目录
一、写在前面
·所用书籍:计算机网络安全基础 第五版 袁津生 吴砚农 主编
·所用整理思维导图网页:百度脑图
·课后习题答案:人邮教育官方连接
二、思维导图
三、思维导图大纲
(以防图片太小和便于查找)
第五章 恶意代码及网络防病毒技术
计算机病毒
计算机病毒的分类
按传染对象分类
文件病毒(依附在可执行文件上)
引导扇区病毒(引导扇区、硬盘的引导扇区和主引导记录)
多裂变病毒(文件和引导扇区病毒的混合种,在网上传播蔓延)
秘密病毒(伪造文件大小和日期,隐藏对引导区的修改,使太多读操作重定向)
异形病毒(随着感染的时间改变不同的形式)
宏病毒(可以感染可执行文件和一般文件,不受操作平台约束)
按破坏程度分类
良性病毒
恶性病毒
极恶性病毒
灾难性病毒
按入侵方式分类
源代码嵌入攻击型
代码取代攻击型
系统修改型(多为文件型病毒)
外壳附加型
其他一些错误代码:如逻辑炸弹、特洛伊木马、蠕虫等
计算机病毒的传播
计算机病毒的由来
自我复制并增加自身的大小
“Core War”核心大战游戏
“living”生存软件实现自我复制
Fred Cohen编写的引起系统死机的程序,自我破坏,病毒程序通过电子公告牌向公众展示
Ralf Burger的VIRDEM病毒问世
流行的Pakistani Brain和Lehigh、Stoned、Dark Avenger等
计算机病毒的传播
通过磁盘的关键区域(感染单个工作站)
在可执行文件中(基于服务器的病毒繁殖)
计算机病毒的工作方式
感染
引导扇区病毒
对软盘和硬盘引导扇区的攻击
引导扇区先于其他程序的运行从而获得对CPU的控制,所以该病毒能立即控制整个系统
首先将原始引导信息移到硬盘的其他部分,然后把自己复制到引导扇区和硬盘的其他空闲部分,后果是将有关硬盘分区和文件定位表信息都覆盖了,使用户无法访问文件
当计算机下次引导时,病毒完全控制系统
Pakistani Brain有许多逃避检测的功能,经常使用(C)BRAIN作为它的磁盘卷标以标识它的存在
其他该类病毒:Stoned、Bouncing BALL、Chinese Fisa以及Devic’s Davce
文件型病毒
攻击磁盘上的文件,将自己依附在可执行文件(通常是.com和.exe)中
三种主要类型
覆盖型(不改变原文件的长度,一般杀毒软件可以检测到)
前后依附型(加在原文件的头部和末尾)
伴随型(为.exe建立一个相应的.com含有病毒代码的文件,运行时,先运行.com再运行.exe)
另一种分类
驻留型(驻留在内存,对文件进行操作是感染)
非驻留型(直接程序病毒),仅当宿主程序运行时才能工作,可以感染多则整个磁盘的文件
常见病毒
Lehigh病毒,依附在Command.com中用于运行时间堆栈,由0填充的一个区域
Adent、Amoebsa、Autumn Leaves、Cancer Cancer、Datacrime Ia
变异(变种,逃避检测,变异程序)
触发(触发条件,比如某个日期,打开程序多少次,在逻辑炸弹中常见)
破坏
修改数据
破坏文件系统
删除系统上的文件
视觉和听觉效果(通常与上面结合)
高级功能病毒(隐身病毒和多态病毒)
计算机病毒的特点及破坏行为
计算机病毒的特点
刻意编写人为破坏
自我复制能力
也称再生,传染
携带病毒代码的文件称为计算机病毒载体或带毒程序
夺取系统控制权
隐藏性(本身就短小,还可以加密或变形)
潜伏性(有触发条件)
利用系统时钟提供的时间作为触发器(大多病毒使用)
利用病毒体自带的计数器作为触发器(计算开机的次数等)
利用计算机内执行的某些特定操作作为触发器(按下特定的键等)
不可预见性
计算机病毒的破坏行为
攻击系统数据区
攻击文件
攻击内存
干扰系统运行,使运行速度下降
干扰键盘、喇叭或屏幕
攻击CMOS(保存着系统的重要数据,系统时钟,磁盘类型和内存容量、校验和等)
干扰打印机(假报警、间断性打印、更改字符)
网络病毒破坏网络系统
宏病毒及网络病毒
宏病毒
宏,软件设计者为了在使用软件工作时,避免一再重复相同的动作而设计出来的一种工具,利用简单的语法,把常用的动作写成宏
宏病毒的行为和特征
具有复制、传染能力的宏
