《信息安全》第五章.ppt

《《信息安全》第五章.ppt》由会员分享，可在线阅读，更多相关《《信息安全》第五章.ppt（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第五章 计算机病毒及防范技术目录5.1 病毒的起源和发展5.2 病毒的定义及分类5.3 VBS病毒的起源与发展及其危害5.4 共享蠕虫的原理及用VB编程的实现方法5.5 缓冲区溢出与病毒攻击的原理5.6 木马程序5.7 计算机日常使用的安全建议5.1 病毒的起源和发展 谈到病毒的起源和发展不得不提到贝尔实验谈到病毒的起源和发展不得不提到贝尔实验室，室，2020世纪世纪6060年代初，美国贝尔实验室里，三个年代初，美国贝尔实验室里，三个年轻的程序员编写了一个名为年轻的程序员编写了一个名为“磁芯大战磁芯大战”的游的游戏，游戏中通过复制自身来摆脱对方的控制，这戏，游戏中通过复制自身来摆脱对方的控制，

2、这就是病毒的第一个雏形。就是病毒的第一个雏形。2020世纪世纪7070年代，美国作家雷恩在年代，美国作家雷恩在P1P1的青春的青春一书中阐述了一种能够自我复制的计算机程序，一书中阐述了一种能够自我复制的计算机程序，并第一次称之为并第一次称之为“计算机病毒计算机病毒”。5.1 病毒的起源和发展（续1）19831983年年1111月，在国际计算机安全学术研讨会月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在上，美国计算机专家首次将病毒程序在VAX/750VAX/750计算机上进行实验，世界上第一个计算机病毒就计算机上进行实验，世界上第一个计算机病毒就这样诞生在实验室中。这样诞生在实

3、验室中。2020世纪世纪8080年代后期，巴基斯坦有两个以编软年代后期，巴基斯坦有两个以编软件为生的兄弟，他们为了打击盗版软件，设计出件为生的兄弟，他们为了打击盗版软件，设计出了一个名为了一个名为“巴基斯坦智囊巴基斯坦智囊”的病毒，该病毒只的病毒，该病毒只传染软盘引导区。这就是在世界上流行的第一个传染软盘引导区。这就是在世界上流行的第一个真正的病毒。真正的病毒。5.2 病毒的定义及分类5.2.1 病毒的定义5.2.2 病毒的分类5.2.1 病毒的定义 计算机病毒是一个程序，一段可执行码。就计算机病毒是一个程序，一段可执行码。就像某些生物一样，计算机病毒有独特的复制能力。像某些生物一样，计算机病

4、毒有独特的复制能力。计算机病毒可以快速地传染，并很难解除。它们计算机病毒可以快速地传染，并很难解除。它们把自身附着在各种类型的文件上。当文件被复制把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，病毒就随着或从一个用户传送到另一个用户时，病毒就随着文件一起被传播了。文件一起被传播了。计算机病毒确切定义是能够通过某种途径潜计算机病毒确切定义是能够通过某种途径潜伏在计算机存储介质（或程序）里，当达到某种伏在计算机存储介质（或程序）里，当达到某种条件时即被激活具有对计算机资源进行破坏的一条件时即被激活具有对计算机资源进行破坏的一组程序或指令的集合。组程序或指令的集合。5.2.

5、2 病毒的分类1 1按病毒感染的对象按病毒感染的对象 引导型病毒引导型病毒 文件型病毒文件型病毒 网络型病毒网络型病毒 复合型病毒复合型病毒 2.2.按病毒的破坏程度按病毒的破坏程度 良性病毒良性病毒 恶性病毒恶性病毒 极恶性病毒极恶性病毒 灾难性病毒灾难性病毒 5.2.2 病毒的分类（续1）3.3.按病毒攻击的方式分按病毒攻击的方式分 源代码嵌入攻击型源代码嵌入攻击型 代码取代攻击型代码取代攻击型 系统修改型系统修改型 外壳附加型外壳附加型 5.3 VBS病毒的起源与发展及其危害5.3.1 VBS5.3.1 VBS的运行基础的运行基础5.3.2 VBS5.3.2 VBS病毒的发展和危害病毒的

