一、計算機病毒分析與防護

1.1?計算機病毒概念與特性

計算機病毒：是一組具有自我復(fù)制、傳播能力的程序代碼。它常依附在計算機的文件中，如可執(zhí)行文件或Word文檔等

計算機病毒表現(xiàn)的主要癥狀

計算機屏幕顯示異常 機器不能引導(dǎo)啟動 磁盤存儲容量異常減少 磁盤操作異常的讀寫 出現(xiàn)異常的聲音 執(zhí)行程序文件無法執(zhí)行 文件長度和日期發(fā)生變化

系統(tǒng)死機頻繁 系統(tǒng)不承認硬盤 中斷向量表發(fā)生異常變化 內(nèi)存可用空間異常變化或減少 系統(tǒng)運行速度性能下降 系統(tǒng)配置文件改變 系統(tǒng)參數(shù)改變

所有計算機病毒都具有以下四個基本特點：

隱蔽性：計算機病毒附加在正常軟件或文檔中，一旦用戶未察覺，病毒就觸發(fā)執(zhí)行，潛入到受害用戶的計算機中。病毒的隱蔽性使得受害用戶在不知不覺中感染病毒

傳染性：指計算機病毒可以進行自我復(fù)制，并把復(fù)制的病毒附加到無病毒的程序中，或者去替換磁盤引導(dǎo)區(qū)的記錄，使得附加了病毒的程序或者磁盤變成了新的病毒源，又能進行病毒復(fù)制，重復(fù)原先的傳染過程。計算機病毒與其他程序最本質(zhì)的區(qū)別在于計算機病毒能傳染

潛伏性：計算機病毒感染正常的計算機之后，一般不會立即發(fā)作，而是等到觸發(fā)條件滿足時，才執(zhí)行病毒的惡意功能，從而產(chǎn)生破壞作用。計算機病毒常見的觸發(fā)條件是特定日期

破壞性：病毒的破壞后果是不可知的。據(jù)統(tǒng)計，病毒發(fā)作后，造成的破壞主要有數(shù)據(jù)部分丟失、系統(tǒng)無法使用、瀏覽器配置被修改、網(wǎng)絡(luò)無法使用、使用受限、受到遠程控制、數(shù)據(jù)全部丟失等

1.2?計算機病毒組成與運行機制

計算機病毒由三部分組成：

復(fù)制傳染部件(replicator)：功能是控制病毒向其他文件的傳染

隱藏部件(concealer)：功能是防止病毒被檢測到

破壞部件(bomb)：用在當病毒符合激活條件后，執(zhí)行破壞操作

計算機病毒將上述三個部分綜合在一起，然后病毒實現(xiàn)者用當前反病毒軟件不能檢測到的病毒感染系統(tǒng)，此后病毒就逐漸開始傳播

計算機病毒的生命周期有兩個階段:

計算機病毒的復(fù)制傳播階段：這一階段有可能持續(xù)一個星期到幾年。計算機病毒在這個階段盡可能地隱蔽其行為，不干擾正常系統(tǒng)的功能。計算機病毒主動搜尋新的主機進行感染，如將病毒附在其他的軟件程序中，或者滲透操作系統(tǒng)。同時，可執(zhí)行程序中的計算機病毒獲取程序控制權(quán)。在這一階段，發(fā)現(xiàn)計算機病毒特別困難，這主要是因為計算機病毒只感染少量的文件，難以引起用戶警覺

計算機病毒的激活階段：計算機病毒在該階段開始逐漸或突然破壞系統(tǒng)。計算機病毒的主要工作是：根據(jù)數(shù)學(xué)公式判斷激活條件是否滿足，用作計算機病毒的激活條件常有日期、時間、感染文件數(shù)或其他

1.3?計算機病毒常見類型與技術(shù)

引導(dǎo)型病毒：通過感染計算機系統(tǒng)的引導(dǎo)區(qū)而控制系統(tǒng)，病毒將真實的引導(dǎo)區(qū)內(nèi)容修改或替換，當病毒程序執(zhí)行后，才啟動操作系統(tǒng)。因此，感染引導(dǎo)型病毒的計算機系統(tǒng)看似正常運轉(zhuǎn)，而實際上病毒己在系統(tǒng)中隱藏，等待時機傳染和發(fā)作

