大学计算机病毒原理及防范技术-王路群-课件PPT
收藏
资源目录
压缩包内文档预览:(预览前20页/共30页)
编号:21836107
类型:共享资源
大小:14.56MB
格式:ZIP
上传时间:2019-09-06
上传人:QQ24****1780
认证信息
个人认证
王**(实名认证)
浙江
IP属地:浙江
25
积分
- 关 键 词:
-
大学
计算机病毒
原理
防范
技术
王路群
课件
ppt
- 资源描述:
-
大学计算机病毒原理及防范技术-王路群-课件PPT,大学,计算机病毒,原理,防范,技术,王路群,课件,ppt
- 内容简介:
-
计算机病毒原理及理论,第十章 病毒对抗技术,第十章 病毒对抗技术,10.3 病毒防御技术,10.2 病毒的清除,10.1 病毒的检测技术,本章学习导读,10.4 病毒样本的获取方法,本章小结,本章学习导读,本章主要讲解如何对抗病毒。首先介绍如何检测找到病毒,然后讲解如何将找到的病毒清除,接着讲解在发现病毒之前如何去防御病毒,最后讲解如何去获取病毒样本。,10. 1 病毒的检测技术,10.1.4 校验检测技术,10.1.3 行为监测技术,10.1.2 特征值检测技术,10.1.1 危险信号,10.1.5 启发式扫描,10.1.6 虚拟机技术,10.1.1 危险信号,1.磁盘的主引导扇区的信号 检查硬盘主引导扇区是否被感染,可用DEBUG编写一段程序,读出0面,0柱面,1扇区的内容。或者使用软件,在二级菜单中选物理扇区(Absolute sector),在提示下输入0面(side),0柱面(cylinder),1扇区(sector),读出主引导扇区。,10.1.1 危险信号,2.可执行文件的信号 对于寄生在可执行文件中的病毒来说,病毒程序一般通过修改原有可执行文件,使该文件执行首先转入病毒程序引导模块,该引导模块也完成把病毒程序的其它两个模块驻留及初始化的工作,然后把执行权交给执行文件,使系统及执行文件在带毒的状态下运行。,10.1.1 危险信号,3.内存空间的信号 计算机病毒在传染或执行时,必然要占有一定的内存空间,并驻留在内存中,等待时机进行攻击或传染。,10.1.1 危险信号,4.特征的信号 一些常见的病毒具有很明显的特征,即病毒中含有特殊的字符串。用抗病毒软件检查文件中是否存在这些特征,从而判定是否发生感染。特征搜索法可以确诊病毒类型。,10.1.2 特征值检测技术,计算机病毒的特征值是指计算机病毒本身在特定的寄生环境中确认自身是否存在的标记符号,即指病毒在传染宿主程序时,首先判断该病毒欲传染的宿主是否已染有病毒时,按特定的偏移量从文件中提出的特征值。,10.1.2 特征值检测技术,1.传统的特征值搜索技术 (1)采集已知的病毒样本。 (2)在病毒样本中,抽取特征值。 (3)获取病毒特征值 (4)将特征串纳入病毒特征数据库,10.1.2 特征值检测技术,2.传统的病毒特征串搜索技术的缺陷 (1)当被扫描的文件很长时,扫描所花时间也越多。 (2)不容易选出合适的特征串,很多时候会发出假警报。 (3)在新病毒的特征串还未加入病毒代码库时,老版本的扫毒程序无法识别出新病毒。 (4)怀有恶意的计算机病毒制造者得到代码库后,会很容易地改变病毒体内的代码,生成一个新的变种,使扫描程序失去检测它的能力。 (5)容易产生误警报。 (6)不易识别Mutation Engine类病毒。 (7)搜集已知病毒的特征代码,费用开销大。 (8)在网络上使用效率低。,10.1.2 特征值检测技术,3.广谱特征串选取 (1)提取变形病毒的多个感染样本。 (2)在每个样本的相同位置抽取适当长度的病毒代码。 (3)比较这些病毒特征串,依次记下各个样本完全相同的代码。 (4)如果在各个样本的病毒特征串中,从第一组(有1个字节以上含1个字节)相同的特征串到第二组相同的特征串之间的代码,不仅常变换,而且在每一个样本中,它们之间的间距也不相同。如果是在32个字节内变化,可以用双“%”百分号来过滤这些变化的代码。 (5)按以上方法处理完病毒特征串,最后得到的就是病毒的广谱特征串。,10.1.2 特征值检测技术,4.建立病毒广谱特征串选取注意事项 (1)病毒广谱特征串后面的汉字串中不得使用西文双引号。 (2)双问号“?”和百分号“%”可交叉使用。 (3)当两组病毒特征代码之间的距离大于32个字节时,大于部分可增加一些双问号“?”来接续,或多用几个“%”双百分号。 (4)特征值中至少要有三组不变的病毒代码。,10.1.2 特征值检测技术,特征值检测的优点 1)当特征串选择得很好时,病毒检测软件让计算机用户使用起来方便快速,对病毒了解不多的人也能用它来发现病毒。 2)不用专门软件,用编辑软件也能用特征串扫描法去检测特定病毒。 3)可识别病毒的名称。 4)误报警率低。 5)依据检测结果,可做杀毒处理。,10.1.3 行为监测技术,利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。 通过对病毒多年的观察、研究,发现病毒有一些共同行为。在正常应用程序中,这些行为比较罕见,这就是病毒的行为特性。,10.1.3 行为监测技术,监测病毒的行为特征: (1)写注册表 (2)自动联网请求 (3)占用INT 13H (4)修改DOS系统数据区的内存总量 (5)对COM和EXE文件做写入动作 (6)病毒程序与宿主程序的切换,10.1.4 校验检测技术,将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,从而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。