《信息安全导论 教学课件 ppt 作者 印润远 第10章 病毒的防范》由会员分享,可在线阅读,更多相关《信息安全导论 教学课件 ppt 作者 印润远 第10章 病毒的防范(71页珍藏版)》请在金锄头文库上搜索。
1、第10章 病毒的防范,10.1 病毒的发展史 10.2 病毒的原理与检测技术 10.3 病毒防范技术措施 10.4 病毒防范产品介绍 思考题,返回目录,10.1 病毒的发展史,1. 计算机病毒发展简史 世界上第一例被证实的计算机病毒是在1983年,出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想;1984年,美国人Thompson开发出了针对UNIX操作系统的病毒程序。,返回本节,1988年11月2日晚,美国康尔大学研究生罗特莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展,造成了大批计算机瘫痪,甚至欧洲联网的计算机都受到影响,直接经济损失近亿美元。,2.计算机病毒在
2、中国的发展情况 1982年“黑色星期五”病毒侵入我国;1985年在国内发现更为危险的“病毒生产机”,生存能力和破坏能力极强。这类病毒有1537、CLME等。 90年代,计算机病毒在国内的泛滥更为严重。 CIH病毒是首例攻击计算机硬件的病毒,它可攻击计算机的主板,并可造成网络的瘫痪。,3. 计算机病毒发展的10个阶段 (1)DOS引导阶段 (2)DOS可执行文件阶段 (3)混合型阶段 (4)伴随型阶段 (5)多形型阶段,(6)生成器,变体机阶段 (7)网络,蠕虫阶段 (8)Windows阶段 (9)宏病毒阶段 (10)Internet阶段,返回本节,10.2 病毒的原理与检测技术,10.2.1
3、计算机病毒的定义 10.2.2 计算机病毒的特性 10.2.3 计算机病毒的命名 10.2.4 计算机病毒的分类 10.2.5 关于宏病毒 10.2.6 计算机病毒的传播途径 10.2.7 计算机病毒的检测方法,返回本章首页,10.2.1 计算机病毒的定义,“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。 国外最流行的定义为:计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。 中华人民共和国计算机信息系统安全保护条例中的定义为:“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,
4、返回本节,10.2.2 计算机病毒的特性,1. 主动传染性; 2. 破坏性; 3. 寄生性; 4. 隐蔽性; 5. 不可预见性 。,返回本节,10.2.3 计算机病毒的命名,一般常见的计算机病毒命名方法有: (1)采用病毒体字节数,如1050病毒、4099病毒等。 (2)病毒体内或传染过程中的特征字符串,如CIH、爱虫病毒等。 (3)发作的现象,如小球病毒等。,返回本节,(4)发作的时间以及相关的事件,如黑色星期五病毒等。 (5)病毒的发源地,如合肥2号等。 (6)特定的传染目标,如DIR II病毒等。 通常还会加上某些指明病毒属性的前后缀,如W32/xxx、mmmW97M等。,返回本节,10
5、.2.4 计算机病毒的分类,通常所采用的是根据计算机病毒的感染途径以及所采用的技术来划分的,传统上对计算机病毒的分类包括引导型病毒(Boot Virus)、文件型病毒(File Virus)和混合型病毒(Mixed Virus)等三大类。,返回本节,1. 特洛伊木马 (1) 特洛伊木马藏身在非可执行文件的代码中(例如,压缩文件和文档文件),为了不被众多的检测程序发现,有藏身在一个可执行文件中。 (2) 特洛伊木马是一个满怀敌意的破坏安全性的程序。它佯装为某种形式,例如,路径列表、备份、游戏或者查找并破坏病毒的程序。,返回本节,(3) 著名的特洛伊木马之一是C.rackeriack共享软件的一个
