网络安全笔记:计算机病毒及恶意软件防范
该部分为本科期间网络安全课程笔记备份。
计算机病毒概述
计算机病毒的概念、发展及危害
计算机病毒定义:根据 《 中华人民共和国计算机信息系统安全保护条例 》 的规定为:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
计算机病毒的产生和发展
计算机病毒的产生原因的四个方面:恶作剧型、报复心理型、版权保护型、特殊目的型
计算机病毒发展的主要阶段:
- 原始病毒阶段(第一阶段)
- 混合型病毒阶段(第二阶段)
- 多态性病毒阶段(第三阶段)
- 网络病毒阶段(第四阶段)
- 主动攻击型病毒阶段(第五阶段)
计算机病毒的现状及危害性
现状:
2018年我国计算机病毒感染率和移动终端病毒感染率均呈上升态势。其中,网络安全问题呈易变性、不确定性、规模性和模糊性等特点,网络安全事件发生成为大概率事件,信息泄漏、勒索病毒等重大网络安全事件时有发生。
危害:
- 可以直接进行破坏
- 抢占系统资源
- 占用磁盘空间并破坏信息
- 影响计算机运行速度
- 病毒错误的后果难以预料
- 病毒的兼容性影响系统的运行
- 病毒给用户造成严重的心理压力
计算机病毒的主要特点
| 特点 | 描述 |
|---|---|
| 潜伏性 | 一般情况下,计算机病毒感染系统后,并不会立即发作攻击计算机,而是具有一段时间的潜伏期,潜伏期长短一般由病毒程序编制者设定的触发条件来决定。 |
| 传染性 | 计算机病毒入侵系统后,在一定条件下,破坏系统本身的防御功能,迅速地进行自我复制,从感染存储位置扩散至未感染存储位置,通过网络更可以进行计算机与计算机之间的病毒传染。 |
| 破坏性 | 计算机系统一旦感染了病毒程序,系统的稳定性将受到不同程度的影响。一般情况下,计算机病毒发作时,由于其不断的自我复制,大部分系统资源被占用,从而减缓了计算机的运行速度,使用户无法正常使用。严重者,可使整个系统瘫痪,无法恢复,造成损失。 |
| 隐蔽性 | 计算机病毒通常以人们熟悉的程序形式存在。有些病毒名称往往被命名为类似系统名 |
| 多样性 | 由于计算机病毒具有自我复制和传播的特性,加上现代传播媒介的多元化,计算机病毒的发展在数量与种类上均呈现出多样性特点。 |
| 触发性 | 隐蔽地潜伏在某个程序或某个磁盘中,当达到病毒程序所敲定的触发条件,病毒程序立即自动执行,并且不断地进行自我复制和传染其他磁盘,对系统进行破坏。 |
计算机病毒分类
根据病毒的破坏程度划分:
- 无害型病毒
- 主要指对系统和数据无破坏目的病毒。此类病毒往往以画面或声音的形式使感染病毒的用户知道其存在,并不会造成严重破坏。但通常此类病毒的存在会使CPU占用率大幅升高,增加系统负荷,降低其工作性能。
- 典型:台湾一号病毒、维也纳病毒
- 危险型病毒
- 指会对系统和数据进行破坏,造成数据损失,甚至整个计算机系统崩溃的一类计算机病毒。
- 典型:熊猫烧香病毒、极虎病毒
- 毁灭型型病毒
- 删除程序、破坏数据、清除系统内存区,甚至是操作系统中重要的数据信息。除对软件系统造成巨大程度破坏外,毁灭型病毒对硬件系统的破坏同样不容忽视,显示器、CPU、光驱、显卡、主板、硬盘等都有可能成为其攻击的计算机硬件。
按照操作系统划分:
- DOS病毒
- 指在DOS环境下运行、传染的计算机病毒。
- 由于计算机发展初期多为DOS操作系统,因此该病毒在目前普遍的windows环境下发作的几率很小。
- Windows病毒
- 指能感染Windows可执行程序并可在Windows下运行的一类病毒。
- 目前绝大部分用户安装的都是Windows系统,此类病毒传染Windows系列(9X、NT等)操作系统的计算机。
- Linux病毒
- 针对Linux、Unix等操作系统开发的病毒。
- 此类病毒受系统免疫力及用户群数量影响,相对来说病毒量及发作率要小。
- 手机和其他操作系统病毒
按照病毒依附载体划分:
- 引导区型病毒
- 指以磁盘引导区或主引导区作为依附载体的病毒
- 该病毒在系统启动过程中,入侵系统并依附于内存之中,达到监视和控制整个系统的目的,随时可以发作和传染
- 文件型病毒
- 最常见的计算机病毒,具有数量多、传播广的特点
- 此类病毒依托于系统中各种类型的文件,对宿主文件进行篡改,一旦运行则激活病毒发作
- 复合型病毒
- 具引导区型病毒和文件型病毒两类病毒的特点
- 利用系统漏洞感染正常的文件,同时感染引导区
- 典型:“艾妮”复合型病毒
- 宏病毒
- 以文档或模板的宏为传播载体的计算机病毒
- 影响对文档的各种操作
- 打开带有宏的文档,病毒就会发作,并留置在模板中。通过该模板打开的文档或自动保存的文档立即被感染上宏病毒
