第8章惡意軟件

1、第八章 惡意軟件防范,2學(xué)時(shí),四道防線,第一道防線：網(wǎng)絡(luò)與系統(tǒng)接入控制 防止 第二道防線：用戶(hù)管理與資源訪問(wèn)/數(shù)據(jù)存取控制 阻止 第三道防線：病毒防范與動(dòng)態(tài)安全管理。 檢測(cè) 第四道防線：災(zāi)難預(yù)防與系統(tǒng)恢復(fù)（備份）。 糾正,一、 基本概念,惡意軟件：執(zhí)行非法命令的程序或程序片段，通常帶有惡意。惡意代碼：包含惡意軟件邏輯的程序代碼。惡意軟件載荷：惡意軟件想要實(shí)現(xiàn)的惡意

2、行為。,分類(lèi),按照如何執(zhí)行惡意行為和如何自我傳播分,復(fù)制,1 病毒的概念,計(jì)算機(jī)病毒是一種特殊的計(jì)算機(jī)程序，它可以隱藏在看起來(lái)無(wú)害的程序中，也可以生成自身的拷貝并插入到其他程序中。病毒通常會(huì)進(jìn)行一些惡意的破壞活動(dòng)或惡作劇，使用戶(hù)的網(wǎng)絡(luò)或信息系統(tǒng)遭受浩劫。病毒是可以插入正常程序的可執(zhí)行代碼中的代碼序列。,1994年2月18日，我國(guó)正式頒布實(shí)施《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》的第二十八條中明確指出：“計(jì)算機(jī)病毒，是指編制或者在

3、計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。”此定義具有法律性、權(quán)威性。,2 蠕蟲(chóng),一種進(jìn)行自我復(fù)制的程序1988蠕蟲(chóng)（unix）、SQL Slammer、nimda、code red通過(guò)永久性網(wǎng)絡(luò)連接或撥號(hào)網(wǎng)絡(luò)進(jìn)行自身復(fù)制的程序。典型的蠕蟲(chóng)程序只會(huì)在內(nèi)存中維持一個(gè)活動(dòng)副本有兩種不同的變形：只會(huì)在一臺(tái)計(jì)算機(jī)上運(yùn)行使用網(wǎng)絡(luò)連接作為神經(jīng)系統(tǒng)：章魚(yú),3 僵尸,秘密獲取因

4、特網(wǎng)聯(lián)網(wǎng)計(jì)算機(jī)控制權(quán)的程序，它利用被感染的計(jì)算機(jī)發(fā)起攻擊，很難追溯到僵尸的制造者。常用于拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊Trinoo……,4 木馬,它是一個(gè)獨(dú)立的應(yīng)用程序，用以執(zhí)行未授權(quán)行為的惡意軟件完成一種用戶(hù)不了解，可能也不許可的活動(dòng)。木馬不是病毒，無(wú)法自我復(fù)制?？梢該p害系統(tǒng)可以引發(fā)未預(yù)期的系統(tǒng)行為可以突破系統(tǒng)安全措施“特洛伊”,木馬的種類(lèi),遠(yuǎn)程訪問(wèn)木馬RAT反防護(hù)軟件木馬破壞型木馬數(shù)據(jù)發(fā)送型木馬拒絕服務(wù)攻擊

5、木馬DoS---DDoS代理型木馬,拒絕服務(wù)攻擊p8,分類(lèi)：攻擊方法軟件漏洞利用洪泛攻擊從攻擊位置或觀察者的角度看單源攻擊（單個(gè)僵尸）多源攻擊DDoS,5 邏輯炸彈,編程代碼，有意或無(wú)意植入，特定條件下執(zhí)行?；谑录牟《净蚰抉R時(shí)間炸彈耶路撒冷（Jerusalem）別稱(chēng)叫做“黑色星期五”。每逢十三號(hào)又是星期五的日子，這個(gè)病毒就會(huì)發(fā)作。而發(fā)作時(shí)將會(huì)終止所有使用者所執(zhí)行的程序，癥狀相當(dāng)兇狠。米開(kāi)朗基羅（Michelan