6、发展和危害5.3.3 VBS5.3.3 VBS病毒的原理及其传播方式病毒的原理及其传播方式5.3.1 VBS的运行基础 VBSVBS病毒的运行基础是微软公司提供的脚本程病毒的运行基础是微软公司提供的脚本程序：序：WSHWSH（Windows Scripting HostWindows Scripting Host）。）。WSHWSH通用通用的中文译名为的中文译名为“WindowsWindows脚本宿主脚本宿主”。应该说，应该说，WSHWSH的优点在于它使用户可以充分的优点在于它使用户可以充分利用脚本来实现计算机工作的自动化。计算机病利用脚本来实现计算机工作的自动化。计算机病毒制造者也正是利用脚

7、本语言来编制病毒，并利毒制造者也正是利用脚本语言来编制病毒，并利用用WSHWSH的支持功能，让这些隐藏着病毒的脚本在的支持功能，让这些隐藏着病毒的脚本在网络中传播。网络中传播。“I Love You”I Love You”病毒便是一个典型的病毒便是一个典型的代表。代表。5.3.2 VBS病毒的发展和危害 当微软在推出当微软在推出WHSWHS后不久，在后不久，在Windows 95Windows 95操操作系统中就发现了利用作系统中就发现了利用WHSWHS的病毒，随后又出现的病毒，随后又出现了更为厉害的了更为厉害的“HapplyHapply Time Time（欢乐时光）（欢乐时光）”病毒，病毒

8、，这种病毒不断的利用自身的复制功能，把自身复这种病毒不断的利用自身的复制功能，把自身复制到计算机内的每一个文件夹内。制到计算机内的每一个文件夹内。而而20002000年年5 5月月4 4日在欧美地区爆发的日在欧美地区爆发的“宏病毒宏病毒”网络蠕虫病毒。由于通过电子邮件系统传播，网络蠕虫病毒。由于通过电子邮件系统传播，宏病毒在短短几天内狂袭全球数以百万计的电脑。宏病毒在短短几天内狂袭全球数以百万计的电脑。包括微软、包括微软、IntelIntel等公司在内的众多大型企业网络等公司在内的众多大型企业网络系统瘫痪，全球经济损失达数十亿美元。系统瘫痪，全球经济损失达数十亿美元。20042004年年爆发的

9、爆发的“新欢乐时光新欢乐时光”病毒也给全球经济造成了病毒也给全球经济造成了巨大损失。巨大损失。5.3.3 VBS病毒的原理及其传播方式1 1VBSVBS脚本病毒如何感染、搜索文件脚本病毒如何感染、搜索文件2.2.VBSVBS脚脚本本病病毒毒通通过过网网络络传传播播的的几几种种方方式式及及代代码码分分析析(1)(1)通过通过E-mailE-mail附件传播附件传播(2)(2)通过局域网共享传播通过局域网共享传播5.4 共享蠕虫的原理及用VB编程的实现方法5.4.1 5.4.1 了解蠕虫病毒了解蠕虫病毒5.4.2 5.4.2 编写一个蠕虫病毒编写一个蠕虫病毒5.4.1 了解蠕虫病毒1 1蠕虫病毒具

10、有自我复制能力蠕虫病毒具有自我复制能力2 2蠕虫病毒具有很强的传播性蠕虫病毒具有很强的传播性3.3.蠕虫病毒具有一定的潜伏性蠕虫病毒具有一定的潜伏性4 4蠕虫病毒具有特定的触发性蠕虫病毒具有特定的触发性5 5蠕虫病毒具有很大的破坏性蠕虫病毒具有很大的破坏性6.6.反击蠕虫病毒反击蠕虫病毒5.4.2 编写一个蠕虫病毒书上的例子是用书上的例子是用VBVB程序编写，建议读者亲自程序编写，建议读者亲自动手进行编写和调试。动手进行编写和调试。5.5 缓冲区溢出与病毒攻击的原理5.5.1 缓冲区溢出5.5.2 缓冲区溢出的根源在于编程错误5.5.3 缓冲区溢出导致“黑客”病毒横行5.5.1 缓冲区溢出 缓

