計(jì)算機(jī)病毒與防范講義課件_第1頁
計(jì)算機(jī)病毒與防范講義課件_第2頁
計(jì)算機(jī)病毒與防范講義課件_第3頁
計(jì)算機(jī)病毒與防范講義課件_第4頁
計(jì)算機(jī)病毒與防范講義課件_第5頁
已閱讀5頁,還剩31頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第15章計(jì)算機(jī)病毒與防范隨著計(jì)算機(jī)在各行各業(yè)的大量應(yīng)用,計(jì)算機(jī)病毒也隨之滲透到計(jì)算機(jī)世界的每個(gè)角落,常以人們意想不到的方式侵入計(jì)算機(jī)系統(tǒng)。計(jì)算機(jī)病毒的流行引起了人們的普遍關(guān)注,成為影響計(jì)算機(jī)安全運(yùn)行的一個(gè)重要因素。隨著網(wǎng)絡(luò)的普及,計(jì)算機(jī)病毒的傳播速度大大提高了,傳播形式也有了新的變化。第15章計(jì)算機(jī)病毒與防范NetworkandInformationSecurity15.1計(jì)算機(jī)病毒簡(jiǎn)介15.1.1惡意代碼在討論計(jì)算機(jī)病毒之前,我們先看惡意代碼的分類情況。這些威脅可以分成兩類:需要宿主的程序和可以獨(dú)立運(yùn)行的程序。前者實(shí)際上是程序片段,它們不能脫離某些特定的應(yīng)用程序、應(yīng)用工具或系統(tǒng)程序而獨(dú)立存在;后者是完整的程序,操作系統(tǒng)可以調(diào)度和運(yùn)行它們。

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范惡意代碼的分類

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.1.3計(jì)算機(jī)病毒的發(fā)展史DOS時(shí)代Windows時(shí)代3.Internet時(shí)代由于網(wǎng)絡(luò)的快速和便捷,網(wǎng)絡(luò)病毒的傳播是以幾何級(jí)數(shù)進(jìn)行的,其危害比以前的任何一種病毒都要大。現(xiàn)在,計(jì)算機(jī)病毒有一個(gè)新的發(fā)展趨勢(shì)。利用漏洞進(jìn)行破壞性攻擊的病毒已經(jīng)逐漸不再唱主角了,電腦用戶安全的最大威脅已經(jīng)讓位于以經(jīng)濟(jì)利益為目的,以欺騙用戶為手段,嚴(yán)重干擾人們?nèi)粘9ぷ?、?shù)據(jù)安全和個(gè)人隱私的各類間諜、木馬、釣魚軟件。有報(bào)告顯示,這類軟件的危害已經(jīng)超越傳統(tǒng)病毒,成為互聯(lián)網(wǎng)安全最大的威脅。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.1.4計(jì)算機(jī)病毒的分類1.系統(tǒng)引導(dǎo)病毒系統(tǒng)引導(dǎo)病毒又稱引導(dǎo)區(qū)型病毒。直到20世紀(jì)90年代中期,引導(dǎo)區(qū)型病毒是最流行的病毒類型,主要通過軟盤在DOS操作系統(tǒng)里傳播。引導(dǎo)區(qū)型病毒侵染軟盤中的引導(dǎo)區(qū),蔓延到用戶硬盤,并能侵染到用戶硬盤中的主引導(dǎo)記錄(也稱為主引導(dǎo)扇區(qū))。一旦硬盤中的引導(dǎo)區(qū)被病毒感染,病毒就試圖侵染每一個(gè)插入計(jì)算機(jī)的從事訪問的軟盤的引導(dǎo)區(qū)。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范2.文件型病毒文件型病毒是文件侵染者,也被稱為寄生病毒。它運(yùn)作在計(jì)算機(jī)存儲(chǔ)器里,通常它感染擴(kuò)展名為COM、EXE、DRV、BIN、OVL、SYS等的文件。每一次它們激活時(shí),被感染文件把自身復(fù)制到其他文件中,并能在存儲(chǔ)器里保存很長(zhǎng)時(shí)間,直到病毒又被激活。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范5.網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒大體上可分為兩類:一類是局域網(wǎng)上的病毒;另一類就是隨著互聯(lián)網(wǎng)的興起產(chǎn)生的新的網(wǎng)絡(luò)病毒。這類新的病毒又可以根據(jù)提供的服務(wù)來細(xì)分?;ヂ?lián)網(wǎng)提供了眾多的服務(wù),如WWW服務(wù)、電子郵件服務(wù)、文件傳輸服務(wù)等。病毒可以利用這些服務(wù)來傳播,因而可以把網(wǎng)絡(luò)病毒分為郵件病毒、網(wǎng)頁病毒、FTP病毒等。其中,郵件病毒在網(wǎng)絡(luò)病毒中占絕大多數(shù)。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.1.5計(jì)算機(jī)病毒的特點(diǎn)計(jì)算機(jī)病毒一般具有以下八個(gè)特點(diǎn):破壞性、隱蔽性、潛伏性、傳染性、未經(jīng)授權(quán)而執(zhí)行、依附性、針對(duì)性、不可預(yù)見性。

