《网络安全课件(4)计算机病毒及其防治》由会员分享,可在线阅读,更多相关《网络安全课件(4)计算机病毒及其防治(99页珍藏版)》请在金锄头文库上搜索。
1、第四章 计算机病毒及其防治,计算机病毒的防御对网络管理员来说是一个望而生畏的任务。特别是随着病毒的越来越高级,情况就变得更是如此。目前,几千种不同的病毒不时地对计算机和网络的安全构成严重威胁。因此,了解和控制病毒威胁的需要显得格外的重要,任何有关网络数据完整性和安全的讨论都应考虑到病毒。本章主要介绍了以下内容:计算机 病毒的概念、特征、分类和作用机理,计算机病毒的特点及破坏行为,宏病毒及网络病毒,病毒的预防、检查和清除。,教学内容:1计算机病毒概述 2宏病毒及网络病毒 3 病毒的检查和预防 4病毒实例本章小结,学习目标:1.掌握 病毒的定义、分类、特点及防治2 .掌握网络病毒的特点、传播及防治
2、3.掌握常用杀毒软件的使用。4.了解病毒的结构5.典型病毒:,电子商务安全现状 一组报道 1998年,病毒感染事件增加了 2 倍; 网上经济诈骗增长了 5 倍,估计金额达到 6 亿美元/年;(而暴力抢劫银行的损失只 5900 万美元); 对美军非绝密计算机系统的攻击成功率达 88%,被查出的只占5%;据估计,世界上已有二千万人具有进行攻击的潜力 美国一个网站很容易查到别人的经济收入(现已被关闭); 威胁现状 1999年4月26日,CIH病毒爆发,中国4万台计算机不能正常工作; 美国每年网络安全所造成的经济损失达 75 亿美元; 1997年美国出现 2 次大的 Internet 瘫痪事件; 19
3、98年6月24日,上海证券营业部入侵一黑客,盗买了2.6亿元股票; 证券行业的 1564 个营业部 23 万台计算机抽查表明:基本都有安全漏洞;,2. 案例 国外用计算机对银行作案的案件呈上升趋势: 例如:美国 1979年,作案金额179万美元;1981年, 1,550万美元;1983年, 1.122亿美元;1985年, 23亿美元;全球,已达百亿美元。 1987年,大连工商银行西岗区办事处一计算机系统管理员,通过计算机把客户贷款利息转到同伙帐户,贪污11万元.,4.1 计算机病毒概述,计算机病毒是一种“计算机程序”,它不仅能破坏计算机系统,而且还能够传播、感染到其它系统。它通常隐藏在其它看起
4、来无害的程序中,能生成自身的复制并将其插入其它的程序中,执行恶意的行动。计算机病毒是由计算机黑客们编写的,这些人想证明它们能编写出不但可以干扰和摧毁计算机,而且能将破坏传播到其它系统的程序。最早被记录在案的病毒之一是1983年由南加州大学学生Fred Cohen编写的,当该程序安装在硬盘上后,就可以对自己进行复制扩展,使计算机遭到“自我破坏”。 1985年病毒程序通过电子公告牌向公众提供。,4.1.1计算机病毒的定义和分类 一、计算机病毒的定义“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“病毒”一词来源于生物学,因为通过分析研究,人们发现计算机病毒在很多方面与生物病毒
5、有着相似之处。“计算机病毒”有很多种定义,国外最流行的定义为:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。,二、病毒的发展史1DOS时代DOS是一个安全性较差的操作系统,所以在DOS时代,计算机病毒无论是数量还是种类都非常多。按照传染方式可以分为:系统引导病毒、外壳型病毒、复合型病毒。各类病毒的具体内容见“病毒的分类”。,2Windows时代1995年8月,微软发布了Windows95,标志着个人电脑的操作系统全面进入了Windows9X时代,而Windows9X对DOS的弱依赖性则使得计算机病毒也进入了Wi
6、ndows时代。这个时代的最大特征便是大量DOS病毒的消失以及宏病毒的兴起。,3Internet时代可以这样说,网络病毒大多是Windows时代宏病毒的延续,它们往往利用强大的宏语言读取用户E-mail软件的地址簿,并将自身作为附件发向地址簿内的那些E-mail地址去。由于网络的快速和便捷,网络病毒的传播是以几何级数进行的,其危害比以前的任何一种病毒都要大。,病毒本身各具特性,病毒的症状也是各种各样的。有的病毒表现欲极强。如有一种叫“杨基”的病毒,它进入内存后,于每天下午五点准时奏响“杨基”歌(美国独立战争时期的一首有名歌曲)。有的病毒则偏爱沉默。如有一种叫“幽灵”的病毒,系统被它感染后,毫无
