[互联网]第11章计算机病毒、恶意代码及防范.ppt

,随着计算机在各行业的大量应用，计算机病毒也随之渗透到计算机世界的各个角落，常以人们意想不到的方式侵入计算机系统。计算机病毒的流行引起了人们的普遍关注，成为影响计算机安全运行的一个重要因素。随着网络的普及，计算机病毒的传播速度大大加快，传播形式与破坏方式也有了新的变化。本章将讨论计算机病毒的问题。,引言,第11章 计算机病毒、而以代码及防范,11.1 计算机病毒概述 概念；特征；分类；传播；防范方法11.2 计算机网络病毒及防范方法 特点；防范方法11.3 网络恶意代码及防范方法 概念；分类；关键技术；防范方法11.4 网络病毒与恶意代码实例,11.1 计算机病毒概述,计算机病毒(Computer Virus)与生物学上的“病毒”不同，它不是天然存在的，而是某些人利用计算机软件与硬件的缺陷，编制的具有特殊功能的程序。由于计算机病毒具有与生物学病毒相类似的特征（潜伏性、传染性、发作期等），所以人们就形象地将生物学中的病毒引入到计算机科学中。早在1949年，电脑的先驱者冯诺伊曼在他的一篇文章复杂自动装置的理论及组织的行为中就提出了一种会自我繁殖的程序的可能，但没引起注意。“计算机病毒”这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说P1的青春中提出。,11.1 计算机病毒概述,1983年美国的Fred Cohen博士曾对计算机病毒进行过定义：计算机病毒是一种程序，它用修改其它程序的方法将自身的精确拷贝或者可能演化的拷贝放入到其它程序，从而感染其它程序。由于这种感染特性，病毒可以在信息流的过渡途径中传播，从而破坏信息的完整性。在1988年他又著文强调：病毒不是利用操作系统运作的错误和缺陷的程序，病毒是正常的程序，它们仅使用了那些每天都被使用的正常操作。上述定义，被美国的计算机专家在有关病毒的论文中频繁引用。1994年2月18日，我国正式实施了中华人民共和国计算机信息系统安全保护条例，在条例二十八条中明确指出：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,表11.1 我国最近8年流行病毒,11.1.2 计算机病毒特征,1.寄生性 计算机病毒寄生在其他程序之中，被嵌入的程序叫做宿主程序。当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。2.传染性（感染性）计算机病毒不但本身具有破坏性，更有害的是具有传染性，一旦病毒被复制或产生变种，其速度之快令人难以预防。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散。3.潜伏性 计算机病毒潜伏性是指计算机病毒可以依附于其它媒体寄生的能力，侵入后的病毒潜伏到条件成熟才发作。例如黑色星期五病毒，不到预定时间一点都觉察不出来，等到条件具备的时候一下子就爆炸开来，对系统进行破坏。,11.1.2 计算机病毒特征,4.隐蔽性 有些病毒通过隐藏自己而防止被检测出来。具有隐蔽性的病毒把自己伪装成合法的程序或用其具有破坏性的代码替换掉合法程序的部分代码。5.破坏性 计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。通常表现为：增、删、改、移。6.可触发性 病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作，使病毒进行感染或攻击；如果不满足，使病毒继续潜伏。例如所谓的时间炸弹（Time bombs），能够在发作日期到来之前一直保持潜伏和无害状态。,11.1.2 计算机病毒特征,7.加密性：有些病毒通过加密而防止被检测出来。大多数病毒扫描软件就是通过搜索文件来发现那些标识病毒的字符串而扫描病毒的。如果病毒被加密了，它就会阻止反病毒程序对它进行检测。8.