网络计算机病毒(恶意代码)

恶意代码防范本次课程主要讲解了恶意代码的产生、发展史、恶意代码的危害、恶意代码示例、病毒木马后门原理以及如何对恶意代码进行分析与防御。课程简介学习完此课程，您将会：了解Windows、Linux系列操作系统中恶意代码的识别方法及防护措施能运用相关工具及技术手段发现、隔离、清除常见恶意代码，并能对常见恶意代码源进行定位熟悉常见恶意代码主要包括：隐藏账户后门、注册表级后门、Rootkit、远程控制木马、键盘记录木马、网页木马、Webshell等学习目标课程目录4病毒、木马和后门的原理3恶意代码的危害特点6恶意代码防护技术5恶意代码分析技术1恶意代码的发展2常见恶意代码示例51949：冯·诺依曼在《复杂自动机组织论》提出概念1960：生命游戏（约翰·康维

）

磁芯大战（道格拉斯.麦耀莱、维特.维索斯基、罗伯.莫里斯）1973：真正的恶意代码在实验室产生1981年-1982年:在APPLE-II的计算机游戏中发现Elkcloner

恶意代码发展史61986年—第一个PC病毒：Brainvirus1988年—MorrisInternetworm—6000多台1990年—第一个多态病毒（躲避病毒查杀）1991年—virusconstructionset-病毒生产机1994年—GoodTimes(joys)1995年—首次发现macrovirus1996年—netcat的UNIX版发布（nc）1998年—第一个Javavirus(StrangeBrew)恶意代码发展史罗特.莫里斯71998年—netcat的Windows版发布（nc）1998年—backorifice(BO)/CIH1999年—melissa/worm(macrovirusbyemail)1999年—backorifice(BO)forWIN2k1999年—DOS/DDOS-DenialofServiceTFT/trin001999年—knark内核级rootkit(linux)2000年—loveBug(VBScript)2001年—CodeRed–worm(overflowforIIS)2001年—Nimda-worm(IIS/outlook/fileshareetc.)恶意代码发展史82002年—setiri后门2002年—SQLslammer(sqlserver)2003年—hydan的steganography工具2003年—MSBlaster/Nachi2004年—MyDoom/Sasser……2006年—熊猫烧香……2010年—Stuxnet(工业蠕虫)恶意代码发展史9恶意代码发展历史常见恶意代码示例恶意代码的危害特点病毒、木马和后门的原理恶意代码分析技术恶意代码防御技术恶意代码和病毒防范10恶意代码分类分类蠕虫病毒后门木马有害工具流氓软件风险程序其他1011病毒名称前缀病毒类型TROJ木马WORM蠕虫PE文件感染型ADW广告组件TSPY间谍木马JS脚本VBSVB脚本PACKER加壳文件BKDR后门程序JOKE玩笑程序EXPL利用漏洞攻击杀毒软件对恶意代码的分类CIH将硬盘

FORMAT!CIH将BIOS给毁了

!1213彩带病毒14千年老妖15QQ盗号程序16隐藏账号后门17导出:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F5把1f5换成1f4，导入注册表Netuserguestregbackdoor注销管理员，用guest+regbackdoor登陆克隆账号----”禁用”的guest！18路径：C:\Windows\System32\sethc.exe原理：替换为cmd或其他程序利用方法：远程桌面下多按几次shift系统卧底—Shift后门19注册表项：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions新建项：sethc.exe右边新建字符串键值：debugger|数据cmd注册表后门20利用NTFS文件系统特性，将木马隐藏在正常文件当中，普通手段无法察觉：typecalc.exe>c:\note.txt:alternate.exe启动木马的命令：startc:\note.txt:note.exeNTFS数据流后门21Gh0st木马22Gh0st木马23键盘记录--keyghost24U盘小偷--FlashThiefFlashThief.exe-instalFlashThief.exe–uninstallnetstart"WindowsManagementAcquisition“FlashThief.exe-pathD:\MyFilesFlashThief.exe-size5242880//总文件大小FlashThief.exe-interval5000//检测移动硬盘时间间隔25隐藏进程—FU_Rootkit26隐藏于硬盘MBR无视重启、普通格式化、重装、Ghost最隐蔽后门--Bootkit27网页木马—网马生成器28恶意代码发展历史常见恶意代码示例恶意代码的危害特点病毒、木马和后门的原理恶意代码分析技术恶意代码防御技术恶意代码和病毒防范29病毒的传播方式30病毒激发对计算机数据信息的直接破坏作用占用磁盘空间和对信息的破坏抢占系统资源影响计算机运行速度计算机病毒的兼容性对系统运行的影响计算机病毒给用户造成严重的心理压力病毒的危害31电子邮件系统漏洞Web浏览即时通信文件传播蠕虫的传播方式32严重威胁网络安全

