第六章-恶意代码分析与防范

请先思考以下3个问题什么是上网安全意识？恶意代码如何进入我们的计算机？恶意代码以什么形式存在于我们的计算机中？

目前一页\总数四十三页\编于九点一个每天都要遇到的操作1可移动存储设备的使用演示U盘的使用过程

目前二页\总数四十三页\编于九点一个每天都要遇到的操作2

一个通过QQ的病毒用来扩散恶意代码，以创建一个IRC僵尸网络（感染了60,000台主机）。请访问：

目前三页\总数四十三页\编于九点一个每天都要遇到的操作3如果您的电脑配有摄像头，在您使用完摄像头之后，您会：（）拔掉摄像头，或者将摄像头扭转方向 （546人，44.1%）无所谓 （693人，55.9%）

目前四页\总数四十三页\编于九点一个每天都要遇到的操作4还有什么？下载软件的来源：Office文档、图片、视频：设置密码：

目前五页\总数四十三页\编于九点恶意代码的基本概念恶意代码，又称MaliciousCode，或MalCode,MalWare。其是设计目的是用来实现某些恶意功能的代码或程序。发展及特征长期存在的根源

目前六页\总数四十三页\编于九点计算机病毒概念≠臭虫（bug)≠生物学中的病毒真的完全不等于吗?它是计算机上的野生动物

目前七页\总数四十三页\编于九点什么是计算机病毒Virus,拉丁文:毒药就是一段特殊的小程序,由于具有与生物学病毒相类似的特征(潜伏性、传染性、发作期等)，所以人们就用生物学上的病毒来称呼它。美国计算机安全专家是这样定义计算机病毒的：”病毒程序通过修改其他程序的方法将自己的精确拷贝或可能演化的形式放入其他程序中，从而感染它们”。

目前八页\总数四十三页\编于九点病毒的广义和狭义定义狭义:

我国出台的《中华人民共和国计算机安全保护条例》对病毒的定义如下：“计算机病毒是指编制、或者在计算机程序中插入的，破坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序片段代码。”

广义:

能够引起计算机故障,破坏计算机数据的程序都统称为计算机病毒。

目前九页\总数四十三页\编于九点恶意代码

目前十页\总数四十三页\编于九点网络恶意代码的分类计算机病毒：一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose…网络蠕虫:一组能够进行自我传播、不需要用户干预即可触发执行的破坏性程序或代码。其通过不断搜索和侵入具有漏洞的主机来自动传播。利用系统漏洞（病毒不需要漏洞）如红色代码、SQL蠕虫王、冲击波、震荡波、极速波…特洛伊木马：是指一类看起来具有正常功能，但实际上隐藏着很多用户不希望功能的程序。通常由控制端和被控制端两端组成。如冰河、网络神偷、灰鸽子……

目前十一页\总数四十三页\编于九点网络恶意代码的分类（续）后门：使得攻击者可以对系统进行非授权访问的一类程序。如Bits、WinEggDrop、Tini…RootKit：通过修改现有的操作系统软件，使攻击者获得访问权并隐藏在计算机中的程序。如RootKit、Hkdef、ByShell…拒绝服务程序，黑客工具，广告软件，间谍软件……流氓软件……

目前十二页\总数四十三页\编于九点几个容易混淆的分类计算机病毒VS网络蠕虫木马VS后门

目前十三页\总数四十三页\编于九点后门VS特洛伊木马如果一个程序仅仅提供远程访问，那么它只是一个后门。如果攻击者将这些后门伪装成某些其他良性程序，那么那就变成真正的特洛伊木马。木马是披着羊皮的狼！！它对用户个人隐私造成极大威胁。

目前十四页\总数四十三页\编于九点病毒程序与正常程序的比较

病毒程序其它正常可执行程序一般比较小一般比较大并非完整的程序，必须依附在其它程序上是完整的程序，独立的存在于磁盘上没有文件名有自己的文件名和扩展名，如COM、EXE有感染性，能将自身复制到其它程序上不能自我复制在用户完全不知道的情况下执行根据用户的命令执行在一定条件下有破坏作用无破坏作用

目前十五页\总数四十三页\编于九点病毒起源探究1949年，冯·诺伊曼文章《复杂自动装置的理论及组织的行为》中提出一种会自我繁殖的程序的可能，但没引起注意

1960年，美国的约翰·康维在编写"生命游戏"程序时，首先实现了程序自我复制技术。1977，科幻小说《p-1的青春》贝尔实验室，磁芯大战,达尔文游戏提示:一般认为，计算机病毒的发源地在美国。

目前十六页\总数四十三页\编于九点计算机病毒的发展DOS阶段视窗阶段宏病毒阶段(演示)互连网阶段网络、蠕虫阶段Java、邮件炸弹、木马阶段

目前十七页\总数四十三页\编于九点计算机病毒的特性传染性隐藏性潜伏性可触发性破坏性不可预见性非授权性

目前十八页\总数四十三页\编于九点计算机病毒的分类按存在的媒体：网络型、文件型、引导型按传染方式：驻留型、非驻留型按破坏能力：良性（徐明莫言英）、恶性、极恶性按算法：伴随型、蠕虫型、寄生型、诡秘型、变型按入侵方式：源代码嵌入攻击、代码取代攻击、系统修改型、外壳附加型按传播媒介：单机、网络

目前十九页\总数四十三页\编于九点病毒的命名：实测比较各种防毒软件的查毒能力瑞星发现有拒绝服务的黑客工具瑞星查出有木马类黑客工具江民防火墙能对UDP协议的访问把关，就有能力发现黑客攻击的开始‘踩点’瑞星对黑客开后门能有所觉察

