计算机病毒概述

计算机病毒概述 第八章 病毒与数据安全防护知识 计算机病毒概述 生物学中，病毒是那些能侵入动物体并给动物体带来疾 病的一种微生物。 计算机病毒则在计算机之间传输，并自己复制而给计算 机系统带来一定后果的一类程序。 计算机病毒随着计算机软件技术发展而逐渐产生，是计 算机科学技术高度发展与计算机文明得不到完善这种不平衡发展的结果。 计算机病毒的起源 1977年夏Thomas.J.Ryan推出了轰动一时的科幻小说，名叫《The Adolescence of P-1》。 在这本书中，作者构造了一种神秘的、能自我复制、利用信息通道传播的计算机程序，称为计算机病毒。 这些病毒飘泊于电脑之内，游荡于硅片之间，控制了7000多台计算机操作系统，引起混乱和不安。 从科幻到大规模泛滥仅用了十多年时间，故有人认为计算机病毒起源于科幻小说。 病毒起源的恶作剧说 一些人为了显示自己计算机知识方面的天资，或出于报复心理，编写了恶作剧程序，并通过软盘交换特别是游戏盘交换，引起计算机病毒的广泛传染; 软件制造商制造病毒程序; 现在广泛通过计算机网络(Internet、无线网络)进行传播。 计算机病毒发展史 1977年，科幻小说中提出了计算机病毒， 1983年，美国计算机安全专家Fred Cohen通过实验证明了产生计算机病毒的现实性，制造了世界上第一例计算机病毒。并在1984年9月加拿大多伦多国际信息处理联合会计算机安全技术委员会举行的年会上，发了题为“计算机病毒:原理和实验”的论文。其后，又发表了“计算机和安全”等论文。 1987年初，美国东部一所医疗中心存储在计算机系统中 的一些病历突然消失，经查是病毒在作怪。 这年12月下旬圣诞节前夕，计算机病毒侵袭了IBM公司的国际电子信息网，向每个曾使用过该信息网的用户发出了相同的贺信，大量连锁信件使得该网络因不堪重负而瘫痪，这就是IBM圣诞树病毒。 1988年11月2日的蠕虫病毒攻击Internet则把早期计算机病毒推向了高潮。一夜之间造成与该网络系统连接的6000多台计算机停机，其中包括美国国家航空和航天局、军事基地和主要大学，直接经济损失达9200多万美元。 早期的计算机病毒有感染引导区和文件两类。 直接修改部分中断向量表，而且不隐藏不加密自身代码，因此易被查出和解除。 其代表是:感染引导区的Stone病毒、小球病毒和磁盘杀手等，感染文件的耶路撒冷病毒、维也纳病毒和扬基病毒等。其中扬基病毒略有对抗反病毒手段。 此后一些能对自身进行简单加密的病毒相继出现，其代表是1366、1824、1741等。 DIR-2病毒的出现则改变了修改中断向量表方法，并且 也改变了传染文件的病毒通常把病毒程序体直接链接在文件处的方法。 新世纪病毒类型的计算机病毒的出现，则标志着传染引导区和文件的双料病毒的产生。 CIH病毒为代表的纯32位Win95、Win98计算机病毒的出现，标志着以DOS系统攻击对象的计算机病毒将逐渐让位于针对Windows的病毒。 数千种Word宏病毒的出现，则形成了病毒另一派系，由于宏病毒编写容易，网上又较多采用Word进行交流， 从而通过互联网传播更加快这类病毒流传。 变换自身代码的变形病毒也连续出现，使得一些病毒扫描软件时常漏查漏杀，象“台湾2号变形王”其病毒代码可变无限次，并且变形复杂，几乎达到了不可解除的状态。 Mutation Engine(变形金刚)遇到普通病毒后能将其改造成为变形病毒，给清除计算机病毒带来极大困难。 2001年红色代码病毒标志病毒与黑客的结合。 2003年的冲击波病毒，对全球网络安全提出了新的挑战，短短一周内，“冲击波”这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows用户，使其计算机无法工作并反复重启，大量企业用户也未能幸免。该病毒还引发DoS攻击，使多个国家互联网受影响。 计算机病毒在抗病毒技术发展的同时，自己也在不断发展，编制者手段越来越高明，病毒结构也越来越特别， 抗击病毒有待于我们的研究和开发。 网络攻击常见手段 1. 扫描 2. 