第5章 病毒分析與防御

1、第第5 5章章 病毒分析與防御病毒分析與防御 教學(xué)提示隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，計(jì)算機(jī)病毒也隨之產(chǎn)生和發(fā)展，給我們的日常應(yīng)用造成了很大的負(fù)面影響，要想解決這個(gè)棘手的問(wèn)題，就要求我們對(duì)病毒有一個(gè)全面清楚的了解。本章講述計(jì)算機(jī)病毒產(chǎn)生發(fā)展的歷史、病毒的定義、病毒的產(chǎn)生原因及來(lái)源、病毒的特征、分類以及病毒傳染后的表現(xiàn)、病毒機(jī)制與組成結(jié)構(gòu)；并介紹病毒的發(fā)展趨勢(shì)。教學(xué)要求本章要求了解計(jì)算機(jī)病毒發(fā)展的歷史和病毒的發(fā)展趨勢(shì)；掌握病毒的定義、特征、分類、傳播方式和病毒的產(chǎn)生基理等。5.1 計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒概述o我們要認(rèn)識(shí)病毒，就要從病毒的產(chǎn)生、發(fā)展、分類、特性和傳染途徑的各個(gè)方面對(duì)病毒有個(gè)全

2、面的了解。 5.1.1 計(jì)算機(jī)病毒產(chǎn)生發(fā)展的歷史計(jì)算機(jī)病毒產(chǎn)生發(fā)展的歷史5.1.2 計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒的定義o 計(jì)算機(jī)病毒指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。o 但隨著Internet技術(shù)的發(fā)展，計(jì)算機(jī)病毒的定義正在逐步發(fā)生著變化，與計(jì)算機(jī)病毒的特征和危害有類似之處的“特洛伊木馬”和“蠕蟲”從廣義的角度而言也可歸為計(jì)算機(jī)病毒。特洛伊木馬(Trojan horse)是一種黑客程序，是一種潛伏執(zhí)行非授權(quán)功能的技術(shù)，它在正常程序中存放秘密指令，使計(jì)算機(jī)在仍能完成原先指定任務(wù)的情況下，執(zhí)行非授權(quán)功能。“蠕蟲”(W

3、orm)是一個(gè)程序或程序序列，通過(guò)分布式網(wǎng)絡(luò)來(lái)擴(kuò)散傳播特定的信息或錯(cuò)誤，進(jìn)而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖或系統(tǒng)崩潰。 5.1.3 計(jì)算機(jī)病毒的產(chǎn)生原因及來(lái)源計(jì)算機(jī)病毒的產(chǎn)生原因及來(lái)源o(1) 惡作劇類型，有些愛(ài)好計(jì)算機(jī)并對(duì)計(jì)算機(jī)技術(shù)精通的人士為了炫耀自己的高超技術(shù)和智慧，憑借對(duì)軟硬件的深入了解，編制這些特殊的程序。這些程序通過(guò)載體傳播出去后，在一定條件下被觸發(fā)，其目的是自我表現(xiàn)一下，這類病毒一般都是良性的，不會(huì)有破壞操作。o(2) 報(bào)復(fù)心理型，有些人對(duì)社會(huì)不滿或受到不公證的待遇，他就有可能會(huì)編制一些危險(xiǎn)的程序。有這樣的事例：某公司職員在職期間編制了一段代碼隱藏在其公司的系統(tǒng)中，一旦檢測(cè)到他的

4、名字在工資報(bào)表中被刪除，該程序立即發(fā)作，破壞整個(gè)系統(tǒng)。o(3) 版權(quán)保護(hù)類型，由于很多商業(yè)軟件被非法復(fù)制，有些開發(fā)商為了保護(hù)自己的利益制作了一些特殊程序附加在產(chǎn)品中。如：Pakistan病毒，其制作者是為了追蹤那些非法復(fù)制他們產(chǎn)品的用戶。o(4) 特殊目的類型，某組織或個(gè)人為達(dá)到特殊目的，對(duì)政府機(jī)構(gòu)、單位的特殊系統(tǒng)進(jìn)行宣傳或破壞，或用于軍事目的。還有出于好奇，為了報(bào)復(fù)，為了祝賀，為了得到控制密碼，為了未拿到所編制軟件的報(bào)酬預(yù)留的陷阱等原因。 5.1.4 計(jì)算機(jī)病毒的特性計(jì)算機(jī)病毒的特性o 1計(jì)算機(jī)病毒的傳染性o 2計(jì)算機(jī)病毒的可執(zhí)行性 o 3計(jì)算機(jī)病毒的可觸發(fā)性o 4計(jì)算機(jī)病毒的破壞性o 5計(jì)

