网络安全理论与技术(第十八讲)

网络安全理论与技术网络安全理论与技术张卫东西安电子科技大学通信工程学院信息工程系E-mail:xd_zwd@yahoo.com.cn1网络病毒在全球范围内高速扩散网络病毒在全球范围内高速扩散2001年7月19日20:15:002001年7月19日01:05:002001年7月19日01:05:002第十四章恶意代码与计算机病毒的防治141恶意代码14.1恶意代码14.2计算机病毒14.3防治措施314.1恶意代码14.1.1恶意代码的概念代码是指计算机程序代码，可以被执行完成特定功能。任何事物都有正反两面，人类发明的所有工具既可能。任何事物都有正反两面，人类发明的所有工具既可造福也可作孽，这完全取决于使用工具的人。计算机程序也不例外，在善良的软件工程师们编写了大量的有用软件（操作系统、应用系统、数据库系统等）的同时，软件（操作系统、应用系统、数据库系统等）的同时，黑客们却在编写着扰乱社会和他人，甚至起着破坏作用的计算机程序，这就是恶意代码。的计算机程序，这就是恶意代码。414.1.2恶意代码的分类恶意代码可以按照两种分类标准，从两个角度进行直交分类。直交分类。一种分类标准是，恶意代码是否需要宿主，即特定的应用程序、工具程序或系统程序。需要宿主的恶意代的应用程序、工具程序或系统程序。需要宿主的恶意代码具有依附性，不能脱离宿主而独立运行；不需宿主的恶意代码具有独立性，可不依赖宿主而独立运行。另一种分类标准是，恶意代码是否能够自我复制。不能自我复制的恶意代码是不感染的；能够自我复制的恶意代码是可感染的。恶意代码是可感染的。5由此，可以得出以下4大类恶意代码分类标准需要宿主无需宿主不能自我复制不感染的依附性恶意代码不感染的独立性恶意代码能够自我复制可感染的依附性恶意代码可感染的独立性恶意代码6目前发现并命名的主要恶意代码按上述分类方法的分类结果如下表所示。类别实例特洛伊木马（）述分类方法的分类结果如下表所示。不感染的依附性恶意代码特洛伊木马（Trojanhorse）逻辑炸弹（Logicbomb）后门（Backdoor）或陷门（Trapdoor）p不感染的独立性恶意代码点滴器（Dropper）繁殖器（Generator）恶作剧（）恶作剧（Hoax）可感染的依附性恶意代码病毒（Virus）可感染的独立性恶意代码蠕虫（Worm）细菌（Germ）71不感染的依附性恶意代码特洛伊木马（TrojanHorse）1.不感染的依附性恶意代码特洛伊木马程序并不是一种病毒，因为它不具有病毒的可传染性、自我复制能力等特性，但是特有病毒的可传染性、自我复制能力等特性，但是特洛伊木马程序具有很大的破坏力和危害性。在计算机领域，特洛伊木马是一段吸引人而不为人警惕的程序，但它们可以执行某些秘密任务。为人警惕的程序，但它们可以执行某些秘密任务。大多数安全专家统一认可的定义是：“特洛伊木马是一段能实现有用的或必需的功能的程序，但是同时还完成一些不为人知的功能，这些额外的功能往时还完成一些不为人知的功能，这些额外的功能往往是有害的。”8特洛伊木马的来历希希腊人攻打特洛伊城十来源于希腊神话中的特洛伊战争希腊人攻打特洛伊城十年，始终未获成功，后来建造了一个大木马，并假装撤退希腊将士却暗藏于马腹退，希腊将士却暗藏于马腹中。特洛伊人以为希腊人已走，就把木马当作是献给雅典娜的礼物搬入城中晚上典娜的礼物搬入城中。晚上，木马中隐藏的希腊将士冲出来打开城门，希腊将士里应外合毁灭了特洛伊城。后来我们把进入敌人内部攻破防线的手段叫做木马计，木马计中使用的里应外合的工具叫做特洛伊木马定义中有3点需要进一步解释：第一，“有用的或必需的功能的程序”只是诱饵，就像典故里的特洛伊木马，表面看上去很美但实际上暗故里的特洛伊木马，表面看上去很美但实际上暗藏危机。第二，“为人不知的功能”定义了其欺骗性，是危机所在第二，“为人不知的功能”定义了其欺骗性，是危机所在之处，为几乎所有的特洛伊木马所必备的特点。