第8講-計(jì)算機(jī)病毒、攻擊

第8講

計(jì)算機(jī)病毒

與攻擊網(wǎng)絡(luò)與信息安全Ⅰ主要內(nèi)容計(jì)算機(jī)病毒概述1計(jì)算機(jī)病毒防治中的常見(jiàn)問(wèn)題2黑客及攻擊3信息時(shí)代威脅圖8.1計(jì)算機(jī)病毒概述一、計(jì)算機(jī)病毒發(fā)展簡(jiǎn)史1．計(jì)算機(jī)病毒的概念對(duì)于病毒概念的起源可追溯到科幻小說(shuō)。在20世紀(jì)70年代，美國(guó)作家雷恩出版的《P1的青春》一書(shū)中構(gòu)思了一種能夠自我復(fù)制、利用通信進(jìn)行傳播的計(jì)算機(jī)程序，并稱之為計(jì)算機(jī)病毒。“病毒”一詞是借用生物學(xué)中的病毒。通過(guò)分析研究計(jì)算機(jī)病毒，人們發(fā)現(xiàn)它在很多方面與生物病毒有著相似之處。計(jì)算機(jī)病毒有很多種定義，從廣義上講，凡是能引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)中數(shù)據(jù)的程序都統(tǒng)稱為計(jì)算機(jī)病毒。依據(jù)此定義，諸如邏輯炸彈、蠕蟲(chóng)等均可稱為計(jì)算機(jī)病毒?，F(xiàn)今國(guó)外流行的定義是：計(jì)算機(jī)病毒是一段依附在其他程序上，可以實(shí)現(xiàn)自我繁殖的程序代碼。在國(guó)內(nèi)，《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》對(duì)病毒的定義為：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用，并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。2．計(jì)算機(jī)病毒發(fā)展簡(jiǎn)史（1）DOS病毒（2）Windows病毒（3）計(jì)算機(jī)網(wǎng)絡(luò)病毒二、計(jì)算機(jī)病毒的分類1．按傳染方式分類（1）引導(dǎo)型病毒（2）文件型病毒（3）復(fù)合型病毒2．按寄生方式分類（1）操作系統(tǒng)型病毒（2）外殼型病毒（3）入侵型病毒（4）源碼型病毒3．按危害程度分類（1）良性病毒又稱表現(xiàn)型病毒（2）惡性病毒又稱破壞型病毒（3）中性病毒是指那些既不對(duì)計(jì)算機(jī)系統(tǒng)造成直接破壞，又沒(méi)有表現(xiàn)癥狀，只是瘋狂地復(fù)制自身的計(jì)算機(jī)病毒，也就是常說(shuō)的蠕蟲(chóng)型病毒4．按攻擊對(duì)象分類（1）攻擊DOS的病毒（2）攻擊Windows的病毒（3）攻擊網(wǎng)絡(luò)的病毒三、計(jì)算機(jī)病毒的特征1．傳染性2．破壞性3．潛伏性4．可觸發(fā)性5．演變性6．不可預(yù)見(jiàn)性病毒的危害情況病毒感染的途徑（1）引進(jìn)的計(jì)算機(jī)系統(tǒng)和軟件中帶有病毒。

（2）各類出國(guó)人員帶回的機(jī)器和軟件染有病毒。

（3）染有病毒的游戲軟件。

（4）非法拷貝中毒。

（5）計(jì)算機(jī)生產(chǎn)、經(jīng)營(yíng)單位銷售的機(jī)器和軟件染有病毒。

（6）維修部門交叉感染。

（7）有人研制、改造病毒。

（8）敵對(duì)分子以病毒為媒體或武器進(jìn)行宣傳和破壞。（9）通過(guò)互聯(lián)網(wǎng)（訪問(wèn)web、下載email和文件等）傳入的。按照病毒編造者的目的，病毒大概有以下幾種來(lái)源：

1．研究、興趣等目的；2．游戲、惡作劇、表現(xiàn)欲等目的；

3．軟件保護(hù)目的；4．破壞、報(bào)復(fù)目的；5．軍事目的制造計(jì)算機(jī)病毒者，歸納起來(lái)有6類人：

1．學(xué)生、研究生和學(xué)者；2．玩家；3．電腦學(xué)會(huì)

4．軟件商；5．

職員；6．恐怖組織8.2計(jì)算機(jī)病毒防治中的常見(jiàn)問(wèn)題一、根據(jù)名稱識(shí)別計(jì)算機(jī)病毒下面是對(duì)一些常見(jiàn)病毒前綴的解釋。1．系統(tǒng)病毒系統(tǒng)病毒的前綴為：Win32、PE、Win95、W32、W95等，這些病毒的一般共有特性是可以感染windows操作系統(tǒng)的*.exe和*.dll文件，并通過(guò)這些文件進(jìn)行傳播。如CIH病毒。2．蠕蟲(chóng)病毒蠕蟲(chóng)病毒的前綴是：Worm。這種病毒的共有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲(chóng)病毒都有向外發(fā)送帶毒郵件、阻塞網(wǎng)絡(luò)的特性。比如沖擊波（阻塞網(wǎng)絡(luò)），小郵差（發(fā)帶毒郵件）等。

3．木馬病毒、黑客病毒木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為Hack。木馬病毒的共有特性是通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入用戶的系統(tǒng)并隱藏，然后向外界泄露用戶的信息；而黑客病毒則有一個(gè)可視的界面，能對(duì)用戶的計(jì)算機(jī)進(jìn)行遠(yuǎn)程控制。木馬、黑客病毒往往是成對(duì)出現(xiàn)的，即木馬病毒負(fù)責(zé)侵入用戶的計(jì)算機(jī)，黑客病毒則會(huì)通過(guò)該木馬病毒來(lái)進(jìn)行控制。現(xiàn)在這兩種類型都越來(lái)越趨向于整合了。

