信息安全管理第3章3.4有害程序

3.4有害程序,3.4.1有害程序简介3.4.2计算机病毒3.4.3特洛伊木马3.4.4僵尸程序3.4.5蠕虫3.4.6恶意脚本3.4.7有害程序防范技术3.4.8有害程序相关法规与社会组织,3.4.1有害程序简介,程序：程序是指在一定的软、硬件环境下可执行的代码，实现设计者期望的计算机行为、状态。,3.4.1有害程序简介,有害程序是指侵入计算机系统，破坏系统、信息的机密性、完整性和可用性等的程序。,3.4.1有害程序简介,有害程序的具体表现形式是多种多样的，常见危害表现形式有：格式化硬盘；下载运行木马程序；注册表的锁定；默认主页修改；篡改IE标题栏；篡改默认搜索引擎；IE右键修改；篡改地址栏文字；启动时弹出对话框；IE窗口定时弹出；禁止使用计算机。,3.4.1有害程序简介,有害程序事件是指蓄意制造、传播有害程序，或是因受到有害程序的影响而导致的信息安全事件。有害程序事件包括计算机病毒事件、蠕虫事件、木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件和其他有害程序事件7个第二层分类。,有害程序事件,计算机病毒事件是指蓄意制造、传播计算机病毒，或是因受到计算机病毒影响而导致的信息安全事件。计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制。,有害程序事件,蠕虫事件是指蓄意制造、传播蠕虫，或是因受到蠕虫影响而导致的信息安全事件。蠕虫是指除计算机病毒以外，利用信息系统缺陷，通过网络自动复制并传播的有害程序。,有害程序事件,木马事件是指蓄意制造、传播木马程序，或是因受到木马程序影响而导致的信息安全事件。木马程序是指伪装在信息系统中的一种有害程序，具有控制该信息系统或进行信息窃取等对该信息系统有害的功能。,有害程序事件,病毒、蠕虫和木马病毒会导致计算机彻底损坏，或者破坏你的Windows组件，或者破坏文件，导致系统无法正常使用等等，突出破坏性。蠕虫是一种通过网络传播的恶性病毒，更侧重与说明他具有很强的自我复制性和传播性，并不一定带有严重活着明显的破坏性。木马就是指的“盗窃”性质。它就是专门盗窃信息的，对系统没有特别大的损害。但是，现在的这些病毒，蠕虫，木马都有技术融合性质。,有害程序事件,比如说有名的熊猫烧香，就是一个典型的例子：1）病毒性质：它可以屏蔽杀毒字眼，破坏系统安全模式，破坏杀毒软件，更改图标，这就是病毒性质的行为。2）蠕虫性质：它可以在本机大量复制自身，并且通过局域网，U盘等肆意传播，这是典型的蠕虫行为。3）木马行为：通过前两个行为获得系统控制权后，疯狂下载木马，盗窃用户信息，这就是典型的木马行为。,有害程序事件,僵尸网络事件是指利用僵尸工具软件，形成僵尸网络而导致的信息安全事件。僵尸网络是指网络上受到黑客集中控制的一群计算机，它可以被用于伺机发起网络攻击，进行信息窃取或传播木马、蠕虫等其他有害程序。之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样驱赶和指挥者，成为被人利用的一种工具。,有害程序事件,混合攻击程序事件是指蓄意制造、传播混合攻击程序，或是因受到混合攻击程序影响而导致的信息安全事件。混合攻击程序是指利用多种方法传播和感染其他系统的有害程序，可能兼有计算机病毒、蠕虫、木马或僵尸网络等多种特征。混合攻击程序事件也可以是一系列有害程序综合作用的结果，例如一个计算机病毒或蠕虫在侵入系统后安装木马程序等。,有害程序事件,网页内嵌恶意代码事件是指蓄意制造、传播网页内嵌恶意代码，或是因受到网页内嵌恶意代码影响而导致的信息安全事件。网页内嵌恶意代码是指内嵌在网页中，未经允许由浏览器执行，影响信息系统正常运行的有害程序。,有害程序事件,其他有害程序事件是指不能包含在以上6个第二层分类之中的有害程序事件。,流氓软件：是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上强行安装运行，侵犯用户合法权益的软件，但已被我国法律法规规定的计算机病毒除外。