Download
1 / 68
680 likes | 813 Views
第十章 计算机 恶意程序与病毒. 第十章 计算机 恶意程序与病毒. 第一节 恶意程序与计算机病毒 一、特殊程序、恶意程序与病毒 1.特殊程序 在特定条件、特定时间和特定环境下才执行的程序 。 那些具有专门程序功能和执行结果的程序。 例如: 系统调试与跟踪程序、测试程序、网络分析与监察程序、安全审计程序、工具程序等; 自毁程序、跟踪程序、侦察程序等。 合法的程序序并不能保证不被非法的使用, 合法程序的滥用 ,将对系统安全形成极大的威协,造成极大的破坏。. 第十章 计算机 恶意程序与病毒.
E N D
第十章 计算机恶意程序与病毒
第十章计算机恶意程序与病毒 第一节 恶意程序与计算机病毒 一、特殊程序、恶意程序与病毒 1.特殊程序 在特定条件、特定时间和特定环境下才执行的程序。 那些具有专门程序功能和执行结果的程序。 例如: 系统调试与跟踪程序、测试程序、网络分析与监察程序、安全审计程序、工具程序等; 自毁程序、跟踪程序、侦察程序等。 合法的程序序并不能保证不被非法的使用,合法程序的滥用,将对系统安全形成极大的威协,造成极大的破坏。
第十章计算机恶意程序与病毒 在已经出现的计算机恶意程序中,有的是将某个合法程序进行改动,让它含有并执行某种破坏功能,如程序自毁或磁盘自毁。有的是利用合法程序的功能和权限,非法获取系统资源和敏感数据,进行系统入侵,如利用网络协议分析程序,进行网络包伪造、通信数据替换等。 合法程序的滥用是恶意程序产生的一类因素。
第十章计算机恶意程序与病毒 恶意程序(一类特殊程序) ┌────┴────┐ 有宿主 无宿主 ┌──┴──┐ ┌──┴──┐ 特洛依木马 病毒 细菌 蠕虫 (Trojan H) (Virus) (Bacteria) (Worm) 复合型病毒
第十章计算机恶意程序与病毒 ⑴“特洛依木马”(Trojan Horse) 一种故意隐藏在正常程序代码中的异常特殊代码,在条件成熟时进行特殊任务的执行。 “逻辑炸弹”(Logic Bomb): 基于逻辑条件的满足而触发 “时间炸弹” (Time Bomb): 基于时间条件的满足而激活。 不自身复制、不传染、任务完成后自毁或隐藏。
远程访问型特洛伊木马: • 这是现在最广泛的特洛伊木马。可以访问受害人的硬盘。RAT'S(一种远程访问木马)用起来是非常简单的。只需得到受害人的IP,你就会访问到他/她的电脑。他们能几乎可以在你的机器上干任何事。键盘记录,上传和下载功能等等…… 有不少的流行的特洛伊木马每天被发现,并且这些程序都是大同小异。如果特洛伊木马在每次的Windows重新启动时都会跟着启动,这意味着它修改了注册表或者Win.ini或其他的系统文件以便使木马可以启动。
特洛伊木马会创建一些文件到Windows\System目录下。那些文件像一些Windows的正常可执行文件。大多数的特洛伊木马会在Alt+Ctrl+Del对话框中隐藏。特洛伊木马会创建一些文件到Windows\System目录下。那些文件像一些Windows的正常可执行文件。大多数的特洛伊木马会在Alt+Ctrl+Del对话框中隐藏。 • 远程访问型特洛伊木马会在你的电脑上打开一个端口让每一个人连接。一些特洛伊木马有可以改变端口的选项并且设置密码为的是只能让感染你机器的人来控制特洛伊木马
密码发送型特洛伊木马 这种特洛伊木马的目的是找到所有的隐藏密码并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类的特洛伊木马不会在每次的Windows重启时重启,而且它们大多数使用25号端口发送E-mail。像ICQ号码、电脑信息等。如果你有隐藏密码,这些特洛伊木马是危险的。
