計算機病毒及其防治-信息安全概論課件與復(fù)習提綱

計算機病毒及其防治一、惡意代碼概述二、惡意代碼實現(xiàn)關(guān)鍵技術(shù)三、惡意代碼防范方法：基于主機的檢測方法和基于網(wǎng)絡(luò)的檢測方法一、惡意代碼概述1惡意代碼概念2惡意代碼的發(fā)展3震蕩波1惡意代碼概念代碼是指計算機程序代碼，可以被執(zhí)行完成特定功能。任何食物事物都有正反兩面，人類發(fā)明的所有工具既可造福也可作孽，這完全取決于使用工具的人。計算機程序也不例外，軟件工程師們編寫了大量的有用的軟件（操作系統(tǒng)，應(yīng)用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等）的同時，黑客們在編寫編寫擾亂社會和他人的計算機程序，這些代碼統(tǒng)稱為惡意代碼（MaliciousCodes）。惡意代碼的相關(guān)定義惡意代碼類型定義特點計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。潛伏、傳染和破壞計算機蠕蟲指通過計算機網(wǎng)絡(luò)自我復(fù)制，消耗系統(tǒng)資源和網(wǎng)絡(luò)資源的程序掃描、攻擊和擴散特洛伊木馬指一種與遠程計算機建立連接，使遠程計算機能夠通過網(wǎng)絡(luò)控制本地計算機的程序。欺騙、隱蔽和信息竊取邏輯炸彈指一段嵌入計算機系統(tǒng)程序的，通過特殊的數(shù)據(jù)或時間作為條件觸發(fā)，試圖完成一定破壞功能的程序。潛伏和破壞病菌指不依賴于系統(tǒng)軟件，能夠自我復(fù)制和傳播，以消耗系統(tǒng)資源為目的的程序。傳染和拒絕服務(wù)用戶級RootKit指通過替代或者修改被系統(tǒng)管理員或普通用戶執(zhí)行的程序進入系統(tǒng)，從而實現(xiàn)隱藏和創(chuàng)建后門的程序。隱蔽，潛伏核心級RootKit指嵌入操作系統(tǒng)內(nèi)核進行隱藏和創(chuàng)建后門的程序隱蔽，潛伏2惡意代碼的發(fā)展DOS環(huán)境下的病毒演示火炬病毒救護車病毒RescueSuicide火炬病毒該病毒發(fā)作時，在屏幕顯示五把燃燒的火炬。同時，該病毒用內(nèi)存的隨機數(shù)從硬盤的物理第一扇區(qū)開始覆蓋，造成硬盤中的數(shù)據(jù)丟失。Rescue病毒病毒發(fā)作時，顯示一些圖形和文字。Suicide病毒該病毒發(fā)作時，在屏幕上顯示一幅圖形，告訴你的機器已經(jīng)被該病毒感染。救護車病毒該病毒發(fā)作時，從屏幕左下角有一輛救護車跑過。宏病毒演示DMV病毒Aliance病毒Laroux病毒Concept病毒DMV病毒該病毒據(jù)說是第一個宏病毒，屬于實驗性的，無破壞性。Aliance病毒該病毒發(fā)作時，顯示一個對話框。Laroux病毒該病毒感染W(wǎng)indowsExcel文檔，圖中顯示的是病毒的宏名。Concept病毒該病毒感染W(wǎng)inWord后，將在屏幕上彈出一個對話框。

DOS時代的AIDS病毒W(wǎng)indows環(huán)境下的病毒演示CIH女鬼白雪公主病毒等等……Windows95/98時代大名鼎鼎的CIH病毒CIH作者陳盈豪駭人聽聞的女鬼病毒

恐怖的圖片和音樂WindowsNT時代的白雪公主病毒

巨大的黑白螺旋占據(jù)了屏幕位置，使計算機使用者無法進行任何操作！千年老妖病毒

使計算機反復(fù)的關(guān)機，每60秒一次木馬病毒和黑客程序的遠程監(jiān)控席卷全球的NIMDA病毒NIMDA病毒的4種傳播方式造成嚴重危害的細密病毒Sircam“震蕩波”(Worm.Sasser)其他病毒ActiveX病毒

