病毒与木马的防范介绍医学课件.pptx

1、病毒与木马的防范1课程大纲l 防病毒l 蠕虫防范l 木马防范l 恶意网页防范l 恶意代码的分析前言l 恶意代码定义：恶意代码定义：l 恶意代码恶意代码=有害程序有害程序l (包括病毒、包括病毒、蠕蠕虫、木马、垃圾邮件、间谍程序虫、木马、垃圾邮件、间谍程序、玩笑等在内的所有可能危害计算机安全的程序、玩笑等在内的所有可能危害计算机安全的程序)l 主要分为病毒、蠕虫、木马、恶意网页四大类。主要分为病毒、蠕虫、木马、恶意网页四大类。病毒防范l 病毒定义病毒定义l 病毒类型病毒类型l 病毒的分类病毒的分类l 病毒技术和特点病毒技术和特点l 防病毒产品防病毒产品l 病毒防范策略病毒防范策略病毒定义l 计算

2、机病毒：是指编制或者在计算机程序中插入计算机病毒：是指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据，影响计算机使用破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码，并能自我复制的一组计算机指令或者程序代码l 一种能把自己（或经演变）注入其它程序的计算一种能把自己（或经演变）注入其它程序的计算机程序机程序l 传播机制同生物病毒类似。生物病毒是把自己注传播机制同生物病毒类似。生物病毒是把自己注入细胞中入细胞中l 蠕虫程序与木马程序不是真正意义上的病毒蠕虫程序与木马程序不是真正意义上的病毒电脑病毒的工作原理l 病毒三部曲：病毒三部曲：住进阶段：执行被感染的

3、程序，病毒就加载入计算机内存感染阶段：病毒把自己注入其它程序，包括远程文件执行阶段：当某些条件成熟时，一些病毒会有一些特别的行为。例如重新启动，删除文件。主要病毒类型l引导型计算机病毒主要是感染磁盘的引导扇区，也就是常说的硬盘的boot区。我们在使用被感染的磁盘（无论是软盘还是硬盘）启动计算机时他们就会首先取得系统的控制权，驻留在内存之后再引导系统，并伺机传染其它软盘或硬盘的引导区。l文件型计算机病毒一般只传染磁盘上的可执行文件（com、exe），在用户调用感染病毒的可执行文件时，计算机病毒首先被运行，然后计算机病毒驻留内存伺机感染其它文件，其特点是附着于正常程序文件，成为程序文件的一个外壳或

4、部件。l宏病毒（macro virus）传播依赖于包括word、excel和power point 等应用程序在内的office套装软件。l电子邮件计算机病毒就是以电子邮件作为传播途径的计算机病毒病毒分类l 病毒命名方式：病毒命名方式：病毒前缀是指一个病毒的种类，用来区别病毒的种族分类的。如木马病毒的前缀trojan，蠕虫病毒的前缀是worm病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。病毒的分类l系统病毒系统病毒l系统病毒的前缀为：win32、pe、win95、w32、w95等。可以感染windows操作系统的*.exe 和*.dll 文件，并通过这些文件进行传播。

5、如cih病毒。l蠕虫病毒蠕虫病毒l蠕虫病毒的前缀是：worm 通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波，小邮差。（通常单列）l木马木马/黑客病毒黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack。通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息。（通常单列）病毒的分类l脚本病毒脚本病毒脚本病毒的前缀是：script。用脚本语言编写，通过网页进行的传播的病毒，如红色代码（script.pedl of）l宏病毒宏病毒宏病毒的前缀是：macro，第二前缀是：word、word97、excel、excel97（