缓冲区溢出 3. DoS 4. 密码破译 5. 窃听(嗅探) 6. 木马 7. IP欺骗 8. 病毒 1. 扫 描 攻击者完成一次成功的网络攻击，第一步就是要收集目 标站点的各种信息。 信息包括:操作系统类型，操作系统的版本，所开的服 务，所开服务的版本，网络拓扑结构，网络设备，防火墙， 入侵监测装置等等 2. 缓冲区溢出 给buffer传入攻击者希望执行的代码，我们称之为 shellcode，同时将ret修改为buffer的地址。这样，当 function执行完毕，通过ret返回时，将跳转至buffer中的攻击者代码。 3. 密码破译 攻击者通过猜测或者使用工具确定用户的口令，从而获得机器或者网络的访问权，并能访问到用户能访问到的任何资源。 首先获取账号等用户信息 然后获取口令 , 网络监听 , 口令破解 , 安装木马等 4. 窃听(嗅探) Sniff 1) “共享”模式下的嗅探:以太网的数据传输是基于“共享”原 理的:所有的主机都连接到HUB，而HUB对数据包传 输形式是广播。 嗅探程序正是利用了这个特点，它主动 关闭了网卡过滤器，使网卡在“混杂模式”下工作。 2) “交换”模式下的嗅探:在交换型以太网中，所有的主机连接 到SWITCH，它知道每台计算机的MAC地址信息和与之 相连的特定端口，发给某个主机的数据包会被SWITCH从特定的端口送出;因此交换型网络环境嗅探的核心问题是:如何使本不应到达的数据包到达本地。通常的方法有MAC洪水包和ARP欺骗。 5. 特洛伊木马 一种专门的程序工具，比较有名的代表有BO、Pwlview，特别是全中文界面的Netspy，操作方法一学就会。这种程序令您在不知不觉中运行，然后就开始实施对您的攻击。有的使您在毫无察觉的情况下主动泄露您的用户名和口 令，有的则在您的C盘中找到Windows下的,.pwl，让您的账号和密码都显示出来。 木马为一种基于远程控制的黑客工具。该非法程序被用户在不知情的情况下被执行。其特点在于能巧妙地运行在目标计算机系统中，而且不容易被发现,将使用者的重要信息通过后门发送出去。 一个完整的“木马”程序包含了两部分:“服务器”和“控制器”。植入你的电脑的是它的“服务器”部分，而所谓的黑客正是利用“控制器”进入运行了“服务器”的电脑。特洛伊木 马程序的“服务器”一般又可以包括两个部分:一个外壳程序和一个内核程序。外壳程序是用来诱骗被攻击者运行 “服务器”的。 6(IP欺骗 IP欺骗技术就是伪造某台主机的IP地址，发送数据包的技术。 通过IP地址的伪装使得主机A能够伪装成主机B，而主机B往往具有某种特权或者被另外的主机C所信任。 7层模型OSI易遭受的安全攻击 证券公司典型安全防护应用案例 ISDN: 综合服务数字网。 FW: 防火墙。 VPN: 虚拟专用网。 SSL: 安全套节层。 证券公司系统功能 1、防火墙作为基础安全设备设立在公司总部及营业部入口 通过访问控制可防止非法入侵并能做内部的安全代理。 2、通过IP层加密构建企业VPN，保证证券公司总部与各营 业部之间信息传输的机密性。 3、安全控制中心主要用作证券公司网络监控预警系统，具有 主动实时的特性。它是由IDS、网络扫描系统、系统扫描 系统、网络防病毒系统、信息审计系统等构成的综合安全 体系。 4、证券公司的Web服务器、邮件服务器等应用系统的保护 由页面保护系统、安全邮件系统完成。 5、基于SSL协议的应用加密系统保证股民交易安全。 6、建立公司的数字证书中心(CA)，向股民发放相应的数字 证书。 7、交易、行情服务器采用负载均衡和容错备份系统。 8、数据库采用相应安全控件组成安全数据库，定期进行数据 库漏洞扫描和数据备份。 9、卫星加密系统用于证券公司与深、沪两市数据安全交换。 10、文电办公加密系统用于办公文件(邮件)加密传输、存 储。 黑客攻击的目的 获取目标系统的非法访问，获得不该获得的访问权限。 获取所需信息，包括科技情报、个人信息、金融账户、 技术成果、系统信息等等。 篡改有关数据，篡改信息，达到非法目的。 利用有关资源，包括利用这台机器资源对其他目标进行 攻击，发布虚假信息，占用存储空间。 