浅谈计算机病毒及攻防策略.doc

1、浅谈计算机病毒及攻防策略摘 要:计算机网络安全一直是计算机良性发展的关键。非法截取军事机密、商业秘密、个人隐私；冒名顶替、未授权访问网络；黑客入侵、病毒肆虐、黄毒泛滥都是我们要解决的问题，这其中尤其以计算机病毒的危害最大，本文从计算机病毒的基本概念入手，使大家对其有充分的认识，达到防范于未然的目的。并通过对木马病毒的技术跟踪来实现保护自己的目的。关键词：安全；病毒；入侵；攻击；防御目录（一） 计算机病毒的相关知识11.计算机病毒的概念及特征12.计算机发病的征兆23.计算机病毒的触发24.计算机病毒的种类24.1 开机感染型24.2 文档感染型24.3 复合型病毒: Natas, MacGyv

2、er24.4 隐秘型病毒25.计算机病毒的新特点36.当前病毒发展趋势37.计算机病毒的传播途径38.计算机病毒的防御38.1 用计算机常识进行判断38.2 安装防病毒产品并保证更新最新的病毒定义码38.3 首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描48.4 插入软盘、光盘和其他可插拔介质前，一定对它们进行病毒扫描。48.5 不要从任何不可靠的渠道下载任何软件48.6 警惕欺骗性的病毒48.7 使用其它形式的文档，如.rtf（Rich Text Format）和.pdf（Portable Document Format）48.8 不要用共享的软盘安装软件，或者更为糟糕的是复制共享

3、的软盘48.9 禁用Windows Scripting Host58.10 使用基于客户端的防火墙或过滤措施5（二）计算机中常见病毒之木马病毒实例分析51、攻击特征隐藏踪迹51.1编辑系统日志51.2抹去日志记录文件52.木马化系统程序52.1日志报告62.2进程报62.3文件报告62.4网络报告72.5安全工具73.隐藏木马文件73.1文件名诡计73.2更改argv073.3已删除文件73.4覆盖性加载8（三）总结计算机攻防策略81.攻击的主要方式82.攻击行为的特征分析与反攻击技术9（四）关于计算机病毒的几点构思1099浅谈计算机病毒及攻防策略（一） 计算机病毒的相关知识1.计算机病毒的概

4、念及特征按照“中华人民共和国计算机信息系统安全保护条例”对计算机病毒的概念定义为：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。根据这个定义，计算机病毒是一种计算机程序，它不仅能破坏计算机系统，而且还能够传染到其他系统。计算机病毒通常隐藏在其他正常程序中，能生成自身的拷贝并将其插入其他的程序中，对计算机系统进行恶意的破坏。它主要有以下特征：传染性:计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它会搜寻其他

5、符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。只要一台计算机染毒，如不及时处理，那么病毒会在这台计算机上迅速扩散，其中的大量文件（一般是可执行文件.exe）会被感染。而被感染的文件又成了新的传染源，再与其他机器进数据交换或通过网络接触，病毒会在整个网络中继续传染。隐蔽性: 病毒程序大多夹在正常程序之中，很难被发现，它们通常附在正常程序中或磁盘较隐蔽的地方（也有个别的以隐含文件形式出现），这样做的目的是不让用户发现它的存在。如果不经过代码分析，我们很难区别病毒程序与正常程序。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大

6、量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到有任何异常。潜伏性:大部分计算机病毒感染系统之后不会马上发作，可长期隐藏在系统中，只有在满足特定条件时才启动其破坏模块。例如，PETER-2病毒在每年的2月27日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”病毒在逢13号的星期五发作。当然，最令人难忘的是26日发作的CIH病毒。这些病毒在平时会隐藏得很好，只有在发作日才会显露出其破坏的本性。破坏性: 任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响，凡是由软件手段能触及到计算机资源的地方均可能受到计算机病毒的破坏。轻者会降低计算机工作效率，占用系统资源，重者

7、可导致系统崩溃。随着计算机软件和网络技术的发展，在今天的网络时代，计算机病毒又有了很多新的特点。而且在不断的演变发展。2.计算机发病的征兆我们如何指导自己的计算机系统已经感染了病毒呢？可以从下面现象去发现: 系统不认识磁盘或是硬盘不能开机。整个目录变成一堆乱码。硬盘的指示灯无缘无故亮了。计算机系统蜂鸣器出现异常声响。没做写操作时出现“磁盘写保护”信息。异常要求用户输入口令。程序运行出现异常现象或不合理的结果3.计算机病毒的触发潜伏在计算机中的病毒是怎么爆发的？其导火线有：时间、日期作触发条件；计数器作触发条件；键盘字符输入作触发条件；特定文件出现作触发条件；综合触发条件。计算机软硬件产品的脆弱

