计算机安全病毒ppt课件.ppt

1 计算机安全技术 2 计算机病毒的发展史 自第一个真正意义上的计算机病毒于1983年走出实验室以来 人们对它的认识经历了 不以为然 谈毒色变 口诛笔伐 人人喊打 理性对待 泰然处之 四个阶段 3 计算机病毒防治 4 主要内容 第一节计算机病毒概述第二节计算机病毒分析第三节计算机病毒的防范 检测 清除第四节计算机病毒破坏后的恢复 计算机病毒防治 5 计算机病毒产生的历史 1977年 ThomasjRyan在科幻小说 P 1的青春 中幻想一种计算机病毒可以从一台计算机传染到另一台计算机 最终控制了7000台计算机 1983年美国计算机安全专家FredCohen博士在VAX 11上通过实验证明了计算机病毒的存在 1986年 巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了 巴基斯坦 病毒 成了世界上公认的第一个传染PC兼容机的病毒 并且很快在全球流行 1987年10月 美国发现世界上第一例计算机病毒 Brain 1988年 小球病毒传入我国 在几个月之内迅速传染了20多个省 市 成为我国第一个病毒案例 此后 如同打开的潘多拉的盒子 各种计算机病毒层出不穷 6 计算机病毒的发展阶段 萌芽阶段 1萌芽阶段这一阶段从1986年到1989年 这期间出现的病毒可以称为传统的病毒 是计算机病毒的萌芽时期 由于当时应用软件少 而且大多是单机运行环境 因此病毒没有大量流行 病毒种类也比较有限 病毒清除相对比较容易 特点病毒攻击的目标单一 只传染引导扇区或可执行文件 病毒程序主要采取截取系统中断向量的方式监控系统的运行状态 并在一定的触发条件下进行传播 病毒传染目标以后特征比较明显 容易被人发现 病毒不具有自我保护措施 容易让你分析其原理 7 计算机病毒的发展阶段 综合发展阶段 2综合发展阶段这个阶段从1989年到1992年 这个阶段是计算机病毒由简单到复杂 由原始走向成熟的阶段 特点 病毒攻击的目标趋于混合型病毒程序不采用明显的截获中断向量的方法监视系统 而采用更为隐蔽的方法驻留内存病毒感染目标后 没有明显的特征病毒开始采用自我保护措施 如加密技术 反跟踪技术 制造障碍等 增加了对病毒分析的难度病毒开始出现变种 隐蔽性更强 破坏更大 8 计算机病毒的发展阶段 成熟发展阶段 3成熟发展阶段这个阶段从1992到1995年 病毒开始具有多态性质 病毒每次传染目标时 嵌入宿主程序中的病毒程序大部分可变种 正视由于这个特点 传统的特征码检测病毒法开始了新的探索研究 在这个阶段 病毒的发展主要集中在病毒技术的提高上 病毒开始向多维化方向发展 对反病毒厂商也提出了新的课题 9 计算机病毒的发展阶段 网络病毒阶段 4网络病毒阶段1995年到2000年 随着网络的普及 大量的病毒开始利用网络传播 蠕虫开始大规模的传播 由于网络的便利和信息的共享 很快又出现了通过E mail传播的病毒 由于宏病毒编写简单 破坏性强 清除复杂 加上微软未对WORD文档结构公开 给清除宏病毒带来了不便 这一阶段的病毒 主要是利用网络来进行传播和破坏 同时为更多的病毒爱好者提供了更大的学习空间和舞台 10 计算机病毒的发展阶段 迅速壮大的阶段 5 迅速壮大的阶段2000年以后 计算机病毒的发展可谓真正到了一个成熟繁荣的阶段 计算机病毒的更新和传播手段更加多样性 网络病毒的目的性也更强 出现了木马 恶意软件等为了特定目的而存在的程序 这个阶段的病毒的主要特点 技术综合利用 病毒变种速度大大加快 有些病毒程序一天甚至出现多次更新和变种 恶意软件和病毒程序直接把矛头对向了杀毒软件 国内更出现了 AV终结者 熊猫烧香等关闭杀毒软件 