,3.4.1有害程序简介,DOS时代Windows时代网络时代随着当前移动智能终端的发展，可以预见，有害程序转战智能设备将是未来的趋势。,3.4.2计算机病毒,近年来，由于计算机病毒的泛滥，全世界平均不到20分钟就会产生一个新的病毒。这些病毒通过Internet传向世界各个角落，这意味着连入Internet的计算机平均20分钟就有可能被感染一次。按每天开机联网2小时，一年内可能被全世界所有最新病毒感染2190次。继传统方式感染可执行文件病毒以后，新病毒以其较强的隐蔽性和相当强的传染性在Internet上广泛散播开来。,3.4.2计算机病毒,据统计，在我国企业、公司级的网络系统中，有90%的计算机都曾受到过病毒的感染。60%以上的计算机都曾因病毒而丢失过文件、数据等。计算机病毒的侵犯已成为计算机安全的最大问题，它带来的人力和经济损失是巨大的。目前，病毒在设计上越来越复杂，在数量上呈指数增长，并在功能和形态等方面都发生了很大的变化，病毒的概念己逐渐为人们所熟悉。,计算机病毒历史演示,DOS环境下的病毒演示,火炬病毒救护车病毒RescueSuicide,火炬病毒,该病毒发作时，在屏幕显示五把燃烧的火炬。同时，该病毒用内存的随机数从硬盘的物理第一扇区开始覆盖，造成硬盘中的数据丢失。,救护车病毒,该病毒发作时，从屏幕左下角有一辆救护车跑过。,Rescue病毒,病毒发作时，显示一些图形和文字。,Suicide,该病毒发作时，在屏幕上显示一幅图形，告诉你的机器已经被该病毒感染。,宏病毒演示,DMV病毒Aliance病毒Laroux病毒Concept病毒,所谓宏，就是一些命令组织在一起，作为一个单独命令完成一个特定任务。MicrosoftWord中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列word命令，它能使日常工作变得更容易”。宏就是把一系列常用的操作作为一个整体，保存起来，以后用的时候直接通过一定方式用就是了。,DMV病毒,该病毒据说是第一个宏病毒，属于实验性的，无破坏性。,Aliance病毒,该病毒发作时，显示一个对话框。,Laroux病毒,该病毒感染WindowsExcel文档，图中显示的是病毒的宏名。,Concept病毒,该病毒感染WindowsWord后，将在屏幕上弹出一个对话框。,Windows环境下的病毒演示,CIH女鬼白雪公主病毒等等,CIH病毒,CIH作者陈盈豪,骇人听闻的女鬼病毒,恐怖的图片和音乐,WindowsNT时代的白雪公主病毒,巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！,千年老妖病毒,使计算机反复的关机，每60秒一次,木马病毒和黑客程序的远程监控,席卷全球的NIMDA病毒,NIMDA病毒的4种传播方式,“震荡波”(Worm.Sasser),U盘病毒,病毒在U盘中放置一个程序，改名“RavMonE.exe”，这很容易让人以为是瑞星的程序，其实是病毒。,3.4.2计算机病毒,计算机病毒是指编制或者在计算机程序中插入的一组计算机指令或者程序代码，它可以破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制。,电脑蓝屏,文件损坏,熊猫烧香,非法弹窗,杀毒软件,系统错误,计算机病毒之最,最具有杀伤力的计算机病毒-CIH病毒最浪漫的病毒-ILOVEU最漂亮的病毒-图片病毒最虔诚的病毒-熊猫烧香最烦人的病毒-即时在线聊天病毒最佳创意的病毒-AV终结者最流氓的病毒-灰鸽子最坚强的病毒-网页病毒最牛的病毒-未来的病毒,最具有杀伤力的计算机病毒-CIH病毒,CIH病毒，它的出现直接颠覆了软件病毒不能破坏硬件的神话，CIH是一种能够破坏计算机系统硬件的恶性病毒。这个病毒产自台湾，最早随国际两大盗版集团贩卖的盗版光盘在欧美等地广泛传播，随后进一步通过Internet传播到全世界各个角落。