《反病毒技術(shù)》講義.doc

反病毒技術(shù)講義一、復(fù)習(xí)1、計(jì)算機(jī)病毒定義（提問(wèn)） 回答：“計(jì)算機(jī)病毒”最早是由美國(guó)計(jì)算機(jī)病毒研究專家F.Cohen博士提出的。 “計(jì)算機(jī)病毒”有很多種定義，國(guó)外最流行的定義為：計(jì)算機(jī)病毒，是一段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼。在中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中的定義為：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。2、計(jì)算機(jī)病毒的發(fā)展歷史回答：世界上第一例被證實(shí)的計(jì)算機(jī)病毒是在1983年，出現(xiàn)了計(jì)算機(jī)病毒傳播的研究報(bào)告。同時(shí)有人提出了蠕蟲(chóng)病毒程序的設(shè)計(jì)思想；1984年，美國(guó)人Thompson開(kāi)發(fā)出了針對(duì)UNIX操作系統(tǒng)的病毒程序。 1988年11月2日晚，美國(guó)康爾大學(xué)研究生羅特莫里斯將計(jì)算機(jī)病毒蠕蟲(chóng)投放到網(wǎng)絡(luò)中。該病毒程序迅速擴(kuò)展，造成了大批計(jì)算機(jī)癱瘓，甚至歐洲聯(lián)網(wǎng)的計(jì)算機(jī)都受到影響，直接經(jīng)濟(jì)損失近億美元。 計(jì)算機(jī)病毒在中國(guó)的發(fā)展情況：在我國(guó)，80年代末，有關(guān)計(jì)算機(jī)病毒問(wèn)題的研究和防范已成為計(jì)算機(jī)安全方面的重大課題。3、計(jì)算機(jī)病毒的分類1按傳染方式分為引導(dǎo)型、文件型和混合型病毒2按連接方式分為源碼型、入侵型、操作系統(tǒng)型和外殼型病毒3按破壞性可分為良性病毒和惡性病毒4網(wǎng)絡(luò)病毒4、計(jì)算機(jī)病毒的特點(diǎn)（提問(wèn)）（1）刻意編寫(xiě)，人為破壞 （2）自我復(fù)制能力 （3）隱蔽性 （4）潛伏性 （5）不可預(yù)見(jiàn)性5、網(wǎng)絡(luò)計(jì)算機(jī)病毒的特點(diǎn)（1）傳染方式多 （2）傳染速度快 （3）清除難度大 （4）破壞性強(qiáng) 二、新課導(dǎo)入： 解說(shuō)病毒和反病毒日益尖銳的斗爭(zhēng)，讓學(xué)生認(rèn)識(shí)到反病毒技術(shù)的重要性和嚴(yán)峻性，從而引入新課。近年來(lái)，互聯(lián)網(wǎng)安全環(huán)境日益嚴(yán)峻。科技在發(fā)展，病毒也在不斷演變，病毒的破壞力不僅給業(yè)界和用戶帶來(lái)無(wú)盡的煩惱，而且對(duì)國(guó)家信息安全構(gòu)成了嚴(yán)重威脅。今年上半年，計(jì)算機(jī)病毒異?；钴S，木馬、蠕蟲(chóng)、黑客后門(mén)等輪番攻擊互聯(lián)網(wǎng)，從熊貓燒香、灰鴿子到艾妮、AV終結(jié)者，重大惡性病毒頻繁發(fā)作，危害程度也在逐步加大，而此時(shí)的殺毒軟件卻顯得應(yīng)對(duì)乏力。如何準(zhǔn)確地把握反計(jì)算機(jī)病毒的發(fā)展趨勢(shì)，在與計(jì)算機(jī)病毒的斗爭(zhēng)中占得上風(fēng)，為信息安全保駕護(hù)航？