郑州市网络安全员培训考试资料技术第四章.docx

1、郑州市网络安全员培训考试资料技术第四章第四章 计算机恶意代码防治 恶意是一种程序，它通过把代码在不被察觉的代码情况下镶嵌到另一段程序中，从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。恶意代码按传播方式，可以分成以下几类： 1. 计算机病毒：一组能够进行自我传播、需要用户干预来触发执行的破坏性程序或代码。如CIH、爱虫、新欢乐时光、求职信、恶鹰、rose 2. 蠕虫: 一种可以自我复制的完全独立的程序，它的传播不需要借助被感染主机中的其他程序。蠕虫的自我复制不像其他的病毒，它可以自动创建与它的功能完全相同的副本，并在没人干涉的情况下自动运行。

2、蠕虫是通过系统存在的漏洞和设置的不安全性来进行入侵的，它的自身特性可以使它以及快的速度传输。如红色代码、SQL蠕虫王、冲击波、震荡波、熊猫烧香。3. 特洛伊木马：是指一类看起来具有正常功能，但实际上隐藏着很多用户不希望功能的程序，通常由控制端和被控制端两端组成。一些木马程序会通过覆盖系统中已经存在的文件的方式存在于系统之中，同时它可以携带恶意代码，还有一些木马会以一个软件的身份出现，但它实际上是一个窃取密码的工具。这种病毒通常不容易被发现。如冰河、网络神偷、灰鸽子4. 后门：使得攻击者可以对系统进行非授权访问的一类程序。 5. 恶意软件：是指在未明确提示用户或未经用户许可的情况下，在用户计算机

3、或其他终端上安装运行，侵犯用户合法权益的软件。6. 移动代码：是指能够从主机传输到客户端计算机上并执行的代码，它通常是作为病毒，蠕虫，或是特洛伊木马的一部分被传送到客户计算机上的。另外，移动代码可以利用系统的漏洞进行入侵，例如非法的数据访问和盗取root帐号。通常用于编写移动代码的工具包括Java applets，ActiveX，JavaScript，和VBScript。二、计算机病毒 1. 计算机病毒概述 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 2. 病毒的分类 按破坏性分 良性病毒 恶性病毒 极恶性

4、病毒 灾难性病毒 按传染方式分 引导区病毒：主要通过软盘在操作系统中传播，感染引导区，蔓延到硬盘，并能感染到硬盘中的“主引导记录”。 文件病毒：文件型病毒是文件感染者，也称为寄生病毒。它运行在计算机存储器中，通常感染扩展名为COM、EXE、SYS等类型的文件。 混合型病毒：具有引导区病毒和文件病毒两者的特点。 宏病毒：是指用BASIC语言编写的病毒程序寄存在Office文档上的宏代码。宏病毒影响对文档的各种操作。3. 计算机病毒的组成结构 计算机病毒的种类很多，但通过分析现有的计算机病毒，发现几乎所有的计算机病毒都是由三个部分组成即:引导模块、传播模块、表现模块。4. 病毒的网络传播途径 （1

5、）感染本地文件、局域网共享目录中的文件或者复制副本到对方目录。 （2）寻找Email地址，大量发送垃圾邮件（附件携带病毒体）。 （3）通过网络共享软件进行传播。 （4）建立后门程序，通过后门进行传播。 （5）通过IRC进行传播，通过QQ、MSN等即时软件进行传播。 （6）通过U盘、磁盘、光盘等其他磁介质进行传播。 （7）利用系统软件的漏洞进行传播。 5. 计算机病毒特征 (1)传染性：是指计算机病毒的再生机制，即病毒具有自己复制到其他程序中的特性。带有病毒的程序或存储介质，锁定目标或将自身代码插入其中，与系统中的程序连接在一起，达到自我繁殖的目的。感染的程序有可能被运行，再次感染其他程序。感染

