《計(jì)算機(jī)病毒的概念》PPT課件.ppt

1、1,病毒的防治,及應(yīng)急處理,2,一、計(jì)算機(jī)病毒的概念,定義：計(jì)算機(jī)病毒是一段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼。（國(guó)外） 定義：計(jì)算機(jī)病毒是指破壞計(jì)算機(jī)功能或者數(shù)據(jù)，并能自我復(fù)制的程序。（國(guó)內(nèi)） 病毒發(fā)展史： 1977年科幻小說The Adolescence of P-1描寫計(jì)算機(jī)病毒 1983年Fred Adleman首次在VAX 11/750上試驗(yàn)病毒； 1986年Brain病毒在全世界傳播； 1988年11月2日Cornell大學(xué)的Morris編寫的Worm病毒襲擊美國(guó)6000臺(tái)計(jì)算機(jī)，直接損失盡億美元； 八十年代末，病毒開始傳入我國(guó),3,病毒產(chǎn)生的原因： 計(jì)算機(jī)病毒是高技術(shù)犯

2、罪，具有瞬時(shí)性、動(dòng)態(tài)性和隨機(jī)性。不易取證，風(fēng)險(xiǎn)小破壞大。 1）尋求刺激：自我表現(xiàn)；惡作?。?2）出于報(bào)復(fù)心理。 病毒的特征： 傳染性；寄生性；衍生性； 隱蔽性；潛伏性； 可觸發(fā)性；奪取控制權(quán)； 破壞性與危害性,4,病毒的分類： 按破壞性分為：良性；惡性。 按激活時(shí)間分為：定時(shí)；隨機(jī) 按傳染方式分為： 引導(dǎo)型：當(dāng)系統(tǒng)引導(dǎo)時(shí)進(jìn)入內(nèi)存，控制系統(tǒng)； 文件型：病毒一般附著在可執(zhí)行文件上 ； 混合型：既可感染引導(dǎo)區(qū)，又可感染文件。 按連接方式分為： OS型：替換OS的部分功能，危害較大； 源碼型：要在源程序編譯之前插入病毒代碼；較少； 外殼型：附在正常程序的開頭或末尾；最常見； 入侵型：病毒取代特定程序的

3、某些模塊；難發(fā)現(xiàn),5,按照病毒特有的算法分為： 伴隨型病毒：產(chǎn)生EXE文件的伴隨體COM，病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時(shí)，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。 “蠕蟲”型病毒：只占用內(nèi)存，不改變文件，通過網(wǎng)絡(luò)搜索傳播病毒。 寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它們依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中。 變型病毒（幽靈病毒）：使用復(fù)雜算法，每傳播一次都具有不同內(nèi)容和長(zhǎng)度。一般的作法是一段混有無(wú)關(guān)指令的解碼算法和被變化過的病毒體組成,6,病毒的組成： 安裝模塊：提供潛伏機(jī)制； 傳播模塊：提供傳染機(jī)制； 觸發(fā)模塊：提供觸發(fā)機(jī)制； 其中，傳染機(jī)制是病

4、毒的本質(zhì)特征，防治、檢測(cè)及 殺毒都是從分析病毒傳染機(jī)制入手的。 病毒的癥狀： 啟動(dòng)或運(yùn)行速度明顯變慢；文件大小、日期變化；死機(jī)增多；莫名其妙地丟失文件；磁盤空間不應(yīng)有的減少；有規(guī)律地出現(xiàn)異常信息；自動(dòng)生成一些特殊文件；無(wú)緣無(wú)故地出現(xiàn)打印故障,7,計(jì)算機(jī)病毒的傳播途徑 1）通過不可移動(dòng)的設(shè)備進(jìn)行傳播 較少見，但破壞力很強(qiáng)。 2）通過移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播 最廣泛的傳播途徑 3）通過網(wǎng)絡(luò)進(jìn)行傳播 反病毒所面臨的新課題 4）通過點(diǎn)對(duì)點(diǎn)通訊系統(tǒng)和無(wú)線通道傳播 預(yù)計(jì)將來會(huì)成為兩大傳播渠道,8,病毒的破壞行為 攻擊系統(tǒng)數(shù)據(jù)區(qū)：主引導(dǎo)區(qū)、Boot區(qū)、FAT區(qū)、文件目錄 攻擊文件、內(nèi)存、CMOS；干擾系統(tǒng)運(yùn)行，