業(yè)界專家及殺毒軟件廠商在思索、在行動(dòng)。 在近日舉辦的賽門(mén)鐵克VISION 2007用戶大會(huì)上，來(lái)自Yankee Group研究機(jī)構(gòu)的安全專家Andrew Jaquith語(yǔ)出驚人。他認(rèn)為殺毒軟件將無(wú)法有效地處理日益增多的惡意程序，并預(yù)言未來(lái)殺毒軟件將走向末路。對(duì)于這一說(shuō)法，業(yè)界頗有微詞，甚至認(rèn)為是無(wú)稽之談。 業(yè)界眾多人士分析認(rèn)為，無(wú)論是從計(jì)算機(jī)病毒的發(fā)展歷史和趨勢(shì)來(lái)看，還是從目前奮戰(zhàn)在一線的國(guó)內(nèi)外殺毒軟件廠商的戰(zhàn)果及戰(zhàn)略布局來(lái)看，這一場(chǎng)反計(jì)算機(jī)病毒的持久戰(zhàn)仍未分出勝負(fù)，并且他們相信，“正義”終將戰(zhàn)勝“邪惡”。二、新課講授： （一）計(jì)算機(jī)病毒的檢查（1） 檢查磁盤(pán)主引導(dǎo)扇區(qū) （程序代碼是否發(fā)生改變）引導(dǎo)型病毒：修改硬盤(pán)主引導(dǎo)扇區(qū)。硬盤(pán)或軟盤(pán)的BOOT扇區(qū)。為保存原主引導(dǎo)扇區(qū)、BOOT扇區(qū)，病毒可能隨意地將它們寫(xiě)入其他扇區(qū)，而毀壞這些扇區(qū)。（2） 檢查FAT表 文件分配表，文件目錄區(qū)修復(fù)被CIH破壞的硬盤(pán)分區(qū)表。（3） 檢查中斷向量 （中斷向量表是否改變）有許多DOS下的病毒就喜歡修改13H號(hào)中斷來(lái)破壞系統(tǒng),例如,修改13H號(hào)中斷服務(wù)程序,將其改成自己的代碼。（4）檢查可執(zhí)行文件 （其長(zhǎng)度是否改變）（5）檢查內(nèi)存空間病毒進(jìn)入內(nèi)存后會(huì)產(chǎn)生兩個(gè)線程，記錄鍵盤(pán)，監(jiān)視系統(tǒng)運(yùn)行，伺機(jī)等待復(fù)制和破壞。說(shuō)明：以上前五種方法都是檢查現(xiàn)有的文件是否和原有文件發(fā)生變化，若沒(méi)有可判斷沒(méi)有病毒，若有肯定是為病毒所修改。最后一種方法的使用要有一個(gè)前提就是所判斷的病毒要有其特征定義。（二） 檢測(cè)的主要方法1 比較法用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或檢測(cè)的文件進(jìn)行比較。如文件長(zhǎng)度的變化，或程序代碼的變化等。該該方法的優(yōu)點(diǎn)是簡(jiǎn)單，方便，不需專用軟件；缺點(diǎn)是無(wú)法確定病毒類型。 2 掃描法掃描法是用每一種病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描。掃描程序由兩部分組成：病毒代碼庫(kù)和對(duì)該代碼進(jìn)行掃描的程序。病毒掃描程序可識(shí)別的病毒數(shù)目取決于病毒代碼庫(kù)中所含病毒的種類。 3 特征字識(shí)別法計(jì)算機(jī)病毒特征字的識(shí)別法只需從病毒體內(nèi)抽取很少幾個(gè)關(guān)鍵的特征字來(lái)組成特征字庫(kù)。該方法由于要處理的字節(jié)很少，所以工作起來(lái)速度更快、誤報(bào)警更少4 分析法本方法是運(yùn)用相應(yīng)技術(shù)分析被檢測(cè)對(duì)象，確認(rèn)是否為病毒的。