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.2.1計(jì)算機(jī)病毒的結(jié)構(gòu)計(jì)算機(jī)病毒在結(jié)構(gòu)上有著共同性,一般由引導(dǎo)部分、傳染部分、表現(xiàn)部分三部分組成。1.引導(dǎo)部分:也就是病毒的初始化部分,它隨著宿主程序的執(zhí)行而進(jìn)入內(nèi)存,為傳染部分做準(zhǔn)備。2.傳染部分:作用是將病毒代碼復(fù)制到目標(biāo)上去。一般病毒在對(duì)目標(biāo)進(jìn)行傳染前,要首先判斷傳染條件是否滿足,判斷病毒是否已經(jīng)感染過該目標(biāo)等,如CIH病毒只針對(duì)Windows95/98操作系統(tǒng)。3.表現(xiàn)部分:這是病毒間差異最大的部分,前兩部分是為這部分服務(wù)的。它破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)的設(shè)備上表現(xiàn)出特定的現(xiàn)象。大部分病毒都是在一定條件下才會(huì)觸發(fā)其表現(xiàn)部分的。NetworkandInformationSecurity15.2計(jì)算機(jī)病毒的工作機(jī)理

第15章計(jì)算機(jī)病毒與防范15.2.3文件型病毒的工作機(jī)理文件型病毒的宿主不是引導(dǎo)區(qū)而是一些可執(zhí)行程序。病毒把自己附加在可執(zhí)行文件中,并等待程序運(yùn)行。病毒會(huì)駐留在內(nèi)存中,企圖感染其它文件。同引導(dǎo)扇區(qū)病毒不同,文件型病毒把自己附著或追加在EXE和COM這樣的可執(zhí)行文件上。根據(jù)附著類型不同可分為三種文件病毒:覆蓋型、前后附加型和伴隨型文件病毒。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范1.覆蓋型病毒簡(jiǎn)單地把自己覆蓋到原始文件代碼上,顯然這會(huì)完全摧毀該文件,所以這種病毒比較容易被發(fā)現(xiàn)。當(dāng)用戶運(yùn)行該文件時(shí),病毒代碼就會(huì)得到運(yùn)行,而原始文件則不能正常運(yùn)行。現(xiàn)在有些新型病毒可以覆蓋那些不影響宿主程序運(yùn)行的那部分代碼,人們也就不容易發(fā)現(xiàn)這種病毒。覆蓋病毒的優(yōu)勢(shì)就是不改變文件長(zhǎng)度,使原始文件看起來正常,但殺毒程序還是可以檢測(cè)到這種病毒代碼的存在。2.前后附加型病毒前附加型病毒把自己附加在文件的開始部分,后附加型正好相反。這種病毒會(huì)增加文件的長(zhǎng)度。也就容易被檢測(cè)和發(fā)現(xiàn),并被清除。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范3.伴隨型文件病毒為EXE文件創(chuàng)建一個(gè)同名的含有病毒代碼的COM文件。由于同名時(shí)COM文件先于EXE文件運(yùn)行,因此當(dāng)有人運(yùn)行EXE文件時(shí),控制權(quán)就會(huì)轉(zhuǎn)到COM文件上,病毒代碼就得以運(yùn)行。它執(zhí)行完之后,再將控制權(quán)轉(zhuǎn)到EXE文件,這樣用戶不會(huì)發(fā)現(xiàn)任何問題。