多态性：具有多态性的病毒在每次传输到一个新的系统时都会修改它们自己的特性（例如，对它们的字节、大小和内部指令的安排），这样就使得要辨认它们变得更加困难。有些多态性病毒使用复杂的算法并编入一些乱七八糟的命令来达到这种修改的目的。多态性病毒被认为是最复杂并且潜在威胁最大的一种病毒。,11.1.3 计算机病毒的分类,目前出现的计算机病毒种类繁多，同时，一种病毒也可能发生多种变形。根据计算机病毒的特征和表现的不同，计算机病毒有多种分类方法。1.按照计算机病毒存在的媒体进行分类：根据病毒存在的媒体，病毒可以划分为网络病毒，文件病毒，引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件，文件病毒感染计算机中的文件（如：COM，EXE，DOC等），引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。,11.1.3 计算机病毒的分类,2.按照计算机病毒传染的方法进行分类：这类病毒可分为驻留型病毒和非驻留型病毒，驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，他处于激活状态，一直到关机或重新启动。非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染，这类病毒也被划分为非驻留型病毒。,11.1.3 计算机病毒的分类,3.根据病毒破坏的能力可划分为以下几种：（1）无害型 除了传染时减少磁盘的可用空间外，对系统没有其它影响。（2）无危险型 这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。（3）危险型 这类病毒在计算机系统操作中造成严重的错误。（4）非常危险型 这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。这些病毒对系统造成的危害，并不是本身的算法中存在危险的调用，而是当它们传染时会引起无法预料的和灾难性的破坏。,11.1.3 计算机病毒的分类,4.根据病毒特有的算法，病毒可以划分为：（1）伴随型病毒，这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。（2）“蠕虫”型病毒，通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源。,11.1.3 计算机病毒的分类,4.根据病毒特有的算法，病毒可以划分为：（3）寄生型病毒 除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，它们依附在系统的引导扇区或文件中，通过系统的功能进行传播，按其算法不同可分为：练习型病毒，病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。（4）诡秘型病毒 它们一般不直接修改DOS中断和扇区数据，而是通过设备技术和文件缓冲区等DOS内部修改，不易看到资源，使用比较高级的技术。利用DOS空闲的数据区进行工作。,11.1.3 计算机病毒的分类,4.根据病毒特有的算法，病毒可以划分为：（5）宏病毒 1995年，随着Microsoft Word功能的增强，出现了使用Word宏语言编写的宏病毒，这类病毒感染Word文档文件，彻底改变了人们“数据文件不会感染病毒”的传统观念。虽然宏病毒可以在任何一个功能丰富的宏语言的应用程序下创建，但多数还是在微软Office程序下运行的。（6）变型病毒（又称幽灵病毒）这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。,11.1.4 计算机病毒的传播,计算机病毒的传播途径有多种，它随着信息技术的发展而逐步进化，主要可以分为如下五种：1.通过不可移动的计算机硬件设备进行传播。这些设备通常有计算机的专用ASIC芯片和硬盘等。这种计算机病毒虽然很少，但却有极强的破坏能力。2.通过移动存储设备传播。