病毒、蠕虫与木马PPT课件.ppt

1、第八章 病毒蠕虫与木马.8.1 计算机病毒 n计算机病毒的概念 n一种能够自身复制自身并以其他程序为宿主的可执行的代码-Fred Cohen n编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码-中华人民共和国计算机信息系统安全保护条例 n计算机病毒潜入到计算机内部时会附着在程序中，当宿主程序启动后，病毒就随之被激活并感染系统中的其它部分 n计算机病毒可以分作良性和恶性 8.1 计算机病毒n计算机病毒的分类 n文件型病毒 n引导扇区病毒 n混合性病毒 n宏病毒 n隐形飞机式病毒 n密文病毒 n多态病毒 nScript病毒 n电子邮

2、件病毒 文件型病毒n这一类病毒主要是感染计算机中的个别文件，当这些文件被执行，病毒程序就跟着被执行。n寄生在主程序上的方式主要有3种n将病毒加于文件之前，则病毒先于文件代码激活n将病毒置于文件之后，但在执行文件的开端会加入一个跳转指令到病毒程序n病毒文件直接将执行文件程序覆盖，当受感染文件执行时，病毒就开始作用了。n按照传染方式不同，文件型的病毒又分成非常驻型以及常驻型两种。引导扇区病毒 n藏匿和感染软盘或硬盘的第一个扇区，即平常我们所说的引导扇区n引导型病毒借由引导动作而侵入内存，若用已经感染的磁盘引导，那么病毒将立即感染到硬盘。nDOS的架构设计,使得病毒可以在每次开机时,在操作系统还没被

3、加载之前就被加载到内存中,这个特性使得病毒可以针对DOS的各类中断得到完全的控制,并且拥有更大的能力进行传染与破坏。n现在这类病毒比较少见。混合性病毒 n同时兼具引导型病毒和文件型病毒的特点，具有很强的破坏力。n通常会先修改引导扇区，而此时病毒已经在系统中激活，并潜伏在内存中。n下一步就是要感染其它可执行文件了。宏病毒n利用了一些数据处理系统内置宏编程指令的特性而形成的一种特殊病毒。n与前述的病毒不同，宏病毒不感染程序，只感染文档和模板，如Word和Excel文件等。n它是依附在正常的文件上，利用文档可执行其内宏命令代码的方式，在文档在打开或关闭时来控制并感染系统。n宏病毒的影响很大，轻则文件

4、被破坏，重则格式化硬盘，使数据毁于一旦。隐形飞机式病毒 n病毒的目的是在防病毒软件装载和发现它们之前就开始行动以逃避检测。n一种常采用的技术是将程序A中指向另外一个程序B或系统信息的地址进行重定向，使其指向一个病毒程序文件。n当程序A调用程序B的时候，得到运行的是病毒程序。由于并没有想受感染文件中注入附加的代码，这种方法可以逃避一些基于特征码检测的杀毒软件。n另外一种常用的方法是虽然替换了文件，但是保证了替换后的文件和替换前的文件的长度是一样的，这样就可以逃避以文件长度为检测特征的软件的查杀。密文病毒 n通过自我加密，密文病毒的外观能够从一种形态变成另一种形态，并将感染过的文本和信息隐藏起来。

5、n加密后的病毒文件看起来并不是病毒，而是一段毫无疑义的乱码。n病毒加密的部分需要一把“密钥”来译解其隐藏的代码，这把钥匙就隐藏在病毒的固定文本中。n当被感染文件执行时，密钥会把病毒的剩余部分解密还原。多态病毒 n每当病毒它们运行一次，就会以不同的病毒码传染到别的地方去。n每一个中毒的文件中，所含的病毒码都不一样，对于扫描固定病毒码的防毒软件来说，基本无法彻底查杀 Script病毒 nScript病毒（VBScript、JavaScript、HTML）是利用脚本来进行破坏的病毒，它本身是一个ASCII码或加密的ASCII码文本文本，由特定的脚本解释器执行。n它利用了脚本解释器的疏忽和用户登录身份

