网络安全员培训第七章计算机病毒检测与防治.docx

第七章计算机病毒检测与防治恶意代码概述定义：是一种可以中断或破坏计算机网络的程序或代码。特征：可以将自己附在宿主程序或文件中，也可以是是独立的；恶意代码会降低系统运行的速度，造成数据丢失和文件损坏，注册表和配置文件被修改，或为攻击者创造条件，使其绕过系统的安全程序；恶意代码通常是相互交叉的，通常是结合了各种恶意功能的代码合成全新的、更具攻击能力的代码恶意代码的常见类型1病毒病毒是一段可执行代码，可以将自己负载在一个宿主程序中。被病毒感染可执行文件或脚本程序，不感染数据文件。2特洛伊木马特洛伊木马表面上是无害的可执行程序，但当它被打开时将执行未经过授权的活动，如窃取用户密码、非法存取文件、删除文件或格式化磁盘，特洛伊木马不感染其他文件。3蠕虫蠕虫由一个或一组独立程序组成的，能够复制自己并将拷贝传播给其他计算机系统。蠕虫会占用大量网络带宽，在传播时不需要宿主文件或程序，蠕虫有时也会携带病毒，当蠕虫被激活时，病毒就会被释放到计算机系统中，有的蠕虫本身就能够破坏信息和资源。4后门后门有时称为远程访问特洛伊(RAD，后门私下开通进入计算机系统入口。攻击者使用后门可以绕过安全程序，进入系统。后门程序不会感染其他文件，但经常会修改计算机注册表。5恶作剧程序恶作剧程序(Joke Program)是为取笑其他计算机用户而创造出来的普通可执行程序。它们不会破坏数据或造成系统破坏，但它们经常会浪费雇员时间，降低生产效率。它们可能包含有对工作不合适的图片或内容。恶作剧只会在某些人故意发送时才会传播。恶意代码引起的系统症状(1)系统莫名其妙地突然变慢；(2)程序及文件载入时间变长；(3)硬盘文件存取效率突然下降；(4)系统内存占用急剧上升；(5)不正常的错误信息；(6)硬盘灯无故长亮；(7)硬盘可用空间无故变少；(8)可执行文件体积无故改变；(9)硬盘出现坏道；(10)进程列表异常；(11)文件数无故增减或无故消失；(12)后台程序自动向网络发包；(13)系统被别人控制；(14)用专用工具扫描发现。 恶意代码的传播途径(1)通过文件系统传播；(2)通过电子邮件传播；(3)通过局域网传播；(4)通过互联网上即时通讯软件和点对点软件等常用工具传播；(5)利用系统、应用软件的漏洞进行传播；(6)利用系统配置缺陷传播，如弱口令、完全共享等；(7)利用欺骗等社会工程的方法传播。特洛伊木马名字的由来：借用希腊神话“木马屠城记”中的特洛伊木马来为这类程序命名，说明该类程序运行的特点：潜入系统内部，而通过网络和外部程序里应外合，完成攻破或获取主机信息资源的目的。木马程序的构成和原理：组成：一个是服务器程序，一个是控制器程序（客户端程序）。中了木马就是指安装了木马的服务器程序，若用户的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制用户的电脑，便可以随意获取计算机上的各种文件、程序，以及在电脑上使用的账号、密码，取得对计算机的所有控制权。 木马程序潜入的途径在下在一些游戏或小软件时附带有木马程序；隐藏在邮件的附件中诱使用户执行；在一些网站中的各种资料下载过程中；直接潜藏在网页中，当用户访问时，即潜入用户计算机。特洛伊木马具有的特性 1具有隐蔽性 2具有自动运行性 3具有伪装性 4具备自动修复功能 5能自动打开特别的端口 6功能的特殊性1具有隐蔽性(1)在任务栏里隐藏这是最基本的隐藏方式。如果在Windows的任务栏里出现一个莫名其妙的图标，大家都会明白是怎么回事。要实现在任务栏中隐藏，用编程很容易实现，以VB为例，只要把Form的Visible属性设置为False，Show inTaskBar设为False，程序就不会出现在任务栏里。(2)在任务管理器里隐藏查看正在运行的进程最简单的方法就是按下CtrI+Alt+Del时出现的任务管理器。木马会千方百计地伪装自己，使自己不出现在任务管理器中或者通过修改名称使用户无法识别哪个是木马进程，无法终止它的运行。(3)端口 台机器有65536个端口，用户不可能同时监视所有的端口，不难发现，大多数木马使用的端口在1024以上，而且呈越来越大的趋势，当然也有占用1024以下端口的木马，但这些端口是常用端口，占用这些端口可能会造成系统运行不正常，这样的话，木马就会很容易暴露。也许用户知道些木马占用的端口，或许会经常扫描这些端口，但现在有的木马会动态地改变端口，用户无法对全部端口都进行扫描。(4)隐藏通讯隐藏通讯也是木马经常采用的手段。任何木马运行后都要和攻击者进行通讯连接，或者通过即时连接。如攻击者通过客户端直接接被植入木马的主机，或者通过间接通讯，如通过电子邮件的方式，木马把侵入主机的敏感信息送给攻击者，有些非常先进的木马还可以做到，占领HTTP端口，收到正常的HTTP请求Z后，仍然把它交与web服务器处理，只有收到些特殊约定的数据包后，才调用木马程序。