恶意软件病毒分析6篇

恶意软件病毒分析6篇恶意软件病毒分析　　蠕虫病毒—恶意软件分析　　姓名：冯鑫苑班级：计算机应用专业1021学号：2010284112一、蠕虫病毒1.蠕虫（Worm）病毒定义下面是小编为大家整理的恶意软件病毒分析6篇,供大家参考。

篇一：恶意软件病毒分析

　　蠕虫病毒—恶意软件分析

　　姓名：冯鑫苑班级：计算机应用专业1021学号：2010284112一、蠕虫病毒1.蠕虫（Worm）病毒定义：

　　蠕虫病毒是一种常见的计算机病毒。它的传染机理是利用网络进行复制和传播，传染途径是通过网络、电子邮件以及U盘、移动硬盘等移动存储设备。比如2006年以来危害极大的“熊猫烧香”病毒就是蠕虫病毒的一种。蠕虫程序主要利用系统漏洞进行传播。它通过网络、电子邮件和其它的传播方式，象生物蠕虫一样从一台计算机传染到另一台计算机。因为蠕虫使用多种方式进行传播，所以蠕虫程序的传播速度是非常大的。蠕虫侵入一台计算机后，首先获取其他计算机的IP地址，然后将自身副本发送给这些计算机.蠕虫病毒也使用存储在染毒计算机上的邮件客户端地址簿里的地址来传播程序。虽然有的蠕虫程序也在被感染的计算机中生成文件，但一般情况下，蠕虫程序只占用内存资源而不占用其它资源。蠕虫还会蚕食并破坏系统，最终使整个系统瘫痪。

　　2.蠕虫病毒入侵模式：

　　蠕虫病毒由两部分组成：一个主程序和一个引导程序。主程序一旦在机器上建立就会去收集与当前机器联网的其它机器的信息蠕虫病毒的入侵模式。它能通过读取公共配置文件并运行显示当前网上联机状态信息的系统实用程序而做到这一点。随后，它尝试利用前面所描述的那些缺陷去在这些远程机器上建立其引导程序。蠕虫病毒程序常驻于一台或多台机器中，并有自动重新定位。(autoRelocation)的能力。如果它检测到网络中的某台机器未被占用，它就把自身的一个拷贝（一个程序段）发送给那台机器。每个程序段都能把自身的拷贝重新定位于另一台机器中，并且能识别它占用的哪台机器。

　　二、对蠕虫病毒进行恶意软件分析ClamAntiVirus是一个类UNIX系统上使用的反病毒软件包。主要应用于邮件服务器，采用多线程后台操作，可以自动升级病毒库。分析过程：

　　1.ClamAV对蠕虫病毒进行分析

　　clamav引擎流程图:

　　clamav没有明确的引擎代码部分，这里以scanmanager函数为开始只画出clamav整个检测流程。

　　初始化配置信息

　　加载病毒库

　　解压缩Y分类处理不同类型的病毒库。

　　*.mdb

　　N

　　结束退出

　　加入cli_engine

　　加入cli_engine

　　*.pdb

　　加入cli_engine

　　*.wdb

　　加入cli_engine

　　*.zmd…

　　将库中数据转换为Engine结构，加入到内存。入口文件格式识别

　　解包模块

　　Y

　　包裹

　　N

　　文件类型识别检测

　　MSEXEELF多态变形病毒检测OLEELFSISSRCENCELFGRAPHICS

　　………

　　UNKONW

　　加壳Y脱壳

　　N

　　库与检测算法（AC/BM）

　　….MD5库Sign库通配符钓鱼

　　ClamAV引擎流程图bynEINEI

　　从整体上看，clamav引擎工作流程是：1先获取检测配置2进行病毒库加载，因为库是压缩的，所以先创建一个临时目录用释放解压后的库文件，MD5和BM的库记录会在测试加载完毕，AC算法的库在此时仅是添加到结构当中，因为该算法还要涉及调整内部记录的病毒特征的指针，同时也初始化了一个动态配置结构。3构建引擎，至少从函数名字上看是这样，但实际上该步骤仅是调整AC算法的内部记录的特征的指针，保留该步骤应该是历史版本遗留下来的问题。4再次进行配置信息的获得，包括扫描文件的最大值，解压缩的比率，是否检测PE,是否开启算法扫描等等。之所以分两次获取，可能是配置本身过于复杂耗时，如果步骤3失败，则直接退出，没必要开始时初始所以配置信息。5对扫描对象的按目录和文件进行分类处理，当处理的对象是目录时，遍历后仍然按单个文件方式处理。6对单独的文件，clamav会检测一些是否有和配置信息不符的情况，如解包的递归层数，在超出了给条件的情况下，会报告”Archive.ExceededRecursionLimit”病毒，而后进行格式识别，依据格式识别的返回结果调用不同的处理函数进行库匹配。最为关键的是第6步，前几个步骤都是为最后一步扫描构建基础环境，在检测中最为关键的是cli_scanpe函数，该函数长达2000多行代码。从v0.93版中看更加细致的验证PE文件的合法性的操作，在验证通过后才会进入算法扫描（主要用于检测多态病毒）、壳识别、脱壳、普通文件扫描的流程。但该处理过程没有太清晰的处理逻辑，效率控制也不是太好，从v0.80到v0.93这些处理方式上看，作者并没有试图改变这样处理方案，可以预测以后的版本如果要加入新的病毒检测方案，仍然会强行加入到该函数中。从可借鉴的角度看，该引擎的部分库格式，与有针对性的文件格式解析都是可以考虑利用的，配置信息的管理，丰富的引擎调试的信息等方式也都很有意义。分析结果：No.端口号服务攻击事件数说明1135和445windowsrpc分别为42次和457次表明可能感染了最新的windows病毒或蠕虫病毒257email56次黑客利用fx工具对这个端口进行扫描，寻找微软web服务器弱点31080，3128，6588，8080代理服务分别为64、21、21、163次表示黑客正在进行扫描425smtp服务56次黑客探测smtp服务器并发送LJ邮件信号510000＋未注册的服务376次攻击这些端口通常会返回流量，原因可能是计算机或防火墙配置不当，或者黑客模拟返回流量进行攻击2.沙盒、蜜罐及多重反病毒扫描网站进行分析入侵过程检测与分析搭建有蜜罐系统的虚拟主机IP为221.10.91.117。连上互联网后，通过嗅探软件发现不时有主机对蜜罐进行基于135端口的扫描，有时伴随着基于NetBIOS的扫描（137、139端口）。这说明网络中存在大量随机扫描。大约几小时后，一位不速之客对蜜罐进行了扫描和攻击，其IP为221.10.90.75，它

　　开始对蜜罐进行了扫描，主要是基于135端口（epmap端口）的扫描。接下来攻击者对蜜罐的135端口进行攻击，建立DCERPC连接，并向蜜罐传送带有恶意代码的数据包。对所捕获数据进行协议分析的结果如下所示。InternetProtocol,SrcAddr:221.10.90.75(221.10.90.75),DstAddr:221.10.91.117(221.10.91.117)TransmissionControlProtocol,SrcPort:4685(4685),DstPort:epmap(135),Seq:73,Ack:61,Len:1360DCERPCVersion:5Version(minor):0Packettype:Request(0)PacketFlags:0x03DataRepresentation:10000000FragLength:1464AuthLength:0CallID:229Allochint:1440ContextID:1Opnum:4Stubdata(1336bytes)通过分析其特点发现，这是针对WindowsRPCDCOM接口进行缓冲区溢出漏洞的攻击，此漏洞可以通过135(TCP/UDP)、139、445、593等端口发起攻击。由于Windows的DCOM实现在处理一个参数的时候没有检查长度。通过提交一个超长（数百字节）的文件名参数可以导致堆溢出，从而使RpcSS服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限运行代码。攻击者可以在系统中采取任何行为，包括安装程序，窃取更改或删除数据，或以系统权限创建新帐号。此漏洞可以通过135(TCP/UDP)、139、445、593等端口发起攻击。由于Windows的DCOM实现在处理一个参数的时候没有检查长度。通过提交一个超长（数百字节）的文件名参数可以导致堆溢出，从而使RpcSS服务崩溃。精心构造提交的数据就可以在系统上以本地系统权限运行代码。攻击者可以在系统中采取任何行为，包括安装程序，窃取更改或删除数据，或以系统权限创建新帐号。蠕虫病毒感染结果分析使用Regsnap重新生成一份系统的完整快照，然后按F5打开Comparesnapshots窗口，打开第一次生成并保存了的snapshot文件，点击“OK”，生成一份对比结果文件。在对比结果的“文件列表于C:\WINNT\System32\*.*”部分的统计信息发现有1个新增文件，文件名为winregs32.exe。在注册表报告的统计信“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”等处新增了3个主键信息，如图3所示。另外Regsnap还报告了若干注册表键值被修改的信息等。这样，通过修改注册表，该病毒程序便实现了系统启动时自动运行。

　　三、静态分析蠕虫病毒变种静态分析：结构化指纹分析与生成该模块的功能是对所输入的病毒A和变种B两个文件分别进行分析并生成其指纹特征。该模块的输入是两个文件，输出是两个文件的调用图、控制流图以及结构化指纹。具体步骤如下：a)构造每个可执行文件的调用图和控制流图。b)在调用图一级，生成函数节点的结构化指纹。c)在控制流图一级，生成基本块节点的结构化指纹。在实现中，该模块是以IDAPRO的插件形式实现的。这是因为，IDAPRO提供了较为强大的反汇编和分析功能。同构比较：依据结构化指纹分析与生成模块所产生的结构化指纹，在调用图和控制流图级采用2．2．2节中的算法进行比较。具体步骤如下：a)在调用图一级进行同构比较，找出两个调用图之间匹配的最大同构子图，即找出两个文件中哪些函数发生了改变，哪些函数没有发生改变。b)对于发生了改变的函数在控制流图一级进行同构比较，找出哪些基本块发生了改变。结果显示1)调用图级比较结果显示调用图级的分析结果按照匹配的函数(即固定点)、病毒A中未匹配的函数、变种B中未匹配的函数列表来显示。2是对振荡波病毒(Sasser)图分析的结果。

　　b)控制流图级比较结果显示对调用图中的固定点(即匹配函数对)进行控制流图级的比较，结果显示如图3所示。其中：暗色的节点表示没有发生改变的基本块；白色节点对应发生了改变的基本块。人工校正提供人工校正的原因是在自动化分析过程中，并不能保证所有函数都进行了正确的匹配，所以允许对结果进行人工校正。人工校正后，固定点发生了变化，可能需要重掰进行固定点的传播。因此在人工校正后，提供自动的重新进行固定点传播。Funnywei提出了可以增加启发式匹配的方法来发现在固定点初始化和传播过程中可能出现的错误匹配关系。

　　分析结果：依据该模型，本文实现了MVA(maliciousvariantsanalyser)原型系统，并对曾经影响较大的WelChia、尼姆达、振荡波等病毒进行了分析。实验结果如表1所示。依据该实验结果可以看出，WelChia．I与WelChia．h变化不大，仅有4个函数发生了变化；Nimda．b和Nimda．d变种的变化较多，有33个函数，而且Nimda．b比Nimda．d的函数多5个；Sasser．C与Sasser．b一共有85个函数匹配，只有1个函数发生了改变，而且Sasser．C比Sasser．b多5个函数。

