计算机病毒分析防范技术整版本

计算机病毒分析与防范技术 讲解人 电话 E mail 议程内容 第一章计算机病毒的概念 概况与现状 第二章计算机病毒分类介绍与技术分析 第三章反病毒技术介绍与病毒分析处理 第四章反病毒产品介绍与安全体系建立 本章概要 第1节计算机病毒的定义 特点与原理 第2节计算机病毒的产生 发展及危害 第3节计算机病毒疫情与互联网安全形势 计算机病毒的概念 从广义上讲 凡是能够引起计算机故障 破坏计算机数据的程序统称为 计算机病毒 据此定义 诸如蠕虫 木马 恶意软件此类程序等均可称为 计算机病毒 计算机病毒特性 破坏性 隐蔽性 传染性 潜伏性 计算机病毒 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我传染的一组计算机指令或者程序代码 中华人民共和国计算机信息系统安全保护条例 第二十八条 1994年2月18日中华人民共和国国务院令147号发布 计算机病毒的特性 破坏性破坏性是计算机病毒的首要特征 不具有破坏行为的指令或代码不能称为计算机病毒 任何病毒只要侵入系统 都会对系统及应用程序产生程度不同的影响 轻者占用系统资源 降低计算机工作效率 重者窃取数据 破坏数据和程序 甚至导致系统崩溃 由此特性可将病毒分为良性病毒与恶性病毒 良性病度可能只显示些画面或出点音乐 无聊的语句 或者根本没有任何破坏动作 但会占用系统资源 如无法关闭的玩笑程序等 恶性病毒则有明确的目的 或窃取重要信息如银行帐号和密码 或打开后门接受远程控制等 隐蔽性计算机病毒虽然是采用同正常程序一样的技术编写而成 但因为其破坏的目的 因此会千方百计地隐藏自己的蛛丝马迹 以防止用户发现 删除它 病毒通常没有任何可见的界面 并采用隐藏进程 文件等手段来隐藏自己 大部分的病毒的代码之所以设计得非常短小 也是为了隐藏 计算机病毒的特性 传染性计算机病毒同自然界的生物病毒一样也具有传染性 病毒作者为了最大地达到其目的 总会尽力使病毒传播到更多的计算机系统上 病毒通常会通过网络 移动存储介质等各种渠道从已被感染的计算机扩散到未被感染的计算机中 感染型病毒会通过直接将自己植入正常程序的方法来传播 潜伏性许多病毒感染系统之后一般不会马上发作 它可长期隐藏在系统中 只有在满足其特定条件时才启动其表现 破坏 模块 如有些病毒会在特定的时间发作 计算机病毒的工作流程 进行传染 一 源代码嵌入攻击型这类病毒入侵的主要是高级语言的源程序 病毒是在源程序编译之前插入病毒代码 最后随源程序一起被编译成可执行文件 这样刚生成的就是带毒文件 这种方式难度较大 二 代码取代攻击型这类病毒主要是用它自身的病毒代码取代某个程序的整个或部分模块 这类病毒针对性较强 主要攻击特定的程序 不易发现 并且清除也较困难 三 系统修改入侵型这类病毒主要是用自身程序覆盖或修改系统中的某些文件 来调用或替代操作系统中的部分功能 由于是直接感染系统危害较大 也是最常见的一种 多为文件型病毒 四 外壳寄生入侵型这类病毒通常是将其附加在正常程序的头部或尾部 相当于给程序添加了一个外壳 在被感染的程序执行时 病毒代码先被执行 然后才将正常程序调入内存 目前大多数文件型的病毒属于这一类 计算机病毒的入侵方式 计算机病毒的传播方式 一 通过因特网传播1 电子邮件2 浏览网页和下载软件3 即时通讯软件4 网络游戏二 通过局域网传播1 文件共享2 系统漏洞攻击 三 通过移动存储设备传播1 软盘2 光盘3 移动硬盘4 U盘 含数码相机 MP3等 四 通过无线网络或设备传播1 智能手机 PDA2 无线通道 计算机病毒的分类与命名 Backdoor RmtBomb 12 Trojan Win32 SendIP 15 1 系统病毒 Win32 PE