1、第八章 恶意软件防范,2学时,四道防线,第一道防线:网络与系统接入控制 防止 第二道防线:用户管理与资源访问/数据存取控制 阻止 第三道防线:病毒防范与动态安全管理。 检测 第四道防线:灾难预防与系统恢复(备份)。 纠正,一、 基本概念,恶意软件:执行非法命令的程序或程序片段,通常带有恶意。恶意代码:包含恶意软件逻辑的程序代码。恶意软件载荷:恶意软件想要实现的恶意行为。,分类,按照如何执行恶意行为和如何自我传播分,复制,1 病毒的概念,计算机病毒是一种特殊的计算机程序,它可以隐藏在看起来无害的程序中,也可以生成自身的拷贝并插入到其他程序中。病毒通常会进行一些恶意的破坏活动或恶作剧,使用户的网络
2、或信息系统遭受浩劫。病毒是可以插入正常程序的可执行代码中的代码序列。,1994年2月18日,我国正式颁布实施中华人民共和国计算机信息系统安全保护条例的第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。,2 蠕虫,一种进行自我复制的程序1988蠕虫(unix)、SQL Slammer、nimda、code red通过永久性网络连接或拨号网络进行自身复制的程序。典型的蠕虫程序只会在内存中维持一个活动副本有两种不同的变形:只会在一台计算机上运行使用网络连接作为神经系统:
3、章鱼,3 僵尸,秘密获取因特网联网计算机控制权的程序,它利用被感染的计算机发起攻击,很难追溯到僵尸的制造者。常用于拒绝服务攻击分布式拒绝服务攻击Trinoo,4 木马,它是一个独立的应用程序,用以执行未授权行为的恶意软件完成一种用户不了解,可能也不许可的活动。木马不是病毒,无法自我复制。可以损害系统可以引发未预期的系统行为可以突破系统安全措施“特洛伊”,木马的种类,远程访问木马RAT反防护软件木马破坏型木马数据发送型木马拒绝服务攻击木马DoS-DDoS代理型木马,拒绝服务攻击p8,分类:攻击方法软件漏洞利用洪泛攻击从攻击位置或观察者的角度看单源攻击(单个僵尸)多源攻击DDoS,5 逻辑炸弹,编
4、程代码,有意或无意植入,特定条件下执行。基于事件的病毒或木马时间炸弹耶路撒冷(Jerusalem)别称叫做“黑色星期五”。每逢十三号又是星期五的日子,这个病毒就会发作。而发作时将会终止所有使用者所执行的程序,症状相当凶狠。米开朗基罗(Michelangelo)每年到了3月6日米开朗基罗生日时,这个病毒就会以Format硬盘来为这位大师祝寿。,6 陷门,一种秘密的程序入口,绕过访问控制规程,获得访问权。打开一个端口提供命令行环境,1 病毒的根本原理计算机系统的冯诺伊曼体系结构决定了计算机软件的特征,也从根本上决定了计算机病毒的存在。,二、病毒分析,软件是:工具;资源;知识产品;社会进步的标志;具
5、有威慑力的武器;信息阐述和交流的工具; 特定装置转换成逻辑装置的手段;,软件的特征,软件可以:移植;非法入侵载体;存储、进入多种媒体;非法入侵计算机系统,软件具有:寄生性;再生性; 可激发性;破坏性;攻击性;,2 病毒的发展史,(1)计算机病毒出现之前的情况冯诺伊曼(John Von Neumann)其论文复杂自动装置的理论及组识的进行里已经勾勒出病毒程序的蓝图。不过在当时,绝大部分的专家都无法想像会有这种能自我繁殖的程序。,(2)第一个真正的计算机病毒1987年,第一个计算机病毒C-BRAIN诞生了。(3)DOS时代的著名病毒:(4)基于Windows环境的病毒:宏病毒(5)Internet
6、时代,网络病毒的崛起经由网络广泛传播是第二代病毒的特征,3 病毒的特点,传染性破坏性隐蔽性潜伏性不可预见性未经授权而执行变异性进化性,这是病毒的基本特征。病毒一旦侵入系统,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。,传染性,破坏性,任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。,病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。系统被感染