6、也许还有别的）其中之一。如著名的美丽莎（macro.word.melissa）。l后门病毒后门病毒后门病毒的前缀是：backdoor。通过网络传播，给系统开后门，给用户电脑带来安全隐患。如irc后门backdoor.irobot。l病毒种植程序病毒种植程序运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者(dropper.binghe2.2c)、msn射手（dropper.worm.smibag）等。病毒的分类l破坏性程序病毒破坏性程序病毒破坏性程序病毒的前缀是：Harm 用好看的图标来诱惑用户点击，当点击这类病毒时，便会直接对计算机产生破坏。如格式

7、化c盘（harmformatcf）l玩笑病毒玩笑病毒玩笑病毒的前缀是：joke。也成恶作剧病毒。用好看的图标来诱惑用户点击，但不对电脑进行破坏。如：女鬼（joke.grilghost）病毒。l捆绑机病毒捆绑机病毒捆绑机病毒的前缀是:binder.用特定的捆绑程序将病毒与应用程序如qq、ie捆绑起来，当运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒。如：捆绑qq（binder.qqpass.qqbin）防病毒软件的结构防病毒软件的3个组成部分 防病毒网关l 由于目前的防火墙并不能防止目前所有的病毒进由于目前的防火墙并不能防止目前所有的病毒进入内网，所以在某些情况下，需

8、要在网络的数据入内网，所以在某些情况下，需要在网络的数据出口处和网络中重要设备前配置防病毒网关，以出口处和网络中重要设备前配置防病毒网关，以防止病毒进入内部网络。防止病毒进入内部网络。防病毒网关l 防病毒网关按照功能上分为两种：防病毒网关按照功能上分为两种：保护网络入口的防病毒网关保护邮件服务器的防病毒网关l 防病毒网关按照部署形式分为：防病毒网关按照部署形式分为：透明网关代理网关 防病毒网关邮件防病毒l 由于目前的病毒大部分均是通过邮件传播的，所由于目前的病毒大部分均是通过邮件传播的，所以对于邮件服务器的保护是十分重要的。以对于邮件服务器的保护是十分重要的。对邮件服务器系统自身加固邮件防病毒

9、网关客户端防病毒l 引导安全引导安全l 系统安装安全系统安装安全l 系统日常加固系统日常加固l 日常使用安全日常使用安全反病毒技术l第一代反病毒技术采取单程的病毒特征诊断，但是对加密，变形的新一点病毒无能为力；l第二代反病毒技术采用静态广谱特征扫描技术，可以检测变形病毒，但是误报率高，杀毒风险大；l第三代反病毒技术将静态扫描技术和动态仿真跟踪技术相结合；l第四代反病毒技术基于病毒家族体系的命名规则，基于多位crc效验和扫描机理、启发式智能代码分析模块、动态数据还原模块（能查出隐藏性极强的严肃哦加密文件中的病毒）、内存解读模块、自身免疫模块等先进解读技术，能过较好的完成查解毒任务。病毒检测方法l

10、比较法比较法是用原始备份与被检测的引导扇区或者被检测的文件进行比较。l加总比对法l搜索法 搜索法是用每一种计算机病毒体含有的的顶字符串对被检测的对象进行扫描l分析法确认被观察的磁盘引导扇区和程序中是否含有计算机病毒；确认计算机病毒的类型和种类，判定其实否是一种新的计算机病毒；搞清楚计算机病毒体的大致结构；详细分析计算机病毒代码。l人工智能陷阱技术和宏病毒陷阱技术人工智能陷阱是一种检测计算机行为的常驻式扫描技术。l软件仿真扫描法 该技术专门用来对付多态类型的计算机病毒。l先知扫描法先知扫描法技术是继软件仿真后的一大技术上突破。反病毒技术发展趋势l 人工智能技术的应用人工智能技术的应用l 提高清楚