8、性是病毒产生的根本技术原因，计算机的广泛应用是计算机病毒产生的必要环境，特殊的政治、经济和军事目的是计算机病毒产生的加速器。4.计算机病毒的种类4.1 开机感染型 （1）硬盘分割区式：STONE, 米开朗基罗，FISH（2）启动软盘式：C-BRAIN，DISK-KILLER4.2 文档感染型（1）非常驻型:VIENNA (维也纳)（2）常驻型: TSR如：黑色星期五，红色九月4.3 复合型病毒: Natas, MacGyver4.4 隐秘型病毒（1）使用复杂编码加密技巧,每一代的代码都不同，无特征样本可循。（2）以拦截功能及显示假象资料蒙蔽用户。（3）不影响功能的情况下,随机更换指令顺序。5.

9、计算机病毒的新特点基于视窗的计算机病毒越来越多。新计算机病毒种类不断涌现，数量急剧增加。传播途径更多，传播速度更快。计算机病毒造成的破坏日益严重。电子邮件成为计算机传播的主要途径。6.当前病毒发展趋势蠕虫越来越多，宏病毒退而居其次。黑客程序与病毒的结合。主动传播，基于网络的病毒越来越多。 转贴于 计算机病毒的传播途径7.计算机病毒的传播途径计算机病毒的传播途径是多种多样的。主要有：数据机连线；启动DOS模式；使用软盘 ；Internet/E-Mail连线；网络连线；网络共用档案夹；使用CD-ROM；直接缆线连接档案传输等。而且互联网的病毒正日夜虎视眈眈着你的系统，他们主要通过使用网上工具时(f

10、tp、netant、icq等)、邮件及群件系统、浏览网页时被病毒感染。8.计算机病毒的防御8.1 用计算机常识进行判断决不打开来历不明邮件的附件或你并未预期接到的附件。对看来可疑的邮件附件要自觉不予打开。千万不可受骗，认为你知道附件的内容，即使附件看来好象是.jpg文件因为Windows允许用户在文件命名时使用多个后缀，而许多电子邮件程序只显示第一个后缀，例如，你看到的邮件附件名称是wow.jpg，而它的全名实际是wow.jpg.vbs，打开这个附件意味着运行一个恶意的VBScript病毒，而不是你的.jpg察看器。8.2 安装防病毒产品并保证更新最新的病毒定义码建议你至少每周更新一次病毒定义

11、码，因为防病毒软件只有最新才最有效。需要提醒你的是，你所是购买的诺顿防病毒软件，不仅是更新病毒定义码，而且同时更新产品的引擎，这是与其它防病毒软件所不一样的。这样的好处在于，可以满足新引擎在侦破和修复方面的需要，从而有效地抑制病毒和蠕虫。例如，赛门铁克的所有产品中都有“实时更新”功能。8.3 首次安装防病毒软件时，一定要对计算机做一次彻底的病毒扫描当你首次在计算机上安装防病毒软件时，一定要花费些时间对机器做一次彻底的病毒扫描，以确保它尚未受过病毒感染。功能先进的防病毒软件供应商现在都已将病毒扫描做为自动程序，当用户在初装其产品时自动执行。8.4 插入软盘、光盘和其他可插拔介质前，一定对它们进行

12、病毒扫描。确保你的计算机对插入的软盘、光盘和其他的可插拔介质，及对电子邮件和互联网文件都会做自动的病毒检查。8.5 不要从任何不可靠的渠道下载任何软件这一点比较难于做到，因为通常我们无法判断什么是不可靠的渠道。比较容易的做法是认定所有较有名气的在线图书馆未受病毒感染，但是提供软件下载的网站实在太多了，我们无法肯定它们一定都采取了防病毒的措施，所以比较保险的办法是对安全下载的软件在安装前先做病毒扫描。8.6 警惕欺骗性的病毒如果你收到一封来自朋友的邮件，声称有一个最具杀伤力的新病毒，并让你 将这封警告性质的邮件转发给你所有认识的人，这十有八九是欺骗性的病毒。建议你访问防病毒软件供应商，如赛门铁克

