計算機網絡安全基礎課件 第4章 惡意代碼及網絡防病毒技術

THEBASISOFCOMPUTERNETWORKSECURITY第4章惡意代碼及網絡防病毒技術計算機網絡安全基礎1第4章惡意代碼及網絡防病毒技術惡意代碼是指能夠破壞計算機系統(tǒng)功能、未經用戶許可非法使用計算機系統(tǒng)，影響計算機系統(tǒng)、網絡正常運行，竊取用戶信息的計算機程序或代碼。計算機病毒指編制者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機正常使用并且能夠自我復制的一組計算機指令或程序代碼。按傳播方式，惡意代碼可以分成五類：病毒，木馬，蠕蟲，移動代碼和復合型病毒。本章從計算機病毒、蠕蟲病毒、惡意代碼等方面來闡述防病毒技術。2第4章主要內容●計算機病毒●宏病毒及網絡病毒●特洛伊木馬●蠕蟲病毒●其他惡意代碼●病毒的預防、檢測和清除3（第4章）4.1計算機病毒44.1計算機病毒計算機病毒是一種“計算機程序”，它不僅能破壞計算機系統(tǒng)，而且還能夠傳播并感染其他計算機系統(tǒng)。計算機病毒隱藏在其他程序中，計算機病毒能復制自身并將其插入其他的程序中以執(zhí)行惡意的行動。病毒是一種計算機程序，當它運行時就要消耗計算機的CPU資源。病毒并不一定都具有破壞力，有些病毒更像是惡作劇，例如，有些計算機感染病毒后，只是顯示一條有趣的消息，但大多數(shù)病毒的目標任務就是破壞計算機信息系統(tǒng)程序，影響計算機的正常運行。5計算機病毒的分類6（1）文件病毒。該病毒在操作系統(tǒng)執(zhí)行文件操作時取得控制權并把自己依附在可執(zhí)行文件上，然后，利用這些指令來調用附在文件中某處的病毒代碼。通常，這些過程發(fā)生得很快，以至于用戶難以察覺病毒代碼已被執(zhí)行。（2）引導扇區(qū)病毒。潛伏在硬盤的引導扇區(qū)或主引導記錄。如果計算機從被感染的硬盤引導時，病毒就會把自己的代碼調入內存。病毒駐留在內存中并感染被訪問的U盤或移動硬盤。（3）多裂變病毒。多裂變病毒是文件和引導扇區(qū)病毒的混合種，它能感染可執(zhí)行文件，從而在網上迅速傳播蔓延。計算機病毒的分類7（4）秘密病毒。這種病毒通過掛接中斷來隱藏自己的真面目，具有很大的欺騙性。當某系統(tǒng)函數(shù)被調用時，這些病毒便“偽造”結果，使一切看起來非常正常。（5）異形病毒。這是一種能變異的病毒，隨著感染時間的不同而改變其不同的形式。不同的感染操作會使病毒在文件中以不同的方式出現(xiàn)，使傳統(tǒng)的模式匹配法對此顯得軟弱無力。（6）宏病毒。宏病毒是利用宏語言編寫的，不面向操作系統(tǒng)，所以，它不受操作平臺的約束，可以在各類操作系統(tǒng)中散播。按破壞程度分類8（1）良性病毒。良性病毒入侵的目的不是破壞系統(tǒng)，只是發(fā)出某種聲音，或出現(xiàn)一些提示，除了占用一定的硬盤空間和CPU處理時間外別無其他壞處。如一些木馬病毒程序也是這樣，只是想竊取用戶計算機中的一些通信信息，如密碼、IP地址等，以備有需要時用。（2）惡性病毒。惡性病毒的目的是對軟件系統(tǒng)造成干擾、竊取信息、修改系統(tǒng)信息，但不會造成硬件損壞、數(shù)據(jù)丟失等后果。這類病毒入侵后系統(tǒng)除了不能正常使用之外，不會導致其他損失，系統(tǒng)損壞后一般只需要重裝系統(tǒng)的某個部分文件后即可恢復，當然還是要查殺這些病毒之后再重裝系統(tǒng)。按破壞程度分類9（3）極惡性病毒。極惡性病毒比上述病毒損壞的程度要大些，如果感染上這類病毒，用戶的系統(tǒng)就會徹底崩潰，根本無法正常啟動，保留在硬盤中的有用數(shù)據(jù)也可能丟失和損壞。（4）災難性病毒。災難性病毒一般是破壞磁盤的引導扇區(qū)文件、修改文件分配表和硬盤分區(qū)表，使系統(tǒng)根本無法啟動，有時甚至會格式化硬盤。一旦感染這類病毒，操作系統(tǒng)就很難恢復了，保留在硬盤中的數(shù)據(jù)也會丟失。這種病毒對用戶造成的損失是非常巨大的。按入侵方式分類10（1）源代碼嵌入攻擊型。