白话网络安全

白话网络安全

翟立东　编著

人民邮电出版社
北京

图书在版编目（CIP）数据

白话网络安全/翟立东编著．-- 北京：人民邮电出版社，2021.10

ISBN 978-7-115-56715-4

Ⅰ．①白…　Ⅱ．①翟…　Ⅲ．①计算机网络—网络安全　Ⅳ．①TP393.08

中国版本图书馆CIP数据核字（2021）第118965号

编　　著　翟立东

责任编辑　赵祥妮

责任印制　陈犇

人民邮电出版社出版发行　北京市丰台区成寿寺路11号

邮编　100164　电子邮件　315@ptpress.com.cn

网址　https://www.ptpress.com.cn

涿州市京南印刷厂印刷

开本：880×1230　1/32

印张：9.75

字数：208千字

2021年10月第1版

2021年10月河北第1次印刷

读者服务热线：（010）81055410　印装质量热线：（010）81055316

反盗版热线：（010）81055315

广告经营许可证：京东市监广登字20170147号

内容提要

本书汇集了“大东话安全”团队多年从事网络安全科普活动的经验和成果。全书采用轻松活泼的对话体形式，以技术专家大东和新手小白的对话为载体，用32个故事向读者介绍网络安全知识。全书共分为5篇：“病毒初现”篇介绍了计算机病毒的原理，并以典型病毒为例进行深入分析；“魔道相长”篇介绍了网络世界中典型的攻击手段；“正者无敌”篇介绍了最新的反击技术和手段；“新生安全”篇主要介绍脱离伴生安全理念的新生安全的典型代表，包括金融安全、大数据安全、区块链安全等；“隐逸江湖”篇介绍了与大众生活息息相关的黑色产业链、黑客大会等内容。

本书适合所有对网络安全感兴趣的读者阅读，特别适合在网络空间安全、计算机技术等领域有一定基础的大学生们，通过阅读此书这些读者可以了解网络安全的学科体系。本书同样可以帮助非专业的读者朋友们掌握一定的网络安全知识，提高网络安全防范意识。相信本书可以带领读者走进网络安全的世界。

序言

现代教育理念相比于传统教育模式，俨然变化巨大。各种新技术手段、新展示方式以及随着技术变革而出现的课程设计新思路，让教育行业朝气蓬勃。作为人才培养的引擎，教育的推陈出新无疑是适配整个行业生态日就月将的重要源动力和不竭内驱力。一名合格的教育工作者，既不能哗众取宠般盲目追“新”，也不能故步自封、拒绝创新。

教育就是一棵树摇动另一棵树，一朵云推动另一朵云，一个灵魂唤醒另一个灵魂。因而真正的创新教育，应如“梨花院落溶溶月”般润物化雨，又似“灭烛怜光满，披衣觉露滋”般含蓄蕴藉。在某种意义上，“大东话安全”团队的新型科普教育理念与网络空间安全（一般简称网络安全）通识教育的交融以及对它的重塑，可以使之焕发出“清于老凤声”的生机与活力。

百年大计，教育先行。网络安全的科普教育工作自然也是网络安全人才强国战略的重要一环。“大东话安全”系列文章正是网络安全新型科普教育的先行者。

在大东和小白两个人物的生动演绎下，历经三年有余的创作，“大东话安全”团队已经在中国科学院（简称中科院）官方微信公众号中科院之声、中科院计算技术研究所官方微信公众号、中国网络空间安全协会官方微信公众号等各大科技类媒体平台连载网络安全科普文章百余篇，并走进了中国科学院大学、北京小学、中关村中学、义乌工商职业技术学院等院校的网络安全通识课的课堂，积累了丰富的教学经验。三年的积淀，见证了团队夙兴夜寐、披荆斩棘的躬耕笃行，也让“大东话安全”团队更加步履坚实。

怀着对网络安全科普教育事业的热爱，以及对我国通识教育的殷切憧憬，“大东话安全”团队凝结集体智慧编写了本书。本书不仅融合了“大东话安全”团队三年的教学经验积累、网络安全入门级的学习方法，更保留了“大东话安全”系列科普文章风趣诙谐、老少咸宜的写作风格。这并不是一本艰深晦涩的教科书，而是真正帮你入门、助你成长的良师益友。凡开卷皆有益，翻翻吧，你不会失望的。

王元卓
2021年7月

前言

1　网络安全科普的重要性

习近平总书记指出：“没有网络安全就没有国家安全。”层出不穷的网络安全事件说明，网络安全不光是科学家和工程师要关心的事，更关乎广大人民群众的切身利益，如果处理不当，会影响社会经济稳定，乃至影响国家安全。

网络空间安全的重要性不言而喻。这些年发生的网络安全事件，绝大部分是由于人们的网络空间安全意识淡漠引发的：在国家层面，有震网病毒事件；在企业和个人层面，有层出不穷的钓鱼网站、恶意邮件、勒索病毒等。网络诈骗事件在辨识能力不足、认知水平不高的青少年、老年人群体中也屡屡发生。

这些现象表明，网络安全的科普，关乎着人民的生命财产安全和社会稳定，是一个亟需发展的学科领域。伴随着网络安全学科的发展，网络安全的科普工作也一直在进行。“大东话安全”团队一直是网络安全科普的践行者。“大东话安全”团队将三年多来的科普推广成果的经验，以及团队在新型科普道路上的人才培养、国际合作、科普价值输送、培训和评价设计等方向的探索整理为网络安全科普素材，旨在为整个网络安全科普行业的发展提供借鉴，为行业生态的良性发展尽绵薄之力。

