《网管员必读——网络安全(第2版)第二章》由会员分享,可在线阅读,更多相关《网管员必读——网络安全(第2版)第二章(36页珍藏版)》请在金锄头文库上搜索。
1、第2章 病毒、木马和恶意软件的清除与预防本章介绍的是计算机病毒、木马和恶意软件相关基础知 识,并通过具体的实用工具介绍相应的清除与预防方法。 本章重点如下: u计算机病毒的主要特征 u计算机病毒的分类及各自主要特点 u蠕虫病毒的主要特征及通用清除和预防方法 u维金病毒、熊猫烧香病毒和ARP病毒的查找与清除方法 u木马的伪装和运行方式 u木马的通用清除和预防方法 u灰鸽子的查找和清除方法 u恶意软件的主要特征及运行机制 u恶意软件的分类、预防方法和清除 u恶意代码的预防方法 u恶意软件的深度防护方法2.1 认识计算机病毒 2.1.1 计算机病毒的演变 上世纪80年代初出现了第一批计算机病毒。19
2、86年,媒 体报道了攻击MS-DOS个人计算机的第一批病毒,人们普 遍认为Brain病毒是这些计算机病毒中的第一种病毒。1988 年出现了第一个Internet蠕虫病毒1990年,网上出现了病毒交流布告栏,成为病毒编写者 合作和共享知识的平台。接着在1992年,出现了第一个多 态病毒引擎和病毒编写工具包。自那时起,病毒就变得越 来越复杂,病毒开始访问电子邮件通信簿,并将其自身发 送到联系人,宏病毒将其自身附加到各种办公类型的应用 程序文件并攻击这些文件,此外还出现了专门利用操作系 统和应用程序漏洞的病毒。目前计算机病毒仍是计算机和网络安全的最主要威胁之 一,其特点主要表现不仅是计算机病毒的数量
3、非常多,而 且这些新病毒都在不断变种,难以发现和清除,危害性也 都非常大。2.1.2 什么是非恶意软件以前我们通常是这样理解恶意软件,那就是对我们可能 造成威胁的都应算是恶意软件,其实现在通常不这么认为 。有许多存在的威胁并不被认为是恶意软件,因为它们不 是具有恶意的计算机程序。常见类型的非恶意软件如下: u 玩笑软件 u 恶作剧 u 欺诈软件 u 垃圾邮件 u 间谍软件 u 弹出广告软件 u Internet Cookie本节详细内容参见书本P44P45页。2.1.2 计算机病毒的产生 计算机病毒产生的根源一般是:开玩笑,搞恶作剧;测 试自己的病毒程序开发能力;出于个人报复;用于版权保 护。
4、具体内容参见书中介绍。2.1.3 计算机病毒的主要特点 计算机病毒综合起来的主要特点表现在如下几个方面:u未经授权而执行 u具有传染性 u具有隐蔽性 u具有潜伏性 u具有破坏性 u不可预见性2.2 计算机病毒的分类 2.2.1 按传播媒介分按照计算机病毒的传播媒介来分类,可分为单机病毒和 网络病毒两种。 2.2.2 按照计算机病毒的链接方式分按照计算机病毒的链接方式分类,计算机病毒可分为: 源码型病毒、嵌入型病毒、外壳型病毒和操作系统型病毒 四种。 2.2.3 按破坏程度分 按破坏程度可分为良性病毒、恶性病毒、极恶性病毒和 灾难性病毒四种。 2.2.4 按传染方式分 按传染方式分为引导型病毒、
5、文件型病毒和混合型病毒 三种。以上各种类型计算机病毒的特征和危害参见书中介绍。 2.3 计算机病毒防护软件 在计算机病毒防护软件中,又可分为单机版和网络版( 也有称“企业版”的)。单机版顾名思义只是对单一主机进 行病毒防护和清除,适用于单机的个人用户选择;而网络 版则是针对整个网络进行病毒防护,适用于企业用户选择 。 2.3.1 单机版杀病毒软件 本节介绍了卡巴斯基因特网安全套装6.0个人版、AVG Anti-Virus System 7.5、趋势科技PC-cillin Internet Security 2006和小红伞AntiVir Personal Edition 6.37这六款单机版杀
