《病毒知识.ppt》由会员分享,可在线阅读,更多相关《病毒知识.ppt(26页珍藏版)》请在三一办公上搜索。
1、病毒知识培训教程,HUC-雪域雄鹰 2011年4月,病毒教程背景,这么多年来,从来没有在任何黑客论坛里发现有手工清除计算机病毒的教程。而计算机病毒也是网络上最吸引眼球的主角之一,然而要想成为合格的黑客战士,不仅要对攻击防护技术了如指掌,同时要对病毒知识有所学习,甚至在需要你们的时刻,能利用病毒为我所用。根据这么多年的工作经验,如果会手工清除计算机病毒,会让你在工作中很快的成为众人关注的焦点,同时也让公司的人对你刮目相看。所以,我将我所掌握的病毒方面的知识传授给红盟的战友们,一是能掌握一种技术,为你们的就业有所帮助;二是希望我的教程能激发起一部分人对病毒的研究,将来能在这个领域内有所成就。本系列
2、教程旨在引导青年一代,学习和了解计算机病毒的初级知识,以及手工清除计算机病毒的基本套路,常用辅助软件等。有些不足的地方请各位提出宝贵建议,涉及到的辅助软件和病毒样本均来自互联网,请各位小心使用,本作者不承担任何责任。希望所有讲师和技术高手们制作若干统一模板的培训教程,它将成为我们红盟最宝贵的财富和红盟文化的重要组成部分。,前言,互联网高度发展的时代,随着网络的普及与广泛使用,计算机病毒也变得越来越让人及其讨厌和恐慌。不管买正版的还是下载免费的杀毒软件,都不能真正的防范于未然。因为杀毒软件总是针对已经有了的计算机病毒进行升级,更新的。杀毒软件病毒库的更新永远滞后于计算机病毒的产生。每分钟都有新的
3、计算机病毒产生,难道真的有那么多吃饱撑的没事干的人去开发计算机病毒吗?答案是:NO。制作计算机病毒已经形成了一条商业化的灰色产业链,不法分子通过计算机病毒来获取利益,再加上一些不道德的杀毒软件公司为了参与竞争将自己的杀毒软件销售出去,他们也成了计算机病毒的制造者。他们制造一些只有自己杀毒软件才能清除 的计算机病毒,然后在网络上宣传只有自己的杀毒软件才能最好的克制某种病毒,从而获取较大数量的计算机用户,取得商业利益。只有真正的了解病毒的历史,病毒的种类,传播途径,感染病毒的症状与危害,我们才能在日常工作学习中尽可能的避免病毒对我们造成更大的破坏。同时,通过对计算机病毒知识的学习,也能使我们更深刻
4、的认识计算机系统,掌握注册表,更重要的,您将学会了一种技能,也许在你找工作的会给你加分,从而增加就业机会。,培训内容,病毒发展简史病毒分类病毒传播途径感染病毒后的现象与危害病毒常用的技术计算机病毒的命名规则,什么是计算机病毒?,计算机病毒其实是指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒通过非授权入侵而隐藏在可执行程序和数据文件中,然后通过磁盘和网络等媒介进行传播,待适当的时机即被激活,采取反复的自我繁殖和扩散等方式从而影响和破坏正常程序的执行和数据安全,危及计算机系统的正常工作,最终导致计算机发生故障甚至瘫痪。,
5、计算机病毒简史,计算机病毒的出现是有规律的,一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。第一个病毒雏形的出现:1986年1月,巴基斯坦程序员巴西特艾尔维和阿姆贾德艾尔维兄弟,为防止他们新版的心脏监测软件被别人盗用,编写了一小段代码。他们把这段代码称之为“大脑”,它大致相当于一个个人电脑的“轮夹”。安装了他们的心脏监测程序和这段代码的电脑,将在一年后停止运行。到时候如果你能够证明你是一个合法用户,他们将会为你解除锁定。但这项新技术遇到了意外,“轮夹”不久就被一类计算机爱好者复制,这些人把它隐藏在人们希望打开的各
6、类数字文档中向外发布。因为当时互联网远未普及,几乎所有的带毒文件都是通过软盘向外扩散,所以这种病毒的传播速度很慢。不过它们还是造成了一定程度的破坏,世界各地都有计算机被锁的报道。这些计算机爱好者之所以这样做,要么是因为他们能够,或者说他们想炫耀一下他们能够这样做,要么是想看一下这样做到底会发生什么结果,要么就是他们纯粹是为了好玩。艾尔维兄弟保护自己的知识财产的一番良苦用心好似打开了一个魔瓶,从此,我们的计算机中便日甚一日地塞满了病毒、蠕虫和特洛伊木马。,1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。当时的计算机需要通过软盘启动后使用.引导型病毒利用软盘的启动原理
