計算機病毒及防范技術.ppt

《計算機病毒及防范技術.ppt》由會員分享，可在線閱讀，更多相關《計算機病毒及防范技術.ppt（47頁珍藏版）》請在裝配圖網上搜索。

中國電信維護崗位認證教材（互聯網安全維護專業(yè)）,計算機病毒及防范技術,2,目錄,第一章計算機病毒介紹第二章計算機病毒分析與防護,1.1計算機病毒定義,什么是病毒?醫(yī)學上的病毒定義：是一類比較原始的、有生命特征的、能夠自我復制和在細胞內寄生的非細胞生物。什么是計算機病毒?計算機病毒通常是指可以自我復制，以及向其他文件傳播的程序,3,計算機病毒的來源多種多樣，有的是計算機工作人員或業(yè)余愛好者為了純粹尋開心而制造出來的，有的則是軟件公司為保護自己的產品被非法拷貝而制造的報復性懲罰“計算機病毒”這一概念是1977年由美國著名科普作家“雷恩”在一部科幻小說《P1的青春》中提出1983年美國計算機安全專家“考因”首次通過實驗證明了病毒的可實現性。1987年世界各地的計算機用戶幾乎同時發(fā)現了形形色色的計算機病毒，如大麻、IBM圣誕樹、黑色星期五等等1989年全世界的計算機病毒攻擊十分猖獗，其中“米開朗基羅”病毒給許多計算機用戶造成極大損失。、1991年在“海灣戰(zhàn)爭”中，美軍第一次將計算機病毒用于實戰(zhàn)1999年Happy99等完全通過Internet傳播的病毒的出現標志著Internet病毒將成為病毒新的增長點?！?1.2計算機病毒起源和發(fā)展史,4,DOS病毒,Windows病毒,宏病毒,腳本病毒,引導型病毒,病毒的不同類型,1.3傳統計算機病毒分類,,,,,計算機啟動時使用了被病毒感染的磁盤,啟動病毒感染硬盤,在此以后所有使用的磁盤都會感染,引導型病毒,5,現代計算機病毒類型,特洛伊木馬程序,蠕蟲,玩笑程序,惡意程序dropper,后門程序,DDos攻擊程序,1.4現代計算機病毒介紹,6,特洛伊木馬程序往往表面上看起來無害，但是會執(zhí)行一些未預料或未經授權，通常是惡意的操作。,7,特洛伊木馬,蠕蟲,計算機蠕蟲是指一個程序（或一組程序），它會自我復制、傳播到別的計算機系統中去。,8,玩笑程序,玩笑程序是普通的可執(zhí)行程序，這些程序建立的目的是用于和計算機用戶開玩笑。,這些玩笑程序設計時不是致力于破壞用戶的數據，但是某些不知情的用戶可能會引發(fā)不正當的操作，從而導致文件的損壞和數據的丟失。,9,病毒或惡意程序Droppers,,,,,病毒或惡意程序Droppers被執(zhí)行后，會在被感染系統中植入病毒或是惡意程序,在病毒或惡意程序植入后，可以感染文件和對系統造成破壞,用于生成病毒或惡意程序的計算機程序,10,后門程序,后門程序是一種會在系統中打開一個秘密訪問方式的程序，經常被用來饒過系統安全策略,11,DDos攻擊程序,DDos攻擊程序用于攻擊并禁用目標服務器的web服務，導致合法用戶無法獲得正常服務,12,網絡病毒的概念,利用網絡協議及網絡的體系結構作為傳播的途徑或傳播機制，并對網絡或聯網計算機造成破壞的計算機病毒稱為網絡病毒。,1.5網絡病毒,13,Internet,,,,未修補漏洞的系統,已修補漏洞的系統,染毒電腦,WORM_SASSER.A,,,被感染,不被感染,不被感染,被感染,被感染,不被感染,不被感染,,網絡病毒的特點及危害,破壞性強,傳播性強,,針對性強,擴散面廣,傳染方式多,消除難度大,14,病毒——網絡攻擊的有效載體,網絡攻擊的程序可以通過病毒經由多種渠道廣泛傳播攻擊程序可以利用病毒的隱蔽性來逃避檢測程序的搜查病毒的潛伏性和可觸發(fā)性使網絡攻擊防不勝防許多病毒程序可以直接發(fā)起網絡攻擊植入攻擊對象內部的病毒與外部攻擊里應外合，破壞目標系統,網絡病毒同黑客攻擊技術的融合為網絡帶來了新的威脅。攻擊者可以用病毒作為網絡攻擊的有效載體，呈幾何級地擴大破壞能力。