浅谈病毒入侵微机的途径与防治研究.docx
《浅谈病毒入侵微机的途径与防治研究.docx》由会员分享,可在线阅读,更多相关《浅谈病毒入侵微机的途径与防治研究.docx(15页珍藏版)》请在冰豆网上搜索。
浅谈病毒入侵微机的途径与防治研究
浅谈病毒入侵微机的途径与防治研究
摘要:
随着科技的进步计算机不断普及,其利用率越来越高,应用领域也越来越广。
不管是日常的工作中,还是学习生活都带来了巨大的改变。
但是计算机的产生也是一把双刃剑,在给人们带来方便的同时却也随着计算机加入网络系统而计算机安全受到了越来越多的威胁。
目前计算机系统漏洞不断被发现,病毒与黑客的技巧和破坏能力不断提高,处于网络中的计算机受到了越来越多的攻击。
阻塞甚至中断网络,破坏计算机系统或丢失个人重要信息等;这些威胁越来越给个人和企业都造成巨大的损失,而对于上述威胁,如何有效的动态保护计算机的应用,不被病毒等恶意信息攻击,早已引起了社会的极大关注。
为了加强目前计算机防护能力,我们需要深入研究病毒入侵计算机系统的路径,以及如何在这些路径上进行相应的防治手段的执行。
这种根据路径而进行的拦截式防治的思路,无疑是最适宜的计算机系统安全防范思路。
而这种思路的深入探讨对于保障计算机的运行可靠性和完整性有着极为重要的意义。
关键词:
计算机;病毒;防范措施;原理
OnthewaycomputervirusesandControl
Abstract:
Popularizesunceasinglyalongwiththetechnicalprogressivecomputer,itsusefactorisgettinghigherandhigher,theapplicationdomainisalsogettingmoreandmorebroad.Nomatterisinthedailywork,studiedthelifetobringthehugechange.Butcomputer'sproductionisalsoadouble-edgedsword,whilebringstheconveniencetothepeopleactuallyalsotojointhenetworksystemalongwiththecomputer,butthecomputersecurityarrivedatmoreandmorethreats.Atpresentthecomputersystemcrackwasdiscoveredunceasinglythatviralandhacker'sskillanddestructivecapabilityenhancedunceasingly,areinthenetworkthecomputertoarrivemoreandmoreattacks.Blockingeveninterruptsthenetwork,destroysthecomputersystemorlosesindividualimportantinformationandsoon;Thesethreatsgiveindividualmoreandmoreandtheenterprisecreatethemassiveloss,butregardingtheabovethreat,theeffectivedynamicprotectioncomputer'sapplication,bymaliciousinformationattacksandsoonvirus,alreadytohavebeencausedhowsociety'senormousattention.Inordertostrengthenthepresentcomputerprotectioncapability,weneedthedeepresearchvirusinvasioncomputersystem'sway,aswellashowtocarryonthecorrespondingpreventionmethodinthesewaystheexecution.Thiskindtheinterceptiontypepreventionmentalitywhichcarriesonaccordingtotheway,withoutdoubtisthecomputersystemsafeguardmentalitywhichissuitable.Butthiskindofmentality'sthoroughdiscussionregardingsafeguardscomputer'smovementreliabilityandtheintegrityhasthegreatimportancethesignificance
Keywords:
computer;viruses;precautions;principle
1计算机病毒概述......................................,.......4
1.1计算机病毒的基本介绍....................................4
1.1.1计算机病毒的产生....................................4
1.1.2计算机病毒的特征....................................4
1.1.3病毒的表现形式......................................5
1.2计算机病毒的分类........................................6
1.2.1文件传染源病毒......................................6
