《网络安全计算机病毒.ppt》由会员分享,可在线阅读,更多相关《网络安全计算机病毒.ppt(45页珍藏版)》请在金锄头文库上搜索。
1、网络安全,计算机病毒,网络安全的构成,物理安全性 设备的物理安全:防火、防盗、防破坏等 通信网络安全性 防止入侵和信息泄露 系统安全性 计算机系统不被入侵和破坏 用户访问安全性 通过身份鉴别和访问控制,阻止资源被非法用户访问 数据安全性 数据的完整、可用 数据保密性 信息的加密存储和传输,安全的分层结构和主要技术,物理安全层,网络安全层,系统安全层,用户安全层,应用安全层,数据安全层,加密,访问控制,授权,用户/组管理,单机登录,身份认证,反病毒,风险评估,入侵检测,审计分析,安全的通信协议,VPN,防火墙,存储备份,计算机病毒概述,计算机病毒的概念,计算机病毒是一种特殊的“计算机程序”,它不
2、仅能破坏计算机系统,而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中,能生成自身的复制品并将其插入其它的程序中,执行恶意的操作 中华人民共和国计算机信息系统安全保护条例第28条明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。” 随着Internet技术的发展,计算机病毒的含义也在逐步发生着变化。与计算机病毒特征和危害有类似之处的“特洛伊木马”和“蠕虫”,从广义角度而言也可归为计算机病毒之列,计算机病毒的发展过程 - 1,磁芯大战 20世纪60年代初,美国贝尔实验室三个年轻的程序员编写
3、的一个游戏,游戏中的一方通过复制自身来摆脱对方的控制,这就是所谓“计算机病毒第一个雏形”。 巴基斯坦智囊 20世纪80年代后期,巴基斯坦两个以编软件为生的兄弟,为了打击那些盗版软件的使用者而设计,该病毒只传染软盘引导区。这就是最早在世界上流行的第一个真正的病毒。 20世纪90年代以前病毒的弱点 被感染的文件大小明显增加 病毒代码主体没有加密。 访问文件的日期得到更新。 很容易被debug工具跟踪,计算机病毒的发展过程 - 2,能对自身进行简单加密的病毒 1741病毒:用DIR列目录表的时候,这个病毒就会掩盖被感染文件后增加的字节数,使人看起来文件的大小没有什么变化 DIR2病毒:1992年出现
4、,整个程序大小只有263个字节 宏病毒 美丽莎,台湾一号等 病毒生产机 1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”,计算机病毒的发展过程 - 3,Internet的广泛应用,激发了病毒的活力 CIH恶性病毒 1998年2月,由台湾省学生陈盈豪编写,并定于每年的4月26日发作破坏。破坏主板BIOS 通过网络(软件下载)传播 全球有超过6000万台的机器被感染 第一个能够破坏计算机硬件的病毒 全球直接经济损失超过10亿美元 “美丽莎”病毒 1999年2月,席卷了整个欧美大陆 世界上最大的一次病毒浩劫,也是最大的一次网络蠕虫大泛滥 在16小时内席卷全球互联网 至少
5、造成10亿美元的损失! 通过email传播 传播规模(50的n次方,n为传播的次数),计算机病毒的发展过程 - 4,“爱虫”网络蠕虫病毒 2000年5月出现,vbs脚本病毒微软、Intel等在内的大型企业网络系统瘫痪 全球经济损失达几十亿美元 特点 通过电子邮件传播,向地址本中所有用户发带毒邮件 通过聊天通道IRC、VBS、网页传播 能删除计算机内的部分文件 制造大量新的电子邮件,使用户文件泄密、网络负荷剧增。 一年后出现的爱虫变种VBSLoveLetterCM它还会在Windows目录下驻留一个染有CIH病毒的文件,并将其激活。,计算机病毒的发展过程 - 5,更多的网络蠕虫 红色代码,蓝色代
