1、国家信息化工程师认证考试管理中心,第六章病毒分析与防御,计算机病毒概述,第1节 计算机病毒概述 第2节 病毒机制与组成结构 第3节 病毒编制的关键技术 第4节 病毒实例剖析 第5节 病毒攻击的防范与清除 第6节 病毒发展趋势,计算机病毒概述,计算机病毒是指那些具有自我复制能力的计算机程序,它能影响计算机软件、硬件的正常运行,破坏数据的正确与完整,计算机病毒定义(一),计算机病毒是一个程序,一段可执行码 计算机病毒有独特的复制能力 计算机病毒可以很快地蔓延,又常常难以根除 它们能把自身附着在各种类型的文件上 当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来,计算机病毒定义(
2、二),某些计算机病毒还有其它一些共同特性,计算机病毒定义(三),能实现自身 复制的程序,能“传染“其他 程序的程序,所以, 计算机病毒就是能够通过某种 途径潜伏在计算机存储介质(或程序)里, 当达到某种条件时即被激活的 具有对计算机资源进行破坏作用的一组程序或指令集合,计算机病毒简史(一),1949年, 冯.诺依曼提出,十年之后 贝尔实验室,1983年11月3日, 弗雷德.科恩博士,1986年初, Pakistan病毒, 即Brain,1987年10月,在美国, 世界上第一例 计算机病毒(Brian)发现,1988年3月2日, 一种苹果机病毒发作,计算机病毒简史(二),1988年感染, 造成I
3、nternet不能正常11月3日, 美国6千台计算机被病毒运行,1989年全世界计算机病毒 攻击十分猖獗,我国也未幸免,1991年美军第一次 将计算机病毒用于实战,1992年出现针对 杀毒软件的“幽灵“病毒,计算机病毒简史(三),1994年5月计算机病毒破坏 南非大选活动,1996年,出现针对 微软公司Office的“宏病毒“,1997年公认为 计算机反病毒界的“宏病毒年“,1998年,首例破坏计算机 硬件的CIH病毒出现,1999年3月26日, 出现一种通过 因特网进行传播的美丽杀手病毒,1999年4月26日, CIH病毒在我国大规模爆发,病毒的产生背景,计算机病毒是计算机犯罪的一种新的衍化
4、形式 计算机软硬件产品的危弱性是根本的技术原因 微机的普及应用是计算机病毒产生的必要环境,病毒机制与组成结构 (一),感染 感染机制可定义为病毒传播的途径或方式 载荷 载荷机制定义为除了自我复制以外的所有动作 触发 触发机制定义伪决定是否在此时传送载荷的例程,病毒机制与组成结构 (二),感染机制 触发机制 有效载荷,病毒机制与组成结构(三),感染机制 病毒结构中首要的而且唯一必需的部分是感染机制 他是一种能让病毒繁殖的代码,也是病毒之所以成为病毒的原因 触发机制 病毒的第二个主要构成部分是有效载荷触发事件,这种病毒在找寻到一定数量的感染体、某一个时间或日期、某一段文本后触发,或者他可能仅仅在第
5、一次被用时就触发了,计算机病毒的引导机制 计算机病毒的传染机制 计算机病毒的破坏机制 计算机病毒的触发机制,病毒机制与组成结构(四),计算机病毒的引导机制,计算机病毒的寄生对象,计算机病毒的寄生方式,计算机病毒的引导过程,计算机病毒的引导机制,传染,所谓传染是指计算机病毒由一个载体传播到另一个载体,由一个系统进入另一个系统的过程,病毒机制与组成结构 (五),病毒机制与组成结构(一),日期触发 时间触发 键盘触发 感染触发 启动触发 访问磁盘次数触发 调用中断功能触发 CPU型号/主板型号触发,病毒机制与组成结构(二),蠕虫(WORM)病毒是通过分布式网络来扩散特定的信息或错误的,进而造成网络服
6、务器遭到拒绝并发生死锁,病毒机制与组成结构(三),一个是主程序,另一个是引导程序,病毒机制与组成结构 (四),传染方式多,传播速度快,清除难度大,破坏性强,蠕虫病毒具有一些新的特性,病毒编制的关键技术 (一),分布式数字处理,可重编程嵌入计算机,网络化通信,计算机标准化,标准的信息格式,软件标准化,标准的数据链路,计算机病毒侵入,病毒编制的关键技术 (二),无线电方式,“固化”式方法,后门攻击方式,数据控制链 侵入方式,无线电方式,“固化”式方法,病毒注入方式,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只
