《信息安全 10系统恶意程序课件》由会员分享,可在线阅读,更多相关《信息安全 10系统恶意程序课件(54页珍藏版)》请在金锄头文库上搜索。
1、第十章 计算机恶意程序与病毒,第十章计算机恶意程序与病毒,五、宏病毒(Macro Virus) 一种利用应用程序宏语言编制的计算机病毒,它附着在某个文件上,当用户打开这个文件时,宏病毒就被激活,并产生连锁性的感染。 针对MS Office的宏病毒通常感染Word的DOT模板文件,尤其是Normal.dot是系统中大部分文档和字模板的基础,系统缺省状态下该模板文件首先被打开,若该文件被病毒感染,当它被打开时,病毒就会扩散到其他文档和模板。迫使正在编辑的文档以指定模板格式存盘,以便进行传播。宏病毒无法附着在标准格式的DOC文件中,只有文档模板可以存储实际的宏代码,从而作为病毒载体。,第十章计算机恶
2、意程序与病毒,1。宏的概念 宏(Macro)是微软公司为其OFFICE软件包设计的一个特殊功能,软件设计者为了让人们在使用软件进行工作时,避免一再地重复相同的动作而设计出来的一种工具,它利用简单的语法,把常用的动作写成宏,当在工作时,就可以直接利用事先编好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中的一些任务自动化。,OFFICE中的WORD和EXCEL都有宏。Word便为大众事先定义一个共用的通用模板(Normaldot),里面包含了基本的宏。只要一启动Word,就会自动运行Normaldot文件。如果在Word中重复进行某项工作,可用宏使其自动执行。Wor
3、d提供了两种创建宏的方法: 宏录制器和Visual Basic编辑器。,第十章计算机恶意程序与病毒,2。宏病毒的概念 1995年出现第一例,1996年出现种,目前,已经出现或变异成了上千种,其破坏性已经从良性发展到恶性。 宏病毒编制机理由Joel McNamara所公开,通过Internet网络的主题新闻组和电子公告牌详细阐述了计算机文档、电子邮件以及OLE环境的安全脆弱性,阐述了采用宏编写特殊程序(病毒)的可能性和文档,并公开了完整的、带注释的源程序DMV(Document Macro Virus),该文档本身有意感染上病毒,这个源程序则成为以后那些别有用心的人编制宏病毒的教材和示例。,第十
4、章计算机恶意程序与病毒,1)宏病毒是怎样传播的? 一个宏病毒传播主要发生在被感染的宏指令覆盖、改写及增加全局宏指令表中的宏,由此进一步感染随后打开和存贮的所有Doc文档。 当Word打开一个.doc文件时,先检查里面有没有模板/宏代码,如果有,就认为这不是普通的doc文件,而是一个模版文件,并执行里面的auto类的宏(如果有的话)。 一般染毒后的.doc被打开后,通过Auto宏或菜单、快捷键和工具栏里的特洛伊木马来激活,随后感染诸如Normal.dot或powerup.dot等全局模板文件得到系统“永久”控制权。夺权后,当系统有文档存储动作时,病毒就把自身复制入此文档并储存成一个后缀为.doc
5、 的模板文件;另外,当一定条件满足时,病毒发作。,第十章计算机恶意程序与病毒,2)宏病毒本身的局限性 由于只有模板文件才能储存宏指令,所以宏病毒只能以模板文件形式传播。而Word 在存储模板文件时(Save AS/另存为时),不能选择保存类型,只能存为文档模板 (.dot)。由此,很容易判断出一个文件是否为一个模板文件。如果是一个以.doc为后缀的模板文件,那么可以肯定的说,这是一个被染毒的文件,或者是一个宏病毒遗体。,宏病毒具有如下特征:,与操纵系统平台无关 它可以感染DOS, Windows, Win95, WinNT, MAC等系统下的文档和模板。 利用MS Word字处理软件特性自动装