5、算機(jī)病毒的非授權(quán)性o 6計(jì)算機(jī)病毒的隱蔽性5.1.5 計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類o 1按照計(jì)算機(jī)病毒攻擊的操作系統(tǒng)不同分類o 2按照病毒的攻擊機(jī)型不同分類o 3按照計(jì)算機(jī)病毒的鏈接方式不同分類 o 4按照計(jì)算機(jī)病毒的破壞情況不同分類o 5按照傳播媒介不同分類o 6按傳染方式不同分類o 7根據(jù)病毒特有的算法不同分類5.1.6 計(jì)算機(jī)病毒感染的表現(xiàn)計(jì)算機(jī)病毒感染的表現(xiàn)o 在一般情況下，計(jì)算機(jī)在感染病毒后總有一些異?，F(xiàn)象出現(xiàn)，其中具有代表性的行為有電腦動(dòng)作比平常遲鈍；程序載入時(shí)間比平時(shí)長(zhǎng)，這是因?yàn)橛行┎《灸芸刂瞥绦蚧蛳到y(tǒng)的啟動(dòng)程序，當(dāng)系統(tǒng)剛開始啟動(dòng)或是一個(gè)應(yīng)用程序被載入時(shí)，將執(zhí)行這些病毒，因而

6、會(huì)花更多時(shí)間來(lái)載入程序；對(duì)一個(gè)簡(jiǎn)單的工作，磁盤似乎花了比預(yù)期長(zhǎng)的時(shí)間；不尋常的錯(cuò)誤信息出現(xiàn)，表示病毒已經(jīng)試圖去讀取磁盤并感染它，特別是當(dāng)這種信息出現(xiàn)繁復(fù)時(shí)；硬盤的指示燈無(wú)緣無(wú)故地閃亮；系統(tǒng)內(nèi)存忽然大量減少，有些病毒會(huì)消耗大量的內(nèi)存，曾經(jīng)執(zhí)行過(guò)的程序，再次執(zhí)行時(shí)，突然提示沒(méi)有足夠的空間可以利用；磁盤可利用的空間突然減少，這個(gè)信息表明病毒已經(jīng)開始復(fù)制了；可執(zhí)行文件的大小改變了，正常情況下，這些程序應(yīng)該維持固定的大小，但有些不太高明的病毒會(huì)增加程序的大??；壞道增加，有些病毒會(huì)將某些磁道標(biāo)注為壞道，而將自己隱藏其中，于是掃毒軟體往往也無(wú)法檢查病毒的存在，如Disk_Killer會(huì)尋找3或5個(gè)連續(xù)未用的

7、磁區(qū)，并將其標(biāo)示為壞道；內(nèi)存中增加來(lái)路不明的常駐程序或進(jìn)程；文件奇怪地消失；文件的內(nèi)容被加進(jìn)一些奇怪的資料；文件名稱、日期、屬性等被修改過(guò)等。5.2 病毒機(jī)制與組成結(jié)構(gòu)病毒機(jī)制與組成結(jié)構(gòu)5.2.1 計(jì)算機(jī)病毒的組成結(jié)構(gòu)計(jì)算機(jī)病毒的組成結(jié)構(gòu) o雖然計(jì)算機(jī)病毒的種類很多，但通過(guò)分析現(xiàn)有的計(jì)算機(jī)病毒，發(fā)現(xiàn)幾乎所有的計(jì)算機(jī)病毒都是由3個(gè)部分組成，即引導(dǎo)模塊、傳染模塊和表現(xiàn)模塊。 5.2.2 計(jì)算機(jī)病毒的傳染計(jì)算機(jī)病毒的傳染o1計(jì)算機(jī)病毒的傳染方式和途徑o2計(jì)算機(jī)病毒的傳染過(guò)程o3系統(tǒng)型病毒傳染機(jī)理o4文件型病毒傳染機(jī)理5.2.3 計(jì)算機(jī)病毒的觸發(fā)機(jī)計(jì)算機(jī)病毒的觸發(fā)機(jī)制制o 1時(shí)間觸發(fā)o 2鍵盤觸發(fā)o

