计算机病毒与流氓软件文档讲课文档

计算机病毒与流氓软件文档第1页，共49页。第2页，共49页。10.1计算机病毒

1.计算机病毒的定义计算机病毒：指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码，属于黑色软件。合法软件：指为方便用户使用计算机工作、娱乐而开发的一类软件，属于白色软件。流氓软件（恶意软件）：在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。属于灰色软件。第3页，共49页。2．计算机病毒的特点一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。具有传染性、潜伏性、隐蔽性、破坏性、可触发性等。3．病毒的表现不正常的提示信息；系统不能正常操作；用户不能正常操作；数据文件破坏；无故死机或重启；操作系统无法启动；运行速度变慢；磁盘可利用空间突然减少；网络服务不正常等。第4页，共49页。4．计算机病毒的危害攻击内存：内存是计算机病毒最主要的攻击目标。计算机病毒在发作时额外地占用和消耗系统的内存资源，导致系统资源匮乏，进而引起死机。病毒攻击内存的方式主要有占用大量内存、改变内存总量、禁止分配内存和消耗内存。攻击文件：文件也是病毒主要攻击的目标。当一些文件被病毒感染后，如果不采取特殊的修复方法，文件很难恢复原样。病毒对文件的攻击方式主要有删除、改名、替换内容、丢失部分程序代码、内容颠倒、写入时间空白、变碎片、假冒文件、丢失文件簇或丢失数据文件等。攻击系统数据区：对系统数据区进行攻击通常会导致灾难性后果，攻击部位主要包括硬盘主引导扇区、Boot扇区、FAT表和文件目录等，当这些地方被攻击后，普通用户很难恢复其中的数据。第5页，共49页。干扰系统正常运行：病毒会干扰系统的正常运行，其行为也是花样繁多的，主要表现方式有不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、重启动、死机、强制游戏以及扰乱串并行口等。影响计算机运行速度：当病毒激活时，其内部的时间延迟程序便会启动。该程序在时钟中纳入了时间的循环计数，迫使计算机空转，导致计算机速度明显下降。攻击磁盘：表现为攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。第6页，共49页。5．计算机病毒的分类(1)引导扇区病毒病毒修改或覆盖硬盘原来的主引导记录，有少数几种病毒甚至对引导扇区参数进行了加密处理。所有引导区病毒基本上都是内存驻留型的，微机启动时，病毒就被加载到内存中，直到系统关机为止，病毒一直存在，所以引导型病毒基本上都会减少可用的内存容量。(2)文件病毒·文件病毒：大部分感染可执行程序进行传播。·寄生病毒：寄生在宿主程序上，并不破坏宿主程序的功能。·覆盖病毒：直接用病毒程序替换被感染的程序，这样所有的文件头也变成了病毒程序的文件头。·伴随病毒：病毒为被感染的文件创建一个病毒文件。

第7页，共49页。文件病毒的工作原理:文件病毒感被激活后，病毒会立刻获得控制权。病毒首先检查系统内存，查看内存中是否已经有病毒代码存在，如果没有，就将病毒代码装入内存。然后执行病毒设计的一些功能，如，破坏功能，显示信息或动画等。为了病毒定时发作，病毒往往会修改系统的时钟中断，在合适的时候激活。完成这些工作后，病毒将控制权交回被感染的程序。(3)宏病毒·宏病毒主要运行在微软公司的Office软件中。·宏病毒利用了宏语言VBA。VBA语言可以对文本和数据表进行完整的控制，可以调用操作系统的任意功能，甚至包括格式化硬盘这种操作。第8页，共49页。(4)蠕虫病毒蠕虫病毒以网络为寄生环境，以网络上节点计算机为基本感染单位，通过网络设计的缺陷，达到占用整个网络资源的目的。蠕虫病毒往往利用系统漏洞或利用欺骗方法进行传播。

