电脑病毒最基础知识(一)

　　病毒残留：纯粹脚本病毒在杀除后不会有任何残留，但由于目前的病毒大都采用复合形态，捆绑多种传染方式和多种特性，因此不少脚本病毒只是将用户机器的安全防线撕开的前奏——真正的破坏主力木马、蠕虫尾随其后进入系统，因此在杀除掉脚本病毒后，非常有必要连带着检查系统中是否已经有了木马和蠕虫病毒。

　　病毒防御：脚本病毒的特性之一就是被动触发——因此防御脚本病毒最好的方法是不访问带毒的文件/web网页，在网络时代，脚本病毒更以欺骗的方式引诱人运行居多。由于ie本身存在多个漏洞，特别是执行activex的功能存在相当大的弊端，最近爆出的重大漏洞都和它有关，包括mozilla的windows版本也未能幸免。因此个人推荐使用myie2软件代替ie作为默认浏览器，因为myie2中有个方便的功能是启用/禁用web页面的activex控件，在默认的时候，可以将页面中的activex控件全部禁用，待访问在线电影类等情况下根据自己的需要再启用。关于邮件病毒，大多以eml作为文件后缀的，如果您单机有用outlook取信的习惯，最好准备一个能检测邮件病毒的杀毒软件并及时升级。如果非必要，将word等office软件中的宏选项设置为禁用。脚本病毒是目前网络上最为常见的一类病毒，它编写容易，源代码公开，修改起来相当容易和方便，而且往往给用户造成的巨大危害。

　　以上4类程序的介绍，为了降低学习难度，我是单态方式来介绍的。事实上目前的病毒大多以具有上面4类程序中的2到3类的特征，因此无论感染，传播，杀除的困难都大大增加。例如发文前夕的mydoom新变种病毒的分析中：它利用系统漏洞/邮件群/fa/共享漏洞方式传播（具备了蠕虫、脚本病毒和新型病毒的传播特性），进驻用户系统后上载自身并运行（木马特性），获取用户本地outlook中的地址本（木马特性），通过调用google等搜索引擎获取用户email地址本中同后缀的相关选项（调用系统程序，木马功能），再主动给地址本中的每个程序发出email（木马特性）。对待这样一个病毒，无论是系统存在漏洞、共享安全设置不当、或者随意地打开了“朋友”发来的email，都可能导致中毒。关于中毒途径的分析，留待下一站《攻击防御之旅》内一并介绍。

　　在从第一个病毒出现到现在，已经有整整半个世纪了，病毒的发展日新月异，令查杀的困难大大增加，造成的损失也异常巨大。或许，计算机病毒这个幽灵，从计算机诞生的那一刻起就注定要如影相随的。只要还有用心险恶的人存在，那么病毒就不会消亡。病毒之战，恐怕会在今后的日子里越演越烈…… www.quxue6.com
　　
　　第二篇、攻击防御之旅

　　除了病毒，互联网络上还有一股暗潮——人为攻击。

　　早期的攻击者大多是技艺高超之辈，他们对服务器的系统、程序相当熟悉，常常通过寻找他人系统中的漏洞来提高自身技术水平，并以此为乐。不过他们的默认准则之一是不攻击普通终端用户、进驻服务器后不改变服务器重要设置。那是一群令人尊敬的人，他们在技/艺的边缘地带行走，以自己独特的方式磨练着自己；独特立行，或许你曾因为各种原因在im软件上，在web论坛中，在irc聊天室里与他们匆匆邂逅又匆匆离别，却茫然不知道他们的真正身份；都是真正意义上的技术好手，对操作系统，网络协议，编程语言都有相当造诣，他们中相当一部分人的正当职业就是高级程序员、系统分析师、网络管理员——这类人，我们尊敬地称他们为“黑客”，俗称“黑帽”。

　　到了商业时代，随着金钱利益的驱动，行行色色的各类人进入了互联网。其中有一群被金钱利益驱动着的人，他们也有着不错的技术，却被金钱物欲所俘获，将自己的技术和灵魂出卖给金钱——只要为了经济利益，可以不择手段地进行破坏。他们对没利益的终端个人用户也没有什么兴趣，相比之下服务器更令他们青睐。把攻击得逞的服务器做成肉鸡以备后用是他们的习惯之一。这类人，我们称他们为“骇客”，俗称“灰帽”。

　　就如有影就有光一样，网络上也有跟“骇客”相反的一类人，他们以研究系统漏洞、帮助企业实施安全方案为职，我们称他们为“安全顾问”。他们具有足以和“骇客”匹敌的能力，网络上的商业服务器攻防之战大多是在他们与“骇客”之间展开，，俗称“白帽”。

