《计算机病毒防治》PPT课件.ppt

1 计算机病毒的定义 2 计算机病毒的特点 3 计算机病毒的分类 4 计算机病毒的介绍 5 计算机病毒的对抗技术,主要内容,计算机病毒与对抗,1.计算机病毒的定义,1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。”此定义具有法律效力和权威性。 计算机病毒的定义从其产生发展至今逐渐有了质的变化，如今的病毒结合各类技术向多方面发展，基本上可以说只要对计算机系统、计算机网络有不良影响的行为都能称得上是计算机病毒，简言之：恶意代码就是计算机病毒。 广义上的计算机病毒还包括：蠕虫、木马、后门、流氓软件、间谍软件、广告软件、黑客工具等。,计算机病毒的特点 2.1 破坏性 2.2 隐蔽性 2.3 潜伏性 2.4 传染性 2.5 不可预见性,2.计算机病毒的特点,2.1 破坏性 任何病毒只要侵入系统，都会对系统及应用程序产生不同程度的影响。轻则显示一些画面，发出音乐，弹出一些无聊的窗口。重则破坏数据，删除文件，格式化磁盘，有的甚至对计算机硬件也有损坏。 2.2 隐蔽性 病毒一般是短小精悍的一段程序，通常潜入到正常程序或磁盘中，在没有防护的情况下，有些病毒是在悄无声息的进行着计算机的破坏或者自我复制，有些病毒还嵌入到正常的程序中，因此很难被发现。 2.3 潜伏性 大部分病毒在感染系统之后不会马上发作，它可以长时间隐藏在系统之中，在满足其特定条件下才启动其破坏模块。,2.计算机病毒的特点,2.4 传染性 对大多数计算机病毒，传染是它的一个重要特点。它用过修改别的程序，并把自身的副本包括进去，从而达到扩散的目的。病毒能将自身的代码强行传染到一切符合其传染条件的未感染的文件，而且还可以通过各种可能的渠道感染其他计算机。 2.5 不可预见性 从病毒检测技术来看，病毒还有不可预见性，不同种类病毒，其代码千差万别，有的正常的程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术，甄别起来更是困难，再加上病毒的制作技术也在不断的提高，所以病毒对反病毒软件永远是超前的。,2.计算机病毒的特点,1按其破坏性分类 可分为：良性病毒和恶性病毒。 2按照病毒的功能进行分类 可分为：感染性病毒、蠕虫、木马、Backdoor、VirusTools工具等。 3按照病毒链接方式分类 可分为：源码型、嵌入型、操作系统型和外壳型病毒。 4按寄生方式 可分为：引导型病毒、文件型病毒以及集两种病毒特性于一体的复合型病毒和宏病毒、网络病毒。 5其他一些分类方式 按照计算机病毒攻击的操作系统；按照计算机病毒激活的时间；按计算机病毒攻击的机型。,3 计算机病毒的分类,计算机病毒的工作机理,1计算机病毒的结构 计算机病毒在结构上有着共同性，一般由引导模块、传染模块、表现（破坏）模块3部分组成。 必须指出的是，不是任何病毒都必须包含这3个模块。 2计算机病毒的工作机理 因为计算机病毒的传染和发作需要使用一些系统函数及硬件，而后者往往在不同的平台上是各不相同的，因此大多数计算机病毒都是针对某种处理器和操作系统编写的。 我根据病毒的寄生方式分类介绍病毒。,4 计算机病毒的介绍,常见的恶意代码（广义的病毒定义）,4 计算机病毒的介绍,恶意代码分类示意图,4.1 引导型病毒 概述 引导区病毒就是专门感染磁盘引导扇区和硬盘主引导扇区的计算机病毒程序，如果被感染的磁盘被作为系统启动盘使用，则在启动系统时，病毒程序即被自动装入内存，从而是现行系统感染病毒。引导区病毒是一种将硬盘重新分区和格式化都不能清除掉的一种顽固病毒。