7、工作。1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”;1989年,可执行文件型病毒出现,利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒,1990年,发展为复合型病毒,可感染COM和EXE文件。1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作,具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒。1994年,随汇编语言的发展,实现同一功能可用不同方式进行完成,这些方式的组合使一段看似随机的代码产生
8、相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。病毒进入自己进化的时代1995年,蠕虫”出现,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。1996年,Windows病毒大量出现和宏病毒成了主角 1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒;爪哇(Java),邮件炸弹阶段 1998年,仅为796字节的CIH病毒问世,并被发现。同年蠕虫病毒也在美国大流行。,1999年,4月26日CIH病毒正
9、式发作,Happy99、美丽杀手(Melissa)等通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。其特点就是利用Internet的优势,快速进行大规模的传播,从而使病毒在极短的时间内遍布全球。2000年,通过电子邮件传播的爱虫病毒迅速在世界各地蔓延,更大规模的发作,造成全世界空前的计算机系统破坏2001年9月18日出现的Nimda(尼姆达)病毒则是病毒演变过程中的另一个里程碑,它首次利用了系统中的漏洞对互联网发起攻击,具备了典型的黑客特征。它的出现意味着,混合着多种黑客手段的病毒从此诞生。同年,灰鸽子诞生2002年,求职信Klez病毒,邮件病毒,主要影响微
10、软的Outlook Express用户。首次截获了一个传染能力极强的恶性QQ病毒“爱情森林”(Trojan.sckiss)2003年8月11日,冲击波席卷全球,利用微软网络接口RPC漏洞进行传播,造成众多电脑中毒,机器不稳定,重启,死机,部分网络瘫痪,没打过补丁的WINDOWS操作系统很难逃出它的魔爪。2004年,震荡波:具有类似冲击波的表现形式,感染的系统重新启动计算机,原因是给蠕虫病毒导致系统文件lsess.Exe的崩溃。悲惨命运(MyDoom)、网络天空(NetSky)病毒也大行其道2005年8月12日,“狙击波”病毒主要通过MS05039漏洞进行传播。2006年以来熊猫烧香、灰鸽子游戏
11、盗号病毒大量出现,网页病毒,图片病毒,钓鱼病毒,流氓软件,AV终结者,U盘寄生虫、网游大盗、ARP病毒等等就像风一样,刮的到处都是,例子举不完了,具体出现时间记不住了,请网友们补充。,史上破坏力最大的10种病毒排名,1.CIH(1998年)感染Windows 95/98中以EXE为后缀的可行性文件。可以重写BIOS使之无用使用户的计算机无法启动,唯一的解决方法是替换系统原有的芯片(chip),还会破坏硬盘中的信息。CIH被公认为是有史以来最危险、破坏力最强的计算机病毒之一,在全球范围内造成了2000万-8000万美元的损失。2.梅利莎(Melissa,1999年)隐藏在一个Word97格式的文