,10.1.4 校验检测技术,1.长度比较法及内容比较法 病毒感染系统或文件,必然引起系统或文件的变化,既包括长度的变化,又包括内容的变化。因此,将无毒的系统或文件与被检测的系统或文件的长度和内容进行比较,即可发现病毒。长度比较法和内容比较法就是从长度和内容两方面进行比较而得名。,10.1.4 校验检测技术,2.内存比较法 这是一种对内存驻留病毒进行检测的方法。由于病毒驻留于内存,必须在内存中申请一定的空间,并对该空间进行占用、保护。因此,通过对内存的检测,观察其空间变化,与正常系统内存的占用和空间进行比较,可以判定是否,有病毒驻留其间。,10.1.4 校验检测技术,3.中断比较法 病毒为实现其隐蔽和传染破坏之目的,常采用“截留盗用”技术,更改、接管中断向量,让系统中断向量转向执行病毒控制部分。因此,将正常系统的中断向量与有毒系统的中断向量进行比较,可以发现是否有病毒修改和盗用中断向量。,10.1.4 校验检测技术,4.文件校验和 对文件内容(可含文件的属性)的全部字节进行某种函数运算,这种运算所产生的适当字节长度的结果就叫做校验和。 这种校验和在很大程度上代表了原文件的特征,一般文件的任何变化都可以反映在校验和中。,10.1.5 启发式扫描,1.人工智能 一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实现的动态调试器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。,10.1.5 启发式扫描,2.扫描信号标志 对于某个文件来说,被设置的标志越多,染毒的可能性就愈大。 常规干净程序极少会设置一个标志,但如果要作为可疑病毒报警的话,则至少要设置两个以上标志。,10.1.5 启发式扫描,3.虚报 正如任何其他的通用检测技术一样,启发式扫描技术有时也会把一个本无病毒的程序指证为染毒程序,这就是所谓的查毒程序虚报谎报现象。 虚报的原因很简单被检测程序中含有属于病毒所使用或含有的可疑功能。,10.1.6 虚拟机技术,虚拟机技术,该技术也称为软件模拟法,它是一种软件分析器,用软件方法来模拟和分析程序的运行,而且程序的运行不会对系统起实际的作用(仅是模拟),因而不会对系统造成危害。 其实质都是让病毒在虚拟的环境下执行。,10.2 病毒的清除,10.2.4病毒的去激活,10.2.3 宏病毒的清除,10.2.2 文件型病毒的清除,10.2.1 引导型病毒的清除,10.2 病毒的清除,将染毒文件的病毒代码摘除,使之恢复为可正常运行的健康文件,称为病毒的清除,有时称为对象恢复。 清除可分为手工清除和自动清除两种方法。,10.2.1 引导型病毒的清除,引导型病毒感染时的攻击部位有: (1)硬盘主引导扇区。 (2)硬盘或软盘的Boot扇区。,10.2.1 引导型病毒的清除,1.消除引导扇区型病毒 提取引导区 覆盖引导区 Cdebug Cdebug -L100 盘号 0 1 -N Dosboot.21s -N Dosboot.21s -L -RCX -W100 盘号 0 1 CX 0000 -Q :200 -W -Q,10.2.1 引导型病毒的清除,2. 消除硬盘主引导扇区型病毒 (1)用无毒软盘启动系统。 (2)寻找一台同类型、硬盘分区相同的无毒机器,将其硬盘主引导扇区写入一张软盘中。 (3)将此软盘插入染毒机器,将其中采集的主引导扇区数据写入染毒硬盘,即可修复。,10.2.2 文件型病毒的清除,文件型病毒也称为外壳型病毒。文件型病毒一般攻击*.EXE或*.COM可执行文件。 清除文件型病毒一般需要做: 恢复原文件的数据; 删除病毒的有关数据及程序段。,10.2.3 宏病毒的清除,(1)打开宏菜单,在通用模板中删除认为是病毒的宏。 (2)打开带有病毒宏的文档(模板),然后打开宏菜单,在通用模板和病毒文件名模板中删除认为是病毒的宏。 (3)保存清洁文档。,10.2.4 病毒的去激活,清除内存中的病毒,是指使RAM中的病毒进入非激活状态,跟文件恢复一样,需要OS和汇编语言知识。 清除内存中的病毒,需要检测病毒的执行过程,然后改变其执行方式,使病毒失去传染能力。,10.3 病毒防御技术,10.3.4 防火墙和防毒软件,10.3.3 数字免疫,10.3.2 病毒的预防措施及方法,10.3.1 病毒入侵途径分析,10.3.1 病毒入侵途径分析,(1)系统启动盘要专用,而且要加上写保护,以防病毒侵入。 (2)不要乱用其它来历不明的程序或软件,也不要使用非法复制或解密的软件。 (3)对于外来的机器或软件要进行病毒的检测,在确认无毒的情况下方可使用。 (4)对于带有硬盘的机器最好专机专用或专人专机,以防病毒侵入硬盘。 (5)对于重要的系统盘,数据盘以及硬盘上的重要信息要经常备份,以使系统或数据遭到破坏后能及时得到恢复。 (6)网络上的计算机用户要遵守网络软件的使用规定,不能在网络上随意使用外来的软件。,10.3.2 病毒的预防措施及方法,通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。 最重要的是思想上要重视计算机病毒可能会给计算机安全运行带来的危害。 同样是对于计算机病毒,有病毒防护意识的人和没有病毒防护意识的人会采取完全不同的态度。,10.3.3 数字免疫,数字免疫系统(Digital Immune System)是IBM公司和赛门铁克(Symantec)公司提出的新概念。 数字免疫系统主要是为企业级的信息系统服务的,它所“预防治疗”的病症很广泛,既包括计算机病毒,也包括影响企业信息系统正常运行的诸多因素,如磁盘碎片引起的运行处理速度缓慢,经常性的系统死机多,并且提供修复更新系统的工具。