这些设备主要包括U盘、光盘、磁带等。目前，U盘是使用最广泛、移动最频繁的存储介质，因此也成为校园网、企业网中传播病毒的主要移动设备。3.通过计算机网络进行传播。计算机病毒可以附着在正常文件中，通过Internet进入一个又一个系统中，这也是目前最主要的计算机病毒传播方式。4.通过点对点通信系统和无线信道传播。虽然这种病毒现今还不多，但是已经出现端倪，比如手机病毒“Cabir”，就是利用了手机中的蓝牙技术进行传播。但随着科技的进步，这种传播方式极可能成为未来计算机病毒的主要扩散渠道。,11.1.4 计算机病毒的传播,病毒的繁衍方式、传播方式不断地变化，反病毒技术也应该在与病毒对抗的同时不断推陈出新。现在，防治感染病毒主要有两种手段：一是用户遵守和加强安全操作控制措施，在思想上要重视病毒可能造成的危害；二是在安全操作的基础上，使用硬件和软件防病毒工具，利用网络的优势，把防病毒纳入到网络安全体系之中。形成一套完整的安全机制，使病毒无法逾越计算机安全保护的屏障，病毒便无法广泛传播。实践证明，通过这些防护措施和手段，可以有效地降低计算机系统被病毒感染的几率，保障系统的安全稳定运行。,11.1.5 计算机病毒的防范方法,对病毒的预防在病毒防治工作中起到主导作用。病毒预防是一个主动的过程，不是针对某一种病毒，而是针对病毒可能入侵的系统薄弱环节加以保护和监控。而病毒治疗属于一个被动的过程。只有在发现一种病毒进行研究以后，才可以找到相应的治疗方法，这也是杀毒软件总是落后于病毒软件的原因。所以，病毒的防治重点应放在预防上。防治计算机病毒要从以下几个方面着手。,11.1.5 计算机病毒的防范方法,1.在思想和制度方面1)加强立法、健全管理制度法律是国家强制实施的、公民必须遵循的行为准则。对信息资源要有相应的立法。为此，国家专门出台了中华人民共和国计算机信息系统安全保护条例、中华人民共和国信息网络国际联网管理暂行规定来约束用户的行为，保护守法的计算机用户的合法权益。除国家制定的法律、法规外，凡使用计算机的单位都应制定相应的管理制度，避免蓄意制造、传播病毒的恶性事件发生。例如，建立安全管理责任，根据最小特权原则，对系统的工作人员和资源进行访问权限划分；建立人员许可证制度，对外来人员上机实行登记制度等。,11.1.5 计算机病毒的防范方法,2)加强教育和宣传，打击盗版加强计算机安全教育，使计算机的使用者能学习和掌握一些必备的反病毒知识和防范措施，使网络资源得到正常合理的使用，防止信息系统及其软件的破坏，防止非法用户的入侵干扰，防止有害信息的传播。现在盗版软件泛滥，这也是造成病毒泛滥的原因之一。因此，加大执法力度，打击非法的盗版活动，使用正版软件是截断病毒扩散的重要手段。,11.1.5 计算机病毒的防范方法,2.在技术措施方面 除管理方面的措施外，防止计算机病毒的感染和蔓延还应采取有效的技术措施。应采用纵深防御的方法，采用多种阻塞渠道和多种安全机制对病毒进行隔离，这是保护计算机系统免遭病毒危害的有效方法。内部控制和外部控制相结合，设置相应的安全策略。常用的方法有系统安全、软件过滤、文件加密、生产过程控制、后备恢复和安装防病毒软件等措施。,11.1.5 计算机病毒的防范方法,1)系统安全 对病毒的预防依赖于计算机系统本身的安全，而系统的安全又首先依赖于操作系统的安全。开发并完善高安全的操作系统并向之迁移，例如，从DOS平台移至安全性较高的UNIX或Windows 2000平台，并且跟随版本和操作系统补丁的升级而全面升级，是有效防止病毒的入侵和蔓延的一种根本手段。2)软件过滤 软件过滤的目的是识别某一类特殊的病毒，防止它们进入系统和不断复制。对于进入系统内的病毒，一般采用专家系统对系统参数进行分析，以识别系统的不正常处和未经授权的改变。也可采用类似疫苗的方法识别和清除。,11.1.5 计算机病毒的防范方法,3)软件加密 软件加密是对付病毒的有效的技术措施，由于开销较大，目前只用于特别重要的系统。软件加密就是将系统中可执行文件加密。