6、码、求职者病毒、尼姆达(Nimda)、FUN_LOVE,新欢乐时光等等 红色代码 被攻击的电脑数量达到35.9万台。被攻击的电脑中44%位于美国,11%在韩国,5%在中国 特点 通过微软公司IIS系统漏洞进行感染,病毒驻留后再次通过此漏洞感染其它服务器 只存在于内存,传染时借助服务器的网络连接攻击其它的服务器,直接从一台电脑内存传到另一台电脑内存 主要是涂改网页,对网络上的其它服务器进行攻击,被攻击的服务器又可以继续攻击其它服务器。 在每月的20-27日,向美国白宫网站发动攻击 将WWW英文站点改写为“Hello! Welcome to www.W! Hacked by Chinese!”。,
7、计算机病毒的发展过程 - 6,红色代码II 特点 具有红色代码的特点 可以攻击任何语言的系统 在遭到攻击的机器上植入“特洛伊木马”,拥有极强的可扩充性 未感染则注册Atom并创建300个病毒线程 当判断到系统默认的语言ID是中华人民共和国或中国台湾时,线程数猛增到600个 IP随机数发生器产生用于病毒感染的目标电脑IP地址。(40万/天) 当病毒在判断日期大于2002年10月时,会强行重启计算机 造成的损失 网络性能急剧下降,路由器、交换机等网络设备负载加重,甚至崩溃等 硬盘数据能够被远程读写 直接经济损失:26亿美元,计算机病毒的发展过程 - 7,尼姆达病毒 2001年最为凶猛的恶意蠕虫病毒
8、,不仅传播速度快、危害性强,而且自我繁殖能力更是位居各大病毒之首 利用unicode漏洞,与黑客技术相结合 传播过程 2001年9月18日,首先在美国出现,当天下午,有超过130,000台服务器和个人电脑受到感染(北美洲) 2001年9月18日晚上,在日本、香港、南韩、新加坡和中国都收到了受到感染的报告(亚洲) 2001年9月19日,有超过150000个公司被感染,西门子在他的网络受到渗透之后,被迫关掉服务器(欧洲) 传播方式:文件感染、Email、WWW、局域网,计算机病毒的发展过程 - 8,中国黑客 2002年6月6日出现,发明了全球首创的“三线程”技术 主线程:往硬盘写入病毒文件或感染其
9、他执行文件 分线程1:监视主线程并保证主线程的运行,一旦主线程被清除,这个监视器就将主病毒体再次调入 分线程2:不断监视注册表的某个值(run项),一旦被人工或反病毒软件修改,他立即重新写入这个值,保证自己下次启动时拿到控制权 病毒的特点 很多反病毒软件一般都是直接修改会引起病毒自动加载的注册表选项,但是中国黑客病毒马上又将这个值改回去 在传播方式上,“中国黑客”寻找用户邮件地址薄来向外发病毒邮件传播,或通过局域网传播 在Windows 95/98/Me系统下,“中国黑客”病毒学习了CIH病毒,取得了系统的最高权限 ”中国黑客”病毒还预留了接口,只要作者愿意的话很多破坏功能与传播方式很快就可以
10、加上 病毒体内的感染开关没有打开,所以目前此病毒还不能感染文件,但实际上病毒体内的感染代码已经比较完整,加上几行代码就可以实现感染Windows下的.EXE、.DLL、.SCR等文件,病毒的发展趋势,病毒向有智能和有目的的方向发展 未来凡能造成重大危害的,一定是“蠕虫” “蠕虫”的特征是快速地不断复制自身,以求在最短的时间内传播到最大范围 病毒开始与黑客技术结合,将会为世界带来无可估量的损失 从Sircam、“尼姆达”、“求职信”、“中文求职信”到“中国黑客”,这类病毒越来越向轻感染文件、重复制自身的方向发展 病毒的大面积传播与网络的发展密不可分 基于分布式通信的病毒很可能在不久即将出现 未来
11、病毒与反病毒之间比的就是速度,而增强对新病毒的反应和处理速度,将成为反病毒厂商的核心竞争力之一,计算机病毒的产生,开个玩笑,一个恶作剧 产生于个别人的报复心理 用于版权保护 用于经济、军事和政治目的,计算机病毒的特征 - 1,破坏性 传染性 隐蔽性 潜伏性 不可预见性 针对性,计算机病毒的特征 - 2,破坏性 破坏系统的正常运行,主要表现有占用系统资源、破坏用户数据、干扰系统正常运行。恶性病毒的危害性很大,严重时可导致系统死机,甚至网络瘫痪 传染性 也叫自我复制或叫传播性,这是其本质特征。在一定条件下,病毒可以通过某种渠道从一个文件或一台计算机上传染到另外的没被感染的文件或计算机上,轻则使被感