2　本书的特点

网络安全科普一直伴随着网络安全学科的发展而发展，特别是2018年教育部将“网络空间安全”（一般简称网络安全）增设为一级学科之后，相关的科普工作方兴未艾，成为科普领域一颗冉冉升起的明星。然而，传统的网络安全科普工作普遍存在着素材时效性较差、内容艰深、系统思维缺乏、展示形式单一等问题。传统网络安全科普图书虽然也注重以典型案例为行文线索，但案例缺乏时效性；信息安全和网络安全学科本身的难度容易让爱好者望而生畏；网络安全科普工作中常会出现一些空泛而晦涩的概念性论述，且与真正的网络安全生态系统现状有很大的差距，读者纵然遍览群书，也是两脚书橱、纸上谈兵；展示形式遵循传统写法，篇幅冗长，不符合当前年轻人的阅读习惯。

当今新形态教材的概念席卷了大学校园。但是，所谓的“新”，绝不应该是流于浅表地强调多媒体手段，除了录制微课视频、采取多媒体的辅助展示方法等“新形态”外，更应该真正站在学生的立场上，思考学生真正需要的表现形式，充分尊重大学生的知识结构和学习特点。如果能够将当代大学生的学习特点与需要的表现形式恰到好处地融合起来，那将是千万大学生的福祉，更是网络安全科普行业的幸事。

那么，哪种表现形式才是真正适合大学生或大众读者消化、掌握知识的载体呢？“大东话安全”团队经过三年的笃实探索和调研，发现这个问题可以从一些传播力、影响力很强的作品中找到答案。

若论中国的教育著作，首推《论语》。这部语录体著作历经两千多年的沉淀，仍然广为传颂，焕发着与时俱进的生机，被很多学校和教育机构推崇。究其原因，主要是其语录体和对话文体的表现形式，很容易清晰地再现当年孔子与学生的教学场景。在后世的教育过程中，教师们可以较为从容地教授书中的语录体知识，并结合切身经历发挥和演绎；同时，学生也更容易在脑海中还原和联想。这样的学习方法，对教师和学生来说都是非常容易接受的。

作品的生命力在于传播的持久度和广泛度，语录体的表现形式与现代媒体技术的结合，无疑缩短了现代科普作品的迭代周期。于是乎，各种人们耳熟能详的科普书籍和科普品牌纷至沓来，这些活灵活现的作品很多都以语录体为主要形式，一部分融入了漫画等更加新颖、诙谐的表现方式，与读者加强了感情关联，拉近了距离。

无论是传世经典《论语》，还是其他对话体作品都给我们以启发：真正的学习，需要场景的还原；而对话体恰似场景的“罐头”，不需要添加防腐剂，也能够有效保鲜，当读者开启的一刹那，就能够享受到知识的饕餮盛宴。

“大东话安全”团队也正是受此启发，开创了对话体网络安全新型科普的先例。以大东和小白两个性格迥异、个性鲜明的角色为线索，演绎出一系列网络安全知识的学习对白。大东是技术专家，有一点点“迂阔”，总爱讲一些技术性的难题；而小白是个技术新手，总能够提出读者们非常关注的巧妙问题，把大东“好为人师”的潜力激发出来，将无数艰深晦涩的术语和概念讲解得透彻、通俗易懂。

作者及其团队在创作过程中，针对一个技术点，常常会提出10余个问题，并且会在大学校园中以问卷调查形式征询在校大学生最关注的问题。这些筛选后的问题正是本书的素材来源之一，以确保小白提出的问题具有代表性和典型性。

3　本书的阅读建议和适用人群

肯定有读者会问与本书最适配的学习方法是什么。这个当然因人而异，笔者只是站在教师的教学视角提供一个建议：首先通读全书，然后以小白提出的问题为脉络，仔细体会大东的回答。限于篇幅，书中的每篇文章不能面面俱到，只作窥豹之管，读者若想更深层次地了解网络安全的乾坤，可以根据书中提供的线索继续在图书馆或网络中搜寻。科普作品的意义在于帮助读者建立兴趣，跨过那个看似高不可攀的知识门槛。兴趣永远是最好的老师，跨过那个门槛，你会发现你可以获得更多。

另一个读者普遍关注的问题是，究竟哪些人适合根据本书展开学习。首先是在校大学生（包括研究生），对于网络安全或信息安全等专业的同学，在上大学之前如果未曾接触过相关知识，可以以本书为接口进入网络安全世界；对于计算机、网络类相关专业的学生，通过本书了解与安全相关的专业知识，势必也会对你本专业的学习提升大有裨益；对于非计算机、网络类专业的学生，本书可以作为你零基础进阶的平台，带你徜徉网络安全的奇妙江湖，如果有志于跨专业深造，本书更会有幸成为你了解网络安全学科体系的第一本书。

当然，本书的读者绝对不局限于大学生读者，因为科普的宗旨在于惠及大众，并不对学历设限。“大东话安全”团队已在北京小学、中关村中学、中国科学院大学、义乌工商职业技术学院等院校开设过网络安全通识类课程，具有丰富的跨学龄段教育经验，本书也具有面向全年龄段科普的特点。中小学生既可以独立阅读本书，也可以在父母的引导下阅读，这样可以从小培养网络安全素养。

如果你是社会人士，更应该翻开本书。在当今时代，网络已经成为基础设施，很多经济行为已经转移到互联网上，因此，所有人都需要懂一些网络安全知识——就好比在社会上生存，总要了解一些防盗、防火知识一样。

