搜索
病毒知识和防病毒技术目录第一章:病毒基础知识第二章:计算机病毒的传播途径第三章:建立有效的病毒防范管理机制第四章:建立有效的应急响应机制第五章:防病毒技术介绍第六章:防病毒相关服务第七章:天融信防病毒过滤网关介绍附录一:主机的病毒防治附录二:重点病毒实例详解第一章:病毒基础知识1.1计算机病毒定义1.2计算机病毒的特性1.3病毒历史及发展趋势的演变1.4典型病毒的结构1.5计算机病毒的分类1.6计算机病毒的危害1.7计算机病毒的触发方式1.8感染计算机病毒后的现象1.9目前病毒新技术和新特点广义定义:能够引起计算机故障,破坏计算数据的程序统称为计算机病毒。标准定义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。1.1计算机病毒定义•传染性:正常的计算机程序一般是不会将自身的代码强行连接到其它程序上,而计算机病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。•隐蔽性:病毒通常附在正常程序中或磁盘隐蔽处,与正常程序通常是难以区分的。1.2计算机病毒的特性•潜伏性:大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才会运行。•破坏性:任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的破坏和影响。•不可预见性:从对病毒的检测方面来看,病毒还有不可预见性。1.3病毒历史及发展趋势的演变计算机病毒年表年代病毒情况1977“磁芯大战”游戏,三个在AT&T贝尔实验室工作的年轻人工作之余编写出能够吃掉对方程序的程序进行互相攻击。1983南加州大学的在读博士生弗雷德.科恩出于实验的目的编写了一个会引起UNIX系统死机的程序,在不到一个小时内传播到系统的各个部分。次年,科恩公开提出了计算机病毒的概念——计算机病毒是一段程序,它通过修改其它程序再把自身拷贝嵌入而实现对其它程序的传染。1987C-BRAIN,业界公认的第一个真正具备完整特征的计算机病毒,巴基斯坦的两兄弟编写这个病毒程序用来防止软件被任意盗拷,发作后将盗拷者的硬盘剩余空间给吃掉。1.3病毒历史及发展趋势的演变计算机病毒年表年代病毒情况1988“莫里斯蠕虫”,美国国家安全局前任首席网络安全专家鲍勃·莫里斯的儿子RobertMorris利用UNIX的一个系统漏洞开发出,导致6000多台联网的计算机瘫痪并损坏了因特网,全美各大科研机构与实验室的网络全面瘫痪,造成9600万美元损失。1989“Stone(石头)”病毒,能感染硬盘和软盘的引导区,计算机病毒开始猖獗(首次蔓延至中国)1991美军第一次将计算机病毒攻击作为一种实战用于海湾战争,并且取得了极大的成功。1992多态型病毒出现;病毒生产工具VCL出现:病毒生成从手工进入自动化生产阶段;出现首例windows病毒.1995出现能够变换自身代码的变形病毒年代病毒情况1996出现针对微软件办公软件Office的宏病毒1997出现了采用JAVA、ACTIVE技术的恶意程序1998CIH病毒,台湾省的陈盈豪编写,发作时间是每月26日,破坏个人计算机主板上的BIOS芯片,而且感染力甚强,可依附在其他程序上面通过网络进行传播,网上受害的计算机不计其数,轻者信息丢失,重者主机板被毁。1999“梅利莎”宏病毒,隐藏在微软Word97/2000格式的文件里,感染通用模板NORMAL.DOT,当用户上网运行OUTLOOK时,它会从电子邮件地址本里选择前50个地址,将病毒文档发送出去,导致邮件系统堵塞,网络瘫痪,大量涉密信息被泄露。年代病毒情况2000“爱虫”病毒(LOVELETTER邮件主题ILOVEYOU)从亚洲地区开始迅速在全球大面积传播,用户只要打开这类邮件的附件,病毒就会自我复制并通过电子邮件的地址簿转发出去。导致邮件系统变慢,并很可能导致整个网络系统崩溃。同时还会在用户电脑里留下一个名为WIN-BUGSFIX.EXE的程序,用以偷窃用户密码,并通过E-mail发送给攻击者。