计算机病毒防范技术.ppt

第八章 计算机病毒防范技术 第8章 计算机病毒防范技术 内容提要： 概述 计算机病毒的工作原理和分类 计算机病毒的检测与防范 恶意代码 小结 第八章 计算机病毒防范技术 8.1 计算机病毒概述 8.1.1 计算机病毒的定义 计算机病毒，是指编制或者在计算机程序中 插入的破坏计算机功能或者毁坏数据，影响计算 机使用，并能自我复制的一组计算机指令或者程 序代码。 美国计算机安全专家Fred Cohen博士认为 ：计算机病毒是一种能传染其它程序的程序，病 毒是靠修改其它程序，并把自身的拷贝嵌入其它 程序而实现的。 返回本章首页 第八章 计算机病毒防范技术 计算机病毒的特性 计算机病毒是一个程序； 计算机病毒具有传染性，可以传染其它程序 ； 计算机病毒的传染方式是修改其它程序，把 自身拷贝嵌入到其它程序中而实现的； 计算机病毒的定义在很多方面借用了生物 学病毒的概念，因为它们有着诸多相似的特 征，比如能够自我复制，能够快速“传染”， 且都能够危害“病原体”，当然计算机病毒危 害的“病原体”是正常工作的计算机系统和网 络。 第八章 计算机病毒防范技术 8.1.2 计算机病毒简史 -1 早在1949年，计算机的先驱者冯诺依曼在他的 一篇论文复杂自动机组织论中，提出了计算机程 序能够在内存中自我复制，即已把病毒程序的蓝图勾 勒出来。 十年之后，在美国电话电报公司（AT&T）的贝 尔实验室中，三个年轻程序员道格拉斯麦耀莱、维 特维索斯基和罗伯莫里斯在工作之余想出一种电子 游戏叫做“磁芯大战”。 1977年夏天，科幻小说P-1的青春幻想了 世界上第一个计算机病毒，可以从一台计算机传染到 另一台计算机，最终控制了7000台计算机，酿成了 一场灾难，这实际上是计算机病毒的思想基础。 第八章 计算机病毒防范技术 8.1.2 计算机病毒简史 -2 1983年11月3日，弗雷德科恩博士研制出一种在运行过程中可以 复制自身的破坏性程序，伦艾德勒曼将它命名为计算机病毒（ Viruses），并在每周一次的计算机安全讨论会上正式提出，8小时后 专家们在VAX11/750计算机系统上运行，第一个病毒实验成功，一周 后又获准进行5个实验的演示，从而在实验上验证了计算机病毒的存在 。 1986年初，在巴基斯坦的拉合尔，巴锡特和阿姆杰德两兄弟编写 了Pakistan病毒，该病毒在一年内流传到了世界各地，使人们认识到 计算机病毒对PC机的影响。 1987年10月，美国第一例计算机病毒（Brian）被发现。此后， 病毒就迅速蔓延开来，世界各地的计算机用户几乎同时发现了形形色 色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。 1988年3月2日，一种苹果机病毒发作。 1988年11月3日，美国6千台计算机被病毒感染，造成Internet 不能正常运行。这是一次非常典型计算机病毒入侵计算机网络的事件 。 1989年，“米开朗基罗”病毒给许多计算机用户造成极大损失。 第八章 计算机病毒防范技术 8.1.2 计算机病毒简史 -3 1991年，在“海湾战争”中，美军第一次将计算机病 毒用于实战。 1994年5月，南非第一次多种族全民大选的计票工作 ，因计算机病毒的破坏停止30余小时，被迫推迟公布选 举结果。 1996年，出现针对微软公司Office的“宏病毒”。 1997年公认为计算机反病毒界的“宏病毒年”。 1998年，首例破坏计算机硬件的CIH病毒出现，引起 人们的恐慌。 2000年5月4日，爱虫病毒开始在全球各地迅速传播 。