《信息网络安全知识普及教育培训教程-常见计算机木马和病毒及防范》由会员分享,可在线阅读,更多相关《信息网络安全知识普及教育培训教程-常见计算机木马和病毒及防范(27页珍藏版)》请在金锄头文库上搜索。
1、课程名称:常见计算机木马与病毒及防范钟尚平,男, 1969年10月生,博士,副教授, 硕士生导师, 福州大学数计学院网络工程研究所所长, 福建省超级计算中心副主任。 1991年和1997年在福州大学数学系和计算机系分别获得学士和硕士学位。 作为校优秀毕业生, 留校任教六年。1997年至2002年在IT企业从事研发工作, 任高级程序员,项目经理, 软件部经理和副总工程师等职。 2002年9月至2005年1月在中国科学院计算技术研究所读博士学位,师从高庆狮院士, 获得诺基亚博士生冠名奖学金和中科院计算所优秀学生称号等奖励, 并于2005年1月破格两年半毕业。已在网络信息安全(总参、网安、国安)、电
2、信和电力行业应用等方向, 负责(或参与)了多项软硬件项目。作为第一作者,已发表录用20 余篇论文, 作为第一申请人,获得了两项国家发明专利。1 引言据2009年6月2日解放军报披露,5月29日,奥巴马总统公布了一份由安全部门官员起草的网络安全评估报告,认为来自网络空间的威胁已经成为美国面临的最严重的经济和军事威胁之一。他在公布这份报告时说,过去两年网络入侵事件已给美国造成80亿美元的经济损失,他本人去年参加总统竞选期间竞选阵营的网络系统也曾遭黑客入侵。“网络空间及其带来的威胁都是真实的,保护网络基础设施将是维护美国国家安全的第一要务。”另据披露,在软杀伤网络战武器方面,美军已经研制出2000多
3、种计算机病毒武器,如“蠕虫”程序、“特洛伊木马”程序、“逻辑炸弹”、“陷阱门”等。2009年5月19日、20日两天,全国多个省份连续发生大面积互联网网络故障,很多用户一度无法正常访问网站。经工业和信息化部查明,这是暴风影音等网站的域名解析系统受到攻击而引发的一次网络故障。2009年的3月15日晚上,CCTV的3.15晚会上全面暴光了个人信息被窃取等一系列安全事件, 比如黑客通过木马盗号窃取用户的银行资金类似的安全事件不胜枚举。事实上,提起计算机木马和病毒, 绝大多数计算机的使用者都会深恶痛绝, 因为没有“中过招”的人已经凤毛麟角了。计算机木马和病毒的防御对个人用户和网络管理员来说是一个颇为头疼
4、的任务。特别是随着木马和病毒的防杀技术越来越高级,防御就变得越来越复杂, 越来越困难。但同时, 木马和病毒的猖獗也催生了一个新兴的产业-信息安全产业。反病毒软件、防火墙、入侵检测系统、网络隔离、数据恢复技术这一根根救命稻草,使很多企业和个人用户免遭侵害,在很大程序上缓解了计算机木马和病毒造成的巨大破坏,同时,越来越多的企业加入到信息安全领域,同层出不穷的黑客和病毒制造者做着顽强的斗争。但稻草毕竟是稻草,救得一时不一定救得一世。目前市场上主流厂商的信息安全产品经过多年的积累和精心的研发,无论从产品线还是从技术角度讲,都已经达到了相当完善的程度。但是,再好的产品,如果不懂得如何去使用,发挥不了产品
5、真正的优势,又与稻草有什么区别呢?很多用户在被病毒感染以后才想起购买杀毒软件,查杀以后就再也不管,没有定期的升级和维护,更没有根据自己的使用环境的特点,制定相应的防范策略,可以说把产品的使用效率降到了最低,这样的状态,怎能应付日新月异的木马和病毒攻击呢?那么,如何将手中的稻草变成强大的武器,当危险临近时,能够主动出击,防患于未然呢?我们认为,关键的问题在于对“对手”的了解。若我们对木马和病毒的成因, 特点,发作症状和防范措施有了最基础的了解,才可能未雨绸缪,配合手中的工具,防患于未然。2.1 病毒的特点按照我国计算机管理条例法对(传统意义上的)病毒定义有两个最明显的特点,它具有自我传播性,就是