若施放病毒者不能在可执行文件加密前得到该文件，或不能破译加密算法，则该文件不可能被感染。即使病毒在可执行文件加密前传染了该文件，该文件解码后，病毒也不能向其他可执行文件传播，从而杜绝了病毒的复制。4)备份恢复 定期或不定期地进行磁盘文件备份，确保每一个细节的准确、可靠，在万一系统崩溃时最大限度地恢复系统。对付病毒破坏最有效的办法就是制作备份。将程序和数据分别备份在不同的磁盘上，当系统遭遇病毒袭击时，可通过与后备副本比较或重新装入一个备份的、干净的源程序来解决。,11.1.5 计算机病毒的防范方法,5)建立严密的病毒监视体系后台实时扫描病毒的应用程序也可有效地防御病毒的侵袭。它能对E-mail的附加部分、下载的Internet文件(包括压缩文件)、软盘以及正在打开的文件进行实时扫描检测，确认无异常后再继续向下执行，若有异常，则提问并停止执行。及时对反病毒软件进行升级，能有效地防止病毒的入侵和扩散。对于联网的计算机最好使用网络版的反病毒软件，这样便于集中管理、软件升级和病毒监控。,11.1.5 计算机病毒的防范方法,6)在内部网络出口进行访问控制 网络病毒一般都使用某些特定的端口收发数据包以进行网络传播，在网络出口的防火墙或路由器上禁止这些端口访问内部网络，可以有效地防止内部网络中计算机感染网络病毒。,11.1.5 计算机病毒的防范方法,11.2 网络计算机病毒及防范方法,网络病毒实际上是一个笼统的概念，可以从两方面理解。一是网络病毒专门指在网络上传播、并对网络进行破坏的病毒；二是网络病毒是指与Internet有关的病毒，如HTML病毒、电子邮件病毒、Java病毒等。网络病毒有以下特点：传播方式复杂：病毒入侵网络主要是通过电子邮件、网络共享、网页浏览、服务器共享目录等方式传播，病毒的传播方式多且复杂。传播速度快：在网络环境下，病毒可以通过网络通信机制，借助于网络线路进行迅速传输和扩散，特别是通过Internet，一种新出现的病毒可以迅速传播到全球各地。,传染范围广：网络范围的站点多，借助于网络中四通八达的传输线路，病毒可传播到网络的“各个角落”，乃至全球各地，所以，在网络环境下计算机病毒的传播范围广。清除难度大：在网络环境下，病毒感染的站点数量多，范围广。只要有一个站点的病毒未清除干净，它就会在网络上再次被传播开来，传染其他站点，甚至是刚刚完成清除任务的站点。,11.2 网络计算机病毒及防范方法,破坏危害大：网络病毒将直接影响网络的工作，轻则降低速度，影响工作效率，重则破坏服务器系统资源，造成网络系统瘫痪，使众多工作毁于一旦。病毒变种多：现在，计算机高级编程语言种类繁多，网络环境的编程语言也十分丰富，因此，利用这些编程语言编制的计算机病毒也是种类繁杂。病毒容易编写，也容易修改、升级，从而生成许多新的变种。,11.2 网络计算机病毒及防范方法,病毒功能多样化：病毒的编制技术随着网络技术的普及和发展也在不断发展和变化。现代病毒又具有了蠕虫的功能，可以利用网络进行传播。有些现代病毒有后门程序的功能，它们一旦侵入计算机系统，病毒控制者可以从入侵的系统中窃取信息，进行远程控制。现代的计算机网络病毒具有了功能多样化的特点。,11.2 网络计算机病毒及防范方法,难于控制：病毒一旦在网络环境下传播、蔓延，就很难对其进行控制。往往在将对其采取措施时，就可能已经遭到其侵害。除非关闭网络服务。但关闭网络服务后，又会给清除病毒带来不便，同时也影响网络系统的正常工作。,11.2 计算机网络病毒及防范方法,网络防病毒不同于单机防病毒，单机版的杀毒软件并不能在网络上彻底有效地查杀病毒。计算机网络病毒的防治是一个颇让人棘手的问题，在查毒和杀毒的应用中，多用几种防毒软件比较好，因为每一种防毒软件都有它的特色，几种综合起来使用可以优势互补，产生最强的防御效果，但是在一台计算机上最好只安装一种防病毒软件，以免软件间发生冲突。防范网络病毒应从两方面着手：第一，加强网络管理人员的网络安全意识，有效控制和管理内部网与外界进行数据交换，同时坚决抵制盗版软件的使用；第二，以网为本，多层防御，有选择地加载保护计算机网络安全的网络防病毒产品。