6、不当对系统设置进行恶意配置或恶意调用系统命令造成危害。VBScript（Visual Basic Script）以JavaScript病毒必须透过Microsoft的Windows Scripting Host（WSH）才能够启动执行以及感染其它文件。nHTML病毒使用内嵌在HTML文件中的Script来进行破坏，当使用者从具备Script功能的浏览器检视HTML网页时，内嵌Script便会自动执行。电子邮件病毒 n电子邮件病毒是近来出现的恶意软件。最早利用电子邮件散布的病毒，是利用邮件附件的宏病毒。n如果收件者打开附件，就会执行Word宏，然后病毒就会根据收件者的联系人名单，将自身复制传送给

7、所有的联系人。n现在有些病毒甚至不需要打开邮件的附件，只要接收了电子邮件，就会感染病毒。n这种病毒是由软件所支持的VBScript语言所编写的。计算机病毒的特点 n传染性 n传染性是计算机病毒的最重要特征，指病毒从一个程序复制进入另一个程序体的过程，其功能是有病毒的传染模块来实现的。n病毒本身是一个可以运行的程序段，因此正常程序运行途径和方法就是病毒运行传染的途径和方法。n病毒程序代码一旦进入计算机并得以执行，它就会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。n在单机环境下，病毒只能通过软盘从一台计算机带到另一台，而在网络中则可以通过网络通讯机制

8、进行迅速扩散。计算机病毒的特点n隐蔽性 n指计算机病毒进入计算机系统开始破坏数据的过程不易为用户察觉，而且这种破坏性活动用户难以预料。n无论是在传染的过程中，还是在病毒运行的过程中，如果病毒能够轻易的被用户察觉，比如出现一个安装界面的话，那么这个病毒是无法存在的。n大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。对于一个几百KB大小的文件，如果病毒程序只插入了几百字节数据的话，通常是不会被发现的。n已有部分病毒实现了将程序中无用代码替换为病毒代码，从而保证感染后的文件大小不发生变化。计算机病毒的特点n潜伏性n指病毒进入到被感染的系统中，并不会马上发作，而是寻找机会在用户不察觉的情况下继续

9、感染其它文件和系统n在几周或者几月的时间内都隐藏在合法文件中，等待条件激发。n病毒的潜伏性越好,它在系统中存在的时间也就越长,感染的文件和系统就越多，危害性也越大。计算机病毒的特点n破坏性n指对正常程序和数据进行覆盖、修改和删除，造成用户敏感数据的丢失或系统的崩溃。n任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。n如同上文讲过的良性和恶性病毒，轻者会占用内存空间、降低计算机工作效率或占用系统资源，重者可格式化硬盘以至导致系统崩溃。计算机病毒的特点n触发性n指计算机病毒激发的条件实际是病毒设计者事先设定的，可以是某个事件、日期、时间、文件名或者是病毒内置的计数器等等，也可以是几个

10、条件的结合n当满足其触发条件或者激活病毒的传染机制，病毒发作。n但是过于苛刻的触发条件，可能使病毒有好的潜伏性，但不易传播。n而过于宽松的触发条件将导致病毒频繁感染与破坏，容易暴露，被用户发现。计算机病毒的特点n多态性n指病毒每次发作之后，都会改变它的形态（特征字符串等），使病毒查杀攻击很难检测出来它们的存在。n例如病毒在每感染一个对象时，采用随机方法对病毒主体进行加密。n同一种病毒存在多个样本种，几乎没有稳定的病毒代码。计算机病毒的生命周期 n休眠阶段(Dormant phase)n在这个阶段，病毒并不发作，而是静静等待触发条件的满足，例如某一程序的运行、某一文件的打开或者敏感字符的出现等等

