第8章抗惡意軟件

第8章抗惡意軟件第8章內(nèi)容概要8.1病毒8.2蠕蟲(chóng)8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對(duì)等網(wǎng)絡(luò)安全問(wèn)題8.7萬(wàn)維網(wǎng)安全問(wèn)題8.8分布式拒絕服務(wù)攻擊定義《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》對(duì)計(jì)算機(jī)病毒的定義規(guī)定如下：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！碧攸c(diǎn)傳染性、破壞性、隱蔽性、潛伏性、觸發(fā)性、多樣性一般不能自我執(zhí)行傳播常常需要一個(gè)主機(jī)程序寄生特定于

針對(duì)具體的文件系統(tǒng),文件格式和操作系統(tǒng)針對(duì)具體的計(jì)算機(jī)體系結(jié)構(gòu),CPU,語(yǔ)言,宏,腳本,調(diào)試器,和其它程序或系統(tǒng)環(huán)境病毒(Viruses)計(jì)算機(jī)感染病毒后的常見(jiàn)癥狀非連網(wǎng)狀態(tài)下連網(wǎng)狀態(tài)下無(wú)法開(kāi)機(jī)不能上網(wǎng)計(jì)算機(jī)藍(lán)屏殺毒軟件不能正常升級(jí)開(kāi)機(jī)啟動(dòng)速度變慢自動(dòng)彈出多個(gè)網(wǎng)頁(yè)系統(tǒng)運(yùn)行速度慢非連網(wǎng)狀態(tài)下的一切異常現(xiàn)象無(wú)法找到硬盤(pán)分區(qū)（以下類(lèi)似不連網(wǎng)情形）開(kāi)機(jī)后彈出異常提示信息或聲音文件名稱(chēng)、擴(kuò)展名、日期以及屬性等被非人為更改過(guò)數(shù)據(jù)非常規(guī)丟失或損壞無(wú)法打開(kāi)、讀取、操作文件硬盤(pán)存儲(chǔ)空間意外變小計(jì)算機(jī)無(wú)故死機(jī)或自動(dòng)重啟CPU利用率接近100%或內(nèi)存占用值居高不下計(jì)算機(jī)自動(dòng)關(guān)機(jī)病毒類(lèi)型基于主機(jī)程序（載體）分類(lèi):引導(dǎo)區(qū)病毒:在引導(dǎo)區(qū)感染引導(dǎo)程序利用引導(dǎo)序列激活自己修改操作系統(tǒng)攔截磁盤(pán)訪問(wèn)并感染其它磁盤(pán)也可能感染PC的可寫(xiě)B(tài)IOS文件系統(tǒng)病毒:感染文件系統(tǒng)，改寫(xiě)文件指針表項(xiàng)并通過(guò)文件系統(tǒng)傳播文件系統(tǒng)包含一個(gè)指針表，指向一個(gè)文件的第一個(gè)簇文件格式病毒:文件型病毒，感染單個(gè)文件宏病毒:感染包含宏指令編碼的文件腳本病毒:感染腳本文件：Unix腳本、VBScript、JavaScript、批處理文件(.bat)、在郵件附件、辦公文檔和Web文檔中復(fù)制自己注冊(cè)表病毒:感染微軟Windows的注冊(cè)表內(nèi)存病毒:感染在內(nèi)存中執(zhí)行的程序，駐留在內(nèi)存中基于生存形式分類(lèi):隱蔽型病毒:隱匿在載體內(nèi)（通常用壓縮來(lái)實(shí)現(xiàn)）、隱藏文件、隱藏進(jìn)程多形態(tài)病毒:可能改變指令順序或者將自己加密成不同的形式變形病毒:會(huì)在復(fù)制過(guò)程中自動(dòng)改寫(xiě)成不同形式病毒類(lèi)型(續(xù))病毒感染方式病毒常以?xún)煞N方式感染載體：改寫(xiě)改寫(xiě)一個(gè)程序的片段嵌入將其插入一個(gè)未感染程序的頭部，中間或尾部也可將自己分為多片并插入主機(jī)程序的不同位置病毒和主機(jī)程序具有相同的訪問(wèn)權(quán)限無(wú)論病毒出現(xiàn)在載體哪個(gè)位置，通常都會(huì)在載體的入口處嵌入一個(gè)轉(zhuǎn)向語(yǔ)句，直接指向病毒代碼當(dāng)載體被執(zhí)行時(shí)，首先運(yùn)行病毒程序，然后才運(yùn)行載體原來(lái)的程序。