计算机网络安全知识

第7章恶意代码防范技术的原理第7章恶意代码防范技术的原理7.1恶意代码概述7.2计算机病毒7.3特洛伊木马7.4网络蠕虫7.5其他恶意代码7.6本章小结本章思考与练习第7章恶意代码防范技术的原理7.1恶意代码概述7.1.1恶意代码的定义与分类恶意代码是一种违背目标系统安全策略的程序代码，可造成目标系统信息泄露和资源滥用，破坏系统的完整性及可用性。它能够经过存储介质或网络进行传播，未经授权认证访问或破坏计算机系统。很多人认为“病毒”代表了所有感染计算机并破坏的程序。事实上，病毒只是一种类型的恶意代码而已。恶意代码的种类主要包括计算机病毒(ComputerVirus)、蠕虫(Worms)、特洛伊木马(TrojanHorse)、逻辑炸弹(LogicBombs)、细菌(Bacteria)、恶意脚本(MaliciousScripts)和恶意ActiveX控件、间谍软件(Spyware)等。第7章恶意代码防范技术的原理恶意代码计算机病毒被动传播主动传播特洛伊木马间谍软件逻辑炸弹网络蠕虫其他图7-1恶意代码的分类第7章恶意代码防范技术的原理恶意代码也是一个不断变化的概念。20世纪80年代，恶意代码的早期形式主要是计算机病毒。1984年，Cohen在美国国家计算机安全会议上演示了病毒的实验。人们普遍认为，世界上首例病毒是由他创造的。1988年，美国康奈尔大学的学生Morris制造了世界上首例“网络蠕虫”，称为“小莫里斯蠕虫”。该蠕虫一夜之间攻击了网上约6200台计算机。美国为此成立了世界上第一个计算机安全应急响应组织（CERT）。第7章恶意代码防范技术的原理1989年4月，中国首次发现小球病毒。从此，国内发现的其他计算机病毒纷纷走出国门，迅速的蔓延全国。20世纪90年代，恶意代码的定义随着计算机网络技术的发展逐渐丰富起来。1995年出现了Word宏病毒，1998年出现了CIH病毒，特洛伊木马已达到数万种。昀近几年，新的破坏力强的网络蠕虫相继出现。此外，恶意的间谍软件也出现了。第7章恶意代码防范技术的原理随着计算机技术和网络技术的发展，恶意代码的危害性日益增大。恶意代码的传播和植入能力由被动向主动变化，由本地主机向网络发展，恶意代码具有更强的隐蔽性，不仅实现进程和内容的隐藏，还做到通信方式隐藏。在恶意代码的攻击目标方面，已经由单机环境向网络环境转变，从有线环境向无线环境演变，现在已经出现了手机病毒。恶意代码逐渐具有了抗监测能力，如通过变形技术来逃避安全防御机制。第7章恶意代码防范技术的原理7.1.2恶意代码防范整体策略要做好恶意代码的防范:1、组织管理上必须加强恶意代码的安全防范意识。2、通过技术手段来实现恶意代码防范。第7章恶意代码防范技术的原理图7-2恶意代码防范框架结构图恶意代码监测预警(安全通告、威胁报警、疫情发布等)恶意代码防范框架用户恶意代码安全管理恶意代码防御技术安全意识培训安全工具使用安全管理组织安全管理制度安全管理流程安全管理工作岗位恶意代码预防(安装杀毒软件、安全加固、系统免疫、访问控制)检测恶意代码(漏洞扫描、注册表查找)恶意代码应急响应(恢复、备份、漏洞修补)第7章恶意代码防范技术的原理7.2计算机病毒7.2.计算机病毒的概念与特性计算机病毒的名称由来借用了生物学上的病毒概念，它是一组具有自我复制、传播能力的程序代码。它常依附在计算机的文件中。高级的计算机病毒具有变种和进化能力，可以对付反病毒程序。计算机病毒编制者将病毒插入到正常程序或文档中，以达到破坏计算机功能、毁坏数据、影响计算机使用的目的。计算机病毒传染和发作表现的症状各不相同，这取决于计算机病毒程序设计人员和感染的对象。第7章恶意代码防范技术的原理计算机病毒表现的主要症状如下：计算机屏幕显示异常、机器不能引导启动、磁盘存储容量异常减少、磁盘读写异常、出现异常的声音、执行程序文件无法执行、文件长度和日期发生变化、系统死机频繁、系统不承认硬盘、中断向量表发生异常变化、内存可用空间异常变化或减少、系统运行速度下降、系统配置文件改变、系统参数改变。第7章恶意代码防范技术的原理(1)隐蔽性：计算机病毒附加在正常软件或文档中，一旦用户未察觉，病毒就触发执行，潜入到受害用户的计算机中。目前，计算机病毒常利用电子邮件的附件作为隐蔽载体，许多病毒通过邮件进行传播。病毒的隐蔽性使得受害用户在不知不觉中感染病毒，对受害计算机造成系列危害操作。所有计算机病毒都具有四个基本特点：第7章恶意代码防范技术的原理(2)传染性：计算机病毒的传染性是指计算机病毒具有自我复制能力，并能把复制的病毒附加到无毒程序中，或者去替换磁盘引导区的内容，使得附加了病毒的程序或者磁盘变成新的病毒源，又能进行病毒复制，重复原来的传染过程。计算机病毒与其他程序昀本质的区别在于计算机病毒能传染，而其他的程序则不能。计算机病毒的传染载体主要是磁性介质、光盘和计算机网络。计算机病毒常见于免费软件、共享软件、电子邮件、磁盘压缩程序和游戏软件中。第7章恶意代码防范技术的原理(3)潜伏性。计算机病毒感染正常的计算机之后，一般不会立即发作，而是等到触发条件满足时，才执行病毒的恶意功能，从而产生破坏作用。第7章恶意代码防范技术的原理(4)破坏性：病毒的破坏后果是不可知的。