病毒演示,9.3,几种典型病毒的分析,9.3.1 CIH,病毒,CIH病毒，属于文件型病毒，主要感染Windows 9x下的可执行文件。CIH病毒使用了面向Windows的VxD技术，使得这种病毒传播的实时性和隐蔽性都特别强.,发作日是每年4月26日。版本发作日是每年6月26日。版本发作日为每月26日。,VxD(virul x device)可以虚拟根本不存在的硬件，工作在操作系统的最底层，具备扩展操作系统的能力。,CIH病毒的破坏性,CIH病毒,占据一般的可执行文件空余的位置,所以,感染后的文件大小没有变化，病毒代码的大小在1K左右。当一个染毒的EXE文件被执行，CIH病毒驻留内存，在其他程序被访问时对它们进行感染。,CIH对,计算机硬盘,以及,BIOS,具有很强的破坏能力。,在病毒发作时，病毒将从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据全被破坏为止；,还试图覆盖BIOS中的数据。一旦BIOS被覆盖掉，机器将不能启动，只有对BIOS进行重写。,CIH病毒的破坏性,3如何判断是否感染CIH病毒,有两种简单的方法可以判断是否已经感染上了CIH病毒：,（1）CIH病毒感染EXE可执行文件，可以用工具软件Ultra Edit打开一个常用的EXE文件，然后按下“切换16进制模式按钮（ctrl+H）”，再查找“CIHv1.”，如果发现“CIH v1.2”，“CIH v1.3”或“CIH v1.4”等字符串，则说明已经被感染。,-适用于其他感染可执行文件的病毒检测,（2）感染了版，则所有WinZip自解压文件均无法自动解开，同时会出现信息“WinZip自解压首部中断。可能原因：磁盘或文件传输错误。”感染了版，则部分WinZip自解压文件无法自动解开。如果遇到以上情况，有可能就是感染上CIH病毒了。,宏：就是由一些命令组合而成的单一程序语句,用于完成某一项特定的任务。宏的集合就构成了特定的“宏语言”。,微软公司当初为方便用户使用其产品,将WORD和EXECL 中的很多基本功能均以宏语言的形式提供给用户。,随着产品不断升级,微软宏语言的功能也在不断发展、壮大, 通过使用宏语言,用户能够以简捷的方法编制出格式复杂、功能强大的电子文档或电子表格,并以宏语言编程的方式自动完成一系列复杂或重复的操作。,9.3.2 宏病毒,宏的录制,例：,把一个词第一个字设置成红色，第二个字设置成蓝色。,录制宏前先把光标定到第一个字母前，开始录制，Shift+右键(选中第一个字母)，用鼠标点工具栏“字符颜色”后的下箭头，选颜色，(第一个字母颜色就设好了)；右键(移到第二个字母前)，Shift+右键(选中第二个字母)，再选工具栏“字符颜色”后的下箭头，选颜色，(第二个字母颜色就设好了)。停止录制。录制好宏如下。,9.3.2,宏病毒,宏病毒是一种使用宏语言编写的病毒，主要寄生于office文档或模板的宏中。,一旦打开这样的文档，,宏病毒就会被激活,，进入计算机内存，并驻留在Normal模板上。从此以后，所有自动保存的文档都会感染上这种宏病毒，如果网上其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。,宏病毒通常使用VB脚本，影响微软的Office组件或类似的应用软件，,大多通过邮件传播,。最有名的例子是1999年的美丽杀手病毒（Melissa），通过Outlook来把自己放在电子邮件的附件中自动寄给其他收件人。,该病毒采用名为“MP”的单宏模块，并且当打开一个被病毒感染的文档时，病毒将感染Word的通用模板，并影响到以后使用的Word文档。,当完成感染程序后，它将尝试将映射驱动器中的根目录及文件删除。,病毒的特征：当打开打开感染了该病毒的文档时，会出现带有 “Please Check Outlook Inbox E-Mail！”消息的消息框。按下“确认”按钮后，打开的文档中将看到被插入了以下的内容：“Hint: Get Norton 2000 not McAfee 4.02 ”。,Melissa V病毒特征,1、宏病毒的特点,（1）,专门感染数据文件,以往病毒只感染程序，不感染数据文件，而宏病毒专门感染数据文件，彻底改变了人们的“数据文件不会传播病毒”的认识。,（2）,多平台交叉感染,宏病毒冲破了以往病毒在单一平台上传播的局限。当Word、Excel这类著名应用软件在不同平台如Windows、OS/2和MacinTosh上运行时，会被宏病毒交叉感染。,（3）,容易编写,以往病毒是以二进制的机器码形式出现，而宏病毒则是以人们容易阅读的源代码形式出现，所以编写和修改宏病毒比以往更容易。这也是前几年宏病毒的数量居高不下的原因。,（4）,容易传播,用户只要一打开带有宏病毒的电子邮件，计算机就会被宏病毒感染。此后，打开或新建文件都可能染上宏病毒，这导致了宏病毒的感染率非常高。