第4-章計算機病毒與木馬課件

第4章計算機病毒與木馬第4章計算機病毒與木馬第4章計算機病毒與木馬4.1計算機病毒概述4.2計算機病毒的危害及其表現(xiàn)4.3計算機病毒的檢測與防范4.4木馬病毒4.5木馬的攻擊防護技術(shù)第4章計算機病毒與木馬4.1計算機病毒概述4.1計算機病毒概述 計算機病毒是一個程序，一段可執(zhí)行代碼，可以從不同角度給出計算機病毒的定義。（1）通過磁盤、磁帶和網(wǎng)絡(luò)等作為媒介傳播擴散，能“傳染”其他程序的一種程序；（2）能夠?qū)崿F(xiàn)自身復(fù)制且借助一定的載體存在的具有潛伏性、傳染性和破壞性的程序；（3）是一種人為制造的程序，它通過不同的途徑潛伏或寄生在存儲媒體（如磁盤、內(nèi)存）或程序里，當某種條件或時機成熟時，它會自生復(fù)制并傳播，使計算機的資源受到不同程序的破壞。4.1計算機病毒概述 計算機病毒是一個程序，一段可執(zhí)行代碼4.1.1計算機病毒的起源1、計算機病毒的幾種起源說（1）科學(xué)幻想起源說。美國作家寫了一本名為《沖擊波騎士》的書，計算機作為正義和邪惡雙方斗爭的工具。（2）惡作劇起源說。對計算機知識和技術(shù)非常感興趣的人，熱衷于哪些別人認為不可能做成的事情，向別人展示自己的才能。如美國網(wǎng)絡(luò)蠕蟲病毒的編寫者莫里斯。（3）游戲程序起源說。計算機發(fā)展早期，美國貝爾實驗室的程序員曾自娛自樂，編制了吃掉對方程序的程序，看誰先把對方的程序吃光。1983年11月3日美國計算機專家弗萊德-科恩在美國國家計算機安全會議上，演示了自己研究的一種在運行過程中可以復(fù)制自身的破壞性程序，并在VAXII/750計算機系統(tǒng)上運行，這是世界上第一例被證實的計算機病毒。4.1.1計算機病毒的起源1、計算機病毒的幾種起源說計算機病毒的發(fā)展史在病毒的發(fā)展史上，呈現(xiàn)一定的規(guī)律性，一般情況是新的病毒技術(shù)出現(xiàn)后，病毒會迅速發(fā)展，接著反病毒技術(shù)的發(fā)展會抑制其流傳。操作系統(tǒng)升級后，病毒也會調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)。它可劃分為：（1）DOS引導(dǎo)階段。1987年，軟盤傳播，在計算機通過軟盤啟動過程中取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤讀寫中斷，影響系統(tǒng)工作效率。（2）DOS可執(zhí)行階段。1989年，利用DOS系統(tǒng)加載執(zhí)行文件的機制，在系統(tǒng)執(zhí)行文件時取得控制權(quán)，修改DOS中斷，在系統(tǒng)調(diào)用時進行傳染，并自我復(fù)制。代表病毒：耶路撒冷，星期天（3）伴隨、批次型階段。1992年，利用DOS加載文件的優(yōu)先順序工作，不改變原來的文件內(nèi)容和屬性，受此感染的EXE文件會生成一個擴展名為COM的同名伴隨文件。計算機病毒的發(fā)展史在病毒的發(fā)展史上，呈現(xiàn)一定的規(guī)律性，一般情（4）幽靈、多形階段（匯編語言）（5）生成器、變體機階段（匯編語言）（6）網(wǎng)絡(luò)，蠕蟲階段（7）視窗階段。1996年，隨著Windows視窗操作系統(tǒng)的日益普及，利用Windows進行工作的病毒開始發(fā)展，如典型的word宏病毒，利用word提供的宏語言編寫病毒程序。（8）爪哇(Java)、郵件炸彈階段。隨著java技術(shù)在互聯(lián)網(wǎng)上的普及，典型代表javasnake和Mail-Bomb。（9）互連網(wǎng)階段。泛指通過互聯(lián)網(wǎng)傳播的病毒。（4）幽靈、多形階段（匯編語言）蠕蟲病毒–簡介蠕蟲病毒是一種常見的計算機病毒。最初的蠕蟲病毒定義是因為在DOS環(huán)境下，病毒發(fā)作時會在屏幕上出現(xiàn)一條類似蟲子的東西，胡亂吞吃屏幕上的字母并將其改形。它是利用網(wǎng)絡(luò)進行復(fù)制和傳播，傳染途徑是通過網(wǎng)絡(luò)和電子郵件。蠕蟲病毒是自包含的程序(或是一套程序)，它能傳播自身功能的拷貝或自身（蠕蟲病毒）的某些部分到其他的計算機系統(tǒng)中(通常是經(jīng)過網(wǎng)絡(luò)連接)。蠕蟲病毒–簡介蠕蟲病毒是一種常見的計算機病毒。最初的蠕蟲蠕蟲病毒–特點蠕蟲病毒主要具備以下特點。1．較強的獨立性。從某種意義上來講，蠕蟲病毒開辟了計算機病毒傳播和破壞能力的"新紀元",不依賴宿主程序,它是一段獨立的程序或代碼，因此也就避免了受宿主程序的牽制，可以不依賴于宿主程序而獨立運行，從而主動地實施攻擊。2．利用漏洞主動攻擊。蠕蟲病毒可以利用操作系統(tǒng)的各種漏洞進行主動攻擊。"尼姆達"病毒利用了IE瀏覽器的漏洞，使感染了病毒的郵件附件在不被打開的情況下就能激活病毒；"紅色代碼"利用了微軟IIS服務(wù)器軟件的漏洞（idq.dll遠程緩存區(qū)溢出）來傳播；而蠕蟲王病毒則是利用了微軟數(shù)據(jù)庫系統(tǒng)的一個漏洞進行攻擊。蠕蟲病毒–特點蠕蟲病毒主要具備以下特點。蠕蟲病毒–特點蠕蟲病毒主要具備以下特點。3．傳播更快更廣。它不僅僅感染本地計算機，而且會以本地計算機為基礎(chǔ)，感染網(wǎng)絡(luò)中所有的服務(wù)器和客戶端。蠕蟲病毒可以通過網(wǎng)絡(luò)中的共享文件夾、電子郵件、惡意網(wǎng)頁以及存在著大量漏洞的服務(wù)器等途徑肆意傳播，幾乎所有的傳播手段都被蠕蟲病毒運用得淋漓盡致，因此，蠕蟲病毒的傳播速度可以是傳統(tǒng)病毒的幾百倍，甚至可以在幾個小時內(nèi)蔓延全球，造成難以估量的損失。

