《计算机病毒及其防范技术(第2版) 教学课件 978 7 302 25452 2 第1章 计算机病毒概述》由会员分享,可在线阅读,更多相关《计算机病毒及其防范技术(第2版) 教学课件 978 7 302 25452 2 第1章 计算机病毒概述(115页珍藏版)》请在金锄头文库上搜索。
1、在线教务辅导网:http:/,教材其余课件及动画素材请查阅在线教务辅导网,QQ:349134187 或者直接输入下面地址:,http:/,计算机病毒概述,刘功申 上海交通大学信息安全工程学院,本章学习目标,掌握计算机病毒的基本概念 了解计算机病毒发展的历史转折点 熟悉计算机病毒的分类 熟悉商业计算机病毒命名规则 掌握计算机病毒的发展趋势,一、计算机病毒的定义,计算机病毒产生的动机(原因): 计算机系统的脆弱性(IBM病毒防护计划) 作为一种文化(hacker) 病毒编制技术学习 恶作剧报复心理 用于版权保护(江民公司) 用于特殊目的(军事、计算机防病毒公司),“计算机病毒”与医学上的“病毒”不
2、同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。“计算机病毒”为什么叫做病毒? 与生物医学上的病毒同样有传染和破坏的特性,因此这一名词是由生物医学上的“病毒”概念引申而来。,Fred Cohen定义:计算机病毒是一种程序,他用修改其它程序的方法将自身的精确拷贝或者可能演化的拷贝插入其它程序,从而感染其它程序。 Fred Cohen认为:病毒不是利用操作系统运行的错误和缺陷的程序,病毒是正常的用户程序。,标准定义(中国):,直至1994年2月18日,我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例,在条例第二十八条中明确指出:“计算机病毒,是指
3、编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。“此定义具有法律性、权威性。,二、计算机病毒的特性,破坏性 传染性 隐蔽性寄生性 触发(潜伏)性,/*引导功能模块*/ 将病毒程序寄生于宿主程序中; 加载计算机程序; 病毒程序随其宿主程序的运行进入系统; 传染功能模块; 破坏功能模块; main() 调用引导功能模块; A:do寻找传染对象;if(传染条件不满足)goto A;while(满足传染条件);调用传染功能模块;,while(满足破坏条件)激活病毒程序;调用破坏功能模块;运行宿主源程序;if 不关机goto A;关机;
4、,计算机病毒感染率变化趋势,数据来源:中国计算机病毒应急处理中心,三、计算机病毒简史,年份,计算机病毒简史,在第一部商用电脑出现之前,冯诺伊曼在他的论文复杂自动装置的理论及组识的进行里,就已经勾勒出了病毒程序的蓝图。 70年代美国作家雷恩出版的P1的青春The Adolescence of P1一书中作者构思出了计算机病毒的概念。 美国电话电报公司(AT&T)的贝尔实验室中,三个年轻程序员道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯在工作之余想出一种电子游戏叫做“磁芯大战(core war)” 。,博士论文的主题是计算机病毒 1983年11月3日,Fred Cohen博士研制出第一个计算机病
5、毒(Unix)。,1986年初,巴基斯坦的拉合尔,巴锡特和阿姆杰德两兄弟编写了 Pakistan病毒,即Brain,其目的是为了防范盗版软件。 Dos PC 引导区 1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等 。,视窗病毒,1988 年 3 月 2 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。,肇事者 - Robert T. Morris , 美国康奈尔大学学生,其父是美国国家安全局安全专家。 机理 - 利用sendmail, finger 等服务的漏洞,消耗
6、CPU资源,并导致拒绝服务。 影响 - Internet上大约6000台计算机感染,占当时Internet 联网主机总数的10%,造成9600万美元的损失。 CERT/CC的诞生 - DARPA成立CERT(Computer Emergency Response Team),以应付类似事件。,莫里斯蠕虫(Morris Worm) 1988年,1989年,全世界计算机病毒攻击十分猖獗,其中“米开朗基罗”病毒给许多计算机用户(包括中国)造成了极大损失。全球流行DOS病毒,伊拉克战争中的病毒-AF/91(1991),在沙漠风暴行动的前几周,一块被植入病毒的计算机芯片被安装进了伊拉克空军防卫系统中的一
7、台点阵打印机中。 该打印机在法国组装,取道约旦、阿曼运到了伊拉克。 病毒瘫痪了伊拉克空军防卫系统中的一些Windows系统主机以及大型计算机,据说非常成功。,宏病毒,1996年,出现针对微软公司Office的“宏病毒”。 1997年公认为计算机反病毒界的“宏病毒年”。特点:书写简单,甚至有很多自动制作工具,CIH(1998-1999),1998年,首例破坏计算机硬件的CIH病毒出现,引起人们的恐慌。 1999年4月26日,CIH病毒在我国大规模爆发,造成巨大损失。,蠕虫 病毒新时代,1999年3月26日,出现一种通过因特网进行传播的美丽莎病毒。 2001年7月中旬,一种名为“红色代码”的病毒在
8、美国大面积蔓延,这个专门攻击服务器的病毒攻击了白宫网站,造成了全世界恐慌 。 2003年,“2003蠕虫王”病毒在亚洲、美洲、澳大利亚等地迅速传播,造成了全球性的网络灾害。 记忆犹新的3年(2003 - 2005),2004年是蠕虫泛滥的一年,大流行病毒: 网络天空(Worm.Netsky) 高波(Worm.Agobot) 爱情后门(Worm.Lovgate) 震荡波(Worm.Sasser) SCO炸弹(Worm.Novarg) 冲击波(Worm.Blaster) 恶鹰(Worm.Bbeagle) 小邮差(Worm.Mimail) 求职信(Worm.Klez) 大无极(Worm.SoBig)
