第10章 计算机病毒防范技术2010-6-7

1计算机病毒防范技术第 10 章本章主要内容：计算机病毒的定义计算机病毒的类型计算机病毒的原理计算机病毒的防范210.1 计算机病毒概述1. 计算机病毒的概念p 计算机病毒（ Computer viruses）：是一段附着在其它程序上的可以实现自我繁殖的程序代码。p 病毒程序是专门修改其他宿主文件或硬盘的引导区，来复制自己的恶意程序。p 感染病毒的宿主文件就变成病毒再去感染其他文件。 3计算机病毒的命名方式病毒的命名并无统一的规定，基本都是采用前后缀法来进行命名。一般格式为： 前缀 .病毒名 .后缀 。以振荡波蠕虫病毒的变种 c“Worm. Sasser. c”为例， Worm指病毒的种类为蠕虫， Sasser是病毒名， c指该病毒的变种。（ 1）病毒前缀（ 2）病毒名（ 3）病毒后缀4计算机病毒的特点计算机病毒的特点根据对计算机病毒的产生、传播和破坏行为的分析，可以将计算机病毒概括为以下6 个主要特点。1. 可执行性2. 传染性3. 潜伏性4. 可触发性5. 针对性6. 隐蔽性 5计算机网络病毒p 计算机网络病毒是指利用网络进行传播的一类病毒的总称。p 网络病毒的特点：l 网络病毒使用网络协议进行传播，它们通常不修改系统文件或硬盘的引导区。l 计算机网络病毒感染客户机的内存，强制这些计算机向网络中发送大量信息，因而可能导致网络速度下降甚至瘫痪6计算机病毒的类型p 计算机病毒的分类：l 引导区型病毒l 文件型病毒（ 1）引导区型病毒的传播机理引导区型病毒利用在开机引导时窃取控制权，趁读写 U盘的时机读出 U盘引导区，把病毒写入 U盘第一个扇区，染毒的 U盘在软件交流中又会传播其他计算机。7（ 2）文件型病毒传播机理o 当执行被传播的 COM或 EXE可执行文件时，病毒便进驻内存，然后开始监视系统的运行。o 当它发现被传播的目标时，就对运行的可执行文件特定地址的标识位信息进行判断，看是否已感染了病毒；o 当条件满足，利用 int 13H 将病毒链接到可执行文件的首部或尾部，并存入磁盘中；o 完成传播后，继续监视系统的运行，并试图寻找新的攻击目标。8特种病毒 -木马p 木马程序：又称特洛伊木马，是一种非自身复制程序，p 木马程序不改变或感染其他的文件。p 后门程序是是恶意程序中的子程序，它使黑客可以访问到计算机系统，而不会让用户知道，很多木马程序就是后门程序。p 木马常常潜伏在操作系统中监视用户的各种操作，窃取用户的隐私信息，如 QQ、游戏账号，甚至网上银行的账号和密码等。p 木马类型：p 破坏型，密码发送型，远程访问型，键盘记录型， DOS攻击木马，代理木马， FTP木马。9特种病毒 -蠕虫p 蠕虫病毒：是一种复杂的自身复制代码，它完全依靠自身来传播，一般不寄生在其他文件或引导区中。p 蠕虫的典型传播方式是利用广泛使用的应用程序，如电子邮件、聊天室等。p 它利用操作系统和应用程序的漏洞主动进行攻击，每种蠕虫都包含一个扫描功能模块负责探测存在漏洞的主机，在网络中扫描到存在该漏洞的计算机后就马上传播出去。10木马和 蠕虫的区别o 木马：n 木马总是假扮成其他程序；n 木马依靠用户的信任去激活它；n 木马不对自身进行复制。o 蠕虫：n 蠕虫在后台暗中破坏；n 蠕虫从一个系统传播到另一个系统，而不需用户介入；n 蠕虫大量对自身进行复制1110.2 计 算机病毒的工作流程 计算机病毒的工作流程：1）传染源。病毒总是依附于某些存储介质 ,如 U盘、硬盘等，构成传染源。2）传染媒介。计算机网络 , 可移动的存储介质。3）病毒激活。是指将病毒装入内存 , 并设置触发条件。4）病毒触发。触发的条件是多样化的 , 可以是内部时钟 ,系统的日期 , 用户标识符，也可能是系统一次通信等。5）病毒表现。表现是病毒的主要目的之一 , 有时在屏幕显示出来 , 有时则表现为破坏系统数据。6）传染。 病毒复制一个自身副本到传染对象中。 1210.3 计算机病毒的检测（ 1）特征代码法n 采集已知病毒样本n 在病毒样本中，抽取特征代码n 打开被检测文件，在文件中搜索病毒特征代码特征代码法的 特点 ：l 速度慢l 误报率低l 不能检查多形性病毒l 不能对付隐蔽性病毒13（ 2）校验和法p 计算文件的校验和，并保存。p 定期地或每次使用文件前，比较文件当前校验和与原校验和是否一致。p 优点 ：方法简单，能发现未知病毒、被查文件的细微变化也能发现。p 缺点 ：会误报警、不能识别病毒名称、不能对付隐蔽型病毒。14（ 3）行为监测法p 利用病毒的特有行为特征来监测病毒的方法，p 能够作为监测病毒的行为特征如下：l 占有 INT 13Hl 对 COM、 EXE文件做写入动作l 病毒程序与宿主程序的切换p 优点 ：可发现未知病毒。p 缺点 ：可能误报、不能识别病毒名称、实现时有一定难度。