《瑞星认证培训课件》由会员分享,可在线阅读,更多相关《瑞星认证培训课件(42页珍藏版)》请在金锄头文库上搜索。
1、瑞星病毒防范技能工程师培训,什么是计算机病毒,计算机病毒的定义 为达到特殊目的而制作和传播的计算机代码或程序”,或者被称为“恶意代码”,计算机病毒的特征 非法性 隐蔽性 一些蠕虫病毒非常注重隐藏和伪装自己 兄弟病毒 (play.exe ) 潜伏性 长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块 触发性 满足其触发条件或者激活病毒的传染机制就会使之进行传染或者激活病毒的表现部分或破坏部分 表现性,破坏性 传染性 计算机病毒最重要的特征 针对性 变异性 不可预见性,计算机病毒的结构 引导部分 将病毒主体加载到内存,为传染部分做准备 传染部分 将病毒代码复制到传染目标上去。 表现或
2、破坏部分 病毒间差异最大的部分,前两个部分也是为这部分服务的,计算机病毒的存储结构 磁盘分区包括(FDISK可创建硬盘分区表) 主引导记录区(只有硬盘有) 引导记录区 文件分配表(FAT) 目录区和数据区,计算机病毒的分类 根据寄生的数据存储方式划分 引导区型 文件型 混合型 混合型病毒同时具备引导型和文件型两类病毒特征,又称综合型或复合型病毒。这类病毒既感染磁盘引导区,又感染可执行文件,根据病毒的破坏情况划分 良性病毒 恶性病毒 在代码中包含损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用 根据运行的连续性分类 驻留内存型 应用程序把要执行的部分在内存中驻留一份,这样就
3、可不必在每次要执行它的时候都到硬盘中搜寻,从而可以提高效率 非驻留内存型,几种具有代表性的病毒类型 宏病毒 蠕虫病毒 特洛伊木马病毒 变形型病毒和生成机病毒 (病毒大面积爆发) 计算机病毒的入侵方式 源代码嵌入攻击 代码取代攻击 外壳寄生入侵 系统修改入侵 (病毒目前的主流入侵方式 ),病毒发展史(五代病毒) 单机,单一 混合 变形 网络 传播途径 CIH病毒 (损坏电脑的硬件 ) “欢乐时光”病毒(蠕虫类病毒),计算机病毒的发展趋势 智能化 人性化 人性化称为诱惑性。现在的计算机病毒越来越注重利用人们的心理因素,如好奇、贪婪等 隐蔽化 多样化 专用病毒生成工具 攻击反病毒软件,计算机病毒的危
4、害 绝大部分病毒都存在不同程度的错误。错误病毒的另一个主要来源是变种病毒。有些计算机新手尚不具备独立编制软件的能力,只是出于好奇或其他原因修改别人的病毒,从而造成错误,计算机病毒介绍,DOS病毒介绍 DOS操作系统 具有文件管理方便、外设支持良好、兼容性好和小巧稳定等优点。但与此同时,DOS是一个单用户、单任务的操作系统,因此使用起来有很大的局限性 DOS病毒 针对DOS操作系统开发的病毒,是出现最早、数量最多、变种也最多的计算机病毒 通常在特定条件下发作,文件型病毒 绝大多数文件型病毒属于外壳病毒(软件层次结构) 感染.COM和.EXE等可执行文件 (Portable Executable
5、) 文件病毒不但可以感染DOS系统文件,还可以感染Windows系统、Linux 、UNIX系统,宏病毒 利用Word VBA 进行编写的一些宏(早期的宏病毒都是用Word VBA语言编写的 寄存于文档或模板的宏中的计算机病毒。一旦打开这样的文档,宏病毒就会被激活并转移到计算机上,然后驻留在Normal模板上 (*.dot),引导型病毒(大麻,小球,WYX) 改写磁盘上的引导扇区的内容, 软盘或硬盘都有可能感染病毒,改写硬盘上的分区表(FAT),使所有的硬盘分区及数据丢失 WYX病毒(移动0,63到60,61 可恢复),蠕虫病毒 传播速度最快、传播范围最广 利用微软的系统漏洞 “红色代码”、“
6、尼姆达”、“sql蠕虫王” ,“SCO炸弹” 利用Email邮件迅速传播 “爱虫病毒”和“求职信病毒” 邮件都会带有“自动启动漏洞”功能,即当用户打开邮件的时候其附件就会自动启动 独立的程序,避免了受宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而主动地实施攻击。 利用系统提供的应用编程接口(API),木马病毒 自动运行 利用Autoexec.bat和Config.sys进行加载; 修改注册表(*.reg); 修改win.ini文件; 感染Windows系统文件,以便进行自动启动并达到自动隐藏的目的 盗号 在后台运行,往往能够将用户敲击键盘的动作记录下来,再发送给欺诈者,木马的隐藏性(灰鸽