7、存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合等等,病毒实例剖析 (一),病毒实例剖析(二),面向企业用户和局域网,针对个人用户,蠕虫病毒分类,蠕虫病毒(一),蠕虫病毒与一般病毒的异同,蠕虫病毒(二),蠕虫的破坏和发展趋势,蠕虫发作的一些特点和发展趋势 利用操作系统和应用程序的漏洞主动进行攻击 此类病毒主要是“红色代码”和“尼姆达”,以及至今依然肆虐的”求职信”等 传播方式多样 如“尼姆达”病毒和”求职信”病毒,可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等 病毒制作技术新 与传统的病毒不同的是,许多新病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变
8、种,从而逃避反病毒软件的搜索 与黑客技术相结合 潜在的威胁和损失更大 以红色代码为例,感染后的机器的web目录的scripts下将生成一个root.exe,可以远程执行任何命令,从而使黑客能够再次进入,蠕虫病毒(三),蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞 软件上的缺陷 如远程溢出,微软ie和outlook的自动执行漏洞等等,需要软件厂商和用户共同配合,不断的升级软件 人为的缺陷 主要是指的是计算机用户的疏忽,蠕虫病毒(四),sql蠕虫 攻击的是微软数据库系Microsoft SQL Server 2000的 利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞 此蠕虫病毒本身除
9、了对网络产生拒绝服务攻击外,并没有别的破坏措施 但如果病毒编写者在编写病毒的时候加入破坏代码,后果将不堪设想,sql蠕虫,红色代码(Code red)病毒,红色代码(Code red)病毒 该蠕虫感染运行Microsoft Index Server 2.0的系统,或是在Windows 2000、IIS中启用了Indexing Service(索引服务)的系统 该蠕虫利用了一个缓冲区溢出漏洞进行传播(未加限制的Index Server ISAPI Extension缓冲区使WEB服务器变的不安全) 蠕虫只存在于内存中,并不向硬盘中拷文件,求职信病毒,“求职信”病毒/蠕虫 该程序具有罕见的双程序结
10、构 分为蠕虫部分(网络传播)和病毒部分(感染文件,破坏文件) 两者在代码上是独立的两部分,可能也是分开编写的 两者的结合方式非常有趣,作者先是写好蠕虫部分,然后将病毒部分的二进制码在特定位置加进蠕虫部分,得到最终的病毒/蠕虫程序,Nimda病毒(一),Nimda病毒 该病毒影响运行Windows95, 98,ME,NT 和2000的客户端和服务器 通过Email 传播 通过网络共享传播 通过浏览器传播 通过主动扫描未打补丁的IIS服务器进行传播 携带该病毒的邮件的包含两部分,企业防范蠕虫病毒措施 加强网络管理员安全管理水平,提高安全意识。 建立病毒检测系统 建立应急响应系统,将风险减少到最小
11、建立灾难备份系统 对于局域网而言,可以采用以下一些主要手段,防范蠕虫病毒(一),防范蠕虫病毒(二),对于局域网而言,可以采用以下一些主要手段 在因特网接入口处安装防火墙式防杀计算机病毒产品,将病毒隔离在局域网之外 对邮件服务器进行监控,防止带毒邮件进行传播 对局域网用户进行安全培训 建立局域网内部的升级系统,包括各种操作系统的补丁升级,各种常用的应用软件升级,各种杀毒软件病毒库的升级等等,蠕虫病毒(五),对于个人用户而言,威胁大的蠕虫病毒采取的传播方式一般为电子邮件(Email)以及恶意网页等等,对个人用户产生直接威胁的蠕虫病毒 对于利用email传播得蠕虫病毒来说,通常利用的是社会工程学(S
12、ocial Engineering),即以各种各样的欺骗手段那诱惑用户点击的方式进行传播 恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用户在不知情的情况下打开含有病毒的网页时,病毒就会发作,蠕虫病毒(六),个人用户对蠕虫病毒的防范措施 购买合适的杀毒软件 经常升级病毒库,以便能够查杀最新的病毒! 提高防杀毒意识,不要轻易去点击陌生的站点 不随意查看陌生邮件,尤其是带有附件的邮件,个人用户对蠕虫病毒的防范措施,Lion 病毒 Linux.Lion是一个危险的Linux蠕虫,该病毒可以快速的在互联网中进行传播、改变用户电脑设置、偷取用户密码、降低用户电脑安全防范,甚至可以对已经感染病
