CH07计算机病毒与木马防范技术

计算机病毒与木马防范技术第7章本章要点计算机病毒、木马和网页恶意代码是目前影响用户计算机使用安全的主要根源，比网络攻击要广泛的多。本章介绍计算机病毒的基础知识、技术特点，然后有针对性地介绍反病毒方法，包括使用反病毒软件、制定合理的反病毒策略等2一、计算机病毒概述1、计算机病毒的发展历程20世纪70年代，在美国作家雷恩出版的《P1的青春－TheAdolescenceofP1》一书中，首次勾勒出了病毒程序的蓝图。20世纪80年代早期出现了第一批计算机病毒。1988年冬天出现了第一个Internet蠕虫病毒，被命名为MorrisWorm（一种使用自行传播恶意代码的恶意软件，它可以通过网络连接，自动将其自身从一台计算机分发到另一台计算机）。1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者。1991年在“海湾战争”中，美军第一次将计算机病毒应用于实战，正式将病毒作为一种攻击性“武器”投入使用。90年代网上开始出现病毒交流布告栏，成为病毒编写者合作和共享知识的平台。电子邮件、网站、共享驱动器和产品漏洞都为病毒复制和攻击提供了平台。2006年末，计算机病毒产业发生了巨大的变化—从病毒研制到营销过程完全采用商业化运作，直接以经济利益为目的传播病毒，破坏网络系统。3一、计算机病毒概述2、计算机病毒的发展趋势计算机病毒具有以下几个发展趋势：（1）病毒更新换代向多元化发展（2）依赖网络进行传播（3）攻击方式多样（邮件，网页，局域网等）（4）利用系统漏洞成为病毒有力的传播方式（5）病毒与黑客技术相融合。4一、计算机病毒概述3、计算机病毒的定义和特征《中华人民共和国计算机信息系统安全保护条例》定义：计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。特征：（1）可执行性（2）传染性（3）潜伏性（4）可触发性（5）针对性（6）隐蔽性5一、计算机病毒概述4、计算机病毒的分类按照计算机病毒的特点及特性，计算机病毒的分类方法有许多种。因此，同一种病毒可能有多种不同的分法。按照计算机病毒攻击的系统分类按照病毒的攻击机型分类按照计算机病毒的链结方式分类按照计算机病毒的破坏情况分类按照计算机病毒的寄生部位或传染对象分类按照传播媒介分类6一、计算机病毒概述5、计算机病毒的危害计算机病毒的危害表现在：（1）病毒激发对计算机数据信息的直接破坏作用；（2）占用磁盘空间和对信息的破坏，如数据丢失、系统无法使用、浏览器配置被修改、网络无法使用、受到远程控制等。（3）抢占系统资源；（4）影响计算机运行速度；（5）计算机病毒错误与不可预见的危害。计算机病毒会给用户造成严重的心理压力，造成业务上的损失，甚至会给使用者带来法律上的问题。7二、计算机病毒的结构1、计算机病毒的工作流程计算机病毒的完整工作过程应包括以下几个环节和过程：（1）传染源。（2）传染媒介。（3）病毒激活。（4）病毒触发。（5）病毒表现。（6）传染。计算机病毒的传染是以计算机系统的运行及读写磁盘为基础的。8二、计算机病毒的结构2、计算机病毒的结构根据计算机病毒的工作流程，可以把病毒分成感染模块、触发模块、破坏模块（表现模块）、引导模块（主控模块）等四大模块。9三、计算机病毒的技术特征1、计算机病毒的技术构成(1)驻留内存技术(2)病毒变形及变种(3)抗分析技术(4)多态性病毒技术使用不固定的密钥或者随机数加密病毒代码；运行的过程中改变病毒代码；通过一些奇怪的指令序列实现多态性。(5)网络病毒技术10三、计算机病毒的技术特征2、流行计算机病毒(1)蠕虫病毒(2)利用Outlook漏洞编写病毒(3)网页恶意代码(4)流氓软件(5)木马(6)网络僵尸11四、计算机病毒诊断原理与方法1、工作原理计算机病毒防范技术的工作原理主要有签名扫描和启发式扫描两种。（1）签名扫描通过搜索目标（宿主计算机、磁盘驱动器或文件）来查找表示恶意软件的模式。这些模式通常存储在被称为"签名文件"的文件中，签名文件由软件供应商定期更新，以确保防病毒扫描器能够尽可能多地识别已知的恶意软件攻击。此技术的主要问题是，防病毒软件必须已更新为应对恶意软件，之后扫描器才可识别它。（2）启发式扫描通过查找通用的恶意软件特征，来尝试检测新形式和已知形式的恶意软件。此技术的主要优点是，它并不依赖于签名文件来识别和应对恶意软件。但是，启发式扫描具有许多特定问题，包括：

