第8章惡意軟件

1、第八章 惡意軟件防范,2學(xué)時,四道防線,第一道防線：網(wǎng)絡(luò)與系統(tǒng)接入控制 防止 第二道防線：用戶管理與資源訪問/數(shù)據(jù)存取控制 阻止 第三道防線：病毒防范與動態(tài)安全管理。 檢測 第四道防線：災(zāi)難預(yù)防與系統(tǒng)恢復(fù)（備份）。 糾正,一、 基本概念,惡意軟件：執(zhí)行非法命令的程序或程序片段，通常帶有惡意。惡意代碼：包含惡意軟件邏輯的程序代碼。惡意軟件載荷：惡意軟件想要實現(xiàn)的惡意

2、行為。,分類,按照如何執(zhí)行惡意行為和如何自我傳播分,復(fù)制,1 病毒的概念,計算機病毒是一種特殊的計算機程序，它可以隱藏在看起來無害的程序中，也可以生成自身的拷貝并插入到其他程序中。病毒通常會進行一些惡意的破壞活動或惡作劇，使用戶的網(wǎng)絡(luò)或信息系統(tǒng)遭受浩劫。病毒是可以插入正常程序的可執(zhí)行代碼中的代碼序列。,1994年2月18日，我國正式頒布實施《中華人民共和國計算機信息系統(tǒng)安全保護條例》的第二十八條中明確指出：“計算機病毒，是指編制或者在

3、計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼?！贝硕x具有法律性、權(quán)威性。,2 蠕蟲,一種進行自我復(fù)制的程序1988蠕蟲（unix）、SQL Slammer、nimda、code red通過永久性網(wǎng)絡(luò)連接或撥號網(wǎng)絡(luò)進行自身復(fù)制的程序。典型的蠕蟲程序只會在內(nèi)存中維持一個活動副本有兩種不同的變形：只會在一臺計算機上運行使用網(wǎng)絡(luò)連接作為神經(jīng)系統(tǒng)：章魚,3 僵尸,秘密獲取因

4、特網(wǎng)聯(lián)網(wǎng)計算機控制權(quán)的程序，它利用被感染的計算機發(fā)起攻擊，很難追溯到僵尸的制造者。常用于拒絕服務(wù)攻擊分布式拒絕服務(wù)攻擊Trinoo……,4 木馬,它是一個獨立的應(yīng)用程序，用以執(zhí)行未授權(quán)行為的惡意軟件完成一種用戶不了解，可能也不許可的活動。木馬不是病毒，無法自我復(fù)制。可以損害系統(tǒng)可以引發(fā)未預(yù)期的系統(tǒng)行為可以突破系統(tǒng)安全措施“特洛伊”,木馬的種類,遠程訪問木馬RAT反防護軟件木馬破壞型木馬數(shù)據(jù)發(fā)送型木馬拒絕服務(wù)攻擊

5、木馬DoS---DDoS代理型木馬,拒絕服務(wù)攻擊p8,分類：攻擊方法軟件漏洞利用洪泛攻擊從攻擊位置或觀察者的角度看單源攻擊（單個僵尸）多源攻擊DDoS,5 邏輯炸彈,編程代碼，有意或無意植入，特定條件下執(zhí)行。基于事件的病毒或木馬時間炸彈耶路撒冷（Jerusalem）別稱叫做“黑色星期五”。每逢十三號又是星期五的日子，這個病毒就會發(fā)作。而發(fā)作時將會終止所有使用者所執(zhí)行的程序，癥狀相當兇狠。米開朗基羅（Michelan

6、gelo）　每年到了3月6日米開朗基羅生日時，這個病毒就會以Format硬盤來為這位大師祝壽。,6 陷門,一種秘密的程序入口，繞過訪問控制規(guī)程，獲得訪問權(quán)。打開一個端口提供命令行環(huán)境,1 病毒的根本原理計算機系統(tǒng)的馮·諾伊曼體系結(jié)構(gòu)決定了計算機軟件的特征，也從根本上決定了計算機病毒的存在。,二、病毒分析,軟件是：工具；資源；知識產(chǎn)品；社會進步的標志；具有威懾力的武器；信息闡述和交流的工具; 特定裝置轉(zhuǎn)換成