,10.3.3 数字免疫,1.管理职能 2.智能化的反病毒工具 3.整理磁盘碎片 4.事故防范与灾难恢复 5.远程支持,10.3.4 防火墙和防毒软件,1.防火墙 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。,10.3.4 防火墙和防毒软件,防火墙的功能主要表现在以下几个方面: (1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)对网络存取和访问进行监控审计 (4)防止内部信息的外泄,10.3.4 防火墙和防毒软件,2.防毒软件 杀毒软件是用于消除电脑病毒、特洛伊木马和恶意软件、保护电脑安全的一类软件的总称。 防毒软件国内也称杀毒软件 防毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的防毒软件还带有数据恢复等功能。,10.3.4 防火墙和防毒软件,一些国内外比较知名的防毒软件 (1)BitDefender (2)Kaspersky (3)F-Secure Anti-Virus (4)PC-cillin (5)ESET Nod32 (6)McAfee VirusScan (7)Norton AntiVirus (8)瑞星 (9)金山毒霸 (10)江民 (11)趋势 (12)微点主动防御软件,10.3.4 防火墙和防毒软件,3.防毒软件和防火墙比较 (1)防火墙是用来阻挡端口攻击,简单的说,就是管理系统端口的。 (2)防毒软件,主要是用来防止网络上的病毒、恶意代码、恶意脚本病毒等来感染操作系统。 (3)防火墙是起网络隔离作用的;防毒软件是起防毒杀毒作用的,10.4 病毒样本的获取方法,10.4.4 PE病毒样本的提取,10.4.3 宏病毒样本的提取,10.4.2 脚本病毒样本的提取,10.4.1 企业获取方法和个人获取方法的异同,10.4.1 企业获取方法和个人获取方法的异同,1.企业的样本获取方法 (1)通过自己在各个网段设置的节点截取样本 (2)通过公司的专用邮件系统获取 (3)通过病毒感染者提供 (4)病毒编写者自己提供,10.4.1 企业获取方法和个人获取方法的异同,2.个人获取病毒样本 对于个人用户来说,当然没有反病毒公司截获病毒的那种条件。不过,要找一些病毒样本来分析也不是一件难事情。 可以设置蜜罐。,10.4.2 脚本病毒样本的提取,脚本病毒是用脚本语言编写而成,该语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。,10.4.2 脚本病毒样本的提取,1.一次性加/解密的病毒样本 2.解密一处执行一处的病毒样本,10.4.3 宏病毒样本的提取,1.利用代码进行提取 在提取宏病毒时,可以编写程序提取。这种提取方法比较简单,不过应该在Normal.dot被感染的情况下提取,如果Word的相关项被禁止,可以用VBS来做,,10.4.3 宏病毒样本的提取,2.利用Word直接提取 1)在Word中点击“工具”、“宏”、“安全性”,安全级选择“高”,可靠来源中勾去“信任安装的加载项和模板”。 2)打开已被感染了宏病毒的样本。 3)选择“工具”“宏”“Visual Basci编辑器”,这样就可以看到相应的宏病毒代码了。,10.4.4 PE病毒样本的提取,这种样本,经常会造成机器大伤,所以在开始代码提取之前,一定做好心理准备首先是做好提取环境。 1.病毒提取环境 先在本地计算机上安装虚拟机(如VMware, VPC),并在虚拟机中安装必要的样本提取工具(如SoftIce,IDA,W32 Dasm,FI,TR W2000等)。,10.4.4 PE病毒样本的提取,2.病毒提取工具 1)SoftIce 2)TR W2000 3)W32Dasm和IDA 4)FileInfo 5)ProcDump,10.4.4 PE病毒样本的提取,3.样本提取方法 (1)首先进行分析 (2)再将PE病毒样本进行分类,本章小结,通过本章得学习,应该掌握以下内容: 掌握病毒的检测技术 掌握病毒的清除技术 掌握病毒的防御技术 掌握病毒样本的提取技术,Thank You !,计算机病毒原理及理论 第十章 病毒对抗技术 第十章 病毒对抗技术 10.3 病毒防御技术10.2 病毒的清除10.1 病毒的检测技术 本章学习导读10.4 病毒样本的获取方法本章小结本章学习导读本章主要讲解如何对抗病毒。首先介绍如何检测找到病毒,然后讲解如何将找到的病毒清除,接着讲解在发现病毒之前如何去防御病毒,最后讲解如何去获取病毒样本。10. 1 病毒的检测技术10.1.4 校验检测技术 10.1.3 行为监测技术 10.1.2 特征值检测技术 10.1.1 危险信号10.1.5 启发式扫描 10.1.6 虚拟机技术 10.1.1 危险信号 1.磁盘的主引导扇区的信号 检查硬盘主引导扇区是否被感染,可用DEBUG编写一段程序,读出0面,0柱面,1扇区的内容。或者使用软件,在二级菜单中选物理扇区(Absolute sector),在提示下输入0面(side),0柱面(cylinder),1扇区(sector),读出主引导扇区。 10.1.1 危险信号2.可执行文件的信号对于寄生在可执行文件中的病毒来说,病毒程序一般通过修改原有可执行文件,使该文件执行首先转入病毒程序引导模块,该引导模块也完成把病毒程序的其它两个模块驻留及初始化的工作,然后把执行权交给执行文件,使系统及执行文件在带毒的状态下运行。 10.1.1 危险信号3.内存空间的信号计算机病毒在传染或执行时,必然要占有一定的内存空间,并驻留在内存中,等待时机进行攻击或传染。 10.1.1 危险信号4.