计算机病毒的防治.ppt

1、目录,一、网络安全现状及病毒发展趋势 二、病毒基础知识 三、计算机病毒的传播途径 四、建立有效的病毒防范管理机制 五、建立有效的应急响应机制 六、防病毒技术介绍 七、常见病毒的技术原理与解决方法,一、网络安全现状及病毒发展趋势,新的威胁和攻击动机促成了新的保护技术,终端安全威胁演化的进程,好奇,犯罪,1986,2006,防病毒,IPS (主机),IPS (网络),设备控制,应用控制,防间谍软件,物质收益,名声,攻击的动机,威胁的种类,防火墙,从漏洞变为蠕虫的周期在不断缩短, Foundstone, 2007 (represents automated worms January 1999 th

2、rough May 2008),Melissa Sadmind,Sonic,Bugbear Code Red Nimda,Spidar Slammer Slapper,Blaster Welchia Nachi,Witty Sasser,二、病毒基础知识,2.1 计算机病毒定义 2.2 计算机病毒的特性 2.3 典型病毒的结构 2.4 计算机病毒的分类 2.5 计算机病毒的危害 2.6 感染计算机病毒后的现象 2.7 目前病毒新技术和新特点,广义定义: 能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。 标准定义： 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据

3、，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,2.1 计算机病毒定义,传染性： 正常的计算机程序一般是不会将自身的代码强行连接到其它程序上，而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。 隐蔽性： 病毒通常附在正常程序中或磁盘隐蔽处，与正常程序通常是难以区分的。,2.2 计算机病毒的特性,潜伏性：大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。 破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。 不可预见性：从对病毒的检测方面来看，病毒还有不可预见性。,2.2 计算机

4、病毒的特性(续),典型的计算机病毒一般由三个功能模块组成，即：引导模块，传染模块，破坏模块。 但是，不是所有的病毒均由此结构组成，如有的SQL甚至没有病毒体（即病毒文件），只驻留于内存。,2.3 典型病毒的结构,引导模块：将病毒主体导入内存并为传染模块提供运行环境。 传染模块：将病毒代码传到其它的载体上去.一般情况下传染模块分为两部分，前部是一个条件判别程序，后部才是传染程序主体。 破坏模块：同传染模块一样，破坏模块也带有条件判别部分，因病毒均有潜伏期，破坏模块只在符合条件时才进行活动。,2.3 典型病毒的结构,2.4 计算机病毒的分类,按照通常习惯分为一下几种： A）引导型 B）文件型 C）

5、脚本病毒 D）儒虫病毒 E）木马病毒 F）逻辑炸弹,引导型病毒,1感染目标：通过文件感染硬盘的引导区部分； 2传播途径：通过软盘,光盘等介质进行传播； 3典型病毒：Stone,文件型病毒,1感染目标：通过可执行的文件感染目标系统文件； 2传播途径：各种存储介质，网络共享，电子邮件； 3. 典型病毒：幽灵王,脚本语言: 脚本语言是介于HTML和Java、C+和Visual Basic之间的语言。它的语法和规则没有可编译的编程程序那样严谨和复杂。 脚本病毒就是指在脚本语言中加入病毒代码，利用网页的等脚本载体传播的病毒。,脚本型病毒,宏病毒,MicrosoftWord中对宏定义为：“宏就是能组织到一

6、起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更容易。” 感染目标：通过可执行的文件感染目标系统文件； 传播途径：各种存储介质，网络共享，电子邮件；,蠕虫病毒,蠕虫是指具有通过网络进行自我繁殖功能的程序，传染机理是利用网络和电子邮件进行复制和传播。这一病毒利用了微软视窗操作系统或者其他软件系统的漏洞，计算机感染这一病毒后，会不断自动上网，并利用文件中的地址信息或者网络共享进行传播和网络攻击。 不管蠕虫的“行为方式”（它们进入计算机后要做的事情）有多少种，其“传播方式”却仅仅有屈指可数的几种：电子邮件、网页代码、社会工程学以及系统漏洞等。,木马病毒,特洛伊木马病毒，也叫黑客程序或

7、后门病毒，病毒通过一套隐藏在合法程序中的命令，指示计算机进行不合法的运作。换句话说就是指采用正常用户无法察觉的方法潜入到对方内部实施某种破坏（盗窃）行为。木马程序的本质就是一个远程控制软件：远程控制软件是在远方机器知道，允许的情况下，对远方机器进行远程控制的软件。,逻辑炸弹,指被设置在合法程序中，通过事件或条件引发后，会破坏程序和数据的子程序段。,新出现的病毒,JAVA等网页病毒； 利用P2P软件传播的病毒； PDA等掌上电脑病毒； 手机病毒等。,网银病毒的前身键盘记录器 升级了的“键盘记录器” 网银大盗 网银病毒的成熟“网银大盗IV” 该病毒不但可以偷盗网上银行个人用户的账号与密码，甚至还可