12、件里,通过电子邮件传播,侵袭装有Word97或Word2000的计算机。在发现Melissa病毒后短短的数小时内,通过因特网在全球传染数百万台计算机和数万台服务器,因特网在许多地方瘫痪。给全球带来了3亿-6亿美元的损失。3.爱虫 I love you(2000年)通过E-Mail散布,给全球带来100亿-150亿美元的损失。4.红色代码(Code Red,2001年)迅速传播,并造成大范围的访问速度下降甚至阻断。首先攻击计算机网络的服务器,导致网站瘫痪。其造成的破坏主要是涂改网页,有修改文件的能力,给全球带来26亿美元损失。5.SQL Slammer(2003年)该病毒利用SQL SERVER
13、 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。全球共有50万台服务器被攻击,但造成但经济损失较小。6.冲击波(Blaster,2003年)病毒运行时利用IP扫描技术寻找网络上系统为Win2K或XP的计算机,利用DCOM RPC缓冲区漏洞攻击系统,攻击成功,病毒体在计算机中进行感染,使系统操作异常、不停重启、甚至导致系统崩溃。2003年夏爆发,数十万台计算机被感染,给全球造成20亿-100亿美元损失。7.大无极.F(Sobig.F,2003年)Sobig.f利用互联网进行传播,将自己以电子邮件的形式发给它从被感染电脑中找到的所有邮件地址,给全球带来50亿-100亿美元损失。8.贝
14、革热(Bagle,2004年)通过电子邮件进行传播,运行后,在系统目录下生成自身的拷贝,修改注册表键值。病毒同时具有后门能力。2004年1月18日爆发,给全球带来数千万美元损失。9.MyDoom(2004年)通过电子邮件附件和P2P网络Kazaa传播,运行病毒程序后,病毒就会以用户信箱内的电子邮件地址为目标,伪造邮件的源地址,向外发送大量带有病毒附件的电子邮件,同时在主机上留下可以上载并执行任意代码的后门。在高峰时期,导致网络加载时间慢50%以上。10.Sasser(2004年)利用微软操作系统的Lsass缓冲区溢出漏洞(MS04-011漏洞信息)进行传播。由于该蠕虫在传播过程中会发起大量的扫
15、描,因此网络运行造成很大的冲击。给全球带来数千万美元损失。,计算机病毒来源,计算机病毒的来源多种多样,有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚有的是计算机爱好者的恶作剧与商业利益的互相勾结的产物有的是计算机高手为了报复社会或显示自己技术而创造出来的某些杀毒软件公司为了推销自己的杀毒软件所制造病毒,病毒的特征,计算机病毒作为一种特殊的程序具有以下特征:(一)非授权可执行性,计算机病毒隐藏在合法的程序或数据中,当用户运行正常程序时,病毒伺机窃取到系统的控制权,得以抢先运行,然而此时用户还认为在执行正常程序;(二)隐蔽性,
16、计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序,它通常总是想方设法隐藏自身,防止用户察觉;(三)传染性,传染性是计算机病毒最重要的一个特征,病毒程序一旦侵入计算机系统就通过自我复制迅速传播。(四)潜伏性,计算机病毒具有依附于其它媒体而寄生的能力,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,病毒可以悄悄隐藏起来,然后在用户不察觉的情况下进行传染。(五)表现性或破坏性,无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源。而绝大多数病毒程序要显示一些文字或图象,影响系统的正常运行,还有一些病毒程序删除文件,甚至摧毁
17、整个系统和数据,使之无法恢复,造成无可挽回的损失。(六)可触发性,计算机病毒一般都有一个或者几个触发条件。一旦满足触发条件或者激活病毒的传染机制,使之进行传染;或者激活病毒的表现部分或破坏部分。触发的实质是一种条件的控制,病毒程序可以依据设计者的要求,在一定条件下实施攻击。这个条件可以是敲入特定字符,某个特定日期或特定时刻,或者是病毒内置的计数器达到一定次数等。(七)不可预见性,谁都无法判断明天会有什么更生猛的病毒类型和扩散方式,而且病毒永远超前于反病毒产品出现。(八)变异性与针对性,人为或非人为升级,总是针对某些文件类型或者针对某种行为或某类数据,病毒发展,病毒的发展特点,新病毒出现的频率越
