計(jì)算機(jī)病毒分析防范技術(shù)201Xppt課件

,計(jì)算機(jī)病毒分析與防范技術(shù),講解人：電話：E-mail：,議程內(nèi)容,第一章計(jì)算機(jī)病毒的概念、概況與現(xiàn)狀,第二章計(jì)算機(jī)病毒分類(lèi)介紹與技術(shù)分析,第三章反病毒技術(shù)介紹與病毒分析處理,第四章反病毒產(chǎn)品介紹與安全體系建立,本章概要,第1節(jié)計(jì)算機(jī)病毒的定義、特點(diǎn)與原理,第2節(jié)計(jì)算機(jī)病毒的產(chǎn)生、發(fā)展及危害,第3節(jié)計(jì)算機(jī)病毒疫情與互聯(lián)網(wǎng)安全形勢(shì),計(jì)算機(jī)病毒的概念,從廣義上講，凡是能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱(chēng)為“計(jì)算機(jī)病毒”。據(jù)此定義，諸如蠕蟲(chóng)、木馬、惡意軟件此類(lèi)程序等均可稱(chēng)為“計(jì)算機(jī)病毒”。計(jì)算機(jī)病毒特性：破壞性、隱蔽性、傳染性、潛伏性。,“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我傳染的一組計(jì)算機(jī)指令或者程序代碼?！敝腥A人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例第二十八條(1994年2月18日中華人民共和國(guó)國(guó)務(wù)院令147號(hào)發(fā)布),計(jì)算機(jī)病毒的特性,破壞性破壞性是計(jì)算機(jī)病毒的首要特征，不具有破壞行為的指令或代碼不能稱(chēng)為計(jì)算機(jī)病毒。任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響,輕者占用系統(tǒng)資源，降低計(jì)算機(jī)工作效率，重者竊取數(shù)據(jù)、破壞數(shù)據(jù)和程序，甚至導(dǎo)致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。良性病度可能只顯示些畫(huà)面或出點(diǎn)音樂(lè)、無(wú)聊的語(yǔ)句，或者根本沒(méi)有任何破壞動(dòng)作，但會(huì)占用系統(tǒng)資源，如無(wú)法關(guān)閉的玩笑程序等。惡性病毒則有明確的目的，或竊取重要信息如銀行帳號(hào)和密碼，或打開(kāi)后門(mén)接受遠(yuǎn)程控制等。隱蔽性計(jì)算機(jī)病毒雖然是采用同正常程序一樣的技術(shù)編寫(xiě)而成，但因?yàn)槠淦茐牡哪康?，因此?huì)千方百計(jì)地隱藏自己的蛛絲馬跡，以防止用戶(hù)發(fā)現(xiàn)、刪除它。病毒通常沒(méi)有任何可見(jiàn)的界面，并采用隱藏進(jìn)程、文件等手段來(lái)隱藏自己。大部分的病毒的代碼之所以設(shè)計(jì)得非常短小，也是為了隱藏。,計(jì)算機(jī)病毒的特性,傳染性計(jì)算機(jī)病毒同自然界的生物病毒一樣也具有傳染性。病毒作者為了最大地達(dá)到其目的，總會(huì)盡力使病毒傳播到更多的計(jì)算機(jī)系統(tǒng)上。病毒通常會(huì)通過(guò)網(wǎng)絡(luò)、移動(dòng)存儲(chǔ)介質(zhì)等各種渠道從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)中，感染型病毒會(huì)通過(guò)直接將自己植入正常程序的方法來(lái)傳播。潛伏性許多病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏在系統(tǒng)中，只有在滿(mǎn)足其特定條件時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊，如有些病毒會(huì)在特定的時(shí)間發(fā)作。,計(jì)算機(jī)病毒的工作流程,進(jìn)行傳染,一、源代碼嵌入攻擊型這類(lèi)病毒入侵的主要是高級(jí)語(yǔ)言的源程序，病毒是在源程序編譯之前插入病毒代碼，最后隨源程序一起被編譯成可執(zhí)行文件，這樣剛生成的就是帶毒文件，這種方式難度較大。,二、代碼取代攻擊型這類(lèi)病毒主要是用它自身的病毒代碼取代某個(gè)程序的整個(gè)或部分模塊。這類(lèi)病毒針對(duì)性較強(qiáng)，主要攻擊特定的程序，不易發(fā)現(xiàn)，并且清除也較困難。