8、以偷取用户数字证书。这个病毒的出现，表明网银病毒已经发展到了成熟阶段。,网银病毒,网银病毒变化多端表妹小燕 “表哥你好吗?” “表哥：你好!你这几年在上海过得好吗？身体好吗？知道我是谁吗？先不告诉你，看了我的相片你就知道了，嘻嘻。收到我的Email很惊奇吗？很高兴吗？我是从你的同学施华军那儿知道你的Email地址的，我和他是在倩倩的生日party上遇到的。他说你找了一个上海的女孩子，是不是呀？真的得好好祝福你哟!”,造成数据毁坏、丢失； 破坏系统如硬盘、主板等硬件； 影响网络正常功能，甚至网络瘫痪； 破坏系统软件； 为系统留“后门”，为黑客窃取数据提供途径； 降低计算机系统性能。,2.5计算机

9、病毒的危害,2.6 感染计算机病毒后的现象,计算机启动和运行与速度以往相比明显减慢； 文件莫名其妙有丢失； 在系统异常重启和出现异常错误； 键盘、打印、显示有异常现象； 有特殊文件自动生成；,磁盘空间自动产生坏簇或磁盘空间减少; 没做写操作时出现“磁盘有写保护”信息; 在系统进程中出现可疑的进程； 在启动项中发现可疑启动项； 网络数据流出现异常或出现大量有共性的异常数据包。,2.6 感染计算机病毒后的现象（续）,1.密码破解技术 应用此技术的病毒可对win2000以上的操作系统的密码进行破解。此类病毒一般会带有约几百单词数量（有时会更大的）的字典库 ，可对“弱口令”进行破解，因此需要至少六位的

10、数字字母混合的系统口令。 例：爱情后门病毒,2.7目前病毒新技术和新特点,2. 漏洞技术 利用操作系统和软件系统（主要是微软的软件系统）漏洞进行攻击;即发送不正常的数据包，使获得的系统出现错误，从而使病毒夺取对方电脑的控制权。 例：冲击波利用rpc漏洞，震荡波利用LSASS漏洞,2.7目前病毒新技术和新特点（续）,3.端口监听技术（原多见于木马程序） Moodown.y病毒利用自身的SMTP发信引擎来发送病毒邮件，监听82端口，等待攻击者连接，可自动下载并执行新的病毒。 振荡波病毒的最新变种监听1023端口（支持USER、PASS、PORT、RETR和QUIT命令），并实现一个tftp服务器，

11、并进行攻击。,2.7目前病毒新技术和新特点（续）,4.多线程扫描技术 现在常见病毒多采用此技术，此技术可加速网络病毒的传播速度。 如I-Worm.Sasser.e（振荡波.e）开辟128个线程扫描网络 ，传播病毒。,2.7目前病毒新技术和新特点（续）,主动通过网络和邮件系统传播 传播速度极快 扩散面广 变种多、快 使用传统手段难于根治、容易引起多次疫情 具有病毒、蠕虫和后门（黑客）程序的多种特性 病毒向能对抗反病毒软件和有特定目的的方向发展,网络时代病毒的新特性：,国际上对病毒命名的一般惯例为前缀+病毒名+后缀。 例如：WM.Cap.A，A表示在Cap病毒家族中的一个变种，WM表示该病毒是一个

12、Word宏病毒。下面就讲解一下各种前缀的含义： WM: Word宏病毒， W97M: Word97宏病毒， XM: Excel宏病毒 X97M: 在Excel97下制作完成的Excel宏病毒 XF: Excel程式（Excel Formula）病毒 AM: 在Access下制作完成并传播发作的Access的宏病毒。 A97M: 在Access97下制作完成并传播发作的Access的宏病毒。 W95: 是Windows95病毒，运行在Windows95操作系统下 Win: Windows3.x病毒，感染Windows3.x操作系统的文件。,病毒的通用国际命名,WNT: 同样是32位Windows

13、病毒，但只感染Windows NT操作系统。 HLLC: 高级语言同伴（High Level Language Companion）病毒，他们通常是 DOS病毒，通过新建一个附加的文件（同伴文件）来传播。 HLLP: 高级语言寄生（High Level Language Parasitic）病毒，这些通常也是 DOS病毒，寄生在主文件中。 HLLO: 高级语言改写（High Level Language Overwriting）病毒，通常是DOS病毒，以病毒代码改写主文件。 Trojan/Troj: 这并不是病毒，只是特洛伊木马，通常装扮成有用的程序，但通常有恶意代码，特洛伊木马并不会传染。

14、VBS: 用Visual Basic Script程序语言编写的病毒。 PWSTEAL: 窃取密码等信息的木马。 JAVA: 用JAVA程序语言编写的病毒。 W32: 32位Windows病毒，感染所有的32位Widnows平台。,三、计算机病毒的传播,3.1 计算机病毒的工作环节 3.2 计算机病毒的传播途径 3.3 有防护的内部网络中的病毒传播 3.4 物理隔离网络中的病毒传播 3.5 政府机关网络病毒问题的现状,3.1 计算机病毒的工作环节,完整的计算机病毒工作环节应包括以下几个方面：,传染源：病毒总是依附于某些储存介质，如电子邮件、软盘、硬盘等构成传染源。 传染媒介：病毒传染的媒介由工

