Virus 版 (精华区)
发信人: seak (江海客), 信区: Virus
标 题: 第四章、病毒与木马的防范
发信站: 紫 丁 香 (Fri Nov 12 20:18:21 1999) WWW-POST
第四章、病毒与木马的防范
文/江海客(seak@163.net)
___________________________________________________________________
声明:
1、您所看到的是《个人网络用户的安全与维护指南》一文的文本稿,本文
已经在《计算机应用文摘》增刊《网络之门》发表,传统媒体如欲转载请同
该杂志社联系,获得许可方可转载。
2、本文作者seak(哈工大紫丁香站ID)许可本文可转载于任何非商业BBS、
新闻组和WEB站点。但严禁改动、删节或添加或局部抄袭、改头换面用于任
何正式出版物。转载必须完整,包括本声明和原文紫丁香BBS信头 (即:发
信人、标题、发信站三行)。
3、由于《计算机应用文摘》编辑同志对本文的修改、和作者对文章的再次
扩充,等因素,你看到的电子版本部分章节与刊发文章并不一致。同时,
作者本人也保留对文章再次扩充修改和网上重新发布的权利。
4、本文是一篇科普文章,是作者考虑到一般网络用户的接受能力而写的,
对本领域的专家本文并无价值。作者力图能给广大用户做准确的描述,但由
于作者时间和水平的限制,作者不能保证本文的涉及的观点、处理方法等绝
对正确。欢迎大家就各种问题与我探讨,seak@163.net。
____________________________________________________________________
一、病毒
由于网络是一个开放的环境,因此网上用户受到恶意的程序的威
胁要比普通用户大一些,其中主要的是病毒和特络绎木马程序。当然
对中国的用户来说,主要的威胁似乎仍然来自光盘或者磁盘这样的传
统介质,可以作为以上观点重要佐证的就是:以光盘为主要传播手段
的CIH病毒给国内造成了巨大损失,而以邮件附件传播的melissa病
毒则在国内没有掀起什么波澜。
我一向认为,对普通用户来说,除了了解病毒的一些知识,破除
病毒的神秘感,增强保护意识之外,更重要的是要选择一套可靠的杀
毒软件,但关于杀毒软件的优劣是一个非常敏感的问题。我认为,一
个合格95/98平台的杀毒软件至少实现以下特点:
1、 软件结构合理,采用反病毒引擎/反病毒库分离的结构,具有
成熟的虚拟机和启发式扫描引擎的机制。
2、 合理嵌入95/98内核,兼容性好,占用系统资源低,有在线
防御能力,能监控用户的多项操作。
3、 对病毒处理安全可靠,没有造成文件损坏、数据和分区丢失
的安全隐患。
4、 出品公司有覆盖面广泛的反病毒网络,或者与其他反病毒公
司形成有效的标本共享机制,对新病毒反应时间短,可处理病
毒总数至少在15000以上。
5、 能查解各种常见压缩包,能一定程度上抵御恶意active X和
JAVA小程序。
6、 完善的数据保护机制,可以备份重要信息到应急盘。
7、 有完整的帮助机制和详细的病毒库资料,提示信息准确。
8、 有完善的升级机制,支持自动网上升级、下载升级等方式。
… …等等,难以一一列举。
这些都是先进反病毒产品的有效特征,国外这样产品的代表是
AVP、NAV、MCAFEE SCAN等等,国内的AV98和金辰与美国CA公司联合
推出的KILL98、趋势与乐亿阳发布的PC-CILLIN也是非常不错的。另
外,金山公司的金山毒霸目前还没有正式上市,如果这个程序能进一
步提高运行效率和稳定性,也将是一个不错的产品。
WIN9X用户对于病毒防御必须有一些观念的变革,
第一是为了杀毒而杀毒:我再次重申一个观点,杀毒的目的是保
证用户数据安全和正常使用,如果某个杀毒软件解毒后的情况比杀毒
前更坏,造成文件损坏、分区丢失、系统无法正常启动等情况,这决
不是病毒造成的,而是杀毒软件的质量造成的。不能保证用户数据安
全的的杀毒软件是没有意义的。如果你的杀毒软件是可以信赖的,一
般的来说,你也无须想到从新格式化硬盘。顺便说一下,我特别反对
低格硬盘,杀除任何病毒都无须低格,低格是损害硬盘寿命的,这两
点都已经是技术定论,。如果你认为系统必须重灌的话,用干净引导
盘启动,用fdisk/mbr可以清除主引导扇的病毒,然后重新format就
可以保证没有病毒的存在。
第二个必须更新的观念是反病毒就个从DOS软盘启动,运行一个
for DOS的程序;不在DOS下启动病毒杀不干净等等。我认为,一
个好的具备实时检测能力的软件加上用户的按时升级足够满足9X用
户的需要,一般的来说用户根本没有必要从软盘启动杀毒,9X下杀
毒软件可以让你高枕无忧。开机对引导区、自动批处理和注册表的检
