《病毒诊断与防治技术ppt》由会员分享,可在线阅读,更多相关《病毒诊断与防治技术ppt(52页珍藏版)》请在金锄头文库上搜索。
1、,12.1 计算机病毒的定义,12.2 计算机病毒的诊断与防治技术,12.3 网络病毒的诊断与防治,第12章 病毒诊断与防治技术,12.4 常用病毒软件的使用技术,12.5 应用实例,本节内容 12.1.1 计算机病毒的定义 12.1.2 计算机病毒的基本原理 12.1.3 计算机病毒的分类 12.1.4 计算机病毒的破坏能力,12.1 计算机病毒概述,12.1.1 计算机病毒的定义 1病毒的定义 美国计算机研究专家FCohen博士最早提出了“计算机病毒”的概念:计算机病毒是一段人为编制的计算机程序代码。这段代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后
2、再将自身代码插入其中,达到自我繁殖的目的。其特性在很多方面与生物病毒有着极其相似的地方。 中华人民共和国计算机信息系统安全保护条例第二十八条中对计算机病毒做的定义是:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 广义上说,凡能够破坏计算机正常运行和破坏计算机中数据的程序代码都可以称为计算机病毒。,从1987年发现第1例计算机病毒以来,计算机病毒的发展经历了以下几个主要阶段: DOS引导阶段; DOS可执行文件阶段; 混合型阶段; 伴随及批次性阶段; 多形性阶段; 生成器及变体机阶段; 网络及蠕虫阶段; 视窗阶
3、段; 宏病毒阶段; 互联网病毒阶段。,12.1.2 计算机病毒的基本原理 1. 计算机病毒的工作原理 (1)计算机病毒的主要特征 l 可控性:计算机病毒与各种应用程序一样也是人为编写出来的,是可控制的。 l 传染性:病毒的传染性又称“自我复制”或“再生”。再生是判断是不是计算机病毒的最重要依据。在一定条件下,病毒通过某种渠道从一个文件和一台计算机传染到另外没有被病毒传染的文件和计算机。 l 夺取系统控制权:计算机病毒的首要目标就是争夺系统的控制权,一般采用修改中断入口或在正常程序中插入一段病毒程序,在系统启动或程序调用时,先运行病毒程序,而后才转向正常的系统或程序运行。 l 隐蔽性:计算机病毒
4、的隐蔽性表现在两个方面:其一,传染的隐蔽性,大多数病毒在进行传染时不具有外部表现,不易被人发现。其二,一般的病毒程序都夹在正常程序之中,很难被发现。 l 潜伏性:一个编制精巧的计算机病毒程序,传染计算机或网络后,可以潜伏几周或者几个月甚至几年。,(2)计算机病毒发作的触发条件 l利用系统时钟提供的时间作为触发机制,这种触发机制被大量病毒使用。如“CIH”病毒是在每月的26日才会触发,“黑色星期五”病毒是在既是13日又是星期五才触发。 l 利用病毒体自带的计数器作为触发器。 l 利用特定环境作为触发条件。,(3)不可预见性 不同种类病毒的代码千差万别,病毒的制作技术也在不断地提高,病毒比反病毒软
5、件永远是超前的。新的操作系统和应用系统的出现,软件技术不断地发展,这在为计算机提供了新的发展空间的同时,也对未来病毒的预测更加困难,这就要求人们不断提高对病毒的认识,增强防范意识。,(4)病毒的衍生性、持久性和欺骗性 l 人们可以对一种计算机病毒进行改进,从而衍生出一种不同于原版本的新的计算机病毒(又称为变种病毒)。 l 计算机病毒程序可由一个受感染的拷贝通过网络系统反复传播,使得病毒的感染具有持久性和复杂性。 l 计算机病毒行动诡秘,而计算机对其反应却较“迟钝”,往往把病毒造成的错误当成事实接受下来,这就是计算机病毒的欺骗性。,2.计算机病毒的作用机理 任何一种计算机病毒都是由三个部份组成:
