第8章抗惡意軟件

第8章抗惡意軟件第8章內(nèi)容概要8.1病毒8.2蠕蟲8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對等網(wǎng)絡(luò)安全問題8.7萬維網(wǎng)安全問題8.8分布式拒絕服務(wù)攻擊定義《中華人民共和國計算機信息系統(tǒng)安全保護條例》對計算機病毒的定義規(guī)定如下：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。”特點傳染性、破壞性、隱蔽性、潛伏性、觸發(fā)性、多樣性一般不能自我執(zhí)行傳播常常需要一個主機程序寄生特定于

針對具體的文件系統(tǒng),文件格式和操作系統(tǒng)針對具體的計算機體系結(jié)構(gòu),CPU,語言,宏,腳本,調(diào)試器,和其它程序或系統(tǒng)環(huán)境病毒(Viruses)計算機感染病毒后的常見癥狀非連網(wǎng)狀態(tài)下連網(wǎng)狀態(tài)下無法開機不能上網(wǎng)計算機藍屏殺毒軟件不能正常升級開機啟動速度變慢自動彈出多個網(wǎng)頁系統(tǒng)運行速度慢非連網(wǎng)狀態(tài)下的一切異?，F(xiàn)象無法找到硬盤分區(qū)（以下類似不連網(wǎng)情形）開機后彈出異常提示信息或聲音文件名稱、擴展名、日期以及屬性等被非人為更改過數(shù)據(jù)非常規(guī)丟失或損壞無法打開、讀取、操作文件硬盤存儲空間意外變小計算機無故死機或自動重啟CPU利用率接近100%或內(nèi)存占用值居高不下計算機自動關(guān)機病毒類型基于主機程序（載體）分類:引導區(qū)病毒:在引導區(qū)感染引導程序利用引導序列激活自己修改操作系統(tǒng)攔截磁盤訪問并感染其它磁盤也可能感染PC的可寫B(tài)IOS文件系統(tǒng)病毒:感染文件系統(tǒng)，改寫文件指針表項并通過文件系統(tǒng)傳播文件系統(tǒng)包含一個指針表，指向一個文件的第一個簇文件格式病毒:文件型病毒，感染單個文件宏病毒:感染包含宏指令編碼的文件腳本病毒:感染腳本文件：Unix腳本、VBScript、JavaScript、批處理文件(.bat)、在郵件附件、辦公文檔和Web文檔中復(fù)制自己注冊表病毒:感染微軟Windows的注冊表內(nèi)存病毒:感染在內(nèi)存中執(zhí)行的程序，駐留在內(nèi)存中基于生存形式分類:隱蔽型病毒:隱匿在載體內(nèi)（通常用壓縮來實現(xiàn)）、隱藏文件、隱藏進程多形態(tài)病毒:可能改變指令順序或者將自己加密成不同的形式變形病毒:會在復(fù)制過程中自動改寫成不同形式病毒類型(續(xù))病毒感染方式病毒常以兩種方式感染載體：改寫改寫一個程序的片段嵌入將其插入一個未感染程序的頭部，中間或尾部也可將自己分為多片并插入主機程序的不同位置病毒和主機程序具有相同的訪問權(quán)限無論病毒出現(xiàn)在載體哪個位置，通常都會在載體的入口處嵌入一個轉(zhuǎn)向語句，直接指向病毒代碼當載體被執(zhí)行時，首先運行病毒程序，然后才運行載體原來的程序。病毒感染方案(圖示)計算機病毒的生命周期計算機病毒的生命周期分為：潛伏期等待載體被執(zhí)行傳染期病毒載體開始運行后，病毒代碼自我復(fù)制到其它載體發(fā)作期病毒代碼被執(zhí)行，產(chǎn)生破壞。發(fā)作與傳染常同時發(fā)生病毒結(jié)構(gòu)由四個主要的子程序構(gòu)成感染子程序搜索載體檢測是否被感染，將病毒代碼植入其中感染-條件子程序列出病毒在什么情況下開始傳染發(fā)作子程序定義具體的破壞指令，執(zhí)行具體的破壞操作發(fā)作-條件子程序列出病毒在什么情況下開始發(fā)作載體壓縮病毒一個被感染的主機文件常常在被感染前后表現(xiàn)出不同的文件大小載體壓縮病毒試圖掩蓋這種變化在感染期間壓縮主機文件在發(fā)作期間解壓縮文件如果被壓縮的主機文件加上病毒代碼仍小于文件的原始大小，則需要填充病毒的傳播