15、作的环境来定，可能是网络，也可能是可以移动的存储介质，例如软磁盘等。 病毒激活：是指将病毒装入内存，并设置触发条件，一旦触发条件成熟，病毒就开始其作用，如：自我复制到传染对象，进行各种破坏活动等。,病毒触发：计算机病毒一旦被激活，立刻发生作用，触发的条件是多样化的，可以是内部时钟，系统的日期，用户标志符，也可能是系统的一次通信等。 病毒表现：表现是病毒的主要目的之一，有时在屏幕显示出来，有时则表现为破坏系统数据。可以这样说，凡是软件技术能够触发到的地方，都在其表现范围内。 病毒传染：传染是病毒性能的一个重要标志。在传染环节中，病毒复制一个自身副本到传染对象中去。,3.1 计算机病毒的工作环节（

16、续）,3.2 目前存在病毒的传播途径,网络病毒攻击图,工作站,工作站,网站服务器,网站服务器,邮件中恶意附件,攻破多个网站服务器,以前攻破的网站服务器,浏览器进攻,文件共享,Internet,路由器,3.3 有防护的办公网络中的病毒传播,病毒传入途径： 终端漏洞导致病毒传播； 邮件接收导致病毒传播； 外部带有病毒的介质直接接入网络导致病毒传播； 内部用户绕过边界防护措施，直接接入因特网导致病毒被引入； 网页中的恶意代码传入；,大型内部网络，一般均有防火墙等边界防护措施，但是还经常会出现病毒，病毒是如何传入的呢？,系统漏洞传播； 系统邮件传播； 储存介质传播； 共享目录传播；,病毒在此类网络内的

17、传播途径,3.4 物理隔离网络中病毒的传播,外部带有病毒的介质接入网络导致病毒传播； 内部用户私自在将所使用的终端接入因特网导致病毒被引入；,国家机关和军队、银行等为了保护网络，一般均采用物理隔离措施，这类网络理论上应该是安全的，不过也有病毒的出现，这类网络，病毒主要是靠几种途径传入的：,系统漏洞传播； 储存介质传播； 邮件传播；,物理隔离网络病毒内病毒的传播途径：,病毒在此类网络内的传播途径,新病毒传入问题 老病毒根除问题,一般网络的病毒问题主要有两个方面，即：,3.5 当前网络病毒问题的现状,企业网络防病毒可能需要面临的问题：,难以确定网络内设备的用户联网状况; 无法快速准确定位病毒源;

18、了解病毒源后，无法方便的对病毒源进行阻断。 难以监控系统安全补丁安装情况; 缺乏有效的技术手段保证管理制度的贯彻。,四、建立有效的病毒防范管理机制,4.1 建立防病毒管理机构 4.2 防病毒管理机制的制定和完善 4.3 制定防病毒管理制度 4.4 用技术手段保障管理的有效性 4.5 加强培训以保障管理机制执行,无论什么样先进的病毒保障系统，使用者、控制者最终都是人。所以防病毒首要的事情是建立防病毒管理机构，以领导、协调防病毒工作和处理应急响应事件。,4.1 建立防病毒管理机构,防病毒管理机构组成图,机构内各组织的防病毒工作的协调管理； 防病毒责任的分配； 系统内部各单位间的防病毒组织的合作。,

19、防病毒管理机构应注意的问题,防病毒需求分析：只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构，正确的安全分析需求是保证网络系统的安全的根源。 防病毒风险管理：风险管理是对需求分析结果中存在的威胁和业务需求进行风险评估，以可以接受的投资，进行最大限度的病毒防范工作。 制定防病毒策略:根据组织和部门的防病毒需求和风险评估的结论，制定切实可行的计算机网络防病毒策略。 定期防病毒审核:安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。因为网络防病毒是一个动态的过程，防病毒的需求可能会发生变化；为了在防病毒需求发生变化时，策略和控制措施能够及时反映这种变化，必须进行定期安全

20、审核。,4.2 防病毒管理机制的制定和完善,防病毒管理机制的实行过程,A制定计划 B进行实施 C监控审评 D维护改进,网络管理员管理制度,防病毒日常管理责任 防病毒策略管理责任 病毒应急响应事件责任,2. 网络一般用户管理制度 减少从第三方的系统下载软件 账户及口令管理制度,4.3 制定防病毒管理制度,3. 设备管理规章制度,入网设备防病毒管理制度 服务器管理制度 便携机管理制度 介质管理,4.4 用技术手段保障管理的有效性,通过技术手段可保障管理制度有效贯彻执行，通过技术手段，可以对以下的管理进行加强： 保证补丁安装执行情况； 监督最先感染上病毒的区域； 3. 保障网络隔离的制度得以施行；

