中國電信維護崗位認證教材（互聯(lián)網(wǎng)安全維護專業(yè)）,計算機病毒及防范技術(shù),2,目錄,第一章計算機病毒介紹第二章計算機病毒分析與防護,1.1計算機病毒定義,什么是病毒?醫(yī)學(xué)上的病毒定義：是一類比較原始的、有生命特征的、能夠自我復(fù)制和在細胞內(nèi)寄生的非細胞生物。什么是計算機病毒?計算機病毒通常是指可以自我復(fù)制，以及向其他文件傳播的程序,3,計算機病毒的來源多種多樣，有的是計算機工作人員或業(yè)余愛好者為了純粹尋開心而制造出來的，有的則是軟件公司為保護自己的產(chǎn)品被非法拷貝而制造的報復(fù)性懲罰“計算機病毒”這一概念是1977年由美國著名科普作家“雷恩”在一部科幻小說P1的青春中提出1983年美國計算機安全專家“考因”首次通過實驗證明了病毒的可實現(xiàn)性。1987年世界各地的計算機用戶幾乎同時發(fā)現(xiàn)了形形色色的計算機病毒，如大麻、IBM圣誕樹、黑色星期五等等1989年全世界的計算機病毒攻擊十分猖獗，其中“米開朗基羅”病毒給許多計算機用戶造成極大損失。、1991年在“海灣戰(zhàn)爭”中，美軍第一次將計算機病毒用于實戰(zhàn)1999年Happy99等完全通過Internet傳播的病毒的出現(xiàn)標志著Internet病毒將成為病毒新的增長點。,1.2計算機病毒起源和發(fā)展史,4,DOS病毒,Windows病毒,宏病毒,腳本病毒,引導(dǎo)型病毒,病毒的不同類型,1.3傳統(tǒng)計算機病毒分類,計算機啟動時使用了被病毒感染的磁盤,啟動病毒感染硬盤,在此以后所有使用的磁盤都會感染,引導(dǎo)型病毒,5,現(xiàn)代計算機病毒類型,特洛伊木馬程序,蠕蟲,玩笑程序,惡意程序dropper,后門程序,DDos攻擊程序,1.4現(xiàn)代計算機病毒介紹,6,特洛伊木馬程序往往表面上看起來無害，但是會執(zhí)行一些未預(yù)料或未經(jīng)授權(quán)，通常是惡意的操作。,7,特洛伊木馬,蠕蟲,計算機蠕蟲是指一個程序（或一組程序），它會自我復(fù)制、傳播到別的計算機系統(tǒng)中去。,8,玩笑程序,玩笑程序是普通的可執(zhí)行程序，這些程序建立的目的是用于和計算機用戶開玩笑。,這些玩笑程序設(shè)計時不是致力于破壞用戶的數(shù)據(jù)，但是某些不知情的用戶可能會引發(fā)不正當(dāng)?shù)牟僮?，從而?dǎo)致文件的損壞和數(shù)據(jù)的丟失。,9,病毒或惡意程序Droppers,病毒或惡意程序Droppers被執(zhí)行后，會在被感染系統(tǒng)中植入病毒或是惡意程序,在病毒或惡意程序植入后，可以感染文件和對系統(tǒng)造成破壞,用于生成病毒或惡意程序的計算機程序,10,后門程序,后門程序是一種會在系統(tǒng)中打開一個秘密訪問方式的程序，經(jīng)常被用來饒過系統(tǒng)安全策略,11,DDos攻擊程序,DDos攻擊程序用于攻擊并禁用目標服務(wù)器的web服務(wù)，導(dǎo)致合法用戶無法獲得正常服務(wù),12,網(wǎng)絡(luò)病毒的概念,利用網(wǎng)絡(luò)協(xié)議及網(wǎng)絡(luò)的體系結(jié)構(gòu)作為傳播的途徑或傳播機制，并對網(wǎng)絡(luò)或聯(lián)網(wǎng)計算機造成破壞的計算機病毒稱為網(wǎng)絡(luò)病毒。,1.5網(wǎng)絡(luò)病毒,13,Internet,未修補漏洞的系統(tǒng),已修補漏洞的系統(tǒng),染毒電腦,WORM_SASSER.A,被感染,不被感染,不被感染,被感染,被感染,不被感染,不被感染,網(wǎng)絡(luò)病毒的特點及危害,破壞性強,傳播性強,針對性強,擴散面廣,傳染方式多,消除難度大,14,病毒網(wǎng)絡(luò)攻擊的有效載體,網(wǎng)絡(luò)攻擊的程序可以通過病毒經(jīng)由多種渠道廣泛傳播攻擊程序可以利用病毒的隱蔽性來逃避檢測程序的搜查病毒的潛伏性和可觸發(fā)性使網(wǎng)絡(luò)攻擊防不勝防許多病毒程序可以直接發(fā)起網(wǎng)絡(luò)攻擊植入攻擊對象內(nèi)部的病毒與外部攻擊里應(yīng)外合，破壞目標系統(tǒng),網(wǎng)絡(luò)病毒同黑客攻擊技術(shù)的融合為網(wǎng)絡(luò)帶來了新的威脅。攻擊者可以用病毒作為網(wǎng)絡(luò)攻擊的有效載體，呈幾何級地擴大破壞能力。