1.2.2引导扇区病毒........................................6
1.2.3主引导记录病毒......................................6
1.2.4复合型病毒..........................................6
1.2.5宏病毒..............................................7
1.3计算机病毒的攻击和防御..................................7
1.3.1常见的网络动态攻击..................................7
1.3.2常用的病毒攻击防御..................................9
2计算机病毒动态防御详细分析..................................10
2.1感染可执行文件的病毒....................................10
2.2后台进行控制的病毒......................................11
2.3蠕虫病毒................................................12
2.4脚本病毒................................................13
2.4.1基本介绍............................................13
2.4.2侵入的技术原理......................................13
3计算机病毒防范措施..........................................14
3.1个人防范措施............................................14
3.2即时通讯工具预防措施....................................15
3.3蠕虫类预防措施..........................................15
3.4网页挂马病毒的预防措施..................................16
3.5网上银行、在线交易的预防措施............................16
3.6利用U盘进行传播的病毒的预防措施........................17
4结束语......................................................18
5参考文献....................................................19
1计算机病毒概述
1.1计算机病毒的基本介绍
1.1.1计算机病毒的产生
计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。
电脑病毒的产生要经过这几个过程:
程序设计→传播→潜伏→触发→运行→实施攻击。
究其产生的原因不外乎以下几种:
病毒制造者对病毒程序的好奇与偏好。
也有的是为了满足自己的表现欲,故意编制出一些特殊的计算机程序,让别人的电脑出现一些动画,或播放声音,或提出问题让使用者回答。
而此种程序流传出去就演变成计算机病毒,此类病毒破坏性一般不大;
个别人的报复心理。
如台湾的学生陈盈豪,就是出于此种情况,他因为曾经购买的一些杀病毒软件的性能并不如厂家所说的那么强大,于是处于报复目的,自己编写了一个能避过当时的各种杀病毒软件并且破坏力极强的CIH病毒,曾一度使全球的电脑用户造成了巨大灾难和损失;
一些商业软件公司为了不让自己的软件被非法复制和使用,在软件上运用了加密和保护技术,并编写了一些特殊程序附在正版软件上,如遇到非法使用,则此类程序将自动激活并对盗用者的电脑系统进行干扰和破坏,这实际上也是一类新的病毒,如巴基斯坦病毒;
恶作剧的心理。
有些编程人员在无聊时处于游戏的心理编制了一些有一定破坏性小程序,并用此类程序相互制造恶作剧,于是形成了一类新的病毒,如最早的“磁芯大战”就是这样产生的;
用于研究或实验某种计算机产品而设计的“有专门用途的”程序,比如远程监控程序代码,就是由于某种原因失去控制而扩散出来,经过用心不良的人改编后会成为具有很大危害的木马病毒程序;
由于政治、经济和军事等特殊目的,一些组织或个人编制的一些病毒程序用于攻击敌方电脑,给敌方造成灾难或直接性的经济损失。
1.1.2计算机病毒的特征
非授权可执行性:
用户通常调用执行一个程序时,把系统控制交给这个程序,并分配给他相应系统资源,如内存,从而使之能够运行完成用户的需求。
因此程序执行的过程对用户是透明的。
而计算机病毒是非法程序,正常用户是不会明知是病毒程序,而故意调用执行。
但由于计算机病毒具有正常程序的一切特性:
可存储性、可执行性。
它隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序。
隐蔽性:
计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。
它通常粘附在正常程序之中或磁盘引导扇区中,或者磁盘上标为坏簇的扇区中,以及一些空闲概率较大的扇区中,这是它的非法可存储性。
病毒想方设法隐藏自身,就是为了防止用户察觉。
传染性:
传染性是计算机病毒最重要的特征,是判断一段程序代码是否为计算机病毒的依据。
病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,然后通过自我复制迅速传播。
