《第10章 计算机病毒防范技术2010-6-7》由会员分享,可在线阅读,更多相关《第10章 计算机病毒防范技术2010-6-7(27页珍藏版)》请在金锄头文库上搜索。
1、计算机病毒防范技术,第 10 章,本章主要内容: 计算机病毒的定义 计算机病毒的类型 计算机病毒的原理 计算机病毒的防范,10.1 计算机病毒概述,1. 计算机病毒的概念 计算机病毒(Computer viruses):是一段附着在其它程序上的可以实现自我繁殖的程序代码。 病毒程序是专门修改其他宿主文件或硬盘的引导区,来复制自己的恶意程序。 感染病毒的宿主文件就变成病毒再去感染其他文件。,计算机病毒的命名方式,病毒的命名并无统一的规定,基本都是采用前后缀法来进行命名。一般格式为:前缀.病毒名.后缀。以振荡波蠕虫病毒的变种c“Worm. Sasser. c”为例,Worm指病毒的种类为蠕虫,Sa
2、sser是病毒名,c指该病毒的变种。(1)病毒前缀(2)病毒名(3)病毒后缀,计算机病毒的特点,根据对计算机病毒的产生、传播和破坏行为的分析,可以将计算机病毒概括为以下6 个主要特点。1. 可执行性2. 传染性3. 潜伏性4. 可触发性5. 针对性6. 隐蔽性,计算机网络病毒,计算机网络病毒是指利用网络进行传播的一类病毒的总称。网络病毒的特点:网络病毒使用网络协议进行传播,它们通常不修改系统文件或硬盘的引导区。 计算机网络病毒感染客户机的内存,强制这些计算机向网络中发送大量信息,因而可能导致网络速度下降甚至瘫痪,计算机病毒的类型,计算机病毒的分类: 引导区型病毒文件型病毒(1)引导区型病毒的传
3、播机理引导区型病毒利用在开机引导时窃取控制权,趁读写U盘的时机读出U盘引导区,把病毒写入U盘第一个扇区,染毒的U盘在软件交流中又会传播其他计算机。,(2)文件型病毒传播机理,当执行被传播的COM或EXE可执行文件时,病毒便进驻内存,然后开始监视系统的运行。 当它发现被传播的目标时,就对运行的可执行文件特定地址的标识位信息进行判断,看是否已感染了病毒; 当条件满足,利用int 13H 将病毒链接到可执行文件的首部或尾部,并存入磁盘中; 完成传播后,继续监视系统的运行,并试图寻找新的攻击目标。,特种病毒-木马,木马程序:又称特洛伊木马,是一种非自身复制程序, 木马程序不改变或感染其他的文件。 后门
4、程序是是恶意程序中的子程序,它使黑客可以访问到计算机系统,而不会让用户知道,很多木马程序就是后门程序。 木马常常潜伏在操作系统中监视用户的各种操作,窃取用户的隐私信息,如QQ、游戏账号,甚至网上银行的账号和密码等。 木马类型: 破坏型,密码发送型,远程访问型,键盘记录型,DOS攻击木马,代理木马,FTP木马。,特种病毒-蠕虫,蠕虫病毒:是一种复杂的自身复制代码,它完全依靠自身来传播,一般不寄生在其他文件或引导区中。 蠕虫的典型传播方式是利用广泛使用的应用程序,如电子邮件、聊天室等。 它利用操作系统和应用程序的漏洞主动进行攻击,每种蠕虫都包含一个扫描功能模块负责探测存在漏洞的主机,在网络中扫描到
5、存在该漏洞的计算机后就马上传播出去。,木马和蠕虫的区别,木马: 木马总是假扮成其他程序; 木马依靠用户的信任去激活它; 木马不对自身进行复制。 蠕虫: 蠕虫在后台暗中破坏; 蠕虫从一个系统传播到另一个系统,而不需用户介入; 蠕虫大量对自身进行复制,10.2 计算机病毒的工作流程,计算机病毒的工作流程:1)传染源。病毒总是依附于某些存储介质,如U盘、硬盘等,构成传染源。2)传染媒介。计算机网络, 可移动的存储介质。3)病毒激活。是指将病毒装入内存, 并设置触发条件。4)病毒触发。触发的条件是多样化的, 可以是内部时钟 ,系统的日期, 用户标识符,也可能是系统一次通信等。5)病毒表现。表现是病毒的
6、主要目的之一, 有时在屏幕显示出来, 有时则表现为破坏系统数据。6)传染。 病毒复制一个自身副本到传染对象中。,10.3 计算机病毒的检测,(1)特征代码法 采集已知病毒样本 在病毒样本中,抽取特征代码 打开被检测文件,在文件中搜索病毒特征代码 特征代码法的特点: 速度慢 误报率低 不能检查多形性病毒 不能对付隐蔽性病毒,(2)校验和法 计算文件的校验和,并保存。 定期地或每次使用文件前,比较文件当前校验和与原校验和是否一致。优点:方法简单,能发现未知病毒、被查文件的细微变化也能发现。 缺点:会误报警、不能识别病毒名称、不能对付隐蔽型病毒。,(3)行为监测法 利用病毒的特有行为特征来监测病毒的
7、方法, 能够作为监测病毒的行为特征如下: 占有INT 13H 对COM、EXE文件做写入动作 病毒程序与宿主程序的切换 优点:可发现未知病毒。 缺点:可能误报、不能识别病毒名称、实现时有一定难度。,计算机病毒的防范,计算机内要运行实时的病毒监控软件和防火墙软件 要及时的升级杀毒软件的病毒库 下载补丁 不要打开来历不明的有附件邮件 尽量不要共享文件或数据 对重要的数据和文件做好备份,10.4 计算机病毒的发展趋势,2. 网络防病毒产品的发展趋势: 1)反黑与反病毒相结合 2)从入口拦截病毒 3)全面解决方案 4)客户化定制 5)区域化到国际化,1计算机病毒的新特征利用微软漏洞主动传播 局域网内快