,11.2 计算机网络病毒及防范方法,只有建立一个有层次的、立体的防病毒体系，才能有效制止病毒在网络内部的蔓延。(1)在计算机网络中，尽量多用无盘工作站，不用或少用有软驱的工作站。这样只能执行服务器允许执行的文件，而不能装入或下载文件，避免了病毒入侵系统的机会，保证了安全。工作站是网络的门户，把好这一关，可以有效地防止病毒入侵。(2)在计算机网络中，要保证系统管理员有最高的访问权限，避免过多地出现超级用户。超级用户登录后将拥有服务器目录下的全部访问权限，一旦带入病毒，将产生更为严重的后果。少用“超级用户”登录，建立用户组或功能化的用户，适当将其部分权限下放。这样赋予组管理员某些权限与职责，既能简化网络管理，又能保证网络系统的安全。,11.2 计算机网络病毒及防范方法,(3)为工作站上用户账号设置复杂的密码。目前，一些网络病毒自带破解密码的字典，对于密码设置过于简单的计算机可以很容易地侵入，比如“墨菲”病毒，必须设置复杂的密码，才能有效地防止病毒入侵。(4)对非共享软件，将其执行文件和覆盖文件(如*.com、*.exe、*.ovl等)定期备份，当计算机出现异常时，将文件恢复到本地硬盘上进行重写操作。(5)接收远程文件输入时，一定要慎重，最好不要将文件直接写入本地硬盘，而应将远程输入文件写到软盘上，然后对其进行查毒，确认无毒后再拷贝到本地硬盘上。(6)工作站采用防病毒芯片，这样可防止引导型病毒。,11.2 计算机网络病毒及防范方法,(7)正确设置文件属性，合理规范用户的访问权限。(8)建立健全的网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测。即使有了杀毒软件，也不可掉以轻心，因为没有一个杀毒软件可以完全杀掉所有病毒，所以仍要记住定期备份，一旦真的遭到病毒的破坏，只要将受损的数据恢复即可。(9)目前预防病毒最好的办法就是在计算机中安装具有实时监控功能的防病毒软件，并及时升级。(10)为解决网络防病毒的要求，在网络中使用网络版防病毒软件和网关型防病毒系统。,11.3 网络恶意代码及防范方法,早期恶意代码的主要形式是计算机病毒.1988年Morris蠕虫爆发后，Spafford为了区分蠕虫和病毒，对病毒重新进行了定义，他认为，“计算机病毒是一段代码，能把自身加到其他程序包括操作系统上；它不能独立运行，需要由它的宿主程序运行来激活它”.而网络蠕虫强调自身的主动性和独立性.Kienzle和Elder从破坏性、网络传播、主动攻击和独立性4个方面对网络蠕虫进行了定义：网络蠕虫是通过网络传播，无须用户干预能够独立地或者依赖文件共享主动攻击的恶意代码.根据传播策略，他们把网络蠕虫分为3类：Email蠕虫、文件共享蠕虫和传统蠕虫.郑辉认为蠕虫具有主动攻击、行踪隐蔽、利用漏洞、造成网络拥塞、降低系统性能、产生安全隐患、反复性和破坏性等特征，并给出相应的定义：“网络蠕虫是无须计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播”.,11.3 网络恶意代码及防范方法,九十年代末，恶意代码的定义随着计算机网络技术的发展逐渐丰富，Crimes将恶意代码定义为：经过存储介质和网络进行传播，从一台计算机系统到另外一台计算机系统，未经授权认证破坏计算机系统完整性的程序或代码。,11.3 网络恶意代码及防范方法,严格地从概念上讲，计算机病毒是恶意代码的一种，即可感染的依附性恶意代码，这是纯粹意义上的计算机病毒概念。实际上，目前发现的恶意代码几乎都是混合型的计算机病毒，即除了具有纯粹意义上的病毒特征外，还带有其他类型恶意代码的特征。,11.3 网络恶意代码及防范方法,典型和最常见的恶意代码-蠕虫：最早的蠕虫开始于1982年，当时John F.Shoch等人为了进行分布式计算的模拟实验，编写了称为“蠕虫”的程序，这种程序可以“从一台计算机移动到另一台计算机”。但他们万万没有想到，这种“蠕虫”程序在后来不断给计算机带来灾难。