,15,16,目錄,第一章計算機病毒介紹第二章計算機病毒分析與防護,病毒的常見癥狀,電腦運行比平常遲鈍程序載入時間比平常久對一個簡單的工作，磁盤似乎花了比預期長的時間不尋常的錯誤信息出現硬盤的指示燈無緣無故的亮了系統內存容量忽然大量減少可執(zhí)行程序的大小改變了內存內增加來路不明的常駐程序文件奇怪的消失文件的內容被加上一些奇怪的資料文件名稱，擴展名，日期，屬性被更改過,2.1病毒的常見癥狀及傳播途徑,17,病毒的常見傳播途徑,文件傳輸介質例如CIH病毒，通過復制感染程序傳播電子郵件例如梅麗莎病毒，第一個通過電子郵件傳播的病毒網絡共享例如WORM_OPASERV.F病毒可以通過網絡中的可寫共享傳播文件共享軟件例如WORM_LIRVA.C病毒可以通過Kazaa點對點文件共享軟件傳播,18,2.2病毒感染的一般過程,通過某種途徑傳播，進入目標系統自我復制,并通過修改系統設置實現隨系統自啟動激活病毒負載的預定功能打開后門等待連接發(fā)起DDOS攻擊進行鍵盤記錄...除引導區(qū)病毒外，所有其他類型的病毒，無一例外，均要在系統中執(zhí)行病毒代碼，才能實現感染系統的目的。,19,2.3病毒傳播或感染途徑,電子郵件：WORM_MYTOB，WORM_STRATION網絡共享：WORM_SDBOTP2P共享：WORM_PEERCOPY.A系統漏洞：WORM_MYTOB、WORM_SDBOT其它（目前大多數木馬、間諜軟件的感染方式）移動磁盤傳播網頁感染與正常軟件捆綁用戶直接運行病毒程序由其他惡意程序釋放,20,電子郵件郵件附件為病毒壓縮文件HTML正文可能被嵌入惡意腳本利用社會工程學進行偽裝，增大病毒傳播機會傳播速度非常快例如，WORM_MYTOB等病毒,21,網絡共享病毒會搜索本地網絡中存在的共享，如ADMIN$,IPC$,E$,D$,C$通過空口令或弱口令猜測，獲得完全訪問權限病毒自帶口令猜測列表將自身復制到網絡共享文件夾中通常以游戲,CDKEY等相關名字命名利用社會工程學進行偽裝，誘使用戶執(zhí)行并感染。例如：WORM_SDBOT等病毒,22,,P2P共享軟件將自身復制到P2P共享文件夾通常以游戲,CDKEY等相關名字命名通過P2P軟件共享給網絡用戶利用社會工程學進行偽裝，誘使用戶下載例子，WORM_PEERCOPY.A等病毒,23,,系統漏洞由于操作系統固有的一些設計缺陷,導致惡意用戶可以通過畸形的方式利用這些缺陷,達到在目標機器上執(zhí)行任意代碼的目的,這就是系統漏洞。病毒往往利用系統漏洞進入系統,達到快速傳播的目的。常被利用的漏洞RPC-DCOM緩沖區(qū)溢出(MS03-026)WebDAV(MS03-007)LSASS(MS04-011)(LocalSecurityAuthoritySubsystemService)例如：WORM_MYTOB、WORM_SDBOT等病毒,24,,2.4病毒自啟動方式,修改系統修改注冊表啟動項文件關聯項系統服務項BHO項將自身添加為服務將自身添加到啟動文件夾修改系統配置文件自動加載服務和進程－病毒程序直接運行嵌入系統正常進程－DLL文件和OCX文件等驅動－SYS文件,25,注冊表項目之注冊表啟動項：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下：RunServicesRunServicesOnceRunRunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下：RunRunOnceRunServices以上這些鍵一般用于在系統啟動時執(zhí)行特定程序。,26,,注冊表項目之文件關聯項：HKEY_CLASSES_ROOT下：exefile\shell\open\command]@=""%1"%*"comfile\shell\open\command]@=""%1"%*"batfile\shell\open\command]@=""%1"%*"htafile\Shell\Open\Command]@=""%1"%*"piffile\shell\open\command]@=""%1"%*"……病毒將"%1%*"改為“virus.exe%1%*"virus.exe將在打開或運行相應類型的文件時被執(zhí)行,27,,注冊表項目之系統服務項：在如下鍵值下面添加子鍵即可將自身注冊為服務，隨系統啟動而啟動：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