　　由于可执行代码中存在着大量的间接调用和跳转，本文构造的调用图和控制流图是不完整的，基于结构化指纹的图同构比较的分析结果也会受到一定的影响。下一步需要加入数据流分析，以便构造更加完整的调用图和控制流图。笔者计划在目前分析模型的基础上引入语义级的恶意代码变种分析技术，用于提取恶意代码带注释的CFG签名。三、蠕虫病毒的行为表现、危害性、防治方法总结

　　行为特征：1、主动攻击：蠕虫在本质上已经演变为黑客入侵的自动化工具，当蠕虫被释放（release）后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。2、行踪隐蔽：由于蠕虫的传播过程中，不象病毒那样需要计算机使用者的辅助工作（如执行文件、打开文件、阅读信件、浏览网页等等），所以蠕虫传播的过程中计算机使用者基本上不可察觉。3、利用系统、网络应用服务漏洞：除了最早的蠕虫在计算机之间传播是程序设计人员许可、并在每台计算机上做了相应的配合支持机制之外，所有后来的蠕虫都是要突破计算机系统的自身防线，并对其资源进行滥用。计算机系统存在漏洞是蠕虫传播的

　　前提，利用这些漏洞，蠕虫获得被攻击的计算机系统的相应权限，完成后继的复制和传播过程。这些漏洞有的是操作系统本身的问题，有的是应用服务程序的问题，有的是网络管理人员的配置问题。正是由于漏洞产生原因的复杂性，导致面对蠕虫的攻击防不胜防。4、造成网络拥塞：蠕虫进行传播的第一步就是找到网络上其它存在漏洞的计算机系统，这需要通过大面积的搜索来完成，搜索动作包括：判断其它计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在。这不可避免的会产生附加的网络数据流量。即使是不包含破坏系统正常工作的恶意代码的蠕虫，也会因为它产生了巨量的网络流量，导致整个网络瘫痪，造成经济损失。5、降低系统性能：蠕虫入侵到计算机系统之后，会在被感染的计算机上产生自己的多个副本，每个副本启动搜索程序寻找新的攻击目标。大量的进程会耗费系统的资源，导致系统的性能下降。这对网络服务器的影响尤其明显。6、产生安全隐患：大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。这些都会导致未来的安全隐患。7、反复性：即使清除了蠕虫在文件系统中留下的任何痕迹，如果没有修补计算机系统漏洞，重新接入到网络中的计算机还是会被重新感染。这个特性在Nimda蠕虫的身上表现的尤为突出，计算机使用者用一些声称可以清除Nimda的防病毒产品清除本机上的Nimda蠕虫副本后，很快就又重新被Nimda蠕虫所感染。8、破坏性：从蠕虫的历史发展过程可以看到，越来越多的蠕虫开始包含恶意代码，破坏被攻击的计算机系统，而且造成的经济损失数目越来越大。防范措施：蠕虫病毒不同于一般的文件型病毒，既表现出了强大的功能，也表现出了自身的特点，变种多，功能相似，但当前反病毒厂商仍然利用传统的病毒特征串查毒法进行查毒。虽然随着病毒库的与日俱增，效率与日俱下，倒也还能满足目前的反病毒要求，但琼斯病毒的出现，彻底宣判了单纯特征串查毒法的死刑，迫切需要一种新式高效的查毒方法来应对琼斯这类变形蠕虫病毒。笔者总结了现有的蠕虫病毒非特征串检测方法，并提出了自己的观点。一般防治措施因为目前的蠕虫病毒越来越表现出三种传播趋势:邮件附件、无口令或者弱口令共享、利用操作系统或者应用系统漏洞来传播病毒，所以防治蠕虫也应从这三方面下手:(1)针对通过邮件附件传播的病毒:在邮件服务器上安装杀毒软件，对附件进行杀毒:在客户端(主要是out1ook)限制访问附件中的特定扩展名的文件，如.pif、.vbs、.js、.exe等;用户不运行可疑邮件携带的附件。(2)针对弱口令共享传播的病毒:严格来说，通过共享和弱口令传播的蠕虫大多也利用了系统漏洞。这类病毒会搜索网络上的开放共享并复制病毒文件，更进一步的蠕虫还自带了口令猜测的字典来破解薄弱用户口令，尤其是薄弱管理员口令。对于此类病毒，在安全策略上需要增加口令的强度策略，保证必要的长度和复杂度;通过网络上的其他主机定期扫描开放共享和对登录口令进行破解尝试，发现问题及时整改。(3)针对通过系统漏洞传播的病毒:配置WindowsUpdate自动升级功能，使主机能够及时安装系统补丁，防患于未然;定期通过漏洞扫描产品查找主机存在的漏洞，发现漏洞，及时升级;关注系统提供商、安全厂商的安全警告，如有问题，则采取相应措施。(4)重命名或删除命令解释器:如Windows系统下的WScriPt.exe;通过防火墙禁止除服务端口外的其他端口，切断蠕虫的传播通道和通信通道。

篇二：恶意软件病毒分析

　　aa科技频道在围绕这一主题进行访谈和策划报道的基础上加强了对目前信息社会上尚存的一些不和谐因素的调查和报日开始至200819日止aa科技依靠强大的客户端优势调动网友积极参与互动调查对目前尚存的不和谐因素进行了投票调查一共涉及垃圾短信响一声电话网络诈骗垃圾邮件流氓软件网络病毒网络隐私七大话题累计投票总数达票

　　“恶意软件”调查报告

　　“恶意软件”调查报告一、调查背景：2008年5月17日是世界电信与信息社会日，主题是“通信技术惠及残疾人”。AA科技频道在围绕这一主题进行访谈和策划报道的基础上，加强了对目前信息社会上尚存的一些不和谐因素的调查和报道。从2008年5月7日开始，至2008年5月19日止，AA科技依靠强大的客户端优势，调动网友积极参与互动调查，对目前尚存的不和谐因素进行了投票调查，一共涉及“垃圾短信”、“响一声电话”、“网络诈骗”、“垃圾邮件”、“流氓软件”、“网络病毒”、“网络隐私”七大话题，累计投票总数达*****票。其中，“响一声电话”调查参与度最高，达到*****票。二、调查时间：2008年5月7日至2008年5月19日。调查方式：网络有奖调查，凡参与调查者，均有可能获得AAQ币或公仔。四、调查基本结论选项最高投票数*****，选项最低投票数*****。五、调查基本结论根据对*****名网友的调查数据和综合调查，AA科技得出以下结论：1、恶意软件严重伤害了中国网民的感情，94.94％网友表示对其“十分厌恶”，95.26％网民遭遇过恶意软件；2、恶意软件短期内不会消失，甚至有69.92％网友认为，恶意软件永远不会消失；3、恶意软件存在和一度泛滥的原因，主要是由于灰色商业利益的诱惑，而非网民防范意识差；4、网民认为治理恶意软件需要多管齐下；5、通过恶意软件投广告是短视行为六、调查核心报告1、恶意软件释义：2006年10月17日，中国互联网协会联合会员单位召开了“反

　　恶意软件研讨会”，将“恶意软件”的称谓正式改为“恶意软件”。2006年11月22日，中国互联网协会最终确定“恶意软件”定

　　义并向社会公布：恶意软件是指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵害用户合法权益的软件，但不包含我国法律法规规定的计算机病毒。

　　2、恶意软件现状：据反病毒厂商卡巴斯基实验室分析师透露，2007年全年互联网上传播有记载的新型恶意程序（又被成为恶意软件）达2,227,415个，同比2006年的结果翻升四倍。该分析预计，2008年此类安全威胁将增加十倍，增加量将高达2000万。除了数量上的激增，恶意程序的破坏能力也在改进向着更新型化和复杂化发展；更强的破坏性和更多样的传播方式，将成为未来主流。另据奇虎公司（安全卫士360所属公司）调查数据，大量微软漏洞和第三方软件漏洞被黑客发现并利用，主要涉及Flash，迅雷下载、暴风影音、RealOne、超星等多数流行软件。事实上，网页“挂马（种植木马程序）”技术难度很低，很多的著名网站均出现过网页被“挂马”的事件，用户只是浏览网页，都有可能染上木马，仅有“良好”的浏览习惯已经不能幸免；超过70%的木马已经通过网页漏洞进行传播。3、调查核心数据：（1）95.26％网民遭遇过恶意软件AA科技对*****位网友的调查数据显示，95.26％的网友表示遇到过，仅有1.38%的网友表示从来没有遇到。此外，还有3.36%的网民表示不清楚自己是否被恶意软件荼毒过。（2）94.94％的网友厌恶而已软件调查结果显示，94.94％的网友对恶意软件感到十分厌恶，仅有2.91%的网友表示可以忍受。（3）恶意软件的6种行为让网民愤怒根据调查数据，恶意软件造成的“占用电脑资源导致系统变慢”、“无法卸载”、“弹出网页广告”、

　　“更改浏览器主页”、“强制随开机启动”和“搜集个人隐私”等6种行为，让网民表示“无法忍受”。网民在选择上述6个选项时，投票数势均力敌，表明网友对这6种行为均非常愤怒。

　　（4）69.90%网友认为恶意软件永远不会消失接受调查的*****位网友投票数据显示，69.90%认为恶意软件“永远不会消失”，只有8.30%的网友认为恶意软件将在一两年内消失。（5）46%网友认为恶意软件并未明显减少虽然经过2006年到2007年的反恶意软件运动，媒体关于恶意软件案例的报道越来越少，但AA科技的调查显示，近一半（46.03%）的网友投票表示，恶意软件并没有明显减少；有24.7%的网友表示“少了很多”。值得注意的是，有12.51%的网友反而认为恶意软件数量较之前有所增加。（6）恶意软件治理需多管齐下根据调查，AA科技给出的4种治理恶意软件的方式（国家立法、行业组织监督、用户抵制和企业自律），其投票数量分别为33.99%、26.95%、21.36%和17.70%。数据相差并不大。事实上，任何问题的解决，都需要多管齐下。恶意软件的治理问题也不例外，网友希望通过国家立法、行业组织监督、用户抵制和企业自律来实现。（7）通过恶意软件投广告是短视行为恶意软件以其精准和推送的投放方式获得了部分广告主的青睐，这也是恶意软件得以生存的原因之一。不过，随着中国互联网网民自我保护意识的提高，这种广告方式已经不再可取。接受调查的*****位网友中，82.15%网友认为，这是短视行为，“绝对的鼠目寸光”。4、目前的解决状况AA科技在2006年曾通过专题和大量采访对恶意软件问题进行了深入调查报道。在调查中发现，恶意软件有着成熟的产业链条。正是得益于这一链条，恶意软件才变得猖獗。但经过2006年到2007年整个中国互联网行业、企业和网民的通力合作，目前关于恶意软件的问题相对减少。通过AA科技的报道可以发现，在2008年关于恶意软件的报道很少，虽然无法确定在

　　互联网的某个角落，仍有多少企业在从事类似事情，但可以肯定的是，目前尚未发现像2006年很棒小秘书、嘟嘟下载器等知名的恶意软件。

　　七、网友的建议针对恶意软件可能给网民带来的伤害，网友在AA科技的调查专题中做出如下建议：

　　1、使用瑞星卡卡、安全卫士360和Windows优化大师，防御和查杀恶意软件；2、培养良好的电脑使用习惯，不轻信任何网站，不轻易安装任何软件；3、呼吁明确立法，对恶意软件背后的获利者予以重击。