6、早期版本。 Crackeriack检测口令文件中相关口令的长度。当用户运行Crackeriack破解口令时,它列出破解的所有口令,并要用户删除该文件。这个软件的最初版本的功能不仅是破解口令,而且秘密地把口令文件的内容报告给企图把特洛伊木马插入该软件的人。,返回本节,2. 多态病毒 多态病毒能够自身加密,加密的病毒经常隐藏它的特征,避开反病毒软件。 为了传播多态病毒(或其他加密病毒),病毒首先用一种专门的解密程序为加密端口解密。一个解密程序把一个加密文件转换成最初的状态。多态病毒的解密程序取得计算机控制权时病毒自身解密。解密后,解密程序把计算机控制权传给病毒,病毒因此而传播。,返回本节,3. 行
7、骗病毒 行骗病毒隐藏它对你的文件或引导扇区的修改。Stealth病毒通过监控操作系统从存储介质中读文件或扇区的系统函数,并消除它们调用系统函数产生的后果,从此达到隐藏修改的目的。这样当程序读这些被感染文件或扇区时,他们看到的是原始的、未被感染的形式,而不是被感染的形式。,返回本节,行骗病毒的感染过程如下: (1)用户请求读硬盘驱动器引导区。 (2)病毒服务设施请求。 (3)ROM服务器提供该用户一个正常的引导记录。,返回本节,4. 慢效病毒 (1) 慢效病毒是很难被检测到的,因为它们仅感染操作系统正在修改和拷贝的文件(如DOS、Windows中COM文件),也就是说,慢效病毒仅在用户操作文件时
8、感染该文件。例如,慢效病毒在FORMAT或SYS写引导区时感染引导区。,返回本节,(2) 慢效病毒可能感染拷贝文件的DOS程序。当DOS执行拷贝请求时,病毒程序就会把病毒附着在新拷贝生成的文件上。 慢效病毒在存储器上。 DOS把感染的文件写入磁盘。 磁盘上有被感染的文件,每次执行文件时都会运行病毒。,5. 制动火箭病毒 制动火箭病毒通过对反病毒软件的直接进攻来阻碍反病毒程序或程序组的操作。专家们更愿意把制动火箭病毒称作反反病毒(不要混淆了反反病毒与反病毒病毒,病毒不能感染其他病毒)。,返回本节,6. 多成分病毒 多成分病毒感染可执行文件和引导区分区,有时也感染软盘引导扇区。命名多成分病毒是因为
9、它有多种方法感染计算机。当运行一个被多成分病毒感染的应用程序时,它就会感染计算机的硬盘引导区。下次开机时,病毒就开始活动,感染你运行的每一个程序。One-Half就是著名的多成分病毒之一,它不仅具有行骗病毒的威力,同时还具有多态病毒的威力。,返回本节,7. 装甲病毒 装甲病毒利用一些难以跟踪、难以理解的代码程序来保护自己。它们可以用“打包代码”(wrapping code)来迷惑观察者,保护自己。也可能暴露一个错误的地址,而隐藏真正的地址。Whale是著名的装甲病毒之一。,返回本节,8. 同伴病毒 同伴病毒通过创建一个新的扩展文件把自己附着在一个可执行文件上。它可以给被它感染的每一个可执行文件
10、建立一个同伴文件。例如,一个同伴病毒可以用来保存。每当用户运行winword.exe文件时,操作系统首先运行文件。,返回本节,9. 噬菌体病毒 这种病毒用它自己的代码代替被它感染的代码。它们不满足于简单地把代码附着在其他的程序代码上,它们更喜欢用自己取代可执行的程序,噬菌体常常产生同伴病毒。它极具破坏力,它不仅能够自我复制、自我传染,在处理过程中,它还能破坏它感染的每一个程序。,返回本节,10. 蠕虫病毒 Internet worm(又称Morris worm)对互联网构成最主要的威胁。worm病毒在计算机内存中大量的复制自己,占用内存中其他程序的空间。因为worm病毒使当前计算机不能再正常工
11、作,计算机窃贼通常把worm病毒从当前计算机上复制到另一台与之相连的计算机上。,返回本节,一个引导病毒传染的实例,假定用硬盘启动,且该硬盘已染上了小球病毒,那么加电自举以后,小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段,即97C0:7C00处;然后修改INT 13H的中断向量,使之指向病毒的传染模块。以后,一旦读写软磁盘的操作通过INT 13H的作用,计算机病毒的传染块便率先取得控制权,它就进行如下操作:,1)读入目标软磁盘的自举扇区(BOOT扇区)。 2)判断是否满足传染条件。 3)如果满足传染条件(即目标盘BOOT区的01FCH偏移位置为5713H标志),则将病毒代码
