淺談計(jì)算機(jī)病毒的正確防御探討

1、淺談計(jì)算機(jī)病毒的正確防御探討目錄前言.2 一、計(jì)算機(jī)病毒概述.3 1.1 計(jì)算機(jī)病毒的特點(diǎn).3 1.2 計(jì)算機(jī)病毒所采用的技術(shù).3二、計(jì)算機(jī)病毒對系統(tǒng)的危害.4 2.1 病毒直接對計(jì)算機(jī)數(shù)據(jù)信息進(jìn)行破壞.4 2.2 破壞磁盤的引導(dǎo)區(qū).4 2.3 搶占系統(tǒng)資源.4 2.4 影響計(jì)算機(jī)運(yùn)行速度.4 2.5 計(jì)算機(jī)病毒對系統(tǒng)兼容性的影響.4 2.6 計(jì)算機(jī)病毒在經(jīng)濟(jì)方面的危害.43、 計(jì)算機(jī)病毒的防御方法.5 3.1 設(shè)計(jì)病毒階段的防御措施.5 3.2 病毒傳播階段的防御措施.5 3.3 病毒運(yùn)行階段的防御措施.54、 非授權(quán)web訪問.65、 總結(jié)與展望.6前言摘要：隨著計(jì)算機(jī)在工作已經(jīng)生活中進(jìn)一

2、步廣泛的應(yīng)用，計(jì)算機(jī)病毒的危害也在與日俱增。如何正確防范計(jì)算機(jī)病毒是一個長期而艱巨的課題，計(jì)算機(jī)病毒大部分都采用了反代碼分析、欺騙隱身、規(guī)避檢測以及暴力對抗等先進(jìn)技術(shù)對抗安全軟件，反病毒技術(shù)與計(jì)算機(jī)病毒之間的斗爭將更加激烈。 計(jì)算機(jī)病毒借助網(wǎng)絡(luò)的發(fā)展，呈現(xiàn)出爆發(fā)流行的趨勢，如cih病毒、“愛蟲”病毒，曾經(jīng)給廣大的計(jì)算機(jī)用戶帶來極大的損失。計(jì)算機(jī)病毒一旦侵入沒有副本的文件，并進(jìn)行破壞后，可能導(dǎo)致數(shù)據(jù)丟失，造成嚴(yán)重的后果。計(jì)算機(jī)病毒的隱蔽性和多態(tài)性使用戶難以檢測。在用戶與計(jì)算機(jī)病毒的斗爭中，如果用戶能采取有效的防范措施，可以使系統(tǒng)中毒的幾率降到最低，并減少病毒造成的損失。1 計(jì)算機(jī)病毒概述計(jì)算機(jī)病

3、毒可以通過復(fù)制自身來感染其他軟件的程序。當(dāng)被感染的程序運(yùn)行時，嵌入在其中的病毒也隨之運(yùn)行并有可能感染其他程序。少數(shù)病毒不會對系統(tǒng)或數(shù)據(jù)產(chǎn)生危害，但更多的病毒攜帶毒碼，一旦被事先設(shè)定好的環(huán)境所激發(fā)，就可以感染和破壞系統(tǒng)。計(jì)算機(jī)病毒防御，是通過建立有效的計(jì)算機(jī)病毒防范體系和制度，第一時間發(fā)現(xiàn)計(jì)算機(jī)病毒侵入，并立即采取有效的措施阻止計(jì)算機(jī)病毒的傳播和破壞，并恢復(fù)受影響的系統(tǒng)和數(shù)據(jù)。計(jì)算機(jī)病毒防御工作，首先是防御體系的建設(shè)和制度的建立。只有一個完善的防范體系和制度，才能有效的將病毒擋在系統(tǒng)大門之外。1.1 計(jì)算機(jī)病毒的特點(diǎn)狹義的計(jì)算機(jī)病毒是指將自身嵌入其他程序或文件的一種程序，廣義的計(jì)算機(jī)病毒包括邏輯