目前二十页\总数四十三页\编于九点计算机病毒的命名DOS病毒命名(一日丧命散、含笑半步颠)1.按病毒发作症状命名：小球熊猫烧香花屏病毒步行者病毒

武汉男孩2.按病毒发作的时间命名：黑色星期五；3.按病毒自身包含的标志命名：CIH

（不是HIV)按病毒发现地命名：如“黑色星期五”又称Jurusalem(耶路撒冷)病毒

目前二十一页\总数四十三页\编于九点计算机病毒的命名4.按病毒发现地命名：Jurusalem(耶路撒冷)病毒，Vienna(维也纳)病毒

5.按病毒的字节长度命名：以病毒传染文件时文件的增加长度或病毒自身代码的长度来命名，如1575、2153、1701、1704、1514、4096

目前二十二页\总数四十三页\编于九点计算机病毒的命名反病毒公司为了方便管理，会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为：<病毒前缀>.<病毒名>.<病毒后缀>

目前二十三页\总数四十三页\编于九点计算机病毒的命名病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀

Trojan，蠕虫病毒的前缀是

Worm等等还有其他的。病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“CIH”，振荡波蠕虫病毒的家族名是“Sasser”。

目前二十四页\总数四十三页\编于九点计算机病毒的命名病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如

Worm.Sasser.b就是指

振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强），可以采用数字与字母混合表示变种标识。

目前二十五页\总数四十三页\编于九点计算机病毒的命名1、系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒。

2、蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）

等。

目前二十六页\总数四十三页\编于九点计算机病毒的命名3、木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为

Hack。Trojan.QQ3344，Hack.Nether.Client4、脚本病毒：红色代码（Script.Redlof，欢乐时光（VBS.Happytime）、十四日（）

目前二十七页\总数四十三页\编于九点计算机病毒的命名5、宏病毒：宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97，Macro.Melissa6、后门病毒后门病毒的前缀是：Backdoor7、病毒种植程序病毒这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。

目前二十八页\总数四十三页\编于九点计算机病毒的命名8．破坏性程序病毒

破坏性程序病毒的前缀是：Harm9．玩笑病毒

玩笑病毒的前缀是：Joke。

10．捆绑机病毒

捆绑机病毒的前缀是：Binder

目前二十九页\总数四十三页\编于九点计算机病毒的命名DoS：会针对某台主机或者服务器进行DoS攻击；Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人

目前三十页\总数四十三页\编于九点计算机病毒的生命周期

4、发作阶段1、潜伏阶段2、传染阶段3、触发阶段

目前三十一页\总数四十三页\编于九点网络恶意代码的运行周期寻找目标在目标之中将自身保存恶意代码执行目标系统中的触发目标系统之中长期存活于让自身保存线触发线

目前三十二页\总数四十三页\编于九点寻找目标在目标之中将自身保存恶意代码执行目标系统中的触发目标系统之中长期存活于让自身寻找目标在目标之中将自身保存恶意代码执行目标系统中的触发目标系统之中长期存活于让自身寻找目标本地文件（.exe,.scr,.doc,vbs…）可移动存储设备电子邮件地址远程计算机系统……

目前三十三页\总数四十三页\编于九点寻找目标在目标之中将自身保存恶意代码执行目标系统中的触发目标系统之中长期存活于让自身在目标之中将自身保存恶意代码执行目标系统中的触发目标系统之中长期存活于让自身主动型—程序自身实现病毒，蠕虫被动型-人为实现物理接触植入入侵之后手工植入用户自己下载（姜太公钓鱼）访问恶意网站……多用于木马，后门，Rootkit…

目前三十四页\总数四十三页\编于九点寻找目标在目标之中将自身保存恶意代码执行目标系统中的触发目标系统之中长期存活于让自身恶意代码执行目标系统中的触发目标系统之中长期存活于让自身主动触发蠕虫各种漏洞（如缓冲区溢出）恶意网站网页木马被动触发初次人为触发双击执行，或命令行运行打开可移动存储设备…打开本地磁盘……系统重启后的触发各种启动项（如注册表，启动文件…）

目前三十五页\总数四十三页\编于九点寻找目标在目标之中将自身保存恶意代码执行目标系统中的触发目标系统之中长期存活于让自身目标系统之中长期存活于让自身静态存在形式文件（Exe,Dll…）启动项（修改注册表、各种启动文件…）……动态存在形式进程（自创进程或插入到其他进程之中）服务端口（对外通信）……以上也是恶意代码检测的基础和依据所在；而恶意代码本身也会对文件、启动项、进程、端口、服务等进行隐藏--〉即RootKit。

目前三十六页\总数四十三页\编于九点上网安全意识—恶意代码篇寻找目标在目标之中将自身保存恶意代码执行目标系统中的触发目标系统之中长期存活于让自身安装反病毒软件和防火墙及时更新系统补丁、病毒库不访问恶意网站为系统设置系统密码离开计算机时锁定计算机不从不知名网站下载软件拒绝各种诱惑（如色情）移动存储设备的可写开关……及时更新系统补丁、病毒库对系统关键程序（如cmd.exe）作权限保护不运行来历不明文件（包括数据文件）养成安全的移动存储设备使用习惯定期备份与还原系统关注系统启动项和系统目录中的可执行文件……安装杀毒软件，更新病毒库定期备份与还原系统清除异常系统启动项与