篇一:常见恶意软件说明
常见恶意软件说明
篇二:恶意程序
恶意程序
一、分类
1.单一功能病毒:计算机病毒是指编制或在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能够自我复制的一组计算机指令或程序代码。
特点:破坏性、传染性、隐藏性、寄生性、潜伏性、欺骗性。
(1) 文件感染病毒 :主要感染计算机中.exe或.doc等可执行程序。
(2) 宏病毒:是一种专门寄生在具有宏功能的文档或模板中的计算机病毒。
(3) 引导型病毒:引导型病毒将其代码写入MBR主引导去(硬盘0头0柱面第一个扇区)
或BR引导区(硬盘逻辑0扇),将其真正的引导区内容转移或替换。
(4) 邮件型病毒:主要通过电子邮件传播。
2.木马
木马是指通过伪装欺骗手段诱使用户安装运行,但不具有复制、传播能力的恶意代码。主要功能是对远端目标主机实现远程控制。
木马和病毒的主要区别:木马没有病毒的繁殖性和自动感染功能,而病毒往往不具备远程控制功能。
3.蠕虫
蠕虫是指可以通过网络等途径,自动将自身的全部代码或部分代码通过网络复制、传播给其他网络中计算机的完全独立可运行程序。
不同于病毒的是 不需要宿主文件。
组成:主程序、引导程序。
防护:及时打补丁。蠕虫没有扩散可用的漏洞,就无法自动扩散。
4.恶意脚本
可以直接对浏览器中的首页信息等进行修改和控制,甚至实施网站挂马、主页替换、跨站点脚本攻击等恶意操作。
载体是Web系统。所以,对Web系统进行有效的防范是防止恶意脚本攻击的根源。
5.综合性病毒
具备多种感染传播功能才能实现,这种病毒即为综合型病毒
二、恶意程序的传播方式和破坏功能
1.恶意程序的传播方法:网站挂马、诱骗下载、通过移动存储介质传播(自动播放文件autorun.ini)、通过电子邮件和即时通信软件传播、通过局域网传播(利用局域网其他计算机中 网络服务程序的漏洞 和 共享机制 实现传播)。
2.恶意程序的破坏功能:浏览器配置被修改、窃取用户密码账号等隐私信息、实现远程控制、破坏系统或网络的正常运行(eg:修改Hosts文件,利用虚假IP地址的映像劫持技术来屏蔽计算机与安全站点之间的连接)。
三、恶意程序检查查杀技术:特征码查杀、启发式查杀、基于虚拟机技术的行为判定、主动防御。
1.特征码查杀技术:提取典型代码特征添加到特征库中~匹配成功则检测出相应特征码对应的恶意程序。对采用了加密和变形等加壳技术的恶意程序失去作用。
特征码的提取(十六进制串作为特征串,或十六进制的校验和作为特征码)
第一种方法,提取恶意程序代码中的特征码。
第二种方法,通过特殊字符串提取特征码。
第三种方法,提取通杀特征码。
2.启发式查杀技术
通过实现分析恶意程序执行指令的顺序或特定行为组合情况等特征,建立检测的基准行
为或指令的样本库,并以这些基准行为或指令的特征来检测并确定是否是恶意程序。
启发式查杀技术具有对加壳变形的恶意程序的检测能力,还具有对未知病毒一定的检测能力。但是会造成误报。
3.虚拟机查杀技术
虚拟机查杀技术是在扫描恶意程序时,通过将恶意程序加载到虚拟机环境中运行,从而让恶意程序自动脱壳还原为原有状态,在进行检测查杀的技术。
利用虚拟机技术可以发现大部分的变形病毒和加壳的未知病毒。但是需要消耗较多的系统资源,可能引起性能的下降。
4.主动防御技术
主动防御技术不是事先对恶意程序的查杀,而是实现对恶意程序的及时拦截。
四、恶意程序的防范
(1)做好计算机自身的安全防范;
(2)防止网站浏览和访问造成的恶意程序入侵;
(3)防止因下载而造成的恶意程序入侵;
(4)防止通信类软件造成的恶意程序入侵;
(5)防止因移动存储介质造成的恶意程序入侵;
(6)防止基于局域网的恶意程序入侵(关闭文件共享功能);
Web安全防护
1 客户端安全防护
2 通信信道安全防护
3 服务器端安全防护
Web安全检测:黑盒检测 白盒检测
1. 木马:具有远程控制、信息偷取、隐蔽传输功能的恶意程序。
特点:伪装性、隐蔽性、窃密性、破坏性。
组成:客户端、服务端。
木马的连接方式:传统连接技术、反弹端口技术、线程插入技术。
木马的隐藏技术:线程插入技术、DLL动态劫持技术、Rootkit技术(一种内核隐藏技术)。
2. Webshell:具有较为强大的远程控制功能。
第六章
一.简要说明与其他计算机病毒相比,网络病毒表现出来的特点,并说明为什么会表现出这些新特点?
