网络空间安全——网络安全与密码参考书目《网络安全》学习笔记（八）

《网络安全》徐国爱

序

• 书中已经熟知的概念不再记录，只建立一个框架。
• 删除线标记的是未弄懂的概念

第八章 病毒防护

• 计算机病毒的破坏性：
  ①直接破坏计算机上的重要信息
  ②抢占系统资源, 降低系统性能
  ③窃取主机上的重要信息
  ④破坏计算机硬件
  ⑤导致网络阻塞, 甚至瘫痪
  ⑥使邮件服务器、Web 服务器不能提供正常服务

• 定义：计算机病毒, 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据, 影响计算机使用, 并能够自我复制的一组计算机指令或者程序代码

• 病毒的特征：①可执行性，②传染性与传播性，③破坏性，④寄生性，⑤欺骗性，⑥隐蔽性和潜伏性，⑦衍生性。

• 病毒的防治：
  ①把各种查杀病毒的新技术应用于反病毒软件，加密变形病毒的出现使特征码扫描技术一筹莫展，反病毒的新技术, 例如启发式检测、虚拟机技术、实时监控技术、人工智能陷阱等不断融入病毒防治软件。
  ②网络杀毒：病毒传播手段主要是网络，一般可以在路由器、防火墙中加入反病毒模块,专门针对网络蠕虫、邮件病毒和网页恶意代码。
  ③个人防火墙
  ④邮件杀毒
  ⑤数据备份拯救系统

• 病毒的分类：按链接方式分类①源码型病毒，②入侵型病毒，③外壳型病毒，④操作系统型病毒。按寄生方式分类（磁盘）引导型病毒、文件型病毒、混合型病毒。按攻击的操作系统分类：攻击 DOS 系统的病毒、攻击 Windows 系统的病毒、攻击 Unix 或 OS/ 2 系统的病毒。

• 传统病毒：传统病毒一般是指早期的 DOS 病毒, 一般采用按寄生方式的分类方法, 可分为引导型、文件型、混合型。

• 引导区感染机制：引导病毒感染软磁盘的引导扇区, 以及硬盘的主引导记录或者引导扇区。【硬磁盘就是硬盘。里面是金属盘片，外面有金属盒子保护，里面是真空的。所以叫硬盘。软磁盘是塑料壳子，里面也是塑料+磁粉。硬盘比较大容量大. 读取速度快.软盘小. 而且薄 容量小. 读取速度慢】

• 当电脑开始通电之后, 首先是中央处理器( CPU) 接收到一个复位指令, 然后跳转到一个特定的地址开始执行这个地址落到基本输入输出系统( BI OS) 的地址范围内。基本输入输出系统在完成一些基本的硬件检测之后, 根据用户的设置确定将哪一个扇区加载到内存中开始进行下一步的引导工作。如果是从A 盘( 软磁盘) 或者光盘引导， 则将 A 盘或者可引导光盘的引导扇区( 第一个扇区) 加载到内存中开始执行。如果是从 C 盘( 硬盘) 引导, 则将硬盘的主引导记录加载到内存中开始执行。

• 引导扇区：对于软磁盘或者光盘, 是第一个扇区, 对于硬盘是每一个分区的第一个扇区, 如果一个分区在分区表中被标记为可引导的, 则这个分区的第一个扇区就是该分区的引导扇区。引导扇区包含引导记录程序,用于加载操作系统。

• 主引导记录：包含了硬盘的一系列参数和一段主引导程序。主引导程序用来找出系统当前的活动分区, 负责把对应的操作系统的引导记录( 即当前活动分区的引导记录) 装入内存, 然后把控制权转给该分区的引导记录。

• 主引导记录或者引导扇区都有可能被病毒感染。当系统被感染后, 正常的主引导记
  录或者引导扇区的代码被病毒代码替换, 电脑启动的时候首先运行的是病毒代码。 它可能会将自己放置在比较安全的扇区，空闲不用的扇区（比如主引导记录和第一个引导扇区之间），或者修改硬盘容量参数，使用户不会发现自己所在位置。

• 可执行文件感染机制：在DOS 时代, 文件型病毒主要感染可执行文件, 一般包括 COM 文件和 EXE 文件。

• COM 文件不超过64 K 字节, 全部代码和数据都放在一个段内。这样, 程序内的转
  移、调用与数据存取引用的都是近地址, 所以这种程序在装载时不需要重定位。DOS 在加载COM 文件时, 在内存当前空间的最低端建立一个相应的程序段前缀( PSP) , 然后紧靠PSP 的上方将磁盘上COM 文件的所有内容装入, 并把控制转向PSP 的100 H 偏移处,运行该文件。

• 文件型病毒感染COM 文件有两种方式:①全部病毒体插在程序最前面, 而原来的 COM 文件内容放在病毒体后面，②病毒体接在原文件的后面，而将原文件头的若干字节放在病毒体内的数据区保存起来，将文件头部的若干字节修改成一条或数条指令, 其作用就是可以直接跳转到后面的病毒体。病毒程序运行完成后, 再将病毒体内保存的原COM 文件头的内容送回到偏移为100 H 处, 恢复原来程序的初始运行环境。

