新型计算机病毒的发展趋势及特点和技术ppt课件.ppt

《新型计算机病毒的发展趋势及特点和技术ppt课件.ppt》由会员分享，可在线阅读，更多相关《新型计算机病毒的发展趋势及特点和技术ppt课件.ppt（43页珍藏版）》请在金锄头文库上搜索。

1、计算机病毒原理与防范 第4章 新型计算机病毒的发展 趋势及特点和技术 4 1 新型计算机病毒的发展趋势 4 2 新型计算机病毒发展的主要特点 4 3 新型计算机病毒的主要技术 2 4 1 新型计算机病毒的发展趋势 网络化 利用基于Internet的编程语言与编程技术实现 易于修改以产生新的变 种 从而逃避反计算机病毒软件的搜索 如利用Java ActiveX和VBScript 等技术 使病毒潜伏在HTML页面中 例如 爱虫 病毒 Kakworm 病毒 人性化 充分利用了心理学知识 针对人类的心理制造计算机病毒 其主题 文 件名更具人性化和极具诱惑性 例如 My babypic 病毒 多样化 新

2、计算机病毒可以是可执行文件 脚本语言和HTML网页等多种形式 并向电子邮件 网上贺卡 卡通图片 ICQ和OICQ等发展 4 1 新型计算机病毒的发展趋势 隐蔽化 新一代计算机病毒更善于隐蔽自己 伪装自己 其主题会在传播中改变 或具有诱惑性的主题 附件名 如 主页计算机病毒 维罗纳 病毒 Matrix 病毒 平民化 由于脚本语言的广泛使用 专用计算机病毒生成工具的流行 计算机病 毒的制造不再是计算机专家表现自己的高超技术 智能化 可对外设 硬件设施物理性破坏 也可对人体实施攻击 4 2 新型计算机病毒发展的主要特点 4 2 1 新型计算机病毒的主要特点 4 2 2 基于Windows的计算机病毒

3、 4 2 3 新型计算机病毒的传播途径 4 2 4 新型计算机病毒的危害 4 2 5 电子邮件成为病毒传播的主要媒介 4 2 6 新型计算机病毒的最主要载体 4 2 1 新型计算机病毒的主要特点 利用系统漏洞将成为计算机病毒有力的传播方式 局域网内快速传播 以多种方式快速传播 欺骗性增强 大量消耗系统与网络资源 更广泛的混合性特征 计算机病毒与黑客技术的融合 计算机病毒出现频度高 计算机病毒生成工具多 计算机病 毒的变种多 难于控制和彻底根治 容易引起多次疫情 4 2 2 基于Windows的计算机病毒 1 什么是Windows计算机病毒 Windows计算机病毒 指能感染Windows可执行

4、程序并可在Windows系统下运行的 计算机病毒 Windows计算机病毒分类 感染NE格式 Windows3 X 可执行程序的计算机病毒 感染PE格式 Windows95以上 可执行程序的计算机病毒 4 2 2 基于Windows的计算机病毒 2 为什么Windows计算机病毒这么多 一方面 随着人们对Windows操作系统认识的深入 系统功 能的强大而使系统庞大 不可避免地出现错误和漏洞 另一方 面 Windows系统源码保密 危害系统主机的非授权主机进程的表现形式 病毒程序 蠕虫 木马 后门 漏洞 4 2 2 基于Windows的计算机病毒 危害系统主机的非授权主机进程的表现形式 病毒程

5、序 病毒程序一般比较小巧 表现为强传染性 会传染它所能 访问的文件系统中的文件 蠕虫 蠕虫是利用网络进行传播的程序 利用主机提供的服务缺 陷攻击目标机 目标机感染后 一般会随机选择一段IP地址 进行扫描 寻找下一个有缺陷的目标进行攻击 如 Lion 针对DNS解析的服务程序BIND 冲击波 震荡波 针对Windows系统 4 2 2 基于Windows的计算机病毒 危害系统主机的非授权主机进程的表现形式 木马 木马是网络攻击成功后有意放置的程序 用于与外界的攻击程序接口 以非法访问被攻击主机为目的 绝大多数针对Windows系统 后门 后门是写系统或网络服务程序的公司或个人放置在系统上 以进行