2000在波兰出现的“罗密欧与朱丽叶”病毒改写了病毒的历史,它不再藏身于电子邮件的附件中,而是直接存在于邮件正文中,一旦计算机用户用Outlook打开邮件进行阅读,病毒就会立即发作,并将复制出的新病毒通过邮件发送给其他人,计算机用户几乎无法躲避。2001CodeRed蠕虫,在爆发后的9小时内就攻击了25万台计算机。通过微软公司的IIS服务的IndexingService中的缓冲区溢出漏洞进行传播。随后几个月内产生了威力更强的几个变种。年代病毒情况2001复合型蠕虫病毒“尼姆达”Nimda在互联网上肆虐,反过来读就是“admin”。大规模的邮件发送导致网络阻塞甚至瘫痪,同时病毒用自身的文件代替系统中的正常文件,改变系统的安全设置,导致系统出现重大安全隐患、无法正常工作甚至宕机。2002“求职信”病毒,有自己的SMTP引擎,即便被感染电脑上没有安装Outlook这类客户端电邮软件,病毒也能自我扩散。可以通过电子邮件、局域网共享目录、磁盘传播等等多种途径进行传播感染,并能自动获取用户地址薄中的信息乱发邮件,甚至每次发送的病毒邮件主题和内容都是随机的,危害程度极大。2003SQLSlammer蠕虫,针对MicrosoftSQLServer2000和MicrosoftDesktopEngine(MSDE)2000的缓冲区溢出漏洞。该蠕虫发送长度为376字节的包到UDP1434端口,即SQL服务器的解析服务端口。遭受攻击的网络会严重壅塞,网络的速度受到影响。年代病毒情况2003“冲击波”蠕虫(Blaster),不停地利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,找到后就利用DCOMRPC缓冲区漏洞攻击该系统,一旦攻击成功,病毒体将会被传送到对方计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。系统每次重新启动后,该蠕虫都能自动运行。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。2004震荡波蠕虫(Sasser),利用Windows平台的Lsass(本地安全验证子系统服务)漏洞进行传播,通过在已被感染的机器上开启TCP端口5554建立FTP服务器,并通过TCP445端口扫描随机的IP,开启128个线程向连接成功的机器发动攻击,进一步感染其它机器。可造成机器运行缓慢、网络堵塞,并让系统不停的进行倒计时重启、上网只能持续很短时间就无法浏览甚至断网。病毒发展演变趋势图典型的计算机病毒一般由三个功能模块组成,即:引导模块,传染模块,破坏模块。但是,不是所有的病毒均由此结构组成,如有的甚至没有病毒体(即病毒文件),只驻留于内存。1.4典型病毒的结构引导模块:将病毒主体导入内存并为传染模块提供运行环境。传染模块:将病毒代码传到其它的载体上去.一般情况下传染模块分为两部分,前部是一个条件判别程序,后部才是传染程序主体。破坏模块:同传染模块一样,破坏模块也带有条件判别部分,因病毒均有潜伏期,破坏模块只在符合条件时才进行活动。1.5计算机病毒的分类按照通常习惯分为以下几种:A)引导型B)文件型C)脚本病毒D)宏病毒E)蠕虫病毒F)木马病毒G)逻辑炸弹引导型病毒1.感染目标:硬盘或是可移动存储设备(例如软盘)的主引导区。2.传播途径:通过软盘,光盘等介质进行传播3.典型病毒:Stone文件型病毒1.感染目标:通过可执行的文件感染目标系统文件2.传播途径:各种存储介质,网络共享,电子邮件3.特点:把自己加载到可执行文件中,例如:WORD、电子表格、电脑游戏。当病毒感染了一个程序后,它就会自我复制去感染系统中的其他程序,或者是其他通过共享使用了被感染文件的系统。此外,病毒还会驻留在系统内存中,以至于一旦有新的程序运行就会被病毒感染。病毒的另一种感染方式是通过修改程序运行时所执行文件的顺序而不是修改程序运行的文件本身。4.