周、病毒剖析、防范与清除.ppt

网络管理与信息安全,病毒剖析、防范与清除,复习,计算机病毒的发展年代和特点 计算机病毒的组成结构 宏病毒的原理与实现方法 U盘病毒的原理与实现方法,2,本节教学目标,通过剖析一种具体病毒，分析病毒传播机制 掌握查杀病毒的方法,3,本课要点,掌握查杀病毒的基本原理和方法,4,5,病毒的防范与清除,防范病毒 计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒的侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。,6,检测病毒,检测病毒方法有： 特征代码法 校验和法 行为监测法 软件模拟法 这些方法依据的原理不同，实现时所需的开销也不同，同时检测的范围也不同，各有所长。,2019/7/19,北京信息职业技术学院,7,特征代码法,特征代码法的实现步骤： 采集已知病毒样本，在病毒样本中，抽取特征代码。 抽取的代码要有典型性，不能与正常程序代码吻合。 抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面又不要有太大的空间与时间的开销。在保持唯一性的前提下，尽量使特征代码长度短些，以减少空间与时间开销。将特征代码纳入病毒数据库。 打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码，由于特征代码与病毒一一对应，便可以断定，被查文件中患有何种病毒。,8,特征代码法的特点,优点： 检测准确、可识别病毒的名称、误报警率低、依据检测结果，可做解毒处理。 缺点： 不能检测未知病毒、搜集已知病毒的特征代码费用开销大。 速度慢。随着病毒种类的增多，检索时间变长。如果检索5000种病毒，必须对5000个病毒特征代码逐一检查。 不能检查多形性病毒。 不能对付隐蔽性病毒。隐蔽性病毒若先进驻内存，隐蔽性病毒能先于检测工具，将被查文件中的病毒代码剥去，检测工具检测到一个虚假的“好文件“，而不能报警，被隐蔽性病毒所蒙骗。,病毒特征检测码,下面是一段国际公开病毒特征检测码，不具有破坏性，用于检验杀毒软件。 X5O!P%AP4PZX54(P)7CC)7$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*,9,10,校验和法,将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，它既可发现已知病毒又可发现未知病毒。 这种方法既能发现已知病毒，也能发现未知病毒。但是，它不能识别病毒类，不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因，文件内容的改变有可能是正常程序引起的，所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。,检验和法的不足,病毒感染的确会引起文件内容变化，但是校验和法对文件内容的变化太敏感，又不能区分正常程序引起的变动，而频繁报警。用监视文件的校验和来检测病毒，不是最好的方法。 校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后，会自动剥去染毒程序中的病毒代码，使校验和法受骗，对一个有毒文件算出正常校验和。,11,12,运用校验和法查病毒采用三种方式,在检测病毒工具中纳入校验和法。对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。 在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值。实现应用程序的自检测。 将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。,13,行为监测法,利用病毒的特有行为特征性来监测病毒的方法，称为行为监测法。 通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊。当程序运行时，监视其行为，如果发现了病毒行为，立即报警。 这些做为监测病毒的行为特征如下： 修改 INT 13H。所有的引导型病毒，都攻击Boot扇区或主引导扇区。 对COM、EXE文件做写入动作。病毒要感染，必须写COM、EXE文件。 修改注册表。蠕虫类病毒往往通过修改注册表而启动。,行为监测法的特点,优点：可发现未知病毒。 缺点：可能误报警、不能识别病毒名称、实现时有一定难度。,14,15,加密病毒,随着病毒技术的发展，出现了一类加密病毒。这类病毒的特点是：病毒主体代码被加了密。运行时首先得到控制权的解密代码将对病毒主体进行循环解密，完成后将控制交给病毒主体运行。由于同一种病毒的不同传染实例的病毒主体是用不同的密钥进行加密，因而不可能在其中找到唯一的一段代码串和偏移来代表此病毒的特征。,虚拟机查毒技术,为了对付加密病毒，出现了虚拟机查毒技术。 解密后病毒体明文是稳定不变的，如果能够得到解密后的病毒体就可以使用特征码扫描了。 查毒的虚拟机是一个软件模拟的CPU，它可以象真正CPU一样取指，译码，执行，它可以模拟一段代码在真正CPU上运行得到的结果，而虚拟机在程序上与真实机是隔离的，解密后的病毒不会侵犯真实机。 虚拟机首先从文件中确定并读取病毒入口处代码，然后解释执行病毒头部的解密段，最后在执行完的结果（解密后的病毒体明文）中查找病毒的特征码。