第8章抗恶意软件

第8章抗恶意软件第8章内容概要8.1病毒8.2蠕虫8.3病毒防治8.4特洛伊木马8.5网络骗局8.6对等网络安全问题8.7万维网安全问题8.8分布式拒绝服务攻击定义《中华人民共和国计算机信息系统安全保护条例》对计算机病毒的定义规定如下：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”特点传染性、破坏性、隐蔽性、潜伏性、触发性、多样性一般不能自我执行传播常常需要一个主机程序寄生特定于

针对具体的文件系统,文件格式和操作系统针对具体的计算机体系结构,CPU,语言,宏,脚本,调试器,和其它程序或系统环境病毒(Viruses)计算机感染病毒后的常见症状非连网状态下连网状态下无法开机不能上网计算机蓝屏杀毒软件不能正常升级开机启动速度变慢自动弹出多个网页系统运行速度慢非连网状态下的一切异常现象无法找到硬盘分区（以下类似不连网情形）开机后弹出异常提示信息或声音文件名称、扩展名、日期以及属性等被非人为更改过数据非常规丢失或损坏无法打开、读取、操作文件硬盘存储空间意外变小计算机无故死机或自动重启CPU利用率接近100%或内存占用值居高不下计算机自动关机病毒类型基于主机程序（载体）分类:引导区病毒:在引导区感染引导程序利用引导序列激活自己修改操作系统拦截磁盘访问并感染其它磁盘也可能感染PC的可写BIOS文件系统病毒:感染文件系统，改写文件指针表项并通过文件系统传播文件系统包含一个指针表，指向一个文件的第一个簇文件格式病毒:文件型病毒，感染单个文件宏病毒:感染包含宏指令编码的文件脚本病毒:感染脚本文件：Unix脚本、VBScript、JavaScript、批处理文件(.bat)、在邮件附件、办公文档和Web文档中复制自己注册表病毒:感染微软Windows的注册表内存病毒:感染在内存中执行的程序，驻留在内存中基于生存形式分类:隐蔽型病毒:隐匿在载体内（通常用压缩来实现）、隐藏文件、隐藏进程多形态病毒:可能改变指令顺序或者将自己加密成不同的形式变形病毒:会在复制过程中自动改写成不同形式病毒类型(续)病毒感染方式病毒常以两种方式感染载体：改写改写一个程序的片段嵌入将其插入一个未感染程序的头部，中间或尾部也可将自己分为多片并插入主机程序的不同位置病毒和主机程序具有相同的访问权限无论病毒出现在载体哪个位置，通常都会在载体的入口处嵌入一个转向语句，直接指向病毒代码当载体被执行时，首先运行病毒程序，然后才运行载体原来的程序。病毒感染方案(图示)计算机病毒的生命周期计算机病毒的生命周期分为：潜伏期等待载体被执行传染期病毒载体开始运行后，病毒代码自我复制到其它载体发作期病毒代码被执行，产生破坏。发作与传染常同时发生病毒结构由四个主要的子程序构成感染子程序搜索载体检测是否被感染，将病毒代码植入其中感染-条件子程序列出病毒在什么情况下开始传染发作子程序定义具体的破坏指令，执行具体的破坏操作发作-条件子程序列出病毒在什么情况下开始发作载体压缩病毒一个被感染的主机文件常常在被感染前后表现出不同的文件大小载体压缩病毒试图掩盖这种变化在感染期间压缩主机文件在发作期间解压缩文件如果被压缩的主机文件加上病毒代码仍小于文件的原始大小，则需要填充病毒的传播

