搜索
第4章计算机病毒与木马计算机病毒概述4.1计算机病毒的危害4.2计算机病毒的检测与防范4.3木马攻击与分析4.4木马的攻击防护技术4.5本章学习要点掌握计算机病毒的定义、分类和结构掌握计算机病毒的表现以及与计算机故障的区别了解常见的计算机病毒的特点和检测技术掌握木马的定义、分类了解常见的木马应用和防护方法4.1计算机病毒概述4.1.1计算机病毒的起源4.1.2计算机病毒的定义计算机病毒一词是从生物医学病毒概念中引申而来的。在生物界,病毒(Virus)是一种没有细胞结构、只有由蛋白质的外壳和被包裹着的一小段遗传物质两部分组成的、比细菌还要小的病原体生物,如大肠杆菌、口蹄疫、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒等。绝大多数的病毒只有在显微镜下才能看到,而且不能独立生存,必须寄生在其他生物的活细胞里才能生存。由于病毒利用寄主细胞的营养生长和繁殖后代,因此给寄主生物造成极大的危害。计算机病毒之所以被称为病毒,是因为它们与生物医学上的病毒有着很多的相同点。例如,它们都具有寄生性、传染性和破坏性。我们通常所说的计算机病毒应该是为达到特殊目的制作和传播的计算机代码或程序,简单说就是恶意代码。有些恶意代码会像生物病毒寄生在其他生物细胞中一样,它们隐藏和寄生在其他计算机用户的正常文件中伺机发作,并大量复制病毒体,感染计算机中的其他正常文件。很多计算机病毒也会像生物病毒给寄主带来极大伤害一样,给寄生的计算机造成巨大的破坏,给人类社会造成不利的影响,造成巨大的经济损失。同时,计算机病毒与生物病毒也有很多不同之处,例如,计算机病毒并不是天然存在的,它们是由一些别有用心的人利用计算机软硬件所固有的缺陷有目的地编制而成的。从广义上讲,凡是人为编制的、干扰计算机正常运行并造成计算机软硬件故障,甚至破坏计算机数据的、可自我复制的计算机程序或指令集合都是计算机病毒。在《中华人民共和国计算机信息系统安全保护条例》中明确定义,病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。计算机病毒具有非法性、隐蔽性、潜伏性、触发性、表现性、破坏性、传染性、针对性、变异性和不可预见性。单独根据某一个特性是不能判断某个程序是否是病毒的。例如“触发性”,很多应用程序都具有一定的触发性,如杀毒软件可以在满足一定条件下自动进行系统的病毒扫描,但是并不能说它就是病毒,而且恰恰相反,它是病毒的防护软件。因此,必须对病毒的特性有一个全面的了解,下面对病毒的主要特性进行简单的介绍。1.非法性2.隐藏性3.潜伏性4.可触发性5.破坏性6.传染性4.1.3计算机病毒的分类(1)按照计算机病毒攻击的系统分类①攻击DOS系统的病毒②攻击Windows系统的病毒③攻击UNIX系统的病毒(2)按照计算机病毒的链接方式分类①源码型病毒②嵌入型病毒③外壳型病毒④操作系统型病毒(3)按照计算机病毒的破坏情况分类①良性计算机病②恶性计算机病毒(4)按照计算机病毒的传染性分类①磁盘引导区传染的计算机病毒②操作系统传染的计算机病毒③可执行程序传染的计算机病毒(5)按照计算机病毒激活的时间分类定时型病毒随机型病毒(6)按照传播媒介分类单机病毒网络病毒4.1.4计算机病毒的结构1.计算机病毒的程序结构计算机病毒引导模块传染模块表现、破坏模块图4.1计算机病毒的程序结构图2.计算机病毒的存储结构(1)病毒的磁盘存储结构(2)病毒的内存驻留结构4.2计算机病毒的危害4.2.1计算机病毒的表现当计算机病毒发作时一般会出现一些发作现象,只有根据计算机病毒的发作现象,才可能及时发现并清除病毒。这些常见的发作现象包括以下几个方面。①计算机运行速度的变化。主要现象包括计算机的反应速度比平时迟钝很多;应用程序的载入比平时要多花费很长的时间;开机时间过长。②计算机磁盘的变化。主要现象包括对一个简单的磁盘存储操作比预期时间长很多;当没有存取数据时,硬盘指示灯无缘无故地亮了;磁盘的可用空间大量地减少;磁盘的扇区坏道增加;磁盘或者磁盘驱动器不能访问。