宏病毒的行为机制
Word的工作模式,先执行起始的宏,接着载入资料内容。Word为大众先定义一个公用的范本文件(Normal.dot),里面包含基本的宏
一启动Word,就会自动运行Normal.dot。Excel也支持宏,范本文件为Personal.xls
只要编写了有问题的宏,再去感染这个共用范本,执行Word时共用范本被载入,病毒随着传播到编辑的文件里去
宏是用Word Basic语言编写,该语言提供许多系统底层调用,直接使用DOS系统命令调用Windows API、.dde、.dll等对系统造成直接威胁
而Word再指令安全性、完整性上检测能力很弱,破坏系统的指令很容易被执行
宏病毒特征
宏病毒会感染.doc文档和.dot模板文件
宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时,激活宏病毒
多数宏病毒包含AutoOpen、AutoClose、AutoNew、AutoExit等自动宏,通过这些自动宏病毒取得文档(模板)操作权
宏病毒包含对文档读写操作的宏命令
宏病毒在.doc文档、.dot模板中以.BFF(Binary File Format)格式存放,这是一种加密压缩格式,不同word版本可能不兼容
自动执行的宏
自动执行宏(每次Word运行时自动执行)
自动宏(有特定事件发生执行,如打开文档等)
命令宏(调用命令执行)(以现有的Word命令为名)
宏病毒的防治和清除方法
使用选项“提示保存Normal模板”(退出Word时才做提示)
不要通过Shift键来禁止运行自动宏(要在启动时一直按着,容易出错)
查看宏代码并删除
使用DisableAutoMacros宏(以宏治宏,禁止使用自动宏)
设置Normal.dot的只读属性
Normal.dot的密码保护
网络病毒
网络病毒的特点
资源共享,交叉感染
通过工作站传播到服务器硬盘,再由服务器的共享目录传播到其他工作站。
传染方式复制,速度快,通过网络通信机制,借助高速电缆,清除难度大
病毒再网络上传播与表现
使用局域网文件服务器复制已感染的文件
文件病毒通过因特网毫无困难地发送(可执行文件病毒不能通过因特网在远程站点感染文件),因特网是文件病毒的载体
专攻网络的GPI病毒
Get Password I,“耶路撒冷”病毒的变种,特别改写成专门突破Novell网络系统安全结构的病毒
被执行后,停留在系统内存,等到Novell操作系统的常驻程序(IP与NETX)被启动后,在利用中断向量去感染其他电脑,并把当前使用者的权限擅自改为最高权限
电子邮件病毒
不同的邮件系统使用不同的格式存储文件和文档,杀毒软件无能为力
用户不能访问邮件数据库,因为病毒在远程服务器上
对电子邮件系统进行病毒防护
使用优秀的防毒软件对电子邮件进行专门的保护
使用防毒软件同时保护客户机和服务器
只有客户机的防毒软件才能访问个人目录,并且防止病毒从外部入侵
有服务器的防毒软件才能进行全局检测和查杀病毒
使用特定的SMTP杀毒软件
特洛伊木马
它不会自我繁殖,不刻意感染文件,但是通过将自身伪装吸引用户下载执行,提供被种者电脑的门户,任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑
木马的启动方式
通过“开始\程序\启动”(使用“系统配置实用程序msconfig.exe”就能发现木马的启动方式)
通过注册表启动(安全模式启动Windows,windows不会加载注册表的项目,用msconfig或注册表编辑器regedit.exe删除)
通过HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
通过HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce(隐藏性比较好)
在退出Windows的时候加,缺点:Windows异常中止,木马也失效了
通过System.ini文件
在“Explorer.exe”加上木马的路径,windows启动也随之启动,安全模式也不会跳过。尼姆达病毒