该病毒通过Microsoft Outlook电子邮件系统传播令全 球为此损失100亿美元。 第八章 计算机病毒防范技术 8.1.2 计算机病毒简史 -4 2001年完全可以被称为“蠕虫之年”。 Nimda（ 尼姆达）、CodeRed（红色代码）、Badtrans（坏 透了）出现的蠕虫病毒不仅数量众多，而且危害 极大，感染了数百万台电脑。 在2002年新生的计算机病毒中，木马、黑客病 毒以61%的绝对数量占据头名。网络病毒越来越成 为病毒的主流。 2003年的8月12日，名为“冲击波”的病毒在全 球袭击Windows操作系统，据估计可能感染了全球 一、两亿台计算机，在国内导致上千个局域网瘫痪。 第八章 计算机病毒防范技术 8.1.2 计算机病毒简史 -5 2005年由国内作者编写的“灰鸽子”木马成为本年 度头号病毒，它危害极大，变种极多（共有4257个 变种），是国内非常罕见的恶性木马病毒。 2006年11月至今，我国又连续出现“熊猫烧香” 、“仇英”、“艾妮”等盗取网上用户密码账号的病毒和 木马，病毒的趋利性进一步增强，网上制作、贩卖病 毒、木马的活动日益猖獗，利用病毒木马技术进行网 络盗窃、诈骗的网络犯罪活动呈快速上升趋势，这些 情况进一步显示计算机病毒新的发展趋势。 第八章 计算机病毒防范技术 8.1.3 计算机病毒的特征 非授权可执行性 隐蔽性 传染性 潜伏性 表现性或破坏性 可触发性 第八章 计算机病毒防范技术 8.1.4 计算机病毒的主要危害 直接破坏计算机数据信息 占用磁盘空间和对信息的破坏 抢占系统资源 影响计算机运行速度 计算机病毒错误与不可预见的危害 计算机病毒的兼容性对系统运行的影响 给用户造成严重的心理压力 第八章 计算机病毒防范技术 8.2 计算机病毒的工作原理和 分类 第八章 计算机病毒防范技术 8.2.1 计算机病毒的工作原理 1计算机病毒的结构 （1） 病毒的逻辑结构 （2）病毒的磁盘存储结构 （3）病毒的内存驻留结构 第八章 计算机病毒防范技术 （1） 病毒的逻辑结构 病毒的引导模块； 病毒的传染模块； 病毒的发作（表现和破坏）模块。 引导模块 传染条件判断模块 实施传染模块 触发条件判断模块 实施表现或破坏模块 图8-1 计算机病毒的模块结构 第八章 计算机病毒防范技术 （2）病毒的磁盘存储结构 磁盘空间结构 经过格式化后的磁盘应包括： 主引导记录区（硬盘） 引导记录区 文件分配表（FAT） 目录区 数据区 第八章 计算机病毒防范技术 （2）病毒的磁盘存储结构 系统型病毒的磁盘存储结构 病毒的一部分存放在磁盘的引导扇区中 另一部分则存放在磁盘其它扇区中 引导型病毒没有对应的文件名字 第八章 计算机病毒防范技术 （2）病毒的磁盘存储结构 文件型病毒的磁盘存储结构 文件型病毒专门感染系统中可执行文件； 其程序依附在被感染文件的首部、尾部、 中部或空闲部位； 绝大多数文件型病毒都属于外壳型病毒。 第八章 计算机病毒防范技术 （3）病毒的内存驻留结构 系统型病毒的内存驻留结构 系统型病毒是在系统启动时被装入的 病毒程序将自身移动到适当的内存高端 采用修改内存向量描述字的方法隐藏自己 有些病毒也利用小块没有使用的低端内存 系统 第八章 计算机病毒防范技术 （3）病毒的内存驻留结构 文件型病毒的内存驻留结构 病毒程序是在运行其宿主程序时被装入内 存的，文件型病毒按其驻留内存方式可分为 ： 高端驻留型，典型的病毒有Yankee。 常规驻留型，典型的病毒有黑色星期五。 内存控制链驻留型：典型的病毒有1701。 设备程序补丁驻留型：典型的病毒有DIR2 。 不驻留内存型：典型的病毒有Vienna/648 。 