,三、系統(tǒng)修改入侵型這類(lèi)病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件，來(lái)調(diào)用或替代操作系統(tǒng)中的部分功能。由于是直接感染系統(tǒng)危害較大，也是最常見(jiàn)的一種，多為文件型病毒。,四、外殼寄生入侵型這類(lèi)病毒通常是將其附加在正常程序的頭部或尾部，相當(dāng)于給程序添加了一個(gè)外殼，在被感染的程序執(zhí)行時(shí)，病毒代碼先被執(zhí)行，然后才將正常程序調(diào)入內(nèi)存。目前大多數(shù)文件型的病毒屬于這一類(lèi)。,計(jì)算機(jī)病毒的入侵方式,計(jì)算機(jī)病毒的傳播方式,一、通過(guò)因特網(wǎng)傳播1.電子郵件2.瀏覽網(wǎng)頁(yè)和下載軟件3.即時(shí)通訊軟件4.網(wǎng)絡(luò)游戲二、通過(guò)局域網(wǎng)傳播1.文件共享2.系統(tǒng)漏洞攻擊,三、通過(guò)移動(dòng)存儲(chǔ)設(shè)備傳播1.軟盤(pán)2.光盤(pán)3.移動(dòng)硬盤(pán)4.U盤(pán)(含數(shù)碼相機(jī)、MP3等)四、通過(guò)無(wú)線網(wǎng)絡(luò)或設(shè)備傳播1.智能手機(jī)、PDA2.無(wú)線通道,計(jì)算機(jī)病毒的分類(lèi)與命名,(Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15)1、系統(tǒng)病毒：Win32、PE、Win95等；（感染W(wǎng)indows系統(tǒng)的.exe、.dll等文件，并利用這些文件進(jìn)行傳播）2、蠕蟲(chóng)病毒：Worm；（通過(guò)網(wǎng)絡(luò)攻擊或者系統(tǒng)漏洞進(jìn)行傳播，往往還發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)）3、腳本病毒：Script。VBS/JS；（使用腳本語(yǔ)言編寫(xiě)，通過(guò)網(wǎng)頁(yè)進(jìn)行的傳播）4、木馬/黑客病毒：Trojan/Hack。PSW/PWD；（木馬侵入系統(tǒng)后隱藏，并向外泄露用戶(hù)信息，而黑客病毒則有可視界面，能對(duì)用戶(hù)電腦遠(yuǎn)程控制，兩者往往成對(duì)出現(xiàn)，趨于整合）5、后門(mén)病毒：Backdoor；（通過(guò)網(wǎng)絡(luò)傳播，在系統(tǒng)上開(kāi)后門(mén)，給用戶(hù)的電腦帶來(lái)安全隱患）6、種植程序病毒：Dropper；（運(yùn)行時(shí)釋放出一個(gè)或多個(gè)新的病毒，由新釋放的病毒產(chǎn)生破壞）7、捆綁機(jī)病毒：Binder；（將病毒與一些應(yīng)用程序捆綁為表面正常的文件，執(zhí)行時(shí)病毒隱藏運(yùn)行）8、宏病毒：Macro、Word(97)、Excel(97)等；（感染OFFICE文檔，通過(guò)通用模板進(jìn)行傳播）（1）破壞性程序：Harm；（2）玩笑型病毒：Joke；9、其他（3）拒絕攻擊類(lèi)：DoS；（4）溢出類(lèi)病毒：Exploit；（5）黑客工具類(lèi)：HackTool；,常見(jiàn)病毒前綴,本章概要,第1節(jié)計(jì)算機(jī)病毒的定義、特點(diǎn)與原理,第2節(jié)計(jì)算機(jī)病毒的產(chǎn)生、發(fā)展及危害,第3節(jié)計(jì)算機(jī)病毒疫情與互聯(lián)網(wǎng)安全形勢(shì),計(jì)算機(jī)病毒產(chǎn)生的根源,計(jì)算機(jī)系統(tǒng)的復(fù)雜性和脆弱性；,各種矛盾激化、經(jīng)濟(jì)利益驅(qū)使；,炫耀、玩笑、惡作劇或是報(bào)復(fù)；,計(jì)算機(jī)病毒的發(fā)展,計(jì)算機(jī)病毒的危害,劫持IE瀏覽器，篡改首頁(yè)及一些默認(rèn)項(xiàng)目（如默認(rèn)搜索）；修改Host文件，導(dǎo)致用戶(hù)不能訪問(wèn)某些網(wǎng)站，或被引導(dǎo)到“釣魚(yú)網(wǎng)站”；添加驅(qū)動(dòng)保護(hù)，使用戶(hù)無(wú)法刪除某些軟件；修改系統(tǒng)啟動(dòng)項(xiàng)目，使某些惡意軟件可以隨著系統(tǒng)啟動(dòng)；在用戶(hù)計(jì)算機(jī)上開(kāi)置后門(mén)，黑客可以