11、冲区溢出是指当计算机程序向缓冲区内填缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过缓冲区本身的容量。溢出的数充的数据位数超过缓冲区本身的容量。溢出的数据覆盖在合法数据上。理想情况是，程序检查数据覆盖在合法数据上。理想情况是，程序检查数据长度并且不允许输入超过缓冲区长度的字符串。据长度并且不允许输入超过缓冲区长度的字符串。大多数程序都会假设数据长度总是与所分配的存大多数程序都会假设数据长度总是与所分配的存储空间相匹配，这就为缓冲区溢出埋下隐患。操储空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓冲区又被称为堆栈，在各个操作系统所使用的缓冲区又被称为堆栈，在各个操作进程之间，指令被

12、临时存储在堆栈当中，堆栈作进程之间，指令被临时存储在堆栈当中，堆栈也会出现缓冲区溢出。也会出现缓冲区溢出。5.5.1 缓冲区溢出（续1）当一个超长的数据进入到缓冲区时，超出部当一个超长的数据进入到缓冲区时，超出部分就会被写入其他缓冲区，其他缓冲区存放的可分就会被写入其他缓冲区，其他缓冲区存放的可能是数据、下一条指令的指针、或者是其他程序能是数据、下一条指令的指针、或者是其他程序的输出内容，这些内容都被覆盖或者破坏掉了。的输出内容，这些内容都被覆盖或者破坏掉了。可见一小部分数据或者一套指令的溢出就可能导可见一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃。致一个程序或者操作系统崩

13、溃。5.5.2 缓冲区溢出的根源在于编程错误 缓冲区溢出是由编程错误引起的。如果缓冲缓冲区溢出是由编程错误引起的。如果缓冲区被写满，而程序没有去检查缓冲区边界，也没区被写满，而程序没有去检查缓冲区边界，也没有停止接收数据，这时缓冲区溢出就会发生。有停止接收数据，这时缓冲区溢出就会发生。5.5.2 缓冲区溢出的根源在于编程错误（续1）缓冲区溢出之所以泛滥，是由于开放源代码程序的本缓冲区溢出之所以泛滥，是由于开放源代码程序的本质决定的。某些编程语言对于缓冲区溢出是具有免疫力的，质决定的。某些编程语言对于缓冲区溢出是具有免疫力的，例如例如PerlPerl能够自动调节字节排列的大小，能够自动调节字节排

14、列的大小，AdaAda 95 95能够检查和能够检查和阻止缓冲区溢出。但是被广泛使用的阻止缓冲区溢出。但是被广泛使用的C C语言却没有建立检语言却没有建立检测机制。标准测机制。标准C C语言具有许多复制和添加字符串的函数，语言具有许多复制和添加字符串的函数，这使得标准这使得标准C C语言很难进行边界检查。语言很难进行边界检查。C C语言略微好一语言略微好一些，但是仍然存在缓冲区溢出情况。一般情况下，覆盖其些，但是仍然存在缓冲区溢出情况。一般情况下，覆盖其他数据区的数据是没有意义的，最多造成应用程序错误，他数据区的数据是没有意义的，最多造成应用程序错误，但是，如果输入的数据是经过但是，如果输入的

15、数据是经过“黑客黑客”或者病毒精心设计或者病毒精心设计的，覆盖缓冲区的数据恰恰是的，覆盖缓冲区的数据恰恰是“黑客黑客”或者病毒的攻击程或者病毒的攻击程序代码，一旦多余字节被编译执行，序代码，一旦多余字节被编译执行，“黑客黑客”或者病毒就或者病毒就有可能为所欲为，获取系统的控制权。有可能为所欲为，获取系统的控制权。5.5.3 缓冲区溢出导致“黑客”病毒横行 缓冲区溢出是目前导致缓冲区溢出是目前导致“黑客黑客”型病毒横行的主要原型病毒横行的主要原因。从因。从“红色代码红色代码”到到“Slammer”,Slammer”,再到再到“冲击波冲击波”，都，都是利用缓冲区溢出漏洞的典型病毒案例。缓冲区溢出是

