安全生产_网络安全--计算机病毒

网络安全 计算机病毒 网络安全的构成 物理安全性设备的物理安全 防火 防盗 防破坏等通信网络安全性防止入侵和信息泄露系统安全性计算机系统不被入侵和破坏用户访问安全性通过身份鉴别和访问控制 阻止资源被非法用户访问数据安全性数据的完整 可用数据保密性信息的加密存储和传输 安全的分层结构和主要技术 物理安全层 网络安全层 系统安全层 用户安全层 应用安全层 数据安全层 加密 访问控制 授权 用户 组管理 单机登录 身份认证 反病毒 风险评估 入侵检测 审计分析 安全的通信协议 VPN 防火墙 存储备份 计算机病毒概述 计算机病毒的概念 计算机病毒是一种特殊的 计算机程序 它不仅能破坏计算机系统 而且还能够传播 感染到其它系统 它通常隐藏在其它看起来无害的程序中 能生成自身的复制品并将其插入其它的程序中 执行恶意的操作 中华人民共和国计算机信息系统安全保护条例 第28条明确指出 计算机病毒 是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据 影响计算机使用 并能自我复制的一组计算机指令或者程序代码 随着Internet技术的发展 计算机病毒的含义也在逐步发生着变化 与计算机病毒特征和危害有类似之处的 特洛伊木马 和 蠕虫 从广义角度而言也可归为计算机病毒之列 计算机病毒的发展过程 1 磁芯大战20世纪60年代初 美国贝尔实验室三个年轻的程序员编写的一个游戏 游戏中的一方通过复制自身来摆脱对方的控制 这就是所谓 计算机病毒第一个雏形 巴基斯坦智囊20世纪80年代后期 巴基斯坦两个以编软件为生的兄弟 为了打击那些盗版软件的使用者而设计 该病毒只传染软盘引导区 这就是最早在世界上流行的第一个真正的病毒 20世纪90年代以前病毒的弱点被感染的文件大小明显增加病毒代码主体没有加密 访问文件的日期得到更新 很容易被debug工具跟踪 计算机病毒的发展过程 2 能对自身进行简单加密的病毒1741病毒 用DIR列目录表的时候 这个病毒就会掩盖被感染文件后增加的字节数 使人看起来文件的大小没有什么变化DIR2病毒 1992年出现 整个程序大小只有263个字节宏病毒美丽莎 台湾一号等病毒生产机1996年下半年在国内终于发现了 G2 IVP VCL 三种 病毒生产机软件 计算机病毒的发展过程 3 Internet的广泛应用 激发了病毒的活力CIH恶性病毒1998年2月 由台湾省学生陈盈豪编写 并定于每年的4月26日发作破坏 破坏主板BIOS通过网络 软件下载 传播全球有超过6000万台的机器被感染第一个能够破坏计算机硬件的病毒全球直接经济损失超过10亿美元 美丽莎 病毒1999年2月 席卷了整个欧美大陆世界上最大的一次病毒浩劫 也是最大的一次网络蠕虫大泛滥在16小时内席卷全球互联网至少造成10亿美元的损失 通过email传播传播规模 50的n次方 n为传播的次数 计算机病毒的发展过程 4 爱虫 网络蠕虫病毒2000年5月出现 vbs脚本病毒微软 Intel等在内的大型企业网络系统瘫痪全球经济损失达几十亿美元特点通过电子邮件传播 向地址本中所有用户发带毒邮件通过聊天通道IRC VBS 网页传播能删除计算机内的部分文件制造大量新的电子邮件 使用户文件泄密 网络负荷剧增 一年后出现的爱虫变种VBS LoveLetter CM它还会在Windows目录下驻留一个染有CIH病毒的文件 并将其激活 计算机病毒的发展过程 5 更多的网络蠕虫红色代码 蓝色代码 求职者病毒 尼姆达 Nimda FUN LOVE 新欢乐时光等等红色代码被攻击的电脑数量达到35 9万台 被攻击的电脑中44 位于美国 11 在韩国 5 在中国特点通过微软公司IIS系统漏洞进行感染 病毒驻留后再次通过此漏洞感染其它服务器只存在于内存 传染时借助服务器的网络连接攻击其它的服务器 