病毒防范与入侵检测技术精要.ppt

病毒防范与入侵检测技术 刘春林 病毒涉及的内容 病毒概述 病毒分类 病毒主流技术和原理 病毒的潜伏机制 反病毒软件 手工反病毒 蜜罐技术 病毒的描述 计算机病毒是一种特殊的程序，它能够对自身进行复制和传播，而且往往是在用户不知情的情况下进行。病毒可以通过电子邮件发送附件，通过磁盘传递程序，或者将文件复制到文件服务器中。当下一位用户收到已被病毒感染的文件或磁盘时，同时也就将病毒传播到自己的计算机中。而当用户运行感染病毒的软件时，或者从感染病毒的磁盘启动计算机时，病毒程序也就同时被运行了 病毒分类 程序型病毒：文件型病毒主要以感染文件扩展名为.COM、.EXE和，.OVL等可执行程序为主。它的安装必须借助于病毒的载体程序，即要运行病毒的载体程序，方能把文件型病毒引人内存。已感染病毒的文件执行速度会减缓，甚至完全无法执行。有些文件遭感染后，一执行就会遭到删除。 引导型病毒：以硬盘和软盘的非文件区域（系统区域）为感染对象。引导型病毒会去改写磁盘上的引导扇区（BOOT SECTOR）的内容，软盘或硬盘都有可能感染病毒。再不然就是改写硬盘上的分区表（FAT）。如果用已感染病毒的软盘来启动的话，则会感染硬盘。 病毒分类 脚本病毒：基于ASP等技术的浏览Internet网页动态下载的程序代码，也称为“脚本”。此类正常代码不归类为病毒，但恶意代码一样会对数据和系统造成危害，因此也广义归类为病毒。通常以VB或Java结合HTML语言形成。 网络蠕虫病毒：蠕虫是一种通过网络传播的病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，对网络造成拒绝服务，以及和黑客技术相结合等等。在产生的破坏性上，网络的发展使得蠕虫可以在短短的时间内蔓延世界，造成网络瘫痪。 事实上，随着病毒的不断发展，综合型的病毒已比较常见，已不易明确分类。 特洛伊木马型程序：木马不是真正的病毒，本身并不会自我复制，被广义归类成病毒。木马病毒是指在用户的机器里运行服务端程序，一旦发作，就可设置后门，定时地发送该用户的隐私到木马程序的控制端，并可任意控制此计算机，进行文件删除、拷贝、改密码等非法操作。 病毒的主流技术及原理 直接发送传播 利用社会工程学，最典型的莫过于在QQ 上对网友说：“这是我照片”或“美女图片”，然后发送带有病毒的图象文件……虽然原始，但还是有很多人中招……成功率很难说…… 利用电子邮件 A 利用附件进行传播 著名的“爱虫”，由于邮件的主题是具有诱惑性的“I LOVE YOU”，附件为LOVE-LETTER-FOR-YOU.TXT.VBS，一旦用户打开附件，病毒便进行感染：搜索outlook地址簿、IRC连接、发送带有病毒的邮件、通过IRC感染其它用户……。 通过HTML嵌入技术实现 B 邮件网页木马 只要接受者点击了邮件主题看了信件，而不用打开附件，就会中招。而攻击者只需利用社会工程学及心理学等基本技巧，让邮件看起来不是明显的垃圾邮件或广告，接受者会认为反正不打开附件就没事于是打开邮件。 病毒的主流技术及原理 利用网页启动 A Java Active X B Jpg网页木马传播 打开http://xxx.xxx.xxx.xxx/001.jpg C 域名欺骗 D 电子书(CHM)木马 利用系统漏洞 Worm.Blaster）就是利用的是系统的RPC DCOM漏洞 2005年的狙击波(Worm.Zotob/Worm.Mytob)，利用MS05-051漏洞 病毒的潜伏机制 病毒入侵后，面对的将是敏锐的管理员和防火墙杀毒软件入侵检测系统诸如此类的东西，一个小小的闪失都有可能造成被查杀的命运。 端口隐藏 ??潜伏 ??使用IP协议族中的其它协议而非TCP/UDP来进行通讯，从而瞒过Netstat和端口扫描软件。一种比较常见的潜伏手段是使用ICMP协议。 ??寄生 ??找一个已经打开的端口，寄生其上，平时只是监听，遇到特殊的指令就进行解释执行，如指令是不可辨认的，则交给系统正常处理，如符合特征，则木马激活运行，执行完毕后再度隐藏。因为木马实际上是寄生在已有的系统服务之上的，因此，在扫描或查看系统端口的时候是没有任何异常的。 病毒的潜伏机制 当然，仅仅隐藏端口是不够的，想要不被发觉，关键还需要隐藏进程。 进程欺骗??PSAPI（Process Status API），PDH（Performance Data Status API），PDH（Performance Data Helper），ToolHelpAPIta Helper），ToolHelpAPI 骗用户或入侵检测软件用来查看进程的函数（例如截获相应的API调用，替换返回的数们就完全能实现进程隐藏侵检测软件用来查看进程的函数（例如截获相应的API调用，并且通过