6、载病毒宏代码 感染数据文件 宏病毒可以感染DOC, DOT, XLS等类型的数据文件 检测消除困难,第十章计算机恶意程序与病毒,宏病毒,正常 文件 模板,正常 文件 模板,病毒模板,宏病毒主要针对微软软件OFFICE,包括Word, Excel, Powerpoint等 病毒模板附着在正常程序后部 病毒程序用宏BASIC语言写成,可用VB工具读出。,第十章计算机恶意程序与病毒,3)宏病毒防御与消除 对付“宏” 宏病毒通过Auto宏和特洛伊木马来激活,通过修改全局模板文件来传播,因此,首先要禁止Word执行Auto类的宏。 如果不用向导类模板(其后缀一般为.wiz,一般人很少用),就完全可以禁止
7、Auto宏的执行,方法很简单,自己建立一个宏,名字叫做Autoexec,里面内容写上一句: DisableAutoMacros 1 即可,此宏是Auto宏里的老大,仅在Word启动时执行一次,即使有人对它作了篡改,只要不重起Word就不会起作用。,第十章计算机恶意程序与病毒,对付特洛伊木马 对付特洛伊木马,要建立自己的工作环境。 计算机病毒能大规模传染的一大原因是:环境的一致。如果每台机器都有其特殊之处,那么计算机病毒就很难传播和存活。 Word本身有着很强的定制功能,它可以被病毒利用进行传播,也可以被我们用来抵御病毒进攻。用户可以自己完全个性化整个界面,但所花功夫太大。但可以只定制一个Fil
8、eSaveAs放在工具栏里,就可以进行简单防护了。,第十章计算机恶意程序与病毒,保护全局模板文件 保护全局模板文件的关键是做备份,这是最后的防线,需要我们格外保护的是4个全局模板文件是: MSOfficeTemplateNormal.dot MSOfficeWinwordSTARTUPPOWERUP.DOT MSOfficeWinwordSTARTUPPRCADDIN.DOT MSOfficeWinwordSTARTUPSYMBAR.DOT 把这几个文件做一个备份,至少能保证Word每次重启动时总是处于无毒状态。,第十章计算机恶意程序与病毒,打开带毒文件时的防护 如果发现一个abc.doc文档
9、带毒,可如下手工杀除: 1)关闭并重启起Word,如果系统提示因为只读无法写normal.dot或其他dot时,千万别上当打开只读,导致病毒感染Normal.dot等系统模板文件。,第十章计算机恶意程序与病毒,2)copy abc.doc - abc.doc.vir做个备份 3)在Word里选“工具(T)/模板和加载项(I)/,再点管理器(O)按钮,在宏(M)栏先点关闭文件(F),使它变成打开文件(F),打开染毒的abc.doc,然后删除里面所有的宏,再把它关闭。,第十章计算机恶意程序与病毒,4)打开修改过的abc.doc,观察是否有异常 5)如果abc.doc一切正常,在资源管理器中,右键击
10、abc.doc,然后选新建,再把新建文档存盘即可。如果abc.doc文档遭到破坏,则解决起来较难。,第十章计算机恶意程序与病毒,常见宏病毒使用的宏: AutoOpen, AutoExec, Autoclose, AutoLoad, FileSaveAs, FileExit, FilePrint, FilePrintDefault, InsertPayLoad, PayLoad DropSuriv,第十章计算机恶意程序与病毒,常见宏病毒感染的Word模板: NORMAL.DOT 该模板文件通常存放在: C:WindowsProgram FilesOffice TemplatesNormal.do
11、t 手动检查宏病毒的方法: 1)在工具栏中使用宏(m) 宏(m) 2)使用Versual BASIC编辑器,第十章计算机恶意程序与病毒,第四节 计算机反病毒技术 永远的对抗! 计算机反病毒技术的难点和困惑 病毒制造和病毒机理的不可预知 反病毒技术发展迟缓,处于被动局面 关键技术:检测、确认;清除、恢复;预防、免疫。技术间的相互依赖,彼此影响。反病毒技术的副作用。并非所有病毒和未来病毒都能够检测、清除、免疫和进行系统恢复。病毒预报能够提出安全警告,但不一定能确认病毒。,第十章计算机恶意程序与病毒,一、计算机病毒的检查与识别 1. 静态检查 以病毒特征码扫描检查 特征码:特殊的病毒程序指令代码或数