靜態(tài)分析是指利用反匯編工具將計(jì)算機(jī)病毒代碼打印成反匯編指令程序清單后進(jìn)行分析，以便了解計(jì)算機(jī)病毒分成哪些模塊，使用了那些系統(tǒng)調(diào)用，采用了那些技巧等等。動(dòng)態(tài)分析則是利用Debug等調(diào)試工具在內(nèi)存帶毒的情況下，對(duì)計(jì)算機(jī)病毒做動(dòng)態(tài)跟蹤，觀察計(jì)算機(jī)病毒的具體工作過(guò)程，以進(jìn)一步在靜態(tài)分析的基礎(chǔ)上理解計(jì)算機(jī)病毒的工作原理。5校驗(yàn)和法對(duì)正常文件的內(nèi)容，計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫(xiě)入此文件或其它文件中保存，在文件使用過(guò)程中或使用之前，定期地檢查由現(xiàn)有內(nèi)容算出的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致，從而可以發(fā)現(xiàn)文件是否被感染，這種方法稱為校驗(yàn)和法。詳細(xì)解釋四種不同的檢測(cè)方法，對(duì)其進(jìn)行比較，并用圖表來(lái)分析各檢測(cè)方法的優(yōu)缺點(diǎn)。（三）反病毒軟件工作原理病毒 1）病毒掃描程序 在病毒掃描程序中預(yù)先嵌入病毒特征數(shù)據(jù)庫(kù)，將這一信息與文件逐一進(jìn)行匹配。例子。2）內(nèi)存掃描程序內(nèi)存掃描程序采用與病毒掃描程序同樣的基本原理進(jìn)行工作。它的工作是掃描內(nèi)存以搜索內(nèi)存駐留文件和引導(dǎo)記錄病毒。盡管病毒可以毫無(wú)覺(jué)察的把自己隱藏在程序和文件中，但病毒不能在內(nèi)存中隱藏自己。因此內(nèi)存掃描程序可以直接搜索內(nèi)存，查找病毒代碼。如果一個(gè)反病毒產(chǎn)品不使用內(nèi)存掃描，其病毒檢測(cè)技術(shù)是很不完善的，很可能漏查、漏殺某些病毒。3）完整性檢查器：在正常的計(jì)算機(jī)操作期間，大多數(shù)程序文件和引導(dǎo)記錄不會(huì)改變。這樣，計(jì)算機(jī)在未感染狀態(tài)，取得每個(gè)可執(zhí)行文件和引導(dǎo)記錄的信息指紋，將這一信息存放在硬盤(pán)的數(shù)據(jù)庫(kù)中。 完整性檢查器是一種強(qiáng)有力的防病毒保護(hù)方式。因?yàn)閹缀跛械牟《径家薷目蓤?zhí)行文件引導(dǎo)記錄，包括新的未發(fā)現(xiàn)的病毒，所以它的檢測(cè)率幾乎百分之百。引起完整性檢查器失效的可能有：有些程序執(zhí)行時(shí)必須要修改它自己；對(duì)已經(jīng)被病毒感染的系統(tǒng)再使用這種方法時(shí)，可能遭到病毒的蒙騙等。4）行為監(jiān)測(cè)器：行為監(jiān)視器又叫行為監(jiān)視程序，它是內(nèi)存駐留程序，這種程序靜靜地在后臺(tái)工作，等待病毒或其他有惡意的損害活動(dòng)。如果行為監(jiān)視程序檢測(cè)到這類活動(dòng)，它就會(huì)通知用戶，并且讓用戶決定這一類活動(dòng)是否繼續(xù)。