《[医学保健]计算机病毒防范技术》由会员分享,可在线阅读,更多相关《[医学保健]计算机病毒防范技术(27页珍藏版)》请在金锄头文库上搜索。
1、1精品PPT课件 浏览免费 下载后可以编辑修改。 http:/ http:/ http:/ http:/ http:/ /计算机病毒防范技术 本章学习目标: 掌握病毒的分类类与特征 掌握病毒检测检测 与防范的基本知识识 了解计计算机病毒防范技术术的发发展趋势趋势 掌握防病毒软件的安装与使用312.1 计计算机病毒概述 早期的计计算机病毒大部分是试验试验 性的,并且是相对简单对简单 的自行复制的文件,它们仅们仅 在执执行时显时显 示简单简单 的恶恶作剧剧而已 。人们们普遍认为认为 ,1986年出现的Brain病毒是第一种真正的 计计算机病毒。1986 年出现现的其他首批病毒还还包括 Virde
2、m(第一个文 件病毒)和 PC-Write(第一个特洛伊木马马病毒,此程序看上去 有用或无害,但却包含了旨在利用或损损坏运行该该程序的系统统 的隐隐藏代码码。)在 PC-Write 中,特洛伊木马马程序伪伪装成一个 同名的流行共享软软件:字处处理器应应用程序。 12.1.1 计计算机病毒的演变变 412.1 计计算机病毒概述 12.1.1 计计算机病毒的演变变(续) 随着更多的人开始研究病毒技术术,病毒的数量、被攻击击 的平台数以及病毒的复杂杂性和多样样性都开始显显著提高。病毒 在某一时时期曾经经着眼于感染启动动扇区,然后又开始感染可执执 行文件。 1988 年出现现了第一个 Internet
3、 蠕虫病毒(一种使用自 行传传播恶恶意代码码的恶恶意软软件,它可以通过过网络连络连 接,自动动将 其自身从一台计计算机分发发到另一台计计算机)。1990年,开发发出了第一个多态态病毒。多态态病毒是一种恶恶 意软软件,它使用不限数量的加密例程以防止被检测检测 出来。多 态态病毒具有在每次复制时时都可以更改其自身的能力,这这使得 用于“识别识别 “病毒的基于签签名的防病毒软软件程序很难检测难检测 出 这这种病毒。 512.1 计计算机病毒概述 12.1.1 计计算机病毒的演变变(续) 随着更多的人开始研究病毒技术术,病毒的数量、被攻击击 的平台数以及病毒的复杂杂性和多样样性都开始显显著提高。病毒
4、在某一时时期曾经经着眼于感染启动动扇区,然后又开始感染可执执 行文件。 1988 年出现现了第一个 Internet 蠕虫病毒(一种使用自 行传传播恶恶意代码码的恶恶意软软件,它可以通过过网络连络连 接,自动动将 其自身从一台计计算机分发发到另一台计计算机)。1990年,开发发出了第一个多态态病毒。多态态病毒是一种恶恶 意软软件,它使用不限数量的加密例程以防止被检测检测 出来。多 态态病毒具有在每次复制时时都可以更改其自身的能力,这这使得 用于“识别识别 “病毒的基于签签名的防病毒软软件程序很难检测难检测 出 这这种病毒。 612.1 计计算机病毒概述 12.1.1 计计算机病毒的演变变(续)
5、 自那时时起,病毒就变变得越来越复杂杂:病毒开始访问电访问电 子 邮邮件通讯讯簿,并将其自身发发送到联联系人;宏病毒将其自身附加 到各种办办公类类型的应应用程序文件并攻击这击这 些文件;此外还还出 现现了专门专门 利用操作系统统和应应用程序漏洞的病毒。电电子邮邮件、对对等 (P2P) 文件共享网络络、网站、共享驱驱 动动器和产产品漏洞都为为病毒复制和攻击击提供了平台。在已感染系统统上创创建的后门门(由恶恶意软软件引入的秘密或 隐隐藏的网络络入口点)使得病毒编编写者(或黑客)可以返回和运 行他们们所选择选择 的任何软软件。病毒编编写者还还开始认认真地设计设计 病毒攻击击的结结构并使用 社会工程,
