计算机系统安全(计算机病毒)..ppt

* 网络安全 Network Security Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 几种常见的计算机病毒 计算机病毒概述计算机病毒概述 第7章 计算机系统安全 计算机病毒的防治Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 计算机病毒的概念 定义：计算机病毒是一段附着在其他程序上的可 以实现自我繁殖的程序代码。（国外） 定义：计算机病毒是指破坏计算机功能或者数据 ，并能自我复制的程序。（国内） 病毒发展史： 1977年科幻小说The Adolescence of P-1描写计算机 病毒 1983年Fred Adleman首次在VAX 11/750上试验病毒； 1986年Brain病毒在全世界传播； 1988年11月2日Cornell大学的Morris编写的Worm病毒袭 击美国6000台计算机，直接损失尽亿美元； 八十年代末，病毒开始传入我国； Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 病毒产生的原因： l计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性 。不易取证，风险小破坏大。 1）寻求刺激：自我表现；恶作剧； 2）出于报复心理。 病毒的特征： 传染性；寄生性；衍生性； 隐蔽性；潜伏性； 可触发性；夺取控制权； 破坏性与危害性； 计算机病毒的概念（续） Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 按破坏性分为：良性；恶性。 按激活时间分为：定时；随机 按传染方式分为： 引导型：当系统引导时进入内存，控制系统； 文件型：病毒一般附着在可执行文件上 ； 混合型：既可感染引导区，又可感染文件。 按连接方式分为： OS型：替换OS的部分功能，危害较大； 源码型：要在源程序编译之前插入病毒代码；较少； 外壳型：附在正常程序的开头或末尾；最常见； 入侵型：病毒取代特定程序的某些模块；难发现。 计算机病毒的分类 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 按照病毒特有的算法分为： l伴随型病毒：产生EXE文件的伴随体COM，病毒把自 身写入COM文件并不改变EXE文件，当DOS加载文件 时，伴随体优先被执行到，再由伴随体加载执行原来的 EXE文件。 l“蠕虫”型病毒：只占用内存，不改变文件，通过网络搜 索传播病毒。 l寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依 附在系统的引导扇区或文件中。 l变型病毒（幽灵病毒）：使用复杂算法，每传播一次都 具有不同内容和长度。一般的作法是一段混有无关指令 的解码算法和被变化过的病毒体组成。 计算机病毒的分类（续） Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 计算机病毒的组成 病毒的组成： l安装模块：提供潜伏机制； l传播模块：提供传染机制； l触发模块：提供触发机制； 其中，传染机制是病毒的本质特征，防治、检测及 杀毒都是从分析病毒传染机制入手的。 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 病毒的症状： l启动或运行速度明显变慢； l文件大小、日期变化； l死机增多； l莫名其妙地丢失文件； l磁盘空间不应有的减少； l有规律地出现异常信息； l自动生成一些特殊文件； l无缘无故地出现打印故障。 计算机病毒的症状 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 1）通过不可移动的设备进行传播 较少见，但破坏力很强。 2）通过移动存储设备进行传播 最广泛的传播途径 3）通过网络进行传播 反病毒所面临的新课题 4）通过点对点通讯系统和无线通道传播 预计将来会成为两大传播渠道 计算机病毒的传播途径 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * l攻击系统数据区：主引导区、Boot区、FAT区、文 件目录 l攻击文件、内存、CMOS；干扰系统运行，使速度 下降；干扰屏幕、键盘、喇叭、打印机； l破坏网络资源。 病毒的破坏行为 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 病毒的发展趋势 l攻击对象趋于混合型； l反跟踪技术； l增强隐蔽性： l避开修改中断向量值； l请求在内存中的合法身份； l维持宿主程序外部特征； l不用明显感染标志 l采用加密技术，使得对病毒的跟踪、判断更困难 ； l繁衍不同的变种。 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 几种常见的计算机病毒几种常见的计算机病毒 计算机病毒概述 第7章 计算机系统安全 计算机病毒的防治Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 几种常见的病毒 l宏病毒 宏(Macro)：为避免重复操作而设计的一组命令。 在打开文件时，先执行“宏”，然后载入文件内容。因此如果“宏 ”带有病毒，则在编辑文件时病毒自动载入。 宏病毒的症状： 1）用Word或Excel打开文件时，出现“文档未打开”、“内存不 够”、“WordBasic Err=514”等； 2）保存文件时，强制将文件按“.dot”类型存储，或强制在指定 目录存放。 3）宏病毒的版本兼容问题 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * l几种宏病毒： lAAAZAO Macro：Concept病毒，第一个宏病毒； lTaiwan NO.1：第一个中文word病毒； lRainbow Macro：能改变桌面颜色； lFormatC：格式化C盘，第一个木马型宏病毒； lHot Macro：第一个调用Windows API的宏病毒； lNuclear Macro:第一个干扰打印机、硬盘的宏病毒。 l宏病毒分类： l公用宏病毒：以Auto开头的宏，附在normal.dot或 Personal.xls 等模板上。 l私用宏病毒： 宏病毒 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * l宏病毒的危害 1）传播迅速：因为文件交流频繁； 2）制造及变种方便：Word Basic编程容易 3）危害大： Word Basic可调用Windows API、DLL、 DDE l宏病毒的防治 除杀毒软件以外，还可尝试下列方法： 1）按住键再启动Word，禁止宏自动运行； 2）工具宏，检查并删除所有可能带病毒的宏； 3）使用Disable AutoMacros宏 4）将模板文件如normal.dot的属性设为只读。 