7、邏輯裝置的手段；,軟件的特征,軟件可以：移植；非法入侵載體；存儲、進入多種媒體；非法入侵計算機系統(tǒng),軟件具有：寄生性；再生性； 可激發(fā)性；破壞性；攻擊性；,2 病毒的發(fā)展史,（1）計算機病毒出現(xiàn)之前的情況馮·諾伊曼（John Von Neumann）其論文《復(fù)雜自動裝置的理論及組識的進行》里已經(jīng)勾勒出病毒程序的藍圖。不過在當時，絕大部分的專家都無法想像會有這種能自我繁殖的程序。,（2）第一個真正的計算機病毒

8、1987年，第一個計算機病毒C-BRAIN誕生了。（3）DOS時代的著名病毒：（4）基于Windows環(huán)境的病毒：宏病毒（5）Internet時代，網(wǎng)絡(luò)病毒的崛起經(jīng)由網(wǎng)絡(luò)廣泛傳播是第二代病毒的特征,3 病毒的特點,傳染性破壞性隱蔽性潛伏性不可預(yù)見性未經(jīng)授權(quán)而執(zhí)行變異性進化性,這是病毒的基本特征。病毒一旦侵入系統(tǒng)，它會搜尋其他符合其傳染條件的程序或存儲介質(zhì)，確定目標后再將自身代碼插入其中，達到自我繁殖的目的。,傳

9、染性,破壞性,任何病毒只要侵入系統(tǒng)，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生程度不同的影響。輕者會降低計算機工作效率，占用系統(tǒng)資源，重者可導(dǎo)致系統(tǒng)崩潰。由此特性可將病毒分為良性病毒與惡性病毒。,病毒一般是具有很高編程技巧、短小精悍的程序。通常附在正常程序中或磁盤較隱蔽的地方，也有個別的以隱含文件形式出現(xiàn)。目的是不讓用戶發(fā)現(xiàn)它的存在。系統(tǒng)被感染病毒后一般情況下用戶是感覺不到它的存在的，只有在其發(fā)作，出現(xiàn)不正常反映時用戶才知道。,隱蔽性,潛伏性,大

10、部分的病毒感染系統(tǒng)之后一般不會馬上發(fā)作，它可長期隱藏在系統(tǒng)中，只有在滿足其特定條件時才啟動其表現(xiàn)（破壞）模塊。只有這樣它才可進行廣泛地傳播。,不可預(yù)見性,從對病毒的檢測方面來看，病毒還有不可預(yù)見性。由于目前的軟件種類極其豐富，且某些正常程序也使用了類似病毒的操作甚至借鑒了某些病毒的技術(shù)。病毒的制作技術(shù)也在不斷的提高，病毒對反病毒軟件永遠是超前的。,一般正常的程序是由用戶調(diào)用，再由系統(tǒng)分配資源，完成用戶交給的任務(wù)。其目的對用戶是可見的

11、、透明的。病毒具有正常程序的一切特性，它隱藏再正常程序中，當用戶調(diào)用正常程序時竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動作、目的對用戶時未知的，是未經(jīng)用戶允許的。,未經(jīng)授權(quán)而執(zhí)行,4 病毒結(jié)構(gòu)分析,病毒的種類雖多，但對病毒代碼進行分析、比較可看出，它們的主要結(jié)構(gòu)是類似的，有其共同特點。整個病毒代碼雖短小但通常包含三部分：引導(dǎo)部分傳染部分表現(xiàn)部分,引導(dǎo)部分作用是將病毒主體加載到內(nèi)存，為傳染部分做準備（如駐留內(nèi)存，修改中

12、斷，修改高端內(nèi)存，保存原中斷向量等操作）。傳染部分作用是將病毒代碼復(fù)制到傳染目標上去。不同類型的病毒在傳染方式，傳染條件上各有不同。,表現(xiàn)部分表現(xiàn)部分是病毒間差異最大的部分，前兩個部分也是為這部分服務(wù)的。大部分的病毒都是有一定條件才會觸發(fā)其表現(xiàn)部分的。如：以時鐘、計數(shù)器作為觸發(fā)條件的或用鍵盤輸入特定字符來觸發(fā)的。這一部分也是最為靈活的部分，這部分根據(jù)編制者的不同目的而千差萬別，或者根本沒有這部分。,,病毒一般會經(jīng)歷如下四個階段：