13、的网站 证实确有其事。这些欺骗性的病毒，不仅浪费收件人的时间，而且可能与其声称的病毒一样有杀伤力。8.7 使用其它形式的文档，如.rtf（Rich Text Format）和.pdf（Portable Document Format）常见的宏病毒使用Microsoft Office的程序传播，减少使用这些文件类型的机会将降低病毒感染风险。尝试用Rich Text存储文件，这并不表明仅在文件名称中用.rtf后缀，而是要在Microsoft Word中，用“另存为”指令，在对话框中选择Rich Text形式存储。尽管Rich Text Format依然可能含有内嵌的对象，但它本身不支持Visual

14、 Basic Macros或Jscript。而pdf文件不仅是跨平台的，而且更为安全。当然，这也不是能够彻底避开病毒的万全之计。8.8 不要用共享的软盘安装软件，或者更为糟糕的是复制共享的软盘这是导致病毒从一台机器传播 到另一台机器的方式。同时，该软件没有注册也会被认为是非正版软件，而我们基本可以较为合理地推断，复制非法软件的人一般对版权法和合法使用软件并不在 乎，同样，他们对安装和维护足够的病毒防护措施也不会太在意。盗版软件是病毒传染的最主要渠道。8.9 禁用Windows Scripting HostWindows Scripting Host(WSH) 运行各种类型的文本，但基本都是VB

15、Script或Jscript。换句话说，Windows Scripting Host在文本语言之间充当翻译的角色，该语言可能支持ActiveX Scripting界面，包括VBScript, Jscript或Perl，及所有Windows的功能，包括访问文件夹、文件快捷方式、网络接入和Windows注册等。许多病毒/蠕虫，如 Bubbleboy和KAK.worm使用Windows Scripting Host，无需用户点击附件，就可自动打开一个被感染的附件。8.10 使用基于客户端的防火墙或过滤措施如果你使用互联网，特别是使用宽带，并总是在线，那就非常有必要用个人防火墙保护你的隐私并防止不速之

16、客访问你的系统。如果你的系统没有加设有效防护，你的家庭地址、信用卡号码和其它个人信息都有可能被窃取。对计算机病毒有一个全面认识，然后做好防御工作，那么我们的计算机系统就会是一个较安全的环境，我们利用计算机来辅助工作完成才会更有效率。（二）计算机中常见病毒之木马病毒实例分析1、攻击特征隐藏踪迹1.1编辑系统日志许多攻击者会在本地系统日志中留下痕迹。例如某个对OpenSSH实施蛮力口令攻击的用户会产生日志记录。Syslog记录通常含有攻击者的身份或位置的信息。在入侵之后,攻击者很可能会抹掉记录其踪迹的日志。Syslog文件一般保存在root:root所属的/var/log/目录下。其文件许可通常为

17、644,即所有人均可读,但是只有root可写。已经攻破root的攻击者能够抹掉与其相关的日志信息。1.2抹去日志记录文件大部分登录软件都会在名为/var/log/utmp或/var/log/wtmp的文件中记录每次成功的登录。这些文件以机器可读的格式保存每个用户登录和注销时间。这样攻击者就能根据可疑活动的发生时间快速地定位到这段时间内登录系统得用户。可以用程序last从这些文件中提取信息:如果能够写入/var/log/utmp或/var/log/wtmp文件,攻击者就能够编辑这些文件以删除与其登录相关的踪迹。有许多工具可以从以上文件中删除登录信息。或者可以直接删除这些文件。2.木马化系统程序2

18、.1日志报告多数日志程序都将日志信息记录在wtmp,utmp或syslog文件中。通过重新编译login,su,sudo,in.telnetd,sshd,rlogind等,攻击者才能够从根本上阻止记录这些信息。类似于w,who和last的命令扫描wtmp和utmp文件,以报告当前有哪些用户,或者显示之前的登录情况。通过修改这些命令,攻击者甚至无需修改日志文件的内容就能保持隐身状态。2.2进程报类似于ps,lsof和top的命令通常也被木马化。以隐藏运行的任意进程。这些进程通常包括口令破解会话、对外攻击或远程守护进程。例如,可以在ps命令的某个源代码文件readproc.c中添加了若干代码:pr

