微信公众号:计算机与网络安全
ID:Computer-network
1、计算机病毒的定义与特征
计算机病毒(Computer Virus)是人为制造的、能够进行自我复制的、对计算机资源具有破坏作用的一组程序或指令的集合,这是计算机病毒的广义定义。计算机病毒把自身附着在各种类型的文件上或寄生在存储媒介中,能对计算机系统和网络进行各种破坏,同时能够自我复制和传染。
在1994年2月18日公布的《中华人民共和国计算机信息系统安全保护条例》中,计算机病毒被定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。”
计算机病毒与生物病毒一样,有其自身的病毒体(病毒程序)和寄生体(宿主)。所谓感染或寄生,是指病毒将自身嵌入到宿主指令序列中。寄生体为病毒提供一种生存环境,是一种合法程序。当病毒程序寄生于合法程序之后,病毒就成为了程序的一部分,并在程序中占有合法地位。这样,合法程序就成为了病毒程序的寄生体,或称为病毒程序的载体。病毒可以寄生在合法程序的任何位置。病毒程序一旦寄生于合法程序,就会随合法程序的执行而执行,随它的生存而生存,随它的消失而消失。为了增强活力,病毒程序通常会寄生于一个或多个被频繁调用的程序中。
(1)病毒特征
计算机病毒种类繁多、特征各异,但一般具有自我复制能力、感染性、潜伏性、触发性和破坏性。计算机病毒的基本特征介绍如下。
1)计算机病毒的可执行性
计算机病毒与合法程序一样,是一段可执行程序。计算机病毒在运行时会与合法程序争夺系统的控制权。例如,病毒一般在运行其宿主程序之前先运行自己,通过这种方法抢夺系统的控制权。计算机病毒只有在计算机内运行时,才具有传染性和破坏性等活性。计算机病毒一经在计算机上运行,在同一台计算机内,病毒程序与正常系统程序就会争夺系统的控制权,往往会造成系统崩溃,导致计算机瘫痪。
2)计算机病毒的传染性
计算机病毒的传染性是指病毒具有把自身复制到其他程序和系统的能力。计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪。计算机病毒一旦进入计算机并得以执行,就会搜寻符合其传染条件的其他程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。而被感染的目标又成了新的传染源,当它被执行以后,便又会去感染另一个可以被传染的目标。计算机病毒可以通过各种可能的渠道(如U盘、网络)等去感染其他的计算机。
3)计算机病毒的非授权性
计算机病毒未经授权而执行。一般正常的程序由用户调用,再由系统分配资源,进行完成用户交给的任务,其目的对用户是可见的、透明的。而病毒隐藏在正常程序中,其在系统中的运行流程一般是:做初始化工作→寻找传染目标→窃取系统控制权→完成传染破坏活动,其目的对用户是未知的、未被允许的。
4)计算机病毒的隐蔽性
计算机病毒通常附在正常程序中或磁盘中较隐蔽的地方,也有个别的病毒以隐含文件形式出现,目的是不让用户发现其存在。如果不经过代码分析,病毒程序与正常程序是不容易被区分的,而一旦病毒发作的影响表现出来,就往往已经给计算机系统造成了不同程度的破坏。正是由于计算机病毒的隐蔽性,其才得以在用户没有察觉的情况下扩散并游荡于世界上百万台计算机中。
5)计算机病毒的潜伏性
一个编制精巧的计算机病毒程序进入系统之后一般不会马上发作。潜伏性越好,其在系统中存在的时间就会越长,病毒的传染范围就会越大。潜伏性是指不用专用检测程序无法检查出病毒程序,此外其还具有一种触发机制,不满足触发条件时,计算机病毒只传染而不做破坏,只有满足触发条件时,病毒才会被激活并使计算机出现中毒症状。
6)计算机病毒的破坏性
计算机病毒一旦运行,就会对计算机系统造成不同程度的影响,轻者降低计算机系统的工作效率、占用系统资源(如占用内存空间、磁盘存储空间以及系统运行时间等),重者导致数据丢失、系统崩溃。计算机病毒的破坏性决定了病毒的危害性。