　　八、AA科技建议AA科技认为，虽然恶意软件已经得到部分遏制，但这并代表恶意软件销声匿迹，上述调查中“46%网友认为恶意软件并未明显减少”就是一个例证。因此，网民仍然需要提高自我保护意识。

　　AA科技从一些业内反病毒专家处获悉，恶意软件已从明目张胆转入底下，采用更为隐蔽的途径和方法威胁用户的电脑安全，只是目前还没有大规模被发现和报道而已。

篇三：恶意软件病毒分析

　　计算机病毒概述

　　一、计算机病毒的概念“计算机病毒”为什么叫做病毒。首先，与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制具有特殊功能的程序。�6�1其能通过某种途径潜伏在计算机存储介质或程序里当达到某种条件时即被激活它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”。二、计算机病毒产生的原因那么究竟它是如何产生的呢？其过程可分为：程序设计－＞传播－＞潜伏－＞触发－＞运行－＞实行攻击。究其产生的原因不外乎以下几种1.开个玩笑，一个恶作剧某些爱好计算机并对计算机技术精通的人士为了炫耀自己的高超技术和智慧，凭借对软硬件的深入了解，编制这些特殊的程序。这些程序通过体传播出去后，在一定条件下被触发。如显示一些动画，播放一段音乐，或提一些智力问答题目等，其目的无非是自我表现一下。这类病毒一般都是良性的，不会有破坏操作。2.产生于个别人的报复心理每个人都处于社会环境中，但总有人对社会不满或受到不公证的待遇。如果这种情况发生在一个编程高手身上，那么他有可能会编制一些危险的程序。在国外有这样的事例：某公司职员在职期间编制了一段代码隐藏在其公司的系统中，一旦检测到他的名字在工资报表中删除，该程序立即发作，破坏整个系统。类似案例在国内亦出现过。3.用于版权保护计算机发展初期，由于在法律上对于软件版权保护还没有象今天这样完善。很多商业软件被非法复制，有些开发商为了保护自己的利益制作了一些特殊程序，附在产品中。如：巴基斯坦病毒，其制作者是为了追踪那些非法拷贝他们产品的用户。用于这种目的的病毒目前已不多见。4.用于特殊目的某组织或个人为达到特殊目的，对政府机构、单位的特殊系统进行宣传或破坏。或用于军事目的。三、计算机病毒的历史自从1946年第一台冯.诺依曼型计算机ENIAC出世以来，计算机已被应用到人类社会的各个领域。然而，1988年发生在美国的“蠕虫病毒”事件，给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。虽然并无恶意，但在当时，“蠕虫”在INTERNET上大肆传染，使得数千台连网的计算机停止运行，并造成巨额损失，成为一时的舆论焦点。四、计算机病毒的特征

　　1.传染性计算机病毒的传染性是指计算机病毒具有自我复制能力，并能把复制的病毒附加到无毒程序中，或者去替换磁盘引导区的内容，使得附加了病毒的程序或者磁盘变成新的病毒源，又能进行病毒复制，重复原来的传染过程。计算机病毒与其他程序最本质的区别在于计算机病毒能传染，而其他的程序则不能。计算机病毒的传染载体主要是磁性介质、光盘和计算机网络。计算机病毒常见于免费软件、共享软件、电子邮件、磁盘压缩程序和游戏软件中。2.隐蔽性病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。目的是不让用户发现它的存在。如果不经过代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。3.潜伏性大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其破坏模块。只有这样它才可进行广泛地传播。如“PETER-2”在每年2月27日会提三个问题，答错后会将硬盘加密。著名的“黑色星期五”在逢13号的星期五发作。国内的“上海一号”会在每年三、六、九月的13日发作。当然，最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好，只有在发作日才会露出本来面目。4.破坏性任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率，占用系统资源，重者可导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源。恶性病毒则有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。这也反映出病毒编制者的险恶用心。五、计算机病毒的命名世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为：<病毒前缀>.<病毒名>.<病毒后缀>病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀Trojan，蠕虫病毒的前缀是Worm等等还有其他的。下面附带一些常见的病毒前缀的解释：1.系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的.exe和.dll文件，并通过这些文件进行传播。如CIH病毒。2.蠕虫病毒蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮

　　差（发带毒邮件）等。3.木马病毒、黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan.QQ3344，还有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60。4.脚本病毒脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）——可不是我们的老大代码兄哦_。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。5.宏病毒其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：Macro.Word97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：Macro.Excel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎Macro.Melissa。6.后门病毒后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如很多朋友遇到过的IRC后门Backdoor.IRCBot。7.病毒种植程序病毒这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）MSN射手、Dropper.Worm.Smibag等。8.破坏性程序病毒破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。9．玩笑病毒玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。10．捆绑机病毒

　　捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。

　　典型的病毒分析

　　U盘是目前使用最为广泛的移动存储器，它有体积小、重量轻、容量大鞋带方便等优点。但是目前U盘也是传播病毒的主要途径之一，有人统计发现U盘有病毒的比例高达90。具2008年1月2日，国内最大的计算机反病毒软件厂商之一江民科技发布了2007年年度病毒疫情报告以及十大病毒排行，如表6.1所示。其中U盘病毒高位居第一位。

　　一、U盘“runauto..”文件夹病毒及清除方法1.“runauto..”文件夹病毒经常在计算机硬盘里会发现名为“runauto..”的一个文件夹，在正常模式或安全模式下都无法删除，粉碎也不可以。如图所示为runauto..文件夹。其实，这个文件夹是在dos下建立的，其真实姓名为runauto..\

　　2.病毒清除方法假设这个文件夹，在C盘，则删除办法是：在桌面点击“开始”→“运行”，输入“cmd”，再输入“C:”输入“rd/s/qrunauto...\”。就可以了，如图所示为删除runauto..文件夹的方法。

　　二、U盘autorun.inf文件病毒及清除方法1.autorun.inf文件病毒目前几乎所有U盘类的病毒的最大特征都是利用autorun.inf这个来侵入的，而事实上autorun.inf相当于一个传染途径，经过这个途径入侵的病毒，理论上是“任何”病毒。autorun.inf这个文件是很早就存在的，在WinXP以前的其他windows系统（如Win98，2000等），需要让光盘、U盘插入到机器自动运行的话，就要靠autorun.inf。这个文件是保存在驱动器的根目录下的，是一个隐藏的系统文件。它保存着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的icon。所以，这本身是一个常规且合理的文件和技术。NT架构的系统（指WindowsNT/2000/XP/2003）会为系统中的每个用户建立各自的回收站文件，如果分区文件系统是NTFS，则会保存在“Recycler”这个文件夹中，分别以每个用户的SID（用户安全标识符，用来代表用户，任何两个用户的标识符都不一样）做回收站的名字。

　　2.病毒清除方法对于autorun.inf病毒的解决方案如下：<1.发现U盘有autorun.inf，且不是你自己创建生成的，请删除它，并且尽快查毒。<2.如果有貌似回收站、瑞星文件等文件，而你又能通过对比硬盘上的回收站名称、正版的瑞星名称，同时确认该内容不是你创建生成的，请删除它。<3.一般建议插入U盘时，不要双击U盘，另外有一个更好的技巧：插入U盘前，按住Shift键，然后插入U盘，建议按键的时间长一点。插入后，用右键点击U盘，选择“资源管理器”来打开U盘。三、U盘RavMonE.exe病毒及清除方法1.病毒描述经常有人发现自己的U盘有病毒，杀毒软件报出一个RavMonE.exe病毒文件，这个也是经典的一个U盘病毒。如图所示为RavMonE.exe病毒运行后出现在进程里。

　　2.解决方法<1.打开任务管理器（ctrlaltdel或者任务栏右键点击也可），终止所有RavmonE.exe进程。<2.进入病毒目录，删除其中的ravmone.exe。<3.打开系统注册表依次点开HK_Loacal_MachinesoftwareMicrosoftwindowsCurrentVersionRun，在右边可以看到一项数值是c:windowsravmone.exe的，把他删除掉。<4.完成后，重新启动计算机，病毒就被清除了。四、ARP病毒ARP协议：ARP协议是“AddressResolutionProtocol”（地址解析协议）的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。1.病毒描述ARP地址欺骗类病毒（简称ARP病毒）是一类特殊的病毒，该病毒一般属于木马Trojan病毒，不具备主动传播的特性，不会自我复制。由于其发作的时候会向全网发送伪造的ARP数据包，干扰全网的运行，因此它的危害比一些蠕虫还要严重得多。该病毒位居2007年病毒排行榜第二位。原理：正因为基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。

　　2.解决方法可以使用360ARP防火墙，这个防火墙可以在http://www.360.cn上下载。安装完成后，可以在综合设置里面设置对ARP病毒的防护，如图所示。

　　五、“熊猫烧香”病毒2006年底，中国互联网上大规模爆发“熊猫烧香”病毒及其变种，这种病毒将感染的所有程序文件改成熊猫举着三根香的模样，如图所示。它还具有盗取用户游戏账号、ＱＱ账号等功能。截至案发为止，已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏，引

　　起社会各界高度关注，被称为2006年中国大陆地区的“毒王”。据警方调查，“熊猫烧香”病毒的制作者为湖北省武汉市的李俊。另外雷磊等五名犯罪嫌疑人通过改写、传播“熊猫烧香”等病毒，构建“僵尸网络”，通过盗窃各种游戏和QQ账号等方式非法牟利。目前，6名犯罪嫌疑人已被刑事拘留。现在安装常用的杀毒软件，就可以查杀此病毒。六、QQ与MSN病毒1.病毒概述目前，网上利用QQ、MSN等聊天工具，进行病毒传播时有发生，如图所示为通过QQ自动传播的病毒。如图所示为通过MSN传播的网页病毒。另外还有黑客给QQ、MSN上加木马，以盗取QQ、MSN的密码等信息。

　　这个网址很可怕，因为它的后面加了一个端口号。可以ping一下它的网址，如图所示。通过这种方式可以看到它的IP。

　　看到它的IP为121.54.173.87，然后再到www.ip.cn网站上查找一下就会发现这个网站实际上在香港。

　　对于QQ和MSN病毒的防治方法对于QQ和MSN病毒的防治，可以采用专杀工具。例如，对于QQ病毒可以下载QQkav专杀工具，进行查杀。它的主界面如图所示。3.