通過(guò)此后門(mén)遠(yuǎn)程控制中毒機(jī)器，組成僵尸網(wǎng)絡(luò)，對(duì)外發(fā)動(dòng)攻擊、發(fā)送垃圾郵件、點(diǎn)擊網(wǎng)絡(luò)廣告等牟利；采用映像劫持技術(shù)，使多種殺毒軟件和安全工具無(wú)法使用；記錄用戶(hù)的鍵盤(pán)、鼠標(biāo)操作，竊取銀行卡、網(wǎng)游密碼等信息；記錄用戶(hù)的攝像頭操作，可以從遠(yuǎn)程窺探隱私；使用戶(hù)的機(jī)器運(yùn)行變慢，大量消耗系統(tǒng)資源；竊取用戶(hù)電腦數(shù)據(jù)、信息；,本章概要,第1節(jié)計(jì)算機(jī)病毒的定義、特點(diǎn)與原理,第2節(jié)計(jì)算機(jī)病毒的產(chǎn)生、發(fā)展及危害,第3節(jié)計(jì)算機(jī)病毒疫情與互聯(lián)網(wǎng)安全形勢(shì),病毒的數(shù)量激增,2010年上半年，瑞星“云安全”系統(tǒng)共截獲新增病毒樣本4221366個(gè)。在病毒分類(lèi)統(tǒng)計(jì)中，木馬病毒共有2344637個(gè)，占總體55.54%，緊隨其后的依次為“后門(mén)病毒”、“蠕蟲(chóng)病毒”、“Rootkit”。,2010掛馬網(wǎng)站類(lèi)型,黑客/病毒產(chǎn)業(yè)鏈分析,混合式威脅已成主流，基于漏洞的攻擊防不勝防傳播方式盡其所能，網(wǎng)頁(yè)與U盤(pán)成為重要途徑自我防御能力增強(qiáng)團(tuán)隊(duì)化特征明顯主要針對(duì)基礎(chǔ)網(wǎng)絡(luò)應(yīng)用利益驅(qū)動(dòng)商業(yè)化運(yùn)作區(qū)域化特征明顯并且攻擊目標(biāo)明確,加殼技術(shù)普遍應(yīng)用主動(dòng)攻擊安全類(lèi)軟件破壞系統(tǒng)功能屬性展開(kāi)變種數(shù)量與速度競(jìng)賽,電子郵件網(wǎng)頁(yè)瀏覽網(wǎng)上銀行和證券網(wǎng)絡(luò)游戲網(wǎng)絡(luò)下載,現(xiàn)代病毒的顯著特點(diǎn),議程內(nèi)容,第一章計(jì)算機(jī)病毒的概念、概況與現(xiàn)狀,第二章計(jì)算機(jī)病毒分類(lèi)介紹與技術(shù)分析,第三章反病毒技術(shù)介紹與病毒分析處理,第四章反病毒產(chǎn)品介紹與安全體系建立,本章概要,第1節(jié)計(jì)算機(jī)病毒分類(lèi)介紹,第2節(jié)現(xiàn)代計(jì)算機(jī)病毒慣用技術(shù)手段剖析,第3節(jié)當(dāng)前流行計(jì)算機(jī)病毒專(zhuān)題技術(shù)詳解,早期病毒DOS病毒,概念：DOS病毒指針對(duì)DOS操作系統(tǒng)開(kāi)發(fā)的病毒，是一種只能在DOS環(huán)境下運(yùn)行、傳染的計(jì)算機(jī)病毒，是最早出現(xiàn)的計(jì)算機(jī)病毒。目前，幾乎沒(méi)有新制作的DOS病毒，由于Windows系統(tǒng)的普及，DOS病毒幾乎絕跡，但是有相當(dāng)一部分可感染W(wǎng)indows9X系統(tǒng)并傳播，或者導(dǎo)致系統(tǒng)死機(jī)或程序運(yùn)行異常。分類(lèi)：引導(dǎo)型：指感染（主）引導(dǎo)扇區(qū)的病毒，如“米氏病毒”；文件型：指感染DOS可執(zhí)行文件（.EXE、.COM、.BAT）的病毒，如“黑色星期五”；混合型：指既感染（主）引導(dǎo)，又感染文件的病毒。如：“幽靈”病毒、Natas病毒等；代表：耶路撒冷（Jerusalem）、米開(kāi)朗基羅（Michelangelo）、Monkey、MusicBug等；危害：DOS時(shí)期的病毒種類(lèi)相當(dāng)繁雜，而且不斷有人改寫(xiě)現(xiàn)有的病毒，到了后期甚至有人寫(xiě)出所謂的“雙體引擎”，可以把一種病毒創(chuàng)造出更多元化的面貌。而病毒發(fā)作的癥狀更是各式各樣，有的會(huì)刪除文件、有的會(huì)Format硬盤(pán)、有的還會(huì)在屏幕上顯出各式各樣的圖形與音效。但是，現(xiàn)在對(duì)于這些DOS時(shí)期的古董級(jí)病毒，大部分殺毒軟件都可以輕易地掃除，殺傷力已經(jīng)大不如前了。,Office殺手宏病毒,概念：（1）宏，譯自Macro，是OFFICE的一個(gè)特殊功能。它利用簡(jiǎn)單的VB語(yǔ)法，把一系列常用操作集成在一小段程序內(nèi)，需要重復(fù)時(shí)運(yùn)行宏即可，實(shí)現(xiàn)文檔中一些任務(wù)的自動(dòng)化。