返回列表 回復 發帖

全面瞭解病毒網路攻擊基礎

第一部分:電腦病毒防治

一、什麼是電腦病毒

電腦病毒不同於生物醫學上的“病毒”,電腦病毒是指編制或者在電腦程式中插入的破壞電腦功能或者毀壞數據,影響電腦使用並能自我複製的一組電腦指令或者程式代碼。由於它的所做所為與生物病毒很相像,人們才給它起了這麼一個“響亮”的名字。與生物病毒不同的是幾乎所有的電腦病毒都是人為地故意製造出來的,有時一旦擴散出來後連製造者自己也無法控制。它已經不是一個簡單的技術問題,而是一個嚴重的社會問題了。目前,全球已有的電腦病毒約7萬餘種。

下麵我們將生物醫學病毒與感染IBM-PC機的DOS環境下的病毒的特徵進行對比。



二、網路蠕蟲和特洛伊木馬程式

1988年一個由美國CORNELL大學研究生莫裏斯編寫的蠕蟲病毒蔓延造成了數千臺電腦停機,蠕蟲病毒開始現身網路。而後來的紅色代碼,尼姆達病毒瘋狂的時候,造成幾十億美元的損失。2003年1月26日, 一種名為“2003蠕蟲王”的蠕蟲病毒迅速傳播並襲擊了全球,致使互聯網網路嚴重堵塞,互聯網功能變數名稱伺服器癱瘓,造成線民流覽互聯網網頁及收發電子郵件的速度大幅減緩, 同時銀行自動提款機的運作中斷, 機票等網路預訂系統的運作中斷, 信用卡等收付款系統出現故障。國外專家估計,造成的直接經濟損失在12億美元以上。

網路蠕蟲(worm)主要是利用操作系統和應用程式漏洞傳播,通過網路的通信功能將自身從一個結點發送到另一個結點並啟動運行的程式,可以造成網路服務遭到拒絕併發生死鎖。“蠕蟲”由兩部分組成:一個主程序和一個引導程式。 主程序一旦在機器上建立就會去收集與當前機器聯網的其他機器的資訊。它能通過讀取公共配置檔並運行顯示當前網上聯機狀態資訊的系統實用程式而做到這一點。隨後,它嘗試利用前面所描述的那些缺陷去在這些遠程機器上建立其引導程式。

特洛伊木馬程式(Trojan horse)是一個隱藏在合法程式中的非法的程式。該非法程式被用戶在不知情的情況下被執行。其名稱源於古希臘的特洛伊木馬神話,傳說希臘人圍攻特洛伊城,久久不能得手。後來想出了一個木馬計,讓士兵藏匿於巨大的木馬中。大部隊假裝撤退而將木馬擯棄於特洛伊城,讓敵人將其作為戰利品拖入城內。木馬內的士兵則乘夜晚敵人慶祝勝利、放鬆警惕的時候從木馬中爬出來,與城外的部隊裏應外合而攻下了特洛伊城。

完整的木馬程式一般由兩個部分組成:一個是伺服器程式,一個是控制器程式。“中了木馬”就是指安裝了木馬的伺服器程式,若你的電腦被安裝了伺服器程式,則擁有控制器程式的人就可以通過網路控制你的電腦、為所欲為,這時你電腦上的各種檔、程式,以及在你電腦上使用的帳號、密碼就無安全可言了。木馬程式不能算是一種病毒,但越來越多的新版的殺毒軟體,已開始可以查殺一些木馬了,所以也有不少人稱木馬程式為駭客病毒。

三、電腦病毒的傳播

電腦病毒的傳播途徑主要有:

1、通過檔系統傳播;

2、通過電子郵件傳播;

3、通過局域網傳播;

4、通過互聯網上即時通訊軟體和點對點軟體等常用工具傳播;

5、利用系統、應用軟體的漏洞進行傳播;

6、利用系統配置缺陷傳播,如弱口令、完全共用等;

7、利用欺騙等社會工程的方法傳播。

電腦病毒的傳播過程可簡略示意如下:

  