6、gelo）　每年到了3月6日米開(kāi)朗基羅生日時(shí)，這個(gè)病毒就會(huì)以Format硬盤(pán)來(lái)為這位大師祝壽。,6 陷門(mén),一種秘密的程序入口，繞過(guò)訪問(wèn)控制規(guī)程，獲得訪問(wèn)權(quán)。打開(kāi)一個(gè)端口提供命令行環(huán)境,1 病毒的根本原理計(jì)算機(jī)系統(tǒng)的馮·諾伊曼體系結(jié)構(gòu)決定了計(jì)算機(jī)軟件的特征，也從根本上決定了計(jì)算機(jī)病毒的存在。,二、病毒分析,軟件是：工具；資源；知識(shí)產(chǎn)品；社會(huì)進(jìn)步的標(biāo)志；具有威懾力的武器；信息闡述和交流的工具; 特定裝置轉(zhuǎn)換成

7、邏輯裝置的手段；,軟件的特征,軟件可以：移植；非法入侵載體；存儲(chǔ)、進(jìn)入多種媒體；非法入侵計(jì)算機(jī)系統(tǒng),軟件具有：寄生性；再生性； 可激發(fā)性；破壞性；攻擊性；,2 病毒的發(fā)展史,（1）計(jì)算機(jī)病毒出現(xiàn)之前的情況馮·諾伊曼（John Von Neumann）其論文《復(fù)雜自動(dòng)裝置的理論及組識(shí)的進(jìn)行》里已經(jīng)勾勒出病毒程序的藍(lán)圖。不過(guò)在當(dāng)時(shí)，絕大部分的專(zhuān)家都無(wú)法想像會(huì)有這種能自我繁殖的程序。,（2）第一個(gè)真正的計(jì)算機(jī)病毒

8、1987年，第一個(gè)計(jì)算機(jī)病毒C-BRAIN誕生了。（3）DOS時(shí)代的著名病毒：（4）基于Windows環(huán)境的病毒：宏病毒（5）Internet時(shí)代，網(wǎng)絡(luò)病毒的崛起經(jīng)由網(wǎng)絡(luò)廣泛傳播是第二代病毒的特征,3 病毒的特點(diǎn),傳染性破壞性隱蔽性潛伏性不可預(yù)見(jiàn)性未經(jīng)授權(quán)而執(zhí)行變異性進(jìn)化性,這是病毒的基本特征。病毒一旦侵入系統(tǒng)，它會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì)，確定目標(biāo)后再將自身代碼插入其中，達(dá)到自我繁殖的目的。,傳

9、染性,破壞性,任何病毒只要侵入系統(tǒng)，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會(huì)降低計(jì)算機(jī)工作效率，占用系統(tǒng)資源，重者可導(dǎo)致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。,病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤(pán)較隱蔽的地方，也有個(gè)別的以隱含文件形式出現(xiàn)。目的是不讓用戶(hù)發(fā)現(xiàn)它的存在。系統(tǒng)被感染病毒后一般情況下用戶(hù)是感覺(jué)不到它的存在的，只有在其發(fā)作，出現(xiàn)不正常反映時(shí)用戶(hù)才知道。,隱蔽性,潛伏性,大

10、部分的病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，它可長(zhǎng)期隱藏在系統(tǒng)中，只有在滿足其特定條件時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊。只有這樣它才可進(jìn)行廣泛地傳播。,不可預(yù)見(jiàn)性,從對(duì)病毒的檢測(cè)方面來(lái)看，病毒還有不可預(yù)見(jiàn)性。由于目前的軟件種類(lèi)極其豐富，且某些正常程序也使用了類(lèi)似病毒的操作甚至借鑒了某些病毒的技術(shù)。病毒的制作技術(shù)也在不斷的提高，病毒對(duì)反病毒軟件永遠(yuǎn)是超前的。,一般正常的程序是由用戶(hù)調(diào)用，再由系統(tǒng)分配資源，完成用戶(hù)交給的任務(wù)。其目的對(duì)用戶(hù)是可見(jiàn)的