21、4. 监督外来未知设备随意接入内网的情况； 5. 使用广域网病毒监控： 6. 各分区病毒软件安装情况监视 7. 各分区病毒感染情况历史统计分析,防病毒机制运行参考图,防病毒管理机制的执行需要很多技术手段，有些技术手段属于专业反病毒范畴，反病毒服务商了解病毒技术细节，更能准确的通过技术培训提高下属网管网络反病毒全面知识。,4.5 加强培训以保障管理机制执行,具体的培训可以分为以下几种： 针对普通人员的培训 针对网管（或网络安全员）的培训 针对突发病毒的培训,五、建立有效的病毒应急响应机制,5.1 建立应急响应中心 5.2 病毒事件分级 5.3 制定应急响应处理预案 5.4 应急响应流程 5.5

22、应急响应的事后处理,5.1 建立应急响应中心,为了在病毒突发事件中协调各方关系，分清职责，统一处理病毒事件，应建立病毒事件应急响应中心。病毒应急响应中心组织机构的建立可参考防病毒管理机构。,应急响应中心特别要注意以下几个方面： 设立总负责人，负责协调管理应急事件 建立应急相应小组（小组成员可包括单位相关人员和安全服务商的相关人员） 分清各方职责 联系方式必须准确有效,5.2 病毒事件分级,分级应参考以下几个标准： 扩散范围 扩散速度 危害程度 防治复杂程度,5.3 制定应急响应处理预案,根据病毒的等级，制定相应的病毒应急响应处理预案，此预案可包括以下几点： 病毒预案库 应急响应启动标准 应急处

23、理流程 注意：制定好的应急预案应进行测试后方投入使用,启动应急响应预案的几个参考条件： 有15的电脑同时感染同种类型的病毒，且现场人员确认无法在2小时内清除； 病毒已经网络系统的正常运行，且现场人员无法立刻解决； 出现的病毒现有的杀毒软件无法解决； 未知原因的网络阻塞。,5.4 应急响应流程,应急响应具体流程如下： 接收初步的资料 查明原因，总结特征 确认是否为大规模病毒事件 提供该事件的公告原稿 消息发布 事件库升级或程序升级，放到部中心网站 启动应急响应预案处理,启动应急响应预案流程图,通常的病毒应急反应预案流程图,5.5 应急响应的事后处理,事后处理过程可参考如下步骤： 提交病毒应急响应

24、事后报告 找出网络防病毒的薄弱点 教训总结 视情况启动处罚程序,六、防病毒介绍,6.1网络防病毒的措施概述 6.2网络防病毒 6.3补丁加固 6.4边界接入检查和节点控制 6.5病毒预警技术,6.1 防病毒软件的结构,扫描应用,扫描引擎,病毒定义库,防病毒软件的3个组成部分,防病毒软件,扫描应用 用户接口 日志文件 报警功能 扫描引擎 搜索病毒的逻辑算法 CPU仿真器 精密编程逻辑 病毒定义库：内有病毒的特征码,常见的本地网络防病毒构架,6.2网络防病毒,防病毒网关,由于目前的防火墙并不能防止目前所有的病毒进入内网，所以在某些情况下，需要在网络的数据出入口处和网络中重要设备前配置防病毒网关，以

25、防止病毒进入内部网络。,防病毒网关按照功能上分有两种: 保护网络入口的防病毒网关 保护邮件服务器的防病毒网关,防病毒网关按照部署形式分为： 透明网关 代理网关,透明网关,代理网关,客户端防病毒,引导安全 系统安装安全 系统日常加固 日常使用安全,服务器防病毒,服务器防病毒时，除了注意主机还应注意防病毒应该注意的问题外，还应该注意到服务器的可用性和稳定性，也需要注意对重要数据经常备份等问题。,病毒防护体系,集中监控中心功能图,终端防病毒系统构成,常见的广域网网络防病毒构架,升级服务中心,补丁加固是今年来网络面临的新问题，对于大型机关和企业网络，靠有限的人力人工去进行终端的安全加固是不现实的。为此

26、，微软提出了两个解决方案：,SMS：Microsoft System Management SUS：Software Update Services,6.3 补丁加固,SMS技术是基于主域控制技术，通过域控制器对管辖的计算机的安全补丁进行统一的升级和管理。此方法存在的问题是国内一般不使用主域控制形式进行网络管理,另外，对于终端使用多操作系统的网络使用此技术升级所需的工作量也比较大。,SMS技术,SUS技术,此技术应用了当前微软Windows Update的技术，即客户端可通过内网建立的SUS Server自动下载升级补丁。采用此方法的优点是简单方便，但是此系统也有不易实施的缺点。,目前存在第三

