第8章 计算机病毒及防范技术.ppt

第八章 计算机病毒及防范技术第八章第八章 计算机病毒及防范技术计算机病毒及防范技术信息安全信息安全Date*第八章 计算机病毒及防范技术本章主要内容本章主要内容8.1 计算机病毒概念计算机病毒概念 8.2 计算机病毒原理计算机病毒原理8.3 反病毒技术反病毒技术 Date*第八章 计算机病毒及防范技术本章学习目标本章学习目标本章介绍计算机病毒的定义、由来、特征、分类、传播及工作方式、破坏行为、作用机制；分析一些病毒的原理，介绍病毒检测、清除、预防等原理，最后介绍一些防病毒软件的使用。通过本章的学习，学生应该掌握以下内容：（ 1）了解计算机病毒的定义、由来、特征、分类传播及工作方式、破坏行为、作用机制；（ 2）理解病毒预防、检测、清除、等原理。 （ 3） 掌握 KV3000杀毒软件的使用。 Date*第八章 计算机病毒及防范技术8.1 计算机病毒概念计算机病毒概念 在中华人民共和国计算机信息系统安全保护条例在中华人民共和国计算机信息系统安全保护条例中定义为：中定义为： “ 计算机病毒，是指编制或者在计算机程序中计算机病毒，是指编制或者在计算机程序中插插入的破坏计算机功能或者毁坏数据，影响计算机使用，并入的破坏计算机功能或者毁坏数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码且能够自我复制的一组计算机指令或者程序代码 ” 。计算机病毒是一种计算机病毒是一种 “ 计算机程序计算机程序 ” ，它不仅能破坏计，它不仅能破坏计算算机系统，而且还能传播、感染到其他系统。它通常隐藏在机系统，而且还能传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中，能生成自身的拷贝并且插入其其他看起来无害的程序中，能生成自身的拷贝并且插入其他的程序中，执行恶意的行动。他的程序中，执行恶意的行动。 8.1.1计算机病毒定义 Date*第八章 计算机病毒及防范技术8.1 计算机病毒概念计算机病毒概念 q 1949年计算机的创始人冯 诺依曼的复杂自动机器的理论和结构论文，提出计算机程序可以在内存中进行自我复制和变异的理论。q 1959年 AT&TBell实验室的 3位成员设计出具有自我复制能力、并能探测到别的程序在运行时能将其销毁的程序。q 1983年 Fred Cohen博士研制出一种在运行过程中可以复制自身破坏性程序。并在全美计算机安全会议上提出，在 VAXll 150机上演示，从而证实计算机病毒的存在，这也是公认的第一个计算机病毒程序的出现。 q 1988年罗伯特 莫里斯（ Rober Moms） 制造的蠕虫病毒首次通过网络传播病毒，是一起震撼世界的 “ 计算机病毒侵入网络的案件 ” 。8.1.2 计算机病毒产生和发展 Date*第八章 计算机病毒及防范技术8.1 计算机病毒概念计算机病毒概念 恶意程序种类繁多，对网络安全威胁较大的主要有以下几种：q 计算机病毒计算机病毒 (computer virus)q 计算机蠕虫计算机蠕虫 (computer worm)q 特洛伊木马特洛伊木马 (Trojan horse)q 逻辑炸弹逻辑炸弹 (logic bomb)Date*第八章 计算机病毒及防范技术8.1 计算机病毒概念计算机病毒概念 恶意程序恶意程序 是指一类特殊的程序，它们通常在用户不知晓是指一类特殊的程序，它们通常在用户不知晓也未授权的情况下潜入进来，具有用户不知道（一般也不也未授权的情况下潜入进来，具有用户不知道（一般也不许可）的特性，激活后将影响系统或应用的正常功能，甚许可）的特性，激活后将影响系统或应用的正常功能，甚至危害或破坏系统。恶意程序的表现形式多种多样。有的至危害或破坏系统。恶意程序的表现形式多种多样。有的是将合法程序进行改动，让它含有并执行某种破坏功能，是将合法程序进行改动，让它含有并执行某种破坏功能，如程序自毁或磁盘自毁。有的是利用合法程序的功能和权如程序自毁或磁盘自毁。