淺談?dòng)?jì)算機(jī)病毒的正確防御探討

1、淺談?dòng)?jì)算機(jī)病毒的正確防御探討目錄前言.2 一、計(jì)算機(jī)病毒概述.3 1.1 計(jì)算機(jī)病毒的特點(diǎn).3 1.2 計(jì)算機(jī)病毒所采用的技術(shù).3二、計(jì)算機(jī)病毒對(duì)系統(tǒng)的危害.4 2.1 病毒直接對(duì)計(jì)算機(jī)數(shù)據(jù)信息進(jìn)行破壞.4 2.2 破壞磁盤的引導(dǎo)區(qū).4 2.3 搶占系統(tǒng)資源.4 2.4 影響計(jì)算機(jī)運(yùn)行速度.4 2.5 計(jì)算機(jī)病毒對(duì)系統(tǒng)兼容性的影響.4 2.6 計(jì)算機(jī)病毒在經(jīng)濟(jì)方面的危害.43、 計(jì)算機(jī)病毒的防御方法.5 3.1 設(shè)計(jì)病毒階段的防御措施.5 3.2 病毒傳播階段的防御措施.5 3.3 病毒運(yùn)行階段的防御措施.54、 非授權(quán)web訪問(wèn).65、 總結(jié)與展望.6前言摘要：隨著計(jì)算機(jī)在工作已經(jīng)生活中進(jìn)一

2、步廣泛的應(yīng)用，計(jì)算機(jī)病毒的危害也在與日俱增。如何正確防范計(jì)算機(jī)病毒是一個(gè)長(zhǎng)期而艱巨的課題，計(jì)算機(jī)病毒大部分都采用了反代碼分析、欺騙隱身、規(guī)避檢測(cè)以及暴力對(duì)抗等先進(jìn)技術(shù)對(duì)抗安全軟件，反病毒技術(shù)與計(jì)算機(jī)病毒之間的斗爭(zhēng)將更加激烈。 計(jì)算機(jī)病毒借助網(wǎng)絡(luò)的發(fā)展，呈現(xiàn)出爆發(fā)流行的趨勢(shì)，如cih病毒、“愛(ài)蟲(chóng)”病毒，曾經(jīng)給廣大的計(jì)算機(jī)用戶帶來(lái)極大的損失。計(jì)算機(jī)病毒一旦侵入沒(méi)有副本的文件，并進(jìn)行破壞后，可能導(dǎo)致數(shù)據(jù)丟失，造成嚴(yán)重的后果。計(jì)算機(jī)病毒的隱蔽性和多態(tài)性使用戶難以檢測(cè)。在用戶與計(jì)算機(jī)病毒的斗爭(zhēng)中，如果用戶能采取有效的防范措施，可以使系統(tǒng)中毒的幾率降到最低，并減少病毒造成的損失。1 計(jì)算機(jī)病毒概述計(jì)算機(jī)病

3、毒可以通過(guò)復(fù)制自身來(lái)感染其他軟件的程序。當(dāng)被感染的程序運(yùn)行時(shí)，嵌入在其中的病毒也隨之運(yùn)行并有可能感染其他程序。少數(shù)病毒不會(huì)對(duì)系統(tǒng)或數(shù)據(jù)產(chǎn)生危害，但更多的病毒攜帶毒碼，一旦被事先設(shè)定好的環(huán)境所激發(fā)，就可以感染和破壞系統(tǒng)。計(jì)算機(jī)病毒防御，是通過(guò)建立有效的計(jì)算機(jī)病毒防范體系和制度，第一時(shí)間發(fā)現(xiàn)計(jì)算機(jī)病毒侵入，并立即采取有效的措施阻止計(jì)算機(jī)病毒的傳播和破壞，并恢復(fù)受影響的系統(tǒng)和數(shù)據(jù)。計(jì)算機(jī)病毒防御工作，首先是防御體系的建設(shè)和制度的建立。只有一個(gè)完善的防范體系和制度，才能有效的將病毒擋在系統(tǒng)大門之外。1.1 計(jì)算機(jī)病毒的特點(diǎn)狹義的計(jì)算機(jī)病毒是指將自身嵌入其他程序或文件的一種程序，廣義的計(jì)算機(jī)病毒包括邏輯