11、病毒准确性提高清楚病毒准确性l 以网络为核心的防病毒技术以网络为核心的防病毒技术l 多种技术的融合多种技术的融合新一代病毒预警技术l 病毒预警技术一般是采用分步式的结构，进行集病毒预警技术一般是采用分步式的结构，进行集中管理报警，分散控制。中管理报警，分散控制。l 病毒预警的具体可采用病毒预警的具体可采用“数据流分析数据流分析”、“病毒病毒诱捕诱捕”等技术。等技术。新一代病毒预警技术病毒的预防措施l新购置的计算机硬软件系统的测试新购置的计算机硬软件系统的测试l计算机系统的启动计算机系统的启动l单台计算机系统的安全使用单台计算机系统的安全使用l重要数据文件要有备份重要数据文件要有备份l不要随便直

12、接运行或直接打开电子函件夹带的附件文件不要随便直接运行或直接打开电子函件夹带的附件文件l计算机网络的安全使用计算机网络的安全使用安装网络服务器时应保证没有计算机病毒存在。在安装网络服务器时，应将文件系统划分成文件卷系统。一定要用硬盘启动网络服务器。为各个卷分配不同的用户权限。在网络服务器上必须安装真正有效的防杀计算机病毒软件系统管理员的职责。防护办公网络中病毒传播l 大型内部网络，一般均有防火墙等便捷防护措施大型内部网络，一般均有防火墙等便捷防护措施，但是还经常会出现病毒，病毒是如何传入的呢，但是还经常会出现病毒，病毒是如何传入的呢l 病毒传入途径：病毒传入途径：终端漏洞导致病毒传播；邮件接收

13、导致病毒传播；外部带有病毒的介质直接接入网络导致病毒传播；内容用户绕过边界防护措置，直接接入因特网导致病毒传播；网页中的恶意代码传入；防护办公网络中病毒传播l 系统漏洞传播系统漏洞传播l 系统邮件传播系统邮件传播l 储存介质传播储存介质传播l 共享目录传播共享目录传播物理隔离网络中病毒的传播l 国家机关和军队、银行等为了保护网络，一般均国家机关和军队、银行等为了保护网络，一般均采用物理隔离措施，这类网络理论上应该是安全采用物理隔离措施，这类网络理论上应该是安全的，不过也有病毒的出现，这类网络，病毒主要的，不过也有病毒的出现，这类网络，病毒主要是靠集中途径传播的：是靠集中途径传播的：外部带有病毒

14、的介质介入网络导致病毒传播内部用户私自在将所有的终端接入因特网导致病毒被引入物理隔离网络中病毒的传播l 系统漏洞传播；系统漏洞传播；l 存储介质传播；存储介质传播；l 邮件传播；邮件传播；建立有效的病毒防范管理机制l 建立防病毒管理机构建立防病毒管理机构l 防病毒管理机制的制定和完善防病毒管理机制的制定和完善l 制定防病毒管理制度制定防病毒管理制度l 用技术手段保障管理的有效性用技术手段保障管理的有效性l 加强培训以保障管理机制执行加强培训以保障管理机制执行建立有效的病毒防范管理机制建立有效的病毒应急机制l 建立应急响应中心l 病毒事件分级l 制定应急响应处理预案l 应急响应流程l 应急响应的

15、事后处理通常的病毒应急反应预案流程图二、蠕虫防范l 防病毒防病毒l 蠕虫防范蠕虫防范l 木马防范木马防范l 恶意网页防范恶意网页防范l 恶意代码的分析恶意代码的分析蠕虫技术l 蠕虫的特征蠕虫的特征l 蠕虫的基本结构蠕虫的基本结构l 蠕虫发作特点和趋势蠕虫发作特点和趋势l 蠕虫分析和防范蠕虫分析和防范蠕虫的特征l 定义：一段能不以其他程序为媒介，从一个电脑定义：一段能不以其他程序为媒介，从一个电脑体统复制到另一个电脑系统的程序体统复制到另一个电脑系统的程序蠕虫是一种通过网络传播的恶性病毒。病毒共性：传播性，隐蔽性，破坏性蠕虫特性：不利于文件寄生，拒绝服务，结合黑客技术破坏性上，蠕虫病毒也不是普通

