《计算机病毒技术概论》由会员分享,可在线阅读,更多相关《计算机病毒技术概论(42页珍藏版)》请在金锄头文库上搜索。
1、计算机病毒技术概论 第一讲零、本课程概述本课程主要讲解个人计算机的安全防护技术方面的问题。主要讲述如何解决病毒、间谍软件、蠕虫、黑客、无线网络窃听、垃圾邮件、网络钓鱼、移动储存设备等安全技术以及防护的实际问题,为个人计算机系统构筑一道强壮的防御体系,与这系统威胁进行坚决的斗争!。如今,如果你拥有一台Windows的计算机,那么你需要理解安全威胁可能带来的风险和潜在的损失。仅仅打开一台连接到互联网上的计算机,就可能使你和你的家庭,你和你的单位,甚至你的个人资金都处于风险之中!这绝不是危言耸听!这是事实!在本课程中介绍了可能面对的所有安全威胁,并提供将新手和基础用户变为熟练的家庭安全专家的策略,使
2、你更为安全,免受网络犯罪的威胁。从直白的定义开始,然后按照一步一步的指令来深入挖掘,帮助你在很短的时间之内完成工作。最后,给出可以帮助你在不长的时间之内采取的更为深入的措施的步骤。500多万封垃圾电子邮件充斥着今天的互联网(很多上面写着你的名字),本书展示怎样让这些可憎的垃圾邮件制造者找不到你。在你学习本教材时,黑客正在你的IP地址周围监听吗?他们可能已经攻破了你所拥有的安全防线,正在肆无忌惮地使用你的个人数据。用一些简单的步骤阻止他们,让他们寸步难行。身份窃取是如今客户欺诈最流行的形式,去年窃贼偷走了1亿美元。用本教材中提供的方法可以给那些疯狂者放置一个屏障。间谍软件(作恶的小程序,你可能甚
3、至不知道你已经将它们安装在个人计算机上)可能引起计算机崩溃。本教材展示如何将它从系统中根除并预防进一步的感染。你的U盘或移动硬盘,在插入到计算机的USB接口后,就发现当双击该盘符时,就提示要对其进行高级格式化!这已经将U盘或移动硬盘上面的文件数据被病毒摧毁了。等等可怕的事情正在发生。由于互联网的快速发展,使得上网的计算机越来越多,而一旦上网,就会面临大量的安全问题,病毒、间谍软件、蠕虫、黑客、无线网络窃听、垃圾邮件、网络钓鱼等,不胜枚举。如果你只是计算机的普通用户,没有系统地学习过计算机安全的专业知识,面对如此多的问题,以及不断涌现的新名词,又该如何处理呢?本课程将给你一个完整的答案。要知道,
4、根据安全软件制造商F-Secure的报道,病毒和特洛伊木马的总数在2009年达到了100万种。这100万种的病毒!使人十分震惊。但是,好的一面是:有这么多正在编写的病毒要成功感染系统越来越难,这是因为安全实践正在改善。计算机拥有者接受了更多教育。安全软件更加有效。简单地说,就是我们只是更加地了解计算机的安全,就行了!斗争是双方的,那些不法分子将改变策略,使用他们新的恶意软件来更有效地与我们对抗。可以看出,斗争将一直进行着,所以,对于我们必须要在这场竞赛中领先一步。除非你不再使用计算机了!一、 计算机病毒众所周知,计算机病毒并非善类。15年前,病毒非常简单。它们进入一个系统,感染一两个文件。如今
5、,我们必须防范的病毒的种类已变得惊人的复杂。注意:为什么称它们为计算机病毒(virus)?因为它们至少在一方面与感染人类的生物病毒有着相似的特征。计算机病毒从一台计算机传播到另外一台计算机,非常类似于感冒病毒从孩子传到你的身上,再从你传到你的配偶身上。“看起来你曾经被一个不速之客感染,在你的计算机里放了一个特洛伊木马,它是复合型的病毒,打开后门并且感染主引导记录。”现在关于病毒的讨论中,可能实际上没有用病毒(virus)这个词,这是因为有时病毒是蠕虫或特洛伊木马,它们也是病毒,只是在行为上和它们恶名远扬的同胞略有差别。当个人计算机在几十年前开始出现在家庭中时,病毒是人们必须面对的真正的威胁之一