7)计算机病毒的寄生性
病毒程序会嵌入宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。病毒程序在嵌入宿主程序中后,一般会对宿主程序进行一定的修改,这样,宿主程序一旦执行,病毒程序就会被激活,从而可以进行自我复制和繁衍。
8)计算机病毒的不可预见性
从对病毒的检测方面来看,病毒还有不可预见性。不同种类的病毒的代码千差万别,但有些操作是共有的(如驻内存、改中断等)。随着计算机病毒新技术的不断涌现,对未知病毒的预测难度也在不断加大,这也决定了计算机病毒的不可预见性。事实上,反病毒软件预防措施和技术手段往往滞后于病毒的产生速度。
9)计算机病毒的诱惑欺骗性
某些病毒常以某种特殊的表现方式,引诱、欺骗用户不自觉地触发、激活病毒,从而发挥其感染、破坏功能。某些病毒会通过引诱用户点击电子邮件中的相关网址、文本、图片等来激活自身并进行传播。
(2)病毒分类
根据传播和感染的方式,计算机病毒主要有以下几种类型。
1)引导型病毒
引导型病毒(Boot Strap Sector Virus)藏匿在磁盘片或硬盘的第一个扇区。因为DOS的架构设计,病毒可以在每次开机时操作系统还未被加载之前就被加载到内存中,这个特性使病毒可以完全控制DOS的各类中断,并且拥有更大的能力进行传染与破坏。
2)文件型病毒
文件型病毒(File Infector Virus)通常寄生在可执行(如.com、.exe等)文件中。当这些文件被执行时,病毒程序就会跟着被执行。文件型病毒根据传染方式的不同,又分为非常驻型以及常驻型两种。非常驻型病毒将自己寄生在.com、.exe或.sys文件中。当这些中毒的程序被执行时,它们就会尝试将病毒传染给另一个或多个文件。常驻型病毒寄生在内存中,其行为就是寄生在各类低阶功能(如中断等)中,由于这个原因,常驻型病毒往往会对磁盘造成更大的伤害。一旦常驻型病毒进入内存,只要执行文件,其就会对内存进行感染。
3)复合型病毒
复合型病毒(Multi-Partite Virus)兼具引导型病毒和文件型病毒的特性。复合型病毒可以传染.com、.exe文件,也可以传染磁盘的引导区。由于这个特性,这种病毒具有相当程度的传染力。一旦发病,其破坏程度将会非常可怕。
4)宏病毒
宏病毒(Macro Virus)主要是利用软件本身所提供的宏能力来设计病毒,所以凡是具有宏能力的软件都有存在宏病毒的可能,如Word、Excel、Powerpoint等。
2、病毒攻击原理分析
以引导型病毒为例来分析病毒的攻击原理。
想要了解引导型病毒的攻击原理,首先要了解引导区的结构。硬盘有两个引导区,在0面0道1扇区的称为主引导区,内有主引导程序和分区表,主引导程序查找激活分区,该分区的第一个扇区即为DOS BOOT SECTOR。绝大多数病毒可以感染硬盘主引导扇区和软盘DOS引导扇区。
尽管Windows操作系统使用广泛,但计算机在被引导至Windows界面之前,还是需要基于传统的DOS自举过程,从硬盘引导区读取引导程序。图1和图2分别描述了正常的DOS自举过程和带病毒的DOS自举过程。
图1 正常的DOS自举过程
图2 带病毒的DOS自举过程
正常的DOS启动过程如下:
① 通电开机后,进入系统的检测程序并执行该程序,以对系统的基本设备进行检测;
② 检测正常后,从系统盘0面0道1扇区(即逻辑0扇区)读Boot引导程序到内存的0000:7C00处;
③ 转入Boot执行;
④ Boot判断是否为系统盘,如果不是,则给出提示信息;否则,读入并执行两个隐含文件,并将COMMAND.com装入内存;
⑤ 系统正常运行,DOS启动成功。
如果系统盘感染了病毒,则DOS的启动将会是另一种情况,其过程如下:
① 将Boot区中的病毒代码首先读入内存的0000:7C00处;