這類病毒入侵的主要是高級語言的源程序，病毒是在源程序編譯之前插入病毒代碼，最后隨源程序一起被編譯成可執(zhí)行文件，這樣剛生成的文件就是帶毒文件。（2）代碼取代攻擊型。這類病毒主要是用它自身的病毒代碼取代某個入侵程序的整個或部分模塊，這類病毒也很少見，它主要是攻擊特定的程序，針對性較強，但是不易被發(fā)現(xiàn)，清除起來也較困難。按入侵方式分類11（3）系統(tǒng)修改型。這類病毒主要是用自身程序覆蓋或修改系統(tǒng)中的某些文件來達到調用或替代操作系統(tǒng)中的部分功能的目的，由于是直接感染系統(tǒng)，危害較大，也是最為常見的一種病毒類型，多為文件型病毒。（4）外殼附加型。這類病毒通常是將其病毒附加在正常程序的頭部或尾部，相當于給程序添加了一個外殼，在被感染的程序執(zhí)行時，病毒代碼先被執(zhí)行，然后才將正常程序調入內存。目前大多數(shù)文件型的病毒屬于這一類。計算機病毒的傳播12計算機病毒是由計算機黑客們編寫的，這些人想證明它們能編寫出不但可以干擾和摧毀計算機，而且能將破壞傳播到其它系統(tǒng)的程序。最早被記錄在案的病毒之一是1983年由南加州大學學生FredCohen編寫的，當該程序安裝在硬盤上后，就可以對程序自身進行復制，使計算機遭到“自我破壞”。1985年病毒程序通過電子公告牌向公眾提供。計算機病毒的傳播13病毒一旦進入系統(tǒng)以后，通常通過以下兩種方式傳播。①通過磁盤的關鍵區(qū)域傳播。②在可執(zhí)行的文件中傳播。前者主要感染單個工作站，而后者是基于服務器的病毒繁殖的主要原因。如果硬盤的引導扇區(qū)受到感染，病毒就把自己送到內存中，從而就會感染該計算機所訪問的所有U盤及活動硬盤，每當用戶相互交換這些存儲設備時，便形成了一種大規(guī)模的傳播途徑，一臺又一臺的工作站會受到感染。計算機病毒的傳播14“多裂變”病毒是能夠以文件病毒的方式傳播的，然后去感染引導扇區(qū)。它也能夠通過U盤進行傳播?？蓤?zhí)行文件是服務器上最常見的傳播源。對于網絡系統(tǒng)中的其他的工作站來說，服務器是一個受感染的、病毒的集散點。①新的被病毒感染的文件被復制到文件服務器的卷上。②與其相連的PC內存中的病毒感染了服務器上已有的文件。服務器在網絡系統(tǒng)中一直處于核心地位，因此，一旦文件服務器上的病毒已感染了某個關鍵文件，那么，該病毒對系統(tǒng)所造成的危險特別大。計算機病毒的工作方式15計算機病毒的工作方式與病毒所能表現(xiàn)出來的特性或功能是緊密相關的。病毒能表現(xiàn)出的幾種特性或功能有：感染、變異、觸發(fā)、破壞以及高級功能（如隱身和多態(tài)）。1．感染任何計算機病毒的一個重要特性或功能是對計算機系統(tǒng)的感染。事實上，感染方法可用來區(qū)分兩種主要類型的病毒：引導扇區(qū)病毒和文件感染病毒。引導扇區(qū)病毒16引導扇區(qū)一般是硬盤或軟盤上的第一個扇區(qū)，對于裝載操作系統(tǒng)具有關鍵性的作用。硬盤的分區(qū)信息是從該扇區(qū)初始化的。一般來說，引導扇區(qū)先于其他程序的運行從而獲得對CPU的控制。這就是引導扇區(qū)病毒為什么能立即控制整個系統(tǒng)的原因所在。文件型病毒17文件型病毒與引導扇區(qū)病毒最大的不同之處是，它攻擊磁盤上的文件。它將自己依附在可執(zhí)行的文件（通常是.com和.exe）中，并等待程序的運行。這種病毒會感染其他的文件，而它自己卻駐留在內存中。當該病毒完成了它的工作后，其宿主程序才被運行，使人看起來仿佛一切都很正常。文件型病毒的工作過程：它將自己依附或加載在.exe和.com之類后綴的可執(zhí)行文件上。它有3種主要的類型：覆蓋型、前后依附型以及伴隨型。3種文件型病毒的工作方式各不相同。文件型病毒工作方式18文件型病毒工作方式19●覆蓋型文件病毒的一個特點是不改變文件的長度，使原始文件看起來非常正常。即使是這樣，一般的病毒掃描程序或病毒檢測程序通常都可以檢測到覆蓋了程序的病毒代碼的存在。●前依附型文件病毒將自己加在可執(zhí)行文件的開始部分，而后依附型文件病毒將病毒代碼附加在可執(zhí)行文件的末尾。●伴隨型文件病毒為.exe文件建立一個相應的含有病毒代碼的.com文件。