《病毒知识培训PPT课件》由会员分享,可在线阅读,更多相关《病毒知识培训PPT课件(57页珍藏版)》请在金锄头文库上搜索。
1、反病毒知识培训教程,1,第一部分 病毒知识,(一)病毒基础知识一、病毒的概念和特点1.病毒的定义计算机病毒从广义上讲,凡能够引起计算机故障,破坏计算机数据、影响计算机的正常运行的指令或代码统称为计算机病毒。在计算机发展过程中,专家和研究者对计算机病毒也做过不尽相同的定义,但一直没有公认的明确定义。在我国,1994年2月18日颁布实施的中华人民共和国计算机信息系统安全保护条例对计算机病毒作出了明确的定义,条例第二十八条中规定:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”,2,第一部分 病毒知识,2.病毒的特
2、征破坏性 隐藏性 传染性 潜伏性,3,第一部分 病毒知识,破坏性破坏性是计算机病毒的首要特征,不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响,轻者占用系统资源,降低计算机工作效率,重者窃取数据、破坏数据和程序,甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何破坏动作,但会占用系统资源,如无法关闭的玩笑程序等。恶性病毒则有明确得目的,或窃取重要信息如银行帐号和密码,或打开后门接受远程控制等。隐蔽性计算机病毒虽然是采用同正常程序一样的技术编写而成,但因为其破坏的目的
3、,因此会千方百计地隐藏自己的蛛丝马迹,以防止用户发现、删除它。病毒通常没有任何可见的界面,并采用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。,4,第一部分 病毒知识,传染性计算机病毒同自然界的生物病毒一样也具有传染性。病毒作者为了最大地达到其目的,总会尽力使病毒传播到更多的计算机系统上。病毒通常会通过网络、移动存储介质等各种渠道从已被感染的计算机扩散到未被感染的计算机中,感染型病毒会通过直接将自己植入正常程序的方法来传播。潜伏性许多病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块,如有些病毒会在特定
4、的时间发作。,5,第一部分 病毒知识,3.病毒的通用命名规则病毒名是由以下6字段组成的:主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#内部信息其中字段之间使用“.”或“-”分隔,#号以后属于内部信息,为推举结构。主行为类型与病毒子行为类型 病毒可能包含多个主行为类型,这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的主行为类型。同样的,病毒也可能包含多个子行为类型,这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。 病毒主行为类型与病毒子行为类型存在对应关系,下表将描述这一对应关系:
5、,6,第一部分 病毒知识,7,第一部分 病毒知识,8,第一部分 病毒知识,9,第一部分 病毒知识,10,第一部分 病毒知识,11,第一部分 病毒知识,宿主文件宿主文件是指病毒所使用的文件类型,目前的宿主文件有以下几种。JS 说明:JavaScript脚本文件 VBS 说明:VBScript脚本文件 HTML 说明:HTML文件 Java 说明:Java的Class文件 COM 说明:Dos下的Com文件 EXE 说明:Dos下的Exe文件 Boot 说明:硬盘或软盘引导区 Word 说明:MS公司的Word文件 Excel 说明:MS公司的Excel文件 PE 说明:PE文件 WinREG 说
6、明:注册表文件 Ruby 说明:一种脚本 Python 说明:一种脚本. BAT 说明:BAT脚本文件 IRC 说明:IRC脚本 Lisp 说明:一种解释语言,12,第一部分 病毒知识,主名称病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的,如果无法确定病毒的特征字符串、特定行为或者所使用的编译平台则可以用字符串”Agent”来代替主名称,小于10k大小的文件可以命名为“Samll”。内部信息#号后为内部信息,通常不在杀毒软件上显示,用于杀毒软件厂商标识内部信息。版本信息(只允许为数字)对于版本信息不明确的不加版本信息。主名称变种号如果病毒的主行为类型、行为类型
