病毒和反病毒技术学习胶片.ppt

病毒和反病毒技术学习胶片 c-marketing 李龙海 病毒的世界 反病毒技术 3 病毒定义 病毒的特征 可触发性 可执行性 传染性 与传播性 破坏性 隐蔽性 和潜伏性 针对性 欺骗性 病毒的官方定义： 1994年2月18日，我国正式颁布实施了中 华人民共和国计算机信息系统安全保护条例 ，在条例第二十八条中明确指出：“ 计算机病毒，是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据，影响 计算机使用，并能自我复制的一组计算机指 令或者程序代码。” 当前的病毒概念： 随着信息安全技术的不断发展，病毒的 定义已经被扩大化， 目前，广义的病毒包括：传统病毒（引 导区病毒、文件型病毒、宏病毒）、蠕 虫、木马、后门、恶意网页代码等等 4 病毒的发展阶段 从1986年出现第一个计算机病毒 brain规模感染开始到现在，大致 可以分为三个阶段： l基于pc系统的传统病毒阶段（86）： 此时编写病毒完全是基于对技术的探 求，这一阶段的顶峰应该算是cih病毒 l基于internet的网络病毒阶段（99）： 比如我们知道的红色代码、冲击波、 震荡波等病毒皆是属于此阶段，这类病毒往 往利用系统漏洞进行世界范围的大规模传播 。 l结合多种手段的复合病毒阶段： 我们所面临的不再是一个简简单单的 病毒，而是包含了病毒、黑客攻击、木马、 间谍软件等多种危害于一身的基于internet 的混合型网络威胁。例如：熊猫烧香 internet pc integrated 5 复合型病毒的典型熊猫烧香 virus.win32.evilpanda.a.ex$的行为： 1、病毒体执行后，将自身拷贝到系统目录 2、添加注册表启动项目确保自身在系统重启动后被加 载 3、拷贝自身到所有驱动器根目录，命名为setup.exe ，并生成一个autorun.inf使得用户打开该盘运行病毒 ，并将这两个文件属性设置为隐藏、只读、系统 4、关闭众多杀毒软件和安全工具 5、连接*.3322.org下载某文件，并根据该文件记 录的地址，去www.*.com下载某ddos攻击程序， 下载成功后执行该程序 6、监视记录qq和访问局域网文件记录：c:test.txt ，试图qq消息传送 7、循环遍历磁盘目录，感染文件，对关键系统文件跳 过，不感染windows媒体播放器、msn、ie 等程序。 可以通过恶意网页传播，其它木马下载，局域网传播，文件感染移动存储设备 具备了目前传统病毒、蠕虫和木马的多重特点 l发动ddos攻击 l终止杀毒软件 l破坏正常文件 6 当前病毒主要危害 【2006年十大病毒排行】 1.熊猫烧香（worm.nimaya） 2.威金蠕虫（worm.viking） 3.代理木马下载器（trojan.dl.agent） 4.传奇终结者（trojan.psw.lmir） 5.征途木马（trojan.psw.zhengtu） 6.qq通行证（trojan.psw.qqpass） 7.威尔佐夫（worm.mail.warezov） 8.调用门rootkit(rootkit.callgate) 9.灰鸽子后门（backdoor.gpigeon） 10.魔兽木马（trjan.psw.wowar） 病毒感染率高居不下，但用户的安全意识仍然有待提高。面对蠕虫、木马等 传统威胁的继续发展和欺诈行为的逐步抬头，紧紧依靠单一产品已经远远不 能胜任。(国家病毒应急中心主任张健） 7 病毒的动机转向趋利 网游装备的价值 热血传奇：8区天俯装备报价 武士：裁决5000；力量4000 ；骑士3000；黑铁头500；绿 色1000；菜刀400 道士：太谈2000；龙问 5000. 不再炫耀技术 多保持“低调” 病毒危害更大 病毒的目的 从出名、技 术转为获取 现实的利益 技术驱动 isd om on ey 利益驱动 媒体曾披露“玩病毒比房地产来钱“ 8 病毒分类 计算机病毒可以分为系统病毒、蠕虫病毒、木马病毒、黑客病毒、脚本 病毒、宏病毒、后门病毒、病毒种植程序病毒、破坏性程序病毒、玩笑 病毒、捆绑机病毒等 系统病毒 系统病毒的前缀为：win、pe等。这些病毒的一般公有的特性是可以感染 windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如cih病毒 。 蠕虫病毒 蠕虫病毒的前缀是：worm。这种病毒的公有特性是通过网络或者系统漏洞进行 传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击 波（阻塞网络），小邮差（发带毒邮件） 等。 