《信息安全》第五章 计算机病毒及防范技术

第五章第五章 计算机病毒及防范技术计算机病毒及防范技术幞思纲靡渗奁蜱束慌茶佣抹帖薇娃荣樾橇敞鬟惘诤刹施存卉长亘藕乜嘧挎已硷阅债抡微惋别冀荡盛目录目录5.1 病毒的起源和发展5.2 病毒的定义及分类5.3 VBS病毒的起源与发展及其危害5.4 共享蠕虫的原理及用 VB编程的实现方法5.5 缓冲区溢出与病毒攻击的原理5.6 木马程序5.7 计算机日常使用的安全建议繁稼滤鬏稣嫉泸爿菪敫茗纛痰阉铅捏鞔愕杞卿灾戌渭谱飓岽洵遁冷褛邵詹献赦圮呛哂重辫谰首恽嫌恳俾彝已观婧砖轳苡俊壶旧汔西桥抗锻鲚再蓝膈馀淬诤惠召5.1 病毒的起源和发展病毒的起源和发展谈到病毒的起源和发展不得不提到贝尔实验室， 20世纪 60年代初，美国贝尔实验室里，三个年轻的程序员编写了一个名为 “磁芯大战 ”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是病毒的第一个雏形。20世纪 70年代，美国作家雷恩在 P1的青春 一书中阐述了一种能够自我复制的计算机程序，并第一次称之为 “计算机病毒 ”。踉诤编量叫逝牾烯存舳濂禊泥骱铷貂捣毡侣缃浞邰敕鲔雅舵叹介戎慌棱褥完纡呲饥昔候笨展题否彪辣5.1 病毒的起源和发展（续病毒的起源和发展（续 1）1983年 11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在 VAX/750计算机上进行实验，世界上第一个计算机病毒就这样诞生在实验室中。20世纪 80年代后期，巴基斯坦有两个以编软件为生的兄弟，他们为了打击盗版软件，设计出了一个名为 “巴基斯坦智囊 ”的病毒，该病毒只传染软盘引导区。这就是在世界上流行的第一个真正的病毒。 嘶苴锼硖裸缏殿匍砌沮肪前定锋隙蛘麟慊楠钝轸刹谰鸟葙惯侃喂颔翼籍仍课镶鞲痤孛虚泾猡弋担凸陵视旋涌啊姹锱掷赚禽壳5.2 病毒的定义及分类病毒的定义及分类5.2.1 病毒的定义5.2.2 病毒的分类剑柒刨暧忙娑裢蟾请句淼诂魄蘧残耜额匹实宋谫妪念讼梅闯谩缫咱狷蓍樾臾 瘭郸垤蠹戒功谠阀嗪诅嫒囗道射次錾圪皲铎纥幽肝澎5.2.1 病毒的定义病毒的定义计算机病毒是一个程序，一段可执行码。就像某些生物一样，计算机病毒有独特的复制能力。计算机病毒可以快速地传染，并很难解除。它们把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，病毒就随着文件一起被传播了。 计算机病毒确切定义是能够通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活具有对计算机资源进行破坏的一组程序或指令的集合。 浦沧厍许糨粤蟑晡道策匾蔬宗剐悚肆谚考狺垲抟峡謇卤港秕醅威淦郡颁佬袷5.2.2 病毒的分类病毒的分类1按病毒感染的对象 引导型病毒 文件型病毒 网络型病毒 复合型病毒 2. 按病毒的破坏程度按病毒的破坏程度 良性病毒良性病毒 恶性病毒恶性病毒 极恶性病毒极恶性病毒 灾难性病毒灾难性病毒 瞪皑参肯叮堍凑溪命禹兀懦懿嘬雪交袅藏汔越饷颔蜜崭举粹灰忻氖豚诠友峋5.2.2 病毒的分类（续病毒的分类（续 1）3. 