《电子商务安全技术第09章计算机病毒的产生与预防》由会员分享,可在线阅读,更多相关《电子商务安全技术第09章计算机病毒的产生与预防(30页珍藏版)》请在金锄头文库上搜索。
1、第八章 计算机病毒及其防治技术8.1 8.1 计算机病毒的概念计算机病毒的概念 8.2 8.2 计算机病毒的分析计算机病毒的分析 8.3 8.3 计算机病毒的防治计算机病毒的防治 8.4 8.4 网络病毒的防治技术网络病毒的防治技术 8.1 8.1 计算机病毒的概念计算机病毒的概念计算机病毒(计算机病毒(Computer Virus)的定义:的定义:19841984年,最早由计算机病毒之父弗雷德年,最早由计算机病毒之父弗雷德科恩博科恩博士(士(Fred CohenFred Cohen)定义为:定义为:“计算机病毒是一种计计算机病毒是一种计算机程序,它通过修改其它程序把自身或其演化体算机程序,它
2、通过修改其它程序把自身或其演化体插入它们中,从而感染它们。插入它们中,从而感染它们。”国外最流行的定义为:国外最流行的定义为:“计算机病毒,是一段附计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。着在其他程序上的可以实现自我繁殖的程序代码。”1994年年2月月18日,日,中华人民共和国计算机信息系中华人民共和国计算机信息系统安全保护条例统安全保护条例定义:定义: 计算机病毒,是指编制或者在计算机程序计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使中插入的破坏计算机功能或者数据,影响计算机使用,并且能够自我复制的一组计算机指令或者程序用,并且能够自
3、我复制的一组计算机指令或者程序代码代码”。我国对计算机病毒的定义我国对计算机病毒的定义“磁芯大战磁芯大战”(core war)60年代,贝尔实验室年代,贝尔实验室 Douglas Mcllroy、Victor Vysottsky以及以及Robert T.Morris计算机病毒的发展历史计算机病毒的发展历史1983年,世界上第一例被证实的计算机病毒,同时出年,世界上第一例被证实的计算机病毒,同时出现了计算机病毒传播的研究报告现了计算机病毒传播的研究报告1984年,美国人年,美国人Thompson开发出了针对开发出了针对UNIX操作操作系统的病毒程序系统的病毒程序1988年年11月月3日,日,美国
4、六千多台计算机(占当时整个美国六千多台计算机(占当时整个互联网十分之一)被互联网十分之一)被WORMWORM病毒感染。病毒感染。美国康奈尔大学研美国康奈尔大学研究生究生Robert MorrisRobert Morris(罗伯特罗伯特莫里斯)莫里斯)感染性:感染性:病毒的病毒的基本特征基本特征,自我复制能力。,自我复制能力。破坏性:破坏性:病毒会对系统产生不同程度的影响。病毒会对系统产生不同程度的影响。 隐藏性:隐藏性:用户通常感觉不到病毒的存在用户通常感觉不到病毒的存在。潜伏性:潜伏性:一般一般不会马上发作不会马上发作。可激活性:可激活性:病毒因某个事件或数值的出现而发作。病毒因某个事件或数
5、值的出现而发作。针对性:针对性:病毒的编制者往往有特殊的破坏目的。病毒的编制者往往有特殊的破坏目的。 计算机病毒的特征计算机病毒的特征按攻击的对象分:按攻击的对象分:攻击微型机攻击微型机攻击小型机攻击小型机攻击大型机攻击大型机攻击计算机网络攻击计算机网络 计算机病毒的分类计算机病毒的分类按寄生的方式分:按寄生的方式分:覆盖式寄生病毒:覆盖式寄生病毒:破坏合法程序的部分或全部功能破坏合法程序的部分或全部功能 代替式寄生病毒:代替式寄生病毒:使病毒程序以使病毒程序以“合法合法”身份运行身份运行 链接式寄生病毒:链接式寄生病毒:将自身程序附加在宿主程序之后将自身程序附加在宿主程序之后 添充式寄生病毒