4、炸彈，特洛伊木馬以及系統(tǒng)陷阱入口等等。計(jì)算機(jī)病毒雖是一個很小的程序，但它和普通的計(jì)算機(jī)程序有很大不同，并且具有以下特點(diǎn)：1) 計(jì)算機(jī)病毒有自我復(fù)制的功能，并且可以隱藏在合法程序的內(nèi)部，并隨著用戶的操作而不斷地進(jìn)行自我復(fù)制。2) 計(jì)算機(jī)病毒能破壞系統(tǒng)程序或系統(tǒng)數(shù)據(jù)，并且有可能造成硬件設(shè)備的損壞。3) 計(jì)算機(jī)病毒不像生物病毒一樣自然產(chǎn)生，它是由人為故意編制而成，并且為了達(dá)成一定的目的，如灰鴿子軟件，既可用于遠(yuǎn)程控制，也可作為病毒。4) 計(jì)算機(jī)病毒有潛在的破壞能力。在系統(tǒng)遭受病毒感染后，病毒一般不會立即發(fā)作，而是潛藏在系統(tǒng)中，等滿足病毒中設(shè)置的條件時，則立即發(fā)作，給系統(tǒng)帶來災(zāi)難性的破壞。5) 計(jì)算機(jī)

5、病毒具有傳染性，通過非法拷貝或網(wǎng)絡(luò)進(jìn)行傳染。計(jì)算機(jī)病毒通常附著在其他軟件上，在病毒發(fā)作時，有一些病毒是進(jìn)行自我復(fù)制，并在一定條件下通過網(wǎng)絡(luò)、u盤等傳染給其他計(jì)算機(jī)，另一部分則在特定條件下執(zhí)行某種特殊的行為。1.2 計(jì)算機(jī)病毒所采用的技術(shù)反病毒技術(shù)與計(jì)算機(jī)病毒在激烈的斗爭中各自不斷的發(fā)展。行為判斷(generic)、啟發(fā)式殺毒(heuristic)、特征碼掃描、入侵保護(hù)系統(tǒng)(hips)、主動防御(proactive defense)、網(wǎng)絡(luò)防火墻等安全產(chǎn)品的應(yīng)用越來越廣泛，但是計(jì)算機(jī)病毒技術(shù)在攻防大戰(zhàn)中不斷升級，病毒技術(shù)更加復(fù)雜，普遍具備對抗性、欺騙性等特點(diǎn)。以下分析病毒的工作原理，為正確防治病毒

6、做好準(zhǔn)備。1) 反代碼分析，代碼分析師通過逆向工程來分析病毒樣本、提取病毒的特征碼、破解病毒的行為，是檢測、防范和清除的前提基礎(chǔ)。為了避開被反病毒軟件檢測出來，病毒從一開始就試圖通過各種手段避開代碼分析，包括：加密加殼，現(xiàn)在的病毒普遍采用了加殼(packer)的技術(shù)，在壓縮文件長度的同時，轉(zhuǎn)換病毒的特征碼，以規(guī)避安全軟件的檢測；反內(nèi)存瀉出，通過自解除封鎖、二進(jìn)制代碼模糊處理、頁面重定向方式等技術(shù)手段來針對內(nèi)存瀉出；反調(diào)試技術(shù)；虛擬機(jī)檢測技術(shù)。2) 規(guī)避檢測技術(shù)，病毒軟件并不修改系統(tǒng)，而是通過各種方式來避開檢測，使安全軟件無法檢測其存在，包括：特殊文件格式，病毒采用特殊的文件格式使其存在于系統(tǒng)中

7、，利用系統(tǒng)的文件系統(tǒng)缺陷使其對系統(tǒng)透明，如ntfs的交替數(shù)據(jù)流技術(shù)；多媒體文件鏈接，病毒被嵌入到圖片、音頻、視頻等文件中，病毒不以文件的方式存放于磁盤上，從而繞過安全軟件的哈希過濾器和字符串匹配檢測；駐留磁盤扇區(qū)，病毒通過駐留在磁盤扇區(qū)，而不以文件的形式存在，安全軟件對其無法檢測；冒充系統(tǒng)文件，病毒程序運(yùn)行的過程中以系統(tǒng)程序的身份運(yùn)行，達(dá)到混淆視聽的目的。3) 欺騙隱身技術(shù)，病毒使用先進(jìn)、底層的技術(shù)，通過修改系統(tǒng)的參數(shù)結(jié)構(gòu)，并設(shè)置系統(tǒng)鉤子( hook )，隱藏進(jìn)程、文件、注冊表項(xiàng)、服務(wù)、鍵值和通信端口，使系統(tǒng)對其不可見（stealth）。4) 暴力對抗技術(shù)，安全軟件和病毒使用同樣的技術(shù)，病毒針