9 病毒分类 木马病毒、黑客病毒 木马病毒其前缀是：trojan，黑客病毒前缀名一般为 hack。木马病毒的公 有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露 用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程 控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电 脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来 越趋向于整合了。一般的木马如qq消息尾巴木马 trojan.qq3344 ，还有 大家可能遇见比较多的针对网络游戏的木马病毒如 trojan.lmir.psw.60 。 这里补充一点，病毒名中有psw或者什么pwd之类的一般都表示这个病毒 有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一 些黑客程序如：网络枭雄（hack.nether.client）等。 10 病毒分类 病毒种植程序 这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统 目录下，由释放出来的新病毒产生破坏。如：冰河播种者（ dropper.binghe2.2c）、msn射手(dropper.worm.smibag)等。 破坏性病毒程序 破坏性程序病毒的前缀是：harm。这类病毒的公有特性是本身具有好看的 图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算 机产生破坏。如：格式化c盘（harm.formatc.f）、杀手命令（ harm.command.killer）等。 11 脚本病毒 脚本病毒的前缀是：script。脚本病毒的公有特性是使用脚本语言编写，通 过网页进行的传播的病毒，如红色代码（script.redlof）。脚本病毒还会 有如下前缀：vbs、js（表明是何种脚本编写的），如欢乐时光（ vbs.happytime）、十四曰（js.fortnight.c.s）等。 后门病毒 后门病毒的前缀是：backdoor。该类病毒的公有特性是通过网络传播，给 系统开后门，给用户电脑带来安全隐患。如很多朋友遇到过的irc后门 backdoor.ircbot 。 病毒分类 12 病毒分类 玩笑病毒 玩笑病毒的前缀是：joke。也称恶作剧病毒。这类病毒的公有特性是本身 具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各 种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如： 女鬼（joke.girlghost）病毒。 捆绑机病毒 捆绑机病毒的前缀是：binder。这类病毒的公有特性是病毒作者会使用特 定的捆绑程序将病毒与一些应用程序如qq、ie捆绑起来，表面上看是一个 正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序， 然后隐藏运行捆绑在一起的病毒，然后给用户造成危害。如：捆绑qq（ binder.qqpass.qqbin）、系统杀手（binder.killsys）等。 13 病毒分类 宏病毒： 前缀：macro以及word、word97、excel、excel97等；典型病毒（ melissa）；感染原理：office文件嵌入；特点：传播快，制作方便，破坏 大； 其他病毒 以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里 简单提一下： dos：会针对某台主机或者服务器进行dos攻击； exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一 个用于hacking的溢出工具； hacktool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你 做替身去破坏别人。 14 传统病毒的基本结构 引导部分 将病毒主体加载到内存为传染部分做准备； 传染部分 将病毒本身复制到传染目标上去； 表现部分 执行破坏或者其它目的。一般都是有一定条件才会触发，如 时钟计数器等根据编制者的不同目的而不同 一般的病毒，包括三个功能部分： 15 弹 头 传 播 引 擎 目 标 选 择 算 法 扫 描 引 擎 有 效 负 荷 弹头 缓冲区溢出、共享文件、电子邮 件 传播引擎 ftp、tftp、http 目标选择算法 email地址、主机列表、dns等 等 扫描引擎 有效负荷 后门、拒绝服务攻击、其他操作 蠕虫的组成 16 魔道之争病毒的多态技术 我们把使用通常的特征码扫描法无法检测（或者极其难以检测）的病毒称 为多态病毒。