4、炸彈，特洛伊木馬以及系統(tǒng)陷阱入口等等。計(jì)算機(jī)病毒雖是一個(gè)很小的程序，但它和普通的計(jì)算機(jī)程序有很大不同，并且具有以下特點(diǎn)：1) 計(jì)算機(jī)病毒有自我復(fù)制的功能，并且可以隱藏在合法程序的內(nèi)部，并隨著用戶的操作而不斷地進(jìn)行自我復(fù)制。2) 計(jì)算機(jī)病毒能破壞系統(tǒng)程序或系統(tǒng)數(shù)據(jù)，并且有可能造成硬件設(shè)備的損壞。3) 計(jì)算機(jī)病毒不像生物病毒一樣自然產(chǎn)生，它是由人為故意編制而成，并且為了達(dá)成一定的目的，如灰鴿子軟件，既可用于遠(yuǎn)程控制，也可作為病毒。4) 計(jì)算機(jī)病毒有潛在的破壞能力。在系統(tǒng)遭受病毒感染后，病毒一般不會(huì)立即發(fā)作，而是潛藏在系統(tǒng)中，等滿足病毒中設(shè)置的條件時(shí)，則立即發(fā)作，給系統(tǒng)帶來(lái)災(zāi)難性的破壞。5) 計(jì)算機(jī)

5、病毒具有傳染性，通過(guò)非法拷貝或網(wǎng)絡(luò)進(jìn)行傳染。計(jì)算機(jī)病毒通常附著在其他軟件上，在病毒發(fā)作時(shí)，有一些病毒是進(jìn)行自我復(fù)制，并在一定條件下通過(guò)網(wǎng)絡(luò)、u盤等傳染給其他計(jì)算機(jī)，另一部分則在特定條件下執(zhí)行某種特殊的行為。1.2 計(jì)算機(jī)病毒所采用的技術(shù)反病毒技術(shù)與計(jì)算機(jī)病毒在激烈的斗爭(zhēng)中各自不斷的發(fā)展。行為判斷(generic)、啟發(fā)式殺毒(heuristic)、特征碼掃描、入侵保護(hù)系統(tǒng)(hips)、主動(dòng)防御(proactive defense)、網(wǎng)絡(luò)防火墻等安全產(chǎn)品的應(yīng)用越來(lái)越廣泛，但是計(jì)算機(jī)病毒技術(shù)在攻防大戰(zhàn)中不斷升級(jí)，病毒技術(shù)更加復(fù)雜，普遍具備對(duì)抗性、欺騙性等特點(diǎn)。以下分析病毒的工作原理，為正確防治病毒

6、做好準(zhǔn)備。1) 反代碼分析，代碼分析師通過(guò)逆向工程來(lái)分析病毒樣本、提取病毒的特征碼、破解病毒的行為，是檢測(cè)、防范和清除的前提基礎(chǔ)。為了避開(kāi)被反病毒軟件檢測(cè)出來(lái)，病毒從一開(kāi)始就試圖通過(guò)各種手段避開(kāi)代碼分析，包括：加密加殼，現(xiàn)在的病毒普遍采用了加殼(packer)的技術(shù)，在壓縮文件長(zhǎng)度的同時(shí)，轉(zhuǎn)換病毒的特征碼，以規(guī)避安全軟件的檢測(cè)；反內(nèi)存瀉出，通過(guò)自解除封鎖、二進(jìn)制代碼模糊處理、頁(yè)面重定向方式等技術(shù)手段來(lái)針對(duì)內(nèi)存瀉出；反調(diào)試技術(shù)；虛擬機(jī)檢測(cè)技術(shù)。2) 規(guī)避檢測(cè)技術(shù)，病毒軟件并不修改系統(tǒng)，而是通過(guò)各種方式來(lái)避開(kāi)檢測(cè)，使安全軟件無(wú)法檢測(cè)其存在，包括：特殊文件格式，病毒采用特殊的文件格式使其存在于系統(tǒng)中