,2,宏病毒的预防,（,1,）禁止所有自动宏的执行：打开word时，按住shift键。,（,2,）检查是否存在可疑的宏：打开word-工具-宏-删除,（,3,）按照自己的习惯设置：将自己设置的宏保存生成,遇到宏病毒时，用其覆盖当前模板。,（,4,）提示保存,Normal,模板：工具-选项-选中“提示保存Normal模板”，感染宏病毒，提示更改模板时选择“否”,（,5,）使用,.rtf,和,.csv,格式代替,.doc,和,.xls：rtf和csv格式不支持宏应用，所以交换文件时，保存为这两种格式较安全。,方法一：,Word中新建一个空文档；,工具-选项-安全性,单击宏安全性，将安全级设置为“非常高”,工具-选项-保存对话框选择“提示保存Normal”模板,打开感染的word文档，出现启用宏提示时，选择否，然后将,文档内容全部复制,。,切换到新建的空word文档，,文档内容,粘贴保存，则宏病毒被清除。,关闭原来打开的感染的word文档，如出现是否保存提示时，选择否。,3、宏病毒的清除,方法二：,工具-宏-管理器-宏方案-宏有效范围中打开要检查的文档。列表中出现该文档包含的宏，讲不明来源的宏删除。,退出word，C：根目录下有文件删除。,C:documents and Settings,User,Application DataMicrosoftTemplates 目录下找到删除,9.3.3,蠕虫病毒,蠕虫（,Worm,）病毒,是一种通过网络传播的恶性病毒，它,通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。,蠕虫与传统的病毒区别：,如不利用文件寄生、对网络造成拒绝服务、与黑客技术相结合等。,普通病毒,蠕虫病毒,存在形式,寄生于文件,独立程序,传染机制,宿主程序运行,主动攻击,传染目标,本地文件,网络计算机,病毒名称,爆发时间,造成损失,莫里斯蠕虫,1988,年,6000,多台电脑停机，经济损失达,9600,万美元,爱虫病毒,2000,年,5,月,通过Outlook电子邮件系统传播，邮件的主题为“I LOVE YOU”，可以改写本地及网络硬盘上面的某些文件。,众多用户电脑被感染.,红色代码,2001,年,7,月,通过微软公司 IIS系统漏洞进行感染，将网络蠕虫、计算机病毒、木马程序合为一体，可称之为划时代的病毒。,直接经济损失超过,26,亿美元,求职信,2001,年,12,月,大量病毒邮件堵塞服务器，损失达数百亿美元,蠕虫王,2003,年,1,月,攻击安装有Microsoft SQL 的NT系列服务器，该病毒尝试探测被攻击机器的1434/udp端口，如果探测成功，则发送376个字节的蠕虫代码.造成,网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过,26,亿美元,冲击波,2003,年,7,月,大量网络瘫痪，造成了数十亿美金的损失,MyDoom,2004,年,1,月,一种通过电子邮件附件和P2P网络传播的病毒,当用户打开并运行附件即向外发送,大量的垃圾邮件，并在系统留下后门。攻击,SCO,和微软网站，给全球经济造成了,300,多亿美元的损失,2,蠕虫病毒的基本结构和传播过程,（1）蠕虫的基本程序结构包括以下3个模块：,传播模块：负责蠕虫的传播，传播模块又可以分为三个基本模块：扫描模块、攻击模块和复制模块。,隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。,目的功能模块：实现对计算机的控制、监视或破坏等功能。,扫描：由蠕虫的扫描模块负责探测存在漏洞的主机。,收到成功的反馈信息后，就得到一个可传播的对象。,攻击：攻击模块按漏洞攻击步骤自动攻击上一步骤中找到的对象，取得该主机的权限（一般为管理员权限）。,复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。,（2）蠕虫程序的一般传播过程为：,3,蠕虫病毒实例爱情后门,爱情后门（）发作时间是随机的，主要通过网络和邮件来传播，感染对象为硬盘文件夹。,中毒特征：d、e、f等盘不能打开。,根目录下存在、及很多.zip .rar的压缩文件。,、等进程占用CPU。,Netstat an查看网络连接，会发现很多端口处于连接或监听状态。网速极慢。,任务管理器中看到多个进程。等,病毒的清除,为系统账户设置足够复杂的登录密码,关闭共享文件夹,给系统打补丁,升级杀毒软件病毒库，断开网络物理连接，关闭系统还原功能，进入安全模式杀毒。,9.3.4 木马,一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。,(1)硬件部分：建立木马连接所必须的硬件实体。,(2)软件部分：实现远程控制所必须的软件程序。