直接从一台电脑内存传到另一台电脑内存主要是涂改网页 对网络上的其它服务器进行攻击 被攻击的服务器又可以继续攻击其它服务器 在每月的20 27日 向美国白宫网站发动攻击将WWW英文站点改写为 Hello Welcometowww W HackedbyChinese 计算机病毒的发展过程 6 红色代码II特点具有红色代码的特点可以攻击任何语言的系统在遭到攻击的机器上植入 特洛伊木马 拥有极强的可扩充性未感染则注册Atom并创建300个病毒线程当判断到系统默认的语言ID是中华人民共和国或中国台湾时 线程数猛增到600个IP随机数发生器产生用于病毒感染的目标电脑IP地址 40万 天 当病毒在判断日期大于2002年10月时 会立刻强行重启计算机造成的损失网络性能急剧下降 路由器 交换机等网络设备负载加重 甚至崩溃等硬盘数据能够被远程读写直接经济损失 26亿美元 计算机病毒的发展过程 7 尼姆达病毒2001年最为凶猛的恶意蠕虫病毒 不仅传播速度快 危害性强 而且自我繁殖能力更是位居各大病毒之首利用unicode漏洞 与黑客技术相结合传播过程2001年9月18日 首先在美国出现 当天下午 有超过130 000台服务器和个人电脑受到感染 北美洲 2001年9月18日晚上 在日本 香港 南韩 新加坡和中国都收到了受到感染的报告 亚洲 2001年9月19日 有超过150000个公司被感染 西门子在他的网络受到渗透之后 被迫关掉服务器 欧洲 传播方式 文件感染 Email WWW 局域网 计算机病毒的发展过程 8 中国黑客2002年6月6日出现 发明了全球首创的 三线程 技术主线程 往硬盘写入病毒文件或感染其他执行文件分线程1 监视主线程并保证主线程的运行 一旦主线程被清除 这个监视器就将主病毒体再次调入分线程2 不断监视注册表的某个值 run项 一旦被人工或反病毒软件修改 他立即重新写入这个值 保证自己下次启动时拿到控制权病毒的特点很多反病毒软件一般都是直接修改会引起病毒自动加载的注册表选项 但是中国黑客病毒马上又将这个值改回去在传播方式上 中国黑客 寻找用户邮件地址薄来向外发病毒邮件传播 或通过局域网传播在Windows95 98 Me系统下 中国黑客 病毒学习了CIH病毒 取得了系统的最高权限 中国黑客 病毒还预留了接口 只要作者愿意的话很多破坏功能与传播方式很快就可以加上病毒体内的感染开关没有打开 所以目前此病毒还不能感染文件 但实际上病毒体内的感染代码已经比较完整 加上几行代码就可以实现感染Windows下的 EXE DLL SCR等文件 病毒的发展趋势 病毒向有智能和有目的的方向发展未来凡能造成重大危害的 一定是 蠕虫 蠕虫 的特征是快速地不断复制自身 以求在最短的时间内传播到最大范围病毒开始与黑客技术结合 将会为世界带来无可估量的损失从Sircam 尼姆达 求职信 中文求职信 到 中国黑客 这类病毒越来越向轻感染文件 重复制自身的方向发展病毒的大面积传播与网络的发展密不可分基于分布式通信的病毒很可能在不久即将出现未来病毒与反病毒之间比的就是速度 而增强对新病毒的反应和处理速度 将成为反病毒厂商的核心竞争力之一 计算机病毒的产生 开个玩笑 一个恶作剧产生于个别人的报复心理用于版权保护用于经济 军事和政治目的 计算机病毒的特征 1 破坏性传染性隐蔽性潜伏性不可预见性针对性 计算机病毒的特征 2 破坏性破坏系统的正常运行 主要表现有占用系统资源 破坏用户数据 干扰系统正常运行 恶性病毒的危害性很大 严重时可导致系统死机 甚至网络瘫痪传染性也叫自我复制或叫传播性 这是其本质特征 在一定条件下 病毒可以通过某种渠道从一个文件或一台计算机上传染到另外的没被感染的文件或计算机上 轻则使被感染的文件或计算机数据破坏或工作失常 重则使系统瘫痪 计算机病毒的特征 3 隐蔽性一般是具有很高编程技巧 