11、、透明的。病毒具有正常程序的一切特性，它隱藏再正常程序中，當(dāng)用戶(hù)調(diào)用正常程序時(shí)竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動(dòng)作、目的對(duì)用戶(hù)時(shí)未知的，是未經(jīng)用戶(hù)允許的。,未經(jīng)授權(quán)而執(zhí)行,4 病毒結(jié)構(gòu)分析,病毒的種類(lèi)雖多，但對(duì)病毒代碼進(jìn)行分析、比較可看出，它們的主要結(jié)構(gòu)是類(lèi)似的，有其共同特點(diǎn)。整個(gè)病毒代碼雖短小但通常包含三部分：引導(dǎo)部分傳染部分表現(xiàn)部分,引導(dǎo)部分作用是將病毒主體加載到內(nèi)存，為傳染部分做準(zhǔn)備（如駐留內(nèi)存，修改中

12、斷，修改高端內(nèi)存，保存原中斷向量等操作）。傳染部分作用是將病毒代碼復(fù)制到傳染目標(biāo)上去。不同類(lèi)型的病毒在傳染方式，傳染條件上各有不同。,表現(xiàn)部分表現(xiàn)部分是病毒間差異最大的部分，前兩個(gè)部分也是為這部分服務(wù)的。大部分的病毒都是有一定條件才會(huì)觸發(fā)其表現(xiàn)部分的。如：以時(shí)鐘、計(jì)數(shù)器作為觸發(fā)條件的或用鍵盤(pán)輸入特定字符來(lái)觸發(fā)的。這一部分也是最為靈活的部分，這部分根據(jù)編制者的不同目的而千差萬(wàn)別，或者根本沒(méi)有這部分。,,病毒一般會(huì)經(jīng)歷如下四個(gè)階段：

13、潛伏階段傳染階段觸發(fā)階段發(fā)作階段,病毒后果,格式化硬盤(pán)刪除文件破壞目錄輕則影響工作，重則系統(tǒng)癱瘓,,病毒寄生軟件盜版軟件公共軟件Internet下載軟件帶宏的數(shù)據(jù)文件E-mail的附件Attached,,病毒的來(lái)源：計(jì)算機(jī)愛(ài)好者的表現(xiàn)欲軟件加密游戲或惡作劇感情寄托計(jì)算機(jī)犯罪軟件缺陷開(kāi)發(fā)商有意所為政府行為,5 病毒分類(lèi),1）引導(dǎo)扇區(qū)病毒引導(dǎo)扇區(qū)作為病毒宿主引導(dǎo)扇區(qū)病毒特點(diǎn)隱蔽性強(qiáng)兼容性強(qiáng)傳

14、染速度相對(duì)較慢殺毒容易,,2）文件型病毒病毒以可執(zhí)行程序作為宿主分類(lèi)：覆蓋型前/后附加型伴隨型文件病毒,,3）多成分病毒混合病毒使用了不止一種感染機(jī)制文件+引導(dǎo)區(qū),,4）宏病毒所謂宏，就是軟件設(shè)計(jì)者為了在使用軟件工作時(shí)，避免一再的重復(fù)相同的動(dòng)作而設(shè)計(jì)出來(lái)的一種工具。它利用簡(jiǎn)單的語(yǔ)法，把常用的動(dòng)作寫(xiě)成宏，當(dāng)再工作時(shí)，就可以直接利用事先寫(xiě)好的宏自動(dòng)運(yùn)行，去完成某項(xiàng)特定的任務(wù)，而不必再重復(fù)相同的工作。所謂宏病毒，就是利用