7、、宿主文件类型、主名称均相同,则认为是同一家族的病毒,这时需要变种号来区分不同的病毒记录。变种号为不写字母az,如果一位版本号不够用则最多可以扩展3位,如:aa、ab、aaa、aab以此类推。由系统自动计算,不需要人工输入或选择。,13,第一部分 病毒知识,病毒长度病毒长度字段只用于主行为类型为感染型(Virus)的病毒,字段的值为数字。当字段值为0时,表示病毒长度是可变的。病毒命名举例:Trojan.PSW.Win32.QQPass.a Backdoor.Win32.Gpigeon.b Worm.Win32.Nimaya.bz,14,第一部分 病毒知识,三、病毒技术的发展历史和现状1.病毒的
8、产生计算机病毒不是来源于突发或偶然的原因,一次突发的停电和偶然的错误,会在计算机的磁盘和内存中产生一些乱码和随机指令,但这些代码是无序和混乱的,而计算机病毒则是一种比较完美的,精巧严谨的代码,按照严格的秩序组织起来,与所在的系统网络环境相适应和配合。计算机病毒不会通过偶然形成,并且需要有一定的长度,这个基本的长度从概率上来讲是不可能通过随机代码产生的。计算机病毒是人为的特制程序,是由人为故意编写的,多数计算机病毒可以找到作者信息和产地信息,通过大量的资料分析统计来看,病毒作者主要的情况和目的是:表现和炫耀自己的能力 一些天才的程序员为了表现自己和证明自己的能力,15,第一部分 病毒知识,为了经
9、济或其它利益如盗取网络银行密码窃取钱财等其它原因因政治,军事,宗教,民族等方面的原因而专门编写的病毒,16,第一部分 病毒知识,2.病毒的发展历史电脑病毒的起源:电脑病毒的概念其实源起相当早,在第一部商用电脑出现之前好几年时,电脑的先驱者冯诺伊曼(John Von Neumann)在他的一篇论文复杂自动装置的理论及组识的进行里,已经勾勒出病毒程序的蓝图。不过在当时,绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。1975年,美国科普作家约翰布鲁勒尔(John Brunner)写了一本名为震荡波骑士(Shock Wave Rider)的书,该书第一次描写了在信息社会中,计算机作为正义和邪恶
10、双方斗争的工具的故事,成为当年最佳畅销书之一。,17,第一部分 病毒知识,1977年夏天,托马斯捷瑞安(Thomas.J.Ryan)的科幻小说P-1的春天(The Adolescence of P-1)成为美国的畅销书,作者在这本书中描写了一种可以在计算机中互相传染的病毒,病毒最后控制了 7,000 台计算机,造成了一场灾难。 虚拟科幻小说世界中的东西,在几年后终于逐渐开始成为电脑使用者的噩梦。而差不多在同一时间,美国著名的AT&T贝尔实验室中,三个年轻人在工作之余,很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做“磁芯大战”(core war)的游戏,进一步将电脑病
11、毒“感染性”的概念体现出来。 1983年11月3日,一位南加州大学的学生弗雷德科恩(Fred Cohen)在UNIX系统下,写了一个会引起系统死机的程序,但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表,在当时引起了不小的震撼。科恩的程序,让电脑病毒具备破坏性的概念具体成形。不过,这种具备感染与破坏性的程序被真正称之为“病毒“,则是在两年后的一本科学美国人的月刊中。一位叫作杜特尼(A.K.Dewdney)的专栏作家在讨论“磁芯大战“与苹果二型电脑(别怀疑,当时流行的正是苹果二型电脑,在那个时侯,我们熟悉的PC根本还不见踪影)时,开始把这种程序称之为病毒。从此以
12、后我们对于这种具备感染或破坏性的程序,终于有一个“病毒“的名字可以称呼了。,18,第一部分 病毒知识,第一个计算机病毒:到了1987年,第一个电脑病毒C-BRAIN终于诞生了(这似乎不是一件值得庆贺的事)。一般而言,业界都公认这是真正具备完整特征的电脑病毒始祖。这个病毒程序是由一对巴基斯坦兄弟:巴斯特(Basit)和阿姆捷特(Amjad)所写的,他们在当地经营一家贩卖个人电脑的商店,由于当地盗拷软件的风气非常盛行,因此他们的目的主要是为了防止他们的软件被任意盗拷。只要有人盗拷他们的软件,C-BRAIN就会发作,将盗拷者的硬盘剩余空间给吃掉。 这个病毒在当时并没有太大的杀伤力,但后来一些有心人士
