《反病毒技術(shù)》講義.doc

反病毒技術(shù)講義一、復習1、計算機病毒定義（提問） 回答：“計算機病毒”最早是由美國計算機病毒研究專家F.Cohen博士提出的。 “計算機病毒”有很多種定義，國外最流行的定義為：計算機病毒，是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。在中華人民共和國計算機信息系統(tǒng)安全保護條例中的定義為：“計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù)，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。2、計算機病毒的發(fā)展歷史回答：世界上第一例被證實的計算機病毒是在1983年，出現(xiàn)了計算機病毒傳播的研究報告。同時有人提出了蠕蟲病毒程序的設計思想；1984年，美國人Thompson開發(fā)出了針對UNIX操作系統(tǒng)的病毒程序。 1988年11月2日晚，美國康爾大學研究生羅特莫里斯將計算機病毒蠕蟲投放到網(wǎng)絡中。該病毒程序迅速擴展，造成了大批計算機癱瘓，甚至歐洲聯(lián)網(wǎng)的計算機都受到影響，直接經(jīng)濟損失近億美元。 計算機病毒在中國的發(fā)展情況：在我國，80年代末，有關(guān)計算機病毒問題的研究和防范已成為計算機安全方面的重大課題。3、計算機病毒的分類1按傳染方式分為引導型、文件型和混合型病毒2按連接方式分為源碼型、入侵型、操作系統(tǒng)型和外殼型病毒3按破壞性可分為良性病毒和惡性病毒4網(wǎng)絡病毒4、計算機病毒的特點（提問）（1）刻意編寫，人為破壞 （2）自我復制能力 （3）隱蔽性 （4）潛伏性 （5）不可預見性5、網(wǎng)絡計算機病毒的特點（1）傳染方式多 （2）傳染速度快 （3）清除難度大 （4）破壞性強 二、新課導入： 解說病毒和反病毒日益尖銳的斗爭，讓學生認識到反病毒技術(shù)的重要性和嚴峻性，從而引入新課。近年來，互聯(lián)網(wǎng)安全環(huán)境日益嚴峻?？萍荚诎l(fā)展，病毒也在不斷演變，病毒的破壞力不僅給業(yè)界和用戶帶來無盡的煩惱，而且對國家信息安全構(gòu)成了嚴重威脅。今年上半年，計算機病毒異?；钴S，木馬、蠕蟲、黑客后門等輪番攻擊互聯(lián)網(wǎng)，從熊貓燒香、灰鴿子到艾妮、AV終結(jié)者，重大惡性病毒頻繁發(fā)作，危害程度也在逐步加大，而此時的殺毒軟件卻顯得應對乏力。如何準確地把握反計算機病毒的發(fā)展趨勢，在與計算機病毒的斗爭中占得上風，為信息安全保駕護航？業(yè)界專家及殺毒軟件廠商在思索、在行動。 在近日舉辦的賽門鐵克VISION 2007用戶大會上，來自Yankee Group研究機構(gòu)的安全專家Andrew Jaquith語出驚人。他認為殺毒軟件將無法有效地處理日益增多的惡意程序，并預言未來殺毒軟件將走向末路。對于這一說法，業(yè)界頗有微詞，甚至認為是無稽之談。 業(yè)界眾多人士分析認為，無論是從計算機病毒的發(fā)展歷史和趨勢來看，還是從目前奮戰(zhàn)在一線的國內(nèi)外殺毒軟件廠商的戰(zhàn)果及戰(zhàn)略布局來看，這一場反計算機病毒的持久戰(zhàn)仍未分出勝負，并且他們相信，“正義”終將戰(zhàn)勝“邪惡”。二、新課講授： （一）計算機病毒的檢查（1） 檢查磁盤主引導扇區(qū) （程序代碼是否發(fā)生改變）引導型病毒：修改硬盤主引導扇區(qū)。硬盤或軟盤的BOOT扇區(qū)。為保存原主引導扇區(qū)、BOOT扇區(qū)，病毒可能隨意地將它們寫入其他扇區(qū)，而毀壞這些扇區(qū)。（2） 檢查FAT表 文件分配表，文件目錄區(qū)修復被CIH破壞的硬盤分區(qū)表。（3） 檢查中斷向量 （中斷向量表是否改變）有許多DOS下的病毒就喜歡修改13H號中斷來破壞系統(tǒng),例如,修改13H號中斷服務程序,將其改成自己的代碼。