文档介绍:第10章病毒机理分析 2 ?本章概要本章将主要讨论病毒攻击与清除问题,主要讨论以下方面: 病毒自启动技术; 病毒传播技术; 可疑系统分析; 可疑文件的查找; 受感染系统的清理。 3 ?课程目标通过本章的学****读者应能够: 了解病毒的工作原理; 掌握可疑文件的搜集方法; 对被感染的系统有清理的能力。 4 病毒传染机制通常,病毒的行为会经历这样一些步骤:首先,通过一定的传播渠道进入目标系统;其次,修改系统设定,以帮助自身在系统启动时执行;最后,执行自身设定的功能,如发起自身的传播、感染文件、发起 ddos 攻击等。下面针对病毒在这个过程中所采用的一些手段进行讨论。作为病毒或恶意程序,如果要感染一个系统,必定需要通过一定的传播渠道进入系统,以最终完成传播的目的。通常病毒有以下几种传播渠道: 电子邮件网络共享 P2P 共享软件即时通信软件系统中程序的漏洞缺陷 5 电子邮件传播方式电子邮件作为一种相当便利的信息通信手段在现代社会中被广泛使用。病毒可以使用电子邮件的快捷传播特性作为传播渠道, html 格式的信件正文可以嵌入病毒脚本。而邮件附件更是可以附带各种不同类型的病毒文件。虽然在原理和传播方法上并无特别,但该类型使用电子邮件作为传播手段的病毒在传播时往往会造成可见的危害和现象。通常会造成系统运行速度的缓慢,网络运行受到影响( 网络中产生大量病毒生成的邮件) 。由于很多病毒运用了社会工程学,发信人的地址也许是熟识的,邮件的内容带有欺骗性、诱惑性,意识不强的用户往往会轻信而运行邮件的带毒附件并形成感染。 6 部分蠕虫的病毒邮件还能利用 IE 漏洞,可使用户在没有打开附件的情况下感染病毒。此类病毒的代表有 SKY 、 WORM_BAGLE 、WORM_MYDOOM 系列等。以下以 为例说明病毒通过电子邮件传播的过程。 发送的邮件所使用的地址为从被感染的系统中收集,收集的来源有两种: a. 从默认的 Windows 地址簿(WAB) 中收集邮件地址; WAB , ADB , TBB , DBX,ASP , PHP , SHT , HTM , TXT 等类型的文件中收集邮件地址。 7 病毒发送邮件使用自身的 SMTP 引擎,而所使用的 SMTP 服务器名称系从收集到电子邮件地址中提取。例如收集到的邮件地址为 user @ 。 会从该邮件地址中提取出域名的部分,然后加上一些前缀(如mx. ,mail. , smtp. ,mxl. ,mxs. ,maill. ,relay. ,us. ,gate. 等) 尝试作为邮件的发送服务器地址。除了以上方法外,获得用来发送邮件的 SMTP 服务器的方法还有多种,例如,通过使用获得的电子邮件地址进行 DNS 查询的方式等。 8 当然,病毒仅仅通过电子邮件将自身发送出去是远远不够的,病毒伴随着邮件到了目标系统之后只有被执行,才能真正实现对目标系统的感染。正如前述,病毒发送的邮件或者使用邮件客户端的漏洞,自动执行发送到目标系统的邮件中的自身副本;或者使用社会工程学的手法,诱使收到病居始挠没В行执行邮件中的附件。 正是利用了社会工程学的手法,将自身伪装为无法正常发送的邮件,以吸引用户打开邮件中的附件, 如下页图 所示。 9 同时,为了让收到邮件的用户进一步确信打开附件是安全的,附件使用了文本文件的图标进行了伪装, 如下页图 所示。图 通过电子邮件附件传播病毒 10 图 利用文本文件图标伪装