病毒與木馬的防備課程大綱防病毒蠕蟲(chóng)防備木馬防備惡意網(wǎng)頁(yè)防備惡意代碼的分析序言惡意代碼定義：惡意代碼=有害程序(包括病毒、蠕蟲(chóng)、木馬、垃圾郵件、間諜程序、玩笑等在內(nèi)的所有也許危害計(jì)算機(jī)安全的程序)重要分為病毒、蠕蟲(chóng)、木馬、惡意網(wǎng)頁(yè)四大類。病毒防備病毒定義病毒類型病毒的分類病毒技術(shù)和特點(diǎn)防病毒產(chǎn)品病毒防備方略病毒定義計(jì)算機(jī)病毒：是指編制或者在計(jì)算機(jī)程序中插入破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼一種能把自己（或經(jīng)演變）注入其他程序的計(jì)算機(jī)程序傳播機(jī)制同生物病毒類似。生物病毒是把自己注入細(xì)胞中蠕蟲(chóng)程序與木馬程序不是真正意義上的病毒電腦病毒的工作原理病毒三部曲：住進(jìn)階段：執(zhí)行被感染的程序，病毒就加載入計(jì)算機(jī)內(nèi)存感染階段：病毒把自己注入其他程序，包括遠(yuǎn)程文獻(xiàn)執(zhí)行階段：當(dāng)某些條件成熟時(shí)，某些病毒會(huì)有某些尤其的行為。例如重新啟動(dòng)，刪除文獻(xiàn)。重要病毒類型引導(dǎo)型計(jì)算機(jī)病毒重要是感染磁盤的引導(dǎo)扇區(qū)，也就是常說(shuō)的硬盤的boot區(qū)。我們?cè)谑褂帽桓腥镜拇疟P（無(wú)論是軟盤還是硬盤）啟動(dòng)計(jì)算機(jī)時(shí)他們就會(huì)首先獲得系統(tǒng)的控制權(quán)，駐留在內(nèi)存之后再引導(dǎo)系統(tǒng)，并伺機(jī)傳染其他軟盤或硬盤的引導(dǎo)區(qū)。文獻(xiàn)型計(jì)算機(jī)病毒一般只傳染磁盤上的可執(zhí)行文獻(xiàn)（com、exe），在顧客調(diào)用感染病毒的可執(zhí)行文獻(xiàn)時(shí)，計(jì)算機(jī)病毒首先被運(yùn)行，然后計(jì)算機(jī)病毒駐留內(nèi)存伺機(jī)感染其他文獻(xiàn)，其特點(diǎn)是附著于正常程序文獻(xiàn)，成為程序文獻(xiàn)的一種外殼或部件。宏病毒（macrovirus）傳播依賴于包括word、excel和powerpoint等應(yīng)用程序在內(nèi)的office套裝軟件。電子郵件計(jì)算機(jī)病毒就是以電子郵件作為傳播途徑的計(jì)算機(jī)病毒病毒分類病毒命名方式：病毒前綴是指一種病毒的種類，用來(lái)區(qū)別病毒的種族分類的。如木馬病毒的前綴trojan，蠕蟲(chóng)病毒的前綴是worm病毒后綴是指一種病毒的變種特性，是用來(lái)區(qū)別詳細(xì)某個(gè)家族病毒的某個(gè)變種的。病毒的分類系統(tǒng)病毒系統(tǒng)病毒的前綴為：win32、pe、win95、w32、w95等。可以感染windows操作系統(tǒng)的*.exe和*.dll文獻(xiàn)，并通過(guò)這些文獻(xiàn)進(jìn)行傳播。如cih病毒。蠕蟲(chóng)病毒蠕蟲(chóng)病毒的前綴是：worm通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)行傳播，很大部分的蠕蟲(chóng)病毒均有向外發(fā)送帶毒郵件，阻塞網(wǎng)絡(luò)的特性。例如沖擊波，小郵差。（一般單列）木馬/黑客病毒木馬病毒其前綴是：Trojan，黑客病毒前綴名一般為Hack。