6、非法 访问为目的的代码 只存在于不开放源码的操作系统中 漏洞 漏洞是指由于程序编写过程中的失误 导致系统被非法访问 4 2 2 基于Windows的计算机病毒 3 Windows系统与计算机病毒的斗争 Windows系统只有通过不断升级 完善 才可以减少受计算 机病毒骚扰的机会 4 2 3 新型计算机病毒的传播途径 1 传播途径 软盘 光盘 硬盘 BBS 网络 4 2 3 新型计算机病毒的传播途径 2 计算机病毒传播呈现多样性 1 隐藏在即时通信软件中的计算机病毒 即时通信IM软件 ICQ QQ MSN Messenger 例如 求职信 病毒 第一个通过ICQ进行传播的恶性蠕虫 爱情森林 系列

7、病毒 QQ尾巴 病毒 通过腾讯QQ进行传播 MSN射手 病毒 W32 HLLW Henpeck 病毒 通过腾讯MSN Messenger进行传播 通过即时通信软件传播病毒的原因 用户数量庞大 有利于病毒的迅速传播 软件内建有联系人清单 可方便地获取传播目标 4 2 3 新型计算机病毒的传播途径 2 计算机病毒传播呈现多样性 隐藏在即时通信软件中的计算机病毒 在IRC中的计算机病毒 点对点计算机病毒 4 2 4 新型计算机病毒的危害 1 计算机病毒肆虐 以 震荡波 病毒为例 2 计算机病毒与IT共存 据海外有关数据显示 全球每月产生新计算机病毒300种 一年就达 4000 5000种 全球每年造

8、成巨大的经济损失 典型案例 尼姆达 美丽莎 CIH Sircam 病毒 网络攻击手段 密码攻击 分组窃听和IP地址欺骗 以及拒绝服务 Ddos 未授权访问和特洛伊木马 Trojan 专家针对计算机病毒推荐的防范措施 1 及时关注微软公司官方网站公布的系统漏洞 下载正式补丁 2 购买专业杀毒软件厂商的软件及其后台服务 及时升级 3 定期备份计算机上的重要文件 4 2 5 电子邮件成为计算机病毒传播的主要媒介 BubbleBoy 病毒 无需用户打开附件就能感染用户的计算机系统 通过E mail进行传播的计算机病毒的主要特点 1 传播速度快 传播范围广 2 破坏力大 破坏性强 典型案例 2000年5

9、月4日 爱虫 计算机病毒的爆发 4 2 6 新型计算机病毒的最主要载体 目前 计算机网络成为计算机病毒传播的最主要载体 1 网络蠕虫成为最主要和破坏力量最大的计算机病毒类型 蠕虫 病毒主要利用系统漏洞进行传播 在控制系统的同时 为系统打开后门 成为一种黑客攻击工具 蠕虫 病毒编写简单 往往直接利用VBS来编写 如 欢乐时 光 病毒 2 恶意网页 木马和计算机病毒 4 2 6 新型计算机病毒的最主要载体 蠕虫 Worm 虽然蠕虫可以在计算机系统中繁殖 有的蠕虫甚至还可以在 内存 磁盘 网络中移动 爬行 但它们不依附于其他程序 即不需要宿主对象 严格地说 蠕虫与计算机病毒的一个最大区别在于 蠕虫程

10、 序本身并不具备传染性 在其他方面 蠕虫与计算机病毒又极为类似 它是计算机病 毒的 近亲 而被视为是另一种类型的计算机病毒 4 2 6 新型计算机病毒的最主要载体 目前 计算机网络成为计算机病毒传播的最主要载体 1 网络蠕虫成为最主要和破坏力量最大的计算机病毒类型 2 恶意网页 木马和计算机病毒 恶意网页的特点 在用户不知道情况下 修改用户浏览器选项 修改用户注册表选项 锁定注册表 修改系统启动选项 以及在用户 桌面生成网页快捷访问方式 格式化用户硬盘 很少出现 注意 在当前计算机病毒定义下 不能称恶意网页为计算机病毒 因为它不 能自我复制 也不能称为木马 因为它没有远程控制 木马的最主要特点

11、 远程控制 4 2 6 新型计算机病毒的最主要载体 特洛伊木马 Trojan Horse 借古罗马战争中的 木马 战术而得名 原理 木马实际上是一种在远程计算机之间建立起连接 使远 程计算机能通过网络控制本地计算机上的程序 传播 木马以合法而正常的程序 如计算机游戏 压缩工具乃 至防治计算机病毒软件等 面目出现 来达到欺骗并在用户计 算机上运行 产生用户所料不及的破坏后果之目的 组成 一般情况下 木马程序由服务器端程序和客户端程序组 成 其中服务器端程序安装在被控制对象的计算机上 客户端 程序是控制者所使用的 4 2 6 新型计算机病毒的最主要载体 特洛伊木马 Trojan Horse 危害