,最浪漫的病毒-ILOVEYOU,ILOVEYOU病毒是用VBScript程序语言编写的，主要通过一封信件标题为“ILOVEYOU”(我爱你)的电子邮件散播，附件为“LOVE-LETTER-FOR-YOU.txt.vbs”(献给你的情书)，一旦执行，病毒会经由被感染者Outlook通讯簿的名单发出自动信件，藉以连锁性的大规模散播，造成企业mailserver瘫痪。病毒发作时，会感染并覆写附档名为：*.mp3,*.vbs,*.jpg,*.jpeg,*.hta,*.vbe,*.js,*.jse.等文件格式。文件遭到覆写后，附档名会改为*.vbs。,最漂亮的病毒-图片病毒,不可否认互联网发展到今天，人们对出现在互联网上图的吸引力远远大于对文字的吸引，就有好事者把病毒和图片捆绑在一起，当你打开图片的同时病毒已经悄无声息的进入了你的系统。这种病毒对防范意识差或者没有保护措施的用户很容易感染。当精美的图片图片给你带来视觉享受的时候，不要忽视病毒很能随之而来。,最虔诚的病毒-熊猫烧香,对于这个在06年给人们带来黑色记忆的病毒，其借助U盘的传播方式也引领新的反病毒课题，但这一切都没有其LOGO的熊猫给人的印象深刻：熊猫拿着三根香虔诚的祈祷。,最烦人的病毒-即时在线聊天病毒,即时通病毒困扰了许多人。当有一天你发现你的QQ重要的聊天内容被别人盗取了，或者程序自动给好友发送广告信息，你是否会很烦躁呢？,最佳创意的病毒-AV终结者,一个病毒可以彻底干掉杀毒软件不算什么，但是可以屏蔽掉所有的有关杀毒字样，表现出了很独特的创意。,最流氓的病毒-灰鸽子,业内关于木马是否是病毒的争论已经很久，但当你听了著名的木马开发者灰鸽子工作室的回答后，你再也不会怀疑木马不是病毒了，“木马不是病毒，只是远程控制程序”。想想你的电脑正在被别人控制，那你的什么信息还安全呢？最流氓的病毒也只有灰鸽子莫属。,最坚强的病毒-网页病毒,什么是web安全？说白了就是www(万维网），网马和恶意软件的出现后，web就没有再安全过，泛滥的网马，令人气愤的恶意程序，这一切都使得顽强的网页病毒成功摘得“最坚强的病毒”的桂冠。,最牛的病毒-未来的病毒,计算机技术在发展，你就不必怀疑病毒技术也在发展，所以今天你可能认识了所有的病毒，你可能用了最全面的反病毒措施，但你永远也预测不了明天将要发生什么。,计算机病毒产生原因,究其产生的原因不外乎以下几种：(1)一些计算机爱好者出于好奇或兴趣，也有的是为了满足自己的表现欲，故意编制出一些特殊的计算机程序，让别人的电脑出现一些动画，或播放声音，或提出问题让使用者回答，以显示自己的才干。而此种程序流传出去就演变成计算机病毒，此类病毒破坏性一般不大。(2)产生于个别人的报复心理。如祖国台湾的学生陈盈豪，就是出于此种情况；他以前购买了一些杀病毒软件，可拿回家一用，并不如厂家所说的那么厉害，杀不了什么病毒，于是他就想亲自编写一个能避过各种杀病毒软件的病毒，这样，CIH就诞生了。,计算机病毒产生原因,(3)来源于软件加密。一些商业软件公司为了不让自己的软件被非法复制和使用，运用加密技术，编写一些特殊程序附在正版软件上，如遇到非法使用，则此类程序自动激活，于是又会产生一些新病毒，如“巴基斯坦”病毒。(4)产生于游戏，编程人员在无聊时互相编制一些程序输入计算机，让程序去销毁对方的程序，如最早的“磁芯大战”，这样，另一些病毒也产生了。,计算机病毒产生原因,(5)用于研究或实验而设计的“有用”程序，由于某种原因失去控制而扩散出来。(6)由于政治、经济和军事等特殊目的，一些组织或个人也会编制一些程序用于进攻对方电脑，给对方造成灾难或直接性的经济损失。如伊拉克战争中，美军对伊军队做的病毒，使其指挥系统瘫痪。,病毒传播途径,计算机病毒的传播主要是通过拷贝文件、传送文件、运行程序等方式进行,而主要的传播途径有以下几种。(1)硬盘因为硬盘存储数据多，在其互相借用或维修时，将病毒传播到其他的硬盘或软盘上。(2)软盘软盘主要是携带方便，早期时候在网络还不普及时，为了计算机之间互相传递文件，经常使用软盘，这样，通过软盘，也会将一台机子的病毒传播到另一台机子。