② 病毒将自身的全部代码读入内存的某一安全地区,常驻内存,并监视系统的运行;
③ 修改INT 13H中断服务处理程序的入口地址,使之指向病毒控制模块并执行;因为任何一种病毒感染软盘或者硬盘时,都离不开对磁盘的读写操作,所以修改INT 13H中断服务程序的入口地址是一项必不可少的操作;
④ 病毒程序全部被读入内存后,再读入正常的Boot内容到内存的0000:7C00处,并进行正常的启动过程;
⑤ 病毒程序伺机(准备随时)感染新的系统盘或非系统盘。
如果发现有可攻击的对象,则病毒要进行下列工作:
① 将目标盘的引导扇区读入内存,并判别该盘是否感染了病毒;
② 当满足传染条件时,将病毒的全部或部分写入Boot区,把正常的磁盘引导区程序写入磁盘的特定位置;
③ 返回正常的INT 13H中断服务处理程序,完成对目标盘的传染。
3、木马的发展与分类
木马是一种后门程序,黑客可以利用其盗取用户的隐私信息,甚至远程控制用户的计算机。木马全称特洛伊木马,其名称源于古希腊神话中的《特洛伊木马记》。在公元前12世纪,希腊向特洛伊城宣战,交战了10年也没有取得胜利。最后,希腊军队佯装撤退,并在特洛伊城外留下很多巨大的木马。这些木马是空心的,里面藏了希腊最好的战士。在希腊人佯装撤走后,特洛伊人把这些木马作为战利品拉进了城。当晚,希腊战士从木马中出来并与城外的希腊军队里应外合攻下特洛伊城,这就是特洛伊木马名称的由来。因此,特洛伊木马一般会伪装成合法程序植入系统,进而对系统安全构成威胁。完整的木马程序一般由两部分组成,一是服务器被控制端程序,二是客户端控制端程序。黑客主要利用植入目标主机的客户端控制端程序来控制目标主机。
(1)木马技术的发展
从木马技术的发展来看,其基本上可分为4代。
第1代木马功能单一,只是实现简单的密码窃取与发送等,在隐藏和通信方面均无特别之处。
第2代木马在隐藏、自启动和操纵服务器等方面有了很大进步。国外具有代表性的第2代木马有BOZ000和Sub7。冰河可以说是国内木马的典型代表之一,它可以对注册表进行操作以实现自动运行,并能通过将程序设置为系统进程来进行伪装隐藏。
第3代木马在数据传递技术上有了根本性的进步,出现了ICMP等特殊报文类型传递数据的木马,增加了查杀的难度。这一代木马在进程隐藏方面也做了很大的改进,并采用了内核插入式的嵌入方式,利用远程插入线程技术嵌入DLL线程,实现木马程序的隐藏,达到了良好的隐藏效果。
第4代木马实现了与病毒紧密结合,利用操作系统漏洞,直接实现感染传播的目的,而不必像以前的木马那样需要欺骗用户主动激活。具有代表性的等4代木马有最近新出现的磁碟机和机器狗木马等。
(2)木马程序的分类
根据木马程序对计算机的具体动作方式,可以把现在的木马程序分为以下5类。
1)远程控制型
远程控制型木马是现今最广泛的特洛伊木马,这种木马具有远程监控的功能,使用简单,只要被控制主机联入网络并与控制端客户程序建立网络连接,就能使控制者任意访问被控制的计算机。这种木马在控制端的控制下可以在被控主机上做任何事情,如键盘记录、文件上传/下载、屏幕截取、远程执行等。
2)密码发送型
密码发送型木马的目的是找到所有的隐藏密码,并且在用户不知情的情况下把它们发送到指定的邮箱。在大多数情况下,这类木马程序不会在每次Windows系统重启时都自动加载,它们大多数使用25端口发送电子邮件。
3)键盘记录型
键盘记录型木马非常简单,它们只做一件事情,就是记录用户的键盘敲击,并且在LOG文件里进行完整的记录。这种木马程序会随着Windows系统的启动而自动加载,并能感知受害主机在线,且记录每一个用户事件,然后通过邮件或其他方式将用户事件发送给控制者。
4)毁坏型
大部分木马程序只是窃取信息,不做破坏性的事件,但毁坏型木马却以毁坏并且删除文件为己任。它们可以自动删除受控主机上所有的.ini或.exe文件,甚至远程格式化受控主机硬盘,使受控主机上的所有信息都受到破坏。总而言之,该类木马的目标只有一个,就是尽可能地毁坏受感染系统,使其瘫痪。