　　最后一类，可说是堕落的平庸者。使用着前几类人所开发者的工具，对网络上的机器——不管是终端用户还是服务器进行扫描；看到有漏洞的系统就又使用他人的教程、工具尝试进入，并在进入之后大肆进行破坏；在无法进入的时候，甚至就直接用DDOS攻击了事。他们破坏的理由大多是为了逞一时之愉快或为了炫耀自己而已，这类人没有什么技术可言，行为也无道德可言。他们不具备扎实地技术功底，大多是使用前三类高手所开发的工具，这样的一类人，一般被称为“脚本小子”。值得附带一提的是，国内不少所谓“安全站点”上驰骋风云、威风八面的“高手”也不过就属于这类档次的混混而已——不知天高地厚的自吹自擂也是这类家伙常见的特性之一呢。

　　对个人用户而言，由于不具备较大的经济利益，因此前三类人一般不会染指用户的计算机。让用户深受其害的，常常是脚本小子的所为。

　　攻击的六大步骤

　　首先，让我们看看这类家伙是怎么样一步步发起攻击的，一次典型的正面攻击大概分这么几步来进行，值得一提目前的网络病毒传染方式从实质上来讲也是一种自动攻击，因此下面的步骤对待病毒也是同样适用；

　　1．利用扫描工具批量ping一个段的地址，判断存活主机；

　　为了加快感染的速度，常常是ping不通的主机就放弃后续的操作，相当多的病毒均是属于先ping目标主机，再进行感染操作的；

　　2．扫描所开放端口；

　　针对常见的默认端口来猜测服务器的性质，如80是web服务器；21是ftp，22是 ssh，25是smtp等等；

　　3．根据获得的情报，判断主机的操作系统和决定攻击方式；

　　如果操作系统开了80的，就看看web服务器的信息；如果开了21,就看看ftp服务器的信息——从这些蛛丝马迹中获得资料，如从iis的版本号、ftp服务的欢迎信息来判断所用的程序，以及操作系统可能使用的版本；

　　4．尝试攻击——在这一步，分为漏洞攻击、溢出攻击、密码破解攻击；

　　对待网络共享，一般采用利用弱密码漏洞方式进入；对待公共服务，如web、ftp则通过查找该版本的软件漏洞（这个在google上搜索到很容易，甚至有示范代码的）进行溢出攻击；枚举用户帐号，通过挂载密码字典，进行弱密码穷尽猜测攻击等等；

　　5．进入系统，想办法提升权限；

　　如果是通过服务漏洞进入，则不少情况下默认就是最高权限了（windows的服务大多默认以administrator权限运行），如果通过其他方式获得帐号密码的，那么还要想办法提升权限，常见的做法有利用重定向方式写系统设置文件、运行有权限执行的高权限程序并造成溢出获得；

　　6．获得最高权限后进行破坏行为实施；

　　常见的就是安装木马、设置后门、修改配置、删除文件、复制重要文件等；

　　应对攻击行为

　　让我们分析一下以上6步，看看该怎么应对攻击行为。

　　利用扫描工具批量ping一个段的地址，判断存活主机；

　　由于无谓的攻击一个不能确定是否开机的ip地址从效率上来说比较低下，在要求快速攻击/感染的情况下，常常会对目标地址进行ping检测——如著名的冲击波病毒等；换句话说，如果能让我们的主机不回应icmp包，则对方无法确定我们的存活，很可能就此放弃攻击。目前不少免费/商业的个人网络防火墙都带了这一功能；

　　判断主机的操作系统和扫描所开放端口；

　　个人用户所开主机的服务类端口不多，但由于windows自身的设置问题，例如win98共享漏洞、win2k默认开着telnet服务等原因，让攻击者有多个攻击选择。在这一步，同样可以用防火墙把必要的端口禁止掉——我常用的做法是把135、137、138、139、445端口禁止掉，这能避免很多麻烦，windows的网络共享安全性实在不怎么好，个人推荐用户考虑放弃网络共享，采用ftp等方式进行必要的文件传输；

　　根据获得的情报，决定攻击方式；

　　在这一步，攻击者将上一步扫描的资料进行汇总，然后确定攻击方式——因此上一步中，我们如果能将对外的端口开得尽量少，那么攻击者能利用的资源也就越少，出现漏洞攻击的可能行就越小；

　　尝试攻击——在这一步，分为漏洞攻击、溢出攻击、密码破解攻击；

　　由于攻击个人用户的家伙大多是属于脚本小子一级的，只会用别人现成工具的居多，因此有了上面的防御后，能让他们利用的漏洞也不是太多了。只要密切注意自己所用操作系统的动态，随时给系统升级补丁，一般来说攻击者已经没折了。

上一页  [1] [2] [3] [4] [5] [6]  下一页