短小灵活的程序 通常依附在正常程序或磁盘中较隐蔽的地方 也有的以隐含文件夹形式出现 用户很难发现 如果不经过代码分析 是很难将病毒程序与正常程序区分开的 正是这种特性才使得病毒在发现之前已进行了广泛的传播 造成了破坏潜伏性大部分计算机系统感染病毒后 病毒不会马上发作 可在几天 几周 几个月甚至几年地隐藏起来 而不被发现 只有在满足某种特定条件时才会发作 如著名的 黑色星期五 和 CIH 病毒 计算机病毒的特征 4 不可预见性计算机病毒的制作技术不断提高 种类也不断翻新 相比之下 防病毒技术落后病毒制作技术 新型操作系统 新型软件工具的应用 也为病毒编制者提供了方便 因此 对未来病毒的类型 特点及破坏性等均很难预测衍生性计算机病毒程序可被他人模仿或修改 经过恶做剧者或恶意攻击者的改写 就可能成为原病毒的变种 针对性很多计算机病毒并非任何环境下都可起作用 而是有一定的运行环境要求 只有在软 硬件条件满足要求时才能发作 计算机病毒的分类 1 按破坏程度的强弱不同良性病毒和恶性病毒 按传染方式的不同文件型病毒 引导型病毒和混合型病毒按连接方式的不同源码型病毒 嵌入型病毒 操作系统型病毒和外壳型病毒 计算机病毒的分类 2 良性病毒只是为了表现自身 并不彻底破坏系统和数据 但会占用大量CPU时间 增加系统开销 降低系统工作效率的一类计算机病毒该类病毒多为恶作剧者的产物恶性病毒一旦发作 就会破坏系统或数据 造成计算机系统瘫痪的一类计算机病毒该类病毒危害极大 有些病毒发作后可能给用户造成不可挽回的损失如 黑色星期五 木马 蠕虫病毒等 计算机病毒的分类 3 文件型病毒一般只传染磁盘上的可执行文件 如 com exe 在用户运行染毒的可执行文件时 病毒首先被执行 然后病毒驻留内存伺机传染其他文件或直接传染其他文件 这类病毒的特点是附着于正常程序文件中 成为程序文件的一个外壳或部件 当该病毒完成了它的工作后 其正常程序才被运行 使人看起来仿佛一切都很正常引导扇区型病毒潜伏在软盘或硬盘的引导扇区或主引导记录中 如果计算机从被感染的软盘引导 病毒就会感染到引导硬盘 并把自己的代码调入内存 病毒可驻留在内存并感染被访问的软盘 触发引导扇区型病毒的典型事件是系统日期和时间混合型病毒兼有以上两种病毒的特点 既传染引导区 又传染文件 因此扩大了这种病毒的传染途径 当染有该类病毒的磁盘用于引导系统或调用执行染毒文件时 病毒都会被激活 计算机病毒的分类 4 源码型病毒较为少见 亦难以编写 它要攻击高级语言编写的源程序 在源程序编译之前插入其中 并随源程序一起编译 连接成可执行文件 这样刚刚生成的可执行文件便已经带毒了 嵌入型病毒可用自身代替正常程序中的部分模块 因此 它只攻击某些特定程序 针对性强 一般情况下也难以被发现 清除起来也较困难操作系统型病毒可用其自身部分加入或替代操作系统的部分功能 因其直接感染操作系统 因此病毒的危害性也较大 可能导致整个系统瘫痪外壳型病毒将自身附着在正常程序的开头或结尾 相当于给正常程序加了个外壳 大部份的文件型病毒都属于这一类 计算机病毒的传播 网络带有病毒的文件 邮件被下载或接收后被打开或运行 病毒就会扩散到系统中相关的计算机上可移动的存储设备如软盘 磁带 光盘 优盘等通信系统通过点对点通信系统和无线通信信道也可传播计算机病毒 如手机病毒 计算机病毒的危害 攻击系统数据区包括硬盘主引导扇区 boot扇区 FAT表 文件目录等数据区攻击文件方式很多 如删除 改名 替换内容 丢失簇和对文件加密等抢占系统资源大多数病毒在动态下都常驻内存 这就要抢占部分系统资源占用磁盘空间和对信息的破坏干扰系统运行 使运行速度下降如不执行命令 干扰内部命令的执行 虚假报警 打不开文件 内部栈溢出 占用特殊数据区 时钟倒转 重启动 死机 强制游戏 扰乱串 并接口等攻击和破坏网络系统 病毒的检查方法 