通過(guò)網(wǎng)絡(luò)或者系統(tǒng)漏洞進(jìn)入顧客的系統(tǒng)并隱藏，然后向外界泄露顧客的信息。（一般單列）病毒的分類腳本病毒腳本病毒的前綴是：script。用腳本語(yǔ)言編寫，通過(guò)網(wǎng)頁(yè)進(jìn)行的傳播的病毒，如紅色代碼（script.pedlof）宏病毒宏病毒的前綴是：macro，第二前綴是：word、word97、excel、excel97（也許尚有別的）其中之一。如著名的漂亮莎（macro.word.melissa）。后門病毒后門病毒的前綴是：backdoor。通過(guò)網(wǎng)絡(luò)傳播，給系統(tǒng)開(kāi)后門，給顧客電腦帶來(lái)安全隱患。如irc后門backdoor.irobot。病毒種植程序運(yùn)行時(shí)會(huì)從體內(nèi)釋放出一種或幾種新的病毒到系統(tǒng)目錄下，由釋放出來(lái)的新病毒產(chǎn)生破壞。如：冰河播種者(dropper.binghe2.2c)、msn射手（dropper.worm.smibag）等。病毒的分類破壞性程序病毒破壞性程序病毒的前綴是：Harm用好看的圖標(biāo)來(lái)誘惑顧客點(diǎn)擊，當(dāng)點(diǎn)擊此類病毒時(shí)，便會(huì)直接對(duì)計(jì)算機(jī)產(chǎn)生破壞。如格式化c盤（harmformatcf）玩笑病毒玩笑病毒的前綴是：joke。也成惡作劇病毒。用好看的圖標(biāo)來(lái)誘惑顧客點(diǎn)擊，但不對(duì)電腦進(jìn)行破壞。如：女鬼（joke.grilghost）病毒。捆綁機(jī)病毒捆綁機(jī)病毒的前綴是:binder.用特定的捆綁程序?qū)⒉《九c應(yīng)用程序如qq、ie捆綁起來(lái)，當(dāng)運(yùn)行這些捆綁病毒時(shí)，會(huì)表面上運(yùn)行這些應(yīng)用程序，然后隱藏運(yùn)行捆綁在一起的病毒。如：捆綁qq（binder.qqpass.qqbin）防病毒軟件的構(gòu)造防病毒軟件的3個(gè)構(gòu)成部分防病毒網(wǎng)關(guān)由于目前的防火墻并不能防止目前所有的病毒進(jìn)入內(nèi)網(wǎng)，因此在某些狀況下，需要在網(wǎng)絡(luò)的數(shù)據(jù)出口處和網(wǎng)絡(luò)中重要設(shè)備前配置防病毒網(wǎng)關(guān)，以防止病毒進(jìn)入內(nèi)部網(wǎng)絡(luò)。防病毒網(wǎng)關(guān)防病毒網(wǎng)關(guān)按照功能上分為兩種：保護(hù)網(wǎng)絡(luò)入口的防病毒網(wǎng)關(guān)保護(hù)郵件服務(wù)器的防病毒網(wǎng)關(guān)防病毒網(wǎng)關(guān)按照布署形式分為：透明網(wǎng)關(guān)代理網(wǎng)關(guān)防病毒網(wǎng)關(guān)郵件防病毒由于目前的病毒大部分均是通過(guò)郵件傳播的，因此對(duì)于郵件服務(wù)器的保護(hù)是十分重要的。對(duì)郵件服務(wù)器系統(tǒng)自身加固郵件防病毒網(wǎng)關(guān)客戶端防病毒引導(dǎo)安全系統(tǒng)安裝安全系統(tǒng)平常加固平常使用安全反病毒技術(shù)第一代反病毒技術(shù)采用單程的病毒特性診斷，不過(guò)對(duì)加密，變形的新一點(diǎn)病毒無(wú)能為力；第二代反病毒技術(shù)采用靜態(tài)廣譜特性掃描技術(shù)，可以檢測(cè)變形病毒，不過(guò)誤報(bào)率高，殺毒風(fēng)險(xiǎn)大；第三代反病毒技術(shù)將靜態(tài)掃描技術(shù)和動(dòng)態(tài)仿真跟蹤技術(shù)相結(jié)合；第四代反病毒技術(shù)基于病毒家族體系的命名規(guī)則，基于多位crc效驗(yàn)和掃描機(jī)理、啟發(fā)式智能代碼分析模塊、動(dòng)態(tài)數(shù)據(jù)還原模塊（能查出隱藏性極強(qiáng)的嚴(yán)厲哦加密文獻(xiàn)中的病毒）、內(nèi)存解讀模塊、自身免疫模塊等先進(jìn)解讀技術(shù)，能過(guò)很好的完畢查解毒任務(wù)。病毒檢測(cè)措施比較法比較法是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或者被檢測(cè)的文獻(xiàn)進(jìn)行比較。加總比對(duì)法搜索法搜索法是用每一種計(jì)算機(jī)病毒體具有的的頂字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描分析法確認(rèn)被觀測(cè)的磁盤引導(dǎo)扇區(qū)和程序中與否具有計(jì)算機(jī)病毒；確認(rèn)計(jì)算機(jī)病毒的類型和種類，鑒定其實(shí)否是一種新的計(jì)算機(jī)病毒；弄清晰計(jì)算機(jī)病毒體的大體構(gòu)造；詳細(xì)分析計(jì)算機(jī)病毒代碼。人工智能陷阱技術(shù)和宏病毒陷阱技術(shù)人工智能陷阱是一種檢測(cè)計(jì)算機(jī)行為的常駐式掃描技術(shù)。軟件仿真掃描法該技術(shù)專門用來(lái)對(duì)付多態(tài)類型的計(jì)算機(jī)病毒。先知掃描法先知掃描法技術(shù)是繼軟件仿真后的一大技術(shù)上突破。反病毒技術(shù)發(fā)展趨勢(shì)人工智能技術(shù)的應(yīng)用提高清晰病毒精確性以網(wǎng)絡(luò)為關(guān)鍵的防病毒技術(shù)多種技術(shù)的融合新一代病毒預(yù)警技術(shù)病毒預(yù)警技術(shù)一般是采用分步式的構(gòu)造，進(jìn)行集中管理報(bào)警，分散控制。病毒預(yù)警的詳細(xì)可采用“數(shù)據(jù)流分析”、“病毒誘捕”等技術(shù)。新一代病毒預(yù)警技術(shù)病毒的防止措施新購(gòu)置的計(jì)算機(jī)硬軟件系統(tǒng)的測(cè)試計(jì)算機(jī)系統(tǒng)的啟動(dòng)單臺(tái)計(jì)算機(jī)系統(tǒng)的安全使用重要數(shù)據(jù)文獻(xiàn)要有備份不要隨便直接運(yùn)行或直接打開(kāi)電子函件夾帶的附件文獻(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的安全使用安裝網(wǎng)絡(luò)服務(wù)器時(shí)應(yīng)保證沒(méi)有計(jì)算機(jī)病毒存在。在安裝網(wǎng)絡(luò)服務(wù)器時(shí)，應(yīng)將文獻(xiàn)系統(tǒng)劃提成文獻(xiàn)卷系統(tǒng)。一定要用硬盤啟動(dòng)網(wǎng)絡(luò)服務(wù)器。為各個(gè)卷分派不一樣的顧客權(quán)限。在網(wǎng)絡(luò)服務(wù)器上必須安裝真正有效的防殺計(jì)算機(jī)病毒軟件系統(tǒng)管理員的職責(zé)。