Win95等 感染Windows系统的 exe dll等文件 并利用这些文件进行传播 2 蠕虫病毒 Worm 通过网络攻击或者系统漏洞进行传播 往往还发送带毒邮件 阻塞网络 3 脚本病毒 Script VBS JS 使用脚本语言编写 通过网页进行的传播 4 木马 黑客病毒 Trojan Hack PSW PWD 木马侵入系统后隐藏 并向外泄露用户信息 而黑客病毒则有可视界面 能对用户电脑远程控制 两者往往成对出现 趋于整合 5 后门病毒 Backdoor 通过网络传播 在系统上开后门 给用户的电脑带来安全隐患 6 种植程序病毒 Dropper 运行时释放出一个或多个新的病毒 由新释放的病毒产生破坏 7 捆绑机病毒 Binder 将病毒与一些应用程序捆绑为表面正常的文件 执行时病毒隐藏运行 8 宏病毒 Macro Word 97 Excel 97 等 感染OFFICE文档 通过通用模板进行传播 1 破坏性程序 Harm 2 玩笑型病毒 Joke 9 其他 3 拒绝攻击类 DoS 4 溢出类病毒 Exploit 5 黑客工具类 HackTool 常见病毒前缀 本章概要 第1节计算机病毒的定义 特点与原理 第2节计算机病毒的产生 发展及危害 第3节计算机病毒疫情与互联网安全形势 计算机病毒产生的根源 计算机系统的复杂性和脆弱性 各种矛盾激化 经济利益驱使 炫耀 玩笑 恶作剧或是报复 计算机病毒的发展 计算机病毒的危害 劫持IE浏览器 篡改首页及一些默认项目 如默认搜索 修改Host文件 导致用户不能访问某些网站 或被引导到 钓鱼网站 添加驱动保护 使用户无法删除某些软件 修改系统启动项目 使某些恶意软件可以随着系统启动 在用户计算机上开置后门 黑客可以通过此后门远程控制中毒机器 组成僵尸网络 对外发动攻击 发送垃圾邮件 点击网络广告等牟利 采用映像劫持技术 使多种杀毒软件和安全工具无法使用 记录用户的键盘 鼠标操作 窃取银行卡 网游密码等信息 记录用户的摄像头操作 可以从远程窥探隐私 使用户的机器运行变慢 大量消耗系统资源 窃取用户电脑数据 信息 本章概要 第1节计算机病毒的定义 特点与原理 第2节计算机病毒的产生 发展及危害 第3节计算机病毒疫情与互联网安全形势 病毒的数量激增 2010年上半年 瑞星 云安全 系统共截获新增病毒样本4221366个 在病毒分类统计中 木马病毒共有2344637个 占总体55 54 紧随其后的依次为 后门病毒 蠕虫病毒 Rootkit 2010挂马网站类型 黑客 病毒产业链分析 混合式威胁已成主流 基于漏洞的攻击防不胜防传播方式尽其所能 网页与U盘成为重要途径自我防御能力增强团队化特征明显主要针对基础网络应用利益驱动商业化运作区域化特征明显并且攻击目标明确 加壳技术普遍应用主动攻击安全类软件破坏系统功能属性展开变种数量与速度竞赛 电子邮件网页浏览网上银行和证券网络游戏网络下载 现代病毒的显著特点 议程内容 第一章计算机病毒的概念 概况与现状 第二章计算机病毒分类介绍与技术分析 第三章反病毒技术介绍与病毒分析处理 第四章反病毒产品介绍与安全体系建立 本章概要 第1节计算机病毒分类介绍 第2节现代计算机病毒惯用技术手段剖析 第3节当前流行计算机病毒专题技术详解 早期病毒 DOS病毒 概念 DOS病毒指针对DOS操作系统开发的病毒 是一种只能在DOS环境下运行 传染的计算机病毒 是最早出现的计算机病毒 目前 几乎没有新制作的DOS病毒 由于Windows系统的普及 DOS病毒几乎绝迹 但是有相当一部分可感染Windows9X系统并传播 或者导致系统死机或程序运行异常 分类 引导型 指感染 主 引导扇区的病毒 如 米氏病毒 文件型 指感染DOS可执行文件 EXE COM BAT 的病毒 