“不是道人来引笑，周情孔思正追寻。”相信本书能够成为一把钥匙，助你打开网络安全世界的大门。

4　本书内容介绍

本书的正文分为5篇，分别是“病毒初现”“魔道相长”“正者无敌”“新生安全”“隐逸江湖”，代表了5块重点介绍的知识。下面分篇进行介绍。

• 第1篇　病毒初现：主要介绍计算机病毒的原理，并以几种典型的病毒为例深入分析。

• 第2篇　魔道相长：主要介绍除计算机病毒以外的一些典型攻击手段，如DDoS攻击、短信嗅探、逻辑炸弹等。

• 第3篇　正者无敌：主要介绍与计算机病毒的搏斗，如杀毒、CTF比赛等。

• 第4篇　新生安全：主要介绍脱离伴生安全理念的新生安全的典型代表，包括金融安全、大数据安全、区块链安全等。

• 第5篇　隐逸江湖：主要介绍一些与大众生活息息相关的知识，包括黑色产业链、黑客大会等。

5　致谢

在此感谢中国科学院信息工程研究所（简称中科院信工所）、中国科学院计算技术研究所各位专家、同仁的指导，感谢中科院之声、中国网络空间安全协会、中国计算机学会等官方微信公众平台媒体的传播。感谢王元卓、吴晶、陈蕴哲、俞能海、黄鹏等朋友的校阅，感谢中科院信工所各位老师和同事的悉心关怀，感谢担任本书执行主编的张旅阳，感谢郑昕、谭智文、杜雨鑫、洪全、宋世文、王晨、刘茹悦、赵洋、陈曦、都丽丽等的支持，感谢李俊、王鹏等老师的校对，感谢“大东话安全”团队其他师生的支持，感谢各位专家朋友，感谢人民邮电出版社的各位编辑，感谢陪伴“大东话安全”一路走来的产业界朋友们，感谢自媒体专栏读者们的帮助。因为你们，才有《白话网络安全》的问世。读者在阅读过程中产生的灵感或者遇到的问题，都可以向我们反馈。欢迎搜索并关注“大东话安全”微信公众号，随时与我们交流互动。

翟立东
“大东话安全”团队
2021年7月

第1篇 病毒初现

计算机病毒的骤然出世，掀起了网络空间安全（一般简称网络安全）江湖的惊涛骇浪。说起病毒，它并不是最早出现的恶意软件，但其传播速度快、自我复制能力强，成为影响最恶劣的恶意软件之一，所以也被戏称为“江湖第一魔道”。千年虫、Flame蠕虫、MSN性感鸡、极虎，凡此种种，各自演绎了一段段精彩的江湖传说，令网络安全从业者不得不时时警醒。通过病毒这一部分内容的学习，读者朋友们可以了解恶意软件的基本概念，为后续的“魔道相长”篇奠定学习基础。

01 江湖第一魔道

◎病毒

知己知彼，百战不殆。

NO.1 小白剧场

小白　东哥，现在的计算机病毒就像有了智慧一样，越来越难对付，难道它们也有人工智能了吗？

大东　哈哈，为了生存，小小的病毒也要不断学习升级啊！那我考考你，计算机病毒常分为哪几种啊？

小白　木马、蠕虫之类的？东哥，你说说吧，我不太确定。

大东　计算机病毒常分为文件病毒、引导型病毒、多裂变病毒、隐蔽病毒、异形病毒等。

小白　哦哦，确实是，嘿嘿！

大东　那你知道它们都有什么特点吗？

小白　容易传播，不容易被发现？

大东　你说得很对，但不是很全面，具体特点包括繁殖性、破坏性、传染性、潜伏性、隐蔽性、可触发性。

小白　原来是这样，不愧是我东哥！

大东　哈哈，过奖！

NO.2 话说事件

小白　说到计算机病毒，东哥给我讲几个病毒的例子呗！

大东　20世纪80年代有一种凶恶的计算机病毒。

小白　是“大麻病毒”吗？

大东　不错啊，小白，知道的也不少啊！

小白　那可不，师傅教得好！东哥，那你给我讲一讲这个“大麻病毒”吧！

大东　“大麻病毒”又叫“新西兰病毒”，是一种磁盘操作系统（Disk Operating System，DOS）引导型病毒。这种病毒能感染磁盘的引导扇区，所以叫引导型病毒。

小白　这种病毒有什么特点呢？

大东　这种病毒程序短小精悍，只几百字节的程序，却可以完成驻留内存、截取中断向量、区分软硬盘等动作，并以此来感染不同的引导扇区。

小白　这么强大！那它攻击时有什么现象呢？

大东　它攻击的时候，计算机屏幕上会显示一行字“Your PC is now Stoned.Legalize Marijuana.”大意为你的计算机已经感染了病毒。

小白　那它开始传播之后我们该如何防御呢？

大东　20世纪80年代末，计算机病毒传入我国，我国公安部立即发布了第一款杀毒软件产品——“KILL”。

小白　这个产品在当时有什么样的意义呢？

大东　“KILL”成为我国反病毒软件行业的先驱者、创造者，产品立足于本地化病毒的查杀，为我国软件产品保驾护航。

小白　我们国家好棒啊！东哥，你再给我讲一讲我们国家与病毒的斗争历程吧！

大东　好的！我就跟你说一说计算机病毒的那些事儿吧。

NO.3 大话始末

大东　病毒随着计算机的发展也在自我升级。自从第一个计算机病毒爆发以来，病毒的种类越来越多，破坏力也越来越强。

小白　那病毒最开始是什么样子的呢？

大东　20世纪80年代初，计算机病毒只存在于实验室中。尽管也有一些病毒传播了出去，但绝大多数都被研究人员严格地控制在了实验室中。但之后病毒便渐渐失控。

小白　第一代病毒是什么时候产生的呢？

大东　病毒的萌芽期和滋生期是在1986年至1989年之间。

小白　这一时期的病毒的主要特点是什么呢？

大东　由于当时应用软件少，而且大多是单机运行环境，因此病毒没有大量流行，种类也很有限，清除病毒相对比较容易。

小白　初期病毒的攻击目标是什么呢？

大东　计算机病毒在这一时期的攻击目标很单纯，主要是感染磁盘引导扇区，或者是感染可执行文件，且感染特征比较明显。

小白　哈哈，好稚嫩的“初代小恶魔”！那1989年之后，病毒是不是就变得难对付了？

大东　当然啦！计算机在发展，病毒也在升级。病毒编制者千方百计地躲避反病毒产品的分析、检测和解毒，从而出现了第二代计算机病毒。第二代计算机病毒称为混合型病毒（又称为“超级病毒”）。