③计算机内存的变化。主要现象包括系统内存的容量突然间大量地减少;内存中出现了不明的常驻程序。④计算机文件系统的变化。主要现象包括可执行程序的大小被改变了;重要的文件奇怪地消失;文件被加入了一些奇怪的内容;文件的名称、日期、扩展名等属性被更改;系统出现一些特殊的文件;驱动程序被修改导致很多外部设备无法正常工作。⑤异常的提示信息和现象。主要现象包括出现不寻常的错误提示信息,例如出现“writeprotecterrorondriverA”,表示病毒试图存取软盘进行感染,再如访问C盘时,提示“NotreadyerrordriveAabort,Retry,Fail?”。开机之后几秒钟突然黑屏;无法找到外部设备,如无法检索到计算机硬盘;计算机发出奇怪的声音;计算机经常死机或者重新启动;启动应用程序时出现错误提示信息对话框;菜单或对话框的显示失真。4.2.2计算机故障与病毒特征区别计算机可能存在一些硬件故障导致无法正常使用,这些硬件故障范围不是很广泛,容易被确认。(1)计算机硬件的配置(2)硬件的正常使用(3)CMOS的设置除了硬件故障,计算机的软件故障也会导致计算机无法正常使用。由于软件类型复杂多样,因此软件故障的判别比较困难,这需要多了解软件的知识和掌握软件的使用技巧。这里给出几种常见的导致软件故障的原因。(1)丢失文件(2)文件版本不匹配(3)资源耗尽(4)非法操作4.2.3常见的计算机病毒1.早期的DOS病毒图4.2毛毛虫病毒2.引导型病毒图4.3小球病毒3.文件型病毒文件型病毒是指能够寄生在文件中的以文件为主要感染对象的病毒。这类病毒主要感染可执行文件或者数据文件。文件型病毒是数量最为庞大的一种病毒,它主要分为伴随型病毒、“蠕虫”型病毒和寄生型病毒几种。4.蠕虫病毒蠕虫(Worm)病毒是一种通过网络传播的恶意病毒。它的出现比文件病毒、宏病毒等传统病毒晚,但是无论是传播速度、传播范围还是破坏程度都要比以往传统的病毒严重得多。5.木马病毒木马又称作特洛伊木马,将在后面进行详细的介绍。在这里首先简单地介绍一种木马,它就是证券大盗木马病毒。该木马可以盗取多家证券交易系统的交易账户和密码。这种木马病毒是如何实现自己的不良目的的呢?首先,病毒运行后将创建自己的副本于Windows的系统目录下,文件名为System32.exe,如图4.18所示。图4.18病毒文件副本的建立4.3计算机病毒的检测与防范4.3.1文件型病毒对文件型病毒的防范,一般采用以下一些方法。①安装最新版本、有实时监控文件系统功能的防病毒软件。②及时更新病毒引擎,一般每月至少更新一次,最好每周更新一次,并在有病毒突发事件时立即更新。③经常使用防毒软件对系统进行病毒检查。④对关键文件,如系统文件、重要数据等,在无毒环境下经常备份。⑤在不影响系统正常工作的情况下,对系统文件设置最低的访问权限。4.3.2引导型病毒对引导型病毒的防范,一般采取如下措施。①尽量避免使用软盘等移动设备保存和传递资料,如果需要使用,则应该先对软盘中的文件进行病毒的查杀。②软盘用完后应该从软驱中取出。③避免在软驱中存有软盘的情况下开机或者启动操作系统。4.3.3宏病毒对宏病毒进行防范可以采取如下几项措施。①提高宏的安全级别。目前,高版本的Word软件可以设置宏的安全级别,在不影响正常使用的情况下,应该选择较高的安全级别。②删除不知来路的宏定义。③将Normal.dot模板进行备份,当被病毒感染后,使用备份模板进行覆盖。4.3.4蠕虫病毒针对蠕虫病毒传播方式的特点,对其进行防范需要以下的一些措施。①用户在网络中共享的文件夹一定要将权限设置为只读,如图4.22所示,而且最好对重要的文件夹设置访问账号和密码。图4.22设置文件夹的权限②要定期检查自己的系统内是否具有可写权限的共享文件夹,如图4.23所示,一旦发现这种文件夹,需要及时关闭该共享权限。图4.23检查共享文件夹③要定期检查计算机中的账户,看看是否存在不明账户信息。