　　恶意软件概述

　　一、恶意软件概念恶意软件俗称流氓软件，是对破坏系统正常运行的软件的统称。恶意软件介于病毒软件和正规软件之间，同时具备正常功能（下载、媒体播放等）和恶意行为（弹广告、开后门），给用户带来实质危害。目前，互联网上有许多恶意软件，如完美网译通、博采网摘、百度搜霸、3721上网助手、很棒小秘书、网络猪、划词搜索等。对于笼统的防病毒讨论，可使用以下简单的恶意软件类别定义：

　　特洛伊木马

　　该程序看上去有用或无害，但却包含了旨在利用或损坏运行该程序的系统的隐藏代码。特洛伊木马程序通常通过没有正确说明此程序的用途和功能的电子邮件传递给用户。它也称为特洛伊代码。特洛伊木马通过在其运行时传递恶意负载或任务达到此目的。

　　蠕虫

　　蠕虫使用自行传播的恶意代码，它可以通过网络连接自动将其自身从一台计算机分发到另一台计算机上。蠕虫会执行有害操作，例如，消耗网络或本地系统资源，这样可能会导致拒绝服务攻击。某些蠕虫无须用户干预即可执行和传播，而其他蠕虫则需用户直接执行蠕虫10年一季度，特洛伊木马占新恶意软件的61%代码才能传播。除了复制，蠕虫也可能传递负载。二、恶意软件的危害性恶意软件其本身可能是一种病毒，蠕虫，后门或漏洞攻击脚本，它通过动态地改变攻击代码可以逃避入侵检测系统的特征检测(Signature-baseddetection，也可称为模式匹配)。攻击者常常利用这种多变代码进入互联网上的一些带有入侵侦测的系统或IDSes入侵者警告系统三、恶意软件8大特征1、强制安装：指未明确提示用户或未经用户许可，在用户计算机或其他终端上安装软件的行为。2、难以卸载：指未提供通用的卸载方式，或在不受其他软件影响、人为破坏的情况下，卸载后仍然有活动程序的行为。3、浏览器劫持：指未经用户许可，修改用户浏览器或其他相关设置，迫使用户访问特定网站或导致用户无法正常上网的行为。4、广告弹出：指未明确提示用户或未经用户许可，利用安装在用户计算机或其他终端上的软件弹出广告的行为。5、恶意收集用户信息：指未明确提示用户或未经用户许可，恶意收集用户信息的行为。6、恶意卸载：指未明确提示用户、未经用户许可，或误导、欺骗用户卸载其他软件的行为。7、恶意捆绑：指在软件中捆绑已被认定为恶意软件的行为。8、其他侵害用户软件安装、使用和卸载知情权、选择权的恶意行为。四、恶意软件的清理可采用某些软件来清理1、清理恶意软件的东西很多,如恶意软件清理助手

　　图1恶意软件清理恶意软件清理助手最主要的功能就是系统清理了，它由四个主要的部分组成：a.恶意软件清理。针对目前互联网上最臭名昭著的44款软件恶意软件清理助手可以逐一地进行检测并将其删除（如图1）。b.系统进程清理。有些程序虽然没有明目张胆地出现在恶意软件的列表里面，但其隐蔽性极强，比如有“SPOOLSV木马”。这种程序经常躲在程序里危害我们的电脑。在系统进程清理里面，我们就可以把它关掉（如图2）。

　　图2系统进程清理

　　c.启动项目清理。我们知道很多的木马病毒从你的电脑开机的时候就随之一起启动了，常常让我们防不胜防。启动项目清理功能可以轻松地把这些可疑启动项清除，做到干干净净开机（如图3）。

　　图3启动项目清理d.注册表项清理。这个功能不但可以清理注册表中的垃圾还可以把恶意软件从注册表里彻底清除（如图4）。

　　图4注册表项清理

　　e.可疑文件搜索。清理了这么多如果你还是觉得不太放心，那你就交给“可疑文件搜索”吧（如图5）。

　　图5可疑文件搜索2、用360安全卫士杀流行木马，清理恶评插件，最后用它高级功能中的修复IE处理一下，重新启动电脑

篇四：恶意软件病毒分析

　　工程：移动设备应用软件平安工程名称：移动恶意软件教学目标：

　　1理解移动恶意软件的意图以及常见的攻击方法2练习安卓恶意软件的逆向工程3理解恶意软件防护的根本原理4练习安卓中恶意软件的检测和防护背景知识：随着智能的爆炸式的增长和使用，越来越多的移动终端恶意软件对攻击移动设备和移动平台进行攻击，这些恶意软件被称为移动恶意软件。2021年移动恶意软件到达了一个新的成熟高度。针对智能和平板电脑的威胁已开始会对用户，企业和效劳提供商发出了重大的挑战。一个家具的恶意软件可以是成千上万。最大量的威胁都是针对安卓，原因在于安卓平台大量的市场占有率和开放性。但是很多和平板用户没有意识到恶意软件带来的风险。本单元旨在介绍移动恶意软件的工作机制和防御方法。移动恶意软件的工作原理移动恶意软件攻击通常分为三个阶段：感染主机，完成目标，传播攻击。值得注意的是不是所有的恶意软件都会进行第三阶段的攻击即传播攻击。

　　一旦被感染，恶意软件开始完成它的目标，比方获得ROOT权限完全操控或者仅仅破坏设备的操作。

　　流行的恶意软件有如下几种，间谍软件〔通过某种用户许可的方式窃取用户信息〕，木马〔窃取机密信息比方信用卡信息〕，广告软件〔推送显示不需要的广告来获取敏感信息〕。

　　移动恶意软件的检测和防护检测静态分析：静态分析是一种通过逆向工程分析方法，发现应用程序中没有执行恶意特征代码段。分析重点放在代码的缺陷或已被报道过恶意代码的模块。动态分析：动态分析包括吧可疑的移动应用程序在隔离沙箱中执行，如虚拟机或模拟器来监视和检查应用程序的动态行为。

　　阅读材料jnpr-2021-mobile-threats-report.pdf实验：

　　实验一：通过工具检测和删除恶意软件本实验介绍了使用现成的反恶意软件应用来检测真实的安卓恶意软件。我们首先一个装反恶意软件的应用和一个恶意软件在上，然后展示检测和去除恶意软件。步骤一：从安卓市场安装一个反恶意软件应用比方AdvancedMobileCare。点击AdvancedMobileCare安装应用安装完成步骤二：在安卓上装一个真实的恶意软件

　　解压后安装点击安装按钮，在安装之前注意屏幕上提示的警告信息开始安装步骤三：监测和去除

　　由于已经安装了反病毒应用，我们安装之后，恶意软件被检测的信息应该显示了。恶意软件被检测到后请单击卸载，卸载恶意软件。接下来我们要证明AdvancedMobileCare的扫描功能这个实验我们预先在实验室设备上安装三个安卓病毒和AdvancedMobileCare，点击AdvancedMobileCare这个软件点击扫描完成扫描功能扫描结果总结如下点击相应的箭头看扫描结果实验二：移动恶意攻击：木马这次试验，我们开发了一款安卓的木马从头开始演示安卓平台上的移动恶意软件。这款软件主要功能是通过黑客命令给别人发送文本信息。为了不被使用者发现，该木马会删除历史信息，下列图说明了这款软件的攻击流程特别提醒：这款安卓的木马仅用于教学目的。读者必须执行黑客伦理不可以使用该代码攻击其他安卓设备获取商业利润。安卓木马的产生：

　　当受害人启动应用程序时，木马会发送通知给黑客。这个通知编码了用户的IP地址和端口号来进行恶意通信。然后，木马和黑客都能够建立TCP/IP通信通道，通过这个黑客可以发送命令给受害者设备上的木马。当收到来自黑客的指令，该木马将分析数据包，提取用户上目标用户的号码和恶意消息的内容，最后发送恶意信息到目标用户。发送短信后，木马会删除消息历史记录。如果目标用户发送投诉信息给用户，该木马会停止这些投诉信息的到达用户的。

　　处于道德因素的考虑，我们不会为这种攻击提供的完整代码，只提供一些重要的片段来代替。

　　下面的代码片段显示，该木马使用JavaServerSocket类来建立连接收听黑客的指令，提取受害人的号码和恶意信息，然后通过短信发送恶意消息。

　　木马还会设置一个SMSReceiver拦截所有传入的短消息，并从收到垃圾信息的用户过滤掉的投诉信息。在AndroidManifest.xml中截取的配置如下所示。

　　然后我们需要编写，可以过滤掉投诉信息。下面的代码片段显示了我们如何使用代码来过滤掉来自特定用户的信息。

　　执行上述操作时，应用程序必须请求许可发送和接收短信的权限。木马在AndroidManifest.xml中的权限请求被显示如下。

　　样例如下：建立起一个黑客效劳器翻开两个模拟器模拟器2作为目标用户。模拟器1作为装了木马的受害设备翻开WINDOWS命令行，输入如下命令，连接到模拟器1。输入命令来设置端口映射。在黑客效劳器，输入客户端id：1和信息。在模拟器1中你什么也看不到然而，在模拟器2，你会看到模拟器1发送的信息。模拟器2想要给1发送投诉信息

　　然而，模拟器1中仍然没有反响实验三：移动恶意软件防护

　　在这个实验中，我们会制造一个木马防护应用从头开始说明安卓平台的恶意软件防护。它主要的功能是发送给用户提示信息，提示一些应用程序不自觉发送文本信息的行为。

　　特别提醒：这里提供的方法只适合于演示移动恶意软件防御的总体思路。读者必须遵从黑客伦理，不能传播或者利用这些代码攻击其他安卓或者获取商业利润。

　　代码片段我们使用ContentObserver来监听安卓内部数据库的行为。另外，我们在AndroidManifest中申请了收发短信的权限。样例如下：在后台运行防护软件监听发送文本信息的恶意行为，每当有文本信息发出，就会产生一个通知。工程要求：递交报告

篇五：恶意软件病毒分析

　　9种恶意软件以及识别它们的方法

　　导语人们对安全术语的理解往往过于随意。然而，弄清楚恶意软件的分类是很重

　　要的，因为了解各种类型的恶意软件是如何传播的对遏制和消除它们非常重要。当你和极客们在一起的时候，这个简洁的恶意软件寓言集将帮助你正确理解

　　你的恶意软件术语。1.病毒

　　计算机病毒是大多数媒体和普通终端用户对新闻中所报道的每一个恶意软件程序的称呼。幸运的是，大多数恶意软件程序并不是病毒。计算机病毒会修改其他合法的主机文件(或指向它们的指针)，当受害者的文件被执行时，病毒也会被执行。

　　纯粹的计算机病毒在今天并不常见，它只占所有恶意软件的不到10%。这是一件好事:病毒是唯一能“感染”其他文件的恶意软件。这使得它们特别难以清除，因为恶意软件必须从合法程序中执行。这一直是不简单的，即使在今天也几乎是不可能的。最好的反病毒程序都很难做到这一点，在许多(如果不是大多数)情况下，只能够隔离或删除受感染的文件。2.蠕虫

　　蠕虫存在的时间甚至比计算机病毒还要长，可以一直追溯到大型机时代。电子邮件在20世纪90年代末成为了时尚，而近十年来，计算机安全专家们就一直在被作为邮件附件的恶意蠕虫所包围。只要有一个人打开了一封被蠕虫感染的电子邮件，整个公司就很快会被感染。

　　电脑蠕虫的独特之处在于它可以自我复制。以臭名昭著的Iloveyou蠕虫为例:当它爆发时，它几乎攻击了世界上每一个电子邮件用户，使电话系统过载(用欺诈手段发送短信)，瘫痪电视网络，甚至把我每天下午的报纸都延迟了半天。其他几个蠕虫病毒，包括SQLSlammer和MSBlaster，也确保了其在计算机安全历史中的地位。

