一计算机病毒的概念25202ppt课件

1一、计算机病毒的概念定义： 计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。（国外）定义： 计算机病毒是指破坏计算机功能或者数据，并能自我复制的程序。（ 国内 ）病毒发展史：1977年科幻小说 The Adolescence of P-1 描写计算机病毒1983年 Fred Adleman首次在 VAX 11/750上试验病毒；1986年 Brain病毒在全世界传播；1988年 11月 2日 Cornell大学的 Morris编写的 Worm病毒袭击美国 6000台计算机，直接损失尽亿美元；八十年代末，病毒开始传入我国； 2病毒产生的原因：计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大。1）寻求刺激：自我表现；恶作剧；2）出于报复心理。病毒的特征：传染性；寄生性；衍生性；隐蔽性；潜伏性；可触发性；夺取控制权；破坏性与危害性；3病毒的分类： 按破坏性分为：良性；恶性。 按激活时间分为：定时；随机 按传染方式分为：引导型：当系统引导时进入内存，控制系统；文件型：病毒一般附着在可执行文件上 ；混合型：既可感染引导区，又可感染文件。 按连接方式分为：OS型：替换 OS的部分功能，危害较大；源码型：要在源程序编译之前插入病毒代码；较少；外壳型：附在正常程序的开头或末尾；最常见；入侵型：病毒取代特定程序的某些模块；难发现。4 按照病毒特有的算法分为：伴随型病毒： 产生 EXE文件的伴随体 COM， 病毒把自身写入 COM文件并不改变 EXE文件，当 DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的 EXE文件。“蠕虫 ”型病毒： 只占用内存，不改变文件，通过网络搜索传播病毒。寄生型病毒： 除了伴随和 “蠕虫 ”型以外的病毒，它们依附在系统的引导扇区或文件中。变型病毒（幽灵病毒）： 使用复杂算法，每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。5 病毒的组成：安装模块：提供潜伏机制；传播模块：提供传染机制；触发模块：提供触发机制；其中，传染机制是病毒的本质特征，防治、检测及杀毒都是从分析病毒传染机制入手的。 病毒的症状：启动或运行速度明显变慢；文件大小、日期变化；死机增多；莫名其妙地丢失文件；磁盘空间不应有的减少；有规律地出现异常信息；自动生成一些特殊文件；无缘无故地出现打印故障。6n 计算机病毒的传播途径1）通过不可移动的设备进行传播较少见，但破坏力很强。2）通过移动存储设备进行传播最广泛的传播途径3）通过网络进行传播反病毒所面临的新课题4）通过点对点通讯系统和无线通道传播预计将来会成为两大传播渠道7n 病毒的破坏行为攻击系统数据区：主引导区、 Boot区、 FAT区、文件目录攻击文件、内存、 CMOS； 干扰系统运行，使速度下降；干扰屏幕、键盘、喇叭、打印机；破坏网络资源。n 病毒的发展趋势攻击对象趋于混合型；反跟踪技术；增强隐蔽性：避开修改中断向量值；请求在内存中的合法身份；维持宿主程序外部特征；不用明显感染标志采用加密技术，使得对病毒的跟踪、判断更困难；繁衍不同的变种。 8二、病毒的防治v 网络环境下的病毒防治原则与策略 防重于治，防重在管：制度；注册、权限、属性、服务器安全；集中管理、报警。 综合防护：木桶原理；防火墙与防毒软件结合 最佳均衡原则：占用较小的网络资源 管理与技术并重 正确选择反毒产品 多层次防御：病毒检测、数据保护、实时监控 注意病毒检测的可靠性：经常升级；两种以上。9二、病毒的防治n 防毒：预防入侵； 病毒过滤、监控、隔离n 查毒：发现和追踪病毒； 统计、报警n 解毒：从感染对象中清除病毒；恢复功能v 病毒检测的方法 直接观察法： 根据病毒的种种表现来判断 特征代码法 ：采集病毒样本，抽取特征代码特点：能快速、准确检验已知病毒，不能发现未知的病毒。10 校验和法： 根据文件内容计算的校验和与以前的作比较。优点：能判断文件细微变化，发现未知病毒。缺点：当软件升级、改口令时会产生误报；不能识别病毒名称；对隐蔽性病毒无效。 行为监测法： 基于对病毒异常行为的判断特点：发现许多未知病毒；可能误报，实施难 软件模拟法：一种软件分析器，用软件方法来模拟和分析程序的运行。 特点：可用于对付多态病毒。11n 反病毒软件的选择1）扫描速度 30秒能扫描 1000个以上文件2）识别率3）病毒清除测试n 著名杀毒软件公司冠群金辰 KILL瑞星 RAV北京江民 KV3000信源 LAN VRV赛门铁克 Norton Anti Virus时代先锋（行天 98） 12n 反病毒软件工作原理1）病毒扫描程序串扫描算法 :与已知病毒特征匹配；文件头、尾部入口扫描算法：模拟跟踪目标程序的执行类属解密法：对付多态、加密病毒2）内存扫描程序：搜索内存驻留文件和引导记录病毒3）完整性检查器：能发现新的病毒；但对于已被感染的系统使用此方法，可能会受到欺骗。4）行为监测器：是内存驻留程序，监视病毒对可执行文件的修改。防止未知的病毒13三、几种常见的病毒n 宏病毒宏 (Macro)： 为避免重复操作而设计的一组命令。在打开文件时，先执行 “宏 ”，然后载入文件内容。因此如果 “宏 ”带有病毒，则在编辑文件时病毒自动载入。宏病毒的症状：1） 用 Word或 Excel打开文件时，出现 “文档未打开 ”、 “内存不够 ”、 “WordBasic Err=514”等；2）保存文件时，强制将文件按 “.dot”类型存储，或强制在指定目录存放。