病毒木马的工作原理及其防范

计算机病毒、木马及防范技术目录病毒的起源和发展病毒的定义及分类VBS病毒的起源与发展及其危害蠕虫病毒缓冲区溢出与病毒攻击的原理木马程序计算机日常使用的安全建议一、病毒的起源和发展病毒的起源和发展1949年，计算机的先驱者冯.诺依曼在论文《复杂自动机组织论》中，提出了计算机程序能够在内存中自我复制；20世纪60年代初，美国贝尔实验室，三个年轻的程序员编写了一个名为“磁芯大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是病毒的第一个雏形。20世纪70年代，美国作家雷恩在《P1的青春》一书中阐述了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在VAX/750计算机上进行实验，世界上第一个计算机病毒就这样诞生在实验室中。20世纪80年代后期，巴基斯坦有两个以编软件为生的兄弟，为了打击盗版软件，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引导区，成为世界上流行的第一个真正的病毒。一、病毒的起源和发展计算机病毒是一组人为设计的程序，这种特殊的程序隐藏在计算机系统中，能够把自身或自身的一部分复制到其它程序上，给计算机系统造成一定损害甚至严重破坏。这种程序的活动方式与生物学上的病毒非常相似，所以被称为计算机病毒。计算机病毒的危害主要体现在以下方面： 破坏文件分配表或目录区 删除文件、修改或破坏文件中的数据 大量复制自身，减少磁盘可用的存储空间 修改或破坏系统信息 非法格式化磁盘，非法加密或解密用户文件 在磁盘上产生坏扇区 降低系统运行速度病毒的起源和发展二、病毒的定义和分类 计算机病毒是一个程序，一段可执行码，具有独特的复制能力。计算机病毒可以快速地传染，并很难解除。它们把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，病毒就随着文件一起被传播了。 计算机病毒确切定义是能够通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种条件时即被激活具有对计算机资源进行破坏的一组程序或指令的集合。病毒的定义和分类

一、

病毒的定义计算机病毒的特点1）可执行性

当用户运行正常程序时，病毒伺机窃取到系统的控制权，得以抢先运行。2）破坏性

无论何种病毒程序，一旦侵入系统都会对操作系统的运行造成不同程度的影响。3）传染性

把自身复制到其他程序中的特性。

是计算机病毒最重要的特征，是判断一段程序代码是否为计算机病毒的依据。

病毒可以附着在其它程序上，通过磁盘、光盘、计算机网络等载体进行传染，被传染的计算机又成为病毒的生存的环境及新传染源。病毒的定义和分类4）潜伏性

病毒发作是由触发条件来确定。为了防止用户察觉，计算机病毒会想方设法隐藏自身。通常粘附在正常程序之中或磁盘引导扇区中，或者磁盘上标为坏簇的扇区中，以及一些空闲概率较大的扇区中，即非法可存储性。5）针对性

针对不同的操作系统、不同的应用软件。6）衍生性

具有依附其他媒体而寄生的能力。

在传播的过程中自动改变自己的形态，从而衍生出另一种不同于原版病毒的新病毒，这种新病毒称为病毒变种。7）抗反病毒软件性

有变形能力的病毒能更好地在传播过程中隐蔽自己，使之不易被反病毒程序发现及清除，并具有反杀的能力。病毒的定义和分类病毒的传播方式：

通过文件系统传播；

通过电子邮件传播；

通过局域网传播；

通过即时通讯软件和点对点软件等常用工具传播；

利用系统、应用软件的漏洞进行传播；

利用系统配置缺陷传播，如弱口令、完全共享等；

利用欺骗等社会工程的方法传播。病毒的定义和分类三、

VBS病毒的起源与发展

及其危害VBS病毒的起源与发展及其危害VBS病毒的运行基础是微软公司提供的脚本程序：WSH（WindowsScriptingHost）。WSH通用的中文译名为“Windows脚本宿主”。应该说，WSH的优点在于它使用户可以充分利用脚本来实现计算机工作的自动化。计算机病毒制造者也正是利用脚本语言来编制病毒，并利用WSH的支持功能，让这些隐藏着病毒的脚本在网络中传播。“ILoveYou”病毒便是一个典型的代表。一、