键盘记录型 这种特洛伊木马是非常简单的。它们只作一种事情,就是记录受害者的键盘敲击并且在LOG文件里查找密码。通常这种特洛伊木马随着Windows的启动而启动。它们有像在线和离线记录这样的选项。在在线选项中,它们知道受害者在线并且记录每一件事。但在离线记录时每一件事在Windows启动被记录后才被记录并且保存在受害者的磁盘上等待被移动。
毁坏型 这种特洛伊木马的唯一功能是毁坏并且删除文件。它们非常简单,并且很容易被使用。它们可以自动的删除你电脑上的所有的.Dll或.ini或.exe文件。这是非常危险的特洛伊木马并且一旦你被感染确信你没有杀除,则你的电脑信息会受到极大的影响。
FTP型特洛伊木马 • 这类的特洛伊木马打开你电脑的21号端口,使每一个人都可以有一个FTP客户端且不用密码连接到你的电脑并且会有完全的上传下载选项。
第十章计算机恶意程序与病毒 ⑵“计算机病毒”(Computer Virus) 一种人为编制的特殊程序代码,可将自己附着在其他程序代码上以便传播,可自我复制、隐藏和潜伏,并带有破坏数据、文件或系统的特殊功能。 特洛依木马的特例。 具有宿主。
第十章计算机恶意程序与病毒 ⑶“细菌”(Bacteria) 一种简单的可自身复制的程序,一旦进入系统,该程序就连续不停地运行,尽可能地占据处理器时间和存储空间,造成系统因缺乏可用资源而不能工作。 无宿主。
第十章计算机恶意程序与病毒 ⑷“蠕虫”(Worm) 一种独立运行的程序代码,在网络环境下主动传播和复制,利用系统资源侵入网络,从而阻塞和拒绝网络服务。无宿主、不驻留、仅存在于内存,可经网络传播。
第十章计算机恶意程序与病毒 二、计算机病毒的特性 所有计算机病毒都具有(或者部分具有)下述的特性,这些特性是病毒赖以生存的手段和机制。 ①传染性(propagation)。感染病毒的程序一旦运行,就会感染其他的程序,并且一直保持这种传染性,进行再传染。特洛依木马型特殊程序以预施方式发布。
第十章计算机恶意程序与病毒 ②持久性(persistence)。带毒程序可以再传染,带毒程序的检测和清除、带毒环境的清洗、系统和数据的恢复是十分困难和费时的,甚至是不可能的。尤其在网络环境下,病毒的跟踪检测是很困难的。反病毒软件及硬件本身所具有的副作用, 使系统恢复不稳定和困难。 ③多能性(versatility)。计算机病毒具有各种类型,变化各异, 攻击目标不同, 可以针对和攻击各个应用领域,甚至无需任何预先信息。
第十章计算机恶意程序与病毒 ④潜伏性(conceality)。绝大多数病毒代码量少、体积小,附加于其他程序之上,隐藏于系统之中而不易查觉,以便长期潜伏。程序固化和病毒码的微电子化, 也从另一途径使得病毒具有长期存在性和潜伏性。潜伏期的病毒由专门事件触发,受害者很难早期发现。部分病毒具有伪装性,难以识别。
第十章计算机恶意程序与病毒 ⑤影响性(effectiveness)。计算机病毒既可以对数据、程序、以及整个系统带来灾难性和深远的影响,也可以对操作员、程序员、以及决策者的心理产生极大影响,造成平时和战时, 军事与民事的双重压力。
第十章计算机恶意程序与病毒 三、计算机病毒的分类, 不同的分类方式: 功能性、进展分类: 四类(四代) 驻留和感染机制分类: 文件驻留型、系统驻留型、混合驻留型、宏病毒。 宿主机不同分类: PC型病毒、Mac病毒、UNIX病毒、网络病毒等。