1988年Robert Morris释放的第一个蠕虫恶意代码，在几小时内迅速感染了当时Internet上存在漏洞的计算机，造成了巨大的破坏。后来的CodeRed、CodeRedII、“冲击波”等造成的破坏更大。许多人经常将蠕虫称为蠕虫病毒。但严格地将，蠕虫并不是传统意义上的病毒。蠕虫与传统病毒相比，具有明显的特点，见表10.4。,11.3 网络恶意代码及防范方法,表10.4 蠕虫与传统病毒的区别,11.3 网络恶意代码及防范方法,典型和最常见的恶意代码-蠕虫：1988年Morris蠕虫爆发后，Eugene.H.SPafford为了区分蠕虫和病毒，给出了蠕虫技术角度的定义：“计算机蠕虫可以独立运行，并能把自身的包含所有功能的版本移动到另一台计算机”1201。从该定义可以得出蠕虫的三个基本特征：一是可以独立运行，不依附于其它程序个体；二是可以从一台计算机移动到另一台计算机；三是可以自我复制。,11.3 网络恶意代码及防范方法,典型和最常见的恶意代码木马：木马的全称叫特洛伊木马(Trojan Horse)，来源于古希腊神话.传说古希腊王在攻打特洛伊城的时候，久攻不下，于是想出了一个妙计：在巨大的木马内装满了士兵，然后假装撤退，把木马留下；特洛伊人把木马当作战利品拉回城内；到了晚上，木马内的希腊士兵悄悄钻了出来，打开城门：希腊王因此顺利地攻下了特洛伊城。此后，人们就把特洛伊木马作为伪装的内部颠覆者的代名词。计算机网络中的木马是指隐藏在计算机中的具有特殊功能的程序。它实际上是一种远程控制软件，但它与一般的远程控制软件不同：木马是未经用户授权，通过网络攻击或欺骗手段安装到目标计算机中的：而一般的远程控制软件是计算机用户有意安装的。,11.3 网络恶意代码及防范方法,典型和最常见的恶意代码木马：木马恶意代码一般由两部分组成，一个是服务器程序(Server)，另一个是客户端远程控制程序(client)。木马采用欺骗或者漏洞攻击等手段把服务器程序安装到受害者的计算机中，这就是所谓的计算机“中了木马”。客户端是用来控制目标主机(受害者计算机)的部分，安装在控制者的计算机中，它的作用是用来连接木马的服务器端，并发送控制命令和接收返回信息，从而达到监视和控制目标主机的作用。木马的控制者通过木马的客户端给服务器端发送一系列指令，控制者能任意访问被控制端的计算机，在受害者计算机上作任何想做的事情。木马不仅具有像病毒、蠕虫一样的危害，比如删除和修改文件、格式化硬盘、攻击其它计算机等；木马另一个主要危害还在于它能够窃取受害者的敏感信息，比如截取受害者计算机的屏幕信息、收集受害者的所有键盘敲击信息、获取密码等等。因此，木马是一种最危险的恶意代码。,11.3 网络恶意代码及防范方法,11.3 网络恶意代码及防范方法,4.移动代码：移动代码是能够从主机传输到客户端计算机上并执行的代码，它通常是作为病毒、蠕虫或是木马的一部分被传送到客户计算机上的。另外，移动代码可以利用系统的漏洞进行入侵，例如非法的数据访问和盗取root账号。通常用于编写移动代码的工具有Java applets、ActiveX、Java Script和VB Script等。5.复合型病毒：恶意代码通过多种方式传播就形成了复合型病毒，著名的尼姆达（Nimda）蠕虫实际上就是复合型病毒的一个例子，它通过E-Mail、网络共享、Web服务器和Web终端四种方式进行传播。除此之外，复合型病毒还可通过其他的一些服务来传播，例如直接传送信息和点对点的文件共享。,11.3 网络恶意代码及防范方法,重定位 重定位是指程序在运行中确定数据在内存中的存储位置。对正常程序来说，在编译程序时就己经确定了数据在内存中的位置，程序装入运行后不需要对数据进行重新定位。但病毒 在 感染宿主程序时，不同的宿主程序病毒可能插入的位置也不同，那么病毒随着宿主程序加栽到内存后，病毒需要用到的数据的位置也就无法确定，病毒也就无法执行。因此，病毒必须对自己的数据进行重定位。获取API函数地址 在Win32环境中，系统功能调用不是通过中断实现，而是通过调用WindowsAPI函数实现。