例如，“大麻”病毒、“小球”病毒、“磁盘杀手”病毒。目前，在windows环境中，主引导区也成为部分病毒（Bootkit）实施“永驻”的位置之一 ，只是实施起来比DOS系统更加复杂而已。,4 计算机病毒的介绍,引导型病毒的工作机理 引导扇区是硬盘或软盘的第一个扇区，是存放引导指令的地方，这些引导指令对于操作系统的装载起着十分重要的作用。一般来说，引导扇区在CPU的运行过程中最先获得对CPU的控制权，病毒一旦控制了引导扇区，也就意味着病毒控制了整个计算机系统。 引导型病毒程序会用自己的代码替换原始的引导扇区信息，并把这些信息转移到磁盘的其他扇区中。当系统需要访问这些引导数据信息时，病毒程序会将系统引导到存储这些引导信息的新扇区，从而使系统无法发觉引导信息的转移，增强了病毒自身的隐蔽性。,4 计算机病毒的介绍,磁盘,硬盘,引导区,病毒,感染,引导指令,引导区,引导指令,4.2 文件型病毒 概述 文件型病毒攻击的对象是可执行程序，病毒程序将自己附着或追加在后缀名为.exe或.com等的可执行文件上。当感染了该类病毒的可执行文件运行时，病毒程序将在系统中进行它的破坏行动。同时，它将驻留在内存中，试图感染其他文件。当该类病毒完成了它的工作之后，其宿主程序才得到运行，使一切看起来很正常。,4 计算机病毒的介绍,文件型病毒的工作机理 当今，绝大多数的文件型病毒都属于Win32 PE病毒，我来介绍一下Win32 PE病毒的原理。 一般来说，病毒往往先于HOST程序获得控制权。运行Win32病毒的一般流程示意如下： 用户点击或系统自动运行HOST程序； 装载HOST程序到内存； 通过PE文件中的AddressOfEntryPoint+ImageBase，定位第一条语句的位置(程序入口)； 从第一条语句开始执行(这时执行的其实是病毒代码)； 病毒主体代码执行完毕，将控制权交给HOST程序原来的入口代码； HOST程序继续执行。,4 计算机病毒的介绍,文件型病毒的种类 覆盖型文件病毒 依附性文件病毒 伴随型文件病毒,4 计算机病毒的介绍,ABC.EXE,伪ABC.EXE,伪ABC.EXE,Virus.exe,捆绑型文件病毒,ABC.exe,感染,infected.exe,Virus.COM,4.3 混合病毒 混合型病毒是指那些既可以对引导区进行感染也可以对文件进行感染的病毒。这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入电脑，用时使用了加密和变形技术，所以这类病毒清除的难度更大。具体的技术我在后面部门简述。,4 计算机病毒的介绍,4.4 网络病毒 网络病毒是指通过计算机网络传播或感染网络中和网络上计算机文件的病毒。它不再只是靠移动式存储载体，而是网络通道。这种病毒的传染力更大，破坏力更强。例如蠕虫病毒和木马病毒等。 随着互联网和无线互联网日趋完善，病毒的技术和攻击目的也更加多样，好多病毒的功能越来越多元化，集成化，智能化。,4 计算机病毒的介绍,4.4.1 特洛伊木马 （1）木马病毒概述 “特洛伊木马”的英文名称为Trojan Horse（其名称取自希腊神话的特洛伊木马记），是指表面看上去对人们有用或有趣，但实际上却有害的东西，并且它的破坏性是隐蔽的。 计算机中的木马是一种基于远程控制的黑客工具，采用客户机/服务器（c/s）工作模式。它通常包含控制端和被控制端两部分。被控制端的木马程序一旦植入受害者的计算机（简称宿主）中，操纵者就可以在控制端实时监视该用户的一切操作，有的放矢地窃取重要文件和信息，甚至还能远程操控受害计算机对其他计算机发动攻击。木马的控制端和被控制端通过网络进行交互。