18、来越快;病毒与Internet关联越来越紧密;病毒爆发转向小范围爆发;病毒传播方式多样化;传播病毒的目的转向经济利益;病毒的破坏力越来越大;病毒的制造越来越有针对性。,病毒分类1,1、按感染对象分为引导型、文件型、混合型、宏病毒,2、按照病毒程序入侵系统的途径,可将计算机病毒分为以下四种类型:(1)操作系统型:这种病毒最常见,危害性也最大。(2)外壳型:这种病毒主要隐藏在合法的主程序周围,且很容易编写,同时也容易检查和删除。(3)入侵型:这种病毒是将病毒程序的一部分插入到合法的主程序中,破坏原程序。这种病毒的编写比较困难。(4)源码型:这种病毒是在源程序被编译前,将病毒程序插入到高级语言编写的
19、源程序中,经过编译后,成为可执行程序的合法部分。这种程序的编写难度较大,一旦插入,其破坏性极大。3、按破坏性可分为:良性病毒,恶性病毒。(1)良性病毒:仅仅显示信息、奏乐、发出声响,自我复制的。(2)恶性病毒:封锁、干扰、中断输入输出、使用户无法打印等正常工作,甚至电脑中止运行。(3)极恶性病毒:死机、系统崩溃、删除普通程序或系统文件,破坏系统配置导致系统死机、崩溃、无法重启。(4)灾难性病毒:破坏分区表信息、主引导信息、FAT,删除数据文件,甚至格式化硬盘等。,根据病毒特有的算法可以分为三类。(1)伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不
20、同的扩展名(COM),如XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。(2)“蠕虫”型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台计算机的内存传播到其他计算机的内存、计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其他资源。(3)寄生型病毒:除了伴随型和“蠕虫”型,其他病毒均可称为寄生型病毒。它们依附在系统的引导区或文件中,通过系统的功能进行传播。,病毒分类2,现代计算机病毒分类,特洛伊木马程序,蠕虫,玩笑程序,后门程序,DD
21、os 攻击程序,间谍软件Spyware,流氓软件与钓鱼软件,特洛伊木马程序往往表面上看起来无害,但是会执行一些未预料或未经授权,通常是恶意的操作。,计算机蠕虫是指一个程序(或一组程序),它会自我复制、传播到别的计算机系统中去。,后门程序是一种会在系统中打开一个秘密访问方式的程序,经常被用来饶过系统安全策略,DDos攻击程序用于攻击并禁用目标服务器的web服务,导致合法用户无法获得正常服务,这些玩笑程序设计时不是致力于破坏用户的数据,但是某些不知情的用户可能会引发不正当的操作,从而导致文件的损坏和数据的丢失。,间谍软件是指未在用户授权的情况下,收集用户的操作习惯信息,甚至是用户的键盘记录并通过互
22、联网发送到软件发布者的软件。,这类软件与经济利益挂钩,进行违法活动,病毒的传播途径,除引导区病毒外,所有其他类型的病毒,无一例外,均要在系统中执行病毒代码,才能实现感染系统的目的。对于不同类型的病毒,它们传播、感染系统的方法也有所不同。传播方式主要有:电子邮件 网络共享 P2P 共享 系统漏洞 移动磁盘传播 网页感染 与正常软件捆绑 用户直接运行病毒程序 由其他恶意程序释放,感染病毒后的现象,电脑运行比平常迟钝程序载入时间比平常久对一个简单的工作,磁盘似乎花了比预期长的时间不寻常的错误信息出现硬盘的指示灯无缘无故的亮了系统内存容量忽然大量减少可执行程序的大小改变了内存内增加来路不明的常驻程序文