5)FTP型
FTP型木马会打开被控主机系统的21号端口(FTP服务所使用的默认端口),使每个人都可以用一个FTP客户端程序无需密码就能连接到被控主机系统,进而进行最高权限的文件上传和下载,窃取受害系统中的机密文件。
根据木马的网络连接方向,可以将木马分为以下两类。
- 正向连接型:发起连接的方向为控制端到被控制端,这种技术被早期的木马广泛采用,其缺点是不能透过防火墙发起连接。
- 反向连接型:发起连接的方向为被控制端到控制端,其出现主要是为了解决从内向外不能发起连接这一问题。其已经被较新的木马广泛采用。
根据木马使用的架构,木马可分为4类。
- C/S架构:这种架构是普通的服务器、客户端的传统架构,一般将客户端作为控制端,服务器端作为被控制端。在编程实现的时候,如果采用反向连接的技术,那么客户端(也就是控制端)就要采用socket编程的服务器端的方法,而服务端(也就是被控制端)就要采用Socket编程的客户端的方法。
- B/S架构:这种架构是普通的网页木马所采用的方式。通常在B/S架构下,服务器端被上传了网页木马,控制端可以使用浏览器来访问相应的网页,进而达到对服务器端进行控制的目的。
- C/P/S架构:这里的P意为Proxy,也就是在这种架构中使用了代理。当然,为了实现正常的通信,代理也要由木马作者编程实现,进而才能实现一个转换通信。这种架构的出现,主要是为了适应一个内部网络对另外一个内部网络的控制。但是,这种架构的木马目前还没有被发现。
- B/S/B架构:这种架构的出现,也是为了适应一个内部网络对另外一个内部网络的控制。当被控制端与控制端都打开浏览器浏览这个服务器上的网页时,一端就变成了控制端,而另一端就变成了被控制端。这种架构的木马已经在国外出现。
根据木马存在的形态的不同,可将木马分为以下几种:
- 传统EXE程序文件木马:这是最常见、最普通的木马,即在目标计算机中以.exe文件运行的木马。
- 传统DLL/VXD木马:此类木马自身无法运行,它们须利用系统启动或其他程序来运行,或使用Rundi132.exe来运行。
- 替换关联式DLL木马:这种木马本质上仍然是DLL木马,但它却会替换某个系统的DLL文件并将它改名。
- 嵌入式DLL木马:这种木马利用远程缓冲区溢出的入侵方式,从远程将木马代码写入目前正在运行的某个程序的内存中,然后利用更改意外处理的方式来运行木马代码。这种技术在操作上难度较高。
- 网页木马:即利用脚本等设计的木马。这种木马会利用IE等的漏洞嵌入目标主机,传播范围广。
- 溢出型木马:即将缓冲区溢出攻击和木马相结合的木马,其实现方式有很多特点和优势,属于一种较新的木马类型。
此外,根据隐藏方式,木马可以分为以下几类:本地文件隐藏、启动隐藏、进程隐藏、通信隐藏、内核模块隐藏和协同隐藏等。隐藏技术是木马的关键技术之一,直接决定木马的生存能力。木马与远程控制程序的主要不同点就在于它的隐蔽性,木马的隐蔽性是木马能否长期存活的关键。
(3)木马的功能
木马的功能可以概括为以下5种。
1)管理远程文件
对被控主机的系统资源进行管理,如复制文件、删除文件、查看文件、以及上传/下载文件等。
2)打开未授权的服务
为远程计算机安装常用的网络服务,令它为黑客或其他非法用户服务。例如,被木马设定为FTP文件服务器后的计算机,可以提供FTP文件传输服务、为客户端打开文件共享服务,这样,黑客就可以轻松获取用户硬盘上的信息。
3)监视远程屏幕
实时截取屏幕图像,可以将截取到的图像另存为图片文件;实时监视远程用户目前正在进行的操作。
4)控制远程计算机
通过命令或远程监视窗口直接控制远程计算机。例如,控制远程计算机执行程序、打开文件或向其他计算机发动攻击等。
5)窃取数据