兩大類傳播途徑：通過便攜存儲設(shè)備傳播

磁盤,閃存,CDs關(guān)鍵：存儲設(shè)備中的病毒程序（文件）網(wǎng)絡(luò)傳播通過電子郵件傳播許多電子郵件程序和用戶通常會不加防備的盲目打開附件通過網(wǎng)頁傳播利用Java、ActiveX、VBScript等技術(shù)，將病毒嵌入到網(wǎng)頁主動傳播利用系統(tǒng)漏洞，通過網(wǎng)絡(luò)主動的將自己擴散出去。計算機病毒的網(wǎng)絡(luò)傳播方式第8章內(nèi)容概要8.1病毒8.2蠕蟲8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對等網(wǎng)絡(luò)安全問題8.7萬維網(wǎng)安全問題8.8分布式拒絕服務(wù)攻擊蠕蟲(Worms)蠕蟲病毒：一種通過網(wǎng)絡(luò)傳播的惡性病毒，具有病毒的共性，與一般病毒不同的是，蠕蟲可單獨生存，不必依附于任何形式的載體（有的只存在于內(nèi)存中）即可自我復(fù)制，可以在短時間內(nèi)迅速蔓延至整個網(wǎng)絡(luò)。獨立性、主動性蠕蟲(Worms)蠕蟲的主要傳播方式：利用系統(tǒng)的漏洞，通過網(wǎng)絡(luò)主動的將自己傳播出去掃描網(wǎng)絡(luò)中主機的信息，攻擊系統(tǒng)中存在的漏洞利用電子郵件傳播電子郵件附件是傳播病毒和蠕蟲的主要途徑大多數(shù)蠕蟲包含兩個子程序目標定位器子程序:尋找新的目標主機感染傳播子程序?qū)⒆约簭?fù)制到目標主機蠕蟲實例莫里斯（Morris）蠕蟲1988年出現(xiàn)，最早的蠕蟲利用UNIX的sendmail,