我們可以做一個簡單的計算：如果某臺被蠕蟲感染的計算機的地址簿中有100個人的郵件地址，那么病毒就會自動給這100個人發(fā)送帶有病毒的郵件，假設(shè)這100個人中每個人的地址簿中又都有100個人的聯(lián)系方式，那很快就會有100

100=10000個人感染該病毒，如果病毒再次按照這種方式傳播就會再有100

100

100

1000000個人感染，而整個感染過程很可能會在幾個小時內(nèi)完成。由此可見，蠕蟲病毒的傳播速度非常驚人。蠕蟲病毒–特點蠕蟲病毒主要具備以下特點。蠕蟲病毒–特點蠕蟲病毒主要具備以下特點。4．更好的偽裝和隱藏方式。在通常情況下，我們在接收、查看電子郵件時，都采取雙擊打開郵件主題的方式瀏覽郵件內(nèi)容，如果郵件中帶有病毒，用戶的計算機就會立刻被病毒感染。因此，通常的經(jīng)驗是：不運行郵件的附件就不會感染蠕蟲病毒。但是，目前比較流行的蠕蟲病毒將病毒文件通過base64編碼隱藏到郵件的正文中，并且通過mine的漏洞造成用戶在單擊郵件時，病毒就會自動解碼到硬盤上并運行。5．技術(shù)更加先進。一些蠕蟲病毒與網(wǎng)頁的腳本相結(jié)合，利用VBScript、Java、ActiveX等技術(shù)隱藏在HTML頁面里。當用戶上網(wǎng)瀏覽含有病毒代碼的網(wǎng)頁時，病毒會自動駐留內(nèi)存并伺機觸發(fā)。還有一些蠕蟲病毒與后門程序或木馬程序相結(jié)合，比較典型的是"紅色代碼病毒"，它會在被感染計算機Web目錄下的\scripts下將生成一個root.exe后門程序，病毒的傳播者可以通過這個程序遠程控制該計算機。蠕蟲病毒–特點蠕蟲病毒主要具備以下特點。蠕蟲病毒–原理和傳播蠕蟲的基本程序結(jié)構(gòu)為：傳播模塊：負責(zé)蠕蟲的傳播。隱藏模塊：侵入主機后，隱藏蠕蟲程序，防止被用戶發(fā)現(xiàn)。目的功能模塊：實現(xiàn)對計算機的控制、監(jiān)視或破壞等功能。傳播模塊又可以分為三個基本模塊：掃描模塊、攻擊模塊和復(fù)制模塊。蠕蟲程序的一般傳播過程為：掃描：由蠕蟲的掃描功能模塊負責(zé)探測存在漏洞的主機。當程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。攻擊：攻擊模塊按漏洞攻擊步驟自動攻擊步驟1中找到的對象，取得該主機的權(quán)限（一般為管理員權(quán)限），獲得一個shell。復(fù)制：復(fù)制模塊通過原主機和新主機的交互將蠕蟲程序復(fù)制到新主機并啟動。蠕蟲病毒–原理和傳播蠕蟲的基本程序結(jié)構(gòu)為：4.1.2計算機病毒的定義及特征1.計算機病毒的定義：編制或者在計算機程序中插入的破壞計算機功能湖綜合破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。2.計算機病毒的產(chǎn)生。展示才華、報復(fù)、好奇、為軟件拿不到報酬預(yù)留的陷阱，政治軍事宗教、獲取利益3.計算機病毒的特點（1）計算機病毒的程序性(可執(zhí)行性)。寄生或單獨（2）計算機病毒的傳染性。病毒程序一旦進入計算機并得以執(zhí)行，就會自動搜索其他符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身代碼插入其中，達到自我繁殖的目的?？赏ㄟ^U盤，網(wǎng)絡(luò)等手段進行傳播。（3）計算機病毒的潛伏性。表現(xiàn)（一）不通過專門殺毒軟件無法檢測和識別，（二）不滿足觸發(fā)條件時，病毒除了傳染不做破壞工作，不易察覺。（4）計算機病毒的可觸發(fā)性。時間，日期，文件類型或某些特定數(shù)據(jù)。（5）計算機病毒的破壞性。消耗資源，降低系統(tǒng)性能，毀掉數(shù)據(jù)，破壞硬件，盜取敏感信息。4.1.2計算機病毒的定義及特征1.計算機病毒的定義：3.計算機病毒的特點（6）攻擊的主動性。無法徹底排除攻擊（7）病毒的針對性。針對特定操作系統(tǒng)，軟件，硬件等存在的漏洞。（8）病毒的非授權(quán)性。（9）病毒的隱蔽性。傳染的隱藏性，存在的隱藏性。（10）病毒的衍生性。產(chǎn)生各種變種，難以完全抵御（11）病毒的寄生性(依附性)。依賴于宿主程序（12）病毒的持久性。從存在到被發(fā)現(xiàn)的周期很長，及時被發(fā)現(xiàn)后的清除工作也很復(fù)雜。3.計算機病毒的特點（6）攻擊的主動性。無法徹底排除攻擊4.1.3計算機病毒的生命周期（1）開發(fā)期。以前制作一個病毒需要有很好的編程基礎(chǔ)，現(xiàn)在有一點計算機編程知識的人都能制作病毒，通常是在一個漏洞被公開后的一段時間內(nèi)。（2）傳染期。復(fù)制和傳播，通過感染熱門論壇和站點使得病毒迅速傳播到互聯(lián)網(wǎng)。