1.传染方式多 2.传染速度快 3.清除难度大 4.破坏性强
原因:
二.简述注册表中键值分成哪几大类?每大类键值在整个计算机系统设置中所起的作用是什么?
Windows的注册表是控制系统启动、运行的最底层设置,其数据保存在文件System.dat和User.dat中,这些文件至关重要,但又极其脆弱。
注册表包括以下5个主要键项:
HKEY_CLASSESE_ROOT:包含启动应用程序所需的全部信息,包括扩展名、应用
程序与文档之间的关系,驱动程序名、DDE和OLD信息,类ID编号和应用程
序与文档的图标等。
(2) HKEY_CURRENT_USER:包含当前登录用户的配置信息,包括环境变量,个人
程序,桌面设置等。
(3) HKEY_LOCAL_MACHINE:包含本地计算机的系统信息,包括硬件和操作系统信
息,如设备驱动程序,安全数据和计算机专用的各类软件设置信息。
(4) HKEY_USERS:包含计算机所有用户使用的配置数据,这些数据只有当用户登
录系统时才能访问。这些信息告诉当前用户使用的图标】激活的程序组、开
始菜单内容以及颜色字体等。
(5) HKEY_CURRENT_CONFIG:存放当前硬件的配置信息,其中的信息是从
HKEY_LOCAL_MACHINE映射出来的。
三.脚本病毒由哪些弱点?针对这些弱点,如何采取防范措施?
脚本病毒的弱点:
(1) 绝大部分VBS脚本病毒运行的时候需要用到一个对象:FileSystemObject。
(2) VBScript代码是通过Windows Script Host来解释执行的。
(3) VBS脚本病毒的运行需要其关联程序Wscript.exe的支持。
(4) 通过网页传播的病毒需要ActiveX的支持。
(5) 通过E-mail传播的病毒需要OutlookExpress的自动发送邮件功能的支持,但大
部分病毒都是以E-mail为主要传播方式进行传播的。
防范措施:
(1) 禁用文件系统对象FileSystemObject;
(2) 卸载Windows Script Host;
(3) 删除VBS,VBE,JS,JSE文件后缀名与其应用程序的映射;
(4) 在Windows目录中,找到Wscript.exe,更改名称或者删除,如果觉得以后有机
会的话,更改名称即可,然后以后还可以重新装上;
(5) 自定义安全级别;
(6) 禁止OutlookExpress的自动收发邮件功能;
(7) 显示扩展名;
(8) 将系统的网络连接安全级别设置为“中等”以上,它可以在一定程度桑预防某
些有害的Java程序或者某些ActiveX组件对计算机的危害;
(9) 安全舒勇杀毒软件;
七.简述防范恶意网页病毒的方法,并说明如何清除感染的恶意网页病毒。
针对不同的特点,采取特定的方法来消除病毒;
1.IE浏览器窗口不停的打开,知道最后死机。
(1)Windoes98系统中, “开始/设置/控制面板/—添加/删除程序—Windows安装程序—附件,不勾选 Windows Scriping.exe 项,”最后将其卸载。
(2)Windows XP/2000系统中,“开始/搜索/文件或文件夹”,在系统目录(C:/WINDOWS/system.32)下,查找WScript.exe文件,将之删除。
删除之后,重启系统,就会消除这类病毒的破坏。
2.IE的主页设置被屏蔽锁定
通过修改注册表清除病毒。
3.在IE工具栏中有非法添加的按钮
修复方法:选中工具栏上的非法按钮—右键—自定义,找到非法按钮然后删除。 (1)
4.IE默认的搜索引擎被篡改
从注册表regedit中修改回原来的网址。
八.简述即时通信软件病毒的工作原理及其特点,并说明如何防范这一类病毒。
IM工作原理:即时通信病毒是利用IM软件的传输漏洞进行传播。
特点:1.更强的隐蔽性; 2.攻击更加便利; 3.更快的传播速度;
防范:(1)尽量不要在公共场合使用IM软件。 (2)随时注意微软公司官方的安全公告,及时下载更新系统漏洞补丁,不给病毒制造者以可乘之机。 (3)养成良好的上网习惯,时刻提高警惕。 (4)制定适合工作环境的内容信息交换规范,严格管理实时监控内部员工IM软件的使用情况。 (5)关闭或者删除系统中不需要的服务,如FTP客户端、Telnet及Web服务等。 (6)建议使用6位以上的复杂密码。 (7)当用户的计算机发现或者异常时,应该立即断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其他计算机。
九.简述网络病毒在防范及清除时需要注意的问题,以及必须采取的相关措施。
网络病毒的防御:首先必须对计算机的安全要有足够的重视,增强防范意识,健全管理制度,加强网络管理,使用合法软件,介绍病毒入侵的机会。
需要加以注意的集中措施:(1)使用无盘工作站; (2)尽量少用超级用户登录; (3)严格控制用户的网络使用权限; (4)不允许一个用户有对其他用户私人目录的读写和文件扫描的权利; (5)不允许第一个用户对同一目录有读写权利; (6)对某些频繁使用的或者非常重要的文件的属性加以控制,以免病毒传染; (7)对远程工作站的登录权限严格限制。
网络病毒的清除:由于网络病毒的特点,以及网络系统中各计算机之间的关联性,要求必须按照一定的步骤进行,以防止网络病毒的二次感染或者清除不彻底。
第七章
一.说明是计算机木马?