6、引导部份、传染部份和表现部份。 l 病毒的引导部份的作用是将病毒的主体加载到计算机内存,为感染部份作准备,在这期间发生驻留内存、修改中断地址、修改存放在高端内存中的信息、保存原中断向量等操作。引导部分也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备。 l 病毒的传染部份的作用是将病毒代码程序自动传染到目标上去。不同的病毒在传染方式和传染条件上各有不同。 l 病毒的表现部份是病毒主体部份,病毒对计算机系统的破坏就是表现部份的作为,病毒的引导部份及传染部份都是为表现部份服务的。大部份病毒都是在一定的条件下才会触发其表现部份的。,12.1.3 计算机病毒的分类 1.DOS病毒
7、 (DOS Virus) 指针对DOS操作系统开发的病毒。由于Windows 2000/XP/2003病毒的出现,DOS病毒几乎绝迹。但DOS病毒在Windows 2000/XP/2003环境中仍可以进行感染,因此若执行了染毒程序,Windows 2000/XP/2003用户也会被感染。使用现代的杀毒软件能够查杀的病毒中一半以上都是DOS病毒,可见DOS时代DOS病毒的泛滥程度。但这些众多的病毒中除了少数几个让用户胆战心惊的病毒之外,大部分病毒都只是制作者出于好奇或对公开代码进行一定变形而制作的病毒。 2.Windows病毒(Windows Virus) 主要指针对Windows 2000/X
8、P/2003操作系统的病毒。现在的电脑用户一般都安装Windows系统,Windows病毒一般感染Windows 2000/XP/2003系统,其中最典型的病毒有CIH病毒。但这并不意味着可以忽略系统是Windows NT系列包括Windows 2000/XP/2003的计算机。一些Windows病毒不仅在Windows 2000/XP/2003上正常感染,还可以感染Windows NT上的其它文件。主要感染的文件扩展名为EXE、SCR、DLL、OCX等。,3.入侵型病毒(Intrusion Virus) 可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程 序,针对性强。一
9、般情况下难以发现,清除起来较困难。 4.嵌入式病毒(Embedded Virus) 这种病毒将自身代码嵌入到被感染文件中,当文件被感染后,查杀和清除病毒都很困难。由于编写嵌入式病毒比较困难,所以这种病毒数量不多。 5.外壳类病毒(Shell Virus) 这种病毒将自身代码附着于正常程序的首部或尾部。该类病毒的种类繁多,大多感染文件的病毒都是这种类型。,6.引导区病毒(Boot Virus) 通过感染软盘的引导扇区和硬盘的引导扇区或者主引导记录进行传播的病毒。 7.文件型病毒(File Virus) 指将自身代码插入到可执行文件内来进行传播并伺机进行破坏的病毒。 8.宏病毒(Macro Vir
10、us) 使用宏语言编写,可以在一些数据处理系统中运行(主要是微软的办公软件系统,字处理、电子数据表和其他 Office 程序中),利用宏语言的功能将自己复制并且繁殖到其他数据文档里的程序。,9.蠕虫病毒(Worm Virus) 通过网络或者程序漏洞进行自主传播,向外发送带毒邮件或通过即时通讯工具(QQ、MSN等)发送带毒文件,阻塞网络的正常通信。 10.特洛伊木马(Trojan) 通常假扮成有用的程序诱骗用户主动激活,或利用系统漏洞侵入用户电脑。木马进入用户电脑后隐藏在的系统目录下,然后修改注册表,完成黑客定制的操作。 11.后门程序(Backdoor) 会通过网络或者系统漏洞进入用户的电脑并
11、隐藏在系统目录下,被开后门的计算机可以被黑客远程控制。黑客可以用大量被植入后门程序的计算机组成僵尸网络(Botnet)用以发动网络攻击等。,12.恶意脚本(Harm Script)、恶意网页 使用脚本语言编写,嵌入在网页当中,调用系统程序、修改注册表对用户计算机进行破坏,或调用特殊指令下载并运行病毒、木马文件。 13.恶意程序(Harm Program) 会对用户的计算机、文件进行破坏的程序,本身不会复制和传播。 14.恶作剧程序(Joke) 这一类程序不会对用户的计算机、文件造成破坏,但会降低计算机和网络的运行效率,并会给用户带来恐慌和不必要的麻烦。,12.1.4 计算机病毒的破坏能力 l