8、3感染觸發(fā) o 4啟動(dòng)觸發(fā)o 5訪問(wèn)磁盤次數(shù)觸發(fā)o 6調(diào)用中斷功能觸發(fā)o 7CPU型號(hào)/主板型號(hào)觸發(fā)5.2.4 計(jì)算機(jī)病毒的生存周期計(jì)算機(jī)病毒的生存周期o計(jì)算機(jī)病毒的產(chǎn)生過(guò)程可分為程序設(shè)計(jì)傳播潛伏觸發(fā)運(yùn)行實(shí)行攻擊。計(jì)算機(jī)病毒擁有一個(gè)完整的生命周期，從產(chǎn)生到徹底根除，下面就描述病毒生命周期的各個(gè)時(shí)期。5.3 病毒實(shí)例剖析 o 5.3.1 Nimda蠕蟲病毒剖析 傳播方式:o通過(guò)電子郵件從一個(gè)客戶端感染另一個(gè)客戶端o通過(guò)開放的網(wǎng)絡(luò)共享從一個(gè)客戶端感染另一個(gè)客戶端o通過(guò)瀏覽被感染的網(wǎng)站從Web 服務(wù)器感染客戶端o通過(guò)主動(dòng)掃描或利用 “Microsoft IIS 4.0 / 5.0 directory

9、 traversal”的缺陷”從客戶端感染W(wǎng)eb 服務(wù)器o通過(guò)掃描 “Code Red” (IN-2001-09),和 “sadmind/IIS” (CA-2001-11) 留下的后門從客戶端感染W(wǎng)eb 服務(wù)器o感染Nimda 病毒的機(jī)器會(huì)不斷向Windows 的地址薄中的所有的郵件發(fā)送攜帶了Nimda病毒的郵件的拷貝。o同樣的，客戶端機(jī)器會(huì)掃描有漏洞的IIS 服務(wù)器。Nimda 會(huì)搜尋以前的IIS蠕蟲病毒留下的后門：Code Red II IN-2001-09 和 sadmind/IIS worm CA-2001-11； 它也試圖利用IIS Directory Traversal 漏洞 (V

10、U #111677)。o初步分析表明, 該病毒除了改變網(wǎng)頁(yè)的目錄以繁衍自身外沒(méi)有其它破壞性的行為。但通過(guò)大量發(fā)送電子郵件和掃描網(wǎng)絡(luò)可以導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”（DoS）。o 5.3.2 CodeRedII剖析o Code Red蠕蟲能夠迅速傳播，并造成大范圍的訪問(wèn)速度下降甚至阻斷。紅色代碼蠕蟲造成的破壞主要是涂改網(wǎng)頁(yè),對(duì)網(wǎng)絡(luò)上的其它服務(wù)器進(jìn)行攻擊，被攻擊的服務(wù)器又可以繼續(xù)攻擊其它服務(wù)器。在每月的20-27日，向特定IP地址1()發(fā)動(dòng)攻擊。病毒最初于7月19日首次爆發(fā)，7月31日該病毒再度爆發(fā)，但由于大多數(shù)計(jì)算機(jī)用戶都提前安裝了修補(bǔ)軟件

11、，所以該病毒第二次爆發(fā)的破壞程度明顯減弱 。o“紅色代碼”病毒是通過(guò)微軟公司IIS系統(tǒng)漏洞進(jìn)行感染，它使IIS服務(wù)程序處理請(qǐng)求數(shù)據(jù)包時(shí)溢出，導(dǎo)致把此“數(shù)據(jù)包”當(dāng)作代碼運(yùn)行，病毒駐留后再次通過(guò)此漏洞感染其它服務(wù)器。Code Red采用了一種叫做緩存區(qū)溢出的黑客技術(shù)，利用網(wǎng)絡(luò)上使用微軟IIS系統(tǒng)的服務(wù)器來(lái)進(jìn)行病毒的傳播。這個(gè)蠕蟲病毒使用服務(wù)器的端口80進(jìn)行傳播，而這個(gè)端口正是Web服務(wù)器與瀏覽器進(jìn)行信息交流的渠道。o與其它病毒不同的是，“紅色代碼” 不同于以往的文件型病毒和引導(dǎo)型病毒，并不將病毒信息寫入被攻擊服務(wù)器的硬盤。它只存在于內(nèi)存，傳染時(shí)不通過(guò)文件這一常規(guī)載體，而是借助這個(gè)服務(wù)器的網(wǎng)絡(luò)連接攻