两大类传播途径：通过便携存储设备传播

磁盘,闪存,CDs关键：存储设备中的病毒程序（文件）网络传播通过电子邮件传播许多电子邮件程序和用户通常会不加防备的盲目打开附件通过网页传播利用Java、ActiveX、VBScript等技术，将病毒嵌入到网页主动传播利用系统漏洞，通过网络主动的将自己扩散出去。计算机病毒的网络传播方式第8章内容概要8.1病毒8.2蠕虫8.3病毒防治8.4特洛伊木马8.5网络骗局8.6对等网络安全问题8.7万维网安全问题8.8分布式拒绝服务攻击蠕虫(Worms)蠕虫病毒：一种通过网络传播的恶性病毒，具有病毒的共性，与一般病毒不同的是，蠕虫可单独生存，不必依附于任何形式的载体（有的只存在于内存中）即可自我复制，可以在短时间内迅速蔓延至整个网络。独立性、主动性蠕虫(Worms)蠕虫的主要传播方式：利用系统的漏洞，通过网络主动的将自己传播出去扫描网络中主机的信息，攻击系统中存在的漏洞利用电子邮件传播电子邮件附件是传播病毒和蠕虫的主要途径大多数蠕虫包含两个子程序目标定位器子程序:寻找新的目标主机感染传播子程序将自己复制到目标主机蠕虫实例莫里斯（Morris）蠕虫1988年出现，最早的蠕虫利用UNIX的sendmail,

finger和rsh/rexec等系统程序的缺陷通过用户目录中包含的其他用户登录信息和电子邮件地址进行传播尽可能快的感染更多计算机虽无蓄意破坏，但因传染快造成服务阻断蠕虫实例梅丽莎（Melissa）蠕虫1999年出现，第一个被广泛报道的针对微软产品的蠕虫一种针对微软产品的宏指令病毒，危害包含在word中，以电子邮件附件传播传播迅速，造成了大量的Email流量红色代码（CodeRed）蠕虫2001年出现,一种新型网络病毒，将蠕虫、病毒和木马合为一体在24小时内感染了大约30万计算机利用了微软IIS的一个缓冲区溢出漏洞随机挑选IP地址，并检查这个IP地址的主机是否打开可被利用的端口进行传播，电子邮件附件电子邮件附件是病毒和蠕虫病毒传播的主要途径根据附件类型（附件的扩展名）可大致判断附件是否可能包含病毒或蠕虫（但只能作为初步判断）电子邮件附件（大致）可分为三类安全附件不可执行,不是宏谨防附件包含宏或者可执行代码，依赖于发送者危险附件不能打开第8章内容概要8.1病毒8.2蠕虫8.3病毒防治8.4特洛伊木马8.5网络骗局8.6对等网络安全问题8.7万维网安全问题8.8分布式拒绝服务攻击病毒防御预防:及时安装软件补丁安装杀毒软件不要从不可信的Web站点下载软件不随便打开危险的邮件附件不轻易打开陌生人发来的电子邮件打开移动存储设备应谨慎修复:杀毒软件扫描杀毒、手工杀毒（注意外存、内存交叉感染）备份标准扫描方法基本扫描在主机文件中搜索知名病毒的特征检查系统文件的大小启发式扫描在可执行文件中搜索可疑代码片段完整性校验值检查（ICV）对每个可执行文件计算ICV，附在文件后以备随后校验行为监控评估可执行程序的行为病毒检测软件通常将以上杀毒方法结合起来使用第8章内容概要8.1病毒8.2蠕虫8.3病毒防治8.4特洛伊木马8.5网络骗局8.6对等网络安全问题8.7万维网安全问题8.8分布式拒绝服务攻击特洛伊木马（trojan