　　一个有效的蠕虫之所以具有如此大的破坏力，是因为它能够在最终用户不采取行动的情况下传播。相比之下，病毒要求最终用户至少需要在病毒试图感染其他无辜文件和用户之前将其启动。蠕虫则利用其他文件和程序来完成这些活动。例如，SQLSlammer蠕虫利用了MicrosoftSQL中的一个(修补过的)漏洞，在大约10分钟内就可以使几乎每一台连接到互联网的未修补的SQL服务器发生缓冲区溢出，这一速度记录至今仍保持不变。

　　3.木马

　　电脑蠕虫已被木马恶意软件程序所取代，成为了黑客的首选武器。特洛伊木马会被伪装成合法程序，但包含了恶意指令。它们已经存在了很久，甚至比计算机病毒还要长，但它们比任何其他类型的恶意软件都更能控制当前的计算机。

　　特洛伊木马程序必须由其受害者执行才能工作。木马通常会通过电子邮件到达，或者在用户访问受感染的网站时被推送。最受欢迎的木马类型是假的防病毒程序，它会弹出并声称你已被感染，然后指示你运行一个程序来清理你的电脑。用户吞下诱饵，木马就会生根发芽。

　　特别是远程访问木马(RAT)在网络犯罪分子中非常流行。RAT允许攻击者远程控制受害者的计算机，通常是为了横向移动并感染整个网络。这种类型的木马是为避免被检测而设计的。威胁脚本甚至不需要自己去写。地下市场上有数百个现成的RAT。

　　特洛伊木马很难防御有两个原因:它们很容易编写(网络犯罪分子通常会制作和兜售木马构建工具包)，并会通过欺骗最终用户来进行传播--补丁、防火墙和其他传统防御措施无法阻止。恶意软件编写者每月都会放出数百万个木马。反恶意软件供应商则会尽最大努力来对抗特洛伊木马，但签名太多，无法跟上。

　　4.混血儿和外来物种

　　如今，大多数恶意软件都是传统恶意程序的组合，通常包括特洛伊木马和蠕虫的一部分，偶尔还包括了病毒。通常，恶意软件程序在最终用户看来都是一个特洛伊木马，但一旦执行，它就会像蠕虫一样通过网络来攻击其他受害者。

　　今天的许多恶意软件程序都会被认为是rootkit或隐形程序。从本质上来说，恶意软件程序总是试图修改底层操作系统，以获得最终控制权，并躲避反恶意软件程序。要删除这些类型的程序，你就必须从内存中删除控制组件，并从反恶意软件扫描开始。

　　僵尸程序本质上是特洛伊木马/蠕虫的组合，它们试图使单个被攻击的客户端成为更大恶意网络的一部分。僵尸主控机有一个或多个“命令和控制”服务器，僵尸客户端则可以通过这些服务器接收更新后的指令。僵尸网络的规模可以从几千台受损的计算机到由一个僵尸网络主机控制的数十万个系统组成的巨大网络。这些僵尸网络经常会被出租给其他犯罪分子，然后他们将其用于自己的邪恶目的。

　　5.勒索软件

　　在过去的几年中，加密数据并将其作为人质等待加密货币回报的恶意程序在恶意软件中占了很大比例，而且这个比例还在不断增长。勒索软件经常会瘫痪公司、医院、警察部门，甚至是整个城市。

　　大多数勒索软件程序都是特洛伊木马，这意味着它们必须通过某种形式的社会工程来进行传播。一旦被执行，其大多数会在几分钟内查找并加密用户的文件，尽管现在有一些也采取了“观望”的方法。通过在启动加密程序前观察用户几个小时，恶意软件管理员可以准确计算出受害者可以支付多少赎金，并确保删除或加密其他据称安全的备份。

　　勒索软件可以像其他类型的恶意软件程序一样被阻止，但是一旦被执行，如果没有一个好的、经过验证的备份，就很难扭转损失。根据一些研究，大约四分之一的受害者会支付赎金，其中，大约30%的人仍然无法解锁他们的文件。不管怎样，如果可能的话，解锁加密文件需要特殊的工具、解密密钥和更多的运气。最好的建议是确保所有关键文件都有一个好的离线备份。

　　6.无文件恶意软件

　　无文件恶意软件实际上并不是一个不同类别的恶意软件，但更多的是对它们如何利用以及孜孜以求的描述。传统恶意软件需要通过文件系统传播并感染新的系统。无文件恶意软件目前占所有恶意软件的50%以上，而且还在不断增长，它是不直接使用文件或文件系统的恶意软件。它们仅在内存中使用或使用其他“非文件”操作系统对象(如注册表键、API或计划任务)。

　　许多无文件攻击始于利用现有的合法程序，以成为新启动的“子进程”，或者通过使用操作系统中内置的现有合法工具(如Microsoft的PowerShell)。最终结果是无文件攻击更难被检测和阻止。如果你还不熟悉常见的无文件攻击技术和程序，你应该去熟悉，如果你想在计算机安全领域工作的话。

篇六：恶意软件病毒分析

　　5.5木马技术

　　5.5.1木马技术概述

　　木马的全称是“特洛伊木马”（Trojanhorse），来源于希腊神话。古希腊围攻特洛伊城多年无法攻下，于是有人献出木马计策，让士兵藏匿于巨大的木马中，然后佯作退兵，城中得知解围的消息后，将“木马”作为战利品拖入城内，匿于木马中的将士出来开启城门，与城外部队里应外合攻下特洛伊城，后世称这只大木马为“特洛伊木马”。网络世界的特洛伊木马是指隐藏在正常程序中的一段具有特殊功能的恶意代码，是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序。它与控制主机之间建立起连接，使得控制者能够通过网络控制受害系统，通信遵照TCP/IP协议，最大的特征在于隐秘性，偷偷混入对方的主机里面，但是却没有被对方发现。就象一个潜入敌方的间谍，为其他人的攻击打开后门，这与战争中的木马战术十分相似，因而得名木马程序。实际上计算机网络木马不但可以窃取、破坏被植入主机的信息，而且可以通过控制主机来攻击网络中的其它主机。木马程序不仅可能侵害到个人乃至某些公司的利益和权力，更可能危及整个社会和国家的利益和安全。如果公安部用于采集处理人们身份证信息的计算机被安装了木马，那么这些信息就可能被木马以有线或无线的方式通过网络泄露出去，后果不堪设想。木马是受控的，它能分清敌我，所以与分不清敌我的其它病毒和攻击技术相比，具有更大的危险性和破坏性。木马是近几年比较流行的危害程度较严重的恶意软件，常被用作网络系统入侵的重要工具和手段。2008年金山病毒报告监测显示，木马攻击占当前网络病毒的70%以上，已经成为当前网络危害最严重的网络病毒。网络上各种“种马”技术加剧了木马的流行和发展，由于木马控制了被植入者的计算机，它几乎可以在被植入主机上为所欲为，破坏程度非常巨大，可以窃取账号密码、删除文件、格式化磁盘，甚至可以打开摄像头进行偷窥等；木马往往又被用做后门，植入被攻击的系统，以便为入侵者再次访问系统提供方便；或者利用被入侵的系统，通过欺骗合法用户的某种方式暗中“散发”木马，以便进一步扩大入侵成果和入侵范围，为进行其它入侵活动，如分布式拒绝服务攻击（DDoS）等提供可能。木马“投放”也有巨大的商业利益驱动，简单的一个木马程序就会带来数十万的收入。对个人而言，了解和掌握各种木马攻击技术和防御技术，可以保护个人利益不受侵犯，维护自己的网络安全。因此，研究木马攻击和防御技术十分重要。木马不同于传统病毒，它们的区别见5.1节表5-1所示。最基本的区别就在于病毒有很强的传染性及寄生性，而木马程序则不同。但是，现在木马技术和病毒的发展相互借鉴，也使得木马具有了更好的传播性，病毒具有了远程控制能力，例如，”红色代码”已具备了远程控制的雏形。木马程序和病毒的区别日益模糊。从木马的发展历程考虑。木马技术自出现至今，大致可以分为五代。第一代木马出现在网络发展的早期，是以窃取网络密码为主要任务，即实现简单的密码窃取、发送等功能，这种木马通过伪装成一个合法的程序诱骗用户上当。世界上第

　　一个计算机木马是出现在1986年的PC-Write木马。它伪装成共享软件PC-Write的2.72版本，而实际上编写PC-Write的Quicksoft公司从未发行过2.72版本，一旦用户信以为真运行该木马程序，硬盘可能被格式化。第一代木马还不具有传染性，在隐藏和通信方面也均无特别之处。第二代木马在技术上有了很大的进步，它使用标准的C/S架构，提供远程文件管理、屏幕监视等功能，在隐藏、自启动和操纵服务器等技术上也有很大的发展。由于植入木马的服务端程序会打开连接端口等候客户端连接，因此比较容易被用户发现。冰河、BO2000等都是典型的第二代木马。第三代木马在功能上与第二代木马没有太大差异，其改变主要在网络连接方式上，特征是不打开连接端口进行侦听，而是使用ICMP通信协议进行通信或使用TCP端口反弹技术让服务器端主动连接客户端，以突破防火墙的拦截。在数据传递技术上也做了一些改进，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了查杀难度，如网络神偷(Netthief)、灰鸽子木马等。第四代木马在进程隐藏方面做了较大改动，让木马服务器运行时没有进程，网络操作插入到系统进程或者应用进程中完成。这方面发展的最高境界是rootkit技术，嵌入木马通过替换系统程序、DLL、甚至是驱动程序，替换之后还能够提供原来程序正常的服务，同时还被远程控制，从而实现木马的隐藏。前三代木马，大多都有独立的进程，通过任务管理器等查看当前运行的进程，很快找到木马并删除。但是第四代木马不是单独的进程或者以注册服务的形式出现，无法通过“任务管理器”查看到正在运行的木马。需要专门的工具才能发现以及专业的木马查杀工具才能清除，这方面的典型木马如广外男生。第五代木马实现了与病毒紧密结合，利用操作系统漏洞，直接实现感染传播的目的，而不必象以前的木马那样需要欺骗用户主动激活。据不完全统计，目前世界上可能有着上数十万种木马程序。虽然这些程序使用不同的程序语言进行编制，在不同的平台环境下运行，发挥着不同的作用，但是它们有着许多共同的特征。1、隐蔽性。隐蔽性是木马的首要特征。这一点与病毒特征是很相似的，木马类软件的SERVER端程序在被控主机系统上运行时，会使用各种方法来隐藏自己。早期的木马伪装成系统执行文件(如svchost)来隐藏自己，后来木马程序干脆替换原有系统程序来隐藏自己，在提供了正常功能的同时，也是一个木马程序。2、自动运行性。木马程序通过修改系统配置文件，如：win.ini、system.ini、注册表等，在目标主机系统启动时自动运行或加载。3、欺骗性。木马程序要达到其长期隐蔽的目的，就必需借助系统中已有的文件，以防用户发现，它经常使用的是常见的文件名或扩展名，如dll\win\sys\exPlorer等字样，或者仿制一些不易被人区别的文件名，如字母“l”与数字“1”；字母“o”与数字“0”，有的木马就直接使用系统文件中已有的文件名，只不过它保存在不同路径之中。4、自动恢复性。现在很多的木马程序中的功能模块已不再是由单一的文件组成，而是具有多重备份，可以相互恢复。系统一旦被植入木马，只删除某一个木马文件来进行清除是无法清除干净的。

