《病毒和反病毒技术学习胶片.ppt》由会员分享,可在线阅读,更多相关《病毒和反病毒技术学习胶片.ppt(39页珍藏版)》请在三一办公上搜索。
1、病毒和反病毒技术学习胶片,C-Marketing 李龙海,病毒的世界反病毒技术,病毒定义,病毒的官方定义:1994年2月18日,我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例,在条例第二十八条中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”,当前的病毒概念:随着信息安全技术的不断发展,病毒的定义已经被扩大化,目前,广义的病毒包括:传统病毒(引导区病毒、文件型病毒、宏病毒)、蠕虫、木马、后门、恶意网页代码等等,病毒的发展阶段,从1986年出现第一个计算机病毒Brain规模感染开始到现在,
2、大致可以分为三个阶段:基于PC系统的传统病毒阶段(86):此时编写病毒完全是基于对技术的探求,这一阶段的顶峰应该算是CIH病毒基于Internet的网络病毒阶段(99):比如我们知道的红色代码、冲击波、震荡波等病毒皆是属于此阶段,这类病毒往往利用系统漏洞进行世界范围的大规模传播。结合多种手段的复合病毒阶段:我们所面临的不再是一个简简单单的病毒,而是包含了病毒、黑客攻击、木马、间谍软件等多种危害于一身的基于Internet的混合型网络威胁。例如:熊猫烧香,Internet,PC,integrated,复合型病毒的典型熊猫烧香,Virus.Win32.EvilPanda.a.ex$的行为:1、病毒
3、体执行后,将自身拷贝到系统目录2、添加注册表启动项目确保自身在系统重启动后被加载3、拷贝自身到所有驱动器根目录,命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒,并将这两个文件属性设置为隐藏、只读、系统4、关闭众多杀毒软件和安全工具5、连接*.3322.org下载某文件,并根据该文件记录的地址,去www.*.com下载某ddos攻击程序,下载成功后执行该程序6、监视记录QQ和访问局域网文件记录:c:test.txt,试图QQ消息传送 7、循环遍历磁盘目录,感染文件,对关键系统文件跳过,不感染Windows媒体播放器、MSN、IE 等程序。,可以通过恶意网页传播
4、,其它木马下载,局域网传播,文件感染移动存储设备具备了目前传统病毒、蠕虫和木马的多重特点,发动DDOS攻击终止杀毒软件破坏正常文件,当前病毒主要危害,【2006年十大病毒排行】1.熊猫烧香(Worm.Nimaya)2.威金蠕虫(Worm.Viking)3.代理木马下载器(Trojan.DL.Agent)4.传奇终结者(Trojan.PSW.Lmir)5.征途木马(Trojan.PSW.Zhengtu)6.QQ通行证(Trojan.PSW.QQPass)7.威尔佐夫(Worm.Mail.Warezov)8.调用门Rootkit(Rootkit.CallGate)9.灰鸽子后门(Backdoor.
5、Gpigeon)10.魔兽木马(Trjan.PSW.WoWar),病毒感染率高居不下,但用户的安全意识仍然有待提高。面对蠕虫、木马等传统威胁的继续发展和欺诈行为的逐步抬头,紧紧依靠单一产品已经远远不能胜任。(国家病毒应急中心主任张健),病毒的动机转向趋利,网游装备的价值热血传奇:8区天俯装备报价武士:裁决5000;力量4000;骑士3000;黑铁头500;绿色1000;菜刀400道士:太谈2000;龙问5000.,不再炫耀技术多保持“低调”病毒危害更大,病毒的目的从出名、技术转为获取现实的利益,媒体曾披露玩病毒比房地产来钱,病毒分类,计算机病毒可以分为系统病毒、蠕虫病毒、木马病毒、黑客病毒、脚
6、本病毒、宏病毒、后门病毒、病毒种植程序病毒、破坏性程序病毒、玩笑病毒、捆绑机病毒等系统病毒系统病毒的前缀为:Win、PE等。这些病毒的一般公有的特性是可以感染windows操作系统的*.exe 和*.dll 文件,并通过这些文件进行传播。如CIH病毒。蠕虫病毒蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带毒邮件)等。,病毒分类,木马病毒、黑客病毒木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏,然
