第3章计算机病毒及防治ppt课件

第3章计算机病毒及防治 3 1计算机病毒概述3 2计算机病毒的工作机理3 3计算机病毒实例3 4计算机病毒的检测和清除 3 1计算机病毒概述 计算机病毒的定义 计算机病毒 最早是由美国计算机病毒研究专家F Cohen博士提出的 计算机病毒 有很多种定义 国外最流行的定义为 计算机病毒 是一段附着在其他程序上的可以实现自我繁殖的程序代码 在 中华人民共和国计算机信息系统安全保护条例 中的定义为 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据 影响计算机使用并且能够自我复制的一组计算机指令或者程序代码 返回本节 计算机病毒的发展历史 1986年1月 首例病毒 巴基斯坦病毒 Pakistan或称Brain病毒 1986 1995年间主要通过软盘传播 1989年春 在我国发现了首例计算机病毒 小球病毒1999年email出现之前 利用微软Word等程序的宏病毒将散布时间从数周甚至数月缩短到了数天 1998年的CIH1998年以后 红色代码 尼姆达 冲击波 1990年 赛门铁克推出了NortonAntivirus 这是由一家重要软件公司开发出的第一个反病毒程序 3 1 1计算机病毒的概念和发展史 1 萌芽阶段2 DOS平台阶段3 Windows平台阶段4 互联网阶段 3 1 2计算机病毒的特征计算机病毒一般具有以下几个特征 1 传染性病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机 2 非授权性隐藏在正常文件中 窃取到系统的控制权 病毒的动作 目的队用户是未知的 未经用户许可的 3 隐蔽性不经过代码分析 很难将病毒程序与正常程序区别开来 4 潜伏性一般不会马上发作 可能隐藏在合法程序中 默默进行传染扩散而不被人发现 5 破坏性一旦发作会造成系统或数据的损伤甚至毁灭 6 不可预见性不同种类的病毒 它们的代码千差万别 3 1 3计算机病毒的种类1 按病毒的寄生方式分类 1 文件型病毒 2 引导型病毒 3 混合型病毒2 按病毒的传染方法分类 1 驻留型病毒 2 非驻留型病毒 3 按病毒的破坏能力分类 1 无害性具有病毒的特征 传染时仅减少磁盘的可用空间 对系统没有其他影响 2 无危害性这类病毒对系统影响较小 仅是减少内存 显示信息 图像或发出声音等 3 危险性这类病毒在计算机系统操作中造成严重的错误 4 非常危险性这类病毒会删除程序 破坏数据 清除系统内存区和操作系统中重要的信息 甚至会破坏计算机硬件 对系统的危害是最大的 4 按病毒特有的算法分类 1 伴随型病毒 2 蠕虫 病毒 3 寄生型病毒5 按病毒的链接方式分类 1 源码型病毒 2 嵌入型病毒 3 外壳病毒 4 操作系统型病毒 3 2计算机病毒的工作机理 3 2 1引导型病毒1 引导区的结构2 计算机的引导过程3 引导型病毒的基本原理覆盖型和转移型 图3 1转移型引导病毒的原理图 3 2 2文件型病毒 1 内存驻留的病毒首先检查系统内存 查看内存是否已有此病毒存在 如果没有则将病毒代码装入内存进行感染 2 对于内存驻留病毒来说 驻留时还会把一些DOS或者基本输入输出系统 BIOS 的中断指向病毒代码 3 执行病毒的一些其他功能 如破坏功能 显示信息或者病毒精心制作的动画等 4 这些工作后 病毒将控制权返回被感染程序 使正常程序执行 a 引导型病毒 b 文件型病毒 病毒的传播 破坏过程 返回本节 3 2 3混合型病毒混合型病毒顾名思义就是集引导型和文件型病毒特性为一体的病毒 它们可以感染可执行文件 也可以感染引导区 并使之相互感染 具有相当强的感染力 3 2 4宏病毒宏病毒是计算机病毒历史上发展最快的病毒 它也是传播最广泛 危害最大的一类病毒 据国际计算机安全协会 InternationalComputerSecurityAssociation 的统计报道 在当前流行的病毒中 宏病毒占全部病毒的80 左右 宏病毒是一类使用宏语言编写的程序 依赖于微软Office办公套件Word