默認(rèn)Office將宏存貯在通用模板Normal.dot中，該特點(diǎn)為宏病毒利用。（2）宏病毒是一種寄存在文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開(kāi)這樣的文檔，宏病毒就會(huì)被激活，轉(zhuǎn)移到計(jì)算機(jī)并駐留在Normal模板上。自此所有自動(dòng)保存的文檔都會(huì)“感染”上該宏病毒，其他用戶(hù)打開(kāi)了染毒文檔，宏病毒又會(huì)轉(zhuǎn)移到其他計(jì)算機(jī)。特點(diǎn)：制作、變種方便，隱蔽性強(qiáng)，傳播迅速，破壞可能性極大，但兼容性不高等。危害：不能正常打印、改變文件存儲(chǔ)、將文件改名、亂復(fù)制文件、封閉菜單、刪除選項(xiàng)、無(wú)法正常編輯、只能存為模板格式、破壞數(shù)據(jù)文檔、設(shè)置密碼、調(diào)用系統(tǒng)命令造成破壞。防治：（1）將常用的Word模板文件改為只讀屬性；（2）禁止自動(dòng)執(zhí)行宏功能（winword.exe/mDisableAutoMacros）；處理：（1）應(yīng)急時(shí)可以用寫(xiě)字板或WORD6.0將文檔打開(kāi)并另外存儲(chǔ)。（2）進(jìn)入“宏管理器”，在“宏有效范圍”列表中將不明的自動(dòng)執(zhí)行宏刪除；（3）首選用最新版的反病毒軟件查殺；,系統(tǒng)型病毒的存儲(chǔ)結(jié)構(gòu),一、基本概念系統(tǒng)型病毒是指專(zhuān)門(mén)傳染操作系統(tǒng)的啟動(dòng)扇區(qū)，主要是指?jìng)魅居脖P(pán)主引導(dǎo)扇區(qū)和DOS引導(dǎo)扇區(qū)的病毒。二、存儲(chǔ)結(jié)構(gòu)此類(lèi)病毒程序被劃分為兩部分，第一部分存放在磁盤(pán)引導(dǎo)扇區(qū)中，第二部分則存放在磁盤(pán)其他的扇區(qū)中。三、簡(jiǎn)要說(shuō)明1.當(dāng)病毒感染磁盤(pán)時(shí)，首先根據(jù)文件分配表(FAT)表找到一個(gè)或一段連續(xù)的空白簇；2.然后將病毒程序的第二部分以及磁盤(pán)原引導(dǎo)扇區(qū)的內(nèi)容寫(xiě)入該空白簇，并立即將這些簇在FAT中登記項(xiàng)的內(nèi)容強(qiáng)制標(biāo)記為壞簇（FF7H）；3.接著將病毒程序的第一部分寫(xiě)入磁盤(pán)引導(dǎo)扇區(qū)，并將病毒程序的第二部分所在簇的簇號(hào)或第一扇區(qū)的邏輯扇區(qū)號(hào)記錄在磁盤(pán)偏移地址01F9處。四、處理：讀取偏移地址01F9的地址，將原原引導(dǎo)扇區(qū)的內(nèi)容恢復(fù)并刪除其第二部分病毒數(shù)據(jù)即可。,文件型病毒的存儲(chǔ)結(jié)構(gòu),一、基本概念文件型病毒是指專(zhuān)門(mén)感染系統(tǒng)中的可執(zhí)行文件（即擴(kuò)展名為.COM、.EXE）的病毒。二、磁盤(pán)存儲(chǔ)結(jié)構(gòu)此類(lèi)病毒程序沒(méi)有獨(dú)立占用磁盤(pán)上的空白簇，而是附著在被感染文件的首部、尾部、中部或其他部位。病毒入侵后一般會(huì)使宿主程序占用的磁盤(pán)空間增加。三、簡(jiǎn)要說(shuō)明絕大多數(shù)文件型病毒屬于外殼病毒，外殼（即病毒程序）與內(nèi)核（即宿主程序）之間構(gòu)成一種層次化結(jié)構(gòu)，加載關(guān)系為先運(yùn)行外殼，再跳轉(zhuǎn)去執(zhí)行內(nèi)核?？蓤?zhí)行文件的外殼一般具有相對(duì)獨(dú)立的功能和結(jié)構(gòu)，去掉外殼將不會(huì)影響內(nèi)核部分的運(yùn)行。,互聯(lián)網(wǎng)瘟疫蠕蟲(chóng)病毒,特性：蠕蟲(chóng)病毒和一般的病毒有著很大的區(qū)別。對(duì)于蠕蟲(chóng)，現(xiàn)在還沒(méi)有一個(gè)成套的理論體系。一般認(rèn)為：蠕蟲(chóng)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等，同時(shí)具有自己的一些特征，如一般不利用文件寄生，只存在于內(nèi)存中，對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合，等等。