finger和rsh/rexec等系統(tǒng)程序的缺陷通過用戶目錄中包含的其他用戶登錄信息和電子郵件地址進行傳播盡可能快的感染更多計算機雖無蓄意破壞，但因傳染快造成服務(wù)阻斷蠕蟲實例梅麗莎（Melissa）蠕蟲1999年出現(xiàn)，第一個被廣泛報道的針對微軟產(chǎn)品的蠕蟲一種針對微軟產(chǎn)品的宏指令病毒，危害包含在word中，以電子郵件附件傳播傳播迅速，造成了大量的Email流量紅色代碼（CodeRed）蠕蟲2001年出現(xiàn),一種新型網(wǎng)絡(luò)病毒，將蠕蟲、病毒和木馬合為一體在24小時內(nèi)感染了大約30萬計算機利用了微軟IIS的一個緩沖區(qū)溢出漏洞隨機挑選IP地址，并檢查這個IP地址的主機是否打開可被利用的端口進行傳播，電子郵件附件電子郵件附件是病毒和蠕蟲病毒傳播的主要途徑根據(jù)附件類型（附件的擴展名）可大致判斷附件是否可能包含病毒或蠕蟲（但只能作為初步判斷）電子郵件附件（大致）可分為三類安全附件不可執(zhí)行,不是宏謹防附件包含宏或者可執(zhí)行代碼，依賴于發(fā)送者危險附件不能打開第8章內(nèi)容概要8.1病毒8.2蠕蟲8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對等網(wǎng)絡(luò)安全問題8.7萬維網(wǎng)安全問題8.8分布式拒絕服務(wù)攻擊病毒防御預(yù)防:及時安裝軟件補丁安裝殺毒軟件不要從不可信的Web站點下載軟件不隨便打開危險的郵件附件不輕易打開陌生人發(fā)來的電子郵件打開移動存儲設(shè)備應(yīng)謹慎修復(fù):殺毒軟件掃描殺毒、手工殺毒（注意外存、內(nèi)存交叉感染）備份標準掃描方法基本掃描在主機文件中搜索知名病毒的特征檢查系統(tǒng)文件的大小啟發(fā)式掃描在可執(zhí)行文件中搜索可疑代碼片段完整性校驗值檢查（ICV）對每個可執(zhí)行文件計算ICV，附在文件后以備隨后校驗行為監(jiān)控評估可執(zhí)行程序的行為病毒檢測軟件通常將以上殺毒方法結(jié)合起來使用第8章內(nèi)容概要8.1病毒8.2蠕蟲8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對等網(wǎng)絡(luò)安全問題8.7萬維網(wǎng)安全問題8.8分布式拒絕服務(wù)攻擊特洛伊木馬（trojan