有的是利用合法程序的功能和权限，非法获取或篡改系统资源和敏感数据，进行系统入侵限，非法获取或篡改系统资源和敏感数据，进行系统入侵。 8.1.3 恶意程序Date*第八章 计算机病毒及防范技术8.1 计算机病毒概念计算机病毒概念 1.逻辑炸弹逻辑炸弹在病毒和蠕虫之前，最古老的软件威胁之一就是逻辑在病毒和蠕虫之前，最古老的软件威胁之一就是逻辑炸弹。逻辑炸弹是嵌入在某个合法程序里面的一段代码，炸弹。逻辑炸弹是嵌入在某个合法程序里面的一段代码，被设置成当满足特定条件时就会被设置成当满足特定条件时就会 “ 爆炸爆炸 ” ：执行一个有害：执行一个有害行行为的程序，如改变、删除数据或整个文件，引起机器关机为的程序，如改变、删除数据或整个文件，引起机器关机，甚至破坏整个系统等破坏活动。甚至破坏整个系统等破坏活动。8.1.3 恶意程序Date*第八章 计算机病毒及防范技术8.1 计算机病毒概念计算机病毒概念 2.特洛伊木马特洛伊木马特洛伊木马是指一个有用的，或者表面上有用的程序特洛伊木马是指一个有用的，或者表面上有用的程序或命令过程，但其中包含了一段隐藏的、激活时将执行某或命令过程，但其中包含了一段隐藏的、激活时将执行某种有害功能的代码，可以控制用户计算机系统的程序，并种有害功能的代码，可以控制用户计算机系统的程序，并可能造成用户的系统被破坏甚至瘫痪。可能造成用户的系统被破坏甚至瘫痪。特洛伊木马程序可以用来非直接地完成一些非授权用特洛伊木马程序可以用来非直接地完成一些非授权用户不能直接完成的功能。户不能直接完成的功能。8.1.3 恶意程序Date*第八章 计算机病毒及防范技术8.1 计算机病毒概念计算机病毒概念 3.蠕虫蠕虫计算机蠕虫是一种可以通过网络（永久性网络连接计算机蠕虫是一种可以通过网络（永久性网络连接或拨号网络）进行自身复制的病毒程序。一旦在系统中激或拨号网络）进行自身复制的病毒程序。一旦在系统中激活，蠕虫可以表现得像计算机病毒或细菌。可以向系统注活，蠕虫可以表现得像计算机病毒或细菌。可以向系统注入特洛伊木马程序，或者进行任何次数的破坏或毁灭行动入特洛伊木马程序，或者进行任何次数的破坏或毁灭行动。普通计算机病毒需要在计算机的硬盘或文件系统中繁殖，普通计算机病毒需要在计算机的硬盘或文件系统中繁殖，而典型的蠕虫程序则不同，只会在内存中维持一个活动副而典型的蠕虫程序则不同，只会在内存中维持一个活动副本，甚至根本不向硬盘中写入任何信息。此外，蠕虫是一本，甚至根本不向硬盘中写入任何信息。此外，蠕虫是一个独立运行的程序，自身不改变其他的程序，但可携带一个独立运行的程序，自身不改变其他的程序，但可携带一个具有改变其他程序功能的病毒。个具有改变其他程序功能的病毒。 8.1.3 恶意程序Date*第八章 计算机病毒及防范技术8.1 计算机病毒概念计算机病毒概念 4.细菌细菌细菌是一些并不明显破坏文件的程序，它们的惟一目的就是繁殖自己。一个典型的细菌程序可能不做什么其他的事情。除了在多进程系统中同时执行自己的两个副本，或者可能创建两个新的文件外，每一个都是细菌程序原始源文件的一个复制品。那些程序然后又可能将自己两次复制，依次类推细菌以指数级地再复制，最终耗尽了所有的处理机能力、存储器或磁盘空间，从而拒绝用户访问这些资源。 8.1.3 恶意程序Date*第八章 计算机病毒及防范技术病毒未授权的内部访问系统入侵偷窥私人信息电信欺骗金融欺骗破坏被动搭线窃听主动搭线窃听笔记本电脑盗窃内部人员对网络的滥用7368573910 20 30 40 50 60 70 8002116141313918.1 计算机病毒概念计算机病毒概念 8.1.4 计算机病毒的危害 据 1998年 CSI/FBI计算机犯罪和安全调查报告中对攻击的分类调查显示，计算机病毒占所有攻击类型的首位 .Date*第八章 计算机病毒及防范技术8.1 计算机病毒概念计算机病毒概念 1.计算机病毒对独立计算机系统的危害计算机病毒对独立计算机系统的危害（ 1）破坏磁盘文件分配表或目录区，使用户磁盘上的信息丢失。