7、后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344,还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW.60。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如:网络枭雄(Hack.Nether.Client)等。,病毒分类,病毒种植程
8、序这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。破坏性病毒程序破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。,脚本病毒脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Scri
9、pt.Redlof)。脚本病毒还会有如下前缀:VBS、JS(表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四曰(Js.Fortnight.c.s)等。后门病毒后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过网络传播,给系统开后门,给用户电脑带来安全隐患。如很多朋友遇到过的IRC后门Backdoor.IRCBot。,病毒分类,病毒分类,玩笑病毒玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlg
10、host)病毒。捆绑机病毒捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,然后给用户造成危害。如:捆绑QQ(Binder.QQPass.QQBin)、系统杀手(Binder.killsys)等。,病毒分类,宏病毒:前缀:Macro以及Word、Word97、Excel、Excel97等;典型病毒(Melissa);感染原理:office文件嵌入;特点:传播快,制作方便,破坏大;其他病毒以上为比较常见的病毒前缀,有
11、时候我们还会看到一些其他的,但比较少见,这里简单提一下:DoS:会针对某台主机或者服务器进行DoS攻击;Exploit:会自动通过溢出对方或者自己的系统漏洞来传播自身,或者他本身就是一个用于Hacking的溢出工具;HackTool:黑客工具,也许本身并不破坏你的机子,但是会被别人加以利用来用你做替身去破坏别人。,传统病毒的基本结构,引导部分将病毒主体加载到内存为传染部分做准备;传染部分将病毒本身复制到传染目标上去;表现部分执行破坏或者其它目的。一般都是有一定条件才会触发,如时钟计数器等根据编制者的不同目的而不同,一般的病毒,包括三个功能部分:,弹头,传播引擎,目标选择算法,扫描引擎,有效负荷
12、,弹头缓冲区溢出、共享文件、电子邮件传播引擎FTP、TFTP、HTTP目标选择算法EMAIL地址、主机列表、DNS等等扫描引擎有效负荷后门、拒绝服务攻击、其他操作,蠕虫的组成,魔道之争病毒的多态技术,我们把使用通常的特征码扫描法无法检测(或者极其难以检测)的病毒称为多态病毒。多态病毒避免被检测的方法主要有两种:使用不固定的密钥或者随机数加密病毒代码,或者在病毒运行的过程中改变病毒代码,除了这两种主要的方式外,还有的病毒,例如“炸弹人”(Bomber)通过一些奇怪的指令序列等方法可以实现多态性。多态病毒和前面所述的引导型、文件型和宏病毒并不是同一层次的概念,实际上,多态病毒中既有引导型病毒,也有
13、文件型病毒和宏病毒。使用加密解密技术的多态性下面是一段最简单的多态病毒代码,这段代码的作用是将预先加密的病毒代码解密,然后跳转到执行感染和破坏功能的病毒代码中。对付多态病毒的最好办法是某种形式的虚拟执行技术。,魔高一尺病毒的多态技术,看不见的战斗病毒隐藏技术,病毒在进入系统之后,会采取种种方法隐藏自己的行踪,让你无法感觉到病毒的存在。主要有,隐藏进程、隐藏文件、隐藏网络连接、采用多种手法相互保护、进入系统进程体内。引导型病毒的隐藏技术:一种是改变基本输入输出系统(BIOS)中断13H(十六进制)的入口地址使其指向病毒代码之后,发现调用INT13H读被感染扇区的请求的时候,将原来的没有被感染过的