,(3)具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素。,(1)硬件部分：,控制端：对服务端进行远程控制的一方。,服务端：被控制的一方。,(2)软件部分：,控制端程序：控制端用以远程控制服务端的程序。,木马程序：潜入服务端内部，获取其操作权限的程序。,木马配置程序：设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽的程序。,(3)具体连接部分：建立一条木马通道所必须的元素。,控制端IP，服务端IP：即控制端，服务端的网络地址，也是木马进行数据传输的目的地。,控制端端口，木马端口：即控制端，服务端的数据入口，通过这个入口，数据可直达控制端程序或木马程序。,木马的原理,配置木马,(1)木马伪装：木马配置程序为了在服务端尽可能的隐藏木马，会采用多种伪装手段。,伪装方式,修改图标,将木马服务端程序的图标改成HTML,TXT, ZIP等各种文件的图标,捆绑文件,将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。被捆绑的文件一般是可执行文件(即EXE,COM一类的文件)。,出错显示,有的木马提供了一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框,错误内容可自由定义,大多会定制成一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时,木马却悄悄侵入了系统。,定制端口,很多老式的木马端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就 知道感染了什么木马, 现在很多新式的木马都加入了定制端口的功能,控制端用户可以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口)，这样就给判断所感染木马类型带来了麻烦。,自我销毁,当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中(如C:WINDOWS）。,木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，就很难删除木马了。,木马更名,现在有很多木马都允许控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型。,（2）建立连接,必须满足两个条件：,一是服务端已安装了木马程序；,二是控制端,服务端都要在线 。,在此基础上控制端可以通过木马端口与服务端建立连接。,建立连接过程,假设A机为控制端，B机为服务端，A与B建立连接必须知道B的木马端口和IP地 址，木马端口是A机事先设定的，为已知项，所以最重要的是如何获得B的IP地址。,获得B的IP 地址的方法主要有两种：信息反馈和IP扫描。,信息反馈：木马配置程序将信息反馈的方式或地址进行设置，如设置信息反馈的邮件地址，ICQ号等。通过设置方式将IP地址反馈给控制端。,IP扫描：因为B机装有木马程序，假设它的木马端口是7626，处于开放状态的，A机只要扫描IP地址段中7626端口开放的主机就行了。,建立连接：A机通过木马的控制端程序向B机发出连接信号，B机中的木马程序收到信号后立即作出响应，当A机收到响应的信号后， 开启一个随即端口1031与B机的木马端口7626建立连接，到这时一个木马连接才算真正建立。,（3）远程控制,木马连接建立后，控制端程序可与服务端上的木马程序取得联系,并通过木马程序对服务端进行远程控制。实现：,(1)窃取密码：一切以明文的形式，*形式或缓存在CACHE中的密码都能被木马侦测到，此外很多木马还提供有击键记录功能，它将会记录服务端每次敲击键盘的动作，所以一旦有木马入侵， 密码将很容易被窃取。,(2)文件操作：控制端可由远程控制对服务端上的文件进行删除,新建,修改,上传,下载,运行,更改属性等一系列操作,基本涵盖了WINDOWS平台上所有的文件操作功能。,(3)修改注册表：控制端可任意修改服务端注册表，包括删除，新建或修改主键，子键，键值。有了这项功能控制端就可以禁止服务端软驱，光驱的使用，锁住服务端的注册表，将服务端上木马的触发条件设置得更隐蔽的一系列高级操作。,(4)系统操作：这项内容包括重启或关闭服务端操作系统，断开服务端网络连接，控制服务端的鼠标， 键盘，监视服务端桌面操作，查看服务端进程等，控制端甚至可以随时给服务端发送信息，想象一下，当服务端的桌面上突然跳出一段话，不吓人一跳才怪。,木马查找,1、检查网络连接情况,由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。,具体的步骤是点击“开始”-“运行”-“cmd”，然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口。