6、 毒软件的基本特征和主要功能。具体内容参见书中介绍。 2.3.2 网络版杀毒软件 本节介绍了国产的金山毒霸网络版2.0、江民杀毒软件 KV网络版2006和瑞星杀毒软件网络版三款网络牒杀毒软 件的组成和主要功能。具体内容参见书中介绍。2.4 网络蠕虫病毒的清除与预防 2.4.1 网络蠕虫的定义和危害性蠕虫这个生物学名词在1982年由Xerox PARC 的John F Shoch等人最早引入计算机领域,并给出了计算机蠕虫的 两个最基本特征,即可以从一台计算机移动到另一台计算 机,并且可以自我复制。2.4.2 网络蠕虫的基本特征 可以归纳出网络蠕虫的行为特征如下:主动攻击;行踪 隐蔽;利用系统、网
7、络应用服务漏洞;造成网络拥塞;降 低系统性能;产生安全隐患;反复性;蠕虫病毒编写简单 ;传播方式多样。以上两节的具体内容参见书中介绍。2.4.3 预防网络蠕虫的基本措施 1企业网络蠕虫病毒的预防对于企业用户而言,在预防网络蠕虫上应注意以下几个 方面: u及时更新系统安全补丁 u建立病毒检测系统 u建立应急响应系统 u建立灾难备份系统 u把邮件存放在其他分区 u从邮件分析中发现蠕虫病毒 u慎用邮件预览功能 u当心可执行文件 u定期升级病毒库 u及时升级系统或应用程序安全补丁u其他安全措施2个人用户对蠕虫病毒的防范措施对于个人用户而言,在预防蠕虫病毒上要注意以下几个 方面: u选择合适的杀毒软件
8、u经常升级病毒库 u不要轻易访问陌生的站点 u不随意查看陌生邮件,尤其是带有附件的邮件2.4.4 维金病毒的查找与清除 维金蠕虫病毒主要通过网络共享传播,病毒会感染电脑 中所有的.exe可执行文件。维金病毒运行后,修改注册表项自行启动,以使自己随 系统一起运行,向C盘“Program Files”和“Program Filesmicorsoft”文件夹下生成svhost32.exe文件;在C盘 WINDOWS目录下(Windows 2000系统是在Winnt目录下 )生成以下病毒文件:explorer.exe、logo1_.exe、 rundll32.exe、rundl132.exe、dll.
9、dll;在“Windowsintel”文 件夹下生成rundl132.exe文件。简单的说,就是在进程里面 可以看到:logo1_.exe文件在运行着。 有关维金病毒的破坏力和感染后的主要症状,以及清除 方法请参见书中介绍。 2.4.5 熊猫烧香蠕虫病毒的查找与清除 “熊猫烧香”(Worm.WhBoy.h)是一个感染型的蠕虫病 毒。它能感染系统中的.exe,com,.pif,.src,.html,.asp 等文件,中止绝大部分的杀毒软件进程,并且删除扩展为 .gho的文件。该文件是一系统备份工具GHOST的备份文件 ,最终使电脑用户的系统文件丢失,导致无法正常使用。 同时该病毒还能终止大量反病
10、毒软件(包括天网防火墙、 virusSca、nNOD32、金山毒霸/网镖、瑞星、江民、黄山IE 、超级兔子、优化大师、注册表编辑器、卡巴斯基和 Symantec AntiVirus)进程,大大降低用户系统的安全性。有关熊猫烧香病毒感染后的主要症状,以及清除方法请 参见书中介绍。 2.5 ARP病毒的清除与预防 2.5.1 ARP病毒攻击原理ARP病毒利用的是ARP协议在网络通信中的作用。ARP 协议就是通过目标设备的IP地址,查询目标设备的MAC地 址,以保证通信的顺利进行。通过ARP协议来完成IP地址 转换为第二层物理地址(MAC地址)。 而交换机在数据通信过程中又是通过MAC地址来识别目
11、的主机地址的。这个MAC是保存在交换机的缓存中的,这 样一来如果缓存中的MAC地址列表有误,交换机就会把数 据包发送到错误的目的主机上,造成真正的网络通信失败 。ARP病毒就是通过ARP协议来修改主机和交换机中的 MAC地址列表,以此来达到破坏的目的。具体的攻击原理参见书中介绍。 2.5.2 ARP病毒的清除与预防(略,参见书中介绍) 2.6 认识木马 2.6.1 木马简介木马程序不同于病毒程序那样感染文件,而是作为一种 驻留程序隐藏在系统内部。木马一般是以寻找后门、窃取 密码和重要文件为主,还可以对电脑进行跟踪监视、控制 、查看、修改资料等操作,具有很强的隐蔽性、突发性和 攻击性。由于木马具