一般的木馬如QQ消息尾巴木馬Trojan.QQ3344，還有比較多見(jiàn)的針對(duì)網(wǎng)絡(luò)游戲的木馬病毒，如Trojan.LMir.PSW.60。病毒名中有PSW或者PWD之類的，一般都表示這個(gè)病毒有盜取密碼的功能（這些字母為“密碼”的英文“password”縮寫(xiě)）。一些黑客程序，如網(wǎng)絡(luò)梟雄（Hack.Nether.Client）等。4．腳本病毒腳本病毒的前綴是：Script。腳本病毒的共有特性是使用腳本語(yǔ)言編寫(xiě)，通過(guò)網(wǎng)頁(yè)進(jìn)行傳播的病毒，如紅色代碼（Script.Redlof）。腳本病毒還會(huì)有如下前綴：VBS、JS（表明是何種腳本編寫(xiě)的），如歡樂(lè)時(shí)光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。5．宏病毒其實(shí)宏病毒也是腳本病毒的一種，由于它的特殊性，因此單獨(dú)算成一類。宏病毒的前綴是：Macro，第二前綴是：Word、Word97、Excel、Excel97。感染W(wǎng)ORD97及以前版本W(wǎng)ORD文檔的病毒，采用Word97作為第二前綴，格式是：Macro.Word97；感染W(wǎng)ORD97以后版本W(wǎng)ORD文檔的病毒，采用Word作為第二前綴，格式是：Macro.Word；感染EXCEL97及以前版本EXCEL文檔的病毒，采用Excel97作為第二前綴，格式是：Macro.Excel97；感染EXCEL97以后版本EXCEL文檔的病毒，采用Excel作為第二前綴，格式是：Macro.Excel，依此類推。該類病毒的共有特性是能感染OFFICE系列文檔，然后通過(guò)OFFICE通用模板進(jìn)行傳播，如：美麗莎病毒（Macro.Melissa）。6．后門病毒后門病毒的前綴是：Backdoor。該類病毒的共有特性是通過(guò)網(wǎng)絡(luò)傳播，給系統(tǒng)開(kāi)后門，給用戶計(jì)算機(jī)埋下安全隱患。如很多用戶遇到過(guò)的IRC后門Backdoor.IRCBot。7．病毒種植程序病毒

這類病毒的共有特性是運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一個(gè)或幾個(gè)新的病毒到系統(tǒng)目錄下，由釋放出來(lái)的新病毒產(chǎn)生破壞。如：冰河播種者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。8．破壞性程序病毒破壞性程序病毒的前綴是：Harm。這類病毒的共有特性是以好看的圖標(biāo)來(lái)誘惑用戶單擊。當(dāng)用戶單擊這類病毒時(shí)，病毒便會(huì)直接對(duì)用戶計(jì)算機(jī)產(chǎn)生破壞。如：格式化C盤（Harm.formatC.f）、殺手命令（Harm.Command.Killer）等。9．玩笑病毒玩笑病毒的前綴是：Joke，也稱惡作劇病毒。這類病毒的共有特性也是以好看的圖標(biāo)來(lái)誘惑用戶單擊。當(dāng)用戶單擊這類病毒時(shí)，病毒會(huì)做出各種破壞操作來(lái)嚇唬用戶，其實(shí)病毒并沒(méi)有對(duì)用戶計(jì)算機(jī)進(jìn)行任何破壞。如：女鬼（Joke.Girlghost）病毒。10．捆綁機(jī)病毒捆綁機(jī)病毒的前綴是：Binder。這類病毒的共有特性是病毒作者會(huì)使用特定的捆綁程序?qū)⒉《九c一些應(yīng)用程序如QQ、IE捆綁起來(lái)，表面上看是一個(gè)正常的文件，當(dāng)用戶運(yùn)行這些捆綁病毒時(shí)，表面上是運(yùn)行這些應(yīng)用程序，實(shí)際上是隱藏運(yùn)行捆綁在一起的病毒，從而給用戶造成危害。如：捆綁QQ（Binder.QQPass.QQBin）、系統(tǒng)殺手（Binder.killsys）等。二、區(qū)別計(jì)算機(jī)病毒與計(jì)算機(jī)故障1．計(jì)算機(jī)病毒的現(xiàn)象與查解方法

在一般情況下，計(jì)算機(jī)病毒總是依附某一系統(tǒng)軟件或用戶程序進(jìn)行繁殖和擴(kuò)散的，病毒發(fā)作時(shí)危及計(jì)算機(jī)的正常工作，破壞數(shù)據(jù)與程序，侵犯計(jì)算機(jī)資源。計(jì)算機(jī)在感染病毒后，總是有一定規(guī)律地出現(xiàn)異?，F(xiàn)象，如下所列。（1）屏幕顯示異常，屏幕顯示出不是由正常程序產(chǎn)生的畫(huà)面，而是顯示混亂（2）程序裝入時(shí)間增長(zhǎng)，文件運(yùn)行速度下降（3）用戶沒(méi)有訪問(wèn)的設(shè)備卻出現(xiàn)工作信號(hào)（4）磁盤出現(xiàn)莫名其妙的文件和壞塊，卷標(biāo)發(fā)生變化（5）系統(tǒng)自行引導(dǎo)（6）丟失數(shù)據(jù)或程序，文件字節(jié)數(shù)發(fā)生變化（7）內(nèi)存空間、磁盤空間減?。?）異常死機(jī)（9）磁盤訪問(wèn)時(shí)間比平時(shí)增長(zhǎng)（10）系統(tǒng)引導(dǎo)時(shí)間增長(zhǎng)2．與病毒現(xiàn)象類似的硬件故障