四、電腦病毒的特徵

電腦病毒作為一種特殊的程式具有以下特徵:

(一)非授權可執行性,電腦病毒隱藏在合法的程式或數據中,當用戶運行正常程式時,病毒伺機竊取到系統的控制權,得以搶先運行,然而此時用戶還認為在執行正常程式;

(二)隱蔽性,電腦病毒是一種具有很高編程技巧、短小精悍的可執行程式,它通常總是想方設法隱藏自身,防止用戶察覺;

(三)傳染性,傳染性是電腦病毒最重要的一個特徵,病毒程式一旦侵入電腦系統就通過自我複製迅速傳播。

(四)潛伏性,電腦病毒具有依附於其他媒體而寄生的能力,這種媒體我們稱之為電腦病毒的宿主。依靠病毒的寄生能力,病毒可以悄悄隱藏起來,然後在用戶不察覺的情況下進行傳染。

(五)表現性或破壞性。無論何種病毒程式一旦侵入系統都會對操作系統的運行造成不同程度的影響。即使不直接產生破壞作用的病毒程式也要佔用系統資源。而絕大多數病毒程式要顯示一些文字或圖象,影響系統的正常運行,還有一些病毒程式刪除檔,甚至摧毀整個系統和數據,使之無法恢復,造成無可挽回的損失。

(六)可觸發性,電腦病毒一般都有一個或者幾個觸發條件。一旦滿足觸發條件或者啟動病毒的傳染機制,使之進行傳染;或者啟動病毒的表現部分或破壞部分。觸發的實質是一種條件的控制,病毒程式可以依據設計者的要求,在一定條件下實施攻擊。這個條件可以是敲入特定字元,某個特定日期或特定時刻,或者是病毒內置的計數器達到一定次數等。

五、用戶電腦中毒的24種症狀

一是電腦系統運行速度減慢。

二是電腦系統經常無故發生死機。

三是電腦系統中的檔長度發生變化。

四是電腦存儲的容量異常減少。

五是系統引導速度減慢。

六是丟失檔或檔損壞。

七是電腦螢幕上出現異常顯示。

八是電腦系統的蜂鳴器出現異常聲響。

九是磁片卷標發生變化。

十是系統不識別硬碟。

十一是對存儲系統異常訪問。

十二是鍵盤輸入異常。

十三是檔的日期、時間、屬性等發生變化。

十四是檔無法正確讀取、複製或打開。

十五是命令執行出現錯誤。

十六是虛假報警。

十七是換當前盤。有些病毒會將當前盤切換到C盤。

十八是時鐘倒轉。有些病毒會命名系統時間倒轉,逆向計時。

十九是WINDOWS操作系統無故頻繁出現錯誤。

二十是系統異常重新啟動。

二十一是一些外部設備工作異常。

二十二是異常要求用戶輸入密碼。

二十三是WORD或EXCEL提示執行“宏”。

二十四是不應駐留記憶體的程式駐留記憶體。

六、電腦病毒防治策略

電腦病毒的防治要從防毒、查毒、解毒三方面來進行;系統對於電腦病毒的實際防治能力和效果也要從防毒能力、查毒能力和解毒能力三方面來評判。



(一)防毒。是指根據系統特性,採取相應的系統安全措施預防病毒侵入電腦。防毒能力是指通過採取防毒措施,可以準確、即時監測預警經由光碟、軟碟、硬碟不同目錄之間、局域網、互聯網(包括FTP方式、E-MAIL、HTTP方式)或其他形式的檔下載等多種方式的病毒感染;能夠在病毒侵入系統時發出警報,記錄攜帶病毒的檔,即時清除其中的病毒;對網路而言,能夠向網路管理員發送關於病毒入侵的資訊,記錄病毒入侵的工作站,必要時還要能夠註銷工作站,隔離病毒源。



(二)查毒。是指對於確定的環境,能夠準確地報出病毒名稱,該環境包括記憶體、檔、引導區(含主引導區)、網路等。查毒能力是指發現和追蹤病毒來源的能力,通過查毒能準確
返回列表