6、:添充式寄生病毒:侵占宿主程序的空闲存储空间侵占宿主程序的空闲存储空间 转储式寄生病毒:转储式寄生病毒:将宿主程序代码改变存储位置将宿主程序代码改变存储位置 计算机病毒的分类计算机病毒的分类按感染的方式分:按感染的方式分:引导扇区病毒:引导扇区病毒:引导扇区病毒用它自己的数据来代管引导扇区病毒用它自己的数据来代管硬盘的原始引导扇区,并将病毒装入内存。硬盘的原始引导扇区,并将病毒装入内存。 文件感染病毒:文件感染病毒:文件感染病毒将病毒代码加到可运行文件感染病毒将病毒代码加到可运行的程序文件中,在运行程序时即被激活。的程序文件中,在运行程序时即被激活。 综合型感染病毒:综合型感染病毒:是指既感染
7、磁盘引导区程序,又感是指既感染磁盘引导区程序,又感染系统文件的综合病毒。染系统文件的综合病毒。计算机病毒的分类计算机病毒的分类按侵入的途径分:按侵入的途径分:源码病毒:源码病毒:指病毒在源程序被编译前就被插入到源程指病毒在源程序被编译前就被插入到源程序中序中。 操作系统病毒:操作系统病毒:指病毒程序将自身加入或替代操作系指病毒程序将自身加入或替代操作系统工作。统工作。 入侵病毒:入侵病毒:用自身代替正常程序中的部分模块或堆栈用自身代替正常程序中的部分模块或堆栈区。区。外壳病毒:外壳病毒:将自身程序放在主程序的周围,一般不对将自身程序放在主程序的周围,一般不对原来的程序进行修改。原来的程序进行修
8、改。计算机病毒的分类计算机病毒的分类特洛伊木马特洛伊木马蠕虫病毒蠕虫病毒宏病毒宏病毒脚本病毒脚本病毒恶意网页病毒恶意网页病毒结合黑客技术的病毒结合黑客技术的病毒常见计算机病毒的类型常见计算机病毒的类型 由来:由来:源于希腊对源于希腊对特洛伊城特洛伊城的战争;的战争;寓意寓意“一经进入,后患无穷一经进入,后患无穷”。特洛伊木马(特洛伊木马(Trojan HorseTrojan Horse)定义:定义:特洛伊木马是一种程序,它提供了一些有用特洛伊木马是一种程序,它提供了一些有用的功能,通常是一些用户不希望的功能,诸如在你不的功能,通常是一些用户不希望的功能,诸如在你不了解的情况下拷贝文件或窃取你的
9、密码,或直接将重了解的情况下拷贝文件或窃取你的密码,或直接将重要资料转送出去,或破坏系统等等。要资料转送出去,或破坏系统等等。 概述:概述:特洛伊木马是一种或是直接由一个黑客,或特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起是通过一个不令人起疑疑的用户秘密安装到目标系统的的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。的人就可以直接远程控制目标系统。特洛伊木马(特洛伊木马(Trojan HorseTrojan Horse)特点:特点:隐蔽性,难以察觉隐蔽性,难以察觉客户端客户端/ /
10、服务器模式服务器模式 分类:分类:远程访问型远程访问型密码发送型密码发送型键盘记录型键盘记录型综合型综合型特洛伊木马(特洛伊木马(Trojan HorseTrojan Horse)著名木马:著名木马:国外国外BO(Back Orifice)BO(Back Orifice) 端口端口3133731337国内国内冰河冰河 端口端口76267626 特洛伊木马(特洛伊木马(Trojan HorseTrojan Horse)防御防御:用网络扫描软件定期监视内部主机上的用网络扫描软件定期监视内部主机上的TCPTCP服务服务,定期检查注册表,定期用,定期检查注册表,定期用防病毒软件查杀防病毒软件查杀等等。
11、警惕:警惕:不要轻易打开陌生人的信件附件不要轻易打开陌生人的信件附件不要轻易接收网友的小程序或打开网址不要轻易接收网友的小程序或打开网址不要到一些小不要到一些小的的网站或者黑客网站下载软件网站或者黑客网站下载软件 由来:由来:一种体积很小、繁殖很快、爬行迟缓的小虫子一种体积很小、繁殖很快、爬行迟缓的小虫子感染的计算机运行起来像蠕虫爬行那样缓慢感染的计算机运行起来像蠕虫爬行那样缓慢蠕虫病毒(蠕虫病毒(Worm VirusWorm Virus)定义:定义:蠕虫病毒是一种能自我复制的程序,并能通过计蠕虫病毒是一种能自我复制的程序,并能通过计算机网络进行传播,它大量消耗系统资源,使其它程序运算机网络进