7、，利用系統(tǒng)的文件系統(tǒng)缺陷使其對(duì)系統(tǒng)透明，如ntfs的交替數(shù)據(jù)流技術(shù)；多媒體文件鏈接，病毒被嵌入到圖片、音頻、視頻等文件中，病毒不以文件的方式存放于磁盤上，從而繞過(guò)安全軟件的哈希過(guò)濾器和字符串匹配檢測(cè)；駐留磁盤扇區(qū)，病毒通過(guò)駐留在磁盤扇區(qū)，而不以文件的形式存在，安全軟件對(duì)其無(wú)法檢測(cè)；冒充系統(tǒng)文件，病毒程序運(yùn)行的過(guò)程中以系統(tǒng)程序的身份運(yùn)行，達(dá)到混淆視聽(tīng)的目的。3) 欺騙隱身技術(shù)，病毒使用先進(jìn)、底層的技術(shù)，通過(guò)修改系統(tǒng)的參數(shù)結(jié)構(gòu)，并設(shè)置系統(tǒng)鉤子( hook )，隱藏進(jìn)程、文件、注冊(cè)表項(xiàng)、服務(wù)、鍵值和通信端口，使系統(tǒng)對(duì)其不可見(jiàn)（stealth）。4) 暴力對(duì)抗技術(shù)，安全軟件和病毒使用同樣的技術(shù)，病毒針

8、對(duì)殺毒軟件的特點(diǎn)所采取的暴力手段進(jìn)行反制，破解殺毒軟件的防護(hù)，包括：終止殺毒軟件運(yùn)行，通過(guò)findwindowa來(lái)查找殺毒軟件在系統(tǒng)中的窗口句柄，并使用sendmessage函數(shù)來(lái)發(fā)送關(guān)閉消息，以達(dá)到關(guān)閉殺毒軟件的目的；鏡像劫持，通過(guò)修改注冊(cè)表鍵值，使殺毒軟件不能正常運(yùn)行。2 計(jì)算機(jī)病毒對(duì)系統(tǒng)的危害在計(jì)算機(jī)病毒感染宿主計(jì)算機(jī)后，會(huì)對(duì)宿主計(jì)算機(jī)的系統(tǒng)安全，數(shù)據(jù)安全造成極大的危害，包括系統(tǒng)崩潰，數(shù)據(jù)丟失，網(wǎng)上銀行賬戶被盜等。2.1 病毒直接對(duì)計(jì)算機(jī)數(shù)據(jù)信息進(jìn)行破壞大多數(shù)病毒在激活的時(shí)候會(huì)對(duì)計(jì)算機(jī)系統(tǒng)的重要數(shù)據(jù)信息進(jìn)行直接破壞，通過(guò)利用各種技術(shù)手段如：格式化磁盤、刪除重要文件、用垃圾數(shù)據(jù)改寫(xiě)數(shù)據(jù)文件

9、、破壞cmos設(shè)置、修改文件分配表和目錄區(qū)等。此類病毒如典型的磁盤殺手（disk killer）在感染后，會(huì)改寫(xiě)硬盤數(shù)據(jù)。2.2 破壞磁盤的引導(dǎo)區(qū)引導(dǎo)型病毒通過(guò)病毒本身占據(jù)磁盤的引導(dǎo)扇區(qū)，而將原有的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū)，也就是覆蓋原有的引導(dǎo)區(qū)。被覆蓋的引導(dǎo)區(qū)數(shù)據(jù)將會(huì)永久性丟失，而無(wú)法恢復(fù)，對(duì)系統(tǒng)的危害非常大，可能導(dǎo)致系統(tǒng)的崩潰。2.3 搶占系統(tǒng)資源除了少數(shù)病毒如vienna、casper之外，大部分病毒都是常駐內(nèi)存中的，這就導(dǎo)致系統(tǒng)資源的浪費(fèi)。病毒在內(nèi)存中所占用的空間與病毒本身長(zhǎng)度相當(dāng)，在病毒搶占內(nèi)存空間后，導(dǎo)致內(nèi)存空間減少，一部分軟件因?yàn)槿狈?nèi)存而無(wú)法運(yùn)行，正在運(yùn)行的軟件因?yàn)閏pu占用而變慢