　　5、破坏或信息收集。木马通常具有搜索Cache中的口令、设置口令、扫描目标机器的IP地址、进行键盘记录、远程注册表的操作、以及锁定鼠标等功能。

　　5.5.2木马的实现原理与攻击技术

　　计算机木马大多都是网络客户/服务（Client/Server）程序组合。常由一个攻击者用来控制木马的客户端程序和一个运行在被控计算机端的服务端程序组成。在了解木马攻击技术之前，需要先了解木马欺骗技术，木马欺骗技术是木马欺骗用户安装、欺骗用户运行以及隐藏自己的关键技术。木马欺骗技术主要有：1、伪装成其它类型的文件。对于需要自己运行的木马程序，大部分是可执行文件，而对于被植入者，很容易发现文件是不明的可执行文件，而拒绝接收或直接删除，因此可执行文件需要伪装其它文件。如伪装成图片文件，如图5-8中，把“Beauty.exe”更改为“Beauty.gifexe”，这里中间空格一般为多个，以致于即使是Windows系统显示扩展名也无法显示最后的.exe。将可执行文件的图标改变为图片文件的图标，这时木马程序在Windows系统中显示就是一个图片文件如图5-8a，而实际上它是一个可执行文件（如图5-8b）

　　a．显示为图片文件

　　b.实际上为执行文件

　　图5-8木马伪装成图片文件

　　2、合并程序欺骗。合并程序是可以将两个或两个以上的可执行文件(exe文件)结合为一个文件，以后只需执行这个合并文件，两个可执行文件就会同时执行。植入者将一个正常的可执行文件和一个木马程序合并，合并后更改图标使合并后的程序和捆绑前的程序图标一样。由于执行合并文件时正常文件也会执行，被植入者在不知情中，木马程序在背后植入或运行。合并程序软件也称之为捆绑软件，国内这样的捆绑软件就很多如EXE捆绑机、EXE文件合并粉碎机等。3、插入其它文件内部。利用运行flash文件和影视文件具有可以执行脚本文件的特性，一般使用“插马”工具将脚本文件插入到swf、rm等类型的flash文件和影视文件中，当被植入者观看flash和这些电影文件时，脚本文件自动运行，达到植入木马和运行木马的目的。如利用real“插马”将“u00:01:00.000:00:20.0http://www.my_horse.com”插入到某一个rm文件头部，其中http://www.my_horse.com表示木马程序的地址，那么播放该文件后，在1分到20分这段时间内即会自动打开木马程序。4、伪装成应用程序扩展组件。此类属于最难识别的特洛伊木马。黑客们通常将木马程序写成为任何类型的文件(例如DLL、OCX等)然后挂在一个常用的软件中，例如

　　QQ。由于这些软件一般是本身已有一定的知名度常用软件，没有人会怀疑它的安全性，实际上也很难检查某一个组件是否被替换或者是否多了一个组件。而当被植入者打开时这些软件时会调用组件，木马程序得以执行或完成植入。5、利用WinRar制作成自释放文件把木马程序和其它常用程序利用WinRar捆绑在一起，将其制作成自释放文件。这一方法类似于合并文件欺骗。6、在Word文档中加入木马文件在Word文档末尾加入木马文件，只要别人点击这个所谓的Word文件就会中木马。这种方法主要是通过把一个EXE格式的木马文件接在一个DOC文件的末尾，该文档中包含了宏语句，能在运行的时候把Word文件末尾的EXE文件数据读取出来并运行，就造成一种假象，好像文档打开时就运行了EXE文件。一般情况下，一个木马程序要通过网络入侵并控制被植入的计算机，需要采用以下四个环节：首先是向目标主机植入木马，也就是当前流行的“种马”技术，通过网络将木马程序植入到被控制的计算机，也是木马攻击的最关键一步；其二，启动和隐藏木马，传统的病毒是通过感染计算机文件，随着被感染文件的打开或执行而获得运行权限，木马程序一般是一个单独文件，被植入者很难会启动木马程序，因此需要一些系统设置来让计算机自动启动木马程序，为了防止被植入者发现和删除运行的木马程序，就需要将运行的木马程隐藏起来。其三是植入者控制被植入木马的主机，需要通过网络通信，这需要采取一定的隐藏技术，使通信过程不能够使被植入者通过防火墙等发现。最后，就是植入者通过客户端远程控制达到其攻击的目的，可以收集被植入者的敏感信息，可以监视被植入者的计算机运行和动作，甚至可以用来攻击网络中的其它系统。下面分别就这些关键技术加以描述。1、植入技术木马植入技术可以大概分为主动植入与被动植入两类。1）主动植入，就是攻击者利用网络攻击技术通过网络将木马程序植入到远程目标主机，这个行为过程完全由攻击者主动掌握。2）被动植入，是指攻击者预先设置某种环境，然后被动等待目标系统用户的某种可能的操作，只有这种操作执行，木马程序才有可能植入目标系统。主动植入一般需要通过利用网络或计算机系统的某些漏洞，通过网络攻击目标主机，获取目标主机的一定权限，然后植入木马，或者直接由QQ等聊天程序发送木马程序到目标主机，当接受者无意识地接受时就感染了木马。主动植入有手动植入和自动植入两种，自动植入一般会大规模地爆发而可能也伴随着蠕虫病毒的一些特征。按照目标系统是本地还是远程的区分，这种方法又有本地安装与远程安装之分。由于在一个系统植入木马，不仅需要将木马程序上传到目标系统，还需要在目标系统运行木马程序。所以对于Windows系统NTFS保存格式的程序以及Linux下的文件，植入的木马还需要可执行权限。主动植入技术主要包括以下几种：1)利用系统自身漏洞植入。攻击者利用所了解的系统的安全漏洞及其特性主动出击。

　　可以手动方式利用漏洞一步一步进行攻击，也可以编写成软件，自动探测漏洞并完成攻击。利用漏洞的攻击方法一般要求植入者对网络知识和计算机知识有着深刻的了解，才能很好地完成植入过程。如IIS服务器的溢出漏洞，通过一个“IISHack”的攻击程序就可使IIS服务器崩溃，并同时在被攻击服务器执行“木马”程序。再如利用ANI文件漏洞植入，ANI文件是Windows鼠标动态光标文件，由于Vista等系统在处理ANI文件的方式上存在漏洞，黑客可以构造特殊格式的ANI文件，当用户浏览含有该文件的网页，或点击该文件就会自动下载运行黑客指定的木马及后门程序等。目前利用该漏洞的病毒中，威金（Worm.Viking）变种及窃取网络游戏的木马病毒占多数。2）利用第三方软件漏洞植入。第三方软件漏洞已经成为木马传播最重要途径之一。这些被木马广泛利用的软件多被称之为装机必备软件或人们常用软件，用户数量大，因此这些软件一旦存在漏洞并被木马利用，也会造成大量用户受感染。如：Office等办公软件，IE浏览器，另外如RealPlayer、暴风影音、PPStream、迅雷、联众世界、AdobeReader、PPLive等可能存在多个安全漏洞。如利用IEMIMEHeaderAttaehmentExeeutionVulnerability漏洞进行木马植入。利用该漏洞可以把木马程序作为邮件的附件，并声明邮件为音频或视频文件，这样存在该漏洞的IE就会自动打开邮件，从而使木马程序得以执行，完成植入。如在线游戏网站联众世界游戏大厅曝出存在安全漏洞。联众世界的游戏大厅主程序GLWorld所安装的ActiveX控件（HanGamePluginCn18.dll，CLSID：61F5C358-60FB-4A23-A312-D2B556620F20）在处理传送给hgs_startGame()和hgs_startNotify()方式的字符串参数时，存在栈溢出漏洞。如果用户受骗访问了恶意网页，并传送了超长参数的话，就会触发这些溢出，导致执行任意代码。当木马入侵时，会试图从mm.sqmnoopt.com下载恶意文件；此外还会从cnxz.kv8.info下载配置文件，该文件中包含有从444.sqmnoopt.com和2.kv8.info所下载的27个恶意可执行程序的链接。3）利用即时通信软件发送伪装的木马文件植入。首先将木马程序伪装成其它类型的文件或者植入其它类型文件内部，然后利用通信软件发送，当通信的接收者无意之间打开或接收文件时，木马程序就会自动执行，完成了木马程序的植入过程。这一方法使用简单，不需要多么高深的知识，因此也是木马程序常用的手段。对于手工植入的方法，一般是在聊天过程中向通信的对象发送木马文件。对于自动植入的木马软件，则是自动向通信对象发送木马文件，当接收者接收后，直接植入目标主机，并且能够劫持通信软件，通过通信软件的好友名单，向其它好友发送伪装的木马文件，重复完成木马的植入过程。目前通信软件主要以MSN和QQ为主，木马植入方法也主要以这两款软件为主。利用MSN传播的著名木马有：MSN木马、MSNPhotos木马等，其中MSNPhotos木马植入方式是：中毒的用户会给MSN联系人列表中的所有用户自动传输一个“photos.zip”的文件。对方接收下来后，打开此压缩包，里面有一个“photosalbum-2007-5-26.scr”的文件，一旦双击该文件，则接收方也中毒了。利用QQ通信软件植入的方式非常多，网上有这方面大量的教程。除了发送文件植入木马以外，由于QQ软件提供了丰富的功能，也为QQ植入木马提供了众多的场所，如利

　　用QQ群空间、以及共享文件等放置。4）利用电子邮件发送植入木马。木马程序以附件的形式在电子邮件中发送出去，收信人只要打开附件，系统就会感染木马。被动植入方法主要是指以下几种：1）软件下载。一些非正规的网站以提供软件下载为名义，将木马捆绑在软件安装程序上，下载后只要一运行这些程序，木马就会自动安装。2）利用共享文件。学校或单位的局域网里为了学习和工作方便，会将许多硬盘或文件夹共享出来，甚至不加密码，具有可写权限。3）利用Autorun文件传播。这一方法主要是利用Autorun文件自动运行的特性，通过U盘植入。当插入带有Autorun文件的U盘时，用户双击U盘盘符时，就会自动执行Autorun.inf脚本，从而调用传播木马文件，完成植入过程。4）网页浏览传播。这种方法利用Script/ActiveX控件、JavaApplet等技术编写出一个HTML网页，当浏览该页面时，会在后台将木马程序下载到计算机缓存中，然后修改系统注册表，使相关键值指向“木马”程序。2、木马的自动加载技术对于木马一般不是一次性使用，不能是被植入的机器在重启动以后，木马就失去了作用。不可能依靠被植入木马的用户主动启动木马文件，这些木马都面临一个如何自启动的问题。针对Windows系统，木马程序的自动加载运行主要有以下一些方法：1）修改系统文件。修改目标的系统文件以达到自动加载的目的。这些系统文件包括以下这些文件，批处理文件autoexec.bat、Winstart.bat、Dosstart.bat，以及系统配置文件：Config.sys、Win.ini、System.ini文件等，这种方法比较古老。2）修改系统注册表。系统注册表保存着系统的软件、硬件及其它与系统配置有关的重要信息。通过设置注册表中的一些启动加载项目，也可以使木马程序达到自动加载运行的目的，而且这种方法更加隐蔽。在注册表中Run、RunOnce、RunOnceEx、RunServices、RunServicesOnce这些子键保存了Windows启动时自动运行的程序。通过在这些键中添加键值，可以比较容易地实现程序的自动加载，例如：[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run][HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run][HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]3）修改文件打开关联通常对于一些常用的文件，如txt文件，只要双击文件名就能打开这个文件。这是因为在系统注册表中，已经把这类文件与某个程序关联起来，如Notepad.exe与txt文件关联。

