《反病毒技术》讲义.doc

反病毒技术讲义一、复习1、计算机病毒定义（提问） 回答：“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。 “计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。在中华人民共和国计算机信息系统安全保护条例中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。2、计算机病毒的发展历史回答：世界上第一例被证实的计算机病毒是在1983年，出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想；1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序。 1988年11月2日晚，美国康尔大学研究生罗特莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。 计算机病毒在中国的发展情况：在我国，80年代末，有关计算机病毒问题的研究和防范已成为计算机安全方面的重大课题。3、计算机病毒的分类1按传染方式分为引导型、文件型和混合型病毒2按连接方式分为源码型、入侵型、操作系统型和外壳型病毒3按破坏性可分为良性病毒和恶性病毒4网络病毒4、计算机病毒的特点（提问）（1）刻意编写，人为破坏 （2）自我复制能力 （3）隐蔽性 （4）潜伏性 （5）不可预见性5、网络计算机病毒的特点（1）传染方式多 （2）传染速度快 （3）清除难度大 （4）破坏性强 二、新课导入： 解说病毒和反病毒日益尖锐的斗争，让学生认识到反病毒技术的重要性和严峻性，从而引入新课。近年来，互联网安全环境日益严峻。科技在发展，病毒也在不断演变，病毒的破坏力不仅给业界和用户带来无尽的烦恼，而且对国家信息安全构成了严重威胁。今年上半年，计算机病毒异常活跃，木马、蠕虫、黑客后门等轮番攻击互联网，从熊猫烧香、灰鸽子到艾妮、AV终结者，重大恶性病毒频繁发作，危害程度也在逐步加大，而此时的杀毒软件却显得应对乏力。如何准确地把握反计算机病毒的发展趋势，在与计算机病毒的斗争中占得上风，为信息安全保驾护航？业界专家及杀毒软件厂商在思索、在行动。 在近日举办的赛门铁克VISION 2007用户大会上，来自Yankee Group研究机构的安全专家Andrew Jaquith语出惊人。他认为杀毒软件将无法有效地处理日益增多的恶意程序，并预言未来杀毒软件将走向末路。对于这一说法，业界颇有微词，甚至认为是无稽之谈。 业界众多人士分析认为，无论是从计算机病毒的发展历史和趋势来看，还是从目前奋战在一线的国内外杀毒软件厂商的战果及战略布局来看，这一场反计算机病毒的持久战仍未分出胜负，并且他们相信，“正义”终将战胜“邪恶”。二、新课讲授： （一）计算机病毒的检查（1） 检查磁盘主引导扇区 （程序代码是否发生改变）引导型病毒：修改硬盘主引导扇区。硬盘或软盘的BOOT扇区。为保存原主引导扇区、BOOT扇区，病毒可能随意地将它们写入其他扇区，而毁坏这些扇区。（2） 检查FAT表 文件分配表，文件目录区修复被CIH破坏的硬盘分区表。（3） 检查中断向量 （中断向量表是否改变）有许多DOS下的病毒就喜欢修改13H号中断来破坏系统,例如,修改13H号中断服务程序,将其改成自己的代码。（4）检查可执行文件 （其长度是否改变）（5）检查内存空间病毒进入内存后会产生两个线程，记录键盘，监视系统运行，伺机等待复制和破坏。说明：以上前五种方法都是检查现有的文件是否和原有文件发生变化，若没有可判断没有病毒，若有肯定是为病毒所修改。最后一种方法的使用要有一个前提就是所判断的病毒要有其特征定义。（二） 检测的主要方法1 比较法用原始备份与被检测的引导扇区或检测的文件进行比较。如文件长度的变化，或程序代码的变化等。该该方法的优点是简单，方便，不需专用软件；缺点是无法确定病毒类型。 2 扫描法扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描。扫描程序由两部分组成：病毒代码库和对该代码进行扫描的程序。病毒扫描程序可识别的病毒数目取决于病毒代码库中所含病毒的种类。 3 特征字识别法计算机病毒特征字的识别法只需从病毒体内抽取很少几个关键的特征字来组成特征字库。该方法由于要处理的字节很少，所以工作起来速度更快、误报警更少4 分析法本方法是运用相应技术分析被检测对象，确认是否为病毒的。