,15,16,目錄,第一章計算機病毒介紹第二章計算機病毒分析與防護,病毒的常見癥狀,電腦運行比平常遲鈍程序載入時間比平常久對一個簡單的工作，磁盤似乎花了比預(yù)期長的時間不尋常的錯誤信息出現(xiàn)硬盤的指示燈無緣無故的亮了系統(tǒng)內(nèi)存容量忽然大量減少可執(zhí)行程序的大小改變了內(nèi)存內(nèi)增加來路不明的常駐程序文件奇怪的消失文件的內(nèi)容被加上一些奇怪的資料文件名稱，擴展名，日期，屬性被更改過,2.1病毒的常見癥狀及傳播途徑,17,病毒的常見傳播途徑,文件傳輸介質(zhì)例如CIH病毒，通過復(fù)制感染程序傳播電子郵件例如梅麗莎病毒，第一個通過電子郵件傳播的病毒網(wǎng)絡(luò)共享例如WORM_OPASERV.F病毒可以通過網(wǎng)絡(luò)中的可寫共享傳播文件共享軟件例如WORM_LIRVA.C病毒可以通過Kazaa點對點文件共享軟件傳播,18,2.2病毒感染的一般過程,通過某種途徑傳播，進入目標系統(tǒng)自我復(fù)制,并通過修改系統(tǒng)設(shè)置實現(xiàn)隨系統(tǒng)自啟動激活病毒負載的預(yù)定功能打開后門等待連接發(fā)起DDOS攻擊進行鍵盤記錄.除引導(dǎo)區(qū)病毒外，所有其他類型的病毒，無一例外，均要在系統(tǒng)中執(zhí)行病毒代碼，才能實現(xiàn)感染系統(tǒng)的目的。,19,2.3病毒傳播或感染途徑,電子郵件：WORM_MYTOB，WORM_STRATION網(wǎng)絡(luò)共享：WORM_SDBOTP2P共享：WORM_PEERCOPY.A系統(tǒng)漏洞：WORM_MYTOB、WORM_SDBOT其它（目前大多數(shù)木馬、間諜軟件的感染方式）移動磁盤傳播網(wǎng)頁感染與正常軟件捆綁用戶直接運行病毒程序由其他惡意程序釋放,20,電子郵件郵件附件為病毒壓縮文件HTML正文可能被嵌入惡意腳本利用社會工程學(xué)進行偽裝，增大病毒傳播機會傳播速度非?？炖?，WORM_MYTOB等病毒,21,網(wǎng)絡(luò)共享病毒會搜索本地網(wǎng)絡(luò)中存在的共享，如ADMIN$,IPC$,E$,D$,C$通過空口令或弱口令猜測，獲得完全訪問權(quán)限病毒自帶口令猜測列表將自身復(fù)制到網(wǎng)絡(luò)共享文件夾中通常以游戲,CDKEY等相關(guān)名字命名利用社會工程學(xué)進行偽裝，誘使用戶執(zhí)行并感染。例如：WORM_SDBOT等病毒,22,P2P共享軟件將自身復(fù)制到P2P共享文件夾通常以游戲,CDKEY等相關(guān)名字命名通過P2P軟件共享給網(wǎng)絡(luò)用戶利用社會工程學(xué)進行偽裝，誘使用戶下載例子，WORM_PEERCOPY.A等病毒,23,系統(tǒng)漏洞由于操作系統(tǒng)固有的一些設(shè)計缺陷,導(dǎo)致惡意用戶可以通過畸形的方式利用這些缺陷,達到在目標機器上執(zhí)行任意代碼的目的,這就是系統(tǒng)漏洞。病毒往往利用系統(tǒng)漏洞進入系統(tǒng),達到快速傳播的目的。常被利用的漏洞RPC-DCOM緩沖區(qū)溢出(MS03-026)WebDAV(MS03-007)LSASS(MS04-011)(LocalSecurityAuthoritySubsystemService)例如：WORM_MYTOB、WORM_SDBOT等病毒,24,2.4病毒自啟動方式,修改系統(tǒng)修改注冊表啟動項文件關(guān)聯(lián)項系統(tǒng)服務(wù)項BHO項將自身添加為服務(wù)將自身添加到啟動文件夾修改系統(tǒng)配置文件自動加載服務(wù)和進程病毒程序直接運行嵌入系統(tǒng)正常進程DLL文件和OCX文件等驅(qū)動SYS文件,25,注冊表項目之注冊表啟動項：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下：RunServicesRunServicesOnceRunRunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下：RunRunOnceRunServices以上這些鍵一般用于在系統(tǒng)啟動時執(zhí)行特定程序。