多态病毒避免被检测的方法主要有两种：使用不固定的密钥 或者随机数加密病毒代码，或者在病毒运行的过程中改变病毒代码，除了 这两种主要的方式外，还有的病毒，例如“炸弹人”（bomber）通过一些奇 怪的指令序列等方法可以实现多态性。 多态病毒和前面所述的引导型、文件型和宏病毒并不是同一层次的概念， 实际上，多态病毒中既有引导型病毒，也有文件型病毒和宏病毒。 使用加密解密技术的多态性 下面是一段最简单的多态病毒代码，这段代码的作用是将预先加密的 病毒代码解密，然后跳转到执行感染和破坏功能的病毒代码中。 对付多态病毒的最好办法是某种形式的虚拟执行技术。 17 魔高一尺病毒的多态技术 18 看不见的战斗病毒隐藏技术 病毒在进入系统之后，会采取种种方法隐藏自己的行踪，让你无法感觉到病 毒的存在。主要有，隐藏进程、隐藏文件、隐藏网络连接、采用多种手法相 互保护、进入系统进程体内。 引导型病毒的隐藏技术：一种是改变基本输入输出系统（bios）中断13h（十六进制） 的入口地址使其指向病毒代码之后，发现调用int13h读被感染扇区的请求的时候，将原来的没有 被感染过的内容返回给调用的程序，这样，任何程序都无法觉察到病毒的存在，如果反病毒软件无 法首先将内存中的病毒清除的话，就无法清除这种病毒。 为了对付述隐藏手段，一些杀毒软件采用直接对磁盘控制器进行操作的方法读写磁盘扇区。病毒 的制造者们当然不会甘心束手就擒，他们使用了在加载程序的时候制造假象的方法，当启动任何程 序的时候（包括反病毒程序），修改dos执行程序的中断功能，首先把被病毒感染的扇区恢复原样 ，这样即使反病毒程序采用直接磁盘访问也只能看到正常的磁盘扇区，当程序执行完成后再重新感 染。对付这种病毒的唯一方法是在进行病毒检测之前首先清除内存中的所有病毒。 19 看不见的战斗病毒隐藏技术 网络时代的病毒隐身技rootkit技术： 一个典型rootkit包括： 以太网嗅探器程程序，用于获得网络上传输的用户名和密码等信息； 特洛伊木马程序，例如：inetd或者login，为攻击者提供后门； 隐藏攻击者的目录和进程的程序，例如：ps、netstat、rshd和ls等； 可能还包括一些日志清理工具，例如：zap、zap2或者z2，攻击者使用这 些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目 。 一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。 还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。 攻击者使用rootkit中的相关程序替代系统原来的ps、ls、netstat和df等程 序，使系统管理员无法通过这些工具发现自己的踪迹。 20 病毒技术：免杀 所谓“免杀”，是指通过特殊技术处理，修改病 毒文件，使已知病毒逃过杀毒软件的查杀。 01010 10101 11110 10001 10000 11110 11010101 11011001 match a virus 110* 11011001 modify the pattern dismatch pass the scan virus definition 高级语言源代码级 别的无效代码的插入 增加管理运算防止 编译器优化 反跟踪与时间门 分段加密与执行 21 病毒技术：加壳 特点二：病毒中加入大量抗分析技术加壳 “加壳”手段被黑客 广泛利用 约有90以上的病毒 文件进行过“加壳” 处理。 杀毒软件脱壳原理示意图 22 新增病毒变种同期对比 图2.3 2006年上半年各类病毒变种发展状况 病毒技术：变种丛生 病毒名称变变种数量 新增波特类（bot ） 16036 瑞波变种7365 波特间谍1776 高波4424 “盗号木马“6007 灰鸽子变种5032 2006年上半年截获的新病毒中 ，很多属于同一病毒种族的不 同变种。 