07 恶意代码与病毒

恶意代码,基本内容,1.概述 2.恶意代码技术 3.计算机病毒的原理与防治措施,1986年，报道了攻击 Microsoft MS-DOS 个人计算机的第一批病毒。 先后出现了感染启动扇区的引导区病毒、感染可执行文件的文件型病毒。 1988年出现了第一个Internet蠕虫Morris Worm，导致Internet的通信速度大大地降低。 1990年，网上出现了病毒交流布告栏，还出版了第一本关于病毒编写的书籍。 病毒变得越来越复杂：病毒开始访问电子邮件通讯簿，并将其自身发送到联系人；宏病毒将其自身附加到各种办公类型的文件；此外还出现了专门利用操作系统和应用程序漏洞的病毒。,2.1 什么是恶意软件,故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马 。 特洛伊木马 ：该程序看上去有用或无害，但包含了旨在利用或损坏运行该程序的系统的隐藏代码； 蠕虫：蠕虫是能够自行传播的恶意代码，它可以通过网络连接自动将其自身从一台计算机分发到另一台计算机上。 病毒：病毒将其自身附加到宿主程序，在计算机之间进行传播。宿主程序执行时，病毒代码也随之运行，并会感染新的宿主，条件满足时执行恶意破坏任务。,2.2 恶意软件的特征,攻击目标 ：恶意软件一般具有相对固定的攻击目标，可以是特定设备、特定系统或者特定软件。 设备 某些恶意软件将一种设备类型作为专门的攻击目标 操作系统 恶意软件可能需要特殊的操作系统才会有效 应用程序 恶意软件可能需要在目标计算机上安装特定的应用程序，才能传递负载或进行复制,2.2 恶意软件的特征,携带者对象：如果恶意软件是病毒，它需要感染携带者才能进行传播。携带者的数量和类型随恶意软件的不同而不同 。 可执行文件：这是通过将其自身附加到宿主程序进行复制的“典型”病毒类型的目标对象 脚本：将脚本用作携带者目标文件的攻击 宏：这些携带者是支持特定应用程序（例如，字处理器、电子表格或数据库应用程序）的宏脚本语言的文件 启动扇区：计算机磁盘（硬盘和可启动的可移动媒体）上的特定区域。 此外，有的病毒能同时将文件和启动扇区作为感染目标和携带者。,2.2 恶意软件的特征,传输机制：攻击可以使用一个或多个不同方法在计算机系统之间传播和复制。 可移动媒体：计算机病毒和其他恶意软件最初的、并且可能也是最多产的传送器（至少到当前为止）是文件传输。 网络共享：一旦为计算机提供了通过网络彼此直接连接的机制，就会为恶意软件编写者提供另一个传输机制，而此机制所具有的潜力可能会超出可移动媒体的能力，从而可以传播恶意代码。 电子邮件：电子邮件已成为许多恶意软件攻击的传输机制。 远程利用：恶意软件可能会试图利用服务或应用程序中的特定安全漏洞来进行复制,2.2 恶意软件的特征,破坏机制 :一旦恶意软件通过传输到达了宿主计算机，它通常会执行一个称为“负载”的操作，负载可以采用许多形式 . 后门：这种类型的负载允许对计算机进行未经授权的访问 数据损坏或删除：一种最具破坏性的负载类型应该是损坏或删除数据的恶意代码，它可以使用户计算机上的信息变得无用 信息窃取：一种特别令人担心的恶意软件负载类型是旨在窃取信息的负载，它通过提供一种将信息传回恶意软件作恶者的机制窃取信息 拒绝服务 (DoS)：可以传递的一种最简单的负载类型是拒绝服务攻击 分布式拒绝服务 (DDoS)：DDoS 攻击是一种拒绝服务攻击，其中攻击者使用各种计算机上安装的恶意代码来攻击单个目标,2.2 恶意软件的特征,触发机制:触发机制是恶意软件的一个特征，恶意软件使用此机制启动复制或负载传递 手动执行:这种类型的触发机制是指由受害者直接执行恶意软件 半自动执行:这种类型的触发机制最初由受害者启动，之后则自动执行 自动执行:这种类型的触发机制根本无须手动执行 定时炸弹:这种类型的触发机制在一段时间之后执行操作 触发条件:这种类型的触发机制使用某个预先确定的条件作为触发器来传递其负载,2.2 恶意软件的特征,防护机制：许多恶意软件使用某种类型的防护机制，来降低被发现和删除的可能性 。 