14、内容返回给调用的程序,这样,任何程序都无法觉察到病毒的存在,如果反病毒软件无法首先将内存中的病毒清除的话,就无法清除这种病毒。为了对付述隐藏手段,一些杀毒软件采用直接对磁盘控制器进行操作的方法读写磁盘扇区。病毒的制造者们当然不会甘心束手就擒,他们使用了在加载程序的时候制造假象的方法,当启动任何程序的时候(包括反病毒程序),修改DOS执行程序的中断功能,首先把被病毒感染的扇区恢复原样,这样即使反病毒程序采用直接磁盘访问也只能看到正常的磁盘扇区,当程序执行完成后再重新感染。对付这种病毒的唯一方法是在进行病毒检测之前首先清除内存中的所有病毒。,看不见的战斗病毒隐藏技术,网络时代的病毒隐身技Rootk
15、it技术:一个典型rootkit包括:以太网嗅探器程程序,用于获得网络上传输的用户名和密码等信息;特洛伊木马程序,例如:inetd或者login,为攻击者提供后门;隐藏攻击者的目录和进程的程序,例如:ps、netstat、rshd和ls等;可能还包括一些日志清理工具,例如:zap、zap2或者z2,攻击者使用这些清理工具删除wtmp、utmp和lastlog等日志文件中有关自己行踪的条目。一些复杂的rootkit还可以向攻击者提供telnet、shell和finger等服务。还包括一些用来清理/var/log和/var/adm目录中其它文件的一些脚本。攻击者使用rootkit中的相关程序替代系
16、统原来的ps、ls、netstat和df等程序,使系统管理员无法通过这些工具发现自己的踪迹。,病毒技术:免杀,所谓“免杀”,是指通过特殊技术处理,修改病毒文件,使已知病毒逃过杀毒软件的查杀。,010101010111110100011000011110,1101010111011001,match,A virus,110*11011001,Modify the pattern,dismatch,PASS the scan,Virus definition,高级语言源代码级别的无效代码的插入增加管理运算防止编译器优化 反跟踪与时间门分段加密与执行,病毒技术:加壳,特点二:病毒中加入大量抗分析技术
17、加壳,“加壳”手段被黑客广泛利用 约有90以上的病毒文件进行过“加壳”处理。,杀毒软件脱壳原理示意图,新增病毒变种同期对比,图2.3 2006年上半年各类病毒变种发展状况,病毒技术:变种丛生,2006年上半年截获的新病毒中,很多属于同一病毒种族的不同变种。,传播手段更加网络化,病毒采用网络化多元传播手段,病毒和攻击融合,例子:黑客通过网站传播病毒,图2.5 黑客利用网站传播病毒,病毒的发展趋势,病毒与黑客技术相融合,更新换代向复合型发展针对用户真实财产的国产病毒不断增多病毒数量爆炸性增长依赖网络,如恶意网页、IM等,传播更快利用系统漏洞成为病毒有力的传播方式病毒攻击行为日益复杂,技术趋势:病毒
18、向多平台发展,警惕手机病毒和智能设备病毒 病毒作者开放源代码将使病毒变种将进一步泛滥 加壳与变形更为突出病毒中加入大量抗分析技术,病毒的世界反病毒技术,反病毒策略,技术策略,管理策略,反病毒策略,特征码技术,反病毒技术包括特征码技术、覆盖法技术、驻留式软件技术、特征码过滤技术、自身加密的开放式反病毒数据库技术、智能和广谱技术、虚拟机技术、启发扫描技术、病毒疫苗等。最基本的,应用最广泛的就是特征值查毒法。所谓特征值查毒法,就是在获取病毒样本后,提取出其特征值(譬如石头病毒中的“your pc is stoned!”字符串),然后通过该特征值对各个文件或内存等进行扫描。如果发现这种特征值,这说明感
19、染了这种病毒,然后针对性地解除病毒的武装。通常杀毒软件会提取3处以上的关键代码(程序没有这段代码就无法感染文件或无法启动),如果在同一个EXE都存在则这个文件就是病毒。,Generic技术:是广谱查毒技术的一种,其主要是针对变种病毒的查杀。有时用杀毒软件扫描病毒时会报出以“gen”作为结尾的名称,如“Backdoor.Gpigeon.gen”,就是使用了这一技术。病毒分析工程师通过对大量病毒样本特征进行分析,提取出它们之间相同的特征值,从而对一个群族的病毒进行查杀。变种共性特征比对:是瑞星独家研发的一种新的广谱查毒技术,它可以报告出病毒变种与该病毒家族的相似程度,查毒结果更为精确。,广谱查毒(