horse

）是指被植入主機中可以用來悄悄控制該主機的一段特定的程序不能自我復(fù)制需要引導用戶去執(zhí)行木馬有兩個程序：一個客戶端程序：控制端一個服務(wù)器端程序：被控制端可能造成如下危害:在被侵入的主機系統(tǒng)中安裝后門軟件安裝間諜軟件搜集用戶的銀行帳號和其它隱私信息給主機安裝病毒或其它惡意代碼刪除或修改用戶文件特洛伊木馬第8章內(nèi)容概要8.1病毒8.2蠕蟲8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對等網(wǎng)絡(luò)安全問題8.7萬維網(wǎng)安全問題8.8分布式拒絕服務(wù)攻擊網(wǎng)絡(luò)騙局欺騙用戶去做一些他們通常本不會去做的事情通常以電子郵件形式出現(xiàn)，目的是騙取錢財或信任利用用戶的好奇心、貪心或同情心例:“你中病毒了!”冒充權(quán)威機構(gòu)謊稱你的系統(tǒng)中毒了要求你安裝某所謂處理程序或要求你刪除某些系統(tǒng)文件，或注冊表中的某些項目針對網(wǎng)絡(luò)騙局的對策是置之不理天下沒有免費的午餐!!第8章內(nèi)容概要8.1病毒8.2蠕蟲8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對等網(wǎng)絡(luò)安全問題8.7萬維網(wǎng)安全問題8.8分布式拒絕服務(wù)攻擊點對點安全客戶-服務(wù)器拓撲:少數(shù)的服務(wù)器為大量客戶提供服務(wù)P2P拓撲:自組織網(wǎng)絡(luò),每個計算機既扮演是客戶端又是服務(wù)器點對點安全安全弱點:版權(quán)問題：或造成侵權(quán)帶寬問題及本地存儲資源安全問題—開放端口點對點軟件會開啟一個特定的端口，用于下載與上傳文件此開放端口可能會為特洛伊木馬，病毒，或其它惡意軟件打開一個后門安全措施:僅安裝官方點對點軟件在打開下載的軟件之前，先用殺毒軟件掃描在公司內(nèi)部不允許點對點軟件運行第8章內(nèi)容概要8.1病毒8.2蠕蟲8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對等網(wǎng)絡(luò)安全問題8.7萬維網(wǎng)安全問題8.8分布式拒絕服務(wù)攻擊Web安全Web文檔的基本類型:靜態(tài)文檔:一個沒有可執(zhí)行代碼的Web文檔下載是安全的動態(tài)文檔:包含可執(zhí)行代碼的Web文檔在服務(wù)器上執(zhí)行CGI（或ASP\JSP\PHP等動態(tài)網(wǎng)頁技術(shù)）下載執(zhí)行結(jié)果給客戶端主動文檔:也包含可執(zhí)行代碼，但運行在客戶端主機下載完整的代碼運行Web文檔的安全服務(wù)端:安全問題篡改網(wǎng)頁、竊取內(nèi)部數(shù)據(jù)、在網(wǎng)頁中植入惡意代碼。不安全因素：服務(wù)器操作系統(tǒng)漏洞Web服務(wù)程序SQL等漏洞安全措施:使用最新版本的服務(wù)器軟件嚴格管理CGI程序和存儲CGI程序的目錄禁止普通用戶向Web服務(wù)器目錄提交CGI程序客戶端:可能會因為主動文檔或Web瀏覽器程序存在漏洞而受到攻擊安全措施:安裝瀏覽器補丁禁用瀏覽器的JavaScript禁用瀏覽器的JavaappletsCookiesWeb瀏覽器是不記錄狀態(tài)的對每個URL請求，服務(wù)器都會建立一個新的TCP連接，下載所需網(wǎng)頁，然后終止TCP連接即便相鄰的兩次訪問同一個網(wǎng)頁也應(yīng)如此若所訪問的網(wǎng)頁及相關(guān)網(wǎng)頁設(shè)有密碼保護，則每次建立TCP連接都需要用戶輸入登錄名和密碼，顯得過于笨拙Cookie用于解決這個問題服務(wù)器用一個Cookie存儲用戶的信息，并傳給用戶的瀏覽器當用戶訪問頁面時，其瀏覽器將訪問請求和相應(yīng)的Cookie一同發(fā)送給網(wǎng)頁服務(wù)器服務(wù)器:必須確保cookies不被惡意使用客戶機:定期清除緩存的cookies間諜軟件間諜軟件是一種能夠在用戶不知情的情況下，在其電腦上安裝后門、收集用戶信息的軟件。間諜軟件可能會收集用戶的信息并發(fā)送給攻擊者監(jiān)控用戶的Web訪問情況并彈出廣告修改瀏覽器的缺省配置并且重定向到特定的網(wǎng)頁對策:設(shè)置防火墻，防止攻擊者植入間諜軟件及時安裝軟件補丁，堵住舊版本中的漏洞謹慎安裝隨軟件附帶的插件安裝反間諜軟件使用IceSword檢查隱藏進程AJAX安全異步JavaScript和XML(AJAX)AJAX通過用戶端主機的JavaScript引擎和服務(wù)端主機的XML網(wǎng)頁來達到網(wǎng)頁平滑更新的效果例:GoogleMaps與傳統(tǒng)的Web應(yīng)用一樣面臨相同的安全問題大都來源于軟件缺陷，如：跨站腳本攻擊：利用網(wǎng)站漏洞，在鏈接網(wǎng)頁中插入惡意代碼，引誘用戶點擊訪問，盜取用戶信息silentcallsandcookies：AJAX可以不經(jīng)用戶同意私下與服務(wù)端主機通話，并每個連接都重用同一個cookie安全上網(wǎng)只從可信的Web站點下載軟件不要點擊彈出窗口的任何按鈕在安裝和運行軟件之前，閱讀隱私說明，授權(quán)說明和安全警告

，找出可能存在的風險不要從受密碼保護的站點內(nèi)訪問其他不同地址的站點不要訪問可疑的Web站點第8章內(nèi)容概要8.1病毒8.2蠕蟲8.3病毒防治8.4特洛伊木馬8.5網(wǎng)絡(luò)騙局8.6對等網(wǎng)絡(luò)安全問題8.7萬維網(wǎng)安全問題8.8分布式拒絕服務(wù)攻擊主-從式DD