- 蠕虫病毒
- 不用将自身依附在宿主程序,但需要通过网络这个载体进行复制和传播
- 传播途径:网络共享文件、电子邮件、恶意网页、有漏洞的服务器等
按照病毒传染方式分类:
- 引导型病毒:主要是感染磁盘的引导区,系统从包含了病毒的磁盘启动时传播,一般不对磁盘文件进行感染;
- 文件型病毒:只传染磁盘上可执行文件,其特点是附着于正常程序文件,成为程序文件的一个外壳或部件;
- 混合型病毒:兼有以上两种病毒的特点,既感染引导区又感染文件,因此扩大了其病毒的传染途径。
按照病毒的连接方式分类:
- 源码型病毒:主要攻击源程序,可插在系统源程序中,并随之一起编译,连接成可执行文件,从而导致刚生成的可执行文件带毒;
- 嵌入型病毒:可嵌入到现有程序中,将病毒的主体程序与其攻击对象插入链接,进入程序后难以清除;
- 外壳型病毒:将其包围在合法主程序的周围,对原来程序不做修改。
- 操作系统型病毒:将自身的程序代码加入其中或取代部分合法程序运行,具有极强的破坏力,甚至可以导致整个系统的瘫痪。
计算机中毒的异常现象
计算机病毒发作前的症状
① 操作系统无法正常启动。
② 运行速度变慢。
③ 突然无故死机或产生非法错误。
④ 软件经常发生内存不足问题。
⑤ 打印或传输异常。
⑥ 系统文件的时间或大小无故改变。
⑦ 磁盘空间无故减少。
⑧ 无法另存为Word 文档。
⑨ 自动链接到陌生的网站。
⑩ 网络驱动器卷或共享目录无法调用。
计算机病毒发作时的现象
① 发出音乐。
② 提示不相关信息。
③ 产生特定的图象。
④ 硬盘灯不断闪烁。
⑤ 突然死机或重启。
⑥ 以游戏中断操作。
⑦ Windows 默认图标发生变化。
⑧ 鼠标自移动。
⑨ 自动发送电子邮件。
计算机病毒发作后的症状
① 系统文件丢失或被破坏。
② 硬盘无法启动,数据丢失。
③ 部分文档丢失或被破坏。
④ 文件目录发生混乱。
⑤ 主板的BIOS 程序混乱,主板被破坏。
⑥ 网络瘫痪,无法提供上网、登录、浏览等正常的网络服务。
⑦ 部分文档自动加密。
⑧ 修改Autoexec.bat,导致重新启动时格式化硬盘。
计算机病毒的构成与传播
计算机病毒的构成
计算机病毒程序通常由三个单元和一个标志构成:引导模块、感染模块、破坏表现模块和感染标志。
- 感染标志
- 引导单元
- 计算机病毒在感染前,需要先通过识别感染标志判断计算机系统是否被感染,若判断没有被感染则将病毒程序的主体设法引导安装在计算机系统,为其感染模块和破坏表现模块的引入、运行和实施做好准备。
- 感染模块
- 激活感染功能的判断部分
- 传染功能的实施部分
- 破坏表现模块
计算机病毒的传播扩散
计算机病毒的传播感染性是计算机病毒最危险的特点之一。计算机病毒潜伏在系统内,用户在不知情的情况下进行相应的操作激活触发条件,使其得以由一个载体传播至另一个载体,完成传播过程。随着计算机应用以及互联网发展,病毒的传播也从传统的常用交换媒介传播,逐渐发展到通过互联网进行全球化的传播。
- 移动式存储介质
- 主要包括:软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、记忆棒、移动硬盘等。
- 移动存储介质以其便携性和大容量存储性为病毒的传播带来了极大的便利,这也是它成为目前主流病毒传播途径的重要原因。
- 网络传播扩散
- 当用户浏览不明网站或误入挂马“钓鱼”网站后,在访问网站的同时,计算机病毒便会在系统中侵入并安装病毒程序,使终端计算机不定期的自动访问该网站,被黑客窃取重要的机密文件或用户名、密码等信息,给用户造成各种损失。
- 浏览不明网站传播、电子邮件扩散、下载文件传播、即时通讯传播、移动通信终端传播
计算机病毒的触发和生存
计算机病毒触发条件:一般是指时间或操作条件,融合多个触发条件的病毒被触发。
计算机病毒的触发条件: ①时间触发。②键盘触发。③感染触发。④启动触发。⑤访问磁盘次数触发。⑥调用中断功能触发。⑦CPU型号/主板型号触发。
计算机病毒的生存:
- 计算机病毒的生存周期:①开发期。 ②传播期。 ③潜伏期。④发作期。 ⑤发现期。⑥消化期。⑦消亡期。
- 计算机病毒的寄生对象
- 计算机病毒的生存方式
特种及新型病毒实例
木马(Trojan)是特洛伊木马(Trojan horse)简称,是一种人为编制的具有远程监控功能的计算机病毒程序。
特洛伊木马的类型,主要包括:①破坏型。 ②密码发送型。 ③远程访问型。④键盘记录木马。⑤DoS攻击木马。⑥代理木马。⑦FTP木马。 ⑧程序杀手木马。⑨反弹端口型木马。
计算机病毒仍以木马和蠕虫为主。