8、對殺毒軟件的特點(diǎn)所采取的暴力手段進(jìn)行反制，破解殺毒軟件的防護(hù)，包括：終止殺毒軟件運(yùn)行，通過findwindowa來查找殺毒軟件在系統(tǒng)中的窗口句柄，并使用sendmessage函數(shù)來發(fā)送關(guān)閉消息，以達(dá)到關(guān)閉殺毒軟件的目的；鏡像劫持，通過修改注冊表鍵值，使殺毒軟件不能正常運(yùn)行。2 計(jì)算機(jī)病毒對系統(tǒng)的危害在計(jì)算機(jī)病毒感染宿主計(jì)算機(jī)后，會對宿主計(jì)算機(jī)的系統(tǒng)安全，數(shù)據(jù)安全造成極大的危害，包括系統(tǒng)崩潰，數(shù)據(jù)丟失，網(wǎng)上銀行賬戶被盜等。2.1 病毒直接對計(jì)算機(jī)數(shù)據(jù)信息進(jìn)行破壞大多數(shù)病毒在激活的時候會對計(jì)算機(jī)系統(tǒng)的重要數(shù)據(jù)信息進(jìn)行直接破壞，通過利用各種技術(shù)手段如：格式化磁盤、刪除重要文件、用垃圾數(shù)據(jù)改寫數(shù)據(jù)文件

9、、破壞cmos設(shè)置、修改文件分配表和目錄區(qū)等。此類病毒如典型的磁盤殺手（disk killer）在感染后，會改寫硬盤數(shù)據(jù)。2.2 破壞磁盤的引導(dǎo)區(qū)引導(dǎo)型病毒通過病毒本身占據(jù)磁盤的引導(dǎo)扇區(qū)，而將原有的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū)，也就是覆蓋原有的引導(dǎo)區(qū)。被覆蓋的引導(dǎo)區(qū)數(shù)據(jù)將會永久性丟失，而無法恢復(fù)，對系統(tǒng)的危害非常大，可能導(dǎo)致系統(tǒng)的崩潰。2.3 搶占系統(tǒng)資源除了少數(shù)病毒如vienna、casper之外，大部分病毒都是常駐內(nèi)存中的，這就導(dǎo)致系統(tǒng)資源的浪費(fèi)。病毒在內(nèi)存中所占用的空間與病毒本身長度相當(dāng)，在病毒搶占內(nèi)存空間后，導(dǎo)致內(nèi)存空間減少，一部分軟件因?yàn)槿狈?nèi)存而無法運(yùn)行，正在運(yùn)行的軟件因?yàn)閏pu占用而變慢

10、。病毒除了搶占內(nèi)存外，還會搶占中斷系統(tǒng)，從而干擾系統(tǒng)的運(yùn)行。操作系統(tǒng)很多的系統(tǒng)功能都是通過中斷調(diào)用來實(shí)現(xiàn)的。病毒為了自我傳播，會修改一些有關(guān)的中斷地址，從而在正常的系統(tǒng)中斷中，加入病毒，達(dá)到傳播的目的。2.4 影響計(jì)算機(jī)運(yùn)行速度病毒在內(nèi)存中駐留后，不但干擾系統(tǒng)運(yùn)行，占用內(nèi)存空間，同時也影響系統(tǒng)運(yùn)行速度。首先，病毒為了觸發(fā)傳染條件，會一直對計(jì)算機(jī)的運(yùn)行狀態(tài)進(jìn)行監(jiān)控，這必然導(dǎo)致系統(tǒng)運(yùn)行速度減緩。其次，有些病毒在磁盤上以靜態(tài)加密數(shù)據(jù)的狀態(tài)保持，在加載到內(nèi)存中后，會動態(tài)的處于加密狀態(tài)，cpu每次在運(yùn)行病毒代碼前，都必須將這段代碼重新解密，這樣就增加了數(shù)千條甚至上萬條cpu指令。再次，病毒在傳染的同時要

11、插入非法的額外操作，必然占用cpu的運(yùn)行時間。2.5 計(jì)算機(jī)病毒對系統(tǒng)兼容性的影響由于計(jì)算機(jī)系統(tǒng)中存在多種軟件，兼容性稱為計(jì)算機(jī)軟件的一項(xiàng)重要指標(biāo)，兼容性好的軟件可以在各種計(jì)算機(jī)環(huán)境下運(yùn)行，反之，兼容性差的軟件則容易造成系統(tǒng)內(nèi)存泄露，軟件異常退出等問題，對計(jì)算機(jī)正常運(yùn)行造成不利的影響。因?yàn)椴《静粫诟鞣N計(jì)算機(jī)環(huán)境下進(jìn)行測試，所以病毒的兼容性較差，常常會導(dǎo)致計(jì)算機(jī)死機(jī)。2.6 計(jì)算機(jī)病毒在經(jīng)濟(jì)方面的危害由于電子商務(wù)的發(fā)展，在網(wǎng)上購物的人也越來越多，計(jì)算機(jī)病毒會對網(wǎng)上銀行賬戶造成極大的威脅，并可能竊取網(wǎng)上銀行的密碼，對計(jì)算機(jī)用戶造成巨大的經(jīng)濟(jì)損失。 3 計(jì)算機(jī)病毒的防御方法要正確的防御計(jì)算機(jī)病毒帶

