《计算机网络安全基础 第三版 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 袁津生 齐建东 曹佳 第6章》由会员分享,可在线阅读,更多相关《计算机网络安全基础 第三版 普通高等教育“十一五”国家级规划教材 教学课件 ppt 作者 袁津生 齐建东 曹佳 第6章(56页珍藏版)》请在金锄头文库上搜索。
1、计算机网络安全基础(第三版),1,第6章 计算机病毒的防治,计算机病毒的防御对网络管理员来说是一个望而生畏的任务。特别是随着病毒的越来越高级,情况就变得更是如此。目前,几千种不同的病毒不时地对计算机和网络的安全构成严重威胁。因此,了解和控制病毒威胁的需要显得格外的重要,任何有关网络数据完整性和安全的讨论都应考虑到病毒。,计算机网络安全基础(第三版),2,第6章 计算机病毒的防治,本章主要内容: 1计算机病毒 2计算机病毒的传播 3计算机病毒的特点及破坏行为 4宏病毒及网络病毒 5 病毒的预防、检测和清除 6 病毒防治软件,计算机网络安全基础(第三版),3,6.1 计算机病毒及其分类,计算机病毒
2、是一种“计算机程序”,它不仅能破坏计算机系统,而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中,能生成自身的复制并将其插入其它的程序中,执行恶意的行动。 按传染对象分类 (1)文件病毒。该病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上,然后,利用这些指令来调用附在文件中某处的病毒代码。当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行系列。,计算机网络安全基础(第三版),4,6.1 计算机病毒及其分类,(2)引导扇区病毒。它会潜伏在软盘的引导扇区,或者是在硬盘的引导扇区,或主引导记录(分区扇区中插入指令)。此时,如果计算机从被感染的软盘引导时,病毒
3、就会感染到引导硬盘,并把自己的代码调入内存。触发引导区病毒的典型事件是系统日期和时间。 (3)多裂变病毒。多裂变病毒是文件和引导扇区病毒的混合种,它能感染可执行文件,从而能在网上迅速传播蔓延。,计算机网络安全基础(第三版),5,6.1 计算机病毒及其分类,(4)秘密病毒。这种病毒通过挂接中断把它所进行的修改和自己的真面目隐藏起来,具有很大的欺骗性。因此,当某系统函数被调用时,这些病毒便“伪造”结果,使一切看起来非常正常。秘密病毒摧毁文件的方式是伪造文件大小和日期,隐藏对引导区的修改,而且使大多读操作重定向。 (5)异形病毒。这是一种能变异的病毒,随着感染时间的不同而改变其不同的形式。不同的感染
4、操作会使病毒在文件中以不同的方式出现,使传统的模式匹配法对此显得软弱无力。,计算机网络安全基础(第三版),6,6.1 计算机病毒及其分类,(6)宏病毒。宏病毒不只是感染可执行文件,它可以感染一般软件文件。宏病毒是利用宏语言编写的,不面向操作系统,所以,它不受操作平台的约束,可以在DOS、Windows、Unix、Mac甚至在OS/2系统中散播。这就是说,宏病毒能被传到任何可运行编写宏病毒的应用程序的机器中。,计算机网络安全基础(第三版),7,6.1 计算机病毒及其分类,按破坏程度分类 (1)良性病毒。良性病毒入侵的目的不是破坏系统,只是发出某种声音,或出现一些提示,除了占用一定的硬盘空间和CP
5、U处理时间外别无其它坏处。如一些木马病毒程序也是这样,只是想窃取用户计算机中的一些通讯信息,如密码、IP地址等,以备有需要时用。 (2)恶性病毒。恶性病毒的目的是对软件系统造成干扰、窃取信息、修改系统信息,但不会造成硬件损坏、数据丢失等后果。这类病毒入侵后系统除了不能正常使用之外,别无其它损失,系统损坏后一般只需要重装系统的某个部分文件后即可恢复。,计算机网络安全基础(第三版),8,6.1 计算机病毒及其分类,(3)极恶性病毒。极恶性病比上述病毒损坏的程度要大些,如果是感染上这类病毒用户的系统就会彻底崩溃,根本无法正常启动,保留在硬盘中的有用数据也可能丢失和损坏。 (4)灾难性病毒。灾难性病毒