6、我们所说的感染;还有一个是破坏性。一般病毒会带来一定的危害,这两个特性是病毒最重要的特性。目前病毒主要是伴随着网络的发展,需要进行快速的传播。比如说2003年的冲击波,是利用的系统漏洞,传播速度非常之快,一天之内感染了全球大部分有漏洞的电脑。病毒主要的发展趋势就是传播,要达到最大泛围的传播。目前在国内外比较流行的一些病毒主要是利用即时通信软件或恶意邮件进行传播。随着病毒的发展,一种叫做蠕虫(Worm)的病毒逐渐引起人们的注意。一般认为,蠕虫是一种通过网络传播的恶性病毒,它具有传播性、隐蔽性、破坏性等病毒的一些共性,同时具有自己的一些特征,比如不利用文件寄生(有的只存在于内存中),对网络造成拒绝
7、服务,以及和黑客技术相结合等等。普通病毒需要传播受感染的驻留文件来进行复制,而蠕虫不使用驻留文件即可在系统之间进行自我复制,普通病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。它能控制计算机上可以传播文件或信息的功能,一旦系统感染蠕虫即可自行传播,该病毒会将自己从一台计算机复制到另一台计算机,更危险的是它还可大量复制。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短时间内蔓延整个网络,造成网络瘫痪。局域网条件下的共享文件夹、电子邮件、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径,蠕虫病毒可以在几个
8、小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。此外,蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。而且它的传播不必通过“宿主”程序或文件,因此可潜入你的系统并允许其他人远程控制你的计算机,这也使它的危害远较普通病毒为大。2.2 木马与后门木马跟传统意义上的病毒最本质的区别是病毒以感染为目的,木马更注重于目的性。在技术层面来讲,病毒大部分是要用底层语言编写,而木马则更容易用高级语言编写实现。病毒主要的特性是感染很疯狂,而木马为了达到一定的目的性,选择定点传播这样的途径。早期木马最主要的是控制电脑。现在的木马最主要的是转变成偷窃,更关注用户的私密信息。木马能盗取用户隐秘信
9、息,其根本就是打开了计算机系统的后门,实际上,很多软件自己本身就带有后门。在软件的开发阶段,程序员常会在软件内创建后门,以便修改程序中的缺陷。如果这些后门被其他人知道,或是在发布软件之前没有删除后门,那么它马上就成了安全风险的来源。后门又称为BackDoor。为什么需要那么多扇门呢?因为主人的事务很繁忙,它为了同时处理很多应酬,就决定让每扇门对应一项应酬。所以有的门是主人特地打开迎接客人的(提供服务),有的门是主人为了出去访问客人而开设的(访问远程服务)。理论上,剩下的其他门都该是关闭着的,但偏偏因为各种原因,有的门在主人不知道的情形下,却被悄然开启。于是就有好事者进入,主人的隐私被刺探,生活
10、被打扰,甚至屋里的东西也被搞得一片狼藉。这扇悄然被开启的门,就是今天我们要讲的“后门”,当然这只是一个比喻。后门程序一般是指那些绕过安全性控制,而获取对程序或系统访问权的程序方法。照着这种标准来衡量的话,Windows Update也被人们归纳为后门之一了,2008年的Windows XP黑屏事件就是一个例子。虽然微软“信誓旦旦”地说他们不会搜集个人电脑中的信息,但从Windows Update的行为进行分析的话,就会发现它必须搜集个人电脑的信息才能进行操作,所不同的只是搜集信息而已。后门程序跟我们通常所说的“木马程序”有联系也有区别。联系在于都是隐藏在用户系统中向外发送信息,而且本身具有一定
11、权限以便远程机器对本机的控制。区别在于木马程序是一个完整的软件,而后门程序则体积较小且功能都很单一。而且在病毒命名中,后门一般带有backdoor字样,而木马一般则是torjan字样。由于它们之间的差别越来越小,所以现在“后门”基本已经被“木马”所取代。2.3 木马与远程控制要详细了解木马程序,首先要知道远程控制软件。远程控制是基于网络才能实现的计算机操作。远程控制技术,始于DOS时代,只不过当时由于技术上没有什么大的变化,网络不发达,市场没有更高的要求,所以远程控制技术没有引起更多人的注意。但是,随着网络的高速发展,管理及技术支持的需要,远程操作及控制技术越来越引起人们的关注,远程控制也得到