宏病毒（续） Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * CIH病毒 l台湾陈盈豪编写，一般每月26日发作。 l不仅破坏硬盘的引导扇区和分区表，还破坏系 统Flash BIOS芯片中的系统程序，导致主板损 坏。病毒长1KB，由于使用VXD技术，只感染 32位Windows 系统可执行文件中的.PE格式文 件。 l修复硬盘分区表：信源公司() 的免费软件VRVFIX.EXE； lCIH疫苗: CIH作者的Ant-CIHv1.0； 美国Symantec公司的Kill_CIH Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 网络病毒 含义1：在网上传播、并对网络进行破坏的病毒。 含义2：专指HTML、E-mail、Java等Internet病毒。 例：蠕虫病毒，木马程序等。 l2001年9月18日，Nimda worm 在Internet上迅速传 播。该病毒感染Windows 系列多种计算机系统，其 传播速度之快、影响范围之广、破坏力之强都超过其 前不久发现的Code Red II。 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * l特点：网上蔓延，危害更大。 l1）网上传染方式多，工作站、服务器交叉感染 l2）混合特征：集文件感染、蠕虫、木马等于一身 l3）利用网络脆弱性、系统漏洞 l4）更注重欺骗性 l5）清除难度大，破坏性强。 l网络病毒的防范： l具体实现方法包括对网络服务器中的文件进行频繁地扫 描和监测；在工作站上用防病毒芯片和对网络目录及文 件设置访问权限等。 网络病毒（续） Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * l相对于单机病毒的防护来说，网络病毒的防治具 有更大的难度，网络病毒防治应与网络管理集成 。 l管理功能就是管理全部的网络设备：从Hub、交 换机、服务器到PC，软盘的存取、局域网上的 信息互通及与Internet的连接等，所有病毒能够 进来的地方。 l为实现计算机病毒的防治，可在计算机网络系统 上安装网络病毒防治服务器；在内部网络服务器 上安装网络病毒防治软件；在单机上安装单机环 境的反病毒软件。 网络病毒（续） Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * l局域网病毒防御体系 1）服务器网络病毒防杀模块 l监视各节点，保护网络操作系统安全； l动态告警、杀灭各节点的病毒； l配置系统整体的检测计划、时间； l对病毒事件进行记录、审计、跟踪； l提供技术支持，升级； 2）客户端单机病毒防杀模块 l单机版杀毒软件；响应升级要求 网络病毒（续） Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * l安装网络防毒软件的方案 1）在网关和防火墙上安装防毒软件 缺点：对每个文件的检测将影响网络性能。 2）在工作站上安装防毒软件 缺点：管理、协调、升级困难。 3）在电子邮件服务器上安装防毒软件 仅能防止邮件病毒的传播。 4）在所有文件服务器上安装防毒软件 对于备份服务器，备份与反毒有可能冲突。 网络病毒（续） Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * l网络反毒的新特征： 与OS结合更紧密；实时化；检测压缩文件病毒 l病毒防火墙技术：能阻止病毒的扩散 l在网络服务器上安装病毒防火墙系统，例如： Inter Scan Virus Wall l关键技术： lOS底层接口技术： l实时过滤，并少占用资源； l网络及应用程序的底层接口技术： l各种协议 l充分利用OS的多任务、多线程机制； l优化算法，减少系统开销； 网络病毒（续） Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 几种常见的计算机病毒 计算机病毒概述 第7章 计算机系统安全 计算机病毒的防治计算机病毒的防治Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 病毒的防治 v网络环境下的病毒防治原则与策略 防重于治，防重在管：制度；注册、权限、属性、服务 器安全；集中管理、报警。 综合防护：木桶原理；防火墙与防毒软件结合 最佳均衡原则：占用较小的网络资源 管理与技术并重 正确选择反毒产品 多层次防御：病毒检测、数据保护、实时监控 注意病毒检测的可靠性：经常升级；两种以上。 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 病毒的防治（续） l防毒：预防入侵； 病毒过滤、监控、隔离 l查毒：发现和追踪病毒； 统计、报警 l解毒：从感染对象中清除病毒；恢复功能 v病毒检测的方法 直接观察法： 根据病毒的种种表现来判断 特征代码法 ：采集病毒样本，抽取特征代码 特点：能快速、准确检验已知病毒，不能发现未知的病毒 。 Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * 校验和法： 根据文件内容计算的校验和与以前的 作比较。 优点：能判断文件细微变化，发现未知病毒。 缺点：当软件升级、改口令时会产生误报；不能 识别病毒名称；对隐蔽性病毒无效。 行为监测法： 基于对病毒异常行为的判断 特点：发现许多未知病毒；可能误报，实施难 软件模拟法：一种软件分析器，用软件方法来模 拟和分析程序的运行。 特点：可用于对付多态病毒。 病毒的防治（续） Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * l反病毒软件的选择 1）扫描速度 30秒能扫描1000个以上文件 2）识别率 3）病毒清除测试 l著名杀毒软件公司 冠群金辰 KILL 瑞星 RAV 北京江民 KV3000 信源 LAN VRV 赛门铁克 Norton Anti Virus 时代先锋（行天98） 病毒的防治（续） Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client Profile .Created with Aspose.Slides for .NET 3.5 Client Profile . Copyright 2004-2011 Aspose Pty Ltd.Copyright 2004-2011 Aspose Pty Ltd. * l反病毒软件工作原理 1）病毒扫描程序 串扫描算法:与已知病毒特征匹配；文件头、尾部 入口扫描算法：模拟跟踪目标程序的执行 类属解密法：对付多态、加密病毒 2）内存扫描程序：搜索内存驻留文件和引导记录病毒 3）完整性检查器：能发现新的病毒；但对于已被感染 的系统使用此方法，可能会受到欺骗。 4）行为监测器：是内存驻留程序，监视病毒对可执行 文件的修改。防止未知的病毒 病毒的防治（续） Evaluation only.Evaluation only. Created with Aspose.Slides for .NET 3.5 Client