CH07計(jì)算機(jī)病毒與木馬防范技術(shù)

計(jì)算機(jī)病毒與木馬防范技術(shù)第7章本章要點(diǎn)計(jì)算機(jī)病毒、木馬和網(wǎng)頁(yè)惡意代碼是目前影響用戶計(jì)算機(jī)使用安全的主要根源，比網(wǎng)絡(luò)攻擊要廣泛的多。本章介紹計(jì)算機(jī)病毒的基礎(chǔ)知識(shí)、技術(shù)特點(diǎn)，然后有針對(duì)性地介紹反病毒方法，包括使用反病毒軟件、制定合理的反病毒策略等2一、計(jì)算機(jī)病毒概述1、計(jì)算機(jī)病毒的發(fā)展歷程20世紀(jì)70年代，在美國(guó)作家雷恩出版的《P1的青春－TheAdolescenceofP1》一書中，首次勾勒出了病毒程序的藍(lán)圖。20世紀(jì)80年代早期出現(xiàn)了第一批計(jì)算機(jī)病毒。1988年冬天出現(xiàn)了第一個(gè)Internet蠕蟲(chóng)病毒，被命名為MorrisWorm（一種使用自行傳播惡意代碼的惡意軟件，它可以通過(guò)網(wǎng)絡(luò)連接，自動(dòng)將其自身從一臺(tái)計(jì)算機(jī)分發(fā)到另一臺(tái)計(jì)算機(jī)）。1988年11月2日下午5點(diǎn)，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡(luò)有不明入侵者。1991年在“海灣戰(zhàn)爭(zhēng)”中，美軍第一次將計(jì)算機(jī)病毒應(yīng)用于實(shí)戰(zhàn)，正式將病毒作為一種攻擊性“武器”投入使用。90年代網(wǎng)上開(kāi)始出現(xiàn)病毒交流布告欄，成為病毒編寫者合作和共享知識(shí)的平臺(tái)。電子郵件、網(wǎng)站、共享驅(qū)動(dòng)器和產(chǎn)品漏洞都為病毒復(fù)制和攻擊提供了平臺(tái)。2006年末，計(jì)算機(jī)病毒產(chǎn)業(yè)發(fā)生了巨大的變化—從病毒研制到營(yíng)銷過(guò)程完全采用商業(yè)化運(yùn)作，直接以經(jīng)濟(jì)利益為目的傳播病毒，破壞網(wǎng)絡(luò)系統(tǒng)。3一、計(jì)算機(jī)病毒概述2、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)計(jì)算機(jī)病毒具有以下幾個(gè)發(fā)展趨勢(shì)：（1）病毒更新?lián)Q代向多元化發(fā)展（2）依賴網(wǎng)絡(luò)進(jìn)行傳播（3）攻擊方式多樣（郵件，網(wǎng)頁(yè)，局域網(wǎng)等）（4）利用系統(tǒng)漏洞成為病毒有力的傳播方式（5）病毒與黑客技術(shù)相融合。4一、計(jì)算機(jī)病毒概述3、計(jì)算機(jī)病毒的定義和特征《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》定義：計(jì)算機(jī)病毒是指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。特征：（1）可執(zhí)行性（2）傳染性（3）潛伏性（4）可觸發(fā)性（5）針對(duì)性（6）隱蔽性5一、計(jì)算機(jī)病毒概述4、計(jì)算機(jī)病毒的分類按照計(jì)算機(jī)病毒的特點(diǎn)及特性，計(jì)算機(jī)病毒的分類方法有許多種。因此，同一種病毒可能有多種不同的分法。