计算机病毒分析防范技术2010ppt课件

1、，计算机病毒分析与防范技术，讲解内容：电话：电子邮件：议程内容，第1章，计算机病毒的概念、概况和现状，第2章，计算机病毒分类的介绍和技术分析，第3章，反病毒技术的介绍和病毒的分析与处理，第4章，反病毒产品的介绍和安全体系的建立，本章概述，第1节，计算机病毒的定义、特征和原理，第2节，计算机病毒的产生、发展和危害， 第三节计算机病毒的流行情况和网络安全形势、计算机病毒的概念广义上讲，任何能够导致计算机故障和破坏计算机数据的程序统称为“计算机病毒”。 根据这一定义，蠕虫、特洛伊木马和恶意软件等程序可被称为“计算机病毒”。计算机病毒的特征：破坏性、隐蔽性、传染性和潜伏性。计算机病毒是指编译或插入计算

2、机程序的一组计算机指令或程序代码，它们破坏计算机功能或数据，影响计算机的使用，并能自我感染中华人民共和国计算机信息系统安全保护条例(1994年2月18日中华人民共和国国务院令第147号发布)第二十八条规定，计算机病毒的特征和破坏性是计算机病毒的主要特征，没有破坏性行为的指令或代码不能称为计算机病毒。只要有病毒入侵系统，就会对系统和应用程序产生不同的影响。一些病毒占用系统资源，降低计算机效率，而另一些病毒窃取数据，破坏数据和程序，甚至导致系统崩溃。根据这一特点，病毒可分为良性病毒和恶性病毒。良性疾病可能只显示一些图片或显示一些音乐或无聊的句子，或根本没有破坏性的行动，但它会占用系统资源，如不能关

3、闭的笑话程序。恶性病毒有一个明确的目的，要么窃取银行账号和密码等重要信息，要么打开后门接受远程控制。尽管隐藏的计算机病毒是用与普通程序相同的技术编写的，但由于它的破坏性目的，它会尽一切可能隐藏自己的线索，以防止用户发现和删除它。病毒通常没有任何可见的界面，并使用隐藏的进程、文件和其他手段来隐藏自己。大多数病毒代码被设计得非常短的原因是为了隐藏它们。计算机病毒的特征，传染性计算机病毒在本质上和生物病毒一样具有传染性。病毒编写者总是尽最大努力将病毒传播到更多的计算机系统，以实现他们的目标。病毒通常通过网络和可移动存储介质等各种渠道从受感染的计算机传播到未受感染的计算机，而传染性病毒通过直接将自身植

4、入正常程序来传播。延迟许多病毒在感染系统后通常不会立即攻击。它们可以在系统中隐藏很长时间，并且它们的性能(破坏)模块只有在满足它们的特定条件时才会启动。例如，一些病毒会在特定时间攻击。计算机病毒的工作流程，执行感染，源代码是嵌入在攻击病毒，这主要是入侵高级语言的源程序。病毒在编译源程序之前插入病毒代码，最后与源程序一起编译成可执行文件，这样新生成的文件就是一个有毒的文件，这是很难做到的。其次，代码主要通过用自己的病毒代码替换程序的整个或部分模块来替换攻击病毒。这种病毒具有很强的针对性，主要攻击特定的程序，很难发现，也很难清除。3.系统修改入侵病毒主要利用自己的程序来覆盖或修改系统中的一些文件，

5、以调用或替换操作系统中的一些功能。因为直接感染对系统有害，所以也是最常见的一种，而且大多数是文件病毒。4.外壳寄生入侵病毒通常附着在正常程序的头部或尾部，这相当于给程序增加了一个外壳。当被感染的程序被执行时，病毒代码首先被执行，然后正常程序被转移到内存中。目前，大多数文件病毒都属于这一类。电脑病毒入侵模式，电脑病毒传播模式，第一，通过互联网传播1。电子邮件2。浏览网页和下载软件3。即时通讯软件4。网络游戏2。通过局域网1传播。文件共享2。系统漏洞攻击，3。通过移动存储设备传播1。软盘2。光盘3。移动硬盘4。u盘(包括数码相机、MP3等。)4。通过无线网络或设备传播1。智能手机，PDA 2。无线

6、信道，计算机病毒的分类和命名(后门。特洛伊木马。Win32.SendIP.15) 1。系统(感染文件，如。exe和。并使用这些文件来传播)2。蠕虫病毒：蠕虫；(通过网络攻击或系统漏洞传播，并经常发送有毒电子邮件来封锁网络)3。脚本病毒：脚本。VBS/JS；(用脚本语言编写并通过网页传播)4。特洛伊/黑客病毒：特洛伊/黑客。PSW/PWD；(特洛伊木马入侵系统后会隐藏起来并泄露用户信息，而黑客病毒则拥有可视界面，可以远程控制用户的计算机。两者经常成对出现，并趋于融合。后门病毒：后门；(通过网络传播，打开系统的后门，给用户的计算机带来安全风险)6。种植计划病毒：滴管；(一个或多个新病毒在运行时被释