由于计算机病毒是一段恶意的程序，因此凡是常规程序操作使用的计算机资源，计算机病毒均有可能对其进行破坏。第7章恶意代码防范技术的原理图7-3病毒破坏的情况19%19%17%13%11%8%8%5%数据部分丢失系统无法使用浏览器配置被修改网络无法使用使用受限受到远程控制不知道数据全部丢失第7章恶意代码防范技术的原理版权所有，盗版必纠•下面附带一些常见的病毒前缀的解释：•1.系统病毒•系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒。第7章恶意代码防范技术的原理版权所有，盗版必纠2.蠕虫病毒•蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。第7章恶意代码防范技术的原理版权所有，盗版必纠3.木马病毒、黑客病毒•木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack。•木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。•现在这两种类型都越来越趋向于整合了。•一般的木马如QQ消息尾巴木马Trojan.QQ3344，还有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60。第7章恶意代码防范技术的原理版权所有，盗版必纠•4.脚本病毒•脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）——可不是我们的老大代码兄哦^_^。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。第7章恶意代码防范技术的原理版权所有，盗版必纠•5.宏病毒•其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。•凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；第7章恶意代码防范技术的原理版权所有，盗版必纠•5.宏病毒•凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；•凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。•该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。第7章恶意代码防范技术的原理版权所有，盗版必纠•6.后门病毒•后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如很多朋友遇到过的IRC后门Backdoor.IRCBot。•第7章恶意代码防范技术的原理版权所有，盗版必纠•7、病毒种植程序病毒•这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。•第7章恶意代码防范技术的原理版权所有，盗版必纠•8．破坏性程序病毒•破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。•如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。第7章恶意代码防范技术的原理版权所有，盗版必纠•9．玩笑病毒•玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。第7章恶意代码防范技术的原理版权所有，盗版必纠10．捆绑机病毒•捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。第7章恶意代码防范技术的原理版权所有，盗版必纠10．捆绑机病毒•捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。第7章恶意代码防范技术的原理7.2.2计算机病毒的组成与运行机制计算机病毒由三部分组成：复制传染部件(replicator)、隐藏部件(concealer)和破坏部件(bomb)。计算机病毒实现者将上述三个部分综合在一起，使用当前反病毒软件不能检测到的病毒感染系统，使病毒逐渐开始传播。第7章恶意代码防范技术的原理计算机病毒的生命周期主要有两个阶段：*第一阶段，计算机病毒的复制传播阶段。这一阶段有可能持续一个星期到几年。计算机病毒在这个阶段尽可能隐蔽其行为，不干扰正常系统的功能。计算机病毒主动搜寻新的主机进行感染，如将病毒附在其他的软件程序中，或者渗透操作系统。同时，可执行程序中的计算机病毒获取程序控制权。在这一阶段，发现计算机病毒特别困难，这主要因为计算机病毒只感染了少量的文件，难以引起用户警觉。*第二阶段，计算机病毒的激活阶段。计算机病毒在该阶段根据数学公式判断激活条件是否满足，然后再开始逐渐或突然破坏系统。第7章恶意代码防范技术的原理7.2.3计算机病毒常见类型与技术1．引导型病毒引导型病毒通过感染计算机系统的引导区而控制系统，病毒将真实的引导区内容修改或替换，当病毒程序执行后，才启动操作系统。因此