因此，必须首先获取API函数的入口地址。,10.3.3 网络恶意代码的关键技术,11.3 网络恶意代码及防范方法,2.蠕虫关键技术（1）蠕虫工作机制 网络蠕虫的攻击行为可以分为4个阶段：信息收集、扫描探测、攻击渗透和自我推进.信息收集主要完成对本地和目标节点主机的信息汇集；扫描探测主要完成对具体目标主机服务漏洞的检测；攻击渗透利用已发现的服务漏洞实施攻击；自我推进完成对目标节点的感染.（2）蠕虫的扫描策略 蠕虫利用系统漏洞进行传播首先要进行主机探测.ICMP Ping包和TCP SYN，FIN，RST及ACK包均可用来进行探测.良好的扫描策略能够加速蠕虫传播，理想化的扫描策略能够使蠕虫在最短时间内找到互联网上全部可以感染的主机.按照蠕虫对目标地址空间的选择方式进行分类，扫描策略包括：选择性随机扫描、顺序扫描、基于目标列表的扫描、分治扫描、基于路由的扫描、基于DNS扫描等.,10.3.3 网络恶意代码的关键技术,11.3 网络恶意代码及防范方法,3.木马的隐藏技术由于木马主要采用在受害机器安装服务器程序的手段进行破坏，因此木马的隐藏方法是其能够生存的关键技术。通常木马有以下几种隐藏手段：(1)在任务栏里隐藏 这是最基本的隐藏方式。要实现在任务栏中隐藏的目的，在编程时很容易实现。以VB为例，只要把form的Visible属性值设为False，ShowInTaskBar设为False，程序就不会出现在任务栏里了。(2)隐藏监听端口 一台计算机有65536个端口，大多数木马使用1024以上的端口。因为1024以下的端口大多保留为系统其它正常服务使用，占用这些端口可能造成系统不正常工作，容易暴露。为了进一步隐藏监听端口的目的，现在已经有一种方法可以实现端口的复用，即一个端口在用于正常服务功能的同时，又用于木马通信。,10.3.3 网络恶意代码的关键技术,11.3 网络恶意代码及防范方法,3.木马的隐藏技术(3)在任务管理列表里隐藏 用户常常通过按下Crtl+Alt+Del来查看系统正在运行的任务列表，很容易就能发现木马进程并删除。(4)隐藏通信 隐藏通信也是木马经常采用的手段之一。一般木马运行后都要和攻击者进行通信：一种是直接通信，如攻击者通过客户端直接与被植入木马的主机连接通信；另一种是间接通信，如通过电子邮件的方式，木马将目标主机的敏感信息传给攻击者。目前大部分木马都是采用TCP连结方式使攻击者直接控制受害主机的，这些木马在植入目标主机后一般会在1024以上不易发现的高端端口上监听。,10.3.3 网络恶意代码的关键技术,11.3 网络恶意代码及防范方法,3.木马的隐藏技术(5)隐藏启动方式 木马启动的方式多种多样，但都是为了达到同一个目的：使木马的服务器端程序在目标主机每次开机后自动运行。木马常用的启动方式有：加在木马程序到启动组；将程序添加到注册表的运行键，主要有Run、RunOnce、RunService、RunOnceService等；修改BoLini 实现启动；通过修改注册表中的输入法键值直接挂接启动：修改Explorer启动参数和在Win.ini、system.ini中的load节添加启动项实现启动：在Autoexec.bat中添加程序项实现启动：采用文件关联实现木马的启动(比如：冰河木马)；利用DLL木马替换系统原有的动态连接库，使系统在装载这些动态连接库时启动木马；还可以采用与其它可执行文件捆绑，在运行捆绑文件时启动木马。,10.3.3 网络恶意代码的关键技术,11.3 网络恶意代码及防范方法,3.木马的隐藏技术(6)隐藏传播方式 与病毒和蠕虫等恶意代码不同，木马一般没有主动传播的功能。所以，如何将木马成功隐蔽植入目标主机是木马传播并运行的关键。目前大多数木马采用的传播途径是电子邮件，但随着用户对木马的认识不断提高，这种方法再难以奏效。随着网络应用的不断发展，木马传播的途径越来越多。特别是Javascirpt、VBscript、ActiveX等技术的广泛使用，木马利用这些技术的漏洞进行传播变得越来越容易，并且正成为木马传播的主流。