,病毒传播途径,(3)光盘光盘的存储容量大，所以大多数软件都刻录在光盘上，以便互相传递；由于各普通用户的经济收入不高，购买正版软件的人就少，一些商人就将软件刻录在光盘上，在制作过程中难免会将带毒文件刻录在上面，因其只读，所以上面即使有病毒也不能清除，(4)网络在计算机日益普及的今天，人们通过计算机网络，互相传递文件、信件，这样给病毒的传播速度又加快了；因为资源共享，人们经常在网上下载免费、共享软件，病毒也难免会夹在其中。(5)U盘,一个计算机病毒实例,学习：计算机病毒产生的原因传播途径病毒的危害计算机病毒的特征,一个小故事,一幢红砖砌的两层楼，一座偏僻的小村子，掩映在德国北部平原无边无际的森林和玉米田里。,时间：2004年4月29日地点：德国北部罗滕堡镇沃芬森小村(Waffensen),人口仅920。,1.时间,地点,2.人物,斯万-贾斯查因(SvenJaschan)，4月29日这一天是他18岁的生日。,母亲叫维洛妮卡，开了一个门面不算大的以电脑维护修理为主的电脑服务部。几天前，为了庆祝他的生日，他在网上下载了一些代码。修改之后今天将它放到了Internet上面。,3.传播,从5月1日这些代码开始在互联网上以一种“神不知鬼不觉”的特殊方式传遍全球。“中招”后，电脑开始反复自动关机、重启，网络资源基本上被程序消耗，运行极其缓慢。,4.危害,这就是全球著名的“震荡波”(Worm.Sasser)蠕虫病毒。自“震荡波”5月1日开始传播以来，全球已有约1800万台电脑报告感染了这一病毒。5月3日，“震荡波”病毒出现第一个发作高峰，当天先后出现了B、C、D三个变种，全国已有数以十万计的电脑感染了这一病毒。微软悬赏25万美元找原凶!“五一”长假后的第一天，“震荡波”病毒的第二个高峰果然汹涌而来。仅8日上午9时到10时的短短一个小时内，瑞星公司就接到用户的求助电话2815个，且30为企业局域网用户，其中不乏大型企业局域网、机场、政府部门、银行等重要单位。9日，“震荡波”病毒疫情依然没有得到缓解。五月份的第一个星期（也就是“震荡波”迅速传播的时候），微软公司德国总部的热线电话就从每周400个猛增到35万个,5.游戏结束,开始时，报道有俄罗斯人编写了这种病毒!5月7日，斯万-贾斯查因的同学为了25万元，将其告发。并被警察逮捕。为了清除和对付“我的末日”（MyDoom）和“贝果”（Bagle）等电脑病毒。谁知，在编写病毒程序的过程中，他设计出一种名为“网络天空A”（Net-sky）病毒变体。在朋友的鼓动下，他对“网络天空A”进行了改动，最后形成了现在的“震荡波”病毒程序。反病毒专家!,6.病毒产生原因-漏洞,病毒是通过微软的最新高危漏洞-LSASS漏洞(微软MS04-011公告)进行传播的，危害性极大，目前WINDOWS2000/XP/Server2003等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击。如果用户的电脑中出现下列现象之一，则表明已经中毒。,6.病毒表现的特征(1),(1).出现系统错误对话框被攻击的用户，电脑会出现LSAShell服务异常框，接着出现一分钟后重启计算机的“系统关机”框”。,6.病毒表现的特征(2),(2).系统日志中出现相应记录如果用户无法确定自己的电脑是否出现过上述的异常框或系统重启提示，还可以通过查看系统日志的办法确定是否中毒。方法是，运行事件查看器程序，查看其中系统日志，如果出现如图所示的日志记录，则证明已经中毒.,6.病毒表现的特征(2),(3).系统资源被大量占用病毒如果攻击成功，则会占用大量系统资源，使CPU占用率达到100%，出现电脑运行异常缓慢的现象。,6.病毒表现的特征(2),(4).内存中出现名为avserve的进程病毒如果攻击成功，会在内存中产生名为avserve.exe的进程，用户可以用Ctrl+Shift+Esc的方式调用“任务管理器”，然后查看是内存里是否存在上述病毒进程。,73,6.病毒表现的特征(2),(5).系统目录中出现名为avserve.exe的病毒文件病毒如果攻击成功，会在系统安装目录（默认为C:WINNT）下产生一个名为avserve.exe的病毒文件。