宏病毒(Macro Viruses)：?是指利用宏語言來實現(xiàn)的計算機病毒。宏病毒的出現(xiàn)改變了病毒的載體模式，以前病毒的載體主要是可執(zhí)行文件，而現(xiàn)在文檔或數(shù)據(jù)也可作為宏病毒的載體。宏病毒的出現(xiàn)實現(xiàn)了病毒的跨平臺傳播，它能夠感染任何運行Office的計算機

多態(tài)病毒( Polymorphic Viruses)：?多態(tài)病毒每次感染新的對象后，通過更換加密算法，改變其存在形式。這就意味著反病毒軟件常常難以檢測到它，一般需要采用啟發(fā)式分析方法來發(fā)現(xiàn)。多態(tài)病毒有三個主要組成部分：雜亂的病毒體、解密例程、變化引擎。變化引擎和病毒體都被加密。多態(tài)病毒沒有固定的特征、沒有固定的加密例程，從而就能逃避基于靜態(tài)特征的病毒掃描器的檢測

隱蔽病毒( Stealth Viruses)：隱蔽病毒試圖將自身的存在形式進行隱藏，使得操作系統(tǒng)和反病毒軟件不能發(fā)現(xiàn)。隱蔽病毒使用的技術(shù)主要包括：①隱藏文件的日期、時間的變化②隱藏文件大小的變化③病毒加密

1.4?計算機病毒防范策略與技術(shù)

1. 查找計算機病毒源

對計算機文件及磁盤引導(dǎo)區(qū)進行計算機病毒檢測，以發(fā)現(xiàn)異常情況，確證計算機病毒的存在

主要方法如下:

• 比較法：是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進行比較，檢查文件及系統(tǒng)區(qū)域參數(shù)是否出現(xiàn)完整性變化
• 搜索法：是用每一種病毒體含有的特定字節(jié)串對被檢測的對象進行掃描。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的病毒
• 特征字識別法：是基于特征串掃描法發(fā)展起來的一種新方法。特征字識別法只須從病毒體內(nèi)抽取很少的幾個關(guān)鍵特征字，組成特征字庫。由于需要處理的字節(jié)很少，又不必進行串匹配，因此大大加快了識別速度，當被處理的程序很大時表現(xiàn)更突出
• 分析法：通過詳細分析病毒代碼，制定相應(yīng)的反病毒措施。使用分析法的目的是確認被觀察的磁盤引導(dǎo)區(qū)和程序中是否含有病毒，辨別病毒的類型、種類、結(jié)構(gòu)，提取病毒的特征字節(jié)串或特征字，用于增添到病毒代碼庫供病毒掃描和識別程序用

2. 阻斷計算機病毒傳播途徑

由于計算機病毒的危害性是不可預(yù)見的，因此切斷計算機病毒的傳播途徑是關(guān)鍵防護措施

具體方法如下:

• 用戶具有計算機病毒防范安全意識和安全操作習(xí)慣。用戶不要輕易運行未知可執(zhí)行軟件，特別是不要輕易打開電子郵件的附件
• 消除計算機病毒載體：關(guān)鍵的計算機，做到盡量專機專用;不要隨便使用來歷不明的存儲介質(zhì)，如磁盤、USB;禁用不需要的計算機服務(wù)和功能，如腳本語言、光盤自啟動等
• 安全區(qū)域隔離：重要生產(chǎn)區(qū)域網(wǎng)絡(luò)系統(tǒng)與辦公網(wǎng)絡(luò)進行安全分區(qū)，防止計算機病毒擴散傳播

3.?主動查殺計算機病毒

• 定期對計算機系統(tǒng)進行病毒檢測
• 安裝防計算機病毒軟件，建立多級病毒防護體系

4. 計算機病毒應(yīng)急響應(yīng)和災(zāi)備

即使計算機系統(tǒng)受到病毒破壞后，也能有相應(yīng)的安全措施應(yīng)對，盡可能避免計算機病毒造成的損害

應(yīng)急響應(yīng)技術(shù)和措施主要有以下方面:

