电脑病毒最基础知识(一)

　　进入系统，想办法提升权限；

　　进入到系统之后，对其他平台而言，攻击者获得的大多不是root权限，还要进行权限提升的步骤，利用重定向写配置文件、信任欺骗等手段来提升权限；而在windows下，个人用户大多直接以administrator的身份登陆并进行日常使用（值得一提的是天缘看到不少win2k/nt服务器的管理员在进行日常操作的时候也使用administrator帐号，甚至在服务器上浏览不可信任的web页），且windows的后台服务大多直接以administrator身份运行，因此一旦被入侵，直接获得administrator的几率相当高，客观上降低了攻击难度。漏洞多，补丁慢，服务权限设置设置不严格——这就是攻击者更喜欢攻击windows系列操作系统的原因了。

　　获得最高权限后进行破坏行为实施；

　　到这一步，基本上用户已经无力阻挡了——最好的做法是立即拔掉网线再谋对策了。

　　对待上面这样典型的正面攻击行为，有一个好的个人用户防火墙是不错的选择，天网/金山的的偶比较好用，目前我个人的桌面系统使用的是费尔防火墙，它操作上不如天网/金山方便，但可定制性更好一些。普通用户可以下一个天网的防火墙来用，默认的规则已经可以对付上面提到的大部分攻击行为了。

　　正因为随着个人防火墙的使用，脚本小子进行正面攻击不容易得逞，因此采用欺骗的手段进行攻击成为了更为可取的方式。 www.quxue6.com

　　常见欺骗手法

　　1．im软件中的一个网站地址——该网站地址其实是一个利用了activex漏洞或mime漏洞的页面，当用户采用启用activex的浏览器或mime解析不严格的web浏览器访问该页面时，会导致脚本病毒自动执行，修改用户的本机设置，并将远程木马木马下载到本地，在没有提示的情形下运行起来，之后又挂接到im软件，在用户知情/不知情的情形下，将该网站地址发送到用户im软件里的好友中，以次延续感染；对付activex漏洞的方式是使用能准确控制是否启用页面中activex的浏览器，如myie2；对付mime头的方法是及时打上系统补丁——“美女图片”病毒就是典型的一个利用浏览器没检查jpg的mime的漏洞，而这个漏洞微软在很早前就发布了patch，结果没想到还是很多人中招了。

　　2．主动在im软件中发送木马——这类方法比较拙劣，攻击者以“这是我的照片”，“新发现一个好用的软件”等借口，将一个文件发过来——并要求你执行，由于可执行文件的后缀是以.exe .bat .pif . scr .cmd 为主，所以用户看到这几类后缀就要小心了。如果的确想看对方的照片怎么办？让对方把图片转成jpg文件发过来，记住是放到你本地来，而不是给你一个url，否则上面提到的mime头检查漏洞正等着你呢！

　　3．利用邮件方式传播病毒。对利用outlook等客户端工具的朋友来说，自动在邮件里显示出html是一项很贴心的设计——可惜是有漏洞的设计——这样在ie存在漏洞的时候，读取html格式的邮件同样会中毒；预防方式要么是禁用html方式解析，要么是及时升级windows补丁，要么是不采用outlook本地方式收信，而是先利用webmail方式以文本格式读信，然后将有必要的信保留，没必要的删除，再行下载。

　　本来利用imap远程管理信箱是个好主意——可以将名字/来源email看着不对劲的信直接删除掉；但由于smtp协议本身的不完善和不少邮件病毒采用获取用户outlook地址本的特性，使得信件来源常常来自一个可信任的朋友地址，令远程管理无从仅仅根据信件来源email地址和信件标题判断是否为病毒。对待这类病毒，除了依仗邮件系统自身的杀毒功能外，用户在自己机器上装一个带邮件监控功能的杀毒系统也是非常有益的。当然，最好的方法就是用纯文本方式阅读信件——舍弃一点华丽，换来更多安全是值得的，至少在有重要资料的机器上是如此。

　　4．程序捆绑欺骗。目前有一种程序，专门将2个文件捆绑到一起，称为捆绑机。具体来说——打个比方，我把a.exe文件和b.exe文件捆绑到一起的话，会生成一个c.exe文件——那么如果我运行c.exe，则等于同时执行了a.exe和b.exe文件。如果正好a.exe或b.exe文件是一个木马的话……常见的做法就是不少所谓的“安全站点”告诉好奇的学习者——这是xx强大的安全工具、扫描工具。结果是捆绑着木马的，下载下来一运行，自己先中招了。不少脚本小子自己的机器上都被人种了木马还茫然不知，真是报应啊，哈哈哈。不过对普通用户来说，对待不信任的人发给的这类文件还是不运行比较好；当然自己去一些不是太正规的站主动下载文件就更是脑袋里进水了。

