網絡病毒防范技術

1、1 網絡病毒防范技術網絡病毒防范技術日期：n 了解網絡病毒的起源、歷史和發(fā)展了解網絡病毒的起源、歷史和發(fā)展n 了解常見的計算機病毒了解常見的計算機病毒n 了解計算機病毒癥狀與傳播途徑了解計算機病毒癥狀與傳播途徑n 了解病毒防護體系了解病毒防護體系課程目標課程目標學習完本課程，您應該能夠：學習完本課程，您應該能夠：n 計算機病毒起源、歷史和發(fā)展計算機病毒起源、歷史和發(fā)展n 傳統(tǒng)計算機病毒介紹傳統(tǒng)計算機病毒介紹n 現(xiàn)代計算機病毒介紹現(xiàn)代計算機病毒介紹n 計算機病毒癥狀與傳播途徑計算機病毒癥狀與傳播途徑n 病毒防護體系病毒防護體系目錄目錄4計算機病毒定義計算機病毒定義利用計算機軟件或硬件的缺陷，破壞

2、計算機數(shù)利用計算機軟件或硬件的缺陷，破壞計算機數(shù)據并影響計算機正常工作的一組指令集或程序據并影響計算機正常工作的一組指令集或程序代碼代碼。5計算機病毒的特征計算機病毒的特征感染性潛伏性可觸發(fā)性破壞性6計算機病毒危害計算機病毒危害l破壞計算機數(shù)據信息破壞計算機數(shù)據信息l消耗系統(tǒng)資源消耗系統(tǒng)資源 l降低計算機運行速度降低計算機運行速度 l破壞計算機硬件破壞計算機硬件 l衍生出新的病毒衍生出新的病毒l損壞計算機用戶財產和隱私損壞計算機用戶財產和隱私7計算機病毒來源計算機病毒來源l 天才的程序員為了表現(xiàn)自己和證明自己的能力而天才的程序員為了表現(xiàn)自己和證明自己的能力而制造的病毒；制造的病毒；l 為了防止

3、自己的軟件被非法拷貝而預留的報復性為了防止自己的軟件被非法拷貝而預留的報復性懲罰；懲罰；l 處于政治、軍事、宗教、民族、專利等方面的需處于政治、軍事、宗教、民族、專利等方面的需求而專門編寫的病毒求而專門編寫的病毒l 計算機計算機cracker出于利益驅動而制造的病毒。出于利益驅動而制造的病毒。8計算機病毒歷史計算機病毒歷史l “計算機病毒計算機病毒”一詞是人們聯(lián)系到破壞計算機系一詞是人們聯(lián)系到破壞計算機系統(tǒng)的統(tǒng)的“病原體病原體”具有與生物病毒相似的特征，借具有與生物病毒相似的特征，借用生物學病毒而使用的計算機術語。用生物學病毒而使用的計算機術語。l “計算機病毒計算機病毒”一詞最早出現(xiàn)在美國作

4、家一詞最早出現(xiàn)在美國作家Thomas J. Ryan 于于1977年出版的科幻小說年出版的科幻小說The Adolescence of P-1中。中。 l 1983年年 美國計算機安全專家美國計算機安全專家Cohen首次通過實驗首次通過實驗證明了病毒的可實現(xiàn)性。證明了病毒的可實現(xiàn)性。 9計算機病毒歷史計算機病毒歷史l 1996年年 首次出現(xiàn)針對微軟公司首次出現(xiàn)針對微軟公司Office的的宏病毒宏病毒。 l 1998年年 出現(xiàn)針對出現(xiàn)針對Windows95/98系統(tǒng)的病毒，如系統(tǒng)的病毒，如CIH。 l 1999年年 Happy99等完全通過等完全通過Internet傳播的病毒的出現(xiàn)傳播的病毒的出

5、現(xiàn)標志著標志著Internet病毒將成為病毒新的增長點。病毒將成為病毒新的增長點。 l 2000年年 一種名為一種名為“愛蟲愛蟲”的電腦病毒開始在全球各地迅的電腦病毒開始在全球各地迅速傳播，網絡病毒持續(xù)以極高的速度增長速傳播，網絡病毒持續(xù)以極高的速度增長 l 2003年年 沖擊波病毒泛濫，短短一周之內，至少攻擊了全沖擊波病毒泛濫，短短一周之內，至少攻擊了全球球80%的的windows用戶。用戶。 l 2007年年 國際上公認病毒國際上公認病毒/木馬增加最快的年份，尤其盜用木馬增加最快的年份，尤其盜用帳號的木馬首當其沖帳號的木馬首當其沖l 2008年年 全球病毒和木馬的種類已超過全球病毒和木馬的