其它文件名：Explorer.exeExp1orer.exeExpl0rer.exe,7.病毒的运行过程(1),该病毒利用了WindowsLSASS的一个已知漏洞(MS04-011)，这是一个缓冲溢出漏洞，后果是使远程攻击者完全控制受感染系统。感染系统：WinNT/Win2000/WinXP/Win2003病毒长度：15872字节1、生成病毒文件病毒运行后，在%Windows目录下生成自身的拷贝，名称为avserve.exe，文件长度为15872字节，和在%System%目录下生成其它病毒文件。例如:c:win.log:IP地址列表c:WINNTavserve.exe:蠕虫病毒文件本身c:WINNTsystem3211113_up.exe:可能生成的蠕虫文件本身c:WINNTsystem3216843_up.exe:可能生成的蠕虫文件本身,75,8.病毒的运行过程(2),2、修改注册表项病毒创建注册表项，使得自身能够在系统启动时自动运行，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下创建avserve=”c:WINNTavserve.exe”。3、通过系统漏洞主动进行传播病毒主动进行扫描，当发现网络中存在微软SSL安全漏洞时，进行攻击，然后在受攻击的系统中生成名为cmd.ftp的ftp脚本程序，通过TCP端口5554下载蠕虫病毒。4、危害性受感染的系统可能死机或者造成重新启动，同时由于病毒扫描A类或B类子网地址，目标端口是TCP445会对网络性能有一定影响，尤其局域网可能造成瘫痪。并可以在TCP9996端口创建远程Shell。该病毒在传播和破坏形式上与“冲击波”病毒相类似。,9.清除该病毒的相关建议(1),有了上面的分析之后，我们就可以手动来清除该病毒了。方法如下：1、安全模式启动重新启动系统同时按下按F8键，进入系统安全模式2、注册表的恢复点击开始-运行，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，并删除面板右侧的avserve=c:winntavserve.exe“3、删除病毒释放的文件点击开始-查找-文件和文件夹，查找文件avserve.exe和*_up.exe，并将找到的文件删除。,8.清除该病毒的相关建议(2),4、安装系统补丁程序到以下微软网站下载安装补丁程序：重新配置边界防火墙或个人防火墙关闭TCP端口5554和9996;,8.清除该病毒的相关建议(3),4、可用一些补丁和杀毒软件，如360杀毒：,8.清除该病毒的相关建议(4),Microsoft早在4月初就已经给出了MS04-011,012,013等严重漏洞，并且提醒用户打补丁。,小结,(1).我们接触信息安全都是从计算机病毒开始的。(2).想必大家都类似病毒的侵扰；(如冲击波，震荡波等)。(3).其实网络上到处都有安全隐患!,计算机病毒的特性,(1)可执行性：与其他合法程序一样，病毒是一段可执行程序，但不是一个完整的程序，而是寄生在其他可执行程序上，病毒运行时，与合法程序争夺系统的控制权，往往会造成系统崩溃，导致计算机瘫痪。(2)传染性：正常的计算机程序一般是不会将自身的代码强行连接到其他程序之上的，而病毒却能够使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可以通过各种可能的渠道，如软盘、光盘和计算机网络去传染给其他的计算机，是否具有传染性是判别一段程序是否为计算机病毒的最重要条件。,计算机病毒的特性,(3)隐蔽性：病毒一般是具有很高编程技巧、短小精悍的一段程序，通常潜入在正常程序或磁盘中。病毒程序与正常程序不容易被区别开来，在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间内感染大量程序。而且受到感染后，计算机系统通常仍能正常运行，用户不会感到有任何异常。