• EXE 文件比较复杂, 它允许代码、数据、堆栈段分别处于不同的段, 每一个段都可以是64 K 字节。存放在磁盘上的 EXE 文件一般都由两部分内容组成, 一部分是文件头, 另一部分是装入模块。文件头位于 EXE 文件的首部, 它包括加载EXE 文件时所必需的控制信息和进行段重定位的重定位信息表。比较重要的控制信息有程序长度、IP 入口值、CS 偏移量、SP 入口值、SS 偏移量、重定位项个数及重定位表在程序头中的偏移。装入模块是程序中所有的代码、数据与堆栈组成的程序实体, 是程序运行时真正加载的内容

• 文件型病毒感染 EXE 文件一般不改变程序实体在程序中的位置, 病毒接在程序实体后面, 通过修改程序头中 CS 段偏移量与IP 入口值两个参数, 使得程序运行时首先进入病毒程序, 当病毒完成驻留后, 再恢复EXE 文件的运行环境。

• 宏病毒

• 宏：在 Office 软件中反复进行某项工作时，宏是一系列组合在一起的命令和指令, 它们形成一个命令, 以实现任务执行的自动化。

• 宏病毒：宏病毒是一种存储于文档、模板或加载宏程序中的计算机病毒。当打开已受感染的文件( 如 Word 文档) 或执行触发宏病毒的操作时, 病毒就会被激活，并存储到 Nor mal .dot 模板或 Personal .xls 文件中。从此以后, 保存的每个文档都会自动被病毒“感染”, 如果其他人打开受病毒感染的文件, 那么宏病毒就会传播到他们的计算机中。 宏病毒与以往的传统计算机病毒不同, 它是只感染微软的文档( .doc 或.xls 等)的一种专向病毒。

• 网络病毒：

• 网络病毒的特点：寄生宿主广泛, 可能会寄生在 HTM、ASP 等多种文件中; 也可能隐藏在邮件中;甚至可能不感染任何对象, 仅存在于源宿主中。传播速度快、危害范围广。网络环境中才能发挥最大破坏作用.一般是利用Internet 的开放性、操作系统及各类应用程序的漏洞来对计算机系统进行攻击, 为了防范它, 往往要对某些网络功能进行限制。

• 网络病毒的种类：依据病毒的攻击手段, 可将网络型病毒分为蠕虫和木马两大类型。

• 蠕虫：蠕虫( Wor m) 是通过分布式网络来扩散传播特定信息或错误, 破坏网络中的信息或造成网络服务中断的病毒。“蠕虫”一般由两部分组成: 一个主程序和一个引导程序。主程序一旦在机器上执行, 主动尝试利用所获得的信息以及其他机器的缺陷在远程机器上建立其引导程序。蠕虫病毒最主要的特点是利用网络中软件系统的缺陷, 进行自我复制和主动传播。

• 木马又称特洛伊木马( Trojan horse) , 它原本属于一类基于远程控制的工具。木马的运行模式属于客户/ 服务模式, 它包括两大部分, 即客户端和服务端。作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求, 服务器上的相应程序就会自动运行, 来应答客户机的请求。这个程序被称为守护进程。
  木马通常的攻击步骤是:设定好服务器程序;骗取对方执行服务器程序;寻找对方的地址IP ;用客户端程序来控制对方的计算机。
  它能够在不触犯系统任何安全规则的情况下进行非法活动, 系统本身不能区分木马和合法程序。木马常常被黑客用来作为窃取信息以及非法使用资源的工具。

• 网络病毒的传播方式主要有3 种: 电子邮件、网页、文件传输。有些病毒体隐藏在附件中，只要执行附件病毒就可能发作，有些只要打开或预览邮件, 都会遇到麻烦。网页中加入的某些Java 程序或者 ActiveX 组件, 这些程序或组件也可以是病毒的宿主。文件传输的传播方式主要是指病毒搜寻网络共享目录, 把病毒体拷入其中, 远程执行或欺骗用户执行。

• 病毒技术：包括寄生技术、驻留技术、加密变形技术和隐藏技术等。

• 寄生技术：病毒寄生技术是文件型病毒最常用的传染方法。病毒在感染的时候, 将病毒代码加入正常程序之中, 原正常程序功能的全部或者部分被保留。根据病毒代码加入方式的不同, 病毒寄生技术可以分为“头寄生”、“尾寄生”、“插入寄生”和“空洞利用”4 种。

• 驻留技术：大部分病毒都包括了内存驻留的部分, 当被感染的文件执行之后, 病毒的一部分功能模块进入内存, 并且一直驻留在那里, 即使程序执行完毕。

• 加密变形：主要是为了对付病毒特征码扫描技术。

• 隐藏技术：病毒在进入用户系统之后, 会采取种种方法隐藏自己的行踪, 让用户无法感觉到病毒的存在。

• 反病毒技术：校验和检测、特征码扫描、启发式扫描、实时监控、虚拟机技术（虚拟机与特征扫描法结合就是“动态特征码扫描”, 此方法在虚拟机的配合下, 等待加密变形病毒进行解密, 接着在病毒体明文中寻找特征码进行检测判断）