—蠕虫爆发占用大量网络资源，导致网络瘫痪

—形成危害严重的僵尸网络，被作者用来发动任何攻击危害个人信息安全

—泄露个人隐私蠕虫的危害33漏洞传播系统漏洞；浏览器漏洞(网页木马)；其他应用软件漏洞（PDF、DOC

etc）伪装传播捆绑；伪装成图片、文本等；合法软件社会工程电子邮件、论坛、SNS聊天软件木马的传播方式34监视用户的操作

—包括：用户主机的进程、服务、桌面，键盘操作、摄像头等等窃取用户隐私

—包括：浏览的网页，聊天记录，输入的银行帐户密码，游戏帐户密码，窃取用户敏感文件让用户主机执行任意指令

—使用户主机沦为傀儡主机，接受并执行控制主机的指令你能做到的木马都有可能做到木马的危害35恶意代码发展历史常见恶意代码示例恶意代码的危害特点病毒、木马和后门的原理恶意代码分析技术恶意代码防御技术恶意代码和病毒防范361.扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机2.攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限(一般为管理员权限)，获得一个shell3.复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动蠕虫病毒的一般传播过程37修改系统修改注册表启动项文件关联项系统服务项BHO项将自身添加为服务将自身添加到启动文件夹修改系统配置文件自动加载服务和进程－病毒程序直接运行嵌入系统正常进程－DLL文件和OCX文件等驱动－SYS文件病毒自启动方式38常见的病毒行为自动弹出网页占用高CPU资源自动关闭窗口自动终止某些进程无论病毒在系统表现形式如何…我们需要关注的是病毒的隐性行为！39下载特性自动连接到Internet某Web站点，下载其他的病毒文件或该病毒自身的更新版本/其他变种后门特性开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控信息收集特性收集私人信息，特别是帐号密码等信息，自动发送自身隐藏特性使用Rootkit技术隐藏自身的文件和进程病毒的隐性行为40当病毒感染系统后病毒进程已经被系统加载病毒DLL文件已经嵌入到正在运行的系统进程中Windows自身的特性：对于已经加载的文件无法进行改动操作，从而导致病毒扫描引擎对检测到的文件无法操作已经加载的病毒不包含在损害清除模板(DCT)中少数病毒会破坏杀软的防护模块杀毒软件的软肋为什么有的病毒无法被杀毒软件清除或隔离？41映像劫持(IFEO，ImageFileExecutionOptions），位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image映像劫持病毒指病毒通过映像劫持来做文章，表面上看起来是运行了一个程序，实际上病毒已经在后台运行了映像劫持病毒主要通过修改注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionoptions项来劫持正常的程序例如：病毒vires.exe要劫持qq程序，它会在上面注册表的位置新建一个qq.exe项，再这个项下面新建一个字符串的键值debugger内容是：C:\WINDOWS\SYSTEM32\VIRES.EXE(这里是病毒藏身的目录)如果你把该字符串值改为任意的其他值的话，系统就会提示找不到该文件病毒映像劫持技术42★禁止某些程序的运行每次我们按下CTRL+ALT+DEL键时，都会弹出任务管理器，使用映象劫持技术在我们按下这些键的时候可让它弹出命令提示符窗口：WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFile

ExecutionOptions\taskmgr.exe]

“Debugger”=“cmd”

将上面的代码另存为task_cmd.reg，双击导入注册表病毒映像劫持技术43防范方法：★权限限制法如果用户无权访问该注册表项了，它也就无法修改这些东西了。打开注册表编辑器，进入：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions选中该项，右键—>权限—>高级，将administrator和system用户的权限调低即可★快刀斩乱麻法打开注册表编辑器，进入该项，直接删掉ImageFileExecutionOptions项病毒映像劫持技术

希腊神话中特洛伊战争的故事讲到，希腊人攻打特洛伊城十年，始终未获成功，后来建造了一个大木马，并假装撤退，希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来打开城门，希腊将士里应外合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马。44特洛伊木马的典故特洛伊木马

起源451、非授权植入目标机器（非正常安装）2、有一定的隐藏性（很难被发现）3、实现一定的功能（数据窃取或远程控制）4、有一定的潜伏性（重起后仍存在）5、通过网络进行控制木马的特征特洛伊木马

定义46木马的结构组成控制模块隐藏模块通讯模块植入模块启动模块功能模块控制端服务端实现人机图形界面，完成主要功能利用漏洞或疏忽，完成服务端植入确保木马的服务端能被正常启动实现木马各主要功能的核心模块对木马的文件与通讯进行隐藏保护服务端与控制端数据、命令传输用户直接攻击电子邮件文件下载浏览网页+合并文件经过伪装的木马被植入目标机器47植入-木马是如何进入系统的特洛伊木马