病毒感染方案(圖示)計(jì)算機(jī)病毒的生命周期計(jì)算機(jī)病毒的生命周期分為：潛伏期等待載體被執(zhí)行傳染期病毒載體開(kāi)始運(yùn)行后，病毒代碼自我復(fù)制到其它載體發(fā)作期病毒代碼被執(zhí)行，產(chǎn)生破壞。發(fā)作與傳染常同時(shí)發(fā)生病毒結(jié)構(gòu)由四個(gè)主要的子程序構(gòu)成感染子程序搜索載體檢測(cè)是否被感染，將病毒代碼植入其中感染-條件子程序列出病毒在什么情況下開(kāi)始傳染發(fā)作子程序定義具體的破壞指令，執(zhí)行具體的破壞操作發(fā)作-條件子程序列出病毒在什么情況下開(kāi)始發(fā)作載體壓縮病毒一個(gè)被感染的主機(jī)文件常常在被感染前后表現(xiàn)出不同的文件大小載體壓縮病毒試圖掩蓋這種變化在感染期間壓縮主機(jī)文件在發(fā)作期間解壓縮文件如果被壓縮的主機(jī)文件加上病毒代碼仍小于文件的原始大小，則需要填充病毒的傳播

兩大類(lèi)傳播途徑：通過(guò)便攜存儲(chǔ)設(shè)備傳播

磁盤(pán),閃存,CDs關(guān)鍵：存儲(chǔ)設(shè)備中的病毒程序（文件）網(wǎng)絡(luò)傳播通過(guò)電子郵件傳播許多電子郵件程序和用戶(hù)通常會(huì)不加防備的盲目打開(kāi)附件通過(guò)網(wǎng)頁(yè)傳播利用Java、ActiveX、VBScript等技術(shù)，將病毒嵌入到網(wǎng)頁(yè)主動(dòng)傳播利用系統(tǒng)漏洞，通過(guò)網(wǎng)絡(luò)主動(dòng)的將自己擴(kuò)散出去。計(jì)算機(jī)病毒的網(wǎng)絡(luò)傳播方式第8章內(nèi)容概要8.1病毒8.2蠕蟲(chóng)8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對(duì)等網(wǎng)絡(luò)安全問(wèn)題8.7萬(wàn)維網(wǎng)安全問(wèn)題8.8分布式拒絕服務(wù)攻擊蠕蟲(chóng)(Worms)蠕蟲(chóng)病毒：一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，具有病毒的共性，與一般病毒不同的是，蠕蟲(chóng)可單獨(dú)生存，不必依附于任何形式的載體（有的只存在于內(nèi)存中）即可自我復(fù)制，可以在短時(shí)間內(nèi)迅速蔓延至整個(gè)網(wǎng)絡(luò)。獨(dú)立性、主動(dòng)性蠕蟲(chóng)(Worms)蠕蟲(chóng)的主要傳播方式：利用系統(tǒng)的漏洞，通過(guò)網(wǎng)絡(luò)主動(dòng)的將自己傳播出去掃描網(wǎng)絡(luò)中主機(jī)的信息，攻擊系統(tǒng)中存在的漏洞利用電子郵件傳播電子郵件附件是傳播病毒和蠕蟲(chóng)的主要途徑大多數(shù)蠕蟲(chóng)包含兩個(gè)子程序目標(biāo)定位器子程序:尋找新的目標(biāo)主機(jī)感染傳播子程序?qū)⒆约簭?fù)制到目標(biāo)主機(jī)蠕蟲(chóng)實(shí)例莫里斯（Morris）蠕蟲(chóng)1988年出現(xiàn)，最早的蠕蟲(chóng)利用UNIX的sendmail,