木马是指通过伪装欺骗手段诱使用户安装运行,但不具有复制、传播能力的恶意代码。主要功能是对远端目标主机实现远程控制。
二.木马按照功能划分为哪几类?
(1)密码发送型; (2)信息收集型; (3)远程控制型; (4)破坏型; (5)FTP型; (6)主动对抗型;
三.木马有哪些典型特征?
(1)隐蔽性; (2)自动运行性; (3)欺骗性; (4)自动恢复性; (5)功能的特殊性; (6)危害性;
四.木马的进程隐藏技术有哪些?
(1)进程伪隐藏; (2)进程插入; (3)DLL注入; (4)Rootkit技术;
五.木马是如何获取目标主机信息的?
(1)获取网络信息的主要手段就是通过扫描的方法对主机或网络发送相应探测数据包,根据返回数据确定各种网络信息的特征。 主要方法分为三类:高级ICMP扫描技术、高级TCP扫描技术、高级UDP扫描技术。
六.阐述木马技术的发展趋势。
七个方向:(1)ICMP木马;(2)DLL替换;(3)权限提升;(4)防火墙穿越;(5)模块化设计;(6)隐蔽加载;(7)感染方式多样化;
七.如何预防和清除“冰河”木马?
预防:首先在 控制面板—查看选项卡 里取消系统默认的“隐藏已知文件扩展名”选项。然后在C:/Windows/system的目录下,新建两个TXT文本文件,将文件名(包括“扩展名”)
改成Kernel32.exe和Sysexplr.ese,最后将文件属性设为只读、隐藏。在Windows NT/2000/XP中,如果系统有多个用户,则将访问权限设置为“everyone”都“拒绝访问”,其他继承权限也做相应的设置。
清除:
①除C:Windows/system下的Kernel32.exe和Sysexplr.exe文件。
②“冰河”会在注册表HKEY_LOCAL_MACHINE/software/Microsoft/windows/Current Verson/Run 下扎根,键值为C:windows/system/Kernel32.exe,删除它。
③在注册表的HKEY_LOCAL_MACHINE/software/Microsoft/windows/Current Verson/Runservices 下,还有键值为C:windows/system/Kernel32.exe的,也要删除。
④最后,改注册表HKEY_CLASSES_ROOT/txtfile/shell/open/command下的默认值,由中木马后的C:windows/system/Sysexplr.exe%1改为正常情况下的C:windows/notepad.exe%1,即可恢复TXT文件的关联功能。
八.木马的防范策略有哪些?
(1)关闭本机不用的端口; (2)修改注册表权限; (3)不要随意打开来历不明的邮件; (4)不要随意下载来历不明的软件; (5)尽量少用共享文件夹; (6)运行实时监控程序; (7)经常升级和更新病毒库;
九.木马的检测方法有哪些?
1.查看开放端口; 2.查看win.ini和system.ini系统配置文件; 3.使用内存监测工具检查;
4.查看自启动文件; 5.查看注册表; 6.查看系统进程; 7.使用检测软件;
十.简述Linux木马的典型特征。
第八章
一.蠕虫与传统意义上的病毒在定义上有哪些不同?
蠕虫是通过网络传播,无需用户干预能够把独立地或者依赖文件共享主动攻击的恶意代码。
病毒是一段代码,能够把自身加到其他程序包括操作系统上。它不能独立运行,需要有他的宿主程序运行来激活它。
最主要的两点区别在于:
(1) 主动性方面:蠕虫的传播具有很强的主动性,他的运行与传播并不需要计算
机用户的干预;而病毒则必须要借助计算机用户的某种操作来激活它,这样
才能达到其攻击的目的。
(2) 感染对象方面:蠕虫感染的对象是有相应漏洞或者其他脆弱性的计算机系统,
而病毒的感染对象则是计算机中的文件系统。
二.请简述蠕虫的的行为特征有哪些?
主动攻击,行踪隐蔽,利用系统,网络应用服务漏洞,造成网络拥塞,降低系统性能,产生安全隐患,反复性,破坏性。
三.如何看待病毒的网络传播特性与蠕虫的传播特性之间的关系?