特征的信号一些常见的病毒具有很明显的特征,即病毒中含有特殊的字符串。用抗病毒软件检查文件中是否存在这些特征,从而判定是否发生感染。特征搜索法可以确诊病毒类型。 10.1.2 特征值检测技术 计算机病毒的特征值是指计算机病毒本身在特定的寄生环境中确认自身是否存在的标记符号,即指病毒在传染宿主程序时,首先判断该病毒欲传染的宿主是否已染有病毒时,按特定的偏移量从文件中提出的特征值。10.1.2 特征值检测技术 1.传统的特征值搜索技术 (1)采集已知的病毒样本。 (2)在病毒样本中,抽取特征值。 (3)获取病毒特征值 (4)将特征串纳入病毒特征数据库10.1.2 特征值检测技术2.传统的病毒特征串搜索技术的缺陷 (1)当被扫描的文件很长时,扫描所花时间也越多。(2)不容易选出合适的特征串,很多时候会发出假警报。(3)在新病毒的特征串还未加入病毒代码库时,老版本的扫毒程序无法识别出新病毒。(4)怀有恶意的计算机病毒制造者得到代码库后,会很容易地改变病毒体内的代码,生成一个新的变种,使扫描程序失去检测它的能力。(5)容易产生误警报。(6)不易识别MutationEngine类病毒。(7)搜集已知病毒的特征代码,费用开销大。(8)在网络上使用效率低。10.1.2 特征值检测技术3.广谱特征串选取(1)提取变形病毒的多个感染样本。(2)在每个样本的相同位置抽取适当长度的病毒代码。(3)比较这些病毒特征串,依次记下各个样本完全相同的代码。(4)如果在各个样本的病毒特征串中,从第一组(有1个字节以上含1个字节)相同的特征串到第二组相同的特征串之间的代码,不仅常变换,而且在每一个样本中,它们之间的间距也不相同。如果是在32个字节内变化,可以用双“%”百分号来过滤这些变化的代码。(5)按以上方法处理完病毒特征串,最后得到的就是病毒的广谱特征串。10.1.2 特征值检测技术4.建立病毒广谱特征串选取注意事项(1)病毒广谱特征串后面的汉字串中不得使用西文双引号。(2)双问号“?”和百分号“%”可交叉使用。(3)当两组病毒特征代码之间的距离大于32个字节时,大于部分可增加一些双问号“?”来接续,或多用几个“%”双百分号。 (4)特征值中至少要有三组不变的病毒代码。 10.1.2 特征值检测技术特征值检测的优点1)当特征串选择得很好时,病毒检测软件让计算机用户使用起来方便快速,对病毒了解不多的人也能用它来发现病毒。2)不用专门软件,用编辑软件也能用特征串扫描法去检测特定病毒。3)可识别病毒的名称。4)误报警率低。5)依据检测结果,可做杀毒处理。 10.1.3 行为监测技术 利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。 通过对病毒多年的观察、研究,发现病毒有一些共同行为。在正常应用程序中,这些行为比较罕见,这就是病毒的行为特性。 10.1.3 行为监测技术监测病毒的行为特征:(1)写注册表(2)自动联网请求(3)占用INT 13H(4)修改DOS系统数据区的内存总量(5)对COM和EXE文件做写入动作(6)病毒程序与宿主程序的切换 10.1.4 校验检测技术 将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,从而可以发现文件是否感染,这种方法叫校验和法,它既可发现已知病毒又可发现未知病毒。 10.1.4 校验检测技术1.长度比较法及内容比较法 病毒感染系统或文件,必然引起系统或文件的变化,既包括长度的变化,又包括内容的变化。因此,将无毒的系统或文件与被检测的系统或文件的长度和内容进行比较,即可发现病毒。长度比较法和内容比较法就是从长度和内容两方面进行比较而得名。 10.1.4 校验检测技术2.内存比较法 这是一种对内存驻留病毒进行检测的方法。由于病毒驻留于内存,必须在内存中申请一定的空间,并对该空间进行占用、保护。因此,通过对内存的检测,观察其空间变化,与正常系统内存的占用和空间进行比较,可以判定是否,有病毒驻留其间。 10.1.4 校验检测技术3.中断比较法 病毒为实现其隐蔽和传染破坏之目的,常采用“截留盗用”技术,更改、接管中断向量,让系统中断向量转向执行病毒控制部分。因此,将正常系统的中断向量与有毒系统的中断向量进行比较,可以发现是否有病毒修改和盗用中断向量。 10.1.4 校验检测技术4.文件校验和 对文件内容(可含文件的属性)的全部字节进行某种函数运算,这种运算所产生的适当字节长度的结果就叫做校验和。这种校验和在很大程度上代表了原文件的特征,一般文件的任何变化都可以反映在校验和中。 10.1.5 启发式扫描 1.人工智能一个运用启发式扫描技术的病毒检测软件,实际上就是以特定方式实现的动态调试器或反编译器,通过对有关指令序列的反编译逐步理解和确定其蕴藏的真正动机。 10.1.5 启发式扫描 2.扫描信号标志 对于某个文件来说,被设置的标志越多,染毒的可能性就愈大。常规干净程序极少会设置一个标志,但如果要作为可疑病毒报警的话,则至少要设置两个以上标志。 10.1.5 启发式扫描 3.虚报 正如任何其他的通用检测技术一样,启发式扫描技术有时也会把一个本无病毒的程序指证为染毒程序,这就是所谓的查毒程序虚报谎报现象。虚报的原因很简单被检测程序中含有属于病毒所使用或含有的可疑功能。 10.1.6 虚拟机技术 虚拟机技术,该技术也称为软件模拟法,它是一种软件分析器,用软件方法来模拟和分析程序的运行,而且程序的运行不会对系统起实际的作用(仅是模拟),因而不会对系统造成危害。其实质都是让病毒在虚拟的环境下执行。 