（1）系統(tǒng)的硬件配置（2）電源電壓不穩(wěn)定（3）插件接觸不良（4）軟驅(qū)故障（5）CMOS的問(wèn)題3．與病毒現(xiàn)象類似的軟件故障

（1）出現(xiàn)“Invaliddrivespecification”（非法驅(qū)動(dòng)器號(hào)）（2）軟件程序已被破壞（非病毒）（3）DOS系統(tǒng)配置不當(dāng)（4）軟件與DOS版本的兼容性（5）引導(dǎo)過(guò)程故障（6）用不同的編輯軟件編寫(xiě)程序（7）有關(guān)FoxBASE問(wèn)題三、計(jì)算機(jī)病毒防治策略為什么需要策略？技術(shù)不能完全解決問(wèn)題策略是對(duì)技術(shù)的補(bǔ)充策略可以使有限技術(shù)發(fā)揮最大限度的作用計(jì)算機(jī)病毒防治策略的基本準(zhǔn)則拒絕訪問(wèn)能力來(lái)歷不明的各種應(yīng)用軟件，尤其是通過(guò)網(wǎng)絡(luò)傳過(guò)來(lái)的應(yīng)用軟件，不得進(jìn)入計(jì)算機(jī)系統(tǒng)。病毒檢測(cè)能力計(jì)算機(jī)病毒總是有機(jī)會(huì)進(jìn)入系統(tǒng)，因此，系統(tǒng)中應(yīng)設(shè)置檢測(cè)病毒的機(jī)制來(lái)阻止外來(lái)病毒的侵犯。計(jì)算機(jī)病毒防治策略的基本準(zhǔn)則清除能力如果病毒突破了系統(tǒng)的防護(hù)，即使它的傳播受到了控制，但也要有相應(yīng)的措施將它清除掉?？刂撇《緜鞑サ哪芰Ρ徊《靖腥緦⑹且粋€(gè)必然事件。關(guān)鍵是，一旦病毒進(jìn)入了系統(tǒng)，應(yīng)該具有阻止病毒在系統(tǒng)中到處傳播的能力和手段?；謴?fù)能力“在病毒被清除以前，就已經(jīng)破壞了系統(tǒng)中的數(shù)據(jù)”，是非?？膳碌怯址浅？赡馨l(fā)生的事件。因此，系統(tǒng)應(yīng)提供一種高效的方法來(lái)恢復(fù)這些數(shù)據(jù)，使數(shù)據(jù)損失盡量減到最少。替代操作可能會(huì)遇到這種情況：當(dāng)發(fā)生問(wèn)題時(shí)，手頭又沒(méi)有可用的技術(shù)來(lái)解決問(wèn)題，但是任務(wù)又必須繼續(xù)執(zhí)行下去。為了解決這種窘?jīng)r，系統(tǒng)應(yīng)該提供一種替代操作方案：在系統(tǒng)未恢復(fù)前用替代系統(tǒng)工作，等問(wèn)題解決以后再換回來(lái)。計(jì)算機(jī)病毒防治策略的基本準(zhǔn)則國(guó)家層面上的病毒防治策略第一，落實(shí)病毒防治的規(guī)章制度第二，建立我國(guó)的計(jì)算機(jī)病毒預(yù)警系統(tǒng)第三，建立快速、有效的病毒應(yīng)急體系第四，建立動(dòng)態(tài)的系統(tǒng)風(fēng)險(xiǎn)評(píng)估措施第五，建立病毒事故分析制度第六，制定備份和恢復(fù)計(jì)劃，減少損失第七，進(jìn)一步加強(qiáng)計(jì)算機(jī)安全培訓(xùn)第八，提高國(guó)內(nèi)運(yùn)營(yíng)商自身的安全性第九，加強(qiáng)技術(shù)防范措施病毒查殺能力對(duì)新病毒的反應(yīng)能力對(duì)文件的備份和恢復(fù)能力實(shí)時(shí)監(jiān)控功能及時(shí)有效的升級(jí)功能殺毒軟件必備功能智能安裝、遠(yuǎn)程識(shí)別功能界面友好、易于操作對(duì)現(xiàn)有資源的占用情況系統(tǒng)兼容性軟件的價(jià)格軟件商的實(shí)力殺毒軟件必備功能四、手機(jī)病毒手機(jī)病毒其實(shí)也和計(jì)算機(jī)病毒一樣，它可以通過(guò)計(jì)算機(jī)執(zhí)行從而向手機(jī)亂發(fā)短信息侵襲上網(wǎng)手機(jī)的病毒，會(huì)自動(dòng)啟動(dòng)電話錄音功能，并將錄音四處傳送，病毒也會(huì)自動(dòng)打出電話、刪除手機(jī)上的檔案內(nèi)容，以及制造出金額龐大的電話賬單四、手機(jī)病毒嚴(yán)格地講，手機(jī)病毒應(yīng)該是一種計(jì)算機(jī)病毒，這種病毒只能在計(jì)算機(jī)網(wǎng)絡(luò)上進(jìn)行傳播而不能通過(guò)手機(jī)進(jìn)行傳播，因此所謂的手機(jī)病毒其實(shí)是計(jì)算機(jī)病毒程序啟動(dòng)了電信公司的一項(xiàng)服務(wù)，例如電子郵件到手機(jī)短信息的功能，而且它發(fā)給手機(jī)的是文檔，根本就無(wú)破壞力可言。當(dāng)然也有的手機(jī)病毒破壞力還是比較大的，一旦發(fā)作可能比個(gè)人計(jì)算機(jī)病毒更厲害，傳播速度更快另外由于手機(jī)還有其他的數(shù)據(jù)通訊方式，例如短信息、WAP服務(wù)，以及GRPS高速因特網(wǎng)連接服務(wù)，一方面它們確實(shí)能給我們帶來(lái)方便，只需按幾個(gè)鍵就可以換個(gè)LOGO、下載喜愛(ài)的鈴聲，甚至可以實(shí)現(xiàn)高速的因特網(wǎng)連接。但也正是這些功能，可以寫(xiě)入系統(tǒng)或手機(jī)內(nèi)存指令，攻擊者只要找到缺口，傳出一個(gè)帶毒的短信息，以手機(jī)操作系統(tǒng)的匯編語(yǔ)言編寫(xiě)病毒指令，改變系統(tǒng)的機(jī)內(nèi)碼(machinecode)，將指令藏在記憶體中，然后再開(kāi)啟其他手機(jī)的電話本，大肆傳播病毒，在一定時(shí)間內(nèi)發(fā)作，破壞手機(jī)的開(kāi)機(jī)系統(tǒng)手機(jī)病毒按病毒形式可以分類1．通過(guò)“無(wú)紅傳送”藍(lán)牙設(shè)備傳播的病毒“卡比爾”、“Lasco.A”。小知識(shí)：“卡比爾”（Cabir）是一種網(wǎng)絡(luò)蠕蟲(chóng)病毒，它可以感染運(yùn)行“Symbian”操作系統(tǒng)的手機(jī)。手機(jī)中了該病毒后，使用藍(lán)牙無(wú)線功能會(huì)對(duì)鄰近的其它存在漏洞的手機(jī)進(jìn)行掃描，在發(fā)現(xiàn)漏洞手機(jī)后，病毒就會(huì)復(fù)制自己并發(fā)送到該手機(jī)上。Lasco.A病毒與蠕蟲(chóng)病毒一樣，通過(guò)藍(lán)牙無(wú)線傳播到其它手機(jī)上，當(dāng)用戶點(diǎn)擊病毒文件后，病毒隨即被激活。手機(jī)病毒按病毒形式可以分類2．針對(duì)移動(dòng)通訊商的手機(jī)病毒“蚊子木馬”。小知識(shí)：該病毒隱藏于手機(jī)游戲“打蚊子”的破解版中。雖然該病毒不會(huì)竊取或破壞用戶資料，但是它會(huì)自動(dòng)撥號(hào)，向所在地為英國(guó)的號(hào)碼發(fā)送大量文本信息，結(jié)果導(dǎo)致用戶的信息費(fèi)劇增。手機(jī)病毒按病毒形式可以分類3．針對(duì)手機(jī)BUG的病毒“移動(dòng)黑客”。小知識(shí)：移動(dòng)黑客（Hack.mobile.smsdos）病毒通過(guò)帶有病毒程序的短信傳播，只要用戶查看帶有病毒的短信，手機(jī)即刻自動(dòng)關(guān)閉。4．利用短信或彩信進(jìn)行攻擊的“Mobile.SMSDOS”病毒。典型的例子就是出現(xiàn)的針對(duì)西門子手機(jī)的“Mobile.SMSDOS”病毒。