《病毒防范mse安全攻防培训资料》由会员分享,可在线阅读,更多相关《病毒防范mse安全攻防培训资料(27页珍藏版)》请在金锄头文库上搜索。
1、病毒防范,一、什么是电脑病毒,过去式:所谓电脑病毒在技术上来说,是一种会自我复制和通常发作的可执行程序。当病毒发作时, 它很可能会破坏硬盘中的重要资料, 或格式化 (Format) 您的硬碟。就算病毒尚未发病, 可能也会占据一些系统内存, 并使 您电脑变得比正常的电脑慢。现在式:自从Internet盛行以来, Java和ActiveX的网页技术逐渐被广泛使用, 一些有心人士于是利用Java和ActiveX的特性来编写病毒。 以Java病毒为例, Java病毒它并不能破坏您硬盘上的资料, 可是若您使用浏览器来浏览含有 Java 病毒的网页, Java病毒可以强迫您的Windows不断的开启新视窗
2、, 直到系统资源被吃光为止, 而您也只有选择重新开机一途了。所以在Internet革命以后, 电脑病毒的定义就更改为只要是对用户会造成不便的这些不怀好意的程序码, 就可以被归类为病毒。,二、电脑病毒的生命周期,创造期:当电脑黑客们花了数天或数周努力的研究出一些可以广为散布的程序码, 电脑病毒就这样诞生了。 孕育期:这些电脑黑客们会将这些含有电脑病毒的文件放在一些容易散播的地方。如BBS站, Internet的FTP站, 甚至是公司或是学校的网络中等等。 发病期:当一切条件形成之后, 病毒于是就开始破坏的动作。 根除期:如果有够多的防毒软件能够检测及控制这些病毒, 并且有够多的用户购买了防毒软件
3、, 那么这些病毒就有机会被连根扑灭。,电脑病毒的种类,引导病毒 DOS病毒 Windows病毒 宏病毒 脚本病毒 Java病毒,引导型病毒传播方式,已感染的磁盘,硬盘受感染,感染所有磁盘,DOS文件型病毒(EXE型),原文件头,当主机受到感染,病毒通常自我复制到主机文件结尾 在附着的病毒代码中保存 病毒获得原文件头信息 最后,病毒修改原文件头信息,执行最近被感染文件时就能跳到病毒体。,宏病毒如何传染传播,若在Word中打开染毒文件,病毒会将其宏代码复制到通用模板,通用模板中的宏病毒,将病毒复制到其他打开的文件中,Windows病毒,染毒文件,脚本病毒,若电子邮件或Web页有恶意脚本程序,这类恶
4、意脚本程序利用浏览器和电子邮件系统的Scripting Host的执行功能,病毒可复制到其他收件人或web 用户,Java病毒,病毒制造者利用的安全漏洞某些感染令人生厌病毒运行与否依赖于安全设置具有*.CLASS扩展名,四、第二代病毒是什么?,第一代病毒来看,病毒是寄生在可执行的程序码中,伺机对系统进行破坏,因为病毒本身也就是一段可执行的程序码而已。现在再来看看所谓的第二代病毒, 它就是利用网页编写所用的JAVA或ActiveX这些语言。由这些语言可以写出一些可执行的程序码,而在用户浏览网页时, 一并下载下来在系统里执行。既然JAVA或ActiveX可写成一些可执行的程序码, 那就没什么理由不
5、能让病毒藏身其中。,恶意程序的分类,特洛伊木马 蠕虫 玩笑程序 黑客工具 病毒释放体,病毒代码与扫描引擎,什么是病毒代码(Virus Pattern)? 何谓扫毒引擎(Scan Engine)? 为什么要更新防毒组件(扫描引擎和病毒代码)?,什么是病毒代码 (Virus Pattern)?,所谓的病毒代码其实可以想像成是犯人的指纹, 当防毒软件公司收集到一只新的病毒时, 他们就会从这个病毒程序中截取一小段独一无二而且足以表示这只病毒的二进位程序码 (Binary Code) , 来当做扫毒程序辨认此病毒的依据, 而这段独一无二的二进位程序码就是所谓的病毒代码。,何谓扫描引擎(Scan Engi
6、ne)?,扫描引擎可以说是防毒软件中最精华的部分。真正影响扫描速度及检测率的因素就是扫毒引擎, 扫毒引擎是一个没有画面, 没有包装的核心程序, 它被放在防毒软件所安装的目录之下, 就好像汽车引擎平常是无法直接看见的, 可是它却是影响汽车性能最主要的关键。有了病毒代码, 有了扫毒引擎, 再配合一个精美的操作画面, 就成了市面上您所看到的防毒软件。,为什么要更新扫描引擎和病毒代码?,在一开始提到过绝大多数的人都以为安装了一套防毒软件之后, 就可以从此高枕无忧, 这是一个绝对错误的观念, 因为病毒的种类及型态一直在改变, 新病毒也每天不断的被产生, 如果不经常更换最新的病毒代码以及扫毒引擎, 再强悍