7、子) 将自己伪装成系统文件 将木马病毒的服务端伪装成系统服务 将木马程序加载到系统文件中 Windows启动都会启动木马 充分利用端口隐藏 默认有65536个端口,一般是1024以上的高端口 自动备份 为了避免在被发现之后清除,有些木马会自动进行备份。这些备份的文件在木马被清除之后激活,并再次感染系统 通过拦截系统功能调用的方式来隐藏自己,网页脚本病毒 通常与网页相结合,将恶意的破坏性代码内嵌在网页中,一旦有用户浏览带毒网页,病毒就会立即发作 WSH (wscript.exe cscript.exe) Windows Scripting Host(Windows脚本宿主)它内嵌于Windows
8、操作系统中的脚本语言工作环境,主要负责脚本的解释和执行 隐藏性强 传统认识里,只要不下载应用程序,从网上感染病毒的几率就会减少。脚本病毒的出现彻底改变了人们的这种看法,即时通讯病毒 QQ尾巴 利用系统提供的API向OICQ按钮发送“点击”命令 隐蔽性 对方接收到“好友”发送过来的信息时,往往会不假思索地接受,从而很快受到病毒的感染。利用人们心理上的疏忽达到更好地隐蔽自己 攻击更加便利 大多数即时通讯软件都可以绕过防火墙,操作系统漏洞攻击病毒 缓冲区溢出 缓冲区被填满后用病毒代码覆盖内存数据 Linux、UNIX、MAC OS以及一些主流的路由器防火墙软件都存在着安全漏洞,缓冲区溢出原理,啤酒和
9、杯子 数据通常存放在一个临时空间,此空间称为缓冲区 向缓冲区填充数据如果过长,超过本身容量,溢出的数据会覆盖掉正常的数据 溢出后的数据经过精心构造可使计算机执行我们想要的命令,内存管理,计算机不能正确区分指令与数据,当把数据作为指令提交给处理器时,它会执行这些“指令” 我们做这些的目的只有一个:控制目标程序的执行流程,栈(LIFO)向低地址增长,保存本地变量、函数调用 堆(FIFO)向高地址增长, 保存程序信息和动态分配变量,.text段只读 ,包含程序指令 .data和.bss可写,保存全局变量;.data段包含已初始化的静态变量;.bss段包含未初始化的变量,寄存器,通用寄存器 EAX、E
10、BX、ECX等用来保存数据、地址、偏移量、计数和其它数据。 段寄存器 CS、DS和SS一般用作段基址寄存器 控制寄存器 EIP保存着下一条即将执行的机器指令的地址 其它寄存器 ESP、EBP,一个简单例子,查看代码(over) #include #include char name = “abcdefgh; int main() char output8; strcpy(output, name); for (int i = 0; i 8 ,覆盖方法,NNNNNSSSSSRRRRR型 适合大缓冲区 RRRRRSSSSSNNNNN型 R中含有0,适合*nix NNNNNRSSSSS R=jmp
11、esp,溢出点的定位,二次报错定位 1、填充字符为”aaaaaaaaaabbbbbbbbbb.” 2、填充字符 为”abcdefghij abcdefghij.”,Shellcode 编写,Windows下函数调用原理 各参数压栈 Call函数地址(push eip+jmp func),Shellcode 编写,写出C语言code,写出汇编代码 确定函数调用地址 逐个完成函数调用,获取shellcode 汇编模式下复制出机器码 整理,利用shellcode,使用shellcode获取权限,网络钓鱼 欺诈行为,或者说是利用互联网实施的网络诈骗 建立一个与真实网站相类似的诈骗网站,对真实网站的栏目
12、设置、标题、新闻、图片及页面设计风格进行完全克隆 ,流氓软件 利用“COOKIE”在后台秘密收集用户上网习惯、浏览顺序、所关心的话题、经常访问和搜索的网站等信息,为制作者的商业计划提供必要的信息 最关键的恶劣之处在于用户不能通过正常渠道进行卸载 频繁出现的广告会消耗用户的系统资源,影响页面刷新速度 自动转到某些商业网站或恶意网页,病毒分析,虚拟机 VMware Workstation和VirtualPC 病毒分析软件 Process Explorer FileMon Regmon Tcpview Autoruns IceSword,静态分析 W32Dasm IDA Pro 动态分析 SoftICE TRW2000 OllyDBG,病毒惯用技术 在已发现的各种PC机病毒中,有近十分之一的病毒使用了自加密技术 加壳是通过一系列的数学运算,将可执行程序或动态连接文件的编码进行改变,以达到缩小程序体积或加密程序编码的目的,反病毒技术 特征值查毒法(长期使用) 获取病毒样本后,提取出其特征值,然后通过该特征值对各个文件或内存等进行扫描。如果发现这种特征值,就说明感染了这种病毒,然后有针对性地解除病毒 特征串必须能将病毒与正常的非病毒程序区分开,不然会将非病毒程序当成病毒报告给用户,造成误报,