JAVA病毒HTML病毒手機病毒掌上型移動設(shè)備病毒病毒與黑客程序結(jié)合的有害程序

QQ病毒、熊貓燒香病毒、灰鴿子U盤病毒病毒在U盤中放置一個程序，改名“RavMonE.exe”，這很容易讓人以為是瑞星的程序，其實是病毒?；旌闲?、自動的攻擊

WorkstationViaEmailFileServerWorkstationMailServerInternet混合型攻擊:蠕蟲WebServerViaWebPageWorkstationWebServerMailGateway防病毒防火墻入侵檢測風險管理攻擊的發(fā)展趨勢3震蕩波

一幢紅磚砌的兩層樓，一座偏僻的小村子，掩映在德國北部平原無邊無際的森林和玉米田里。

時間：2004年4月29日地點：德國北部

羅滕堡鎮(zhèn)沃芬森小村(Waffensen),人口僅920。

（1）時間,地點（2）人物

斯萬-賈斯查因(SvenJaschan)，4月29日這一天是他18歲的生日。

母親叫維洛妮卡，開了一個門面不算大的以電腦維護修理為主的電腦服務(wù)部。 幾天前，為了慶祝他的生日，他在網(wǎng)上下載了一些代碼。修改之后今天將它放到了Internet上面。（3）傳播

從5月1日這些代碼開始在互聯(lián)網(wǎng)上以一種“神不知鬼不覺”的特殊方式傳遍全球?！爸姓小焙螅娔X開始反復(fù)自動關(guān)機、重啟，網(wǎng)絡(luò)資源基本上被程序消耗，運行極其緩慢。（4）危害這就是全球著名的“震蕩波”(Worm.Sasser)蠕蟲病毒。自“震蕩波”5月1日開始傳播以來，全球已有約1800萬臺電腦報告感染了這一病毒。

5月3日，“震蕩波”病毒出現(xiàn)第一個發(fā)作高峰，當天先后出現(xiàn)了B、C、D三個變種，全國已有數(shù)以十萬計的電腦感染了這一病毒。微軟懸賞25萬美元找原兇!“五一”長假后的第一天，“震蕩波”病毒的第二個高峰果然洶涌而來。僅8日上午9時到10時的短短一個小時內(nèi)，瑞星公司就接到用戶的求助電話2815個，且30％為企業(yè)局域網(wǎng)用戶，其中不乏大型企業(yè)局域網(wǎng)、機場、政府部門、銀行等重要單位。9日，“震蕩波”病毒疫情依然沒有得到緩解。

五月份的第一個星期（也就是“震蕩波”迅速傳播的時候），微軟公司德國總部的熱線電話就從每周400個猛增到3．5萬個

（5）游戲結(jié)束開始時，報道有俄羅斯人編寫了這種病毒!5月7日，斯萬-賈斯查因的同學為了25萬元，將其告發(fā)。并被警察逮捕。為了清除和對付“我的末日”（MyDoom）和“貝果”（Bagle）等電腦病毒。誰知，在編寫病毒程序的過程中，他設(shè)計出一種名為“網(wǎng)絡(luò)天空A”（Net-sky）病毒變體。在朋友的鼓動下，他對“網(wǎng)絡(luò)天空A”進行了改動，最后形成了現(xiàn)在的“震蕩波”病毒程序。

（6）病毒產(chǎn)生原因漏洞

病毒是通過微軟的最新高危漏洞-LSASS漏洞(微軟MS04-011公告)進行傳播的，危害性極大，目前WINDOWS2000/XP/Server2003等操作系統(tǒng)的用戶都存在該漏洞，這些操作系統(tǒng)的用戶只要一上網(wǎng)，就有可能受到該病毒的攻擊。如果用戶的電腦中出現(xiàn)下列現(xiàn)象之一，則表明已經(jīng)中毒。（7）病毒表現(xiàn)的特征出現(xiàn)系統(tǒng)錯誤對話框