10.2 病毒的清除10.2.4病毒的去激活 10.2.3 宏病毒的清除 10.2.2 文件型病毒的清除 10.2.1 引导型病毒的清除 10.2 病毒的清除 将染毒文件的病毒代码摘除,使之恢复为可正常运行的健康文件,称为病毒的清除,有时称为对象恢复。清除可分为手工清除和自动清除两种方法。 10.2.1 引导型病毒的清除 引导型病毒感染时的攻击部位有:(1)硬盘主引导扇区。(2)硬盘或软盘的Boot扇区。 10.2.1 引导型病毒的清除1.消除引导扇区型病毒 提取引导区 覆盖引导区 Cdebug Cdebug -L100 盘号 0 1 -N Dosboot.21s -N Dosboot.21s -L -RCX -W100 盘号 0 1 CX 0000 -Q :200 -W -Q10.2.1 引导型病毒的清除2. 消除硬盘主引导扇区型病毒(1)用无毒软盘启动系统。(2)寻找一台同类型、硬盘分区相同的无毒机器,将其硬盘主引导扇区写入一张软盘中。(3)将此软盘插入染毒机器,将其中采集的主引导扇区数据写入染毒硬盘,即可修复。10.2.2 文件型病毒的清除 文件型病毒也称为外壳型病毒。文件型病毒一般攻击*.EXE或*.COM可执行文件。清除文件型病毒一般需要做:恢复原文件的数据;删除病毒的有关数据及程序段。 10.2.3 宏病毒的清除 (1)打开宏菜单,在通用模板中删除认为是病毒的宏。(2)打开带有病毒宏的文档(模板),然后打开宏菜单,在通用模板和病毒文件名模板中删除认为是病毒的宏。(3)保存清洁文档。 10.2.4 病毒的去激活 清除内存中的病毒,是指使RAM中的病毒进入非激活状态,跟文件恢复一样,需要OS和汇编语言知识。 清除内存中的病毒,需要检测病毒的执行过程,然后改变其执行方式,使病毒失去传染能力。 10.3 病毒防御技术 10.3.4 防火墙和防毒软件 10.3.3 数字免疫 10.3.2 病毒的预防措施及方法 10.3.1 病毒入侵途径分析 10.3.1 病毒入侵途径分析 (1)系统启动盘要专用,而且要加上写保护,以防病毒侵入。(2)不要乱用其它来历不明的程序或软件,也不要使用非法复制或解密的软件。(3)对于外来的机器或软件要进行病毒的检测,在确认无毒的情况下方可使用。(4)对于带有硬盘的机器最好专机专用或专人专机,以防病毒侵入硬盘。(5)对于重要的系统盘,数据盘以及硬盘上的重要信息要经常备份,以使系统或数据遭到破坏后能及时得到恢复。(6)网络上的计算机用户要遵守网络软件的使用规定,不能在网络上随意使用外来的软件。 10.3.2 病毒的预防措施及方法 通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。 最重要的是思想上要重视计算机病毒可能会给计算机安全运行带来的危害。同样是对于计算机病毒,有病毒防护意识的人和没有病毒防护意识的人会采取完全不同的态度。 10.3.3 数字免疫 数字免疫系统(Digital Immune System)是IBM公司和赛门铁克(Symantec)公司提出的新概念。数字免疫系统主要是为企业级的信息系统服务的,它所“预防治疗”的病症很广泛,既包括计算机病毒,也包括影响企业信息系统正常运行的诸多因素,如磁盘碎片引起的运行处理速度缓慢,经常性的系统死机多,并且提供修复更新系统的工具。 10.3.3 数字免疫1.管理职能 2.智能化的反病毒工具 3.整理磁盘碎片 4.事故防范与灾难恢复 5.远程支持 10.3.4 防火墙和防毒软件 1.防火墙 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。 10.3.4 防火墙和防毒软件防火墙的功能主要表现在以下几个方面:(1)防火墙是网络安全的屏障 (2)防火墙可以强化网络安全策略 (3)对网络存取和访问进行监控审计 (4)防止内部信息的外泄 10.3.4 防火墙和防毒软件2.防毒软件 杀毒软件是用于消除电脑病毒、特洛伊木马和恶意软件、保护电脑安全的一类软件的总称。 防毒软件国内也称杀毒软件 防毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能,有的防毒软件还带有数据恢复等功能。 10.3.4 防火墙和防毒软件一些国内外比较知名的防毒软件 (1)BitDefender (2)Kaspersky (3)F-Secure Anti-Virus(4)PC-cillin (5)ESET Nod32 (6)McAfee VirusScan (7)Norton AntiVirus (8)瑞星 (9)金山毒霸 (10)江民 (11)趋势 (12)微点主动防御软件 10.3.4 防火墙和防毒软件3.防毒软件和防火墙比较 (1)防火墙是用来阻挡端口攻击,简单的说,就是管理系统端口的。(2)防毒软件,主要是用来防止网络上的病毒、恶意代码、恶意脚本病毒等来感染操作系统。(3)防火墙是起网络隔离作用的;防毒软件是起防毒杀毒作用的 10.4 病毒样本的获取方法10.4.4 PE病毒样本的提取 10.4.3 宏病毒样本的提取 10.4.2 脚本病毒样本的提取 10.4.1 企业获取方法和个人获取方法的异同 10.4.1 企业获取方法和个人获取方法的异同 1.企业的样本获取方法 (1)通过自己在各个网段设置的节点截取样本(2)通过公司的专用邮件系统获取(3)通过病毒感染者提供(4)病毒编写者自己提供 10.4.1 企业获取方法和个人获取方法的异同2.个人获取病毒样本 对于个人用户来说,当然没有反病毒公司截获病毒的那种条件。不过,要找一些病毒样本来分析也不是一件难事情。可以设置蜜罐。 10.4.2 脚本病毒样本的提取 脚本病毒是用脚本语言编写而成,该语言功能非常强大,它们利用Windows系统的开放性特点,通过调用一些现成的Windows对象、组件,可以直接对文件系统、注册表等进行控制,功能非常强大。 