計(jì)算機(jī)病毒.ppt

1、計(jì)算機(jī)病毒分析和預(yù)防技術(shù)，議程內(nèi)容，第一章計(jì)算機(jī)病毒的概念和概況，第二章計(jì)算機(jī)病毒分類介紹和技術(shù)分析，第三章防病毒技術(shù)介紹和病毒分析處理，第四章防病毒產(chǎn)品介紹和安全系統(tǒng)構(gòu)筑，本章概要，第一節(jié)計(jì)算機(jī)城第二節(jié)電腦病毒的發(fā)生第三節(jié)電腦病毒的疫病和互聯(lián)網(wǎng)的安全狀況、電腦病毒的概念，廣義上是指引起電腦故障、破壞電腦數(shù)據(jù)的程序總稱“電腦病毒” 根據(jù)這個(gè)定義，蠕蟲、特洛伊木馬、惡意軟件等程序可以稱為“計(jì)算機(jī)病毒”。 電腦病毒特性：破壞性、隱蔽性、傳染性、潛伏性。 “電腦病毒是指破壞插入電腦程序中的電腦功能，破壞數(shù)據(jù)，影響電腦的使用， 可自我感染的計(jì)算機(jī)指令和程序代碼的集合。中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保

2、護(hù)條例第28條(1994年2月18日中華人民共和國(guó)國(guó)務(wù)院令147號(hào)公布)，計(jì)算機(jī)病毒的特性、破壞性是計(jì)算機(jī)病毒的主要特征，不具有破壞行為的指令和任何病毒只要侵入系統(tǒng)，就會(huì)對(duì)系統(tǒng)和應(yīng)用程序產(chǎn)生程度的影響，輕者占有系統(tǒng)資源，降低計(jì)算機(jī)的生產(chǎn)效率，重者盜竊數(shù)據(jù)，破壞數(shù)據(jù)和程序，使系統(tǒng)崩潰。 從這個(gè)特性可以把病毒分為良性病毒和惡性病毒。 良性疾病度可能只顯示畫面和音樂等無聊的詞匯，或者沒有任何破壞行為，消耗系統(tǒng)資源。 例如，無法關(guān)閉的笑話程序等。 惡性病毒有明確的目的，如盜取銀行賬號(hào)和密碼等重要信息，打開后門接受遠(yuǎn)程控制。 隱蔽性計(jì)算機(jī)病毒是用與通常的程序相同的技術(shù)寫的，但是為了其破壞的目的，用戶為了

3、不發(fā)現(xiàn)或刪除它，隱藏了成千上萬的線索。 病毒通常沒有可見的接口，而是用過程或隱藏文件等手段隱藏自己。 大多數(shù)病毒的代碼修訂得非常短，也是為了隱蔽。 電腦病毒的特性、傳染性電腦病毒也和自然界的生物病毒一樣具有傳染性。 病毒制作者將盡一切努力讓更多的計(jì)算機(jī)系統(tǒng)感染病毒，以最大限度地達(dá)到其目的。 病毒通常通過網(wǎng)絡(luò)和可移動(dòng)媒體等各種渠道從感染的計(jì)算機(jī)向未感染的計(jì)算機(jī)擴(kuò)散，感染型病毒通過將自身直接嵌入普通程序的方式來感染。 潛伏性的許多病毒感染系統(tǒng)不會(huì)立即發(fā)作，它可以長(zhǎng)期隱藏在系統(tǒng)中，只有在滿足其特定條件時(shí)才能啟動(dòng)其表達(dá)(破壞)模塊，例如某些病毒會(huì)在特定時(shí)間發(fā)作。計(jì)算機(jī)病毒工作流、感染、一、源代碼嵌入攻