装甲：这种类型的防护机制使用某种试图防止对恶意代码进行分析的技术 窃取：恶意软件使用此类技术，通过截获信息请求并返回错误数据来隐藏其自身 加密：使用此防护机制的恶意软件加密其自身或负载（有时甚至加密其他系统数据） 寡态:此特征的恶意软件使用加密防护机制进行自身防护，并且可以将加密例程更改为只能使用固定的次数（通常数目很小）。 多态:这种类型的恶意软件使用加密防护机制更改其自身，以免被检测出来。,2.3 什么不是恶意软件,玩笑软件 玩笑应用程序旨在生成一个微笑，或在最糟糕的情况下浪费某人的时间。这些应用程序自从人们开始使用计算机以来就一直存在。它们不是出于邪恶的目的而被开发的，而且很明白地标识为玩笑，因此并不被认为是恶意软件 恶作剧 通常情况下，欺骗某人为您做事要比编写软件使人在不知情的情况下做事容易。因此，在 IT 行业可以看到大量的恶作剧。,2.3 什么不是恶意软件,欺诈 实际上，违法者已经使用过各种通信形式，试图欺骗人们执行会给其带来某些经济利益的操作。Internet、网站和电子邮件都不例外。一个比较常见的示例是，违法者发送电子邮件，试图欺骗收件人透露个人信息（例如，银行帐户信息），然后将这些信息用于非法用途。 垃圾邮件（Spam） 垃圾邮件是未经请求,不请自来的电子邮件，用于为某些服务或产品做广告。它通常被认做是讨厌的东西，垃圾邮件不是恶意软件,但垃圾邮件数量的飞速增长已经成为 Internet 基础结构的一个问题，这可导致员工工作效率的降低，因为他们每天必须费力查看并删除此类邮件。,2.3 什么不是恶意软件,间谍软件 此类软件有时也称为“spybot”或“跟踪软件”。间谍软件使用其他形式的欺骗性软件和程序，它们在没有获取用户相应许可的情况下即在计算机上执行某些活动。这些活动可以包括收集个人信息，以及更改 Internet 浏览器配置设置。除了令人讨厌之外，间谍软件还会导致各种问题，从降低计算机的总体性能到侵犯个人隐私。 广告软件 广告软件通常与宿主应用程序组合在一起，只要用户同意接受广告软件即可免费提供宿主应用程序。因为广告软件应用程序通常在用户接受说明应用程序用途的许可协议之后进行安装，因而不会给用户带来任何不快。但弹出式广告会非常令人讨厌，并且在某些情况下会降低系统性能 。,2.3 什么不是恶意软件,Internet Cookie Internet Cookie 是由用户所访问的网站放置在用户计算机上的文本文件。Cookie 包含与用户相关的标识信息，并将该信息提供给网站，然后网站将这些信息（连同站点要保留的、与用户访问相关的任何其他信息）放置在用户计算机上。 Cookie 是合法工具，许多网站使用它们跟踪访问者的信息,计算机病毒,计算机病毒是一个指令序列，它能够把自身的拷贝插入到其他宿主程序中； 计算机病毒是隐藏在计算机系统的数据资源中，利用系统数据资源进行繁殖并生存，并能影响计算机系统正常运行的并通过系统数据共享进行传染的程序。 我国：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”,病毒的结构,所有计算机病毒都是由三部分组成的，即病毒引导模块、病毒传染模块和病毒表现模块,病毒的分类,按攻击对象分类 攻击x86 系列机的病毒 这种病毒的种类最多，这是由于PC 机及DOS/Windows 操作系统的广泛使用以及软件硬件资料的开放性所决定的。 攻击Macintosh系列机的病毒 Apple公司生产的Macintosh系列计算机的应用也比较广泛，所以也出现了一些攻击Macintosh的病毒，如Score病毒、NVIR病毒等等。 攻击Unix 操作系统的病毒 目前大、中、小型机以及工作站大都采用Unix 系统，特别是网络环境中，攻击Unix系统的病毒对计算机信息系统也构成了严重威胁。