(5)隐藏加载方式木马加载的方式可以说是多种多样的。但殊连同归，都为了达到个共同的目的，那就是使用户运行木马的服务器程序。木马会伪装自己，使用户在浏览网页、下载文件、执行可执行文件，甚至浏览邮件的过程中，毫无察觉的情况下实现加载。而随着网站交互性的不断进步，越来越多的事物可以成为木马的传播介质，Java script、VBScript、ActiveX等，几乎www每个新功能都会导弛木马的快速进化。(6)替换系统文件来隐身它基本上摆脱了原有的木马模式监听端口，而采用替代系统功能的方法，木马会将修改后的文件替换系统已有的系统文件。这样做的好处是没有增加新的文件，不需要打开新的端口，没有新的进程，使用常规的方法监测不到它。在正常运行时，木马几乎没有任何瘫状，且木马的控制端向被控制端发出特定的信息后，隐藏的程序就立即开始运作。2、具有自动运行性(1)在Win.ini和System.ini中启动在win.ini的windows字段中有启动命令“Load-”和“run_”，在一般情况的，如果有后跟程序，比方说是这个样子run C:Windowsfile exeload C:windowsfile exe其中file.exe很可能是木马。System.ini位于windows的安装目录下，其boot字段的shell-Explorer.exe是木马经常隐藏加载之处，通常shell- Explore.exe、file exe，注意这里的file.exe就是木马服务端程序。(2)利用注册表加载运行注册表中很多位置都是木马的藏身加载之所，如：HKEY LOCAI MACHINESOFTWAREMicrosoft YWindowsCurrentVersionRun和HKEY LOCAI MACHINESOFTWAREMicrosoft YWindowsCurrentVersionRunservices等。(3)在Autoexec bat和Configsys中加载运行在盘根目录下的这两个文件也可以启动木马，但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，很容易被发现。(4)在VWVinstart bat中启动因为Winstart bat是在进入windows图形界面之前运行的个程序。VWVin om，并加裁了多数驱动程序之后开始执行，所以对木马的启动非常有效（印启动组木马如果隐藏在启动组中，虽然不是十分隐蔽，但这里的确是自动加载运行的好场所。启动组对应的文件夹为C：windows衄t雎nuFr。gr一startup，在注册丧中的位置：HKEY_OiRRENT_USERSOFTWAEiEMicrosoftVWVindow;CurrentVersionExplorershelLFoldersStartup一“C：d。髓startup“，要注意经常检查启动组。(6)修改文件关联修改文件关联是木马的常用手段，比方说正常情况下，txt文件的打开方式为Notpad exe文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开。如著名的木马冰河即采用这种方式。“冰河”就是通过修改HKEY CLASSES ROOTtxtfilesh ellopencommand的键值，将“%SystemRoot%system32NOTEPAD exe%l”改为“%SystemRoot%system32SYSEXPLR exe%h这样一旦用户双击一个txt文件，即启动了木马(7)捆绑文件实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和正常应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马也会安装上去。绑定到正常应用程序中，如绑定到系统文件，那么每一次windows启动均会启动木马。3具有伪装性(1)修改国标木马服务端所用的国标也是有讲究的，木马经常故意伪装成了用户可能认为对系统没有多少危害，这样很容易诱惑用户把它打开。(2)捆绑文件这种伪装手段是将木马捆绑到个安装程序上，当安装程序运行时，木马在用户毫无察觉的储况下，偷偷地进入了系统，被捆绑的文件般是可执行文件（即exe、comZ娄的文件）。 (3)出错显示有定木马知识的人都知道，如果打开个文件，没有任何反应，这很可能就是个木马程序。木马的设计者也意识到这个缺陷，所以有的木马有出错显示功能，当服务端用户打开木马程序时，会弹出个错误提示框，这当然是假的，错误内容可自由定义，大多会定制成些诸如文件己破坏，无法打开l”Z娄的信息，服务端用户信以为真时，木马却悄悄侵入了系统。