16、病毒所能比拟的！网络蠕虫传播基本原理利用程序中缓冲区溢出的缺陷进程劫持l 注入现有的进程注入现有的进程l 重新启动后自动消失重新启动后自动消失l 增加侦测难度增加侦测难度蠕虫的基本结构l 传播模块：负责蠕虫的传播。传播模块：负责蠕虫的传播。l 隐藏模块：侵入主机后，隐藏蠕虫程序，防止被隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。用户发现。l 目的功能模块：实现对计算机的控制、监视或者目的功能模块：实现对计算机的控制、监视或者破坏等功能破坏等功能蠕虫发作特点和趋势l 利用操作系统和应用程序的漏洞主动进行攻击利用操作系统和应用程序的漏洞主动进行攻击l 传播方式多样。传播方式多样。l 许多新

17、病毒制作技术是利用当前最新的编程语言许多新病毒制作技术是利用当前最新的编程语言与编程技术实现的。从而逃避反病毒软件的搜索与编程技术实现的。从而逃避反病毒软件的搜索l 与黑客技术相结合！与黑客技术相结合！蠕虫防范l 蠕虫病毒往往能够利用漏洞：蠕虫病毒往往能够利用漏洞：软件上的缺陷用户使用的缺陷蠕虫防范（cont.）l对于个人用户而言，威胁大的蠕虫病毒的传播方式：对于个人用户而言，威胁大的蠕虫病毒的传播方式：l一、电子邮件（一、电子邮件（email）对于利用email传播得蠕虫病毒来说，通常利用在社会工程学，即以各种各样的欺骗手段来诱惑用户点击的方式进行传播！l二、二、恶意网页恶意网页恶意网页确切

18、的讲是一段黑客破坏代码程序，它内嵌在网页中，当用户在不知情的情况下打开含有病毒的网页时，病毒就会发作。木马防范l 防病毒防病毒l 蠕虫防范蠕虫防范l 木马防范木马防范l 恶意网页防范恶意网页防范l 恶意代码的分析恶意代码的分析木马l 木马定义及生存方式木马定义及生存方式l 五代木马技术的发展五代木马技术的发展l 关键技术和检测方法关键技术和检测方法l 防范实例和方法防范实例和方法木马程序的生存方式l 包含一个合法程序中，与合法程序绑定在一起，包含一个合法程序中，与合法程序绑定在一起，在用户调用该合法程序时，木马程序也被启动；在用户调用该合法程序时，木马程序也被启动；l 在一个合法程序中加入此非

19、法程序执行代码，该在一个合法程序中加入此非法程序执行代码，该代码在用户调用合法程序时被执行；代码在用户调用合法程序时被执行；l 直接伪装成合法程序。直接伪装成合法程序。木马定义l定义：当目标主机上的木马程序被执行后，目标主机就定义：当目标主机上的木马程序被执行后，目标主机就成为一个网络服务器，这时通过木马程序的另一部分，成为一个网络服务器，这时通过木马程序的另一部分，就可以对目标主机进行监视、控制。本质上是一种基于就可以对目标主机进行监视、控制。本质上是一种基于远程控制的病毒程序，具有很强的隐蔽性和危险性。远程控制的病毒程序，具有很强的隐蔽性和危险性。l1.隐蔽性是其首要的特征：主要体现：隐蔽

20、性是其首要的特征：主要体现：A、不产生图标B、自动隐藏l2.它具有自动运行性它具有自动运行性l3.木马程序具有欺骗性木马程序具有欺骗性l4.具备自动恢复功能具备自动恢复功能l5.能自动打开特别的端口能自动打开特别的端口l6.功能的特殊性功能的特殊性l7.黑客组织趋于公开化黑客组织趋于公开化五代木马技术发展l第一代木马是简单的具有口令窃取及发送功能的木马程序第一代木马是简单的具有口令窃取及发送功能的木马程序,例如例如:l口令发送型木马口令发送型木马.找到所有的隐藏口令并在受害者不知情的情况下发找到所有的隐藏口令并在受害者不知情的情况下发送到指定信箱送到指定信箱.l键盘记录性木马。就是记录受害者的