（3）潛伏期。觸發(fā)條件不滿足，發(fā)作前（4）發(fā)作期。觸發(fā)條件滿足進行發(fā)作，有各種特征（5）發(fā)現(xiàn)期。防病毒廠商和相關(guān)安全部門（6）消化期。針對衍生病毒和由此引起新病毒的檢測。（7）消亡期。已感染的計算機成功清除，并打了補丁，安裝了防病毒軟件。發(fā)現(xiàn)到消亡通常是一個長期的過程4.1.3計算機病毒的生命周期（1）開發(fā)期。以前制作一4.1.4計算機病毒的分類1.按攻擊對像分類若按病毒攻擊的對象來分類，可分為攻擊微型計算機、小型機和工作站的病毒，甚至安全措施很好的大型機及計算機網(wǎng)絡(luò)也是病毒攻擊的目標。這些攻擊對象之中，以攻擊微型計算機的病毒最多，其中90％是攻擊IBMPC機及其兼容饑的。其他還有攻擊Macintosh及Amiga計算機的。4.1.4計算機病毒的分類1.按攻擊對像分類2.按入侵途徑分類（1）操作系統(tǒng)病毒。用病毒本身的程序意圖加入或替代部分操作系統(tǒng)進行工作。（2）外殼病毒。附在宿主程序的首尾，一般對源程序不進行修改。（3）源碼病毒。大型程序源碼被編譯前插入病毒代碼，技術(shù)難度大，較為少見。（4）入侵病毒。侵入的主程序中，并替代主程序中部分不常用的功能模塊或堆棧區(qū)。2.按入侵途徑分類（1）操作系統(tǒng)病毒。用病毒本身的程序意圖3.按傳染方式分類（1）傳染磁盤引導(dǎo)區(qū)的病毒（2）傳染可執(zhí)行文件的病毒①傳染操作系統(tǒng)文件的病毒②傳染一般可執(zhí)行文件的病毒③既傳染文件又傳染磁盤引導(dǎo)區(qū)的病毒3.按傳染方式分類（1）傳染磁盤引導(dǎo)區(qū)的病毒4.按病毒存在的媒體分類可以分為網(wǎng)絡(luò)病毒、文件病毒和引導(dǎo)型病毒。網(wǎng)絡(luò)病毒通過計算機網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件；文件病毒感染計算機中的文件（如：COM，EXE，DOC等）；引導(dǎo)型病毒感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū)（MBR）。還有這三種情況的混合型，例如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時使用了加密和變形算法。4.按病毒存在的媒體分類可以分為網(wǎng)絡(luò)病毒、文件病毒和引導(dǎo)型病5.按病毒破壞的能力分類（1）無害型。除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其他影響。（2）無危險型。這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。（3）危險型。這類病毒在計算機系統(tǒng)操作中造成嚴重的錯誤。（4）非常危險型。這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。5.按病毒破壞的能力分類（1）無害型。除了傳染時減少磁盤的可6.按計算機病毒特有的算法分類（1）伴隨型病毒。不改變文件本身，根據(jù)算法產(chǎn)生exe文件的伴隨體，具有同樣的名字和不同的擴展名（com）。當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的文件。（2）“蠕蟲”型病毒。獨立存在，不依賴宿主程序。（3）寄生型病毒。依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能進行傳播。6.按計算機病毒特有的算法分類（1）伴隨型病毒。不改變文件本7.按其表現(xiàn)性質(zhì)良性病毒和惡意病毒。惡意病毒“四大家族”①宏病毒②CIH病毒③蠕蟲病毒④木馬病毒7.按其表現(xiàn)性質(zhì)良性病毒和惡意病毒。4.2計算機病毒的危害及其表現(xiàn)4.2.1計算機病毒的危害1、病毒激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用。大部分病毒在激發(fā)的時候直接破壞計算機的重要信息數(shù)據(jù)，所利用的手段有格式化磁盤、改寫文件分配表和目錄區(qū)、刪除重要文件或者用無意義的垃圾數(shù)據(jù)改寫文件、破壞CMO5設(shè)置等。4.2計算機病毒的危害及其表現(xiàn)4.2.1計算機病毒的2、占用磁盤空間和對信息的破壞寄生在磁盤上的病毒總要非法占用一部分磁盤空間。引導(dǎo)型病毒的一般侵占方式是由病毒本身占據(jù)磁盤引導(dǎo)扇區(qū)，覆蓋一個磁盤扇區(qū)。被覆蓋的扇區(qū)數(shù)據(jù)永久性丟失，無法恢復(fù)，所以在傳染過程中一般不破壞磁盤上的原有數(shù)據(jù)，但非法侵占了磁盤空間，造成磁盤空間的嚴重浪費。2、占用磁盤空間和對信息的破壞寄生在磁盤上的病毒總要非法占用3、搶占系統(tǒng)資源除VIENNA、CASPER等少數(shù)病毒外，其他大多數(shù)病毒在動態(tài)下都是常駐內(nèi)存的，這就必然搶占一部分系統(tǒng)資源。病毒所占用的基本內(nèi)存長度大致與病毒本身長度相當。