19、oc_t* ps_readproc(PROCTAB *PT,proc_t* rbuf) next_proc:while(ent = readdir(PT-procfs)&(*ent-d_named_name9)if(!ent|!ent-d_name) return NULL;sprintf(path,”/proc/%s”,ent-d_name);if(stat(path,&sb)= = -1) goto next_proc;if(sb.st_uid = = 8765) goto next_proc; if(!allocated)在上面程序中,只是简单地让ps跳过任何ID为8765的进程。这样p

20、s将只会报告与之无关的其他进程。此外,也可以将ps编写成忽略设置了在名字中包含特定字符串的进程。2.3文件报告文件报告工具,通常都能找到系统中我们创建的所有文件。这些文件通常包括攻击源代码、攻击输出、破解数据库和机器列表等。攻击者可以修改这些工具来隐藏其文件或目录。下面是/bin/ls源代码ls.c的一个经过修改的版本:static int file_intertesting(const struct direct *next) for(ignore = ignore_patterns;ignore;ignore =ignore-next)if(fnmatch(ignore-patern,ne

21、xt-d_name,FNM_PERIOD)= = 0) return 0;if(!strcmp(next-d_name,”.”) return 0;if(really_all_files|next-d_name0!=.|(all_files)在上面,修改了file_interesting函数,该函数用来确定是否在列表中输出相应的文件名。通过修改file_interesting函数可以隐藏文件名为”.”的文件。显然通过木马化足够的文件列表程序,攻击者能够隐藏所有特殊的目录。2.4网络报告通过诸如netstat,lsof和tcpdump等程序,可以看到系统中与黑客有关的进入连接和外出连接。其他网络

22、信息,诸如网络接口配置、网络路由、硬件地址表,可以通过木马化route,ifconfig和arp等命令隐藏起来。2.5安全工具对木马化和踪迹隐藏而言,本地安装的安全工具尤为重要,例如制定的进程检查脚本、用户监视软件、文件完整性工具或数据库。如果攻击者能够修改文件完整性软件或suid/sgid检查程序,以使之忽略其所建立的特定目录,就能在该目录下安全地安装任何东西而不被发现,包括suid为root的程序,而通常这类程序很容易被发现。3.隐藏木马文件3.1文件名诡计Linux文件名可以包含除/和000之外的任何字符。在文件名中使用不可打印字符即可在诸如ls或ps的工具下伪装其真实名字。这里创建了一

23、个名为“.”的目录。此时因为多数人不会以-a标志来使用ls,因此根本就看不到这个目录。而那些确实使用了-a标志的人也有可能不会注意到这个情况,将之误以为.目录。然后,以同样的方式,黑客把一个攻击程序重命名为“sh”。该程序运行时,在ps命令下的显示与普通的sh只有细微的差别。3.2更改argv0程序运行时会得到一个命令行参数列表。这些参数保存在名为argv的数组中,其中argv1为第一个参数,argv2为第二个参数。而argv0则是这个程序自己的名字。如果需要的话,程序可以用这个参数来确定自己的运行方式。例如gzip,gunzip和zxat通常都是到相同i节点的硬连接:因此,在这个例子中,如果

24、运行/bin/gzip,则程序根据argv0来确定应当执行压缩功能。在程序中也可更改这个变量,且在ps的输出中所显示的将是该更改值。3.3已删除文件除非链接数为0,否则系统不会物理删除磁盘上的文件。在上面的/gzip/gunzip/zcat例子中,因为这些文件名都指向磁盘上的同一个i节点,所以其链接数是3。用户在删除/bin/gzip之后,仍然可以使用/bin/gunzip和/bin/zcat。每当某个进程打开文件时,内核会将文件的引用计数加1。也就是说,即便某个进程打开并删除了一个文件,所有打开该文件的其它进程仍然可以访问它。我们可以利用这个机制来隐藏程序所使用的数据文件,或者隐藏程序自身。

25、因为当进程被kill掉,它所打开文件的链接数就会归于0,相应文件也会永久丢失。所以,这也就成为一种简单的方法,即只要kill进程或重启动机器,管理员就要费些周折才能找到相关证据。3.4覆盖性加载攻击者可以利用加载的办法来隐藏整个目录,使别人难以轻易访问。例如可以创建/opt/tmp目录并将自己的所有工具都放置在该目录下。然后切换到这个目录,运行所需要的任何程序。在做完这些工作之后。它在/opt/tmp上加载一个新的tmpfs文件系统:（三）总结计算机攻防策略1.攻击的主要方式对网络的攻击方式是多种多样的,一般来讲,攻击总是利用“系统配置的缺陷”,“操作系统的安全漏洞”或“通信协议的安全漏洞”来