小知識(shí)：“Mobile.SMSDOS”病毒可以利用短信或彩信進(jìn)行傳播，造成手機(jī)內(nèi)部程序出錯(cuò)，從而導(dǎo)致手機(jī)不能正常工作。常見(jiàn)手機(jī)病毒及其毒發(fā)癥狀EPOC_ALARM：手機(jī)持續(xù)發(fā)出警告聲音EPOC_BANDINFO.A：將用戶信息更改為“Somefoolownthis”EPOC_FAKE.A：在手機(jī)屏幕上顯示格式化內(nèi)置硬盤時(shí)畫(huà)面，嚇人把戲，不會(huì)真格EPOC_GHOST.A：在畫(huà)面上顯示“Everyonehatesyou”（每個(gè)人都討厭你）EPOC_LIGHTS.A：讓背景光不停閃爍EPOC_ALONE.A：這是一種惡性病毒，會(huì)使鍵操作失效。常見(jiàn)手機(jī)病毒及其毒發(fā)癥狀Timofonica：給地址簿中的郵箱發(fā)送帶毒郵件，還能通過(guò)短信服務(wù)器中轉(zhuǎn)向手機(jī)發(fā)送大量短信。Hack.mobile.smsdos：會(huì)讓手機(jī)死機(jī)或自動(dòng)關(guān)機(jī)。Unavaifabie：當(dāng)有來(lái)電時(shí)，屏幕上顯示“Unavaifaule”（故障）字樣或一些奇怪的字符。如果此時(shí)接起電話則會(huì)染上病毒，同時(shí)丟失手機(jī)內(nèi)所有資料。Trojanhorse：惡意病毒，病毒發(fā)作時(shí)會(huì)利用通迅簿向外撥打電話或發(fā)送郵件。甚至打電話找警察。手機(jī)病毒的攻擊方式及危害針對(duì)手機(jī)的攻擊，主要可以分為以下幾類：攻擊WAP服務(wù)器等相關(guān)設(shè)備，使WAP手機(jī)無(wú)法接收正常信息攻擊、控制接入服務(wù)器，或者利用網(wǎng)關(guān)漏洞，向手機(jī)發(fā)送大量垃圾信息。典型的就是利用各大門戶網(wǎng)站的手機(jī)服務(wù)漏洞，編寫(xiě)程序，不停地用某個(gè)手機(jī)號(hào)碼訂閱某項(xiàng)服務(wù)或者退定某個(gè)服務(wù)，例如SMS.Flood病毒手機(jī)病毒的攻擊方式及危害針對(duì)手機(jī)的攻擊，主要可以分為以下幾類：直接攻擊手機(jī)本身，使手機(jī)無(wú)法提供服務(wù)。這種破壞方式難度相對(duì)較大，目前主要是利用手機(jī)程序的漏洞，發(fā)送精心構(gòu)造的短信(SMS)或者彩信(MMS)，造成手機(jī)內(nèi)部程序出錯(cuò)，從而導(dǎo)致手機(jī)不能正常工作，就像我們經(jīng)常在計(jì)算機(jī)上看到的“程序出錯(cuò)”情況一樣。典型的例子就是針對(duì)西門子手機(jī)的Mobile.SMSDOS病毒手機(jī)漏洞分析攻擊手機(jī)的一個(gè)重要途徑，就是利用手機(jī)漏洞。主要有以下一些手機(jī)漏洞：Nokia某些產(chǎn)品PDU格式漏洞Siemens35系列特殊字符漏洞Panasonic的GD87彩信手機(jī)漏洞Orange的SPV存在允許運(yùn)行非認(rèn)證軟件漏洞Nokia的VCard存在漏洞Siemens的“%String”漏洞手機(jī)操作系統(tǒng)Symbians60存在漏洞手機(jī)病毒的發(fā)展趨勢(shì)目前，編寫(xiě)手機(jī)病毒存在不少困難：手機(jī)操作系統(tǒng)是專用操作系統(tǒng)，不對(duì)普通用戶開(kāi)放，不像計(jì)算機(jī)操作系統(tǒng)，容易學(xué)習(xí)、編寫(xiě)和調(diào)試程序，而且它所使用的芯片等硬件也都是專用的，平時(shí)很難接觸到手機(jī)系統(tǒng)中可以“寫(xiě)”的地方太少，在以前的手機(jī)中，用戶是不可以往手機(jī)里面寫(xiě)數(shù)據(jù)的，唯一可以保存數(shù)據(jù)的只有SIM卡手機(jī)病毒的發(fā)展趨勢(shì)目前，編寫(xiě)手機(jī)病毒存在不少困難：以前手機(jī)接收的數(shù)據(jù)基本上都是文本格式數(shù)據(jù)，我們知道文本格式也是計(jì)算機(jī)系統(tǒng)中最難附帶病毒的文件格式，同樣在手機(jī)系統(tǒng)中，病毒也很難附加在文本內(nèi)容上手機(jī)病毒的發(fā)展趨勢(shì)隨著手機(jī)行業(yè)的快速發(fā)展和基于手機(jī)的應(yīng)用不斷增多，手機(jī)將面臨更多、更大的威脅：K－JAVA大量運(yùn)用于手機(jī)，使得編寫(xiě)用于手機(jī)的程序越來(lái)越容易基于Symbian、PocketPC和SmartPhone的操作系統(tǒng)的手機(jī)種類不斷擴(kuò)大，同時(shí)手機(jī)使用的芯片(如Intel的StrongARM)等硬件也逐漸固定下來(lái)，使手機(jī)有了比較標(biāo)準(zhǔn)的操作系統(tǒng)，而且這些手機(jī)操作系統(tǒng)廠商甚至芯片都是對(duì)用戶開(kāi)放API并且鼓勵(lì)在他們之上做開(kāi)發(fā)的，這樣在方便用戶的同時(shí)，也方便了病毒編寫(xiě)者手機(jī)病毒的發(fā)展趨勢(shì)隨著手機(jī)行業(yè)的快速發(fā)展和基于手機(jī)的應(yīng)用不斷增多，手機(jī)將面臨更多、更大的威脅：手機(jī)的容量不斷擴(kuò)大，既增加了手機(jī)的功能，同時(shí)也使得病毒有了藏身之地手機(jī)直接傳輸?shù)膬?nèi)容也復(fù)雜了很多，由以前只有文本的SMS發(fā)展到現(xiàn)在支持2進(jìn)制格式文件的EMS和MMS，因此病毒就可以附加在這些文件中進(jìn)行傳播藍(lán)牙等技術(shù)的應(yīng)用，也為手機(jī)病毒的傳播創(chuàng)造了條件手機(jī)病毒的防范對(duì)手機(jī)病毒的防范，分為三個(gè)方面手機(jī)廠商防止出現(xiàn)手機(jī)的安全漏洞手機(jī)網(wǎng)絡(luò)運(yùn)營(yíng)商在WAP服務(wù)器、網(wǎng)關(guān)等部位設(shè)置安全系統(tǒng)，加強(qiáng)對(duì)手機(jī)病毒的防范，堵死手機(jī)病毒傳播通道手機(jī)用戶對(duì)病毒的防范手機(jī)病毒的防范手機(jī)用戶對(duì)手機(jī)病毒采取的措施主要包括以下幾種關(guān)閉亂碼電話盡量少?gòu)木W(wǎng)上下載信息刪除異常短信息對(duì)手機(jī)進(jìn)行查殺病毒目前應(yīng)對(duì)手機(jī)病毒的主要技術(shù)措施有兩種通過(guò)無(wú)線網(wǎng)站對(duì)手機(jī)進(jìn)行殺毒通過(guò)手機(jī)的IC接入口或紅外傳輸口進(jìn)行殺毒8.3黑客及攻擊1．黑客概述在各種媒體上有許多關(guān)于Hacker這個(gè)名詞的定義，一般是指計(jì)算機(jī)技術(shù)的行家或熱衷于解決問(wèn)題、克服限制的人。這可以追溯到幾十年前第一臺(tái)微型計(jì)算機(jī)剛剛誕生的時(shí)代。那時(shí)有一個(gè)由程序設(shè)計(jì)專家和網(wǎng)絡(luò)名人所組成的具有分享特質(zhì)的文化族群。這一文化族群的成員創(chuàng)造了Hacker這個(gè)名詞。他們建立了Internet，創(chuàng)造出現(xiàn)在使用的UNIX操作系統(tǒng)，使Usenet運(yùn)作起來(lái)，并且讓W(xué)orldWideWeb傳播開(kāi)來(lái)，這就是最早的Hacker。