第十章计算机恶意程序与病毒 1. 计算机病毒进展分类 第一代:良性和准恶性表现 第二代:恶性、破坏性、复合性机制 第三代:变异性、欺骗性、反跟踪性 第四代:交叉、融合、隐形和多形性 早期病毒与合法的特殊程序间区别模糊,这类病毒程序的表现形式是良性的,例如:占据和消耗时间和空间、修改中断矢量,改动文件指针,改动并增加文件长度,感染指定文件,破坏有限,病毒程序代码基本不变,驻留环境单一,检测消除较容易,系统恢复较好。
第十章计算机恶意程序与病毒 目前病毒新进展: 不修改中断矢量,采用插入或 "补丁" 方式,不改动、也不增加文件长度,潜伏在保留区中,感染文件类型增加,甚至全盘感染;恶性破坏增多,物理性、复盖性破坏增加; 病毒程序代码改变或部分改变,反跟踪、反分析技术采用,潜伏性强;变异型病毒增多,修改已知病毒,增加反侦破技术。 检测消除困难,系统恢复困难;多机系统、多用户系统和网络上的病毒开始出现。
第十章计算机恶意程序与病毒 2. 计算机病毒的驻留方式分类 1)文件驻留型病毒 病毒附着在可执行文件中。 2)系统驻留型病毒 病毒程序驻留在系统保留区、参数区、磁盘。 3)双重驻留型病毒 兼具上述两种情况。 4)宏病毒 利用Word BASIC宏语言,驻留在Word文档字模板文档,并进行感染传播,原文件病毒。
第十章计算机恶意程序与病毒 宏病毒特征: ①与操纵系统平台无关 它可以感染DOS, Windows, Win95, WinNT, MAC等系统下的文档和模板。 ②利用文档自动装载 利用MS Word字处理软件特性自动装载病毒宏代码,其他Office文档也受影响。 ③感染数据文件 宏病毒可以感染DOC, DOT, XLS等类型的数据文件。 ④检测消除困难 与传统病毒机理不同,消除困难。
第十章计算机恶意程序与病毒 第二节 计算机病毒的攻击技术 一、计算机病毒的传染途径 注入(侵入) -->传染(驻留) -->替换(修改) -->潜伏(等待) -->表现(破坏) -->结束(自毁) 在其上任何一个环节都可以阻止病毒传染、设立警戒标志和防护栏。
第十章计算机恶意程序与病毒 二、计算机病毒的入侵机制 1.直接注入 别有用心者施放,软盘、软件传播。 2.预置注入 通过固件方式和微电子方式, 利用智能型可控硬件产品、部件带入或安装在系统中, 形成所谓特洛依木马式的特殊程序。当这些部件组成的产品进入对方系统, 将形成长期的潜在威胁, 特殊工作只需依靠某种方式激发预置的程序而已。
第十章计算机恶意程序与病毒 3.无线注入 通过无线通信方式,利用战时无线通信系统,远距离地将计算机病毒代码 发送并进入敌方接收系统,继而进入中央指挥系统或者其他子系统,完成潜伏或直接作用。这种方式的关键是收发双方的 "同步",利用正常通信方式进入对方系统。
第十章计算机恶意程序与病毒 4.有线注入 主要是经网络的病毒注入。由于网络空间是一个人人都可进入的自由流动区,具有特殊发明创造力的计算机"黑客"(Hacker)总会找到进入网络系统的入口。而公共信息网络与国家专用信息网络的互连, 打开了从不敏感部门进入敏感部门的大门。因此,军事系统受到入侵和进攻的可能性大大存在。
第十章计算机恶意程序与病毒 三、计算机病毒的潜伏机制 可能的藏身之处 磁盘文件、磁盘结构(主引导、次引导、FAT、ROOT、UMB和HMA)、保留扇区、超越扇区、磁盘间隙、CMOS等。 网络文件、电子邮件、邮件附件等。
ETM/EPM 1088K 高端存储区 64K 1MB ROMBIOS 上位 存储区 384K 实模式 显示存储器 常规内存 0A000 基本内存 640K 00000
第十章计算机恶意程序与病毒 Top和Base是两个指针,规定了应用程序装入的存储区范围,其值存放在00413地址(0280)。如果病毒侵入,可将top指针下移至top1,该区域被病毒程序占据,并不会被新调入的程序覆盖。应用程序区域缩小。 A0000 Top 病毒程序 Top1 应用程序 640KB Base 操作系统 00000