7、病毒后一般情况下用户是感觉不到它的存在的,只有在其发作,出现不正常反映时用户才知道。,隐蔽性,潜伏性,大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块。只有这样它才可进行广泛地传播。,不可预见性,从对病毒的检测方面来看,病毒还有不可预见性。由于目前的软件种类极其丰富,且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。病毒的制作技术也在不断的提高,病毒对反病毒软件永远是超前的。,一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务。其目的对用户是可见的、透明的。病毒具有正常程序的一切特性,它隐藏再正常程序中,当
8、用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户时未知的,是未经用户允许的。,未经授权而执行,4 病毒结构分析,病毒的种类虽多,但对病毒代码进行分析、比较可看出,它们的主要结构是类似的,有其共同特点。整个病毒代码虽短小但通常包含三部分:引导部分传染部分表现部分,引导部分作用是将病毒主体加载到内存,为传染部分做准备(如驻留内存,修改中断,修改高端内存,保存原中断向量等操作)。传染部分作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式,传染条件上各有不同。,表现部分表现部分是病毒间差异最大的部分,前两个部分也是为这部分服务的。大部分的病毒都是有一定条件才会触
9、发其表现部分的。如:以时钟、计数器作为触发条件的或用键盘输入特定字符来触发的。这一部分也是最为灵活的部分,这部分根据编制者的不同目的而千差万别,或者根本没有这部分。,病毒一般会经历如下四个阶段:潜伏阶段传染阶段触发阶段发作阶段,病毒后果,格式化硬盘删除文件破坏目录轻则影响工作,重则系统瘫痪,病毒寄生软件盗版软件公共软件Internet下载软件带宏的数据文件E-mail的附件Attached,病毒的来源:计算机爱好者的表现欲软件加密游戏或恶作剧感情寄托计算机犯罪软件缺陷开发商有意所为政府行为,5 病毒分类,1)引导扇区病毒引导扇区作为病毒宿主引导扇区病毒特点隐蔽性强兼容性强传染速度相对较慢杀毒容
10、易,2)文件型病毒病毒以可执行程序作为宿主分类:覆盖型前/后附加型伴随型文件病毒,3)多成分病毒混合病毒使用了不止一种感染机制文件+引导区,4)宏病毒所谓宏,就是软件设计者为了在使用软件工作时,避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的工作。所谓宏病毒,就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。,宏病毒的分类 宏病毒根据传染的宿主的不同可以分为:传染Word的宏病毒、传染Excel的宏病毒和传染AmiPro的宏病毒。由于目前国内Word系统应用较多,
11、所以大家谈论的宏病毒一般是指Word宏病毒。,Word宏病毒的特点 (1)以数据文件方式传播,隐蔽性好,传播速度快,难于杀除 (2)制作宏病毒以及在原型病毒上变种非常方便 (3)破坏可能性极大,Word宏病毒的表现 Word宏病毒在发作时,会使Word运行出现怪现象,如自动建文件、开窗口、内存总是不够、关闭WORD不对已修改文件提出未存盘警告、存盘文件丢失等,有的使打印机无法正常打印。Word宏病毒在传染时,会使原有文件属性和类型发生改变,或Word自动对磁盘进行操作等。当内存中有Word宏病毒时,原Word文档无法另存为其他格式的文件,只能以模板形式进行存储。,(1)对于已染病毒的NORMA