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范宏病毒的傳播方法與其它病毒不同,在我們的Office目錄下,有一個(gè)“Templates”目錄,里面有一個(gè)Normal.dot文件,這個(gè)文件就是Word的常規(guī)模板文件,每次我們啟動(dòng)Word的時(shí)候,該文件都會(huì)先被Word啟動(dòng)并執(zhí)行里面的VBA語句(宏語句)。通常來說,一般用戶的Normal.dot里面是沒有VBA語句的,畢竟不是每個(gè)人都會(huì)編寫VBA。因此,大多數(shù)宏病毒都會(huì)采用感染Normal.dot的方法,把自身的惡意VBA語句復(fù)制到Normal.dot里面,使Word每次啟動(dòng)時(shí)都執(zhí)行里面的惡意VBA語句,并將自己的代碼復(fù)制到其它Word文檔里面,以達(dá)到傳染的目的。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.2.5網(wǎng)絡(luò)病毒的工作機(jī)理以下將以典型的RemoteExplorer(遠(yuǎn)程探險(xiǎn)者)病毒為例進(jìn)行分析。該病毒僅在WindowsNTServer和WindowsNTWorkstation平臺(tái)上起作用,專門感染EXE文件。RemoteExplorer的破壞作用主要表現(xiàn)在:加密某些類型的文件,使其不能再用,并且能夠通過局域網(wǎng)或廣域網(wǎng)進(jìn)行傳播。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.3.1CIH病毒CIH病毒從分類來說屬于文件型病毒(只感染W(wǎng)indows9X下的可執(zhí)行文件)。CIH攻擊的就是用戶的主板,發(fā)作時(shí)有兩個(gè)癥狀:一個(gè)是擦除ROMBIOS中的數(shù)據(jù)(當(dāng)然也包括其中的程序);另一個(gè)是從硬盤的主引導(dǎo)區(qū)開始做低級(jí)格式化。一旦ROMBIOS中的程序被破壞了,那么計(jì)算機(jī)連開機(jī)自檢、系統(tǒng)引導(dǎo)都無法進(jìn)行了,更不用說啟動(dòng)操作系統(tǒng)了。因此計(jì)算機(jī)被破壞后,企圖象往常一樣格式化硬盤,重裝操作系統(tǒng)是不可能的。數(shù)據(jù)丟失造成的損失先不管,僅僅恢復(fù)計(jì)算機(jī)的正常工作就是非常困難的。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.3常見的計(jì)算機(jī)病毒

RPC服務(wù)終止的對(duì)話框NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范2004年5月1日,“震蕩波”病毒出現(xiàn)了。該病毒可利用Windows平臺(tái)的Lsass漏洞進(jìn)行廣泛的傳播。中毒后的系統(tǒng)將開啟上百個(gè)線程去攻擊網(wǎng)上其他的用戶,可造成機(jī)器運(yùn)行緩慢、網(wǎng)絡(luò)堵塞,并讓系統(tǒng)不停的進(jìn)行倒計(jì)時(shí)重啟。其中毒現(xiàn)象非常類似于2003年的“沖擊波”。