12、擊其它的服務(wù)器，直接從一臺(tái)電腦內(nèi)存?zhèn)鞯搅硪慌_(tái)電腦內(nèi)存。當(dāng)本地IIS服務(wù)程序收到某個(gè)來(lái)自“紅色代碼”發(fā)送的請(qǐng)求數(shù)據(jù)包時(shí)，由于存在漏洞，導(dǎo)致處理函數(shù)的堆棧溢出。當(dāng)函數(shù)返回時(shí)，原返回地址已被病毒數(shù)據(jù)包覆蓋，程序運(yùn)行線跑到病毒數(shù)據(jù)包中，此時(shí)病毒被激活，并運(yùn)行在IIS服務(wù)程序的堆棧中。o “紅色代碼II”病毒代碼首先會(huì)判斷內(nèi)存中是否以注冊(cè)了一個(gè)名為CodeRedII的Atom(系統(tǒng)用于對(duì)象識(shí)別)，如果已存在此對(duì)象，表示此機(jī)器已被感染，病毒進(jìn)入無(wú)限休眠狀態(tài)，未感染則注冊(cè)Atom并創(chuàng)建300個(gè)病毒線程，當(dāng)判斷到系統(tǒng)默認(rèn)的語(yǔ)言ID是中華人民共和國(guó)或中國(guó)臺(tái)灣時(shí)，線程數(shù)猛增到600個(gè)，創(chuàng)建完畢后初始化病毒體內(nèi)的一

13、個(gè)隨機(jī)數(shù)發(fā)生器，此發(fā)生器產(chǎn)生用于病毒感染的目標(biāo)電腦IP地址。每個(gè)病毒線程每100毫秒就會(huì)向一隨機(jī)地址的80端口發(fā)送一長(zhǎng)度為3818字節(jié)的病毒傳染數(shù)據(jù)包。巨大的病毒數(shù)據(jù)包使網(wǎng)絡(luò)陷于癱瘓。o 5.3.3 CIH病毒oCIH病毒查殺:目前市面上大部分殺軟如金山毒霸,江民殺毒軟件等都能有效查殺此病毒,而且目前市面上絕大多數(shù)電腦都已使用win XP系統(tǒng),此病毒對(duì)NT以上系統(tǒng) (winNT, 2000, XP, 2003, VISTA, window 7等)已無(wú)危害 。oCIH病毒是一種能夠破壞計(jì)算機(jī)系統(tǒng)硬件的惡性病毒。據(jù)目前掌握的材料來(lái)看，這個(gè)病毒產(chǎn)自臺(tái)灣，最早隨國(guó)際兩大盜版集團(tuán)販賣的盜版光盤在歐美等地

14、廣泛傳播，隨后進(jìn)一步通過(guò)Internet傳播到全世界各個(gè)角落。 oo CIH屬惡性病毒，當(dāng)其發(fā)作條件成熟時(shí)，其將破壞硬盤數(shù)據(jù)，同時(shí)有可能破壞BIOS程序，其發(fā)作特征是：o 1、以2048個(gè)扇區(qū)為單位，從硬盤主引導(dǎo)區(qū)開始依次往硬盤中寫入垃圾數(shù)據(jù)，直到硬盤數(shù)據(jù)被全部破壞為止。最壞的情況下硬盤所有數(shù)據(jù)(含全部邏輯盤數(shù)據(jù))均被破壞，如果重要信息沒(méi)有備份，那就只有哭了！o 2、某些主板上的Flash Rom中的BIOS信息將被清除。5.4 病毒的防范與清除o病毒有那么大的威脅，我們?nèi)绾畏婪?？萬(wàn)一不小心感染了病毒，怎樣清除？怎樣減少病毒對(duì)計(jì)算機(jī)的危害？首先要采取的措施就是病毒的防范，如果真的感染了要想辦法

15、徹底清除。5.4.1 防范病毒o計(jì)算機(jī)病毒防范，是指通過(guò)建立合理的計(jì)算機(jī)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒的侵入，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。5.4.2 檢測(cè)病毒 o想要知道自己的計(jì)算機(jī)中是否染有病毒，最簡(jiǎn)單的方法是想要知道自己的計(jì)算機(jī)中是否染有病毒，最簡(jiǎn)單的方法是用較新的防病毒軟件對(duì)磁盤進(jìn)行全面的檢測(cè)。但是防病毒用較新的防病毒軟件對(duì)磁盤進(jìn)行全面的檢測(cè)。但是防病毒軟件對(duì)于病毒來(lái)講，總是后發(fā)制人。如何能夠及早地發(fā)現(xiàn)軟件對(duì)于病毒來(lái)講，總是后發(fā)制人。如何能夠及早地發(fā)現(xiàn)新病毒呢？新病毒呢？o檢測(cè)病毒方法有：特征代碼法、校驗(yàn)和法、行為監(jiān)測(cè)法、檢測(cè)病毒方法