VBS的运行基础当微软在推出WHS后不久，在Windows95操作系统中就发现了利用WHS的病毒，随后又出现了更为厉害的“HapplyTime（欢乐时光）”病毒，这种病毒不断的利用自身的复制功能，把自身复制到计算机内的每一个文件夹内。

2000年5月4日在欧美地区爆发的“宏病毒”网络蠕虫病毒。由于通过电子邮件系统传播，宏病毒在短短几天内狂袭全球数以百万计的电脑。包括微软、Intel等公司在内的众多大型企业网络系统瘫痪，全球经济损失达数十亿美元。2004年爆发的“新欢乐时光”病毒也给全球经济造成了巨大损失。二、

VBS病毒的发展和危害VBS病毒的起源与发展及其危害

1、VBS脚本病毒如何感染、搜索文件VBS脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间，譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部，并在顶部加入一条调用病毒代码的语句，而爱虫病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，vbs作为后缀。 2、VBS脚本病毒通过网络传播的几种方式及代码分析

通过E-mail附件传播

通过局域网共享传播三、

VBS病毒的发展和危害VBS病毒的起源与发展及其危害四、蠕虫病毒蠕虫病毒蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫病毒）的某些部分到其他的计算机系统中(通常是经过网络连接)。蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性会使得人们手足无策蠕虫与漏洞网络蠕虫最大特点是利用各种漏洞进行自动传播根据网络蠕虫所利用漏洞的不同，又可以将其细分邮件蠕虫主要是利用MIME(MultipurposeInternetMailExtensionProtocol，多用途的网际邮件扩充协议)漏洞MIME描述漏洞蠕虫与漏洞网页蠕虫（木马）主要是利用IFrame漏洞和MIME漏洞网页蠕虫可以分为两种用一个IFrame插入一个Mail框架，同样利用MIME漏洞执行蠕虫，这是直接沿用邮件蠕虫的方法用IFrame漏洞和浏览器下载文件的漏洞来运作的，首先由一个包含特殊代码的页面去下载放在另一个网站的病毒文件，然后运行它，完成蠕虫传播系统漏洞蠕虫利用RPC溢出漏洞的冲击波、冲击波杀手利用LSASS溢出漏洞的震荡波、震荡波杀手系统漏洞蠕虫一般具备一个小型的溢出系统，它随机产生IP并尝试溢出，然后将自身复制过去它们往往造成被感染系统性能速度迅速降低，甚至系统崩溃，属于最不受欢迎的一类蠕虫蠕虫的工作方式与扫描策略蠕虫的工作方式一般是“扫描→攻击→复制”蠕虫的工作方式与扫描策略蠕虫的扫描策略现在流行的蠕虫采用的传播技术目标，一般是尽快地传播到尽量多的计算机中扫描模块采用的扫描策略是：随机选取某一段IP地址，然后对这一地址段上的主机进行扫描没有优化的扫描程序可能会不断重复上面这一过程，大量蠕虫程序的扫描引起严重的网络拥塞对扫描策略的改进在IP地址段的选择上，可以主要针对当前主机所在的网段进行扫描，对外网段则随机选择几个小的IP地址段进行扫描对扫描次数进行限制，只进行几次扫描把扫描分散在不同的时间段进行蠕虫的工作方式与扫描策略蠕虫常用的扫描策略选择性随机扫描(包括本地优先扫描)可路由地址扫描(RoutableScan)地址分组扫描(Divide-ConquerScan)组合扫描(HybridScan)极端扫描(ExtremeScan)从传播模式进行安全防御对蠕虫在网络中产生的异常，有多种的的方法可以对未知的蠕虫进行检测，比较通用的方法是对流量异常的统计分析，主要包括对TCP连接异常的分析和ICMP数据异常分析的方法。从传播模式进行安全防御在蠕虫的扫描阶段，蠕虫会随机的或者伪随机的生成大量的IP地址进行扫描，探测漏洞主机。这些被扫描主机中会存在许多空的或者不可达的IP地址，从而在一段时间里，蠕虫主机会接收到大量的来自不同路由器的ICMP不可达数据包。流量分析系统通过对这些数据包进行检测和统计，在蠕虫的扫描阶段将其发现，然后对蠕虫主机进行隔离，对蠕虫其进行分析，进而采取防御措施。将ICMP不可达数据包进行收集、解析，并根据源和目的地址进行分类，如果一个IP在一定时间（T）内对超过一定数量（N）的其它主机的同一端口（P）进行了扫描，则产生一个发现蠕虫的报警（同时还会产生其它的一些报警）。用Sniffer进行蠕虫检测一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。利用Sniffer的HostTable功能，将所有计算机按照发出数据包的包数多少进行排序发包数量前列的IP地址为的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个；这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的同样，我们可以发现，如下IP地址存在同样的问题首先我们对IP地址为的主机产生的网络流量进行过滤蠕虫病毒流量分析发出的数据包的内容五、缓冲区溢出与病毒