21、键盘敲击并且在键盘记录性木马。就是记录受害者的键盘敲击并且在log文件里查找文件里查找口令口令第二代木马在技术上有了很大的进步，是最早的监视控制型木马一般是等待客户端程序重启端口连接后，接受客户端程序给木马程序发送的命令数据包，然后执行所要求的指令，如隐藏在配置文件、内置到注册表、捆绑在启动文件等手段。第三代木马在数据传递技术上、木马程序隐藏技术上又做了进一步的改进。（1）放弃了传统木马程序重启端口进行数据传输的工作模式，而采用寄生在目标主机系统本身启用的端口或使用潜伏手段利用ip协议族中的其他协议而非tcp/udp来进行通讯，从而瞒过netstat和端口扫描软件，如icmp木马。（2）进行进

22、程列表欺骗，也就是欺骗用户和入侵检测软件用来查看进程的函数l第四代木马在程序的隐身技术及植入方式上又将进一步第四代木马在程序的隐身技术及植入方式上又将进一步提高：提高：利用驱动程序达到木马的隐身目的；使用dll陷阱技术进行隐藏；针对微软的下一代操作系统中将使用的dll数字签名、效验技术，将采用内核插入式的嵌入方式达到木马进程的隐身目的。l第五代木马与病毒紧密结合，利用操作系统漏洞，直接第五代木马与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的。实现感染传播的目的。木马的关键技术l对指定目标主机的木马程序的植入和加载方式，以及目对指定目标主机的木马程序的植入和加载方式，以及目标主机之间的

23、自动传播植入手段；标主机之间的自动传播植入手段；l研究开发利用驱动程序技术、动态数据库陷阱技术、远研究开发利用驱动程序技术、动态数据库陷阱技术、远程线程技术这三种木马的技术实现，其中关键技术有动程线程技术这三种木马的技术实现，其中关键技术有动态链接库的替换、如何提升权限实现在另一个进程中创态链接库的替换、如何提升权限实现在另一个进程中创建新的远程线程；建新的远程线程；l对防火墙及杀毒软件的欺骗及信息收集；对防火墙及杀毒软件的欺骗及信息收集；l对木马的远程配置和服务的在线通知、自动卸载以及能对木马的远程配置和服务的在线通知、自动卸载以及能够操作其对第三方电脑发动攻击功能。够操作其对第三方电脑发动

24、攻击功能。lrootkit技术技术rootkitl恶意程序，间谍软件，广告软件提升反侦测能力l恶意系统程序是一种提供反侦测能力技术隐藏文件，进程网络端口和连接，系统设置，系统服务可以在恶意程序之中，例如 berbew也有独立软件，例如 hackder defenderl恶意系统程序历史首次出现在隐性病毒中，例如 brain1994年第一个恶意系统程序出现在sunos，替换核心系统工具（is，ps等）来隐藏恶意进程。木马防范l 查查1、检查系统进程2、检查注册表、ini文件和服务3、检查开放端口4、监视网络通讯l 堵堵1、堵住控制通路2、杀掉可疑进程l 杀杀1、手工删除2、软件杀毒如何避免木马的

25、入侵l1.不要执行任何来历不明的软件l2.不要相信你得邮箱不会收到垃圾和带毒的邮件l3.不要轻信他人l4.不要随便留下你得个人资料l5.网上不要得罪人l6.不要随便下载软件l7.最好使用第三方邮件程序l8.不要轻易打开广告邮件中附件或点击其中的链接l9.将windows资源管理器配置成始终显示扩展名l10.尽量少用共享文件夹l11.给电子邮件加密l12.隐藏ip地址l13.运行反木马实时监控程序恶意网页防范l 防病毒防病毒l 蠕虫防范蠕虫防范l 木马防范木马防范l 恶意网页防范恶意网页防范l 恶意代码的分析恶意代码的分析网页恶意代码举例l如何在注册表被锁定的情况下修复注册表如何在注册表被锁定的