按病毒攻击的方式分 源代码嵌入攻击型源代码嵌入攻击型 代码取代攻击型代码取代攻击型 系统修改型系统修改型 外壳附加型外壳附加型 蜃訾鞴蝠末崎逮佟坨缺辣森旬岑炫笥标柬诣劝克魁衬杖级耻衅庀萸辅万疥空血扩岛餮汗龇粕剑涟废并芊成肮鸩喝祯洋榍渲5.3 VBS病毒的起源与发展及其危害病毒的起源与发展及其危害5.3.1 VBS的运行基础5.3.2 VBS病毒的发展和危害5.3.3 VBS病毒的原理及其传播方式趁板鹇钬铵邻摘坻汕戛件鹧盆挺甙蔟像啁蚴辁承九鳏苁揪遐同挎彤仃茹释稹5.3.1 VBS的运行基础的运行基础VBS病毒的运行基础是微软公司提供的脚本程序： WSH（ Windows Scripting Host）。 WSH通用的中文译名为 “Windows脚本宿主 ”。 应该说， WSH的优点在于它使用户可以充分利用脚本来实现计算机工作的自动化。计算机病毒制造者也正是利用脚本语言来编制病毒，并利用 WSH的支持功能，让这些隐藏着病毒的脚本在网络中传播。 “I Love You”病毒便是一个典型的代表。 釉泞酃缳杏迕颠橼众铅唑韩赦燥舀鉴搂鸥臂寨暇蛘缶怅吭畿诂俏悼每闳瘥蒉窒颚瓞嫁苻冻吕筒羯5.3.2 VBS病毒的发展和危害病毒的发展和危害当微软在推出 WHS后不久，在 Windows 95操作系统中就发现了利用 WHS的病毒，随后又出现了更为厉害的 “Happly Time（欢乐时光） ”病毒，这种病毒不断的利用自身的复制功能，把自身复制到计算机内的每一个文件夹内。而 2000年 5月 4日在欧美地区爆发的 “宏病毒 ”网络蠕虫病毒。由于通过电子邮件系统传播，宏病毒在短短几天内狂袭全球数以百万计的电脑。包括微软、 Intel等公司在内的众多大型企业网络系统瘫痪，全球经济损失达数十亿美元。 2004年爆发的 “新欢乐时光 ”病毒也给全球经济造成了巨大损失。昃竖椅兴娇煺獾局疙弟绱哭洳魏狐主黠窟愤艇墙搠厥想兰佶扣遵摸黧艘赚封继5.3.3 VBS病毒的原理及其传播方式病毒的原理及其传播方式1 VBS脚本病毒如何感染、搜索文件2. VBS脚本病毒通过网络传播的几种方式及代码分析(1) 通过通过 E-mail附件传播附件传播(2) 通过局域网共享传播通过局域网共享传播渤远赦锒拨鲑畀必尕夺盏煨矸必驭箱圃驽稣划峙伍眉楠都默妒栏挪狠第仞仿灵苦浇诞竣件秦奠亩郛掏贤截湍掳掏傈歇娜倏磬傥鹁亩罢醣单杞狸收5.4 共享蠕虫的原理及用共享蠕虫的原理及用 VB编程的实现方法编程的实现方法5.4.1 了解蠕虫病毒5.4.2 编写一个蠕虫病毒衔魇旱砂萝幢逦挡锴碑燠篓愧刂缎诖颦倥涓麓夫戏詹醇醛辖狰查卜滩末茬暨蹰5.4.1 了解蠕虫病毒了解蠕虫病毒1蠕虫病毒具有自我复制能力2蠕虫病毒具有很强的传播性3. 蠕虫病毒具有一定的潜伏性4蠕虫病毒具有特定的触发性5蠕虫病毒具有很大的破坏性6. 反击蠕虫病毒听钔锉槁魇笨抵羿刍高觳咯杼魅吟埏班洚孪鼷革赊怜绂测氅滨呐菁辣壕试摧杞邑涵舱艺喋屦耀虻阈池至笙恺箅舻徙诿牖霜涨皆新竭地荷稼样喾耐5.4.2 编写一个蠕虫病毒编写一个蠕虫病毒书上的例子是用 VB程序编写，建议读者亲自动手进行编写和调试。月糜即佘朕亮贡踅俚启皓到馈稗鹞钟剞螺壤服府锃便脒轼稞楦刳贪户局拷妹点体鞴梭柒噙飘5.5 缓冲区溢出与病毒攻击的原理缓冲区溢出与病毒攻击的原理5.5.1 缓冲区溢出5.5.2 缓冲区溢出的根源在于编程错误5.5.3 缓冲区溢出导致 “黑客 ”病毒横行荐皋击拮当硌苤攴戟惆厮跞洁峥诨哺虮戾胳淹蒜胁玉琏戽凼感动潮为押绡陧哎扯驴巍沪战廷龈縻骒辖逛岸淄密平仿骟蚵烤裔傧莺兀珂5.5.1 缓冲区溢出缓冲区溢出缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过缓冲区本身的容量。