攻击的原理缓冲区溢出与病毒攻击的原理 缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过缓冲区本身的容量。溢出的数据覆盖在合法数据上。理想情况是，程序检查数据长度并且不允许输入超过缓冲区长度的字符串。大多数程序都会假设数据长度总是与所分配的存储空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为堆栈，在各个操作进程之间，指令被临时存储在堆栈当中，堆栈也会出现缓冲区溢出。 当一个超长的数据进入到缓冲区时，超出部分就会被写入其他缓冲区，其他缓冲区存放的可能是数据、下一条指令的指针、或者是其他程序的输出内容，这些内容都被覆盖或者破坏掉了。可见一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃。一、

缓冲区溢出缓冲区溢出是由编程错误引起的。如果缓冲区被写满，而程序没有去检查缓冲区边界，也没有停止接收数据，这时缓冲区溢出就会发生。缓冲区溢出之所以泛滥，是由于开放源代码程序的本质决定的。某些编程语言对于缓冲区溢出是具有免疫力的，例如Perl能够自动调节字节排列的大小，Ada95能够检查和阻止缓冲区溢出。但是被广泛使用的C语言却没有建立检测机制。标准C语言具有许多复制和添加字符串的函数，这使得标准C语言很难进行边界检查。C++语言略微好一些，但是仍然存在缓冲区溢出情况。一般情况下，覆盖其他数据区的数据是没有意义的，最多造成应用程序错误，但是，如果输入的数据是经过“黑客”或者病毒精心设计的，覆盖缓冲区的数据恰恰是“黑客”或者病毒的攻击程序代码，一旦多余字节被编译执行，“黑客”或者病毒就有可能为所欲为，获取系统的控制权。二、缓冲区溢出的根源在于编程错误缓冲区溢出与病毒攻击的原理 缓冲区溢出是目前导致“黑客”型病毒横行的主要原因。从“红色代码”到“Slammer”，再到“冲击波”，都是利用缓冲区溢出漏洞的典型病毒案例。缓冲区溢出是一个编程问题，防止利用缓冲区溢出发起的攻击，关键在于程序开发者在开发程序时仔细检查溢出情况，不允许数据溢出缓冲区。此外，用户需要经常登录操作系统和应用程序提供商的网站，跟踪公布的系统漏洞，及时下载补丁程序，弥补系统漏洞。三、缓冲区溢出导致“黑客”病毒横行缓冲区溢出与病毒攻击的原理冲击波病毒警惕程度：★★★★病毒类型：蠕虫病毒发作时间：随机传播途径：网络/RPC漏洞依赖系统：Windows2000WindowsXPWindowsServer2003RPCRPC（RemoteProcedureCallProtocol）远程过程调用协议