13、毒的电脑重新进行设置以攻击其他网络服务器 它感染运行Linux系统的机器,该蠕虫有点像Linux.Ramen,而且不会在windows系统中运行,Lion 病毒(一),Lion病毒的一个特别危险的功能是可以把被感染的计算机的口令和配置文件用EMAIL发送给C的一个信箱 然后删除在 /etc/ 目录下 hosts.deny 文件以降低电脑安全防范,在两个 TCP 端口设置后门,删除系统日志并查询用户密码 在 Lion 病毒完成以上操作以后,它就会命令被攻击的服务器在互联网中搜索其它存在安全漏洞的电脑。这是Linux.Lion病毒比Ramen蠕虫危险的地方,Lion 病毒(二),计算机病毒防范,计
14、算机病毒防范 指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据,计算机病毒的表现现象分为三大类 计算机病毒发作前的表现现象 计算机病毒发作时的表现现象 计算机病毒发作后的表现现象,计算机病毒的表现现象,平时运行正常的计算机突然经常性无缘无故地死机 操作系统无法正常启动 运行速度明显变慢 以前能正常运行的软件经常发生内存不足的错误 打印和通讯发生异常 无意中要求对软盘进行写操作 以前能正常运行的应用程序经常发生死机或者非法错误,计算机病毒发作前的表现现象(一),系统文件的时间、日期、大小发生变化 运行Wor
15、d,打开Word文档后,该文件另存时只能以模板方式保存 磁盘空间迅速减少 网络驱动器卷或共享目录无法调用 基本内存发生变化 陌生人发来的电子邮件 自动链接到一些陌生的网站,计算机病毒发作前的表现现象(二),计算机病毒发作时的表现现象(一),提示一些不相干的话 发出一段的音乐 产生特定的图象 硬盘灯不断闪烁 进行游戏算法,计算机病毒发作时的表现现象(二),Windows桌面图标发生变化 计算机突然死机或重启 自动发送电子邮件 鼠标自己在动,计算机病毒发作后的表现现象,部分文档自动加密码,修改Autoexec.bat文件, 增加Format C:,使部分可软件升级主板的BIOS程序混乱, 主板被破
16、坏,网络瘫痪,无法提供正常的服务,硬盘无法启动,数据丢失,系统文件丢失或被破坏,文件目录发生混乱,部分文档丢失或被破坏,计算机病毒发作后的表现现象,新购置的计算机硬软件系统的测试 计算机系统的启动 单台计算机系统的安全使用 重要数据文件要有备份 不要随便直接运行或直接打开电子邮件中夹带的附件文件,不要随意下载软件,尤其是一些可执行文件和Office文档,计算机病毒的技术预防措施,计算机网络的安全使用 安装网络服务器时应,应保证没有计算机病毒存在,即安装环境和网络操作系统本身没有感染计算机病毒 在安装网络服务器时,应将文件系统划分成多个文件卷系统,至少划分成操作系统卷、共享的应用程序卷和各个网络
17、用户可以独占的用户数据卷 一定要用硬盘启动网络服务器,否则在受到引导型计算机病毒感染和破坏后,遭受损失的将不是一个人的机器,而会影响到整个网络的中枢,计算机网络的安全使用(一),计算机网络的安全使用 为各个卷分配不同的用户权限 在网络服务器上必须安装真正有效的防杀计算机病毒软件,并经常进行升级 系统管理员的职责,计算机网络的安全使用(二),系统管理员的职责 系统管理员的口令应严格管理,不使泄漏,不定期地予以更换,保护网络系统不被非法存取,不被感染上计算机病毒或遭受破坏 在安装应用程序软件时,应由系统管理员进行,或由系统管理员临时授权进行,系统管理员的职责(一),系统管理员的职责(二),系统管理