26、进行的。到目前为止,已经发现的攻击方式超过2000种,其中对绝大部分攻击手段已经有相应的解决方法,这些攻击大概可以划分为以下几类:(1)拒绝服务攻击:一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。(2)非授权访问尝试:是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。(3)预探测攻击:在连续的非授权访问

27、尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。(4)可疑活动:是通常定义的“标准”网络通信范畴之外的活动,也可以指网络上不希望有的活动,如IP Unknown Protocol和Duplicate IP Address事件等。(5)协议解码:协议解码可用于以上任何一种非期望的方法中,网络或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTU User和Portmapper Proxy等解码方式。2.攻击行为的特征分析与反攻击技术入侵检测的最基本手段是采用模式匹配的方法来

28、发现入侵攻击行为,要有效的进反攻击首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析,并提出相应的对策。(1)Land攻击攻击类型:Land攻击是一种拒绝服务攻击。攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系 统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。检测方法:判断网络数据包的源地址和目标地址是否相同。反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防

29、止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址)。(2)TCP SYN攻击攻击类型:TCP SYN攻击是一种拒绝服务攻击。击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理其它合法的SYN连接,即不能对外提供正常服务。检测方法:检查单位时间内收到的SYN连接否收超过系统设定

30、的值。反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。(3)TCP/UDP端口扫描攻击类型:TCP/UDP端口扫描是一种预探测攻击。攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。检测方法:统计外界对系统端口的连接请求,特别是对21、23、25、53、80、8000、8080等以外的非常用端口的连接请求。反攻击方法:当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式

31、匹配的方法,还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。总之计算机病毒攻击与防御手段是不断发展的，要在计算机病毒对抗中保持领先地位，必须根据发展趋势，在关键技术环节上实施跟踪研究。实施跟踪研究应着重围绕以下方面进行：一是计算机病毒的数学模型。二是计算机病毒的注入方式，重点研究“固化”病毒的激发。三是计算机病毒的攻击方式，重点研究网络间无线传递数据的标准化，以及它的安全脆弱性和高频电磁脉冲病毒枪置人病毒的有效性。四是研究对付计算机病毒的安全策略及防御技术。（四）关于计算机病毒的几点构思目前计算机机病毒可以渗透到信息社会的各个领域，给计算机系统带来了巨大的破坏和潜在的威胁。为了确保信息的

32、安全与畅通，因此，我们必须合理使用网络资源遵守相关法律。在网络高速发展的今天。我们应该采取以下措施来共同维护我们的网络环境。（1）建设中国特色网络文化：随着互联网迅速发展，加强网络文化建设管理， 营造健康网络环境，越来越成为全社会的强烈呼声（2）积极开展网络道德教育，加强网络文化的教育和引导：正是如此往往我们因为缺乏教育而做出了危害他人的事。在网络上切不因为个人情感利用自己所学做出那些不为人知的事，比如计算机病毒，它的危害太大了。波及到整个角落，给国家和人民都会带来损失。（3）严把收硬件安全关：在种种病毒的威胁下，各种反毒措施也相应而出，不论在硬件还是在软件上都应把高科技成果应用之上，形成一种

33、新的产业。（4）国家政府大力投入：国家政府的加入将起重大作用，同时有力组建网络文化组织，使其为人民更好的服务。(5)考虑组建应急分队：一方面可以在最短时间内采取防护措施，另一方面可以网络编程技术人员减少犯罪率。尽管病毒和黑客程序的种类繁多，发展和传播迅速，感染形式多样，危害极大，但是还是可以预防和杀灭的。只要我们在办理劳动保障业务过程中增强计算机和计算机网络的安全意识，采取有效的防杀措施，随时注意工作中计算机的运行情况，发现异常及时处理，就可以大大减少病毒和黑客的危害。参考文献【1】张世永.网络安全原理与应用M.北京：科学出版社【2】陈明.网络设计教程.清华大学出版社,2004.【3】李辉.计算机网络安全与对策J. 潍坊学院学报2007, （3）.【4】潘志翔,岑进锋.黑客攻防编程解析.机械工业出版社,2003