23、件奇怪的消失文件的内容被加上一些奇怪的资料文件名称,扩展名,日期,属性被更改过WORD或EXCEL提示执行“宏”系统时间忽然出错。等等,还有很多,病毒的危害,下载特性 很多木马、后门程序间谍软件会自动连接到Internet某Web站点,下载其他的病毒文件或该病毒自身的更新版本/其他变种。后门特性 后门程序及很多木马、蠕虫和间谍软件会在受感染的系统中开启并侦听某个端口,允许远程恶意用户来对该系统进行远程操控。有时候病毒还会自动连接到某IRC站点某频道中,使得该频道中特定的恶意用户远程访问受感染的计算机。信息收集 大多数间谍软件和一些木马都会收集系统中用户的私人信息,特别各种帐号和密码。收集到的信
24、息通常都会被病毒通过自带的SMTP引擎发送到指定的某个指定的邮箱。(QQ密码和聊天记录、网络游戏帐号密码、网上银行帐号密码、用户网页浏览记录和上网习惯等),病毒的危害特性,自身隐藏特性 多数病毒会将自身文件设置为“隐藏”、“系统”和“只读”属性,更有一些病毒会通过修改注册表来实现对系统的文件夹访问权限、显示权限等进行修改,以使其更加隐蔽不易被发现。文件感染 文件型病毒的一个特性是感染系统中部分/所有的可执行文件。病毒会将恶意代码插入到系统中正常的可执行文件中,使得系统正常文件被破坏而无法运行,或使系统正常文件感染病毒而成为病毒体。网络攻击 一些蠕虫病毒会针对微软操作系统或其他程序存在的漏洞进行
25、攻击,从而导致受攻击的计算机出现各种异常现象,或是通过漏洞在受攻击的计算机上远程执行恶意代码。一些木马和蠕虫病毒会修改计算机的网络设置,使该计算机无法访问网络。有的木马和蠕虫还会向网络中其他计算机攻击、发送大量数据包以阻塞网络,甚至通过散步虚假网关地址的广播包来欺骗网络中其他计算机,从而使得整个网络瘫痪,病毒常用技术,自启动特性 除引导区病毒外,绝大多数病毒感染系统后,都具有自启动特性。病毒在系统中的行为是基于病毒在系统中运行的基础上的,这就决定了病毒必然要通过对系统的修改,实现开机后自动加载的功能。服务和进程病毒程序直接运行 嵌入系统正常进程DLL文件和OCX文件等 驱动SYS文件 修改注册
26、表 将自身添加为服务 将自身添加到启动文件夹 修改系统配置文件,病毒启动方式,注册表启动项文件关联项系统服务项映像劫持修改自动播放配置文件其他,请各位思考,1、如何判断你的计算机是否中了病毒?2、病毒隐藏在什么地方?3、根据上页所提的病毒启动方式,该在哪里禁止这些病毒程序启动?既然下载了本教程,希望各位不是一看而过,请仔细思考,希望引领你们进入这个领域专研。师傅领进门,修行在个人。,计算机病毒命名规则,计算机病毒的命名没有统一的规范,但有一些通用的习惯。计算机病毒的命名一般都采用前、后缀法,可以多个前缀、后缀组合,中间以小数点分隔,格式为:前缀前缀底病毒名后缀 其中(前缀)有:Script(代
27、表脚本病毒)、Trojan(代表木马病毒)、Worm(代表蠕虫病毒)、Harm(代表破坏性程序)、MacroWMWM97XMXM97(代表宏病毒)、Win32W32(代表系统病毒)组成(病毒名称)的六个字段:主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号,子行为类型Mail 通过邮件传播IM 通过不明载体传播MSN 通过MSN传播QQ 通过OICQ传播ICQ 通过ICQ传播P2P 通过P2P软件传播IRC 通过IRC传播Spy 窃取用户信息PSW 具有窃取密码的行为DL 下载病毒并运行,宿主文件类型,主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定
28、的。,版本信息只允许为数字,主名称变种号确为是同一家族病毒的条件:病毒的主行为类型、行为类型、宿主文件类型、主名称均相同.,主行为类型:Backdoor 后门Worm 蠕虫Trojan 木马Virus 感染型病毒Harm 破坏性程序 Dropper 释放病毒的程序Hack 黑客工具Binder 捆绑病毒工具,以后培训内容提示,如何发现计算机病毒计算机病毒都藏在什么地方计算机病毒工作原理杀毒软件工作机制杀毒软件使用注意事项手工查杀病毒的思路手工清除计算机病毒的方法辅助手工清除计算机病毒的工具以及工具介绍典型病毒分析日常如何防护计算机病毒的方法,HUC-雪域雄鹰,感谢您的关注,更多内容请登录中国红客联盟论坛,