第十章计算机恶意程序与病毒 转移到病毒程序执行: MOV SI, 0413 ; 指向0:0413字节 XOR DI, DI ; DS:SI=0:0413 MOV DS, DI ; 0:0413中内容为0280 DEC WORD PTR [SI];减去1K字节 LODSW ; 将027F取到 AX中 MOV CL, 06 ; CL=06 SHL AX, CL ; 左移6位=9FC0 PUSH AX ; 压入返回段地址9FC0 PUSH DI ; 压入返回位移量0000 RETF ; 转移到9FC0:0000地址
第十章计算机恶意程序与病毒 病毒藏身之地 0面0道1扇区 MBS (系统保留扇区 62个) DBS FAT FAT Root Data 1面0道1扇区 MBS:Main Boot Sector 主引导扇区 DBS:DOS Boot Secotor 次引导扇区
第十章计算机恶意程序与病毒 读MBS引导扇区:(用程序读) MOV AX, 0201 ; 读一个扇区 MOV BX, 1000 ; 读入缓冲区地址1000 MOV CX, 0001 ; 读第一扇区 MOV DX; 0080 ; 读C盘0面 INT 13 ; 读盘操作 INT 3 ; 执行终止 要读63个扇区则用023F,要写入一个扇区则用0301,读A盘为00,B盘为01,C盘为80,D盘为81,类推…...
第十章计算机恶意程序与病毒 读DBS引导扇区:(用程序读) MOV AX, 0201 ; 读一个扇区 MOV BX, 1000 ; 读入缓冲区地址1000 MOV CX, 0001 ; 读第一扇区 MOV DX; 0180 ; 读C盘1面 INT 13 ; 读盘操作 INT 3 ; 执行终止 读DBS引导扇区:(用命令读) -L1000 2 0 1 注意:A盘为0,B盘为1,C盘为2,D盘为3,以此类推…….
第十章计算机恶意程序与病毒 四、计算机病毒的感染机制 1.重复感染 计算机病毒的重复感染是指同一种病毒连续感染,在病毒载体上形成连续重复的病毒体驻留或者对驻留区域进行重复覆盖。 正常文件 第一次感染 第二次感染 第 n 次感染 病毒
第十章计算机恶意程序与病毒 2.交叉感染 计算机病毒的交叉感染是指同一系列(但不同种)病毒或者不同类型病毒的重复感染或者连续感染,感染的病毒种类在两种以上。 正常文件 第一次感染 交叉感染 多次交叉感染 病毒A 病毒A 病毒A 病毒B 病毒B 病毒A 病毒B 病毒N 必须采取循环扫描检测!
第十章计算机恶意程序与病毒 3.破坏性感染 病毒在感染过程中对正常的系统程序、结构、参数和文件进行了覆盖,当病毒程序被清除后,会产生恢复错误,甚至不能恢复。(引导型病毒多有此类情况) 正常扇区 病毒扇区 覆盖 病毒体 病毒体
第十章计算机恶意程序与病毒 五、计算机病毒的变异机制 1.计算机病毒的变异性 变异病毒:也称变种病毒,利用某种病毒程序,添加新的功能、感染对象和破坏目标,修改特征码或者感染标志,破坏检测。
第十章计算机恶意程序与病毒 五、计算机病毒的变异机制 2.计算机病毒的伪装性 伪装性:病毒施放者在病毒程序中故意嵌入明显的某种已知病毒的程序代码(假特征码),以欺骗反病毒软件,造成检测判断错误,从而造成清除错误。
第十章计算机恶意程序与病毒 五、计算机病毒的变异机制 3.计算机病毒的多形性 改变病毒程序、加密变换、分段加密技术等避开反病毒软件检测。
第三节 计算机病毒的预防 • 新购置的计算机中是可能携带有病毒。 建议: 对新购置的计算机系统用检测病毒软件检查是否有已知病毒,用人工检测方法检查是否有未知病毒。在确保没有病毒之后,再使用计算机。