卡巴斯基反病毒擁有全部最尖端的反病毒技術(shù)卡巴斯基反病毒商務(wù)套裝應(yīng)用了當(dāng)今所有最尖端的反病毒及防黑客入侵技術(shù)：病毒掃描器可隨時(shí)掃描所有存儲(chǔ)的數(shù)據(jù)；病毒監(jiān)控器實(shí)時(shí)掃描所有正在使用的文件；完整性檢查器檢查電腦中全部數(shù)據(jù)的完整性；獨(dú)特的后臺(tái)運(yùn)行的腳本病毒檢查器；以及可100% 攔截宏病毒的行為分析器。 綜合運(yùn)用上述技術(shù)，最大限度地排除了病毒侵入的可能性，使您的計(jì)算機(jī)環(huán)境安全穩(wěn)固。瑞星病毒掃描器是一種精確判斷病毒的方法，目前看也是最成熟的方法。但特征碼存在不能查殺未知病毒和防范惡意程序的缺點(diǎn)。行為檢測(cè)器雖能發(fā)現(xiàn)未知病毒，但行為檢測(cè)器本身是一種模糊判斷，行為的反常情況下必定存在一定的誤報(bào)。因此現(xiàn)大多數(shù)殺毒軟件采用病毒掃描器。瑞星在行為檢測(cè)技術(shù)上研究較早。比如瑞星殺毒軟件中的注冊(cè)表監(jiān)控、瑞星卡卡、上網(wǎng)安全助手等等都是行為檢測(cè)器的雛形。比如，瑞星2008版中的主動(dòng)防御經(jīng)過(guò)病毒分析人員的經(jīng)驗(yàn)，定義出一系列的動(dòng)作組合規(guī)則，用動(dòng)作組合來(lái)進(jìn)行判斷，可以極大減少誤報(bào)情況的發(fā)生。同時(shí)，通過(guò)白名單機(jī)制，將一些流行軟件加入到白名單之內(nèi)，同樣可以減少誤報(bào)的情況。(四) 典型的病毒實(shí)例古希臘傳說(shuō)，特洛伊王子帕里斯訪問(wèn)希臘，誘走了王后海倫，希臘人因此遠(yuǎn)征特洛伊。圍攻9年后，到第10年，希臘將領(lǐng)奧德修斯獻(xiàn)了一計(jì)，就是把一批勇士埋伏在一匹巨大的木馬腹內(nèi)，放在城外后，佯作退兵。特洛伊人以為敵兵已退，就把木馬作為戰(zhàn)利品搬入城中。到了夜間，埋伏在木馬中的勇士跳出來(lái)，打開(kāi)了城門(mén)，希臘將士一擁而入攻下了城池。后來(lái)，人們?cè)趯?xiě)文章時(shí)就常用“特洛伊木馬”這一典故，用來(lái)比喻在敵方營(yíng)壘里埋下伏兵里應(yīng)外合的活動(dòng)。1）木馬病毒概述定義：“特洛伊木馬”簡(jiǎn)稱木馬（Trojan house ），是一種基于遠(yuǎn)程控制的黑客工具,木馬通常寄生于用戶的計(jì)算機(jī)系統(tǒng)中，盜竊用戶信息，并通過(guò)網(wǎng)絡(luò)發(fā)送給黑客。在黑客進(jìn)行的各種攻擊行為中，木馬都起到了開(kāi)路先鋒的作用.2）木馬病毒的原理木馬也采用客戶機(jī)/服務(wù)器工作模式。它一般包括一個(gè)客戶端和一個(gè)服務(wù)器端，客戶端放在木馬控制者的計(jì)算機(jī)中，服務(wù)器端放置在被入侵的計(jì)算機(jī)中，木馬控制者通過(guò)客戶端與被入侵計(jì)算機(jī)的服務(wù)器端建立遠(yuǎn)程連接。一旦連接建立，木馬控制者就可以通過(guò)對(duì)被入侵計(jì)算機(jī)發(fā)送指令來(lái)傳輸和修改文件。攻擊者利用一種稱為綁定程序的工具將服務(wù)器部分綁定到某個(gè)合法軟件上，誘使用戶運(yùn)行合法軟件。只要用戶一運(yùn)行該軟件，木馬的服務(wù)器部分就在用戶毫無(wú)知覺(jué)的情況下完成了安裝過(guò)程。通常木馬的服務(wù)器部分都是可以定制的，攻擊者可以定制的項(xiàng)目一般包括：服務(wù)器運(yùn)行的IP端口號(hào)、程序啟動(dòng)時(shí)機(jī)、如何發(fā)出調(diào)用、如何隱身、是否加密等。