11、n繁殖阶段(Propagation phase)n病毒对自身进行复制，并潜入到其它程序或者拷贝到磁盘上的系统区。每个被感染的程序就又会成为病毒源，而且也进入繁殖阶段.n触发阶段(Triggering phase)n病毒启动其设计之功能。相对于休眠阶段，在本阶段中，病毒能夠在受到某些系统事件的驱动(如已经复制达到某個次数)，而启动其功能n执行階段(Execution phase)n病毒的功能已经被執行，其影响可能是无伤大雅的，如在屏幕上显示一段信息；也可能伤害力十足，如中止其他程式运行以及文件。典型病毒及其解决方案 nwazzu病毒 n大麻病毒 n米开朗基罗病毒 n我爱你病毒 n熊猫烧香病毒

12、8.2 蠕虫 n蠕虫的概念 n计算机蠕虫可以独立运行，并能把自身的一个包含所有功能的版本传播到另外的计算机上 n网络蠕虫是借助网络进行传播，无须用户干预能够自主地或者通过开启文件共享功能而主动进攻的恶意代码 n无须计算机使用者干预即可运行的独立程序，它通过不停地获得网络中存在漏洞的计算机的部分或全部控制权来进行传播 蠕虫的传播过程 n扫描n攻击n复制与计算机病毒的区别 项目病毒蠕虫存在形式寄生独立个体复制形式插入到宿主程序（文件）中自身拷贝传染机制宿主程序运行系统存在漏洞攻击目标针对本地文件针对网络上的其它计算机触发传染计算机使用者程序自身影响重点文件系统网络性能、系统性能防治措施从宿主文件中

13、摘除为系统打补丁计算机使用者角色病毒传播中的关键环节无关对抗主体计算机使用者、反病毒厂商系统软件和服务软件提供商、网络管理人员典型蠕虫与解决方案 n冲击波（Worm.Blaster）病毒 n蠕虫王病毒 n红色代码/红色代码II蠕虫 造成较大危害的蠕虫病毒 病毒名称爆发时间造成损失莫里斯蠕虫1988年6000台电脑停机，数千万美元经济损失红色代码2001年7月大范围网络瘫痪，26亿美元经济损失求职信2001年12月邮件服务器被堵塞，数百亿美元经济损失蠕虫王2003年1月十分钟内攻击了7.5万台计算机，大范围网络瘫痪，30亿美元经济损失冲击波2003年7月大范围网络瘫痪，数十亿美元经济损失MyDo

14、om2004年1月大量垃圾邮件攻击SCO和微软网站，300多亿美元损失震荡波2004年4月100万台计算机被感染，数百万美元损失8.3 木马 n木马的概念 n来源于希腊神话木马屠城记 n表面上是有用、实际目的却是危害计算机安全并导致严重破坏的计算机程序 n木马程序本身不能做任何事情，必须依赖于用户的帮助来实现它们的目标。n恶意程序通常都伪装成为升级程序、安装程序、图片等文件，来诱惑用户点击。一旦用户禁不起诱惑打开了以为来自合法来源的程序，特洛伊木马便趁机传播 木马的分类 n远程控制型n现今最广泛的特洛伊木马，目前所流行的大多数木马程序都是基于这个目的而编写的。n其工作原理非常简单，就是一种简单

15、的客户/服务器程序。n只要被控制主机连入网络，并与控制端客户程序建立网络连接控制者就能任意访问被控制的计算机。n由于要达到远程控制的目的，所以，该种类的木马往往集成了其他种类木马的功能。木马的分类n密码发送型n专门为了盗取目标计算机上的各类密码而编写的。n木马一旦被执行，就会自动搜索内存、Cache、临时文件架以及各种秘感文件，并且在受害者不知道的情况下把它们发送到指定的信箱。n键盘记录型n记录受害者的键盘敲击并且在文件里查找密码。n最常见的就是针对QQ和网游的盗号木马，n这类软件与一般的键盘记录软件大同小异，只是在进行键盘记录之前，先使用一个名为FindWindow的API函数判断目标程序是