小白　那时候计算机还不是很普及，人们的网络安全意识还不是很强，是不是病毒很容易就得手了？

大东　没错，此阶段的病毒无情肆虐！

小白　那病毒这时的攻击目标是什么呢？

大东　这时病毒的攻击目标趋于混合型，一种病毒既可感染磁盘引导扇区，又可感染可执行文件，并采取更为隐蔽的方法驻留内存和感染目标。它们往往拥有自我保护措施，增加了检测、杀毒的难度。

小白　那反病毒软件有没有什么发展呢？

大东　由于病毒的发展，产生了第一代反病毒引擎——检验法。该方法只能判断系统是否被病毒感染，并不具备病毒清除能力。

小白　单纯检测出来也没用啊，得把它们干掉啊！

大东　先不要急嘛，看你嫉恶如仇的样子，看来平时被病毒欺负得不少啊！

小白　哈哈，东哥，你继续说！

大东　虽然只能判定系统是否感染病毒，不过检验法衍生了真正的反病毒技术——特征码技术。

小白　它具体是什么，怎么反病毒的呢？

大东　它属于第二代反病毒引擎，是反病毒历史上最耀眼的明星。反病毒引擎不但打开了清毒的大门，也为以后反病毒技术的发展打下了坚实的基础。

小白　有没有第二种杀毒技术呢？

大东　第二种杀毒技术叫广谱特征码技术。从本质上说，广谱特征码是一类病毒程序中通用的特征字符串。

小白　那也就是说，例如有10种病毒都使用了一段相同的破坏硬盘的程序，那把公共部分提取出来，就能达到用一个特征码查10个病毒的功效了？

大东　没错，很有悟性嘛！

小白　嘿嘿，过奖了，东哥！那这种技术现在还在用吗？

大东　这种技术方便是方便，但也使误报率大大增加。所以说，对于新病毒的查杀，广谱特征码技术目前已经不是那么有效了。有时候，它还会把正规的程序误当作病毒报给用户。

小白　哦哦，有点“宁可错杀一千，不可放过一个”的意味呢！看来这个武器还是不好用啊！那东哥，给我讲讲变异病毒是怎么回事吧！

大东　此类病毒称为多态性病毒或自我变形病毒。

小白　什么叫多态性呢?

大东　所谓多态性或自我变形，是指此类病毒在每次感染目标时，进入宿主程序中的病毒程序大部分都是可变的，即在搜集到的同一种病毒的多个样本中，病毒程序的代码绝大多数是不同的，这是此类病毒的重要特点。

小白　那东哥，既然存在变异，提取特征码查杀病毒的这种方法在互联网迅速发展、各种新式病毒层出不穷的时代，是不足以维护网络安全的啊！

大东　没错，但是敌人狡猾，我们也有对策！

小白　什么对策呢？

大东　就是使用“启发式杀毒引擎”！

小白　它有什么特点呢？

大东　它能够通过行为判断、文件结构分析等手段，在较少依赖特征库的情况下查杀未知的木马病毒。

小白　原来如此，这样我们就不怕病毒千变万化了！那在这之后，病毒有没有新发展呢？

大东　随着远程网的兴起、远程访问服务的开通，病毒迅速突破地域限制，首先通过广域网传播至局域网内，再在局域网内传播扩散。

小白　这个时期什么类型的病毒开始猖獗了呢？

大东　这个时期夹杂于电子邮件内的Word宏病毒成为病毒的主流。

小白　这种病毒有什么特点呢？

大东　这一时期的病毒的最大特点是将因特网（Internet）作为其主要传播途径，同时具有传播速度快、隐蔽性强、破坏性大等特点。

小白　网络飞速发展使得病毒的传播速度也加快了！

大东　那是当然！并且病毒的主动性、独立性更强了，变形（变种）速度极快，并向混合型、多样化发展。

NO.4 小白内心说

小白　网络安全日新月异，病毒也在暗自涌动，我们必须要提升反病毒技术！

大东　没错！而且反病毒技术已经成为计算机安全领域的一种新兴的计算机产业（或称反病毒工业）。

小白　还好我们的反病毒技术在进步，每次病毒造成的损失都没给互联网造成致命打击！

大东　小白，那你知道反病毒软件的任务是什么吗？

小白　我还真不知道呢。

大东　反病毒软件的任务是实时监控和扫描磁盘，部分反病毒软件可以通过在系统中添加驱动程序的方式进驻系统，并且可以随着操作系统的启动而启动。大部分的反病毒软件还具有防火墙功能。

小白　但是反病毒软件的实时监控方式也是因软件而异的吧？

大东　确实是，一些反病毒软件可以通过在内存中划分一部分空间的方式，将计算机里流过内存的数据与反病毒软件自身所带的病毒库（包含病毒定义）的特征码进行比较，从而判断其是否为病毒。还有一些反病毒软件则可以在所划分到的内存空间里面，虚拟执行系统或用户提交的程序，并对其行为或结果做出判断。