也存在另外一個(gè)團(tuán)體，其成員也稱自己為Hacker。這些人專門闖入計(jì)算機(jī)或入侵電話系統(tǒng)，真正的Hacker稱他們?yōu)槿肭终撸–racker），并且不愿意和他們?cè)谝黄鹱鋈魏问?。Hacker們認(rèn)為這些人懶惰，不負(fù)責(zé)任，并且不夠光明正大。他們認(rèn)為，能破解安全系統(tǒng)并不能使你成為一位Hacker?；旧希琀acker和Cracker之間最主要的不同是，Hacker創(chuàng)造新東西，Cracker破壞東西?，F(xiàn)在，人們所說(shuō)的黑客是指Cracker。2．黑客常用的攻擊方法（1）獲取口令（2）放置特洛伊木馬程序（3）WWW的欺騙技術(shù)（4）電子郵件攻擊（5）通過(guò)一個(gè)節(jié)點(diǎn)來(lái)攻擊其他節(jié)點(diǎn)（6）網(wǎng)絡(luò)監(jiān)聽(tīng)（7）尋找系統(tǒng)漏洞（8）利用賬號(hào)進(jìn)行攻擊（9）偷取特權(quán)網(wǎng)絡(luò)攻擊的動(dòng)機(jī)偷取國(guó)家機(jī)密商業(yè)競(jìng)爭(zhēng)行為內(nèi)部員工對(duì)單位的不滿對(duì)企業(yè)核心機(jī)密的企望網(wǎng)絡(luò)接入帳號(hào)、信用卡號(hào)等金錢利益的誘惑利用攻擊網(wǎng)絡(luò)站點(diǎn)而出名對(duì)網(wǎng)絡(luò)安全技術(shù)的挑戰(zhàn)對(duì)網(wǎng)絡(luò)的好奇心

