微点交流论坛 - 反病毒 - 计算机病毒分析从入门到提高

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 反病毒 » 计算机病毒分析从入门到提高

1/2

独孤不平
注册用户

积分 128
发帖 122
注册 2008-10-3

#1 计算机病毒分析从入门到提高

序言

   现阶段计算机病毒已经不是以往以炫耀技术、玩笑性、破坏性为主要目标编写的恶意代码，而是发展到规模化、组织化、甚至纪律化的专门用户盗窃用户隐私的程序，这种程序在计算机中运行后，将会盗取用户隐私、账号、密码，将用户计算机作为傀儡、作为攻击他人的跳板、甚至作为下一次开发病毒试验机。良好的维护自身计算机安全免遭网络盗窃，正当维护自身网络合法权益，我想无论是在学校、在企业都是应该为每一位学生、员工进行提高的。从网络角度出发，这门技术应该是每一位网络管理人员所掌握的，并不单单是安全厂商的病毒分析人员。试想，如果一位网管不知道什么是计算机病毒，那么他所管理的网络一定会是病毒的“殖民地”；不知道如何快速的排除病毒，那么在现在计算机病毒与日俱增的年代他所管理的机房可能每天就会重装一次系统。原因很简单，安全的系统也会有漏洞的存在，自动化的设备也必须有人员的出没。呼吁网络和平，应该从每个人做起，而不是依赖别人。

                                                     现阶段计算机病毒及其网络威胁简要
   如何判断一个程序是否是病毒，要从该程序是否会对多数用户的计算机造成威胁开始，如何判断一段代码是否具有病毒属性，那么就必须知道这段代码运行后是否会对用户计算机造成侵害。归结起来计算机病毒就是一段具有对用户计算机造成威胁、侵害、不良后果的计算机指令集。
   如果说一个程序是病毒，那么它具有什么性质才会是病毒？
攻击性：具有攻击性的病毒主要体现在worm（蠕虫）方面，并且具有主动攻击性。它将会使用漏洞溢出、密码猜解、邮件群发、消息群发等多种攻击方式使得目标计算机被动中毒，借助中毒机作为毒源再次以金字塔方式蔓延，对于病毒作者而言这种病毒攻击效率是非常可观的，而对于被攻击用户却是非常可怕的一种类型病毒。

隐蔽性：隐蔽性主要还是体现在Backdoor（后门）方面，随着反病毒反、Rootkit等安全措施的加强，后门开发者对于其后门自我隐藏、自我保护的技术也同时在进步，对于一个普通用户要想察觉自身计算机是否被植入后门几乎是不可能的。现阶段的后门程序已经存在半驱动化，不久的将来可能会大肆驱动化，甚至硬件化。

寄生性：对于寄生这个词可能都不会陌生，比如一只虱子寄生在一只猫身上，那么当这只猫走到哪里的时候，这只虱子也会跟随到哪里并找准机会进程繁殖。（Virus）感染性病毒同样是这个原理，一个正常的程序被感染了病毒之后就像是这只寄生了虱子的猫，程序可以正常运行就像这只猫可以行走，病毒可以继续感染就像虱子在繁殖。对于感染性病毒检测难度是非常大的，尤其是不对称类型的节感染病毒（不对称相对而言），就像你看不见那只虱子在猫身上的什么地方，因为它是活动的，所以对于具有寄生性质的有效的病毒防御才是最好的办法。

盗窃性：顾名思义，就是病毒使用不正当的或者隐含的手法获取用户的正当利益。具有此类性质的病毒通常被安全软件命名为Trojan、Backdoor等，前者具有一定的针对性，针对某一类计算机用户，后者的威胁比较笼统。但无论是针对某款游戏还是个人隐私，最终都为盗窃，未经用户允许的情况下无论是“光明正大”还是“暗度陈仓”的进行窃取视同于犯罪，可见中得此类病毒的计算机和小偷进入家门是没有区别的。

对抗性：这类性质应该是06年由熊猫烧香、美女游戏等病毒创新的，起初使用发送窗口消息、IFEO、删除安全软件启动项等手段对付安全软件，而后这个原理一度被病毒编写者看好，发展至现在的通过驱动强制终结安全软件进程、线程，吊销安全软件自我保护机制，以至消息阻塞、投递APC等卑劣方式迫使安全软件自行退出等。这种劣行几乎被目前所有类型病毒使用，木马下载器（Trojan-Downloader）使用更为严重，打个警察与小偷的比方，小偷要去盗窃财物而发现目的地有警察，而盗窃之物又是势在必得，那么映射在小偷脑海里的计划应该有两种方式：第一种就是如何绕过警察成功盗窃，但它必须为自己如何全身而退做出周密的计划；第二种就是和警察产生正面冲突，胜出后进行盗窃，携脏潜逃畅通无阻。

