第29章 病毒和木马.pptVIP

第29章 病毒和木马 这一章讲述个人用户更为关心的两个安全问题：计算机病毒和木马程序（尽管人们常常把这两个概念混为一谈）。几乎每个计算机用户都有被病毒和木马侵袭的经历，看看安全厂商病毒库的更新速度就知道了。本章首先介绍病毒和木马的基础知识，随后向读者推荐一款Linux上的防病毒软件，最后以对安全问题的反思来结束本章，这也是对整个系统安全篇的总结。 29.1 随时面临的威胁 无论是系统管理员还是普通用户，每天都被形形色色的安全问题包围着。一些人为了显示自己的存在编写了计算机病毒，另一些则热衷于侵入别人的主机。一些最初用于科研目的的病毒和木马也有可能被人利用而让计算机用户蒙受损失。所谓知己知彼，在寻找合适的安全手段之前，首先来看一下简单的安全知识。 29.1.1 计算机病毒 科学普及到一定的程度，已经没有人会拿着酒精棉花去杀灭计算机病毒了。应该承认，这个比喻确实充满艺术性：一段程序指令，旨在破坏计算机的功能和数据，同时能够自我复制——计算机病毒和生物学上的病毒的确非常相似。 病毒总是想尽可能广泛地传播自己。10年前网络还不怎么发达的时候，病毒的传播总是备受限制，那时候的安全建议往往是：在不需要写入数据的软盘上开启写保护。然而随着互联网的普及，病毒的数量和破坏性也呈现了爆炸性的增长。通过网络从一台主机传播到另一台主机是非常容易的事情，恐慌一时的“冲击波病毒”在短短一周时间内就感染了世界上大部分WindowsXP系统。 29.1.2 特洛伊木马 又是一个比喻，这个比喻出自一个耳熟能详的历史故事。从广义角度理解，特洛伊木马是一种“欺骗”程序，它给自己披上合法的外衣，堂而皇之地进入用户的计算机，然后做一些并不被授权的事情。有些时候，特洛伊木马并不做什么“坏事”，它们只是有点烦人。但在更多的情况下，编写者会在其中植入恶意代码——就像藏在那座巨型木马里的希腊士兵——让攻击者得以自由出入受害者的系统。 对于某些企业和政府机关而言，特洛伊木马的害处比破坏性病毒更大。不怀好意的人可能会试图窃取其中的机密信息，然后高价转让或者为己所用。数据的意外删除可以通过备份有效防范，但被窃取的机密就像是泼出去的水：它永远都在外面了。 29.1.3 掩盖入侵痕迹：Rootkits rootkit是关于黑客入侵的。未经许可进入别人的系统难免留下痕迹，“高明”的黑客会试图掩盖这些，为下一次入侵做好准备。黑客们通常不希望自己辛苦得来的“战利品”是一次性的，他们需要能够重复利用这台系统——即便这台主机可能确实没有什么价值，但也许它会是攻击另一个系统的一个好的跳板。 rootkit是用来隐藏系统信息的恶意程序，入侵者利用它们来防止自己被受害者发现。rootkit可以非常简单——只是替换正常的应用程序——也可以很复杂。一些特洛伊木马将自己作为内核模块运行，这类内核级的木马编写得相当精致，几乎不可能被发现。 29.2 Linux下的防毒软件：ClamAV ClamAV是Linux上最流行的防病毒软件，包含完整的防病毒工具库，并且更新迅速。ClamAV由Tomasz Kojm开发，遵循GPL协议免费发放。本书列举的两个Linux发行版（Ubuntu和openSUSE）都在其安装源中包含了这款软件。如果读者使用的发行版本没有包含它，那么可以在下载到。 29.2.1 更新病毒库 对于防毒软件而言，保持更新病毒库和定期查毒几乎同等重要。ClamAV提供了自动更新功能，用户也可以使用命令行工具手动更新病毒库。如果需要通过代理服务器上网，那么可以打开更新程序的配置文件/etc/clamav/freshclam.conf，添加下面这几行： HTTPProxyServer 81 HTTPProxyPort 6666 29.2.2 基本命令和选项 ClamAV是一套基于命令行的反病毒工具。使用命令clamscan可以对当前目录进行扫描（不会深入到子目录中）： $ clamscan ##扫描当前目录 /home/lewis/ubuntu_3d: OK /home/lewis/nfs_compile: OK /home/lewis/.sudo_as_admin_successful: Empty file /home/lewis/.chromium: OK …… /home/lewis/.xscreensaver-getimage.cache: OK ----------- SCAN SUMMARY ----------- Known viruses: 527359 Engine version: 0.92.1 Scanned directories: 1 Scanned files: 69 Infected files: 0 Data scanned: 1