按照計(jì)算機(jī)病毒攻擊的系統(tǒng)分類按照病毒的攻擊機(jī)型分類按照計(jì)算機(jī)病毒的鏈結(jié)方式分類按照計(jì)算機(jī)病毒的破壞情況分類按照計(jì)算機(jī)病毒的寄生部位或傳染對(duì)象分類按照傳播媒介分類6一、計(jì)算機(jī)病毒概述5、計(jì)算機(jī)病毒的危害計(jì)算機(jī)病毒的危害表現(xiàn)在：（1）病毒激發(fā)對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用；（2）占用磁盤空間和對(duì)信息的破壞，如數(shù)據(jù)丟失、系統(tǒng)無(wú)法使用、瀏覽器配置被修改、網(wǎng)絡(luò)無(wú)法使用、受到遠(yuǎn)程控制等。（3）搶占系統(tǒng)資源；（4）影響計(jì)算機(jī)運(yùn)行速度；（5）計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見(jiàn)的危害。計(jì)算機(jī)病毒會(huì)給用戶造成嚴(yán)重的心理壓力，造成業(yè)務(wù)上的損失，甚至?xí)o使用者帶來(lái)法律上的問(wèn)題。7二、計(jì)算機(jī)病毒的結(jié)構(gòu)1、計(jì)算機(jī)病毒的工作流程計(jì)算機(jī)病毒的完整工作過(guò)程應(yīng)包括以下幾個(gè)環(huán)節(jié)和過(guò)程：（1）傳染源。（2）傳染媒介。（3）病毒激活。（4）病毒觸發(fā)。（5）病毒表現(xiàn)。（6）傳染。計(jì)算機(jī)病毒的傳染是以計(jì)算機(jī)系統(tǒng)的運(yùn)行及讀寫磁盤為基礎(chǔ)的。8二、計(jì)算機(jī)病毒的結(jié)構(gòu)2、計(jì)算機(jī)病毒的結(jié)構(gòu)根據(jù)計(jì)算機(jī)病毒的工作流程，可以把病毒分成感染模塊、觸發(fā)模塊、破壞模塊（表現(xiàn)模塊）、引導(dǎo)模塊（主控模塊）等四大模塊。9三、計(jì)算機(jī)病毒的技術(shù)特征1、計(jì)算機(jī)病毒的技術(shù)構(gòu)成(1)駐留內(nèi)存技術(shù)(2)病毒變形及變種(3)抗分析技術(shù)(4)多態(tài)性病毒技術(shù)使用不固定的密鑰或者隨機(jī)數(shù)加密病毒代碼；運(yùn)行的過(guò)程中改變病毒代碼；通過(guò)一些奇怪的指令序列實(shí)現(xiàn)多態(tài)性。(5)網(wǎng)絡(luò)病毒技術(shù)10三、計(jì)算機(jī)病毒的技術(shù)特征2、流行計(jì)算機(jī)病毒(1)蠕蟲(chóng)病毒(2)利用Outlook漏洞編寫病毒(3)網(wǎng)頁(yè)惡意代碼(4)流氓軟件(5)木馬(6)網(wǎng)絡(luò)僵尸11四、計(jì)算機(jī)病毒診斷原理與方法1、工作原理計(jì)算機(jī)病毒防范技術(shù)的工作原理主要有簽名掃描和啟發(fā)式掃描兩種。（1）簽名掃描通過(guò)搜索目標(biāo)（宿主計(jì)算機(jī)、磁盤驅(qū)動(dòng)器或文件）來(lái)查找表示惡意軟件的模式。這些模式通常存儲(chǔ)在被稱為"簽名文件"的文件中，簽名文件由軟件供應(yīng)商定期更新，以確保防病毒掃描器能夠盡可能多地識(shí)別已知的惡意軟件攻擊。此技術(shù)的主要問(wèn)題是，防病毒軟件必須已更新為應(yīng)對(duì)惡意軟件，之后掃描器才可識(shí)別它。（2）啟發(fā)式掃描通過(guò)查找通用的惡意軟件特征，來(lái)嘗試檢測(cè)新形式和已知形式的惡意軟件。此技術(shù)的主要優(yōu)點(diǎn)是，它并不依賴于簽名文件來(lái)識(shí)別和應(yīng)對(duì)惡意軟件。但是，啟發(fā)式掃描具有許多特定問(wèn)題，包括：