5、使速度下降；干擾屏幕、鍵盤、喇叭、打印機(jī)； 破壞網(wǎng)絡(luò)資源。 病毒的發(fā)展趨勢(shì) 攻擊對(duì)象趨于混合型； 反跟蹤技術(shù)； 增強(qiáng)隱蔽性：避開修改中斷向量值；請(qǐng)求在內(nèi)存中的合法身份；維持宿主程序外部特征；不用明顯感染標(biāo)志 采用加密技術(shù)，使得對(duì)病毒的跟蹤、判斷更困難； 繁衍不同的變種,9,二、病毒的防治,網(wǎng)絡(luò)環(huán)境下的病毒防治原則與策略 防重于治，防重在管：制度；注冊(cè)、權(quán)限、屬性、服務(wù)器安全；集中管理、報(bào)警。 綜合防護(hù)：木桶原理；防火墻與防毒軟件結(jié)合 最佳均衡原則：占用較小的網(wǎng)絡(luò)資源 管理與技術(shù)并重 正確選擇反毒產(chǎn)品 多層次防御：病毒檢測(cè)、數(shù)據(jù)保護(hù)、實(shí)時(shí)監(jiān)控 注意病毒檢測(cè)的可靠性：經(jīng)常升級(jí)；兩種以上,10,二、

6、病毒的防治,防毒：預(yù)防入侵； 病毒過濾、監(jiān)控、隔離 查毒：發(fā)現(xiàn)和追蹤病毒； 統(tǒng)計(jì)、報(bào)警 解毒：從感染對(duì)象中清除病毒；恢復(fù)功能 病毒檢測(cè)的方法 直接觀察法： 根據(jù)病毒的種種表現(xiàn)來判斷 特征代碼法 ：采集病毒樣本，抽取特征代碼 特點(diǎn)：能快速、準(zhǔn)確檢驗(yàn)已知病毒，不能發(fā)現(xiàn)未知的病毒,11,校驗(yàn)和法： 根據(jù)文件內(nèi)容計(jì)算的校驗(yàn)和與以前的作比較。 優(yōu)點(diǎn)：能判斷文件細(xì)微變化，發(fā)現(xiàn)未知病毒。 缺點(diǎn)：當(dāng)軟件升級(jí)、改口令時(shí)會(huì)產(chǎn)生誤報(bào)；不能識(shí)別病毒名稱；對(duì)隱蔽性病毒無(wú)效。 行為監(jiān)測(cè)法： 基于對(duì)病毒異常行為的判斷 特點(diǎn)：發(fā)現(xiàn)許多未知病毒；可能誤報(bào)，實(shí)施難 軟件模擬法：一種軟件分析器，用軟件方法來模擬和分析程序的運(yùn)行。

7、特點(diǎn)：可用于對(duì)付多態(tài)病毒,12,反病毒軟件的選擇 1）掃描速度 30秒能掃描1000個(gè)以上文件 2）識(shí)別率 3）病毒清除測(cè)試 著名殺毒軟件公司 冠群金辰 KILL 瑞星 RAV 北京江民 KV3000 信源 LAN VRV 賽門鐵克 Norton Anti Virus 時(shí)代先鋒（行天98） ,13,反病毒軟件工作原理 1）病毒掃描程序 串掃描算法:與已知病毒特征匹配；文件頭、尾部 入口掃描算法：模擬跟蹤目標(biāo)程序的執(zhí)行 類屬解密法：對(duì)付多態(tài)、加密病毒 2）內(nèi)存掃描程序：搜索內(nèi)存駐留文件和引導(dǎo)記錄病毒 3）完整性檢查器：能發(fā)現(xiàn)新的病毒；但對(duì)于已被感染的系統(tǒng)使用此方法，可能會(huì)受到欺騙。 4）行為監(jiān)測(cè)

8、器：是內(nèi)存駐留程序，監(jiān)視病毒對(duì)可執(zhí)行文件的修改。防止未知的病毒,14,三、幾種常見的病毒,宏病毒 宏(Macro)：為避免重復(fù)操作而設(shè)計(jì)的一組命令。 在打開文件時(shí)，先執(zhí)行“宏”，然后載入文件內(nèi)容。因此如果“宏”帶有病毒，則在編輯文件時(shí)病毒自動(dòng)載入。 宏病毒的癥狀： 1）用Word或Excel打開文件時(shí)，出現(xiàn)“文檔未打開”、“內(nèi)存不夠”、“WordBasic Err=514”等； 2）保存文件時(shí)，強(qiáng)制將文件按“.dot”類型存儲(chǔ)，或強(qiáng)制在指定目錄存放。 3）宏病毒的版本兼容問題,15,幾種宏病毒： AAAZAO Macro：Concept病毒，第一個(gè)宏病毒； Taiwan NO.1：第一個(gè)中文w