它是一种通过网络从远程计算机程序上请求服务。病毒原理利用微软公司公布的RPC漏洞进行传播的，只要是计算机上有RPC服务并且没有打安全补丁的计算机都存在有RPC漏洞。DCOM分布式组件对象模型微软软件的一系列程序接口，利用这个接口，客户端程序对象能够请求来自网络中另一台计算机上的服务器程序对象。分布式组件对象模型基于组件对象模型（COM），COM提供了一套允许同一台计算机上的客户端和服务器之间进行通信的接口。病毒运行时......不停地利用IP扫描技术寻找网络上系统为XP的计算机,找到后就利用DCOMRPC缓冲区漏洞攻击该系统，一旦攻击成功，病毒体将会被传送到对方计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。另外，该病毒还会对微软的一个升级网站进行拒绝服务攻击，导致该网站堵塞，使用户无法通过该网站升级系统。病毒发作系统资源被大量占用，并且系统反复重启，不能收发邮件、不能正常复制文件、无法正常浏览网页，复制粘贴等操作受到严重破坏，且不能复制粘贴，有时会弹出RPC服务终止的对话框。病毒如何进行......1.将自身复制到window目录下，并命名为.msblast.exe。⒉病毒运行时会在系统中建立一个名为：“BILLY”的互斥量，目的是病毒只保证在内存中有一份病毒体，为了避免用户发现。⒊病毒运行时会在内存中建立一个名为：“msblast.exe”的进程，该进程就是活的病毒体。⒋病毒会修改注册表，以便每次启动系统时，病毒都会运行。会以20秒为间隔，每20秒检测一次网络状态，当网络可用时，病毒会在本地建立一个服务器并启动一个攻击传播线程，不断地随机生成攻击地址，进行攻击。另外该病毒攻击时，会首先搜索子网的IP地址，以便就近攻击。当病毒扫描到计算机后，就会向目标计算机端口发送攻击数据。成功后，便会监听目标计算机的端口，并绑定cmd.exe。然后蠕虫会连接到这个端口，发送命令，回连到发起进攻的主机，将msblast.exe传到目标计算机上并运行。病毒如何进行......六、木马程序特洛伊木马的定义特洛伊木马(TrojanHorse)，简称木马，是一种恶意程序，是一种基于远程控制的黑客工具，一旦侵入用户的计算机，就悄悄地在宿主计算机上运行，在用户毫无察觉的情况下，让攻击者获得远程访问和控制系统的权限，进而在用户的计算机中修改文件、修改注册表、控制鼠标、监视/控制键盘，或窃取用户信息古希腊特洛伊之战中利用木马攻陷特洛伊城；现代网络攻击者利用木马，采用伪装、欺骗(哄骗，Spoofing)等手段进入被攻击的计算机系统中，窃取信息，实施远程监控特洛伊木马是一种秘密潜伏的能够通过远程网络进行控制的恶意程序。控制者可以控制被秘密植入木马的计算机的一切动作和资源，是恶意攻击者进行窃取信息等的工具。他由黑客通过种种途径植入并驻留在目标计算机里。木马可以随计算机自动启动并在某一端口进行侦听，在对目标计算机的的数据、资料、动作进行识别后，就对其执行特定的操作，并接受“黑客”指令将有关数据发送到“黑客大本营”。这只是木马的搜集信息阶段，黑客同时可以利用木马对计算机进行进一步的攻击！这时的目标计算机就是大家常听到的“肉鸡”了！2．特洛伊木马病毒的危害性特洛伊木马和病毒、蠕虫之类的恶意程序一样，也会删除或修改文件、格式化硬盘、上传和下载文件、骚扰用户、驱逐其他恶意程序。除此以外，木马还有其自身的特点：窃取内容；远程控制。特洛伊木马技术的发展木马的发展及成熟，大致也经历了两个阶段Unix阶段Windows阶段木马技术发展至今，已经经历了4代第一代木马只是进行简单的密码窃取、发送等，没有什么特别之处第二代木马在密码窃取、发送等技术上有了很大的进步，冰河可以说是国内木马的典型代表之一第三代木马在数据传输技术上，又做了不小的改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀的难度第四代木马在进程隐藏方面，做了很大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程；或者挂接PSAPI(ProcessStatusAPI)，实现木马程序的隐藏常见的特洛伊木马常见的特洛伊木马，例如BackOrifice和SubSeven等，都是多用途的攻击工具包，功能非常全面，包括捕获屏幕、声音、视频内容的功能。这些特洛伊木马可以当作键记录器、远程控制器、FTP服务器、HTTP服务器、Telnet服务器，还能够寻找和窃取密码。由于功能全面，所以这些特洛伊木马的体积也往往较大，通常达到100KB至300KB，相对而言，要把它们安装到用户机器上而不引起任何人注意的难度也较大。常见的特洛伊木马对于功能比较单一的特洛伊木马，攻击者会力图使它保持较小的体积，通常是10KB到30KB，以便快速激活而不引起注意。这些木马通常作为键记录器使用，它们把受害用户的每一个键击事件记录下来，保存到某个隐藏的文件，这样攻击者就可以下载文件分析用户的操作了。