　　只要用户双击该类文件，系统就自动启动相关联的程序来打开文件。修改文件关联程序是木马程序常用手段，正常情况下txt文件的打开方式为Notepad.exe文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开。如国产木马冰河的自动加载方法就是通过修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值，将“C:\WINDOWS\NOTEPAD.EXE%1”改为“C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%1”，这样一旦双击一个TXT文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了当然对于其它类型的文件如HTML、ZIP、RAR等都可以达到运行木马的目标。4）修改任务计划在默认情况下，任务计划程序随Windows一起启动并在后台运行。如果把某个程序添加到计划任务文件夹，并将计划任务设置为“系统启动时”或“登录时”，这样也可以实现程序自启动。5）修改组策略在“开始”→“运行”中输入“gpedit.msc”，打开系统组策略窗口，选择“计算机配置”→“管理模板”→“系统”→“登录”，双击右边的“在用户登录时运行这些程序”项。6）修改启动文件夹这是许多应用软件自启动的常用位置。当前登陆用户的“启动”文件夹一般在：C:\DocumentsandSettings\<用户名字>\「开始」菜单\程序\启动\；如果设置对所有用户有效的启动文件夹，该文件夹一般在：C:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动\，这样不管用户用什么身份登录系统，放入该文件夹的快捷方式总是自动启动。7）替换系统自动运行的文件在Windows系统中，有很多程序是可以自动运行的。如在对磁盘进行格式化后，总是要运行“磁盘扫描”程序（Scandisk.exe）；按下F1键时，系统将运行Winhelp.exe或Hh.exe打开帮助文件；系统启动时，系统将自动启动系统栏程序（SysTray.exe）、注册表检查程序（scanreg.exe）、计划任务程序（mstask.exe）、输入法程序、电源管理程序等。这为恶意程序提供了机会，覆盖相应文件就可获得。8)替换系统DLL通过APIHOOK启动，也称为DLL陷阱技术。替换Windows系统中正常的DLL文件，如kernel32.dll和user32.dll。如果是系统正常的调用请求，它就把请求转到原先的DLL进行处理，如果是约定的木马操作，则该DLL文件就实现木马服务器端的功能。9)作为服务启动Windows服务也称为WindowsService，它是Windows操作系统和Windows网络的基础，属于系统核心的一部分，一个服务首先是一个Win32可执行程序，或者是使rundll32.exe来运行一个DLL方式形成的进程。Windows服务由更上一级的Services.exe这个服务来管理，负责进行服务的启动、停止、运行，暂停等。由于服务程序没有用户界面，启动后在任务管理器也无法查看到，作为一个服务启动，也是木马程序比较常用作为自启动的地方。

　　10)利用AppInit_DLLs注入早期DLL型木马的注入方法，当修改注册表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows\AppInit_DLLs]值为植入的木马时，当系统启动时，系统执行DllMain来达到自动执行DLL木马，因为它由Kernel调入，对这个DLL的稳定性有很大要求，稍有错误就会导致系统崩溃，从而暴露自己，所以较少看到这种木马。3、木马隐藏技术木马植入目标系统后，为了提高自身的生存能力，木马会采用各种手段伪装隐藏以使被感染的系统表现正常，避免被发现，尽可能延长生存期。对于隐藏技术，主要分为两类：主机隐藏和通信隐藏。主机隐藏主要指在主机系统上表现为正常的进程，使被植入者无法感觉到木马的存在，甚至即使发现进程，利用欺骗等技术，也不敢删除。主机隐藏方式很多，主要有文件隐藏、进程隐藏等。文件隐藏主要有两种方式，一种采用欺骗的方式伪装成其它文件，如前面植入技术中所讲的伪装成图片文件、伪装成应用程序扩展组件等；另外一种则是伪装成系统文件，放在系统文件存放的地方，如对于Windows系统，可以把文件放在C:\WIN$\system32，其中WIN$为系统安装目录。对于那些rootkit木马，即替换系统程序和驱动程序的木马，则放在C:\WIN$\system32\drivers\，由于这些地方存放操作系统非常重要的系统文件，删除系统文件可能会造成操作系统的崩溃。一般被植入者不敢随便删除系统目录下的文件，从而使木马文件得以存活。进程隐藏则存在以下技术，对于那些单独存在的木马进程，可以注册为一个服务，这样在任务管理器中就无法看到。如果木马不以单独的进程出现，有以下隐藏技术：1)动态链接库注入技术，将“木马”程序做成一个动态链接库文件，使用远程插入技术将此动态链接库的加载语句插入到目标进程中去，并将调用动态链接库函数的语句插入到目标进程，这个函数类似于普通程序中的入口程序。2）HookingAPI技术。通过修改API函数的入口地址的方法来欺骗试图列举本地所有进程的程序，即通过修改列进程API函数的入口地址，使别的程序在调用这些函数的时候，首先转向木马程序，木马程序中需要做的工作就是在列表中将自己的进程信息去掉，从而实现进程的隐蔽。通信隐藏主要包括通信端口隐藏、内容隐藏。植入木马的目的就是远程控制计算机，这就必须进行远程通信，而在通信过程中由于要开放端口、以及命令控制，就有可能被防火墙和入侵检测等发现而删除，因此木马一般要进行通信隐藏。可以采用以下技术：1）复用正常服务端口。直接绑定到正常用户进程的端口，接受数据后，根据包格式

　　判断是不是自己的，如果是自己处理，如果不是通过127.0.0.1的地址交给真正的服务器应用进行处理，以利用正常的网络连接隐藏木马的通信状态。

　　2)采用其它不需要端口的协议进行通信。如ICMP协议，可以携带一定的内容，这一方法的主要缺点是防火墙可能把所有ICMP协议的信息过滤掉。3）利用“反弹端口”技术。木马程序启动后主动连接客户，为了隐蔽起见，控制端的被动端口一般开在80。对内部网络到外部网络的访问请求，防火墙一般不进行过于严格

　　的检查，加之其连接请求有可能伪造成对于外部资源的正常访问，因此可以非常容易地通过防火墙。4）利用SPI防火墙技术隐藏。SPI技术是微软提供的基于应用层的防火墙技术，类似于钩子程序，可以截获所有基于Socket套接字的通信数据，木马程序可以利用SPI技术将截获的通信转发到木马程序。5)采用嗅探技术。这时远程控制端发送的是局域网内其它主机的控制命令，由于木马采用嗅探技术可以截获到所有局域网内的数据包，从而使木马得到远程控制的信息。优点是更难于通过通信状态检测到木马，缺点是只能进行远程控制，而由于木马不能返回数据，而无法进行远程收集资料。对于内容隐藏，则主要采用加密技术进行隐藏。4、远程控制当木马植入成功后，由于与木马程序通信一般为C/S结构，控制端为客户端，因此客户端必须知道被植入木马的主机IP地址，通过以下方式和木马建立联系：1）端口扫描。采用端口扫描技术获得那些安装了木马主机的IP地址。一旦发现中了木马的主机则添加到客户端控制程序的木马主机列表。2）邮件发送。一些木马具有邮件发送功能，在设置木马程序时，填入免费邮箱，当成功植入被攻击主机后，一旦木马程序启动，就会将其植入主机的IP地址发送给植入者的邮箱。植入者根据IP地址和对应的端口与木马建立连接通道。如网络公牛等。3）UDP通知。植入者将自己的IP地址写到主页空间的指定文件里，被植入的木马读取文件的内容，得到客户端的IP地址以及其它信息（主机名、IP地址、上线时间等等），然后木马用UDP协议发送给植入者，如网络神偷就是采用了该项技术。4）利用QQ、MSN等通信软件在木马程序中配置QQ、MSN等号码，当植入成功后，木马程序利用IRC、ICQ等通信协议，将被植入主机的信息发送给植入者。木马与控制端连接建立后，植入者就可以在远程通过木马客户端控制受害者的主机。由于用户一般以超级用户启动操作系统，木马程序一般也具有超级用户权限，因此木马程序几乎可以在受害主机上为所欲为，它一般可能会进行以下操作。1)窃取密码分两种情况，其一是将保存密码的文件的密码发送，这些密码文件如：Windows浏览器中提供的密码记忆功能，这些密码以cookie的形式保存在文件中，另外还有保存计算机用户和帐号的文件；其二获得密码的方式是通过设置钩子，截获被植入主机的键盘消息，从而获得密码。通过截获密码，黑客可以进一步控制主机，甚至是利用信用卡账号，牟取经济利益。2)远程访问控制功能类似于在被植入主机上启动了Telnet或SSH服务。控制包括重启或关闭被植入者的操作系统，断开服务端网络连接，控制服务端的鼠标，键盘，监视服务端桌面操作，查看服务端进程等，这方面典型代表就是BackOrifice（BO）。3）DoS攻击随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当被

　　植入木马以后，被植入主机就是攻击者的一台“肉鸡”，当攻击者需要攻击某一台服务器或某一个网络时，就可以发出攻击指令，发出大量垃圾数据。当被植入DoS攻击木马的主机达到一定的数量时，就会大大增强DoS攻击的效果。也提高了追踪黑客的难度。4)代理攻击黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份，代理木马就是作为攻击的跳板，通过代理木马再进一步攻击其它主机，主要目的是黑客防止追踪。6)程序杀手这类木马专门攻击杀毒软件，当植入这类的木马后，就会自动关闭并删除卡巴斯基、瑞星、金山毒霸等杀毒软件，这类木马如AV终结者、熊猫烧香等，当植如AV终结者后，该木马就会绑架安全软件，使几乎所有杀毒软件、系统管理工具、反间谍软件不能正常启动。

　　5.5.3木马程序举例

　　下面以三种著名木马为例说明木马的工作机制。1、BackOrifice木马1998年，死牛崇拜组织CultoftheDeadCow开发了BackOrifice。它不仅提供了可编程的API，而且提供了完整的C/C++源代码，以便让人了解程序的工作方式。另外，BackOrifice2000还提供了一个插件功能，可以自己编写插件，扩展它的功能。其作者把BO2K作为Windows的一个远程管理工具，可以任意访问计算机中的资源，而不必获得访问资源时必须拥有的授权或者安全认证。但是，它默认的隐蔽操作模式和明显带有木马特色远程控制模式，使其常常改编为木马工具植入别的计算机。因此，安装BO2K时，许多杀毒软件，如金山毒霸、卡巴斯基等也直接将其作为木马病毒而直接删除。BO2K安装包括两个部分：客户端和服务器端。服务器端可以植入到被攻击者或者需要远程控制的主机上，只要执行BO2K的服务器端程序，就完成了安装。利用客户端程序，攻击者能够很轻松地对被控制的计算机进行操作，客户端软件界面见图5-9所示，在其稳定版本1.6中，提供了多达70种命令来远程控制主机，可以重新启动计算机、锁死系统、获取系统口令，搜索、下载和编辑所有软件和文档，运行任何应用程序、记录键盘输入情况等等。正是由于这些功能，只要被控制的计算机连上了Internet，客户端程序就可以像操作自己的计算机一样方便地对对方计算机进行随心所欲的控制。因此BO2K常常被黑客改动作为木马程序，成为一款经典的木马软件。