典型病毒:幽灵王脚本语言:脚本语言是介于HTML和Java、C++和VisualBasic之间的语言。它的语法和规则没有可编译的编程程序那样严谨和复杂。脚本病毒就是指在脚本语言中加入病毒代码,利用网页的等脚本载体传播的病毒。脚本型病毒宏病毒MicrosoftWord中对宏定义为:“宏就是能组织到一起作为一独立的命令使用的一系列Word命令,它能使日常工作变得更容易。”感染目标:把自己加载到WORD和电子表格中,利用宏语言编写的应用程序来运行和繁殖传播途径:各种存储介质,网络共享,电子邮件;蠕虫病毒蠕虫是指具有通过网络进行自我繁殖功能的程序,传染机理是利用网络和电子邮件进行复制和传播。这一病毒利用了操作系统和应用软件的漏洞,计算机感染这一病毒后,会不断自动上网,并利用文件中的地址信息或者网络共享进行传播和网络攻击。构成:传播模块:负责蠕虫的传播隐藏模块:侵入主机后,隐藏蠕虫程序,防止被用户发现目的功能模块:实现对计算机的控制、监视或破坏等功能传播过程:扫描:探测存在漏洞的主机,当收到成功反馈后,就得到传播对象。攻击:攻击模块按漏洞攻击步骤自动攻击找到的对象,取得该主机权限(一般为管理员权限),获得一个shell。复制:复制模块通过原主机和新主机的交互将蠕虫复制到新主机并启动。木马病毒特洛伊木马病毒,也叫后门病毒,通过一套隐藏在合法程序中的命令,指示计算机进行不合法的运作。换句话说就是指采用正常用户无法察觉的方法潜入到对方内部实施某种破坏(盗窃)行为。木马程序的本质就是一个远程控制软件。危害:发送指令来传输和修改文件。发动DdoS(拒绝服务)攻击。只是为了隐藏恶意进程的痕迹。用于收集信息,例如被感染电脑的密码,还可以把收集到的密码列表发送互联网中一个指定的邮件帐户中。逻辑炸弹指被设置在合法程序中,通过事件或条件引发后,会破坏程序和数据的子程序段。新出现的病毒JAVA等网页病毒;利用P2P软件传播的病毒;PDA等掌上电脑病毒;手机病毒等。按其它分类方式划分按照计算机病毒的破坏性质分类:1.良性病毒2.恶性病毒1.造成数据毁坏、丢失;2.破坏系统如硬盘、主板等硬件;3.影响网络正常功能,甚至网络瘫痪;4.破坏系统软件;5.为系统留“后门”,为黑客窃取数据提供途径;6.降低计算机系统性能。1.6计算机病毒的危害年份病毒名称感染数量损失金额(美元)2000爱虫88亿2001尼姆达8百万台60亿2001红色代码1百万台26亿2002求职信6百万台90亿2003SQLSlammer20万台约9.5-12亿2003冲击波140万台损失还在继续近年病毒爆发的情况及损失1.特定日期或时间触发;2.感染触发;3.键盘触发;4.启动触发;5.访问磁盘次数触发;6.CPU型号/主板型号触发。1.7计算机病毒的触发方式1.8感染计算机病毒后的现象1.计算机启动和运行与速度以往相比明显减慢;2.文件莫名其妙有丢失;3.在系统异常重启和出现异常错误;4.键盘、打印、显示有异常现象;5.有特殊文件自动生成;6.磁盘空间自动产生坏簇或磁盘空间减少;7.没做写操作时出现“磁盘有写保护”信息;8.在系统进程中出现可疑的进程;9.在启动项中发现可疑启动项;10.网络数据流出现异常或出现大量有共性的异常数据包。1.密码破解技术应用此技术的病毒可对win2000以上的操作系统的密码进行破解。此类病毒一般会带有约几百单词数量(有时会更大的)的字典库,可对“弱口令”进行破解,因此需要至少六位的数字字母混合的系统口令。例:爱情后门病毒(Worm.Lovgate)1.9目前病毒新技术和新特点2.漏洞技术利用操作系统和软件系统(主要是微软的软件系统)漏洞进行攻击;即发送不正常的数据包,使获得的系统出现错误,从而使病毒夺取对方电脑的控制权。例:冲击波利用rpc漏洞,震荡波利用LSASS漏洞3.端口监听技术(原多见于木马程序)Worm_Netsky.Y(“网络天空”病毒变种,又称Moodown.y)病毒利用自身的SMTP发信引擎来发送病毒邮件,监听82端口,允许远程攻击者发送并执行可执行文件,可自动下载并执行新的病毒