12、染的文件或计算机数据破坏或工作失常,重则使系统瘫痪,计算机病毒的特征 - 3,隐蔽性 一般是具有很高编程技巧、短小灵活的程序,通常依附在正常程序或磁盘中较隐蔽的地方,也有的以隐含文件夹形式出现,用户很难发现。如果不经过代码分析,是很难将病毒程序与正常程序区分开的。正是这种特性才使得病毒在发现之前已进行了广泛的传播,造成了破坏 潜伏性 大部分计算机系统感染病毒后,病毒不会马上发作,可在几天、几周、几个月甚至几年地隐藏起来,而不被发现。只有在满足某种特定条件时才会发作。如著名的“黑色星期五”和“CIH”病毒,计算机病毒的特征 - 4,不可预见性 计算机病毒的制作技术不断提高,种类也不断翻新。相比之
13、下,防病毒技术落后病毒制作技术。新型操作系统、新型软件工具的应用,也为病毒编制者提供了方便。因此,对未来病毒的类型、特点及破坏性等均很难预测 衍生性 计算机病毒程序可被他人模仿或修改,经过恶做剧者或恶意攻击者的改写,就可能成为原病毒的变种。 针对性 很多计算机病毒并非任何环境下都可起作用,而是有一定的运行环境要求,只有在软、硬件条件满足要求时才能发作。,计算机病毒的分类 - 1,按破坏程度的强弱不同 良性病毒和恶性病毒; 按传染方式的不同 文件型病毒、引导型病毒和混合型病毒 按连接方式的不同 源码型病毒、嵌入型病毒、操作系统型病毒和外壳型病毒,计算机病毒的分类 - 2,良性病毒 只是为了表现自
14、身,并不彻底破坏系统和数据,但会占用大量CPU时间,增加系统开销,降低系统工作效率的一类计算机病毒 该类病毒多为恶作剧者的产物 恶性病毒 一旦发作,就会破坏系统或数据,造成计算机系统瘫痪的一类计算机病毒 该类病毒危害极大,有些病毒发作后可能给用户造成不可挽回的损失 如“黑色星期五” 、木马、蠕虫病毒等,计算机病毒的分类 - 3,文件型病毒 一般只传染磁盘上的可执行文件(如.com,.exe)。在用户运行染毒的可执行文件时,病毒首先被执行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。这类病毒的特点是附着于正常程序文件中,成为程序文件的一个外壳或部件。当该病毒完成了它的工作后,其正常程序才
15、被运行,使人看起来仿佛一切都很正常 引导扇区型病毒 潜伏在软盘或硬盘的引导扇区或主引导记录中。如果计算机从被感染的软盘引导,病毒就会感染到引导硬盘,并把自己的代码调入内存。病毒可驻留在内存并感染被访问的软盘。触发引导扇区型病毒的典型事件是系统日期和时间 混合型病毒 兼有以上两种病毒的特点,既传染引导区,又传染文件,因此扩大了这种病毒的传染途径。当染有该类病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活,计算机病毒的分类 - 4,源码型病毒 较为少见,亦难以编写。它要攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译、连接成可执行文件,这样刚刚生成的可执行文件便已经
16、带毒了。 嵌入型病毒 可用自身代替正常程序中的部分模块,因此,它只攻击某些特定程序,针对性强。一般情况下也难以被发现,清除起来也较困难 操作系统型病毒 可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统,因此病毒的危害性也较大,可能导致整个系统瘫痪 外壳型病毒 将自身附着在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部份的文件型病毒都属于这一类,计算机病毒的传播,网络 带有病毒的文件、邮件被下载或接收后被打开或运行,病毒就会扩散到系统中相关的计算机上 可移动的存储设备 如软盘、磁带、光盘、优盘等 通信系统 通过点对点通信系统和无线通信信道也可传播计算机病毒。如手机病毒,计算机病毒的危害,攻击系统数据区 包括硬盘主引导扇区、boot扇区、FAT表、文件目录等数据区 攻击文件 方式很多,如删除、改名、替换内容、丢失簇和对文件加密等 抢占系统资源 大多数病毒在动态下都常驻内存,这就要抢占部分系统资源 占用磁盘空间和对信息的破坏 干扰系统运行,使运行速度下降 如不执行命令、干扰内部命令的执行、虚假报警、