屏蔽病毒字样的目的性很强 并在被感染的计算机后台大量下载其他病毒木马的恶意程序和病毒 计算机病毒技术和反病毒技术的竞争进一步激化 反病毒技术也面临着新的洗牌 11 计算机病毒的定义 狭义定义计算机病毒是一种靠修改其它程序来插入或进行自身拷贝 从而感染其它程序的一种程序 FredCohen博士对计算机病毒的定义 广义定义能够引起计算机故障 破坏计算机数据 影响计算机系统的正常使用的程序代码 我国定义我国 中华人民共和国计算机信息系统安全保护条例 第二十八条 计算机病毒 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 12 计算机病毒的特征 基本特征传染性自我复制 通过多种渠道传播潜伏性感染后不一定立刻发作 依附于其他文件 程序 介质 不被发现可触发性触发条件 日期 时间 文件类型破坏性破坏数据的完整性和可用性破坏数据的保密性系统和资源的可用性 13 计算机病毒的特征 其它特征非授权可执行性寄生性寄生于其它文件 程序 隐蔽性程序隐蔽 传染隐蔽 不易被发现针对性针对特定的计算机 特定的操作系统多态性每一次感染后改变形态 检测更困难持久性难于清除 14 计算机病毒的分类 按宿主分类引导型病毒主引导区操作系统引导区直到20世纪90年代中期 引导区型病毒是最流行的病毒类型 主要通过软盘在DOS操作系统里传播 引导区型病毒侵染软盘中的引导区 蔓延到用户硬盘 并能侵染到用户硬盘中的 主引导记录 一旦硬盘中的引导区被病毒感染 病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区 病毒可驻留在内存内并感染被访问的磁盘 15 计算机病毒的分类 按宿主分类文件型病毒操作系统应用程序宏病毒文件型病毒是文件侵染者 通常它感染扩展名为COM EXE DRV BIN OVL SYS等文件 每一次它们激活时 感染文件把自身复制到其他文件中 该类病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上 然后 利用这些指令来调用附在文件中某处的病毒代码 当文件执行时 病毒会调出自己的代码来执行 接着又返回到正常的执行系列 16 计算机病毒的分类 按宿主分类复合型病毒复合型病毒具有引导区型病毒和文件型病毒两者的特征 按危害分类良性病毒如 小球病毒 恶性病毒如 CIH病毒 17 计算机病毒的分类 按传播媒介分为单机病毒DOS Windows Unix Linux病毒等 网络病毒通过网络或电子邮件传播 按攻击平台分类 DOS病毒 MS DOS及兼容操作系统上编写的病毒Windows病毒 Win32上编写的纯32位病毒程序 MAC病毒 Unix Linux病毒 18 计算机病毒的危害性 1 攻击系统数据区攻击部位包括硬盘主引导扇区 Boot扇区 FAT表 文件目录 一般来说 攻击系统数据区的病毒是恶性病毒 受损的数据不易恢复 2 攻击文件病毒对文件的攻击方式很多 如删除 改名 替换内容 丢失簇和对文件加密等 3 攻击内存内存是计算机的重要资源 也是病毒攻击的重要目标 病毒额外地占用和消耗内存资源 可导致一些大程序运行受阻 病毒攻击内存的方式有大量占用 改变内存总量 禁止分配和蚕食内存等 19 计算机病毒的危害性 4 干扰系统运行 使运行速度下降此类行为也是花样繁多 如不执行命令 干扰内部命令的执行 虚假报警 打不开文件 内部栈溢出 占用特殊数据区 时钟倒转 重启动 死机 强制游戏 扰乱串并接口等等 病毒激活时 系统时间延迟程序启动 在时钟中纳入循环计数 迫使计算机空转 运行速度明显下降 5 干扰键盘 喇叭或屏幕 适用户无法正常操作病毒干扰键盘操作 