被攻擊的用戶，如果病毒攻擊失敗，則用戶的電腦會出現(xiàn)LSAShell

服務(wù)異?？颍又霈F(xiàn)一分鐘后重啟計算機的“系統(tǒng)關(guān)機”框”。（7）病毒表現(xiàn)的特征

系統(tǒng)日志中出現(xiàn)相應(yīng)記錄

如果用戶無法確定自己的電腦是否出現(xiàn)過上述的異?？蚧蛳到y(tǒng)重啟提示，還可以通過查看系統(tǒng)日志的辦法確定是否中毒。方法是，運行事件查看器程序，查看其中系統(tǒng)日志，如果出現(xiàn)如圖所示的日志記錄，則證明已經(jīng)中毒.

系統(tǒng)資源被大量占用

病毒如果攻擊成功，則會占用大量系統(tǒng)資源，使CPU占用率達到100%，出現(xiàn)電腦運行異常緩慢的現(xiàn)象。（7）病毒表現(xiàn)的特征

內(nèi)存中出現(xiàn)名為avserve的進程

病毒如果攻擊成功，會在內(nèi)存中產(chǎn)生名為avserve.exe的進程，用戶可以用Ctrl+Shift+Esc的方式調(diào)用“任務(wù)管理器”，然后查看是內(nèi)存里是否存在上述病毒進程。（7）病毒表現(xiàn)的特征系統(tǒng)目錄中出現(xiàn)名為avserve.exe的病毒文件

病毒如果攻擊成功，會在系統(tǒng)安裝目錄（默認為C:\WINNT）下產(chǎn)生一個名為avserve.exe的病毒文件。

其它文件名：Explorer.exeExp1orer.exeExpl0rer.exe（7）病毒表現(xiàn)的特征（8）病毒的運行過程

該病毒利用了WindowsLSASS的一個已知漏洞(MS04-011)，這是一個緩沖溢出漏洞，后果是使遠程攻擊者完全控制受感染系統(tǒng)。感染系統(tǒng)：WinNT/Win2000/WinXP/Win2003

病毒長度：15872字節(jié)1、生成病毒文件病毒運行后，在%Windows％目錄下生成自身的拷貝，名稱為avserve.exe，文件長度為15872字節(jié)，和在%System%目錄下生成其它病毒文件。例如:c:\win.log

:IP地址列表c:\WINNT\avserve.exe

:蠕蟲病毒文件本身c:\WINNT\system32\11113_up.exe:可能生成的蠕蟲文件本身c:\WINNT\system32\16843_up.exe:可能生成的蠕蟲文件本身

2、修改注冊表項

病毒創(chuàng)建注冊表項，使得自身能夠在系統(tǒng)啟動時自動運行，在

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

\CurrentVersion\Run下創(chuàng)建

"avserve"=”c:\WINNT\avserve.exe”

。

3、通過系統(tǒng)漏洞主動進行傳播

病毒主動進行掃描，當發(fā)現(xiàn)網(wǎng)絡(luò)中存在微軟SSL安全漏洞時，進行攻擊，然后在受攻擊的系統(tǒng)中生成名為cmd.ftp的ftp腳本程序，通過TCP端口5554下載蠕蟲病毒。

4、危害性

受感染的系統(tǒng)可能死機或者造成重新啟動，同時由于病毒掃描A類或B類子網(wǎng)地址，目標端口是TCP445會對網(wǎng)絡(luò)性能有一定影響，尤其局域網(wǎng)可能造成癱瘓。并可以在TCP9996端口創(chuàng)建遠程Shell。該病毒在傳播和破壞形式上與“沖擊波”病毒相類似。（8）病毒的運行過程（9）清除該病毒的相關(guān)建議1、安全模式啟動