• 備份：是應(yīng)對計算機病毒最有效的方法。對計算機病毒容易侵害的文件、數(shù)據(jù)和系統(tǒng)進行備份。特別是核心關(guān)鍵計算機系統(tǒng)，還應(yīng)做到系統(tǒng)級備份
• 數(shù)據(jù)修復(fù)技術(shù)：對遭受計算機病毒破壞的磁盤、文件等進行修復(fù)
• 網(wǎng)絡(luò)過濾技術(shù)：通過網(wǎng)絡(luò)的安全配置，將遭受計算機病毒攻擊的計算機或網(wǎng)段進行安全隔離
• 計算機病毒應(yīng)急響應(yīng)預(yù)案：制定受病毒攻擊的計算機及網(wǎng)絡(luò)方面的操作規(guī)程和應(yīng)急處置方案

1.5?計算機病毒防護方案

基于單機計算機病毒防護：單機病毒防護是傳統(tǒng)防御模式，作為固守網(wǎng)絡(luò)終端的最后防線。阻止來自軟盤、光盤、共享文件、互聯(lián)網(wǎng)的病毒入侵，進行重要數(shù)據(jù)備份等其他功能，防護單臺計算機

基于網(wǎng)絡(luò)計算機病毒防護：通過在網(wǎng)管中心建立網(wǎng)絡(luò)防病毒管理平臺，實現(xiàn)病毒集中監(jiān)控與管理，集中監(jiān)測整個網(wǎng)絡(luò)的病毒疫情，提供網(wǎng)絡(luò)整體防病毒策略配置，在網(wǎng)管所涉及的重要部位設(shè)置防病毒軟件或設(shè)備，在所有病毒能夠進入的地方都采取相應(yīng)的防范措施，防止病毒侵襲。對網(wǎng)絡(luò)系統(tǒng)的服務(wù)器、工作站和客戶機，進行病毒防范的統(tǒng)一管理，及時更新病毒特征庫和殺病毒軟件的版本升級

基于網(wǎng)絡(luò)分級病毒防護：防御策略是基于三級管理模式：單機終端殺毒-局域網(wǎng)集中監(jiān)控-廣域網(wǎng)總部管理

基于郵件網(wǎng)關(guān)病毒防護：郵件網(wǎng)關(guān)防毒系統(tǒng)放置在郵件網(wǎng)關(guān)入口處，接收來自外部的郵件，對病毒、不良郵件等進行過濾，處理完畢后再將安全郵件轉(zhuǎn)發(fā)至郵件服務(wù)器

基于網(wǎng)關(guān)防護：在網(wǎng)絡(luò)出口處設(shè)置有效的病毒過濾系統(tǒng)，防火墻將數(shù)據(jù)提交給網(wǎng)關(guān)殺毒系統(tǒng)進行檢查，如有病毒入侵，網(wǎng)關(guān)防毒系統(tǒng)將通知防火墻立刻阻斷進行攻擊的IP。這種同步查毒的方式幾乎不影響網(wǎng)絡(luò)帶寬，同時能夠過濾多種數(shù)據(jù)庫和郵件中的病毒。網(wǎng)關(guān)殺毒是殺毒軟件和防火墻技術(shù)的完美結(jié)合

二、特洛伊木馬分析與防護

2.1 特洛伊木馬概念與特性

特洛伊木馬(Trojan Horse)：簡稱木馬，是具有偽裝能力、隱蔽執(zhí)行非法功能的惡意程序，而受害用戶表面上看到的是合法功能的執(zhí)行

目前特洛伊木馬己成為黑客常用的攻擊方法。它通過偽裝成合法程序或文件，植入系統(tǒng)，對網(wǎng)絡(luò)系統(tǒng)安全構(gòu)成嚴重威脅

同計算機病毒、網(wǎng)絡(luò)蠕蟲相比較，特洛伊木馬不具有自我傳播能力，而是通過其他傳播機制來實現(xiàn)