12、來的威脅，必須建立健全的計(jì)算機(jī)安全體系，養(yǎng)成良好的計(jì)算機(jī)使用方法，定期的更換安全賬戶的密碼等。計(jì)算機(jī)病毒與普通的生物病毒一樣，也有一定的生命周期，包括四個部分：利用漏洞設(shè)計(jì)病毒、病毒潛伏和傳播、病毒運(yùn)行、反病毒軟件查殺。通過了解軟件病毒的生命周期，從而更好的對其進(jìn)行預(yù)防。3.1 設(shè)計(jì)病毒階段的防御措施計(jì)算機(jī)病毒軟件在設(shè)計(jì)階段，會根據(jù)現(xiàn)有系統(tǒng)中的漏洞，來對計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊。在本階段的防御工作主要包括：1) 使用正版的系統(tǒng)軟件。由于正版軟件授權(quán)需要一定的費(fèi)用，盜版軟件在市場上橫行，這在一定程度上助長了計(jì)算機(jī)病毒的傳播和發(fā)展。盜版系統(tǒng)軟件一般得不到廠商的有效技術(shù)支持，從而無法更新系統(tǒng)中的漏洞補(bǔ)丁，

13、這給計(jì)算機(jī)病毒的傳播留下了巨大的空間。如果使用正版軟件，系統(tǒng)可以得到有效的更新，則計(jì)算機(jī)病毒在一定程度上無法侵入系統(tǒng)，這在系統(tǒng)級別上給用戶以安全保證。2) 及時更新系統(tǒng)漏洞補(bǔ)丁，大部分計(jì)算機(jī)病毒通過掃描系統(tǒng)漏洞，來對計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊。如果用戶及時更新系統(tǒng)安全補(bǔ)丁，則計(jì)算機(jī)病毒無法對系統(tǒng)進(jìn)行有效的侵入，阻止了病毒對系統(tǒng)的進(jìn)一步危害。3.2 病毒傳播階段的防御措施病毒之所以能大規(guī)模的爆發(fā)，一方面由于病毒利用了系統(tǒng)的安全漏洞，另一方面在于用戶對計(jì)算機(jī)系統(tǒng)的使用方式。如果能正確的使用計(jì)算機(jī)，則能極大的降低病毒對計(jì)算機(jī)系統(tǒng)的感染幾率。本階段可以采用以下方式進(jìn)行防御：1) 安裝正版的殺毒軟件。2) 不訪

14、問陌生的、不安全的網(wǎng)站。3) 不運(yùn)行網(wǎng)上不規(guī)范的可執(zhí)行程序。3.3 病毒運(yùn)行階段的防御措施如果計(jì)算機(jī)病毒已經(jīng)侵入到計(jì)算機(jī)系統(tǒng)中，則用戶為了避免進(jìn)一步的損失，應(yīng)該及時對系統(tǒng)中的關(guān)鍵數(shù)據(jù)進(jìn)行備份，并利用殺毒軟件對計(jì)算機(jī)病毒進(jìn)行查殺，盡可能的將損失降低。代理防火墻的攻擊 代理防火墻運(yùn)行在應(yīng)用層,攻擊的方法很多。這里就以wingate為例。 wingate是以前應(yīng)用非常廣泛的一種windows95/nt代理防火墻軟件，內(nèi)部用戶可以通過一臺安裝有wingate的主機(jī)訪問外部網(wǎng)絡(luò)，但是它也存在著幾個安全脆弱點(diǎn)。 黑客經(jīng)常利用這些安全漏洞獲得wingate的非授權(quán)web、socks和telnet的訪問，從而偽裝成wingate主機(jī)的身份對下一個攻擊目標(biāo)發(fā)動攻擊。因此，這種攻擊非常難于被跟蹤和記錄。 導(dǎo)致wingate安全漏洞的原因大多數(shù)是管理員沒有根據(jù)網(wǎng)絡(luò)的實(shí)際情況對wingate代理防火墻軟件進(jìn)行合理的設(shè)置，只是簡單地從缺省設(shè)置安裝完畢后就讓軟件運(yùn)行，這就讓攻擊者可從以下幾個方面攻擊： 4非授權(quán)web訪問 某些wingate版本（如運(yùn)行在nt系統(tǒng)下的2.1