防護(hù)辦公網(wǎng)絡(luò)中病毒傳播大型內(nèi)部網(wǎng)絡(luò)，一般均有防火墻等便捷防護(hù)措施，不過(guò)還常常會(huì)出現(xiàn)病毒，病毒是怎樣傳入的呢病毒傳入途徑：終端漏洞導(dǎo)致病毒傳播；郵件接受導(dǎo)致病毒傳播；外部帶有病毒的介質(zhì)直接接入網(wǎng)絡(luò)導(dǎo)致病毒傳播；內(nèi)容顧客繞過(guò)邊界防護(hù)措置，直接接入因特網(wǎng)導(dǎo)致病毒傳播；網(wǎng)頁(yè)中的惡意代碼傳入；防護(hù)辦公網(wǎng)絡(luò)中病毒傳播系統(tǒng)漏洞傳播系統(tǒng)郵件傳播儲(chǔ)存介質(zhì)傳播共享目錄傳播物理隔離網(wǎng)絡(luò)中病毒的傳播國(guó)家機(jī)關(guān)和軍隊(duì)、銀行等為了保護(hù)網(wǎng)絡(luò)，一般均采用物理隔離措施，此類網(wǎng)絡(luò)理論上應(yīng)當(dāng)是安全的，不過(guò)也有病毒的出現(xiàn)，此類網(wǎng)絡(luò)，病毒重要是靠集中途徑傳播的：外部帶有病毒的介質(zhì)介入網(wǎng)絡(luò)導(dǎo)致病毒傳播內(nèi)部顧客私自在將所有的終端接入因特網(wǎng)導(dǎo)致病毒被引入物理隔離網(wǎng)絡(luò)中病毒的傳播系統(tǒng)漏洞傳播；存儲(chǔ)介質(zhì)傳播；郵件傳播；建立有效的病毒防備管理機(jī)制建立防病毒管理機(jī)構(gòu)防病毒管理機(jī)制的制定和完善制定防病毒管理制度用技術(shù)手段保障管理的有效性加強(qiáng)培訓(xùn)以保障管理機(jī)制執(zhí)行建立有效的病毒防備管理機(jī)制建立有效的病毒應(yīng)急機(jī)制建立應(yīng)急響應(yīng)中心病毒事件分級(jí)制定應(yīng)急響應(yīng)處理預(yù)案應(yīng)急響應(yīng)流程應(yīng)急響應(yīng)的事后處理一般的病毒應(yīng)急反應(yīng)預(yù)案流程圖二、蠕蟲(chóng)防備防病毒蠕蟲(chóng)防備木馬防備惡意網(wǎng)頁(yè)防備惡意代碼的分析蠕蟲(chóng)技術(shù)蠕蟲(chóng)的特性蠕蟲(chóng)的基本構(gòu)造蠕蟲(chóng)發(fā)作特點(diǎn)和趨勢(shì)蠕蟲(chóng)分析和防備蠕蟲(chóng)的特性定義：一段能不以其他程序?yàn)槊浇?，從一種電腦體統(tǒng)復(fù)制到另一種電腦系統(tǒng)的程序蠕蟲(chóng)是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒。病毒共性：傳播性，隱蔽性，破壞性蠕蟲(chóng)特性：不利于文獻(xiàn)寄生，拒絕服務(wù)，結(jié)合黑客技術(shù)破壞性上，蠕蟲(chóng)病毒也不是一般病毒所能比擬的！網(wǎng)絡(luò)蠕蟲(chóng)傳播基本原理運(yùn)用程序中緩沖區(qū)溢出的缺陷進(jìn)程劫持注入既有的進(jìn)程重新啟動(dòng)后自動(dòng)消失增長(zhǎng)偵測(cè)難度蠕蟲(chóng)的基本構(gòu)造傳播模塊：負(fù)責(zé)蠕蟲(chóng)的傳播。隱藏模塊：侵入主機(jī)后，隱藏蠕蟲(chóng)程序，防止被顧客發(fā)現(xiàn)。目的功能模塊：實(shí)現(xiàn)對(duì)計(jì)算機(jī)的控制、監(jiān)視或者破壞等功能蠕蟲(chóng)發(fā)作特點(diǎn)和趨勢(shì)運(yùn)用操作系統(tǒng)和應(yīng)用程序的漏洞積極進(jìn)行襲擊傳播方式多樣。許多新病毒制作技術(shù)是運(yùn)用目前最新的編程語(yǔ)言與編程技術(shù)實(shí)現(xiàn)的。從而逃避反病毒軟件的搜索與黑客技術(shù)相結(jié)合！