當運行.exe文件時，控制權就轉到隱藏的.com文件，病毒程序就得以運行。當執(zhí)行完之后，控制權又返回到.exe文件。計算機病毒的工作方式202．變異變異又稱變種，這是為逃避病毒掃描和其他反病毒軟件的檢測，以達到逃避檢測的一種“功能”。變異是病毒可以創(chuàng)建類似于自己，但又不同于自身的一種技術，它使病毒掃描程序難以檢測。3．觸發(fā)有些計算機病毒發(fā)作前需要預先設置一些觸發(fā)的條件。眾所周知的是基于某個特定日期，如每個月的幾號或星期幾開始其“工作”。除了以時間作為觸發(fā)條件外，也有當程序運行了多少次后，或在文件病毒被復制到不同的系統(tǒng)上多少次之后，病毒便被啟動而立刻“工作”。觸發(fā)在邏輯炸彈中很流行。計算機病毒的工作方式214．破壞（1）修改數(shù)據(jù)。計算機病毒能夠修改文件中的某些數(shù)據(jù)，從而造成對數(shù)據(jù)完整性的破壞。病毒也有可能改變賬目或電子表格文件中的數(shù)據(jù)。（2）破壞文件系統(tǒng)。常見的包括用感染的文件去覆蓋正常的、干凈的文件，使原來存儲的信息遭到破壞。破壞或刪除FAT可以導致無法對磁盤上的文件進行訪問。（3）刪除系統(tǒng)上的文件。病毒有時會刪除一些文件，或者對有用的信息進行一些破壞。也有可能會隨機地刪除磁盤扇區(qū)，或文件目錄的扇區(qū)。（4）視覺和聽覺效果。視覺和聽覺效果表現(xiàn)為在顯示屏上顯示一些信息，演奏音樂，或者顯示一些圖像等。計算機病毒的特點22（1）刻意編寫人為破壞。計算機病毒不是偶然自發(fā)產生的，而是人為編寫的有意破壞、嚴謹精巧的程序段，它是嚴格組織的程序代碼，與所在環(huán)境相互適應并緊密配合。（2）自我復制能力。也稱“再生”或“傳染”。在一定條件下，病毒通過某種渠道從一個文件或一臺計算機傳染到另外沒有被感染的文件或計算機，輕則造成被感染的計算機數(shù)據(jù)被破壞或工作失常，重則使計算機癱瘓。（3）奪取系統(tǒng)控制權。即取得系統(tǒng)控制權，系統(tǒng)每執(zhí)行一次操作，病毒就有機會執(zhí)行它預先設計的操作，完成病毒代碼的傳播或進行破壞活動。計算機病毒的特點23（4）隱蔽性。受到傳染后，一般計算機系統(tǒng)仍然能夠運行，被感染的程序也能執(zhí)行，用戶不會感到明顯的異常，這便是計算機病毒的隱蔽性。（5）潛伏性。大部分病毒在感染系統(tǒng)后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件后才啟動其表現(xiàn)模塊，顯示發(fā)作信息或進行系統(tǒng)破壞。觸發(fā)條件主要有：●利用系統(tǒng)時鐘提供的時間作為觸發(fā)器?！窭貌《倔w自帶的計數(shù)器作為觸發(fā)器。●利用計算機內執(zhí)行的某些特定操作作為觸發(fā)器。（6）不可預見性。不同種類病毒的代碼千差萬別，病毒的制作技術也在不斷地提高，對未來病毒的預測更加困難，這就要求人們不斷提高對病毒的認識，增強防范意識。計算機病毒的破壞行為24可以把病毒的破壞目標和攻擊部位歸納為：①攻擊系統(tǒng)數(shù)據(jù)區(qū)。攻擊部位包括硬盤主引導扇區(qū)、Boot扇區(qū)、FAT表和文件目錄。②攻擊文件。刪除文件、改名、替換內容、丟失簇和對文件加密等。③攻擊內存。攻擊內存的方式有大量占用、改變內存總量、禁止分配和蠶食內存等。④干擾系統(tǒng)運行，使運行速度下降。如不執(zhí)行命令、干擾內部命令的執(zhí)行、虛假報警、打不開文件、內部棧溢出、占用特殊數(shù)據(jù)區(qū)、時鐘倒轉、重啟動、死機、強制游戲和擾亂串并接口等。計算機病毒的破壞行為25⑤干擾鍵盤、喇叭或屏幕。病毒干擾鍵盤操作，如響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符和輸入紊亂等。許多病毒運行時，會使計算機的喇叭發(fā)出響聲。病毒擾亂顯示的方式很多，如字符跌落、環(huán)繞、倒置、顯示前一屏、光標下跌、滾屏、抖動和亂寫等。