27、方的补丁分发技术，此类技术一般是辅助SUS进行安全补丁统一监控升级。,第三方技术,网络补丁分发系统应用构架,6.4边界接入检查和节点控制,边界接入检查和节点控制的目的： 保障网络隔离彻底有效； 进行外来笔记本电脑随意接入控制； 对感染病毒计算机快速定位，并安全、迅速、有效的切断其与网络的连接； 对未安装防病毒软件的终端进行统计、远程强制安装； 有效进行网络IP设备资源管理；,可监控移动设备（笔记本电脑等）和新增设备未经过安全过滤和检查，就接入内部网络； 可监控违反规定将专网专用的计算机（带出网络）连入到其他网络的行为； IP管理功能、IP和MAC绑定功能； 可监控网络终端的补丁安装情况，可对未

28、安装防病毒系统的终端进行强制安装； 对安全事件源的实时、快速、精确定位，并可强制断开其网络连接。,边界接入检查和节点控制需要的功能：,边界检查和节点控制系统部署图,病毒预警技术一般是采用分布式的结构，进行集中管理报警，分散控制。 病毒预警的具体可采用“数据流分析”、“病毒诱捕”等技术。,6.5 新一代病毒预警技术,病毒预警分级模块图,提供网络数据流量的侦测模块，通过网络数据分析工具及时捕获网络设备数据流信息，对于数据流量异常的机器进行报警，以辨别是否为网络病毒、木马、黑客等程序所外发数据包。,数据流分析系统,第一时间提供病毒入侵消息，并自动上报至病毒集中监控中心。,病毒诱捕机,七、常见病毒的技

29、术原理与解决方法,7.1 windows进程识别 7.2 rootkit介绍 7.3 ARP病毒解决方案 7.4 U盘病毒的防御与查杀 7.5 病毒处理技巧 7.6 常见杀毒软件的使用技巧,svchost.exe: 常被病毒冒充的进程名有：svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向scvhost，由svchost调用相应服务的动态链接库来启动服务。 在Windows2000系统中一

30、般存在2个svchost.exe进程，一个是RPCSS(RemoteProcedureCall)服务进程，另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中，则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个，就要小心了，很可能是病毒假冒的，检测方法也很简单，使用一些进程管理工具，例如Windows优化大师的进程管理功能，查看svchost.exe的可执行文件路径，如果在“C:WINDOWSsystem32”目录外，那么就可以判定是病毒了。,7.1 windows进程识别,explorer.exe 常被病毒冒充的进程名有

31、：iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束，那么包括任务栏、桌面、以及打开的文件都会统统消失，单击“任务管理器”“文件”“新建任务”，输入“explorer.exe”后，消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。 explorer.exe进程默认是和系统一起启动的，其对应可执行文件的路径为“C:Windows”目录，除此之外则为病毒。,iexplore.exe 常被病毒冒充的进程名有：iexplo

32、rer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像，因此比较容易搞混，其实iexplorer.exe是Microsoft Internet Explorer所产生的进程，也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了，iexplorer.exe进程名的开头为“ie”，就是IE浏览器的意思。 iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中，存在于其他目录则为病毒，除非你将该文件夹进行了转移。此外，有时我们会发现没有打开IE浏览器的情况下，系统中

33、仍然存在iexplore.exe进程，这要分两种情况：1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。,rundll32.exe 常被病毒冒充的进程名有：rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的，他可以控制系统中的一些dll文件，举个例子，在“命令提示符”中输入“rundll3

34、2.exe user32.dll,LockWorkStation”，回车后，系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”，在别的目录则可以判定是病毒。,spoolsv.exe 常被病毒冒充的进程名有：spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序，其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，计算机上的打印将不可用，同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备，那么就把这项服务关闭吧，可以节省系统资源。停止

35、并关闭服务后，如果系统中还存在spoolsv.exe进程，这就一定是病毒伪装的了。,1.以假乱真 系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。又或者多一个字母或少一个字母，例如explorer.exe和iexplore.exe. 2.偷梁换柱 如果一个进程的名字为svch

36、ost.exe，和正常的系统进程名分毫不差。它利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下，如果病毒将自身复制到“C:WINDOWS”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。 3.借尸还魂 除了上文中的两种方法外，病毒还有一招终极大法借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术，将病毒运行所需的dll文件插入正常的系统进程中，表面上看无任何可疑情况，实质上系统进程已经被病毒控制了，除非我们借助专业的

37、进程检测工具，否则要想发现隐藏在其中的病毒是很困难的。,找个管理进程的好帮手 运行Procexp后，进程会被分为两大块，“System Idle Process”下属的进程属于系统进程， explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”，如果你在“explorer.exe”中发现了svchost.exe，那么不用说，肯定是病毒冒充的。 至于病毒采用的“借尸还魂”大法dll插入技术，我们曾讲解过破解方法，通过查看其dll文件的签名即可，这点同样可以在Procexp中做到，在此