比如通过邮件内容内嵌WSH脚本，用户无需打开附件，仅仅浏览邮件内容，附件中的木马就会被执行。目前，邮件木马己经从附件走向了正文，简单的浏览也可能会导致木马植入。,10.3.3 网络恶意代码的关键技术,11.3 网络恶意代码及防范方法,3.木马的隐藏技术(7)最新隐藏技术 通过修改虚拟设备驱动程序(VXD)或修改动态连接库(DLL)来加载木马。这种方式基本上摆脱了原有的木马模式(监听端口)，而是采用替代系统功能的方法(改写XVD、DLL等)。木马将修改后的DLL文件替换原来的DLL文件，并对所有的函数调用进行过滤。对于常用的函数调用，使用函数转发器直接转发给原来的系统函数处理，对于一些事先约定好的特征情况，会交给木马处理。这种木马没有增加新的文件，不需要打开新的监听端口，没有新的进程，使用常规的方法很难检测到它。在一般情况下，木马几乎没有任何踪迹，只有在木马的控制端向目标主机发出特定的信息后，隐藏的木马程序才开始运行。,10.3.3 网络恶意代码的关键技术,11.3 网络恶意代码及防范方法,1.蠕虫防范方法 企业类蠕虫病毒的防范：企业防治蠕虫病毒需要考虑病毒的查杀能力、病毒的监控能力和新病毒的反应能力等问题。而企业防毒的一个重要方面就是管理策略。企业防范蠕虫病毒的策略：加强网络管理员安全管理水平，提高安全意识。建立病毒检测系统。可在第一时间内检测到网络的异常和病毒攻击。建立应急响应系统，将风险减少到最低。建立备份和容灾系统 个人用户蠕虫病毒的分析和防范：对于个人用户而言，威胁大的蠕虫病毒一般通过电子邮件和恶意网页传播方式。它们对个人用户的威胁最大，同时也最难以根除，造成的损失也更大。对于利用电子邮件传播的蠕虫，通常利用各种各样的欺骗手段诱惑用户点击的方式进行传播。购买合适的杀毒软件。经常升级病毒库。提高防杀病毒意识。不随意查看陌生邮件，尤其是带附件的邮件。,10.3.4 网络恶意代码的防范方法,11.3 网络恶意代码及防范方法,2.木马防范方法（1）木马的预防：不随意下载来历不明的软件；不随意打开来历不明的邮件，阻塞可疑邮件；及时修补漏洞和关闭可疑的端口；尽量少用共享文件夹；运行实时监控程序；经常升级系统和更新病毒库；限制使用不必要的具有传输能力的文件。（2）木马的检测和清除可以通过查看系统端口开放的情况、系统服务情况、系统任务运行情况、网卡的工作情况、系统日志及运行速度有无异常等对木马进行检测。检测到计算机感染木马后，就要根据木马的特征来进行清除。查看是否有可疑的启动程序、可疑的进程存在，是否修改了win.ini、system.ini系统配置文件和注册表。如果存在可疑的程序和进程，就按照特定的方法进行清除。,10.3.4 网络恶意代码的防范方法,11.3 网络恶意代码及防范方法,2.木马防范方法（3）查看开放端口：当前最为常见的木马通常是基于TCP/UDP协议进行客户端与服务器端之间通信的。因此，就可以通过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。例如，“冰河”木马使用的监听端口是7626，Back Orifice 2000使用的监听端口是54320等。假如查看到有可疑的程序在利用可疑端口进行连接，则很有可能就是感染了木马。此外还有以下检测内容：查看和恢复win.ini和system.ini系统配置文件；查看启动程序并删除可疑的启动程序；查看系统进程并停止可疑的系统进程；查看和还原注册表。可使用杀毒软件和木马查杀工具检测和清除木马。最简单的检测和删除木马的方法是安装木马查杀软件。常用的木马查杀工具，如KV 3000、瑞星、TheCleaner、木马克星、木马终结者等，可以进行木马的检测和查杀。此外，用户还可使用其它木马查杀工具对木马进行查杀。,10.3.4 网络恶意代码的防范方法,小结,本章主要介绍计算机病毒的基础知识，包括计算机病毒的定义、特点、分类及防范方法。并针对网络病毒独有的特点进行讨论，同时，还介绍了几种典型的网络病毒与恶意代码实例。,