（ 2）删除软盘或硬盘上的可执行文件或系统文件，使系统无法启动。（ 3）修改或破坏文件的数据。（ 4）病毒程序自身在计算机系统中多次复制，使系统的存储空间减少，造成正常的文件不能存储。（ 5）删除或改写磁盘上的特定扇区。（ 6）对系统中用户存储的特定文件进行非法加密或解密。（ 7）感染和破坏压缩文件，使其在解压时失败。（ 8）改写 BIOS中内容，使主板遭到毁灭性的破坏。8.1.4 计算机病毒的危害 Date*第八章 计算机病毒及防范技术8.1 计算机病毒概念计算机病毒概念 2.计算机病毒对网络的危害计算机病毒对网络的危害病毒对网络的危害远比对独立计算机系统危害大得多。据国外有关调查表明， 1998年底， 90的 Internet用户都遭受过来自 Internet网上的病毒的侵扰。病毒对网络的危害主要有：（ 1）病毒通过 “ 自我复制 ” 传染正在运行的系统，与正常的运行程序争夺系统资源，造成系统瘫痪，并通过网络系统侵害与之联网的其他计算机。（ 2）病毒会导致计算机控制的失灵。（ 3）病毒会导致电子邮件传递混乱或 Email系统关闭。（ 4）病毒程序在激活时，能冲毁系统存取器中的大量数据，使与之相联的计算机用户的程序和数据丢失。 8.1.4 计算机病毒的危害 Date*第八章 计算机病毒及防范技术8.2 计算机病毒原理计算机病毒原理 1.传染性传染性 :计算机病毒也会通过各种媒体从已被感染的计算机扩散到未被感染的计算机。 2.隐蔽性隐蔽性 :计算机病毒隐蔽性是指计算机病毒不经过程序代码分析或计算机病毒代码扫描，病毒程序与正常程序是不容易区别开来的。 3.潜伏性潜伏性 :计算机病毒潜伏性是指病毒具有依附其他媒体而寄生的能力。潜伏性的一种表现指的是病毒程序如果不用专门的检测程序是检测，是检查不来的，因此，病毒可以在磁盘、光盘或其他介质上静静的呆上几天，甚至是几年。 4.表现性表现性 :病毒的表现性是指当病毒触发条件满足时，病毒在被计算机病毒感染的计算机上开始发作，表现出一定的症状和破坏性。8.2.1 计算机病毒特征 Date*第八章 计算机病毒及防范技术8.2 计算机病毒原理计算机病毒原理 1. 按感染形式分类按感染形式分类q 文件病毒： 通过在执行系列中插入指令把自己依附在可执行文件上，此种病毒感染文件，并寄生在文件中，进而造成文件损坏。q 引导区病毒： 潜伏在软盘的引导扇区，或在硬盘的引导区，或主引导纪录（分区扇区）中插入指令。如果计算机用被感染的软盘引导时，病毒就会感染到引导硬盘，并把自己的代码调入内存。q 混合型病毒： 具有引导型和文件型两种病毒的特性。 CIH病毒就是这种混合型病毒。q 宏病毒： 即感染可执行文件和一般文件。虽无严重的危害，但对系统的性能及用户工作效率有影响，在网络中进行交叉感染。 “ 美丽杀手 ” 就是一种宏病毒，8.2.2 计算机病毒的分类 Date*第八章 计算机病毒及防范技术8.2 计算机病毒原理计算机病毒原理 2. 按寄生方式分类按寄生方式分类q 代替式计算机病毒代替式计算机病毒 ：计算机病毒用自身代码的部分或全：计算机病毒用自身代码的部分或全部替代常规程序的部分或全部，且替代后依然能完成被部替代常规程序的部分或全部，且替代后依然能完成被替代的合法程序的功能。替代的合法程序的功能。q 连接式计算机病毒连接式计算机病毒 ：这种方式一般以传染文件为主，即：这种方式一般以传染文件为主，即病毒与宿主文件相连接时宿主文件的字节长度增加，但病毒与宿主文件相连接时宿主文件的字节长度增加，但不破坏原合法程序的代码。不破坏原合法程序的代码。 q 转储式计算机病毒转储式计算机病毒 ：病毒将原合法的程序代码转储到存：病毒将原合法的程序代码转储到存储介质的其他部位，而用病毒代码占据原合法程序的位储介质的其他部位，而用病毒代码占据原合法程序的位置。置。q 充式计算机病毒充式计算机病毒 ：这种病毒有的传染引导程序，有的传：这种病毒有的传染引导程序，有的传染文件，病毒一般侵入宿的空闲存储空间，这样就不会染文件，病毒一般侵入宿的空闲存储空间，这样就不会改变宿主程序的字节长度。