⑥攻擊CMOS。在機器的CMOS中，保存著系統(tǒng)的重要數(shù)據(jù)，如系統(tǒng)時鐘、磁盤類型和內存容量等，并具有校驗和。有的病毒激活時，能夠對CMOS進行寫入動作，破壞CMOS中的數(shù)據(jù)。⑦干擾打印機。如假報警、間斷性打印或更換字符。⑧破壞網絡系統(tǒng)。非法使用網絡資源，破壞電子郵件，發(fā)送垃圾信息和占用網絡帶寬等。（第4章）4.2宏病毒及網絡病毒264.2宏病毒及網絡病毒27宏，就是軟件設計者為了在使用軟件工作時，避免一再重復相同的動作而設計出來的一種工具。它利用簡單的語法，把常用的動作寫成宏，當再工作時，就可以直接利用事先寫好的宏自動運行，去完成某項特定的任務，而不必再重復相同的動作。宏病毒就是利用軟件所支持的宏命令編寫成的具有復制、傳染能力的宏。宏病毒的行為和特征281.宏病毒行為機制Word模式定義出一種文件格式，將文檔資料以及該文檔所需要的宏混在一起放在后綴為.doc的文件之中。這種宏是文檔資料，如果宏隨著文檔而被分派到不同的工作平臺，只要能被執(zhí)行，它也就類似于計算機病毒的傳染過程。2.宏病毒特征①宏病毒會感染.doc文檔和.dot模板文件。②宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。病毒宏將自身復制到Word通用模板中，以后在打開或關閉文件時宏病毒就會把病毒復制到該文件中。③多數(shù)宏病毒包含自動宏，通過這些自動宏病毒取得文檔操作權。④宏病毒中總是含有對文檔讀寫操作的宏命令。⑤宏病毒在word文檔中以.BFF格式存放，這是一種加密壓縮格式。宏病毒的防治和清除29●使用選項“提示保存Normal模板”●不要通過Shift鍵來禁止運行自動宏●查看宏代碼并刪除●使用DisableAutoMacros宏●設置Normal.dot的只讀屬性●Normal.dot的密碼保護網絡病毒30計算機網絡的主要特點是資源共享。一旦共享資源感染病毒，網絡各結點間信息的頻繁傳輸會把病毒傳染到所共享的機器上，從而形成多種共享資源的交叉感染。病毒的迅速傳播、再生、發(fā)作將造成比單機病毒更大的危害。對于金融等系統(tǒng)的敏感數(shù)據(jù)，一旦遭到破壞，后果就不堪設想。因此，網絡環(huán)境下病毒的防治就顯得更加重要了。病毒入侵網絡的主要途徑是通過工作站傳播到服務器硬盤，再由服務器的共享目錄傳播到其它工作站。網絡中只要有一臺工作站未消毒干凈就可使整個網絡全部被病毒感染。病毒在網絡上的傳播與表現(xiàn)31大多數(shù)公司使用局域網文件服務器，用戶直接從文件服務器復制已感染的文件。用戶在工作站上執(zhí)行一個帶毒操作文件，這種病毒就會感染網絡上其它可執(zhí)行文件。用戶在工作站上執(zhí)行帶毒內存駐留文件，當訪問服務器上的可執(zhí)行文件時進行感染。文件病毒可以通過互聯(lián)網毫無困難地發(fā)送，而可執(zhí)行文件病毒不能通過因特網在遠程站點感染文件。此時互聯(lián)網是文件病毒的載體。引導病毒在網絡服務器上的表現(xiàn)：如果網絡服務器計算機是從一塊感染的U盤上引導的，那么網絡服務器就可能被引導病毒感染。（第4章）4.3特洛伊木馬324.3特洛伊木馬33“特洛伊木馬”（TrojanHorse）簡稱“木馬”，木馬和病毒都是黑客編寫的程序，都屬于電腦病毒。木馬（Trojan）這個名字來源于古希臘傳說，荷馬史詩中木馬計的故事?！澳抉R”程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種者的電腦。木馬的啟動方式34木馬是隨計算機或Windows的啟動而啟動并掌握一定的控制權的，其啟動方式可謂多種多樣，通過注冊表啟動、通過System.ini啟動、通過某些特定程序啟動等。1．通過“開始\程序\啟動”這也是一種很常見的方式，很多正常的程序都用它，木馬程序有時候也用這種方式啟動。只要我們使用“系統(tǒng)配置實用程序”（msconfig.exe）就能發(fā)現(xiàn)木馬的啟動方式。2．通過注冊表啟動HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices木馬的啟動方式353．