horse

）是指被植入主机中可以用来悄悄控制该主机的一段特定的程序不能自我复制需要引导用户去执行木马有两个程序：一个客户端程序：控制端一个服务器端程序：被控制端可能造成如下危害:在被侵入的主机系统中安装后门软件安装间谍软件搜集用户的银行帐号和其它隐私信息给主机安装病毒或其它恶意代码删除或修改用户文件特洛伊木马第8章内容概要8.1病毒8.2蠕虫8.3病毒防治8.4特洛伊木马8.5网络骗局8.6对等网络安全问题8.7万维网安全问题8.8分布式拒绝服务攻击网络骗局欺骗用户去做一些他们通常本不会去做的事情通常以电子邮件形式出现，目的是骗取钱财或信任利用用户的好奇心、贪心或同情心例:“你中病毒了!”冒充权威机构谎称你的系统中毒了要求你安装某所谓处理程序或要求你删除某些系统文件，或注册表中的某些项目针对网络骗局的对策是置之不理天下没有免费的午餐!!第8章内容概要8.1病毒8.2蠕虫8.3病毒防治8.4特洛伊木马8.5网络骗局8.6对等网络安全问题8.7万维网安全问题8.8分布式拒绝服务攻击点对点安全客户-服务器拓扑:少数的服务器为大量客户提供服务P2P拓扑:自组织网络,每个计算机既扮演是客户端又是服务器点对点安全安全弱点:版权问题：或造成侵权带宽问题及本地存储资源安全问题—开放端口点对点软件会开启一个特定的端口，用于下载与上传文件此开放端口可能会为特洛伊木马，病毒，或其它恶意软件打开一个后门安全措施:仅安装官方点对点软件在打开下载的软件之前，先用杀毒软件扫描在公司内部不允许点对点软件运行第8章内容概要8.1病毒8.2蠕虫8.3病毒防治8.4特洛伊木马8.5网络骗局8.6对等网络安全问题8.7万维网安全问题8.8分布式拒绝服务攻击Web安全Web文档的基本类型:静态文档:一个没有可执行代码的Web文档下载是安全的动态文档:包含可执行代码的Web文档在服务器上执行CGI（或ASP\JSP\PHP等动态网页技术）下载执行结果给客户端主动文档:也包含可执行代码，但运行在客户端主机下载完整的代码运行Web文档的安全服务端:安全问题篡改网页、窃取内部数据、在网页中植入恶意代码。不安全因素：服务器操作系统漏洞Web服务程序SQL等漏洞安全措施:使用最新版本的服务器软件严格管理CGI程序和存储CGI程序的目录禁止普通用户向Web服务器目录提交CGI程序客户端:可能会因为主动文档或Web浏览器程序存在漏洞而受到攻击安全措施:安装浏览器补丁禁用浏览器的JavaScript禁用浏览器的JavaappletsCookiesWeb浏览器是不记录状态的对每个URL请求，服务器都会建立一个新的TCP连接，下载所需网页，然后终止TCP连接即便相邻的两次访问同一个网页也应如此若所访问的网页及相关网页设有密码保护，则每次建立TCP连接都需要用户输入登录名和密码，显得过于笨拙Cookie用于解决这个问题服务器用一个Cookie存储用户的信息，并传给用户的浏览器当用户访问页面时，其浏览器将访问请求和相应的Cookie一同发送给网页服务器服务器:必须确保cookies不被恶意使用客户机:定期清除缓存的cookies间谍软件间谍软件是一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软件。间谍软件可能会收集用户的信息并发送给攻击者监控用户的Web访问情况并弹出广告修改浏览器的缺省配置并且重定向到特定的网页对策:设置防火墙，防止攻击者植入间谍软件及时安装软件补丁，堵住旧版本中的漏洞谨慎安装随软件附带的插件安装反间谍软件使用IceSword检查隐藏进程AJAX安全异步JavaScript和XML(AJAX)AJAX通过用户端主机的JavaScript引擎和服务端主机的XML网页来达到网页平滑更新的效果例:GoogleMaps与传统的Web应用一样面临相同的安全问题大都来源于软件缺陷，如：跨站脚本攻击：利用网站漏洞，在链接网页中插入恶意代码，引诱用户点击访问，盗取用户信息silentcallsandcookies：AJAX可以不经用户同意私下与服务端主机通话，并每个连接都重用同一个cookie安全上网只从可信的Web站点下载软件不要点击弹出窗口的任何按钮在安装和运行软件之前，阅读隐私说明，授权说明和安全警告

，找出可能存在的风险不要从受密码保护的站点内访问其他不同地址的站点不要访问可疑的Web站点第8章内容概要8.1病毒8.2蠕虫8.3病毒防治8.4特洛伊木马8.5网络骗局8.6对等网络安全问题8.7万维网安全问题8.8分布式拒绝服务攻击主-从式DD