注冊表項目之BHO項在如下鍵值下面添加子鍵（ClSID鍵）即可將自身注冊為BHO，隨IE瀏覽器啟動而啟動：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects,28,,將自身添加到啟動文件夾：當前用戶的啟動文件夾可以通過如下注冊表鍵獲得:Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的StartUp項公共的啟動文件夾可以通過如下注冊表鍵獲得:Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders中的CommonStartUp項病毒可以在該文件夾中放入欲執(zhí)行的程序，或直接修改其值指向放置有要執(zhí)行程序的路徑。,29,2.4病毒現象,經常出現系統錯誤或系統崩潰系統反應變慢，網絡擁塞陌生進程或服務可疑的打開端口可疑的自啟動程序病毒郵件,30,2.5病毒的隱性行為,下載特性自動連接到Internet某Web站點，下載其他的病毒文件或該病毒自身的更新版本/其他變種后門特性開啟并偵聽某個端口，允許遠程惡意用戶來對該系統進行遠程操控信息收集特性收集私人信息，特別是帳號密碼等信息，自動發(fā)送自身隱藏特性使用Rootkit技術隱藏自身的文件和進程,31,文件感染特性感染系統中部分/所有的可執(zhí)行文件，使得系統正常文件被破壞而無法運行，或使系統正常文件感染病毒而成為病毒體。典型PE_LOOKED維京PE_FUJACKS熊貓燒香網絡攻擊特性針對微軟操作系統或其他程序存在的漏洞進行攻擊修改計算機的網絡設置向網絡中其它計算機發(fā)送大量數據包以阻塞網絡典型震蕩波ARP攻擊,32,,網關防護阻斷外部對內部的威脅,,,虛擬化系統防護對虛擬化系統和應用程序進行攻擊防護、監(jiān)控、安全控制及監(jiān)控管理，提高虛擬化密度,,傳統終端防護惡意程序防護、終端管理,,網絡預警系統對外部進來的威脅進行預警,服務器防護對服務器的攻擊、惡意代碼防護及安全監(jiān)控審計,,移動終端防護清除垃圾短信和病毒、控制外設,瘦客戶端防護安全防護、降低負載，控制由外設產生的安全威脅,,,網站監(jiān)測平臺實時安全監(jiān)測,2.6計算機病毒防御,系統中了病毒怎么辦？,重裝系統？系統還原？Ghost還原？大多數情況下，可以直接根據經驗來迅速清除各種病毒木馬病毒和后門程序間諜軟件、廣告軟件和灰色軟件蠕蟲病毒文件型病毒母體處理過程包括修復病毒修改的注冊表/文件內容刪除病毒文件,2.7計算機病毒手工處理,34,病毒處理建議步驟,處理病毒問題時，若病毒進程在系統中運行，則可能會出現無法刪除文件、無法刪除注冊表主鍵/鍵值的情況，也可能出現刪除注冊表鍵值或文件后，被刪除的內容會再次出現的情況。最好在安全模式下操作終止所有可疑進程和不必要的進程關閉系統還原,35,檢查注冊表中常見的病毒自動加載項,檢查啟動項:刪除不必要的啟動項鍵值，如發(fā)現指向不正?；虿徽J識的程序的鍵值，可將該鍵值刪除。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,36,檢查注冊表中常見的病毒自動加載項,檢查服務:在[控制面板]-[管理工具]-[服務]中，查看是否存在可疑服務。若無法確定服務是否可疑，可直接查看該服務屬性，檢查服務所指向的文件。隨后可以檢查該文件是否為正常文件(文件檢查方法稍后會介紹)。對于不正常的服務，可直接在注冊表中刪除該服務的主鍵。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\,37,檢查注冊表中常見的病毒自動加載項,檢查Winlogon加載項在注冊表中檢查Winlogon相關加載項：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinlogonShell=Explorer.exe(默認)Userinit=C:\WINDOWS\system32\userinit.exe,(默認)以上Shell和Userinit鍵值為默認，若發(fā)現被修改，可直接將其修改為默認鍵值。