病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，一部分軟件不能運行。除占用內(nèi)存外，病毒還搶占中斷，干擾系統(tǒng)運行。3、搶占系統(tǒng)資源除VIENNA、CASPER等少數(shù)病毒外，其4、影響計算機運行速度病毒進駐內(nèi)存后不但干擾系統(tǒng)運行，還影響計算機速度，主要表現(xiàn)在：（1）病毒為了判斷傳染激發(fā)條件，總要對計算機的工作狀態(tài)進行監(jiān)視，這相對于計算機的正常運行狀態(tài)既多余又有害。（2）有些病毒為了保護自己，不但對磁盤上的靜態(tài)病毒加密，而且進駐內(nèi)存后的動態(tài)病毒也處在加密狀態(tài)；而病毒運行結(jié)束時再用一段程序?qū)Σ《局匦录用?。這樣CPU額外執(zhí)行數(shù)千條以至上萬條指令。（3）病毒在進行傳染時同樣要插入非法的額外操作，特別是傳染軟盤時不但計算機速度明顯變慢，而且軟盤正常的讀寫順序被打亂，發(fā)出刺耳的噪聲。4、影響計算機運行速度病毒進駐內(nèi)存后不但干擾系統(tǒng)運行，還影5、計算機病毒錯誤與不可預(yù)見的危害計算機病毒與其他計算機軟件的最重要差別是病毒的無責(zé)任性。編制一個完善的計算機軟件需要耗費大量的人力、物力，經(jīng)過長時間調(diào)試完善，軟件才能推出。但在病毒編制者看來既沒有必要這樣做，也不可能這樣做。很多計算機病毒都是個別人在一臺計算機上匆匆編制調(diào)試后就向外拋出，絕大部分病毒都存在不同程度的錯誤。計算機病毒錯誤所產(chǎn)生的后果往往是不可預(yù)見的，反病毒工作者曾經(jīng)詳細指出黑色星期五病毒存在9處錯誤，乒乓病毒有5處錯誤等。但是人們不可能花費大量時間去分析數(shù)萬種病毒的錯誤所在。大量含有未知錯誤的病毒擴散傳播，其后果是難以預(yù)料的。5、計算機病毒錯誤與不可預(yù)見的危害計算機病毒與其他計算機軟件6、計算機病毒的兼容性對系統(tǒng)運行的影響兼容性是計算機軟件的一項重要指標，兼容性好的軟件可以在各種計算機環(huán)境下運行，反之兼容性差的軟件則對運行條件“挑肥揀瘦”，要求機型和操作系統(tǒng)版本等，而病毒的兼容性較差，常常會導(dǎo)致死機。6、計算機病毒的兼容性對系統(tǒng)運行的影響兼容性是計算機軟件的一7、計算機病毒給用戶造成嚴重的心理壓力據(jù)有關(guān)計算機銷售部門統(tǒng)計，計算機售后用戶懷疑計算機有病毒而提出咨詢約占售后服務(wù)工作量的60％以上。經(jīng)檢測確實存在病毒的約占70％，另有30％情況只是用戶懷疑，而實際上計算機并沒有病毒，僅僅懷疑病毒而冒然格式化磁盤所帶來的損失更是難以彌補。不僅是個人單機用戶，在一些大型網(wǎng)絡(luò)系統(tǒng)中也難免為甄別病毒而停機。總之計算機病毒像“幽靈”一樣籠罩在廣大計算機用戶心頭，給人們造成巨大的心理壓力，極大地影響了現(xiàn)代計算機的使用效率，由此帶來的無形損失是難以估量的。7、計算機病毒給用戶造成嚴重的心理壓力據(jù)有關(guān)計算機銷售部門統(tǒng)4.2.2計算機病毒的表現(xiàn)（1）平時運行正常的計算機突然經(jīng)常性無緣無故地死機（2）操作系統(tǒng)無法正常啟動（3）運行速度明顯變慢（4）以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤（5）打印和通訊發(fā)生異常（6）無意中要求對軟盤進行寫操作（7）以前能正常運行的應(yīng)用程序經(jīng)常發(fā)生死機或者非法錯誤（8）系統(tǒng)文件的時間、日期、大小發(fā)生變化（9）對于Word文檔，另存時只能以模板方式保存，無法另存為一個DOC文檔。（10）磁盤空間迅速減少（11）網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用（12）基本內(nèi)存發(fā)生變化（13）陌生人發(fā)來的電子函件（14）自動鏈接到一些陌生的網(wǎng)站4.2.2計算機病毒的表現(xiàn)（1）平時運行正常的計算機突計算機病毒工作流程示意圖計算機病毒工作流程示意圖觸發(fā)條件可以是單個條件或復(fù)合條件1.單條件觸發(fā)。薩達姆病毒，每當中斷向量int21H調(diào)用8次，病毒的表現(xiàn)部分即被顯示2.復(fù)合條件觸發(fā)（1）時間觸發(fā)條件（2）功能觸發(fā)條件。以計算機提供的功能作為觸發(fā)條件，如copy（3）宿主觸發(fā)條件。許多病毒，尤其是傳染可執(zhí)行文件的病毒，對于正在運行或當前目錄下的程序或正在引導(dǎo)中的磁盤時有選擇性的。如：4月1日病毒僅感染擴展名為com的可執(zhí)行文件 黑色星期五病毒觸發(fā)條件為某月13日，且為周五觸發(fā)條件可以是單個條件或復(fù)合條件4.2.4常見的計算機病毒（1）引導(dǎo)型、病毒文件型病毒和復(fù)合型病毒引導(dǎo)型病毒有：大麻病毒、2708病毒、火炬病毒、小球病毒、Girl病毒等。