6、。第一个计算机病毒写于20世纪80年代,但是直到20世纪90年代末,在每个拥有个人计算机的人开始连接到互联网上时,病毒才真正成为大的威胁。注意:有趣的是,病毒在1949年就首次成为构想,当时计算机的先驱约翰冯诺依曼写了一篇论文,在理论上阐述了程序可以自我复制。冯诺依曼的理论于20世纪50年代在现实中实现,在贝尔实验室程序员们创建了一个游戏称为“CoreWars”(核心战争),在这个游戏中两个玩家可以在主计算机中发布“器官”软件,并且查看这些软件如何竞争对计算机的控制。经过了30多年计算机病毒才成为威胁,但是在20世纪80年代初期,个人计算机开始在家庭和学校中变得普遍时,计算机病毒已经可以在计算
7、机之间进行复制和移动首先通过被感染的是软盘,后来通过联网的计算机来进行。起初,病毒通过软盘或CD传播。它们可以藏身于光盘中存储的文件中或者软盘的引导区域中,在光盘插入到计算机时进行复制。互联网的普及是使个人计算机的安全性成为热门话题的首要原因。网络连接是从互联网到计算机上所有数据的通道。而对于病毒来说,这是一个快车道。先定义计算机病毒是什么,也叫小概念病毒,因为理解这些对于我们之后消除它们非常重要。这里有一个基本的定义如下:计算机病毒(computer virus)是一种恶意的计算机程序,由不了解真相的人运行,执行的任务主要包括复制自身和部署载体。1) 病毒是什么计算机病毒是一种恶意的计算机程
8、序病毒只是程序,但它是由性格有问题、想要作恶的人编写,或者如今他们更可能是想要通过不当途径来谋利。病毒由很多行程序指令组成,以与其他程序一样的方式运行。2)谁触发了计算机病毒 由不了解真相的人运行一个病毒要想成功,它必须由一个人在计算机上运行。这意味着文件必须打开,程序必须运行,或者计算机必须启动。换句话说,程序代码必须由人的动作运行。这个人可以是你、我、朋友、家庭以及任何使用计算机的人。这并不是说任何人要故意执行病毒。通常,我们被骗去执行病毒。但是病毒需要人的帮助才能传播。记住这个事实,就朝防止病毒在计算机上疯狂运行的方向迈进了一大步。注意:这条规则有个例外计算机蠕虫。它们是一种病毒的类型,
9、可以自我执行并传播,不需要人的干预。蠕虫将在后面进行更为详细的讨论。3)病毒如何传播执行的任务主要包括复制自身复制是病毒的“最高指导原则”。任何计算机病毒要想获得成功就必须克隆自己,进入其他计算机,并重复复制过程。这也是它的传播方式。当然,有很多手段来做到这一点,包括隐藏在其他程序之上、作为电子邮件的附件传播,甚至从网页下载。病毒制造者使用很多方法来在计算机之间移动病毒,但都可以分为以下两类。外部介质任何包含计算机文件并可以插入到计算机中的存储设备,比如软盘、U盘、移动硬盘、DVD或者CD。外部介质是一种古老的传播方式,现在病毒制造者已经很少使用。网络连接网络是由一组连接的计算机组成,所以它们
10、可以交换数据。互联网是如今最常见的病毒来源,它就是一个大的网络。病毒通过聊天程序、电子邮件附件,或者通过Web,使用连接来到达目的地。如今,如果用户计算机没有连接到互联网上,那么很可能(但不是完全)是远离病毒的。但无论怎样,这并不是一种现实的防御策略。提示:一种在几年前恶名远扬的蠕虫病毒叫做KakWorm。KakWorm把自己嵌入到HTML邮件中(一种可以像网页一样显示图片和布局的电子邮件)。用户只要通过Microsoft的Outlook或者Outlook Express预览邮件就会执行病毒。这个安全漏洞已经发布补丁很久了,所以现在这个病毒已经威胁不大。如果用户安装了相关的Windows安全补
11、丁,就不会中这个病毒。4)它能造成什么破坏和部署载体。定义的最后一部分是最可怕的部分。病毒可以(通常也是)设计去做一些不好的事情。病毒的这部分称为一个载体(payload),或者有时称为炸弹(bomb)。注意:Melissa病毒有一种古怪的载体,每小时执行一次。如果这个月的天数等于现在的分钟的值,计算机光标处将会显示下列文本:“Twenty-two points, plus triple-word score, plus fifty points for using all my letters. Games over. Im outta here.”,引号内的话指的是辛普森剧集(美国经典电视
