瑞星認(rèn)證培訓(xùn)1.ppt

1、瑞星病毒防范技能工程師培訓(xùn),什么是計(jì)算機(jī)病毒,計(jì)算機(jī)病毒的定義 為達(dá)到特殊目的而制作和傳播的計(jì)算機(jī)代碼或程序”，或者被稱為“惡意代碼”,計(jì)算機(jī)病毒的特征 非法性 隱蔽性 一些蠕蟲病毒非常注重隱藏和偽裝自己 兄弟病毒 （play.exe ） 潛伏性 長(zhǎng)期隱藏在系統(tǒng)中，只有在滿足其特定條件時(shí)才啟動(dòng)其表現(xiàn)（破壞）模塊 觸發(fā)性 滿足其觸發(fā)條件或者激活病毒的傳染機(jī)制就會(huì)使之進(jìn)行傳染或者激活病毒的表現(xiàn)部分或破壞部分 表現(xiàn)性,破壞性 傳染性 計(jì)算機(jī)病毒最重要的特征 針對(duì)性 變異性 不可預(yù)見性,計(jì)算機(jī)病毒的結(jié)構(gòu) 引導(dǎo)部分 將病毒主體加載到內(nèi)存，為傳染部分做準(zhǔn)備 傳染部分 將病毒代碼復(fù)制到傳染目標(biāo)上去。 表現(xiàn)或

2、破壞部分 病毒間差異最大的部分，前兩個(gè)部分也是為這部分服務(wù)的,計(jì)算機(jī)病毒的存儲(chǔ)結(jié)構(gòu) 磁盤分區(qū)包括（FDISK可創(chuàng)建硬盤分區(qū)表） 主引導(dǎo)記錄區(qū)（只有硬盤有） 引導(dǎo)記錄區(qū) 文件分配表（FAT） 目錄區(qū)和數(shù)據(jù)區(qū),計(jì)算機(jī)病毒的分類 根據(jù)寄生的數(shù)據(jù)存儲(chǔ)方式劃分 引導(dǎo)區(qū)型 文件型 混合型 混合型病毒同時(shí)具備引導(dǎo)型和文件型兩類病毒特征，又稱綜合型或復(fù)合型病毒。這類病毒既感染磁盤引導(dǎo)區(qū)，又感染可執(zhí)行文件,根據(jù)病毒的破壞情況劃分 良性病毒 惡性病毒 在代碼中包含損傷和破壞計(jì)算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)產(chǎn)生直接的破壞作用 根據(jù)運(yùn)行的連續(xù)性分類 駐留內(nèi)存型 應(yīng)用程序把要執(zhí)行的部分在內(nèi)存中駐留一份，這樣就

3、可不必在每次要執(zhí)行它的時(shí)候都到硬盤中搜尋，從而可以提高效率 非駐留內(nèi)存型,幾種具有代表性的病毒類型 宏病毒 蠕蟲病毒 特洛伊木馬病毒 變形型病毒和生成機(jī)病毒 （病毒大面積爆發(fā)） 計(jì)算機(jī)病毒的入侵方式 源代碼嵌入攻擊 代碼取代攻擊 外殼寄生入侵 系統(tǒng)修改入侵 （病毒目前的主流入侵方式 ）,病毒發(fā)展史（五代病毒） 單機(jī)，單一 混合 變形 網(wǎng)絡(luò) 傳播途徑 CIH病毒 （損壞電腦的硬件 ） “歡樂時(shí)光”病毒（蠕蟲類病毒）,計(jì)算機(jī)病毒的發(fā)展趨勢(shì) 智能化 人性化 人性化稱為誘惑性?，F(xiàn)在的計(jì)算機(jī)病毒越來(lái)越注重利用人們的心理因素，如好奇、貪婪等 隱蔽化 多樣化 專用病毒生成工具 攻擊反病毒軟件,計(jì)算機(jī)病毒的危

4、害 絕大部分病毒都存在不同程度的錯(cuò)誤。錯(cuò)誤病毒的另一個(gè)主要來(lái)源是變種病毒。有些計(jì)算機(jī)新手尚不具備獨(dú)立編制軟件的能力，只是出于好奇或其他原因修改別人的病毒，從而造成錯(cuò)誤,計(jì)算機(jī)病毒介紹,DOS病毒介紹 DOS操作系統(tǒng) 具有文件管理方便、外設(shè)支持良好、兼容性好和小巧穩(wěn)定等優(yōu)點(diǎn)。但與此同時(shí)，DOS是一個(gè)單用戶、單任務(wù)的操作系統(tǒng)，因此使用起來(lái)有很大的局限性 DOS病毒 針對(duì)DOS操作系統(tǒng)開發(fā)的病毒，是出現(xiàn)最早、數(shù)量最多、變種也最多的計(jì)算機(jī)病毒 通常在特定條件下發(fā)作,文件型病毒 絕大多數(shù)文件型病毒屬于外殼病毒（軟件層次結(jié)構(gòu)） 感染.COM和.EXE等可執(zhí)行文件 （Portable Executable