重新啟動系統(tǒng)同時按下按F8鍵，進入系統(tǒng)安全模式

2、注冊表的恢復(fù)

點擊"開始--〉運行"，輸入regedit,運行注冊表編輯器，依次雙

擊左側(cè)的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>

CurrentVersion>Run，并刪除面板右側(cè)的"avserve"="c:\winnt\avserve.exe“3、刪除病毒釋放的文件

點擊"開始--〉查找--〉文件和文件夾"，查找文件"avserve.exe"和"*_up.exe"，并將找到的文件刪除。

4、安裝系統(tǒng)補丁程序到以下微軟網(wǎng)站下載安裝補丁程序：/technet/security/bulletin/MS04-011.mspx或者在ＩＥ瀏覽器的工具－>WindowsUpdate升級系統(tǒng)。5、重新配置防火墻

重新配置邊界防火墻或個人防火墻關(guān)閉TCP端口5554和9996;（9）清除該病毒的相關(guān)建議6、可用一些補丁和殺毒軟件，如瑞星：（9）清除該病毒的相關(guān)建議

Microsoft早在4月初就已經(jīng)給出了MS04-011,012,013等嚴重漏洞，并且提醒用戶打補丁。（9）清除該病毒的相關(guān)建議計算機病毒及其防治一、惡意代碼概述二、惡意代碼實現(xiàn)關(guān)鍵技術(shù)三、惡意代碼防范方法：基于主機的檢測方法和基于網(wǎng)絡(luò)的檢測方法二惡意代碼實現(xiàn)關(guān)鍵技術(shù)一段好的惡意代碼，首先必須具有良好隱蔽性，生存性，不能輕松被軟件或者用戶察覺。然后，必須具有良好的攻擊性。1惡意代碼生存技術(shù)2惡意代碼攻擊技術(shù)3惡意代碼的隱蔽技術(shù)惡意代碼攻擊機制①侵入系統(tǒng)。侵入系統(tǒng)是惡意代碼實現(xiàn)其惡意目的的必要條件。惡意代碼入侵的途徑很多，如：從互聯(lián)網(wǎng)下載的程序本身就可能含有惡意代碼；接收已經(jīng)感染惡意代碼的電子郵件；黑客或者攻擊者故意將惡意代碼植入系統(tǒng)等。②維持或提升現(xiàn)有特權(quán)。惡意代碼的傳播與破壞必須盜用用戶或者進程的合法權(quán)限才能完成。③隱蔽策略。為了不讓系統(tǒng)發(fā)現(xiàn)惡意代碼已經(jīng)侵入系統(tǒng)，惡意代碼可能會改名、刪除源文件或者修改系統(tǒng)的安全策略來隱藏自己。④潛伏。惡意代碼侵入系統(tǒng)后，等待一定的條件，并具有足夠的權(quán)限時，就發(fā)作并進行破壞活動。⑤破壞。惡意代碼的本質(zhì)具有破壞性，其目的是造成信息丟失、泄密，破壞系統(tǒng)完整性等。⑥重復(fù)①至⑤對新的目標實施攻擊過程。惡意代碼攻擊模型1惡意代碼生存技術(shù)生存技術(shù)主要包括4方面：反跟蹤技術(shù)加密技術(shù)模糊變換技術(shù)自動生產(chǎn)技術(shù)。反跟蹤技術(shù)可以減少被發(fā)現(xiàn)的可能性，加密技術(shù)是惡意代碼自身保護的重要機制。（1）反跟蹤技術(shù)惡意代碼采用反跟蹤技術(shù)可以提高自身的偽裝能力和防破譯能力，增加檢測與清除惡意代碼的難度。目前常用的反跟蹤技術(shù)有兩類：反動態(tài)跟蹤技術(shù)和反靜態(tài)分析技術(shù)。反動態(tài)跟蹤技術(shù)反動態(tài)跟蹤技術(shù)主要包括4方面內(nèi)容：（1）禁止跟蹤中斷。