16、有：特征代碼法、校驗(yàn)和法、行為監(jiān)測(cè)法、軟件模擬法，這些方法依據(jù)的原理不同，實(shí)現(xiàn)時(shí)所需的開軟件模擬法，這些方法依據(jù)的原理不同，實(shí)現(xiàn)時(shí)所需的開銷也不同，同時(shí)檢測(cè)的范圍也不同，各有所長(zhǎng)。銷也不同，同時(shí)檢測(cè)的范圍也不同，各有所長(zhǎng)。 o軟件模擬法軟件模擬法開始使用特征代碼法監(jiān)測(cè)病毒，如果發(fā)現(xiàn)隱蔽病毒或多態(tài)性病毒嫌疑時(shí)，啟動(dòng)軟件模擬模塊，監(jiān)測(cè)病毒的運(yùn)行，待病毒自身的密碼譯碼后，再運(yùn)用特征代碼法來(lái)識(shí)別病毒的種類。o特征代碼法采集病毒樣本，抽取特征代碼特點(diǎn)：能快速、準(zhǔn)確檢驗(yàn)已知病毒，不能發(fā)現(xiàn)未知的病毒。校驗(yàn)和法： 根據(jù)文件內(nèi)容計(jì)算的校驗(yàn)和與以前的作比較。優(yōu)點(diǎn)：能判斷文件細(xì)微變化，發(fā)現(xiàn)未知病毒。缺點(diǎn)：當(dāng)軟件升級(jí)

17、、改口令時(shí)會(huì)產(chǎn)生誤報(bào)；不能識(shí)別病毒名稱；對(duì)隱蔽性病毒無(wú)效。行為監(jiān)測(cè)法： 基于對(duì)病毒特有行為的判斷特點(diǎn)：發(fā)現(xiàn)許多未知病毒；可能誤報(bào)，實(shí)施難軟件模擬法：一種軟件分析器，用軟件方法來(lái)模擬和分析程序的運(yùn)行。 特點(diǎn)：可用于對(duì)付多態(tài)病毒。5.5 病毒和反病毒的發(fā)展趨勢(shì)病毒和反病毒的發(fā)展趨勢(shì)5.5.1 病毒的發(fā)展趨勢(shì)病毒的發(fā)展趨勢(shì)o 隨著計(jì)算機(jī)軟、硬件水平的不斷發(fā)展，近年來(lái)，計(jì)算機(jī)病毒技術(shù)也是突飛猛進(jìn)，病毒對(duì)于人類造成的影響已經(jīng)越來(lái)越大，從最早的單片機(jī)到現(xiàn)在的手機(jī)，病毒也隨著世界的進(jìn)步而不斷發(fā)展，今天的病毒主要朝著智能對(duì)抗反病毒手段和有目的方向發(fā)展。 5.5.2 病毒清除技術(shù)的發(fā)展趨勢(shì)病毒清除技術(shù)的發(fā)展趨勢(shì)

18、o1實(shí)時(shí)監(jiān)測(cè)技術(shù)o2自動(dòng)解壓縮技術(shù)o3跨平臺(tái)反病毒技術(shù)5.5.3 防病毒系統(tǒng)的要求防病毒系統(tǒng)的要求o 1完整的產(chǎn)品體系和較高的病毒檢測(cè)率 o 2功能完善的防病毒軟件控制臺(tái)o 3減少通過(guò)廣域網(wǎng)進(jìn)行管理的流量o 4對(duì)計(jì)算機(jī)病毒的實(shí)時(shí)防范能力o 5快速及時(shí)的病毒特征碼升級(jí)5.6 本 章 實(shí) 訓(xùn) o實(shí)訓(xùn)1：病毒代碼特征分析o實(shí)訓(xùn)2：防病毒軟件應(yīng)用5.7 本章習(xí)題填空題o(1) 計(jì)算機(jī)病毒雖然種類很多，通過(guò)分析現(xiàn)有的計(jì)算機(jī)病毒，幾乎所有的計(jì)算機(jī)病毒都是由3個(gè)部分組成，即_、_和_。o(2) 病毒不斷發(fā)展，我們把病毒按時(shí)間和特征分成_個(gè)階段。o(3) 病毒按傳染方式可分為_型病毒、_型病毒和_型病毒3種。o(4) 目前病毒采用的觸發(fā)條件主要有以下幾種：_觸發(fā)、鍵盤觸發(fā)、感染觸發(fā)、_觸發(fā)、訪問(wèn)磁盤次數(shù)觸發(fā)、調(diào)用中斷功能觸發(fā)和CPU型號(hào)/主板型號(hào)觸發(fā)。o(5) 現(xiàn)在世界上成熟的反病毒技術(shù)已經(jīng)完全可以徹底預(yù)防、徹底殺除所有的已知病毒，其中主要涉及以下3大技術(shù)：_技術(shù)、_技術(shù)和全平臺(tái)反病毒技術(shù)。選擇題o (1) ( )是病毒