6、的磁盘、移动硬盘等存储介质被移到其他计算机中，或者通过网络，只要有一台计算机感染，若不及时处理，病毒就会迅速扩散。(2)潜伏性：计算机的潜伏性是指计算机感染病毒后并非是马上发作，而是要潜伏一段时间。从病毒感染某个计算机到该病毒发作为止的这段时期，称为病毒的潜伏期。病毒之间潜伏性的差异很大。有的病毒非常外露，每次病毒程序运行的时候都企图进行感染，但这种病毒编制技巧比较简单，很容易被人发现，因此往往以高效率的感染率来换取较短的生命周期；有的病毒却不容易被发现，它通过降低感染发作的频率来隐蔽自己，该病毒侵入系统后不动声色，看上去近似偶然的机会进行感染，来获得较大的感染范围，与外属性病毒相比，这些隐蔽

7、性的病毒更可怕。著名的“黑色星期五”病毒是每逢13日是星期五时发作CIH是每月26日发作。这些病毒在平时隐蔽的很好，只有发作日才会露出本来面目。(3)破坏性：破坏是计算机病毒最终的表现，只要病毒入侵计算机系统，就会对系统及应用程序产生不同程度的影响。可能修改系统配置信息、删除数据、破坏硬盘分区表、引导记录等，甚至格式化磁盘、导致系统崩溃，对数据造成不可挽回的破坏。(4)隐蔽性：病毒为了隐藏，病毒代码设计的非常短小精悍，一般只有几百个字节或lKB大小，病毒瞬间就可以将短短的代码附加到正常的程序中或磁盘较隐蔽的地方，使入侵不易察觉。其设计微小的目的也是尽量使病毒代码与受传染的文件或程序融合在一起，

8、具有正常程序的一些特性，隐藏在正常程序中，在不经过特殊代码分析的情况下，病毒程序与正常程序是不容易区别开来的。(5)触发性：计算机病毒因某个事件的出现，诱发病毒进行感染或进行破坏，称为病毒的触发。每个病毒都有自己的触发条件，这些条件可能是时间、日期、文件类型或某些特定的数据。如果满足了这些条件，病毒就进行感染和破坏，如果没有满足条件，则继续潜伏。(6)衍生性：衍生性表现在两个方面，有些计算机病毒本身在传染过程中会通过一套变换机制，产生出许多与源代码不同的病毒；另一方面，有些攻击者人为地修改病毒源代码，这两种方式都有可能产生不同于原病毒代码的病毒变种病毒，使人们防不胜防。(7)寄生性：寄生性是指

9、病毒对其他文件或系统进行一系列的非法操作，使其带有这种病毒，并成为该病毒的一个新传染源。 (8)不可预见性：病毒相对于防毒软件永远是超前的，理论上讲，没有任何杀毒软件能将所有的病毒清除。6. 引导区病毒 引导型病毒是一种在ROM BIOS之后，系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权其转交方式是以物理位置为依据，而不是以操作系统引导区的内容为依据，因而病毒占据该物理位置即可获得控制权，而将真正的引导区内容搬家转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转

10、，而病毒已隐藏在系统中并伺机传染、发作。7.文件病毒 文件型病毒通常感染带有.com、.exe、 .drv、.ovl、.sys等扩展名的可执行文件。它们在每次激活时，感染文件把自身复制到其他可执行的文件中，并能在内存中保存很长时间，直至病毒被激活。当用户调用感染了病毒的可执行文件时，病毒首先会运行，然后病毒驻留在内存中感染其他文件。这种病毒的特点是依附于正常文件，成为程序文件的一个外壳。8.复合型病毒 这类病毒既感染文件、又感染磁盘引导区与主引导区。能破坏计算机主板芯片的CIH毁灭者病毒属于该类病毒。CIH是一个台湾大学生编写的一个病毒，当时把它放置在大学的BBS站上，1998年传入大陆，发作

11、日期是每个月的26日该病毒是第一个直接攻击计算机硬件的病毒，破坏性极强，发作时破坏计算机Flash BIOS芯片中的系统程序，导致主板与硬盘数据的损坏。1999年4月26日，CIH病毒在中国、俄罗斯、韩国等地大规模发作，仅大陆就造成数十万计算机瘫痪，大量硬盘数据被破坏。9.宏病毒 宏译自英文单词Macro宏是微软公司为其office软件包设计的一个特殊功能，软件设计者为了让人们在使用软件进行工作时，避免一再地重复相同的动作而设计出来的一种工具它利用简单的语法，把常用的动作写成宏，当工作时，就可以直接利用事先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档中的一些

12、任务自动化。 office中的word和Excel都有宏。word便为大众事先定义一个共用的通用模板(Normaldot)，里面包含了基本的宏。只要启动Word，就会自动运行Normaldot文件。如果在word中重复进行某项工作，可用宏使其自动执行。word提供了两种创建宏的方法：宏录制器和Visual Basic编织器。宏将一系列的word命令和指令组合在一起，形成一个命令，以实现任务执行的自动化。在默认情况下，word特定存贮在Normal模板中，以便所有的word文档均能使用，这一特点几乎为所有的宏病毒所利用。如果撰写了有问题的宏，感染了通用模板(Normaldot)，那么只要执行wo

13、rd，这个受感染的通用模板便会传播到之后所编织的文档中去，如果其他用户打开了感染病毒的文档，宏病毒又会转移到其他的计算机上。 目前，人们所说的宏病毒主要指word和Excel宏病毒。10.脚本病毒 脚本是指从一个数据文档中进行一个任务的一组指令，这一点与宏相似。与宏相同脚本也是嵌入到一个静态文件中，它们的指令是由一个应用程序而不是计算机处理运行，目前大多数是使用web浏览器，如Netscape和IE都具有脚本功能，能够运行嵌入在网页中的脚本。脚本病毒是使用应用程序和操作系统中的自动脚本功能复制和传播的，例如，当在一个具有脚本功能的浏览器中打开一个HTML文件时，一个嵌入在HTMI、文件中的脚本

14、病毒就会自动执行。脚本病毒主要通过电子邮件和网页传播。三、网络蠕虫 1. 网络蠕虫概述 网络蠕虫是一种智能化、自动化并综合网络攻击、密码学和计算机病毒技术，不要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过网络从一个节点传播到另外一个节点。网络蠕虫具有以下特征: （1）主动攻击：从搜索漏洞，到利用搜索结果攻击系统，到攻击成功后复制副本，整个流程全由蠕虫自身主动完成。 （2）利用软件漏洞：蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。（3）造成网络拥塞：在传播的过程中，蠕虫需要判断其它计算机是否存活；判断特定应用服

15、务是否存在；判断漏洞是否存在等等，这将产生大量的网络数据流量。同时出于攻击网络的需要，蠕虫也可以产生大量恶意流量，当大量的机器感染蠕虫时，就会产生巨大的网络流量，导致整个网络瘫痪。（4）留下安全隐患：大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。 （5）行踪隐蔽：蠕虫的传播过程中，不需要用户的辅助工作，其传播的过程中用户基本上不可察觉。（6）反复性：即使清除了蠕虫留下的任何痕迹，如果没有修补计算机系统漏洞，网络中的计算机还是会被重新感染。 （7）破坏性：越来越多的蠕虫开始包含恶意代码，破坏被攻击的计算机系统，而且造成的经济损失数目越来越大。2. 网络蠕虫工作机制