攻擊的一般過(guò)程預(yù)攻擊內(nèi)容：獲得域名及IP分布獲得拓?fù)浼癘S等獲得端口和服務(wù)獲得應(yīng)用系統(tǒng)情況跟蹤新漏洞發(fā)布目的：收集信息，進(jìn)行進(jìn)一步攻擊決策攻擊內(nèi)容：獲得遠(yuǎn)程權(quán)限進(jìn)入遠(yuǎn)程系統(tǒng)提升本地權(quán)限進(jìn)一步擴(kuò)展權(quán)限進(jìn)行實(shí)質(zhì)性操作目的：進(jìn)行攻擊，獲得系統(tǒng)的一定權(quán)限后攻擊內(nèi)容：植入后門木馬刪除日志修補(bǔ)明顯的漏洞進(jìn)一步滲透擴(kuò)展目的：消除痕跡，長(zhǎng)期維持一定的權(quán)限攻擊的種類預(yù)攻擊階段端口掃描漏洞掃描操作系統(tǒng)類型鑒別網(wǎng)絡(luò)拓?fù)浞治龉綦A段緩沖區(qū)溢出攻擊操作系統(tǒng)漏洞應(yīng)用服務(wù)缺陷腳本程序漏洞攻擊口令攻擊錯(cuò)誤及弱配置攻擊網(wǎng)絡(luò)欺騙與劫持攻擊攻擊的種類后攻擊階段后門木馬痕跡擦除其它攻擊種類拒絕服務(wù)攻擊嗅探攻擊惡意網(wǎng)頁(yè)攻擊社會(huì)工程攻擊信息收集—非技術(shù)手段合法途徑從目標(biāo)機(jī)構(gòu)的網(wǎng)站獲取新聞報(bào)道，出版物新聞組或論壇社會(huì)工程手段假冒他人，獲取第三方的信任搜索引擎信息收集—技術(shù)手段PingTracert/TracerouteRusers/FingerHost/nslookup遠(yuǎn)程控制技術(shù)的發(fā)展歷程第一代功能簡(jiǎn)單、技術(shù)單一，如簡(jiǎn)單的密碼竊取和發(fā)送等第二代在技術(shù)上有了很大的進(jìn)步，如國(guó)外的BO2000，國(guó)內(nèi)的冰河等第三代為了躲避防火墻而在數(shù)據(jù)傳遞技術(shù)上做了不小的改進(jìn)，比如利用ICMP協(xié)議以及采用反彈端口的連接模式第四代研究操作系統(tǒng)底層，在進(jìn)程隱藏方面有了很大的突破傳統(tǒng)的遠(yuǎn)程控制步驟如何遠(yuǎn)程植入程序直接攻擊電子郵件文件下載瀏覽網(wǎng)頁(yè)+合并文件經(jīng)過(guò)偽裝的木馬被植入目標(biāo)機(jī)器遠(yuǎn)程受控端程序的自啟動(dòng)Windows啟動(dòng)目錄注冊(cè)表啟動(dòng)Run(RunOnce/RunOnceEx/RunServices）KnownDLLs修改文件關(guān)聯(lián)方式系統(tǒng)配置文件啟動(dòng)Win.iniSystem.ini服務(wù)啟動(dòng)其他啟動(dòng)遠(yuǎn)程受控端程序的隱藏在任務(wù)欄（包括任務(wù)管理器）中隱藏自己初步隱藏注冊(cè)為系統(tǒng)服務(wù)不適用于Win2k/NT啟動(dòng)時(shí)會(huì)先通過(guò)窗口名來(lái)確定是否已經(jīng)在運(yùn)行，如果是則不再啟動(dòng)防止過(guò)多的占用資源進(jìn)程隱藏遠(yuǎn)程線程插入其他進(jìn)程（不適用于Win9X）Hook技術(shù)DoS與DDoS攻擊DoS(DenialofService)攻擊的中文含義是拒絕服務(wù)攻擊。常見(jiàn)攻擊方法有：