传播性：传播的目的是要更多人得多同样的消息，病毒具有传播性目的就是要让更多人中毒。具有比较广泛传播性的病毒通常被杀毒软件命名为蠕虫（worm）、木马下载器（Trojan-Downloader），前者如上文，主动攻击主动传播；后者被动攻击被动传播，通俗一点就是计算机用户可能上网不留意、不小心引狼入室，比如通过网页木马、染毒文件等植入计算机系统。一旦被植入的病毒发作后就会借助枚举共享网络、溢出攻击、会话劫持等攻击手段进程大肆传播。

欺骗性：主要体现在SpyWare、Trojan-Spy等病毒方面，其自身具有诈骗性质，通过社会工程学欺诈用户主动中毒，从而获取用户隐私或者勒索用户钱财，此类程序一般带有华丽的界面、仿造的版本信息或者强大的功能介绍。当用户心甘情愿点击之后却发现所谓的功能却没有得到发挥，孰不知其隐私信息却几经在后台被该程序偷偷传走；或者弹出信息提示要求支付xx美金或RMB才可得到程序全部功能，用户支付完毕功能却依然无法兑现。

破坏性：这类病毒在现阶段的病毒发展趋势中已经体现的很小了，不多作介绍，主要以破坏操作系统、破坏网络通讯、破坏用户文件为主，其运行后可能带有恐吓性行为，通常被安全厂商命名为Malware。

潜伏性：这个也是以往病毒的定义，曾经的CIH、莫国防等是通过系统时间判断自身是否应该发作。当然现在的木马也具有此性质，例如盗号木马会判断所盗的游戏是否存在，存在则发作；判断计算机中是否安装安全软件等，不存在则发作。

网络敲诈、勒索、盗窃已经成为趋势
   伴随着黑色产业的兴起，网络威胁与日俱增，或者说二者是关联的，相辅相成的，记得在多年前看过一份报告，说的是“当前”网络的四大威胁，它们分别是“木马、病毒”、“DDoS攻击”、“流氓软件”、“垃圾邮件”，而如今这四种依然是最为流行的，在其之后兴起的还有一种那就是“网络钓鱼”。
   “木马、病毒”如上述，已经发展到“产业化”、“职业化”、甚至各个组织都会存在所谓的纪律，这种纪律通常是会员不得已任何方式向安全软件公司提交他们所开发或免杀的“产品”，这就暴露出一个很严重的问题，就是中毒者可能是先中病毒而后装杀毒软件，而大部分计算机用户还是对操作系统比较陌生的，既然陌生那么进行怀疑的百分比就是很小的，病毒如此之多而提交到安全厂商的样本却十分少，这可能就是高启发、行为分析、云安全等技术兴起的根本原因。
   “DDoS攻击”被解释为分布式拒绝服务攻击，从字面上的意思就是从不同地点（ip）同时向某服务器发送大量请求，使之服务器压力承受能力过载，从而无法提供正常的服务能力造成瘫痪。从攻击者（黑客）本质上是具有双向盈利的一种手段，一方面接受雇主（发起攻击行动主谋）的非法金额，另一方面要挟、勒索被攻击方以金钱或其他利益性物质作为条件停止攻击。这种攻击方式的攻击源可能有多人操控，从中跳板也可能有多层，攻击源一旦发出攻击指令，最终的攻击动作只是由肉鸡（傀儡主机，被种植后门程序的正常用户计算机）发起。

[ Last edited by 独孤不平 on 2008-12-4 at 00:08 ]

※ ※ ※ 本文纯属【独孤不平】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-12-2 06:41

独孤不平
注册用户

积分 128
发帖 122
注册 2008-10-3

#2 终于困了。。。

占楼

※ ※ ※ 本文纯属【独孤不平】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-12-2 06:41

独孤不平
注册用户

积分 128
发帖 122
注册 2008-10-3

#3

占楼

※ ※ ※ 本文纯属【独孤不平】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-12-2 06:41

独孤不平
注册用户

积分 128
发帖 122
注册 2008-10-3

#4

占楼

※ ※ ※ 本文纯属【独孤不平】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-12-2 06:42

独孤不平
注册用户

积分 128
发帖 122
注册 2008-10-3

#5

占楼

※ ※ ※ 本文纯属【独孤不平】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-12-2 06:42

独孤不平
注册用户

积分 128
发帖 122
注册 2008-10-3

#6

占楼

※ ※ ※ 本文纯属【独孤不平】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-12-2 06:43

独孤不平
注册用户

积分 128
发帖 122
注册 2008-10-3

#7

占楼

※ ※ ※ 本文纯属【独孤不平】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-12-2 06:43

独孤不平
注册用户

积分 128
发帖 122
注册 2008-10-3

#8

占楼

※ ※ ※ 本文纯属【独孤不平】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-12-2 06:44

独孤不平
注册用户

积分 128
发帖 122
注册 2008-10-3

#9

占楼

※ ※ ※ 本文纯属【独孤不平】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-12-2 06:44

独孤不平
注册用户

积分 128
发帖 122
注册 2008-10-3

#10

占楼

※ ※ ※ 本文纯属【独孤不平】个人意见，与【微点交流论坛】立场无关※ ※ ※

2008-12-2 06:45

1/2

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号