2. 新购置的硬盘或出厂时已格式化的软盘中可能有病毒。 建议: 对硬盘可以进行检测或进行低级格式化。对硬盘只做DOS的FORMAT格式化不能去除主引导区(分区表扇区)病毒。对软盘做DOS的FORMAT格式化可以去除病毒。
对新购置的计算机软件也要进行病毒检测。 4. 如果硬盘确无病毒,最好直接用硬盘引导启动计算机,尽量不要用软盘去启动。在不联网的情况下, 软盘是传染病毒的最主要渠道。很多以80586为CPU芯片的PC机中,可以通过设置CMOS参数, 使启动时直接从硬盘引导启动,而根本不去读A盘。
5. 定期与不定期地进行磁盘文件备份工作。 当然备份前要保证没有病毒, 不然也会将病毒备份。不要等到由于病毒破坏、PC机硬件或软件故障使用户数据受到损坏时再去急救。特别是,重要的数据应当及时进行备份。
6. 对于软盘,要尽可能将数据和程序分别存放。装程序的软盘要贴有写保护签。6. 对于软盘,要尽可能将数据和程序分别存放。装程序的软盘要贴有写保护签。 7. 自己的软盘在别人的机器上使用过之后,在自己的机器上使用之前应进行病毒检测。在自己的机器上使用别人的软盘之前,也应进行病毒检查。对重点保护的机器应做到专机、专人、专盘、专用。封闭的使用环境中,不会自然产生计算机病毒。
8. 任何情况下,应保留一张写保护的、无病毒的、带有各种DOS命令文件的系统启动软盘,用于清除病毒和维护系统。8. 任何情况下,应保留一张写保护的、无病毒的、带有各种DOS命令文件的系统启动软盘,用于清除病毒和维护系统。 9. 做好分区表、DOS引导扇区等的备份工作,在进行系统维护和修复工作时可作为参考。 10. 对于多人共用一台计算机的环境,应建立登记上机制度,使问题能尽早发现,有病毒能及时追查、清除,不致扩散。
11. 网络管理员在启动Novell网或其它网络的服务器时,一定要坚持用硬盘引导启动,否则在受到引导扇区型病毒感染和破坏后将会影响连接整个网络的中枢。 11. 网络管理员在启动Novell网或其它网络的服务器时,一定要坚持用硬盘引导启动,否则在受到引导扇区型病毒感染和破坏后将会影响连接整个网络的中枢。
12.网络服务器安装生成时,应划分成多文件卷系统。 建议至少划分成SYS系统卷、共享的应用程序卷和各个网络用户可以独占的用户数据卷。利于维护网络服务器的安全稳定运行和用户数据的安全。如果系统卷受到损伤, 导致服务器瘫痪,那么通过重装系统卷,恢复网络操作系统,使服务器重新投入运行。装在共享的应用程序卷和用户卷内的程序和数据文件将不会受到损伤; 如果用户卷内的存储空间拥塞时,系统卷将不受影响,从而,不会影响网络系统的正常运行;这种划分有利于系统管理员设置网络安全存取权限。
13.网络管理员在安装服务器时,应保证安装环境无病毒,同时网络操作系统本身也不带病毒。13.网络管理员在安装服务器时,应保证安装环境无病毒,同时网络操作系统本身也不带病毒。 14. 网络系统管理员应将SYS系统卷设置成对其它用户为只读状态,屏蔽其它网络用户对系统卷除读以外的所有其它操作。保证除系统管理员外, 其它网络用户不可能将病毒感染到系统卷中。使网络用户总有一个安全的联网工作环境。
15. 只允许系统管理员(而不是其它别人)在应用程序卷中安装共享软件。软件本身应不含病毒,其安装环境也不得带病毒。应用卷也应设置成对一般用户是只读的。不经授权、不经病毒检测,就不允许在共享的应用程序卷中安装程序。 16. 系统管理员应该对网络内的共享电子邮件系统、共享存储区域和用户卷进行病毒扫描。发现异常情况应及时处理,不使其扩散。系统管理员还应该在应用程序卷中维持最新版本的反病毒软件供用户使用。