15、軟件所支持的宏命令編寫(xiě)成的具有復(fù)制、傳染能力的宏。,宏病毒的分類(lèi) 宏病毒根據(jù)傳染的宿主的不同可以分為：傳染W(wǎng)ord的宏病毒、傳染Excel的宏病毒和傳染AmiPro的宏病毒。由于目前國(guó)內(nèi)Word系統(tǒng)應(yīng)用較多，所以大家談?wù)摰暮瓴《疽话闶侵竁ord宏病毒。,Word宏病毒的特點(diǎn) （1）以數(shù)據(jù)文件方式傳播，隱蔽性好，傳播速度快，難于殺除 （2）制作宏病毒以及在原型病毒上變種非常方便 （3）破壞可能性極大

16、,Word宏病毒的表現(xiàn) Word宏病毒在發(fā)作時(shí)，會(huì)使Word運(yùn)行出現(xiàn)怪現(xiàn)象，如自動(dòng)建文件、開(kāi)窗口、內(nèi)存總是不夠、關(guān)閉WORD不對(duì)已修改文件提出未存盤(pán)警告、存盤(pán)文件丟失等，有的使打印機(jī)無(wú)法正常打印。Word宏病毒在傳染時(shí)，會(huì)使原有文件屬性和類(lèi)型發(fā)生改變，或Word自動(dòng)對(duì)磁盤(pán)進(jìn)行操作等。當(dāng)內(nèi)存中有Word宏病毒時(shí)，原Word文檔無(wú)法另存為其他格式的文件，只能以模板形式進(jìn)行存儲(chǔ)。,（1）對(duì)于已染病毒的NORMAL.DOT文件，

17、首先應(yīng)將NORMAL.DOT中的自動(dòng)宏清除，然后將NORMAL.DOT置成只讀方式。（2）對(duì)于其它已感染病毒的文件均應(yīng)將自動(dòng)宏清除，這樣就可以達(dá)到清除病毒的目的。（3）平時(shí)使用時(shí)要加強(qiáng)防范。定期檢查活動(dòng)宏表，對(duì)來(lái)歷不明的宏最好予以刪除；如果發(fā)現(xiàn)后綴為.DOC的文件變成模板（.DOT）時(shí)，則可懷疑其已染宏病毒，其主要表現(xiàn)是在Save As文檔時(shí)，選擇文件類(lèi)型的框變?yōu)榛疑?Word宏病毒的防范,（4）在啟動(dòng)Word、創(chuàng)建文檔、打開(kāi)文檔

18、、關(guān)閉文檔以及退出Word時(shí)，按住SHIFT鍵可以阻止自動(dòng)宏的運(yùn)行。例如，當(dāng)用含有AutoNew宏的模板新建一文檔時(shí)，在“新建”對(duì)話框中單擊“確定”按鈕時(shí)按住SHIFT鍵，就可以阻止AutoNew宏的執(zhí)行。（5）存儲(chǔ)一個(gè)文檔時(shí)，務(wù)必明確指定該文檔的擴(kuò)展名。宏病毒總是試圖把模板文件的擴(kuò)展名加到你指定的文件名后面，無(wú)論擴(kuò)展名是否已經(jīng)存在。例如，你指定文件名如下TEST.DOC，最終這個(gè)文件名會(huì)變?yōu)門(mén)EST.DOC.DOT，顯然這個(gè)文件名在

19、DOS下不可接受的。由此就可以察覺(jué)到宏病毒的存在。,,宏病毒的清除（1）手工清除Word宏病毒（2）使用殺毒軟件清除Word宏病毒,,5）腳本病毒可以嵌入HTML腳本的惡意代碼VBscript, Jscript,6 病毒的防范,防殺結(jié)合，防范為主。通常的防范手段：行為監(jiān)控器掃描器完整性檢查器,三、惡意軟件防范技術(shù),基于防火墻的防范 利用IPS防范入侵基于惡軟防范軟件的防范——?dú)⒍拒浖?反病毒軟件,第一代：簡(jiǎn)單的掃描