1）错误警报。

2）慢速扫描。

3）新特征可能被遗漏。

4）行为阻止。12四、计算机病毒诊断原理与方法2、检测与防范防病毒软件的问题在于它只能为防止已知的病毒提供保护。对恶意代码的查找和分类的根据是：对恶意代码的理解和对恶意代码“签名”的定位来识别恶意代码。然后将这个签名加入到识别恶意代码的签名列表中。防病毒软件成功的关键是它是否能够定位“签名”。下面所列的包括了一个典型组织中最容易受到恶意软件攻击的区域：（1）外部网络。（2）来宾客户端。（3）可执行文件。（4）文档。（5）电子邮件。（6）可移动媒体。13四、计算机病毒诊断原理与方法2、检测与防范（续）深层防护安全模型：七级安全防护，旨在确保损害组织安全的尝试将遇到一组强大的防护措施。每组防护措施都能够阻挡多种不同级别的攻击。（1）数据层。组织主要关注的是可能源自数据丢失或被盗的业务和法律问题，以及漏洞在主机层或应用程序层上暴露的操作问题。（2）应用程序层。组织主要关注的是：对组成应用程序的二进制文件的访问；通过应用程序侦听服务中的漏洞对主机的访问；收集系统中特定数据，以传递给可以使用该数据达到自己目的的某个人。（3）主机层。组织主要关注的是阻止对组成操作系统的二进制文件的访问，以及阻止通过操作系统侦听服务中的漏洞对主机的访问。（4）内部网络层。组织内部网络所面临的风险主要与通过此类型网络传输的敏感数据有关。这些内部网络上客户端工作站的连接要求也具有许多与其关联的风险。（5）外围网络层。与外围网络层（也称为DMZ、网络隔离区域或屏幕子网）关联的风险源自可以访问广域网(WAN)以及它们所连接的网络层的攻击者。模型此层上的主要风险集中于网络可以使用的传输控制协议(TCP)和用户数据报协议(UDP)端口。（6）物理安全层。物理层上的风险源自可以物理访问物理资产的攻击者。（7）策略、过程和意识层。为满足和支持每个级别的要求需要制定的策略和过程。相关方的意识是很重要的。在许多情况下，忽视风险可以导致安全违反。14四、计算机病毒诊断原理与方法3、发展趋势与对策（1）反黑与反病毒相结合。（2）从入口拦截病毒。（3）全面解决方案。（4）客户化定制。（5）区域化到国际化。15四、木马及木马的检测与清除木马指的是安装在目标系统中的一个服务程序，可以为控制者提供信息甚至控制整个目标系统。目前木马已经成为黑客最常用的攻击工具。1、木马的组成一个完整的木马系统由硬件部分，软件部分和具体连接部分组成。（1）硬件部分：建立木马连接所必须的硬件实体。包括控制端、服务端和INTERNET连接及通道。（2）软件部分：实现远程控制所必须的软件程序。分控制端程序、服务器端木马程序和木马配置程序，其中木马配置程序的作用是设置木马程序的端口号，触发条件，木马名称等，使其在服务端藏得更隐蔽。（3）具体连接部分：通过INTERNET在服务端和控制端之间建立一条木马通道所必须的元素，主要通过双方的IP地址和端口号来协调并实现。16四、木马及木马的检测与清除2、木马攻击步骤利用木马来攻击目标系统，一般通过以下6个步骤来实现。(1)配置木马：木马伪装、信息反馈。(2)传播木马。(3)运行木马(4)信息泄露(5)建立连接(6)远程控制国产著名木马冰河，灰鸽子，上兴，网络神偷，流光，广外女生木马17四、木马及木马的检测与清除3、木马检测与清除常用检测方法：（1）检查网络连接情况。（2）查看目前运行的服务。（3）检查系统启动项。（4）检查系统帐户。常用木马防治工具有木马克星（iparmor）、360安全卫士、各种防病毒系统等。如