还可以具有自动检测添加Shell项功能(这样只能使用查看进程的工具中止木马,再修改Shell项和删除木马文件)
不足:只有shell这一项,两个木马都使用这个方式启动,后来的木马启动不了
通过某特定程序或文件启动
木马和正常程序捆绑
将特定的程序改名(常见于针对QQ的木马)
文件关联
查杀:删除相应的文件和注册表键值
木马的工作原理
类似于远程控制软件,一个客户端(控制端),一个服务端(被控制端),打开被种者端口,进入电脑系统
产生一个容易迷惑用户的名称的进程
3个模式
通常潜伏在正常的程序应用中,附带执行独立的恶意操作。
通常潜伏在正常的程序应用中,但是会修改正常的应用进行恶意操作
完全覆盖正常的程序应用,执行恶意操作
DDoS拒绝服务攻击,陷门,有些木马可能不具备远程登录的功能
木马的检测
检测网络连接 netstat-an进行监控本机的连接
禁用不明服务 net start查看服务,net stop server禁用服务
检查系统账户 net user查看是否有克隆账号;一般除了Administrator是Administrators组的,其他都不是,删掉可疑账户
对比系统服务项
一般正常安装的程序都会建立自己的系统服务,不在系统目录下,如果有第三方服务指向的路径是在系统目录下的,它是木马
在表的左侧上有被选中的服务程序说明,如果没有说明,可能是木马
蠕虫病毒
蠕虫病毒的特点
较强的独立性(不需要宿主程序,是一段独立的程序和代码)
利用漏洞主动攻击
传播更快更广
更好的伪装和隐藏方式
技术更加先进(与网页的脚本相结合)
蠕虫病毒的原理
隐匿阶段、传播阶段、触发阶段、执行阶段
传播阶段主要执行:1检查扫描,得到下一步要感染的目标
建立和远程系统连接
将自身复制给远程系统并执行此副本
蠕虫病毒可以判断该系统是否已感染,在多进程系统中,它还会起一个不容易发现的进程名,以防检测出来
蠕虫程序的功能结构
基本功能模块
搜索模块
攻击模块
传输模块
信息模块
繁殖模块
扩展功能模块
通信模块
隐藏模块
破坏模块
控制模块
蠕虫的工作流程:扫描、攻击、现场处理、复制
常见的蠕虫病毒
CodeRed(利用缓存区溢出漏洞进行传播)
Slammer蠕虫信息(利用MS-SQL的一个漏洞)
冲击波(Blaster)、震荡波(Sasser),造成大面积的网络中断
蠕虫病毒的防治
选购合适的杀毒软件
经常升级病毒库
提高防杀毒意识
不随意查看陌生邮件
及时为操作系统打补丁
其他恶意代码
移动恶意代码(手机等)
移动终端恶意代码攻击方式
短信息攻击
直接攻击手机
攻击网关
攻击漏洞
木马型恶意代码
移动恶意代码生存环境
系统相对封闭
创作空间狭窄
数据格式单调
移动恶意代码的防范
注意来电信息
谨慎网络下载
不接收怪异短信
关闭无线连接
关注安全信息
陷门
是程序的秘密入口点,可以绕开通常的安全控制机制而直接通过该入口访问程序
用于程序设计人员开发和调试的顺利进行
被恶意程序设计者利用,安全威胁,非授权访问
逻辑炸弹(不具有传染性,当满足某些条件时,程序逻辑被激活)
僵尸病毒
僵尸程序秘密接管对网络上其他机器的控制权,之后以被挟持的机器为跳板实施攻击行为
拒绝访问攻击,僵尸手机病毒
复合型病毒
就是恶意病毒通过多种方式传播
如:Nimda病毒通过四种方式传播
E-mail
网络共享
Web服务器
Web终端
病毒的预防、检测和清除
病毒的预防
在因特网上,如出现病毒传染迹象,应立即隔离被感染的系统和网络并进行处理
有些用户不知道如何处理病毒,应立即请求专家的帮助
注意观察下列现象
经常死机
系统无法启动
文件打不开
经常报告内存不够
提示硬盘空间不够
键盘或鼠标无端地锁死
出现大量来历不明地文件
系统运行速度慢
病毒的检测
病毒的检查方法
比较法
扫描法
计算机病毒特征字的识别法
分析法
病毒扫描程序(误诊率要低)
完整性检查程序(通过识别文件和系统的改变来发现病毒或病毒的影响)
行为封锁软件(试图在病毒马上就要工作时阻止它)
计算机病毒的免疫
建立程序的特征值档案
严格内存管理
中断向量管理
计算机感染病毒后的修复
防止和修复引导记录病毒
修复感染的主引导记录