第八章 计算机病毒防范技术 2计算机病毒的作用机制 （1）引导机制 （2）传染机制 （3）破坏机制 第八章 计算机病毒防范技术 （1）中断与计算机病毒 中断是CPU处理外部突发事件的一个重 要技术。中断类型可划分为： 中断 硬件中断 软件中断：并不是真正的中断，系统功能调用 内部中断：因硬件出错或运算出错所引起； 外部中断：由外设发出的中断； 第八章 计算机病毒防范技术 病毒有关的重要中断 INT 08H和INT 1CH的定时中断，有些病毒用来判 断激发条件； INT 09H键盘输入中断，病毒用于监视用户击键情 况； INT 10H屏幕输入输出，一些病毒用于在屏幕上显 示信息来表现自己； INT 13H磁盘输入输出中断，引导型病毒用于传染 病毒和格式化磁盘； INT 21H DOS功能调用，绝大多数文件型病毒修 改该中断。 第八章 计算机病毒防范技术 病毒利用中断 图 8-2 病毒盗用中断示意图 中断向量中断服务程 序 中断向量病毒相关程 序 中断服务程 序 盗用后： 盗用前： 第八章 计算机病毒防范技术 （2）计算机病毒的传染机制 传染是指计算机病毒由一个载体传播到 另一载体，由一个系统进入另一个系统的过 程。计算机病毒的传染方式主要有： 病毒程序利用操作系统的引导机制或加载机 制进入内存； 从内存的病毒传染新的存储介质或程序文件 是利用操作系统的读写磁盘的中断或加载机 制来实现的。 第八章 计算机病毒防范技术 （3）计算机病毒的破坏机制 破坏机制在设计原则、工作原理上与传 染机制基体相同。它也是通过修改某一中断 向量入口地址，使该中断向量指向病毒程序 的破坏模块。 第八章 计算机病毒防范技术 8.2.2 计算机病毒的分类 1按照病毒攻击的系统分类 （1）攻击DOS系统的病毒。 （2）攻击Windows系统的病毒。 （3）攻击UNIX系统的病毒。 （4）攻击OS/2系统的病毒。 第八章 计算机病毒防范技术 2按照病毒的攻击机型分类 （1）攻击微型计算机的病毒。 （2）攻击小型机的计算机病毒。 （3）攻击工作站的计算机病毒。 第八章 计算机病毒防范技术 3按照病毒的链结方式分类 （1）源码型病毒 （2）嵌入型病毒 （3）外壳型病毒 （4）操作系统型病毒 第八章 计算机病毒防范技术 4按照病毒的破坏情况分类 （1）良性计算机病毒 （2）恶性计算机病毒 5按照病毒的寄生方式分类 （1）引导型病毒 （2）文件型病毒 （3）复合型病毒 第八章 计算机病毒防范技术 6按照病毒的传播媒介分类 （1）单机病毒 （2）网络病毒 第八章 计算机病毒防范技术 8.2.3 病毒实例分析 1CIH病毒 概况 CIH病毒是一种文件型病毒，感染 Windows95/98环境下PE格式的EXE文件。病毒的 危害主要表现在病毒发作后，硬盘数据全部丢失，甚 至主板上的BIOS中的原内容会被彻底破坏，主机无 法启动。 1999年4月26日，CIH病毒大爆发，全球超过 6000万台电脑被破坏，2000年CIH再度爆发，全球 损失超过10亿美元，2001年仅北京就有超过6000 台电脑遭破坏；2002年CIH病毒使数千台电脑遭破 坏，瑞星公司修复硬盘数量一天接近200块。 第八章 计算机病毒防范技术 （1）CIH病毒的表现形式 受感染的.EXE文件的文件长度没有改变； DOS以及WIN 3.1 格式（NE格式）的可执 行文件不受感染，并且在Win NT中无效。 用资源管理器中“工具查找文件或文件 夹”的“高级包含文字”查找EXE特征字符串 “CIH v”，在查找过程中，显示出一大堆 符合查找特征的可执行文件。 