Excel和PowerPoint等应用程序传播 1 宏病毒的特征 1 宏病毒与传统的文件型病毒有很大的不同 2 宏病毒的感染必须通过宏语言的执行环境 如Word和Excel程序 的功能 不能直接在二进制的数据文件中加入宏病毒代码 3 宏病毒是一种与平台无关的病毒 任何可以正确打开和理解Word文件宏代码的平台都可能感染宏病毒 4 此外宏病毒编写容易 破坏性强 它使用VisualBasicForApplications VBA 这样的高级语言编写 编写比较简单 功能比较强大 只要掌握一些基本的 宏 编写手段 即可编写出破坏力很大的宏病毒 5 宏病毒的传播速度极快 由于网络的普及 Email和FTP服务使人们更加方便快捷地获取信息 但同时也为宏病毒的传播提供了便利条件 而且 随着 无纸办公 方式的使用 微软Office软件已经成为办公人员不可缺少的工具 这也为宏病毒提供了广阔的天地 2 宏病毒的感染机制3 宏病毒的表现 1 有些宏病毒只进行自身的传播 并不具破坏性 2 这些宏病毒只对用户进行骚扰 但不破坏系统 3 有些宏病毒极具破坏性 3 2 5网络病毒1 蠕虫病毒的传播过程蠕虫病毒的传播可以分为3个基本模块 1 扫描由蠕虫病毒的扫描功能模块负责探测存在漏洞的主机 2 攻击攻击模块按漏洞攻击步骤自动攻击步骤 1 中找到的对象 取得该主机的权限 一般为管理员权限 获得一个shell 3 复制复制模块通过原主机和新主机的交互将蠕虫病毒程序复制到新主机并启动 2 蠕虫病毒的入侵过程手动入侵一般可分为以下三步 1 用各种方法收集目标主机的信息 找到可利用的漏洞或弱点 2 针对目标主机的漏洞或缺陷 采取相应的技术攻击主机 直到获得主机的管理员权限 对搜集来的信息进行分析 找到可以有效利用的信息 3 利用获得的权限在主机上安装后门 跳板 控制端和监视器等 并清除日志 1 扫描 攻击 复制 模式 2 蠕虫病毒传播的其他模式3 蠕虫病毒的安全防御 3 3计算机病毒实例 3 3 1CIH病毒CIH病毒是一种文件型病毒 又称Win95 CIH Win32 CIH以及PE CIH 其宿主是Windows95 98系统下的PE格式可执行文件 EXE文件 在DOS平台和WindowsNT 2000平台中病毒不起作用 CIH病毒简介 1 CIH病毒分析CIH病毒是迄今为止发现的最阴险 危害最大的病毒之一 它发作时不仅破坏硬盘的引导扇区和分区表 而且破坏计算机系统FLASHBIOS芯片中的系统程序 导致主板损坏 2 CIH病毒发作时的现象CIH病毒发作时 将用凌乱的信息覆盖硬盘主引导区和系统BOOT区 改写硬盘数据 破坏FLASHBIOS 用随机数填充FLASH内存 导致机器无法运行 所以该病毒发作时仅会破坏可升级主板的FLASHBIOS 1 CIH病毒的驻留 病毒的引导 当运行带有CIH病毒的 exe文件时 首先调入内存执行的是病毒的驻留程序 驻留程序为184 2 病毒的传染病毒驻留在内存过程中调用Windows内核底层函数 CIH不会重复感染PE格式文件 3 病毒的表现1 病毒通过主板的BIOS端口地址0CFEH和0CFDH向BIOS引导块内各写一个字节的代码 造成主机无法启动 2 通过调用VxdcallIOS SendCommand直接对磁盘进行存取 将垃圾代码以2048个扇区为单位 覆盖硬盘的数据 含逻辑片 3 3 2红色代码病毒 红色代码病毒是一种新型网络病毒从一台服务器内存传染到另一台服务器内存攻击装有IIS服务的系统红色代码II 攻击任何语言的系统在被攻击的系统上植入木马程序利用IIS服务程序的堆栈溢出漏洞病毒代码创建300个病毒线程 中文600个 向随机地址的80端口发送病毒传染数据包强行重启计算机 3 3 3冲击波病毒 针对Windows操作系统 NT 2000 XP 2003 安全漏洞 利用IP扫描技术寻找Windows操作系统的计算机利用DCOMRPC缓冲区漏洞进行攻击 冲击波病毒的清除 冲击波病毒的清除方法如下 1 病毒通过微软的最新RPC漏洞进行传播 