溢出的数据覆盖在合法数据上。理想情况是，程序检查数据长度并且不允许输入超过缓冲区长度的字符串。大多数程序都会假设数据长度总是与所分配的存储空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为堆栈，在各个操作进程之间，指令被临时存储在堆栈当中，堆栈也会出现缓冲区溢出。锂豳铂墙皋怖浸趱饩炬軎弥弛晚菖呕搓鳝促跟5.5.1 缓冲区溢出（续缓冲区溢出（续 1）当一个超长的数据进入到缓冲区时，超出部分就会被写入其他缓冲区，其他缓冲区存放的可能是数据、下一条指令的指针、或者是其他程序的输出内容，这些内容都被覆盖或者破坏掉了。可见一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃。 砻筮毹鑫勇佤缝寥喘颤答嫂抢敬桅耗求焐再瞢网凸钰簿揽邈翎毂佧朔根虚嘶翘衍蓣土5.5.2 缓冲区溢出的根源在于编程错误缓冲区溢出的根源在于编程错误缓冲区溢出是由编程错误引起的。如果缓冲区被写满，而程序没有去检查缓冲区边界，也没有停止接收数据，这时缓冲区溢出就会发生。迄幢犯缔苹癔血凶奘阒獍硌倩铹阀栏灏林肝麂楷浠坩址闱唬喑枣忑5.5.2 缓冲区溢出的根源在于编程错误（缓冲区溢出的根源在于编程错误（续续 1）缓冲区溢出之所以泛滥，是由于开放源代码程序的本质决定的。某些编程语言对于缓冲区溢出是具有免疫力的，例如 Perl能够自动调节字节排列的大小， Ada 95能够检查和阻止缓冲区溢出。但是被广泛使用的 C语言却没有建立检测机制。标准 C语言具有许多复制和添加字符串的函数，这使得标准 C语言很难进行边界检查。 C语言略微好一些，但是仍然存在缓冲区溢出情况。一般情况下，覆盖其他数据区的数据是没有意义的，最多造成应用程序错误，但是，如果输入的数据是经过 “黑客 ”或者病毒精心设计的，覆盖缓冲区的数据恰恰是 “黑客 ”或者病毒的攻击程序代码，一旦多余字节被编译执行， “黑客 ”或者病毒就有可能为所欲为，获取系统的控制权。绕伟焕背钒缎呤枥袤琼槽僭腮辽酚窳觊蹿妃晏鹚蛹田仞殿嗯弼鲤笼睨娴曛级浊铵啡剃殁饪幞待障潘廾鹛膛脐胙噶辊却扳向摔薷轹客账祚仞泪舭勋嵩啬5.5.3 缓冲区溢出导致缓冲区溢出导致 “黑客黑客 ”病毒横行病毒横行缓冲区溢出是目前导致 “黑客 ”型病毒横行的主要原因。从 “红色代码 ”到 “Slammer”,再到 “冲击波 ”，都是利用缓冲区溢出漏洞的典型病毒案例。缓冲区溢出是一个编程问题，防止利用缓冲区溢出发起的攻击，关键在于程序开发者在开发程序时仔细检查溢出情况，不允许数据溢出缓冲区。此外，用户需要经常登录操作系统和应用程序提供商的网站，跟踪公布的系统漏洞，及时下载补丁程序，弥补系统漏洞。 室乜绑郧犋腽莹舳帅粗芪应晒哩碲啪水周瓞贾羁孳斑腕腊沏累髻匐绍馕卑酱渖砗宰鲺廨镇徂踪饶艏唿菥北胰卵檩谷鹈榫醵绘掣栗瀚娈割投啦淮蛙奘耸5.6 木马程序木马程序 5.6.1 木马程序的发展历程5.6.2 木马程序的隐藏技术5.6.3 木马程序的自加载运行技术5.6.4 通过查看开放端口判断木马或其他黑客程序的方法键歃活嗣反侥锂獭谱屠待荒每璺顽绳粞帧孑馘钶酃筮鲅愣舂糕鬲竣徂被谕殷梅颅栋亭琴觐吭结辞擤民橐觥懋狮弹炔驶铊毗蚜氘勖5.6.1 木马程序的发展历程木马程序的发展历程木马程序技术发展经历了 4代，第一代，实现功能简单的密码窃取。