13、潛伏階段傳染階段觸發(fā)階段發(fā)作階段,病毒后果,格式化硬盤刪除文件破壞目錄輕則影響工作，重則系統(tǒng)癱瘓,,病毒寄生軟件盜版軟件公共軟件Internet下載軟件帶宏的數(shù)據(jù)文件E-mail的附件Attached,,病毒的來源：計算機愛好者的表現(xiàn)欲軟件加密游戲或惡作劇感情寄托計算機犯罪軟件缺陷開發(fā)商有意所為政府行為,5 病毒分類,1）引導(dǎo)扇區(qū)病毒引導(dǎo)扇區(qū)作為病毒宿主引導(dǎo)扇區(qū)病毒特點隱蔽性強兼容性強傳

14、染速度相對較慢殺毒容易,,2）文件型病毒病毒以可執(zhí)行程序作為宿主分類：覆蓋型前/后附加型伴隨型文件病毒,,3）多成分病毒混合病毒使用了不止一種感染機制文件+引導(dǎo)區(qū),,4）宏病毒所謂宏，就是軟件設(shè)計者為了在使用軟件工作時，避免一再的重復(fù)相同的動作而設(shè)計出來的一種工具。它利用簡單的語法，把常用的動作寫成宏，當再工作時，就可以直接利用事先寫好的宏自動運行，去完成某項特定的任務(wù)，而不必再重復(fù)相同的工作。所謂宏病毒，就是利用

15、軟件所支持的宏命令編寫成的具有復(fù)制、傳染能力的宏。,宏病毒的分類 宏病毒根據(jù)傳染的宿主的不同可以分為：傳染W(wǎng)ord的宏病毒、傳染Excel的宏病毒和傳染AmiPro的宏病毒。由于目前國內(nèi)Word系統(tǒng)應(yīng)用較多，所以大家談?wù)摰暮瓴《疽话闶侵竁ord宏病毒。,Word宏病毒的特點 （1）以數(shù)據(jù)文件方式傳播，隱蔽性好，傳播速度快，難于殺除 （2）制作宏病毒以及在原型病毒上變種非常方便 （3）破壞可能性極大

16、,Word宏病毒的表現(xiàn) Word宏病毒在發(fā)作時，會使Word運行出現(xiàn)怪現(xiàn)象，如自動建文件、開窗口、內(nèi)存總是不夠、關(guān)閉WORD不對已修改文件提出未存盤警告、存盤文件丟失等，有的使打印機無法正常打印。Word宏病毒在傳染時，會使原有文件屬性和類型發(fā)生改變，或Word自動對磁盤進行操作等。當內(nèi)存中有Word宏病毒時，原Word文檔無法另存為其他格式的文件，只能以模板形式進行存儲。,（1）對于已染病毒的NORMAL.DOT文件，

17、首先應(yīng)將NORMAL.DOT中的自動宏清除，然后將NORMAL.DOT置成只讀方式。（2）對于其它已感染病毒的文件均應(yīng)將自動宏清除，這樣就可以達到清除病毒的目的。（3）平時使用時要加強防范。定期檢查活動宏表，對來歷不明的宏最好予以刪除；如果發(fā)現(xiàn)后綴為.DOC的文件變成模板（.DOT）時，則可懷疑其已染宏病毒，其主要表現(xiàn)是在Save As文檔時，選擇文件類型的框變?yōu)榛疑?Word宏病毒的防范,（4）在啟動Word、創(chuàng)建文檔、打開文檔

18、、關(guān)閉文檔以及退出Word時，按住SHIFT鍵可以阻止自動宏的運行。例如，當用含有AutoNew宏的模板新建一文檔時，在“新建”對話框中單擊“確定”按鈕時按住SHIFT鍵，就可以阻止AutoNew宏的執(zhí)行。（5）存儲一個文檔時，務(wù)必明確指定該文檔的擴展名。宏病毒總是試圖把模板文件的擴展名加到你指定的文件名后面，無論擴展名是否已經(jīng)存在。例如，你指定文件名如下TEST.DOC，最終這個文件名會變?yōu)門EST.DOC.DOT，顯然這個文件名在