受到特洛伊木馬侵害的計算機，攻擊者可不同程度地遠程控制受害計算機，例如訪問受害計算機、在受害計算機上執(zhí)行命令或利用受害計算機進行DDoS攻擊

2.2 特洛伊木馬分類

根據(jù)特洛伊木馬的管理方式，可以將特洛伊木馬分為

• 本地特洛伊木馬：是最早期的一類木馬，特點是：木馬只運行在本地的單臺主機，木馬沒有遠程通信功能，木馬的攻擊環(huán)境是多用戶的UNIX系統(tǒng)，典型例子就是盜用口令的木馬
• 網(wǎng)絡(luò)特洛伊木馬：是指具有網(wǎng)絡(luò)通信連接及服務(wù)功能的一類木馬，簡稱網(wǎng)絡(luò)木馬。此類木馬由兩部分組成，即遠程木馬控制管理和木馬代理
  • 遠程木馬控制管理：主要是監(jiān)測木馬代理的活動，遠程配置管理代理，收集木馬代理竊取的信息
  • 木馬代理：則是植入目標系統(tǒng)中，伺機獲取目標系統(tǒng)的信息或控制目標系統(tǒng)的運行，類似網(wǎng)絡(luò)管理代理

?目前，特洛伊木馬一般泛指這兩類木馬，但網(wǎng)絡(luò)木馬是主要類型

2.3 特洛伊木馬運行機制

木馬受攻擊者的意圖影響，其行為表現(xiàn)各異，但基本運行機制相同

整個木馬攻擊過程主要分為五個部分:

①尋找攻擊目標：攻擊者通過互聯(lián)網(wǎng)或其他方式搜索潛在的攻擊目標
②收集目標系統(tǒng)的信息：主要包括操作系統(tǒng)類型、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用軟件、用戶習(xí)慣等
③將木馬植入目標系統(tǒng)：攻擊者根據(jù)所搜集到的信息，分析目標系統(tǒng)的脆弱性，制定植入木馬策略。木馬植入的途徑有很多，如通過網(wǎng)頁點擊、執(zhí)行電子郵件附件等
④木馬隱藏：為實現(xiàn)攻擊意圖，木馬設(shè)法隱蔽其行為，包括目標系統(tǒng)本地活動隱藏和遠程通信隱藏
⑤攻擊意圖實現(xiàn)：即激活木馬，實施攻擊。木馬植入系統(tǒng)后，待觸發(fā)條件滿足后，就進行攻擊破壞活動，如竊取口令、遠程訪問、刪除文件等

2.4?特洛伊木馬植入技術(shù)

特洛伊木馬植入是木馬攻擊目標系統(tǒng)最關(guān)鍵的一步，是后續(xù)攻擊活動的基礎(chǔ)

特洛伊木馬的植入方法可以分為兩大類

• 被動植入：是指通過人工干預(yù)方式才能將木馬程序安裝到目標系統(tǒng)中，植入過程必須依賴于受害用戶的手工操作
• 主動植入：則是指主動攻擊方法，將木馬程序通過程序自動安裝到目標系統(tǒng)中，植入過程無須受害用戶的操作

被動植入方法：主要通過社會工程方法將木馬程序偽裝成合法的程序，以達到降低受害用戶警覺性、誘騙用戶的目的，常用的方法如下:?

• 文件捆綁法：將木馬捆綁到一些常用的應(yīng)用軟件包中，當用戶安裝該軟件包時，木馬就在用戶毫無察覺的情況下，被植入系統(tǒng)中
• 郵件附件：木馬設(shè)計者將木馬程序偽裝成郵件附件，然后發(fā)送給目標用戶，若用戶執(zhí)行郵件附件就將木馬植入該系統(tǒng)中
• Web網(wǎng)頁：木馬程序隱藏在html文件中，當受害用戶點擊該網(wǎng)頁時，就將木馬植入目標系統(tǒng)中

2.5?特洛伊木馬隱藏技術(shù)