7、放，并被新释放的病毒破坏)7。邦德勒病毒：粘合剂；(病毒与一些应用程序捆绑在一起，形成一个具有正常外观的文件，病毒在执行过程中隐藏运行)8。宏病毒：宏、Word(97)、Excel(97)等。(感染OFFICE文档并通过通用模板传播它们)(1)破坏性程序：危害；(2)笑话；病毒；9.其他(3)拒绝攻击类：拒绝服务；(4)病毒式溢出：利用；(5)黑客工具：黑客工具；常见病毒前缀，本章概述，第1节计算机病毒的定义、特征和原理，第2节计算机病毒的产生、发展和危害，第3节计算机病毒的流行状况和互联网安全状况，计算机病毒的根源，计算机系统的复杂性和脆弱性；各种矛盾被经济利益激化和驱动；炫耀、玩笑、恶作剧

8、或报复；电脑病毒的发展，电脑病毒的危害，劫持IE浏览器，篡改主页和一些默认项目(如默认搜索)；修改主机文件，导致用户无法访问某些网站或导致“网络钓鱼网站”；添加驱动程序保护，以便用户不能删除某些软件；修改系统启动项目，以便一些恶意软件可以从系统启动；打开用户电脑的后门，黑客可以通过它远程控制中毒的机器，形成僵尸网络，发起攻击，发送垃圾邮件，点击在线广告获取利润；采用图像劫持技术，使许多杀毒软件和安全工具无法使用；记录用户的键盘和鼠标操作，窃取银行卡和网络游戏密码等信息；记录用户的相机操作，并从远程位置窥探隐私；降低用户机器的速度并消耗大量系统资源；窃取用户计算机数据和信息；本章概述，第一节计算

9、机病毒的定义、特征和原理，第二节计算机病毒的产生、发展和危害，计算机病毒的流行情况和互联网安全形势，病毒数量急剧增加。2010年上半年，瑞星“云安全”系统截获4221366个新病毒样本。在病毒分类统计中，木马病毒有2344637种，占总数的55.54%，其次是“后门病毒”、“蠕虫病毒”和“Rootkit”。2010年，挂马网站类型、黑客/病毒产业链分析、混合威胁成为主流，基于漏洞的攻击无法阻止，网页和u盘成为重要方式。自卫能力增强。团队特征是显而易见的，主要针对基本的网络应用。利益驱动的商业运作具有明显的区域化特征和明确的攻击目标。脱壳技术被广泛使用，如主动攻击安全软件，破坏系统功能属性，发起

10、多种数量和速度的竞争，电子邮件，网页浏览，网上银行，证券，网络游戏，网上下载，现代病毒的显著特征，议程内容，第一章，计算机病毒的概念，概况和现状，第二章，介绍计算机病毒的分类和技术分析，第三章，介绍反病毒技术和病毒的分析和处理。第四章防病毒产品介绍及安全体系建立，本章概述，第一节计算机病毒分类介绍，第二节现代计算机病毒常规技术手段分析，第三节当前流行计算机病毒详细技术说明，早期病毒DOS病毒，概念：DOS病毒是指为DOS操作系统开发的病毒，只能在DOS环境下运行和感染，是最早的计算机病毒。目前，几乎没有新造的DOS病毒。由于视窗系统的普及，DOS病毒几乎绝迹，但其中相当一部分可以感染和传播视窗

11、9X系统，或导致系统崩溃或程序运行异常。分类：引导类型：指感染(主)引导扇区的病毒，如“米切里斯病毒”；文件类型：指被DOS可执行文件感染的病毒。exe、COM。英美烟草)，如“黑色星期五”；混合病毒：指感染(主)引导和文件的病毒。如：“幽灵”病毒、纳塔病毒等。代表：耶路撒冷、米开朗基罗、猴子、音乐虫等。危害：DOS时期的病毒类型相当复杂，有些人不断改写现有的病毒。在后期，有些人甚至写了所谓的“双体引擎”，这可以为病毒创造一个更加多样化的外观。病毒攻击的症状是多种多样的，有些会删除文件，有些会格式化硬盘，有些会在屏幕上显示各种图形和声音效果。然而，对于DOS时期的这些古老病毒，大多数杀毒软件都