7、症状,除了COM文件增加608个字节外,对系统不造成危害。在众多的病毒中,以恶作剧的居多。如“周日”病毒,它每个星期天发作,这时屏幕就会显示:“今天是星期天,何必这么辛苦呢?”,之后,就会捣毁FAT表,摧毁全部硬盘数据。,二、计算机病毒可分为下列几类。 1.文件病毒。该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上,然后,利用这些指令来调用附在文件中某处的病毒代码。当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行系列。通常,这些情况发生得很快,以致于用户并不知道病毒代码已被执行。 2.引导扇区病毒。它会潜伏在软盘的引导扇区,或者是在硬盘的引导扇区,或主引导记录(分
8、区扇区中插入指令)。此时,如果计算机从被感染的软盘引导时,病毒就会感染到引导硬盘,并把自己的代码调入内存。软盘并不需要一定是可引导的才能传播病毒,病毒可驻留在内存内并感染被访问的软盘。触发引导区病毒的典型事件是系统日期和时间。,3.多裂变病毒。多裂变病毒是文件和引导扇区病毒的混合种,它能感染可执行文件,从而能在网上迅速传播蔓延。 4.秘密病毒。这种病毒通过挂接中断把它所进行的修改和自己的真面目隐藏起来,具有很大的欺骗性。因此,当某系统函数被调用时,这些病毒便“伪造”结果,使一切看起来非常正常。秘密病毒摧毁文件的方式是伪造文件大小和日期,隐藏对引导区的修改,而且使大多读操作重定向。 5.异形病毒
9、。这是一种能变异的病毒,随着感染时间的不同而改变其不同的形式。不同的感染操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法对此显得软弱无力。,6)宏病毒。宏病毒不只是感染可执行文件,它可以感染一般软件文件。虽然宏病毒不会有严重的危害,但它仍是令人讨厌的,因为它会影响系统的性能以及用户的工作效率。宏病毒是利用宏语言编写的,不面向操作系统,所以,它不受操作平台的约束,可以在DOS、Windows、Unix、Mac甚至在OS/2系统中散播。这就是说,宏病毒能被传到任何可运行编写宏病毒的应用程序的机器中。宏病毒对病毒而言是一次革命。现在通过E-mail、3W强大的互联能力及宏语言的进一步强化,极
10、大地增强了它的传播能力。,4.1.2 病毒的结构和传播 一、病毒的结构计算机病毒在结构上有着共同性,一般由引导部分、传染部分、表现部分三部分组成。 1 . 引导部分也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备。 2 . 传染部分作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前,要首先判断传染条件是否满足,判断病毒是否已经感染过该目标等,如CIH病毒只针对Windows 95/98操作系统。,3 . 表现部分是病毒间差异最大的部分,前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分
11、的。二、计算机病毒的传播病毒一旦进入系统以后,通常用以下两种方式传播:1.通过磁盘的关键区域;2.在可执行的文件中。,4.1.3 病毒的特征一般来说,病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。病毒能表现出的几种特性或功能有:感染、变异、触发、破坏以及高级功能(如隐身和多态)。1感染任何计算机病毒的一个重要特性或功能是对计算机系统的感染。事实上,感染方法可用来区分两种主要类型的病毒:引导扇区病毒和文件感染病毒。(1)引导扇区病毒引导扇区病毒的一个非常重要的特点是对软盘和硬盘的引导扇区的攻击。,引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不管是否可以引导,