針對調(diào)試分析工具運行系統(tǒng)的單步中斷和斷點中斷服務(wù)程序，惡意代碼通過修改中斷服務(wù)程序的入口地址實現(xiàn)其反跟蹤目的。（2）封鎖鍵盤輸入和屏幕顯示，破壞各種跟蹤調(diào)試工具運行的必需環(huán)境；（3）檢測跟蹤法。檢測跟蹤調(diào)試時和正常執(zhí)行時的運行環(huán)境、中斷入口和時間的差異，根據(jù)這些差異采取一定的措施，實現(xiàn)其反跟蹤目的。例如，通過操作系統(tǒng)的API函數(shù)試圖打開調(diào)試器的驅(qū)動程序句柄，檢測調(diào)試器是否激活確定代碼是否繼續(xù)運行。（4）其它反跟蹤技術(shù)。如指令流隊列法和逆指令流法等。反靜態(tài)分析技術(shù)反靜態(tài)分析技術(shù)主要包括兩方面內(nèi)容：（1）對程序代碼分塊加密執(zhí)行。為了防止程序代碼通過反匯編進行靜態(tài)分析，程序代碼以分塊的密文形式裝入內(nèi)存，在執(zhí)行時由解密程序進行譯碼，某一段代碼執(zhí)行完畢后立即清除，保證任何時刻分析者不可能從內(nèi)存中得到完整的執(zhí)行代碼；（2）偽指令法(JunkCode)。偽指令法系指在指令流中插入“廢指令”，使靜態(tài)反匯編無法得到全部正常的指令，不能有效地進行靜態(tài)分析。例如，“Apparition”是一種基于編譯器變形的Win32平臺的病毒，編譯器每次編譯出新的病毒體可執(zhí)行代碼時都要插入大量的偽指令，既達到了變形的效果，也實現(xiàn)了反跟蹤的目的。此外，偽指令技術(shù)還廣泛應(yīng)用于宏病毒與腳本惡意代碼之中。（2）加密技術(shù)加密技術(shù)是惡意代碼自我保護的一種手段，加密技術(shù)和反跟蹤技術(shù)的配合使用，使得分析者無法正常調(diào)試和閱讀惡意代碼，不知道惡意代碼的工作原理，也無法抽取特征串。從加密的內(nèi)容上劃分，加密手段分為信息加密、數(shù)據(jù)加密和程序代碼加密三種。大多數(shù)惡意代碼對程序體自身加密，另有少數(shù)惡意代碼對被感染的文件加密。（3）模糊變換技術(shù)利用模糊變換技術(shù)，惡意代碼每感染一個客體對象時，潛入宿主程序的代碼互不相同。同一種惡意代碼具有多個不同樣本，幾乎沒有穩(wěn)定代碼，采用基于特征的檢測工具一般不能識別它們。隨著這類惡意代碼的增多，不但使得病毒檢測和防御軟件的編寫變得更加困難，而且還會增加反病毒軟件的誤報率。目前，模糊變換技術(shù)主要分為5種：（1）指令替換技術(shù)。（2）指令壓縮技術(shù)。（3）指令擴展技術(shù)。（4）偽指令技術(shù)。（5）重編譯技術(shù)。（4）自動生產(chǎn)技術(shù)惡意代碼自動生產(chǎn)技術(shù)是針對人工分析技術(shù)的?！坝嬎銠C病毒生成器”，使對計算機病毒一無所知的用戶，也能組合出算法不同、功能各異的計算機病毒?！岸鄳B(tài)性發(fā)生器”可將普通病毒編譯成復(fù)雜多變的多態(tài)性病毒。多態(tài)變換引擎可以使程序代碼本身發(fā)生變化，并保持原有功能。保加利亞的“DarkAvenger”是較為著名的一個例子，這個變換引擎每產(chǎn)生一個惡意代碼，其程序體都會發(fā)生變化，反惡意代碼軟件如果采用基于特征的掃描技術(shù)，根本無法檢測和清除這種惡意代碼。