1、利用傳輸協(xié)議上的缺陷，發(fā)送出畸形的數(shù)據(jù)包，導(dǎo)致目標(biāo)主機(jī)無(wú)法處理而拒絕服務(wù)。

2、利用主機(jī)上服務(wù)程序的漏洞，發(fā)送特殊格式的數(shù)據(jù)導(dǎo)致服務(wù)處理錯(cuò)誤而拒絕服務(wù)

3、制造高流量無(wú)用數(shù)據(jù)，造成網(wǎng)絡(luò)擁塞，使受害主機(jī)無(wú)法正常和外界通信

4、利用受害主機(jī)上服務(wù)的缺陷，提交大量的請(qǐng)求將主機(jī)的資源耗盡，使受害主機(jī)無(wú)法接受新的請(qǐng)求DoS與DDoS攻擊DDoS(DistributedDenialofService)攻擊的中文含義是分布式拒絕服務(wù)攻擊。是在傳統(tǒng)DoS攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。也是現(xiàn)在最常用，最難以防御的一種拒絕服務(wù)攻擊。它借助于C/S技術(shù)，將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái)，對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DoS攻擊，從而成倍提高拒絕服務(wù)攻擊的威力DoS與DDoS攻擊攻擊來(lái)自于眾多來(lái)源，發(fā)出不計(jì)其數(shù)的IP數(shù)據(jù)包攻擊的眾多來(lái)源來(lái)自不同的地理位置會(huì)過(guò)度地利用網(wǎng)絡(luò)資源拒絕合法用戶訪問(wèn)在線資源洪水般的攻擊包堵塞住企業(yè)與互聯(lián)網(wǎng)的全部連接終端客戶的內(nèi)部設(shè)備都不能有效抵御這種攻擊DDOS攻擊原理mbehringISPCPEInternetZombie(僵尸)發(fā)現(xiàn)漏洞取得用戶權(quán)取得控制權(quán)植入木馬清除痕跡留后門做好攻擊準(zhǔn)備Hacker(黑客)