12、广泛的应用。一、什么是远程控制远程控制操作是通过远程控制软件来完成的。远程控制软件一般由两部分组成,用于发送指令的发出端被称为主控端或客户端(Client),被客户端控制的计算机被称为被控端或服务端(Server)。在进行远程控制操作以前,需要把服务端程序安装到被控制的电脑中,而在本地电脑里也需要安装相应的客户端程序。如果要进行远程控制,首先由服务端程序在远程电脑中打开一个特定的端口,然后客户端程序向远程电脑中的服务端发出信号,这时服务端就会打开一个端口建立起远程服务,这样,客户端程序就可以远程控制服务端了。这里所说的是一对一的电脑控制,即一台电脑对另外一台电脑的远程控制。其实,基于远程服务的
13、远程控制最多的模式是一对多,即利用远程控制软件,我们可以使用一台电脑控制多台电脑。这种模式多数用于局域网中,网络管理员可以通过远程控制轻松地管理局域网中的每一台电脑。有了一对多这种模式,当然就有多对一的模式,即利用远程控制软件让多用户同时管理一台远程电脑。这种多对一的控制模式多数时候用于各种教学演示。二、木马的特殊性远程控制虽然可以方便地操纵远程计算机,但它也可能给远程计算机带来安全隐患。因为远程计算机一旦成为服务端后,其他人只要知道了这台计算机的IP地址和服务端打开的端口,就可以对其控制,安全隐患令人担忧。因此,远程计算机软件必须有一套严密的安全审核机制,通常采用的是密码验证等手段来判断计算
14、机的合法客户端,只有合法的客户端才会被服务端予以执行,否则就予以拒绝,这样就能在一定程度上保证远程计算机的安全。著名的远程控制软件“冰河”就是因为程序的密码验证功能存在一个很大的漏洞,致使“冰河”被广泛传播,给广大计算机用户带来极大的安全隐患。其实木马程序的工作原理和远程控制软件是一样的,木马就是一种基于远程控制技术的黑客工具,它具有隐蔽性和非传播性等特点。所谓隐蔽性就是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,如写入注册表、和某些类型的文件相关联等,这样即使木马的服务端被发现清除后,木马也可以自动恢复。非传播性说明木马只能依靠人为的“种植”而传播的,并不能依靠木马自身进行自行
15、传播。木马除了有极强的远程控制能力以外,危害性也是不言而喻的。一旦客户端和服务端连接后,客户端将享有服务端的大部分操作权限,如窃取密码、修改注册表、控制鼠标键盘等等,严重时甚至可以使计算机锁死并格式化硬盘。一个功能强大的木马一旦被植入,黑客就可以像操作自己的机器一样对其进行控制,这台电脑就像“肉鸡”一样被人随意支配。2.4 木马和病毒的命名规则木马和病毒的命名并没有统一的规定,每个反病毒公司的命名规则不完全相同,但主要采用在原有名称基础上加前后缀的方法。中间以点 “.”分隔。如:瑞星反病毒公司的命名规则为:前缀:指一个病毒的种类,他是用来区别病毒的种族的。不同的种类的病毒,其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan,脚本类病毒的前缀VBS或Script,后门病毒的前缀是Backdoor,蠕虫病毒的前缀是Worm,宏病毒的前缀是Macro、WM、WM97、XM、XM97,而Win32、W32、PE等代表系统病毒等。病毒名:指一个病毒的家族特征,是用来区别和标识病毒家族的。如1998年开始出现的CIH病毒的家族名都是统一的“CIH”,振荡波蠕虫病毒的家族名是“Sasser”。后缀:指一个病毒的变种特征,是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母或阿拉伯数字表示,如Worm.Mocbot.b是
