《信息安全技术》学习笔记02

一、计算机病毒概念

泛指所有蓄意植入被感染程序或系统中，并对其软件、硬件或网络等资源产生破坏作用或带来安全风险的程序，广义上也可称之为恶意代码。

二、计算机病毒的主要特征：

破坏性、传染性、寄生性、隐蔽性、目的性

三、计算机病毒分类

1.按照感染位置/传染途径：

• 引导型病毒：占有了原操作系统引导程序的位置，并把原系统引导程序搬移到一个特定的地方。
• 文件型病毒：嵌入到正常可执行文件中，并在该文件被加载时首先被加载执行，完成其它功能模块驻留及初始化，然后再跳转到正常可执行文件继续执行。

2.按照操作系统类型：

DOS病毒、windows病毒、UNIX病毒、android病毒等。

3.按照寄生方式：

覆盖式寄生、链接式寄生、填充式寄生病毒等。

4.常见的恶意代码术语：

（1）广告软件Adware ：

广告功能被集成在软件中，导致不断地弹出广告内容或者将浏览器重定向到商业网址。

（2）后门Backdoor：

越过通用安全检测机制，允许非授权访问操作系统或执行应用软件。

（3）漏洞利用Exploits：

针对一个或一组漏洞的攻击代码。

（4）洪泛者Flooders：

通过执行某种形式拒绝服务攻击，针对网络计算机发送大量数据包，破坏可用性。

（5）宏病毒Macro virus：

使用宏语言编写的一种病毒，通常嵌入到文本文件中，在正常文本文件被操作时感染它。

（6）脚本病毒script virus：

使用脚本语言编写的一种病毒，可以嵌入网页，或以独立文件存在，借助收发电子邮件和浏览网页传播。

（7）间谍软件Spyware：

通过检测键盘、屏幕、网络通信或者通过扫描文件系统以获取敏感信息，并将其传递给窃取者。

（8）垃圾邮件Spammers：

是指用于生成并发送大量无用电子邮件。

（9）特洛伊木马Trojan borse：

表面上具有正常功能的同时，还具有隐藏和潜在的渗透安全机制的恶意功能。

（10）蠕虫Worms：

是指能够独立运行并复制自身从一个主机到网络上的另一台主机的计算机程序，通常利用主机的软件漏洞来实现。

（11）僵尸Zombie：

在被感染的主机上可以被激活的程序，通常用来发起对其他网络主机的攻击，这类攻击通常是分布式拒绝服务攻击。

（12）勒索软件ransomware：

劫持用户资源或其数据并以此向用户索要钱财．

（13）Rootkit：

闯入一个计算机系统并获取根用户访问权限的攻击者使用的黑客工具集。

四、计算机病毒结构一般结构为：

感染标记、感染模块、破坏模块、触发模块、引导模块/主控模块

五、计算机病毒的发展趋势：

1. 网络化发展
2. 组织化发展
3. 多样化发展
4. 犯罪化发展
5. 专业化发展
6. 智能化发展

计算机病毒的分析与防范

一、PE文件病毒

1.PE文件格式

PE文件节表

• .text 包含可执行代码；
• .idata节是存储导入函数; .edata节是存储导出函数；
• .data 包含了程序的全局数据;
• .rsrc包含了可执行文件所使用的资源。

PE文件病毒常用技术

• 重定位。病毒需要对所有变量(常量)在内存中的位置进行重新定位。
• 获取API两数。病毒在没有自己的导入函数节的前提下，找到需要的API函数在相应动态链接库中的实际地址。
• 搜索并感染目标文件。病毒寻找目标文件并寄生在其中。
• 返回宿主程序。病毒在执行完代码后会返回宿主程序继续执行。

二、VB脚本病毒

• 控制权获取

1. 修改注册表启动项，让系统启动时自动运行，通常都会设置WScript.Shell 对象；欺骗用户自己执行；

• 代码隐藏

1. 对敏感字符串分割重组；代码的自动替换；代码的加密等；创建Scripting.FileSystemObject系统文件对象；

• 传播

1. 本地传播；局域网共享传播，电子邮件附件传播；

• 嵌入脚本病毒的恶意网页

三、宏病毒

• 宏病毒就是用宏语言编写的具有蓄意破坏作用的宏。

1. 利用通用模板Normal.dot实现本地传播；
2. 利用电子邮件附件进行网络传播；

四、木马

1.木马组成

木马是一种与远程计算机建立连接，使远程计算机能够通过网络控制被木马感染的计算机系统的恶意代码。
木马系统组成

• 控制端程序，即用于控制远程木马，大多数情况下还具有设置木马的端口、触发条件、隐藏行为等配置功能；
• 木马程序，即驻留在受害者系统中，非法获取权限和信息，接收控制端指令，执行相应破坏行为。

2.木马的工作机制

木马植入（目标主机）

首次握手（控制端与目标主机）

远程控制（控制端与目标主机）

3.木马的隐藏技术

• 逆向TCP连接
• 端口重用
• 隐蔽信道
• 以系统服务方式运行
• 远程线程注入
• 以驱动程序方式运行

五、蠕虫

扫描--攻击--传染

• 扫描是指寻找有指定漏洞的主机。
• 攻击是指利用已知漏洞获取主机的系统控制权，建立与已感染主机之间的网络通信链路，为蠕虫的网络传播做准备。
• 传染是指利用已经建立的网络链路，将蠕虫传播到新的主机上。

六、勒索软件

勒索软件工作机制

• 网络投放

1. 借助常见木马、蠕虫的网络传播手段，将恶意代码投放到目标机。
2. 通过电子邮件传播，利用好奇心、轻信、贪梦等发动社会工程攻击。
3. 利用系统漏洞、网络共享等。

• 感染劫持

1. 按照设定的文件类型，对本地硬盘文件系统扫描，并对相应文件、磁盘区块和数据库等，采用数据加密或系统锁屏等控制手段，让合法用户不能正常使用。加密密钥发送给远程服务器。

• 勒索支付

1. 在受害主机上显示勒索信息，迫使受害者按照勒索信息的支付方式缴纳赎金。

七、计算机病毒防范策略

预防--检测--鉴别--清除

1. 对系统资产进行风险评估，建立计算机病毒防范和应急体系，建立灾难恢复和事故分析机制。
2. 通过安全培训提高人员安全防范意识和能力水平规范网络访问行为。
3. 使用经过国家专业机构认证的病毒检测与防治产品。
4. 正确配置和加固操作系统和应用软件，提高计算机自身免疫力。