20、程序第二代：?jiǎn)l(fā)式的掃描程序第三代：主動(dòng)設(shè)置陷阱第四代：全面的預(yù)防措施,網(wǎng)絡(luò)反病毒技術(shù)的特點(diǎn),反病毒技術(shù)的安全度取決于“木桶理論”計(jì)算機(jī)網(wǎng)絡(luò)病毒防治是計(jì)算機(jī)安全極為重要的一個(gè)方面，它同樣也適用于木桶理論。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，對(duì)病毒的防御能力取決于網(wǎng)絡(luò)中病毒防護(hù)能力最薄弱的一個(gè)節(jié)點(diǎn)。,網(wǎng)絡(luò)反病毒技術(shù)尤其是網(wǎng)絡(luò)病毒實(shí)時(shí)監(jiān)測(cè)技術(shù)應(yīng)符合“最小占用”原則 該技術(shù)符合“最小占用”原則，對(duì)網(wǎng)絡(luò)運(yùn)行效率不產(chǎn)生本質(zhì)影響。

21、 網(wǎng)絡(luò)反病毒產(chǎn)品自身的運(yùn)行中不應(yīng)影響網(wǎng)絡(luò)的正常運(yùn)行，以保證網(wǎng)絡(luò)反病毒技術(shù)和網(wǎng)絡(luò)本身都能發(fā)揮出應(yīng)有的正常功能。,網(wǎng)絡(luò)反病毒技術(shù)的兼容性是網(wǎng)絡(luò)防毒的重點(diǎn)與難點(diǎn)按照一定網(wǎng)絡(luò)反病毒技術(shù)開(kāi)發(fā)出來(lái)的網(wǎng)絡(luò)反病毒產(chǎn)品，要運(yùn)行于多種軟、硬件之上，與它們和平共處，遠(yuǎn)比單機(jī)反病毒產(chǎn)品復(fù)雜。這既是網(wǎng)絡(luò)反病毒技術(shù)必須面對(duì)的難點(diǎn)，又是其必須解決的重點(diǎn)。,四、防護(hù)方針,安全設(shè)置病毒特征文件更新磁盤(pán)管理掃描電子郵件策略用戶(hù)策略用戶(hù)培訓(xùn)

22、,電子郵件病毒,電子郵件病毒的防范:（1）思想上要有防毒意識(shí)（2）使用防毒軟件,相關(guān)知識(shí),《計(jì)算機(jī)病毒防治管理辦法》中華人民共和國(guó)公安部令第51號(hào)《關(guān)于對(duì)生產(chǎn)銷(xiāo)售計(jì)算機(jī)病毒檢測(cè)、清除、防護(hù)工具產(chǎn)品進(jìn)行審批的通告》北京市公安局通告１９９５年第２０號(hào)）中華人民共和國(guó)社會(huì)公共安全行業(yè)標(biāo)準(zhǔn)計(jì)算機(jī)病毒防治產(chǎn)品評(píng)級(jí)準(zhǔn)則（GA 243-2000）,世界第一黑客提出的個(gè)人計(jì)算機(jī)安全十大建議,備份資料。記住你的系統(tǒng)永遠(yuǎn)不會(huì)是無(wú)懈可擊的，災(zāi)難性

23、的數(shù)據(jù)損失會(huì)發(fā)生在你身上———只需一條蟲(chóng)子或一只木馬就已足夠。選擇很難猜的密碼。不要沒(méi)有腦子地填上幾個(gè)與你有關(guān)的數(shù)字，在任何情況下，都要及時(shí)修改默認(rèn)密碼。安裝防毒軟件，并讓它每天更新升級(jí)。及時(shí)更新操作系統(tǒng)，時(shí)刻留意軟件制造商發(fā)布的各種補(bǔ)丁，并及時(shí)安裝應(yīng)用。不用電腦時(shí)候千萬(wàn)別忘了斷開(kāi)網(wǎng)線和電源。在IE或其它瀏覽器中會(huì)出現(xiàn)一些黑客魚(yú)餌，對(duì)此要保持清醒，拒絕點(diǎn)擊，同時(shí)將電子郵件客戶(hù)端的自動(dòng)腳本功能關(guān)閉。在發(fā)送敏感郵件時(shí)使用加密軟件