,4 计算机病毒的介绍,（2）木马的特点 木马具有隐蔽性和非授权性的特点。 所谓隐蔽性，是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马。这样，被控制端即使发现感染了木马，也不能确定其准确的位置。 所谓非授权性，是指一旦控制端与被控制端连接后，控制端将享有被控制端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，这些权力并不是被控制端赋予的，而是通过木马程序窃取的。,4 计算机病毒的介绍,（3）木马的工作过程 木马对网络主机的入侵过程，可大致分为6个步骤。 配置木马（制造者） 传播木马（制造者上传，用户下载） 运行木马（用户运行） 信息泄露（病毒程序） 连接建立（病毒程序） 远程控制（病毒程序）,4 计算机病毒的介绍,（4）木马的种类 密码发送型木马 键盘记录型木马 破坏型木马 DOS型木马（这个而是拒绝服务攻击的DOS） FTP型木马,4 计算机病毒的介绍,4.4.2 蠕虫病毒 （1）蠕虫的定义 蠕虫病毒和普通病毒有着很大的区别。普通病毒主要是感染文件和引导区，而蠕虫则是一种通过网络进行传播的恶性代码。它具有普通病毒的一些共性，例如传播性、隐蔽性、破坏性等；同时也具有一些自己的特征，例如不利用文件寄生、可对网络造成拒绝服务、与黑客技术相结合等。蠕虫的传染目标是网络内的所有计算机。在破坏性上，蠕虫病毒也不是普通病毒所能比的，网络的发展使得蠕虫可以在短短的时间内蔓延到整个网络，造成网络瘫痪。,4 计算机病毒的介绍,4 计算机病毒的介绍,蠕虫病毒与一般病毒的区别,（2）蠕虫的分类 根据使用者情况的不同，可将蠕虫病毒分为两类，即面向企业用户的蠕虫病毒和面向个人用户的蠕虫病毒。 面向企业用户的蠕虫病毒利用系统漏洞，主动进行攻击，可以对整个网络造成瘫痪性的后果，以“红色代码”、“尼姆达”、“SQL蠕虫王”为代表；面向个人用户的蠕虫病毒通过网络（主要是电子邮件、恶意网页形式等）迅速传播，以“爱虫”、“求职信”蠕虫为代表。 按其传播和攻击特征，可将蠕虫病毒分为3类，即漏洞蠕虫、邮件蠕虫和传统蠕虫病毒。,4 计算机病毒的介绍,(3)蠕虫的传播 蠕虫程序的一般传播过程如下： （1）扫描。由蠕虫的扫描功能模块负责收集目标主机的信息，寻找可利用的漏洞或弱点。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。扫描采用的技术方法包括用扫描器扫描主机，探测主机的操作系统类型、主机名、用户名、开放的端口、开放的服务、开放的服务器软件版本等。 （2）攻击。攻击模块按步骤自动攻击前面扫描中找到的对象，取得该主机的权限（一般为管理员权限），获得一个Shell。 （3）复制。复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机中并启动。,4 计算机病毒的介绍,4.5 宏病毒 为了减少用户的重复劳作，例如进行相似的操作，Office提供了一种所谓宏的功能。利用这个功能，用户可以把一系列的操作记录下来，作为一个宏。之后只要运行这个宏，计算机就能自动地重复执行那些定义在宏中的所有操作。这种宏操作一方面方便了普通的计算机用户，另一方面却也给病毒制造者提供了可乘之机。 宏病毒是一种专门感染 Office系列文档的恶性病毒。1995年，世界上发现了第一个宏病毒Concept。