一旦发现,应该立即删除该账户,并且禁用Guest账号,如图4.24所示,防止被病毒利用。图4.24检查计算机中的用户账户④给计算机的账户设置比较复杂的密码,防止被蠕虫病毒破译。⑤购买主流的网络安全产品,并随时更新。⑥提高防杀病毒的意识,不要轻易单击陌生的站点。⑦不要随意查看陌生邮件,尤其是带有附件的邮件。4.4木马攻击与分析4.4.1木马背景介绍4.4.2木马的概述特洛伊木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,它具备破坏和删除文件、发送密码、记录键盘和用户操作、破坏用户系统,甚至使系统瘫痪的功能。木马可以被分成良性木马和恶性木马两种。良性的木马本身没有什么危害,关键在于控制该木马的是什么样的人。如果是恶意的入侵者,那么木马就是用来实现入侵目的的;如果是网络管理员,那么木马就是用来进行网络管理的工具。恶性木马则可以隶属于“病毒”家族了,这种木马被设计出来的目的就是进行破坏与攻击。目前很多木马程序在互联网上传播,它们中的很多与其他病毒相结合,因此也可以将木马看作是一种伪装潜伏的网络病毒。如果机器有时死机,有时又重新启动;在没有执行什么操作的情况下,拼命读写硬盘;系统莫明其妙地对软驱进行搜索;没有运行大的程序,而系统的速度越来越慢,系统资源占用很多。用任务管理器调出任务表,发现有多个名字相同的程序在运行,而且可能会随时间的增加而增多,这时就应该查一查系统,是不是有木马在计算机里安家落户了。1.特洛伊木马与病毒的区别2.特洛伊木马的种植3.特洛伊木马的行为4.4.3木马的分类1.远程控制木马2.密码发送木马3.键盘记录木马4.破坏性质的木马5.DoS攻击木马6.代理木马7.FTP木马4.4.4木马的发展4.5木马的攻击防护技术4.5.1常见木马的应用前面介绍了木马的发展经历了四代,第一代木马功能简单,主要针对UNIX,而Windows系统木马数量不多。从第二代木马开始,木马的功能已经十分强大,并且可以进行各种入侵操作了。这里对几种危害巨大的木马进行基本的介绍,通过后面的实训更好地了解木马的运行和防范。“灰鸽子”是国内一个著名的后门程序,灰鸽子变种木马运行后,会自我复制到Windows目录下,并自行将安装程序删除;修改注册表,将病毒文件注册为服务项,实现开机自启。木马程序还会注入所有的进程中,隐藏自我,防止被杀毒软件查杀;自动开启IE浏览器,以便与外界进行通信,侦听黑客指令,在用户不知情的情况下连接黑客指定站点,盗取用户信息、下载其他特定程序。“灰鸽子2007”(Win32.Hack.Huigezi),该病毒是2007年的新的灰鸽子变种,它会利用一些特殊技术,将自身伪装成计算机上的正常文件,并能躲避网络防火墙软件的监控,使其难以被用户发现。此外,黑客可以利用控制端对受感染计算机进行远程控制,并进行多种危险操作,包括查看并获取电脑系统信息,从网上下载任意的指定恶意文件,记录用户键盘和鼠标操作,盗取用户隐私信息,如QQ、网游和网上银行的账号等有效信息,执行系统命令,关闭指定进程等。如果它发现用户的计算机上安装有摄像头,还会自动将其开启并将拍摄的屏幕画面发送给黑客。不但影响用户电脑系统的正常运作,而且会导致用户的网络私人信息和数据的泄露。该病毒运行后,会将自身伪装为系统正常进程Winlogon.exe,并释放WinLogon.dll另一个病毒文件。它会在计算机系统里添加一个名字为gs2007的伪Windows安全登录程序。同时在受感染的机器上开启端口,当成功连接黑客的控制端后,黑客便可以完全控制受感染的电脑。4.5.2木马的加壳与脱壳虽然木马的功能非常强大,甚至使得入侵者可以为所欲为,但是有了良好的杀毒工具,木马难免会被查杀。对于网络的管理员来说,并不是经过杀毒软件扫描的程序就一定不是木马,因为入侵者有可能会利用一些技术对木马进行修改,这里介绍的就是木马的加壳与脱壳技术。一个程序写完后,并不是把写好的程序直接提供给用户使用,而是需要通过一些软件对