DDOS攻擊是黑客利用攻擊軟件通過(guò)許多臺(tái)“肉雞”同時(shí)展開(kāi)拒絕服務(wù)攻擊，規(guī)模更大，危害更大MasterServer如何組織一次DDoS攻擊1.搜集了解目標(biāo)的情況下列情況是黑客非常關(guān)心的情報(bào)：被攻擊目標(biāo)主機(jī)數(shù)目、地址情況目標(biāo)主機(jī)的配置、性能目標(biāo)的帶寬如何組織一次DDoS攻擊對(duì)于DDoS攻擊者來(lái)說(shuō)，攻擊互聯(lián)網(wǎng)上的某個(gè)站點(diǎn)，首先要確定到底有多少臺(tái)主機(jī)在支持這個(gè)站點(diǎn)，一個(gè)大的網(wǎng)站一般有很多臺(tái)主機(jī)利用負(fù)載均衡技術(shù)提供同一個(gè)網(wǎng)站的www服務(wù)。以yahoo為例，一般會(huì)有下列地址都是提供服務(wù)的：78901346如何組織一次DDoS攻擊如果要進(jìn)行DDoS攻擊的話，應(yīng)該攻擊哪個(gè)地址呢？使7這臺(tái)機(jī)器癱掉，但其他的主機(jī)還是能向外提供服務(wù)，所以想讓別人訪問(wèn)不到，要所有這些IP地址的機(jī)器都癱掉才行。在實(shí)際的應(yīng)用中，一個(gè)IP地址往往還代表著數(shù)臺(tái)機(jī)器：網(wǎng)站維護(hù)者把對(duì)一個(gè)IP地址的訪問(wèn)以特定的算法分配到下屬的每個(gè)主機(jī)上去。這時(shí)對(duì)于DDoS攻擊者來(lái)說(shuō)情況就更復(fù)雜了，他面對(duì)的任務(wù)可能是讓幾十臺(tái)主機(jī)的服務(wù)都不正常。如何組織一次DDoS攻擊所以說(shuō)事先搜集情報(bào)對(duì)DDoS攻擊者來(lái)說(shuō)是非常重要的，這關(guān)系到使用多少臺(tái)傀儡機(jī)才能達(dá)到效果的問(wèn)題。如果黑客不進(jìn)行情報(bào)的搜集而直接進(jìn)行DDoS的攻擊，盲目性就很大。一般來(lái)講，在相同的條件下，攻擊同一站點(diǎn)的主機(jī)需要相同臺(tái)傀儡機(jī)的話，但做攻擊的傀儡機(jī)越多越好，不管有多少臺(tái)主機(jī)，用盡量多的傀儡機(jī)來(lái)攻就是了，傀儡機(jī)超過(guò)了時(shí)候效果更好。如何組織一次DDoS攻擊2.占領(lǐng)傀儡機(jī)黑客最感興趣的是有下列情況的主機(jī)：性能好的主機(jī)負(fù)載輕的主機(jī)安全管理水平差的主機(jī)如何組織一次DDoS攻擊首先，黑客做的工作是掃描，隨機(jī)地或者是有針對(duì)性地利用掃描器去發(fā)現(xiàn)互聯(lián)網(wǎng)上那些有漏洞的機(jī)器，象程序的溢出漏洞、cgi、Unicode、ftp、數(shù)據(jù)庫(kù)漏洞…，然后有針對(duì)性嘗試入侵。占領(lǐng)一臺(tái)傀儡機(jī)后，他會(huì)把DDoS攻擊用的程序上載過(guò)去，一般是利用ftp。在攻擊傀儡機(jī)上，會(huì)有一個(gè)DDoS的發(fā)包程序，黑客就是利用它來(lái)向受害目標(biāo)發(fā)送惡意攻擊包的。如何組織一次DDoS攻擊3.實(shí)際攻擊經(jīng)過(guò)前2個(gè)階段的精心準(zhǔn)備之后，實(shí)際攻擊過(guò)程反而比較簡(jiǎn)單。黑客登錄到做為控制臺(tái)的傀儡機(jī)，向所有的攻擊機(jī)發(fā)出命令；埋伏在攻擊機(jī)中的DDoS攻擊程序就會(huì)響應(yīng)控制臺(tái)的命令，一起向受害主機(jī)以高速度發(fā)送大量的數(shù)據(jù)包，導(dǎo)致它死機(jī)或是無(wú)法響應(yīng)正常的請(qǐng)求。攻擊者一邊攻擊，還會(huì)用各種手段來(lái)監(jiān)視攻擊的效果，在需要的時(shí)候進(jìn)行一些調(diào)整。如：開(kāi)個(gè)窗口不斷地ping目標(biāo)主機(jī)，在能接到回應(yīng)的時(shí)候就再加大一些流量或是再命令更多的傀儡機(jī)來(lái)加入攻擊。流量型攻擊—SYNFloodSYN（我可以連接嗎？）攻擊者受害者偽造地址發(fā)送大量SYN請(qǐng)求就是讓你白等SYNFlood攻擊原理攻擊表現(xiàn)SYN_RECV狀態(tài)半開(kāi)連接隊(duì)列遍歷，消耗CPU和內(nèi)存SYN|ACK重試SYNTimeout：30秒~2分鐘無(wú)暇理睬正常的連接請(qǐng)求—拒絕服務(wù)SYN（我可以連接嗎？）SYN（我可以連接嗎？）SYN（我可以連接嗎？）SYN（我可以連接嗎？）正常連接請(qǐng)求得不到響應(yīng)正常SYN（我可以連接嗎？）SynFlood的防御對(duì)策重新設(shè)置一些TCP/IP協(xié)議參數(shù)增加TCP監(jiān)聽(tīng)套解字未完成連接隊(duì)列的最大長(zhǎng)度減少未完成連接隊(duì)列的超時(shí)等待時(shí)間類似于SYNCookies的特殊措施選擇高性能的防火墻SYNThreshold類SYNDefender類SYNProxy類連接型攻擊—CCProxy攻擊者受害者(WebServer)大量非正常HTTPGet請(qǐng)求不能建立正常的連接非正常HTTPGetFlood正常用戶正常HTTPGetFlood攻擊表現(xiàn)非正常HTTPGetFlood非正常HTTPGetFlood非正常HTTPGetFlood非正常HTTPGetFlood非正常HTTPGetFloodDB連接池用完啦??！受害者(DBServer)DB連接池占用占用占用HTTPGetFlood攻擊原理利用代理服務(wù)器向受害者發(fā)起大量HTTPGet請(qǐng)求主要請(qǐng)求動(dòng)態(tài)頁(yè)面，涉及到數(shù)據(jù)庫(kù)訪問(wèn)操作數(shù)據(jù)庫(kù)負(fù)載以及數(shù)據(jù)庫(kù)連接池負(fù)載極高，無(wú)法響應(yīng)正常請(qǐng)求漏洞型攻擊—Teardrop攻擊UDPFragments受害者發(fā)送大量UDP病態(tài)分片數(shù)據(jù)包Teardrop攻擊原理攻擊表現(xiàn)發(fā)送大量的UDP病態(tài)分片數(shù)據(jù)包操作系統(tǒng)收到含有重疊偏移的偽造分片數(shù)據(jù)包時(shí)將會(huì)出現(xiàn)系統(tǒng)崩潰、重啟等現(xiàn)象無(wú)暇理睬正常的連接請(qǐng)求—拒絕服務(wù)UDPFragmentsUDPFragmentsUDPFragmentsUDPFragments服務(wù)器宕機(jī)，停止響應(yīng)正常SYN（我可以連接嗎？）攻擊者服務(wù)器系統(tǒng)崩潰拒絕服務(wù)攻擊—Smurf攻擊AttackerTarget目標(biāo)機(jī)器會(huì)接收很多來(lái)自中介網(wǎng)絡(luò)的請(qǐng)求中介網(wǎng)絡(luò)放大器broadcastechorequest

源地址被欺騙為被攻擊主機(jī)地址其它拒絕服務(wù)攻擊FragglePingofDeathUdpFloodTearDrop電子郵件炸彈DDOS攻擊—”豐功偉績(jī)“篇2009年7月DDOS攻擊—”豐功偉績(jī)“篇DDOS攻擊—”豐功偉績(jī)“篇DDOS攻擊形式嚴(yán)峻2010年2009年2008年2007年2006年2005年2004年2003年2002年65%54%40%33%29%20%16%10%6%年占網(wǎng)絡(luò)報(bào)警的百分比%攻擊流量越來(lái)越大百G攻擊流量10G攻擊流量1G攻擊流量100M攻擊流量攻擊規(guī)模不斷增大攻擊防護(hù)原理連接跟蹤協(xié)議分析攻擊過(guò)