10.4.2 脚本病毒样本的提取 1.一次性加/解密的病毒样本 2.解密一处执行一处的病毒样本 10.4.3 宏病毒样本的提取 1.利用代码进行提取 在提取宏病毒时,可以编写程序提取。这种提取方法比较简单,不过应该在Normal.dot被感染的情况下提取,如果Word的相关项被禁止,可以用VBS来做, 10.4.3 宏病毒样本的提取2.利用Word直接提取1)在Word中点击“工具”、“宏”、“安全性”,安全级选择“高”,可靠来源中勾去“信任安装的加载项和模板”。2)打开已被感染了宏病毒的样本。3)选择“工具”“宏”“Visual Basci编辑器”,这样就可以看到相应的宏病毒代码了。10.4.4 PE病毒样本的提取 这种样本,经常会造成机器大伤,所以在开始代码提取之前,一定做好心理准备首先是做好提取环境。 1.病毒提取环境 先在本地计算机上安装虚拟机(如VMware, VPC),并在虚拟机中安装必要的样本提取工具(如SoftIce,IDA,W32 Dasm,FI,TR W2000等)。10.4.4 PE病毒样本的提取2.病毒提取工具 1)SoftIce2)TR W20003)W32Dasm和IDA 4)FileInfo5)ProcDump10.4.4 PE病毒样本的提取3.样本提取方法(1)首先进行分析 (2)再将PE病毒样本进行分类 本章小结通过本章得学习,应该掌握以下内容:掌握病毒的检测技术掌握病毒的清除技术掌握病毒的防御技术掌握病毒样本的提取技术 计算机病毒原理及防范技术,中国水利水电出版社,第1章 计算机病毒概述,1.4 计算机病毒的传播途径,1.3 计算机病毒分类,1.2 生物病毒和计算机病毒的比较,1.1 计算机病毒概述,1.5 计算机病毒的危害与症状,1.6 计算机病毒及其他破坏性程序演化历史,1.7 计算机病毒的基本防治,教学要求:,理解:计算机病毒和生物病毒的联系与区别,计算机病毒的分类和基本防治,计算机病毒的危害 掌握:计算机病毒的定义、特征、基本构造,计算机病毒的传播途径,计算机病毒的生命周期,1.1 计算机病毒概述,计算机病毒就是最不安全的因素之一,各种计算机病毒的产生和全球性蔓延已经给计算机系统的安全造成了巨大的威胁和损害。 随着计算机网络的发展,计算机病毒对信息安全的威胁日益严重,鉴于此,人们开始了反计算机病毒的研究,一方面要掌握对当前计算机病毒的防范措施,另一方面要加强对病毒未来发展趋势的研究,真正做到防患于未然。,1.1 计算机病毒概述(续),计算机病毒的定义 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。 从广义上讲,一切危害用户计算机数据、偷盗用户隐私、损害他人利益及影响用户正常操作的程序或代码都可被定义为计算机病毒。,1.1 计算机病毒概述 (续),计算机病毒的特征 非法性 病毒的动作、目的对用户是未知的,是未经用户允许的。 传染性 计算机病毒把自身复制到其他程序中的特性。 隐藏性 隐藏性是计算机病毒最基本的特征。,1.1 计算机病毒概述 (续),计算机病毒的特征 潜伏性 计算机病毒侵入系统后,一般不立即发作,而是有一定的潜伏期。 可触发性 计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性,称为可触发性。 破坏性 计算机病毒造成的最显著的后果是破坏计算机系统。,1.1 计算机病毒概述 (续),计算机病毒的特征 衍生性 病毒的传染、破坏部分被其他掌握原理的人以其个人的企图进行任意改动,从而又衍生出一种不同于原版本的新的计算机病毒(也称为变种),这就是计算机病毒的衍生性。 不可预见性 从对病毒的检测方面来看,病毒还有不可预见性。,1.1 计算机病毒概述 (续),计算机机病毒的基本构造 计算机病毒的逻辑程序结构一般来讲包含三个部分:引导部分、传染部分、表现或破坏部分。 引导部分的作用是将病毒主体加载到内存,为传染部分做准备(如驻留内存、修改中断、修改高端内存、保存原中断向量、修改注册表等操作)。 传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式、传染条件以及传播所借助的媒体上各有不同。 表现部分的作用是在病毒发作条件(表现、破坏条件)满足时,实施对系统的干扰和破坏活动。,1.1 计算机病毒概述 (续),计算机病毒的生命周期 开发期 今天有一点计算机编程知识的人都可以制造一个病毒。 传染期 在一个病毒制造出来后,病毒的编写者将其拷贝分发出去并确认其已被传播出去。 潜伏期 一个设计良好的病毒可以在它活化前的很长时期里被复制。这就给了它充裕的传播时间。,1.1 计算机病毒概述 (续),计算机病毒的生命周期 发作期 带有破坏机制的病毒会在满足某一特定条件时发作。 发现期 通常情况下,一个病毒被检测到并被隔离出来后,它会被送到计算机安全协会或反病毒厂家,在那里病毒被通报和描述给反病毒研究工作者。,1.1 计算机病毒概述 (续),计算机病毒的生命周期 消化期 在这一阶段,反病毒开发人员修改他们的软件以使其可以检测到新发现的病毒。 消亡期 有一些病毒在消失之前有一个很长的消亡期。,1.2 生物病毒和计算机病毒的比较,生物病毒概述 二十多年前,病毒还是纯粹的生物学概念。一般认为,病毒是具有一定生物学结构的、最小的生命单位。病毒本身不能复制,但通过感染其他细胞,在相应的细胞内,利用宿主细胞的某些功能实现自身复制和传播。虽然病毒是目前发现的最小微生物,但它一旦进入宿主细胞,就会给宿主造成极大的伤害,不管是动物还是植物都难逃病毒的攻击。