如响铃 封锁键盘 换字 抹掉缓存区字符 输入紊乱等 许多病毒运行时 会使计算机的喇叭发出响声 病毒扰乱显示的方式很多 如字符跌落 倒置 显示前一屏 打开对话框 光标下跌 滚屏 抖动 乱写等 20 计算机病毒的危害性 6 攻击CMOS 破坏系统硬件在机器的CMOS中 保存着系统的重要数据 如系统时钟 磁盘类型和内存容量等 并具有校验和 有的病毒激活时 能够对CMOS进行写入动作 破坏CMOS中的数据 例如CIH病毒破坏计算机硬件 乱写某些主板BIOS芯片 损坏硬盘 7 干扰打印机如假报警 间断性打印或更换字符 8 干扰网络正常运行网络病毒破坏网络系统 非法使用网络资源 破坏电子邮件 发送垃圾信息 占用网络带宽 阻塞网络 造成拒绝服务等 21 历年重大病毒影响情况 22 计算机病毒的结构及工作机理 计算机病毒的结构一般由引导模块 传染模块 表现模块三部分组成 23 计算机病毒的结构及工作机理 引导过程也就是病毒的初始化部分 它随着宿主程序的执行而进入内存 为传染部分做准备 传染过程作用是将病毒代码复制到目标上去 一般病毒在对目标进行传染前 要首先判断传染条件是否满足 判断病毒是否已经感染过该目标等 如CIH病毒只针对Windows95 98操作系统表现过程是病毒间差异最大的部分 前两部分是为这部分服务的 它破坏被传染系统或者在被传染系统的设备上表现出特定的现象 大部分病毒都是在一定条件下才会触发其表现部分的 24 计算机病毒实例分析 引导型病毒传染机理利用系统启动的缺陷传染目标硬盘的主引导区和引导区软盘的引导区传染途径通过软盘启动计算机防治办法从C盘启动打开主板的方病毒功能典型病毒小球病毒 大麻病毒 火炬病毒 Anti CMOS病毒 25 计算机病毒实例分析 引导型病毒引导扇区是大部分系统启动或引导指令所保存的地方 而且对所有的磁盘来讲 不管是否可以引导 都有一个引导扇区 感染的主要方式就是发生在计算机通过已被感染的引导盘 常见的如一个软盘 引导时发生的 26 计算机病毒实例分析 引导型病毒 主引导记录 MBR 27 计算机病毒实例分析 引导型病毒 系统引导过程 PowerOn CPU ROMBIOSInitializes POSTTests Lookforbootdevice MBRbootPartitionTableLoad DOSBootSectorRuns LoadsIO SYSMSDOS SYS DOSLoaded 28 计算机病毒实例分析 引导型病毒 感染与执行过程 系统引导区 引导正常执行 病毒 引导系统 病毒体 29 计算机病毒实例分析 文件型病毒传染机理利用系统加载执行文件的缺陷传染目标各种能够获得系统控制权执行的文件传染途径各种存储介质 网络 电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件典型病毒1575病毒 CIH病毒 30 计算机病毒实例分析 文件型病毒文件型病毒与引导扇区病毒最大的不同之处是 它攻击磁盘上的文件 它将自己依附在可执行的文件 通常是 com和 exe 中 并等待程序的运行 这种病毒会感染其它的文件 而它自己却驻留在内存中 当该病毒完成了它的工作后 其宿主程序才被运行 使人看起来仿佛一切都很正常 31 计算机病毒实例分析 文件型病毒 传染机理 正常程序 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 程序头 病毒程序头 程序头 病毒程序 病毒程序 病毒程序 程序头 32 计算机病毒实例分析 宏病毒宏病毒一般是指利用软件所支持的宏命令或语言 如WordBasic 书写的一段寄生在支持宏的文档 如MicrosoftOffice文档 