文件型病毒有：1575/1591病毒、848病毒（感染.COM和.EXE等可執(zhí)行文件）Macro/Concept、Macro/Atoms等宏病毒（感染.DOC文件）。復(fù)合型病毒有：Flip病毒、新世際病毒、One-half病毒等。4.2.4常見的計算機病毒（1）引導(dǎo)型、病毒文件型病毒和（2）良性病毒和惡性病毒良性病毒有：小球病毒、1575/1591病毒、救護車病毒、揚基病毒等等。惡性病毒有：黑色星期五病毒、火炬病毒、米開朗基羅病毒等。（2）良性病毒和惡性病毒4.3計算機病毒的檢測與防范4.3.1計算機病毒檢測方法1、比較法：用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測文件進行比較。使用比較法的前提是必須保留原始備份，容易發(fā)現(xiàn)異常，如文件長度的變化，但無法確定異常發(fā)生的原因是由于程序或硬件的意外還是病毒造成的，即使確定是病毒，也無法確定病毒的種類和名稱。2、加總對比法。根據(jù)每個程序的名稱、大小、時間、日期及內(nèi)容，加總為一個檢查碼，再將檢查碼附于程序的后面，或者將所有檢查碼放在同一個數(shù)據(jù)庫中，再利用加總對比系統(tǒng)，追蹤并記錄滅個程序的檢查碼是否遭篡改，以判斷是否感染了計算機病毒。確定是誤判斷高，且無法確認是那種計算機病毒感染的。4.3計算機病毒的檢測與防范4.3.1計算機病毒檢測4.3.1計算機病毒檢測方法3、搜索法。用每一種計算機病毒體含有的特定字符串對被檢測的對象進行掃描。國外對這種按搜索法工作的計算機病毒掃描軟件叫virusscanner。計算機病毒掃描軟件由兩部分組成：一部分是計算機病毒代碼庫，含有經(jīng)過特別選定的各種計算機病毒的代碼串；另一部分是利用該代碼庫進行掃描的程序。目前常見的防殺計算機病毒軟件對已知病毒的檢測多采用這種方法。病毒庫內(nèi)特征碼的數(shù)量越多，其能識別的病毒就越多。計算機病毒特征碼的選擇非常重要，一旦選擇不當容易造成誤殺，通常采用復(fù)合特征碼。缺點：掃描費時，特征串選擇難度較高，特征庫需要不斷升級，病毒制造者獲得特征碼后很容易制作變種病毒，容易產(chǎn)生誤報，難以識別多維變形病毒。4.3.1計算機病毒檢測方法3、搜索法。用每一種計算機病4.3.1計算機病毒檢測方法 4、分析法。具體分析步驟如下：（1）確認被觀察的磁盤引導(dǎo)扇區(qū)和程序中是否含有計算機病毒。（2）確認計算機病毒的類型和種類，判定其是否是一種新的計算機病毒。（3）明確病毒體的大致結(jié)構(gòu)，提取特征識別用的字符串和特征字，用于添加到計算機病毒代碼庫供病毒掃描和識別程序用（4）詳細分析計算機病毒代碼，指定防殺病毒的方案。上述工作一般是技術(shù)人員做，需要有較全面的計算機，操作系統(tǒng)和網(wǎng)絡(luò)等的結(jié)構(gòu)和功能調(diào)用以及關(guān)于計算機病毒方面的各種知識，還需要使用反匯編工具，二進制文件處理。防殺計算機病毒工作中不可缺少的重要技術(shù)，核心工作。分析的步驟可分為靜態(tài)分析和動態(tài)分析兩種。靜態(tài)分析是指利用反匯編工具將計算機病毒源碼解析出來，然后分析其模塊構(gòu)成，采用的系統(tǒng)調(diào)用等關(guān)鍵技術(shù)，并將病毒感染文件的過程翻轉(zhuǎn)為清除病毒，修復(fù)文件的過程，判斷哪些代碼可以作為判斷此種病毒的特征碼。動態(tài)分析則是利用debug等調(diào)試工具，在內(nèi)存帶毒的情況下對計算機病毒做動態(tài)跟蹤，觀察病毒的具體工作過程和工作原理。4.3.1計算機病毒檢測方法 4、分析法。具體分析步驟如4.3.1計算機病毒檢測方法 5、人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)。 人工智能陷阱是一種檢測計算機行為的常駐式掃描技術(shù)，將所有計算機病毒所產(chǎn)生的行為歸納起來，自動檢測系統(tǒng)異常行為，并發(fā)出警告，程序編寫難度較大。 宏陷阱技術(shù)是結(jié)合了搜索法和人工智能陷阱技術(shù)，依行為模式來偵測已知和未知的宏病毒。 6、軟件仿真掃描法。針對多態(tài)變形計算機病毒（每次傳染時都將自身以不同的隨機數(shù)加密于每個感染的文件中，傳統(tǒng)搜索算法對其無效），軟件仿真通過在DOS虛擬機下偽執(zhí)行計算機病毒程序，安全將病毒解密，使其露出本來面目，再加以掃描。 7、先知掃描法。將專業(yè)人員用來判斷程序是否存在計算機病毒代碼的方法，分析歸納成專家系統(tǒng)和知識庫，在利用軟件模擬技術(shù)偽執(zhí)行新的計算機病毒，超前分析出新計算機病毒代碼趨勢4.3.1計算機病毒檢測方法 5、人工智能陷阱技術(shù)和宏病4.3.2常見計算機病毒的防范（略）1、文件型病毒2、引導(dǎo)型病毒3、宏病毒4、蠕蟲病毒4.3.2常見計算機病毒的防范（略）1、文件型病毒4.3.3計算機病毒未來發(fā)展趨勢1、主流病毒皆為綜合利用多種編程新技術(shù)產(chǎn)生。2、ARP病毒仍是局域網(wǎng)的最大禍害。ARP病毒發(fā)作時網(wǎng)絡(luò)連接正常，但內(nèi)部網(wǎng)絡(luò)電腦經(jīng)常掉線甚至無法上網(wǎng)。