蠕虫病毒由传播模块、隐藏模块、功能模块组成。蠕虫病毒传播过程：扫描攻击复制·扫描：由扫描模块负责探测主机地漏洞。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。·攻击：攻击模块自动攻击找到漏洞的主机，取得该主机的权限。·复制：复制模块通过原主机和新主机的交互，将蠕虫病毒复制到新主机中并启动。第9页，共49页。(5)木马程序木马程序分为服务器端和客户端两个部分，服务器端程序一般被伪装并安装在受害者计算机中，以后程序将随该计算机每次运行而自动加载，而客户端一般安装在控制者计算机中。木马程序可以用来作正常的用途，也可以被一些别有用心的人利用来做非法的事情。木马程序与远程控制程序的基本区别在于，远程控制程序是在用户明确授权后运行的，并在用户主机上有明显的控制图标，而木马程序则是隐蔽运行的。木马程序通常并不感染文件，木马程序一般会修改注册表的启动项，或者修改打开文件的关联而获得运行的机会。

第10页，共49页。木马程序的类型密码发送木马程序：在用户计算机的文件里查找密码。键盘记录木马程序：记录受害计算机的键盘击键记录，获得用户密码信息。破坏型木马程序：破坏并删除文件。下载类木马：在下载文件同时下载了木马邮件炸弹木马程序：木马程序会随机生成各种各样主题的信件，对特定的邮箱不停地发送邮件。代理木马程序：黑客给被控制的主机种上代理木马程序后，通过代理木马程序，攻击者可以在匿名的情况下使用Telnet、ICQ、IRC等程序，从而隐蔽自己的踪迹。第11页，共49页。木马程序的特性

·自动运行：潜人用户启动配置文件中，如注册表、启动组等。·自动恢复功能：当用户删除了其中的一个，木马程序利用其他的备份又可以恢复。·自动打开端口：木马程序经常利用高端端口进行连接。·特殊功能：有些木马程序具有搜索Cache中的口令、扫描IP地址、进行键盘记录、捕获用户屏幕、远程注册表的操作、锁定鼠标等功能。·设置后门：攻击者可以利用木马程序设置后门，即使木马程序后来被清除了，攻击者仍可以利用以前留下的后门方便地闯入。·冒名顶替：攻击者冒充合法用户发送邮件、修改文档内容。

第12页，共49页。1．计算机病毒的预防(1)修补系统漏洞Windows操作系统的漏洞层出不穷，特别是如今使用比较多的WindowsXP操作系统，其漏洞是怎么也补不完，哪怕是最新的WindowsXPSP2也存在相当多的漏洞。因此及时安装操作系统的漏洞补丁是非常必要的。浏览网页需要Web浏览器，有些恶意网页利用浏览器的漏洞编写恶意代码，访问该网站会不知不觉地中毒。因此不仅要修补系统漏洞，还要修补IE浏览器的漏洞，这样才能减少病毒入侵的威胁。第13页，共49页。(2)安装杀毒软件和防火墙使用杀毒软件可最大程度地保证计算机不受病毒感染，保障计算机的安全运行。目前多数杀毒软件都带有实时病毒防火墙，可监控来自计算机外部的病毒，保护计算机免受病毒感染。

常用杀毒软件(1)瑞星杀毒软件(2)金山毒霸(3)NortonAntiVirus（诺顿）(4)Kaspersky（卡巴斯基）

第14页，共49页。网络防火墙

防火墙是一种被动防卫技术，是一种网络安全防护措施，它采用隔离控制技术，是设置在内部网络和外部网络之间的一道屏障，用来分隔内部网络和外部网络的地址，使外部网络无从查探内部网络的IP地址，从而不会与内部系统发生直接的数据交流。第15页，共49页。（3）使用软件限制策略预防病毒软件限制策略是一种决定程序是否可以运行的技术。病毒要实施破坏，必须进入到系统，但如果病毒进入系统后而无法运行，它就不可能对系统造成破坏，那么此时也就等于成功预防了病毒。因此，可以利用软件限制策略对系统的关键路径、关键文件做散列规则和路径规则来限制病毒文件的运行，例如，对于病毒文件经常感染用户的临时文件夹C:\DocumentsandSettings\a\LocalSettings\Temp和C:\DocumentsandSettings\a\LocalSettings\TemporaryInternetFiles，由于上述两个临时文件夹中不可能有可执行文件，因此只需做这两个路径的路径规则来禁止这两个路径下文件运行，即可禁止隐藏在这两条路径下病毒运行。第16页，共49页。(4)提高安全防范意识在使用计算机的过程中，需要增强安全防护意识，如不访问非法网站，对网上传播的文件要多加注意，密码设置最好采用数字和字母的混合，不少于8位、及时更新操作系统的安全补丁、备份硬盘的主引导扇区和分区表、安装杀毒软件并经常升级病毒库以及开启杀毒软件的实时监测功能等，这些措施对防范计算机病毒都有积极的作用。第17页，共49页。2．计算机病毒的清除