38、不再阐述。 小贴士：在软件的主界面我们可能看不到进程名和进程所对应的可执行文件，我们可以点击其“查看”菜单“选择列”，勾选“进程名称”和“映像路径”，确定保存即可。,7.2 rootkit介绍,Rootkit是一种奇特的程序，它具有隐身功能：无论静止时（作为文件存在），还是活动时，（作为进程存在），都不会被察觉。换句话说，这种程序可能一直存在于我们的计算机中，但我们却浑然不知 . 进程管理 进程可以简单理解为运行中的程序，它需要占用内存、CPU时间等系统资源。现在的操作系统大多支持多用户多任务，也就是说系统要并行运行多个程序。为此，内核不仅要有专门代码来负责为进程或线程分配CPU时间，另一方面

39、还要开辟一段内存区域存放用来记录这些进程详细情况的数据结构。内核是怎么知道系统中有多少进程、各进程的状态等信息的？就是通过这些数据结构，换句话说它们就是内核感知进程存在的依据。因此，只要修改这些数据结构，就能达到隐藏进程的目的。,文件访问 文件系统是操作系统提供的最为重要的功能之一。内核中的驱动程序把设备的柱面、扇区等原始结构抽象成为更加易用的文件系统，并提供一个一致的接口供上层程序调用。也就是说，这部分代码完全控制着对硬盘的访问，通过修改内核的这部分代码，攻击者能够隐藏文件和目录。 安全控制 对大部分操作系统来说，因为系统中同时存在多个进程，为了避免各进程之间发生冲突，内核必须对各进程实施有

40、效的隔离措施。比如，在MS-Windows系统中，每个进程都被强制规定了具体的权限和单独的内存范围。因此，对攻击者而言，只要对内核中负责安全事务的代码稍事修改，整个安全机制就会全线崩溃。,内存管理 现在的硬件平台（比如英特尔的奔腾系列处理器）的内存管理机制已经复杂到可以将一个内存地址转换成多个物理地址的地步。举例来说，进程A按照地址0 x0030030读取内存，它得到值的是“飞机”；然而，进程B也是按照同样的地址0 x0030030来读取内存，但它取得的值却是“大炮”。像上面这样，同一个地址指向截然不同的两个物理内存位置，并且每个位置存放不同的数据这种现象并不足以为怪只不过是两个进程对虚拟地址

41、到物理地址进行了不同的映射而已。如果这一点利用好了，我们可以让Rootkit躲避调试程序和取证软件的追踪。,将代码导入内核的方法所有应用程序都是运行在用户模式下的，而操作系统是运行在内核模式下的，所以应用程序根本没有机会来修改内核程序。要想颠覆内核，前提是设法让我们的代码也运行在内核模式下，即将我们的代码导入内核。设想一下当我们的代码通过驱动程序进入内核后的情形：我们的代码一旦在内核运行，就能访问内核的所有特权内存空间和系统进程有了这样的内核级访问特权，我们就能任意修改系统中的任何代码和数据了！将代码导入内核的方法很多，但我们要介绍的是利用设备驱动程序将代码导入内核的方式。我们之所以利用设备驱

42、动程序将代码导入到内核，主要考虑到两点：1.简单性。能够让我们的代码运行在内核模式之的方法有多种，例如把我们的代码做成设备驱动程序、设法修改正在内存运行的内核、覆盖硬盘中的内核映像等等。 2.适用性。现在，绝大多数的操作系统都允许第三方的硬件厂商加载为其硬件产品制作的内核扩展，从而使得操作系统能够支持它们的硬件产品。这的确是一个双赢之举，只有这样，操作系统开发商才能不断巩固和扩大其用户群。因此，各个操作系统开发商不仅提供该系统下的开发设备驱动程序的详尽帮助文档，而且还提供了相应的开发工具包。,交换数据流,利用Windows提供的交换数据流功能，我们可以在不影响文件及其大小的情况下，捎带其他一些

43、东西，如图标等。想当初，微软公司将此功能添加至Windows操作系统的初衷并非向用户提供一种隐藏文件的把戏，但它的确有这种功效：我们正好可以利用它为配置文件提供藏身之所。其实，该方法不仅适用于文件，同样也是用于目录，因为目录也是文件的一种。与其把配置文件附着在一个“惹眼”的系统文件上，倒不如将其挂在一个不起眼的目录上，后者的保险系数更高一些。,大多数安全解决方案不能检测到它们并加以清除。因为Rootkit在操作系统中隐藏得很深并且是以碎片的形式存在。如果在清除过程中漏掉了任何一个相互关联的碎片，rootkit能够自我激活。 一般的病毒扫描通常是清除病毒程序的执行阶段，但是在重新启动操作系统后r

44、ootkit能够再次执行，所以问题并没有彻底解决。要解决问题必须从rootkit本身，也就是从恶意程序的源头去根除。 内核模式的rootkit通常攻击操作文件系统，如果要检测已知及未知的内核模式rootkit，就必须直接访问原始卷并执行干净的启动进行补救。 赛门铁克采用Veritas 的VxMS （Veritas 映射服务）技术组件可以直接访问 NTFS 格式的原始卷，并可以绕开 Windows 文件系统 API（应用程序接口）。这种技术使诺顿的反间谍软件能够对运行在驱动程序层面上的rootkit 进行检测并实施补救措施。对于未知的rootkit，赛门铁克采用最新的启发式检测（Heuristi