20、应对变种),启发式扫描技术,新病毒不断出现,传统的特征值查毒法完全不可能查出新出现的病毒。启发式扫描技术产生了,何谓启发式扫描?我们知道,一个病毒总存在其与普通程序不一般的地方,譬如他会格式化硬盘,重定位,改回文件时间,修改文件大小,能够传染等等。这样,我们就可以对每一类病毒特征进行加权,譬如重定位3分,格式化硬盘15分,传染10分,这样,如果一个程序拥有这3个功能,他就得到了28分,如果我们设定判断一个病毒的标准是20分,那么这个程序在遇到采用了启发式扫描技术的杀毒软件时,杀毒软件就会报警,说发现新病毒。这就是启发式扫描技术。norton的启发式扫描技术非常不错。,道高一丈脱壳引擎、虚拟机技
21、术,脱壳引擎:通过一些算法将“加壳加密”的病毒还原成原始状态,再对其原始状态进行查毒虚拟机技术:就是用软件先虚拟一套运行环境,让病毒先在该虚拟环境下运行,观察其执行过程。不管是加密加壳,还是抗分析免杀技术,病毒在执行时都会露出庐山真面目。在其解密之后我们可以通过特征值查毒法对其进行查杀。,病毒疫苗技术,还有一种技术叫病毒疫苗,这种疫苗程序,举个简单的例子,美丽莎病毒会并修改WINDOWS注册表项:HKEY_CURRENT_USERSoftwareMicrosoftOffice,将其增加表项:Melissa?,并给其赋值为:by Kwyjibo,这是病毒避免进行重复感染的标志。如果我们在一台没有
22、感染美丽莎病毒的机器上事先设立这一注册表值,那么当美丽莎病毒准备感染这台机器时,由于发现存在该键值会认为该机器已经被感染而不对它进行再次感染。这样,我们达到了对这台机器进行免疫的目的。当然有些病毒的免疫不是这么简单的。但是思想都差不多了。,安全监测和病毒分布区域 流量统计 病毒预警 攻击预警,人民战争国家病毒预警监控体系,当前实际上主要有两大部分,一个是我们国家计算机病毒应急处理中心把所有的防病毒的厂家有效的组织起来,形成国家病毒应急小组,发现新的病毒之后厂家会上报,包括病毒样本和报告,中心首先发现病毒,会通过这个渠道通知给所有防病毒的厂家,这样就会加快对病毒的快速反映和处置能力。,反病毒技术
23、发展趋势,多层面全方位立体防护体系漏洞和攻击防护技术反病毒与网络、安全产品联动更可靠的数据备份和灾难恢复技术未知病毒行为检测技术程序逻辑分析与行为识别完善的应急响应系统,业界著名的反病毒公司,国际:Symantec、趋势科技、Kaspersky、熊猫、Mcafee、飞塔等;瑞星、冠群金辰、天融信、金山、江民等,反病毒国际组织wildlist,Wildlist是一个病毒研究组织。每个月都会公布当月最流行的病毒。如果反病毒组织或者个人发现病毒样本,都可以在第一时间报告给该组织。Wildlist将这些病毒名称公开发布,作为反病毒产品的研发依据。也就是说反病毒产品必须满足防治这些病毒的要求。访问地址:
24、www.wildlist.org例子:这个是wildlist发布的2006年8月份的报告,反病毒认证机构,由于反病毒产品种类繁多,并且涉及到公众的数据安全,所以由权威的机构来进行认证。目前国外比较权威的认证机构是:英国西海岸实验室、VB 100、ISA实验室。国内主要是:国家计算机病毒应急处理中心(计算机病毒防治产品检验中心,在天津www.antivirus-)、公安部三所。英国西海岸实验室(http:/www.westcoastlabs.org):西海岸实验室颁布Checkmark认证证书,体现产品在真实世界标准下的测试结果。Checkmark证书在全球范围内安全界享有声誉,包括Checkm
25、ark一级(Level 1)、二级(Level 2)和木马(Trojan)三项内容。一级认证,授予能侦测到病毒的防毒产品;二级认证,仅授予那些既能够侦测病毒又能够解除病毒病毒威胁的产品,即侦测和解除病毒危险程度评估组织(WildList Organization)所发布的各种极具破坏性病毒的威胁。,反病毒认证,VB 100%测试(http:/):VB 100%就是Virus Bulletin 100%测试。它检测病毒公告栏的病毒是否能够100%的检测出来。Virus Bulletin将根据各大杀毒软件检测病毒的成功率,扫描速度、性能等内容来进行比较。评测没有打分,在Virus Bulletin看来只有两个结果:通过或者不通过。因为在他们看来,杀毒软件的特性决定了没有中间妥协的余地,对病毒,只有杀和不杀,对性能,只有好和不好。如果通过了测试,参加检测的厂商就会在所参与的平台上获得VB 100%认证。VB100%是国际上最严格的一项杀毒产品检测,所有国际知名的杀毒软件企业都会在这个评测中出现,尽管很多企业都在各项评比中失手,但是他们依然得硬着头皮接受结果,因为这是一项公平公正的权威评测结果。,谢谢!,