10、。病毒除了搶占內(nèi)存外，還會(huì)搶占中斷系統(tǒng)，從而干擾系統(tǒng)的運(yùn)行。操作系統(tǒng)很多的系統(tǒng)功能都是通過(guò)中斷調(diào)用來(lái)實(shí)現(xiàn)的。病毒為了自我傳播，會(huì)修改一些有關(guān)的中斷地址，從而在正常的系統(tǒng)中斷中，加入病毒，達(dá)到傳播的目的。2.4 影響計(jì)算機(jī)運(yùn)行速度病毒在內(nèi)存中駐留后，不但干擾系統(tǒng)運(yùn)行，占用內(nèi)存空間，同時(shí)也影響系統(tǒng)運(yùn)行速度。首先，病毒為了觸發(fā)傳染條件，會(huì)一直對(duì)計(jì)算機(jī)的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，這必然導(dǎo)致系統(tǒng)運(yùn)行速度減緩。其次，有些病毒在磁盤上以靜態(tài)加密數(shù)據(jù)的狀態(tài)保持，在加載到內(nèi)存中后，會(huì)動(dòng)態(tài)的處于加密狀態(tài)，cpu每次在運(yùn)行病毒代碼前，都必須將這段代碼重新解密，這樣就增加了數(shù)千條甚至上萬(wàn)條cpu指令。再次，病毒在傳染的同時(shí)要

11、插入非法的額外操作，必然占用cpu的運(yùn)行時(shí)間。2.5 計(jì)算機(jī)病毒對(duì)系統(tǒng)兼容性的影響由于計(jì)算機(jī)系統(tǒng)中存在多種軟件，兼容性稱為計(jì)算機(jī)軟件的一項(xiàng)重要指標(biāo)，兼容性好的軟件可以在各種計(jì)算機(jī)環(huán)境下運(yùn)行，反之，兼容性差的軟件則容易造成系統(tǒng)內(nèi)存泄露，軟件異常退出等問(wèn)題，對(duì)計(jì)算機(jī)正常運(yùn)行造成不利的影響。因?yàn)椴《静粫?huì)在各種計(jì)算機(jī)環(huán)境下進(jìn)行測(cè)試，所以病毒的兼容性較差，常常會(huì)導(dǎo)致計(jì)算機(jī)死機(jī)。2.6 計(jì)算機(jī)病毒在經(jīng)濟(jì)方面的危害由于電子商務(wù)的發(fā)展，在網(wǎng)上購(gòu)物的人也越來(lái)越多，計(jì)算機(jī)病毒會(huì)對(duì)網(wǎng)上銀行賬戶造成極大的威脅，并可能竊取網(wǎng)上銀行的密碼，對(duì)計(jì)算機(jī)用戶造成巨大的經(jīng)濟(jì)損失。 3 計(jì)算機(jī)病毒的防御方法要正確的防御計(jì)算機(jī)病毒帶