9、ord病毒； Rainbow Macro：能改變桌面顏色； FormatC：格式化C盤，第一個(gè)木馬型宏病毒； Hot Macro：第一個(gè)調(diào)用Windows API的宏病毒； Nuclear Macro:第一個(gè)干擾打印機(jī)、硬盤的宏病毒。 宏病毒分類： 公用宏病毒：以Auto開頭的宏，附在normal.dot或Personal.xls 等模板上。 私用宏病毒,16,宏病毒的危害 1）傳播迅速：因?yàn)槲募涣黝l繁； 2）制造及變種方便：Word Basic編程容易 3）危害大： Word Basic可調(diào)用Windows API、DLL、DDE 宏病毒的防治 除殺毒軟件以外，還可嘗試下列方法： 1）按住

10、鍵再啟動(dòng)Word，禁止宏自動(dòng)運(yùn)行； 2）工具宏，檢查并刪除所有可能帶病毒的宏； 3）使用Disable AutoMacros宏 4）將模板文件如normal.dot的屬性設(shè)為只讀,17,三、幾種常見的病毒,CIH病毒 臺(tái)灣陳盈豪編寫，一般每月26日發(fā)作。 不僅破壞硬盤的引導(dǎo)扇區(qū)和分區(qū)表，還破壞系統(tǒng)Flash BIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞。病毒長(zhǎng)1KB，由于使用VXD技術(shù)，只感染32位Windows 系統(tǒng)可執(zhí)行文件中的.PE格式文件。 修復(fù)硬盤分區(qū)表：信源公司()的免費(fèi)軟件VRVFIX.EXE； CIH疫苗:CIH作者的Ant-CIHv1.0； 美國(guó)Symantec公司的Kill_CI

11、H,18,四、網(wǎng)絡(luò)病毒,含義1：在網(wǎng)上傳播、并對(duì)網(wǎng)絡(luò)進(jìn)行破壞的病毒。 含義2：專指HTML、E-mail、Java等Internet病毒。 例：蠕蟲病毒，木馬程序等。 2001年9月18日，Nimda worm 在Internet上迅速傳播。該病毒感染W(wǎng)indows 系列多種計(jì)算機(jī)系統(tǒng)，其傳播速度之快、影響范圍之廣、破壞力之強(qiáng)都超過其前不久發(fā)現(xiàn)的Code Red II,19,特點(diǎn)：網(wǎng)上蔓延，危害更大。 1）網(wǎng)上傳染方式多，工作站、服務(wù)器交叉感染 2）混合特征：集文件感染、蠕蟲、木馬等于一身 3）利用網(wǎng)絡(luò)脆弱性、系統(tǒng)漏洞 4）更注重欺騙性 5）清除難度大，破壞性強(qiáng)。 網(wǎng)絡(luò)病毒的防范： 具體實(shí)現(xiàn)方

12、法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè)；在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等,20,相對(duì)于單機(jī)病毒的防護(hù)來說，網(wǎng)絡(luò)病毒的防治具有更大的難度，網(wǎng)絡(luò)病毒防治應(yīng)與網(wǎng)絡(luò)管理集成。管理功能就是管理全部的網(wǎng)絡(luò)設(shè)備：從Hub、交換機(jī)、服務(wù)器到PC，軟盤的存取、局域網(wǎng)上的信息互通及與Internet的連接等，所有病毒能夠進(jìn)來的地方。為實(shí)現(xiàn)計(jì)算機(jī)病毒的防治，可在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)上安裝網(wǎng)絡(luò)病毒防治服務(wù)器；在內(nèi)部網(wǎng)絡(luò)服務(wù)器上安裝網(wǎng)絡(luò)病毒防治軟件；在單機(jī)上安裝單機(jī)環(huán)境的反病毒軟件。 從以下方面控制網(wǎng)絡(luò)病毒： 服務(wù)器 郵件系統(tǒng) WEB站點(diǎn) 數(shù)據(jù)庫(kù)系統(tǒng) 網(wǎng)關(guān),21,局域網(wǎng)病毒防御體系 1）服務(wù)器網(wǎng)