查,在9X环境下的内存解毒、引导区病毒的清除、系统独占访问的
染毒文件的解毒,比较出色的for 9X的反病毒产品都有一些自己的
处理思路,不是非要用DOS下的杀毒软件不可。重要的是,一个好
的杀毒软件的在线检查机制,基本可以保证你不被病毒感染。9X环
境下病毒能否杀干净的问题也就无从谈起。因此,我特别建议你,要
充分利用你手中反病毒产品的在线功能,一般的来说,你只需要他在
后台运行就可以了,你需要做的是定期升级你的程序就可以了,你可
能并没有必要经常扫描你的驱动器,比如你要从光盘安装某软件,你
先扫描再安装和你在在线监控下安装并安全系数实际并没有区别。特
别注意,不要关闭你的反病毒产品的在线检查功能,如果你觉得开放
这个功能占用系统负荷比较严重,甚至死机频频,那就说明你选择的
这种杀毒软件设计有缺陷,技术不成熟,你应当更换他。同时我建议
你把,CMOS SETUP的启动顺序设定为C ONLY,禁止机器A盘启动
能有效的防御引导型病毒。
关于反病毒方面的误区实在很多,这里难以说的很清楚,我今后
会进一步撰文继续澄清。
二、特络绎木马
除了病毒之外,网上用户特别需要小心的就是特络绎木马,大多
数木马程序,都是一个执行文件,当被用户执行后,会带来一些恶性
的后果。比如我收到的一个求救MAIL是这样的,某个网友在3月5
日收到一个名为leifeng.exe的程序(真实卑劣之极),他就运行了,
结果死机,而后软盘硬盘都不能启动了,其实,这个木马程序就是利
用高版本DOS启动中要读取分区信息的特性,制造分区表循环,使
系统在启动过程中死机。除了这种直接破坏性的木马程序外,有很多
木马程序是隐藏在你机器中,使你的机器可以被他人远程控制。
这种远程控制程序可以被称为后门工具,它一般都采用
SERVER/CLIENT的模式,SERVER端在你机器上运行,因此大家不
必害怕,一般的说,如果你没有开放可以写的共享目录,它不会自己
跑到你的机器上,同时如果不运行它的SERVER端,对方也无法控
制你。即使你的机器已经在它控制之下,但是你还是能发现一些蛛丝
马迹,首先,既然要控制你的机器,一般要能够伴随开机运行。主要
实现的方式有在WIN.INI的load和run选项中加载,在启动组中加
载,和在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion项下五个RUN开头的项目中加载,都可以
起到开机运行的作用。正常情况下,在95/98系统的win.ini的load
选项不应该有任何东西,而注册表上述选项下可能有一些需要开机运
行的程序和系统一些进程,比如intenent、systray、taskmon、以及
用户安全的在线查毒工具、系统在线维护和优化工具等,也会在此处。
当然,用自身替代这些程序运行,自己加载完毕后再把正常程序运行,
或者干脆如病毒般的附身在某个系统的驱动或者应用程序上,更为隐
蔽,后门工具的编制者们决不会想不到,但很少有人采用,我认为这
其实更出于某种黑客式的道德因素。Autoexe.bat下的东东当然也会
随开机运行,但目前还没有关于加载到atuoexec.bat中的后门工具的
报道,因为先于9X系统的驱动和GUI进入系统,毕竟做起来不舒服。
你可以对这几处加以检查,win.ini可以用任何编辑器查看,检查
注册表可以在运行中执行regedit,查看上面提到的位置,如果你对
此不是很了解,对98系统你可以通过MSCONFIG命令加以检查,这
个工具显示你的常规信息和config.sys、atuoexec.bat、win.ini、
system.ini和开机启动选项。其次,既然也是一个程序,就要作为一
个进程存在,这意味着你可以用进程查看工具发现它的存在,有的你
甚至用ctrl+alt+del激活的窗口中就能发现。最后,既然是要与你进
行通讯就一定要有一定的通讯方式,通讯时要开放一些port。你可以
用netstat -an命令进行观察,这个命令可以查看你当前所有的网络连
接和开放端口,包括WWW、FTP、telnet等等,当然也可能发现后
门工具的存在。因为一般的说,一个后门工具要通过TCP或者UDP
的方式借助一个或多个PORT同clent端连接,因此,如果通讯正在
进行,你一般还可以在Foreign Address处看到入侵者的IP。当然,
这项操作最好是你断开其他网络连接后,因为从一堆连接中猜测哪个
可能是可疑的也不见得很方便,最好是你对一些常见黑客工具的
PORT有所警惕,比如netbus,它的port是12345,如果你用netstat -an
发现其中包含如下信息。
C:\>netstat -an
Active Connections
Proto Local Address Foreign Address State
