计算机病毒及防范技术.ppt

中国电信维护岗位认证教材（互联网安全维护专业）,计算机病毒及防范技术,2,目录,第一章计算机病毒介绍第二章计算机病毒分析与防护,1.1计算机病毒定义,什么是病毒?医学上的病毒定义：是一类比较原始的、有生命特征的、能够自我复制和在细胞内寄生的非细胞生物。什么是计算机病毒?计算机病毒通常是指可以自我复制，以及向其他文件传播的程序,3,计算机病毒的来源多种多样，有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的，有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚“计算机病毒”这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说P1的青春中提出1983年美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性。1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等1989年全世界的计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户造成极大损失。、1991年在“海湾战争”中，美军第一次将计算机病毒用于实战1999年Happy99等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。,1.2计算机病毒起源和发展史,4,DOS病毒,Windows病毒,宏病毒,脚本病毒,引导型病毒,病毒的不同类型,1.3传统计算机病毒分类,计算机启动时使用了被病毒感染的磁盘,启动病毒感染硬盘,在此以后所有使用的磁盘都会感染,引导型病毒,5,现代计算机病毒类型,特洛伊木马程序,蠕虫,玩笑程序,恶意程序dropper,后门程序,DDos攻击程序,1.4现代计算机病毒介绍,6,特洛伊木马程序往往表面上看起来无害，但是会执行一些未预料或未经授权，通常是恶意的操作。,7,特洛伊木马,蠕虫,计算机蠕虫是指一个程序（或一组程序），它会自我复制、传播到别的计算机系统中去。,8,玩笑程序,玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计算机用户开玩笑。,这些玩笑程序设计时不是致力于破坏用户的数据，但是某些不知情的用户可能会引发不正当的操作，从而导致文件的损坏和数据的丢失。,9,病毒或恶意程序Droppers,病毒或恶意程序Droppers被执行后，会在被感染系统中植入病毒或是恶意程序,在病毒或恶意程序植入后，可以感染文件和对系统造成破坏,用于生成病毒或恶意程序的计算机程序,10,后门程序,后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过系统安全策略,11,DDos攻击程序,DDos攻击程序用于攻击并禁用目标服务器的web服务，导致合法用户无法获得正常服务,12,网络病毒的概念,利用网络协议及网络的体系结构作为传播的途径或传播机制，并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。,1.5网络病毒,13,Internet,未修补漏洞的系统,已修补漏洞的系统,染毒电脑,WORM_SASSER.A,被感染,不被感染,不被感染,被感染,被感染,不被感染,不被感染,网络病毒的特点及危害,破坏性强,传播性强,针对性强,扩散面广,传染方式多,消除难度大,14,病毒网络攻击的有效载体,网络攻击的程序可以通过病毒经由多种渠道广泛传播攻击程序可以利用病毒的隐蔽性来逃避检测程序的搜查病毒的潜伏性和可触发性使网络攻击防不胜防许多病毒程序可以直接发起网络攻击植入攻击对象内部的病毒与外部攻击里应外合，破坏目标系统,网络病毒同黑客攻击技术的融合为网络带来了新的威胁。攻击者可以用病毒作为网络攻击的有效载体，呈几何级地扩大破坏能力。,15,16,目录,第一章计算机病毒介绍第二章计算机病毒分析与防护,病毒的常见症状,电脑运行比平常迟钝程序载入时间比平常久对一个简单的工作，磁盘似乎花了比预期长的时间不寻常的错误信息出现硬盘的指示灯无缘无故的亮了系统内存容量忽然大量减少可执行程序的大小改变了内存内增加来路不明的常驻程序文件奇怪的消失文件的内容被加上一些奇怪的资料文件名称，扩展名，日期，属性被更改过,2.1病毒的常见症状及传播途径,17,病毒的常见传播途径,文件传输介质例如CIH病毒，通过复制感染程序传播电子邮件例如梅丽莎病毒，第一个通过电子邮件传播的病毒网络共享例如WORM_OPASERV.F病毒可以通过网络中的可写共享传播文件共享软件例如WORM_LIRVA.C病毒可以通过Kazaa点对点文件共享软件传播,18,2.2病毒感染的一般过程,通过某种途径传播，进入目标系统自我复制,并通过修改系统设置实现随系统自启动激活病毒负载的预定功能打开后门等待连接发起DDOS攻击进行键盘记录.除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。