,26,注冊表項目之文件關(guān)聯(lián)項：HKEY_CLASSES_ROOT下：exefileshellopencommand=""%1"%*"comfileshellopencommand=""%1"%*"batfileshellopencommand=""%1"%*"htafileShellOpenCommand=""%1"%*"piffileshellopencommand=""%1"%*"病毒將"%1%*"改為“virus.exe%1%*"virus.exe將在打開或運行相應(yīng)類型的文件時被執(zhí)行,27,注冊表項目之系統(tǒng)服務(wù)項：在如下鍵值下面添加子鍵即可將自身注冊為服務(wù)，隨系統(tǒng)啟動而啟動：HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注冊表項目之BHO項在如下鍵值下面添加子鍵（ClSID鍵）即可將自身注冊為BHO，隨IE瀏覽器啟動而啟動：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowserHelperObjects,28,將自身添加到啟動文件夾：當(dāng)前用戶的啟動文件夾可以通過如下注冊表鍵獲得:SoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders中的StartUp項公共的啟動文件夾可以通過如下注冊表鍵獲得:SoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders中的CommonStartUp項病毒可以在該文件夾中放入欲執(zhí)行的程序，或直接修改其值指向放置有要執(zhí)行程序的路徑。,29,2.4病毒現(xiàn)象,經(jīng)常出現(xiàn)系統(tǒng)錯誤或系統(tǒng)崩潰系統(tǒng)反應(yīng)變慢，網(wǎng)絡(luò)擁塞陌生進程或服務(wù)可疑的打開端口可疑的自啟動程序病毒郵件,30,2.5病毒的隱性行為,下載特性自動連接到Internet某Web站點，下載其他的病毒文件或該病毒自身的更新版本/其他變種后門特性開啟并偵聽某個端口，允許遠程惡意用戶來對該系統(tǒng)進行遠程操控信息收集特性收集私人信息，特別是帳號密碼等信息，自動發(fā)送自身隱藏特性使用Rootkit技術(shù)隱藏自身的文件和進程,31,文件感染特性感染系統(tǒng)中部分/所有的可執(zhí)行文件，使得系統(tǒng)正常文件被破壞而無法運行，或使系統(tǒng)正常文件感染病毒而成為病毒體。典型PE_LOOKED維京PE_FUJACKS熊貓燒香網(wǎng)絡(luò)攻擊特性針對微軟操作系統(tǒng)或其他程序存在的漏洞進行攻擊修改計算機的網(wǎng)絡(luò)設(shè)置向網(wǎng)絡(luò)中其它計算機發(fā)送大量數(shù)據(jù)包以阻塞網(wǎng)絡(luò)典型震蕩波ARP攻擊,32,網(wǎng)關(guān)防護阻斷外部對內(nèi)部的威脅,虛擬化系統(tǒng)防護對虛擬化系統(tǒng)和應(yīng)用程序進行攻擊防護、監(jiān)控、安全控制及監(jiān)控管理，提高虛擬化密度,傳統(tǒng)終端防護惡意程序防護、終端管理,網(wǎng)絡(luò)預(yù)警系統(tǒng)對外部進來的威脅進行預(yù)警,服務(wù)器防護對服務(wù)器的攻擊、惡意代碼防護及安全監(jiān)控審計,移動終端防護清除垃圾短信和病毒、控制外設(shè),瘦客戶端防護安全防護、降低負載，控制由外設(shè)產(chǎn)生的安全威脅,網(wǎng)站監(jiān)測平臺實時安全監(jiān)測,2.6計算機病毒防御,系統(tǒng)中了病毒怎么辦？,重裝系統(tǒng)？系統(tǒng)還原？Ghost還原？大多數(shù)情況下，可以直接根據(jù)經(jīng)驗來迅速清除各種病毒木馬病毒和后門程序間諜軟件、廣告軟件和灰色軟件蠕蟲病毒文件型病毒母體處理過程包括修復(fù)病毒修改的注冊表/文件內(nèi)容刪除病毒文件,2.7計算機病毒手工處理,34,病毒處理建議步驟,處理病毒問題時，若病毒進程在系統(tǒng)中運行，則可能會出現(xiàn)無法刪除文件、無法刪除注冊表主鍵/鍵值的情況，也可能出現(xiàn)刪除注冊表鍵值或文件后，被刪除的內(nèi)容會再次出現(xiàn)的情況。最好在安全模式下操作終止所有可疑進程和不必要的進程關(guān)閉系統(tǒng)還原,35,檢查注冊表中常見的病毒自動加載項,檢查啟動項:刪除不必要的啟動項鍵值，如發(fā)現(xiàn)指向不正常或不認識的程序的鍵值，可將該鍵值刪除。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun,36,檢查注冊表中常見的病毒自動加載項,檢查服務(wù):在控制面板-管理工具-服務(wù)中，查看是否存在可疑服務(wù)。若無法確定服務(wù)是否可疑，可直接查看該服務(wù)屬性，檢查服務(wù)所指向的文件。隨后可以檢查該文件是否為正常文件(文件檢查方法稍后會介紹)。對于不正常的服務(wù)，可直接在注冊表中刪除該服務(wù)的主鍵。HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices,37,檢查注冊表中常見的病毒自動加載項,檢查Winlogon加載項在注冊表中檢查Winlogon相關(guān)加載項：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonShell=Explorer.exe(默認)Userinit=C:WINDOWSsystem32userinit.exe,(默認)以上Shell和Userinit鍵值為默認，若發(fā)現(xiàn)被修改，可直接將其修改為默認鍵值。,38,檢查注冊表中常見的病毒自動加載項,檢查Winlogon加載項在注冊表中檢查WinlogonNotify相關(guān)加載項：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotify在Notify下會有多個主鍵(目錄)，每個主鍵中的DllName鍵值將指向一個DLL文件。若發(fā)現(xiàn)有指向可疑的DLL文件時，請先確認其指向的DLL是否正常。若不正常，可直接刪除這個主鍵。,39,檢查注冊表中常見的病毒自動加載項,檢查其他加載項在注冊表中檢查以下注冊表加載項鍵值：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWindowsAppInit_DLLs=“”HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsLoad=“”該鍵值默認為空。若鍵值被修改，可直接將鍵值內(nèi)容清空。,40,檢查注冊表中的BHO項,檢查BrowserHelpObject(BHO)項BHO項在注冊表中包含以下主鍵的內(nèi)容：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowserHelperObjectsHKEY_CLASSES_ROOTCLSID可以在HKEY_CLASSES_ROOTCLSID下的InprocServer32主鍵中查看BHO項所指向的文件。當(dāng)發(fā)現(xiàn)指向了可疑文件時，可直接刪除以上注冊表路徑下所有包含了該CLSID的主鍵。使用Hijackthis工具可以迅速有效的分析系統(tǒng)中的BHO項。,41,系統(tǒng)中的可疑文件,如何判斷文件是否可疑？查看文件版本信息Google之所有的Windows正常系統(tǒng)文件都包含完整的版本信息。若文件無版本信息或版本信息異常，則可判斷為可疑文件。如何迅速查找這些可疑文件？%SystemRoot%SystemRoot%System32%SystemRoot%System32drivers對于這些目錄下的文件，按照修改日期排序，檢查修改日期為最近一段時間的文件：可執(zhí)行文件.EXE，.COM，.SCR，.PIFDLL文件和OCX文件LOG文件有一些病毒會將DLL文件偽裝成LOG后綴的文件，可以直接雙擊打開查看其內(nèi)容是否為文本。若為亂碼，則可疑。,42,病毒文件被隱藏，如何查找？,工具->文件夾選項選擇“顯示所有文件”取消“隱藏受保護的系統(tǒng)文件”仍然無法顯示隱藏文件HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDENCheckedValue=2DefaultValue=2HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue=1DefaultValue=2,43,檢查并修復(fù)host文件,修復(fù)被病毒修改的host文件一些病毒會修改系統(tǒng)的host文件，使用戶無法訪問某些網(wǎng)站，或在用戶訪問某些網(wǎng)站時，重定向到某些惡意站點。檢查文件：%SystemRoot%System32driversetchost使用文本編輯工具打開該文件檢查。默認該文件包含一條host記錄127.0.0.1localhost若有其他可疑的host記錄，可以直接刪除多余的記錄,44,刪除所有臨時文件,病毒經(jīng)常存在于臨時目錄中%SystemRoot%TempC:TempInternet臨時文件C:DocumentsandSettingsLocalSettingsTemp清空所有以上的目錄,45,常用病毒查殺工具一覽,2.8病毒防護常用工具,SIC，HijackThis系統(tǒng)診斷ProcessExplorer分析進程TCPView分析網(wǎng)絡(luò)連接Regmon,InstallRite監(jiān)視注冊表Filemon,InstallRite監(jiān)視文件系統(tǒng)IceSwordNtsdpskill,46,47,課程結(jié)束，謝謝大家！,