黑客攻击的方式 远程攻击:指外部黑客通过各种手段，从该子网以外的地方向该子网或者该子网内的系统发动攻击。 本地攻击:指本单位的内部人员，通过所在的局域网，向本单位的其他系统发动攻击，在本机上进行非法越权访问也是本地攻击。 伪远程攻击:指内部人员为了掩盖攻击者的身份，从本地获取目标的一些必要信息后，攻击过程从外部远程发起，造成外部入侵的现象，从而使追查者误以为攻击者是来自外单位。 黑客攻击所采用的途径 黑客能得手是利用了各种安全弱点: 管理漏洞:如两台服务器用同一个用户和密码，则入侵 了A服务器后，B服务器也不能幸免。 软件漏洞:如Sun系统上常用的Netscape Enterprise Server服务，只需输入一个路径，就可以看到Web目录下 的所有文件清单;又如很多程序只要接收到一些异常或者 超长的数据和参数，就会导致缓冲区溢出。 结构漏洞:如在某个重要网段由于交换机、集线器设置不合理，黑客可监听网络通信流数据;又如防火墙等配置不合理，安全机制不能发挥作用，麻痹技术管理人员而酿成黑客入侵事故。 信任漏洞:如本系统过分信任某个外来合作伙伴的机器，一旦合作伙伴的机器被黑客入侵，则本系统的安全受严重威胁。 数据安全防护 1(网络杀毒软件 网络杀病毒技术的发展日益国际化。世界上每天有几十种新病毒出现，60%的病毒均通过Internet传播。 杀毒软件面临多平台的挑战。一个好的企业级杀病毒软件必须能够支持所有主流平台，并实现软件安装、升级、配置的中央管理自动化。 杀毒软件面临Internet的挑战。企业级杀毒软件要保护企业所有可能病毒入口，也就是说要支持所有企业可能用到的Internet协议及邮件系统，能适应并且及时跟上的 Internet步伐。 2(防火墙 网络安全产品使用最广泛就是防火墙，在Internet和内部网络之间设一个防火墙。连入 Internet的计算机中约有1/3处于防火墙保护下。 对企业网络用户来说，如决定设防火墙，首先需要网络决策人员及网络专家共同决定本网络的安全决策，即确定什么类型信息允许通过防火墙，什么类型信息不允许通过防火墙。 防火墙技术实现通常基于“包过滤”技术。 包过滤一般靠网络管理员在防火墙设备的访问控制策略制定的。访问控制一般基于的标准有:包的源地址、包的目的地址、连接请求的方向(连入或连出)、数据包协议(如TCP/IP等)以及服务请求的类型(如ftp、www等)等。 除基于包过滤技术，防火墙还可以利用代理服务器软件实现。早期防火墙主要起屏蔽主机和加强访问控制的作用，现在防火墙逐渐集成了加密、解密和压缩、解压等功能， 这些技术增加了信息在互联网上的安全性。 3(加密技术 单匙技术:无论加密还是解密都是用同一把钥匙;发信人用某把钥匙将某重要信息加密，通过网络传给收信人，收信人再用同一把钥匙将加密后的信息解密。 双匙技术:此技术使用两个相关互补的钥匙:一个为公钥，另一个为私钥。公钥是大家被告知的，而私钥只有个人自己知道。发信者需用收信人公钥将重要信息加密，然后传给收信人。收信人用私钥解密。除了私钥的持有者， 没有人能将其解密。 4(身份验证 身份验证是一致性验证的一种，验证是建立一致性证明 的一种手段。主要包括验证依据、验证系统和安全。 身份验证技术是在计算机中最早应用的安全技术，它是互 联网上信息安全的第一道屏障。 5(存取控制 何种主体对何种客体具有何种操作权利。主要包括 人员限制、数据标识、权限控制、类型控制和风险。 也是最早采用的安全技术之一，一般与身份验证一起使用，赋予不同身份用户不同操作权限，以实现不同级别信息分级管理。 6(数据完整性 完整性证明是在数据传输中，验证收到数据和原来数据之间保持完全一致的证明手段。最早采用数据完整性验证的方法，虽不能保证数据的完整性，只起到基本的验证作用，但由于实现非常简单(一般由硬件实现)，现在仍广泛应用于网络数据的传输和保护中。 近几年来研究比较多的是数字签名等算法，虽可以保证数据的完整性，但由于实现比较复杂，系统开销比较大，一般只用于完整性要求较高的领域，特别是商业、金融业等领域。