上的 具有复制 传染能力的宏代码 宏病毒是一种新形态的计算机病毒 也是一种跨平台式计算机病毒 可以在Windows9X WindowsNT OS 2和Unix Mac等操作系统上执行病毒行为 虽然宏病毒不会有严重的危害 但它会影响系统的性能以及对文档的各种操作 如打开 存储 关闭或清除等 当打开文档时 宏病毒程序就会被执行 即宏病毒处于活动状态 当触发条件满足时 宏病毒才开始传染 表现和破坏 宏病毒对病毒而言是一次革命 现在通过E mail 3W的互联能力及宏语言的进一步强化 极大地增强了它的传播能力 33 计算机病毒实例分析 宏病毒传染机理利用处理的文件可以内嵌宏的功能传染目标doc dot xls ppt mdb等文件 Windows 传染途径各种存储介质 网络 电子邮件防治办法使用具有实时监控功能的杀毒软件打开系统提供的宏保护功能典型病毒 七月杀手 病毒 美丽莎 病毒 34 计算机病毒实例分析 宏病毒 工作机理 有毒文件 doc Normal dot 无毒文件 doc Normal dot 35 计算机病毒实例分析 蠕虫病毒一个独立的计算机程序 不需要宿主自我复制 自主传播 Mobile 占用系统或网络资源 破坏其他程序不伪装成其他程序 靠自主传播利用系统漏洞 利用电子邮件 无需用户参与 36 计算机病毒实例分析 蠕虫病毒传染机理利用系统或服务的漏洞传染目标操作系统或应用服务传染途径网络 电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件打最新补丁 更新系统典型病毒RedCode 尼姆达 冲击波等 37 计算机病毒实例分析 蠕虫病毒实例 莫里斯蠕虫事件发生于1988年 当时导致大约6000台机器瘫痪主要的攻击方法Rsh rexec 用户的缺省认证Sendmail的debug模式Fingerd的缓冲区溢出口令猜测 38 计算机病毒实例分析 蠕虫病毒实例 RedCode红色代码病毒是一种结合了病毒 木马 DDOS机制的蠕虫 2001年7月中旬 在美国等地大规模蔓延 2001年8月初 出现变种coderedII 针对中文版windows系统 国内大规模蔓延 通过80端口传播 只存在与网络服务器的内存 不通过文件载体 溢出利用IIS缓冲区漏洞 2001年6月18日发布 39 计算机病毒实例分析 蠕虫病毒实例 RedCodeI主要影响WindowsNT系统和Windows2000主要影响国外网络据CERT统计 至8月初已经感染超过25万台主要行为利用IIS的Index服务的缓冲区溢出缺陷进入系统检查c notworm文件是否存在以判断是否感染中文保护 是中文windows就不修改主页 攻击白宫 40 计算机病毒实例分析 特洛伊木马程序名字来源 古希腊故事通过伪装成其他程序 有意隐藏自己恶意行为的程序 通常留下一个远程控制的后门没有自我复制的功能非自主传播用户主动发送给其他人放到网站上由用户下载 41 计算机病毒实例分析 特洛伊木马程序传播途径通过网络下载 电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件不要轻易运行来路不明的文件典型例子BO BO2k Subseven 冰河 广外女生等 42 病毒 蠕虫与木马的比较 43 其他恶意程序 后门 Backdoor 一种能让黑客未经授权进入和使用本系统的恶意程序僵尸 Bot 一种集后门与蠕虫一体的恶意程序 通常使用IRC InternetRelayChat 接受和执行黑客命令 44 后门 恶意系统程序 恶意系统程序是一种提供反侦测能力技术隐藏文件 进程 网络端口和连接 系统设置 系统服务可以在恶意程序之中 