3、網(wǎng)游病毒把逐利當做唯一目標。4、不可避免的面對驅(qū)動級病毒。4.3.3計算機病毒未來發(fā)展趨勢1、主流病毒皆為綜合利用多ARP病毒arp病毒并不是某一種病毒的名稱，而是對利用arp協(xié)議的漏洞進行傳播的一類病毒的總稱。arp協(xié)議是TCP/IP協(xié)議組的一個協(xié)議，用于進行把網(wǎng)絡(luò)地址翻譯成物理地址（又稱MAC地址）。通常此類攻擊的手段有兩種：路由欺騙和網(wǎng)關(guān)欺騙。是一種入侵電腦的木馬病毒。對電腦用戶私密信息的威脅很大。傳奇外掛攜帶的ARP木馬攻擊,當局域網(wǎng)內(nèi)使用外掛時，外掛攜帶的病毒會將該機器的MAC地址映射到網(wǎng)關(guān)的IP地址上，向局域網(wǎng)內(nèi)大量發(fā)送ARP包，致同一網(wǎng)段地址內(nèi)的其它機器誤將其作為網(wǎng)關(guān)，掉線時內(nèi)網(wǎng)是互通的，計算機卻不能上網(wǎng)。解決方法是在能上網(wǎng)時，進入MS-DOS窗口，輸入命令：arp–a查看網(wǎng)關(guān)IP對應(yīng)的正確MAC地址，將其記錄，如果已不能上網(wǎng)，則先運行一次命令arp–d將arp緩存中的內(nèi)容刪空，計算機可暫時恢復(fù)上網(wǎng)，一旦能上網(wǎng)就立即將網(wǎng)絡(luò)斷掉，禁用網(wǎng)卡或拔掉網(wǎng)線，再運行arp–a。ARP病毒arp病毒并不是某一種病毒的名稱，而是對利用arp4.4木馬病毒4.4.1木馬的概述木馬（Trojan）這個名字來源于古希臘傳說（荷馬史詩中木馬計的故事，Trojan一詞的本意是特洛伊，即指特洛伊木馬，也就是木馬計的故事）。特洛伊木馬的故事是在古希臘傳說中，希臘聯(lián)軍圍困特洛伊久攻不下，于是假裝撤退，留下一具巨大的中空木馬，特洛伊守軍不知是計，把木馬運進城中作為戰(zhàn)利品。夜深人靜之際，木馬腹中躲藏的希臘士兵打開城門，特洛伊淪陷。4.4木馬病毒4.4.1木馬的概述木馬程序的組成完整的木馬程序一般由兩個部分組成：一個是服務(wù)端（被控制端），一個是客戶端（控制端）。“中了木馬”就是指安裝了木馬的服務(wù)端程序，若你的電腦被安裝了服務(wù)端程序，則擁有相應(yīng)客戶端的人就可以通過網(wǎng)絡(luò)控制你的電腦、為所欲為，這時你電腦上的各種文件、程序，以及在你電腦上使用的賬號、密碼無安全可言了。木馬程序的組成完整的木馬程序一般由兩個部分組成：一個是服務(wù)端木馬的簡單識別1、使用netstat-ano命令查看本機是否有處于監(jiān)聽狀態(tài)的未知端口，尤其是大于1024的端口，記錄其進程id。2、打開windows任務(wù)管理器，查看–選擇列，在彈出窗口上勾選PID選項，使得任務(wù)管理能夠顯示進程id。3、通過前面記錄的進程id，找到進程名?；蛴胻asklist命令在dos狀態(tài)下查看id對應(yīng)的進程名。4、上網(wǎng)查看是否有類似名字病毒的報告木馬的簡單識別1、使用netstat-ano命令查看本機4.4.2木馬的發(fā)展歷史4.4.2木馬的發(fā)展歷史第一代木馬：偽裝性病毒。偽裝成合法程序誘騙用戶上當。世界上第一個計算機木馬出現(xiàn)在1986年的PC-Write木馬，它偽裝成PC-Write軟件的2.72版本（實際編寫PC-Write軟件的Quicksoft公司從未發(fā)行過此版本的軟件），一旦用戶信以為真，下載并運行該木馬軟件，那么下場就是硬盤被格式化。第二代木馬：AIDS型木馬。給別人寄去一張含有木馬程序的軟盤，軟盤中正常含有放置AIDS和HIV疾病的藥品，價格，預(yù)防措施等信息，一旦木馬程序被執(zhí)行，便將硬盤加密鎖死，然后提示受感染用戶花錢消災(zāi)。4.4.2木馬的發(fā)展歷史4.4.2木馬的發(fā)展歷史第三代木馬：網(wǎng)絡(luò)傳播性木馬。具有兩個新特征1、添加了“后門”功能。屬于一個客戶/服務(wù)器模式的程序，被控制的計算機可以看做一臺服務(wù)器，打開一個默認的端口進行監(jiān)聽，控制端則是一臺客戶機，可以根據(jù)約定格式向服務(wù)器發(fā)送數(shù)據(jù)，服務(wù)器進行相應(yīng)的處理，從而控制服務(wù)器端。2、添加了擊鍵記錄功能。記錄用戶所有的擊鍵內(nèi)容，然后形成擊鍵記錄的日志文件發(fā)送給惡意用戶。惡意用戶可以從中找到一些敏感信息，如用戶名，密碼，信用卡號等。第三代木馬：網(wǎng)絡(luò)傳播性木馬。具有兩個新特征4.4.3木馬的分類1.網(wǎng)絡(luò)游戲木馬。虛擬貨幣的流通使得網(wǎng)游產(chǎn)業(yè)鏈中存在較大的商業(yè)利益，通過盜取網(wǎng)游的賬號和密碼來獲取利益的木馬軟件應(yīng)運而生。通常通過記錄用戶鍵盤深入，Hook游戲進程API函數(shù)等方法獲取用戶的賬號和密碼，獲取的信息一般通過電子郵件或向遠程腳本程序提交的方式發(fā)送給木馬作者關(guān)于Hook技術(shù)：APIHOOK技術(shù)是一種用于改變API執(zhí)行結(jié)果的技術(shù)，Microsoft自身也在Windows操作系統(tǒng)里面使用了這個技術(shù)，如Windows兼容模式等。