18、员的职责 系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷应定期进行计算机病毒扫描,发现异常情况及时处理 网络系统管理员应做好日常管理事务的同时,还要准备应急措施,及时发现计算机病毒感染迹象,判断引导扇区是否感染病毒,先用可疑磁盘 引导计算机,用硬盘引导计算机,机器在运行过程中 运行一会儿被 修改为缺省的时间、日期,CMOS中软盘设定情况为None,无法访问硬盘如C:,Windows 95/98 经常无法启动,判断引导扇区是否被计算机病毒感染方法,预防引导型病毒,坚持从不带计算机病毒 的硬盘引导系统,安装能够实时监控引导扇区 的防杀计算机病毒软件,经常备份系统引导扇区,Virus P
19、rotect,预防引导型计算机病毒方法,通过以下方法可以判别文件型计算机病毒 在用未感染计算机病毒的DOS启动软盘引导后,对同一目录列目录(DIR)后文件的总长度与通过硬盘启动后所列目录内文件总长度不一样,则该目录下的某些文件已被计算机病毒感染,因为在带毒环境下,文件的长度往往是不真实的 有些文件型计算机病毒(如ONEHALF、NATAS、3783、FLIP等),在感染文件的同时也感染系统的引导扇区,如果磁盘的引导扇区被莫名奇妙地破坏了,则磁盘上也有可能有文件型计算机病毒,判别文件型病毒(一),系统文件长度发生变化,则这些系统文件上很有可能含有计算机病毒代码 计算机在运行过外来软件后,经常死机
20、,或者Windows 95/98无法正常启动,运行经常出错,等等,都有可能是感染上了文件型计算机病毒 微机速度明显变慢,曾经正常运行的软件报内存不足,或计算机无法正常打印,这些现象都有可能感染上文件型计算机病毒 有些带毒环境下,文件的长度和正常的完全一样,但是从带有写保护的软盘拷贝文件时,会提示软盘带有写保护,这肯定是感染了计算机病毒,判别文件型病毒(二),对于文件型计算机病毒的防范,一般采用以下一些方法 安装最新版本的、有实时监控文件系统功能的防杀计算机病毒软件 及时更新查杀计算机病毒引擎,一般要保证每月至少更新一次,有条件的可以每周更新一次,并在有计算机病毒突发事件的时候及时更新 经常使用
21、防杀计算机病毒软件对系统进行计算机病毒检查,防范文件型病毒(一),对关键文件,如系统文件、保密的数据等等,在没有计算机病毒的环境下经常备份 在不影响系统正常工作的情况下对系统文件设置最低的访问权限,以防止计算机病毒的侵害 当使用Windows 95/98/2000/NT操作系统时,修改文件夹窗口中的确省属性,防范文件型病毒(二) ),通过以下方法可以判别宏病毒 在使用的Word中从“工具”栏处打开“宏”菜单,选中Normal.dot模板,若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏,
22、如AAAZAO、PayLoad等,就极可能是感染了宏病毒了,因为Normal模板中是不包含这些宏的 在使用的Word“工具”菜单中看不到“宏”这个字,或看到“宏”但光标移到“宏”,鼠标点击无反应,这种情况肯定有宏病毒,判别宏病毒的方法(一),通过以下方法可以判别宏病毒 打开一个文档,不进行任何操作,退出Word,如提示存盘,这极可能是Word中的Normal.dot模板中带宏病毒 打开以DOC为后缀的文档文件在另存菜单中只能以模板方式存盘,也可能带有Word宏病毒 在运行Word过程中经常出现内存不足,打印不正常,也可能有宏病毒 在运行Word 97时,打开DOC文档出现是否启动“宏”的提示,
23、该文档极可能带有宏病毒,判别宏病毒的方法(二),对宏病毒的预防是完全可以做到的,只要在使用Office套装软件之前进行一些正确的设置,就基本上能够防止宏病毒的侵害 在Word中打开“选项”中的“宏病毒防护” 和“提示保存Normal模板” 等 在Excel中选择“工具”菜单中的“选项”命令,在“常规”中选中“宏病毒防护功能”。 在PowerPoint中选择“工具”菜单中的“选项”命令,在“常规”中选中“宏病毒防护” 其他防范文件型计算机病毒所做的工作,预防宏病毒,电子邮件计算机病毒的特点 电子邮件本身是无毒的,但它的内容中可以有Unix下的特殊的换码序列,就是通常所说的ANSI字符,当用Uni