通過System.ini文件啟動System.ini文件是Windows的外殼程序，換一個程序就可以徹底改變Windows的面貌。可以在“Explorer.exe”后加上木馬程序的路徑，這樣Windows啟動后木馬也就隨之啟動，而且即使是安全模式啟動也不會跳過這一項，這樣木馬也就可以保證永遠隨Windows啟動了。4．通過某特定程序或文件啟動①木馬和正常程序捆綁。有點類似于病毒，程序在運行時，木馬程序先獲得控制權或另開一個線程以監(jiān)視用戶操作，截取密碼等。②將特定的程序改名。用戶運行改名后的程序，實際是運行了木馬。③文件關聯(lián)。木馬程序會將自己和TXT文件或EXE文件關聯(lián)，這樣當打開一個文本文件或運行一個程序時，木馬也就啟動了。木馬的工作原理36木馬有兩個可執(zhí)行程序，一個安裝在控制端，即客戶端；另一個安裝在被控制端，即服務器端。木馬程序的服務器端程序是需要植入到目標主機的部分，植入目標主機后作為響應程序?？蛻舳顺绦蚴怯脕砜刂颇繕酥鳈C的部分，安裝在控制者的計算機上，它的作用是連接木馬服務器端程序，監(jiān)視或控制遠程計算機。典型的木馬工作原理：當服務器端程序在目標主機上執(zhí)行后，木馬打開一個默認的端口進行監(jiān)聽，當客戶端（控制端）向服務器端（被控主機）提出連接請求時，被控主機上的木馬程序就會自動應答客戶端的請求，服務器端程序與客戶端建立連接后，客戶端（控制端）就可以發(fā)送各類控制指令對服務器端（被控主機）進行完全控制，其操作幾乎與在被控主機的本機操作的權限完全相同。木馬的檢測37木馬既然是程序，惡意程序，那它運行也不免會露出蛛絲馬跡。我們知道程序運行的兩個必要條件就是：進程（模塊，線程）和加載（自啟動和觸發(fā)）。那我們查找木馬也從這兩個大的方向入手，理論上可以找出所有木馬。（1）通過網絡連接進行檢測。命令格式：netstat–an木馬的檢測38（2）通過系統(tǒng)進程進行檢測。木馬即使再狡猾，它也是一個活動著的應用程序，一經運行，它就時刻駐留在電腦系統(tǒng)的內存中，通過查看系統(tǒng)進程可發(fā)現(xiàn)可疑進程，并以此來推斷木馬的存在。通過查看系統(tǒng)進程這種方法來檢測木馬非常簡便易行，但是對系統(tǒng)必須熟悉。（第4章）4.4蠕蟲病毒394.4蠕蟲病毒40蠕蟲是一種可以自我復制的代碼，并且通過網絡傳播，通常無需人為干預就能傳播。蠕蟲病毒入侵并完全控制一臺計算機之后，就會把這臺機器作為宿主，進而掃描并感染其他計算機。當這些新的被蠕蟲入侵的計算機被控制之后，蠕蟲會以這些計算機為宿主繼續(xù)掃描并感染其他計算機，這種行為會一直延續(xù)下去。蠕蟲使用這種遞歸的方法進行傳播，按照指數(shù)增長的規(guī)律分布自己，進而及時控制越來越多的計算機。蠕蟲病毒的特點41（1）較強的獨立性。蠕蟲病毒不需要宿主程序，它是一段獨立的程序或代碼，可以不依賴于宿主程序而獨立運行，從而主動地實施攻擊。（2）利用漏洞主動攻擊。由于不受宿主程序的限制，蠕蟲病毒可以利用操作系統(tǒng)的各種漏洞進行主動攻擊。（3）傳播更快更廣。蠕蟲病毒可以通過網絡中的共享文件夾、電子郵件、惡意網頁以及存在著大量漏洞的服務器等途徑肆意傳播。（4）更好的偽裝和隱藏方式。為了使蠕蟲病毒在更大范圍內傳播，病毒的編制者非常注重病毒的隱藏方式。（5）技術更加先進。利用VBScript、Java、ActiveX等技術隱藏在HTML頁面里。當瀏覽含有病毒代碼的網頁時，病毒會自動駐留內存并伺機觸發(fā)。（6）使追蹤變得更困難。當蠕蟲病毒感染了大部分系統(tǒng)之后，攻擊者便能發(fā)動多種其他攻擊方式對付一個目標站點，并通過蠕蟲網絡隱藏攻擊者的位置，這樣要抓住攻擊者會非常困難。蠕蟲病毒的原理42網絡蠕蟲具有與計算機病毒一樣的特征：隱匿階段、傳播階段、觸發(fā)階段和執(zhí)行階段。傳播階段主要執(zhí)行以下功能：①通過檢查已感染主機的地址簿或其他類似存放遠程系統(tǒng)地址的相應文件，得到下一步要感染的目標。②建立和遠程系統(tǒng)的連接。