16、否在运行。如果是的话，启动键盘记录功能，否则不动作。n实现键盘记录这个功能时，大多数采用的是系统提供的钩子（HOOK）技术，钩住用户的击键行为。木马的分类n破坏型n破坏被感染计算机的文件系统n它们可以自动删除受控主机上所有的exe、doc、ppt、ini和dll等文件，甚至远程格式化受害者硬盘，使其遭受系统崩溃或者重要数据丢失巨大损失nFTP型木马n打开被控主机系统上FTP服务监听的2l号端口，并且使得每一个试图连接该机器的用户使用匿名登录即可以访问，并且能够以最高权限进行文件的操作，如上传和下载等，破坏受害主机系统文件机密性。木马的分类nDoS攻击型nDoS指以极大的通信量冲击网络，使得所有

17、可用网络资源都被消耗殆尽，最后导致合法的用户请求就无法通过。n由于现在的主机（包括PC机）配置相对来说都比较高，因此这种攻击成功的前提是需要有大量的分布攻击节点参与攻击过程，形成一个攻击平台，如僵尸网络Botnet。n这个攻击平台由互联网上数百到数十万台计算机构成，这些计算机被黑客利用木马等手段植入了木马程序并暗中操控。n利用这样的攻击平台，攻击者可以实施各种各样的破坏行为，而且使得这些破坏行为往往比传统的实施方式危害更大、防范更难n还有一种类似DoS的木马叫做邮件炸弹木马，一旦机器被感染，木马就会随机生成各种各样主题的信件对特定的邮箱不停地发送邮件，一直到对方瘫痪、不能接受邮件为止。木马的分

18、类n代理型n黑客在进行入侵的时候，为了隐藏自己的信息，防止审计者发现自己的攻击足迹和身份，可以通过给受害主机安装代理木马，使其称为一个代理，通过控制这个代理来达到入侵的目的。n攻陷远程主机使其成为攻击者发动攻击的跳板就是代理木马最重要的任务。n反弹端口型木马n主要针对在网络出口处设置了防火墙的用户环境，利用反弹端口原理，躲避防火墙拦截的一类木马的统称。n反弹端口型软件的服务端(被控制端)主动连接客户端(控制端)，为了隐蔽起见，客户端的监听端口一般开在80(提供HTTP服务的端口)，这样，即使用户使用防火墙检查自己的端口，也会以为是自己在浏览网页。n常见的反弹端口型木马主要有：灰鸽子、PcSha

19、re等。木马的特点 n隐蔽性 n一次执行后就会自动变更文件名，甚至隐形n可能会自动复制到其他文件夹中做备份n执行时不会在系统中显示出来n进程插入n加壳木马的特点n自启动 n潜入启动配置文件中，如win.ini、system.ini、winstart.bat以及启动组等文件之中n利用注册表修改文件关联、注册为系统服务n利用AUTOEXEC.BAT、CONFIG.SYS和WINSTART.BAT等系统文件n利用计划任务定时启动n捆绑文件(如修改系统文件explorer.exe在其中加入木马)木马的特点n欺骗性 n借助系统中已有的文件，以防被发现n经常使用的是常见的文件名或扩展名，如“dllwins

20、ysexplorer等字样，或者仿制一些不易被人区别的文件名n借用系统文件中已有的文件名，只不过它保存在不同路径之中。木马的特点n危害性 n潜伏性 木马植入手段 n下载植入木马 n通过电子邮件来传播 n目标系统用户在浏览网页时，木马通过Script、ActiveX及XML、Asp、Cgi等交互脚本植入 n 通过利用系统的一些漏洞植入 n攻击者成功入侵目标系统后，把木马植入目标系统 木马攻击原理 木马的查杀 n利用工具查杀 n查看系统注册表 n检查网络通信状态 n查看目前的运行任务 n查看系统启动项 n使用内存监测工具检查 典型木马与解决方案 n灰鸽子(Hack.Huigezi)n安哥(Hack.Agobot3.aw)nQQ狩猎者（Win32.Troj.QQmsgflash2）n黑洞(Backdoor/BlackHole.2004)谢谢观看！