四.我们应该如何预防蠕虫?这和预防病毒有什么区别?
预防:1.加强人的安全意识; 2.提高软件产品的安全性(①安全编码;②非可执行的缓冲区;③数组边间检查;④加强对返回地址的保护;⑤及时打补丁或者升级)。
两者的区别:
篇三:恶意软件与病毒的分析浴防范
恶意病毒软件的防范与分析结课论文 (学院:土木建筑工程学院 学号:2011301550053 姓名:陈芹宏) 前言:
本文主要介绍了我与几种恶意软件和植入性插件做斗争
关键词:
远程控制、木马、插件
正文
1. 远程控制软件
这是一次印象十分深刻的经历。当时我是在网吧玩游戏,然后需要进行虚拟交易,我是买家,对方是卖家。为了了解物品详情,对方说要和我QQ谈。在谈价格的时候我要求给我几张游戏截图,然后他发了一张,但一直显示在下载(后来才知道那张图就是张正在下载模样的图片,目的是为了迷惑我),于是他说用QQ的文件传输功能发给我,我同意了并接收了那张图片。之后,我看完图片后准备于他交易,在打开交易窗口的时候,突然发现我的电脑被远程操控了,我完全无法控制,等我反应过来冷重启时已经晚了,之后我再上线发现价值相当于50元的虚拟物品已经被盗走了。
这次的经历让我长了不少见识,没有想到手中的电脑会那么容易就被远在天边的他人所操控。庆幸的是只是造成了一些虚拟财产的损失,而且最关键的是是在网吧,如果发生在家庭电脑上,那后果恐怕会不堪设想。现在我对文件传输十分谨慎,不会接受任何陌生人的任何文件。
后来经过了解,发现远程控制的原理并不是很难,用户连接到网络上,通过远程访问的客户端程序发送客户身份验证信息和要与远程主机连接的要求,远程主机的服务器端程序验证客户身份,如果验证通过,那么就与客户建立连接,并向用户发送给验证通过和已建立连接的信息。那么这个时候,甲户便可以通过客户端程序监控或向远程主机发送要执行的指令,而服务器端程序则执行这些指令,并把键盘、鼠标和屏幕刷新数据传给客户端程序,客户端程序通过运算把主机的屏幕等信息显示给用户看,使得用户就像亲自在远程主机上进行工作一样。如果没有通过身份验证的话,就是没有与用户建立连接,用户也就不能远程控制远程主机了。
由于现在实用的大多数远程控制软件支持TCP/IP协议,所以通过Internet对远程计算机进行控制为最简单易行的方式。只要两台PC同时接入Internet并同时运行远程控制软件,就可以通过Internet对远程PC进行控制。
2. 木马
其实木马和远程控制软件比较相像,但不同的是,木马具有很强的隐蔽性,木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计算机配置等。
曾经有段时间我家的电脑就被中了木马,先是QQ号连续的被盗,然后就是游戏账号被洗劫一空,甚至他还想窃取银行卡的信息,还好这方面的密保措施十分完善他才没有得逞。 期间我也用了不少杀毒软件,最开始是瑞星,然后是金山毒霸,最后是360,全都没有
用,当时的状态几乎处于疯癫,开电脑除了单机,就是看网页,什么都不敢做。我也试过对比系统服务项,也没查出个所以然,最后只能是重装了一次系统才得以解决这个问题。
3. 植入性插件
这个问题是在是再常见不过了,相信每个上网的人都会对其头疼不已。很多时候,说好的只要下一个软件,结果蹭蹭蹭不小心,莫名其妙就多了2、3个插件。好一点的软件还会让你选择是否安装,稍微恶心点的就是你不下某某某插件你这个软件就不能安装,实际上我之后将那个插件卸载后发现软件完全能够正常运行。最恶心的就是是那种你下某个软件,然后它偷偷的给你安上不少其他的软件,前段时间闹得沸沸扬扬的QQ捆绑下载,有些人发现安装QQ后,系统就自动下载安装了金山毒霸。
实际上,这些插件几乎都是没有什么用的,他们不带影响系统的运行速度,而且很多插件的安全性完全未知,具有比较大的风险,很难保证之中没有木马或者病毒。我现在已经有了比较好的习惯,下载软件时一般都会去官网或者比较大型的网站,同时也会定期在控制面板里面检查一下有没有哪些软件是多出来的,发现了就及时将它清理掉,以减少系统运行的负担。
4. 总结
电脑再给我们带来无尽的便利的同时也伴随着风险,我们需要掌握必备的专业知识与防范意识,了解足够的相关知识,才能有效的保护我们的电脑,保护我们自身的财产安全。在网咯飞速发展的年代,做一个电脑白痴是百害而无一利。