,38,檢查注冊表中常見的病毒自動加載項,檢查Winlogon加載項在注冊表中檢查WinlogonNotify相關加載項：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Notify在Notify下會有多個主鍵(目錄)，每個主鍵中的DllName鍵值將指向一個DLL文件。若發(fā)現有指向可疑的DLL文件時，請先確認其指向的DLL是否正常。若不正常，可直接刪除這個主鍵。,39,檢查注冊表中常見的病毒自動加載項,檢查其他加載項在注冊表中檢查以下注冊表加載項鍵值：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WindowsAppInit_DLLs=“”HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\WindowsLoad=“”該鍵值默認為空。若鍵值被修改，可直接將鍵值內容清空。,40,檢查注冊表中的BHO項,檢查BrowserHelpObject(BHO)項BHO項在注冊表中包含以下主鍵的內容：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjectsHKEY_CLASSES_ROOT\CLSID\可以在HKEY_CLASSES_ROOT\CLSID\下的InprocServer32主鍵中查看BHO項所指向的文件。當發(fā)現指向了可疑文件時，可直接刪除以上注冊表路徑下所有包含了該CLSID的主鍵。使用Hijackthis工具可以迅速有效的分析系統中的BHO項。,41,系統中的可疑文件,如何判斷文件是否可疑？查看文件版本信息Google之所有的Windows正常系統文件都包含完整的版本信息。若文件無版本信息或版本信息異常，則可判斷為可疑文件。如何迅速查找這些可疑文件？%SystemRoot%\%SystemRoot%\System32\%SystemRoot%\System32\drivers\對于這些目錄下的文件，按照修改日期排序，檢查修改日期為最近一段時間的文件：可執(zhí)行文件.EXE，.COM，.SCR，.PIFDLL文件和OCX文件LOG文件——有一些病毒會將DLL文件偽裝成LOG后綴的文件，可以直接雙擊打開查看其內容是否為文本。若為亂碼，則可疑。,42,病毒文件被隱藏，如何查找？,工具->文件夾選項選擇“顯示所有文件”取消“隱藏受保護的系統文件”仍然無法顯示隱藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDENCheckedValue=2DefaultValue=2HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALLCheckedValue=1DefaultValue=2,43,檢查并修復host文件,修復被病毒修改的host文件一些病毒會修改系統的host文件，使用戶無法訪問某些網站，或在用戶訪問某些網站時，重定向到某些惡意站點。檢查文件：%SystemRoot%\System32\drivers\etc\host使用文本編輯工具打開該文件檢查。默認該文件包含一條host記錄127.0.0.1localhost若有其他可疑的host記錄，可以直接刪除多余的記錄,44,刪除所有臨時文件,病毒經常存在于臨時目錄中%SystemRoot%\TempC:\TempInternet臨時文件C:\DocumentsandSettings\\LocalSettings\Temp清空所有以上的目錄,45,常用病毒查殺工具一覽,2.8病毒防護常用工具,SIC，HijackThis系統診斷ProcessExplorer分析進程TCPView分析網絡連接Regmon,InstallRite監(jiān)視注冊表Filemon,InstallRite監(jiān)視文件系統IceSwordNtsdpskill,46,47,課程結束，謝謝大家！,,