6、種類已超過100萬種萬種10計算機病毒發(fā)展計算機病毒發(fā)展1、DOS引導階段引導階段 利用軟盤啟動來實施破壞。2、DOS可執(zhí)行階段可執(zhí)行階段利用DOS系統(tǒng)加載執(zhí)行文件的機制工作3、伴隨、批次型階段、伴隨、批次型階段生成一個和EXE同名但擴展名為COM的伴隨體4、幽靈、多形階段、幽靈、多形階段 幽靈病毒每感染一次就產生不同的代碼5、生成器、變體機階段、生成器、變體機階段匯編語言對空操作和無關指令的運算結果沒有影響6、網絡、蠕蟲階段、網絡、蠕蟲階段只占用內存，不修改磁盤文件，利用網絡傳播11計算機病毒發(fā)展計算機病毒發(fā)展7、視窗病毒階段、視窗病毒階段利用保護模式和API調用接口工作。8、宏病毒階段、宏

7、病毒階段利用Office的宏語言9、互聯(lián)網階段、互聯(lián)網階段利用互聯(lián)網進行傳播，例如郵件病毒10、主動攻擊型階段、主動攻擊型階段利用系統(tǒng)漏洞主動攻擊，例如沖擊波11、利益驅動階段、利益驅動階段處于商業(yè)或政治目的而編寫的病毒12重大計算機病毒事件重大計算機病毒事件l 1988年年11月月2日，日， Internet前身前身Arpanet網絡遭到蠕蟲的網絡遭到蠕蟲的攻擊。攻擊。l 1998年服兵役的臺灣大學生陳盈豪編寫了年服兵役的臺灣大學生陳盈豪編寫了CIH病毒，這是病毒，這是第一個直接破壞計算機硬件的病毒。第一個直接破壞計算機硬件的病毒。l 1999年出現(xiàn)梅麗莎病毒，這是第一個通過電子郵件傳播的年

8、出現(xiàn)梅麗莎病毒，這是第一個通過電子郵件傳播的病毒。病毒。l 2000年，年， “愛蟲愛蟲”病毒造成全球大面積網絡癱瘓。病毒造成全球大面積網絡癱瘓。l 2001年，紅色代碼爆發(fā)，導致大量年，紅色代碼爆發(fā)，導致大量WEB服務器癱瘓。服務器癱瘓。l 2004年，年，Botnet逐漸發(fā)展成規(guī)模龐大、功能多樣、不易逐漸發(fā)展成規(guī)模龐大、功能多樣、不易檢測的惡意網絡。檢測的惡意網絡。l 2007年熊貓燒香橫掃中國互聯(lián)網。年熊貓燒香橫掃中國互聯(lián)網。n 計算機病毒起源、歷史和發(fā)展計算機病毒起源、歷史和發(fā)展n 傳統(tǒng)計算機病毒介紹傳統(tǒng)計算機病毒介紹n 現(xiàn)代計算機病毒介紹現(xiàn)代計算機病毒介紹n 計算機病毒癥狀與傳播途徑

9、計算機病毒癥狀與傳播途徑n 病毒防護體系病毒防護體系目錄目錄14傳統(tǒng)病毒的分類傳統(tǒng)病毒的分類v文件型病毒文件型病毒v 宏病毒宏病毒v 腳本病毒腳本病毒v 網頁病毒網頁病毒v 引導型病毒引導型病毒vFlash病毒病毒15引導型病毒引導型病毒計算機啟動時計算機啟動時使用了被病毒感染的磁盤使用了被病毒感染的磁盤啟動病毒感染啟動病毒感染硬盤硬盤在此以后在此以后所有使用的磁盤都會感染所有使用的磁盤都會感染16文件型病毒文件型病毒 程序程序/可執(zhí)行可執(zhí)行 文件文件 NE, PE (*.EXE) 其它帶有可執(zhí)行代碼的文件其它帶有可執(zhí)行代碼的文件 (*.SCR, *.HLP, *.OCX) 設備驅動程序設備驅

10、動程序 LE, PE (*.DLL, *.DRV, *.VXD)17文件型病毒文件型病毒可執(zhí)行文件信息的改變（例如文件大小，時間標記，行為等）任何異常的任務/進程注冊表或者配置文件的異?；蚩梢傻母膭映绦蛑黧w程序主體HeaderVirusV18宏病毒宏病毒19當被感染的文件用當被感染的文件用Word應用程序打開的應用程序打開的時候，通常其中包含時候，通常其中包含的宏代碼就會復制到的宏代碼就會復制到通用模板中去通用模板中去當病毒長駐在通用模板中時，當病毒長駐在通用模板中時，它會自動生成一些額外的拷貝它會自動生成一些額外的拷貝到別的被到別的被Word打開的文檔中打開的文檔中去去通用模板用于文檔設通用