23 传播手段更加网络化 病毒采用网络化 多元传播手段 通过软盘、 光盘等介质 进行传播 通过网络/u盘等手段 qq msn 社会上流行的话题 伪装的病毒邮件 网页木马 u盘 24 病毒和攻击融合 例子：黑客通过网站传播病毒 图2.5 黑客利用网站传播病毒 25 病毒的发展趋势 病毒与黑客技术相融合，更新换代向复合型 发展 针对用户真实财产的国产病毒不断增多 病毒数量爆炸性增长 依赖网络，如恶意网页、im等，传播更快 利用系统漏洞成为病毒有力的传播方式 病毒攻击行为日益复杂 技术趋势： 病毒向多平台发展，警惕手机病毒和智能设备病毒 病毒作者开放源代码将使病毒变种将进一步泛滥 加壳与变形更为突出 病毒中加入大量抗分析技术 病毒的世界 反病毒技术 27 反病毒策略 防范病毒侵入 防范病毒造成危害 对病毒危害进行追踪 打击 技术策略 管理策略 反病毒策略 28 特征码技术 反病毒技术包括特征码技术、覆盖法技术、驻留式软件技术、特征码过滤 技术、自身加密的开放式反病毒数据库技术、智能和广谱技术、虚拟机技 术、启发扫描技术、病毒疫苗等。最基本的，应用最广泛的就是特征值查 毒法。 所谓特征值查毒法，就是在获取病毒样本后，提取出其特征值（譬如石头 病毒中的“your pc is stoned!”字符串），然后通过该特征值对各个文件或内 存等进行扫描。如果发现这种特征值，这说明感染了这种病毒，然后针对 性地解除病毒的武装。通常杀毒软件会提取3处以上的关键代码（程序没有 这段代码就无法感染文件或无法启动），如果在同一个exe都存在则这个 文件就是病毒。 29 generic技术： 是广谱查毒技术的一种，其主要是针对变种病毒的查杀。有时用杀毒 软件扫描病毒时会报出以“gen”作为结尾的名称，如 “backdoor.gpigeon.gen”，就是使用了这一技术。病毒分析工程 师通过对大量病毒样本特征进行分析，提取出它们之间相同的特征值， 从而对一个群族的病毒进行查杀。 变种共性特征比对： 是瑞星独家研发的一种新的广谱查毒技术，它可以报告出病毒变种与 该病毒家族的相似程度，查毒结果更为精确。 广谱查毒（应对变种） 30 启发式扫描技术 新病毒不断出现，传统的特征值查毒法完全不可能查出新出现的病毒。启 发式扫描技术产生了，何谓启发式扫描？我们知道，一个病毒总存在其与 普通程序不一般的地方，譬如他会格式化硬盘，重定位，改回文件时间， 修改文件大小，能够传染等等。这样，我们就可以对每一类病毒特征进行 加权，譬如重定位3分，格式化硬盘15分，传染10分，这样，如果一个程 序拥有这3个功能，他就得到了28分，如果我们设定判断一个病毒的标准 是20分，那么这个程序在遇到采用了启发式扫描技术的杀毒软件时，杀毒 软件就会报警，说发现新病毒。这就是启发式扫描技术。norton的启发式 扫描技术非常不错。 31 道高一丈脱壳引擎、虚拟机技术 脱壳引擎： 通过一些算法将“加壳加密”的病毒还原成原始状态，再对其原始状态进行查毒 虚拟机技术： 就是用软件先虚拟一套运行环境，让病毒先在该虚拟环境下运行，观察其执行过程。不管 是加密加壳，还是抗分析免杀技术，病毒在执行时都会露出庐山真面目。在其解密之后我 们可以通过特征值查毒法对其进行查杀。 32 病毒疫苗技术 还有一种技术叫病毒疫苗，这种疫苗程序，举个简单的例子，美丽莎病毒 会并修改windows注册表项：hkey_current_usersoftware microsoftoffice,将其增加表项：melissa?,并给其赋值为： by kwyjibo ，这是病毒避免进行重复感染的标志。如果我们在一台没有感染美丽莎病 毒的机器上事先设立这一注册表值，那么当美丽莎病毒准备感染这台机器 时，由于发现存在该键值会认为该机器已经被感染而不对它进行再次感染 。这样，我们达到了对这台机器进行免疫的目的。当然有些病毒的免疫不 是这么简单的。但是思想都差不多了。 33 安全监测和病毒分布区域 流量统计 病毒预警 攻击预警 人民战争国家病毒预警监控体系 当前实际上主要有两大部分，一个是我们国家计算机病毒应急处 理中心把所有的防病毒的厂家有效的组织起来，形成国家病毒应 急小组，发现新的病毒之后厂家会上报，包括病毒样本和报告， 中心首先发现病毒，会通过这个渠道通知给所有防病毒的厂家， 这样就会加快对病毒的快速反映和处置能力。 34 反病毒技术发展趋势 多层面全方位立体防护体系 漏洞和攻击防护技术 反病毒与网络、安全产品联动 更可靠的数据备份和灾难恢复技术 未知病毒行为检测技术 程序逻辑分析与行为识别 完善的应急响应系统 35 业界著名的反病毒公司 国际：symantec、趋势科技、 kaspersky、熊猫、 mcafee、飞塔等； 瑞星、冠群金辰、天融信、金山、江民等 36 反病毒国际组织wildlist wildlist是一个病毒研究组织。每个月都会公布当月最流行的病毒。如果反 病毒组织或者个人发现病毒样本，都可以在第一时间报告给该组织。 wildlist将这些病毒名称公开发布，作为反病毒产品的研发依据。也就是说 反病毒产品必须满足防治这些病毒的要求。 访问地址： 例子：这个是wildl