例如Berbew 也有独立软件 例如HackderDefender恶意系统程序历史首次出现在隐形病毒中 例如Brain1994年第一个恶意系统程序出现在SunOS 替换核心系统工具 ls ps等 来隐藏恶意进程 45 僵尸 僵尸生态系统僵尸僵尸网管理通道看守者从MyDoom A开始进入鼎盛期打开后门TCPport3127 3198下载和执行程序利用被感染的计算机散发电子邮件数以百万计的感染计算机被出卖给了垃圾邮件的制造者 46 僵尸网发展趋势 源代码可在网上免费下载修改 编译 散发过去 集中管理一个IRC服务器管理所有僵尸关闭服务器就破坏了僵尸网现在 提升注册多个IRC服务器通讯加密 AES 128或更强 今后 分布式 P2P 管理对照分析 Napster 集中管理 容易被关闭eDonkey 分布式管理 不容易被关闭 47 广告软件 间谍软件 广告软件 弹出窗口及横幅形式向用户提供广告服务通常经过用户授权间谍软件 未经授权收集用户信息未经授权上传用户信息未经授权改变系统外表及行为 48 广告软件 间谍软件的传播 社会工程 欺骗 方法非软件或硬件漏洞电子邮件 附属可执行文件电子邮件 隐蔽真实联接弹出窗口伪装网站附属于其它免费或商业软件利用浏览器瑕疵自动下载及安装 49 利用浏览器缺陷 一些浏览器缺陷可被利用绕过安全检测和用户提示 直接启动恶意程序例如 利用MS03 014缺陷自动下载及运行文件 u http www not real 50 恶意软件发展趋势 专业化集病毒 蠕虫 木马 后门 广告 间谍 恶意核心程序于一体 只感染一小部分计算机 以避免被发现 有自动更新功能 商业化以前 为制造轰动效应 上电台报纸 现在 钱 有组织犯罪 散发出垃圾邮件发动中断服务袭击 51 恶意程序族谱 间谍程序Spyware 病毒Viruses 木马程序Trojans 后门程序BACKDOORS 广告程序Adware 蠕虫WORMSE mailNetworkIRC 恶意程序Malware AllWormsareViruses but NotallVirusesareWorms 52 阻止恶意软件 53 阻止恶意软件的有效措施 主动防御措施 及时下载安装软件补丁运行漏洞扫描程序启用防火墙 关闭闲置端口减小攻击面 停止不需要的应用程序或服务使用最少特权帐户正确使用口令被动防御措施 安装使用防病毒软件定期备份重要文件 54 网络进攻时序线 发现漏洞 完成补丁 公布补丁 黑客破解补丁 开发蠕虫 释放蠕虫 NoExploit只有微软及发现者知道漏洞存在 NoExploit只有微软及发现者知道漏洞存在 NoExploit公众知道漏洞存在 但不知道怎样攻击 NoExploit知道怎样攻击 但病毒 蠕虫尚未出现 NoExploit病毒 蠕虫尚未出现 但未被释放 Exploit病毒 蠕虫被释放 感染未被修补系统 用户与黑客赛跑 55 实例分析 Blaster蠕虫 微软被通知漏洞存在 公布补丁 进攻样板程序出现 蠕虫出现 七月1日 七月16日 七月25日 八月11日 通知漏洞RPC DCOM漏洞被发现微软启动最高级别快速反应程序 安全公告公布MS03 026 7 16 03 继续与安全分析家 媒体 IT社区 合作伙伴 政府部门保持联系 进攻样板程序X focus 中国黑客组 出版进攻样板程序微软警告用户尽快安装补丁 蠕虫Blaster蠕虫出现 变种及其它病毒同时出现 例如 SoBig Blaster展现了安全分析师 软件公司 以及黑客之间的复杂的互动关系 56 补丁越来越多进攻样板程序出现时间缩短进攻样板程序越来越多精巧 网络进攻趋势 57 公布补丁之后 暴露日期 Forrester 安装补丁结束了