静态分析是指利用反汇编工具将计算机病毒代码打印成反汇编指令程序清单后进行分析，以便了解计算机病毒分成哪些模块，使用了那些系统调用，采用了那些技巧等等。动态分析则是利用Debug等调试工具在内存带毒的情况下，对计算机病毒做动态跟踪，观察计算机病毒的具体工作过程，以进一步在静态分析的基础上理解计算机病毒的工作原理。5校验和法对正常文件的内容，计算其校验和，将该校验和写入此文件或其它文件中保存，在文件使用过程中或使用之前，定期地检查由现有内容算出的校验和与原来保存的校验和是否一致，从而可以发现文件是否被感染，这种方法称为校验和法。详细解释四种不同的检测方法，对其进行比较，并用图表来分析各检测方法的优缺点。（三）反病毒软件工作原理病毒 1）病毒扫描程序 在病毒扫描程序中预先嵌入病毒特征数据库，将这一信息与文件逐一进行匹配。例子。2）内存扫描程序内存扫描程序采用与病毒扫描程序同样的基本原理进行工作。它的工作是扫描内存以搜索内存驻留文件和引导记录病毒。尽管病毒可以毫无觉察的把自己隐藏在程序和文件中，但病毒不能在内存中隐藏自己。因此内存扫描程序可以直接搜索内存，查找病毒代码。如果一个反病毒产品不使用内存扫描，其病毒检测技术是很不完善的，很可能漏查、漏杀某些病毒。3）完整性检查器：在正常的计算机操作期间，大多数程序文件和引导记录不会改变。这样，计算机在未感染状态，取得每个可执行文件和引导记录的信息指纹，将这一信息存放在硬盘的数据库中。 完整性检查器是一种强有力的防病毒保护方式。因为几乎所有的病毒都要修改可执行文件引导记录，包括新的未发现的病毒，所以它的检测率几乎百分之百。引起完整性检查器失效的可能有：有些程序执行时必须要修改它自己；对已经被病毒感染的系统再使用这种方法时，可能遭到病毒的蒙骗等。4）行为监测器：行为监视器又叫行为监视程序，它是内存驻留程序，这种程序静静地在后台工作，等待病毒或其他有恶意的损害活动。如果行为监视程序检测到这类活动，它就会通知用户，并且让用户决定这一类活动是否继续。卡巴斯基反病毒拥有全部最尖端的反病毒技术卡巴斯基反病毒商务套装应用了当今所有最尖端的反病毒及防黑客入侵技术：病毒扫描器可随时扫描所有存储的数据；病毒监控器实时扫描所有正在使用的文件；完整性检查器检查电脑中全部数据的完整性；独特的后台运行的脚本病毒检查器；以及可100% 拦截宏病毒的行为分析器。 综合运用上述技术，最大限度地排除了病毒侵入的可能性，使您的计算机环境安全稳固。瑞星病毒扫描器是一种精确判断病毒的方法，目前看也是最成熟的方法。但特征码存在不能查杀未知病毒和防范恶意程序的缺点。行为检测器虽能发现未知病毒，但行为检测器本身是一种模糊判断，行为的反常情况下必定存在一定的误报。因此现大多数杀毒软件采用病毒扫描器。瑞星在行为检测技术上研究较早。比如瑞星杀毒软件中的注册表监控、瑞星卡卡、上网安全助手等等都是行为检测器的雏形。比如，瑞星2008版中的主动防御经过病毒分析人员的经验，定义出一系列的动作组合规则，用动作组合来进行判断，可以极大减少误报情况的发生。同时，通过白名单机制，将一些流行软件加入到白名单之内，同样可以减少误报的情况。(四) 典型的病毒实例古希腊传说，特洛伊王子帕里斯访问希腊，诱走了王后海伦，希腊人因此远征特洛伊。围攻9年后，到第10年，希腊将领奥德修斯献了一计，就是把一批勇士埋伏在一匹巨大的木马腹内，放在城外后，佯作退兵。特洛伊人以为敌兵已退，就把木马作为战利品搬入城中。到了夜间，埋伏在木马中的勇士跳出来，打开了城门，希腊将士一拥而入攻下了城池。后来，人们在写文章时就常用“特洛伊木马”这一典故，用来比喻在敌方营垒里埋下伏兵里应外合的活动。1）木马病毒概述定义：“特洛伊木马”简称木马（Trojan house ），是一种基于远程控制的黑客工具,木马通常寄生于用户的计算机系统中，盗窃用户信息，并通过网络发送给黑客。在黑客进行的各种攻击行为中，木马都起到了开路先锋的作用.2）木马病毒的原理木马也采用客户机/服务器工作模式。它一般包括一个客户端和一个服务器端，客户端放在木马控制者的计算机中，服务器端放置在被入侵的计算机中，木马控制者通过客户端与被入侵计算机的服务器端建立远程连接。一旦连接建立，木马控制者就可以通过对被入侵计算机发送指令来传输和修改文件。攻击者利用一种称为绑定程序的工具将服务器部分绑定到某个合法软件上，诱使用户运行合法软件。只要用户一运行该软件，木马的服务器部分就在用户毫无知觉的情况下完成了安装过程。通常木马的服务器部分都是可以定制的，攻击者可以定制的项目一般包括：服务器运行的IP端口号、程序启动时机、如何发出调用、如何隐身、是否加密等。另外攻击者还可以设置登录服务器的密码，确定通信方式。