如 黑色星期五 混合型 指既感染 主 引导 又感染文件的病毒 如 幽灵 病毒 Natas病毒等 代表 耶路撒冷 Jerusalem 米开朗基罗 Michelangelo Monkey MusicBug等 危害 DOS时期的病毒种类相当繁杂 而且不断有人改写现有的病毒 到了后期甚至有人写出所谓的 双体引擎 可以把一种病毒创造出更多元化的面貌 而病毒发作的症状更是各式各样 有的会删除文件 有的会Format硬盘 有的还会在屏幕上显出各式各样的图形与音效 但是 现在对于这些DOS时期的古董级病毒 大部分杀毒软件都可以轻易地扫除 杀伤力已经大不如前了 Office杀手 宏病毒 概念 1 宏 译自Macro 是OFFICE的一个特殊功能 它利用简单的VB语法 把一系列常用操作集成在一小段程序内 需要重复时运行宏即可 实现文档中一些任务的自动化 默认Office将宏存贮在通用模板Normal dot中 该特点为宏病毒利用 2 宏病毒是一种寄存在文档或模板的宏中的计算机病毒 一旦打开这样的文档 宏病毒就会被激活 转移到计算机并驻留在Normal模板上 自此所有自动保存的文档都会 感染 上该宏病毒 其他用户打开了染毒文档 宏病毒又会转移到其他计算机 特点 制作 变种方便 隐蔽性强 传播迅速 破坏可能性极大 但兼容性不高等 危害 不能正常打印 改变文件存储 将文件改名 乱复制文件 封闭菜单 删除选项 无法正常编辑 只能存为模板格式 破坏数据文档 设置密码 调用系统命令造成破坏 防治 1 将常用的Word模板文件改为只读属性 2 禁止自动执行宏功能 winword exe mDisableAutoMacros 处理 1 应急时可以用写字板或WORD6 0将文档打开并另外存储 2 进入 宏管理器 在 宏有效范围 列表中将不明的自动执行宏删除 3 首选用最新版的反病毒软件查杀 系统型病毒的存储结构 一 基本概念系统型病毒是指专门传染操作系统的启动扇区 主要是指传染硬盘主引导扇区和DOS引导扇区的病毒 二 存储结构此类病毒程序被划分为两部分 第一部分存放在磁盘引导扇区中 第二部分则存放在磁盘其他的扇区中 三 简要说明1 当病毒感染磁盘时 首先根据文件分配表 FAT 表找到一个或一段连续的空白簇 2 然后将病毒程序的第二部分以及磁盘原引导扇区的内容写入该空白簇 并立即将这些簇在FAT中登记项的内容强制标记为坏簇 FF7H 3 接着将病毒程序的第一部分写入磁盘引导扇区 并将病毒程序的第二部分所在簇的簇号或第一扇区的逻辑扇区号记录在磁盘偏移地址01F9处 四 处理 读取偏移地址01F9的地址 将原原引导扇区的内容恢复并删除其第二部分病毒数据即可 文件型病毒的存储结构 一 基本概念文件型病毒是指专门感染系统中的可执行文件 即扩展名为 COM EXE 的病毒 二 磁盘存储结构此类病毒程序没有独立占用磁盘上的空白簇 而是附着在被感染文件的首部 尾部 中部或其他部位 病毒入侵后一般会使宿主程序占用的磁盘空间增加 三 简要说明绝大多数文件型病毒属于外壳病毒 外壳 即病毒程序 与内核 即宿主程序 之间构成一种层次化结构 加载关系为先运行外壳 再跳转去执行内核 可执行文件的外壳一般具有相对独立的功能和结构 去掉外壳将不会影响内核部分的运行 互联网瘟疫 蠕虫病毒 特性 蠕虫病毒和一般的病毒有着很大的区别 对于蠕虫 现在还没有一个成套的理论体系 一般认为 蠕虫是一种通过网络传播的恶性病毒 它具有病毒的一些共性 如传播性 隐蔽性 破坏性等等 同时具有自己的一些特征 如一般不利用文件寄生 只存在于内存中 对网络造成拒绝服务 以及和黑客技术相结合 等等 具有超强的自我复制能力和传播性 特定的触发性 一定的潜伏性和很大的破坏性 在产生的破坏性上 