11、模板用于文檔設置和宏的基本設定置和宏的基本設定Word 文檔中的宏病毒文檔中的宏病毒20宏病毒宏病毒 被感染的文件的大小會增加 當你關閉文件時程序會問你是否要保存所做的更改，而實際上你并沒有對文件做任何改動。 普通的文件被當作模板保存起來（針對Word宏病毒）21腳本病毒腳本病毒如果一封郵件或某個網頁有惡如果一封郵件或某個網頁有惡意腳本意腳本惡意腳本會利用網頁瀏覽器或惡意腳本會利用網頁瀏覽器或者郵件程序腳本解釋執(zhí)行程序者郵件程序腳本解釋執(zhí)行程序導致它們可以傳播和復制到導致它們可以傳播和復制到其它的郵件接收者和網頁的其它的郵件接收者和網頁的使用者使用者22腳本病毒腳本病毒您可以在打開電子郵件之前

12、，先將您可以在打開電子郵件之前，先將其保存為其保存為HTML格式來檢查格式來檢查一旦保存為一旦保存為HTML格式以后，您就可以查看格式以后，您就可以查看電子郵件中的腳本代碼了電子郵件中的腳本代碼了23網頁病毒網頁病毒24Flash病毒病毒 (SWF)2002年，年， SWF_LFM.926，這是世界上首個專門感，這是世界上首個專門感染染Macromedia Shockwave Flash動畫（動畫（swf）文）文件的病毒。件的病毒。 2004年年11月月26日網上又發(fā)現(xiàn)了一個能夠隨日網上又發(fā)現(xiàn)了一個能夠隨Flash文文件 自 動 被 下 載 的 新 病 毒件 自 動 被 下 載 的 新 病 毒

13、 D J 2 0 0 5（Win32.Troj.QQMydj2005） n 計算機病毒起源、歷史和發(fā)展計算機病毒起源、歷史和發(fā)展n 傳統(tǒng)計算機病毒介紹傳統(tǒng)計算機病毒介紹n 現(xiàn)代計算機病毒介紹現(xiàn)代計算機病毒介紹n 計算機病毒癥狀與傳播途徑計算機病毒癥狀與傳播途徑n 病毒防護體系病毒防護體系目錄目錄26現(xiàn)代計算機病毒類型現(xiàn)代計算機病毒類型n 特洛伊木馬程序特洛伊木馬程序n 蠕蟲蠕蟲n 后門程序后門程序 n DoSDoS程序程序n 僵尸網絡僵尸網絡27特洛伊木馬程序特洛伊木馬程序木馬程序木馬程序通過將自身偽裝吸引用戶下載執(zhí)行，向施種木通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種者電腦的門

14、戶，使施種者可以任意毀馬者提供打開被種者電腦的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種者的電腦。壞、竊取被種者的文件，甚至遠程操控被種者的電腦。28木馬危害木馬危害l 偷竊個人賬號、密碼信息偷竊個人賬號、密碼信息l 遠程控制遠程控制l 組建僵尸網絡組建僵尸網絡29蠕蟲蠕蟲蠕蟲是一種通過網絡傳播的惡性病毒蠕蟲是一種通過網絡傳播的惡性病毒，蠕蟲不使用駐留文，蠕蟲不使用駐留文件即可在系統(tǒng)之間進行自我復制。件即可在系統(tǒng)之間進行自我復制。計算機蠕蟲是指通過計算機網絡傳播的病毒，泛濫時可以導致網絡阻塞甚至癱瘓。第一個Internet蠕蟲是出現(xiàn)于1988年的Morris病毒30蠕蟲特點

15、蠕蟲特點傳播快、傳播廣傳播快、傳播廣31蠕蟲特點蠕蟲特點危害高危害高l 擁塞網絡擁塞網絡l 組建僵尸網絡組建僵尸網絡l 進行進行DoS（Denial of Service）攻擊）攻擊l 破壞計算機數(shù)據破壞計算機數(shù)據l 經濟損失巨大經濟損失巨大32后門程序后門程序后門就是攻擊者留在計算機系統(tǒng)中，供其通過后門就是攻擊者留在計算機系統(tǒng)中，供其通過某種特殊方式控制計算機系統(tǒng)的途徑。某種特殊方式控制計算機系統(tǒng)的途徑。 33后門危害后門危害l 主機可能永遠被控制主機可能永遠被控制l 為傳播病毒提供方便之門為傳播病毒提供方便之門34DoS程序程序DDoS (Distributed Denial of Ser