finger和rsh/rexec等系統(tǒng)程序的缺陷通過(guò)用戶(hù)目錄中包含的其他用戶(hù)登錄信息和電子郵件地址進(jìn)行傳播盡可能快的感染更多計(jì)算機(jī)雖無(wú)蓄意破壞，但因傳染快造成服務(wù)阻斷蠕蟲(chóng)實(shí)例梅麗莎（Melissa）蠕蟲(chóng)1999年出現(xiàn)，第一個(gè)被廣泛報(bào)道的針對(duì)微軟產(chǎn)品的蠕蟲(chóng)一種針對(duì)微軟產(chǎn)品的宏指令病毒，危害包含在word中，以電子郵件附件傳播傳播迅速，造成了大量的Email流量紅色代碼（CodeRed）蠕蟲(chóng)2001年出現(xiàn),一種新型網(wǎng)絡(luò)病毒，將蠕蟲(chóng)、病毒和木馬合為一體在24小時(shí)內(nèi)感染了大約30萬(wàn)計(jì)算機(jī)利用了微軟IIS的一個(gè)緩沖區(qū)溢出漏洞隨機(jī)挑選IP地址，并檢查這個(gè)IP地址的主機(jī)是否打開(kāi)可被利用的端口進(jìn)行傳播，電子郵件附件電子郵件附件是病毒和蠕蟲(chóng)病毒傳播的主要途徑根據(jù)附件類(lèi)型（附件的擴(kuò)展名）可大致判斷附件是否可能包含病毒或蠕蟲(chóng)（但只能作為初步判斷）電子郵件附件（大致）可分為三類(lèi)安全附件不可執(zhí)行,不是宏謹(jǐn)防附件包含宏或者可執(zhí)行代碼，依賴(lài)于發(fā)送者危險(xiǎn)附件不能打開(kāi)第8章內(nèi)容概要8.1病毒8.2蠕蟲(chóng)8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對(duì)等網(wǎng)絡(luò)安全問(wèn)題8.7萬(wàn)維網(wǎng)安全問(wèn)題8.8分布式拒絕服務(wù)攻擊病毒防御預(yù)防:及時(shí)安裝軟件補(bǔ)丁安裝殺毒軟件不要從不可信的Web站點(diǎn)下載軟件不隨便打開(kāi)危險(xiǎn)的郵件附件不輕易打開(kāi)陌生人發(fā)來(lái)的電子郵件打開(kāi)移動(dòng)存儲(chǔ)設(shè)備應(yīng)謹(jǐn)慎修復(fù):殺毒軟件掃描殺毒、手工殺毒（注意外存、內(nèi)存交叉感染）備份標(biāo)準(zhǔn)掃描方法基本掃描在主機(jī)文件中搜索知名病毒的特征檢查系統(tǒng)文件的大小啟發(fā)式掃描在可執(zhí)行文件中搜索可疑代碼片段完整性校驗(yàn)值檢查（ICV）對(duì)每個(gè)可執(zhí)行文件計(jì)算ICV，附在文件后以備隨后校驗(yàn)行為監(jiān)控評(píng)估可執(zhí)行程序的行為病毒檢測(cè)軟件通常將以上殺毒方法結(jié)合起來(lái)使用第8章內(nèi)容概要8.1病毒8.2蠕蟲(chóng)8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對(duì)等網(wǎng)絡(luò)安全問(wèn)題8.7萬(wàn)維網(wǎng)安全問(wèn)題8.8分布式拒絕服務(wù)攻擊特洛伊木馬（trojan

horse