,19,2.3病毒传播或感染途径,电子邮件：WORM_MYTOB，WORM_STRATION网络共享：WORM_SDBOTP2P共享：WORM_PEERCOPY.A系统漏洞：WORM_MYTOB、WORM_SDBOT其它（目前大多数木马、间谍软件的感染方式）移动磁盘传播网页感染与正常软件捆绑用户直接运行病毒程序由其他恶意程序释放,20,电子邮件邮件附件为病毒压缩文件HTML正文可能被嵌入恶意脚本利用社会工程学进行伪装，增大病毒传播机会传播速度非常快例如，WORM_MYTOB等病毒,21,网络共享病毒会搜索本地网络中存在的共享，如ADMIN$,IPC$,E$,D$,C$通过空口令或弱口令猜测，获得完全访问权限病毒自带口令猜测列表将自身复制到网络共享文件夹中通常以游戏,CDKEY等相关名字命名利用社会工程学进行伪装，诱使用户执行并感染。例如：WORM_SDBOT等病毒,22,P2P共享软件将自身复制到P2P共享文件夹通常以游戏,CDKEY等相关名字命名通过P2P软件共享给网络用户利用社会工程学进行伪装，诱使用户下载例子，WORM_PEERCOPY.A等病毒,23,系统漏洞由于操作系统固有的一些设计缺陷,导致恶意用户可以通过畸形的方式利用这些缺陷,达到在目标机器上执行任意代码的目的,这就是系统漏洞。病毒往往利用系统漏洞进入系统,达到快速传播的目的。常被利用的漏洞RPC-DCOM缓冲区溢出(MS03-026)WebDAV(MS03-007)LSASS(MS04-011)(LocalSecurityAuthoritySubsystemService)例如：WORM_MYTOB、WORM_SDBOT等病毒,24,2.4病毒自启动方式,修改系统修改注册表启动项文件关联项系统服务项BHO项将自身添加为服务将自身添加到启动文件夹修改系统配置文件自动加载服务和进程病毒程序直接运行嵌入系统正常进程DLL文件和OCX文件等驱动SYS文件,25,注册表项目之注册表启动项：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下：RunServicesRunServicesOnceRunRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下：RunRunOnceRunServices以上这些键一般用于在系统启动时执行特定程序。,26,注册表项目之文件关联项：HKEY_CLASSES_ROOT下：exefileshellopencommand=%1%*comfileshellopencommand=%1%*batfileshellopencommand=%1%*htafileShellOpenCommand=%1%*piffileshellopencommand=%1%*病毒将%1%*改为“virus.exe%1%*virus.exe将在打开或运行相应类型的文件时被执行,27,注册表项目之系统服务项：在如下键值下面添加子键即可将自身注册为服务，随系统启动而启动：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项目之BHO项在如下键值下面添加子键（ClSID键）即可将自身注册为BHO，随IE浏览器启动而启动：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowserHelperObjects,28,将自身添加到启动文件夹：当前用户的启动文件夹可以通过如下注册表键获得:SoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders中的StartUp项公共的启动文件夹可以通过如下注册表键获得:SoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders中的CommonStartUp项病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程序的路径。,29,2.4病毒现象,经常出现系统错误或系统崩溃系统反应变慢，网络拥塞陌生进程或服务可疑的打开端口可疑的自启动程序病毒邮件,30,2.5病毒的隐性行为,下载特性自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种后门特性开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控信息收集特性收集私人信息，特别是帐号密码等信息，自动发送自身隐藏特性使用Rootkit技术隐藏自身的文件和进程,31,文件感染特性感染系统中部分/所有的可执行文件，使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体。典型PE_LOOKED维京PE_FUJACKS熊猫烧香网络攻击特性针对微软操作系统或其他程序存在的漏洞进行攻击修改计算机的网络设置向网络中其它计算机发送大量数据包以阻塞网络典型震荡波ARP攻击,32,网关防护阻断外部对内部的威胁,虚拟化系统防护对虚拟化系统和应用程序进行攻击防护、监控、安全控制及监控管理，提高虚拟化密度,传统终端防护恶意程序防护、终端管理,网络预警系统对外部进来的威胁进行预警,服务器防护对服务器的攻击、恶意代码防护及安全监控审计,移动终端防护清除垃圾短信和病毒、控制外设,瘦客户端防护安全防护、降低负载，控制由外设产生的安全威胁,网站监测平台实时安全监测,2.6计算机病毒防御,系统中了病毒怎么办？,重装系统？系统还原？Ghost还原？