APIHOOK技術(shù)并不是計算機病毒專有技術(shù)，但是計算機病毒經(jīng)常使用這個技術(shù)來達到隱藏自己的目的。鉤子實際上是一個處理消息的程序段，通過系統(tǒng)調(diào)用，把它掛入系統(tǒng)。每當特定的消息發(fā)出，在沒有到達目的窗口前，鉤子程序就先捕獲該消息，亦即鉤子函數(shù)先得到控制權(quán)。這時鉤子函數(shù)即可以加工處理（改變）該消息，也可以不作處理而繼續(xù)傳遞該消息，還可以強制結(jié)束消息的傳遞。4.4.3木馬的分類1.網(wǎng)絡(luò)游戲木馬。虛擬貨幣的流通4.4.3木馬的分類 2.網(wǎng)銀木馬。網(wǎng)銀超級木馬是中國國內(nèi)首個專門針對網(wǎng)絡(luò)支付編寫的病毒，它利用了第三方支付HTTP網(wǎng)頁與網(wǎng)銀的銜接認證缺陷，可以危害幾乎所有的網(wǎng)絡(luò)銀行與第三方支付的銜接環(huán)節(jié)，竊取成功率極高，犯罪后極難追查。網(wǎng)銀用戶在登陸網(wǎng)銀時，傳統(tǒng)的身份認證技術(shù)，是用戶輸入一個固定密碼，認證中心通過用戶數(shù)據(jù)庫核定密碼是否一致，來確認其身份。事實證明，這種固定密碼的認證方式，在網(wǎng)絡(luò)中使用很不安全。網(wǎng)絡(luò)上病毒木馬目前在技術(shù)上還不能有效阻止。因此在網(wǎng)絡(luò)中，密碼被盜是輕而易舉的。（例子見P112）目前各銀行采用的最高級別的網(wǎng)銀安全手段，是U-Key，有的銀行叫U盾。U-Key采用精尖加密技術(shù)，運用在網(wǎng)上個人銀行中的新型移動數(shù)字證書(即數(shù)字證書存放在U-Key上)。動態(tài)密碼也稱動態(tài)口令字，每登陸一次產(chǎn)生一個新的密碼。密碼由機器不斷變化產(chǎn)生，不需要記憶也不會搞錯，每個密碼僅用一次，黑客竊取了也無用，可有效解決密碼被盜問題。目前在中國銀行和興業(yè)銀行應(yīng)用了動態(tài)密碼技術(shù)。據(jù)了解，全球500強企業(yè)80%以上，采用了動態(tài)密碼身份認證技術(shù)，以保護企業(yè)信息資產(chǎn)安全；瑞士銀行、花旗、匯豐、荷蘭等境外金融機構(gòu)，都采用動態(tài)密碼身份認證技術(shù)保護賬戶信息及資金安全。4.4.3木馬的分類 2.網(wǎng)銀木馬。網(wǎng)銀超級木馬是中4.4.3木馬的分類3.即時通訊軟件木馬。發(fā)送消息，傳播惡意網(wǎng)址；盜號；傳播自身，點擊中毒；“QQ尾巴”從本質(zhì)上應(yīng)該是種惡意病毒。此病毒其實是在一些惡意網(wǎng)站上嵌入了一段惡意代碼，利用Windows系統(tǒng)下的InternetExplorer的iFrame系統(tǒng)漏洞自動運行惡意木馬程序，從而達到侵入用戶系統(tǒng)，讓用戶運行惡意程序這些運行了的而已程序會留在用戶的系統(tǒng)中，進而借助QQ發(fā)用垃圾信息的目的。病毒程序自動監(jiān)控QQ聊天窗口，發(fā)送按鈕等。當用戶發(fā)送消息時他就將之截獲，并在后面添加病毒自身指定的內(nèi)容再發(fā)送出去，這樣就成了“QQ尾巴”。4.4.3木馬的分類3.即時通訊軟件木馬。發(fā)送消息，4、網(wǎng)頁點擊類木馬。惡意模擬用戶點擊廣告動作，在短時間內(nèi)產(chǎn)生數(shù)以萬計的點擊量，從而進行網(wǎng)站的惡意推廣或者賺取高額的推廣費用，或攻擊競爭對手，使其產(chǎn)生高額的推廣費用。主要是由于搜索引擎的根據(jù)點擊等情況進行排名的設(shè)計，同時也包括了百度的競價排名，推廣廣告按照點擊率收費等商業(yè)模式引起的可以通過在熱點論壇掛馬（點開網(wǎng)頁后自動彈出重定向的廣告網(wǎng)頁），肉雞惡意點擊，ADSL動態(tài)地址惡意點擊（收費按照ip或物理地址收費，單位時間內(nèi)點多了也無效）4.4.3木馬的分類4、網(wǎng)頁點擊類木馬。惡意模擬用戶點擊廣告動作，在短時間內(nèi)產(chǎn)生5、下載類木馬。體積一般較小，主要是用來從網(wǎng)絡(luò)上下載其他病毒程序或安裝廣告軟件。如灰鴿子木馬?；银澴舆h程監(jiān)控軟件分兩部分：客戶端和服務(wù)端。黑客操縱著客戶端，利用客戶端配置生成出一個服務(wù)端程序。服務(wù)端文件的名字默認為G_Server.exe，然后黑客通過各種渠道傳播這個服務(wù)端（俗稱種木馬）。比如，黑客可以將它與一張圖片綁定，然后假冒成一個羞澀的MM通過QQ把木馬傳給你，誘騙你運行；也可以建立一個個人網(wǎng)頁，誘騙你點擊，利用IE漏洞把木馬下載到你的機器上并運行；還可以將文件上傳到某個軟件下載站點，冒充成一個有趣的軟件誘騙用戶下載……，這正違背了我們開發(fā)灰鴿子的目的。Game_Hook.DLL是灰鴿子的文件，則在操作系統(tǒng)安裝目錄下還會有Game.exe和Game.dll文件。打開Windows目錄，果然有這兩個文件，同時還有一個用于記錄鍵盤操作的GameKey.dll文件。4.4.3木馬的分類5、下載類木馬。