8、速传播 大量消耗系统与网络资源 用即时工具传播病毒 病毒与黑客技术的融合 应用软件漏洞,恶意软件,恶意软件也称恶意代码,具有扰乱社会和用户,干扰破坏正常操作功能的代码程序。根据不同的特征和危害,恶意软件主要有:(1) 广告软件(2) 间谍软件(3) 浏览器劫持(4) 行为记录软件(5) 恶意共享软件,恶意软件的危害:(1) 强制弹出广告软件 (2) 浏览器劫持(恶意网站) (3) 后台记录(4) 强制改写系统文件恶意软件的清除:主要利用恶意软件清除工具进行清除,如超级巡警病毒分析的工具、恶意软件清理助手、超级兔子、Windows优化大师、金山清理专家等。,病毒防治实例-VBS.KJ病毒,VBS
9、.HappyTime,欢乐时光病毒: 是一个感染html/htm,jsp,vbs,php,asp的脚本病毒; 采用VBScript语言编写,在互联网上通过电子邮件传播,可也通过文件感染; 感染后的机器系统资源大量消耗,速度变慢; 利用Windows的“资源管理器”进行寄生和感染。 VBS.KJ病毒: 每次感染都会进行一次变形,可避开普通的特征码匹配查找方法; 不主动发送电子邮件,而是OutLook的设置,采用html格式的信纸来拟定邮件,病毒感染全部信纸,当发送邮件时病毒会附在邮件中; 感染html/htm,jsp,vbs,php,asp等格式的文件,但不会删除系统文件。,VBS.KJ的工作流
10、程,1。病毒生成和修改文件 在每个检查到的文件夹下生成desktop.ini 和folder.htt文件; 在C:windowssystem32中生成kjwall.gif 在windows 2K/XP的windowssystem中生成kernel.dll文件; 感染htt文件,将病毒附加在其中,感染html/htm,jsp,vbs,php,asp,用病毒替换其内容。,2。注册表修改 在HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrun下增加kernel32键值,使病毒随系统启动; 修改HKEY_CKASSES_ROOTdllf
11、ile,改变dll文件的打开方式; 修改PRENT_USERIdentities 修改HKEY_CURRENT_USERsoftwaremicrosoftoffice10.0outlookoptionsmail相关内容,使outlook XP采用信纸来撰写邮件。,感染VBS.KJ的症状,在注册表的HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrun下存在kernel32键值,并指向kernel.dll或kernel32.dll文件。 系统中大量存在desktop.ini 和folder.htt文件。 在C:windowssyst
12、em32中存在kjwall.gif文件。,清除VBS.KJ病毒,1。使用新版杀毒软件 2。手工清除方法 参考其他机器,恢复注册表中相关项。 参考其他机器,恢复windowsweb中的folder.htt文件 删除kernel.dll或kernel32.dll文件, kjwall.gif文件。 查找所有存在KJ_start字符串的文件,删除文件尾部的病毒代码,病毒防治实例-狙击波病毒,狙击波病毒(Worm.Zotob)是最早利用微软漏洞攻击计算机的蠕虫病毒。 微软的“即插即用”功能存在未经检查的缓冲区,通过向目标系统的445端口发送漏洞代码,使目标系统造成缓冲区举出,同时运行病毒代码,进行传播。
13、,狙击波病毒的工作过程,(1)病毒启动后,将自己复制到系统目录中,病毒文件名为botzor.exe. (2)在注册表中添加下列启动项: HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrun下设置”windows system”=botzor.exe HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionrunservices下设置”windows system”=botzor.exe (3)感染时,病毒采用IP扫描的方式在网络中寻找具有漏洞的系统,连接系统445端口,并植入一个远程SHELL,利用FTP从远程将病毒文件下载到本地。 (4)如果攻击失败,则造成类似冲击波、震荡波引起的重启。 (5)修改系统的host文件,使用户不能访问杀毒软件网站。,狙击波病毒的防治,封闭系统的TCP 445端口,具体方法: 在“控制面板”中打开“管理工具”,打开“本地安全策略”,利用IP筛选器封闭TCP 445端口,并设置IP策略。,实践,了解常见计算机病毒的特征及清除方法 CIH病毒 Word宏病毒 红色代码病毒 尼姆达病毒 硬盘杀手病毒 冲击波病毒 振荡波病毒,