利用反病毒软件修复
防止和修复可执行文件病毒
计算机病毒的清除
引导型病毒的处理
格式化磁盘
与引导型病毒有关的扇区
硬盘的物理第一扇区,即0柱面,0磁头和1扇区
硬盘分区表,不是程序,是非执行的数据
硬盘活动分区的第一个扇区,0柱面、1磁头和1扇区
用无病毒的DOS引导软盘启动计算机后,各程序分担的工作
Fdisk/MBR用于重写一个无毒的MBR
Fdisk用于读取或重写硬盘分区表
”FormatC:/S“或“SYS C”会重写一个无毒的“活动分区的引导记录”
宏病毒清除方法
关闭Word中的所有文档
选择“工具/模块/管理器/宏”命令
删除左右两个列表中的所有宏(AutoOpen、AutoNew或AutoClose)
关闭对话框
选择“工具/宏”命令,若有AutoOpen、AutoNew或AutoClose等宏,删除它
打开.doc文件,选择“工具/模块/管理器/宏”命令,若左右两个列表中列有非用户定义的宏,证明该文件有毒,执行上面3,4步骤清除病毒
关注其他文件还有没有病毒
杀毒程序
卡巴斯基反病毒软件
诺顿防病毒软件
微软免费杀毒软件
迈克菲杀毒软件
360杀毒软件
腾讯电脑管家
四、第五章习题参考答案
1.什么是计算机病毒?
计算机病毒是一种“计算机程序”,它不仅能破坏计算机系统,而且还能够传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中,他能复制自身并将其插入到其他程序中以执行恶意的行动。
2.计算病毒的基本特征是什么?
可以编写人为破坏;自我复制;夺取系统控制权;隐蔽性;潜伏性;不可预见性。
3.简述计算机病毒攻击的对象及所造成的危害。
(1)攻击系统数据区:受损数据不易恢复;
(2)攻击文件:删除文件、改名、替换内容、丢失簇、对文件加密;
(3)攻击内存:大量占用、改变内存总量、禁止分配、蚕食内存;
(4)干扰系统运行:不执行命令、干扰内部命令的执行、虚假警报等;
(5)干扰键盘、喇叭或屏幕:封锁键盘、喇叭发出响声、滚屏等;
(6)攻击CMOS:对CMOS进行写入操作,破坏CMOS中的数据;
(7)干扰打印机:假报警、间断性打印等;
(8)破坏网络系统:非法使用网络资源,破坏电子邮件等。
4.病毒按寄生方式分为哪几类?
文件病毒、引导扇区病毒、多裂变病毒、秘密病毒、异形病毒、宏病毒
5.计算机病毒一般由哪几部分构成,各部分的作用是什么?计算机病毒的预防有哪几方面?
计算机病毒程序由引导模块、传染模块、干扰或破坏模块组成。
预防:下载正规网站资源,下载后扫描;安装正版杀毒软件和防火墙;关闭危险服务、端口及共享;删除多余或停用的账户;使用移动存储设备前先扫描病毒;定期彻底全盘查毒,定期备份重要文件等。
6.简述检测计算机病毒的常用方法。
比较法:比较被检测对象与原始备份;扫描法:利用病毒特征代码串对被检测对象进行扫描;计算特征字的识别法:也是基于特征串扫描;分析法:利用反汇编技术。
7.简述宏病毒的特征及其清除方法。
宏病毒的特征:感染.doc文档及.dot模板文件;通常是Word在打开带宏病毒文档或模板时进行传染;多数宏病毒包含AutoOpen、AutoClose等自动宏;含有对文档读写操作的宏命令;在.doc文档及.dot模板中以.BFF格式存放。
宏病毒的清除:使用选项“提示保存Normal模板”;不要通过Shift键来禁止运行自动宏;查看宏代码并删除;使用DisableAutoMacro宏;设置Normal.dot的只读属性;Normal.dot的密码保护。
8.什么是计算机病毒免疫?
通过一定的方法,使计算机自身具有防御计算机病毒感染的能力。
9.简述计算机病毒的防治措施。
使用合法原版的软件,将重要的资料备份,杀毒软件,注意观察一些现象等。
10.什么是网络病毒,防治网络病毒的要点是什么?
计算机网络病毒是在计算机网络上传播扩散,专门攻击网络薄弱环节、破坏网络资源的计算机病毒。
防治:使用防毒软件保护客户机和服务器,使用特定的优秀的防毒软件等。
1763
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