③將自身復制給遠程系統(tǒng)并執(zhí)行此副本。蠕蟲病毒在將自身復制到某系統(tǒng)之前，網絡蠕蟲可以判斷該系統(tǒng)是否已經被感染。在多進程系統(tǒng)中，蠕蟲還可以將自身命名為系統(tǒng)進程名或其他不容易被系統(tǒng)操作員注意到的名字，以防止被檢測出來。蠕蟲病毒的功能結構43蠕蟲病毒分解為基本功能模塊和擴展功能模塊。實現(xiàn)了基本功能模塊的蠕蟲病毒就能完成復制傳播流程，包含擴展功能模塊的蠕蟲病毒則具有更強的生存能力和破壞能力。蠕蟲病毒的功能結構44基本功能由5個功能模塊構成。①搜索模塊。尋找下一臺要傳染的機器；為提高搜索效率，可以采用一系列的搜索算法。②攻擊模塊。在被感染的機器上建立傳輸通道（傳染途徑）；為減少第一次傳染數(shù)據(jù)傳輸量，可以采用引導式結構。③傳輸模塊。計算機間的蠕蟲程序復制。④信息搜集模塊。搜集和建立被傳染機器上的信息。⑤繁殖模塊。建立自身的多個副本；在同一臺機器上提高傳染效率、判斷避免重復傳染。蠕蟲病毒的功能結構45擴展功能由4個功能模塊構成。①隱藏模塊。隱藏蠕蟲程序，使簡單的檢測不能發(fā)現(xiàn)。②破壞模塊。摧毀或破壞被感染的計算機；或在被感染的計算機上留下后門程序等。③通信模塊。蠕蟲間、蠕蟲同黑客之間進行交流，可能是未來蠕蟲發(fā)展的側重點。④控制模塊。調整蠕蟲行為，更新其他功能模塊，控制被感染計算機，可能是未來蠕蟲發(fā)展的側重點。蠕蟲的工作流程46蠕蟲病毒的工作流程可以分為掃描、攻擊、現(xiàn)場處理、復制4個部分。當掃描到有漏洞的計算機系統(tǒng)后，進行攻擊，攻擊部分完成蠕蟲主體的遷移工作；進入被感染的系統(tǒng)后，要做現(xiàn)場處理工作，現(xiàn)場處理部分工作包括隱藏、信息搜集等；生成多個副本后，重復上述流程。蠕蟲病毒的防治47蠕蟲病毒的一般防治方法是：使用具有實時監(jiān)控功能的殺毒軟件。防范郵件蠕蟲的最好辦法，就是提高自己的安全意識，不要輕易打開帶有附件的電子郵件。另外，可以啟用殺毒軟件的“郵件發(fā)送監(jiān)控”和“郵件接收監(jiān)控”功能，也可以提高自己對病毒郵件的防護能力。（第4章）4.5其他惡意代碼484.5其他惡意代碼49惡意代碼又稱惡意軟件。這些軟件也可稱為廣告軟件、間諜軟件、惡意共享軟件。是指在未明確提示用戶或未經用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵犯用戶合法權益的軟件。有時也稱作流氓軟件。惡意代碼具有共同特征是：●惡意的目的●本身是計算機程序●通過執(zhí)行發(fā)生作用惡意移動代碼50惡意移動代碼是一段計算機程序，能夠在計算機或網絡之間傳播，未經授權、故意修改計算機系統(tǒng)。一般來說，惡意移動代碼的變異型可以分為3類：病毒類、蠕蟲類和木馬程序。很多惡意程序就是這3種類型的組合。惡意移動終端惡意代碼以移動終端為感染對象，以移動終端網絡和計算機網絡為平臺，通過無線或有線通信等方式，對移動終端進行攻擊，從而造成移動終端異常的各種不良程序代碼。惡意移動代碼可以利用系統(tǒng)的漏洞進行入侵，例如非法的數(shù)據(jù)訪問和盜取root賬號。通常用于編寫移動代碼的工具包括Javaapplets，ActiveX，JavaScript和VBScript。惡意移動代碼攻擊方式51①短信息攻擊。主要是以“病毒短信”的方式發(fā)起攻擊。②直接攻擊手機。直接攻擊相鄰手機，Cabir病毒就是這種病毒。③攻擊網關。控制WAP或短信平臺，并通過網關向手機發(fā)送垃圾信息，干擾手機用戶，甚至導致網絡運行癱瘓。④攻擊漏洞。攻擊字符格式漏洞，攻擊職能手機操作系統(tǒng)漏洞，攻擊應用程序運行環(huán)境漏洞，攻擊應用程序漏洞。⑤木馬型惡意代碼。利用用戶的疏忽，以合法身份侵入移動終端，并伺機竊取資料的病毒。惡意移動代碼的防范52①注意來電信息。正常情況下，屏幕上顯示的應該是來電電話號碼。如果發(fā)現(xiàn)顯示別的字樣或奇異的符號，應立即把電話關閉。②謹慎網絡下載。當用戶經手機上網時，盡量不要下載信息和資料，如果需要下載手機鈴聲或圖片，應該到正規(guī)網站下載。