7、的防毒软件也会有失灵的一天。举个最明显的例子来说, 在还没有出现宏病毒以前, 全世界没有任何一家防毒软件厂商支持宏病毒扫描能力, 当然如果您还在沿用数年前的防毒软件, 就无法检测到宏病毒了, 所以您必须使用能扫到到宏病毒的病毒码及支持宏病毒的扫瞄引擎。,防毒软件常使用的病毒防治技术有那些?,病毒代码扫描法 加总比对法 (Check-sum) 人工智慧陷阱(Rule-based) 软件模拟扫描法 VICE(Virus Instruction Code Emulation) - 先知扫描法 实时的I/O扫描(Realtime I/O Scan) 文件宏病毒陷阱(MacroTrapTM) 空中抓毒(
8、On The Fly ?),病毒代码扫描法,将新发现的病毒加以分析后, 根据其特征, 编成病毒代码, 加入资料库中。以后每当执行扫毒程序时, 便能立刻扫描程序文件, 并作病毒代码比对, 即能检测到是否有病毒。病毒码扫描法又快又有效率, 大多数防毒软件均采用这种方式, 但其缺点是无法检测到未知的新病毒及以变种病毒。,加总比对法(Check-sum),根据每个程序的文件名称、大小、时间、日期及内容, 加总为一个检查码, 再将检查码附于程序的后面, 或是将所有检查码放在同一个资料库中, 再利用此Check-sum系统, 追踪并记录每个程序的检查码是否遭更改, 以判断是否中毒。一个很简单的例子就是,
9、当您把车停下来之后, 将里程表的数字写下来。那么下次您再开车时, 只要比对一下里程表的数字, 那么您就可以断定是否有人偷开了您的车子。 这种技术可检测到各式的病毒, 但最大的缺点就是误判断高, 且无法确认是哪种病毒感染的。对于隐形病毒, 也无法检测到。,人工智慧陷阱(Rule-based),人工智慧陷阱是一种监测电脑行为的常驻式扫描技术。它将所有病毒所产生的行为归纳起来, 一旦发现内存的程序有任何不当的行为, 系统就会有所警觉, 并告知用户。这种技术的优点是执行速度快、手续简便, 且可以检测到各式病毒;其缺点就是程序设计难, 且不容易考虑周全。不过在这千变万化的病毒世界中, 人工智慧陷阱扫描技
10、术是一个至少具有安全功能的新观点。,软件模拟扫描法,软件模拟技术专门用来对付千面人病毒(Polymorphic /Mutation Virus)。千面人病毒在每次传染时, 都以不同的随机乱数加密于每个中毒的文件中, 传统病毒代码比对的方式根本就无法找到这种病毒。软件模拟技术则是成功地模拟CPU执行, 在其设计的DOS虚拟机器(Virtual Machine)下假执行病毒的变体引擎解码程序, 安全并确实地将多型体病毒解开, 使其显露原本的面目, 再加以扫描。,VICE (Virus Instruction Code Emulation) 先知扫描法,VICE先知扫描技术是继软件模拟后的一大技术上
11、突破。既然软件模拟可以建立一个保护模式下的DOS虚拟机器, 模拟CPU动作并假执行程序以解开变体引擎病毒, 那么应用类似的技术也可以用来分析一般程序检查可疑的病毒代码。因此VICE将工程师用来判断程式是否有病毒代码存在的方法, 分析归纳成专家系统知识库, 再利用软件工程的模拟技术(Software Emulation)假执行新的病毒, 则可分析出新病毒代码对付以后的病毒。,实时的I/O扫描 (Realtime I/O Scan),Realtime I/O Scan的目的在于即时地对资料的输入/输出动作做病毒代码比对的动作, 希望能够在病毒尚未被执行之前, 就能够防堵下来。理论上, 这样的即时扫
12、描程序虽然会影响到整体的资料传输速率, 但是使用Realtime I/O scan, 文件传送进来之后, 就等于扫过了一次毒, 整体来说, 是没有什么差别的。,文件宏病毒陷阱(MacroTrapTM),MacroTrapTM 是结合了病毒代码比对与人工智慧陷阱的技术,依病毒行为模式(Rule base) 来检测已知及未知的宏病毒。 其中,配合OLE2技术,可将宏与文件分开,使得扫描速度变得飞快,而且更可有效地将宏病毒彻底清除!,空中抓毒(On the flyTM),简单地说,就是在资料传输过程中所会经过的一个节点(Node,就是一台电脑)上设计一套防毒软件,可以把网络中所有可能带有病毒的资讯进行扫描,其实也就是接收、暂存、扫描、传送四个步骤。,企业防毒之道,对整个网络进行最集中的反病毒管理。可对局域及广域网的客户端、 文件服务器、邮件服务器及网关服务器 在多种平台上进行安装、配置、扫描、升级操作提供最为全面的保护。,企业防毒之道-层层设防,Firewall,File Server,Client,Internet Gateway,InterScan VirusWall,OfficeScan Server,Central Control,Trend VCS,Mail Server,