,按链接方式分类 操作系统病毒:操作系统病毒在传染时，用自己的运行逻辑取代操作系统的正常逻辑模块。 外壳型病毒:外壳型病毒是将病毒本身包围在宿主程序周围对原来的程序不作修改。 入侵型病毒:入侵型病毒是将病毒本身插入到攻击目标之中而不是链接在它的首部或尾部。一旦病毒程序入侵到一个程序之中，就很难被发现，隐蔽性很好，即使发现后也难以清除，但它能够传染的对象受到了一定的限制。 源码病毒:主要是利用Java、VBS、ActiveX等网络编程语言编写，放在电子邮件的附件或者HTML主页中，进入被感染计算机中执行。,按传染对象分类,引导型病毒：引导型病毒的全部或部分寄生在磁盘引导区中，并且只传染磁盘引导区。 文件型病毒：这类病毒以可执行文件作为传染对象，在运行被传染的可执行文件时，病毒程序的引导代码在正常程序之前获得控制权。 宏病毒：它的传染对象是Windows 系统中Word、Excel、Access、PowerPoint等文档。,宏病毒实例,Word宏：office宏是微软公司为其OFFICE软件包设计的一个特殊功能，软件设计者为了让人们在使用软件进行工作时，避免一再地重复相同的动作而设计出来的一种工具。 在word6.0和offfice95中，编写宏主要使用WordBasic语言，使用这些宏命令可以编写病毒的安装、传播、和破坏的宏。 从office97之后，WordBasic逐渐被宏语言VBA所取代，VBA 适用于所有应用程序，包括Word、 Excel、PowerPoint、Access、Outlook 以及Project。这样，用户无论是在Excel 中，还是在Word 中以至是在Access 中建立和管理VBA 都具有统一的方法和标准。 VBA包含一个由对象构成的层次结构，每个对象都包含一组方法和属性，大部分的WordBasic命令可以在VBA下以WordBasic对象的方法的方式运行，也有一些命令没有直接对应的方法。,3.1 宏病毒,在Word启动时，自动加载Startup模板及Normal.dot模板以及它们所包含的宏。如果将自己定义的宏取为特定的名称，就可以变为自动宏，从而在特定时机自动执行,宏病毒的分类,宏病毒是能够循环复制自身的，具有破坏作用的一个或多个宏的集合。目前常见的宏病毒根据破坏性主要有以下几种： 只进行自身的传播，并不具有破坏性的类型。 只对用户进行骚扰，但不破坏系统的类型。 使打印中途中断或打印出混乱信息的类型。 极具破坏性的类型。如MDMAA(无政府者一号)，这种病毒既传染中文版Word，又传染英文版Word，发作时间是每月的1日。破坏性表现为在机器的批处理文件Autoexecbat中加入“deltreey c：”一句，机器在下一次启动后就将自动删除C盘上的所有文件。 另外有一种双栖复合型病毒，如Nuclear病毒，是由AutoExec、Dropsuriv、Fileexit等9种宏病毒复合成的一种DOS和Windows双栖型驻留宏病毒。Nuclear发作时将一个名为ph33r的病毒传染到计算机上并激活，清除机器中的MSDOS.SYS、IO.SYS和COMMAND.COM文件，使计算机瘫痪，这种病毒在每年的4月5日发作。,宏病毒的特征,由于宏病毒利用了Word的文档机制进行传播，寄生于Word的文档中，它不感染EXE和COM文件，只感染文档文件。 特点： 传播极快。 制作、变种方便。 破坏可能性极大。Word Basic以及VBA语言提供了许多系统级底层调用，如直接使用DOS系统命令调用Windows API、DLL等。这些操作均可能对系统直接构成威胁。,宏病毒实例,On Error Goto Abort iMacroCount=CountMacros(0,0) For i=1 To iMacroCount If MacroName$(i,0,0)=”PayLoad” Then bInstalled=-1 End If Next I,病毒安装:通过文档传染系统的过程 可以定义autoopen或者FileOp