③不接收怪異短信。短信息（彩信）中可能存在病毒，短信息也是感染手機病毒的一個重要途徑。當用戶接到怪異的短信時應當立即刪除。④關閉無線連接。對不了解的信息來源，應該關掉藍牙或紅外線等無線設備。⑤關注安全信息。關注主流信息安全廠商提供的資訊信息，及時了解手持設備的發(fā)展現(xiàn)狀和發(fā)作現(xiàn)象，做到防患于未然。陷門53陷門是指進入程序的秘密入口，它使得知道陷門的人可以不經過通常的安全檢查訪問過程而獲得訪問。當程序開發(fā)者在設計一個包含認證機制或者要用戶輸入很多不同的值才可以運行的程序的時候，為避開這些繁瑣的認證機制以便于開發(fā)和調試的順利進行，程序設計者通常會設置這樣的陷門。陷門通常是識別特定輸入序列的代碼段，可以由某一特定用戶ID或者特定的事件序列激活。如果一個登錄處理系統(tǒng)允許一個特定的用戶識別碼，通過該識別碼可以繞過通常的口令檢查，直觀的理解就是可以通過一個特殊的用戶名和密碼登錄進行修改等操作。這種安全危險稱為陷門，又稱為非授權訪問。當陷門被惡意程序設計者利用，作為獲得未授權的訪問權限的工具時，陷門就變成一種安全威脅。邏輯炸彈54邏輯炸彈是指在特定邏輯條件滿足時，實施破壞的計算機程序，該程序觸發(fā)后造成計算機數(shù)據(jù)丟失、計算機不能從硬盤或者軟盤引導，甚至會使整個系統(tǒng)癱瘓，并出現(xiàn)物理損壞的虛假現(xiàn)象。邏輯炸彈是出現(xiàn)最早的程序威脅類型之一，在時間上早于病毒和蠕蟲。邏輯炸彈引發(fā)時的癥狀與某些病毒的作用結果相似，并會對社會引發(fā)連帶性的災難。與病毒相比，它強調破壞作用本身，而實施破壞的程序不具有傳染性。最常見激活邏輯炸彈的條件是日期，當滿足約定的日期時，邏輯炸彈被激活并執(zhí)行它的代碼。僵尸病毒55僵尸網絡病毒，通過連接IRC服務器進行通信從而控制被攻陷的計算機。僵尸程序秘密接管對網絡上其他機器的控制權，之后以被劫持的機器為跳板實施攻擊行為，這使得發(fā)現(xiàn)真正的攻擊者變得較為困難。僵尸網絡。是互聯(lián)網上受到黑客集中控制的一群計算機，往往被黑客用來發(fā)起大規(guī)模的網絡攻擊，如分布式拒絕服務攻擊DDoS、海量垃圾郵件等，同時黑客控制的這些計算機所保存的信息也都可被黑客隨意使用。因此，不論是對網絡安全運行還是用戶數(shù)據(jù)安全的保護來說，僵尸網絡都是極具威脅的隱患。僵尸病毒56僵尸手機病毒是一類專門針對移動通信終端的惡意軟件的總稱。被這種惡意程序感染的手機，成為“僵尸手機”，自動向其他手機用戶通過發(fā)送短信的方式傳播病毒，用戶一旦閱讀這種帶有惡意鏈接的短信，就會感染而成為“僵尸手機”，并再次對外傳播這種病毒。僵尸手機病毒具有隱秘性強、傳播迅速、主動攻擊、危險性大的特點。僵尸手機病毒一旦被激活，就會將手機的SIM卡信息傳回病毒服務器，然后病毒服務器會向手機通訊錄中的聯(lián)系人發(fā)送含有病毒的廣告短信，這樣病毒將會以傳銷的方式繼續(xù)傳播下去。復合型病毒57復合型病毒就是惡意代碼通過多種方式傳播。著名的Nimda蠕蟲實際上就是復合型病毒的一個例子，它通過4種方式傳播。①E-mail。如果用戶在一臺存在漏洞的電腦上打開一個被Nimda感染的郵件附件，病毒就會搜索這臺電腦上存儲的所有郵件地址，然后向它們發(fā)送病毒郵件。②網絡共享。Nimda會搜索與被感染電腦連接的其他電腦的共享文件，然后它以NetBIOS作為傳送工具，來感染遠程電腦上的共享文件，一旦那臺電腦的用戶運行這個被感染文件，那么那臺電腦的系統(tǒng)也會被感染。③Web服務器。Nimda會搜索Web服務器，找到存在漏洞的服務器，它就會復制自己的副本過去，并感染它和它的文件。④Web終端。如果一個Web終端訪問了一臺被Nimda感染的Web服務器，那么它也會被感染。（第4章）4.6病毒的預防、檢測和清除584.6病毒的預防、檢測和清除59計算機病毒的防范措施主要有以下幾點：（1）操作系統(tǒng)層面的安全防范。及時更新操作系統(tǒng)的補丁，修補操作系統(tǒng)本身存在的安全漏洞，禁用不需要的功能、賬號、端口等。（2）應用系統(tǒng)層面的安全防范。