45、c Detection)进行有效防御。,Rootkit病毒,最新的Rrootkit检测结果 来源： 汤普森计算机安全实验室(Thompson Cyber Security Labs),7.3ARP病毒解决方案,地址解析：把高层地址映射为物理地址。 物理地址有两种基本类型：固定的长地址和易配置的短地址 Tcp/ip协议采用两种地址解析技术 通过直接映射进行地址解析 通过动态绑定进行解析 地址解析高速缓存 ARP高速缓存超时（软状态） ARP的改进,IP数据包常通过以太网发送，以太网设备并不识别32位IP地址，它们是以48位以太网地址传输以太网数据包。因此，必须把IP目的地址转换成以太网目的地址。

46、在以太网中，一个主机要和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。ARP协议用于将网络中的IP地址解析为的硬件地址（MAC地址），以保证通信的顺利进行。,ARP的工作原理如下： 1. 首先，每台主机都会在自己的ARP缓冲区 (ARP Cache)中建立一个 ARP列表，以表示IP地址和MAC地址的对应关系。 2. 当源主机需要将一个数据包要发送到目的主机时，会首先检查自己 ARP列表中是否存在该 IP地址对应的MAC地址，如果有就直接将数据包发送到这个MAC地址；如果没有，就向本地网段发起一个ARP请求的广播包，查

47、询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。 3. 网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包；如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个 ARP响应数据包，告诉对方自己是它需要查找的MAC地址； 4.源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包

48、，表示ARP查询失败。,同一网段的ARP欺骗,不同网段的ARP欺骗,代理ARP的应用,代理ARP有两大应用,一个是有利的就是我们在防火墙实现中常说的透明模式的实现,另一个是有害的就是通过它可以达到在交换环境中进行嗅探的目的.由此可见同样一种技术被应用于不同的目的,效果是不一样的. 我们先来看交换环境中局域网的嗅探. 通常在局域网环境中，我们都是通过交换环境的网关上网的。在交换环境中使用NetXray或者NAI Sniffer一类的嗅探工具除了抓到自己的包以外，是不能看到其他主机的网络通信的。 但是我们可以通过利用ARP欺骗可以实现Sniffer的目的。 ARP协议是将IP地址解析为MAC地址的

49、协议，局域网中的通信都是基于MAC地址的。,7.4U盘病毒的防御与查杀,优盘病毒是指利用优盘（移动存储设备）作为载体来传播病毒，其主要特征是在被感染的优盘中生成Autorun.inf文件，并附带有一个可执行程序。,优盘病毒危害 优盘病毒具有交叉感染的特点，即感染了优盘病毒的计算机，在插入一个未感染的优盘到感染计算机中时，病毒会自动感染优盘，当将已经感染优盘病毒的优盘插入未感染计算机中时，未感染病毒的计算机将感染优盘病毒。在对优盘病毒分析研究中我们发现，优盘病毒具有轮渡技术，即将系统中的某些指定关键字的文件复制到优盘中，当优盘插入到具有上网条件的计算机中使用时，优盘病毒会将已经复制的文件传送到指

50、定的邮箱或者木马病毒控制端。,（ 1）破坏软件系统，影响工作。对于一般性优盘病毒将会破坏系统文件的完整性，导致系统不能正常打开文件，其危害程度较轻。 （2）删除或者更改文件。这种优盘病毒往往带有恶作剧，例如将系统中所有的word等文件全部删除，或者将Word文件的默认后缀更改为其它名称导致文件打不开，其危害程度中等。 （3）盗取系统中各种密码帐号，实施远程控制。目前很多个人计算机大多具备上网条件，一旦连接上网络，病毒就会主动连接控制端，将系统中的密码和帐号发到指定邮箱，并实施远程控制将其作为僵尸网络的木马端。 （4）平时窃取资料，战时破坏系统。优盘病毒平时蛰伏在计算机中，当具备互联网条件时将平

51、时复制的资料通过网络传输到指定邮箱，当发生战争时可以破坏和瘫痪计算机系统或者计算机网络，其危害程度最大。,病毒的传播原理 优盘病毒主要通过优盘与计算机的交互来进行传播。近年来，在“黑色”产业链利益驱动下，利用优盘病毒传播已经成为病毒的一大必备功能；病毒感染主要通过存在安全漏洞的网站“挂马”来实现，网站“挂马”主要利用的是IE等安全漏洞，当用户没有安装补丁程序而访问被“挂马”的网站中的网页时，系统就会“偷偷”地执行网页中指定的程序，从而达到控制等目的。此外还有一种就是通过发送垃圾邮件、捆绑木马软件到正常软件中供并放在网站上供网络用户下载等方式来进行优盘病毒的传播。,优盘病毒传播阶段 优盘对病毒的