12、剧集)中出现的一种拼字游戏。下面是最常见的载体:恶作剧或者故意破坏有时病毒制造者只是想让用户知道他们成功地在用户的计算机中放置了一个病毒。所以他们给用户计算机发送消息或者警告。这等同于在一个公交站牌处写下“安迪有一个尖屁股”。这可能不是事实,但是有少许娱乐性(至少对于制造者来说)。感梁和破坏数据病毒可以感染和破坏文件,或者使它们不能使用。病毒还可以清除全部硬盘数据。注意:在2007年7月底,安全专家看到了两年内的最大一次病毒攻击。超过一周时间,200万封包含Storm蠕虫的垃圾邮件开始遍布互联网的邮箱中(在攻击中一天检测到了4200万封邮件)。它们包含了类似电子贺卡的附件,但是实际上其中有一个
13、恶意程序,将目标计算机加入僵尸网络。僵尸网络(botnet)是被感染计算机所组成的远程网络,会让不怀好意的恶意软件的制造者来操纵。散布垃圾邮件当今病毒的一个常见载体是感染计算机并从上面发送垃圾邮件。当收到垃圾邮件而愤怒的接收者追踪邮件来源时,垃圾邮件是从你的计算机发出的,你要承受罪责,这减轻了真正作恶者的压力。病毒也可以在计算机上开一个后门,以便以后其他人可以控制这台计算机,远程使用这台计算机来完成他们的目的。有个著名的群发邮件的蠕虫病毒叫做Sober.P,它发送一封电子邮件,引诱人们打开其中的附件。然后病毒盗取邮件地址,向这个受害者的联系人散发垃圾邮件。盗取数据或者信息病毒可以部署载体,从用
14、户计算机中监听和盗取数据或个人信息。劫持用户计算机可能会被一个从互联网上调用的程序所感染,去完成一项由恶意软件制造者(或者从这个制造者购买病毒的客户)制定的任务。任务包括发送垃圾邮件,用垃圾信息去轰炸其他计算机,或者挖掘个人数据。恶意软件制造者可以操纵一个僵尸网络。当一台傀儡计算机感染了用户的系统,这台计算机就成为一队称为僵尸网络中的傀儡计算机中的一员。恶意软件制造者或者购买者可以像操纵军队一样操纵僵尸网络。注意:僵尸网络是一种强大的工具。如果它指向一台特定的Web服务器,它可以用数据包将服务器轰炸瘫痪。受到僵尸网络攻击的受害者包括CNN(美国国家新闻网),Yahoo!和A。这种手段称为分布式
15、拒绝服务(DDoS)攻击。勒索软件现在已经检测到一种相当新而且危险的载体,它可以利用用户数据进行勒索。它加密(打乱)用户的部分硬盘,使得用户不输入密码就无法使用。病毒给用户留下一个勒索留言,声称如果不交赎金就不能解密数据。目前,勒索软件攻击还很少。第一例发现是在2005年5月。在2007年夏天,FBI(美国联邦调查局)报道说这种攻击在上升。如果病毒制造者懂得如何使勒索过程更完美而且不留痕迹(使得不能从赎金跟踪到他们),这种病毒会广为传播。注意:在一次勒索病毒攻击中,一家目标公司访问了一个被黑掉的网站。这个网站在受害者的网络中放置了一个特洛伊木马,通过Internet Explorer浏览器自动
16、执行。恶意程序搜索所有系统目录和所映射的磁盘,然后加密这些文件,留下勒索信并将自己删除。散布病毒和间谍软件用户的计算机可能会被利用,将病毒和间谍软件散布到其朋友、家人和业务联系人中去。注意:一些人会告诉你病毒会关掉散热系统,使计算机硬件过热而损坏。如果是这样,那么它就没有后继者传播了。所以这样的说法只是一种流言而已。总结:到现在为止,我们一直相当随意地使用病毒(virus)这个词。为了更实用,用一个可以覆盖所有方面的词来或多或少地包含我们所讲的内容,这样比较方便。不过,如果你太广泛地使用病毒这个词,一些自以为是并坚持细节的人会拿尖棍子戳你。并非所有病毒都是病毒。病毒(virus)这个词常作为一个通用词汇来描述