通過安裝軟件補丁、優(yōu)化軟件設計，提高應用軟件的安全性。（3）安裝安全防護軟件。通過安裝防火墻、殺毒軟件、入侵檢測等安全防護軟件，提高計算機的防護能力。（4）提防問題網站。目前黑客等不法分子會把病毒、木馬掛在網頁上，只要瀏覽網頁，就有可能會被植入木馬或感染病毒。因此在瀏覽網頁時需要加以提防，不要登錄不正規(guī)的網站。病毒的預防60（5）提防利用電子郵件傳播病毒。收到陌生可疑郵件時盡量不要打開，特別是對帶有附件的電子郵件要格外小心，打開前對郵件進行殺毒。（6）及時查殺病毒。對于來路不明的光盤、軟盤、U盤等介質，使用前進行查殺；對于從網絡上下載的文件也要先查殺病毒；計算機需要安裝殺毒軟件要及時更新病毒庫。（7）預防病毒爆發(fā)。經常關注一些網站發(fā)布的病毒報告，及時了解病毒爆發(fā)情況，提前做好預防。（8）定期備份。對于重要的文件、數(shù)據(jù)要定期備份，以免丟失。病毒的檢測61病毒的檢測采用的方法：比較被檢測對象與原始備份的比較法，利用病毒特征代碼串的掃描法，病毒體內特定位置的特征字識別法，反匯編技術分析法。（1）比較法。比較法是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較。用這種方法可以發(fā)現(xiàn)新的計算機病毒。優(yōu)點是簡單、方便和不需專用軟件，缺點是無法確認病毒的種類名稱。（2）掃描法。掃描法是用每一種病毒體含有的特定字符串對被檢測的對象進行掃描。如果在被檢測對象內部發(fā)現(xiàn)了某一種特定字節(jié)串，則表明發(fā)現(xiàn)了該字符串所代表的病毒。病毒掃描軟件由兩部分組成：一部分是病毒代碼庫，含有各種計算機病毒的代碼串；另一部分是利用該代碼庫進行掃描的掃描程序。病毒掃描程序能識別的計算機病毒的數(shù)目取決于病毒代碼庫內所含病毒的種類有多少。庫中病毒代碼種類越多，掃描程序能辨認出的病毒也就越多。病毒的檢測62（3）計算機病毒特征字的識別法。是基于特征串掃描法發(fā)展起來的一種新方法。它工作起來速度更快、誤報警更少。特征字識別法只需從病毒體內抽取很少幾個關鍵的特征字來組成特征字庫。由于需要處理的字節(jié)很少，而又不必進行串匹配，則大大加快了識別速度。（4）分析法。使用分析法的目的有以下4個。①確認被觀察的磁盤引導區(qū)和程序中是否含有病毒。②確認病毒的類型和種類，判定其是否是一種新病毒。③搞清楚病毒體的大致結構，提取特征識別用的字節(jié)串或特征字，用于增添到病毒代碼庫供病毒掃描和識別程序用。④詳細分析病毒代碼，為制定相應的反病毒措施制定方案。病毒的檢測632.病毒掃描程序這種程序找到病毒的主要辦法之一就是尋找掃描串，也被稱為病毒特征。這些病毒特征能唯一地識別某種類型的病毒，掃描程序能在程序中尋找這種病毒特征。3.完整性檢查程序另一類反病毒程序，它是通過識別文件和系統(tǒng)的改變來發(fā)現(xiàn)病毒，或病毒的影響。4.行為封鎖軟件該軟件的目的是防止病毒的破壞。通常，這種軟件試圖在病毒馬上就要開始工作時阻止它。每當某一反常的事情將要發(fā)生時，行為封鎖軟件就會檢測到病毒并警告用戶。計算機病毒的免疫64計算機病毒的免疫，就是通過一定的方法，使計算機自身具有防御計算機病毒感染的能力。（1）建立程序的特征值檔案。對每一個指定的可執(zhí)行的二進制文件，在確保它沒有被感染的情況下進行登記，然后計算出它的特征值填入表中。以后，每當系統(tǒng)的命令處理程序執(zhí)行它的時候，先將程序讀入內存，檢查其特征是否有變化，由此決定是否運行該程序。（2）嚴格內存管理。做一個記錄內存大小的備份，并時刻監(jiān)測系統(tǒng)的中斷調用。（3）中斷向量管理。病毒駐留內存時常常會修改一些中斷向量，因此，中斷向量的檢查和恢復是必要的。為使這項工作簡單一些，只要事先保存ROMBIOS和DOS引導后設立的中斷向量表備份就行了，因為同一臺計算機，在同一種操作系統(tǒng)版本下，其ROM和操作系統(tǒng)設立的中斷向量一般都是不變的。計算機病毒的清除65（1）引導型病毒的清除（2）宏病毒清除方法（3）殺毒程序對于文件型病毒，殺毒程序需要知道病