具有超強(qiáng)的自我復(fù)制能力和傳播性、特定的觸發(fā)性、一定的潛伏性和很大的破壞性。在產(chǎn)生的破壞性上，蠕蟲(chóng)病毒也不是普通病毒所能比擬的，網(wǎng)絡(luò)的發(fā)展使得蠕蟲(chóng)可以在短短的時(shí)間內(nèi)蔓延整個(gè)網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓！分類(lèi)：一種是面向企業(yè)用戶(hù)和內(nèi)部局域網(wǎng)，這種病毒利用系統(tǒng)漏洞，主動(dòng)進(jìn)行攻擊，可以對(duì)整個(gè)互聯(lián)網(wǎng)可造成癱瘓性的后果。以“紅色代碼”、“尼姆達(dá)”以及“SQL蠕蟲(chóng)王”為代表。另外一種是針對(duì)個(gè)人用戶(hù)的，通過(guò)網(wǎng)絡(luò)（主要是電子郵件、惡意網(wǎng)頁(yè)形式）迅速傳播的蠕蟲(chóng)病毒，以愛(ài)蟲(chóng)病毒、求職信病毒為代表。傳播過(guò)程：（1）掃描：由蠕蟲(chóng)的掃描功能模塊負(fù)責(zé)探測(cè)存在漏洞的主機(jī)。當(dāng)程序向某個(gè)主機(jī)發(fā)送探測(cè)漏洞的信息并收到成功的反饋信息后，就得到一個(gè)可傳播的對(duì)象。（2）攻擊：攻擊模塊按漏洞攻擊步驟找到對(duì)象，取得該主機(jī)權(quán)限，獲得一個(gè)shell。（3）復(fù)制：復(fù)制模塊通過(guò)原主機(jī)和新主機(jī)的交互將蠕蟲(chóng)程序復(fù)制到新主機(jī)并啟動(dòng)。,隱藏的危機(jī)木馬病毒,特點(diǎn)：它是一種基于遠(yuǎn)程控制的黑客工具，具有隱蔽性和非授權(quán)性特點(diǎn)。指通過(guò)一段特定的程序（木馬程序）來(lái)控制另一臺(tái)計(jì)算機(jī)。木馬一旦運(yùn)行并被控制端連接，其控制端將享有服務(wù)端的大部分的系統(tǒng)操作權(quán)限。結(jié)構(gòu)：（1）控制端程序：控制端用以遠(yuǎn)程控制服務(wù)端程序；（2）木馬程序：潛入服務(wù)端內(nèi)部獲取其操作權(quán)限程序；（3）木馬配置程序：設(shè)置木馬程序參數(shù)的程序，作用是偽裝木馬和信息反饋；偽裝方式：修改圖標(biāo)、捆綁文件、出錯(cuò)顯示、定制端口、自我銷(xiāo)毀、木馬更名等；特點(diǎn)：（1）木馬”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會(huì)自我繁殖，也并不“刻意”地去感染其他文件，它通過(guò)將自身偽裝從而吸引用戶(hù)下載并執(zhí)行，向施種木馬者提供打開(kāi)被種者電腦的門(mén)戶(hù)，使施種者可以破壞數(shù)據(jù)、竊取信息，遠(yuǎn)程操控被種者的電腦。（2）“木馬”與計(jì)算機(jī)網(wǎng)絡(luò)中常常要用到的遠(yuǎn)程控制軟件有些相似，但由于遠(yuǎn)程控制軟件是“善意”的控制，因此通常不具有隱蔽性；“木馬”則完全相反，木馬要達(dá)到的是“偷竊”性的遠(yuǎn)程控制，如果沒(méi)有很強(qiáng)的隱蔽性的話，那就是“毫無(wú)價(jià)值”的。,特種木馬簡(jiǎn)介,通過(guò)網(wǎng)絡(luò)、U盤(pán)進(jìn)行傳播感染局域網(wǎng)內(nèi)服務(wù)器及主機(jī)自動(dòng)打包.doc、.excel、.ppt、.pdf等文檔文件通過(guò)網(wǎng)絡(luò)將數(shù)據(jù)發(fā)至木馬制作人,本章概要,第1節(jié)計(jì)算機(jī)病毒分類(lèi)介紹與實(shí)例分析,第2節(jié)現(xiàn)代計(jì)算機(jī)病毒慣用技術(shù)手段剖析,第3節(jié)當(dāng)前流行計(jì)算機(jī)病毒專(zhuān)題技術(shù)詳解,前言殺毒軟件的工作方式一般是特征碼匹配殺毒，即通過(guò)分析病毒的特征碼來(lái)判斷病毒。而病毒只有能夠逃避過(guò)殺毒軟件的查殺，才能順利實(shí)現(xiàn)其入侵系統(tǒng)、盜取用戶(hù)私密信息的目的，免殺病毒則應(yīng)運(yùn)而生?！薄懊鈿ⅰ备拍睢懊鈿ⅰ保櫭剂x就是逃避殺毒軟件的查殺，目前用得比較多的方法主要有三種，分別是“加花指令”、“加殼”和“修改特征碼”，通常黑客們會(huì)針對(duì)不同的情況來(lái)運(yùn)用不同的免殺方法。