1-计算机病毒概述

1,计算机病毒 Computer Virus,傅建明 博士 ,武汉大学计算机学院,2,计算机病毒,基础：汇编语言程序设计、操作系统原理、计算机网络与通信原理 目的：使学生了解并掌握计算机病毒产生和传染的机理，具备分析、预防和对抗计算机病毒的基本能力。,3,计算机病毒,1、傅建明、彭国军、张焕国， 计算机病毒分析与对抗，武汉大学出版社，2004。 2、韩筱卿、王建锋等，计算机病毒分析与防范大全，电子工业出版社,2006 4 3、罗云彬，Windows环境下32位汇编语言程序设计。电子工业出版社，2002.10,4,计算机病毒,1.Independent Anti-virus Advice(Virus bulletin). /. 2. Tests of Anti-Virus Software. /. 3. Virus Bulletin Main Page. . 4. European Institute for Computer Anti-Virus Research (EICAR)./. 5.Association of anti Virus Asia Researchers(AVAR)./.,5,计算机病毒-REF,6 ICSA Labs. /. 7. WildList. /. 8. IBM AntiVirus Research. /antivirus/. 9. Anti-Virus Information Exchange Network. / 10. SANS (SysAdmin, Audit, Network, Security) Institute. /,6,计算机病毒-REF,11. CERT/CC. / 12. ICAT CVE(Common Vulnerabilities and Exposures)Metabase. /icat.cfm. 29A,LineZero,MetaPhase,7,国际会议,BlackHat Defcon worm,8,教学安排,作业，平时不交，中期检查 五人一小组： 论文，一篇（见附件） 软件实现，含文档设计（见附件）,9,提纲,1、计算机病毒概述和计算机病毒的预备知识 2、计算机病毒的基本机制 3、计算机病毒采用的特殊技术 4、dos环境下病毒的分析 5、windows环境下病毒的分析 6、其他平台的病毒 7、破坏性程序分析 8、病毒对抗技术 9、计算机病毒的数学模型,10,第一章 计算机病毒概述,目的：了解计算机病毒的概念、性质、分类。,11,第一章 计算机病毒概述,生物病毒 计算机病毒 生物病毒与计算机病毒的联系与区别 计算机病毒的分类 计算机病毒的防治 计算机病毒的发展,12,生物病毒,埃博拉病毒:Ebola,无有效的治疗和疫苗，血液 艾滋病病毒:AIDS，CD4+T细胞 肺结核病毒 冠状病毒 :SARS 流感病毒 禽流感病毒：H5V? 天花病毒 腸道病毒：Enterovirus,13,生物病毒,病毒是目前发现的最小微生物，其其突出的特点是： （1）个体极小。 （2）寄生性。病毒没有独立的代谢活动，在活体外不具有任何生命特征。 （3）没有细胞结构，化学组成与繁殖方式较简单。病毒没有细胞结构，大多数病毒是由蛋白质与核酸组成的大分子，而且只含单一类型核酸DNA或RNA。,14,生物病毒,病毒是超显微的、没有细胞结构的、专寄生于活细胞的大分子微生物，它们在活体外具有一般大分子特征，一旦进入宿主细胞又呈现生命特征。 病毒的最小形态单位为衣壳粒（capsomere），衣壳粒以对称形式有规律地排列，构成病毒的蛋白质外壳，称为衣壳（capsid）。衣壳的中心包含着病毒的核酸即核髓。衣壳与病毒核髓合称核衣壳（nucleocapsid）。有些病毒核衣壳是裸露的，有些病毒在核衣壳外还有被膜（envelope）包围着。,15,生物病毒,病毒繁殖的过程可分为： （1）吸附： （2）侵入：病毒侵入的方式决定于宿主细胞的性质。 （3）病毒复制与聚集：病毒侵入敏感细胞后，引起宿主细胞代谢发生改变，生物合成不再由细胞本身支配，而受病毒核酸携带的遗传信息所控制，利用细胞的合成机构，如核糖体、+RNA、酶、ATP等，使病毒核酸复制，并合成大量病毒蛋白质。