4、擊型等病毒入侵主要是高級(jí)語言的源程序，病毒在源程序編譯前插入病毒代碼，最后與源程序一起執(zhí)行二、代碼替換攻擊型這樣的病毒主要將某個(gè)程序的全部或者一部分模塊替換為自身的病毒代碼。 這種病毒的目標(biāo)性很強(qiáng)，主要攻擊特定的程序，很難發(fā)現(xiàn)，驅(qū)除也很困難。 三、系統(tǒng)修改入侵型病毒主要用自己的程序復(fù)蓋或修改系統(tǒng)中的部分文件，調(diào)用或替代操作系統(tǒng)中的部分功能。 由于直接感染系統(tǒng)危害較大，是最常見的一種，文檔型病毒較多。 四、外殼寄生入侵型病毒通常附加在正常程序的頭部或尾部，相當(dāng)于在程序中添加外殼，在受感染程序運(yùn)行時(shí)，先執(zhí)行病毒代碼，然后將正常程序轉(zhuǎn)入存儲(chǔ)器。 現(xiàn)在，大多數(shù)文檔類型的病毒都屬于這一類。電腦病毒的入侵

5、方式，電腦病毒的傳播方式，通過互聯(lián)網(wǎng)1 .電子郵件2 .瀏覽網(wǎng)頁，下載軟件3 .即時(shí)通訊4 .網(wǎng)絡(luò)游戲2，通過局域網(wǎng)1 .軟盤2 .磁帶3 .光盤4 .可移動(dòng)硬盤5.u-disc (包括數(shù)碼照相機(jī)、MP3等)6. ZIP、JAZ磁盤7 .磁光盤(mo ) 1 .通過無線網(wǎng)絡(luò)或設(shè)備智能化(感染W(wǎng)indows系統(tǒng)的. exe、 dll等文件，使用這些文件進(jìn)行傳播) 2、蠕蟲： Worm； (通過網(wǎng)絡(luò)攻擊或系統(tǒng)漏洞進(jìn)行傳播，通常發(fā)送有毒郵件，阻止網(wǎng)絡(luò)) 3，腳本病毒： Script。 VBS/JS日本電視臺(tái)； (用腳本語言編寫，通過網(wǎng)頁進(jìn)行傳播) 4，木馬/黑客病毒： Trojan/Hack。 PS

6、W/PWD； (木馬入侵系統(tǒng)后隱藏，向外部泄露用戶信息，黑客病毒擁有視覺界面，可以遠(yuǎn)程控制用戶的計(jì)算機(jī)，兩者有配對(duì)出現(xiàn)，匹配的傾向) 5，后門病毒： Baba 在系統(tǒng)上打開后門，給用戶的電腦帶來安全危險(xiǎn)) 6、栽培程序病毒： Dropper (運(yùn)行時(shí)放出一個(gè)或多個(gè)新病毒，并被新放出的病毒破壞) 7、 綁定病毒： Binder (將病毒和某些應(yīng)用程序綁定到表面正常的文件，在運(yùn)行時(shí)隱藏病毒并運(yùn)行) 8、宏病毒： Macro、Word(97 )、Excel(97 )等(感染OFFICE文檔并通用) (2)笑話型病毒： Joke； 其他(3)拒絕攻擊類： DoS； (4)溢出類病毒： Exploit；

7、 (5)黑客工具類：黑客工具； 常見病毒前綴，本章概要，第一節(jié)計(jì)算機(jī)病毒的定義，特征和原理，第二節(jié)計(jì)算機(jī)病毒的發(fā)生，發(fā)展和危害，第三節(jié)計(jì)算機(jī)病毒的疫病和互聯(lián)網(wǎng)的安全狀況，計(jì)算機(jī)病毒源頭，計(jì)算機(jī)系統(tǒng)的復(fù)雜性和脆弱性各種矛盾激化經(jīng)濟(jì)利益被動(dòng)了的夸耀，玩笑，淘氣，報(bào)復(fù)，電腦病毒的發(fā)展，病毒的發(fā)展的歷史電腦病毒的起源：電腦病毒的概念其實(shí)相當(dāng)早，在第一臺(tái)商用電腦出現(xiàn)的幾年前，電腦的先驅(qū)者但是當(dāng)時(shí)，大多數(shù)計(jì)算機(jī)專家都不能想象有這樣的自我繁殖過程。 1975年，美國(guó)科普作家約翰藍(lán)色(John Brunner )寫了一本名為沖擊波騎士(Shock Wave Rider )的書，這本書第一次在信息社會(huì)中，描寫了