特洛伊木馬的設(shè)計者為了逃避安全檢測，就要設(shè)法隱藏木馬的行為或痕跡

主要技術(shù)目標：就是將木馬的本地活動行為、木馬的遠程通信過程進行隱藏

1.本地活動行為隱藏技術(shù)

現(xiàn)在的操作系統(tǒng)具有支持LKM的功能，通過LKM可增加系統(tǒng)功能，而且不需要重新編譯內(nèi)核，就可以動態(tài)地加載。木馬設(shè)計者利用操作系統(tǒng)的LKM功能，通過替換或調(diào)整系統(tǒng)調(diào)用來實現(xiàn)木馬程序的隱藏

技術(shù)方法包括：文件隱藏、進程隱藏、通信連接隱藏

2.遠程通信過程隱藏技術(shù)

特洛伊木馬除了在遠程目標端實現(xiàn)隱藏外，還必須實現(xiàn)遠程通信過程的隱藏，包括通信內(nèi)容和通信方式的隱藏

木馬用到的遠程通信隱藏的關(guān)鍵技術(shù)方法如下:

• 通信內(nèi)容加密技術(shù)：將木馬通信的內(nèi)容進行加密處理，使得網(wǎng)絡(luò)安全管理員無法識別通信內(nèi)容
• 通信端口復(fù)用技術(shù)：指共享復(fù)用系統(tǒng)網(wǎng)絡(luò)端口來實現(xiàn)遠程通信，這樣既可以欺騙防火墻，又可以少開新端口。端口復(fù)用是在保證端口默認服務(wù)正常工作的條件下進行復(fù)用，具有很強的隱蔽性
• 網(wǎng)絡(luò)隱蔽通道：指利用通信協(xié)議或網(wǎng)絡(luò)信息交換的方法來構(gòu)建不同于正常的通信方式。特洛伊木馬的設(shè)計者將利用這些隱蔽通道繞過網(wǎng)絡(luò)安全訪問控制機制秘密地傳輸信息。由于網(wǎng)絡(luò)通信的復(fù)雜性，特洛伊木馬可以用隱蔽通道技術(shù)掩蓋通信內(nèi)容和通信狀態(tài)

2.6 特洛伊木馬存活技術(shù)

特洛伊木馬的存活能力取決于網(wǎng)絡(luò)木馬逃避安全監(jiān)測的能力，一些網(wǎng)絡(luò)木馬侵入目標系統(tǒng)時采用反監(jiān)測技術(shù)，甚至中斷反網(wǎng)絡(luò)木馬程序運行。一些高級木馬常具有端口反向連接功能

端口反向連接技術(shù)：是指由木馬代理在目標系統(tǒng)主動連接外部網(wǎng)的遠程木馬控制端以逃避防火墻的限制

2.7?特洛伊木馬防范技術(shù)

防范木馬需要將監(jiān)測與預(yù)警、通信阻斷、系統(tǒng)加固及修復(fù)、應(yīng)急管理等多種技術(shù)綜合集成實現(xiàn)

以下為近幾年的特洛伊木馬防范技術(shù)

1.基于查看開放端口檢測特洛伊木馬技術(shù)

基本原理：根據(jù)特洛伊木馬在受害計算機系統(tǒng)上留下的網(wǎng)絡(luò)通信端口號痕跡進行判斷，如果某個木馬的端口在某臺機器上開放，則推斷該機器受到木馬的侵害

查看開放端口的技術(shù)有

• 系統(tǒng)自帶的netstat命令
• 用端口掃描軟件遠程檢測機器

2.基于重要系統(tǒng)文件檢測特洛伊木馬技術(shù)

基本原理：根據(jù)特洛伊木馬在受害計算機系統(tǒng)上對重要系統(tǒng)文件進行修改留下的痕跡進行判斷，通過比對正常的系統(tǒng)文件變化來確認木馬的存在。這些重要文件一般與系統(tǒng)的自啟動相關(guān)，木馬通過修改這些文件使得木馬能夠自啟動

3.基于系統(tǒng)注冊表檢測特洛伊木馬技術(shù)