(4)自我销毁这项功能是为了弥补木马的一个缺陷。当服务端用户打开含有木马的文件后，木马会将自己拷贝到Windows的系统文件中（C：WindowsJZC：Windowssysrtem目录下），一般来说，源木马文件和系统文件夹中的木马文件的大小是一样的（捆绑文件的木马除外），那么，中了木马的用户只要在收到的信件和下载的软件中找到源木马文件，然后根据源木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，源木马文件自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具帮助下，很难删除木马。(5)木马更名木马服务端程序的命名也有很大的学问。如果不做任何修改就使用原来的名字，那么木马程序很容易被发现，所以木马的命名也是千奇百怪，不过大多是改为和系统文件名差不多的名字，如果用户对系统文件不够了解，那可能会很危险。例如，有的木马把名字改为windows exe，如果不告诉这是木马，大多数用户都不敢删除，还有的就是更改些后缀名，比如把dll改为dll等，不仔细看是很难发现的，这样便有效地把自己伪装起来。4具备自动修复功能现在很多木马程序的功能模块不再由单一的文件组成，而是具有多重备份，可以相互恢复。当其中的一个被删除，以为万事大吉，当运行了其他程序的时候，被删除的木马程序还会被恢复，这是每个用户都想不到的，所以要真正地删除这种木马很困难。5能自动打开特别的端口木马程序潜入电脑之中的目的主要不是为了破坏系统，而是为了获取系统中有用信息，上网时能与远端客户进行通讯，这样木马程序就会用服务器客户端的通讯手段把信息告诉黑客，以便黑客控制中了木马的机器，进一步实施入侵企图。端口号从0到65535，但我们常用的只有少数几个，木马经常利用大多数用户不大用的这些端口进行连接。6功能的特殊性除了普通的文件操作以外，还有些木马具有搜索cache中的口令、设置口令、扫描目标机器的lP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。一般的远程控制软件当然不会有这些功能，毕竟远程控制软件是用来控制远程机器，为了方便自己操作而已，而不是用来破坏对方的机器。 特洛伊木马的类型1破坏型唯一的功能就是破坏并且删除文件，可以自动删除电脑上的dll、 l川、 exe等文件。2密码发送型可以找到隐藏密码并把它们发送到指定的信箱。有些用户把各种密码以文件的形式存放在计算机中，认为这样方便；还有设置windows具有密码记E功能，这样就可以不必每次都输入密码，木马可以寻找到这些文件，把它们送到黑客手中；也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码，之后通过各种方式发送给他的控制者，多数是通过邮件发送。3远程访问型只要用户运行了服务端程序，控制者就可以通过某些方式获取被控制主机的lP地址，就可以实现远程控制，监视被控主机的一些行为，并以合法用户的身份访问服务器。4键盘记录木马这种特洛伊木马是非常简单的。它们只做一件事情，记录用户在线和离线状态下敲击键盘时的按键情况，并通过邮件发送到控制者的邮箱。5代理木马黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的计算机载八代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名情况下使用Telnet、ICO、IRC等程序，从而隐蔽自己的踪迹。6 .FTP木马这种木马可能是最简单和古老的木马了，它的唯一功能就是打开21端口，等待用户连接。现在新FTP木马具有设置密码功能，这样，只有攻击者本人才知道正确密码，从而进入对方计算机。7程序杀手木马上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，有一个怎么避开防木马软件的问题，这是很困难一件事，常见的防木马软件有ZoneAlarm、Norton Anti-virus等，程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用。冰河木马的特点及删除方法冰河木马Glacier的服务器端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626，一旦运行G-serveh就会在受攻击者的系统C：windowssystem目录下生成Kerne132.sxe和.exe.exe，并删除自身。Kerne132.exe在系统启动时自