15计算机病毒的防范o 计算机内要运行实时的病毒监控软件和防火墙软件o 要及时的升级杀毒软件的病毒库o 下载补丁o 不要打开来历不明的有附件邮件o 尽量不要共享文件或数据 o 对重要的数据和文件做好备份 1610.4 计 算机病毒的 发 展 趋势2. 网络防病毒产品的发展趋势：1）反黑与反病毒相结合2）从入口拦截病毒3）全面解决方案4）客户化定制5）区域化到国际化1计算机病毒的新特征p 利用微软漏洞主动传播 p 局域网内快速传播 p大量消耗系统与网络资源 p用即时工具传播病毒 p 病毒与黑客技术的融合 p 应用软件漏洞17恶意软件恶意软件也称恶意代码，具有扰乱社会和用户，干扰破坏正常操作功能的代码程序。根据不同的特征和危害，恶意软件主要有：（ 1） 广告软件（ 2） 间谍软件（ 3） 浏览器劫持（ 4） 行为记录软件（ 5） 恶意共享软件18恶意软件的危害：（ 1） 强制弹出广告软件（ 2） 浏览器劫持（恶意网站）（ 3） 后台记录（ 4） 强制改写系统文件恶意软件的清除：主要利用恶意软件清除工具进行清除，如超级巡警病毒分析的工具、恶意软件清理助手、超级兔子、 Windows优化大师、金山清理专家等。19病毒防治实例 -VBS.KJ病毒o VBS.HappyTime，欢乐时光病毒：n 是一个感染 html/htm,jsp,vbs,php,asp的脚本病毒；n 采用 VBScript语言编写，在互联网上通过电子邮件传播，可也通过文件感染；n 感染后的机器系统资源大量消耗，速度变慢；n 利用 Windows的 “资源管理器 ”进行寄生和感染。o VBS.KJ病毒：n 每次感染都会进行一次变形，可避开普通的特征码匹配查找方法；n 不主动发送电子邮件，而是 OutLook的设置，采用html格式的信纸来拟定邮件，病毒感染全部信纸，当发送邮件时病毒会附在邮件中；n 感染 html/htm,jsp,vbs,php,asp等格式的文件，但不会删除系统文件。20VBS.KJ的工作流程1。病毒生成和修改文件n 在每个检查到的文件夹下生成 desktop.ini 和folder.htt文件 ;n 在 C:windowssystem32中生成 kjwall.gifn 在 windows 2K/XP的 windowssystem中生成 kernel.dll文件 ;n 感染 htt文件，将病毒附加在其中，感染html/htm,jsp,vbs,php,asp，用病毒替换其内容。21o 2。注册表修改n 在HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrun下增加 kernel32键值，使病毒随系统启动 ;n 修改 HKEY_CKASSES_ROOTdllfile，改变 dll文件的打开方式 ;n 修改PRENT_USERIdentitiesn 修改HKEY_CURRENT_USERsoftwaremicrosoftoffice10.0outlookoptionsmail相关内容，使outlook XP采用信纸来撰写邮件。22感染 VBS.KJ的症状o 在注册表的HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrun下存在 kernel32键值，并指向kernel.dll或 kernel32.dll文件。o 系统中大量存在 desktop.ini 和 folder.htt文件。o 在 C:windowssystem32中存在kjwall.gif文件。23清除 VBS.KJ病毒1。使用新版杀毒软件2。手工清除方法n 参考其他机器，恢复注册表中相关项。n 参考其他机器，恢复 windowsweb中的folder.htt文件n 删除 kernel.dll或 kernel32.dll文件， kjwall.gif文件 。n 查找所有存在 KJ_start字符串的文件，删除文件尾部的病毒代码24病毒防治实例 -狙击波病毒o 狙击波病毒（ Worm.Zotob）是最早利用微软漏洞攻击计算机的蠕虫病毒。o 微软的 “即插即用 ”功能存在未经检查的缓冲区，通过向目标系统的 445端口发送漏洞代码，使目标系统造成缓冲区举出，同时运行病毒代码，进行传播。25狙击波病毒的工作过程（ 1）病毒启动后，将自己复制到系统目录中，病毒文件名为 botzor.exe.（ 2）在注册表中添加下列启动项：n HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrun下设置 ”windows system”=botzor.exen HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrunservices下设置”windows system”=botzor.exe（ 3）感染时，病毒采用 IP扫描的方式在网络中寻找具有漏洞的系统，连接系统 445端口，并植入一个远程 SHELL，利用 FTP从远程将病毒文件下载到本地。（ 4）如果攻击失败，则造成类似冲击