關(guān)于病毒特征代碼反病毒廠商截獲到一個(gè)病毒后，將會(huì)提取該病毒中比較關(guān)鍵的一段代碼作為辨認(rèn)該木馬的特征值，在殺毒軟件進(jìn)行殺毒的過(guò)程中把它拿出來(lái)和某具體的文件做比對(duì)。就和我們辨認(rèn)人一樣，把某人的相貌特征記錄下來(lái)，比如：丹鳳眼、瓜子臉、馬尾辮等，在下次見(jiàn)到此人時(shí)一眼就可以認(rèn)出來(lái)。,病毒“免殺”技術(shù),免殺技術(shù)之一：加花指令加花是病毒免殺常用的手段，加花的原理就是通過(guò)添加加花指令（一些垃圾指令，類(lèi)型加1減1之類(lèi)的無(wú)用語(yǔ)句），從而干擾殺毒軟件正常的檢測(cè)。這是“免殺”技術(shù)中最初級(jí)的階段。免殺技術(shù)之二：加殼如果說(shuō)程序是一張烙餅，那殼就是包裝袋，可以讓你發(fā)現(xiàn)不了里面的東西。常見(jiàn)的殼容易被識(shí)別，所以病毒加殼往往會(huì)使用到生僻殼、強(qiáng)殼、新殼、偽裝殼、或者加多重殼等，干擾殺毒軟件正常的檢測(cè)。免殺技術(shù)之三：修改特征碼病毒加殼雖然可以逃過(guò)一些殺毒軟件的查殺，但是卻逃不過(guò)內(nèi)存殺毒，因此修改特征碼成為逃避殺毒軟件內(nèi)存查殺的唯一辦法。要修改特征碼，就要先定位殺毒軟件的病毒庫(kù)所定位的特征碼，這有一定難度，但是現(xiàn)在有很多工具可以定位出特征碼，只需簡(jiǎn)單修改就可完成“免殺病毒”的制作了。,病毒“免殺”技術(shù),本章概要,第1節(jié)計(jì)算機(jī)病毒分類(lèi)介紹與實(shí)例分析,第2節(jié)現(xiàn)代計(jì)算機(jī)病毒慣用技術(shù)手段剖析,第3節(jié)當(dāng)前流行計(jì)算機(jī)病毒專(zhuān)題技術(shù)詳解,Stuxnet（超級(jí)工廠）病毒技術(shù)分析報(bào)告,9月28日，瑞星率先向用戶(hù)發(fā)布安全警告，“超級(jí)工廠病毒”（Stuxnet）在國(guó)內(nèi)進(jìn)入爆發(fā)期，目前，已有600萬(wàn)個(gè)人用戶(hù)及近千企業(yè)用戶(hù)遭到此病毒攻擊。該病毒利用西門(mén)子自動(dòng)控制系統(tǒng)（SieMensSimaticWincc）的默認(rèn)密碼安全繞過(guò)漏洞，讀取數(shù)據(jù)庫(kù)中儲(chǔ)存的數(shù)據(jù)，并發(fā)送給注冊(cè)地位于美國(guó)的服務(wù)器。竊取數(shù)據(jù)后病毒會(huì)抹掉一些電子痕跡，所以網(wǎng)絡(luò)管理員可能在一段時(shí)間之后才會(huì)發(fā)現(xiàn)曾遭到攻擊。病毒竊取的資料包括：計(jì)算機(jī)名、IP地址、windows系統(tǒng)版本、是否安裝了工控軟件等。根據(jù)瑞星技術(shù)部門(mén)的分析，“超級(jí)工廠病毒”（Stuxnet）在侵入用戶(hù)電腦后，會(huì)向注冊(cè)地位于美國(guó)亞利桑那州的服務(wù)器發(fā)送信息，接受其指令。黑客可以利用該服務(wù)器，向中毒電腦發(fā)送“讀寫(xiě)文件”、“刪除文件”“創(chuàng)建進(jìn)程”等多項(xiàng)危險(xiǎn)命令。同時(shí)，該病毒會(huì)感染在電腦上使用的U盤(pán)，這些U盤(pán)被用到重要企業(yè)和政府機(jī)構(gòu)的內(nèi)網(wǎng)后，就會(huì)根據(jù)黑客實(shí)現(xiàn)發(fā)布的指令進(jìn)行多種資料竊取和破壞活動(dòng)。這種攻擊手段，曾在許多軍事黑客案例中被使用，通常被稱(chēng)為“U盤(pán)跳板攻擊”。如果黑客發(fā)現(xiàn)中毒電腦安裝了工控軟件，就會(huì)針對(duì)其進(jìn)行重點(diǎn)偵測(cè)和探查。從而充當(dāng)進(jìn)一步侵襲企業(yè)內(nèi)網(wǎng)的工具。同時(shí)，黑客的指令也會(huì)通過(guò)U盤(pán)傳遞到工控系統(tǒng)內(nèi)部，可以進(jìn)行多種危險(xiǎn)操作。,Stuxnet（超級(jí)工廠）病毒技術(shù)分析報(bào)告,Worm.Win32.Stuxnet病毒分析病毒名稱(chēng)：Worm.Win32.Stuxnet病毒概述：這是一個(gè)可以通過(guò)微軟MS10-046漏洞（lnk文件漏洞），MS10-061（打印服務(wù)漏洞），MS08-067等多種漏洞傳播的惡性蠕蟲(chóng)病毒。