网络安全技术及应 用第 五章

1、2019/6/21,1,第五章 计算机病毒及恶意代码,本章学习重点掌握内容： 传统病毒原理 脚本病毒原理 网络蠕虫原理 木马技术 网络钓鱼技术 僵尸网络,2019/6/21,2,第五章 计算机病毒及恶意代码,5.1 计算机病毒概述 5.2 传统的计算机病毒 5.3 脚本病毒 5.4网络蠕虫 5.5木马技术 5.6网络钓鱼 5.7僵尸网络 5.8浏览器劫持 5.9 流氓软件,2019/6/21,3,5.1计算机病毒概述,5.1.1 计算机病毒的定义 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”,2019/6/21,4,5.1计算机病毒概述,5.1.2计算机病毒历史 1977年，美国著名的贝尔实验室中设计磁芯大战（Core War）的游戏，第一步将计算机病毒感染性的概念体现出来 第一个具备完整特征的计算机病毒出现于1987年，病毒C-BRAIN,由一对巴基斯坦兄弟：Basit和Amjad所写。目的是防止他们的软件被任意盗拷。只要有人盗拷他们的软件，C-BRAIN就会发作，将盗拷者的硬盘剩余空间给吃掉。,

2、2019/6/21,5,5.1.2计算机病毒历史,DOS病毒,破坏表现：唱歌、删除文件、格式化硬盘、屏幕上显出各式各样的图形与音效。主要病毒如耶路撒冷、米开朗基罗、猴子病毒等 。 基于Windows运行环境的病毒，随着微软Office软件的普及，出现了宏病毒，各种脚本病毒也日益增多著名病毒如 CIH病毒等。 网络时代病毒已经突破了传统病毒的技术，融合许多网络攻击技术，如蠕虫技术、木马技术、流氓软件、网络钓鱼等，。,2019/6/21,6,5.1计算机病毒概述,5.1.3 计算机病毒特征 破坏性 计算机所有资源包括硬件资源和软件资源，软件所能接触的地方均可能受到计算机病毒的破坏 隐蔽性 。通过隐蔽技术使宿主程序的大小没有改变，以至于很难被发现。 潜伏性 长期隐藏在系统中，只有在满足特定条件时，才启动其破坏模块。 传染性 指病毒具有把自身复制到其它程序中的特性,2019/6/21,7,5.1.3 计算机病毒特征,网络病毒又增加很多新的特点 主动通过网络和邮件系统传播 计算机的病毒种类呈爆炸式增长 变种多，容易编写，并且很容易被修改，生成很多病毒变种 融合多种网络技术，并被黑客所使用,201

3、9/6/21,8,5.2 传统的计算机病毒,5.2.1 计算机病毒的基本机制 分为三大模块：传染机制、破坏机制、触发机制。 计算机病毒的传染机制 指计算机病毒由一个宿主传播到另一个宿主程序，由一个系统进入另一个系统的过程。 触发机制 计算机病毒在传染和发作之前，要判断某些特定条件是否满足，这个条件就是计算机病毒的触发条件。 3、破坏机制 良性病毒表现为占用内存或硬盘资源。恶性病毒则会对目标主机系统或信息产生严重破坏。,2019/6/21,9,5.2 传统的计算机病毒,5.2.2 病毒分析 Windows环境下，主要病毒有文件型病毒、引导性病毒和宏病毒等 文件型病毒 文件型病毒主要感染可执行文件，Windows环境下主要为.EXE文件，为PE格式文件 PE是 Win32环境自身所带的执行体文件格式。,2019/6/21,10,5.2.2 病毒分析,PE文件结构如图5-1所示,2019/6/21,11,5.2.2 病毒分析,当运行一个PE可执行文件时 当PE文件被执行，PE装载器检查 DOS MZ header 里的 PE header 偏移量。如果找到，则跳转到 PE header。 P