（4）檢查可執(zhí)行文件 （其長度是否改變）（5）檢查內(nèi)存空間病毒進入內(nèi)存后會產(chǎn)生兩個線程，記錄鍵盤，監(jiān)視系統(tǒng)運行，伺機等待復制和破壞。說明：以上前五種方法都是檢查現(xiàn)有的文件是否和原有文件發(fā)生變化，若沒有可判斷沒有病毒，若有肯定是為病毒所修改。最后一種方法的使用要有一個前提就是所判斷的病毒要有其特征定義。（二） 檢測的主要方法1 比較法用原始備份與被檢測的引導扇區(qū)或檢測的文件進行比較。如文件長度的變化，或程序代碼的變化等。該該方法的優(yōu)點是簡單，方便，不需專用軟件；缺點是無法確定病毒類型。 2 掃描法掃描法是用每一種病毒體含有的特定字符串對被檢測的對象進行掃描。掃描程序由兩部分組成：病毒代碼庫和對該代碼進行掃描的程序。病毒掃描程序可識別的病毒數(shù)目取決于病毒代碼庫中所含病毒的種類。 3 特征字識別法計算機病毒特征字的識別法只需從病毒體內(nèi)抽取很少幾個關(guān)鍵的特征字來組成特征字庫。該方法由于要處理的字節(jié)很少，所以工作起來速度更快、誤報警更少4 分析法本方法是運用相應技術(shù)分析被檢測對象，確認是否為病毒的。靜態(tài)分析是指利用反匯編工具將計算機病毒代碼打印成反匯編指令程序清單后進行分析，以便了解計算機病毒分成哪些模塊，使用了那些系統(tǒng)調(diào)用，采用了那些技巧等等。動態(tài)分析則是利用Debug等調(diào)試工具在內(nèi)存帶毒的情況下，對計算機病毒做動態(tài)跟蹤，觀察計算機病毒的具體工作過程，以進一步在靜態(tài)分析的基礎(chǔ)上理解計算機病毒的工作原理。5校驗和法對正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入此文件或其它文件中保存，在文件使用過程中或使用之前，定期地檢查由現(xiàn)有內(nèi)容算出的校驗和與原來保存的校驗和是否一致，從而可以發(fā)現(xiàn)文件是否被感染，這種方法稱為校驗和法。詳細解釋四種不同的檢測方法，對其進行比較，并用圖表來分析各檢測方法的優(yōu)缺點。（三）反病毒軟件工作原理病毒 1）病毒掃描程序 在病毒掃描程序中預先嵌入病毒特征數(shù)據(jù)庫，將這一信息與文件逐一進行匹配。例子。2）內(nèi)存掃描程序內(nèi)存掃描程序采用與病毒掃描程序同樣的基本原理進行工作。它的工作是掃描內(nèi)存以搜索內(nèi)存駐留文件和引導記錄病毒。盡管病毒可以毫無覺察的把自己隱藏在程序和文件中，但病毒不能在內(nèi)存中隱藏自己。因此內(nèi)存掃描程序可以直接搜索內(nèi)存，查找病毒代碼。如果一個反病毒產(chǎn)品不使用內(nèi)存掃描，其病毒檢測技術(shù)是很不完善的，很可能漏查、漏殺某些病毒。3）完整性檢查器：在正常的計算機操作期間，大多數(shù)程序文件和引導記錄不會改變。這樣，計算機在未感染狀態(tài)，取得每個可執(zhí)行文件和引導記錄的信息指紋，將這一信息存放在硬盤的數(shù)據(jù)庫中。 完整性檢查器是一種強有力的防病毒保護方式。因為幾乎所有的病毒都要修改可執(zhí)行文件引導記錄，包括新的未發(fā)現(xiàn)的病毒，所以它的檢測率幾乎百分之百。引起完整性檢查器失效的可能有：有些程序執(zhí)行時必須要修改它自己；對已經(jīng)被病毒感染的系統(tǒng)再使用這種方法時，可能遭到病毒的蒙騙等。4）行為監(jiān)測器：行為監(jiān)視器又叫行為監(jiān)視程序，它是內(nèi)存駐留程序，這種程序靜靜地在后臺工作，等待病毒或其他有惡意的損害活動。如果行為監(jiān)視程序檢測到這類活動，它就會通知用戶，并且讓用戶決定這一類活動是否繼續(xù)?？