我们为每期《软件大讲堂》作了图文专题,将每期专家讲座整理成文章发布,提供全部视频下载,并建立软件论坛网友提问交流专区,欢迎大家参与并提出宝贵建议。
IT168软件大讲堂
主 题 主 讲 视频下载 论坛专区
第一期 计算机病毒和木马防护 金山技术工程师 李铁军 点击下载 点击进入
本篇文章我们将对计算机病毒和木马防护的基本知识做一些交流。计算机病毒的有关概念还有它的发展,反病毒的一些原理和方法,计算机病毒常见的症状,清除计算机病毒关键的步骤,怎样把计算机恢复到感染之前的状态等等,然后讲一些杀毒软件方面的尝试,还有大家都对木马和病毒比较有兴趣,而病毒主要的构成当中木马占到绝大多数,我们需要了解一下木马和病毒有什么样的区别?病毒防护的基本策略,虽然清除病毒比较难,但是做好病毒的防护是非常容易的,就这些方面的经验跟大家做一些交流。
计算机病毒的概念和发展
关于计算机病毒的概念,分为两部分来说,一个是传统计算机性能的定义,有点像法律意义上的定义。病毒肯定是软件,是程序代码,并且这个程序对计算机是有害的。还有一个非常重要的特性,病毒本身具备一种能够自我复制的能力。现在这种病毒,传统的病毒定义已经不符合当前互联网的实际情况。很多法学毕业的专家都曾经提出过对病毒的概念做一些调整,现在有些法学专家这样说,任何方式以非法的目的入侵目标的计算机,影响这台计算机的使用,窃取数据,或者没有影响使用,但是存在这种风险的,存在这种可能性的这样一些程序和代码,甭管它是不是能够自我进行复制,它都是计算机病毒,把它的概念延伸了,但是这个病毒的概念在理论上却没有作为法律的依据。
关于病毒的发展比较简单的来介绍一下,病毒是由传统的病毒向现在新型病毒的一个过渡,传统型的病毒通常包括一些很老的像引导型的病毒、DOS病毒等等,这种病毒现在非常少见了,引导型病毒通过软盘传播,理论上来讲U盘和光盘都有可能传播引导型的病毒,但是非常非常少。这两种病毒的破坏性很强,感染型的病毒是指感染Windows早期的操作系统平台,Windows 32、95、98这样的,但是这种感染型的病毒仍然还有。另外就是宏病毒和脚本病毒。宏病毒是在Office文档当中传播的,属于传统的病毒,现在出现了非常多的新型病毒,新型病毒的数量可能占到现在病毒入侵和感染事件当中的绝大多数。
在我们上半年发行安全报告当中,我们统计到的数据有70% 的病毒来源是木马程序。而木马程序通常是指一些服务端和客户端两部分组成的,服务端就是木马程序,入侵用户的这一端是服务端。它入侵之后,会在你的电脑当中留下一个后门接受远程的管理,或者完成一些特定的任务。红病毒是通过互联网或者局域网非常容易进行传播的病毒。通常这类病毒杀毒软件报告,它的特性就是传播速度非常快。
黑客和后门程序,现在杀毒软件能够处理的一些新型病毒里面有非常多的黑客和后门程序。这些程序可能会对用户的系统造成非常严重的安全隐患。另外中国用户见的非常多的就是间谍软件,网名给他取了一个特别通俗易懂的软件,名字叫做“流氓软件”。除此之外还有恶作剧程序,这是比较少的,它对你的系统不会产生任何影响。
病毒发展过程中的特点
我们发现已经出现一个非常庞大的产业,就是黑色病毒的产业链,有大量制造和传播病毒的组织存在,这个组织庞大的程度肯定可以超出安全软件厂商的规模,比如说做病毒和传播病毒的人,他远远超出了做安全软件的这些人,他们应该说是这个庞大的产业链在其中获利的人是非常多的。现在出现了网页挂马,这种事件非常严重,观察发现在所有病毒传播途径当中,最容易实现、效率最高的一种手段就是网页挂马,然后吸引一部分人浏览这个网页,病毒很容易传播出去。它是木马的性质,本身这个程序不能自动复制和传播,它在这种情况下突破了我们在法律上的一个不足,法律规定的定义是必须要进行复制和传播,木马不是这样的,它通过网页挂马的方式实现了这个目的。
另外一种变化是漏洞出现的几率是很高的,所有针对操作系统或者最常用的应用软件漏洞,包括一些软件厂商都防不胜防,我们都知道安全漏洞,安全漏洞造成的影响是非常大的,在微软发布这个漏洞补丁之前造成了非常严重的传播,利用漏洞挂马的网站还非常多,早期只是偷偷摸摸的对抗反病毒软件,现在变化为一个明目张胆的对抗,入侵系统之后立即把你的杀毒软件废掉,不能正常运行,在这种状态下能够在你计算机系统当中大肆进行传播。