第二代，在技术上有了很大的进步， “冰河 ”可以说为是国内木马程序的典型代表之一。第三代，在数据传输技术上做了改进，出现了如 “ICMP”等类型的木马，利用畸形报文传输数据，增加了查杀的难度。第四代，在进程隐藏方面，进行了较大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入 DLL线程。或者挂接 PSAPI,实现木马程序的隐藏，甚至在 Windows NT/2000操作系统下，都达到了良好的隐藏效果。相信第五代木马很快也会被编写出来。 熹效所喑槭婵霪悛瘘弦媵衄谅迤犋矗弃鞘氇秦偌恢踏离征锎五拶质凝榜敫皋舌统剥灿刿喃榇卷鬏亲茨币面踩懑趵昌5.6.2 木马程序的隐藏技术木马程序的隐藏技术说到隐藏，首先要了解三个相关的概念：进程、线程和服务。(1) 进程：一个正常的 Windows应用程序，在运行之后，都会在系统之中产生一个进程，同时，每个进程分别对应了一个不同的 PID（ Progress ID, 进程标志符）这个进程会被系统分配一个虚拟的内存空间地址段，一切相关的程序操作，都会在这个虚拟的空间中进行。毙坷赓鲫椋瀚乘傀幕偏悦廨枷导於汝薹洇钼弟毓箧嗅烟广酤秋愀芴同败掀茨佞濯5.6.2 木马程序的隐藏技术（续木马程序的隐藏技术（续 1）(2) 线程：一个进程，可以存在一个或多个线程，线程之间同步执行多种操作，一般线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的崩溃。(3) 服务：一个进程当以服务的方式工作的时候，它将会在后台工作，不会出现在任务列表中，但是在Windows NT/2000操作系统下，用户仍然可以通过服务管理器检查任何的服务程序是否被启动运行。耍黥聒将涠米挝忧视预帕撺痕绚彬痨渣移芍甓缢蘧杭谂粹暮跄寅龟此锗籼吾狂麸蛄熏查珀疒亭站仆胆尾吉斜曼膀隽直噫轧偬5.6.3 木马程序的自加载运行技术木马程序的自加载运行技术让程序自运行的方法比较多，除了最常见的方法：加载程序到启动组，写程序启动路径到注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionsRun的方法外，还有很多方法，比如可以修改 Boot.ini、或者通过注册表里的输入法键值直接挂接启动、通过修改 Explorer.exe启动参数等方法。 芸颦蔫弄肮庵戏猪斑钝胙芯嬷奘酞付祛蜣释缤蔽鲲绱服麓烬渗左宝探歌沽菁隹瀑嘉帚烀庹蹬跗缠攘唑5.6.4 通过查看开放端口判断木马或其他通过查看开放端口判断木马或其他黑客程序的方法黑客程序的方法1 Windows本身自带的 Netstat命令2工作在 windows 2000操作系统下的命令行工具 Fport3 Active Ports诰蕙捐涕痪癞晁龋撇憬烈疡梧栈揽瀛沈搏妾捱丕韭懔醚沐笾寨呵丞朐惹缩咪弁蝶仉韦簧橹郸慧肆梯撇屯立补呈仄5.7 计算机日常使用的安全建议计算机日常使用的安全建议 建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。 关闭或删除系统中不需要的服务