,16,17,病毒的发展趋势,病毒传播方式不再以存储介质为主要的传播载体，网络成为计算机病毒传播的主要载体。 现在，我们在生活和工作中，已经很少使用软盘，网络成为我们传播文件的主要方式，因此，计算机病毒也就不在依靠传统的传播方式，网络成为计算机病毒传播的最主要载体，这里面有两层涵义： 计算机病毒的传播被动的利用了网络；比如CIH病毒完全是一款传统的病毒，但是，它依附在其他程序上面通过网络进行传播； 计算机病毒主动利用网络传播；这些病毒直接利用了网络特征，这也是今后计算机病毒的最常见的特征。,18,蠕虫成为最主要和破坏力最大的病毒类型,当网络应用日益广泛以后，网络蠕虫成为病毒设计者的首选。 除了网络具有传播广、速度快的优点以外，蠕虫的一些特征也促使病毒制造者特别中意这种病毒类型： 蠕虫病毒主要利用系统漏洞进行传播，在控制系统的同时，为系统打开后门，因此，病毒制造者特别是有黑客趋向的病毒制造者会特别中意这种病毒； 蠕虫病毒编写简单，不需要经过复杂的学习；(编写传统病毒需要对系统有深入的了解；而蠕虫病毒往往利仅用VBS来编写，比如欢乐时光）。对这一类只要仔细研究它们的源代码，很快就可以自己编写一个相似的病毒出来。,19,恶意网页,现在已经有很多网页使用了动态技术。这些网页有以下特点： 在浏览者不知道的情况下，修改用户的浏览器选项，包括首页、浏览器标题栏、浏览器右键菜单、浏览器工具菜单等，以达到使浏览者再次访问该网页的目的；网页这一类的网页没有对用户的文件资料和硬件造成损害，但是，让用户在浏览时造成不便； 修改浏览者注册表选项，锁定注册表、修改系统启动选项，这一类的网页，目的也是迫使用户访问其网页，但是，在客观上已经造成了对用户的恶意干扰甚至破坏； 其它形式的破坏，如格式化用户硬盘等；这样的网页在理论上已经可以实现，但在实际的网络上，似乎还没有大规模的出现或者没有以上提到的那些恶意网页那样广泛。 其实以上提到的三种情况，就使用技术而言是相似甚至相同的，都是使用了IE的ActiveX漏洞。 在当前的病毒定义下，我们尚不能称恶意网页为病毒，因为它少了病毒最明显得一个特征不能自我复制。但其破坏性是巨大的。,20,病毒与木马技术相互结合,病毒与木马技术相互结合，出现带有明显病毒特征的木马或者木马特征的病毒。 在有木马以前，传统病毒的危害比较直接，直接进行简单的破坏。 有了木马以后，因为它们的背后往往有一个人来控制，控制者会通过木马来控制计算机，可实施任何形式的破坏。 现在，一些木马加入了病毒的传播机制，可以寄生于某种载体上自由繁殖，而被感染的计算机被打开端口可被监控者控制。 监控者可以使用扫描器在网络中扫描发现被感染的计算机，从中选择感兴趣者进行窃密或破坏。,21,传播方式多样化,这里的传播方式不仅是指网络等介质的传播，而是指吸引用户“上当”的方式。 通过具有诱惑性的语言或图片欺骗用户点击某些链接，通过这些链接使用户在不知情的情况下主动下载病毒代码。,22,跨操作系统的病毒,现在已经发现Linux下的病毒，随着Linux的普及，已经出现可以同时感染Windows操作系统和Linux操作系统的病毒。,23,手机病毒、信息家电病毒的出现,随着无线应用协议（WAP）和信息家电的普及，手机和信息家电将逐步复杂和智能化。同时，手机、信息家电和互联网的结合日益紧密，这些设备为了用户使用方便，往往具有通过网络升级功能。 网络升级的本质就是通过网络修改程序代码，这为网络传输病毒留下了技术通道。 手机病毒将病毒以JAVA代码形式或者发送短信息给手机。用户将此代码加入手机后造成手机中毒。,24,流氓软件,“流氓软件”是介于病毒和合法软件之间的软件。 “流氓软件”介于两者之间，即具备正常功能与实用价值（下载、媒体播放等）也有恶意行为（弹广告、开后门），给用户带来实质危害。 流氓软件流氓行径： 强行侵入用户电脑，无法卸载 强行弹出广告，借以获取商业利益 有侵害用户的虚拟财产安全潜在因素 偷偷收集用户在网上消费时的行为习惯、帐号密码 从法律意义上来讲，我国刑法第285条、286条对侵入用户计算机、破坏计算机功能的行为进行了明确规定，“流氓软件”的编写和发布将可能触犯国家法律，国家有关部门对其十分重视，并一直在密切关注事态的发展。 有关人士也正在呼吁主管部门将此类不良程序列为有害程序，等同于病毒、木马来处理，以便于反病毒厂商早日将这些程序加入杀毒软件病毒库。,25,防病毒系统的要求,完整的产品体系和较高的病毒检测率 功能完善的防病毒软件控制台 减少通过广域网进行管理的流量 对计算机病毒的实时防范能力 快速及时的病毒特征码升级,典型杀毒软件介绍(2006年度排名),金奖：BitDefender 银奖： Kaspersky 铜奖： F-Secure Anti-Virus 第四名： PC-cillin 第五名： ESET Nod32 第六名： McAfee VirusScan 第七名： Norton AntiVirus 第八名： AVG Anti-Virus 第九名： eTrust EZ Antivirus 第十名： Norman Virus Control 第十一名：AntiVirusKit 第十二名：AVAST! 第十三名：Panda Titanium 第十四名：F-Prot,26,目前世界四大杀毒软件各自的特点,卡巴就好象西毒，凶猛强悍，神功盖世，对敌决不留情，出手狠辣，招招夺命，绝少失手，不愧为一代枭雄，但毕竟练的不是纯正内功，容易走火入魔，导致系统出问题。 麦咖啡就象东邪，玉树临风，俊朗潇洒，对敌招式繁多，机关重重，杀伐决断从不迟疑，为江湖第一机智聪明之人，但因其心机太深，令人难以掌握。 诺顿就象南帝，雍容华贵，稳沉厚重