12、通过远程控制对目标计算机进行危险的文件管理 包括 可从受害者的计算机查看 删除 移动 上传 下载 执行任 何文件 进行警告信息发送 键盘记录 记录机内保密信息 关闭窗口 鼠标控制 计算机基本设置等非法操作 木马和远程控制软件的区别 木马具有隐蔽性 例如国内的血 蜘蛛 国外的PCAnyWhere等远程控制软件 其服务器端在目 标计算机上运行时 目标计算机上会出现很醒目的标志 而木 马类软件的服务器在运行时则应用多种手段来隐藏自己 类型 远程访问木马密码发送型木马FTP型木马 键盘记录型木马毁坏型木马 4 3 新型计算机病毒发展的主要技术 4 3 1 ActiveX与Java 4 3 2 计算机病

13、毒的驻留内存技术 4 3 3 修改中断向量表技术 4 3 4 计算机病毒隐藏技术 4 3 5 对抗计算机病毒防范系统技术 4 3 6 技术的遗传与结合 4 3 1 ActiveX与Java 传统计算机病毒与新型计算机病毒 1 宿主程序 传统计算机病毒 一定有一个 宿主 程序 如 EXE文件 COM文件以及 DOC文件 宏病毒 感染Word 如 Taiwan No 1 病毒 新型计算机病毒 完全不需要宿主程序 2 寄生方式 传统计算机病毒 寄生在可执行程序代码中 伺机对系统进行破坏 新型计算机病毒 利用网页编写所用的Java或ActiveX语言编写的可 执行程序 当浏览网页时就会下载并在系统中执

14、行 4 3 1 ActiveX与Java Java或ActiveX语言 用来编写具有动感十足的网页 Java或ActiveX语言的执行方式 将程序代码写在网页上 当访问网站时 用户浏览器将这些程序代码下 载 然后用用户的系统资源去执行 例如 uActiveX控件病毒 Exploder 能关闭Windows95系统 可见其 控制能力之强 u利用Java编写的包含恶意代码的程序 Application macros Navigator plug ins Macintosh等应用程序 现在有些计算机病毒是在用户未知情况下所执行的一些操作 而感染传播的 4 3 2 计算机病毒的驻留内存技术 1 引导型

15、病毒的驻留内存技术 引导型病毒是在计算机启动时从磁盘的引导扇区被ROM BIOS中的引导程序读入内存的 在将控制权转交给正常引导程 序去做进一步的系统启动工作之前 将自身搬移到内存的高端 即RAM的最高端 同时修改可用内存空间 例如 小球 大麻 米开朗琪罗 等病毒 引导型病毒总是以驻留内存的形式进行感染的 利用DOS的 Chkdsk或Pctools程序可发现内存总数的减少 利用Debug不仅 可发现内存的减少 而且可发现病毒在内存的具体位置 4 3 2 计算机病毒的驻留内存技术 2 文件型病毒的不驻留内存技术 感染方法是只要被运行一次 就在磁盘中寻找一个未被该病 毒感染的文件进行感染 当程序运

16、行结束 病毒连同其宿主程 序一起离开内存 不留任何痕迹 其传染和扩散速度相对于内存驻留型病毒稍差些 如 维也纳DOS648 Taiwan Syslock W13 等病 毒 4 3 2 计算机病毒的驻留内存技术 3 文件型病毒的驻留内存技术 文件型病毒可以驻留在内存高端 也可驻留在内存低端 如 1575 DIR2 4096 新世纪 中国炸弹 旅行者1202 等病毒 采用DOS的中断调用27H和系统功能调用31H 文件型病毒可驻留在它被系统调入内存时所在的位置 往往是内存低端 可被DOS的MEM和Pctools的MI查看到 如 1808 病毒 很多病毒采用了直接修改MCB的方法 可以驻留在内存的低端 也可搬移到内存高端 可以躲避监视 如 1575 4096 等病毒 4 3 2 计算机病毒的驻留内存技术 Windows环境下病毒的内存驻留 补充 方法一 病毒作为一个应用程序 由于Windows操作系统本身就是多任务的 所以最简单的内 存驻留方法是将病毒作为一个应用程序 病毒拥有自己的窗口 可能是隐藏的 拥有自己的消息处理函数 方法二 病毒独立占用系统内存块 使用DPMI申请一块系统内存 将病