5、） 文件病毒不但可以感染DOS系統(tǒng)文件，還可以感染W(wǎng)indows系統(tǒng)、Linux 、UNIX系統(tǒng),宏病毒 利用Word VBA 進(jìn)行編寫的一些宏（早期的宏病毒都是用Word VBA語(yǔ)言編寫的 寄存于文檔或模板的宏中的計(jì)算機(jī)病毒。一旦打開這樣的文檔，宏病毒就會(huì)被激活并轉(zhuǎn)移到計(jì)算機(jī)上，然后駐留在Normal模板上 (*.dot),引導(dǎo)型病毒（大麻，小球，WYX） 改寫磁盤上的引導(dǎo)扇區(qū)的內(nèi)容， 軟盤或硬盤都有可能感染病毒，改寫硬盤上的分區(qū)表（FAT），使所有的硬盤分區(qū)及數(shù)據(jù)丟失 WYX病毒（移動(dòng)0，63到60，61 可恢復(fù)）,蠕蟲病毒 傳播速度最快、傳播范圍最廣 利用微軟的系統(tǒng)漏洞 “紅色代碼”、“

6、尼姆達(dá)”、“sql蠕蟲王” ，“SCO炸彈” 利用Email郵件迅速傳播 “愛蟲病毒”和“求職信病毒” 郵件都會(huì)帶有“自動(dòng)啟動(dòng)漏洞”功能，即當(dāng)用戶打開郵件的時(shí)候其附件就會(huì)自動(dòng)啟動(dòng) 獨(dú)立的程序，避免了受宿主程序的牽制，可以不依賴于宿主程序而獨(dú)立運(yùn)行，從而主動(dòng)地實(shí)施攻擊。 利用系統(tǒng)提供的應(yīng)用編程接口（API）,木馬病毒 自動(dòng)運(yùn)行 利用Autoexec.bat和Config.sys進(jìn)行加載； 修改注冊(cè)表（*.reg）； 修改win.ini文件； 感染W(wǎng)indows系統(tǒng)文件，以便進(jìn)行自動(dòng)啟動(dòng)并達(dá)到自動(dòng)隱藏的目的 盜號(hào) 在后臺(tái)運(yùn)行，往往能夠?qū)⒂脩羟脫翩I盤的動(dòng)作記錄下來(lái)，再發(fā)送給欺詐者,木馬的隱藏性(灰鴿

7、子) 將自己偽裝成系統(tǒng)文件 將木馬病毒的服務(wù)端偽裝成系統(tǒng)服務(wù) 將木馬程序加載到系統(tǒng)文件中 Windows啟動(dòng)都會(huì)啟動(dòng)木馬 充分利用端口隱藏 默認(rèn)有65536個(gè)端口，一般是1024以上的高端口 自動(dòng)備份 為了避免在被發(fā)現(xiàn)之后清除，有些木馬會(huì)自動(dòng)進(jìn)行備份。這些備份的文件在木馬被清除之后激活，并再次感染系統(tǒng) 通過攔截系統(tǒng)功能調(diào)用的方式來(lái)隱藏自己,網(wǎng)頁(yè)腳本病毒 通常與網(wǎng)頁(yè)相結(jié)合，將惡意的破壞性代碼內(nèi)嵌在網(wǎng)頁(yè)中，一旦有用戶瀏覽帶毒網(wǎng)頁(yè)，病毒就會(huì)立即發(fā)作 WSH （wscript.exe cscript.exe） Windows Scripting Host（Windows腳本宿主）它內(nèi)嵌于Windows

8、操作系統(tǒng)中的腳本語(yǔ)言工作環(huán)境，主要負(fù)責(zé)腳本的解釋和執(zhí)行 隱藏性強(qiáng) 傳統(tǒng)認(rèn)識(shí)里，只要不下載應(yīng)用程序，從網(wǎng)上感染病毒的幾率就會(huì)減少。腳本病毒的出現(xiàn)徹底改變了人們的這種看法,即時(shí)通訊病毒 QQ尾巴 利用系統(tǒng)提供的API向OICQ按鈕發(fā)送“點(diǎn)擊”命令 隱蔽性 對(duì)方接收到“好友”發(fā)送過來(lái)的信息時(shí)，往往會(huì)不假思索地接受，從而很快受到病毒的感染。利用人們心理上的疏忽達(dá)到更好地隱蔽自己 攻擊更加便利 大多數(shù)即時(shí)通訊軟件都可以繞過防火墻,操作系統(tǒng)漏洞攻擊病毒 緩沖區(qū)溢出 緩沖區(qū)被填滿后用病毒代碼覆蓋內(nèi)存數(shù)據(jù) Linux、UNIX、MAC OS以及一些主流的路由器防火墻軟件都存在著安全漏洞,緩沖區(qū)溢出原理,啤酒和