8、電腦作為正義和邪惡雙方斗爭(zhēng)工具的故事，是當(dāng)時(shí)的暢銷書之一電腦病毒的發(fā)展，第一個(gè)電腦病毒：到了1987年，第一個(gè)電腦病毒C-BRAIN終于誕生了(似乎這并不值得慶祝)。 一般來說，這被業(yè)界認(rèn)為是真正具有完整特征的計(jì)算機(jī)病毒的始祖。 這個(gè)病毒程序是巴基斯坦兄弟巴斯特(Basit )和Amjad寫的，他們?cè)诋?dāng)?shù)亟?jīng)營(yíng)電腦銷售店，在當(dāng)?shù)乇I竊復(fù)印軟件的風(fēng)氣非常盛行，他們的目的主要是他們的軟件任意如果有人偷盜復(fù)印軟件，C-BRAIN就會(huì)發(fā)作，吃掉偷來的復(fù)印者硬盤的剩馀空間。 這種病毒當(dāng)時(shí)殺傷力不大，但是后來也有人將C-BRAIN變形為藍(lán)圖，制造出變形的病毒。 其他新的病毒創(chuàng)作也相繼出現(xiàn)，不僅是個(gè)人創(chuàng)作，還出

9、現(xiàn)了很多創(chuàng)作小組(如NuKE、Phalcon/Skism、VDV )。 各類禁毒、殺毒和殺毒軟件及專業(yè)公司也相繼出現(xiàn)。 不久，各種病毒的創(chuàng)作和防病毒程序，就像百家爭(zhēng)鳴一樣不斷更新。電腦病毒的發(fā)展，病毒的發(fā)展階段在病毒的發(fā)展史上，病毒的出現(xiàn)是有規(guī)律的，一般在新的病毒技術(shù)出現(xiàn)后，病毒會(huì)迅速發(fā)展，然后防病毒技術(shù)的發(fā)展會(huì)抑制其流傳。 此外，操作系統(tǒng)升級(jí)后，病毒也會(huì)調(diào)整為新的方式，產(chǎn)生新的病毒技術(shù)。 總而言之，病毒可以分為以下發(fā)展階段： DOS誘導(dǎo)階段1987年，電腦病毒主要是誘導(dǎo)型病毒，代表性的是“小球”和“石”病毒。 當(dāng)時(shí)的電腦硬件少，功能簡(jiǎn)單，所以一般需要用軟盤啟動(dòng)使用。 另一方面，引導(dǎo)型病毒利用

10、軟盤的啟動(dòng)原理進(jìn)行工作，修改系統(tǒng)的啟動(dòng)扇區(qū)，在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán)，減少系統(tǒng)內(nèi)存，修改磁盤的讀寫中斷，影響系統(tǒng)的生產(chǎn)效率，系統(tǒng)訪問磁盤出現(xiàn)可執(zhí)行文件型病毒，使用DOS系統(tǒng)加載可執(zhí)行文件的機(jī)制(例如“耶路撒冷”、“星期天”等病毒)發(fā)揮作用。 可執(zhí)行病毒的病毒代碼在系統(tǒng)執(zhí)行文件時(shí)獲得控制權(quán)，修正DOS中斷，在系統(tǒng)調(diào)用時(shí)感染，將自己附加到可執(zhí)行文件，增加文件長(zhǎng)度。 1990年發(fā)展為復(fù)合型病毒，能夠感染COM和EXE文件。 電腦病毒的發(fā)展，伴隨著體型階段的1992年出現(xiàn)了伴隨型病毒，利用DOS加載文件的優(yōu)先順序進(jìn)行作業(yè)。 代表性的是“金蟬”病毒，在感染EXE文件的同時(shí)，與EXE同名的擴(kuò)展名生成C