24、x智能终端上网查看电子邮件时,有被侵入的可能 电子邮件可以夹带任何类型的文件作为附件(Attachment),附件文件可能带有计算机病毒 利用某些电子邮件收发器特有的扩充功能 利用某些操作系统所特有的功能 超大的电子邮件、电子邮件炸弹也可以认为是一种电子邮件计算机病毒,电子邮件计算机病毒,常用的预防电子邮件计算机病毒的方法 不要轻易执行附件中的EXE和COM等可执行程序 不要轻易打开附件中的文档文件 对于文件扩展名很怪的附件,或者是带有脚本文件如*.VBS、*.SHS等的附件,千万不要直接打开 如果是使用Outlook作为收发电子邮件软件的话,应当进行一些必要的设置,预防电子邮件病毒的方法(一
25、),如果是使用Outlook Express作为收发电子邮件软件的话,也应当进行一些必要的设置。 对于使用Windows 98操作系统的计算机,在“控制面板”中的“添加/删除程序”中选择检查一下是否安装了Windows Scripting Host 对于自己往外传送的附件,也一定要仔细检查,确定无毒后,才可发送,预防电子邮件病毒的方法(二),计算机病毒检测方法,比较法,加总比对法,搜索法,分析法,比较法 是用原始备份与被检测的引导扇区或被检测的文件进行比较。比较时可以靠打印的代码清单(比如DEBUG的D命令输出格式)进行比较,或用程序来进行比较(如DOS的DISKCOMP、FC或PCTOOLS
26、等其它软件)。这种比较法不需要专用的查计算机病毒程序,只要用常规DOS软件和PCTOOLS等工具软件就可以进行 比较法的好处是简单、方便,不需专用软件。缺点是无法确认计算机病毒的种类名称,比较法,加总比对法 根据每个程序的档案名称、大小、时间、日期及内容,加总为一个检查码,再将检查码附于程序的后面,或是将所有检查码放在同一个数据库中,再利用此加总对比系统,追踪并记录每个程序的检查码是否遭更改,以判断是否感染了计算机病毒 这种技术可侦测到各式的计算机病毒,但最大的缺点就是误判断高,且无法确认是哪种计算机病毒感染的。对于隐形计算机病毒也无法侦测到,加总比对法,搜索法 搜索法是用每一种计算机病毒体含
27、有的特定字符串对被检测的对象进行扫描,搜索法,分析法 分析的步骤分为静态分析和动态分析两种 静态分析是指利用反汇编工具将计算机病毒代码打印成反汇编指令后程序清单后进行分析 动态分析则是指利用DEBUG等调试工具在内存带毒的情况下,对计算机病毒做动态跟踪,观察计算机病毒的具体工作过程,以进一步在静态分析的基础上理解计算机病毒工作的原理,分析法,人工智能陷阱技术和宏病毒陷阱技术 人工智能陷阱是一种监测计算机行为的常驻式扫描技术,人工智能陷阱技术和宏病毒陷阱技术,软件仿真扫描法 该技术专门用来对付多态变形计算机病毒(Polymorphic/MutationVirus) 先知扫描法 先知扫描技术(VI
28、CE,Virus Instruction Code Emulation)是继软件仿真后的一大技术上突破。既然软件仿真可以建立一个保护模式下的DOS虚拟机,仿真CPU动作并伪执行程序以解开多态变形计算机病毒,那么应用类似的技术也可以用来分析一般程序,检查可疑的计算机病毒代码,扫描法,计算机系统的修复(一),根据破坏的程度来决定采用有效的清除方法和对策,修复前,尽可能再次备份重要的数据文件,启动防杀计算机病毒软件,并对整个硬盘进行扫描,计算机病毒感染后的一般修复处理方法,计算机系统的修复(二),删除文件重新安装相应的应用程序,杀毒完成后重启计算机再次检查系统,送交计算机病毒样本,病毒攻击的防范与清
29、除,1、,2、,3、,4、,一个应急计划必须包括人员 、分工以及各项具体实施步骤 和物质准备 :,病毒发展趋势 (一),计算机病毒潜伏在计算机存储介质或者程序中传播,对计算机资源具有破坏作用的程序或者指令集合,当达到一定条件时被激活,病毒传播方式不再以存储介质为主要的传播载体,网络成为计算机病毒传播的主要载体 传统病毒日益减少,网络蠕虫成为最主要和破坏力最大的病毒类型 恶意网页、木马还是病毒?我们不知道 病毒与木马技术相互结合,出现带有明显病毒特征的木马或者木马特征的病毒,病毒发展趋势(二),技术的遗传与结合 传播方式多样化 跨操作系统的病毒 手机病毒、信息家电病毒的出现,病毒发展趋势 (三),杀毒软件的任务 杀毒软件的技术革新 操作系统的稳固性 企业病毒解决方案和个人病毒防范,对策,网络的发展一定程度上促使病毒的发展,而日新月异的技术,更加给病毒提供了存在空间。因此,在研究已经出现的病毒的同时,我们需要具有一定的忧患意识,将防病毒技术也进行提升和革新,本章总结,