清除病毒的方法有三类，一是利用影子系统等系统还原类的软件，二是借助反病毒软件消除，三是手工清除，但是用手工方法消除病毒不仅繁琐，而且对技术人员专业素质要求很高，只有具备较深的电脑专业知识的人员才会使用。第18页，共49页。10.2流氓软件1．流氓软件的分类根据不同的特征和危害，困扰广大计算机用户的流氓软件主要有如下几类：广告软件、间谍软件、浏览器劫持、行为记录软件、恶意共享软件等。第19页，共49页。2．流氓软件的表现形式强制安装广告弹出浏览器劫持难以卸载恶意卸载以及其他侵害用户软件安装、使用和卸载的知情权、选择权的恶意行为第20页，共49页。3.流氓软件的感染途径（1）当安装一些国外知名软件的汉化版时，可能其中就包含有恶意软件；（2）安装免费软件，很多免费软件捆绑了一些恶意软件；（3）安装盗版游戏时，捆绑在一起的恶意软件也同时进行了安装；（4）由于系统漏洞和IE漏洞的存在，在浏览网页时极有可能会利用该漏洞被安装上恶意软件；（5）通过在线下载文件感染或在线交流时感染；（6）由于使用盗版操作系统，机器在安装系统时可能被安装上恶意软件。第21页，共49页。4．恶意软件使用的技术Rootkit技术IE插件修改系统启动项修改文件关联修改系统服务使用双进程第22页，共49页。(1)Rootkit技术Rootkit是经常听到的名词，它是提供给用户管理员权限使用的工具集，这个工具集一般可以加载到一个内核程序当中，对操作系统内核进行挂钩和保护，做到保护和引入入侵者的作用，它必须要深入到系统的最内核层，做一些修改和挂钩。流氓软件经常使用这种技术，导致自己的文件和注册表不被删除。这也是恶意软件广泛采用的技术，对自己的文件进行强有力的保护。第23页，共49页。(2)IE插件通过BHO进行劫持浏览器，BHO是浏览器辅助对象，也就是说在浏览器启动的时候会调用这个BHO，帮助浏览器完成一些额外的工作，本来这是一个好意，但是已经被恶意软件给泛滥的应用，现在很多人启动一个浏览器的时候会被加载相当多的BHO，而这些BHO大量都被恶意软件控制了。在地址栏输出关键词的时候会将你搜索结果进行一个转向，去劫持用户的地址栏搜索和相关的搜索。第24页，共49页。(3)修改系统启动项在系统启动项里加入自己的一个启动，用户每次开机的时候都会使得恶意软件启动起来。(4)修改文件关联当双击TXT文件的时候，恶意软件去修改这个文件关联以后，你可能双击任何一个TXT文件以后都可能把恶意软件运行起来。第25页，共49页。(5)修改系统服务在WindowsXP系统中有很多系统服务。恶意软件也可以把自己加到系统服务项当中，一直在运行。比如说我们的任务计划，恶意软件也可能还有计划任务，计划任务是Windows提供一套自动运行的机制，可以定义某一个工作几点开始，或者是周几开始。恶意软件会把自己加到这里面来。(6)双进程木马这种木马有两个进程组成,用户查杀时很困难,这两个进程相互监视,当一个进程被停掉以后,另外一个进程负责再生.第26页，共49页。1．流氓软件的预防第一，养成良好的电脑使用习惯。谨防共享软件中的流氓软件，安装共享软件时，别一路“next”到底，看清每一步，就会大大降低流氓软件安装的概率。第二，用杀毒软件和防火墙筑起一道城墙，过去杀毒软件和防火墙对于流氓软件是无能为力，最近随着流氓软件的猖獗，杀毒软件也都致力于流氓软件的防范。第三，努力避开使用IE核心浏览器。基于IE核心的浏览器是流氓软件前生发芽的沃土，IE新版本的推出，相信完全给我们带来福音。第27页，共49页。2、流氓软件的清除

工具清除：在安全模式下使用工具软件清除，各种工具(瑞星卡卡上网安全助手，超级兔子网络安全卫生、360安全卫生、windows流氓软件清理大师)联合查杀.