由于宏的编程语言VBA简单易学，因此大量的宏病毒层出不穷，短短两年时间其数量就上升至20000多种!,4 计算机病毒的介绍,5.1病毒技巧 （1）病毒文件的隐藏技术（同理病毒进程、注册表、服务端口等） （2）病毒的花指令 （3）病毒的加密 （4）加壳技术 （5）特征码定位 （6）反调试技术,5 计算机病毒的对抗技术,（1）病毒的隐藏技术,5 计算机病毒的对抗技术,（1）病毒文件的隐藏技术 用户态文件隐藏 用户态HOOK（主要为IAT钩子） 挂钩API两个函数：FindFirstFile和FindNextFile 内核态文件隐藏 核心态HOOK（主要为SSDT钩子） 挂钩API一个函数：ZwQueryDirectoryFile,5 计算机病毒的对抗技术,（2）病毒文件的花指令 一个没有任何防护措施的程序，很容易被完整地静态反汇编出来。为了达到迷惑破解者的目的，病毒作者往往在程序中加入花指令。这不仅仅用在计算机病毒中以防止被轻易分析出其病毒结构和原理，它也常常用在很多正常的软件中，以防止遭到非法破解。 所谓花指令就是在我们的程序之间加入一些似乎没有什么意义的代码，这些代码不会妨碍程序的正常低运行，但是在静态反汇编时，去会让原本正常的代码解释成难以读懂甚至有些怪异的汇编代码。,5 计算机病毒的对抗技术,（3）病毒文件的加密 尽管有些病毒采用了花指令，但是还是比较容易地被正确地反汇编出来。为了加大静态反汇编的难度，提高病毒的生存能力，病毒制造者采用了病毒的加密技术，该技术目前已经得到很大的发展，进而演变出病毒的多态技术和病毒的变形技术。,5 计算机病毒的对抗技术,一个简单的加密病毒一般有如下几个部分： 解密算法（解开被加密的代码，一遍病毒执行） 病毒主体代码（被加密的病毒代码） 跳转（病毒解密完毕后，跳转到解密代码部分执行病毒语句）,解密,（4）加壳技术 壳是一种专用的加密软件，现在越来越多的软件都是用加壳保护。在一些计算机软件里有一段专门负责保护软件不被非法修改或反编译的程序，它们附加在原程序上通过Windows加载器载入内存后，先于原始程序执行，得到控制权，执行过程中对原始程序进行解密、还原，还原完成后再把控制权还给原始程序，执行原来的代码部分。这段程序就是“壳”。病毒同样运用了这个技术来防止程序被静态反编译。,5 计算机病毒的对抗技术,（5）特征码定位 特征码识别是杀毒软件查杀病毒的重要手段之一。病毒在特征码就是从病毒体内不同位置提取的一系列字节，杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒。 特征码定位的原理就是使用特定的字符，每次修改原文件部分内容，然后将新生成的所有文件交给杀毒软件扫描，如果原文件的特征码部分被修改了，这个新生成的文件就无法被杀毒软件扫描出来。因此就可以找到原文件的特征码在哪个位置，然后病毒的编写者针对相应位置进行修改。,5 计算机病毒的对抗技术,（6）反调试技术 反虚拟分析环境 反调试 抗动态启发式扫描,5 计算机病毒的对抗技术,5.2计算机病毒对抗技术 （1）病毒的检测技术（多用于杀毒软件） （2）病毒发现与清除（多用于手动查杀）,5 计算机病毒的对抗技术,（1）病毒的检测技术（多用于杀毒软件） 特征值检测技术 校验和检测技术 启发式扫描技术 虚拟机技术 主动防御技术,5 计算机病毒的对抗技术,（1）病毒的检测技术（多用于杀毒软件） 特征值检测技术 计算机病毒的特征值是指计算机病毒本身在特定的寄生环境中确认自身是否存在的标记符号，是指病毒在传染宿主程序时，首先判断该病毒欲传染的宿主是否已染有该病毒，按照特定的偏移量从文件中提出的特征值。 校验和检测技术 校验和技术是冗余校验的一种形式，一般在数据通信和数据处理时用来校验一组数据的完整性。其原理就是当等校验的数据发生改变是，重新生成的校验和就会发生变化。