植入48作为应用程序启动作为服务启动作为驱动启动作为其他程序的模块启动替代其他程序启动木马的启动特洛伊木马

启动49文件功能上传、下载、删除、修改、浏览、执行进程功能浏览、启动、停止进程远程控制功能关机、密码获取、屏幕截取、输入截获等玩笑功能屏幕翻转、光驱弹出等木马的功能特洛伊木马隐藏50汇编写的小巧木马国内较早的木马反弹端口的木马入侵微软的蠕虫木马系统级的后门脚本后门盗窃Windows密码BO2k,SUB7tiny冰河网络神偷QazRootkitCmd.aspGina其他典型木马介绍特洛伊木马典型木马51FilemonitorRegmonitorPStoolsSniffer、Port关联异常现象判断SoftICE、IDA文件审计注册表审计进程审计网络审计异常审计逆向工程如何分析是否中了木马特洛伊木马对抗52收集木马的资料与信息仔细分析木马的特点制定完备的卸载方案备份系统文件和注册表卸载检查木马是否存在木马的卸载特洛伊木马对抗53网银木马TrojSpy_Banker.YY1、木马大小110KB～120KB左右，由VB语言编写。运行后会在注册表启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加：

“svchost”=“%SystemDir%\svch0st.exe”这样每次系统启动，木马程序都会自动运行2、监视IE浏览器访问的页面，如果发现用户登录该行网上银行个人银行页面就会弹出伪造的IE窗口，诱骗用户输入登录密码和支付密码用户输入信息提交后，就会显示以下内容“为了给您提供更加优良的电子银行服务，6月25日我行对电子银行系统进行了升级。请您务必修改以上信息!”，诱骗用户再次输入登录密码和支付密码3、木马会将窃取到的信息通过邮件发送到指定邮件地址网银木马简介54网银大盗的钓鱼页面55网银木马TrojSpy_Banker.YY的手工解决方法：1、在注册表启动项中删除以下键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run“svchost”=“%SystemDir%\svch0st.exe”

2、搜索硬盘中svch0st.exe文件，并删除网银木马清除方法56也可以借助于安全厂商的专杀工具网银木马清除方法57恶意代码发展历史常见恶意代码示例恶意代码的危害特点病毒、木马和后门的原理恶意代码分析技术恶意代码防御技术恶意代码和病毒防范58生存技术主要包括4方面：反跟踪技术加密技术模糊变换技术自动生产技术反跟踪技术可以减少被发现的可能性，加密技术是木马程序保护自身的重要机制。恶意代码生存技术59恶意代码采用反跟踪技术可以提高自身的伪装能力和防破译能力，增加检测与清除恶意代码的难度。目前常用的反跟踪技术有两类：反动态跟踪技术和反静态分析技术。恶意代码生存技术-反跟踪技术60加密技术是恶意代码自我保护的一种手段，加密技术和反跟踪技术的配合使用，使得分析者无法正常调试和阅读恶意代码，不知道恶意代码的工作原理，也无法抽取特征串。从加密的内容上划分，加密手段分为信息加密、数据加密和程序代码加密三种。恶意代码生存技术-加密技术61利用模糊变换技术，恶意代码每感染一个客体对象时，潜入宿主程序的代码互不相同。目前，模糊变换技术主要分为5种：指令替换技术指令压缩技术指令扩展技术伪指令技术重编译技术恶意代码生存技术-模糊变换62网络隐藏加密加壳、反弹端口、端口复用等文件隐藏驱动过滤、钩子、劫持系统SSDT等进程隐藏钩子、dll注入、ActiveX控件等隐藏技术63利用Hidetool可以轻松在任务管理器中将某些进程隐藏掉进程隐藏--Hidetool64Rootkit是指其主要功能为隐藏其他程式进程的软件，可能是一个或一个以上的软件组合；广义而言，Rootkit也可视为一项技术。Windows平台上最早发现于1999(NTRootkit,Hoglund):不同于病毒非破坏性的信息收集工具通常运行在核心(更易隐藏)通常被黑客手工安装确保能再次进入系统隐蔽地捕获密码，键击等恶意代码隐蔽技术-RooTkit技术65协议封装即把一种协议作为数据段放在另一种协议里端口复用端口复用——对抗防火墙特殊访问木马启动正常访问常规服务服务端口HTTPXTrojanHTTP[Trojan]

TCP55:142804:80ESTABLISHED66为了对抗反病毒软件，木马采用超级管理技术对反病毒软件系统进行拒绝服务攻击，使反病毒软件及其他安全防护软件无法正常运行超级管理技术67也叫反弹端口技术指中了木马程序的服务端（被控端）主动连接客户端（控制端）端口反向连接技术68反弹端口X获取控制端IP一般的木马无法穿越防火墙上传控制端的IP被控制端主动连接到控制端某FTP或主页服务器69恶意代码发展历史常见恶意代码示例恶意代码的危害特点病毒、木马和后门的原理恶意代码分析技术恶意代码防御