正是由于其隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到其他计算机中。,计算机病毒的特性,(4)潜伏性：大部分病毒在感染系统之后不会马上发作，它可以长时间隐藏在系统中，只有在满足其特定条件时才启动其表现(破坏)模块。如“PETER一2”病毒在每年2月27日会提3个问题，答错后将会把硬盘加密；“黑色星期五”病毒在逢13号的星期五发作，还有4月26日发作的CIH病毒等。这些病毒在平时会隐藏得很好，只有在发作日才会被激活，产生破坏性。(5)破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。良性病毒可能只做一些恶作剧，或者根本没有任何破坏动作，只是会占用系统资源。恶性病毒则有明确的目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的甚至对数据造成不可挽回的破坏。,计算机病毒的特性,计算机病毒之所以具有寄生能力和破坏能力，与病毒程序的结构有密切关系。目前已出现的病毒都具有共同的逻辑程序结构，一般包含3大模块，即引导模块、感染模块和表现(破坏)模块。其中，后两个模块都包括一段触发条件检查程序段，它们分别检查是否能满足触发条件和是否满足表现(破坏)条件。一旦相同的条件得到满足，病毒就会进行感染和表现(破坏)。,计算机病毒分类,按计算机病毒攻击的机型分类可分为：攻击微型机的病毒；攻击小型机的病毒；攻击工作站的病毒；攻击中、大型计算机的病毒。病毒的传播媒介分类可分为：单机病毒，通常以磁盘、U盘、光盘等存储设备为载体；网络病毒，通过网络协议或电子邮件进行传播。按病毒攻击的操作系统分类可分为：DOS病毒；Windows病毒；UNIX或OS2系统病毒；Macintosh系统病毒；其他操作系统病毒，如嵌入式操作系统病毒。,计算机病毒分类,按病毒的链接方式分类可分为：源码型病毒，此类病毒攻击用高级语言编写的程序，在编译之前将病毒代码插入到源程序中；入侵型病毒，此类病毒将自身嵌入到已有程序中，把计算机病毒的主体程序与其攻击对象以插入方式链接，并代替其中部分不常用的功能模块或堆栈区；外壳性病毒，此类病毒通常附着在宿主程序的首部或尾部，相当于给宿主程序加了一个“外壳”；译码型病毒，此类隐藏在如Office、HTML等文档中，如常见的宏病毒、脚本病毒；操作系统型病毒，此类加入或取代部分操作系统功能进行工作，具有很强的破坏性。,计算机病毒分类,按病毒的表现(破坏)情况分类可分为：良性病毒，不包含对计算机系统产生直接破坏作用的代码，主要是表现其存在，只是不停地传播并占用资源，包括无危害型病毒和无危险型病毒；恶性病毒，代码中包含损伤和破坏计算机系统的操作，感染或发作时对系统产生直接破坏作用，包括危险型病毒和非常危险型病毒。按计算机病毒寄生方式分类可分为：引导型病毒，病毒程序占据操作系统引导区，如“小球”病毒；文件型病毒，主要感染一些可执行文件，是主流的病毒，如目录病毒、宏病毒；混合型病毒，集引导型和文件型病毒特性于一体。,计算机病毒的传播机制,计算机病毒的传播途径有很多，包括：通过不可移动的计算机硬件设备进行传播，如硬盘；通过移动存储设备传播，如磁带、软盘、移动硬盘、U盘、光盘等；通过有线网络系统传播，主要包括电子邮件、Web、BBS、FTP、即时通信等；通过无线通信系统传播，如WAP服务器、网关、蓝牙等。,WAP：WirelessApplicationProtocol，无线应用协议，是一项全球性的网络通信协议。它使移动Internet有了一个通行的标准，其目标是将Internet的丰富信息及先进的业务引入到移动电话等无线终端之中。,计算机病毒的传播机制,计算机病毒的传播机制，也称为计算机病毒的感染机制，其目的是实现病毒自身的修复和隐藏。病毒的感染对象主要有两种：一种是寄生在磁盘引导扇区；另一种是寄生在可执行文件中。另外，宏病毒、脚本病毒是比较特殊的病毒，在用户使用Office或浏览器的时候获取执行权；还有一些蠕虫只寄生在内存中，而不感染引导扇区和文件。