蠕虫病毒也不是普通病毒所能比拟的 网络的发展使得蠕虫可以在短短的时间内蔓延整个网络 造成网络瘫痪 分类 一种是面向企业用户和内部局域网 这种病毒利用系统漏洞 主动进行攻击 可以对整个互联网可造成瘫痪性的后果 以 红色代码 尼姆达 以及 SQL蠕虫王 为代表 另外一种是针对个人用户的 通过网络 主要是电子邮件 恶意网页形式 迅速传播的蠕虫病毒 以爱虫病毒 求职信病毒为代表 传播过程 1 扫描 由蠕虫的扫描功能模块负责探测存在漏洞的主机 当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后 就得到一个可传播的对象 2 攻击 攻击模块按漏洞攻击步骤找到对象 取得该主机权限 获得一个shell 3 复制 复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动 隐藏的危机 木马病毒 特点 它是一种基于远程控制的黑客工具 具有隐蔽性和非授权性特点 指通过一段特定的程序 木马程序 来控制另一台计算机 木马一旦运行并被控制端连接 其控制端将享有服务端的大部分的系统操作权限 结构 1 控制端程序 控制端用以远程控制服务端程序 2 木马程序 潜入服务端内部获取其操作权限程序 3 木马配置程序 设置木马程序参数的程序 作用是伪装木马和信息反馈 伪装方式 修改图标 捆绑文件 出错显示 定制端口 自我销毁 木马更名等 特点 1 木马 程序是目前比较流行的病毒文件 与一般的病毒不同 它不会自我繁殖 也并不 刻意 地去感染其他文件 它通过将自身伪装从而吸引用户下载并执行 向施种木马者提供打开被种者电脑的门户 使施种者可以破坏数据 窃取信息 远程操控被种者的电脑 2 木马 与计算机网络中常常要用到的远程控制软件有些相似 但由于远程控制软件是 善意 的控制 因此通常不具有隐蔽性 木马 则完全相反 木马要达到的是 偷窃 性的远程控制 如果没有很强的隐蔽性的话 那就是 毫无价值 的 特种木马简介 通过网络 U盘进行传播感染局域网内服务器及主机自动打包 doc excel ppt pdf等文档文件通过网络将数据发至木马制作人 本章概要 第1节计算机病毒分类介绍与实例分析 第2节现代计算机病毒惯用技术手段剖析 第3节当前流行计算机病毒专题技术详解 前言杀毒软件的工作方式一般是特征码匹配杀毒 即通过分析病毒的特征码来判断病毒 而病毒只有能够逃避过杀毒软件的查杀 才能顺利实现其入侵系统 盗取用户私密信息的目的 免杀 病毒则应运而生 免杀 概念 免杀 顾名思义就是逃避杀毒软件的查杀 目前用得比较多的方法主要有三种 分别是 加花指令 加壳 和 修改特征码 通常黑客们会针对不同的情况来运用不同的免杀方法 关于病毒特征代码反病毒厂商截获到一个病毒后 将会提取该病毒中比较关键的一段代码作为辨认该木马的特征值 在杀毒软件进行杀毒的过程中把它拿出来和某具体的文件做比对 就和我们辨认人一样 把某人的相貌特征记录下来 比如 丹凤眼 瓜子脸 马尾辫等 在下次见到此人时一眼就可以认出来 病毒 免杀 技术 免杀技术之一 加花指令加花是病毒免杀常用的手段 加花的原理就是通过添加加花指令 一些垃圾指令 类型加1减1之类的无用语句 从而干扰杀毒软件正常的检测 这是 免杀 技术中最初级的阶段 免杀技术之二 加壳如果说程序是一张烙饼 那壳就是包装袋 可以让你发现不了里面的东西 常见的壳容易被识别 所以病毒加壳往往会使用到生僻壳 强壳 新壳 伪装壳 或者加多重壳等 干扰杀毒软件正常的检测 免杀技术之三 修改特征码病毒加壳虽然可以逃过一些杀毒软件的查杀 但是却逃不过内存杀毒 因此修改特征码成为逃避杀毒软件内存查杀的唯一办法 要修改特征码 就要先定位杀毒软件的病毒库所定位的特征码 这有一定难度 