52、传播主要借助的就是autorun.inf文件，主要分为2个阶段。 第一阶段：感染病毒， 当用户将一块没有任何病毒的优盘插入一台潜伏了病毒的主机上，通过一些常用的操作后，可能就会激发病毒程序。病毒首先会将自身复制到优盘中，同时创建一个名为autorun.inf的文件。此时，这块优盘就被病毒感染了。 第二阶段：传播病毒，当这块优盘插入到一台没有任何病毒的电脑上后，使用者双击打开优盘文件浏览时，Windows默认会以autorun.inf文件中的设置去运行优盘中的病毒程序，此时Windows操作系统就被感染了。,autorun.ini文件运行机理 autorun.inf是设备自动运行的设置文件，比如

53、当插入某些驱动光盘后，Windows就会自动运行驱动安装程序，这就是靠autorun.inf文件里面设置。其中的filename就是木马程序。其文件格式有以下几种： 1）自动运行的程序 Open=filename.exe（ 2）修改上下文菜单，把默认项改为病毒的启动项 ShellAutocommand=filename.exeShell=Auto （3）只要调用ShellExecuteA/W函数试图打开优盘根目录，病毒就会自动运行 Shellexecute=filename.exeShellExecute=（ 4）伪装成系统文件，迷惑性比较大，较为常见的就是伪装成垃圾回收站。 Shellope

54、n=打开（&O）ShellopenCommand=filename.exeShellopenDefault=1Shellexplore=资源管理器（&X）,优盘病毒程序隐藏方式 （1）作为系统文件隐藏。一般系统文件是看不见的，所以这样就达到了隐藏的效果。但这也是比较初级的，现在的病毒一般不会采用这种方式。 （2）伪装成其他文件。由于一般计算机用户不会显示文件的后缀，或者是文件名太长看不到后缀，于是有些病毒程序将自身图标改为其他文件的图标，导致用户误打开。 （3）藏于系统文件夹中。这些系统文件夹往往都具有迷惑性，如文件夹名是回收站的名字。 （4）运用Windows的漏洞。有些病毒所藏的文件夹的名

55、字为 runauto.,这个文件夹打不开，系统提示不存在路径，其实这个文件夹的真正名字是 runauto.。,优盘病毒发展趋势 据usbcleaner网络软件监测结果表明，目前至少存在288种优盘病毒；优盘病毒由过去功能单一，逐渐演变为功能众多，且技术水平越来越高。目前的优盘病毒在感染计算机上还会关闭防火墙、杀毒软件、系统自动更新以及Windows安全中心，高级一点的会修改防火墙和病毒设置，使其安全穿透个人防火墙，还有一些未公布的优盘病毒，已经做到感染PE文件，计算机一旦被感染这种病毒很难根除。目前世界上大多数病毒都具备优盘病毒感染功能，使其成为内网和外网沟通的桥梁，优盘病毒已经成为一种顽疾。

56、由于优盘病毒的巨大危害性，很多杀毒软件都会查杀以Autorun.inf文件为主要特征的优盘病毒，因此新型的优盘病毒将向硬件以及驱动程序发展。可以将优盘病毒直接嵌入到一些硬件设备，例如手机、mp3等，需要激活时只需要通过网络发送一个密码指令即可。另外一种趋势就是将优盘病毒做成驱动级，任何系统都离不开驱动程序，通过驱动程序来进行病毒的传播和控制。,优盘病毒防范措施 安全只是相对的安全，没有绝对的安全，对于移动存储设备主要通过两个层面来进行防范，一个是技术层面，另外一个是非技术层面。技术层面主要从数据的完整性、准确性及排他性等方面进行考虑；非技术层面针对培训、思想意识以及组织管理方面进行考虑。,技术

57、防范 （1）及时更新安全漏洞补丁和病毒库 （2）禁止移动设备自动播放 （3）实时监控，杀毒先行 （4）在所有磁盘中创建Autorun.inf文件夹 （5）谨慎下载，安全运行 （6）做好系统和数据备份 （7）使用一些移动存储专用管理软件 （8）对移动存储设备的一切权限变更和一切文件操作，全部都有日志记录和审计。 （9）非法优盘，进不来。所有能在内部使用的优盘、移动硬盘必需通过授权认证，没有经过授权的优盘和移动硬盘无法使用。 （10）授权优盘，拿不走。,非技术防范 （1）从制度上加强管理。 （2）专盘专用。 （3）加强优盘安全意识培训，定期进行安全检查。,EXE后缀型病毒文件 这类病毒一般是以进程

58、的方式运行 如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除： HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce HKEY_CURRENT_USER/SoftwareMicrosoftWindowsCurrentVers

59、ionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellFolders Startup=C:/windows/start menu/programs/startup,7.5病毒处理技巧,系统WIN.INI文件内 系统WIN.INI文件内在win.ini文件中，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。 在system.ini文件中 在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“expl