,计算机病毒的传播机制,不同种类的病毒，其传染机理也不同。引导型病毒的传染机理是利用在开机引导时窃取中断控制权，并在计算机运行过程中监视软盘读写时机，趁机完成对软盘的引导区感染，被感染的软盘又会传染给其他计算机。文件型病毒的传染机理是执行被感染的可执行文件后，病毒进驻内存，监视系统运行，并查找有可能被感染的文件进行感染。混合型感染则既感染引导扇区，又感染文件。交叉感染是指一个宿主程序上感染多种病毒，这类感染的杀毒处理比较麻烦。,计算机病毒工作原理,第一阶段：感染感染是指病毒自我复制并传播给其他程序。病毒主要通过电子邮件、外部介质、下载这3种途径入侵个人电脑。,计算机病毒工作原理,第二阶段：潜伏潜伏是指病毒等非法程序为了逃避用户和防病毒软件的监视而隐藏自身行踪的行为。在潜伏过程中，病毒为躲避用户和防病毒软件的侦察而进行隐藏。通过与防病毒软件之间不断地“斗智斗勇”，有的病毒已经逐渐具备了非常高级的隐身法。最具代表性的潜伏方法是隐蔽和自我变异。,计算机病毒工作原理,第三阶段：繁殖繁殖是非法程序不断地由一部计算机向其他计算机进行传播的状态。就像在感染阶段一样，病毒主要通过电子邮件入侵个人电脑。将电子邮件用做传播媒介的就是蠕虫。第四阶段：发作发作是非法程序所实施的各种恶意行为。如果把破坏程度分为3个等级，那么破坏程度最大的大概就算是“格式化硬盘”和“删除文件”等直接破坏行为了。尤其是“破坏电脑BIOS”的发作症状，由于电脑将不能启动，用户自行进行修复根本无从谈起，经济上的损失非常大。,3.4.3特洛伊木马,特洛伊木马是指通过欺骗手段植入到网络与信息系统中，并具有控制该目标系统或进行信息窃取等功能的有害程序。,从前，希腊联军围困特洛伊，久攻不下。便特制了一匹巨大的木马，打算来个“木马屠城计”。希腊人在木马中安排了一批视死如归的勇士，待两军激战正酣时，借故战败撤退，诱敌上钩。果然，被敌军撤退喜讯弄得神志不清的特洛伊人哪知中计，当晚使把木马拉进城中，打算来个欢天喜地的庆功宴。谁知，就在大家兴高采烈喝酒欢庆之际，木马中的精锐悍将早己暗中打开城门，来个里应外合的大抢攻开始了！顿时，一个美丽的城市变成了一堆瓦砾、焦土，毁灭于历史中。,传说中的特洛伊木马,木马屠城的故事,3.4.3特洛伊木马,总结：里应外合,3.4.3特洛伊木马,我们所要谈的当然不仅仅是这个希腊故事，但我们要谈的木马(也称“特洛伊木马”)，原理跟这个故事差不多。所谓的木马程序其实就是一种远程控制程序，只是后来其功能被修改得越来越强大而已。严格来说它不能算是一种病毒，基本上只要不运行到它就不会有事。一般的用法都是，它会有一个客户端程序(己方计算机)、一个服务器端程序(对方计算机)给对方运行，只要同时在线就能通过客户端的程序来控制对方的计算机。,木马的功能,远程监控可以控制对方的鼠标、键盘和监视对方屏幕。记录密码窃取主机的信息资料更改主机名称，设置系统路径和得知系统版本等。设置系统功能可以远程关机或重新升机，设置鼠标或是把鼠标隐藏起来，终止系统程序，或是耗用大量主机资源致使系统死机。远程文件操作入侵者可以远程控制对方的文件。发送信息,木马的特点,窃取数据、信息,木马的特性,(1)程序性：程序性是指木马是一段执行特殊功能的非授权性程序，进行一些用户所不希望的操作，如窃取密码、盗取文件和提供后门等。(2)隐藏性：隐藏性是指木马服务端能够躲避杀毒软件的扫描，不会被轻易地发现。,木马的特性,(3)有效性：有效性是指入侵的木马与其控制端(入侵者)建立有效的通信联系，能接收到控制端的命令信息，并能将搜集的信息返回给入侵者。,木马的特性,(4)顽固性：顽固性是指有效清除木马的难易程度，体现了木马对反木马操作的免疫性。当木马被用户通过杀毒软件或其他途径检测出来(失去隐蔽性)后，为了继续确保其侵入的有效性，往往还具有另外一个重要特性顽固性。如果一个木马不能一次性有效清除，那么该木马就具有较强的顽固性。一些常用的反清除技术有多实例法，将木马程序(多份)分别存放在目标计算机不同的目录下，这些木马实例互相监督，以防止某个木马实例被查杀，确保木马工作还能继续进行。