另外攻擊者還可以設(shè)置登錄服務(wù)器的密碼，確定通信方式。服務(wù)器向攻擊者通知的方式可能是發(fā)送一個(gè)E-mail，宣告自己當(dāng)前已成功接管的機(jī)器；3）木馬病毒的危害（1）可以讀、寫(xiě)、存、刪除文件，可以得到你的隱私、密碼，甚至你在計(jì)算機(jī)上鼠標(biāo)的每一下移動(dòng)，他都可以盡收眼底。而且還能夠控制你的鼠標(biāo)和鍵盤(pán)去做他想做的任何事，比如打開(kāi)你珍藏的好友照片，然后在你面前將它永久刪除。（2）木馬主要以網(wǎng)絡(luò)為依托進(jìn)行傳播，偷取用戶隱私資料是其主要目的。而且這些木馬病毒多具有引誘性與欺騙性，是病毒新的危害趨勢(shì)。2006年2月，著名導(dǎo)演陳凱歌炮轟網(wǎng)絡(luò)搞笑電影一個(gè)饅頭引發(fā)的血案，該事件迅速成為網(wǎng)民關(guān)注的焦點(diǎn)。黑客往往會(huì)在熱門(mén)帖子下面跟帖，以“最全的饅頭血案提供下載、免注冊(cè)快速下載饅頭血案”等名義誘騙用戶下載，用戶下載運(yùn)行之后會(huì)被病毒感染，中毒電腦會(huì)遭黑客遠(yuǎn)程控制、竊取密碼等。2004年國(guó)內(nèi)危害最嚴(yán)重的十種木馬是：QQ木馬、網(wǎng)銀木馬、MSN木馬、傳奇木馬、劍網(wǎng)木馬、灰鴿子、蜜峰大盜、黑洞木馬、廣告木馬。4）木馬的檢測(cè)和清除1、查看開(kāi)放端口當(dāng)前最為常見(jiàn)的木馬通常是基于TCP/UDP協(xié)議進(jìn)行客戶端與服務(wù)器端之間通信的。因此，就可以通過(guò)查看在本機(jī)上開(kāi)放的端口，看是否有可疑的程序打開(kāi)了某個(gè)可疑的端口。例如， “冰河”木馬使用的監(jiān)聽(tīng)端口是7626，Back Orifice 2000使用的監(jiān)聽(tīng)端口是54320等。假如查看到有可疑的程序在利用可疑端口進(jìn)行連接，則很有可能就是感染了木馬。 2、查看和恢復(fù)win.ini和system.ini系統(tǒng)配置文件3、查看啟動(dòng)程序并刪除可疑的啟動(dòng)程序4、查看系統(tǒng)進(jìn)程并停止可疑的系統(tǒng)進(jìn)程5、查看和還原注冊(cè)表 (五) 典型的病毒實(shí)例-蠕蟲(chóng)病毒1） 定義2）作為對(duì)互聯(lián)網(wǎng)危害嚴(yán)重的一種計(jì)算機(jī)程序，其破壞力和傳染性不容忽視。與傳統(tǒng)的病毒不同，蠕蟲(chóng)病毒以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊對(duì)象。2）蠕蟲(chóng)病毒與一般病毒的區(qū)別3） 蠕蟲(chóng)病毒的基本結(jié)構(gòu)和傳播方式 傳播模塊 該模塊負(fù)責(zé)蠕蟲(chóng)的傳播，可分為三個(gè)基本模塊，即掃描模塊、攻擊模塊和復(fù)制模塊。 隱藏模塊 該模塊是病毒侵入主機(jī)后，隱藏蠕蟲(chóng)程序，防止被用戶發(fā)現(xiàn)。 目的功能模塊 該模塊是實(shí)現(xiàn)對(duì)計(jì)算機(jī)的控制、監(jiān)視和破壞等。傳播方式： 掃描 由掃描功能模塊負(fù)責(zé)收集目標(biāo)主機(jī)的信息，尋找可利用的漏洞或弱點(diǎn)，方法是用掃描器掃描主機(jī)，探測(cè)主機(jī)的操作系統(tǒng)類型、主機(jī)名、用戶名、開(kāi)放的端口、開(kāi)放的服務(wù)、開(kāi)放的服務(wù)器軟件版本等。 