16、vice，分布式拒絕，分布式拒絕服務服務)攻擊指借助于客戶攻擊指借助于客戶/服務器技術，將多個計算機聯(lián)服務器技術，將多個計算機聯(lián)合起來作為攻擊平臺，對一個或者多個目標發(fā)動合起來作為攻擊平臺，對一個或者多個目標發(fā)動DoS攻擊，從而成倍地提高拒絕服務攻擊的威力。攻擊，從而成倍地提高拒絕服務攻擊的威力。35受害者攻擊者主控端主控端代理端主控端代理端代理端代理端代理端代理端組建僵尸網絡DDoS攻擊DDoS攻擊DDoS攻擊DDoS攻擊DDoS攻擊DDoS攻擊編寫工具受雇攻擊收取傭金主動攻擊勒索網站DoS/DDoS攻擊模型攻擊模型36DoS/DDoS的危害的危害l 服務器宕機，業(yè)務中斷服務器宕機，業(yè)務中斷

17、l 大面積斷網，網絡癱瘓大面積斷網，網絡癱瘓DoS DoS 攻擊是導致去年損失最為慘重的計算機犯罪事件，其攻擊是導致去年損失最為慘重的計算機犯罪事件，其帶來的損失是其它各類攻擊造成損失總和的兩倍有余。帶來的損失是其它各類攻擊造成損失總和的兩倍有余?！?2004 2004 年年CSI/FBI CSI/FBI 計算機犯罪及安全調查。計算機犯罪及安全調查。 37僵尸網絡僵尸網絡僵尸網絡僵尸網絡(Botnet)是指采用一種或多種傳播手段，是指采用一種或多種傳播手段，將大量主機感染將大量主機感染bot程序（僵尸程序），從而在程序（僵尸程序），從而在控制者和被感染主機之間所形成的一個可一對多控制者和被感染

18、主機之間所形成的一個可一對多控制的網絡。控制的網絡。命令與控制信道僵尸網絡僵尸網絡僵尸主機僵尸主機僵尸主機僵尸主機僵尸主機僵尸主機僵尸主機僵尸主機僵尸程序僵尸程序僵尸程序僵尸程序攻擊者攻擊者跳板主機跳板主機38僵尸網絡危害僵尸網絡危害l 成為攻擊平臺成為攻擊平臺l 讓普通用戶成為讓普通用戶成為 “幫兇幫兇”l 導致被感染主機性能損失導致被感染主機性能損失n 計算機病毒起源、歷史和發(fā)展計算機病毒起源、歷史和發(fā)展n 傳統(tǒng)計算機病毒介紹傳統(tǒng)計算機病毒介紹n 現(xiàn)代計算機病毒介紹現(xiàn)代計算機病毒介紹n 計算機病毒癥狀與傳播途徑計算機病毒癥狀與傳播途徑n 病毒與網絡安全關系病毒與網絡安全關系n 防病毒體系防

19、病毒體系目錄目錄40病毒的常見癥狀病毒的常見癥狀1系統(tǒng)運行速度減慢甚至死機。2文件長度莫名其妙地發(fā)生了變化3系統(tǒng)中出現(xiàn)模仿系統(tǒng)進程名或服務名的進程或服務 41病毒的常見癥狀病毒的常見癥狀丟失文件或文件損壞；計算機屏幕上出現(xiàn)異常顯示；系統(tǒng)不識別硬盤；文件無法正確讀取、 復制或打開；命令執(zhí)行出現(xiàn)錯誤；系統(tǒng)虛假報警；系統(tǒng)時間倒轉；WINDOWS操作系統(tǒng)無故頻繁出現(xiàn)錯誤；系統(tǒng)異常重新啟動；42病毒的常見傳播途徑病毒的常見傳播途徑l 網絡傳播網絡傳播分為因特網和局域網傳播兩種l 硬件設備傳播硬件設備傳播通過不可移動的計算機硬件設備傳播、通過移動存儲傳播和通過無線設備傳播43因特網傳播因特網傳播l 通過電子郵件傳播通過電子郵件傳播l 通過瀏覽網頁和下載軟件傳播通過瀏覽網頁和下載軟件傳播l 通過即時通訊軟件傳播通過即時通訊軟件傳播 l 通過通過P2P文件共享傳播文件共享傳播l 通過網絡游戲傳播通過網絡游戲傳播 n 計算機病毒起源、歷史和發(fā)展計算機病毒起源、歷史和發(fā)展n 傳統(tǒng)計算機病毒介紹傳統(tǒng)計算機病毒介紹n 現(xiàn)代計算機病毒介紹現(xiàn)代計算機病毒介紹n 計算機病毒癥狀與傳播途徑計算機病毒癥狀與傳播途徑n 防病毒體系防病毒體系目錄目錄45 防病毒體系防病毒體系NTAIXAS/400S/390for NetWarefor Linuxfor Exchange 5.xf