4、E装载器检查 PE header 的有效性。如果有效，就跳转到PE header的尾部。 紧跟 PE header 的是节表。PE装载器读取其中的节信息，并采用文件映射方法将这些节映射到内存，同时附上节表里指定的节属性。 PE文件映射入内存后，PE装载器将处理PE文件中类似 import table（引入表）逻辑部分。,2019/6/21,12,5.2.2 病毒分析,感染PE文件，必须满足两个基本条件： 是能够在宿主程序中被调用，获得运行权限；主要采用重定位的方法，改PE文件在系统运行PE文件时，病毒代码可以获取控制权，在执行完感染或破坏代码后，再将控制权转移给正常的程序代码。方法有： 可以修改文件头中代码开始执行位置（AddressOfEntryPoint） 在PE文件中添加一个新节 病毒进行各种操作时需调用API函数 ，有两种解决方案。 在感染PE文件的时候，可以搜索宿主的引入函数节的相关地址。 解析导出函数节，尤其是Kernel32.DLL,2019/6/21,13,5.2.2 病毒分析,宏病毒 就是使用宏语言编写的程序，可以在一些数据处理系统中运行，存在于字处理文档、数据表格、

5、数据库、演示文档等数据文件中 感染过程 改写Word宏 改写文档自动执行宏，如AutoOpen、FileSave FilePrint等等,2019/6/21,14,5.2.2 病毒分析,转换成文档模板的宏 当宏病毒获得运行权限之后，把所关联的宿主文档转换成模板格式，然后把所有宏病毒复制到该模板之中 感染其它Word文档 当其它的Word文件打开时，由于自动调用该模板因而会自动运行宏病毒,2019/6/21,15,5.2.2 病毒分析,宏病毒具有如下特点 传播快 Word文档是交流最广的文件类型。人们大多对外来的文档文件基本是直接浏览使用，这给Word宏病毒传播带来很多便利。 制作、变种方便 Word使用宏语言WordBasic来编写宏指令。用户很方便就可以看到这种宏病毒的全部面目。把宏病毒稍微加以改变，立即就生产出了一种新的宏病毒. 破坏性大,2019/6/21,16,5.2 传统的计算机病毒,5.2.3 传统计算机病毒防御 文件型病毒一般采用以下一些方法 安装最新版本、有实时监控文件系统功能的防病毒软件。 及时更新病毒引擎，最好每周更新一次，并在有病毒突发事件时立即更新。 经常使用防

6、毒软件对系统进行病毒检查。 对关键文件，如系统文件、重要数据等，在无毒环境下备份。 在不影响系统正常工作的情况下对系统文件设置最低的访问权限。,2019/6/21,17,5.2.3 传统计算机病毒防御,宏病毒的预防与清除 找到一个无毒的Normal.dot 文件的备份，将位于“MSOffice Template ”文件夹下的通用模板Normal.dot文件替换掉； 对于已染病毒的文件，先打开一个无毒Word文件，按照以下菜单打开对话框：工具-宏-安全性，设置安全性为高,2019/6/21,18,5.3 脚本病毒,5.3.1 脚本病毒概述 脚本病毒依赖一种特殊的脚本语言（如：VBScript、JavaScript等）起作用，同时需要应用环境能够正确识别和翻译这种脚本语言中嵌套的命令，脚本病毒可以在多个产品环境中进行。 脚本病毒具有如下特征 编写简单。由于脚本的简单性，使以前对病毒不了解的人都可以在很短的时间里编出一个新型病毒。 病毒源码容易被获取、变种多。其源代码可读性非常强,2019/6/21,19,5.3.1 脚本病毒概述,感染力强。采用脚本高级语言可以实现多种复杂操作，感染其它文件

7、或直接自动运行。 破坏力强。 脚本病毒可以寄生于HTML或邮件通过网络传播，其传播速度非常快。脚本病毒不但能够攻击被感染的主机，获取敏感信息，删除关键文件；更可以攻击网络或者服务器，造成拒绝服务攻击，产生严重破坏。 传播范围广。这类病毒通过HTML文档，Email附件或其它方式，可以在很短时间内传遍世界各地。 采用多种欺骗手段。脚本病毒为了得到运行机会，往往会采用各种让用户不大注意的手段，,2019/6/21,20,5.3 脚本病毒,5.3.2 脚本病毒原理 脚本病毒的传播分析 脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其它同类程序中间： 脚本病毒通过网络传播的几种方式 通过电子邮件传播 通过局域网共享传播 感染HTML、ASP、JSP、PHP等网页通过浏览器传播 通过U盘自动运行传播 其它的传播方式,2019/6/21,21,5.3.2 脚本病毒原理,脚本病毒的获得控制权的方法分析 修改注册表项 修改自动加载项 通过映射文件执行方式 欺骗用户，让用户自己执行 desktop.ini和folder.htt互相配合 如果用户的目录中含有这两个文件，当