冰河木马的主要功能:①连接自动运行。②远程控制。③窃取账号密码。④远程操作。⑤点对点对话。⑥注册表操作。⑦发送信息。
木马的原理: 一般完整的木马程序由两个部份组成:一是服务器(端)程序,二是控制器。“中了木马”就是指安装了木马的服务器程序,若主机被安装了服务器程序,则拥有控制器程序的攻击者就可通过网络控制其主机。
冰河木马的原理:冰河木马用C++ Builder编写,服务端程序G- Server.exe一旦被激活后,将在目标计算机的C:\ Windows \ system目录下自动生成两个可执行文件,分别是Kernel32.exe和Sysexplr.exe。若用户只找到Kernel32.exe,并将其删除,实际并未完全根除,只要打开任何一个文本文件或可执行程序,Sysexplr.exe就会被激活而再次生成一个新的Kernel32.exe,这就是导致冰河木马的屡删无效的关键原因。
蠕虫病毒:蠕虫病毒还具有一些个性特征: 不依赖宿主寄生,而是通过复制自身在网络环境下进行传播。同时,蠕虫病毒较普通病毒的破坏性更强,借助共享文件夹、电子邮件、恶意网页、存在漏洞的服务器等伺机传染整个网络内的所有计算机,破坏系统,并使系统瘫痪。(熊猫烧香、网络蠕虫)
多重新型病毒:CodeRedII是一种蠕虫与木马双型的病毒。此新病毒极具危险,不仅可修
改主页,而且可通过IIS 漏洞对木马文件进行上载和运行。
CHI病毒:CIH病毒属文件型恶性病毒,其别名为Win95.CIH、Win32.CIH、PE_CIH,
主要感染Windows可执行文件。
“U盘杀手”新变种:国家计算机病毒应急处理中心通过监测发现,新的“U盘杀手”新变种
(Worm_ Autorun.LSK),运行后在受感染操作系统的系统目录下释放恶意
驱动程序,并将自身图标伪装成Windows默认文件夹。
计算机病毒的防范检测与清除
一般计算机病毒的防范
- 一般计算机病毒的防范
- 对于计算机病毒最好的处理方法是“预防为主”,查杀病毒不如做好防范。通过采取各种有效的防范措施,加强法制、管理和技术手段,就会更有效地避免病毒的侵害,所以,计算机病毒的防范,应该采取预防为主的策略。
- 木马病毒的防范
- 由于木马病毒的特殊性,需要及时有效地进行预防,做到防范于未然。
- ①不点击来历不明的邮件。②不下载不明软件。③及时漏洞修复和都住可疑端口。④使用实时监控程序。
一般计算机病毒的检测
- 根据异常症状初步检测
- 一般病毒的初步检测: ①计算机运行异常。②屏幕显示异常。③声音播放异常。④文件/系统异常。⑤外设异常。 ⑥网络异常。
- 木马病毒的检测: ①查看开放端口。②查看系统配置文件。③查看系统进程。④查看注册表。
- 利用专业软件和方法检测:特征代码法、校验和法、行为监测法、软件模拟法
常见病毒的清除方法
虽然有多种杀毒软件和防火墙的保护,但计算机中毒情况还是很普遍,如果意外中毒,一定要及时清理病毒。根据病毒对系统被破坏的程度,可采取以下措施进行病毒清除:
- 一般常见流行病毒清除方法。
- 系统文件破坏重情况。
- 利用注册表清除。
- 木马病毒的清除方法:①手工删除。②杀毒软件清除
病毒和反病毒技术的发展趋势
病毒的发展主要体现在四个方面:
- 病毒的种类和数量迅速增长
- 病毒传播手段多样化、复合化趋势
- 病毒制作技术水平不断攀升
- 病毒的危害日益增大
反病毒技术的发展趋势:
云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。病毒库不再保存在本地,而是保存在官方服务器中,在扫描的时候和服务器交互后,做出判断是否有病毒。依托“云安全”进行杀毒能降低升级的频率,降低查杀的占用率,减小本地病毒数据库的容量。
云安全技术应用的最大优势就在于,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。
恶意软件的危害和清除
恶意软件: 主要是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件。
根据中国互联网协会颁布的《“恶意软件定义”细则》,更加明确细化了恶意软件的定义和范围:满足以下八种情况之一即可被认定为是恶意软件,分别为:强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑以及其他侵犯用户知情权和选择权的恶意行为。
恶意软件通常难以清除,影响计算机用户正常使用,无法正常卸载和删除给用户造成了巨大困扰,因此又获别名“流氓软件”。
意软件的危害:强制安装、难以卸载;劫持浏览器;弹出广告;非正常渠道收集用户信息
恶意软件的清除:恶意软件清除工具
浙公网安备 33010602011771号