體積一般較小，主要是用來從網(wǎng)絡(luò)上下載其他病毒6、代理類木馬。用戶感染代理木馬后，會在本機開啟HTTP、SOCKET等代理服務(wù)功能。黑客把受感染的計算機作為跳板（肉雞），以被感染用戶的身份進行黑客活動，達到隱藏自己的目的?！按砟抉R”具有自動下載木馬病毒的功能，它們可以根據(jù)病毒編者指定的網(wǎng)址下載木馬病毒或其他惡意軟件，還可以通過網(wǎng)絡(luò)和移動存儲介質(zhì)傳播。一旦感染系統(tǒng)后，當系統(tǒng)接入互聯(lián)網(wǎng)，再從指定的網(wǎng)址下載其他木馬、病毒等惡意軟件，下載的病毒或木馬可能會盜取用戶的賬號、密碼等信息并發(fā)送到黑客指定的信箱或者網(wǎng)頁中。4.4.3木馬的分類6、代理類木馬。用戶感染代理木馬后，會在本機開啟HTTP、S4.4.4木馬的特征1.隱蔽性。不產(chǎn)生圖標；自動在任務(wù)管理器中隱藏，并以“系統(tǒng)服務(wù)”的方式欺騙操作系統(tǒng)。2.自動運行性。加入啟動配置文件3.欺騙性。借助系統(tǒng)中已有的文件，以防被發(fā)現(xiàn)。如仿制一些不易被人區(qū)別的文件名，“I”，“1”，字母“O”和“0”，大小寫等，偽裝成解壓縮文件等。4.自動恢復(fù)。具有多重備份，可以相互恢復(fù)。5.自動打開特別的端口。開放端口，通常大于10246.功能的特殊性。除具有普通的文件操作外，還有搜索cache中的口令，設(shè)置口令，掃描目標機器的ip地址，進行鍵盤記錄，遠程注冊表操作，鎖定鼠標等。7.黑客組織趨于公開化。擁有網(wǎng)站，公開招人。4.4.4木馬的特征1.隱蔽性。不產(chǎn)生圖標；自動在任4.5木馬的攻擊防護技術(shù)4.5.1常見木馬的應(yīng)用1.系統(tǒng)病毒2.蠕蟲病毒3.木馬病毒、黑客病毒4.腳本病毒。使用腳本語言編寫，通過網(wǎng)頁傳播5.宏病毒6.后門病毒7.病毒種植程序病毒。從體內(nèi)釋放多個新病毒8.破壞性程序病毒9.玩笑病毒。嚇唬人10.捆綁機病毒。與特定程序捆綁，如qq，ie4.5木馬的攻擊防護技術(shù)4.5.1常見木馬的應(yīng)用4.5.2木馬的加殼與脫殼1.什么是加殼加殼一般是指保護程序資源的方法，全稱是可執(zhí)行程序資源壓縮。殼是指在一個程序的外面再包裹上另外一段代碼，保護里面的代碼不被非法修改或反編譯的程序。他們一般都是先于程序運行，拿到控制權(quán)，然后完成他們保護軟件的任務(wù)。加殼過的程序可以直接運行，但不能查看源代碼，要經(jīng)過脫殼才可查看源代碼。加殼的另一種常用方式是在二進制的程序中植入一段代碼，在運行的時候有限缺的程序的控制權(quán)，做一些額外的工作。大多數(shù)病毒就是基于此原理。加殼的程序經(jīng)常想盡辦法阻止對程序的反編譯分析或者動態(tài)分析，以達到它不可告人的目的。常見應(yīng)用包括：（1）來保護軟件版權(quán)，防止軟件被破解或修改版權(quán)信息。（2）需要把程序搞的小一點，從而方便使用。于是，需要用到一些軟件，它們能將exe可執(zhí)行文件壓縮。（3）在黑客界給木馬等軟件加殼脫殼以躲避殺毒軟件。4.5.2木馬的加殼與脫殼1.什么是加殼加殼的原理加殼：其實是利用特殊的算法，對exe、dll文件里的資源進行壓縮，加密。類似winrar的效果，只不過這個壓縮后的文件，可以獨立運行，解壓過程完全隱藏，都在內(nèi)存中完成。殼附加在原程序上通過windows加載器載入內(nèi)存后，先于原程序執(zhí)行，得到控制權(quán)，執(zhí)行過程中對原始程序進行解密，還原，還原后再把控制權(quán)交給原始程序，執(zhí)行原來的代碼部分。加上外殼后，原始程序代碼在磁盤文件中一般是以加密后的形式存在的，只在執(zhí)行時在內(nèi)存中還原，這樣可以比較有效的防止破解者對程序文件的非法修改，同時也可以防止程序被靜態(tài)反編譯。加殼的原理加殼：其實是利用特殊的算法，對exe、dll文件里解壓原理是加殼工具在文件頭里加了一段指令，告訴CPU，怎么才能解壓自己。通常說的對外殼加密，都是指通過網(wǎng)上免費或者非免費的軟件，被一些專門的加殼程序加殼，基本上是對程序的壓縮或者不壓縮。因為有的時候程序會很大，需要壓縮。但是大部分程序是因為防止反跟蹤，防止程序被人跟蹤調(diào)試，防止算法程序不想被別人靜態(tài)分析。加密代碼和數(shù)據(jù)，保護你的程序數(shù)據(jù)的完整性。加殼雖然增加了CPU的負擔(dān)，但是減少了硬盤的讀寫時間，實際應(yīng)用時加殼以后程序的運行速度更快。Rar和zip都是壓縮軟件，但不是加殼工具，他們解壓時是需要進行磁盤讀寫，“殼”的解壓縮是直接在內(nèi)存中進行的，用rar或者zip壓縮一個病毒，在解壓縮的時候殺毒軟件肯定會發(fā)現(xiàn)，而用加殼手段封裝老木馬，能發(fā)現(xiàn)的殺毒軟件就很少了。解壓原理是加殼工具在文件頭里加了一段指令，告訴CPU，怎么才加殼軟件的分類加殼工具通常分為壓縮殼和加密殼兩類壓縮殼的特點是減小軟件體積大小，加密保護不是重點。加密殼種類比較多，不同殼的側(cè)重點不同，一些殼單純保護程序，另一些殼提供額外的功能，