因此用户可以先进入微软网站 下载相应的系统补丁 给系统打上补丁 2 病毒运行时会建立一个名为 BILLY 的互斥量 使病毒自身不重复进入内存 并且病毒在内存中建立一个名为 msblast 的进程 用户可以用任务管理器将该病毒进程终止 3 病毒运行时会将自身复制为 systemdir msblast exe 用户可以手动删除该病毒文件 4 病毒还会修改注册表的HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run项 在其中加入 windowsautoupdate msblast exe 进行自启动 用户可以手工清除该键值 5 病毒会用到135 4444和69等端口 用户可以使用防火墙软件将这些端口禁止或者使用 TCP IP筛选 功能来禁止这些端口 3 4计算机病毒的检测和清除 3 4 1计算机病毒的检测计算机病毒的检测技术是指通过一定的技术手段判定计算机病毒的一门技术 现在判定计算机病毒的手段主要有两种 一种是根据计算机病毒特征来进行判断 另一种是对文件或数据段进行校验和计算 保存结果 定期和不定期地根据保存结果对该文件或数据段进行校验来判定 特征判定技术根据病毒程序的特征 如感染标记 特征程序段内容 文件长度变化 文件校验和变化等 对病毒进行分类处理 而后凡是有类似特征点出现 则认定是病毒 行为判定技术以病毒机理为基础 对病毒的行为进行判断 不仅识别现有病毒 而且识别出属于已知病毒机理的变种病毒和未知病毒 1 特征判定技术 1 比较法 将可能的感染对象与其原始备份进行比较 优点 简单易行 缺点 无法确认是否为病毒 且无法识别病毒种类 特征判定技术 2 扫描法 用每一种病毒代码中含有的特定字符或字符串对被检测的对象进行扫描 实现扫描的软件叫做特征扫描器 组成部分 病毒特征库 包含各种病毒的特征字符或字符串 扫描引擎 对检测对象进行匹配性扫描 优点 能准确查处病毒种类和名称 缺点 只能查出病毒特征库中的已知病毒 特征判定技术 3 分析法 针对未知新病毒采用的技术 工作过程如下 确认被检查的磁盘引导扇区或计算机文件中是否含有病毒 确认病毒的类型和种类 判断它是否为一种新病毒 分析病毒程序的大致结构 提取识别用的特征字符或字符串 添加到病毒特征库中 分析病毒程序的详细结构 为制定相应的反病毒措施提供方案 2 校验和判定技术 计算正常文件内容的校验和 将校验和保存 检测时 检查文件当前内容的校验和与原来保存的校验和是否一致 优点 能发现未知病毒 缺点 无法识别病毒种类 利用病毒的特有行为特性进行监测 一旦发现病毒行为则立即报警 病毒具有一些比较特殊的共同行为 1 占有INT13H 所有的引导型病毒 都攻击引导扇区或主引导扇区 2 改DOS系统为数据区的内存总量 3 对 COM与 EXE文件进行写入操作 4 病毒程序与宿主程序的切换 3 行为判定技术 4 软件模拟法是一种软件分析器 用软件的方法来模拟和分析程序的运行 5 病毒指令码模拟法 VirusInstructionCodeEmulation 采用专家系统知识库 利用软件工程模拟技术假执行新的病毒 来分析出新的病毒代码 3 4 2计算机病毒的消除1 引导型病毒的清除2 文件型病毒的清除3 宏病毒的清除 1 消除引导型病毒 引导型病毒的物理载体是磁盘 硬盘中OS的引导扇区包括第一物理扇区和第一逻辑扇区 第一物理扇区存放的是表明硬件类型和分区信息的主引导记录 MBR 第一逻辑扇区存放的是分区引导记录 自动清除方法病毒软件自动检测和清除已知的引导型病毒 包括MBR中的病毒 并修复被感染的引导扇区 人工修复染毒的硬盘格式化硬盘可以清除分区引导记录中的病毒 但不能消除主引导记录中的病毒 用低级格式化工具如FDISK 输入FDISK MBR可以解决这个问题 2 消除文件型病毒 文件型病毒的载体是计算机文件 包括可执行文件和含有宏命令的数据文件 非覆盖型病毒 只是将自身附加到感染对象的头部或尾部或其它空白地方 没有破坏文件的有效内容 可以由病毒防治软件进行病毒清除 覆盖型病毒 用干净的备份文