9、,2005年是木马流行的一年,新木马包括: 8月9日, “闪盘窃密者(Trojan.UdiskThief)”病毒。该木马病毒会判定电脑上移动设备的类型,自动把U盘里所有的资料都复制到电脑C盘的“test”文件夹下,这样可能造成某些公用电脑用户的资料丢失。 11月25日, “证券大盗”()。该木马病毒可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码,被盗号的股民账户存在被人恶意操纵的可能。 7月29日, “外挂陷阱”(troj.Lineage.hp)。此病毒可以盗取多个网络游戏的用户信息,如果用户通过登陆某个网站 ,下载安装所需外挂后,便会发现外挂实际上是经过伪装的病毒,这个时候
10、病毒便会自动安装到用户电脑中。 9月28日,“ 我的照片“ (Trojan.PSW.MyPhoto)病毒。该病毒试图窃取热血江湖 、传奇 、天堂 、工商银行 、中国农业银行 等数十种网络游戏及网络银行的账号和密码。该病毒发作时,会显示一张照片使用户对其放松警惕。,2006年木马仍然是病毒主流,变种层出不穷 2006年上半年,江民反病毒中心共截获新病毒33358种,另据江民病毒预警中心监测的数据显示,1至6月全国共有7322453台计算机感染了病毒,其中感染木马病毒电脑2384868台,占病毒感染电脑总数的32.56%,感染广告软件电脑1253918台,占病毒感染电脑总数的17.12%,感染后门
11、程序电脑 664589台,占病毒感染电脑总数的9.03%,蠕虫病毒216228台,占病毒感染电脑总数的2.95%,监测发现漏洞攻击代码感染181769台,占病毒感染电脑总数的2.48%,脚本病毒感染15152台,占病毒感染电脑总数的2.06%。,最前沿病毒,2007年: 流氓软件反流氓软件技术对抗的阶段。 Cnnic 3721 yahoo 熊猫烧香 2008年: 木马 ARP Phishing(网络钓鱼),2009年 恶意代码产业化 木马是主流 其他:浏览器劫持、下载捆绑、钓鱼,2010年 新增恶意代码750万(瑞星); 流行恶意代码:快捷方式真假难分、木马依旧猖獗,但更注重经济利益和特殊应用
12、。,恶意代码的发展趋势,卡巴斯基实验室的高级研究师David Emm研究获悉,到2008年底为止,全球大约存在各种恶意代码1,400,000个。,发展趋势 网络化发展 专业化发展 简单化发展 多样化发展 自动化发展 犯罪化发展,四、病毒人生(法律),1983 年 11 月 3 日,弗雷德科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序,伦艾德勒曼 (Len Adleman) 将它命名为计算机病毒(computer viruses),并在每周一次的计算机安全讨论会上正式提出。,1988年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为“蠕虫”的电脑病毒送进了美国最
13、大的电脑网络互联网。1988年11月2日下午5点,互联网的管理人员首次发现网络有不明入侵者。当晚,从美国东海岸到西海岸,互联网用户陷入一片恐慌。,CIH病毒,又名“切尔诺贝利”,是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的,九八年五月间,陈盈豪还在大同工学院就读时,完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。,年仅18岁的高中生杰弗里李帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此,他的邻居们表示不敢相信。在他们的眼里,杰弗里李帕森是一个电脑天才,而决不是什么黑客,更不会去犯罪。,李俊,大学
14、本科毕业 大于1000万用户染毒 损失数亿元人民币 处罚:最高无期?,五、计算机病毒的主要危害,直接危害: 1.病毒激发对计算机数据信息的直接破坏作用 2.占用磁盘空间和对信息的破坏 3.抢占系统资源 4.影响计算机运行速度 5.计算机病毒错误与不可预见的危害 6.计算机病毒的兼容性对系统运行的影响,病毒的危害情况,间接危害: 1.计算机病毒给用户造成严重的心理压力 2.造成业务上的损失 3.法律上的问题,近几年来的重大损失,六、计算机病毒的分类,1、按病毒存在的媒体分类,网络病毒:通过计算机网络传播感染网络中的可执行文件; 文件病毒:感染计算机中的文件(如:,等); 引导型病毒:感染启动扇区
15、(Boot)和硬盘的系统引导扇区(); 混合型病毒:是上述三种情况的混合。例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。,2、按病毒传染的方法分类,引导扇区传染病毒:主要使用病毒的全部或部分代码取代正常的引导记录,而将正常的引导记录隐藏在其他地方。 执行文件传染病毒:寄生在可执行程序中,一旦程序执行,病毒就被激活,进行预定活动。 网络传染病毒:这类病毒是当前病毒的主流,特点是通过互联网络进行传播。例如,蠕虫病毒就是通过主机的漏洞在网上传播。,3、按病毒破坏的能力分类,无害型:除了传染时减少磁盘的
16、可用空间外,对系统没有其它影响。 无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。 危险型:这类病毒在计算机系统操作中造成严重的错误。 非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。,4、按病毒算法分类,伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。 蠕虫型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源 寄生型病毒:依附在系统的引导扇区或文件中,通过系统的功能进行传播。 练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。 变形病毒:这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和经过变化的病毒体组成。,