12、据. 单一特征码串;组合特征码; 整体扫描、分区扫描、循环扫描、解压扫描、 缺点:特征码不全、缺少;欺骗性特征码;变异型特征码,第十章计算机恶意程序与病毒,单一特征码,组合特征码,欺骗特征码,变异特征码,病毒 B,病毒 A,病毒 A,第十章计算机恶意程序与病毒,病毒欺骗: 病毒欺骗通常指:在一种病毒代码中(如病毒A中)故意显式地设置另一种病毒(如病毒B)的代码,从而欺骗病毒检测和扫描程序,使其误认为是另一种病毒,造成错报和错误删除。,病毒A,病毒B,第十章计算机恶意程序与病毒,2. 动态检查 关键部位操作企图、可疑操作,对敏感部位和关键数据取的访问企图。例如: 对中断矢量的修改 对系统参数的修
13、改 对配置参数的修改,第十章计算机恶意程序与病毒,对中断矢量的修改 地址:00000-003FF 对系统参数的修改 地址:00400-005FF 如:00413 = 0280 = 640KB容量 不能减少。 对配置参数的修改 I/O地址 70-71,如: IN AL , 70 OUT 71 , AL,第十章计算机恶意程序与病毒,3. 病毒检测的副作用 1)漏报 系统中有病毒但不能够检查出来。 原因: 未知新病毒、病毒变异、多形性病毒或者隐形病毒;检测程序功能有限、检查技术、位置、途径不对。 无病毒特征码,病毒特征码不断改变,压缩文件方式多样,病毒体加密解密方式改变(如循环加密等),病毒采用反跟
14、踪技术和迷惑技术,内存高端和 XMS/EMS 区驻留,病毒技术避开检测技术等。,第十章计算机恶意程序与病毒,2)误报 系统中没有病毒报成有病毒。 原因: 病毒特征码选择不合理, 正常操作与非正常操作不能区分、判断失误,检测技术错误或者不妥。 因特殊的干扰而作出错误推测。,第十章计算机恶意程序与病毒,3)错报 将一种病毒错报成另一种病毒。 原因: 特征码交叉,病毒交叉感染,病毒、重复感染、病毒欺骗等。 一般性错报: 病毒名称的人为命名 确认病毒名称,采用对应反病毒软件。 多种病毒具有相同的特征码 选择合适的病毒特征码,选用反病毒软件。,第十章计算机恶意程序与病毒,对实用而言,少许的漏报和误报是允
15、许的,而错报可能会带来一定问题。但误报率超过一定限度,就会对用户产生干扰,也会对反病毒软硬件的质量与可靠性产生怀疑。,第十章计算机恶意程序与病毒,二、计算机病毒的清除 1. 计算机病毒清除的机理 只把病毒程序清除掉并不一定能保证系统恢复正常,理论上应当将那些被病毒改动和覆盖的代码、数据和参数完全恢复,但这是困难的。 目前的方式:删除、覆盖、替换、恢复 2. 计算机病毒清除问题的讨论 1) 安全干净清除(期望) 2) 不能够安全清除(可用,可信) 3) 不能清除(保守疗法),第十章计算机恶意程序与病毒,计算机病毒清除问题的讨论 例如:引导区病毒的覆盖、替换性清除,正常引导扇区,正常引导扇区,转移
16、,病毒程序扇区,替换,病毒程序扇区,重复感染,病毒程序扇区,覆盖清除,1)第一次感染清除用正常引导区覆盖病毒区可以完整清除病毒。 2)重复感染后清除,仍然用病毒区覆盖病毒区,不能有效清除。,第十章计算机恶意程序与病毒,三、病毒清除后的系统恢复 病毒消除的副作用: 带毒程序可以执行,但病毒消除后却反而不能执行甚至死机。 带毒系统本来可以正常启动,但消除病毒后反而系统不能启动,而且很难恢复。,第十章计算机恶意程序与病毒,产生的问题: 用户反感、怀疑、愤怒、不愿使用。 反病毒技术和消病毒软件失去实用性,可信性。这种副作用在病毒变异和病毒交叉感染情况下尤其严重,对病毒的错误消除将产生文件或者系统的不可能恢复。,第十章计算机恶意程序与病毒,错误检测将导致错误消除,可能引起系统崩溃、死机,使系统不能恢复。 目前,很多病毒不能安全清除,或清除后系统恢复不全。 不能清除的原因: 新型病毒机理不完全了解,