12、行传播,它大量消耗系统资源,使其它程序运行减慢以至停止,最后导致系统和网络瘫痪。行减慢以至停止,最后导致系统和网络瘫痪。 特点:特点:传播速度快,感染范围广传播速度快,感染范围广 反复感染,难以根除反复感染,难以根除隐蔽性好隐蔽性好破坏性大破坏性大著名的蠕虫病毒:著名的蠕虫病毒:19881988年,年,MorrisMorris,第一个蠕虫病毒第一个蠕虫病毒 2001年,年,“尼姆达尼姆达”病毒(病毒(Nimda)20012001年,年,“求职信求职信”病毒(病毒(wantjobwantjob)20032003年,年,“20032003蠕虫王蠕虫王”病毒病毒蠕虫病毒(蠕虫病毒(Worm Viru
13、sWorm Virus) 宏病毒(宏病毒(Macro VirusMacro Virus)宏:宏:是一系列自己编写或录制的命令和指令,用来是一系列自己编写或录制的命令和指令,用来实现任务执行的自动化实现任务执行的自动化。宏病毒:宏病毒:是一种存在是一种存在WordWord或模版中的计算机病毒,或模版中的计算机病毒,一旦打开这样的文档,宏病毒就会被激活,传染到其一旦打开这样的文档,宏病毒就会被激活,传染到其它计算机上,并驻留在它计算机上,并驻留在NormalNormal模版中,此后,自动保模版中,此后,自动保存的文档都会被感染。存的文档都会被感染。 宏病毒(宏病毒(Macro VirusMacro
14、 Virus)宏病毒的特征宏病毒的特征:v宏病毒会感染宏病毒会感染.DOC.DOC文档和文档和.DOT.DOT模板文件。模板文件。 v宏病毒的传染通常是宏病毒的传染通常是WordWord在打开一个带宏病毒的文在打开一个带宏病毒的文档或模板时,激活宏病毒。档或模板时,激活宏病毒。v多数宏病毒包含多数宏病毒包含AutoExecAutoExec、AutoOpenAutoOpen和和AutoNewAutoNew等等自动宏,通过这些自动宏病毒取得文档(模板)操自动宏,通过这些自动宏病毒取得文档(模板)操作权。作权。 宏病毒(宏病毒(Macro VirusMacro Virus)宏病毒的防治方法宏病毒的防
15、治方法:v保护保护WordWord模板文件。模板文件。 v查看查看“可疑可疑”的宏。的宏。v小心使用外来的小心使用外来的Word文档文档。v屏蔽自动执行宏。屏蔽自动执行宏。v利用专业杀毒软件查杀宏病毒。利用专业杀毒软件查杀宏病毒。 脚本病毒脚本病毒VBSVBS脚本病毒:脚本病毒:VBSVBS病毒由病毒由VB ScriptVB Script编写而成,更甚于宏病毒。编写而成,更甚于宏病毒。VBSVBS脚本病毒的特征:脚本病毒的特征:v编写简单编写简单v破坏力大破坏力大v传播范围大传播范围大v病毒源码容易被获取,变种多病毒源码容易被获取,变种多著名脚本病毒:爱虫病毒、新欢乐时光著名脚本病毒:爱虫病毒
16、、新欢乐时光 恶意网页病毒恶意网页病毒恶意网页病毒:恶意网页病毒: 利用利用IEIE的的ActiveXActiveX漏洞的病毒漏洞的病毒修改用户的修改用户的IEIE设置、注册表选项设置、注册表选项下载木马、恶意程序或病毒下载木马、恶意程序或病毒格式化用户硬盘或删除用户的文件格式化用户硬盘或删除用户的文件具有主动攻击性具有主动攻击性著名恶意网页病毒:爱情森林著名恶意网页病毒:爱情森林 结合黑客技术的病毒结合黑客技术的病毒黑客技术黑客技术+ +病毒:病毒: 同黑客技术结合的网络病毒将成为计算机病同黑客技术结合的网络病毒将成为计算机病毒的主流毒的主流传统的计算机病毒传统的计算机病毒:主要依靠某种媒介
17、进行传主要依靠某种媒介进行传播,比如软盘、光盘或者电子邮件等。播,比如软盘、光盘或者电子邮件等。结合黑客技术的病毒:结合黑客技术的病毒:只要你的系统有后门,只要你的系统有后门,有漏洞,就可能感染病毒。有漏洞,就可能感染病毒。 结合黑客技术的病毒结合黑客技术的病毒红色代码病毒:红色代码病毒:利用利用WindowsWindows服务器的系统漏洞服务器的系统漏洞使用主动传播方式,发动使用主动传播方式,发动DoSDoS( (拒绝服务拒绝服务) )攻击攻击遭到攻击的计算机上植入木马程序遭到攻击的计算机上植入木马程序 ,远程控制,远程控制服务器服务器冲击波病毒:冲击波病毒:完全主动地直接扫描互联网上的计算