6、一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表,造成系统根本无法启动,有时甚至会格式化硬盘。一旦染上这类病毒,操作系统就很难恢复了,保留在硬盘中的数据也会丢失。这种病毒对用户造成的损失是非常巨大的。,计算机网络安全基础(第三版),9,6.1 计算机病毒及其分类,按入侵方式分类 (1)源代码嵌入攻击型。这类病毒入侵的主要是高级语言的源程序,病毒是在源程序编译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的文件就是带毒文件。 (2)代码取代攻击型。这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块,这类病毒也少见,它主要是攻击特定的程序,针对性较强,但是不
7、易被发现,清除起来也较困难。,计算机网络安全基础(第三版),10,6.1 计算机病毒及其分类,(3)系统修改型。这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能,由于是直接感染系统,危害较大,也是最为多见的一种病毒类型,多为文件型病毒。 (4)外壳附加型。这类病毒通常是将其病毒附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。,计算机网络安全基础(第三版),11,6.2 计算机病毒的传播,1. 计算机病毒的由来 计算机病毒是由计算机黑客们编写的,这些人
8、想证明它们能编写出不但可以干扰和摧毁计算机,而且能将破坏传播到其它系统的程序。 最早被记录在案的病毒之一是1983年由南加州大学学生Fred Cohen编写的,当该程序安装在硬盘上后,就可以对自己进行复制扩展,使计算机遭到“自我破坏”。1985年病毒程序通过电子公告牌向公众提供。,计算机网络安全基础(第三版),12,6.2 计算机病毒的传播,2. 计算机病毒的传播 计算机病毒通过某个入侵点进入系统来感染该系统。最明显的也是最常见的入侵点是从工作站传到工作站的软盘。在计算机网络系统中,可能的入侵点还包括服务器、E-mail附加部分、BBS上下载的文件、Web站点、FTP文件下载、共享网络文件及常
9、规的网络通信、盗版软件、示范软件、电脑实验室和其它共享设备。 病毒一旦进入系统以后,通常用以下两种方式传播: (1)通过磁盘的关键区域; (2)在可执行的文件中。,计算机网络安全基础(第三版),13,6.2 计算机病毒的传播,3. 计算机病毒的工作方式 病毒能表现出的几种特性或功能有:感染、变异、触发、破坏以及高级功能(如隐身和多态)。 感染 任何计算机病毒的一个重要特性或功能是对计算机系统的感染。事实上,感染方法可用来区分两种主要类型的病毒:引导扇区病毒和文件感染病毒。 (1)引导扇区病毒 引导扇区病毒的一个非常重要的特点是对软盘和硬盘的引导扇区的攻击。,计算机网络安全基础(第三版),14,
10、6.2 计算机病毒的传播,引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不管是否可以引导,都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘(常见的如一个软盘)引导时发生的。,计算机网络安全基础(第三版),15,6.2 计算机病毒的传播,(2)文件型病毒 文件型病毒与引导扇区病毒最大的不同之处是,它攻击磁盘上的文件。它将自己依附在可执行的文件(通常是.com和.exe)中,并等待程序的运行。这种病毒会感染其它的文件,而它自己却驻留在内存中。,计算机网络安全基础(第三版),16,6.2 计算机病毒的传播,覆盖型文件病毒的一个特点是不改变文件的长度,使原始
11、文件看起来非常正常。即使是这样,一般的病毒扫描程序或病毒检测程序通常都可以检测到覆盖了程序的病毒代码的存在。 前依附型文件病毒将自己加在可执行文件的开始部分,而后依附型文件病毒将病毒代码附加在可执行文件的末尾。 伴随型文件病毒为.exe文件建立一个相应的含有病毒代码的.com文件。当运行.EXE文件时,控制权就转到隐藏的.com文件,病毒程序就得以运行。当执行完之后,控制权又返回到.exe文件。,计算机网络安全基础(第三版),17,6.2 计算机病毒的传播,变异 又称变种,这是病毒为逃避病毒扫描和其它反病毒软件的检测,以达到逃避检测的一种“功能”。变异病毒可以创建类似于自己,但又不同于自身“品