ò退够床《緭碛腥孔罴舛说姆床《炯夹g(shù)卡巴斯基反病毒商務套裝應用了當今所有最尖端的反病毒及防黑客入侵技術(shù)：病毒掃描器可隨時掃描所有存儲的數(shù)據(jù)；病毒監(jiān)控器實時掃描所有正在使用的文件；完整性檢查器檢查電腦中全部數(shù)據(jù)的完整性；獨特的后臺運行的腳本病毒檢查器；以及可100% 攔截宏病毒的行為分析器。 綜合運用上述技術(shù)，最大限度地排除了病毒侵入的可能性，使您的計算機環(huán)境安全穩(wěn)固。瑞星病毒掃描器是一種精確判斷病毒的方法，目前看也是最成熟的方法。但特征碼存在不能查殺未知病毒和防范惡意程序的缺點。行為檢測器雖能發(fā)現(xiàn)未知病毒，但行為檢測器本身是一種模糊判斷，行為的反常情況下必定存在一定的誤報。因此現(xiàn)大多數(shù)殺毒軟件采用病毒掃描器。瑞星在行為檢測技術(shù)上研究較早。比如瑞星殺毒軟件中的注冊表監(jiān)控、瑞星卡卡、上網(wǎng)安全助手等等都是行為檢測器的雛形。比如，瑞星2008版中的主動防御經(jīng)過病毒分析人員的經(jīng)驗，定義出一系列的動作組合規(guī)則，用動作組合來進行判斷，可以極大減少誤報情況的發(fā)生。同時，通過白名單機制，將一些流行軟件加入到白名單之內(nèi)，同樣可以減少誤報的情況。(四) 典型的病毒實例古希臘傳說，特洛伊王子帕里斯訪問希臘，誘走了王后海倫，希臘人因此遠征特洛伊。圍攻9年后，到第10年，希臘將領(lǐng)奧德修斯獻了一計，就是把一批勇士埋伏在一匹巨大的木馬腹內(nèi)，放在城外后，佯作退兵。特洛伊人以為敵兵已退，就把木馬作為戰(zhàn)利品搬入城中。到了夜間，埋伏在木馬中的勇士跳出來，打開了城門，希臘將士一擁而入攻下了城池。后來，人們在寫文章時就常用“特洛伊木馬”這一典故，用來比喻在敵方營壘里埋下伏兵里應外合的活動。1）木馬病毒概述定義：“特洛伊木馬”簡稱木馬（Trojan house ），是一種基于遠程控制的黑客工具,木馬通常寄生于用戶的計算機系統(tǒng)中，盜竊用戶信息，并通過網(wǎng)絡發(fā)送給黑客。在黑客進行的各種攻擊行為中，木馬都起到了開路先鋒的作用.2）木馬病毒的原理木馬也采用客戶機/服務器工作模式。它一般包括一個客戶端和一個服務器端，客戶端放在木馬控制者的計算機中，服務器端放置在被入侵的計算機中，木馬控制者通過客戶端與被入侵計算機的服務器端建立遠程連接。一旦連接建立，木馬控制者就可以通過對被入侵計算機發(fā)送指令來傳輸和修改文件。攻擊者利用一種稱為綁定程序的工具將服務器部分綁定到某個合法軟件上，誘使用戶運行合法軟件。只要用戶一運行該軟件，木馬的服務器部分就在用戶毫無知覺的情況下完成了安裝過程。通常木馬的服務器部分都是可以定制的，攻擊者可以定制的項目一般包括：服務器運行的IP端口號、程序啟動時機、如何發(fā)出調(diào)用、如何隱身、是否加密等。另外攻擊者還可以設置登錄服務器的密碼，確定通信方式。服務器向攻擊者通知的方式可能是發(fā)送一個E-mail，宣告自己當前已成功接管的機器；3）木馬病毒的危害（1）可以讀、寫、存、刪除文件，可以得到你的隱私、密碼，甚至你在計算機上鼠標的每一下移動，他都可以盡收眼底。而且還能夠控制你的鼠標和鍵盤去做他想做的任何事，比如打開你珍藏的好友照片，然后在你面前將它永久刪除。（2）木馬主要以網(wǎng)絡為依托進行傳播，偷取用戶隱私資料是其主要目的。而且這些木馬病毒多具有引誘性與欺騙性，是病毒新的危害趨勢。2006年2月，著名導演陳凱歌炮轟網(wǎng)絡搞笑電影一個饅頭引發(fā)的血案，該事件迅速成為網(wǎng)民關(guān)注的焦點。黑客往往會在熱門帖子下面跟帖，以“最全的饅頭血案提供下載、免注冊快速下載饅頭血案”等名義誘騙用戶下載，用戶下載運行之后會被病毒感染，中毒電腦會遭黑客遠程控制、竊取密碼等。2004年國內(nèi)危害最嚴重的十種木馬是：QQ木馬、網(wǎng)銀木馬、MSN木馬、傳奇木馬、劍網(wǎng)木馬、灰鴿子、蜜峰大盜、黑洞木馬、廣告木馬。