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范兩大惡性病毒的四大區(qū)別:1.利用的漏洞不同:沖擊波病毒利用的是系統(tǒng)的RPC漏洞,病毒攻擊系統(tǒng)時(shí)會(huì)使RPC服務(wù)崩潰,震蕩波病毒利用的是系統(tǒng)的LSASS服務(wù)。2.產(chǎn)生的文件不同:沖擊波病毒運(yùn)行時(shí)會(huì)在內(nèi)存中產(chǎn)生名為msblast.exe的進(jìn)程,在系統(tǒng)目錄中產(chǎn)生名為msblast.exe的病毒文件,震蕩波病毒運(yùn)行時(shí)會(huì)在內(nèi)存中產(chǎn)生名為avserve.exe的進(jìn)程,在系統(tǒng)目錄中產(chǎn)生名為avserve.exe的病毒文件。3.利用的端口不同:沖擊波病毒會(huì)監(jiān)聽端口69,模擬出一個(gè)TFTP服務(wù)器,并啟動(dòng)一個(gè)攻擊傳播線程,不斷地隨機(jī)生成攻擊地址,嘗試用有RPC漏洞的135端口進(jìn)行傳播。震蕩波病毒會(huì)在本地開辟后門,監(jiān)聽TCP的5554端口,然后做為FTP服務(wù)器等待遠(yuǎn)程控制命令,并瘋狂地試探連接445端口。4.攻擊目標(biāo)不同:沖擊波病毒攻擊所有存在RPC漏洞的電腦和微軟升級(jí)網(wǎng)站,而震蕩波病毒攻擊的是所有存在LSASS漏洞的電腦,但目前還未發(fā)現(xiàn)有攻擊其它網(wǎng)站的現(xiàn)象。

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.4計(jì)算機(jī)病毒的預(yù)防和清除

關(guān)于計(jì)算機(jī)病毒的預(yù)防,應(yīng)該用兩種手段:一是管理手段,二是技術(shù)手段,二缺一不可。15.4.1病毒發(fā)作時(shí)常見的現(xiàn)象(1)程序裝入時(shí)間比平時(shí)長(zhǎng),運(yùn)行異常;(2)有規(guī)律的發(fā)現(xiàn)異常信息;(3)用戶訪問設(shè)備(例如打印機(jī))時(shí)發(fā)現(xiàn)異常情況,如打印機(jī)不能聯(lián)機(jī)或打印符號(hào)異常;(4)磁盤的空間突然變小了,或不識(shí)別磁盤設(shè)備;(5)程序和數(shù)據(jù)神秘地丟失了,文件名不能辨認(rèn);(6)顯示器上經(jīng)常出現(xiàn)一些莫名其妙的信息或異常顯示(如白斑、圓點(diǎn)等);(7)機(jī)器經(jīng)常出現(xiàn)死機(jī)現(xiàn)象或不能正常啟動(dòng);(8)發(fā)現(xiàn)可執(zhí)行文件的大小發(fā)生變化或發(fā)現(xiàn)不知來源的隱藏文件。

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.4.2Word宏病毒的防范和清除(1)對(duì)于已染病毒的NORMAL.DOT文件,首先應(yīng)將NORMAL.DOT中的自動(dòng)宏清除,然后將NORMAL.DOT置成只讀方式。(2)對(duì)于其它已感染病毒的文件均應(yīng)將自動(dòng)宏清除,這樣就可以達(dá)到清除病毒的目的。(3)平時(shí)使用時(shí)要加強(qiáng)防范:定期檢查活動(dòng)宏表,對(duì)來歷不明的宏最好予以刪除;如果發(fā)現(xiàn)后綴為.DOC的文件變成模板(.DOT)時(shí),則可懷疑其已染宏病毒,其主要表現(xiàn)是在SaveAs文檔時(shí),選擇文件類型的下拉框變?yōu)榛疑?。?)在啟動(dòng)Word、創(chuàng)建文檔、打開文檔、關(guān)閉文檔以及退出Word時(shí),按住SHIFT鍵可以阻止自動(dòng)宏的運(yùn)行。(5)存儲(chǔ)一個(gè)文檔時(shí),務(wù)必明確指定該文檔的擴(kuò)展名。NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.5.2江民殺毒軟件2005年9月6日,江民科技隆重發(fā)布了其KV2006新品,KV2006是能夠兼容32位操作系統(tǒng)的64位殺毒軟件,并在KV2005系統(tǒng)級(jí)殺毒、主動(dòng)防御未知病毒以及諸多強(qiáng)大功能的基礎(chǔ)上,新增了BOOTSCAN殺毒技術(shù)、64位智能殺毒、插入移動(dòng)設(shè)備自動(dòng)查毒、系統(tǒng)漏洞檢查、垃圾郵件識(shí)別等10項(xiàng)強(qiáng)大功能。

NetworkandInformationSecurity第15章計(jì)算機(jī)病毒與防范15.5.3金山毒霸2005年12月6日,國內(nèi)著名安全廠商金山軟件正式

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論