以窃取数据为目的,本身不破坏计算机的文件和数据,不妨碍系统的正常工作。它以系统使用者很难察觉的方式向外传送数据,典型代表为键盘和鼠标操作记录型木马。
4、木马攻击原理
木马程序是一种客户机服务器程序,典型结构为客户端/服务器(Client/Server,C/S)模式,服务器端(被攻击的主机)程序在运行时,黑客可以使用对应的客户端直接控制目标主机。操作系统用户权限管理中有一个基本规则,就是在本机直接启动运行的程序拥有与使用者相同的权限。假设你以管理员的身份使用机器,那么从本地硬盘启动的一个应用程序就享有管理员权限,可以操作本机的全部资源。但是从外部接入的程序一般没有对硬盘操作访问的权限。木马服务器端就是利用了这个规则,植入目标主机,诱导用户执行,获取目标主机的操作权限,以达到控制目标主机的目的的。
木马程序的服务器端程序是需要植入到目标主机的部分,植入目标主机后作为响应程序。客户端程序是用来控制目标主机的部分,安装在控制者的计算机上,它的作用是连接木马服务器端程序,监视或控制远程计算机。
典型的木马工作原理是:当服务器端程序在目标主机上执行后,木马打开一个默认的端口进行监听,当客户端(控制端)向服务器端(被控主机)提出连接请求时,被控主机上的木马程序就会自动应答客户端的请求,服务器端程序与客户端建立连接后,客户端(控制端)就可以发送各类控制指令对服务器端(被控主机)进行完全控制,其操作几乎与在被控主机的本机操作的权限完全相同。
木马软件的终极目标是实现对目标主机的控制,但是为了实现此目标,木马软件必须采取多种方式伪装,以确保更容易地传播,更隐蔽地驻留在目标主机中。
下面介绍木马的种植原理和木马的隐藏。
(1)木马种植原理
木马程序最核心的一个要求是能够将服务器端程序植入目标主机。木马种植(传播)的方式一般包括以下3种。
1)通过电子邮件附件夹带
这是最常用也是比较有效的一种方式。木马传播者将木马服务器端程序以电子邮件附件的方式附加在电子邮件中,针对特定主机发送或漫无目的地群发,电子邮件的标题和内容一般都非常吸引人,当用户点击阅读电子邮件时,附件中的程序就会在后台悄悄下载到本机。
2)捆绑在各类软件中
黑客经常把木马程序捆绑在各类所谓的补丁、注册机、破解程序等软件中进行传播,当用户下载相应的程序时,木马程序也会被下载到自己的计算机中,这类方式的隐蔽度和成功率较高。
3)网页挂马
网页挂马是在正常浏览的网页中嵌入特定的脚本代码,当用户浏览该网页时,嵌入网页的脚本就会在后台自动下载其指定的木马并执行。其中网页是网页木马的核心部分,特定的网页代码使网页被打开时木马能随之下载并执行。网页挂马大多利用浏览器的漏洞来实现,也有利用ActiveX控件或钓鱼网页来实现的。
(2)木马程序隐藏
木马程序为了能更好地躲过用户的检查,以悄悄控制用户系统,必须采用各种方式将其隐藏在用户系统中。木马为了达到长期隐藏的目的,通常会同时采用多种隐藏技术。木马程序隐藏的方式有很多,主要包括以下4类:
① 通过将木马程序设置为系统、隐藏或是只读属性来实现隐藏;
② 通过将木马程序命名为和系统文件的名称极度相似的文件名,从而使用户误认为其是系统文件而忽略之;
③ 将木马程序存放在不常用或难以发现的系统文件目录中;
④ 将木马程序存放的区域设置为坏扇区的硬盘磁道。
(3)木马启动隐藏
木马程序在启动时必须让操作系统或杀毒软件无法发现自身才能驻留系统。木马程序启动的隐藏方式介绍如下。
1)文件伪装
木马最常用的文件隐藏方式是将木马文件伪装成本地可执行文件。例如,木马程序经常会将自己伪装成图片文件,修改其图标为Windows默认的图片文件图标,同时修改木马文件扩展名为.jpg、.exe等,由于Windows默认设置不显示已知的文件后缀名,因此文件将会显示为.jpg,当用户以正常图片文件打开并浏览其时就会启动木马程序。
2)修改系统配置