19、DOS下不可接受的。由此就可以察覺到宏病毒的存在。,,宏病毒的清除（1）手工清除Word宏病毒（2）使用殺毒軟件清除Word宏病毒,,5）腳本病毒可以嵌入HTML腳本的惡意代碼VBscript, Jscript,6 病毒的防范,防殺結(jié)合，防范為主。通常的防范手段：行為監(jiān)控器掃描器完整性檢查器,三、惡意軟件防范技術(shù),基于防火墻的防范 利用IPS防范入侵基于惡軟防范軟件的防范——殺毒軟件,反病毒軟件,第一代：簡單的掃描

20、程序第二代：啟發(fā)式的掃描程序第三代：主動設(shè)置陷阱第四代：全面的預(yù)防措施,網(wǎng)絡(luò)反病毒技術(shù)的特點,反病毒技術(shù)的安全度取決于“木桶理論”計算機網(wǎng)絡(luò)病毒防治是計算機安全極為重要的一個方面，它同樣也適用于木桶理論。一個計算機網(wǎng)絡(luò)，對病毒的防御能力取決于網(wǎng)絡(luò)中病毒防護能力最薄弱的一個節(jié)點。,網(wǎng)絡(luò)反病毒技術(shù)尤其是網(wǎng)絡(luò)病毒實時監(jiān)測技術(shù)應(yīng)符合“最小占用”原則 該技術(shù)符合“最小占用”原則，對網(wǎng)絡(luò)運行效率不產(chǎn)生本質(zhì)影響。

21、 網(wǎng)絡(luò)反病毒產(chǎn)品自身的運行中不應(yīng)影響網(wǎng)絡(luò)的正常運行，以保證網(wǎng)絡(luò)反病毒技術(shù)和網(wǎng)絡(luò)本身都能發(fā)揮出應(yīng)有的正常功能。,網(wǎng)絡(luò)反病毒技術(shù)的兼容性是網(wǎng)絡(luò)防毒的重點與難點按照一定網(wǎng)絡(luò)反病毒技術(shù)開發(fā)出來的網(wǎng)絡(luò)反病毒產(chǎn)品，要運行于多種軟、硬件之上，與它們和平共處，遠比單機反病毒產(chǎn)品復(fù)雜。這既是網(wǎng)絡(luò)反病毒技術(shù)必須面對的難點，又是其必須解決的重點。,四、防護方針,安全設(shè)置病毒特征文件更新磁盤管理掃描電子郵件策略用戶策略用戶培訓(xùn)

22、,電子郵件病毒,電子郵件病毒的防范:（1）思想上要有防毒意識（2）使用防毒軟件,相關(guān)知識,《計算機病毒防治管理辦法》中華人民共和國公安部令第51號《關(guān)于對生產(chǎn)銷售計算機病毒檢測、清除、防護工具產(chǎn)品進行審批的通告》北京市公安局通告１９９５年第２０號）中華人民共和國社會公共安全行業(yè)標準計算機病毒防治產(chǎn)品評級準則（GA 243-2000）,世界第一黑客提出的個人計算機安全十大建議,備份資料。記住你的系統(tǒng)永遠不會是無懈可擊的，災(zāi)難性

23、的數(shù)據(jù)損失會發(fā)生在你身上———只需一條蟲子或一只木馬就已足夠。選擇很難猜的密碼。不要沒有腦子地填上幾個與你有關(guān)的數(shù)字，在任何情況下，都要及時修改默認密碼。安裝防毒軟件，并讓它每天更新升級。及時更新操作系統(tǒng)，時刻留意軟件制造商發(fā)布的各種補丁，并及時安裝應(yīng)用。不用電腦時候千萬別忘了斷開網(wǎng)線和電源。在IE或其它瀏覽器中會出現(xiàn)一些黑客魚餌，對此要保持清醒，拒絕點擊，同時將電子郵件客戶端的自動腳本功能關(guān)閉。在發(fā)送敏感郵件時使用加密軟件