多实例可以通过采用同时运行多个线程或进程来实现。,木马的特性,(5)易植入性：任何木马要想发挥作用必须首先进入目标计算机(植入操作)，可见易植入性是木马有效性的先决条件。,木马的分类,按照功能分类可分为：(1)密码发送型(2)键盘记录型(3)屏幕截取型(4)文件控制型(5)后门型,按照功能分类,密码发送型木马,密码发送型木马的目的是找到所有的隐藏密码，并且在受害者不知道的情况下把它们发送到指定的信箱。大多数这类木马程序不会在每次Windows重启时都自动加载它们大多数使用25号端口发送电子邮件。,按照功能分类,键盘记录型木马,键盘记录型木马是非常简单的，它们只做一种事情，就是记录受害者的键盘敲击，并且在LOG文件里做完整的记录。这种木马程序随着Windows的启动而启动，知道受害者在线并且记录每一个用户事件，然后通过邮件或其他方式发送给控制者。,按照功能分类,屏幕截取型木马,屏幕截取型木马可以抓取用户当前计算机屏幕上的图像。入侵者通过接收到的图像可以看到用户具体在干什么，就好像站在受害者计算机的旁边看受害者的操作计算机一样，只不过是依据抓屏的频率间歇性地偷看一下。,按照功能分类,文件控制型木马,文件控制型木马用于对受害者主机的各种文件进行各种非法操作，范围涉及普通文件、注册表文件和系统文件等。,按照功能分类,后门型木马,后门型木马通过打开目标计算机的一个端口连入因特网，将目标计算机暴露给入侵者。在木马服务端的配合下，入侵者可获取目标计算机的部分或全部操作权限，通过控制端对目标计算机进行远程控制。,木马的攻击原理,PRIORITY是一个VB编写的“木马”，该“木马”包括服务器端的SERVER.EXE及客户端的PRIORITY.EXE两个程序。,服务器端SERVER.EXE建立了一个SERVER窗体，设定为隐藏窗体，并在任务栏及任务管理器中隐藏，窗体中定义了一个名为TCP2的WINSOCK控件，使用该控件打开1001端口并监听：,PrivateSubFormLoad()TCP2.LocalPort=1001TCP2.1istenEndSub,服务器端监听端口1001,Priority木马结构分析,木马的攻击原理,当黑客用客户端PRIORITY.EXE发出远程连接请求时，隐藏在被害用户电脑中的SERVER.EXE接受连接请求：,PrivateSubTCP2_ConnectionRequest(ByValrequesteldAsLong)TCP2.AcceptrequestedEndSub,Priority木马结构分析,木马的攻击原理,SERVER.EXE执行客户端发出的命令：,PrivateSubTCP2_DataArrival(ByValbytesTotalAsLong)DimstrDataAsStringTCP2.GetDatastrDataIfstrData=“ExecuteRebootThen重新启动ExitWindowsEWX_LogOff,网络服务渎职罪】违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役;后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。,中华人民共和国刑法第二百八十六条,第二百八十六条之一【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：(一)致使违法信息大量传播的;(二)致使用户信息泄露，造成严重后果的;(三)致使刑事案件证据灭失，情节严重的;(四)有其他严重情节的。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。,中华人民共和国计算机信息系统安全保护条例,第十五条对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作，由公安部归口管理。第二十三条故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许