,1.2 生物病毒和计算机病毒的比较(续),病毒的特点 个体极小 大多数病毒都比细菌小得多,需借助电子显微镜才能看见。 寄生性 病毒没有独立的代谢活动,它们只能在特定的、活的宿主细胞中繁殖,脱离宿主细胞便不能进行任何形式的代谢,在活体外不具有任何生命特征。 没有细胞结构,化学组成与繁殖方式较简单 病毒没有细胞结构,不具备其繁殖所需的组织,它必须依赖于宿主细胞进行复制。,1.2 生物病毒和计算机病毒的比较(续),生物病毒的繁殖过程 病毒感染宿主细胞进行繁殖的过程可分为吸附、侵入、复制与聚集。 吸附:吸附是病毒感染细胞的第一步。 侵入:病毒侵入的方式决定于宿主细胞的性质。 病毒复制与聚集,1.2 生物病毒和计算机病毒的比较 (续),生物病毒和计算机病毒的联系与区别 计算机病毒与生物病毒有很多相似之处,如病毒体都很微小、能够寄生、感染、传播、潜伏、发作等。 计算机病毒与生物病毒的类似性提示人们,二者之间在其原理方面亦应存在本质的共性,其在被清除或被控制方面亦应存在共同之处。把计算机病毒清除技术移植到对生物病毒的防治,将可能为人们从机制上控制病毒性疾病的流行提供全新的探索性途径。同时,也可以把生物病毒的防治技术引入计算机病毒的防治,如研究各种计算机病毒的疫苗和基于免疫的计算机安全策略等。,1.2 生物病毒和计算机病毒的比较 (续),生物病毒和计算机病毒的联系与区别 当然,计算机病毒与生物病毒也有着本质的不同,它们的寄生环境不同、感染对象不同、传播途径不同、破坏活动也不同。,1.3 计算机病毒分类,按计算机病毒寄生方式和感染途径分类 引导型病毒 引导型病毒感染软盘中的引导区,蔓延到用户硬盘,并能感染到用户盘中的“主引导记录”。 引导型病毒几乎都会常驻内存,差别仅在于内存中的位置不同。引导型病毒按其寄生对象的不同又可分为两类:MBR(主引导区)病毒和BR(引导区)病毒。 MBR病毒也称分区病毒,将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的有“大麻”病毒。 BR病毒是将病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区,典型的有“Brain”、“小球”病毒。,1.3 计算机病毒分类 (续),按计算机病毒寄生方式和感染途径分类 文件型病毒 文件型病毒是指所有通过操作系统的文件系统进行感染的病毒。 文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。 源码型病毒是用高级语言编写的,若不进行汇编、链接则无法传染扩散。 嵌入型病毒是嵌入在程序中的,它只针对某种具体程序起作用,如“DBASE”病毒。 文件型病毒按其驻留内存方式的不同可分为驻留型和不驻留内存型。,1.3 计算机病毒分类 (续),按计算机病毒寄生方式和感染途径分类 混合型病毒 混合型病毒,也称综合型、复合型病毒,同时具备引导型和文件型病毒的特征,即这种病毒既可以感染磁盘引导扇区,又可以感染可执行文件。这类病毒有极强的传染性,危害性大,清除难度也更大。,1.3 计算机病毒分类 (续),按计算机病毒攻击的操作系统分类 攻击DOS系统的病毒 攻击Windows系统的病毒 攻击Unix系统的病毒 攻击OS/2系统的病毒 其他操作系统上的病毒,1.3 计算机病毒分类 (续),按计算机病毒攻击的计算机类型分类 攻击微型机的病毒 攻击小型计算机的病毒 攻击工作站的病毒,1.3 计算机病毒分类 (续),按计算机病毒的链接方式分类 计算机病毒需要进入系统,从而进行感染和破坏,因此,病毒必须与计算机系统内可能被执行的文件建立链接。这些被链接的文件可能是操作系统文件,可能是以各种程序设计语言编写的应用程序,也可能是应用程序所用到的数据文件(如Word文档)。,1.3 计算机病毒分类 (续),按计算机病毒的链接方式分类 源码型病毒 这类病毒攻击高级语言编写的程序,该病毒在高级语言编写的程序被编译之前插入到源程序之中,经编译成为合法程序的一部分。 嵌入型病毒 这种病毒将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击对象以插入方式链接。一旦病毒侵入宿主程序,对其杀毒是十分困难的,清除这类病毒时往往会破坏合法程序。,1.3 计算机病毒分类 (续),按计算机病毒的链接方式分类 外壳型病毒 外壳型病毒包围在主程序的周围,对原来的程序不作修改。当宿主程序执行时首先执行并激活病毒程序,使病毒得以感染、繁衍和发作。 操作系统型病毒 这种病毒意图用自己的程序加入或部分取代部分操作系统功能进行工作。,1.3 计算机病毒分类 (续),按计算机病毒的表现(破坏)情况分类 良性病毒 良性病毒是指不包含对计算机系统产生直接破坏作用代码的计算机病毒。 恶性病毒 恶性病毒是指在代码中包含损伤和破坏计算机系统的操作,在其传染或发作时会对系统产生直接的破坏作用。,1.3 计算机病毒分类 (续),按计算机病毒的传播媒介分类 单机病毒 单机病毒的载体是磁盘、光盘和U盘等可移动存储介质。常见的是病毒从软盘、U盘、光盘传入硬盘,感染系统,然后再感染其它可移动存储介质,进而再感染其他系统。 网络病毒 网络病毒利用计算机网络的协议、命令、E-Mail、FTP、Web、QQ等进行传播,已经成为病毒中危害最为严重的种类,如今的病毒大多都是网络病毒。,1.4 计算机病毒的传播途径,计算机病毒具有自我复制的特点,传染性是计算机病毒的基本特征之一,因此,研究计算机病毒的传播途径极为重要。 从计算机病毒的传播机理分析可知,只要是能够进行数据交换的介质,都有可能成为计算机病毒的传播途径。