蠕蟲(chóng)防備蠕蟲(chóng)病毒往往可以運(yùn)用漏洞：軟件上的缺陷顧客使用的缺陷蠕蟲(chóng)防備（cont.）對(duì)于個(gè)人顧客而言，威脅大的蠕蟲(chóng)病毒的傳播方式：一、電子郵件（email）對(duì)于運(yùn)用email傳播得蠕蟲(chóng)病毒來(lái)說(shuō)，一般運(yùn)用在社會(huì)工程學(xué)，即以多種各樣的欺騙手段來(lái)誘惑顧客點(diǎn)擊的方式進(jìn)行傳播！二、惡意網(wǎng)頁(yè)惡意網(wǎng)頁(yè)確切的講是一段黑客破壞代碼程序，它內(nèi)嵌在網(wǎng)頁(yè)中，當(dāng)顧客在不知情的狀況下打開(kāi)具有病毒的網(wǎng)頁(yè)時(shí)，病毒就會(huì)發(fā)作。木馬防備防病毒蠕蟲(chóng)防備木馬防備惡意網(wǎng)頁(yè)防備惡意代碼的分析木馬木馬定義及生存方式五代木馬技術(shù)的發(fā)展關(guān)鍵技術(shù)和檢測(cè)措施防備實(shí)例和措施木馬程序的生存方式包括一種合法程序中，與合法程序綁定在一起，在顧客調(diào)用該合法程序時(shí)，木馬程序也被啟動(dòng)；在一種合法程序中加入此非法程序執(zhí)行代碼，該代碼在顧客調(diào)用合法程序時(shí)被執(zhí)行；直接偽裝成合法程序。木馬定義定義：當(dāng)目的主機(jī)上的木馬程序被執(zhí)行后，目的主機(jī)就成為一種網(wǎng)絡(luò)服務(wù)器，這時(shí)通過(guò)木馬程序的另一部分，就可以對(duì)目的主機(jī)進(jìn)行監(jiān)視、控制。本質(zhì)上是一種基于遠(yuǎn)程控制的病毒程序，具有很強(qiáng)的隱蔽性和危險(xiǎn)性。1.隱蔽性是其首要的特性：重要體現(xiàn)：A、不產(chǎn)生圖標(biāo)B、自動(dòng)隱藏2.它具有自動(dòng)運(yùn)行性3.木馬程序具有欺騙性4.具有自動(dòng)恢復(fù)功能5.能自動(dòng)打開(kāi)尤其的端口6.功能的特殊性7.黑客組織趨于公開(kāi)化五代木馬技術(shù)發(fā)展第一代木馬是簡(jiǎn)樸的具有口令竊取及發(fā)送功能的木馬程序,例如:口令發(fā)送型木馬.找到所有的隱藏口令并在受害者不知情的狀況下發(fā)送到指定信箱.鍵盤記錄性木馬。就是記錄受害者的鍵盤敲擊并且在log文獻(xiàn)里查找口令第二代木馬在技術(shù)上有了很大的進(jìn)步，是最早的監(jiān)視控制型木馬一般是等待客戶端程序重啟端口連接后，接受客戶端程序給木馬程序發(fā)送的命令數(shù)據(jù)包，然后執(zhí)行所規(guī)定的指令，如隱藏在配置文獻(xiàn)、內(nèi)置到注冊(cè)表、捆綁在啟動(dòng)文獻(xiàn)等手段。第三代木馬在數(shù)據(jù)傳遞技術(shù)上、木馬程序隱藏技術(shù)上又做了深入的改善。（1）放棄了老式木馬程序重啟端口進(jìn)行數(shù)據(jù)傳播的工作模式，而采用寄生在目的主機(jī)系統(tǒng)自身啟用的端口或使用潛伏手段運(yùn)用ip協(xié)議族中的其他協(xié)議而非tcp/udp來(lái)進(jìn)行通訊，從而瞞過(guò)netstat和端口掃描軟件，如icmp木馬。（2）進(jìn)行進(jìn)程列表欺騙，也就是欺騙顧客和入侵檢測(cè)軟件用來(lái)查看進(jìn)程的函數(shù)第四代木馬在程序的隱身技術(shù)及植入方式上又將深入提高：運(yùn)用驅(qū)動(dòng)程序到達(dá)木馬的隱身目的；使用dll陷阱技術(shù)進(jìn)行隱藏；針對(duì)微軟的下一代操作系統(tǒng)中將使用的dll數(shù)字簽名、效驗(yàn)技術(shù)，將采用內(nèi)核插入式的嵌入方式到達(dá)木馬進(jìn)程的隱身目的。