另外該病毒還可以專(zhuān)門(mén)針對(duì)西門(mén)子的SCADA軟件進(jìn)行特定攻擊，以獲取其需要的信息。傳播方式：1.通過(guò)MS10-046漏洞傳播2.通過(guò)MS10-061漏洞傳播3.通過(guò)共享文件夾傳播4.通過(guò)MS08-067漏洞傳播,Stuxnet（超級(jí)工廠）病毒技術(shù)分析報(bào)告,Stuxnet（超級(jí)工廠）病毒技術(shù)分析報(bào)告,議程內(nèi)容,第一章計(jì)算機(jī)病毒的概念、概況與現(xiàn)狀,第二章計(jì)算機(jī)病毒分類(lèi)介紹與技術(shù)分析,第三章反病毒技術(shù)介紹與病毒分析處理,第四章反病毒產(chǎn)品介紹與安全體系建立,本章概要,第1節(jié)反病毒技術(shù)的發(fā)展?fàn)顩r和未來(lái)趨勢(shì),第2節(jié)病毒分析基礎(chǔ)知識(shí),第3節(jié)計(jì)算機(jī)病毒的預(yù)防和緊急手工處理,反病毒產(chǎn)品發(fā)展史,80年代中期，病毒開(kāi)始流行，消病毒程序軟件出現(xiàn),80s末90s初，病毒數(shù)量激增，硬件防病毒卡出現(xiàn),90s中殺防集成化，90s末出現(xiàn)實(shí)時(shí)防毒的反病毒軟件,2000年前后，出現(xiàn)集中控制分布處理的網(wǎng)絡(luò)殺毒軟件,2003年左右，出現(xiàn)具備防毒功能的硬件網(wǎng)關(guān)設(shè)備,廣泛使用的反病毒技術(shù),特征碼掃描技術(shù),虛擬執(zhí)行技術(shù),實(shí)時(shí)監(jiān)控技術(shù),智能引擎技術(shù),嵌入式殺毒技術(shù),瑞星的主動(dòng)防御從何而來(lái)?,主動(dòng)防御一場(chǎng)時(shí)代性的變革,在當(dāng)今的反病毒領(lǐng)域，主流的“特征碼查殺”技術(shù)存在致命弱點(diǎn)即：過(guò)分依賴(lài)于對(duì)新病毒的截獲能力和速度，陳舊而呆板的“截獲處理升級(jí)”工作模式，決定了其永遠(yuǎn)滯后于病毒的出現(xiàn)和傳播的必然性；當(dāng)前的網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，混合式威脅已成為主流，基于漏洞的攻擊層出不窮，大量病毒制造者大肆展開(kāi)變種數(shù)量與速度的競(jìng)賽；利益驅(qū)動(dòng)病毒商業(yè)化運(yùn)作，并且攻擊目標(biāo)明確，主要針對(duì)各種網(wǎng)上交易、網(wǎng)絡(luò)游戲、電子郵件、網(wǎng)頁(yè)瀏覽與網(wǎng)絡(luò)下載等基礎(chǔ)網(wǎng)絡(luò)應(yīng)用；病毒的自我防御能力普遍增強(qiáng)，加殼技術(shù)廣泛應(yīng)用，甚至主動(dòng)攻擊安全類(lèi)軟件，破壞系統(tǒng)的功能或?qū)傩?，因此，迫切需要攻防兼?zhèn)涞陌踩雷o(hù)產(chǎn)品；,為什么需要主動(dòng)防御?,瑞星主動(dòng)防御架構(gòu),HIPS層無(wú)需病毒庫(kù)支持；傳統(tǒng)監(jiān)控層誤報(bào)率極低；行為分析層能判定未知病毒；三層結(jié)構(gòu)，三重過(guò)濾，相互支持，優(yōu)勢(shì)互補(bǔ)。,瑞星主動(dòng)防御技術(shù)的特點(diǎn),云安全,本章概要,第1節(jié)反病毒技術(shù)的發(fā)展?fàn)顩r和未來(lái)趨勢(shì),第2節(jié)病毒分析基礎(chǔ)知識(shí),第3節(jié)計(jì)算機(jī)病毒的預(yù)防和緊急手工處理,一些基本的系統(tǒng)概念（上）,一、進(jìn)程：進(jìn)程為應(yīng)用程序的運(yùn)行實(shí)例，是應(yīng)用程序的一次動(dòng)態(tài)執(zhí)行；可以簡(jiǎn)單理解為系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序；當(dāng)運(yùn)行某程序時(shí)，就創(chuàng)建了一個(gè)容納該程序代碼及其所需動(dòng)態(tài)鏈接庫(kù)的進(jìn)程。（1）系統(tǒng)進(jìn)程：用于完成操作系統(tǒng)的各種功能的進(jìn)程就是系統(tǒng)進(jìn)程，它們就是處于運(yùn)行狀態(tài)下的操作系統(tǒng)本身，是系統(tǒng)運(yùn)行所必須的；（2）用戶(hù)進(jìn)程：用戶(hù)進(jìn)程就是所有由用戶(hù)執(zhí)行應(yīng)用程序所啟動(dòng)的進(jìn)程。