16、 网络蠕虫的工作机制分为三个阶段：信息收集、攻击渗透、现场处理 （1）信息收集：按照一定的策略搜索网络中存活的主机，收集目标主机的信息，并远程进行漏洞的分析。如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机，否则放弃攻击。（2）攻击渗透：通过收集的漏洞信息尝试攻击，一旦攻击成功，则获得控制该主机的权限，将蠕虫代码渗透到被攻击主机。（3）现场处理：当攻击成功后，开始对被攻击的主机进行一些处理工作，将攻击代码隐藏，为了能使被攻击主机运行蠕虫代码，还要通过注册表将蠕虫程序设为自启动状态；可以完成它想完成的任何动作，如恶意占用CPU资源；收集被攻击主机的敏感信息，可以危害被感染的主机，删除关键

17、文件。3. 网络蠕虫扫描策略 网络蠕虫扫描越是能够尽快地发现被感染主机，那么网络蠕虫的传播速度就越快。 （1）随机扫描：随机选取某一段IP地址，然后对这一地址段上的主机扫描。由于不知道哪些主机已经感染蠕虫，很多扫描是无用的。这一方法的蠕虫传播速度较慢。但是随着蠕虫的扩散，网络上存在大量的蠕虫时，蠕虫造成的网络流量就变得非常巨大。（2）选择扫描：选择性随机扫描将最有可能存在漏洞主机的地址集作为扫描的地址空间。所选的目标地址按照一定的算法随机生成。选择性随机扫描算法简单，容易实现，若与本地优先原则结合则能达到更好的传播效果。红色代码和“Slammer”的传播采用了选择性随机扫描策略。（3）顺序扫描

18、：顺序扫描是被感染主机上蠕虫会随机选择一个C类网络地址进行传播，根据本地优先原则，网络地址段顺序递增。 （4）基于目标列表的扫描：基于目标列表扫描是指网络蠕虫根据预先生成易感染的目标列表，搜寻感染目标。（5）基于DNS扫描：从DNS服务器获取IP地址来建立目标地址库，优点在于获得的IP地址块针对性强和可用性高。关键问题是如何从DNS服务器得到网络主机地址，以及DNS服务器是否存在足够的网络主机地址。4. 扫描策略设计的原则 （1）尽量减少重复的扫描，使扫描发送的数据包尽量是没有被感染蠕虫的机器； （2）保证扫描覆盖到尽量大的可用地址段，包括尽量大的范围，扫描的地址段为互联网上的有效地址段； （

19、3）处理好扫描的时间分布，使得扫描不要集中在某一时间内发生。5. 网络蠕虫防御和清除 （1）给系统漏洞打补丁：蠕虫病毒大多数都是利用系统漏洞进行传播的，因此在清除蠕虫病毒之前必须将蠕虫病毒利用的相关漏洞进行修补。 （2）清除正在运行的蠕虫进程：每个进入内存的蠕虫一般会以进程的形式存在，只要清除了该进程，就可以使蠕虫失效。 （3）删除蠕虫病毒的自启动项：感染蠕虫主机用户一般不可能启动蠕虫病毒，蠕虫病毒需要就自己启动。需要在这些自启动项中清除蠕虫病毒的设置。（4）删除蠕虫文件：可以通过蠕虫在注册表的键值可以知道病毒的躲藏位置，对于那些正在运行或被调用的文件无法直接删除，可以借助于相关工具删除。 （

20、5）利用自动防护工具，如个人防火墙软件：通过个人防火墙软件可以设置禁止不必要的服务。另外也可以设置监控自己主机有哪些恶意的流量。四、木马与后门 1.木马的概念 木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和DOS攻击等特殊功能的后门程序。它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，最大的特征在于隐秘性。2.木马特征 （1）隐蔽性：隐蔽性是木马的首要特征。木马类软件的SERVER端程序在被控主机系统上运行时，会使用各种方法来隐藏自己。 （2）自动运行性：木马程序通过修改系统配置文件，在目标主机系统启动时自动运行或加载。（3）欺