小白　但是，现在的病毒也是很狡猾的，它们不断变异，不断施展自己的小伎俩！

大东　所以呀，现在的反病毒软件也具有实时升级的功能呢，这种功能最早是由金山毒霸提出的。每一次连接互联网，反病毒软件都自动连接升级服务器来查询升级信息，如果有需要则进行升级。

小白　现在好像还有云查杀技术呢。

大东　没错，更先进的云查杀技术可以实时访问云数据中心进行判断，用户无须频繁升级病毒库即可防御最新病毒。

小白　所以呀，用户不应被厂商大肆宣传的需要每天实时更新病毒库的言论所迷惑。

大东　而且，现在的反病毒软件还具有主动防御功能。这种功能通过动态仿真反病毒专家系统对各种程序动作进行自动监视，自动分析程序动作之间的逻辑关系，综合应用病毒识别规则知识，实现自动判定病毒，达到主动防御的目的。

小白　现在的反病毒软件也很“聪明”呢。

大东　没错，毕竟邪不胜正！病毒不断卷土重来，我们也会一次次将其置于死地！正是因为敌人的存在，我们的技术才能不断进步！

02 史上最复杂的计算机蠕虫病毒

◎Flame蠕虫病毒

参伍以变，错综其数。

NO.1 小白剧场

大东　小白，记不记得我们之前说过的蠕虫病毒？

小白　啥虫，在哪里？

大东　是我没有说清楚吗？这里没有啥虫，现在到了学习时间，我说的是计算机中常见的蠕虫病毒。

小白　这次听清楚啦，当然记得啦，蠕虫病毒通过网络进行复制和传播，网络和电子邮件是它的主要传播途径。我说得没错吧？

大东　小白真是个聪明的孩子，回答得不错。不过随着社会的发展，不仅科技在进步，计算机病毒也在进步。今天要给你讲的就是一个超级进阶版的蠕虫病毒！

小白　超级进阶版？光听这个称呼就觉得好厉害啊！

大东　它的外文全名是Worm.Win32.Flame，简称Flame（火焰）病毒。

小白　东哥，快给我讲讲吧！又可以学习新知识啦。

NO.2 话说事件

大东　Flame病毒于2005年10月9日开始肆虐网络，主要通过计算机下载的档案进行传染，对计算机程序、系统具有严重的破坏力。2007年，Flame病毒蔓延全世界。2014年1月，Flame病毒被Web信息安全团队封杀，而到了2014年7月，它又重生肆虐。

小白　真是曲折的生存史啊！

大东　Flame病毒是一种后门程序和木马病毒，同时又具有蠕虫病毒的特点。只要它的操控者发出指令，它就能自我复制。

小白　它还会自我繁衍？要是我的主机被感染，那不就救不了了？还有它是怎么运行的？

大东　不要慌嘛！什么事情都得慢慢来。监测网络流量、获取截屏画面、记录音频对话、截获键盘输入等都是它的拿手好戏，并且截取的数据也能够传送至操控者手中。

小白　我能不慌吗，这是完全被监控了的意思吗？

大东　我跟你说，Flame病毒是一种高度复杂的恶意程序，常被用作网络武器并且已经攻击了多个国家。所以我们上网时，不要乱点网站，像你这种喜欢点一些不明网站的人最容易使计算机感染。

小白　哼！那Flame病毒有哪些传播途径呢？

大东　物理接触吧，像另一种工业病毒Stuxnet使用的是一个非常著名的LNK漏洞，它在Flame病毒的代码中也被发现了。一些人会将U盘插入受害用户的个人计算机中，在Stuxnet刚被发现的时候，这个LNK漏洞是一个未公布的0day[1]，但是现在被修复了。目前为止，我们还没有发现Flame病毒使用任何 0day漏洞。

小白　可怕的0day和藏着病毒的U盘。

大东　从现有规律看，这种病毒的攻击活动不具有规律性，个人计算机、教育机构、各类民间组织和国家机关都曾被其攻击过。

小白　那是不是可以说，Flame病毒构造复杂，此前从未有病毒能达到其水平，是一种全新的网络间谍装备？

大东　没错！除此之外，Flame病毒一旦完成数据搜集任务，还可自行毁灭，不留踪迹。

小白　Flame病毒的攻击目标有哪些呢？

大东　Flame病毒虽然是在2012年才被发现的，但很多专家认为它可能已经潜伏很久了，包括伊朗、以色列等许多国家的成千上万台计算机都已感染了这种病毒。

小白　看来它是不挑食呀！

大东　但是它开始主要集中攻击中东地区，包括伊朗、以色列、巴勒斯坦、叙利亚等国家，大多数情况下它被用于网络战争。

小白　我终于了解了什么是真正的没有硝烟的战争了。

NO.3 大话始末

大东　Flame病毒被世界电信联盟等官方以及卡巴斯基等国际权威厂商认定为迄今为止最复杂、最危险、最致命的病毒威胁。

小白　Flame病毒这么厉害吗？值得被冠以“最复杂”“最危险”“最致命”等众多称号？

大东　从病毒行为的结果上看，Flame病毒能够躲过100种反病毒软件的检测。感染该病毒的计算机将自动分析自己的网络流量规律，自动录音，并且记录用户密码和键盘敲击规律，将用户浏览网页、通信、账号密码乃至键盘输入等记录，以及其他重要文件，统统打包发送给远程操控病毒的服务器。

小白　太狡诈了！连杀毒软件都抓不住它！

大东　另外，从病毒设计上看，Flame病毒使用了5种不同的加密算法、3种不同的压缩技术和至少5种不同的文件格式，还包括一些其专有的格式，并将它感染的系统信息以高度结构化的格式存储在SQLite等数据库中，病毒文件达到20MB之多。此外，它还使用游戏开发用的Lua脚本语言编写，使得结构更加复杂。