比较法比较被检测对象与原始备份扫描法利用病毒特征代码串特征字识别法病毒体内特定位置的特征分析法和检验和法运用反汇编技术对被检测对象进行分析和检验 比较法 比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较 该方法可能发现异常 如文件长度的变化 或程序代码的变化等 优点 简单 方便 不需专用软件缺点 无法确定病毒类型 扫描法 扫描法是用每一种病毒体含有的特定字符串对被检测的对象进行扫描扫描程序由两部分组成病毒代码库对该代码进行扫描的程序病毒扫描程序可识别的病毒数目取决于病毒代码库中所含病毒的种类 特征字识别法 基于特征串扫描法发展起来的一种新方法只需从病毒体内抽取很少几个关键的特征字来组成特征字库该方法由于要处理的字节很少 所以工作起来速度更快 误报警更少 分析法 运用相应技术分析被检测对象 确认检测对象是否为病毒目的确认被观察的磁盘引导区和程序中是否含有病毒确认病毒的类型和种类 是否新病毒弄清病毒体的大致结构 提取字节串或特征字 用于增添到病毒代码库详细分析病毒代码 为制定相应的反病毒措施制定方案 校验和法 对正常文件的内容 计算并保存其校验和 在文件使用过程中或使用之前 定期地检查由现有内容算出的校验和与原来保存的校验和是否一致 从而可以发现文件是否被感染优点方法简单 能发现未知病毒 也能发现被查文件的细微变化缺点有误报警 不能识别病毒类型和名称 不能对付隐蔽型病毒 病毒的清除 隔离将染毒计算机与其他计算机进行隔离报警向网络系统安全管理人员报警查毒源检查那些经常引起病毒感染的节点和用户 并查找病毒的来源采取应对方法和对策对病毒的破坏程度进行分析检查 并根据需要决定采取有效的病毒清除方法和对策备份数据将重要的数据文件备份清除病毒 恶意代码 恶意代码的概念 恶意代码是一种程序 它通过把代码在不被察觉的情况下寄宿到另一段程序中 从而达到破坏被感染计算机数据 运行具有入侵性或破坏性的程序 破坏被感染的系统数据的安全性和完整性的目的按工作机理和传播方式区分 恶意代码可有普通病毒 木马 蠕虫 移动代码和复合型病毒五类 木马概述 特洛伊木马 Trojanhouse 简称木马 一种基于远程控制的黑客程序 一般通过秘密方式安装到目标系统 一旦安装成功并取得管理员权限 安装此程序的人就可以直接远程控制目标系统在黑客进行的各种攻击行为中 木马都起到了开路先锋的作用特点隐蔽性 难以察觉客户端 服务器模式 木马与传统病毒 木马也算是一种病毒 但与传统的计算机病毒不同木马是一种恶意代码 它通常并不像病毒程序那样感染文件以寻找后门 窃取密码和重要文件为主 还能对计算机进行跟踪监视 控制 查看 修改资料等操作具有很强的隐蔽性 突发性和攻击性 木马的传播方式 E mail通过E mail 控制端将木马程序以附件形式附着在邮件上发送出去软件下载一些非正式的网站以提供软件下载的名义 将木马捆绑在软件安装程序上会话软件通过会话软件 如QQ 的 传送文件 进行传播 木马的原理 传统的文件型病毒寄生于正常可执行程序体内 通过寄主程序的执行而执行木马程序都有一个独立的可执行文件 一般是以一个正常应用的身份在系统中运行的采用客户机 服务器工作模式客户端放在木马控制者的计算机中 服务器端放置在被入侵的计算机中木马控制者通过客户端与被入侵计算机的服务器端建立远程连接 利用客户程序向服务器程序发送命令 达到操控用户机器的目的木马的服务器部分都是可以定制的 攻击者可以定制的项目一般包括 服务器运行的IP端口号 程序启动时机 如何发出调用 如何隐身 是否加密等 木马的检测和清除 查看开放端口例如 冰河 木马使用的监听端口是7626 BackOrifice2000使用的监听端口是54320查看和恢复win ini和system ini系统配置文件查看启动程序并删除可疑的启动程序查看系统进程并停止