21、骗性：木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防用户发现。 （4）自动恢复性：很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。系统一旦被植入木马，只删除某一个木马文件来进行清除是无法清除干净的。（5）破坏或信息收集：木马通常具有搜索Cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。3. 木马的伪装方式 鉴于木马的危害性，很多人对木马知识还是有一定了解的，这对木马的传播起了一定的抑制作用，这是木马设计者所不愿见到的，因此他们开发了多种功能来伪装木马，以达到降低用户警觉，欺骗用户的目的

22、。1）修改图标 当你在E-MAIL的附件中看到这个图标时，是否会认为这是个文本文件呢?但是我不得不告 诉你，这也有可能是个木马程序，现在 已经有木马可以将木马服务端程序的图标改成HTML,TXT,ZIP等各种文件的图标，这有相当大的迷惑性，但是目前提供这种功能的木马还不多见，并且这种伪装也不是无懈可击的，所以不必整天提心吊胆，疑神疑鬼的。（2）捆绑文件 这种伪黑客利用木马病毒盗取网银用户，安装手段是将木马捆绑到一个安装程序上，当安装程序运行时，木马在用户毫无察觉的情况下，偷偷的进入了系统。至于被捆绑的文件一般是可执行文件（即EXE,COM一类的文件）。（3）出错显示 有一定木马知识的人都知道，

23、如果打开一个文件，没有任何反应，这很可能就是个木马程序，木马的设计者会提供一个叫做出错显示的功能。当服务端用户打开木马程序时，会弹出一个错误提示框，错误内容可自由定义，大多会定制成 一些诸如“文件已破坏，无法打开的！”之类的信息，当服务端用户信以为真时，木马却悄悄侵入了系统。（4）定制端口 很多老式的木马端口都是固定的，这给判断是否感染了木马带来了方便，只要查一下特定的端口就知道感染了什么木马，所以现在很多新式的木马都加入了定制端口的功能，控制端用户可以在1024-65535之间任选一个端口作为木马端口（一般不选1024以下的端口），这样就给判断所感染木马类型带来了麻烦。5）自我销毁 我们知道

24、当服务端用户打开含有木马的文件后，木马会将自己拷贝到WINDOWS的系统文件夹中，一般来说，原木马文件和系统文件夹中的木马文件的大小是一样的，那么中了木马的用户只要在近来收到的信件和下载的软件中找到原木马文件，然后根据原木马的大小去系统文件夹找相同大小的文件，判断一下哪个是木马就行了。而木马的自我销毁功能是指安装完木马后，原木马文件将自动销毁，这样服务端用户就很难找到木马的来源，在没有查杀木马的工具的帮助下，就很难删除木马了。（6）木马更名 安装到系统文件夹中的木马的文件名一般是固定的，那么只要根据一些查杀木马的文章，在系统文件夹查找特定的文件，就可以断定中了什么木马。所以现在有很多木马都允许

25、控制端用户自由定制安装后的木马文件名，这样很难判断所感染的木马类型了。4. 木马的运行方式 服务端用户运行木马或捆绑木马的程序后，木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中（C:WINDOWS或C:WINDOWSSYSTEM目录下），然后在注册表，启动组，非启动组中设置好木马 的触发条件，这样木马的安装就完成了。安装后就可以启动木马了，具体过程如下：（1）自启动激活木马 自启动木马的条件，大致出现在下面6个地方： 注册表：打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下的五个以Run 和RunSer

26、vices主键，在其中寻找可能是启动木马的键值。 WIN.INI:C:WINDOWS目录下有一个配置文件win.ini，用文本方式打开，在windows字段中有启动 命令 load=和run=，在一般情况下是空白的，如果有启动程序，可能是木马。 SYSTEM.INI:C:WINDOWS目录下有个配置文件system.ini，用文本方式打开，在386Enh,mci， drivers32中有命令行，在其中寻找木马的启动命令。 Autoexec.bat和Config.sys：在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件