16、一是利用缓冲区溢出漏洞的典型病毒案例。缓冲区溢出是一个编程问题，防止利用缓冲区溢出发起的攻击，关键在于个编程问题，防止利用缓冲区溢出发起的攻击，关键在于程序开发者在开发程序时仔细检查溢出情况，不允许数据程序开发者在开发程序时仔细检查溢出情况，不允许数据溢出缓冲区。此外，用户需要经常登录操作系统和应用程溢出缓冲区。此外，用户需要经常登录操作系统和应用程序提供商的网站，跟踪公布的系统漏洞，及时下载补丁程序提供商的网站，跟踪公布的系统漏洞，及时下载补丁程序，弥补系统漏洞。序，弥补系统漏洞。5.6 木马程序 5.6.1 5.6.1 木马程序的发展历程木马程序的发展历程5.6.2 5.6.2 木马程序的

17、隐藏技术木马程序的隐藏技术5.6.3 5.6.3 木马程序的自加载运行技术木马程序的自加载运行技术5.6.4 5.6.4 通通过过查查看看开开放放端端口口判判断断木木马马或或其其他他黑黑客客程程序序的的方法方法5.6.1 木马程序的发展历程 木马程序技术发展经历了木马程序技术发展经历了4 4代，第一代，实现功能简代，第一代，实现功能简单的密码窃取。第二代，在技术上有了很大的进步，单的密码窃取。第二代，在技术上有了很大的进步，“冰冰河河”可以说为是国内木马程序的典型代表之一。第三代，可以说为是国内木马程序的典型代表之一。第三代，在数据传输技术上做了改进，出现了如在数据传输技术上做了改进，出现了如

18、“ICMP”ICMP”等类型的等类型的木马，利用畸形报文传输数据，增加了查杀的难度。第四木马，利用畸形报文传输数据，增加了查杀的难度。第四代，在进程隐藏方面，进行了较大的改动，采用了内核插代，在进程隐藏方面，进行了较大的改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入入式的嵌入方式，利用远程插入线程技术，嵌入DLLDLL线程。线程。或者挂接或者挂接PSAPI,PSAPI,实现木马程序的隐藏，甚至在实现木马程序的隐藏，甚至在Windows Windows NT/2000NT/2000操作系统下，都达到了良好的隐藏效果。相信第操作系统下，都达到了良好的隐藏效果。相信第五代木马很快也会被

19、编写出来。五代木马很快也会被编写出来。5.6.2 木马程序的隐藏技术 说到隐藏，首先要了解三个相关的概念：进说到隐藏，首先要了解三个相关的概念：进程、线程和服务。程、线程和服务。(1)(1)进程：一个正常的进程：一个正常的WindowsWindows应用程序，在运行之应用程序，在运行之后，都会在系统之中产生一个进程，同时，每个进程分别后，都会在系统之中产生一个进程，同时，每个进程分别对应了一个不同的对应了一个不同的PIDPID（Progress ID,Progress ID,进程标志符）这个进进程标志符）这个进程会被系统分配一个虚拟的内存空间地址段，一切相关的程会被系统分配一个虚拟的内存空间地

20、址段，一切相关的程序操作，都会在这个虚拟的空间中进行。程序操作，都会在这个虚拟的空间中进行。5.6.2 木马程序的隐藏技术（续1）(2)(2)线程：一个进程，可以存在一个或多个线程，线线程：一个进程，可以存在一个或多个线程，线程之间同步执行多种操作，一般线程之间是相互独立的，程之间同步执行多种操作，一般线程之间是相互独立的，当一个线程发生错误的时候，并不一定会导致整个进程的当一个线程发生错误的时候，并不一定会导致整个进程的崩溃。崩溃。(3)(3)服务：一个进程当以服务的方式工作的时候，它服务：一个进程当以服务的方式工作的时候，它将会在后台工作，不会出现在任务列表中，但是在将会在后台工作，不会出