12、L.DOT文件,首先应将NORMAL.DOT中的自动宏清除,然后将NORMAL.DOT置成只读方式。(2)对于其它已感染病毒的文件均应将自动宏清除,这样就可以达到清除病毒的目的。(3)平时使用时要加强防范。定期检查活动宏表,对来历不明的宏最好予以删除;如果发现后缀为.DOC的文件变成模板(.DOT)时,则可怀疑其已染宏病毒,其主要表现是在Save As文档时,选择文件类型的框变为灰色。,Word宏病毒的防范,(4)在启动Word、创建文档、打开文档、关闭文档以及退出Word时,按住SHIFT键可以阻止自动宏的运行。例如,当用含有AutoNew宏的模板新建一文档时,在“新建”对话框中单击“确定”
13、按钮时按住SHIFT键,就可以阻止AutoNew宏的执行。(5)存储一个文档时,务必明确指定该文档的扩展名。宏病毒总是试图把模板文件的扩展名加到你指定的文件名后面,无论扩展名是否已经存在。例如,你指定文件名如下TEST.DOC,最终这个文件名会变为TEST.DOC.DOT,显然这个文件名在DOS下不可接受的。由此就可以察觉到宏病毒的存在。,宏病毒的清除(1)手工清除Word宏病毒(2)使用杀毒软件清除Word宏病毒,5)脚本病毒可以嵌入HTML脚本的恶意代码VBscript, Jscript,6 病毒的防范,防杀结合,防范为主。通常的防范手段:行为监控器扫描器完整性检查器,三、恶意软件防范技术
14、,基于防火墙的防范 利用IPS防范入侵基于恶软防范软件的防范杀毒软件,反病毒软件,第一代:简单的扫描程序第二代:启发式的扫描程序第三代:主动设置陷阱第四代:全面的预防措施,网络反病毒技术的特点,反病毒技术的安全度取决于“木桶理论”计算机网络病毒防治是计算机安全极为重要的一个方面,它同样也适用于木桶理论。一个计算机网络,对病毒的防御能力取决于网络中病毒防护能力最薄弱的一个节点。,网络反病毒技术尤其是网络病毒实时监测技术应符合“最小占用”原则 该技术符合“最小占用”原则,对网络运行效率不产生本质影响。 网络反病毒产品自身的运行中不应影响网络的正常运行,以保证网络反病毒技术和网络本身都能发挥出应有的
15、正常功能。,网络反病毒技术的兼容性是网络防毒的重点与难点按照一定网络反病毒技术开发出来的网络反病毒产品,要运行于多种软、硬件之上,与它们和平共处,远比单机反病毒产品复杂。这既是网络反病毒技术必须面对的难点,又是其必须解决的重点。,四、防护方针,安全设置病毒特征文件更新磁盘管理扫描电子邮件策略用户策略用户培训,电子邮件病毒,电子邮件病毒的防范:(1)思想上要有防毒意识(2)使用防毒软件,相关知识,计算机病毒防治管理办法中华人民共和国公安部令第51号关于对生产销售计算机病毒检测、清除、防护工具产品进行审批的通告北京市公安局通告年第号)中华人民共和国社会公共安全行业标准计算机病毒防治产品评级准则(G
16、A 243-2000),世界第一黑客提出的个人计算机安全十大建议,备份资料。记住你的系统永远不会是无懈可击的,灾难性的数据损失会发生在你身上只需一条虫子或一只木马就已足够。选择很难猜的密码。不要没有脑子地填上几个与你有关的数字,在任何情况下,都要及时修改默认密码。安装防毒软件,并让它每天更新升级。及时更新操作系统,时刻留意软件制造商发布的各种补丁,并及时安装应用。不用电脑时候千万别忘了断开网线和电源。在IE或其它浏览器中会出现一些黑客鱼饵,对此要保持清醒,拒绝点击,同时将电子邮件客户端的自动脚本功能关闭。在发送敏感邮件时使用加密软件,也可用加密软件保护你的硬盘上的数据。安装一个或几个反间谍程序,并且要经常运行检查。使用个人防火墙并正确设置它,阻止其它计算机、网络和网址与你的计算机建立连接,指定哪些程序可以自动连接到网络。关闭所有你不使用的系统服务,特别是那些可以让别人远程控制你的计算机的服务,如RemoteDesktop、RealVNC和NetBIOS等。保证无线连接的安全。,