4）木馬的檢測和清除1、查看開放端口當前最為常見的木馬通常是基于TCP/UDP協(xié)議進行客戶端與服務器端之間通信的。因此，就可以通過查看在本機上開放的端口，看是否有可疑的程序打開了某個可疑的端口。例如， “冰河”木馬使用的監(jiān)聽端口是7626，Back Orifice 2000使用的監(jiān)聽端口是54320等。假如查看到有可疑的程序在利用可疑端口進行連接，則很有可能就是感染了木馬。 2、查看和恢復win.ini和system.ini系統(tǒng)配置文件3、查看啟動程序并刪除可疑的啟動程序4、查看系統(tǒng)進程并停止可疑的系統(tǒng)進程5、查看和還原注冊表 (五) 典型的病毒實例-蠕蟲病毒1） 定義2）作為對互聯(lián)網(wǎng)危害嚴重的一種計算機程序，其破壞力和傳染性不容忽視。與傳統(tǒng)的病毒不同，蠕蟲病毒以計算機為載體，以網(wǎng)絡為攻擊對象。2）蠕蟲病毒與一般病毒的區(qū)別3） 蠕蟲病毒的基本結(jié)構(gòu)和傳播方式 傳播模塊 該模塊負責蠕蟲的傳播，可分為三個基本模塊，即掃描模塊、攻擊模塊和復制模塊。 隱藏模塊 該模塊是病毒侵入主機后，隱藏蠕蟲程序，防止被用戶發(fā)現(xiàn)。 目的功能模塊 該模塊是實現(xiàn)對計算機的控制、監(jiān)視和破壞等。傳播方式： 掃描 由掃描功能模塊負責收集目標主機的信息，尋找可利用的漏洞或弱點，方法是用掃描器掃描主機，探測主機的操作系統(tǒng)類型、主機名、用戶名、開放的端口、開放的服務、開放的服務器軟件版本等。 攻擊 攻擊模塊按步驟自動攻擊前面掃描中找到的對象，取得該主機的權(quán)限。 復制 復制模塊通過原主機和新主機的交互將蠕蟲程序復制到新主機中并啟動。 4）蠕蟲的類別根據(jù)使用者情況的不同蠕蟲可分為2類：面向企業(yè)用戶的蠕蟲和面向個人用戶的蠕蟲。按其傳播和攻擊特征蠕蟲可分為3類：漏洞蠕蟲 69% “紅色代碼”“SQL蠕蟲王”，郵件蠕蟲 27%“求職信”蠕蟲， 傳統(tǒng)蠕蟲 4%。蠕蟲病毒之一尼姆達病毒一種新型的惡意蠕蟲，影響所有未安裝補丁的Windows系統(tǒng)，破壞力極大。通過email郵件傳播；通過網(wǎng)絡共享傳播 ；通過主動掃描并攻擊未打補丁的IIS服務器傳播 ；通過瀏覽被篡改網(wǎng)頁傳播 。產(chǎn)生大量的垃圾郵件 ；用蠕蟲副本替換系統(tǒng)文件；可能影響word,frontpage等軟件正常工作；嚴重降低系統(tǒng)以及網(wǎng)絡性能；創(chuàng)建開放共享，大大降低了系統(tǒng)的安全性 ；將Guest帳號賦予管理員權(quán)限，降低了系統(tǒng)的安全性。例如尼姆達病毒，會搜索本地網(wǎng)絡的文件共享，無論是文件服務器還是終端客戶機，一旦找到，便安裝一個隱藏文件，名為Riched20.DLL到每一個包含DOC和eml文件的目錄中，當用戶通過Word、寫字板、Outlook打開DOC和eml文檔時，這些應用程序?qū)?zhí)行Riched20.DLL文件，從而使機器被感染，同時該病毒還可以感染遠程服務器被啟動的文件。帶有尼姆達病毒的電子郵件，不需你打開附件，只要閱讀或預覽了帶病毒的郵件，就會繼續(xù)發(fā)送帶毒郵件給你通訊簿里的朋友。5）企業(yè)類蠕蟲病毒的防范 加強網(wǎng)絡管理員安全管理水平，提高安全意識建立病毒檢測系統(tǒng)?？稍诘谝粫r間內(nèi)檢測到網(wǎng)絡的異常和病毒攻擊 建立應急響應系統(tǒng)，將風險減少到最低 建立備份和容災系統(tǒng) 6）個人用戶蠕蟲病毒的分析和防范對于個人用戶而言，威脅大的蠕蟲病毒一般通過電子郵件和惡意網(wǎng)頁傳播方式。2）（六）計算機病毒的現(xiàn)狀惡性病毒爆發(fā)頻繁木馬病毒超過蠕蟲病毒的趨勢集多種傳播方式，多種攻擊手段于一身，形成一種廣義的“新病毒”。（七）計算機病毒