13、以C-BRAIN为蓝图,制作出一些变形的病毒。而其他新的病毒创作,也纷纷出笼,不仅有个人创作,甚至出现不少创作集团(如NuKE,Phalcon/Skism,VDV)。各类扫毒、防毒与杀毒软件以及专业公司也纷纷出现。一时间,各种病毒创作与反病毒程序,不断推陈出新,如同百家争鸣。,19,第一部分 病毒知识,病毒发展发展阶段在病毒的发展史上,病毒的出现是有规律的,一般情况下一种新的病毒技术出现后,病毒迅速发展,接着反病毒技术的发展会抑制其流传。同时,操作系统进行升级时,病毒也会调整为新的方式,产生新的病毒技术。总的说来,病毒可以分为以下几个发展阶段:DOS引导阶段1987年,电脑病毒主要是引导型病毒
14、,具有代表性的是“小球”和“石头”病毒。由于,那时的电脑硬件较少,功能简单,一般需要通过软盘启动后使用。而引导型病毒正是利用了软盘的启动原理工作,修改系统启动扇区,在电脑启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。DOS可执行阶段1989年,可执行文件型病毒出现,它们利用DOS系统加载执行文件的机制工作,如“耶路撒冷”,“星期天”等病毒。可执行型病毒的病毒代码在系统执行文件时取得控制权,修改DOS中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。1990年,发展为复合型病毒,可感染COM和EXE文件。,20,第一部分
15、病毒知识,伴随体型阶段1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作。具有代表性的是“金蝉”病毒,它感染EXE文件的同时会生成一个和EXE同名的扩展名为COM伴随体;它感染COM文件时,改为原来的COM文件为同名的EXE文件,在产生一个原名的伴随体,文件扩展名为COM。这样,在DOS加载文件时,病毒会取得控制权,优先执行自己的代码。该类病毒并不改变原来的文件内容,日期及属性,解除病毒时只要将其伴随体删除即可,非常容易。其典型代表的是“海盗旗”病毒,它在得到执行时,询问用户名称和口令,然后返回一个出错信息,将自身删除。变形阶段1994年,汇编语言得到了长足的发展。要实现同一
16、功能,通过汇编语言可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。而典型的多形病毒幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。例如“一半”病毒就是产生一段有上亿种可能的解码运算程序,病毒体被隐藏在解码前的数据中,查解这类病毒就必须能对这段数据进行解码,加大了查毒的难度。多形型病毒是一种综合性病毒,它既能感染引导区又能感染程序区,多数具有解码算法,一种病毒往往要两段以上的子程序方能解除。变种阶段1995年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关命令,也不影响运算的结果。这样,某些解码算法可以由生
17、成器生成不同的变种。其代表作品“病毒制造机”VCL,它可以在瞬间制造出成千上万种不同的病毒,查解时不能使用传统的特征识别法,而需要在宏观上分析命令,解码后查解病毒,大大提高了复杂程度。,21,第一部分 病毒知识,网络、蠕虫阶段随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在Windows操作系统中,“蠕虫”是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。Windows视窗阶段1996年,随着Windows的日益普及,利用Windows进行工作的病毒开始发展,它们修改(NE
18、,PE)文件,典型的代表是DS.3873,这类病毒的急智更为复杂,它们利用保护模式和API调用接口工作,解除方法也比较复杂。宏病毒阶段1996年,随着MS Office功能的增强及盛行,使用Word宏语言也可以编制病毒,这种病毒使用类Basic语言,编写容易,感染Word文件文件。由于Word文件格式没有公开,这类病毒查解比较困难。互联网阶段1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播和破坏,利用邮件、网络即时聊天软件等进行传播的蠕虫病毒开始大量出现。随着网上购物、网上银行等电子商务的发展以及网络游戏的发展,盗取网银帐号、网游帐号等用户敏感信息的木马程序逐渐开始流行泛滥。近两几年来利用网络去下载其它病毒的“下载者”病毒开始大量出现。,