12、种”的一种技术,它使病毒扫描程序难以检测。有的变异程序能够将普通的病毒转换成多态的病毒。 触发 不少计算机病毒为了能在合适的时候从事它的见不得人的勾当,往往需要预先设置一些触发的条件,并使之先置于未触发状态。如以时间、程序运行了次数和在文件病毒被复制到不同的系统上多少次之后作为触发条件。,计算机网络安全基础(第三版),18,6.2 计算机病毒的传播,破坏 病毒的破坏形式是多种多样的,从无害到毁灭性的。破坏的方式总的来说可以归纳如下列几种:修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。 高级功能病毒 计算机病毒经过几代的发展,在功能方面日趋高级,它们尽可能地逃避检测,有的甚至被设计成
13、能够躲开病毒扫描和反病毒软件。隐身病毒和多态病毒就属于这一类。多态病毒的最大特点能变异成不同的品种,每个新的病毒都与上一代有一些差别,每个新病毒都各不相同。,计算机网络安全基础(第三版),19,6.3 计算机病毒的特点及破坏行为,1. 计算机病毒的特点 根据对计算机病毒的产生、传染和破坏行为的分析,总结出病毒有以下几个主要特点。 (1)刻意编写人为破坏 (2)自我复制能力 (3)夺取系统控制权 (4)隐蔽性 (5)潜伏性 (6)不可预见性,计算机网络安全基础(第三版),20,6.3 计算机病毒的特点及破坏行为,2. 计算机病毒的破坏行为 (1)攻击系统数据区。攻击部位包括硬盘主引导扇区、Boo
14、t扇区、FAT表、文件目录。一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。 (2)攻击文件。病毒对文件的攻击方式很多,如删除、改名、替换内容、丢失簇和对文件加密等。 (3)攻击内存。病毒额外地占用和消耗内存资源,可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。,计算机网络安全基础(第三版),21,6.3 计算机病毒的特点及破坏行为,(4)干扰系统运行,使运行速度下降。如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串并接口等等。病毒激活时,系统时间延迟程序启动,
15、在时钟中纳入循环计数,迫使计算机空转,运行速度明显下降。 (5)干扰键盘、喇叭或屏幕。如响铃、封锁键盘、换字、抹掉缓存区字符、输入紊乱等。使计算机的喇叭发出响声。病毒扰乱显示,如字符跌落、环绕、倒置、显示前一屏、光标下跌、滚屏、抖动、乱写等。,计算机网络安全基础(第三版),22,6.3 计算机病毒的特点及破坏行为,(6)攻击CMOS。在机器的CMOS中,保存着系统的重要数据,如系统时钟、磁盘类型和内存容量等,并具有校验和。有的病毒激活时,能够对CMOS进行写入动作,破坏CMOS中的数据。例如CIH病毒破坏计算机硬件,乱写某些主板BIOS芯片,损坏硬盘。 (7)干扰打印机。如假报警、间断性打印或
16、更换字符。 (8)网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽等。,计算机网络安全基础(第三版),23,6.4 宏病毒及网络病毒,1. 宏病毒 所谓宏,就是软件设计者为了在使用软件工作时,避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作。在Word中对宏定义为“宏就是能组织到一起作为一独立的命令使用的一系列Word命令,它能使日常工作变得更容易。”Word宏是使用Word Basic语言来编写的。,计算机网络安全基础(第三版),24,6.4 宏病毒及网络病毒,(1)宏病毒的行为和特征 所谓“宏病毒”,就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒。 宏病毒行为机制 Word模式定义出一种文件格式,将文档资料以及该文档所需要的宏混在一起放在后缀为.doc的文件之中。这种宏是文档资料,而文档资料的携带性极高,如果宏随着文档而被分派