第三，“往往是有害的”定义了其恶意性，恶意企图包括：第三，“往往是有害的”定义了其恶意性，恶意企图包括：（1）试图访问未授权资源（如盗取口令、个人隐私或企业机密）；（2）试图阻止正常访问（如拒绝服务攻击）；（）试图阻止正常访问（如拒绝服务攻击）；（3）试图更改或破坏数据和系统（如删除文件、创建后门等）。10特洛伊木马一般没有自我复制的机制，所以不会自动复制自身。电子新闻组和电子邮件是特洛伊木马的主动复制自身。电子新闻组和电子邮件是特洛伊木马的主要传播途径。特洛伊木马的欺骗性是其得以传播的根本原因。特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等，上载到电子新闻组或通过电子邮件直接传播，很容易被不知情的用户接收和继续传播。传播。1997年4月，一伙人开发出一个名叫AOL4FREE.COM的特洛伊木马，声称可以免费访问AOL，但它却损坏了的特洛伊木马，声称可以免费访问AOL，但它却损坏了执行它的机器硬盘。11直接攻击电子邮件经过伪装的木马文件下载过伪装的木马被植入目标机器文件下载浏览网页+合并文件特洛伊木马程序的位置和危险级别特洛伊木马程序代表了一种很高级别的威胁危险，主要是有以下几个原因。（1）特洛伊木马程序很难被发现。危险，主要是有以下几个原因。（1）特洛伊木马程序很难被发现。（2）在许多情况下，特洛伊木马程序是在二进制代码中发现的，它们大多以无法阅读的形式存在。中发现的，它们大多以无法阅读的形式存在。（3）特洛伊木马程序可以作用于许多机器中。13特洛伊木马的类型1．远程访问型特洛伊木马2．密码发送型特洛伊木马3．键盘记录型特洛伊木马3．键盘记录型特洛伊木马4．毁坏型特洛伊木马5．FTP型特洛伊木马14特洛伊木马的检测若要检测在文件或操作系统中特洛伊木马程序是否存在，首先用户必须对所用的操作系统有比较深入否存在，首先用户必须对所用的操作系统有比较深入的认识，此外还应对加密知识和一些加密算法有一定的了解。的了解。1．检测的基本方法．检测工具2．检测工具MD515特洛伊木马的防范1．特洛伊木马的基本工作原理特洛伊木马程序一般存在于注册表、win.ini文件或system.ini文件中，因为系统启动的时候需要装载这3个文件。个文件。下面从几个方面具体说明特洛伊木马程序是怎样自动加载的。在win.ini文件中的[WINDOWS]下面，“run=”和“load=”在win.ini文件中的[WINDOWS]下面，“run和“load是可能加载特洛伊木马程序的途径。在systemini文件中，“shell=explorerexe程序名”，那么16在system.ini文件中，“shellexplorer.exe程序名”，那么后面跟着的那个程序就是特洛伊木马程序。2．清除特洛伊木马的一般方法如果发现有特洛伊木马存在，首要的一点是立即将如果发现有特洛伊木马存在，首要的一点是立即将计算机与网络断开，首先编辑win.ini文件，接下来编辑systemini文件，对注册表进行编辑。system.ini文件，对注册表进行编辑。（1）提高防范意识。（2）多读dtt文件。（2）多读readme.txt文件。（3）使用杀毒软件。（4）立即挂断。（）立即挂断。（5）观察目录。（6）在删除特洛伊木马之前，最重要的一项工作是备份文件和注册表。17注册表。逻辑炸弹（Logicbomb）逻辑炸弹是一段具有破坏性的代码，事先预置于较大的程序中，等待某扳机事件发生触发其破坏行为。扳机事的程序中，等待某扳机事件发生触发其破坏行为。扳机事件可以是特殊日期，也可以是指定事件。逻辑炸弹往往被那些有怨恨的职员利用，他们希望在离开公司后，通过启动逻辑炸弹来损伤公司利益。一旦逻辑炸弹被触发，就会动逻辑炸弹来损伤公司利益。一旦逻辑炸弹被触发，就会造成数据或文件的改变或删除、计算机死机等破坏性事件。一个著名的例子是美国马里兰州某县的图书馆系统，一个著名的例子是美国马里兰州某县的图书馆系统，开发该系统的承包商在系统中插入了一个逻辑炸弹，如果承包商在规定日期得不到全部酬金，它将在该日期使整个系统瘫痪。