21、现在任务列表中，但是在Windows NT/2000Windows NT/2000操作系统下，用户仍然可以通过服务管操作系统下，用户仍然可以通过服务管理器检查任何的服务程序是否被启动运行。理器检查任何的服务程序是否被启动运行。5.6.3 木马程序的自加载运行技术 让程序自运行的方法比较多，除了最常见的方法：加让程序自运行的方法比较多，除了最常见的方法：加载程序到启动组，写程序启动路径到注册表的载程序到启动组，写程序启动路径到注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindoHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

22、CurrentVersionsRunwsCurrentVersionsRun的方法外，还有很多方法，比如可的方法外，还有很多方法，比如可以修改以修改Boot.iniBoot.ini、或者通过注册表里的输入法键值直接挂接、或者通过注册表里的输入法键值直接挂接启动、通过修改启动、通过修改Explorer.exeExplorer.exe启动参数等方法。启动参数等方法。5.6.4 通过查看开放端口判断木马或其他黑客程序的方法1 1WindowsWindows本身自带的本身自带的 NetstatNetstat命令命令2 2工作在工作在windows 2000windows 2000操作系统下的命令行工具

23、操作系统下的命令行工具FportFport3 3Active PortsActive Ports5.7 计算机日常使用的安全建议 建立良好的安全习惯。例如：对一些来历建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从解的网站、不要执行从 Internet Internet 下载后未经杀毒处下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更理的软件等，这些必要的习惯会使您的计算机更安全。安全。关闭或删除系统中不需要的服务。默认情关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务

24、，如况下，许多操作系统会安装一些辅助服务，如 FTP FTP 客户端、客户端、Telnet Telnet 和和 Web Web 服务器。这些服务为服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，攻击者提供了方便，而又对用户没有太大用处，删除它们，就能大大减少被攻击的可能性。删除它们，就能大大减少被攻击的可能性。5.7 计算机日常使用的安全建议（续）经常升级安全补丁。据统计，有经常升级安全补丁。据统计，有80%80%的网络的网络病毒是通过系统安全漏洞进行传播的，象病毒是通过系统安全漏洞进行传播的，象“红色红色代码代码”、“尼姆达尼姆达”等病毒，所以用户应该定期等病毒，所以用户应该定期

25、到操作系统开发商网站去下载最新的安全补丁，到操作系统开发商网站去下载最新的安全补丁，以防范未然。以防范未然。使用复杂的密码。有许多网络病毒是通过使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会提高计算机的安全。的密码，将会提高计算机的安全。5.7 计算机日常使用的安全建议（续2）迅速隔离受感染的计算机。当您的计算机迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻切断网络，以防止计算发现病毒或异常时应立刻切断网络，以防止计算机受到更多的感染，或者成为传播源，感染其它机受到更多的感染，或者成为传播源，感染

26、其它计算机。计算机。了解一些病毒知识。这样就可以及时发现了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，使自己的计算机免受病新病毒并采取相应措施，使自己的计算机免受病毒攻击：如果能了解一些注册表知识，就可以定毒攻击：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是期看一看注册表的自启动项是 否有可疑键值；否有可疑键值；如果了解一些内存知识，就可以经常看看内存中如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。是否有可疑程序。5.7 计算机日常使用的安全建议（续3）安装专业的抗病毒软件进行全面监控。使安装专业的抗病毒软件进行全面监控。使用抗病毒软件进行病毒防治，是越

27、来越经济的选用抗病毒软件进行病毒防治，是越来越经济的选择，不过用户在安装了抗病毒软件之后，应该经择，不过用户在安装了抗病毒软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）常进行升级、将一些主要监控打开（如邮件监控），遇到问题要上报，遇到问题要上报，这样才能真正保障计算机的这样才能真正保障计算机的安全。安全。习题习题1 1病毒的定义是什么？可以按哪三种方式对病毒进行分类？病毒的定义是什么？可以按哪三种方式对病毒进行分类？2 2什么是什么是VBSVBS病毒？病毒？3 3什么是什么是WSHWSH？4 4什么是缓冲区溢出？什么是缓冲区溢出？5 5如何使用系统自身和软件检查是否感染了木马软件？如何使用系统自身和软件检查是否感染了木马软件？谢谢