27、上传到服务端覆盖这两个文件才行。 *.INI: 即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件，这样就可以达到启动木马的目的了。 启动菜单：在“开始-程序-启动”选项下也可能有木马的触发条件。（2）触发式激活木马 注册表：打开HKEY_CLASSES_ROOT文件类型shellopencommand主键，查看其键值。例如，国产木马“冰河”就是修改HKEY_CLASSES_ROOTtxtfileshellopencommand下的键值，将“C:WINDOWSNOTEPAD.EXE %1”改为“C:WINDOWSSYST

28、EMSYXXXPLR.EXE %1”当用户双击一个TXT文件后，原本应用文本程序打开文件的，现在却变成启动木马程序了。还要说明的是不光TXT文件 ，通过修改HTML，EXE，ZIP等文件的启动命令的键值都可以启动木马，不同之处只在于“文件类型”这个主键的差别，TXT是txtfile,ZIP是WINZIP。 捆绑文件：实现这种触发条件首先要控制端和服务端已通过木马建立连接，然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样即使 木马被删 除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。 自动播放式：自动播放本是用于光盘的，当插入一个电影光盘到光

29、驱时，系统会自动播放里面的内容，这就是自动播放的本意，播放什么是由光盘中的AutoRun.inf文件指定的，修改AutoRun.inf中的open一行可以指定在自动播放过程中运行的程序。后来有人用于了硬盘与U盘，在U盘或硬盘的分区，创建Autorun.inf文件，并在Open中指定木马程序，这样，当你打开硬盘分区或U盘时，就会触发木马程序的运行。木马被激活后，进入内存，并开启事先定义的木马端口，准备与控制端建立连接。这时服务端用户可以在MS-DOS方式下，键入NETSTAT -AN查看端口状态，一般个人电脑在脱机状态下是不会有端口开放的，如果有端口开放，你就要注意是否感染木马了。 在上网过程中

30、要下载软件，发送信件，网上聊天等必然打开一些端口，下面是一些常用的端口：(1)1-1024之间的端口：这些端口叫保留端口，是专给一些对外通讯的程序用的，如FTP使用21，SMTP使用25，POP3使用110等。只有很少木马会用保留端口作为木马端口的。 (2)1025以上的连续端口：在上网浏览网站时，浏览器会打开多个连续的端口下载文字，图片到本地硬盘上，这些端口都是1025以上的连续端口。 (3)4000端口：这是OICQ的通讯端口。 (4)6667端口：这是IRC的通讯端口。除上述的端口基本可以排除在外，如发现还有其它端口打开，尤其是数值比较大的端口，那就要怀疑 是否感染了木马，当然如果木马有

31、定制端口的功能，那任何端口都有可能是木马端口。5. 木马的防御 根据木马工作原理，木马检测一般有以下一些方法 ： （1）扫描端口：大部分的木马服务器端会在系统中监听某个端口，因此，通过查看系统上开启了那些端口能有效地发现远程控制木马的踪迹。 （2）检查系统进程：很多木马在运行期间都会在系统中生成进程。因此，检查进程是一种非常有效的发现木马踪迹方法。 （3）检查ini文件、注册表和服务等自启动项。 （4）监视网络通讯，木马的通信监控可以通过防火墙来监控。6. 后门的概念 后门是一个允许攻击者绕过系统中常规安全控制机制的程序，他按照攻击者自己的意图提供通道。后门的重点在于为攻击者提供进入目标计算机的通道。后门包括从简单到复杂，有很多类型。简单的后门可能只是建立一个新的账号，或者接管一个很少使用的账号;复杂的后门(包括木马)可能会绕过系统的安全认证而对系统有安全存取权。例如一个login程序，当你输入特定的密码时，你就能以管理员的权限来存取系统。后门能相互关联，而且这个技术被许多黑客所使用。例如，黑客可能使用密码破解一个或多个账号密码，黑客可能会建立一个或多个账号。一个黑客可以存取这个系统，黑客可能使用一些 技术或利用系统的某个漏洞来提升权限。黑客可能会对系统的配置文件进行小部分的修改，以降低系统的