当图书馆因系统响应时间过长准备扣留最后酬系统瘫痪。当图书馆因系统响应时间过长准备扣留最后酬金时，承包商指出了逻辑炸弹的存在，并威胁如果酬金不到位的话就会让它爆炸。18到位的话就会让它爆炸。后门（backdoor）或陷门（trapdoor）后门或陷门是进入系统或程序的一个秘密入口，它能够通过识别某种特定的输入序列或特定账户，使它能够通过识别某种特定的输入序列或特定账户，使访问者绕过访问的安全检查，直接获得访问权利，并且通常高于普通用户的特权。多年来，程序员为了调且通常高于普通用户的特权。多年来，程序员为了调试和测试程序一直合法地使用后门，但当程序员或他所在的公司另有企图时，后门就变成了一种威胁。192.不感染的独立性恶意代码(1)点滴器点滴器（dropper）是为传送和安装其他恶意代码而设计的程序，点滴器（dropper）是为传送和安装其他恶意代码而设计的程序，它本身不具有直接的感染性和破坏性。点滴器专门对抗反病毒检测，使用了加密手段，以阻止反病毒程序发现它们。当特定事件出现时，它便启动，将自身包含的恶意代码释放出来。它便启动，将自身包含的恶意代码释放出来。(2)繁殖器繁殖器（generator）是为制造恶意代码而设计的程序，通过这个程序，只要简单地从菜单中选择你想要的功能，就可以制造恶意代程序，只要简单地从菜单中选择你想要的功能，就可以制造恶意代码，不需要任何程序设计能力。事实上，它只是把某些已经设计好的恶意代码模块按照使用者的选择组合起来而已，没有任何创造新恶意代码的能力。因此，检测由繁殖器产生的任何病毒都比较容易，恶意代码的能力。因此，检测由繁殖器产生的任何病毒都比较容易，只要通过搜索一个字符串，每种组合都可以被发现。繁殖器的典型例子是VCL（VirusCreationLaboratory）。20(3)恶作剧恶作剧（hoax）是为欺骗使用者而设计的程序，它侮辱使用者或恶作剧（hoax）是为欺骗使用者而设计的程序，它侮辱使用者或让其做出不明智的举动。恶作剧通过“心理破坏”达到“现实破坏”。例如，UltraCool声称“如果不按退出按钮的话，一个低水平的硬盘格式化会在27秒内完成”，然而如果一直用鼠标按住退出按钮的话，直到计时到0时，便会出现一个“只是玩笑”的信息。这只是愚话，直到计时到时，便会出现一个“只是玩笑”的信息。这只是愚弄而已，严重的问题是有些恶作剧会让受骗者相信他的数据正在丢失或系统已经损坏需要重新安装，惊惶失措的受骗者可能会做出不明智的操作，如设法恢复丢失的数据或阻止数据再次丢失，或进行明智的操作，如设法恢复丢失的数据或阻止数据再次丢失，或进行系统重新安装而致使数据丢失甚至无法进入系统，从而导致真正的破坏。213.可感染的依附性恶意代码计算机病毒（viru）是一段附着在其他程序上的可以进行自我繁殖的代码。由此可见，计算机病毒是既有依附性，又有感染性。由于绝大多数恶意代码都或多或少地具有计算机由于绝大多数恶意代码都或多或少地具有计算机病毒的特征，因此在下一节中专门论述计算机病毒，这里不多做解释。这里不多做解释。224.可感染的独立性恶意代码(1)蠕虫计算机蠕虫（worm）是一种通过计算机网络能够自我计算机蠕虫（）是一种通过计算机网络能够自我复制和扩散的程序。蠕虫与病毒的区别在于“附着”。蠕虫不需要宿主，不会与其他特定程序混合。因此，与病毒感染特定目标程序不同，蠕虫感染的是系统环境（如操作感染特定目标程序不同，蠕虫感染的是系统环境（如操作系统或邮件系统）。蠕虫利用一些网络工具复制和传播自身，其中包括：蠕虫利用一些网络工具复制和传播自身，其中包括：¾电子邮件蠕虫会把自身的副本邮寄到其他系统中；¾远程执行蠕虫能够执行在其他系统中的副本；远程登录蠕虫能够像用户一样登录到远程系统中，然后使用系统命令将其自身从一个系统复制到另一个系统中。23上述方式的递归过程，即新感染系统采取同样的上述方式进行复制和传播，使得蠕虫传播非常迅速。蠕虫可以大量地