5计算机恶意代码与防护高级教案.ppt

3. 蠕虫 蠕虫是一种独立的程序，它可以通过信息系统或计算机网络进行传播，从而造成恶意占用可用资源等损害。 蠕虫不修改文件，而是常驻内存并自我复制。它可以自动创建与它功能完全相同的副本，并在没人干涉的情况下自动运行。 蠕虫是通过系统存在的漏洞和设置的不安全性（例如共享设置）来进行入侵的。它自身的特征性可以使它以极快的速度传播。 “蠕虫”病毒的组成 一个主程序和另一个引导程序 主程序一旦在计算机中得到建立，就可以去收集与当前机器联网的其他机器的信息，它能通过读取公共配置文件并检测当前机器的联网状态信息，尝试利用系统的缺陷在远程机器上建立引导程序。就是这个一般被称作是引导程序或类似于“钓鱼”的小程序，把“蠕虫”病毒带入了它所感染的每一台机器中。 蠕虫病毒主要功能模块 寻找下一个要传染的计算机 在被感染的计算机上建立传输通道（传染途径） 计算机之间的蠕虫程序复制 搜集和建立被传染计算机上的信息 建立自身的多个副本。在同一台计算机上提高传输效率、判断避免重复传输 蠕虫的工作方式 蠕虫的工作方式一般是“扫描→攻击→复制” 传统病毒 蠕虫 存在形式 寄生 独立存在 复制机制 插入到宿主程序中 自身的拷贝 传染机制 宿主程序运行 系统存在漏洞 传染目标 针对本地文件 针对网络上的其他计算机 触发传染 计算机使用者 程序自身 影响重点 文件系统 网络性能、系统性能 防止措施 从宿主文件中清除 为系统打补丁 对抗主体 计算机使用者、反病毒厂商 系统提供商、网络管理人员 蠕虫病毒和传统病毒的比较 蠕虫病毒的表现及清除（实验三） 4. 特洛伊木马 特洛伊木马(Trojan)是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是一种基于远程控制的黑客工具，具备计算机病毒的特征，让攻击者获得远程访问和控制系统的权限，进而在用户计算机中破坏或删除文件、修改注册表、记录键盘，或窃取用户信息，可能造成用户系统被破坏，甚至瘫痪。 木马的结构 木马系统软件一般由客户端（木马配置程序、控制程序）和服务端（木马程序）组成。 攻击实现过程 配置服务端木马 木马伪装 信息反馈 传播木马 安装运行木马 信息反馈 收集一些服务端的软硬件信息（如当前计算机IP地址），并通过E-mail、QQ等方式告知控制端攻击者。 建立连接，实现远程控制 控制端、服务端都在线 控制端要与服务端建立连接必须知道服务端的木马端口和IP地址。获得服务端的IP地址主要有两种方法：端口扫描和信息反馈 在此基础上，控制端可以通过木马端口与服务端建立连接，从而监控中了木马的计算机。 木马的实现（实验四） 1、计算机病毒检测 通过一定的技术手段判定出病毒的技术称之为计算机病毒检测技术，计算机病毒检测技术可分为以下两种： 1）在特征分类的基础上建立的病毒检测技术 根据病毒程序中的关键字、特征程序段内容、病毒特征及感染方式、文件长度的变化等来检测病毒的存在； 三、反病毒技术 2）对文件或数据段的检验和进行检测 不针对具体病毒程序自身检验技术，即对某个文件或数据段进行检验和计算并保存其结果，以后定期或不定期地根据保存的结果对该文件或数据段进行检验，若出现差异，即表示该文件或数据段的完整性已遭到破坏，从而检测到病毒的存在 2、 检测病毒的基本方法 1）借助简单工具检测——指DEBUG等常规软件工具 Debug是一种调试工具，可以测试和调试可执行文件的程序。在Debug环境下，不但可以调试经汇编、连接后生成的可执行程序，也可以编写简单的程序。具有跟踪程序执行、观察中间运行结果、显示和修改寄存器或存储单元等多项功能。 2）借助专用工具检测 指专门的计算机病毒检测工具，如Norton等 一般来说，专用工具具备自动扫描磁盘的功能，可检测磁盘的染毒情况。 病毒检测工具只能识别已知计算机病毒，其发展总是滞后于计算机病毒的发展，从而对相当数量的未知计算机病毒无法识别。 3、反病毒技术 1）虚拟机技术 在杀毒技术中，有一种自始至终都在用的方法——特征值法。但是随着病毒技术的发展，加密技术渐渐成熟起来，很多病毒的特征不再那么容易提取了，因此出现了虚拟机杀毒技术。 所谓虚拟机技术，就是用软件先虚拟一套运行环境，让病毒先在该虚拟环境下运行，看看它的执行效果。由于加密的病毒在执行时最终还是要解密的，这样，在其解密之后我们可以通过特征值查毒法对其进行查杀。 虚拟机在反病毒软件中应用范围广，并成为目前反病毒软件的一个趋势。一个比较完整的虚拟机，不仅能够识别新的未知病毒，而且能够清除未知病毒。 目前虚拟机的处理对象主要是文件型病毒。对于引导型病毒、word／excel宏病毒、木马程序在理论上都是可以通过虚拟机来处理的，但目前的实现水平仍相距甚远。pc的计算能力有限，反病毒软件的制造成本