,5 计算机病毒的对抗技术,（1）病毒的检测技术（多用于杀毒软件） 启发式扫描技术 启发式扫描技术是通过分析指令出现的顺序，或特定组合情况等常见病毒的标准特征来决定文件是否感染病。病毒要达到感染和破坏的目的，通常的行为都会有一定的特征，例如：非常规读写文件，终结自身，非常规切入等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。 虚拟机技术 很多杀毒软件厂商引入了虚拟机的概念，让病毒程序虚拟执行解密出的病毒体并暴露病毒的行为，反病毒虚拟机控制着病毒的每条指令的执行，等到病毒执行到特定的位置进行查毒和清毒的操作。,5 计算机病毒的对抗技术,（1）病毒的检测技术（多用于杀毒软件） 主动防御技术 主动防御技术是近几年反病毒厂商所采用的新技术之一，特指对计算机病毒的行为进行分析来实现的检测技术。主动防御技术是基于程序文件特征和程序行为自主分析判断的实时防护技术。 应用层的应用程序执行的功能最终都要通过SSDT表转到内核层实现。只要将SSDT表中的内核API地址替换成我们自己的函数地址，这样就可以拦截用户层的API调用了，还可以根据条件拒绝API的调用，从而实现病毒行为的阻止。这就是我之前说的SSDT HOOK技术。,5 计算机病毒的对抗技术,（2）病毒的发现与清除（多用于手动查杀） 手动查杀的时机与目的（对于非专业人士）：在没有杀毒软件或是杀毒软件被干掉的情况下感染的病毒计算机需要手动查杀，目的是为了结束病毒的运行和控制，是杀毒软件可以正常安装或运行，最终查杀还是需要交给专业的杀毒软件。 病毒行为分析：虚拟机(vmware)+反病毒小工具。 反病毒小工具：IDA（反汇编）、Process Monitor（监控文件，注册表，端口、进程）、xuetr（手杀辅助工具）、Iceword（手杀辅助工具）。,5 计算机病毒的对抗技术,5.3 病毒预防 1使用正版软件 2从可靠渠道下载软件 3安装防病毒软件、防火墙等防病毒工具，准备一套具有查毒、防毒、杀毒及修复系统的工具软件，并定期对软件进行升级、对系统进行查毒 。 4对电子邮件提高警惕 5经常对系统中的文件进行备份 6安装系统还原软件，定期做好备份,5 计算机病毒的对抗技术,7开机时使用本地硬盘 8做好系统配置 9尽量做到专机专用 10新购置的计算机软件或硬件也要先查毒再使用 11使用复杂的密码 12注意自己的机器最近有无异常 13了解一些病毒知识,5 计算机病毒的对抗技术,5.4 病毒防治软件介绍 常用病毒防治软件简介 （1）国际品牌级 卡巴斯基（俄罗斯） 赛门铁克（美国） NOD32（斯洛伐克） （2）国产品牌级 奇虎360 金山 瑞星 江民,5 计算机病毒的对抗技术,5.5 计算机病毒的发展趋势 1病毒的网络化 2病毒功能的综合化 3传播途径的多样化 4病毒的多平台化 5攻击对象趋于混合型 6使用反跟踪技术,5 计算机病毒的对抗技术,7增强隐蔽性 病毒通过各种手段，尽量避免出现容易使用户产生怀疑的病毒感染特征。 （1）避开修改中断向量值。 （2）请求在内存中的合法身份。 （3）维持宿主程序的外部特性。 （4）不使用明显的感染标志。 8进行加密技术处理 （1）对程序段进行动态加密。 （2）对显示信息进行加密。 （3）对宿主程序段进行加密。 9病毒不断繁衍不同变种,5 计算机病毒的对抗技术,小结,计算机病毒防治是信息系统安全的一个重要方面，了解病毒的发展历史、病毒特点、分类等基本知识，理解病毒的作用机理，掌握基本的病毒检查、清除方法和防治管理措施，对于构建安全的信息系统、减小病毒所造成的损失具有积极的作用。