… … …
TCP 0.0.0.0:12345 0.0.0.0:0 LISTENING
TCP 0.0.0.0:12346 0.0.0.0:0 LISTENING
… … …
则说明你的机器已经运行了netbus的server端,但目前没有人遥
控你的机器,如果netbus连接对应的Foreign Address处有一个地址,
那么这个IP就是控制你的人的地址。
其实我倾向于普通用户借助工具,来检查处理感染后门程序,但
就我用十一种比较常见的木马程序对常见杀毒软件进行测试,发现没
有一种可以全部发现,他们的表现甚至不如共享的专门清除后门工具
的共享软件,因此还有必要介绍几种共享、清除实例和一些常见的后
门工具,加强用户的自救意识。
LOCKDOWN:LOCKDOWN是一个个人防火墙性质的软件,他会
以在线方式,监控你的网络连接,记录访问和入侵者的IP、主机名
等信息,也可以清除BO、NETBUS等木马程序。
CLEANER:这是一个专门用来清除黑客程序的工具,据说能清除
上千种木马,只能静态扫描。
SUDO99:搜毒99是由上海程序员陶辰制作的一个很出色的共享
杀毒软件,特别一提的是其在清除BO时,会全面告知你Boserver端
的设定信息,如端口、密码等等。
下面举一个发现清除特络绎木马的例子,为了给大家一个新鲜
感,我举一个不太常见的木马happypig,它的标本是的站长小鲤提
供给本人的。假定,我误运行了happypig.exe,此时屏幕出现了一只
小猪,这时怎么办,是不是欣赏一下。我给网友最根本的忠告是,对
网上的外来程序(也包括.doc、.exl),即使通过了你反病毒软件的检
查也不要运行。如果一旦误运行了,要果断处理,比如发现运行后硬
盘狂转,有可能是该程序开始破坏你的硬盘,你要马上关机,可能还
有的补救。如果运行后毫无反映、或程序自身消失、或屏幕上出现一
些好看的信息,这可能是某个黑客工具,你需要做的应该是马上断线,
进行检查。好了,我看到屏幕的小猪,马上断线。用NETSTART命
令检查一下,发现开放着一个44445端口,检查autoexec.bat和win.ini
都没发现什么,注册表呢?也没看见什么呀。仔细看看
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\下,哦? Run下有个systray, RunServices下怎么还有一个,原来
RunServices下的那个是happypig添加的主键,对应的程序名称是
5ystray.exe,真狡猾,因为从注册表的字体看起来,5和S非常相象。
好了,把这个主键删除,此时系统目录下的5ystray.exe因被系统占
用,删除不掉,须重新启动,这是又发生问题,老说因进程无法终止
不能关机,按crtl+alt+del一下,果然有个进程叫5ystray,把他结束
任务就可以了。重启动后,把对应程序删除就可以了。
以上举了一个分析清除后门工具的例子,还要再强调几点,第一、
就是不要过分敏感、疑神疑鬼,比如一般情况下,比如只要你装了
microsoft网络的文件和打印机共享,你的139、138、137等端口就
是开放的,并不是黑客工具开的。你的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersio
n\RUNXX中,有很多的正常工具和进程,也不要乱改乱删。第二、
就是要谨慎小心。不能过分敏感当然也不能麻木,如果机器表现异常,
是否中了后门工具的标,也是考虑因素之一。再次提醒的是千万不要
运行一些来历不明的程序,即使来自熟人,比如你的朋友的机器感染
了HAPPY99,他向你发送邮件时,HAPPY99就会自己加在附件当中,
而你的朋友一无所知。无论病毒还是后门,大家切记一个原则是,与
其感染了再杀,不如不感染,特别是你的机器一旦被他人侵入过,他
就可能埋下一些新后门,使你防不胜防。
--
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
)|) ● |江海客 seak@163.net
\-----/ |之天涯看台 http://seak.163.net(163)
ぺべぺべぺべぺ http://personal.yn.cninfo.net/seak(169)
问人间沧桑几许;看书生胆气如何
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
※ 来源:·紫 丁 香 bbs.hit.edu.cn·[FROM: 202.97.232.107]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:4.664毫秒