小白　天呐，真的好复杂啊！

大东　由于Flame病毒结构的复杂性和攻击目标具有选择性，反病毒软件一直未能发现它，因此它的潜伏性更加危险。

小白　主要它还能自行毁灭，这个是最可怕的。

大东　Flame病毒一旦感染计算机后，会使用各种系统进程去收集数据，并将数据发送给远程操控病毒的服务器。即便与服务器的联系被切断，蓝牙信号也可以实现攻击者对Flame病毒的近距离控制。

小白　看样子它覆盖了用户计算机的所有出入接口，功能强大啊！

大东　是的。Flame病毒的设计复杂，这使它具备了几个其他病毒没有的新特性，令人称奇。

小白　快给我讲讲。

大东　首先，Flame病毒通过大量的代码实现了隐藏。在恶意程序中使用Lua语言编写代码是非同寻常的，尤其是在如此复杂的一个攻击工具中出现。一般情况下，现代恶意程序包都偏小，并用紧凑的编程语言进行编写，这样能更好地将其隐藏。

小白　哇！真是狡猾，还会将自身隐藏在大量的代码中来躲避查杀。看来只要技术高，这些都不是问题，厉害了啊！

大东　其次，Flame病毒能记录来自计算机内部的话筒音频数据，这也是相当新的手段。当然，其他一些已知的恶意程序也能够记录音频数据，但是Flame病毒的不同之处是它很全面——能够以各种各样的手段盗取数据。

小白　哈哈，这点是值得软件开发者们学习的地方。

大东　最后，Flame病毒另一个令人称奇的特点就是对蓝牙设备的使用。当设备的蓝牙功能开启的时候，Flame病毒可以将配置模块中的相关选项同时开启，当发现有设备靠近被感染的计算机时，Flame病毒就可以收集新设备中的数据。

小白　太可怕了，只要靠近，就会被收集数据，真的是“传染”呢！

大东　有赖于这样的配置，它还能将受感染的计算机作为一个“灯塔”，发现通过蓝牙传输的设备，并为背后的操控者提供编入设备信息中的恶意程序的状态。

小白　吓得我赶紧关闭了蓝牙！这么说来，Flame病毒真的很危险啊！

大东　当然。一旦Flame病毒感染了计算机并激活了相应的组件，它会运用包括键盘、屏幕、麦克风、移动存储设备、网络、Wi-Fi、蓝牙、USB和系统进程在内的所有可能条件去收集数据，盗取用户浏览网页、通信、账号密码乃至键盘输入等记录，甚至利用蓝牙功能窃取与被感染计算机相连的智能手机、平板电脑中的文件发送给远程操控病毒的服务器。

大东　此外，即便Flame病毒与服务器的联系被切断，攻击者依然可通过蓝牙信号对被感染计算机进行近距离控制。从功能角度看，Flame病毒是非常强大的，可以说是偷盗技术全能，覆盖了用户使用计算机的所有输入输出接口。

小白　唉，没活路了。

大东　当然这种全方位获取信息的行为并不是针对每个人的，微软也表示Flame病毒主要用于进行高度复杂且极具针对性的攻击，它会从PDF、电子表格和Word文档等文件中提取1KB样本，压缩和上传样本到命令控制服务器，然后攻击者发出指令抓取他们感兴趣的特定文档。听说在所有文件中Flame病毒对AutoCAD绘图文件比较感兴趣哦。

NO.4 小白内心说

小白　这么强大的Flame病毒，我到底该怎么办呢？

大东　这方面是你专业吗？你瞎操什么心！

小白　大东哥哥不知道我就是一个心急之人吗？

大东　不用担心。杀毒软件给我们提供了“超级火焰”专题的杀毒工具，只需轻轻一点击，Flame病毒就消失得无影无踪啦！

小白　你就吹牛吧！

大东　真的可以，因为Flame病毒利用的是微软漏洞；还有一种方法就是及时安装官方提供的补丁，这一点也是十分重要的。

小白　那怎么样才能查看我的计算机是否已经感染了Flame病毒呢？

大东　你的计算机不会感染的，如果你不信，你可以首先搜索计算机中是否存在～DEB93D.tmp文件，如存在则有可能感染了Flame病毒。然后检查注册表HKLMSYSTEM\_CurrentControlSet\Control\Lsa\Authentication Packages，如发现mssecmgr.ocx或authpack.ocx，则说明计算机已被感染。

小白　只要计算机里没有这些文件是不是就可以确定我的计算机没有被感染呢？

大东　当然不是，还要检查以下目录是否存在，如存在则说明计算机已被感染：

• C:\Program Files\Common Files\microsoft shared\MSSecurityMgr；

• C:\Program Files\Common Files\microsoft shared\MSAudio；

• C:\Program Files\Common Files\microsoft shared\MSAuthCtrl；

• C:\Program Files\Common Files\microsoft shared\MSAPackages；

• C:\Program Files\Common Files\microsoft shared\MSSndMix。

小白　这回总该完事了吧！

大东　你这个急性子，还有最后一步没说呢！如果在%windir%\system32\目录下发现以下任一文件，也能说明计算机可能被感染：mssecmgr.ocx、advnetcfg.ocx、msglu32.ocx、nteps32.ocx、soapr32.ocx、ccalc32.sys、boot32drv.sys。