8、用户进入该目录时，就会触发folder.htt中的病毒代码。 直接复制和调用可执行文件,2019/6/21,22,5.3 脚本病毒,5.3.3 脚本病毒防御 脚本病毒要求被感染系统具有如下支持能力： VBScript代码是通过Windows Script Host来解释执行的，wscript.exe就是该功能的相关支持程序。 绝大部分VBS脚本病毒运行的时候需要对象FileSystemObject的支持。 通过网页传播的病毒需要ActiveX的支持 通过Email传播的病毒需要邮件软件的自动发送功能支持。,2019/6/21,23,5.3.3 脚本病毒防御,因此可以采用以下方法防御脚本病毒 可以通过打开“我的计算机”，依次点击查看文件夹选项文件类型在文件类型中将后缀名为“VBS、VBE、JS、JSE、WSH、WSF”的所有针对脚本文件的操作均删除。这样这些文件就不会被执行了。 在IE设置中将ActiveX插件和控件以及Java相关的组件全部禁止，可以避免一些恶意代码的攻击。方法是：打开IE，点击“工具”“Internet选项”“安全”“自定义级别”，在“安全设置”对话框中，将其中所有的

9、ActiveX插件和控件以及与Java相关的组件全部禁止即可。 禁用文件系统对象FileSystemObject， 用regsvr32 scrrun.dll /u这条命令就可以禁止文件系统对象。 禁止邮件软件的自动收发邮件功能 Windows默认的是“隐藏已知文件类型的扩展名称”，将其修改为显示所有文件类型的扩展名称。 选择一款好的防病毒软件并做好及时升级。,2019/6/21,24,5.4网络蠕虫,5.4.1 网络蠕虫概述 网络蠕虫是一种智能化、自动化并综合网络攻击、密码学和计算机病毒技术，不要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过网络从一个节点传播到另外一个节点。,2019/6/21,25,5.4.1 网络蠕虫概述,网络蠕虫具有以下特征 主动攻击。从搜索漏洞，到利用搜索结果攻击系统，到攻击成功后复制副本，整个流程全由蠕虫自身主动完成。 利用软件漏洞。蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。 造成网络拥塞。在传播的过程中，蠕虫需要判断其它计算机是否存活；判断特定应用服务是否存在；判断漏洞是否存在等等，这将产生大量的网络数据流量。同时出于攻击网络的需要，蠕虫也可以产生大量恶意流量，当大量的机器感染蠕虫时，就会产生巨大的网络流量，导致整个网络瘫痪。 消耗系统资源。蠕虫入侵到计算机系统之后，一方面由于要搜索目标主机、漏洞、感染其它主机需要消耗一定的资源；另一方面，许多蠕虫会恶意耗费系统的资源。,2019/6/21,26,5.4.1 网络蠕虫概述,留下安全隐患。大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。 行踪隐蔽。蠕虫的传播过程中，不需要用户的辅助工作，其传播的过程中用户基本上不可察觉。 反复性。即使清除了蠕虫留下的任何痕迹，如果没有修补计算机系统漏洞，网络中的计算机还是会被重新感染。 破坏性：越来越多的蠕虫开始包含恶意代码，破坏被攻击的计算机系统，而且造成的经济损失数目越来越大，见表5-3。,2019/6/21,27,蠕虫造成的损失对照表,2019/6/21,28,5.4网络蠕虫,5.4.2 网络蠕虫工作机制 网络蠕虫的工作机制分为3个阶段：信息收集、攻击渗透、现场处理 信息收集。按照一定的策略搜索网络中存活的主机

《网络安全技术及应 用第 五章》由会员w****i分享，可在线阅读，更多相关《网络安全技术及应 用第 五章》请在金锄头文库上搜索。