被恶意软件所利用的系统工具 恶意软件的分析与防范选修课报告.docVIP

被恶意软件所利用的系统工具 ——恶意软件的分析与防范选修课报告 洪佳敏 水利水电学院 2008301580009 关键词：U盘，autorun.inf，IE浏览器，Hosts文件，BHO 引言： 在信息技术高速发展的今天，无论是工作和娱乐都离不开计算机。计算机的工作状态很大程度上决定了我们的工作效率与情绪。在这个背景下，恶意软件也就牵动了我们每一个人的神经。没有什么能比有一台配置良好的电脑，却因为计算机病毒而运行缓慢，更令人不快的了。相信这是每个人都深有感触的。我曾经中过不少病毒，在经过了重装，还原等等琐碎的工作之后，有一个问题就开始困扰着我：“究竟是一段什么样的代码让编者如此热衷，却让大家如此头疼？”怀着这个问题，我选了这门课。这课程中，我了解了恶意软件的概念与基本原理，也见识了许多经典病毒的演示。至于这份报告，无奈专业知识有限，我就谈谈一些简单的恶意软件所利用的系统工具与解决方法。以下知识大多为相关杂志与网上介绍再加上自己电脑上的实践所得。 第一部分：U盘的威胁 U盘，全称“USB闪存盘”，英文名“USB flash disk”。… Autorun.inf——自动也烦恼 百科名片 autorun.inf是我们电脑使用中比较常见的文件之一 ，其作用是允许在双击磁盘时自动运行指定的某个文件。但是近几年出现了用autorun.inf文件传播木马或病毒，它通过使用者的误操作让目标程序执行，达到侵入电脑的目的，带来了很大的负面影响。 除了注册表和“启动”文件夹，Windows系统特有的一个“可移除媒体”的自动运行机制也给系统安全带来了不小的隐患，那就是众所周知的“Autorun.inf”文件。提到这个文件，许多人的第一反应就是“Autorun木马”，而实际上，它只是Windows中一个最简单的系统增强功能罢了，只不过，这个特性被黑客用到了编写病毒和木马上。 Autorun.inf文件的结构非常简单，它只是一个最普通不过的文本信息配置文件，它的格式可能如下： ———————————————— [autorun] Open=autorun.exe Icon=setup.exe,0 ———————————————— 将这个文件放在光盘的根目录中，它能让用户在放入光盘后将光盘图标变成其他指定的图标，同时自动运行光盘的某个程序或文件（如上面的例子中会运行autorun.exe文件），这本来是一个提升光盘易用性的功能，但是在黑客的手中它逐渐变味了。有人发现Autorun.inf不仅能用于给光盘点缀色彩，还能放在闪存盘的根目录甚至硬盘根目录中，以实现打开设备盘符时自动运行木马的功能。于是，名噪一时的“Autorun木马”开始大行其道。 其实，只要禁止自动运行特性即可防范这类木马，具体方法是选择“开始 | 运行”，输入“regedit”，回车后打开注册表编辑器，定位到以下分支： —————————————————————————————————— HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer —————————————————————————————————— 将“NoDriveTypeAutoRun”的数据改为十六进制的“ff”，然后重启系统即可。 或者在window7中，进入控制面板，自动播放项目，全部改为不执行操作就行了。 通过新建Autorun.inf文件，我让自己的U盘的盘符变成了大学英语光盘的样子，看来Autorun.inf本是一个不错的工具，只是落在恶意软件的编写者手里啊。 盗取U盘文件的小偷 传统意义上的U盘病毒并不是我们手中U盘的全部威胁，如果U盘中存有什么重要或隐私文件的话那就真得小心了。能想像吗？在你只是复制一个小文件到别人电脑的同时，整个U盘的所有文件可能都已经复制过去了，而感觉不出任何差异。 如果自动复制文件的软件拥有界面，并可以由用户自由设置，那么它就是一个提高我们工作效率的工具。但是借助相同技术原理，却不提供复制界面并在用户不知情的情况下在系统中运行，这个工具就会演变成一个黑客攻击工具。目前网络上已经有类似的攻击工具可以下载到，如“蝴蝶闪存盘小偷”、“闪存盘文件窃取者”等。那么自动复制是如何实现的呢？ 首先这些软件是自动识别U盘还是借助了Windows自身的功能，Windows至少提供了两种方法让程序能够识别移动存储设备。首先，由于系统和移动存储设备所使用的USB接口都支持即插即用技术，因此在用户插入U盘的时候，系统会识别设备类型并产生新盘符。在这个阶段里，Windows还会广播一个系统消息“WM_DEVICECHANGE”，只要文件复制程序预先设定了响应