,1.4 计算机病毒的传播途径 (续),计算机病毒的传播途径 通过移动存储设备进行传播 移动存储设备包括磁带、软盘、光盘、U盘、移动硬盘等。 通过不可移动的计算机硬件设备进行传播 通过计算机的专用ASIC芯片等传播。这种病毒虽然极少,但破坏力极强,目前尚没有较好的检测对付手段。,1.4 计算机病毒的传播途径 (续),计算机病毒的传播途径 通过有线网络系统进行传播 电子邮件 WWW浏览 FTP文件传输 BBS 网络聊天工具,1.4 计算机病毒的传播途径 (续),计算机病毒的传播途径 通过无线通信系统进行传播 无线网络已经越来越普及,但无线装置拥有防毒程序的却不多。由于未来有更多手机通过无线通信系统和互联网连接,手机已成为病毒的新的攻击目标。,1.5 计算机病毒的危害与症状,计算机病毒的危害 对计算机数据信息的直接破坏 大部分病毒在发作的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMOS设置等。 占用磁盘空间 寄生在磁盘上的病毒总要非法占用一部分磁盘空间。 抢占系统资源 大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。病毒抢占内存,导致内存减少,致使一部分软件因内存不足而不能运行。,1.5 计算机病毒的危害与症状(续),计算机病毒的危害 影响计算机运行速度 病毒为了判断传染激发条件,总要对计算机的工作状态进行监视,这相对于计算机的正常运行状态既多余又有害。 有些病毒为了保护自己,不但对磁盘上的静态病毒加密,而且进驻内存后的动态病毒也处在加密状态。 病毒在进行传染时同样要插入非法的额外操作,特别是传染软盘时不但计算机速度明显变慢, 而且打乱软盘正常的读写顺序并发出刺耳的噪声。 特洛伊木马不断自动升级更新、执行远程指令、向远程计算机发送本地信息,严重影响用户网络访问速度。,1.5 计算机病毒的危害与症状(续),计算机病毒的危害 计算机病毒错误与不可预见的危害 大量含有未知错误的病毒扩散传播其后果是难以预料的。 计算机病毒的兼容性对系统运行的影响 病毒的编制者一般不会在各种计算机环境下对病毒进行测试,因此病毒的兼容性较差,常常导致死机。 计算机病毒造成心理的和社会的危害 发现系统感染病毒,会产生潜在的恐惧,极大地影响了现代计算机的使用效率,由此带来的无形损失是难以估量的。,1.5 计算机病毒的危害与症状(续),计算机病毒的发作症状 屏幕显示异常 系统声音异常 系统工作异常 不承认硬盘或系统引导失败。 开机出现黑屏。 内存空间减小,系统运行速度下降。 系统自动重启、异常死机、用户没有访问的设备出现工作信号。,1.5 计算机病毒的危害与症状(续),计算机病毒的发作症状 键盘工作异常 响铃 重复字符。 文件系统异常 文件长度变化 时间日期变化 文件数目变化 文件后缀变化,1.5 计算机病毒的危害与症状(续),计算机病毒的发作症状 打印机异常 假报警 更换字符 间接性打印,1.5 计算机病毒的危害与症状(续),计算机病毒的发作症状 其他异常形式 坏轨增加 发出虚假报警 修改磁盘卷标 打开Word文档后,该文件无法另存为一个.DOC文档,只能保存成模板文档( .DOT);Word菜单有关宏的选项丢失。 Windows桌面图标发生变化 网络瘫痪,1.6 计算机病毒及其他破坏性程序演化历史,病毒的发展过程 计算机刚刚诞生时就有了计算机病毒的概念。 病毒的发展阶段 在计算机病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。操作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。,1.6 计算机病毒及其他破坏性程序演化历史(续),病毒的发展阶段 DOS引导型病毒 1987年,计算机病毒主要是引导型病毒,具有代表性的是“小球”和“石头”病毒。 DOS可执行阶段病毒 1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“星期天”病毒。 伴随、批次型病毒阶段 1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。,1.6 计算机病毒及其他破坏性程序演化历史(续),病毒的发展阶段 幽灵、多形型病毒阶段 1994年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。 生成机病毒阶段 1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机地插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成机生成。当生成的是病毒时,这种复杂的病毒生成器和变体机就产生了。,1.6 计算机病毒及其他破坏性程序演化历史(续),病毒的发展阶段 网络蠕虫病毒阶段 1995年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。 Windows阶段 1996年,随着Windows和Windows95的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE,PE)文件,典型的代表是DS.3873。 宏病毒阶段 1996年出现了针对微软公司O
- 温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
人人文库网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
川公网安备: 51019002004831号