12、有很强的隐蔽性,用户往往是在自己 的密码被盗、机密文件丢失的情况下才知道自己中了木马 。本节要向大家介绍如何检测自己的计算机是否中了木马 ,以及中了木马如何清除,平常应做的防范措施又有哪些 等方面的内容。一个完整的木马系统由硬件部分、软件部分和网络连接 3部分组成。这三部分的具体内容参见书中介绍。 2.6.2 木马的伪装方式 木马的伪装方式主要有以下几种:修改图标、捆绑文件 、假装出错显示、定制端口、自我销毁、自动更名。具体 参见书中介绍。2.6.3 木马的运行方式 1. 木马的触发条件木马的触发条件一般出现在下面几个地方:注册表、 win.ini文件、system.ini文件、Autoexe
13、c.bat文件、 Config.sys文件、其他.ini文件、启动菜单、捆绑文件。 2木马的运行过程木马被激活后,进入内存,并开启事先定义的木马端口 ,准备与控制端建立连接。这时服务器端用户可以在MS- DOS方式下,键入netstat -an命令查看端口状态。一般个人 电脑在脱机状态下是不会有端口开放的,如果有端口开放 ,就要注意是否感染木马了。 2.6.4 木马的手工查杀与防范手工检测木马的方法有多种,但常用的可以采用以下几 种主要方式: u 查看开放端口通常使用一些专门的工具软件进行,如Windows系统自 带的netstat命令,它的语法格式为:netstat -a -e -n -o
14、-p Protocol -r -s Interval。通过运行这个命令即可查 看当前系统中哪些端口正在使用,再与当前系统中打开的 软件系统相比较就可以比较容易地分析出哪些端口是正在 被木马软件利用。还有一款Fport软件,与netstat工具类似,但功能更加强 大,是一款非常流行的端口检测软件。图形化界面工具 Active Ports则一款可以在图形界面中操作的端口检测软件 。它们都可以查看当前打开了哪些端口,然后与当前系统 中正常软件系统使用的端口和本书后面提供的木马软件使 用的端口表对照即可发现自己的系统是否中了木马。u 查看win.ini和system.ini系统配置文件因为木马程序会经
15、常修改win.ini和system.ini这两个文件 ,以达到隐藏,并且随系统启动而自动启动的目的,所以 在一定程度上我们通过查看这两个文件是否有被修改可以 判别是否中了木马。当然并不是所有木马程序都会修改这 两个文件,而且要想从这两个文件中发现是否被修改也是 有相当难度的,至少要知道相应木马修改这两个文件的一 般特征,才有针对性地去查看。有的木马是通过修改win.ini文件中windows节中的 “load=”和“run=”项语句实现自动加载的。在system.ini文件 中通常是修改boot节中的语句。所以我们着重要查看这两 个文件中的这两节中的语句,看它们所加载的程序是否属 于正常程序。
16、一些常见木马的清除方法也将在本书附录列 举。 u 查看启动程序要查看系统启动文件,可以通过系统配置程序进行,在 “运行”窗口输入msconfig命令,在打开的对话框中选择“启 动”选项卡,如图2-1所示。 u 查看系统进程 通常可以通过查看系统进程来推断木马是否存在,只是由 于我们不是对所有正常进程的名称和用途完全了解,所以难 以区分哪个进程是木马程序进程而已。系统进程的查看可以 在Windows NT/XP系统中,按下CTRL+ALT+ DEL组合键来打开进程对话框进行。图2-1:“系统配置实用程序”窗口“启动”选项卡2.6.5 木马的软件自动清除和预防 1自动查杀木马的方法虽然可以通过前面介绍的方法达到清除木马的目的,但 是大多数用户,对于大多数木马都是通过各种杀毒软件、 木马专杀工具等进行查杀的。目前主要的杀毒软件品牌有金山、瑞星、江民、诺顿、 趋势、卡巴斯基、AVG和小红伞等。前3种国内品牌目前 的最新版本均为2007版。经笔者试用后,认为AVG和卡巴