3）宏病毒的版本兼容问题 14几种宏病毒：AAAZAO Macro： Concept病毒，第一个宏病毒；Taiwan NO.1： 第一个中文 word病毒；Rainbow Macro： 能改变桌面颜色；FormatC： 格式化 C盘，第一个木马型宏病毒；Hot Macro： 第一个调用 Windows API的宏病毒；Nuclear Macro:第一个干扰打印机、硬盘的宏病毒。宏病毒分类：公用宏病毒：以 Auto开头的宏，附在 normal.dot或Personal.xls 等模板上。私用宏病毒：15n 宏病毒的危害1）传播迅速：因为文件交流频繁；2）制造及变种方便： Word Basic编程容易3）危害大： Word Basic可调用 Windows API、 DLL、 DDEn 宏病毒的防治除杀毒软件以外，还可尝试下列方法：1）按住 键再启动 Word， 禁止宏自动运行；2）工具 宏，检查并删除所有可能带病毒的宏；3） 使用 Disable AutoMacros宏4）将模板文件如 normal.dot的属性设为只读。16三、几种常见的病毒n CIH病毒台湾陈盈豪编写，一般每月 26日发作。不仅破坏硬盘的引导扇区和分区表，还破坏系统Flash BIOS芯片中的系统程序，导致主板损坏。病毒长 1KB， 由于使用 VXD技术，只感染 32位 Windows 系统可执行文件中的 .PE格式文件。修复硬盘分区表：信源公司 ()的免费软件 VRVFIX.EXE；CIH疫苗 :CIH作者的 Ant-CIHv1.0； 美国 Symantec公司的 Kill_CIH17四、网络病毒含义 1：在网上传播、并对网络进行破坏的病毒。含义 2：专指 HTML、 E-mail、 Java等 Internet病毒。例：蠕虫病毒，木马程序等。2001年 9月 18日， Nimda worm 在 Internet上迅速传播。 该 病毒感染 Windows 系列多种计算机系统，其传播速度之快、影响范围之广、破坏力之强都超过其前不久发现的 Code Red II。18特点：网上蔓延，危害更大。1）网上传染方式多，工作站、服务器交叉感染2）混合特征：集文件感染、蠕虫、木马等于一身3）利用网络脆弱性、系统漏洞4）更注重欺骗性5）清除难度大，破坏性强。网络病毒的防范：具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。 19n 相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络病毒防治应与网络管理集成。管理功能就是管理全部的网络设备：从 Hub、 交换机、服务器到 PC， 软盘的存取、局域网上的信息互通及与 Internet的连接等，所有病毒能够进来的地方。为实现计算机病毒的防治，可在计算机网络系统上安装网络病毒防治服务器；在内部网络服务器上安装网络病毒防治软件；在单机上安装单机环境的反病毒软件。n 从以下方面控制网络病毒： 服务器 邮件系统 WEB站点数据库系统 网关20n 局域网病毒防御体系1）服务器网络病毒防杀模块监视各节点，保护网络操作系统安全；动态告警、杀灭各节点的病毒；配置系统整体的检测计划、时间；对病毒事件进行记录、审计、跟踪；提供技术支持，升级；2）客户端单机病毒防杀模块单机版杀毒软件；响应升级要求21n 安装网络防毒软件的方案1）在网关和防火墙上安装防毒软件缺点：对每个文件的检测将影响网络性能。2）在工作站上安装防毒软件缺点：管理、协调、升级困难。3）在电子邮件服务器上安装防毒软件仅能防止邮件病毒的传播。4）在所有文件服务器上安装防毒软件对于备份服务器，备份与反毒有可能冲突。22n 网络反毒的新特征：与 OS结合更紧密；实时化；检测压缩文件病毒n 病毒防火墙技术：能阻止病毒的扩散在网络服务器上安装病毒防火墙系统，例如：Inter Scan Virus Wall关键技术：OS底层接口技术：实时过滤，并少占用资源；网络及应用程序的底层接口技术：各种协议充分利用 OS的多任务、多线程机制；优化算法，减少系统开销；23网络应急响应n 网络安全事件 :违反明显的或隐含的安全策略的一次活动，即对系统正常运行有负面影响的活动。包括：非授权访问；系统崩溃；拒绝服务；对系统的篡改。n 时间长短；规模大小；安全级别： A:影响公共安全、社会秩序B:系统停顿，业务无法运作C:业务中断，影响系统效率D:业务短暂故障，可立即修复n CERT/CC(计算机紧急事件响应小组 /协调中心 )发出安全警报： 00年 26次， 01年 41次。中国计算机网络应急处理协调中心 CNCERT/CC(WWW.CERT.ORG.CN)24n 网络安全事件的紧急程度：一般：紧急： 对人身安全的威胁； 对 Internet体系的攻击 (如对 DNS、 根名服务器、网络接入点的攻击 ) 对 Internet的大范围自动化攻击 新型的攻击及新的严重漏洞。n 网络安全事件的应急准备分析关键业务；后援；应急组织与计划；评估；演练。 25网络安全事件的应急处理流程 1)发现网络安全事件2)确定影响范围，评估可能损失3)执行预定的应急措4)安全事件通报、求援安全事件通报内容：发生安全事件的联系资料：发生时间、地点；受影响主机资料；事件描述（程度、来源、工具、损失）；采取的措施；期望的援助。 26CERT/CC提供的基本服务 n CERT/CC是实现信息安全保障的核心，提供以下服务：安全事件的热线响应；检查入侵来源；恢复系统正常工作；事故分析；发布安全警报、公告、建议；咨询；安全培