小白　总算完事了！不过，现在的病毒无孔不入，确实应该一步一步慢慢地检查上述的每一个文件夹和文件是否存在，以防它的入侵。

大东　这么复杂的操作，小白你自己能搞定吗？

小白　也是，要不我还是装个杀毒软件，直接交给专业软件处理吧！

大东　互联网是把双刃剑，用好了可以学习知识，没正确使用的话可能丢失个人信息，给犯罪团伙制造机会。虽然有国家法律和各种网络安全公司帮助我们了解各种病毒和威胁，部署安全防护措施，但是咱们普通用户也一定要学会在网络世界中保护自己。

小白　那是当然的，我早就总结成口诀了！大东东听好！系统补丁要打好，盲目下载切忌搞。安全浏览省烦恼，密码复杂很重要。定期查杀不能少，U盘防护要趁早。

大东　哈哈，真不错！

[1] 0day是在安全厂商知晓并发布相关补丁前就被掌握或者公开的漏洞信息。

03 “性感”的病毒

◎MSN性感鸡病毒

寒霜偏打无根草，事故专找懒惰人。

NO.1 小白剧场

大东　小白，你知道MSN是什么吗？

小白　MSN，全称Microsoft Service Network，是微软公司旗下的门户网站。我说得没错吧？

大东　你说得没错，那你知道MSN骗子事件——性感鸡事件吗？

小白　这是什么？听起来这两个事情没有什么联系呢？

大东　这是2004年的一次网络病毒袭击事件。

小白　大东你快讲讲吧，我都好奇了。

NO.2 话说事件

大东　我先来问问你，什么是蠕虫病毒？

小白　这个我当然知道啦，蠕虫病毒是一段可以自我复制的代码，并且可以通过网络进行传播。最重要的一点就是，通常无须人为干预，蠕虫病毒就能传播。

大东　那么，蠕虫病毒入侵并且控制一台计算机后，会怎样呢？

小白　这个我也知道，蠕虫病毒在入侵计算机并完全控制它之后，就会把这台计算机作为宿主进行扫描并感染其他计算机。当这些新的被蠕虫入侵的计算机被控制之后，蠕虫便可以以被入侵的计算机为宿主继续扫描并感染其他计算机。

大东　说得没错，并且这种行为会一直延续下去。蠕虫病毒可以说十分强大，会按照指数级规模增长扩大自己的入侵范围，从而控制越来越多的计算机，可谓是“爆发式”增长。

小白　大东，让我给你讲讲蠕虫病毒的程序结构吧，这可是我新学习的知识呢。蠕虫病毒的程序结构通常包括3个模块，分别是传播模块、隐藏模块、目的功能模块。不过这几个模块具体有什么作用，我还不太清楚。

大东　知道这么多有关蠕虫病毒的知识已经很不错啦。传播模块会负责蠕虫的传播，我们又可以把传播模块分为扫描模块、攻击模块和复制模块3个子模块。其中，扫描模块负责探测存在漏洞的主机；攻击模块按漏洞攻击步骤自动攻击找到的对象；复制模块通过原主机和新主机交互，将蠕虫程序复制到新主机并启动。

小白　可以自我复制又不依赖宿主程序，这蠕虫病毒还真聪明呀！

大东　除了传播模块，蠕虫病毒还有隐藏模块和目的功能模块。隐藏模块负责在病毒侵入主机后隐藏蠕虫程序，目的功能模块则可以实现对计算机的控制、监视或破坏等。

小白　这几个模块加身，也不难解释蠕虫病毒传播更快更广，可以更好地伪装和隐藏，可以利用漏洞主动攻击，具有较强的独立性啦。

大东　有了这些知识，现在我们来说说MSN性感鸡病毒吧。MSN性感鸡病毒是一种蠕虫病毒，小白你还知道哪些蠕虫病毒呢？

小白　蠕虫病毒有好多种呢，前边我们提到过的熊猫烧香就是蠕虫病毒的一种。

大东　你说得没错，让我们来详细了解一下MSN性感鸡病毒吧。

小白　好啊好啊，洗耳恭听。

大东　性感鸡病毒是一种常见的病毒。当感染该病毒后，系统会自动跳转出一张烧鸡图片，并且释放名为rbot的后门程序，这样被病毒感染的主机就被控制了。除此之外，这个病毒还可以把计算机调至静音模式，让用户听不到计算机的声音，一旦用户登录MSN就会自动给好友发送邮件。

小白　发现自己中了病毒，一定要立即退出来呀，免得打扰好友。

大东　事实表明你想多啦。

小白　嗯？此话怎讲？

大东　如果用户已经中了该病毒，在退出MSN的过程中一定是困难重重的，因为MSN性感鸡病毒给计算机带来的漏洞会导致用户不能退出MSN。给你讲一个小故事，某网友忽然收到同事通过MSN发来的文件，以为是什么搞笑图片，接收完毕后就打开了该文件，结果发现搞笑图片上面是一只“穿”着“三点式”的烧鸡，他正乐着呢，忽然之间计算机就死机了。

小白　计算机死机只能自认倒霉啦。

大东　可是谁知道没多久，该网友杭州的同学打来电话，称他在MSN给好友发送了搞笑图片，导致好友的计算机也死机啦。

小白　这个病毒还真是调皮呢。如果不小心中了该病毒，那可真愁人。

大东　中病毒之后给好友发送的文件中含有一种“病毒炸弹”，它是病毒“MSN爱你”的变种。

小白　病毒不断变异，也是防不胜防呀。大东，MSN病毒有没有什么“辉煌”的历史呀？能不能给我讲讲？

大东　故事多得是，让我慢慢给你讲。金山毒霸曾经截获过一个利用MSN Messenger传播的木马病毒，并将其命名为“MSN小尾巴”（Worm.MSNFunny）。