12、的前512字节写入BOOT引导程序,将其后512字节写入该簇,随后将该簇标以坏簇标志,以保护该簇不被重写。 4)跳转到原INT 13H的入口执行正常的磁盘系统操作。,一个文件病毒传染的实例,假如VVV.COM(或.EXE)文件已染有耶路撒冷病毒,那么运行该文件后,耶路撒冷病毒的引导模块会修改INT 21H的中断向量,使之指向病毒传染模块,并将病毒代码驻留内存,此后退回操作系统。以后再有任何加载执行文件的操作,病毒的传染模块将通过INT 21H的调用率先获得控制权,并进行以下操作:,1)读出该文件特定部分。 2)判断是否传染。 3)如果满足条件,则用某种方式将病毒代码与该可执行文件链接,再将链接
13、后的文件重新写入磁盘。 4)转回原INT 21H入口,对该执行文件进行正常加载。,返回本节,10.2.5 关于宏病毒,1公(共)用宏病毒 这类宏病毒对所有的Word文档有效,其触发条件是在启动或调用Word文档时,自动触发执行。它有两个显著的特点: (1) 只能用“Autoxxxx”来命名,即宏名称是用“Auto”开头,xxxx表示的是具体的一种宏文件名。如AutoOpen、AutoClose、AutoCopy等。,返回本节,(2) 它们一定要附加在Word共用模板上才有“公用”作用。通常在用户不规定和另行编制其他的公用模板时,它们应是附加在Normal.dot模板上,或者首先要能将自己写进这
14、样的模板才行。,2私用宏病毒 私用宏病毒与公用宏病毒的主要区别是:前者一般放在用户自定义的Word模板中,仅与使用这种模板的Word文档有关,即只有使用这个特定模板的文档,该宏病毒才有效,而对使用其他模板的文档,私用宏病毒一般不起作用。,返回本节,3. 宏病毒的行为和特征 宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒。可以在Windows、Windows 95/98/NT、OS/2、Macintosh System7等操作系统上执行病毒行为。,返回本节,宏病毒的主要特征如下: (1) 宏病毒会感染.DOC文档和.DOT模板文件。 (2) 宏病毒的传染通常是Word在打开一个带宏病
15、毒的文档或模板时,激活宏病毒。 (3) 多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏,通过这些自动宏病毒取得文档(模板)操作权。,(4) 宏病毒中总是含有对文档读写操作的宏命令。 (5) 宏病毒在.DOC文档、.DOT模板中以BFF(Binary File Format)格式存放,这是一种加密压缩格式,每个Word版本格式可能不兼容。 (6) 宏病毒具有兼容性。,返回本节,4.宏病毒的防治和清除方法 Word宏病毒,是近年来被人们谈论得最多的一种计算机病毒。与那些用复杂的计算机编程语言编制的病毒相比,宏病毒的防治要容易得多!在了解了Word宏病毒
16、的编制、发作过程之后,即使是普通的计算机用户,不借助任何杀毒软件,就可以较好地对其进行防冶。,返回本节,宏病毒的防治: (1)查看“可疑”的宏 ; (2)按使用习惯编制宏 ; (3)防备Autoxxxx宏 ; (4)小心使用外来的Word文档; (5)使用选项“Prompt to Save Normal Template” ; (6)通过Shift键来禁止运行自动宏 ;,(7)查看宏代码并删除 ; (8)使用Disable Auto Marcros宏 ; (9)使用OFFICE 97的报警设置; (10)设置Normal.dot的只读属性 ; (11)Normal.dot的密码保护 ; (12)创建Payload宏 ; (13)使用Word Viewer或Word Pad ; (14)将文档存储为RTF格式 。,返回本节,10.2.6 计算机病毒的传播途径,计算机病毒传播的途径一般有以下几种: 1通过不可移动的计算机硬件设备进行传播; 2通过移动存储设备来传播(包括软盘、