常见的特洛伊木马BackOrifice是一个远程访问特洛伊木马的病毒，该程序使黑客可以经TCP/IP网络进入并控制windows系统并任意访问系统任何资源，通过调用cmd.exe系统命令实现自身的功能，其破坏力极大。SubSeven可以作为键记录器、包嗅探器使用，还具有端口重定向、注册表修改、麦克风和摄像头记录的功能。SubSeven还具有其他功能：攻击者可以远程交换鼠标按键，关闭/打开CapsLock、NumLock和ScrollLock，禁用Ctrl+Alt+Del组合键，注销用户，打开和关闭CD-ROM驱动器，关闭和打开监视器，翻转屏幕显示，关闭和重新启动计算机常见的特洛伊木马在2006年之前，冰河在国内一直是不可动摇的领军木马，在国内没用过冰河的人等于没用过木马，由此可见冰河木马在国内的影响力之巨大。该软件主要用于远程监控，自动跟踪目标机屏幕变化等。冰河原作者：黄鑫，冰河的开放端口7626据传为其生日号。1．自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入,即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）；2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息；3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据；4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；5．远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式——正常方式、最大化、最小化和隐藏方式）等多项文件操作功能；6．注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能；常见的特洛伊木马灰鸽子（Hack.Huigezi）是一个集多种控制方法于一体的木马病毒，一旦用户电脑不幸感染，可以说用户的一举一动都在黑客的监控之下，要窃取账号、密码、照片、重要文件都轻而易举。自2001年，灰鸽子诞生之日起，就被反病毒专业人士判定为最具危险性的后门程序，并引发了安全领域的高度关注。2004年、2005年、2006年，灰鸽子木马连续三年被国内各大杀毒厂商评选为年度十大病毒，灰鸽子也因此声名大噪，逐步成为媒体以及网民关注的焦点。特洛伊木马的定义木马与病毒一般情况下，病毒是依据其能够进行自我复制即传染性的特点而定义的特洛伊木马主要是根据它的有效载体，或者是其功能来定义的，更多情况下是根据其意图来定义的木马一般不进行自我复制，但具有寄生性，如捆绑在合法程序中得到安装、启动木马的权限，DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性，但我们习惯上将其纳入广义病毒，也就是说，木马也是广义病毒的一个子类木马的最终意图是窃取信息、实施远程监控木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性特洛伊木马的结构木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序)三部分组成特洛伊木马的基本原理运用木马实施网络入侵的基本过程特洛伊木马的基本原理木马控制端与服务端连接的建立控制端要与服务端建立连接必须知道服务端的木马端口和IP地址由于木马端口是事先设定的，为已知项，所以最重要的是如何获得服务端的IP地址获得服务端的IP地址的方法主要有两种：信息反馈和IP扫描特洛伊木马的基本原理木马控制端与服务端连接的建立特洛伊木马的基本原理木马通道与远程控制木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道控制端上的控制端程序可藉这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同本地操作特洛伊木马的传播方式木马常用的传播方式，有以下几种：以邮件附件的形式传播控制端将木马伪装之后添加到附件中，发送给收件人通过OICQ、QQ等聊天工具软件传播在进行聊天时，利用文件传送功能发送伪装过的木马程序给对方通过提供软件下载的网站(Web/FTP/BBS)传播木马程序一般非常小，只有是几K到几十K，如果把木马捆绑到其它正常文件上，用户是很难发现的，所以，有一些网站被人利用，提供的下载软件往往捆绑了木马文件，在用户执行这些下载的文件的同时，也运行了木马通过一般的病毒和蠕虫传播通过带木马的磁盘和光盘进行传播七、计算机日常使用的

安全建议计算机日常使用的安全建议 建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从Internet下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如FTP客户端、Telnet和Web服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，删除它