小白　为什么叫作“MSN小尾巴”呢？

大东　因为这个病毒仿照了“QQ小尾巴”病毒的传播方法，会预先发送一条网站的广告消息，接着再发送一个病毒的副本。用户在不知情的情况下，一旦运行了发送来的病毒副本，就会导致中毒。

小白　任何一种病毒，中毒之后都会对用户产生影响。

大东　所以说我们要怎么做呢，小白？

小白　这还用说吗？当然是要做好防范啦！东哥你不是总说，网络安全最主要的就是预防，不要让计算机有中毒的风险。其次才是杀毒，解决计算机中毒的问题。

大东　你说得没错，在网络安全中，我们最主要的工作就是做好预防，不给病毒入侵的机会。

小白　计算机中病毒会有什么反应呢？

大东　病毒在感染计算机后会导致计算机无法访问大量网站，非常恶毒。其实，目前利用即时通信工具来传播的病毒非常多。

小白　是的是的，计算机中病毒后，攻击者会利用电子邮件、即时通信工具对计算机用户进行欺诈。

大东　所以呀，用户最好不要点击陌生人发来的即时通信消息框内的链接，而且不要接收来自陌生人的文件，好友发来的文件在接收前也要先确认。

小白　MSN病毒的变种多吗？

大东　挺多的，不过正是因为MSN即时通信病毒变种出现的速度很快，业内都在呼吁企业和个人用户，除了随时保持病毒定义文件最新，还要加强对即时通信工具传来的不明文档的防范。

小白　防范确实是关键，那东哥，如果不小心计算机中了MSN性感鸡病毒该怎么办呢？我们应该怎样解决呢？

大东　这个病毒的应对方法比较特殊，可以在任务管理器里把winhost.exe、winis.exe、msnus.exe、dnsserv.exe结束，再到注册表把win32=winhost.exe删除。

小白　这个病毒可以手动删除？怎么和以往我们了解的病毒不太一样呢？别的病毒都需要用杀毒软件，或者使用专家针对这种病毒研究的解决方案。

大东　是的，所以这款病毒的危害程度被定位为三星。

小白　那具体怎样手动操作呢？

大东　在注册表编辑器中找到“ShellServiceObjectDelay Load”项中的“syshosts”（下图中计算机未中此病毒，因此没有此项），记录它的值，将该项删除并重新启动计算机。

NO.3 大话始末

小白　之后要怎么办呢？

大东　之后我们要删除病毒，找到名为“photos.zip”的文件和名为“syshosts.dll”的文件，将其删除并再次重新启动计算机。再次查看两个文件是否存在，如不存在就说明病毒已被清除。

小白　看来一旦计算机被病毒缠上，想要解决是很麻烦的呢。

大东　是的，计算机中病毒之后问题不会轻易地就被解决，所以说尽量不要让计算机中病毒。就像我们之前说的，预防才是关键啊。

小白　是啊，一旦计算机中了病毒那可真的是太影响我们的正常学习和生活了。那东哥你再给我讲讲怎么预防蠕虫病毒吧。

大东　要想知道怎么防范病毒，首先要知道病毒是怎么传播的，然后防止病毒传播。MSN蠕虫病毒传播有3个特点。

小白　哪3个呢？

大东　第一个是需要利用即时通信工具MSN进行传播。MSN性感鸡病毒利用了应用广泛的即时通信工具MSN作为传播途径，病毒运行后会弹出一张图片，同时在后台向所有MSN在线好友发送病毒程序winhost.exe。如此反复，传播速度非常快。

小白　会利用工具的病毒确实“聪明”。

大东　第二个是该病毒综合利用了微软的三大漏洞，它们分别是WebDav漏洞、冲击波漏洞、震荡波漏洞。第三个是该病毒可破解系统弱口令，类似于123、ABC这些系统弱口令，都可以被该病毒迅速破解。

小白　还挺厉害的嘛。

NO.4 小白内心说

小白　那我们应该怎样防范，采取怎样的措施呢？

大东　防范聊天蠕虫可以说是众多措施的重中之重，我们生活在网络世界中，对于通过聊天软件接收到的任何文件，都要经过确认后再运行；切记，一定不要随意点击通过聊天软件发送的链接哦。

小白　具体应该怎样做呢？

大东　网络蠕虫病毒对个人用户的攻击并不是利用系统漏洞，而是通过社会工程学，因此使用内存实时监控和邮件实时监控的杀毒软件就是不错的选择。

小白　计算机必备杀毒软件。

大东　在当今网络时代，蠕虫病毒不仅传播快，而且变种还很多，定期更新病毒库，可以方便查杀最新的病毒。

小白　还有其他的吗？

大东　用户也要提高自身的防/杀毒意识，不要轻易点开陌生的站点，不随意查看陌生的邮件。

小白　知道了，东哥。其实我们不仅要防范蠕虫病毒，对于所有病毒都应该加强防范呢。

大东　说得没错。在使用计算机以及网络资源时，首先要掌握一定的计算机知识，并了解一些实时的病毒信息。还要定时检测计算机硬盘，正确使用互联网中的软件，掌握正确的搜索引擎使用方法，这样就可以降低感染病毒的概率。在使用网络的过程中，我们经常会收到一些具有诱惑性的网络链接，一定要谨记“天上不会掉馅饼”，链接慎点呀。

小白　安装合适的杀毒软件与防火墙软件也是很有必要的，这样就可以在系统中了病毒后查杀病毒。同时，防火墙发现可疑的活动（包括病毒的运行）时会向用户发出警告，并采取一些相应的防范措施，进而阻止病毒对系统的破坏。

大东　对于杀毒软件，也要常常进行更新呀。最新的杀毒软件可以进行系统漏洞扫描，然后升级系统补丁，降低被病毒侵害的概率。

小白　防范记心头，病毒远离我。