12、能轻易将其清除，其杀伤力也不如以前。Office杀手宏病毒，概念：(1)宏，从宏翻译过来，是OFFICE的一个特殊功能。它使用简单的VB语法，将一系列常见的操作集成到一个简短的程序中，并可以在需要重复的时候运行宏，从而实现文档中一些任务的自动化。默认情况下，Office将宏存储在常规模板Normal.dot中，该模板的特点是利用宏病毒。(2)宏病毒是在文档或模板的宏中注册的计算机病毒。一旦打开这样的文档，宏病毒将被激活，转移到计算机并驻留在普通模板上。此后，所有自动保存的文档将被宏病毒“感染”，其他用户将打开被感染的文档，宏病毒将被转移到其他计算机。特点：生产和品种方便，隐蔽性强，传播迅速，损

13、坏可能性大，但兼容性低等。危害：它不能正常打印，改变文件存储，重命名文件，随机复制文件，关闭菜单，删除选项，不能正常编辑，只能以模板格式保存，破坏数据文件，设置密码，调用系统命令和造成损害。防治：(1)将常用的Word模板文件改为只读属性；(2)禁止自动执行宏函数；处理：(1)在紧急情况下，文件可以用写字板或WORD 6.0打开，单独存放。(2)进入“宏管理器”，删除“宏有效范围”列表中未知的自动执行的宏；(3)最好使用最新版本的杀毒软件进行杀毒；1.基本概念系统病毒是指感染操作系统引导扇区的病毒，主要是指感染硬盘主引导扇区和DOS引导扇区的病毒。第二，存储结构这个病毒程序分为两部分，第一部分

14、存储在磁盘的引导扇区，第二部分存储在磁盘的其他扇区。第三，简述1。当病毒感染磁盘时，首先根据文件分配表(FAT)找到一个或一个连续的空白簇；2.然后将病毒程序的第二部分和磁盘原始引导扇区的内容写入空白簇，并立即将FAT中注册的条目的内容标记为坏簇(FF7H)；3.然后将病毒程序的第一部分写入磁盘的引导扇区，并记录病毒程序的第二部分所在的簇的簇号或磁盘偏移地址01F9处的第一个扇区的逻辑扇区号。4.处理：读取偏移地址01F9的地址，恢复原始引导扇区的内容，删除第二部分病毒数据。首先，基本概念文件病毒是指专门感染系统中可执行文件的病毒(即。COM。exe)。第二，磁盘存储结构这种病毒程序不会独立占

15、据磁盘上的空白簇，而是附着在被感染文件的头、尾、中间或其他部分。病毒入侵后，主机程序占用的磁盘空间一般会增加。3.简要说明大多数文件病毒属于外壳病毒，外壳(病毒程序)和内核(主机程序)形成一个层次结构。加载关系是先运行外壳，然后跳转到执行内核。一般来说，可执行文件的外壳具有相对独立的功能和结构，移除外壳不会影响内核的运行。网络瘟疫蠕虫，特征：蠕虫与普通病毒有很大不同。关于蠕虫没有一个完整的理论体系。人们普遍认为蠕虫是一种通过网络传播的恶性病毒。它既有病毒的一些共性，如传播性、隐蔽性和破坏性，又有其自身的一些特点，如一般不使用文件寄生，只存在于内存中，对网络造成拒绝服务，并与黑客技术相结合等。它

16、具有超强的自我复制和传播能力、特异的触发机制、一定的潜伏性和极大的破坏性。就破坏性而言，蠕虫无法与普通病毒相比。随着网络的发展，蠕虫可以在短时间内蔓延整个网络，造成网络瘫痪！分类：一是针对企业用户和内部局域网。该病毒利用系统漏洞，主动攻击，可导致整个互联网瘫痪。以“红队”、“尼姆达”和“SQL蠕虫王”为代表。另一种是针对个人用户的蠕虫，通过网络迅速传播(主要以电子邮件和恶意网页的形式)，表现为嗜虫病毒和求职信病毒。传播过程：(1)扫描：蠕虫扫描功能模块负责检测易受攻击的主机。当程序向主机发送检测漏洞的信息并接收到成功的反馈信息时，它得到一个可传播的对象。(2)攻击：攻击模块根据漏洞攻击步骤找到对象，获得主机权限，获得外壳。(3)复制：复制模块通过原主机和新主机之间的交互将蠕虫程序复制到新主机，并启动它。隐藏危机木马病毒，特点：它是一种基于远程控制的黑客工具，具有隐蔽性和未经授权的特点。指由特定程序(特洛伊木马程序)对另一台计算机的控制。一旦木马运行并被控制终端连接，控制终端将享有服务器终端的大部分系统操作权限。结构：(1)控制端程序：控制端用于远程控制服务器程序；(2)木马程序：潜入服务器获取其操作权限