）是指被植入主機(jī)中可以用來(lái)悄悄控制該主機(jī)的一段特定的程序不能自我復(fù)制需要引導(dǎo)用戶(hù)去執(zhí)行木馬有兩個(gè)程序：一個(gè)客戶(hù)端程序：控制端一個(gè)服務(wù)器端程序：被控制端可能造成如下危害:在被侵入的主機(jī)系統(tǒng)中安裝后門(mén)軟件安裝間諜軟件搜集用戶(hù)的銀行帳號(hào)和其它隱私信息給主機(jī)安裝病毒或其它惡意代碼刪除或修改用戶(hù)文件特洛伊木馬第8章內(nèi)容概要8.1病毒8.2蠕蟲(chóng)8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對(duì)等網(wǎng)絡(luò)安全問(wèn)題8.7萬(wàn)維網(wǎng)安全問(wèn)題8.8分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)騙局欺騙用戶(hù)去做一些他們通常本不會(huì)去做的事情通常以電子郵件形式出現(xiàn)，目的是騙取錢(qián)財(cái)或信任利用用戶(hù)的好奇心、貪心或同情心例:“你中病毒了!”冒充權(quán)威機(jī)構(gòu)謊稱(chēng)你的系統(tǒng)中毒了要求你安裝某所謂處理程序或要求你刪除某些系統(tǒng)文件，或注冊(cè)表中的某些項(xiàng)目針對(duì)網(wǎng)絡(luò)騙局的對(duì)策是置之不理天下沒(méi)有免費(fèi)的午餐!!第8章內(nèi)容概要8.1病毒8.2蠕蟲(chóng)8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對(duì)等網(wǎng)絡(luò)安全問(wèn)題8.7萬(wàn)維網(wǎng)安全問(wèn)題8.8分布式拒絕服務(wù)攻擊點(diǎn)對(duì)點(diǎn)安全客戶(hù)-服務(wù)器拓?fù)?少數(shù)的服務(wù)器為大量客戶(hù)提供服務(wù)P2P拓?fù)?自組織網(wǎng)絡(luò),每個(gè)計(jì)算機(jī)既扮演是客戶(hù)端又是服務(wù)器點(diǎn)對(duì)點(diǎn)安全安全弱點(diǎn):版權(quán)問(wèn)題：或造成侵權(quán)帶寬問(wèn)題及本地存儲(chǔ)資源安全問(wèn)題—開(kāi)放端口點(diǎn)對(duì)點(diǎn)軟件會(huì)開(kāi)啟一個(gè)特定的端口，用于下載與上傳文件此開(kāi)放端口可能會(huì)為特洛伊木馬，病毒，或其它惡意軟件打開(kāi)一個(gè)后門(mén)安全措施:僅安裝官方點(diǎn)對(duì)點(diǎn)軟件在打開(kāi)下載的軟件之前，先用殺毒軟件掃描在公司內(nèi)部不允許點(diǎn)對(duì)點(diǎn)軟件運(yùn)行第8章內(nèi)容概要8.1病毒8.2蠕蟲(chóng)8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對(duì)等網(wǎng)絡(luò)安全問(wèn)題8.7萬(wàn)維網(wǎng)安全問(wèn)題8.8分布式拒絕服務(wù)攻擊Web安全Web文檔的基本類(lèi)型:靜態(tài)文檔:一個(gè)沒(méi)有可執(zhí)行代碼的Web文檔下載是安全的動(dòng)態(tài)文檔:包含可執(zhí)行代碼的Web文檔在服務(wù)器上執(zhí)行CGI（或ASP\JSP\PHP等動(dòng)態(tài)網(wǎng)頁(yè)技術(shù)）下載執(zhí)行結(jié)果給客戶(hù)端主動(dòng)文檔:也包含可執(zhí)行代碼，但運(yùn)行在客戶(hù)端主機(jī)下載完整的代碼運(yùn)行Web文檔的安全服務(wù)端:安全問(wèn)題篡改網(wǎng)頁(yè)、竊取內(nèi)部數(shù)據(jù)、在網(wǎng)頁(yè)中植入惡意代碼。