12、病毒激发对计算机数据信息的直接破坏作用; l 干扰系统运行,使运行速度下降; l 占有磁盘空间和对信息的破坏; l 强占系统资源; l 干扰I/O设备,篡改预定设置以及扰乱运行; l 破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽等。,12.2 计算机病毒的诊断与防治技术,本节内容 12.2.1 计算机病毒的检测 12.2.2 计算机病毒的防范措施,12.2.1 计算机病毒的检测 1.计算机病毒的表现 当计算机染上病毒之后,会有许多明显的特征。例如,文件的长度和日期忽然改变、系统执行速度下降、出现一些奇怪的信息、无故死机,更为严重的是硬盘已经被格式化了。 如果你的计算
13、机上出现下述现象,则有可能是感染了计算机病毒: l 系统启动速度比平时慢; l 系统运行速度异常; l 某些文件的长度及文件的建立日期发生变化; l 没有发出“写”操作命令而出现“磁盘写保护”的提示; l 在内存中发现不明程序的驻留或不明进程的运行; l 打印机、显示器有异常现象; l 系统自动生成一些不明的特殊文件; l 文件莫明奇妙地丢失; l 系统自动关机; l 系统经常异常死机。,2.计算机病毒的诊断 常见的防毒软件是如何去发现它们的呢?就是利用所谓的病毒码(Virus Pattern)。 病毒码其实可以想象成是犯人的指纹,当防毒软件公司收集到一个新的病毒时,就会从这个病毒程序中,截取
14、小段独一无二足以表示这个病毒的二进制程序代码(binary code),来当作扫毒程序辨认病毒的依据,而这段独一无二的二进制程序码就是所谓的病毒码。 反病毒软件常用以下6种技术来查找病毒:,(1)病毒码扫描法 将新发现的病毒加以分析,根据其特征,编成病毒码,加入资料库中。以后每当执行扫描病毒程序时,能立刻扫描目标文件,并与病毒代码对比,即能侦察到是否有病毒。大多数防毒软件均采用这种方式,其缺点是无法扫描新病毒及以变种病毒。 (2)加总比对法 根据每个程序的文件名称、大小、时间及内容,加总(按位加)为一个检查码,再将检查码附于程序的后面或是将所有检查码放在同一个资料库中,再利用加总法追踪并记录每
15、个程序的检查码是否遭到更改,以判断是否中毒。这种技术可侦察到各种病毒,但最大的缺点是误判较高,且无法确认是哪种病毒感染的。 (3)人工智能陷阱 人工智能陷阱是一种监测电脑行为的常驻内存扫描技术。它将所有病毒所产生的行为归纳起来,一旦发现内存的程序有任何不当的行为,系统就会有所警觉。这种技术的优点是执行速度快,且可以侦察到各种病毒;其缺点是程序设计难度大。,(4)软件模拟扫描法 软件模拟扫描技术专门用来对付“千面人”病毒(Polymorphic / Mutation virus)。千面人病毒在每次传染时,都以不同的随机乱数加密于每个中毒文件中,传统病毒码比对方式根本就无法找到这种病毒。 (5)先
16、知扫描法 软件模拟技术可以建立一个保护模式下的DOS虚拟机器,模拟CPU动作并通过执行程序以解开变体引擎病毒,应用类似的技术也可以用来分析一般程序检查可疑的病毒码。因此,VICE可用来判断程序有无病毒码存在的方法,分析专家系统知识库,再利用软件工程模拟技术(software emulation)加上病毒运行机制,则可分析出新的病毒码以对付以后的病毒。这就是先知扫描法VICE(Virus Instruction Code Emulation)。 (6)实时I/O扫描 实时I/O扫描(real_time I/O scan)的目的是在于及时地对数据的输入输出动作做病毒码对比的动作,希望能够能在病毒尚未被执行之前,就能够截留下来。实时扫描技术会影响到数据的输入输出速度,但使用实时扫描技术后,文件一旦传入就已经被扫描和清除过病毒了。,12.2.2 计算机病毒的防范措施 防范网络病毒的过程实际上就是