6、来开发发具有可信外观观的电电子邮邮件。 恶恶意软软件演变变的同时时,防病毒软软件也处处在不断的发发展之中 。 712.1 计计算机病毒概述 12.1.2 计计算机病毒的定义义和特征 计计算机病毒的概念:是一个能够够通过过修改程序,把自身复 制进进去,进进而去传传染其他程序的程序。我国在中华华人民共和国计计算机信息系统统安全保护护条例 中明确定义义,计计算机病毒是指“编编制或者在计计算机程序中 插入的破坏计计算机功能或者破坏数据,影响计计算机使用并且 能够够自我复制的一组计组计 算机指令或者程序代码码”。一般地,计计算机病毒都具有以下特性: 1可执执行性 2传传染性 3潜伏性 4可触发发性 5针
7、对针对 性 6隐隐蔽性 812.1 计计算机病毒概述 12.1.3 计计算机病毒的分类类 按照计计算机病毒的特点及特性,计计算机病毒的分类类方法 有许许多种。 1按照计计算机病毒攻击击的系统统分类类1)攻击击DOS系统统的病毒;2)攻击击Windows系统统的病毒;3)攻 击击UNIX系统统的病毒;4)攻击击OS/2系统统的病毒。2按照病毒的攻击击机型分类类 1)攻击击微型计计算机的病毒;2)攻击击小型机的计计算机病毒 ;3)攻击击工作站的计计算机病毒。3按照计计算机病毒的链结链结 方式分类类 1)源码码型病毒 2)嵌入型病毒 3)外壳型病毒 4)操作系 统统型病毒 912.1 计计算机病毒概
8、述 12.1.3 计计算机病毒的分类类(续)4按照计计算机病毒的破坏情况分类类 1)良性计计算机病毒 2)恶恶性计计算机病毒 。5按照计计算机病毒的寄生部位或传传染对对象分类类 1)磁盘盘引导导区传传染的计计算机病毒 2)操作系统传统传 染的计计 算机病毒 3)可执执行程序传传染的计计算机病毒 。6按照计计算机病毒激活的时间时间 分类类 分为为定时时的和随机的。7按照传传播媒介分类类 1)单单机病毒 2)网络络病毒8按照寄生方式和传传染途径分类类 寄生方式大致可分为为两类类:一是引导导型病毒;二是文件型 病毒。 传传染途径又可分为驻为驻 留内存型和不驻驻留内存型。1012.2 计计算机病毒的工
9、作流 程 12.1.3 计计算机病毒的分类类(续)计计算机病毒的传传染是以计计算机系统统的运行及读读写磁盘为盘为 基 础础的。计计算机病毒的完整工作过过程应应包括以下几个环节环节 和过过程:1)传传染源。病毒总总是依附于某些存储储介质质,如软盘软盘 、 硬盘盘等构成传传染源 。2)传传染媒介。病毒传传染的媒介由工作的环环境来定, 可能是计计算机网, 也 可能是可移动动的存储储介质质,如软盘软盘 等。3)病毒激活。是指将病毒装入内存, 并设设置触发发条件, 一旦触发发条件成 熟, 病毒就开始作用自我复制到传传染对对象中, 进进行各种破坏活动动等。4)病毒触发发。计计算机病毒一旦被激活, 立刻就发
10、发生作用, 触发发的条件是 多样样化的, 可以是内部时钟时钟 ,系统统的日期, 用户标识户标识 符,也可能是系统统一次 通信等。5)病毒表现现。表现现是病毒的主要目的之一, 有时时在屏幕显显示出来, 有时时 则则表现为现为 破坏系统统数据。可以这样说这样说 , 凡是软软件技术术能够够触发发到的地方, 都在其表现现范围围内。6)传传染。病毒的传传染是病毒性能的一个重要标标志。在传传染环节环节 中, 病毒 复制一个自身副本到传传染对对象中去。 1112.3 计计算机病毒的检测检测 和防范 12.3.1 工作原理 1签名扫描通过过搜索目标标(宿主计计算机、磁盘驱动盘驱动 器或文件)来查查找表示恶恶意
11、软软件的 模式。 目前,计计算机病毒防范技术术的工作原理主要有签签名扫扫描和启 发发式扫扫描两种。2启发式扫描通过查过查 找通用的恶恶意软软件特征,来尝试检测尝试检测 新形式和已知形式的恶恶意软软 件。 1212.3 计计算机病毒的检测检测 和防范 12.3.2 检测检测 和防范 用防病毒软软件来防范病毒需要定期自动动更新或者下载载最新的 病毒定义义、病毒特征。但是防病毒软软件的问题问题 在于它只能为为防 止已知的病毒提供保护护。因此,防病毒软软件只是在检测检测 已知的特 定模式的病毒和蠕虫方面发挥发挥 作用。对恶对恶 意代码码的查查找和分类类的根据是:对恶对恶 意代码码的理解和 对恶对恶 意