大多数情况下，可以直接根据经验来迅速清除各种病毒木马病毒和后门程序间谍软件、广告软件和灰色软件蠕虫病毒文件型病毒母体处理过程包括修复病毒修改的注册表/文件内容删除病毒文件,2.7计算机病毒手工处理,34,病毒处理建议步骤,处理病毒问题时，若病毒进程在系统中运行，则可能会出现无法删除文件、无法删除注册表主键/键值的情况，也可能出现删除注册表键值或文件后，被删除的内容会再次出现的情况。最好在安全模式下操作终止所有可疑进程和不必要的进程关闭系统还原,35,检查注册表中常见的病毒自动加载项,检查启动项:删除不必要的启动项键值，如发现指向不正常或不认识的程序的键值，可将该键值删除。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun,36,检查注册表中常见的病毒自动加载项,检查服务:在控制面板-管理工具-服务中，查看是否存在可疑服务。若无法确定服务是否可疑，可直接查看该服务属性，检查服务所指向的文件。随后可以检查该文件是否为正常文件(文件检查方法稍后会介绍)。对于不正常的服务，可直接在注册表中删除该服务的主键。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,37,检查注册表中常见的病毒自动加载项,检查Winlogon加载项在注册表中检查Winlogon相关加载项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonShell=Explorer.exe(默认)Userinit=C:WINDOWSsystem32userinit.exe,(默认)以上Shell和Userinit键值为默认，若发现被修改，可直接将其修改为默认键值。,38,检查注册表中常见的病毒自动加载项,检查Winlogon加载项在注册表中检查WinlogonNotify相关加载项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotify在Notify下会有多个主键(目录)，每个主键中的DllName键值将指向一个DLL文件。若发现有指向可疑的DLL文件时，请先确认其指向的DLL是否正常。若不正常，可直接删除这个主键。,39,检查注册表中常见的病毒自动加载项,检查其他加载项在注册表中检查以下注册表加载项键值：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindowsAppInit_DLLs=“”HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsLoad=“”该键值默认为空。若键值被修改，可直接将键值内容清空。,40,检查注册表中的BHO项,检查BrowserHelpObject(BHO)项BHO项在注册表中包含以下主键的内容：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowserHelperObjectsHKEY_CLASSES_ROOTCLSID可以在HKEY_CLASSES_ROOTCLSID下的InprocServer32主键中查看BHO项所指向的文件。当发现指向了可疑文件时，可直接删除以上注册表路径下所有包含了该CLSID的主键。使用Hijackthis工具可以迅速有效的分析系统中的BHO项。,41,系统中的可疑文件,如何判断文件是否可疑？查看文件版本信息Google之所有的Windows正常系统文件都包含完整的版本信息。若文件无版本信息或版本信息异常，则可判断为可疑文件。如何迅速查找这些可疑文件？%SystemRoot%SystemRoot%System32%SystemRoot%System32drivers对于这些目录下的文件，按照修改日期排序，检查修改日期为最近一段时间的文件：可执行文件.EXE，.COM，.SCR，.PIFDLL文件和OCX文件LOG文件有一些病毒会将DLL文件伪装成LOG后缀的文件，可以直接双击打开查看其内容是否为文本。若为乱码，则可疑。,42,病毒文件被隐藏，如何查找？,工具-文件夹选项选择“显示所有文件”取消“隐藏受保护的系统文件”仍然无法显示隐藏文件HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue=2DefaultValue=2HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue=1DefaultValue=2,43,检查并修复host文件,修复被病毒修改的host文件一些病毒会修改系统的host文件，使用户无法访问某些网站，或在用户访问某些网站时，重定向到某些恶意站点。检查文件：%SystemRoot%System32driversetchost使用文本编辑工具打开该文件检查。默认该文件包含一条host记录127.0.0.1localhost若有其他可疑的host记录，可以直接删除多余的记录,44,删除所有临时文件,病毒经常存在于临时目录中%SystemRoot%TempC:TempInternet临时文件C:DocumentsandSettingsLocalSettingsTemp清空所有以上的目录,45,常用病毒查杀工具一览,2.8病毒防护常用工具,SIC，HijackThis系统诊断ProcessExplorer分析进程TCPView分析网络连接Regmon,InstallRite监视注册表Filemon,InstallRite监视文件系统IceSwordNtsdpskill,46,47,课程结束，谢谢大家！,