《计算机网络安全技术教学课件 刘永华 第7章 网络病毒防治技术》由会员分享,可在线阅读,更多相关《计算机网络安全技术教学课件 刘永华 第7章 网络病毒防治技术(72页珍藏版)》请在金锄头文库上搜索。
1、1,计算机网络安全技术,主编 刘永华,中国水利水电出版社,2,第7章 网络病毒防治技术,3,本章主要内容: 计算机病毒的概念、特点和分类 计算机网络病毒的危害,几种典型病毒的原理、特征及预防措施,计算机病毒的症状,反病毒技术 计算机病毒发展的新技术,防杀网络病毒的软件,4,本章要求: 掌握: 计算机病毒的概念、特点和分类,计算机网络病毒的危害,几种典型病毒的原理、特征及预防措施,计算机病毒(发作前、发作时和发作后)的症状,反病毒技术(预防病毒技术、检测病毒技术、杀毒技术)。 了解:计算机病毒发展的新技术,防杀网络病毒的软件。,5,7.1 计算机网络病毒的特点及危害,7.1.1 计算机病毒的概念
2、 “计算机病毒”与医学上的“病毒”不同,它是根据计算机软、硬件所固有的弱点,编制出的具有特殊功能的程序。由于这种程序具有传染性和破坏性,与医学上的“病毒”有相似之处,因此习惯上将这些“具有特殊功能的程序”称为“计算机病毒”。,6,从广义上讲,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。依据此定义,诸如逻辑炸弹、蠕虫等均可称为计算机病毒。 1994年2月18日,我国正式颁布实施中华人民共和国计算机信息系统安全保护条例,在条例第二十八条中明确指出,计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能,或者毁坏数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码。此定
3、义具有法律性、权威性。,7,7.1.2 计算机病毒的特点 1. 传染性 2. 隐蔽性 3. 潜伏性 4. 破坏性(表现性) 5. 不可预见性 6. 触发性 7. 针对性 8. 寄生性(依附性),8,7.1.3 计算机病毒的分类 按照计算机病毒的特点,对计算机病毒可从不同角度进行分类。计算机病毒的分类方法有许多种,因此,同一种病毒可能有多种不同的分法。,9,1. 基于破坏程度分类 基于破坏程度分类是最流行、最科学的分类方法之一,按照此种分类方法,病毒可以分为良性病毒和恶性病毒。,10,2. 基于传染方式分类 按照传染方式不同,病毒可分为引导型病毒、文件型病毒和混合型病毒3种。,11,3. 基于算
4、法分类 按照病毒特有的算法,可以划分为伴随型病毒、蠕虫型病毒和寄生型病毒。,12,(1) 伴随型病毒并不改变文件本身,而是根据算法产生. EXE文件的伴随体,与文件具有同样的名字和不同的扩展名,例如CCR. EXE的伴随体是CCR. COM。当DOS加载文件时,伴随体优先被执行,再由伴随体加载执行原来的. EXE文件。 (2) 蠕虫型病毒通过计算机网络进行传播,它不改变文件和资料信息,而是根据计算机的网络地址,将病毒通过网络发送,蠕虫病毒除了占用内存外一般不占用其他资源。 (3) 寄生型病毒:除伴随型病毒和蠕虫型病毒之外的其他病毒均可称为寄生型病毒。它们依附在系统的引导区或文件中,通过,13,
5、4. 基于链接方式分类 按照病毒的链接方式,可以分为源码型病毒、入侵型病毒、外壳型病毒和操作系统型病毒。,14,5. 基于传播的媒介分类 按照病毒传播的媒介,可以分为网络病毒和单机型病毒。 (1) 网络病毒通过计算机网络传播感染网络中的可执行文件。这种病毒的传染能力强,破坏力大。 (2) 单机型病毒的载体是磁盘,常见的是病毒从软盘传入硬盘,感染系统,然后再传染其他软盘,再由软盘传染其他系统。,15,6. 基于攻击的系统分类 按照计算机病毒攻击的系统,可以分为攻击DOS系统的病毒、攻击Windows系统的病毒、攻击UNIX系统的病毒和攻击OS/2系统的病毒。,16,7. 基于激活的时间分类 按照