利用系统配置文件的特殊作用,木马程序很容易隐藏在系统启动项中。例如,Windows系统配置文件MSCONFIG.sys中的系统启动项system.ini是众多木马的隐藏地。Windows安装目录下的system.ini[boot]字段中,正常情况下有boot=“Explorer.exe”,如果其后面有其他的程序,如boot=“Explorer.exe file.exe”,则这里的file.exe就有可能是木马服务端程序。
3)利用系统搜索规则
Windows系统搜寻一个不带路径信息的文件时遵循“从外到里”的规则,它会由系统所在的盘符的根目录开始向系统目录深处递进查找,而不是精确定位。这就意味着,如果有两个同样名称的文件分别放在“C:\”和“C:\WINDOWS”下时,搜索会执行C:\下的程序,而不是C:\WINDOWS下的程序。这样的搜寻规则就给木马提供了一个机会,木马可以把自己改为系统启动时必定会调用的某个文件,并复制到比原文件的目录浅一级的目录里,操作系统就会执行这个木马程序,而不是正常的那个程序。若要提防这种占用系统启动项而做到自动运行的木马,则用户必须了解自己的计算机里所有正常的启动项信息。
4)替换系统文件
木马程序会利用系统里的那些不会危害到系统正常运行而又会被经常调用的程序文件,如输入法指示程序。木马程序会替换掉原来的系统文件,并把原来的系统文件名改成只有木马程序知道的一个生僻文件名。只要系统调用那个被替换的程序,木马就能继续驻留内存。木马程序作为原来的程序被系统启动时,会获得一个由系统传递来的运行参数,此时,木马程序就把这个参数传递给被改名的程序执行。
(4)木马进程隐藏
木马程序运行后的进程隐藏有两种情况:一种是木马程序的进程存在,只是不出现在进程列表里,采用APIHOOK技术拦截有关系统函数的调用以实现运行时的隐藏;另一种是木马不以一个进程或者服务的方式工作,而是将其核心代码以线程或DLL的方式注入合法进程,用户很难发现被插入的线程或DLL,从而达到木马隐藏的目的。
在Windows系统中常见的隐藏方式有注册表DLL插入、特洛伊DLL、动态嵌入技术、CreateProcess插入和调试程序插入等。
(5)木马通信时的信息隐藏
木马运行时需要通过网络与外机通信,以获取外机的控制命令或向外机发送信息。木马通信时的信息隐藏主要包括通信内容、流量、信道和端口的隐藏。
木马常用的通信内容隐藏方法是对通信内容进行加密。通信信道的隐藏一般采用网络隐蔽通道技术。在TCP/IP族中,有许多冗余信息可用于建立网络隐蔽通道。木马可以利用这些网络隐蔽通道突破网络安全机制。比较常见的有:ICMP畸形报文传递、HTTP隧道技术、自定义 TCP/UDP报文等。木马采用网络隐蔽通道技术时,如果选用一般的安全策略都会允许的端口(如80端口)进行通信,则可轻易穿透防火墙和避过入侵检测系统等安全机制的检测,从而获得较强的隐蔽性。通信流量的隐藏一般采用监控系统网络通信的方式,当监测到系统中存在其他通信流量时,木马程序就会启动通信;当不存在其他通信流量时,木马程序就会处于监听状态,等待其他通信开启。
(6)木马隐蔽加载
木马隐蔽加载是指通过修改虚拟设备驱动程序(VxD)或动态链接库(DLL)来加载木马。这种方法基本上摆脱了原有的木马模式——监听端口,而采用了替代系统功能的方法(改写VxD或DLL文件):木马用修改后的DLL替换系统原来的DLL,并对所有的函数调用进行过滤。对于常用函数的调用,木马会使用函数转发器将其直接转发给被替换的系统DLL;对于一些事先约定好的特殊情况,木马会自动执行。一般情况下,DLL只是进行监听,一旦发现控制端的请求,其就会激活自身。这种木马没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法无法监测到。在正常运行时,木马几乎没有任何踪迹,只有在木马的控制端向被控制端发出特定的信息后,隐藏的木马程序才会开始运行。