由于目前计算机网络日益发达,计算机病毒可以在极短的时间内,通过像Internet这样的网络传遍世界。
潜伏性:
计算机病毒具有依附于其他媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。
依靠病毒的寄生能力,病毒传染合法的程序和系统后,不立即发作,而是悄悄隐藏起来,然后在用户不察觉的情况下进行传染。
这样,病毒的潜伏性越好,它在系统中存在的时间也就越长,病毒传染的范围也越广,其危害性也越大。
表现性或破坏性:
无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。
即使不直接产生破坏作用的病毒程序也要占用系统资源(如占用内存空间,占用磁盘存储空间以及系统运行时间等)。
而绝大多数病毒程序要显示一些文字或图像,影响系统的正常运行,还有一些病毒程序删除文件,加密磁盘中的数据,甚至摧毁整个系统和数据,使之无法恢复,造成无可挽回的损失。
因此,病毒程序的副作用轻者降低系统工作效率,重者导致系统崩溃、数据丢失。
病毒程序的表现性或破坏性体现了病毒设计者的真正意图。
可触发性:
计算机病毒一般都有一个或者几个触发条件。
满足其触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。
触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。
这个条件可以是敲入特定字符,使用特定文件,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等[1]。
1.1.3病毒的表现形式
根据计算机病毒感染和发作的阶段,可以将计算机病毒的表现现象分为三大类,即:
计算机病毒发作前、发作时和发作后的表现现象。
计算机病毒发作前的表现现象:
平时运行正常的计算机突然经常性无缘无故地死机;操作系统无法正常启动;运行速度明显变慢;以前能正常运行的软件经常发生内存不足的错误;打印和通讯发生异常;无意中要求对软盘进行写操作;以前能正常运行的应用程序经常发生死机或者非法错误;系统文件的时间、日期、大小发生变化;运行Word,打开Word文档后,该文件另存时只能以模板方式保存;磁盘空间迅速减少;网络驱动器卷或共享目录无法调用;基本内存发生变化;陌生人发来的电子函件。
计算机病毒发作时的表现现象:
提示一些不相干的话;无原无故发出一段的音乐;产生特定的图像;硬盘灯不断闪烁;进行游戏算法;Windows桌面图标发生变化;计算机无原无故突然死机或重启;自动发送电子函件;鼠标自己在动或动不了。
计算机病毒发作后的表现现象:
硬盘无法启动,数据丢失;系统文件丢失或被破坏;文件目录发生混乱;部分文档丢失或被破坏;部分文档自动加密码;修改Autoexec.bat文件,增加FormatC:
一项,导致计算机重新启动时格式化硬盘;使部分可软件升级主板的BIOS程序混乱,主板被破坏;网络瘫痪,无法提供正常的服务。
1.2计算机病毒的分类
1.2.1文件传染源病毒
文件传染源病毒感染程序文件。
这些病毒通常感染可执行代码,例如:
.com和.exe文件等。
当受感染的程序从软盘、U盘或硬盘上运行时,可以感染其他文件。
这些病中有许多是内存驻留型病毒。
内存受到感染之后,运行的任何未感染的可执行文件都会受到感染。
已知文件传染源病毒包括Jerusalem、Cascade等。
1.2.2引导扇区病毒
病毒通过复制代码引导区病毒感染计算机系统或者到软盘上引导扇区或硬盘上分区表。
在启动期间,病毒是加载到内存。
一旦在内存,病毒将感染由系统访问得任何非感染磁盘。
引导扇区病毒示例是Michelangelo和Stoned。
引导扇区病毒通过引导,或试图从感染了软盘引导,分布到计算机系统。
即使如果磁盘不包含需要,成功启动MS-DOC系统文件试图从感染磁盘启动将加载到内存病毒。
在内当作设备驱动程序病毒挂钩本身。
病毒移动中断12返回,允许本身在内存中保持即使热启动。
病毒将然后感染硬盘上首系统中。
1.2.3主引导记录病毒
主引导记录病毒是内存驻留型病毒,它感染磁盘的方式与引导扇区病毒相同。
两种病毒类型的区别在于病毒代码的位置。
主引导刻录感染源通常将主引导记录的合法副本保存在另一个位置,受到引导扇区病毒或主引导记录病毒感染的WindowsNT/2000/2003计算机将不能启动,这是由于WindowsNT/2000/2003操作系统访问其引导信息的方式与Windows9x不同。
主引导记录病毒主要有NYB、AntiExe和Unashamed等。
1.2.4复合型病毒
复合型病毒是指具有引导型病毒和文件型病毒寄生方式的计算机病毒。
这种病毒扩大了病毒程序的传染途径,它既感染磁盘的引导记录,又感染可执行文件。
当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活。
因此在检测、清除复合型病毒时,必须全面彻底地根治,如果只发现该病毒的一个特性,把它只当作引导型或文件型病毒进行清除。
虽然好像是清除了,但还留有隐患,这种经过消毒后的“洁净”系统更赋有攻击性。
这种病毒有Flip病毒、新世纪病毒、One-half病毒等。
1.2.5宏病毒
宏病毒是目前最常见的病毒类型,它主要感染数据文件。
随着MicrosoftOffice97中VisualBasic的出现。
编写的宏病毒不仅可以感染数据文件,还可以感染其他文件。
宏病毒可以感染MicrosoftOfficeWord、Excel、PowerPoint和Access文件。