若4月26日开机，显示器突然黑屏，硬盘指 示灯闪烁不停，重新开机后，计算机无法启 动。 第八章 计算机病毒防范技术 （2）CIH病毒的行为机制 CIH病毒直接进入Windows内核。没有 改变宿主文件的大小，而是采用了一种新的 文件感染机制即碎洞攻击（fragmented cavity attack），将病毒化整为零，拆分成 若干块，插入宿主文件中去；最引人注目的 是它利用目前许多BIOS芯片开放了可重写的 特性，向计算机主板的BIOS端口写入乱码， 开创了病毒直接进攻计算机主板芯片的先例 。可以说CIH病毒提供了一种全新的病毒程 序方式和病毒发展方向。 第八章 计算机病毒防范技术 2宏病毒 所谓宏，就是软件设计者为了在使用软件工作时 避免一再地重复相同动作而设计出来的一种工具。它 利用简单的语法，把常用的动作编写成宏，当再工作 时，就可以直接利用事先写好的宏自动运行，完成某 项特定的任务，而不必再重复相同的动作。 所谓“宏病毒”，是利用软件所支持的宏命令编写 成的具有复制、传染能力的宏。宏病毒是一种新形态 的计算机病毒，也是一种跨平台的计算机病毒，可以 在Windows 9X、Windows NT/2000、OS/2和 Macintosh System 7等操作系统上执行。 第八章 计算机病毒防范技术 （1）宏病毒的行为机制 Word模式定义出一种文件格式，将文档资料以 及该文档所需要的宏混在一起放在后缀为doc的文件 之中，这种作法已经不同于以往的软件将资料和宏分 开存储的方法。正因为这种宏也是文档资料，便产生 了宏感染的可能性。 Word宏病毒通过doc文档和dot模板进行自我复 制及传播。计算机文档是交流最广的文件类型。这就 为Word宏病毒传播带来了很多便利，特别是 Internet网络的普及和E-mail的大量应用更为Word 宏病毒的传播“拓展”了道路。 第八章 计算机病毒防范技术 （2）Word宏病毒特征 Word宏病毒会感染doc文档和dot模板文件。 Word宏病毒的传染通常是Word在打开一个带宏 病毒的文档或模板时，激活宏病毒。病毒宏将自身复 制到Word通用（Normal）模板中，以后在打开或 关闭文件时宏病毒就会把病毒复制到该文件中。 多数Word宏病毒包含AutoOpen、AutoClose、 AutoNew和AutoExit等自动宏，通过这些自动宏病 毒取得文档（模板）操作权。 Word宏病毒中总是含有对文档读写操作的宏命令 。 Word宏病毒在doc文档、dot模板中以BFF（ Binary File Format）格式存放，这是一种加密压 缩格式，不同Word版本格式可能不兼容。 第八章 计算机病毒防范技术 3网络病毒 网络病毒专指在网络传播、并对网络进 行破坏的病毒； 网络病毒也指HTML病毒、E-mail病毒 、Java病毒等与因特网有关的病毒。 第八章 计算机病毒防范技术 网络病毒的特点 传染方式多 传播速度比较快 清除难度大 破坏性强 潜在性深 第八章 计算机病毒防范技术 4电子邮件病毒 “电子邮件病毒”其实和普通的计算机病 毒一样，只不过它们的传播途径主要是通过 电子邮件，所以才被称为“电子邮件病毒”。 第八章 计算机病毒防范技术 电子邮件病毒的特点 传统的杀毒软件对检测此类格式的 文件无能为力 传播速度快 传播范围广 破坏力大 第八章 计算机病毒防范技术 8.3 计算机病毒的检测与防范 第八章 计算机病毒防范技术 8.3.1 计算机病毒的检测 1异常情况判断 计算机工作时，如出现下列异常现象，则有可能 感染了病毒： （1）屏幕出现异常图形或画面，这些画面可能是一 些鬼怪，也可能是一些下落的雨点、字符、树叶等， 并且系统很难退出或恢复。 （2）扬声器发出与正常操作无关的声音，如演奏乐 曲或是随意组合的、杂乱的声音。 （3）磁盘可用空间减少，出现大量坏簇，且坏簇数 目不断增多，直到无法继续工作。 （4）硬盘不能引导系统。 第八章 计算机病毒防范技术 （5）磁盘上的文件或程序丢失。 （6）磁盘读/写文件明显变慢，访问的时间加长。 （7）系统引导变慢或出现问题，有的出现“写保护错 ”提示。 （8）系统经常死机或出现异常的重启动现象。 （9）原来运行的程序突然不能运行，总是出现出错 提示。 （10）连接的打印机不能正常启动。 观察上述异常情况后，可初步判断系统的哪部分 资源受到了病毒侵袭，为进一步诊断和 清除做好准 备。 第八章 计算机病毒防范技术 2检测的主要依据 （1）检查磁盘主引导扇区 （2）检查FAT表 （3）检查中断向量 （4）检查可执行文件 （5）检查内存空间 （6）检查特征串 第八章 计算机病毒防范技术 3计算机病毒的检测手段 （1）特征代码法 特征代码法是检测已知病毒的最简单、开销最小 的方法。特征代码法的实现步骤如下： 采集已知病毒样本。 在病毒样本中，抽取特征代码。 打开被检测文件，在文件中搜索病毒特征 代码。 特征代码法的特点： 速度慢 误报警率低 不能检查多形性病毒 不能对付隐蔽性病毒 第八章 计算机病毒防范技术 （2）校验和法 将正常文件的内容，计算其校验和，将该校验和 写入文件中或写入别的文件中保存。在文件使用过程 中，定期地或每次使用文件前，检查文件现在内容算 出的校验和与原来保存的校验和是否一致，因而可以 发现文件是否感染，这种方法叫校验和法。 优点：方法简单，能发现未知病毒、被查文件的 细微变化也能发现。 缺点：会误报警、不能识别病毒名称、不能对付 隐蔽型病毒。 第八章 计算机病毒防范技术 校验和法查病毒 运用校验和法查病毒采用三种方式： 在检测病毒工具中纳入校验和法，对被查的对象 文件计算其正常状态的校验和，将校验和值写入被查 文件中或检测工具中，而后进行比较。 在应用程序中，放入校验和法自我检查功能，将 文件正常状态的校验和写入文件本身中，每当应用程 序启动时，比较现行校验和与原校验和值，实现应用 程序的自检测。 将校验和检查程序常驻内存，每当应用程序开始 运行时，自动比较检查应用程序内部或别的文件中预 先保存的校验和。 第八章 计算机病毒防范技术 （3）行为监测法 利用病毒的特有行为特征来监测病毒的方法，称 为行为监测法。这些能够作为监测病毒的行为特征如 下： A. 占有INT 13H B. 改DOS系统为数据区的内存总量 C. 对COM、EXE文件做写入动作 D. 病毒程序与宿主程序的切换 优点：可发现未知病毒、可相当准确地预报未知 的多数病毒。 缺点：可能误报警、不能识别病毒名称、实现时 有一定难度。 第八章 计算机病毒防范技术 8.3.2 计算机病毒的防范 1严格的管理 2有效的技术 目前在预防病毒工具中采用的技术主要有： （1）将大量的消毒/杀毒软件汇集一体。 （2）检测一些病毒经常要改变的系统信息。 （3）监测写盘操作，对引导区或主引导区的写操作报 警。 （4）对文件形成一个密码检验码，实现对程序完整性 的验证。 （5）智能判断型。 （6）智能监察型。 第八章 计算机病毒防范技术 8.3.2 计算机病毒的防范 3宏病毒的防范 4电子邮件病毒的防范 （1）思想上高度重视，不要轻易打开来信中 的附件文件，尤其对于一些“EXE”之类的可执 行程序文件，就更要谨慎。 （2）不断完善“网关”软件及病毒防火墙软件 ，加强对整个网络入口点的防范。 （3）使用优秀的防毒软件同时保护客户机和 服务器 （4）使用特定的SMTP杀毒软件 第八章 计算机病毒防范技术 8.3.3 计算机病毒的发展方向和趋势 1计算机病毒的新特征 利用微软漏洞主动传播 局域网内快速传播 以多种方式传播 大量消耗系统与网络资源 双程序结构 用即时工具传播病毒 病毒与黑客技术的融合 应用软件漏洞成为网页挂马的新宠 第八章 计算机病毒防范技术 8.3.3 计算机病毒的发展方向和趋势 2计算机病毒发展的趋势及对策 变形病毒成为下一代病毒首要的特点。 与Internet和Intranet更加紧密地结合，利 用一切可以利用的方式进行传播； 所有的病毒都具有混合型特征，破坏性大大 增强； 因为其扩散极快，不再追求隐藏性，而更加 注重欺骗性； 利用系统漏洞将成为病毒有力的传播方式。 第八章 计算机病毒防范技术 8.4 恶意代码 8.4.1 恶意代码概述 恶意代码是一种程序，通常在人们没 有察觉的情况下把代码寄宿到另一段程序 中，从而达到破坏被感染计算机的数据、 运行具有入侵性或破坏性的程序、破坏被 感染系统数据的安全性和完整性的目的。 返回本章首页 第八章 计算机病毒防范技术 8.4.2 恶意代码的特征与分类 恶意代码的特征 恶意的目的 本身是程序 通过执行发生作用 返回本章首页 第八章 计算机病毒防范技术 8.4.2 恶意代码的特征与分类 恶意代码的分类 木马 网络蠕虫 移动代码 复合型病毒 返回本章首页 第八章 计算机病毒防范技术 8.4.3 恶意代码的关键技术 生存技术 反跟踪技术 加密技术 模糊变换技术 自动生产技术 返回本章首页 第八章 计算机病毒防范技术 8.4.3 恶意代码的关键技术 攻击技术 进程注入技术 三线程技术 端口复用技术 对抗检测技术 端口反向连接技术 缓冲区溢出攻击技术 返回本章首页 第八章 计算机病毒防范技术 8.4.3 恶意代码的关键技术 隐藏技术 本地隐藏技术 ，是指为了防止本地系统 管理人员察觉而采取的隐蔽手段。 通信隐藏，常见的网络通信隐蔽技术有 http tunnel和icmp tunnel等 。 返回本章首页 第八章 计算机病毒防范技术 8.4.4 网络蠕虫 网络蠕虫的定义 网络蠕虫是一种智能化、自动化，综 合网络攻击、密码学和计算机病毒技术， 不需要计算机使用者干预即可运行的攻击 程序或代码。能够扫描和攻击网络上存在 系统漏洞的节点主机，通过局域网或者国 际互联网从一个节点传播到另外一个节点 。 返回本章首页 第八章 计算机病毒防范技术 网络蠕虫的功能模型 返回本章首页 第八章 计算机病毒防范技术 网络蠕虫的扫描策略 良好的扫描策略能够加速蠕虫传播，并可 以提高自身安全性和隐蔽性，因此网络蠕虫扫 描策略是网络蠕虫研究的一项重要内容。按照 蠕虫对目标地址空间的选择方式进行分类：扫 描策略可以分为：选择性随机扫描、顺序扫描 、基于目标列表的扫描、分治扫描、基于路由 的扫描、基于DNS扫描等。 返回本章首页 第八章 计算机病毒防范技术 8.4.5 Rootkit技术 Rootkit技术简介 Rootkit作为一个名词最早出现于二十世纪90年代初。 Rootkit是攻击者用来隐藏自己的踪迹和维持远程管理员访 问权限的工具，而不是用来获得系统管理员访问权限的工具 。一个典型Rootkit通常包括： 以太网嗅探器程序，用于获得网络上传输的用户名和密码 等信息。 特洛伊木马程序，例如inetd或者login，为攻击者提供后 门。 隐藏攻击者的目录和进程的程序，例如