但是现在有很多工具可以定位出特征码 只需简单修改就可完成 免杀病毒 的制作了 病毒 免杀 技术 本章概要 第1节计算机病毒分类介绍与实例分析 第2节现代计算机病毒惯用技术手段剖析 第3节当前流行计算机病毒专题技术详解 Stuxnet 超级工厂 病毒技术分析报告 9月28日 瑞星率先向用户发布安全警告 超级工厂病毒 Stuxnet 在国内进入爆发期 目前 已有600万个人用户及近千企业用户遭到此病毒攻击 该病毒利用西门子自动控制系统 SieMensSimaticWincc 的默认密码安全绕过漏洞 读取数据库中储存的数据 并发送给注册地位于美国的服务器 窃取数据后病毒会抹掉一些电子痕迹 所以网络管理员可能在一段时间之后才会发现曾遭到攻击 病毒窃取的资料包括 计算机名 IP地址 windows系统版本 是否安装了工控软件等 根据瑞星技术部门的分析 超级工厂病毒 Stuxnet 在侵入用户电脑后 会向注册地位于美国亚利桑那州的服务器发送信息 接受其指令 黑客可以利用该服务器 向中毒电脑发送 读写文件 删除文件 创建进程 等多项危险命令 同时 该病毒会感染在电脑上使用的U盘 这些U盘被用到重要企业和政府机构的内网后 就会根据黑客实现发布的指令进行多种资料窃取和破坏活动 这种攻击手段 曾在许多军事黑客案例中被使用 通常被称为 U盘跳板攻击 如果黑客发现中毒电脑安装了工控软件 就会针对其进行重点侦测和探查 从而充当进一步侵袭企业内网的工具 同时 黑客的指令也会通过U盘传递到工控系统内部 可以进行多种危险操作 Stuxnet 超级工厂 病毒技术分析报告 Worm Win32 Stuxnet病毒分析病毒名称 Worm Win32 Stuxnet病毒概述 这是一个可以通过微软MS10 046漏洞 lnk文件漏洞 MS10 061 打印服务漏洞 MS08 067等多种漏洞传播的恶性蠕虫病毒 另外该病毒还可以专门针对西门子的SCADA软件进行特定攻击 以获取其需要的信息 传播方式 1 通过MS10 046漏洞传播2 通过MS10 061漏洞传播3 通过共享文件夹传播4 通过MS08 067漏洞传播 Stuxnet 超级工厂 病毒技术分析报告 Stuxnet 超级工厂 病毒技术分析报告 议程内容 第一章计算机病毒的概念 概况与现状 第二章计算机病毒分类介绍与技术分析 第三章反病毒技术介绍与病毒分析处理 第四章反病毒产品介绍与安全体系建立 本章概要 第1节反病毒技术的发展状况和未来趋势 第2节病毒分析基础知识 第3节计算机病毒的预防和紧急手工处理 反病毒产品发展史 80年代中期 病毒开始流行 消病毒程序软件出现 80s末 90s初 病毒数量激增 硬件防病毒卡出现 90s中杀防集成化 90s末出现实时防毒的反病毒软件 2000年前后 出现集中控制分布处理的网络杀毒软件 2003年左右 出现具备防毒功能的硬件网关设备 广泛使用的反病毒技术 特征码扫描技术 虚拟执行技术 实时监控技术 智能引擎技术 嵌入式杀毒技术 瑞星的主动防御从何而来 主动防御 一场时代性的变革 在当今的反病毒领域 主流的 特征码查杀 技术存在致命弱点 即 过分依赖于对新病毒的截获能力和速度 陈旧而呆板的 截获 处理 升级 工作模式 决定了其永远滞后于病毒的出现和传播的必然性 当前的网络安全形势日益严峻 混合式威胁已成为主流 基于漏洞的攻击层出不穷 大量病毒制造者大肆展开变种数量与速度的竞赛 利益驱动病毒商业化运作 并且攻击目标明确 主要针对各种网上交易 网络游戏 电子邮件 网页浏览与网络下载等基础网络应用 病毒的自我防御能力普遍增强 加壳技术广泛应用 甚至主动攻击安全类软件 破坏系统的功能或属性 因此 迫切需要攻防兼备的安全防护产品 为什么需要主动防御 瑞星主动防御架构 