9、杯子 數(shù)據(jù)通常存放在一個(gè)臨時(shí)空間，此空間稱為緩沖區(qū) 向緩沖區(qū)填充數(shù)據(jù)如果過長(zhǎng)，超過本身容量，溢出的數(shù)據(jù)會(huì)覆蓋掉正常的數(shù)據(jù) 溢出后的數(shù)據(jù)經(jīng)過精心構(gòu)造可使計(jì)算機(jī)執(zhí)行我們想要的命令,內(nèi)存管理,計(jì)算機(jī)不能正確區(qū)分指令與數(shù)據(jù)，當(dāng)把數(shù)據(jù)作為指令提交給處理器時(shí)，它會(huì)執(zhí)行這些“指令” 我們做這些的目的只有一個(gè)：控制目標(biāo)程序的執(zhí)行流程,棧（LIFO）向低地址增長(zhǎng)，保存本地變量、函數(shù)調(diào)用 堆（FIFO）向高地址增長(zhǎng)， 保存程序信息和動(dòng)態(tài)分配變量,.text段只讀 ，包含程序指令 .data和.bss可寫，保存全局變量；.data段包含已初始化的靜態(tài)變量；.bss段包含未初始化的變量,寄存器,通用寄存器 EAX、E

10、BX、ECX等用來(lái)保存數(shù)據(jù)、地址、偏移量、計(jì)數(shù)和其它數(shù)據(jù)。 段寄存器 CS、DS和SS一般用作段基址寄存器 控制寄存器 EIP保存著下一條即將執(zhí)行的機(jī)器指令的地址 其它寄存器 ESP、EBP,一個(gè)簡(jiǎn)單例子,查看代碼（over） #include #include char name = “abcdefgh; int main() char output8; strcpy(output, name); for (int i = 0; i 8 ,覆蓋方法,NNNNNSSSSSRRRRR型 適合大緩沖區(qū) RRRRRSSSSSNNNNN型 R中含有0，適合*nix NNNNNRSSSSS R=jmp

11、esp,溢出點(diǎn)的定位,二次報(bào)錯(cuò)定位 1、填充字符為”aaaaaaaaaabbbbbbbbbb.” 2、填充字符 為”abcdefghij abcdefghij.”,Shellcode 編寫,Windows下函數(shù)調(diào)用原理 各參數(shù)壓棧 Call函數(shù)地址（push eip+jmp func）,Shellcode 編寫,寫出C語(yǔ)言code,寫出匯編代碼 確定函數(shù)調(diào)用地址 逐個(gè)完成函數(shù)調(diào)用,獲取shellcode 匯編模式下復(fù)制出機(jī)器碼 整理,利用shellcode,使用shellcode獲取權(quán)限,網(wǎng)絡(luò)釣魚 欺詐行為，或者說是利用互聯(lián)網(wǎng)實(shí)施的網(wǎng)絡(luò)詐騙 建立一個(gè)與真實(shí)網(wǎng)站相類似的詐騙網(wǎng)站，對(duì)真實(shí)網(wǎng)站的欄目

12、設(shè)置、標(biāo)題、新聞、圖片及頁(yè)面設(shè)計(jì)風(fēng)格進(jìn)行完全克隆 ,流氓軟件 利用“COOKIE”在后臺(tái)秘密收集用戶上網(wǎng)習(xí)慣、瀏覽順序、所關(guān)心的話題、經(jīng)常訪問和搜索的網(wǎng)站等信息，為制作者的商業(yè)計(jì)劃提供必要的信息 最關(guān)鍵的惡劣之處在于用戶不能通過正常渠道進(jìn)行卸載 頻繁出現(xiàn)的廣告會(huì)消耗用戶的系統(tǒng)資源，影響頁(yè)面刷新速度 自動(dòng)轉(zhuǎn)到某些商業(yè)網(wǎng)站或惡意網(wǎng)頁(yè),病毒分析,虛擬機(jī) VMware Workstation和VirtualPC 病毒分析軟件 Process Explorer FileMon Regmon Tcpview Autoruns IceSword,靜態(tài)分析 W32Dasm IDA Pro 動(dòng)態(tài)分析 SoftICE TRW2000 OllyDBG,病毒慣用技術(shù) 在已發(fā)現(xiàn)的各種PC機(jī)病毒中，有近十分之一的病毒使用了自加密技術(shù)