,16,生物病毒,病毒可以感染几乎所有的生物，包括微生物、各类植物、昆虫、鱼类、禽类、哺乳动物及人类，而且往往引起病害。 按宿主分：动物病毒，植物病毒与微生物病毒。,17,计算机病毒,F.Cohen 博士：计算机病毒是一段附着在其它程序上的、可以自我繁殖的程序代码。复制后生成的新病毒同样具有感染其它程序的功能。 在生命周期中，病毒一般会经历如下四个阶段： 潜伏阶段： 传染阶段： 触发阶段： 发作阶段：表现/破坏,18,计算机病毒,中华人民共和国计算机信息系统安全保护条例明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。 此定义具有法律性、权威性。,19,计算机病毒,冯.诺伊曼 ：数据和程序并无本质区别，如果不运行它或不理解它，则根本无法分辨出一个数据段和一个程序段。 “磁蕊大战”(core war) 爬行者程序(Creeper) ，收割者(Reaper) 侏儒(Dwarf) Imp Xerox蠕虫 ：网络维护和分布式计算，耗尽所有资源 。,20,计算机病毒的产生,（1）、一些计算机爱好者出于好奇或兴趣，也有的是为了满足自己的表现欲。 （2）、产生于个别人的报复心理。 （3）、来源于软件加密。 （4）、产生于游戏。 （5）、用于研究或实验而设计的“有用”程序，由于某种原因失去控制而扩散出来。 （6）、由于政治、经济和军事等特殊目的，信息战的一种有效武器。 其它原因？,21,病毒感染的途径,（1）、引进的计算机系统和软件中带有病毒。 （2）、各类出国人员带回的机器和软件染有病毒。 （3）、染有病毒的游戏软件。 （4）、非法拷贝中毒。 （5）、计算机生产、经营单位销售的机器和软件染有病毒。 （6）、维修部门交叉感染。 （7）、有人研制、改造病毒。 （8）、敌对分子以病毒为媒体或武器进行宣传和破坏。 （9）、通过互联网（访问web、下载email和文件等）传入的。,22,计算机病毒的特征,（1）传染性 （2）非授权性 （3）隐蔽性 （4）潜伏性 （5）破坏性 （6）不可预见性 （7）可触发性,23,计算机病毒与生物病毒的联系与区别,病毒的本质：复制 病毒的危害性：干扰或破坏正常功能 病毒的结构 ：机器语言/核酸编码 病毒的产生及其效果：生物进化/人类智能，基因工程，逆向基因工程。 病毒的防治：破坏传染物质,24,25,计算机病毒的分类,按照计算机病毒攻击的操作系统分类 （1）攻击DOS系统的病毒： （2）攻击WINDOWS系统的病毒：CIH （3）攻击UNIX 系统的病毒： （4）攻击OS/2系统的病毒： （5）攻击Macintosh系统的病毒：如Mac.simpsons是使用AppleScript编写的病毒程序 （6）其它操作系统上的病毒：如手机病毒等。,26,计算机病毒的分类,按照计算病毒的攻击类型分类： （1）攻击微型计算机的病毒： （2）攻击小型计算机的病毒：Morris worm病毒,如WANK.com和HL.com通过VAX型号的计算机传播。 （3）攻击工作站的病毒：,27,计算机病毒的分类,按照计算机病毒的链接方式分类 （1）源码型病毒： （2）嵌入型病毒： （3）shell病毒：包围在主程序的四周 （4）译码型病毒：宏病毒，脚本病毒（VBS/WSH/JS）等。 （5）操作系统型病毒：,28,计算机病毒的分类,按照计算机病毒的破坏情况分类 （1）良性病毒：是不包含有对计算机系统产生直接破坏作用的代码的计算机病毒。 （2）恶性病毒：指在代码中包含有损伤和破坏计算机系统的操作。,29,计算机病毒的分类,按传播媒介来分类 （1）单机病毒：单机病毒的载体是磁盘或光盘。常见的是通过从软盘传入硬盘，感染系统后，再传染其它软盘。软盘又感染其它系统。 （2）网络病毒：网络为病毒提供了最好的传播途径，它的破坏力是前所未有的。网络病毒利用计算机网络的协议或命令以及Email等进行传播，常见的是通过QQ、BBS、Email、FTP、Web等传播。,30,计算机病毒的分类,按寄生方式和传染途径分类: （1）引导型病毒： （2）文件型病毒： （3）引导型兼文件型病毒：,31,病毒的基本防治,检测：一旦系统被感染，就立即断定病毒的存在并对其进行定位。 