其中應(yīng)用程序是由用戶(hù)安裝的程序，執(zhí)行一個(gè)應(yīng)用程序時(shí)可能會(huì)啟動(dòng)多個(gè)不同的進(jìn)程。二、線程：Threads，也稱(chēng)輕量進(jìn)程，指運(yùn)行中的程序的調(diào)度單位。線程是進(jìn)程中的實(shí)體，一個(gè)進(jìn)程可擁有多個(gè)線程，實(shí)現(xiàn)程序的并發(fā)執(zhí)行，但一個(gè)線程必須有一個(gè)父進(jìn)程。實(shí)際上線程運(yùn)行而進(jìn)程不運(yùn)行，線程不擁有系統(tǒng)資源，它與父進(jìn)程的其它線程共享該進(jìn)程所擁有的全部資源。,三、服務(wù)：在Windows系統(tǒng)中，服務(wù)是指執(zhí)行特定系統(tǒng)功能的程序、例程或進(jìn)程，以便支持其他程序，尤其是低層(接近硬件)程序，他們一般隨系統(tǒng)啟動(dòng)并在后臺(tái)運(yùn)行。四、驅(qū)動(dòng)：驅(qū)動(dòng)是是一種可以使計(jì)算機(jī)操作系統(tǒng)和設(shè)備通信的特殊程序，是操作系統(tǒng)和硬件設(shè)備間的通信接口，他們告訴操作系統(tǒng)有哪些設(shè)備以及設(shè)備的功能。五、DLL：即動(dòng)態(tài)鏈接庫(kù)(DynamicLinkLibrary)，是一種可執(zhí)行文件。dll文件是一個(gè)可以被其它程序共享的程序模塊，其中封裝了一些可以被共享的代碼、數(shù)據(jù)或函數(shù)等資源。DLL文件一般不能單獨(dú)執(zhí)行，而應(yīng)由其他Windows應(yīng)用程序直接或間接調(diào)用。,一些基本的系統(tǒng)概念（下）,常見(jiàn)系統(tǒng)進(jìn)程解析,一、通過(guò)啟動(dòng)文件夾隱蔽程度：應(yīng)用程度：說(shuō)明：這是一種很常見(jiàn)的自啟動(dòng)方式，正常程序多用，但木馬極少。位于.DocumentsandSettings”當(dāng)前用戶(hù)”/AllUsers開(kāi)始菜單程序啟動(dòng),自啟動(dòng)方式（上）,三、通過(guò)Autoexec.bat、winstart.bat或config.sys文件隱蔽程度：應(yīng)用程度：說(shuō)明：這些文件在Windows啟動(dòng)前運(yùn)行，系統(tǒng)處于DOS環(huán)境，只能運(yùn)行16位程序。,二、通過(guò)Win.ini文件隱蔽程度：應(yīng)用程度：說(shuō)明：從Win3.2開(kāi)始就可以利用該文件中Windows域的load和run項(xiàng)啟動(dòng)。,自啟動(dòng)方式（中）,四、通過(guò)System.ini文件隱蔽程度:應(yīng)用程度：說(shuō)明：該文件的Boot域中的Shell項(xiàng)的正常值是“Explorer.exe”，但可以在其后添加其他程序的路徑，即使在安全模式也會(huì)啟動(dòng)。,五、通過(guò)某特定程序或文件啟動(dòng)隱蔽程度:應(yīng)用程度：說(shuō)明：（1）捆綁或寄生于特定程序；（2）修改特定程序啟動(dòng)路徑；（3）修改系統(tǒng)文件關(guān)聯(lián)；,六、通過(guò)注冊(cè)表啟動(dòng)隱蔽程度：應(yīng)用程度：說(shuō)明：這是很多Windows程序都采用的自啟動(dòng)方法，也是木馬最常用的，下述熱度遞減、難度遞增。,自啟動(dòng)方式（下）,本章概要,第1節(jié)反病毒技術(shù)的發(fā)展?fàn)顩r和未來(lái)趨勢(shì),第2節(jié)病毒分析基礎(chǔ)知識(shí),第3節(jié)計(jì)算機(jī)病毒的預(yù)防和緊急手工處理,計(jì)算機(jī)病毒的預(yù)防（上）,1備份重要數(shù)據(jù)（包括操作系統(tǒng)本身和主要應(yīng)用數(shù)據(jù)）并妥善保管；2安裝正版的殺毒軟件及防火墻程序，設(shè)定必要的安全策略，經(jīng)常更新病毒庫(kù)；3及時(shí)修補(bǔ)操作系統(tǒng)及常用軟件的漏洞；4禁用Guest賬戶(hù)，為系統(tǒng)設(shè)置強(qiáng)密碼；5關(guān)閉不必要的系統(tǒng)服務(wù)；6最好使用NTFS文件系統(tǒng)格式；7不要隨便共享文件，如果確實(shí)需要使