6、病毒激活的时间,可分为定时病毒和随机病毒。 定时病毒仅在某一特定时间才发作;而随机病毒一般不是由时钟来激活的。,17,7.1.4 计算机网络病毒的概念 1. 计算机网络病毒的定义 严格地说,网络病毒是以网络为平台,能在网络中传播、复制及破坏的计算机病毒,像网络蠕虫病毒等一些威胁到计算机,及计算机网络正常运行和安全的病毒才可以算作计算机网络病毒。“网络病毒”与单机病毒有较大区别。计算机网络病毒专门使用网络协议(如TCP/IP、FTP、UDP、HTTP、SMTP和POP3等)来进行传播,它们通常不修改系统文件或硬盘的引导区,而是感染客户计算机的内存,强制这些计算机向网络发送大量信息,因而导致网络速
7、度下降甚至完全瘫痪。由于网络病毒保留在内存中,因此传统的基于磁盘的文件I/O扫描方法通常无法检测到它们。,18,2. 计算机网络病毒的传播方式 Internet技术的进步同样给许多恶毒的网络攻击者提供了一条便捷的攻击路径,他们利用网络来传播病毒,其破坏性和隐蔽性更强。 一般来说,计算机网络的基本构成包括网络服务器和网络节点(包括有盘工作站、无盘工作站和远程工作站)。病毒在网络环境下的传播,实际上是按“工作站服务器工作站”的方式进行循环传播。计算机病毒一般先通过有盘工作站的软盘或硬盘进人网络,然后开始在网络中传播。,19,7.1.5 计算机网络病毒的特点 1. 传染方式多 2. 传播速度快 3.
8、 清除难度大 4. 扩散面广 5. 破坏性大,20,7.1.6 计算机网络病毒的分类,1. 网络木马病毒(Trojan):传统的木马病毒是指一些有正常程序外表的病毒程序,例如一些密码窃取病毒,它会伪装成系统登录框,当在登录框中输入用户名与密码时,这个伪装登录框的木马便会将用户口令通过网络泄漏出去。,21,2. 蠕虫病毒(Worm):蠕虫病毒是指利用网络缺陷进行繁殖的病毒程序,如“莫里斯”病毒就是典型的蠕虫病毒。它利用网络的缺陷在网络中大量繁殖,导致几千台服务器无法正常提供服务。,22,3. 捆绑器病毒(Binder):捆绑器病毒是一个很新的概念,人们编写这种程序的最初目的是希望通过一次点击可以
9、同时运行多个程序,然而这一工具却成了病毒传播的新帮凶。 4. 网页病毒:网页病毒是利用网页中的恶意代码来进行破坏的病毒。它存在于网页之中,其实就是利用一些Script语言(脚本语言)编写的一些恶意代码。,23,5. 手机病毒:简单地说,手机病毒就是以手机为感染对象,以手机网络和计算机网络为平台,通过病毒短信等形式对手机进行攻击,造成手机异常的一种新型病毒。,24,7.1.7 计算机网络病毒的危害 病毒发作对计算机数据信息的直接破坏。 占用磁盘空间和对信息的破坏。 抢占系统资源。 影响计算机运行速度。 计算机病毒错误与不可预见的危害。,25,7.2 几种典型病毒的分析 7.2.1 CIH病毒 1
10、. CIH病毒简介 CIH病毒是我国台湾省一位名叫陈盈豪(CIH是其名字的缩写)的大学生编写的。目前传播的主要途径是Internet和电子邮件。 CIH病毒属于文件型病毒,主要感染Windows 9X下的可执行文件。CIH病毒使用了面向Windows的VxD技术,使得这种病毒传播的实时性和隐蔽性都特别强。,26,2. CIH病毒的破坏性 CIH病毒感染Windows可执行文件,却不感染Word和Excel文档;感染Windows 9X系统,却不感染Windows NT系统。,27,3. 如何判断是否感染了CIH病毒 (1) 一般来讲,CIH病毒只感染.EXE可执行文件,可以用Ultra Edi
11、t打开一个常用的.EXE文件(如记事本NotePad.exe或写字板WordPad.exe),然后按下“切换16进制模式按钮(H)”,再查找“CIHvl. ”,如果发现“CIHvl.2”、“C1Hvl.3”或“CIHvl.4”等字符串,则说明计算机已经感染CIH病毒了。 (2) 感染了CIH v1.2版,则所有WinZip自解压文件均无法自动解开,同时会出现信息“WinZip自解压首部中断。可能原因:磁盘或文件传输错误。”感染了CIHvl.3版,则部分WinZip自解压文件无法自动解开。如果遇到以上情况,有可能就是感染上CIH病毒了。,28,4. 如何防范CIH病毒 首先应了解CIH病毒的发作