手动清除：在注册表中自启动项目中、RUN子键中删除。

1.注册表查找流氓软件的名称，删除;2.msconfig中启动组是否有不正常的启动项;3.进入安全模式，在安全模式下搜索流氓软件名，找到执行文件（有些为动态链接库）彻底删除他们。

使用XP自带的恶意程序扫描器:运行MRT.EXE

第28页，共49页。10.3常见杀毒软件的使用

第29页，共49页。10.4防火墙软件的使用在网络中“防火墙”是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。一般的防火墙都可以达到以下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设施；三是限定用户访问特殊站点；四是为监视Internet安全提供方便。第30页，共49页。10.5计算机病毒的手工清除手工清除病毒必须具备较强的操作系统的基础理论知识，特别要求对操作系统的系统文件、文件夹、自启动程序、系统进程和系统服务有较深入的了解，此外还必须对各种计算机病毒的基本原理和计算机病毒的特性有所了解。下面我们将介绍计算机病毒的手工清除方法。第31页，共49页。1.计算机病毒经常感染的系统路径

要清除病毒就必须明确计算机病毒喜欢呆的地方，下面就是病毒经常出没的地方.(1)C盘根目录C:\(2)Internet临时文件夹C:\DocumentsandSettings\a\LocalSettings\TemporaryInternetFiles可在开始/运行中输入%userprofile%(3)用户的临时文件夹C:\DocumentsandSettings\a\LocalSettings\Temp可通过开始/运行输入%temp%(4)程序文件夹C:\ProgramFiles

第32页，共49页。(5)IE浏览器文件夹C:\ProgramFiles\InternetExplorer(6)C:\ProgramFiles\InternetExplorer\ConnectionWizard(7)C:\ProgramFiles\CommonFiles(8)C:\WINDOWS(9)C:\WINDOWS\Prefetch(10)C:\WINDOWS\system32(11)C:\WINDOWS\system32\drivers(12)C:\WINDOWS\DownloadedProgramFiles，这个文件夹正常情况下是空的(13)C:\WINDOWS\Config这个文件夹正常情况下是空的第33页，共49页。2.如何发现病毒在系统中发现病毒必须要有一定的能力，必须对所使用的操作系统十分熟悉：(1)熟悉系统文件的命名规则；windows系统文件命名方法一般都有一定的意义，而病毒、木马一般长的比较恶心，如使用数字作为文件名1.exe等(2)仔细鉴别系统文件名称；大家在系统出现问题时通常打开任务管理器查看进程，看到如下进程：svchost.exeexplorer.exeiexplore.exewinlogon.exerundll32.exescvhost.exeexplore.exeiexplorer.exewinlogin.exerundl132.exe（3）熟悉常见windows系统文件所在位置（看清进程的路径）svchost.exe、rundll32.exe(c:\windows\system32)explorer.exe(c:\windows)iexplore.exe(c:\programfiles\internetexplorer)第34页，共49页。（4）时刻注意系统的运行异常情况，如系统是否突然变慢等（5）检查文件的建立时间；

通过建立时间可以发现病毒，病毒文件通常是当前日期。

（6）通过任务管理器（右击任务栏/任务管理器或按ctrl+alt+del）查看进程有无异常；看进程与用户名的匹配，哪些进程是用户的，哪些是系统的，一般来说有些进程是系统的，有些进程是用户的，如services.exe、winlogon.exe、lsass.exe、smss.exe其用户名为system，如果用户名为用户的，则很可能是木马。（7）备份正常系统文件夹下系统文件；有时木马病毒一般都隐藏在system32目录下，针对这一点我们可以在安装好系统和必要的应用程序后，对该目录下的EXE、DLL文件作一次记录，一旦发现异常，用同样的方法再做一次记录，然后比较文件有无变化。