12、代码码“签签名”的定位来识别恶识别恶 意代码码。然后将这这个签签名 加入到识别恶识别恶 意代码码的签签名列表中,这这就是防病毒软软件的工作原 理。防病毒软软件成功的关键键是它是否能够够定位“签签名”。恶恶意代码码基本上可以分为为两类类:脚本代码码和自执执行代码码。实实 现对现对 脚本蠕虫的防护护很简单简单 ,例如,VBScript蠕虫的传传播是有规规 律的,因此常常可以通过过运行一个应应用程序的脚本来控制这块这块 代 码码或者让这让这 个代码码失效。 1312.3 计计算机病毒的检测检测 和防范 12.3.2 检测检测 和防范 最容易受到恶恶意软软件攻击击的区域: 1)外部网络络 2)来宾宾客
13、户户端 3)可执执行文件 4)文档 5)电电子邮邮件 6)可移动动媒体恶恶意软软件防护护方法:在针对恶针对恶 意软软件尝试组织尝试组织 有效的防护护 之前,需要了解组织组织 基础结础结 构中存在风险风险 的各个部分以及每个部 分的风险风险 程度。Microsoft 强烈建议议您在开始设计设计 防病毒解决 方案之前,进进行完整的安全风险评风险评 估。 1412.3 计计算机病毒的检测检测 和防范 12.3.2 检测检测 和防范(续)深层层防护护安全模型:在发现发现 并记录记录 了组织组织 所面临临的风险风险 后, 下一步就是检查检查 和组织组织 您将用来提供防病毒解决方案的防护护措 施。深层层防
14、护护安全模型是此过过程的极好起点。此模型识别识别 出七 级级安全防护护,它们们旨在确保损损害组织组织 安全的尝试尝试 将遇到一组组强 大的防护护措施。每组组防护护措施都能够够阻挡挡多种不同级别级别 的攻击击 。1)数据层层。数据层层上的风险风险 源自这样这样 的漏洞:攻击击者有可能 利用它们获们获 得对对配置数据、组织组织 数据或组织组织 所用设备设备 独有的任 何数据的访问访问 。2)应应用程序层层。应应用程序层层上的风险风险 源自这样这样 的漏洞:攻 击击者有可能利用它们访问们访问 运行的应应用程序。恶恶意软软件编编写者可 以在操作系统统之外打包的任何可执执行代码码都可能用来攻击击系统统
15、。 153)主机层层。提供 Service Pack 和修复程序以处处理恶恶意软软 件威胁胁的供应应商通常将此层层作为为目标标。此层层上的风险风险 源自利用 主机或服务务所提供服务务中漏洞的攻击击者。攻击击者以各种方式利 用这这些漏洞向系统发动统发动 攻击击。4)内部网络层络层 。组织组织 内部网络络所面临临的风险风险 主要与通过过此 类类型网络传输络传输 的敏感数据有关。这这些内部网络络上客户户端工作站 的连连接要求也具有许许多与其关联联的风险风险 。5)外围围网络层络层 。与外围围网络层络层 (也称为为 DMZ、网络络隔离区 域或屏幕子网)关联联的风险风险 源自可以访问访问 广域网 (WA
16、N) 以及它 们们所连连接的网络层络层 的攻击击者。模型此层层上的主要风险风险 集中于网 络络可以使用的传输传输 控制协议协议 (TCP) 和用户户数据报协议报协议 (UDP) 端口。 12.3 计计算机病毒的检测检测 和防范 12.3.2 检测检测 和防范(续)166)物理安全层层。物理层层上的风险风险 源自可以物理访问访问 物理资资 产产的攻击击者。此层层包括前面的所有层层。攻击击者可能只是通过过某 个物理可移动动媒体(如 USB 磁盘设备盘设备 )将感染文件直接复制到主 机。7)策略、过过程和意识层识层 。围绕围绕 安全模型所有层层的是,您的 组织为满组织为满 足和支持每个级别级别 的要求需要制定的策略和过过程。最 后,提高组织组织 中对对所有相关方的意识识是很重要的。在