改变宿主程序的字节长度。8.2.2 计算机病毒的分类 Date*第八章 计算机病毒及防范技术8.2 计算机病毒原理计算机病毒原理 3按攻击方式分类这种方法划分有利于分析病毒的攻击对象和传染范围。q 源码病毒 存在的形式为源码。可细分为 Shell型和语言型。Shell（ 命令解释程序），一般指接收标准输入并将命令转交给系统的命令解释器或程序， Shell型病毒包括各种操作系统的 Shell程序。如 Unix的 B Shell、 C Shell， DOS ， Windows NT的 cmd.exe 等。语言型包括汇编、 C、 B、 Fortran语言和微软的 VC、 VB，VJ等。q 机器码病毒 指各种处理器的机器码构成的病毒，如Intel86系列病毒、 Motorola的 68000，系列病毒、 Zilog系列病毒和 Macintosh系列病毒等。q 混合码病毒 两种形式都有则称为混合码病毒。8.2.2 计算机病毒的分类 Date*第八章 计算机病毒及防范技术8.2 计算机病毒原理计算机病毒原理 4根据病毒操作的方式或使用的编程技术分类根据病毒操作的方式或使用的编程技术分类q 隐蔽病毒：隐蔽病毒： 使用某种技术来隐蔽程序被感染的事实。例如当操作系统发出调用要得到的某些信息时，它记录下必要的信息，以便于以后欺骗操作系统和病毒程序的扫描。q 变形病毒：变形病毒： 变形病毒能变化，使得它们更难被鉴别出来。如有一种使用高级加密技术的多态病毒。其使用了可变化的签名。变化过程称为变异。变异中，病毒改变它的大小和构成。通常，病毒扫描程序通过搜索已知的模式（大小、校验码、日期等）来检测病毒，一个经巧妙设计的变形病毒则可逃脱这些固定模式的检测，是传统的模式匹配法对此显得软弱无力。8.2.2 计算机病毒的分类 Date*第八章 计算机病毒及防范技术8.2 计算机病毒原理计算机病毒原理 1、感染2、变异3、触发4、破坏5、高级功能病毒8.2.4 病毒的工作方式 Date*第八章 计算机病毒及防范技术8.2 计算机病毒原理计算机病毒原理 1.感染8.2.4 病毒的工作方式内存病毒感染其它磁盘原始引导扇区信息引导扇区病毒感染过程Date*第八章 计算机病毒及防范技术8.2 计算机病毒原理计算机病毒原理 1.感染8.2.4 病毒的工作方式覆盖型文件病毒 依附型文件病毒 伴随型病毒. EXE病毒.EXE文件型病毒工作方式.EXE.COMDate*第八章 计算机病毒及防范技术8.2 计算机病毒原理计算机病毒原理 2.变异变异又称变种，这是病毒为逃避病毒扫描和其它反病毒软件的检测，以达到逃避检测的一种 “ 功能 ” 。8.2.4 病毒的工作方式AA AFAEAD ACAB病毒代码 AA病毒的变异Date*第八章 计算机病毒及防范技术8.2 计算机病毒原理计算机病毒原理 3.触发计算机病毒为了能在合适的时候发作，需要预先设置一些触发的条件，并使之先置于触发状态。众所周知的基于某个特定日期的，如每个月的几号或星期五同时又是 13号或 3月 6号（ Michelangelo的生日）开始它的 “ 工作 ” 。除了以时间作为触发条件外，也有当程序运行了多次后，或在文件病毒被拷贝到不同的系统上多次以后，病毒便被启动而立即 “ 工作 ” 。触发在逻辑炸弹中很流行。8.2.4 病毒的工作方式Date*第八章 计算机病毒及防范技术8.2 计算机病毒原理计算机病毒原理 虽然不同类型的计算机病毒的机制和表现手法不尽相同，但计算机病毒的结构基相似，一般说来是由以下三个程序模块组成。1.引导模块2.传染模块3.破坏与表现模块8.2.5 计算机病毒的结构 Date*第八章 计算机病毒及防范技术8.2 计算机病毒原理计算机病毒原理 1.引导模块当被感染的软硬盘，应用程序开始工作时，病毒的引导模块将病毒由外存引入存，并使病毒程序成为相对独立于宿主程序的部分，从而使病毒的传染模块和破坏模块进入待机状态。在某些病毒中，尤其是传染引导区的计算机病毒，其引导模块还承担将分开存储的