26、情况下修复注册表l篡改篡改IE的默认页的默认页l修改修改IE浏览器缺省主页，并且锁定设置项，禁止用户更改浏览器缺省主页，并且锁定设置项，禁止用户更改lIE的默认首页灰色按钮不可选的默认首页灰色按钮不可选lIE标题栏被修改标题栏被修改lIE右键菜单被修改右键菜单被修改lIE默认搜索引擎被修改默认搜索引擎被修改l系统启动时弹出对话框系统启动时弹出对话框lIE默认连接首页被修改默认连接首页被修改lIE中鼠标右键失效中鼠标右键失效l查看源文件菜单被禁用查看源文件菜单被禁用认识误区l如果你只浏览信任的网站，那么上网冲浪不可能使你的如果你只浏览信任的网站，那么上网冲浪不可能使你的浏览器受到病毒感染。浏览器

27、受到病毒感染。l浏览器补丁更新以后，系统就安全了。浏览器补丁更新以后，系统就安全了。l你得病毒防护工具可以阻止各种恶意代码侵入系统你得病毒防护工具可以阻止各种恶意代码侵入系统l每个月更新一次你得病毒防护工具的病毒特征库，系统每个月更新一次你得病毒防护工具的病毒特征库，系统就会安全。就会安全。l大多数恶意代码只是那些出于好玩的心理或者为了在计大多数恶意代码只是那些出于好玩的心理或者为了在计算机领域扬名的十几岁小孩编写的。算机领域扬名的十几岁小孩编写的。阻止恶意软件的有效措施l 主动防御措施：主动防御措施：l 及时下载安装软件补丁及时下载安装软件补丁l 运行漏洞扫描程序运行漏洞扫描程序l 启用防火

28、墙，关闭限制端口启用防火墙，关闭限制端口l 减小攻击面，停止不需要的应用程序或服务减小攻击面，停止不需要的应用程序或服务l 使用最少特权账号使用最少特权账号l 正确使用口令正确使用口令l 被动防御措施：被动防御措施：l 安装使用防病毒软件安装使用防病毒软件l 定期备份重要文件定期备份重要文件恶意软件清除步骤l 断开与网络的连接断开与网络的连接l 识别恶意的进程和设备驱动程序识别恶意的进程和设备驱动程序l 杀掉识别出的恶意的进程杀掉识别出的恶意的进程l 识别并删除恶意软件的自动运行识别并删除恶意软件的自动运行l 删除磁盘上的恶意程序删除磁盘上的恶意程序l 重启并重复以上步骤重启并重复以上步骤结束

29、恶意进程l 不要直接杀死进程l 恶意软件会使用另外一个watchdog进程，重启被杀掉的进程l 而应该先挂起进程l 注意：对于svchost 进程会引起系统重起l 记录恶意exe和dll文件的具体位置l 最后一起杀掉所有进程l 重复上面的过程目录l 防病毒防病毒l 蠕虫防范蠕虫防范l 木马防范木马防范l 恶意网页防范恶意网页防范l 恶意代码的分析恶意代码的分析信息获取工具l 主机信息获取工具主机信息获取工具内存信息磁盘信息文件系统信息注册表信息l 网络信息获取工具网络信息获取工具SnifferLdsTcpviewnetcat文件监控l Filemon®monl winalysis代码分析工具l 文件格式处理工具文件格式处理工具PeidProcdumpl 静态代码分析工具静态代码分析工具UltraeditIda prol 动态调试工具动态调试工具Softlcel 组合调试工具组合调试工具Ollydbgw32dasm