第五代木馬與病毒緊密結(jié)合，運(yùn)用操作系統(tǒng)漏洞，直接實(shí)現(xiàn)感染傳播的目的。木馬的關(guān)鍵技術(shù)對(duì)指定目的主機(jī)的木馬程序的植入和加載方式，以及目的主機(jī)之間的自動(dòng)傳播植入手段；研究開(kāi)發(fā)運(yùn)用驅(qū)動(dòng)程序技術(shù)、動(dòng)態(tài)數(shù)據(jù)庫(kù)陷阱技術(shù)、遠(yuǎn)程線程技術(shù)這三種木馬的技術(shù)實(shí)現(xiàn)，其中關(guān)鍵技術(shù)有動(dòng)態(tài)鏈接庫(kù)的替代、怎樣提高權(quán)限實(shí)目前另一種進(jìn)程中創(chuàng)立新的遠(yuǎn)程線程；對(duì)防火墻及殺毒軟件的欺騙及信息搜集；對(duì)木馬的遠(yuǎn)程配置和服務(wù)的在線告知、自動(dòng)卸載以及可以操作其對(duì)第三方電腦發(fā)動(dòng)襲擊功能。rootkit技術(shù)rootkit惡意程序，間諜軟件，廣告軟件提高反偵測(cè)能力惡意系統(tǒng)程序是一種提供反偵測(cè)能力技術(shù)隱藏文獻(xiàn)，進(jìn)程網(wǎng)絡(luò)端口和連接，系統(tǒng)設(shè)置，系統(tǒng)服務(wù)可以在惡意程序之中，例如berbew也有獨(dú)立軟件，例如hackderdefender惡意系統(tǒng)程序歷史初次出目前隱性病毒中，例如brain1994年第一種惡意系統(tǒng)程序出目前sunos，替代關(guān)鍵系統(tǒng)工具（is，ps等）來(lái)隱藏惡意進(jìn)程。木馬防備查1、檢查系統(tǒng)進(jìn)程2、檢查注冊(cè)表、ini文獻(xiàn)和服務(wù)3、檢查開(kāi)放端口4、監(jiān)視網(wǎng)絡(luò)通訊堵1、堵住控制通路2、殺掉可疑進(jìn)程殺1、手工刪除2、軟件殺毒怎樣防止木馬的入侵1.不要執(zhí)行任何來(lái)歷不明的軟件2.不要相信你得郵箱不會(huì)收到垃圾和帶毒的郵件3.不要輕信他人4.不要隨便留下你得個(gè)人資料5.網(wǎng)上不要得罪人6.不要隨便下載軟件7.最佳使用第三方郵件程序8.不要輕易打開(kāi)廣告郵件中附件或點(diǎn)擊其中的鏈接9.將windows資源管理器配置成一直顯示擴(kuò)展名10.盡量少用共享文獻(xiàn)夾11.給電子郵件加密12.隱藏ip地址13.運(yùn)行反木馬實(shí)時(shí)監(jiān)控程序惡意網(wǎng)頁(yè)防備防病毒蠕蟲(chóng)防備木馬防備惡意網(wǎng)頁(yè)防備惡意代碼的分析網(wǎng)頁(yè)惡意代碼舉例怎樣在注冊(cè)表被鎖定的狀況下修復(fù)注冊(cè)表篡改IE的默認(rèn)頁(yè)修改IE瀏覽器缺省主頁(yè)，并且鎖定設(shè)置項(xiàng)，嚴(yán)禁顧客更改IE的默認(rèn)首頁(yè)灰色按鈕不可選IE標(biāo)題欄被修改IE右鍵菜單被修改IE默認(rèn)搜索引擎被修改系統(tǒng)啟動(dòng)時(shí)彈出對(duì)話框IE默認(rèn)連接首頁(yè)被修改IE中鼠標(biāo)右鍵失效查看源文獻(xiàn)菜單被禁用認(rèn)識(shí)誤區(qū)假如你只瀏覽信任的網(wǎng)站，那么上網(wǎng)沖浪不也許使你的瀏覽器受到病毒感染。瀏覽器補(bǔ)丁更新