　　著名病毒的攻击原理

　　当然，攻击的方式从来不是被单独利用的 ，让我们分析一下几个著名病毒的攻击原理看看就知道了；

　　冲击波病毒（蠕虫类病毒）：通过ping命令探测主机——检查是否为win2k/xp系统——利用rpc漏洞获取权限——通过tftp上载必要文件——修改注册表，添加服务——感染其他机器；

　　这类病毒的预防手段：

　　禁止ping的icmp回应封包发出；
　　打patch将漏洞补上；
　　在管理工具 ——服务 中 ，将“允许远程编辑注册表”功能禁用；

　　网络天空病毒（邮件类病毒）：广发病毒邮件——用户收到邮件后打开运行——利用漏洞/欺骗执行邮件中的带毒程序 ——修改系统注册表设置——复制自身到系统目录——搜索本地htm，eml等文件中的邮件地址——利用自带smtp将病毒以多种标题连带欺骗文字向各个地址发出——某些病毒会ddos攻击某些站点；

　　这类病毒的预防手段：

　　不阅读来历不明和没理由收到的信件；
　　　　使用web方式在线阅读、管理信件；
　　　　打上最新的浏览器、outlook补丁；
　　　　禁止信件以html格式显示信件；
　　　　平时不用administrator身份登陆，而以普通用户登录，让病毒修改注册表和系统文件的权限受到抑止；
　　　　使用带邮件即时监控的杀毒程序；

　　新欢乐时光病毒（脚本类病毒）：outlook传播——浏览染毒邮件时利用outlook漏洞运行vb代码——各个目录下生成大量folder.htt和desktop.ini文件，由于资源浏览器的脚本检查漏洞，浏览该目录即感染——搜索网络内其他机器共享——对有可写权限的（新变种能自动枚举尝试123，111，用户名123这样的简单密码）其他机器共享目录上载folder.htt和desktip.ini文件——其他机器使用资源浏览器浏览该文件夹时被感染

　　 此类病毒的预防手段：

　　　　最好不使用网络邻居，必要使用的时候请只开放读取权限；
　　　　　　打上outlook补丁和浏览器补丁；
　　　　　　禁止采用html格式查看信件；
　　　　　　采用带即时文件监控的杀毒程序：
　　　　采用第三方资源浏览器浏览网络邻居资源，如total command等等；

　　由此可见，目前的主流病毒/攻击，都是将上面介绍的病毒方式/攻击方式进行复核后，以多种方式传播，力争在最短时间内感染数量尽量多的机器。行文到这里，基本上主要的攻击方式都介绍完了，在下面，我例出一张表，各位可以大致地看看应对方法。

　　病毒/攻击防御 ——对应主动攻击：

　　<扫描存活主机>（ 防御方法：禁止icmp反馈，用防火墙实现）；

　　<扫描端口、漏洞> （防御方法：1,禁用不必要的服务；2.禁止一些不对外的敏感端口; 3打系统补丁）

　　<攻击> （防御方法：1.用户密码设置得复杂一些；有特定服务的一定留意该服务的权限设置和打上针对该服务的最新补丁） www.quxue6.com

　　病毒/攻击防御2——对应欺骗攻击：

　　<发起欺骗> （防御方法：检查对方可信任度，这里的对方，不光是指操作计算机的人，而是指对方的机器是否可靠——如果对方是可信任的人，给你发了个url，你可以询问是不是对方发给你，因为病毒是不会自动应答你的询问的，由此你可以判断出是对方给你发的，还是对方机器已经中毒后自动发的）
　　　　　　　　　
　　<访问潜在欺骗源> （防御方法：每一个web页，每一封信件——不管是不是来自朋友，也不管是不是门户站点，都有可能存在木马或脚本病毒，最好的办法就是禁用activex，必要的时候才打开，及时升级浏览器/邮件工具补丁，防止浏览器漏洞被利用；）

　　病毒不断演化，随着编程技术的进步，目前的病毒具备越来越多的欺骗特征——可以说目前病毒传播的2条主要途径就是漏洞和欺骗；对待漏洞没说的，第一时间打上补丁是最好的解决办法，对待欺骗则就要依靠用户主观的判断了。虽然很难量化标准，但天缘还是尽力把防止病毒/攻击的办法大致例举一下，下面的有些条件比较苟苛，但还是希望能尽力做到——虽然麻烦一点，但总比中毒/攻击后受到损失强。

上一页  [1] [2] [3] [4] [5] [6]  下一页