,2、查看目前运行的服务,通过点击“开始”-“运行”-“cmd”，然后输入“net start”来查看系统中开启的服务。,如果发现了不是自己开放的服务，我们可以进入任务管理器中的“服务”管理工具，找到相应的服务，停止并禁用它。,3、检查系统启动项,检查注册表启动项的方法如下：,点击“开始”-“运行”-“regedit”，然后检查HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值；HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值；HKEY-USERSDefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。,4、检查系统帐户,点击“开始”-“运行”-“cmd”，然后在命令行下输入net user，查看计算机上的用户。,使用“net user 用户名”查看这个用户是属于什么权限的。,一般除了Administrator是administrators组的，其他都不应该属于administrators组，如果你发现一个系统内置的用户是属于administrators组的，那几乎可以肯定被入侵了。,使用“net user用户名/del”来删掉这个用户。,查杀木马的工具,LockDown、The Clean、木马克星、金山木马专杀、木马清除大师、木马分析专家等，木马分析专家是免费软件。,9.3.5,病毒的发展趋势,（1）传播网络化,（,2,）利用操作系统和应用程序的漏洞,（,3,）混合型威胁,（,4,）病毒制作技术新,（,5,）病毒家族化特征显著,9.4,反病毒技术,9.4.1,反病毒技术的发展阶段,一个合理的反病毒方法，应包括以下几个措施：,检测,：就是能够确定一个系统是否已发生病毒感染，并能正确确定病毒的位置。,识别,：检测到病毒后，能够辩别出病毒的种类。,清除,：识别病毒之后，对感染病毒的程序进行检查，清除病毒并使程序还原到感染之前的状态，从系统中清除病毒以保证病毒不会继续传播。,如果检测到病毒感染，但无法识别或清除病毒，解决方法是删除被病毒感染的文件，重载未被感染的版本。,反病毒软件可以划分为四代：,l,第一代：简单的扫描器,l,第二代：启发式扫描器,l,第三代：行为陷阱,l,第四代：全部特征保护,第一代：简单的扫描器,需要病毒特征来识别病毒，也称特征代码法。,方法,：,病毒扫描软件由病毒代码库,（从病毒样本中抽取的特征代码）,和利用代码库进行扫描的扫描程序两部分构成。,特点：,检测准确、可识别病毒的名称、清除彻底。但不能检测未知病毒和变种病毒，需定期更新病毒资料库，具有滞后性。,第二代：启发式扫描器,一种方法：通过查找,经常与病毒相关联的代码段,确定病毒,。,另一种方法是,校验和法,：通过病毒感染文件的特征来识别病毒。,根据文件的内容计算其校验和，并将所有文件的校验和放在资料库中。检测时将文件现有内容的校验和与资料库中的校验和做比较，若不同则判断其被染毒。,特点：可检测未知病毒和变种病毒，最大的缺点就是误判断高且无法确认是哪种病毒感染的。,第三代：行为陷阱,通过病毒的行为识别病毒。,又称人工智能陷阱,是一种监测计算机行为的常驻内存扫描技术。它将,病毒所产生的行为,归纳起来，,定制可能有感染操作的动作集合,。,特点：不需定制病毒特征库或启发式规则，执行速度快，手续简便且可以检查到各式病毒；但程序设计难，且不容易考虑周全。,可疑的功能：,格式化磁盘类操作,搜索和定位各种可执行程序的操作,实现驻留内存的操作,发现非常的或未公开的系统功能调用的操作,例如，一段程序以如下序列开始：,MOV AH, 5,INT 13h,实现调用格式化盘操作的BIOS指令功能，那么这段程序就高度可疑值得引起警觉，,尤其是假如这段指令之前不存在取得命令行关于执行的参数选项，又没有要求用户交互地输入继续进行的操作指令时，可以有把握地认为这是一个病毒或恶意破坏的程序。,调用磁盘操作的中断,格式化磁盘操作,第四代：全部特征保护,综合运用多种不同的反病毒技术的软件包，如扫描、访问控制、活动陷阱等。,这种软件包还包含的访问控制功能，限制病毒渗透系统的能力，也由此限制病毒为不断感染而改写文件的能力。,更高的反病毒方法和产品不断涌现。我们将对其中最重要的两种进行重点说明: 通用解密和数字免疫系统。,9.4.2 高级反病毒技术,通用解密（,Generic,Decryption）,通用解密,(GD) 技术使得反病毒软件能够在保证足够快的扫描速度的同时，也能够轻松地检测到最为复杂的病毒变种 。,当含有多态病毒的文件执行时,病毒必须首先将自身解密以得到激活。 为了检测到这样的病毒结构可执行文件应该通过GD扫描器运行。