不安全因素：服務(wù)器操作系統(tǒng)漏洞Web服務(wù)程序SQL等漏洞安全措施:使用最新版本的服務(wù)器軟件嚴(yán)格管理CGI程序和存儲(chǔ)CGI程序的目錄禁止普通用戶(hù)向Web服務(wù)器目錄提交CGI程序客戶(hù)端:可能會(huì)因?yàn)橹鲃?dòng)文檔或Web瀏覽器程序存在漏洞而受到攻擊安全措施:安裝瀏覽器補(bǔ)丁禁用瀏覽器的JavaScript禁用瀏覽器的JavaappletsCookiesWeb瀏覽器是不記錄狀態(tài)的對(duì)每個(gè)URL請(qǐng)求，服務(wù)器都會(huì)建立一個(gè)新的TCP連接，下載所需網(wǎng)頁(yè)，然后終止TCP連接即便相鄰的兩次訪問(wèn)同一個(gè)網(wǎng)頁(yè)也應(yīng)如此若所訪問(wèn)的網(wǎng)頁(yè)及相關(guān)網(wǎng)頁(yè)設(shè)有密碼保護(hù)，則每次建立TCP連接都需要用戶(hù)輸入登錄名和密碼，顯得過(guò)于笨拙Cookie用于解決這個(gè)問(wèn)題服務(wù)器用一個(gè)Cookie存儲(chǔ)用戶(hù)的信息，并傳給用戶(hù)的瀏覽器當(dāng)用戶(hù)訪問(wèn)頁(yè)面時(shí)，其瀏覽器將訪問(wèn)請(qǐng)求和相應(yīng)的Cookie一同發(fā)送給網(wǎng)頁(yè)服務(wù)器服務(wù)器:必須確保cookies不被惡意使用客戶(hù)機(jī):定期清除緩存的cookies間諜軟件間諜軟件是一種能夠在用戶(hù)不知情的情況下，在其電腦上安裝后門(mén)、收集用戶(hù)信息的軟件。間諜軟件可能會(huì)收集用戶(hù)的信息并發(fā)送給攻擊者監(jiān)控用戶(hù)的Web訪問(wèn)情況并彈出廣告修改瀏覽器的缺省配置并且重定向到特定的網(wǎng)頁(yè)對(duì)策:設(shè)置防火墻，防止攻擊者植入間諜軟件及時(shí)安裝軟件補(bǔ)丁，堵住舊版本中的漏洞謹(jǐn)慎安裝隨軟件附帶的插件安裝反間諜軟件使用IceSword檢查隱藏進(jìn)程AJAX安全異步JavaScript和XML(AJAX)AJAX通過(guò)用戶(hù)端主機(jī)的JavaScript引擎和服務(wù)端主機(jī)的XML網(wǎng)頁(yè)來(lái)達(dá)到網(wǎng)頁(yè)平滑更新的效果例:GoogleMaps與傳統(tǒng)的Web應(yīng)用一樣面臨相同的安全問(wèn)題大都來(lái)源于軟件缺陷，如：跨站腳本攻擊：利用網(wǎng)站漏洞，在鏈接網(wǎng)頁(yè)中插入惡意代碼，引誘用戶(hù)點(diǎn)擊訪問(wèn)，盜取用戶(hù)信息silentcallsandcookies：AJAX可以不經(jīng)用戶(hù)同意私下與服務(wù)端主機(jī)通話，并每個(gè)連接都重用同一個(gè)cookie安全上網(wǎng)只從可信的Web站點(diǎn)下載軟件不要點(diǎn)擊彈出窗口的任何按鈕在安裝和運(yùn)行軟件之前，閱讀隱私說(shuō)明，授權(quán)說(shuō)明和安全警告

，找出可能存在的風(fēng)險(xiǎn)不要從受密碼保護(hù)的站點(diǎn)內(nèi)訪問(wèn)其他不同地址的站點(diǎn)不要訪問(wèn)可疑的Web站點(diǎn)第8章內(nèi)容概要8.1病毒8.2蠕蟲(chóng)8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對(duì)等網(wǎng)絡(luò)安全問(wèn)題8.7萬(wàn)維網(wǎng)安全問(wèn)題8.8分布式拒絕服務(wù)攻擊主-從式DD