　　控制命令

　　被控制的电脑

　　图5-9BO2K客户端软件界面

　　2、冰河木马冰河是曾经是国内最有名木马工具，作为木马，冰河创造了最多人使用、最多人中马的奇迹。后来网上出现了许多冰河变种程序，如“冰河2”等，其运行界面见图5-10。冰河木马包括两个可运行程序，服务器端程序G-server.exe和客户端程序G-client.exe，默认连接端口为7626。一旦运行G-server，那么该程序就会在C:\Windows\System目录下生成Kernel32.exe和Sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载运行，Sysexplr.exe和TXT文件关联。即使删除了Kernel32.exe，但只要打开TXT文件，Sysexplr.exe就会被激活，它将再次生成Kernel32.exe，因此手工删除很难删除干净，必须使用专用的查杀工具对其进行查杀。一旦被攻击者执行了服务器端程序，木马就会种植成功，该计算机的7626端口(默认)就对外开放了。客户端则采用扫描的方式查看网络中的主机是否中了木马。客户端软件有一个“自动搜索”功能，可以自动扫描某个IP段受感染的计算机，一旦找到，这台计算机就可以被黑客随意控制。客户端对被植入主机的控制主要包括以下方面：1）自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入，即在同步被控端屏幕变化的同时，监控端的一切键盘及鼠标操作将反映在被控端屏幕（局域网适用）。2)记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息。3)获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前显示分辨率、物理及逻辑磁盘信息等多项系统数据。4)限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制。5)远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四种不同的打开方式——正常方式、最大化、

　　最小化和隐藏方式）等多项文件操作功能。6)注册表操作：包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表操作功能。7)发送信息：以四种常用图标向被控端发送简短信息。8)点对点通讯：以聊天室形式同被控端进行在线交谈。

　　图5-10冰河木马客户端界面

　　3、灰鸽子木马灰鸽子木马也是国内著名的木马，2004年的感染统计表现为103483人，而到2005年数字攀升到890321人，2005-2007年连续三年荣登国内10大病毒排行榜。灰鸽子木马软件分两部分：客户端和服务端。服务端文件的名字默认为G_Server.exe。G_Server.exe运行后将自己拷贝到Windows系统目录下，然后释放G_Server.dll和G_Server_Hook.dll到Windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端。G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。Windows目录下的G_Server.exe文件将自己注册成服务，每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll。G_Server.dll文件实现后门功能，与控制端客户端进行通信，G_Server_Hook.dll则通过拦截API调用来隐藏木马。因此，中木马后看不到木马文件，也看不到木马注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

　　图5-11灰鸽子客户端界面

　　图5-11为灰鸽子客户端界面，包括以下功能：1)对远程计算机文件管理：模仿Windows资源管理器，可以对文件进行复制、粘贴、删除，重命名、远程运行等，可以上传下载文件或文件夹，操作简单易用。2)远程控制命令：查看远程系统信息、剪切板查看、进程管理、窗口管理、插件功能、服务管理、共享管理、代理服务、MS-DOS模拟、关机、重启。3)捕获屏幕：可以连续地捕获远程计算机屏幕，把本地的鼠标及键盘操作传送到远程实现实时控制功能。4)注册表模拟器：远程注册表操作就像操作本地注册表一样方便。

　　5.5.4木马的防御

　　根据木马工作原理，木马检测一般有以下一些方法：端口扫描、检查系统进程以及进程调用的DLL、检查ini文件、注册表和服务、监视网络通信等。1、扫描端口大部分的木马服务器端会在系统中监听某个端口，因此，通过查看系统上开启了那些端口能有效地发现远程控制木马的踪迹。可以利用Windows操作系统本身提供的查看端口状态命令，在命令行下键入“netstat-an”，查看系统当前已经建立的连接和正在监听的端口，同时可以查看正在连接的远程主机IP地址；也可以利用其它工具分析木马程序的网络行为，例如Fport，不但可以查看系统当前打开的所有TCP／UDP端口，而且可以直接查看与之相关的程序名称，为过滤可疑程序提供了方便。2、检查系统进程很多木马在运行期间都会在系统中生成进程。因此，检查进程是一种非常有效的发现木马踪迹方法。使用进程检查的前提是需要管理员了解系统正常情况下运行的系统进程。当有不属于正常的系统进程出现时，管理员能很快发现。由于Windows系统自带的任务管理器有些进程无法显示，也无法显示进程的路径、进程的树结构等信息，这给木马伪装系统进程提供了方便，可以使用第三方专用软件进

　　行查看，如procexp.exe软件。procexp.exe是Sysinternals公司开发的一款增强型的任务管理器，可以使用它方便地管理程序进程，它还详尽地显示计算机信息：CPU、内存使用情况，DLL、句柄信息、进程的路径信息等，使用该软件可以查找、终止那些伪装系统的进程。3、检查ini文件、注册表和服务等自启动项让木马程序自动启动，是其攻击的必备条件。Windows能够让程序自启动的地方很多，如果要手工一一查看，不仅麻烦而且可能会漏掉许多启动项。而自启动项管理软件Autoruns是这一方面的专业工具。它的功能十分强大，几乎涵盖了所有能让进程和DLL自动启动位置，另一方面还可以对各启动项目进行管理，能直接控制注册表，界面如图5-12。

　　图5-12检查程序自启动项界面

　　4、监视网络通讯对于一些特殊的木马程序(如通过ICMP协议通信)，被控端不需要打开任何监听端口，也无需反向连接，更不会有什么已经建立的固定连接，使得netstat或fport等工具很难发现。木马的通信监控可以通过防火墙来监控，防火墙系统不仅可以抵御外部的网络攻击，而且通过网络通信情况，监控当前进程的网络通信情况。防火墙同时也提供应用程序的通信规则，通过规则设置可以阻止木马软件访问网络。随着木马编写技术的不断进步，很多木马都带有了自我保护机制，木马类型不断变化，删除木马单是删除文件或注册表，可能无法查杀干净，因此，不同木马需要有针对性的清除方法。对于普通用户来说，不可能有足够时间和精力没完没了地应付各种有害程序，所以安装优秀杀病毒和防火墙软件并定期升级，不失为一种安全防范的有效手段。对于木马专杀工具国内比较多，除了金山毒霸、瑞星这些专业杀毒软件外，另外还有木马克星、木马杀客等专业查杀木马软件；国外的avgas软件被称之为最强的专业查杀木马软件，其木马病毒库也远多于国内的病毒查杀软件，其主要问题是对国内特有的木马可能无法查杀。

　　5.5.5几款免费的木马专杀工具

　　木马病毒分析也可以使用专用的专业分析软件进行查杀和分析，也可以使用几款免费木马专杀工具如：Windows清理助手、恶意软件清理助手、Atool、冰刃等。冰刃(Icesword)是专业查杀木马工具中较好的工具之一，程序界面见图5-13，冰刃具有以下查杀木马特点：1、删除文件，许多木马文件为了防止删除，具有写保护功能，木马文件正在被调用或运行时，无法直接删除。冰刃提供了可以完全删除任何文件的功能。冰刃的文件操作有些类似于资源管理器，不同之处在于其具备反隐藏、反保护的功能。能够直接显示被隐藏的文件，并删除所有的文件。如利用Windows自带的文件管理器对System32\Config\SAM等文件是不能拷贝也不能打开的，但IceSword可以直接拷贝。对于rootkit木马替换的驱动程序。如System32\Drivers目录下的*.sys文件，一般工具无法删除，而冰刃可以直接删除。

　　图5-13冰刃程序界面

　　2、删除注册表项。木马可以隐藏注册表项让Windows自带的注册表工具rgedit无法显示或删除，而冰刃程序可以容易做到删除任意的注册表项和显示所有的注册表项。3、终止任意的进程。冰刃程序可以删除除idle进程、System进程、csrss进程以外的所有进程，而Windows的任务管理器许多系统进程无法终止，这样就可终止那些伪装成系统进程的木马。4、查看进程通信情况。类似于fport工具，显示当前本地打开的端口以及相应的应用程序地址、名字，包括使用了各种手段隐藏端口，冰刃都可以查看。5、查看消息钩子。木马通过SetWindowsHookEx设置全局钩子，系统会将其加载使用，这也是木马常有的手段之一，尤其那些盗号木马，通过设置钩子截获键盘和鼠标消息达到其盗号目的。冰刃软件可以查看所有设置钩子的进程。6、线程创建和线程终止监视。一个木马或病毒采用多线程保护技术创建进程，IceSword可以发现是什么线程又创建了这个线程，把它们一并杀除。7、SPI和BHO。SPI是服务提供接口，所有需要套接字的通信都是通过这个接口发出和接收数据包的，SPI可以被防火墙技术利用过滤攻击数据，也可以被很多恶意软件利用，将自己的DLL加入系统SPI，从而监视所有用户访问网络的包。BHO是浏览器的辅助插件，

　　用户启动浏览器浏览页面的时候，就会调用BHO插件。这两项技术常被应用于浏览器劫持，将在5.8节详细介绍。IceSword可以发现木马或者其它恶意软件是否潜入了系统SPI链，以及系统存在那些浏览器插件，这两项仅提供查看的功能。8、其它功能。如自启动项管理、服务查看等功能。另外还有其它工具软件：1、Windows清理助手。Windows清理助手（ARSwp）发布于2006年10月，运行于Windows2000以上平台，是一款用户拥有完全控制权的Windows清理工具。实现的功能主要是全面扫描系统，帮助用户清理Windows无法清理或清理不干净的软件、IE信息和程序。清理助手根据脚本文件扫描系统，将符合脚本文件所属特征的文件和注册表信息在用户自主选择的情况下进行删除。程序主页http://www.arswp.com/index.html。2、恶意软件清理助手。下载得到压缩包并解压到任意目录，不需安装，直接双击“RogueCleaner.exe”即可启动程序，恶意软件清理助手的使用很简单，单击“开始检测”按钮开始检测系统，检测完毕后再通过“开始清理”按钮即可进行清理。其特点是它的清理功能非常彻底，它甚至能将其它软件清理过的流氓软件的残留信息全部列举出来；如果扫描的可疑文件比较多，可以通过百度查询相关可疑文件的信息然后删除。3、Atool软件。它是木马专杀厂商提供的一款免费的、向高级用户群体设计的专业系统安全检测及辅助处置工具，其界面类似于冰刃。其优点是除了冰刃提供的功能外，还提供其它的一些如插件管理，SPI修复等功能，软件经常更新，提供新的功能，而冰刃更新速度较慢。4、Windows恶意软件删除工具(mrt.exe)。是Microsoft所提供的的一个免费的，删除恶意软件使用工具，并由Microsoft定期公布其更新版本。该工具可以检查运行当前流行的各种Windows版本是否受到恶意软件的感染，帮助删除所有找到的感染病毒。该工具一般在后台自动运行，当检测到恶意软软件时，当下次以计算机管理员身份登录到计算机时，将会出现一个气球以通知检测结果，当然也可以自己启动进行全面扫描，启动方式为运行命令mrt.exe。

推荐访问:恶意软件病毒分析 恶意 病毒 分析