恶意软件攻击防范与应指导手册.doc

恶意软件攻击防范与应急指导手册现如今，恶意软件已成为一个严重的网络问题。正所谓，哪里有网络，哪里就有恶意软件。恶意软件的出现像挥之不去的阴魂，严重阻碍了网络社会的的正常发展。但是，既然它出现了，我们就应该采取更加积极主动的态度去应对。所谓知己知彼，百战不殆。以下我们将详细介绍恶意软件的种类以及相关的防范技术。 　　一.什么是恶意软件 　　恶意软件是一种秘密植入用户系统借以盗取用户机密信息，破坏用户软件和操作系统或 是造成其它危害的一种网络程序。对于绝大多数系统来说，恶意软件已经成为了最大的外部威胁，给企业和个人都带来了巨大的损失。仅以恶意软件中的间谍软件为 例，间谍软件侵犯了用户的隐私，这已经成为企业用户关注的焦点。尽管间谍软件的出现已有时日，但是近几年使用间谍软件侵入系统监视用户行为变得更加猖獗。 企业还面临一些与恶意软件相关的非恶意软件威胁。其中司空见惯的就是网络钓鱼，就是使用基于计算机的欺骗方法套出用户的敏感信息。还有就是病毒欺骗，就是 对新的恶意软件威胁发出错误的警报。 　　二.恶意软件分类 　　一般认为，恶意软件包括病毒，蠕虫，木马，恶意的移动代码，以及这些的结合体，也叫做混合攻击。恶意软件还包括攻击者工具，譬如说，后门程序，rookits，键盘记录器，跟踪的cookie记录。本篇讨论的内容包括，恶意软件怎么样进入和感染系统及其传播;怎么样工作;针对的目标;怎么样影响系统。 　　2.1 病毒 　　病毒能够实现自我复制，并且感染其它文件，程序和计算机。每一种病毒都有感染机制;譬如，有的病毒可以直接插入主机或是数据文件。病毒的威力可 大可小，有些可能只是小恶作剧，还有可能是相当恶意的攻击。绝大多数的病毒都有诱发机制，也就是诱发其威力的原因，一般需要用户的互动方能实现。目前有两 种重要的病毒，一是可编译病毒(compiled virus)，主要通过操作系统实现;二是演绎性病毒(interpreted virus)，主要通过应用程序实现。 　　2.1.1 可编译病毒 　　可编译病毒的源代码可以经由编译器程序转换为操作系统可以直接运行的程序格式。可编译病毒包括以下三种： 　　■ 文件感染器(file infector) 这种病毒一般将其附加在可执行程序中，譬如word，电子表格和电脑游戏。一旦病毒感染程序，就直接影响系统中的其它程序，还有使用系统作为共享的感染程序。Jerusalem和Cascade就是两种最出名的文件感染病毒 　　■ 引导区(boot sector)引导区病毒一般感染硬盘驱动的MBR或是硬驱和移动媒介的引导区。引导区，顾名思义就是存储信息的硬盘或是磁盘的开始部分。MBR是磁盘上比较独特的区域，因为电脑的基本输出/输入系统(BIOS)可以加载启动程序的地方就在此。一旦电脑启动的时候，如果硬驱中有感染的磁盘，病毒就自动执行。引导区病毒隐藏性很强，成功率高，破坏性强。其表现就是启动的时候出现错误信息或是启动不稳定。Form，，Michelangelo和Stoned是很典型的引导区病毒。 　　■ 混合体(Multipartite)混合体病毒使用多种感染方式，典型的是感染文件和引导区。相应地，混合体病毒有上述两种病毒的特征。典型例子：Flip和Invader 　　除了感染文件之外，可编译病毒还可以躲藏在感染系统的内存中，这样每次执行新的程序的时候就可以感染新的程序。在上述三种病毒中，启动区域病毒最有可能存在于内存中。相比那些非存在于内存中的病毒而言，这种病毒危害性更大，更加频繁。 　　2.1.2 演绎性病毒 　　与可编译病毒有操作系统执行不同的是，这种病毒的源代码只能由特定程序来实现。这种病毒以其简单易操作深受欢迎。即使一个不是太熟练的黑客也可以借此编写和修正代码，感染计算机。这种病毒的变体很多，最主要的两种是宏病毒(macro virus)和脚本病毒(scripting virus) 　　宏病毒是这种病毒中最流行最成功的。病毒一般附加到word，电子表格等，并且使用这些程序的宏编译语言来执行病毒。它们利用的正是很多流行软 件的宏编译语言功能，譬如说，微软的办公软件。由于人们共享具有宏功能文档的增多，这种病毒也越来越流行。一旦宏病毒感染发生，就会感染程序的建立和打开 文件夹模板程序。一旦模板被感染，所有藉由此模板建立和打开的文件都会被感染。Concept, Marker, 和Melissa 就是很出名的宏病毒。 　　脚本病毒与宏病毒类似。最大区别在于，宏病毒是以特定软件程序语言为基础，而而脚本病毒是以操作系统理解的语言编程，譬如说Windows脚本主机功能就可以执行VB脚本语言。典型的脚本病毒有First 和 Love Stages病毒。 　　2.1.3 病毒模糊技术 　　现在的病毒变得越来越复杂，一般使用多种障眼法达