18、机,一旦发完全主动地直接扫描互联网上的计算机,一旦发现其存在现其存在RPC漏洞,就立即进入并开始发作。漏洞,就立即进入并开始发作。8.2 8.2 计算机病毒的分析计算机病毒的分析病毒的破坏手段:病毒的破坏手段:攻击系统数据区攻击系统数据区 主引导扇区等主引导扇区等 破坏计算机硬件破坏计算机硬件攻击文件攻击文件 系统文件、用户数据等系统文件、用户数据等攻击内存攻击内存 占用大量内存等占用大量内存等干扰系统运行干扰系统运行 不执行命令、死机等不执行命令、死机等 速度下降速度下降盗取信息盗取信息 窃取密码等窃取密码等软盘软盘软盘作为最常用的交换媒介,在计算机应用软盘作为最常用的交换媒介,在计算机应用
19、的早期对病毒的传播发挥了巨大的作用。的早期对病毒的传播发挥了巨大的作用。光盘光盘光盘因为容量大,存储了大量的可执行文件,光盘因为容量大,存储了大量的可执行文件,大量的病毒就有可能藏身于光盘。大量的病毒就有可能藏身于光盘。硬盘硬盘由于带病毒的硬盘在本地或移到其他地方使由于带病毒的硬盘在本地或移到其他地方使用、维修等,将干净的软盘传染并再扩散。用、维修等,将干净的软盘传染并再扩散。计算机病毒的传播途径计算机病毒的传播途径网络网络通过通过BBSBBS、EMAILEMAIL等网络方式进行传播,是现等网络方式进行传播,是现代病毒的最主要传播途径。代病毒的最主要传播途径。计算机系统的运行速度异常减慢。计算
20、机系统的运行速度异常减慢。计算机系统出现异常死机或重新启动现象。计算机系统出现异常死机或重新启动现象。系统文件的属性及大小发生改变。系统文件的属性及大小发生改变。数据文件内容被修改或删除。数据文件内容被修改或删除。计算机系统的存储容量异常减少。计算机系统的存储容量异常减少。系统可用内存容量大量减少。系统可用内存容量大量减少。网络病毒破坏网络系统。网络病毒破坏网络系统。病毒的表现症状病毒的表现症状8.3 8.3 计算机病毒的防治计算机病毒的防治思想上的防范思想上的防范 在思想上重视病毒给计算机安全运行带来的危害在思想上重视病毒给计算机安全运行带来的危害 管理上的防范管理上的防范 采取必要的病毒检
21、测措施,制定完善的管理规则采取必要的病毒检测措施,制定完善的管理规则 使用上的防范使用上的防范严格对软盘的控制严格对软盘的控制定期使用杀病毒软件定期使用杀病毒软件尽量不在网络上下载来源不明的软件尽量不在网络上下载来源不明的软件及时对操作系统进行升级及时对操作系统进行升级网络病毒的特点:网络病毒的特点:(1)传染方式多)传染方式多 (2)传传染速度快染速度快 (3)清除难度大)清除难度大 (4)破坏性强)破坏性强 8.4 8.4 网络病毒的防治技术网络病毒的防治技术防范计算机网络病毒的一些措施防范计算机网络病毒的一些措施:在网络中,尽量多用无盘工作站,不用或少用有软驱在网络中,尽量多用无盘工作站
22、,不用或少用有软驱的工作站。的工作站。 保证只有系统管理员才有最高的访问权限,避免过多保证只有系统管理员才有最高的访问权限,避免过多地出现超级用户。地出现超级用户。 尽量控制用户的网络使用权限。尽量控制用户的网络使用权限。 对某些频繁使用或非常重要的文件属性加以控制。对某些频繁使用或非常重要的文件属性加以控制。 建立健全的网络系统安全管理制度,及时对系统升级,建立健全的网络系统安全管理制度,及时对系统升级,定期做文件备份和病毒检测。定期做文件备份和病毒检测。常见防病毒软件介绍常见防病毒软件介绍:国外:国外:NORTON ANTIVIRUSNORTON ANTIVIRUS 由由Symantec公司研发,最著名的防病毒软件之一公司研发,最著名的防病毒软件之一国内:国内:金山公司的金山毒霸金山公司的金山毒霸瑞星公司的瑞星杀毒软件瑞星公司的瑞星杀毒软件冠群金辰软件公司的冠群金辰软件公司的KILLKILL杀毒软件杀毒软件江民公司的江民公司的KV3000KV3000