12、來(lái)的威脅，必須建立健全的計(jì)算機(jī)安全體系，養(yǎng)成良好的計(jì)算機(jī)使用方法，定期的更換安全賬戶的密碼等。計(jì)算機(jī)病毒與普通的生物病毒一樣，也有一定的生命周期，包括四個(gè)部分：利用漏洞設(shè)計(jì)病毒、病毒潛伏和傳播、病毒運(yùn)行、反病毒軟件查殺。通過(guò)了解軟件病毒的生命周期，從而更好的對(duì)其進(jìn)行預(yù)防。3.1 設(shè)計(jì)病毒階段的防御措施計(jì)算機(jī)病毒軟件在設(shè)計(jì)階段，會(huì)根據(jù)現(xiàn)有系統(tǒng)中的漏洞，來(lái)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊。在本階段的防御工作主要包括：1) 使用正版的系統(tǒng)軟件。由于正版軟件授權(quán)需要一定的費(fèi)用，盜版軟件在市場(chǎng)上橫行，這在一定程度上助長(zhǎng)了計(jì)算機(jī)病毒的傳播和發(fā)展。盜版系統(tǒng)軟件一般得不到廠商的有效技術(shù)支持，從而無(wú)法更新系統(tǒng)中的漏洞補(bǔ)丁，

13、這給計(jì)算機(jī)病毒的傳播留下了巨大的空間。如果使用正版軟件，系統(tǒng)可以得到有效的更新，則計(jì)算機(jī)病毒在一定程度上無(wú)法侵入系統(tǒng)，這在系統(tǒng)級(jí)別上給用戶以安全保證。2) 及時(shí)更新系統(tǒng)漏洞補(bǔ)丁，大部分計(jì)算機(jī)病毒通過(guò)掃描系統(tǒng)漏洞，來(lái)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊。如果用戶及時(shí)更新系統(tǒng)安全補(bǔ)丁，則計(jì)算機(jī)病毒無(wú)法對(duì)系統(tǒng)進(jìn)行有效的侵入，阻止了病毒對(duì)系統(tǒng)的進(jìn)一步危害。3.2 病毒傳播階段的防御措施病毒之所以能大規(guī)模的爆發(fā)，一方面由于病毒利用了系統(tǒng)的安全漏洞，另一方面在于用戶對(duì)計(jì)算機(jī)系統(tǒng)的使用方式。如果能正確的使用計(jì)算機(jī)，則能極大的降低病毒對(duì)計(jì)算機(jī)系統(tǒng)的感染幾率。本階段可以采用以下方式進(jìn)行防御：1) 安裝正版的殺毒軟件。2) 不訪

14、問(wèn)陌生的、不安全的網(wǎng)站。3) 不運(yùn)行網(wǎng)上不規(guī)范的可執(zhí)行程序。3.3 病毒運(yùn)行階段的防御措施如果計(jì)算機(jī)病毒已經(jīng)侵入到計(jì)算機(jī)系統(tǒng)中，則用戶為了避免進(jìn)一步的損失，應(yīng)該及時(shí)對(duì)系統(tǒng)中的關(guān)鍵數(shù)據(jù)進(jìn)行備份，并利用殺毒軟件對(duì)計(jì)算機(jī)病毒進(jìn)行查殺，盡可能的將損失降低。代理防火墻的攻擊 代理防火墻運(yùn)行在應(yīng)用層,攻擊的方法很多。這里就以wingate為例。 wingate是以前應(yīng)用非常廣泛的一種windows95/nt代理防火墻軟件，內(nèi)部用戶可以通過(guò)一臺(tái)安裝有wingate的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)，但是它也存在著幾個(gè)安全脆弱點(diǎn)。 黑客經(jīng)常利用這些安全漏洞獲得wingate的非授權(quán)web、socks和telnet的訪問(wèn)，從而偽裝成wingate主機(jī)的身份對(duì)下一個(gè)攻擊目標(biāo)發(fā)動(dòng)攻擊。因此，這種攻擊非常難于被跟蹤和記錄。 導(dǎo)致wingate安全漏洞的原因大多數(shù)是管理員沒(méi)有根據(jù)網(wǎng)絡(luò)的實(shí)際情況對(duì)wingate代理防火墻軟件進(jìn)行合理的設(shè)置，只是簡(jiǎn)單地從缺省設(shè)置安裝完畢后就讓軟件運(yùn)行，這就讓攻擊者可從以下幾個(gè)方面攻擊： 4非授權(quán)web訪問(wèn) 某些wingate版本（如運(yùn)行在nt系統(tǒng)下的2.1