13、絡(luò)病毒防殺模塊 監(jiān)視各節(jié)點(diǎn)，保護(hù)網(wǎng)絡(luò)操作系統(tǒng)安全； 動(dòng)態(tài)告警、殺滅各節(jié)點(diǎn)的病毒； 配置系統(tǒng)整體的檢測(cè)計(jì)劃、時(shí)間； 對(duì)病毒事件進(jìn)行記錄、審計(jì)、跟蹤； 提供技術(shù)支持，升級(jí)； 2）客戶端單機(jī)病毒防殺模塊 單機(jī)版殺毒軟件；響應(yīng)升級(jí)要求,22,安裝網(wǎng)絡(luò)防毒軟件的方案 1）在網(wǎng)關(guān)和防火墻上安裝防毒軟件 缺點(diǎn)：對(duì)每個(gè)文件的檢測(cè)將影響網(wǎng)絡(luò)性能。 2）在工作站上安裝防毒軟件 缺點(diǎn)：管理、協(xié)調(diào)、升級(jí)困難。 3）在電子郵件服務(wù)器上安裝防毒軟件 僅能防止郵件病毒的傳播。 4）在所有文件服務(wù)器上安裝防毒軟件 對(duì)于備份服務(wù)器，備份與反毒有可能沖突,23,網(wǎng)絡(luò)反毒的新特征： 與OS結(jié)合更緊密；實(shí)時(shí)化；檢測(cè)壓縮文件病毒 病毒

14、防火墻技術(shù)：能阻止病毒的擴(kuò)散 在網(wǎng)絡(luò)服務(wù)器上安裝病毒防火墻系統(tǒng)，例如： Inter Scan Virus Wall 關(guān)鍵技術(shù)： OS底層接口技術(shù)：實(shí)時(shí)過濾，并少占用資源； 網(wǎng)絡(luò)及應(yīng)用程序的底層接口技術(shù)：各種協(xié)議 充分利用OS的多任務(wù)、多線程機(jī)制； 優(yōu)化算法，減少系統(tǒng)開銷,24,網(wǎng)絡(luò)應(yīng)急響應(yīng),網(wǎng)絡(luò)安全事件 :違反明顯的或隱含的安全策略的一次活動(dòng)，即對(duì)系統(tǒng)正常運(yùn)行有負(fù)面影響的活動(dòng)。包括： 非授權(quán)訪問；系統(tǒng)崩潰；拒絕服務(wù)；對(duì)系統(tǒng)的篡改。 時(shí)間長(zhǎng)短；規(guī)模大?。?安全級(jí)別：A:影響公共安全、社會(huì)秩序 B:系統(tǒng)停頓，業(yè)務(wù)無(wú)法運(yùn)作 C:業(yè)務(wù)中斷，影響系統(tǒng)效率 D:業(yè)務(wù)短暫故障，可立即修復(fù) CERT/CC(計(jì)

15、算機(jī)緊急事件響應(yīng)小組/協(xié)調(diào)中心)發(fā)出 安全警報(bào)：00年26次，01年41次。中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng) 急處理協(xié)調(diào)中心CNCERT/CC(WWW.CERT.ORG.CN,25,網(wǎng)絡(luò)安全事件的緊急程度： 一般： 緊急： 對(duì)人身安全的威脅； 對(duì)Internet體系的攻擊(如對(duì)DNS、根名服務(wù)器、網(wǎng)絡(luò)接入點(diǎn)的攻擊) 對(duì)Internet的大范圍自動(dòng)化攻擊 新型的攻擊及新的嚴(yán)重漏洞。 網(wǎng)絡(luò)安全事件的應(yīng)急準(zhǔn)備 分析關(guān)鍵業(yè)務(wù)；后援；應(yīng)急組織與計(jì)劃；評(píng)估；演練,26,網(wǎng)絡(luò)安全事件的應(yīng)急處理流程,1)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件 2)確定影響范圍，評(píng)估可能損失 3)執(zhí)行預(yù)定的應(yīng)急措 4)安全事件通報(bào)、求援 安全事件通報(bào)內(nèi)容： 發(fā)生安全事件的聯(lián)系資料： 發(fā)生時(shí)間、地點(diǎn)；受影響主機(jī)資料； 事件描述