攻擊 攻擊模塊按步驟自動(dòng)攻擊前面掃描中找到的對(duì)象，取得該主機(jī)的權(quán)限。 復(fù)制 復(fù)制模塊通過(guò)原主機(jī)和新主機(jī)的交互將蠕蟲(chóng)程序復(fù)制到新主機(jī)中并啟動(dòng)。 4）蠕蟲(chóng)的類別根據(jù)使用者情況的不同蠕蟲(chóng)可分為2類：面向企業(yè)用戶的蠕蟲(chóng)和面向個(gè)人用戶的蠕蟲(chóng)。按其傳播和攻擊特征蠕蟲(chóng)可分為3類：漏洞蠕蟲(chóng) 69% “紅色代碼”“SQL蠕蟲(chóng)王”，郵件蠕蟲(chóng) 27%“求職信”蠕蟲(chóng)， 傳統(tǒng)蠕蟲(chóng) 4%。蠕蟲(chóng)病毒之一尼姆達(dá)病毒一種新型的惡意蠕蟲(chóng)，影響所有未安裝補(bǔ)丁的Windows系統(tǒng)，破壞力極大。通過(guò)email郵件傳播；通過(guò)網(wǎng)絡(luò)共享傳播 ；通過(guò)主動(dòng)掃描并攻擊未打補(bǔ)丁的IIS服務(wù)器傳播 ；通過(guò)瀏覽被篡改網(wǎng)頁(yè)傳播 。產(chǎn)生大量的垃圾郵件 ；用蠕蟲(chóng)副本替換系統(tǒng)文件；可能影響word,frontpage等軟件正常工作；嚴(yán)重降低系統(tǒng)以及網(wǎng)絡(luò)性能；創(chuàng)建開(kāi)放共享，大大降低了系統(tǒng)的安全性 ；將Guest帳號(hào)賦予管理員權(quán)限，降低了系統(tǒng)的安全性。例如尼姆達(dá)病毒，會(huì)搜索本地網(wǎng)絡(luò)的文件共享，無(wú)論是文件服務(wù)器還是終端客戶機(jī)，一旦找到，便安裝一個(gè)隱藏文件，名為Riched20.DLL到每一個(gè)包含DOC和eml文件的目錄中，當(dāng)用戶通過(guò)Word、寫(xiě)字板、Outlook打開(kāi)DOC和eml文檔時(shí)，這些應(yīng)用程序?qū)?zhí)行Riched20.DLL文件，從而使機(jī)器被感染，同時(shí)該病毒還可以感染遠(yuǎn)程服務(wù)器被啟動(dòng)的文件。帶有尼姆達(dá)病毒的電子郵件，不需你打開(kāi)附件，只要閱讀或預(yù)覽了帶病毒的郵件，就會(huì)繼續(xù)發(fā)送帶毒郵件給你通訊簿里的朋友。5）企業(yè)類蠕蟲(chóng)病毒的防范 加強(qiáng)網(wǎng)絡(luò)管理員安全管理水平，提高安全意識(shí)建立病毒檢測(cè)系統(tǒng)?？稍诘谝粫r(shí)間內(nèi)檢測(cè)到網(wǎng)絡(luò)的異常和病毒攻擊 建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險(xiǎn)減少到最低 建立備份和容災(zāi)系統(tǒng) 6）個(gè)人用戶蠕蟲(chóng)病毒的分析和防范對(duì)于個(gè)人用戶而言，威脅大的蠕蟲(chóng)病毒一般通過(guò)電子郵件和惡意網(wǎng)頁(yè)傳播方式。2）（六）計(jì)算機(jī)病毒的現(xiàn)狀惡性病毒爆發(fā)頻繁木馬病毒超過(guò)蠕蟲(chóng)病毒的趨勢(shì)集多種傳播方式，多種攻擊手段于一身，形成一種廣義的“新病毒”。（七）計(jì)算機(jī)病毒