服务器向攻击者通知的方式可能是发送一个E-mail，宣告自己当前已成功接管的机器；3）木马病毒的危害（1）可以读、写、存、删除文件，可以得到你的隐私、密码，甚至你在计算机上鼠标的每一下移动，他都可以尽收眼底。而且还能够控制你的鼠标和键盘去做他想做的任何事，比如打开你珍藏的好友照片，然后在你面前将它永久删除。（2）木马主要以网络为依托进行传播，偷取用户隐私资料是其主要目的。而且这些木马病毒多具有引诱性与欺骗性，是病毒新的危害趋势。2006年2月，著名导演陈凯歌炮轰网络搞笑电影一个馒头引发的血案，该事件迅速成为网民关注的焦点。黑客往往会在热门帖子下面跟帖，以“最全的馒头血案提供下载、免注册快速下载馒头血案”等名义诱骗用户下载，用户下载运行之后会被病毒感染，中毒电脑会遭黑客远程控制、窃取密码等。2004年国内危害最严重的十种木马是：QQ木马、网银木马、MSN木马、传奇木马、剑网木马、灰鸽子、蜜峰大盗、黑洞木马、广告木马。4）木马的检测和清除1、查看开放端口当前最为常见的木马通常是基于TCP/UDP协议进行客户端与服务器端之间通信的。因此，就可以通过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。例如， “冰河”木马使用的监听端口是7626，Back Orifice 2000使用的监听端口是54320等。假如查看到有可疑的程序在利用可疑端口进行连接，则很有可能就是感染了木马。 2、查看和恢复win.ini和system.ini系统配置文件3、查看启动程序并删除可疑的启动程序4、查看系统进程并停止可疑的系统进程5、查看和还原注册表 (五) 典型的病毒实例-蠕虫病毒1） 定义2）作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容忽视。与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象。2）蠕虫病毒与一般病毒的区别3） 蠕虫病毒的基本结构和传播方式 传播模块 该模块负责蠕虫的传播，可分为三个基本模块，即扫描模块、攻击模块和复制模块。 隐藏模块 该模块是病毒侵入主机后，隐藏蠕虫程序，防止被用户发现。 目的功能模块 该模块是实现对计算机的控制、监视和破坏等。传播方式： 扫描 由扫描功能模块负责收集目标主机的信息，寻找可利用的漏洞或弱点，方法是用扫描器扫描主机，探测主机的操作系统类型、主机名、用户名、开放的端口、开放的服务、开放的服务器软件版本等。 攻击 攻击模块按步骤自动攻击前面扫描中找到的对象，取得该主机的权限。 复制 复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机中并启动。 4）蠕虫的类别根据使用者情况的不同蠕虫可分为2类：面向企业用户的蠕虫和面向个人用户的蠕虫。按其传播和攻击特征蠕虫可分为3类：漏洞蠕虫 69% “红色代码”“SQL蠕虫王”，邮件蠕虫 27%“求职信”蠕虫， 传统蠕虫 4%。蠕虫病毒之一尼姆达病毒一种新型的恶意蠕虫，影响所有未安装补丁的Windows系统，破坏力极大。通过email邮件传播；通过网络共享传播 ；通过主动扫描并攻击未打补丁的IIS服务器传播 ；通过浏览被篡改网页传播 。产生大量的垃圾邮件 ；用蠕虫副本替换系统文件；可能影响word,frontpage等软件正常工作；严重降低系统以及网络性能；创建开放共享，大大降低了系统的安全性 ；将Guest帐号赋予管理员权限，降低了系统的安全性。例如尼姆达病毒，会搜索本地网络的文件共享，无论是文件服务器还是终端客户机，一旦找到，便安装一个隐藏文件，名为Riched20.DLL到每一个包含DOC和eml文件的目录中，当用户通过Word、写字板、Outlook打开DOC和eml文档时，这些应用程序将执行Riched20.DLL文件，从而使机器被感染，同时该病毒还可以感染远程服务器被启动的文件。带有尼姆达病毒的电子邮件，不需你打开附件，只要阅读或预览了带病毒的邮件，就会继续发送带毒邮件给你通讯簿里的朋友。5）企业类蠕虫病毒的防范 加强网络管理员安全管理水平，提高安全意识建立病毒检测系统。可在第一时间内检测到网络的异常和病毒攻击 建立应急响应系统，将风险减少到最低 建立备份和容灾系统 6）个人用户蠕虫病毒的分析和防范对于个人用户而言，威胁大的蠕虫病毒一般通过电子邮件和恶意网页传播方式。2）（六）计算机病毒的现状恶性病毒爆发频繁木马病毒超过蠕虫病毒的趋势集多种传播方式，多种攻击手段于一身，形成一种广义的“新病毒”。（七）计算机病毒