鉴别：对病毒进行检测后，辨别该病毒的类型。 消除：在确定病毒的类型后，从受染文件中删除所有的病毒并恢复程序的正常状态。消除被感染系统中的所有病毒，目的是阻止病毒的进一步传染。,32,病毒的基本防治, 第一代：简单的扫描:病毒的特征 第二代：启发式的扫描:启发性知识，完整性的检查 第三代：主动设置陷阱：行为监测 第四代：全面的预防措施：虚拟机,33,计算机病毒的发展,34,计算机病毒的发展,人们把未经授权便干扰或破坏计算机系统/网络的程序或代码称之为恶意程序（Malware） 病毒的发展概述 ：磁芯大战，DOS,CIH,HAPPYTIME,MACRO,病毒生产机，子母弹病毒，中国黑客-3线程 网络蠕虫 ： 通过检查主表格或远程计算机的地址库，找到可进一步传染的其它计算机。 和远程计算机连接。 将自身拷贝到远程计算机并运行该拷贝。,35,计算机病毒的发展,Xerox worm，Morris ，Red蠕虫 ，CodeRed蠕虫 ，Nimda蠕虫，SQL蠕虫王，冲击波- Blaster，MyDoom蠕虫，Netsky ，震荡波。 陷门(Trap doors)是一段非法的操作系统程序，是在一个程序模块中未被登记的秘密入口。 逻辑炸弹是嵌在合法程序中的、只有当特定的事件出现时才会进行破坏(爆炸)的一组程序代码。 拒绝服务程序：Tribe Flood Network， tfn2k， smurf， targa，电子邮件炸弹,36,计算机病毒的发展,特洛伊木马：使计算机潜伏执行非授权的远程管理/控制功能。-网页木马 Rootkit是一组被特洛伊化的系统应用程序 。攻击者使用rootkit中的相关程序替代系统原来的ps、ls、netstat和df等程序，使系统管理员无法通过这些工具发现自己的踪迹。,37,计算机病毒的命名,DOS病毒命名： 1.按病毒发作的时间命名 ：黑色星期五 ； 2.按病毒发作症状命名：“小球” /“火炬” /Yankee 3.按病毒自身包含的标志命名：以病毒中出现的字符串、病毒标识、存放位置或病发表现时病毒自身宣布的名称来命名 ， Mar_ijunana及Stoned，DiskKiller ，,38,计算机病毒的命名,4.按病毒发现地命名 ：Jurusalem(耶路撒冷)病毒，Vienna(维也纳)病毒 5.按病毒的字节长度命名： 以病毒传染文件时文件的增加长度或病毒自身代码的长度来命名，如1575、2153、1701、1704、1514、4096,39,计算机病毒的命名,反病毒公司为了方便管理，会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不太一样，但大体都是采用一个统一的命名方法来命名的。一般格式为： ,40,计算机病毒的命名,病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。不同的种类的病毒，其前缀也是不同的。比如我们常见的木马病毒的前缀 Trojan ，蠕虫病毒的前缀是 Worm 等等还有其他的。 病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的，如以前著名的CIH病毒的家族名都是统一的“ CIH ”，还有近期闹得正欢的振荡波蠕虫病毒的家族名是“ Sasser ”。,41,计算机病毒的命名,病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如 Worm.Sasser.b 就是指 振荡波蠕虫病毒的变种B，因此一般称为 “振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多（也表明该病毒生命力顽强 _），可以采用数字与字母混合表示变种标识。,42,计算机病毒的命名,1、系统病毒 系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。 2、蠕虫病毒 蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。,43,计算机病毒的命名,3、木马病毒、黑客病毒 木马病毒其前缀是：Trojan，黑客病毒