我们在观察中发现并且和流氓软件和一些间谍软件之类的,它们出现了狼狈为奸的状况,他们是共同完成、构成了一个产业链的整个环节,这个病毒入侵到你的系统当中之后可以设定一个后门,可以放一个木马的下载器,有大量的流氓软件,或者其他的软件通过这些病毒的下载器很容易入侵成千上万的计算机,最典型的8749的流氓就非常的典型,它出现的很突然,短期内出现大量的用户报告发现相同的现象,8749的流氓软件和一些木马下载器是混合的,都是通过相同的路径过来的,因为我们没有发现8749流氓软件和其他的软件捆绑,它是通过下载器入侵到我们系统当中。
病毒的攻击和反病毒原理
通过病毒技术背景和社会背景,我们发现黑客攻击技术和网络病毒的融合,就是病毒和黑客攻击技术的融合构成混合性的危险,大量的病毒不能把它分析的很清楚了,你说它是病毒,或者说是黑客工具,界限很不明显。它们之间这种功能可能是相互利用,出现病毒模块化等等,都是因为产业链的需要。完成产业链的,主要是基于经济目的,通过病毒的技术进行传播,然后通过黑客的攻击技术制造大量的各种各样混合性的威胁,集中到一起对计算机用户发起大规模的攻击。
反病毒原理和方法包括两部分,一个是病毒的清除,病毒已经感染和入侵到你的机器,我们如何把这个病毒给清除掉,让你的系统恢复到入侵前的状态,病毒是怎么感染的,我们把病毒从系统当中清除出去,恢复到系统的正常状态。
反病毒,就是病毒的防护,我们如何想办法阻止这些病毒的入侵。这里面有一些方法,这个方法主要体现在技术上体现反病毒引擎,这个过程大致可以理解为怎么去判断,怎么去识别病毒,哪一个程序对它是有害的。识别出病毒以后,如果你的系统是正常的,这个病毒想要入侵的时候,反病毒软件的防护功能来阻止这个病毒的入侵,假如它已经入侵到你的系统当中,已经造成了感染,这种情况下反病毒软件就要对这个系统进行消除感染这样一个过程。把病毒清除掉,最基本的方法,其实有两大部分,一个就是特征码的识别,到目前为止这仍然是最成熟、最可靠,并且是最廉价的一种识别方法。有大量的病毒,但是我们可以通过几个字节,一段字串描述这种病毒,识别出来之后根据引擎判断哪一段代码是有害的程序,我们就把它从正常的程序当中脱离出去,清除干净。到目前为止几乎所有的杀毒软件都是以特征码方法为主要的识别方法。
除此之外出现一些新的方法,行为识别技术。行为识别技术,哪些行为是病毒类的行为,我们可以把它做一些描述,比如说有病毒入侵之后,他可能非法访问你注册表,他想自动的加载,修改注册表的启动加载项,或者说这个病毒进入你的系统之后,它首先要尝试关闭你的Windows防火墙,或者停止你的系统安全中心的运行等等,这些行为程序自动去执行,可以把它判断为一种危险行为,这种危险行为,如果它比较多,在这种情况下,这个引擎直接可以把它判断为病毒行为。在这里边,因为是基于行为识别的,所以理所当然会出现误报这种情况。因为这些操作都是操作系统正常的功能,某个程序也能够实现,都把它判断为危险行为的话也可能把正常的程序也判断错误,所以各个杀毒公司都是那些产品,杀毒产品当中作为辅助的手段来完成的。
除此之外,对杀毒软件引擎来讲有一个非常重要的一环,就是引擎的脱壳。病毒的马甲非常多,这个壳可能有上千种。目前为止杀毒软件通常只对主流的那些壳进行处理,有的壳叫私壳,某一个病毒制作者在这个上面做了一点点修改,这个壳跟其他任何壳都不一样,这个时候针对这种壳进行一次静态脱壳引擎的开发会发现非常的不值得,你会感觉到花了很大的功夫,结果你会发现他下次就不用了,而引擎脱壳是分为静态和动态两部分,静态的脱壳针对大量那些压缩工具和加壳处理的工具,到目前为止这种最常用的壳大约有30多种这样的软件,版本数量加起来有一百多个左右,其他都不是特别常用的,需要用其他的方法,比如说动态的脱壳,或者是干脆用特征码的方法来识别。
在下一篇我们将介绍计算机中毒后的有哪些表现,如何清除计算机病毒以及杀毒软件的选购,请大家继续关注!