第35页，共49页。第36页，共49页。（3）破坏病毒文件，使其无法运行使用暴力删除工具；使用其他手段破坏病毒文件；做软件限制策略禁止文件的运行；破坏病毒文件的方法可使用右键粉碎文件；使用命令破坏文件，开始/运行/CMD>ECHOPIG>a.exe，就破坏了a.exe，以后a.exe就不可执行了；移动文件位置，发现木马文件删除不掉时还可以通过移动文件（使用剪切/粘贴到其他位置），致使其调用不成功。（4）借助于软件如processexplorer、autoruns查木马第37页，共49页。4.使用软件限制策略预防木马病毒的方法：(1)C:\DocumentsandSettings\a\LocalSettings\TempC:\DocumentsandSettings\a\LocalSettings\TemporaryInternetFiles因为在下面两个临时文件夹中不可能有可执行文件，因此做这两个路径的路径规则来禁止这两个路径下文件运行，这样可禁止隐藏在这两条路径下病毒运行，另外也可通过删除这两个文件夹中的文件。(2)在C:\ProgramFiles\*.*做路径规则防止其下文件的运行,但不禁止其下子文件夹下文件的运行，记住该路径规则不能做C:\ProgramFiles，一定要C:\ProgramFiles\*.*，否则影响正常应用程序的运行。第38页，共49页。(3)在C:\ProgramFiles\CommonFiles做路径规则防止其下文件的运行。(4)做C:\WINDOWS\system32\drivers的路径规则，禁止其下文件的运行，因为该文件夹下是驱动文件没有可执行文件。(5)在C:\*.*做路径规则，因为在C盘根目录下一般只有NTDETECT.COM是应用程序，其他应该没有可执行文件，因此可先做NTDETECT.COM散列，在做C:\*.*路径防止C盘根目录下其他文件（病毒文件）运行。(6)在C:\WINDOWS\system下无可执行文件，有的木马将自身文件放在该文件夹下，做路径规则(7)C:\WINDOWS\DownloadedProgramFiles，C:\WINDOWS\Config这两个个文件夹正常情况下是空的，但这两个文件夹是木马流氓软件经常光顾的地方，因此对这两个文件夹做路径规则，不允许。第39页，共49页。(8)保护重要文件C:\WINDOWS\system32下的rundll32.exe应用程序，如果rundll32.exe在其他文件夹应为不正常，因此对该文件夹下的该文件先做散列，在做路径，做路径时使用通配符防止类似该文件的木马rund*32.*(9)还有一个explorer.exe是一个重要的系统文件，它正常应该在C:\WINDOWS下，很多病毒利用与explorer.exe类似的文件名来冒充系统文件，所以做策略时先做该文件的散列“不受限”，在做类似文件的路径规则，“不允许”(?ex*ore*.exe)(策略的刷新命令gpupdate)(10)用cmd/ktasklist/v>c:\1.txt将系统当前进程导出为文件c:\1.txt，当系统出现异常时，再查看进程看有无变化（没有启动新的应用程序的情况下），进而判断是否有木马进程启动。

第40页，共49页。附录:2007年十大计算机病毒木马介绍金山毒霸根据病毒危害程度、病毒感染率以及用户的关注度，计算出综合指数，最终得出以下十大病毒/木马为2007年最危险的病毒/木马。我们将病毒木马危害的种类分为：A.破坏用户系统，B.盗取用户信息，C.能进行自我传播D.广告行为E.下载其它木马

第41页，共49页。

危害程度：分5级，最高级为5。5级：具有上述四种及以上行为的病毒/木马

4级：具有上述任意三种行为的病毒/木马

3级：具有C行为加任意一种行为的病毒/木马

2级：具有ABC任意一种行为的病毒/木马

1级：具DE任意一种行为的病毒/木马

病毒感染率：该病毒在感染的计算机台数占总感染台数的比率。