1）錯(cuò)誤警報(bào)。

2）慢速掃描。

3）新特征可能被遺漏。

4）行為阻止。12四、計(jì)算機(jī)病毒診斷原理與方法2、檢測(cè)與防范防病毒軟件的問(wèn)題在于它只能為防止已知的病毒提供保護(hù)。對(duì)惡意代碼的查找和分類的根據(jù)是：對(duì)惡意代碼的理解和對(duì)惡意代碼“簽名”的定位來(lái)識(shí)別惡意代碼。然后將這個(gè)簽名加入到識(shí)別惡意代碼的簽名列表中。防病毒軟件成功的關(guān)鍵是它是否能夠定位“簽名”。下面所列的包括了一個(gè)典型組織中最容易受到惡意軟件攻擊的區(qū)域：（1）外部網(wǎng)絡(luò)。（2）來(lái)賓客戶端。（3）可執(zhí)行文件。（4）文檔。（5）電子郵件。（6）可移動(dòng)媒體。13四、計(jì)算機(jī)病毒診斷原理與方法2、檢測(cè)與防范（續(xù)）深層防護(hù)安全模型：七級(jí)安全防護(hù)，旨在確保損害組織安全的嘗試將遇到一組強(qiáng)大的防護(hù)措施。每組防護(hù)措施都能夠阻擋多種不同級(jí)別的攻擊。（1）數(shù)據(jù)層。組織主要關(guān)注的是可能源自數(shù)據(jù)丟失或被盜的業(yè)務(wù)和法律問(wèn)題，以及漏洞在主機(jī)層或應(yīng)用程序?qū)由媳┞兜牟僮鲉?wèn)題。（2）應(yīng)用程序?qū)?。組織主要關(guān)注的是：對(duì)組成應(yīng)用程序的二進(jìn)制文件的訪問(wèn)；通過(guò)應(yīng)用程序偵聽(tīng)服務(wù)中的漏洞對(duì)主機(jī)的訪問(wèn)；收集系統(tǒng)中特定數(shù)據(jù)，以傳遞給可以使用該數(shù)據(jù)達(dá)到自己目的的某個(gè)人。（3）主機(jī)層。組織主要關(guān)注的是阻止對(duì)組成操作系統(tǒng)的二進(jìn)制文件的訪問(wèn)，以及阻止通過(guò)操作系統(tǒng)偵聽(tīng)服務(wù)中的漏洞對(duì)主機(jī)的訪問(wèn)。（4）內(nèi)部網(wǎng)絡(luò)層。組織內(nèi)部網(wǎng)絡(luò)所面臨的風(fēng)險(xiǎn)主要與通過(guò)此類型網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)有關(guān)。這些內(nèi)部網(wǎng)絡(luò)上客戶端工作站的連接要求也具有許多與其關(guān)聯(lián)的風(fēng)險(xiǎn)。（5）外圍網(wǎng)絡(luò)層。與外圍網(wǎng)絡(luò)層（也稱為DMZ、網(wǎng)絡(luò)隔離區(qū)域或屏幕子網(wǎng)）關(guān)聯(lián)的風(fēng)險(xiǎn)源自可以訪問(wèn)廣域網(wǎng)(WAN)以及它們所連接的網(wǎng)絡(luò)層的攻擊者。模型此層上的主要風(fēng)險(xiǎn)集中于網(wǎng)絡(luò)可以使用的傳輸控制協(xié)議(TCP)和用戶數(shù)據(jù)報(bào)協(xié)議(UDP)端口。（6）物理安全層。物理層上的風(fēng)險(xiǎn)源自可以物理訪問(wèn)物理資產(chǎn)的攻擊者。（7）策略、過(guò)程和意識(shí)層。為滿足和支持每個(gè)級(jí)別的要求需要制定的策略和過(guò)程。相關(guān)方的意識(shí)是很重要的。在許多情況下，忽視風(fēng)險(xiǎn)可以導(dǎo)致安全違反。14四、計(jì)算機(jī)病毒診斷原理與方法3、發(fā)展趨勢(shì)與對(duì)策（1）反黑與反病毒相結(jié)合。（2）從入口攔截病毒。（3）全面解決方案。（4）客戶化定制。（5）區(qū)域化到國(guó)際化。15四、木馬及木馬的檢測(cè)與清除木馬指的是安裝在目標(biāo)系統(tǒng)中的一個(gè)服務(wù)程序，可以為控制者提供信息甚至控制整個(gè)目標(biāo)系統(tǒng)。目前木馬已經(jīng)成為黑客最常用的攻擊工具。1、木馬的組成一個(gè)完整的木馬系統(tǒng)由硬件部分，軟件部分和具體連接部分組成。（1）硬件部分：建立木馬連接所必須的硬件實(shí)體。包括控制端、服務(wù)端和INTERNET連接及通道。（2）軟件部分：實(shí)現(xiàn)遠(yuǎn)程控制所必須的軟件程序。分控制端程序、服務(wù)器端木馬程序和木馬配置程序，其中木馬配置程序的作用是設(shè)置木馬程序的端口號(hào)，觸發(fā)條件，木馬名稱等，使其在服務(wù)端藏得更隱蔽。（3）具體連接部分：通過(guò)INTERNET在服務(wù)端和控制端之間建立一條木馬通道所必須的元素，主要通過(guò)雙方的IP地址和端口號(hào)來(lái)協(xié)調(diào)并實(shí)現(xiàn)。16四、木馬及木馬的檢測(cè)與清除2、木馬攻擊步驟利用木馬來(lái)攻擊目標(biāo)系統(tǒng)，一般通過(guò)以下6個(gè)步驟來(lái)實(shí)現(xiàn)。(1)配置木馬：木馬偽裝、信息反饋。(2)傳播木馬。(3)運(yùn)行木馬(4)信息泄露(5)建立連接(6)遠(yuǎn)程控制國(guó)產(chǎn)著名木馬冰河，灰鴿子，上興，網(wǎng)絡(luò)神偷，流光，廣外女生木馬17四、木馬及木馬的檢測(cè)與清除3、木馬檢測(cè)與清除常用檢測(cè)方法：（1）檢查網(wǎng)絡(luò)連接情況。（2）查看目前運(yùn)行的服務(wù)。（3）檢查系統(tǒng)啟動(dòng)項(xiàng)。（4）檢查系統(tǒng)帳戶。常用木馬防治工具有木馬克星（iparmor）、360安全衛(wèi)士、各種防病毒系統(tǒng)等。如