12、都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘(常见的如一个软盘)引导时发生的。,(2)文件型病毒文件型病毒与引导扇区病毒最大的不同之处是,它攻击磁盘上的文件。它将自己依附在可执行的文件(通常是.com和.exe)中,并等待程序的运行。这种病毒会感染其它的文件,而它自己却驻留在内存中。当该病毒完成了它的工作后,其宿主程序才被运行,使人看起来仿佛一切都很正常。,覆盖型文件病毒的一个特点是不改变文件的长度,使原始文件看起来非常正常。即使是这样,一般的病毒扫描程序或病毒检测程序通常都可以检测到覆盖了程序的病毒代码的存在。前依附型文件病毒将自己加在可执行文件的开始部分,而后依附型
13、文件病毒将病毒代码附加在可执行文件的末尾。伴随型文件病毒为.exe文件建立一个相应的含有病毒代码的.com文件。当运行.EXE文件时,控制权就转到隐藏的.com文件,病毒程序就得以运行。当执行完之后,控制权又返回到.exe文件。,2变异变异又称变种,这是病毒为逃避病毒扫描和其它反病毒软件的检测,以达到逃避检测的一种“功能”。变异是病毒可以创建类似于自己,但又不同于自身“品种”的一种技术,它使病毒扫描程序难以检测。有的变异程序能够将普通的病毒转换成多态的病毒。 3触发不少计算机病毒为了能在合适的时候从事它的见不得人的勾当,往往需要预先设置一些触发的条件,并使之先置于未触发状态。如以时间、程序运行
14、了次数和在文件病毒被复制到不同的系统上多少次之后作为触发条件。,4破坏破坏,是大多数人所提心吊胆的。破坏的形式是多种多样的,从无害到毁灭性的。破坏的方式总的来说可以归纳如下列几种:修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。 5高级功能病毒计算机病毒经过几代的发展,在功能方面日趋高级,它们尽可能地逃避检测,有的甚至被设计成能够躲开病毒扫描和反病毒软件。隐身病毒和多态病毒就属于这一类。多态病毒的最大特点能变异成不同的品种,每个新的病毒都与上一代有一些差别,每个新病毒都各不相同。,4.1.4 计算机病毒的特点 一、病毒的特点根据对计算机病毒的产生、传染和破坏行为的分析,总结出病毒有以
15、下几个主要特点。1刻意编写、人为破坏2传染性(或称自我复制能力 )3破坏性(或称夺取系统控制权 )4隐蔽性 5潜伏性 如“PETER-2“在每年2月27日会提三个问题,答错后会将硬盘加密。著名的“黑色星期五“在逢13号的星期五发作。国内的“上海一号“会在每年三、六、九月的13日发作。当然,最令人难忘的便是26日发作的CIH。这些病毒在平时会隐藏得很好,只有在发作日才会露出本来面目。 6不可预见性,二、计算机病毒的破坏行为 (1)攻击系统数据区。攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。 (2)攻击文件。病毒对文件
16、的攻击方式很多,如删除、改名、替换内容、丢失簇和对文件加密等。 (3)攻击内存。内存是计算机的重要资源,也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源,可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。,(4)干扰系统运行,使运行速度下降。此类行为也是花样繁多,如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串并接口等等。病毒激活时,系统时间延迟程序启动,在时钟中纳入循环计数,迫使计算机空转,运行速度明显下降。 (5)干扰键盘、喇叭或屏幕。病毒干扰键盘操作,如响铃、封锁键盘、换字、抹掉缓存区字符、输入紊乱等。许多病毒运行时,会使计算机的喇叭发出响声。病毒扰乱显示的方式很多,如字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写等。,(6)攻击CMOS。在机器的CMOS中,保存着系统的重要数据,如系统时钟、磁盘类型和内存容量等,并具有校验和。有的病毒激活时,能够对CMOS进行写入动作,破坏CMOS中的数据。例如CIH病毒破坏计算机硬件,乱写某些主板BIOS芯片,损坏硬盘。 (7)干扰打印机。如假报警、间断性打印或更换字符。 (8)网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽等。,