这些病毒很容易创建,现在传播着的就的几千种,主要有的包括W97M.Melissa、Macro.Melissa、WM.NiceDay和W97M.Groov等[2]。
1.3计算机病毒的攻击和防御
1.3.1常见的网络动态攻击
死亡之ping(pingofdeath):
由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。
泪滴(teardrop):
泪滴攻击利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击。
IP分段含有指示该分段所包含的是原包的哪一段的信息,某些TCP/IP(包括servicepack4以前的NT)在收到含有重叠偏移的伪造分段时将崩溃。
UDP洪水(UDPflood):
各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。
通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。
SYN洪水(SYNflood):
一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。
在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。
Land攻击:
在Land攻击中,一个特别打造的SYN包,它的原地址和目标地址都被设置成某一个服务器地址,此举将导致接受服务器向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时掉,对Land攻击反应不同,许多UNIX实现将崩溃,NT变的极其缓慢(大约持续五分钟)。
Smurf攻击:
一个简单的smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包来淹没受害主机的方式进行,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞,比pingofdeath洪水的流量高出一或两个数量级。
更加复杂的Smurf将源地址改为第三方的受害者,最终导致第三方雪崩。
Fraggle攻击:
Fraggle攻击对Smurf攻击作了简单的修改,使用的是UDP应答消息而非ICMP
电子邮件炸弹:
电子邮件炸弹是最古老的匿名攻击之一,通过设置一台机器不断的大量的向同一地址发送电子邮件,攻击者能够耗尽接受者网络的带宽。
畸形消息攻击:
各类操作系统上的许多服务都存在此类问题,由于这些服务在处理信息之前没有进行适当正确的错误校验,在收到畸形的信息可能会崩溃。
特洛伊木马:
特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。
一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。
最有效的一种叫做后门程序,恶意程序包括:
NetBus、BackOrifice和BO2k,用于控制系统的良性程序如:
netcat、VNC、pcAnywhere。
理想的后门程序透明运行。
缓冲区溢出:
由于在很多的服务程序中大意的程序员使用像strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。
信息收集型攻击:
信息收集型攻击并不对目标本身造成危害,如名所示这类攻击被用来为进一步入侵提供有用的信息。
假消息攻击:
用于攻击目标配置不正确的消息,主要包括:
DNS高速缓存污染、伪造电子邮件。
DNS高速缓存污染:
由于DNS服务器与其他名称服务器交换信息的时候并不进行身份验证,这就使得黑客可以将不正确的信息掺进来并把用户引向黑客自己的主机。
伪造电子邮件:
由于SMTP并不对邮件的发送者的身份进行鉴定,因此黑客可以对你的内部客户伪造电子邮件,声称是来自某个客户认识并相信的人,并附带上可安装的特洛伊木马程序,或者是一个引向恶意网站的连接。
脚本攻击:
是一件艺术而不是漏洞!
首先我们先要知道什么是脚本,脚本就是运行在网页服务器上的文本程序,是利用这些文件的设置和编写时的错误或者疏忽不当,攻击者就可以利用这些来达到自己攻击目的脚本攻击就是针对这些数据库来配合脚本对一些变量的过滤不严的问题来达到得到用户密码等敏感信息,修改数据库等目的[3]。
1.3.2常用的病毒攻击防御
用户密码足够复杂,推荐8-16位数字+大小写字符+特殊符号;win2k/xp可考虑把administrator用户改名;
尽量使用网络共享,采用ftp等更安全的方式代替(默认共享目录,列举用户名,空密码漏洞是著名的容易被利用);如果必要情况下需要使用,请一定设置上8位以上的复杂密码,并制定文件目录的确实需要的最小权限(例如提供资料让人下载的,就只需要设置成只读权限就行了)
及时升级系统和工具补丁;(这点我在此文中一直在强调,但事实上是——不少用户宁可每天花10个小时的时间玩游戏,也不愿意花10分钟去访问一下windows的update站点,安装杀毒软件/防火墙是治标,打patch才是治本,随时打好patch是每日必修功课);
安装带有病毒即时监控/邮件监控的杀毒程序,并及时升级病毒库;(很多朋友强调自己用的是正版杀毒软件,但一直忽略了购买正版杀毒软件的最必要因素——获得良好的升级支持服务,不升级病毒库的杀毒软件是无法捕捉到新病毒的。
因此天缘个人建议每天2次升级最新病毒库是比较适合的,一次在早上开机时,一次在下午开机时);
使用更优秀的软件代替产品;(例如用myie2代替ie,用totalcommand代替资源浏览器。
不是说微软自身的产品
升级会员 