12、时间,如每年的4月26日、6月26日及每月26日。在病毒爆发前夕,提前进行查毒、杀毒,同时将系统时间改为其后的时间,如27日。 其次,杜绝使用盗版软件,尽量使用正版杀毒软件,并在更新系统或安装新的软件前,对系统或新软件进行一次全面的病毒检查,做到防患于未然。 最后,一定要对重要文件经常进行备份,万一计算机被病毒破坏还可以及时恢复。,29,5. 感染了CIH病毒如何处理 首先,注意保护主板的BIOS。由于CIH病毒主要感染可执行文件,不感染其他文件,因此用户在彻底清除硬盘所有的CIH病毒后,应该重新安装系统软件和应用软件。 最后,如果硬盘数据遭到破坏,可以直接使用瑞星等杀毒软件来恢复。,30,7
13、.2.2 宏病毒 1. 宏病毒简介 2. 宏病毒的特点 3. 宏病毒的预防 4. 宏病毒的清除,31,7.2.3 蠕虫病毒 1.蠕虫病毒的定义 蠕虫(Worm)是一种通过网络传播的恶性病毒,通过分布式网络来扩散传播特定的信息或错误,进而造成网络服务遭到拒绝并发生死锁。,32,2. 蠕虫病毒的基本结构和传播过程 3. 蠕虫病毒实例爱情后门 爱情后门(Worm.Lovgate)是一种危害性很强的蠕虫病毒,其发作时间是随机的,主要通过网络和邮件来传播,感染对象为硬盘文件夹。,33,7.2.4 木马病毒 1. 木马病毒定义 木马全称为特洛伊木马(Trojan Horse,英文则简称为Trojan),在
14、计算机安全学中,特洛伊木马是指一种计算机程序,表面上或实际上有某种有用的功能,而含有隐藏的可以控制用户计算机系统、危害系统安全的功能,可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上,木马也可以称为是计算机病毒。,34,2. 木马病毒工作原理 在Windows系统中,木马一般作为一个网络服务程序在感染了木马的计算机后台运行,监听本机一些特定端口,这个端口号多数比较大(5000以上,但也有部分是5000以下的)。当该木马相应的客户端程序在此端口上请求连接时,它会与客户程序建立一TCP连接,从而被客户端远程控制。 木马一般不会让人看出破绽,对于木马程序设计人员来说,要隐藏自己所设计的窗口
15、程序,主要途径有:在任务栏中将窗口隐藏,这个只要把 Form的Visible属性调整为False,ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身,只要将程序调整为系统服务程序就可以了。,35,3. 木马病毒的检测 首先,查看system.ini、win.ini、启动组中的启动项目。由“开始-运行”,输入msconfig,运行Windows自带的“系统配置实用程序”。,36,4. 木马病毒的删除 首先要将网络断开,以排除来自网络的影响,再选择相应的方法来删除它。 (1)通过木马的客户端程序删除 (2)手工删除 5. 木马病毒实例 Int
16、ernet上每天都有新的木马出,所采取的隐蔽措施也是五花八门。,37,7.3 计算机病毒的症状 计算机病毒是一段程序代码,虽然可能隐藏得很好,但也会留下许多痕迹。通过对这些痕迹的观察和判别,就能够发现病毒。 根据病毒感染和发作的阶段,计算机病毒的症状可以分为3个阶段,计算机病毒发作前、病毒发作时和病毒发作后症状。,38,7.3.1 病毒发作前的症状 病毒发作前是指从计算机病毒感染计算机系统、潜伏在系统内开始,一直到激发条件满足、计算机病毒发作之前的一个阶段。在这个阶段,计算机病毒的行为主要是以潜伏和传播为主。计算机病毒会以各种手法来隐藏自己,在不被发现的同时,又自我复制,以各种手段进行传播。,39,7.3.2 病毒发作时的症状 计算机病毒发作是指满足计算机病毒发作的条件,病毒被激活,并开始破坏行为的阶段。计算机病毒发作时的表现各不相同,这与计算机病毒编写者的心态、所采用的技术手段等密切相关。,40,7.3.3 病毒发作后的症状 硬盘无法激活,数据丢失。 以前能正常运行的应用程序经常发生死机或者非法错误。 系统文件丢失或被破坏。 文件目录发生混乱。 病毒破坏宿主程序