,GD扫描器包含以下几个部件,CPU仿真器（CPU,emulator）,：,CPU仿真器是一种基于软件的虚拟计算机。,它可以从底层处理器中接管对可执行文件中指令的解释权。,仿真器包括所有的寄存器和其他处理硬件的软件版本, 所以,在仿真器上解释运行的程序对底层处理器不会产生实际的危害。,GD扫描器包含以下几个部件,病毒特征码扫描器（,Virus signature scanner）：,对目标代码进行扫描来寻找抑制病毒特征码的模块。,仿真控制模块（,Emulation,control module）,：该模块控制目标代码的执行。,虚拟机技术,用程序代码虚拟出一个CPU及其各个寄存器，甚至将硬件端口也虚拟出来，用调试程序调入“病毒样本”并将每一个语句放到虚拟环境中执行，这样我们就可以通过内存和寄存器以及端口的变化来了解程序的执行，从而判断是否中毒。,虚拟机技术,主要执行过程,1. 在查杀病毒时，在机器虚拟内存中模拟出一个“指令执行虚拟机器”；,2. 在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件；,虚拟机技术,主要执行过程,3. 在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则说明发现了病毒。,4. 杀毒过程是在虚拟环境下摘除可疑代码，然后将其还原到原文件中，从而实现对各类可执行文件内病毒的杀除。,2、数字免疫系统,免疫技术的原理,病毒感染前传染模块要做传染条件的判断,病毒程序要给被传染对象加上传染标识:如黑色星期五,在正常对象中自动加上这种标识，就可以不受病毒的传染，起到免疫的作用,免疫技术,计算机病毒免疫的方法,针对某一种病毒进行的计算机病毒免疫,把感染标记写入文件和内存,防止病毒感染,免疫技术,缺点,对不设有感染标识的病毒不能达到免疫目的。,当出现这种病毒的变种不再使用这个免疫标志时，或出现新病毒时，免疫标志发挥不了作用。,某些病毒的免疫标志不容易仿制，非要加上这种标志不可，则对原来的文件要做大的改动。,免疫技术,缺点,不可能对一个对象加上各种病毒的免疫标识。,这种方法能阻止传染，却不能阻止已经感染的病毒的破坏行为。,数字免疫系统,近来网络的两种主要技术,对于病毒传播率的提高有着越来越大的影响：,集成邮件系统（,Integrated mail systems）：,诸如,Lotus Notes 和 Microsoft Outlook 这样的系统,向任何人发送任何内容或者对接收到的客体进行操作都变得非常简单。,移动程序系统（,Mobile-program systems）：,诸如,Java和ActiveX 等提供的机制允许程序自主地从一个系统转移到另外的系统。,为了应对这些以互联网为基础的威胁 ，IBM开发了一个数字免疫系统原型。,数字免疫系统,当一个新病毒进入一个组织的网络系统时，免疫系统会自动地对其进行捕获、分析、检测、屏蔽和清除操作。,并能够向运行IBM反病毒软件的系统报告该病毒信息，从而使这种病毒在广泛传播之前就可以被检测出来。,Digital Immune System,A monitoring program on each PC uses a variety of heuristics to infer that a virus may be present, and forwards a copy to an administrative machine,a central virus analysis machine creates an environment in which the infected program can be safely run for analysis,The resulting prescription is sent back to the administrative machine,3.行为阻断软件,与启发式或基于特征码的扫描不同，,行为阻断软件与主机操作系统相结合，实时地监控恶意的程序行为。,在检测到恶意的程序行为后，行为阻断软件在的恶意行为对实际系统实施攻击之前将其阻止。,3,行为阻断软件,行为阻断软件要监控的行为包括：,（1）试图打开、浏览、删除、修改文件；,（2）试图格式化磁盘或者其他不可恢复的磁盘操作；,（3）试图修改可执行文件、脚本、宏；,（4）试图修改关键的系统设置，如启动设置；,（5）电子邮件脚本、及时消息客户发送的可执行内容；,（6）可疑的初始化网络连接。,9.5,病毒防范措施,9.5.1,防病毒措施,1服务器的防病毒措施,（1）安装正版的杀毒软件,（,2,）拦截受感染的附件,（3）合理设置权限,（,4,）取消不必要的共享,（5）重要数据定期存档,2终端用户防病毒措施,（1）安装杀毒软件和个人防火墙,（2）禁用预览窗口功能,（3）删除可疑的电子邮件,（,4,）不要随便下载文件,（,5,）定期更改密码,