2惡意代碼攻擊技術(shù)常見的攻擊技術(shù)包括：進程注入技術(shù)三線程技術(shù)端口復(fù)用技術(shù)超級管理技術(shù)端口反向連接技術(shù)緩沖區(qū)溢出攻擊技術(shù)（1）.進程注入技術(shù)當前操作系統(tǒng)中都有系統(tǒng)服務(wù)和網(wǎng)絡(luò)服務(wù)，它們都在系統(tǒng)啟動時自動加載。進程注入技術(shù)就是將這些與服務(wù)相關(guān)的可執(zhí)行代碼作為載體，惡意代碼程序?qū)⒆陨砬度氲竭@些可執(zhí)行代碼之中，實現(xiàn)自身隱藏和啟動的目的。這種形式的惡意代碼只須安裝一次，以后就會被自動加載到可執(zhí)行文件的進程中，并且會被多個服務(wù)加載。只有系統(tǒng)關(guān)閉時，服務(wù)才會結(jié)束，所以惡意代碼程序在系統(tǒng)運行時始終保持激活狀態(tài)。（2）.三線程技術(shù)在Windows操作系統(tǒng)中引入了線程的概念，一個進程可以同時擁有多個并發(fā)線程。三線程技術(shù)就是指一個惡意代碼進程同時開啟了三個線程，其中一個為主線程，負責遠程控制的工作。另外兩個輔助線程是監(jiān)視線程和守護線程，監(jiān)視線程負責檢查惡意代碼程序是否被刪除或被停止自啟動。守護線程注入其它可執(zhí)行文件內(nèi)，與惡意代碼進程同步，一旦進程被停止，它就會重新啟動該進程，并向主線程提供必要的數(shù)據(jù)，這樣就能保證惡意代碼運行的可持續(xù)性。（3）.端口復(fù)用技術(shù)端口復(fù)用技術(shù)，系指重復(fù)利用系統(tǒng)網(wǎng)絡(luò)打開的端口（如25、80、135和139等常用端口）傳送數(shù)據(jù)，這樣既可以欺騙防火墻，又可以少開新端口。端口復(fù)用是在保證端口默認服務(wù)正常工作的條件下復(fù)用，具有很強的欺騙性。（4）.超級管理技術(shù)一些惡意代碼還具有攻擊反惡意代碼軟件的能力。為了對抗反惡意代碼軟件，惡意代碼采用超級管理技術(shù)對反惡意代碼軟件系統(tǒng)進行拒絕服務(wù)攻擊，使反惡意代碼軟件無法正常運行。（5）.端口反向連接技術(shù)防火墻對于外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)流有嚴格的訪問控制策略，但對于從內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)卻疏于防范。端口反向連接技術(shù)，系指令惡意代碼攻擊的服務(wù)端（被控制端）主動連接客戶端（控制端）。（6）.緩沖區(qū)溢出攻擊技術(shù)緩沖區(qū)溢出漏洞攻擊占遠程網(wǎng)絡(luò)攻擊的80％，這種攻擊可以使一個匿名的Internet用戶有機會獲得一臺主機的部分或全部的控制權(quán)，代表了一類嚴重的安全威脅。惡意代碼利用系統(tǒng)和網(wǎng)絡(luò)服務(wù)的安全漏洞植入并且執(zhí)行攻擊代碼，攻擊代碼以一定的權(quán)限運行有緩沖區(qū)溢出漏洞的程序，從而獲得被攻擊主機的控制權(quán)。緩沖區(qū)溢出攻擊成為惡意代碼從被動式傳播轉(zhuǎn)為主動式傳播的主要途徑。例如，“紅色代碼”利用IISServer上IndexingService的緩沖區(qū)溢出漏洞完成攻擊、傳播和破壞等惡意目的。3惡意代碼的隱蔽技術(shù)隱藏通常包括本地隱藏和通信隱藏其