Windows類型的木馬常通過修改注冊表的鍵值來控制木馬的自啟動

基本原理：檢查計算機的注冊表鍵值異常情況以及對比已有木馬的修改注冊表的規(guī)律，綜合確認系統(tǒng)是否受到木馬侵害

4.檢測具有隱藏能力的特洛伊木馬技術(shù)

Rootkit是典型的具有隱藏能力的特洛伊木馬。目前，檢測Rootkit的技術(shù)有三類：

• 第一類是針對已知的Rootkit進行檢測：這種方法基于Rootkit的運行痕跡特征來判斷計算機系統(tǒng)是否存在木馬。缺點：是只能針對特定的已知的Rootkit，而對未知的Rootkit幾乎無能為力
• 第二類是基于執(zhí)行路徑的分析檢測方法
  • 基本原理：安裝Rootkit的系統(tǒng)在執(zhí)行一些操作時，由于要完成附加的Rootkit的功能，如隱藏進程、文件等，則需要執(zhí)行更多的CPU指令，通過利用x86系列的CPU提供的步進模式，在CPU每執(zhí)行一條指令后進行計數(shù)，將測量到的結(jié)果與正常的干凈的系統(tǒng)測得的數(shù)據(jù)進行比較，然后根據(jù)比較的差異，判斷系統(tǒng)是否可能已被安裝了Rootkit
  • 這種方法不僅限于己知的Rootkit，對于所有通過修改系統(tǒng)執(zhí)行路徑來達到隱藏和執(zhí)行功能目的的Rootkit都有很好的作用
• 第三類是直接讀取內(nèi)核數(shù)據(jù)的分析檢測方法：該方法針對通過修改內(nèi)核數(shù)據(jù)結(jié)構(gòu)的方法來隱藏自己的Rootkit，基本原理：直接讀取內(nèi)核中的內(nèi)部數(shù)據(jù)以判斷系統(tǒng)當前的狀態(tài)

5.基于網(wǎng)絡(luò)檢測特洛伊木馬技術(shù)

在網(wǎng)絡(luò)中安裝入侵檢測系統(tǒng)，通過捕獲主機的網(wǎng)絡(luò)通信，檢查通信的數(shù)據(jù)包是否具有特洛伊木馬的特征，或者分析通信是否異常來判斷主機是否受到木馬的侵害

根據(jù)特洛伊木馬的植入方法，防止特洛伊木馬植入方法

• 不輕易安裝未經(jīng)過安全認可的軟件，特別是來自公共網(wǎng)的軟件
• 提供完整性保護機制，即在需要保護的計算機.上安裝完整性機制，對重要的文件進行完整性檢查。例如安裝一種起完整性倮護作用的設(shè)備驅(qū)動程序，這些程序攔截一些系統(tǒng)服務(wù)調(diào)用，禁止任何新的模塊的載入，從而使系統(tǒng)免于Rootk it的危害
• 利用漏洞掃描軟件，檢查系統(tǒng)存在的漏洞，然后針對相應(yīng)的漏洞，安裝補丁軟件包

6.基于網(wǎng)絡(luò)阻斷特洛伊木馬技術(shù)

特洛伊木馬的傳播和運行都依賴于網(wǎng)絡(luò)通信

技術(shù)原理：利用防火墻、路由器、安全網(wǎng)關(guān)等網(wǎng)絡(luò)設(shè)備，對特洛伊木馬的通信進行阻斷，從而使得特洛伊木馬的功能失效或限制其傳播

7.清除特洛伊木馬技術(shù)

技術(shù)方法：

• 手工清除方法
• 軟件清除方法

工作原理：刪除特洛伊木馬在受害機器上留下的文件，禁止特洛伊木馬的網(wǎng)絡(luò)通信，恢復(fù)木馬修改過的系統(tǒng)文件或注冊表。目前，市場上有專業(yè)的清除特洛伊木馬的工具

---

友情鏈接：http://xqnav.top/

---

總結(jié)

以上是生活随笔為你收集整理的恶意代码防范技术原理-计算机病毒和特洛伊木马分析与防护的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。