HIPS层无需病毒库支持 传统监控层误报率极低 行为分析层能判定未知病毒 三层结构 三重过滤 相互支持 优势互补 瑞星主动防御技术的特点 云安全 本章概要 第1节反病毒技术的发展状况和未来趋势 第2节病毒分析基础知识 第3节计算机病毒的预防和紧急手工处理 一些基本的系统概念 上 一 进程 进程为应用程序的运行实例 是应用程序的一次动态执行 可以简单理解为 系统当前运行的执行程序 当运行某程序时 就创建了一个容纳该程序代码及其所需动态链接库的进程 1 系统进程 用于完成操作系统的各种功能的进程就是系统进程 它们就是处于运行状态下的操作系统本身 是系统运行所必须的 2 用户进程 用户进程就是所有由用户执行应用程序所启动的进程 其中应用程序是由用户安装的程序 执行一个应用程序时可能会启动多个不同的进程 二 线程 Threads 也称轻量进程 指运行中的程序的调度单位 线程是进程中的实体 一个进程可拥有多个线程 实现程序的并发执行 但一个线程必须有一个父进程 实际上线程运行而进程不运行 线程不拥有系统资源 它与父进程的其它线程共享该进程所拥有的全部资源 三 服务 在Windows系统中 服务是指执行特定系统功能的程序 例程或进程 以便支持其他程序 尤其是低层 接近硬件 程序 他们一般随系统启动并在后台运行 四 驱动 驱动是是一种可以使计算机操作系统和设备通信的特殊程序 是操作系统和硬件设备间的通信接口 他们告诉操作系统有哪些设备以及设备的功能 五 DLL 即动态链接库 DynamicLinkLibrary 是一种可执行文件 dll文件是一个可以被其它程序共享的程序模块 其中封装了一些可以被共享的代码 数据或函数等资源 DLL文件一般不能单独执行 而应由其他Windows应用程序直接或间接调用 一些基本的系统概念 下 常见系统进程解析 一 通过启动文件夹隐蔽程度 应用程度 说明 这是一种很常见的自启动方式 正常程序多用 但木马极少 位于 DocumentsandSettings 当前用户 AllUsers 开始 菜单 程序 启动 自启动方式 上 三 通过Autoexec bat winstart bat或config sys文件隐蔽程度 应用程度 说明 这些文件在Windows启动前运行 系统处于DOS环境 只能运行16位程序 二 通过Win ini文件隐蔽程度 应用程度 说明 从Win3 2开始就可以利用该文件中 Windows 域的load和run项启动 自启动方式 中 四 通过System ini文件隐蔽程度 应用程度 说明 该文件的 Boot 域中的Shell项的正常值是 Explorer exe 但可以在其后添加其他程序的路径 即使在安全模式也会启动 五 通过某特定程序或文件启动隐蔽程度 应用程度 说明 1 捆绑或寄生于特定程序 2 修改特定程序启动路径 3 修改系统文件关联 六 通过注册表启动隐蔽程度 应用程度 说明 这是很多Windows程序都采用的自启动方法 也是木马最常用的 下述热度递减 难度递增 自启动方式 下 本章概要 第1节反病毒技术的发展状况和未来趋势 第2节病毒分析基础知识 第3节计算机病毒的预防和紧急手工处理 计算机病毒的预防 上 1 备份重要数据 包括操作系统本身和主要应用数据 并妥善保管 2 安装正版的杀毒软件及防火墙程序 设定必要的安全策略 经常更新病毒库 3 及时修补操作系统及常用软件的漏洞 4 禁用Guest账户 为系统设置强密码 5 关闭不必要的系统服务 6 最好使用NTFS文件系统格式 7 不要随便共享文件 如果确实需要使用 最好设置权限限定访问 建议不可写入 8 不要轻易下载和安装盗版的 不可信任的软件 9 注意软盘 U盘 光盘等移动存储设备的安全使用 计算机病毒的