11、OM伴隨體。 如果感染了COM文件，則原始COM文件更改為同名EXE文件，生成原始名稱的伴隨體，文件擴(kuò)展名為COM。 這樣，當(dāng)DOS加載文件時(shí)，病毒將獲得控制權(quán)并優(yōu)先執(zhí)行自己的代碼。 這樣的病毒不變更原文件的內(nèi)容、日期和屬性，在解除病毒時(shí)刪除其伴隨體即可，非常容易。 代表性的是“海盜旗”病毒，運(yùn)行時(shí)詢問用戶名和密碼，返回錯(cuò)誤信息刪除自己。 變種階段1995年，匯編語言中，一些數(shù)據(jù)的運(yùn)算可以放入不同的通用寄存器中，運(yùn)算相同的結(jié)果，隨機(jī)插入一些與空操作無關(guān)的指令，不影響運(yùn)算結(jié)果。 由此，一些解碼算法可以依據(jù)生成器生成不同的變種。 其代表作品“病毒制造機(jī)”VCL能夠瞬間制造數(shù)千種不同的病毒，調(diào)查時(shí)不

12、能使用傳統(tǒng)的特征識(shí)別法，需要宏觀地分析命令、解碼檢查病毒，大大提高了復(fù)雜性。 電腦病毒的發(fā)展，網(wǎng)絡(luò)，蠕蟲的階段隨著網(wǎng)絡(luò)的普及，病毒開始利用網(wǎng)絡(luò)傳播，這些都是上一代病毒的改良。 在Windows操作系統(tǒng)中，“蠕蟲”是典型的代表，不消耗除內(nèi)存以外的資源，不修改盤文件，利用網(wǎng)絡(luò)功能檢索網(wǎng)絡(luò)地址，將自身傳播到下一個(gè)地址，有時(shí)也是網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件在Windows窗口階段1996年，隨著Windows的普及，使用Windows傳播的病毒開始發(fā)展，它們的修改(NE，PE )文件典型的是DS.3873，這些病毒的機(jī)制更加復(fù)雜，保護(hù)模式和宏病毒階段在1996年，隨著MS Office功能的增強(qiáng)和盛行，也可以

13、使用Word宏語言制作病毒，感染W(wǎng)ord文件。 由于Word文件格式?jīng)]有公開，這樣的病毒的調(diào)查很困難。 在互聯(lián)網(wǎng)的階段1997年，隨著互聯(lián)網(wǎng)的發(fā)展，各種病毒也開始利用互聯(lián)網(wǎng)進(jìn)行傳播破壞，利用郵件和即時(shí)聊天軟件等進(jìn)行傳播的蠕蟲開始大量出現(xiàn)。 隨著網(wǎng)上購(gòu)物、網(wǎng)上銀行等電子商務(wù)的發(fā)展和網(wǎng)絡(luò)游戲的發(fā)展，盜取網(wǎng)上銀行賬號(hào)、網(wǎng)絡(luò)游戲賬號(hào)等用戶機(jī)密信息的木馬程序開始泛濫，近年來利用互聯(lián)網(wǎng)降低其他病毒更改默認(rèn)項(xiàng)目Host文件，如計(jì)算機(jī)病毒發(fā)展、計(jì)算機(jī)病毒危害、IE瀏覽器侵占、主頁篡改、默認(rèn)搜索等，使用戶無法訪問某些網(wǎng)站， 或者引導(dǎo)到phishing網(wǎng)站。添加驅(qū)動(dòng)程序保護(hù)，使用戶無法刪除某些軟件。更改系統(tǒng)啟動(dòng)項(xiàng)

14、目，使某些惡意軟件可以和系統(tǒng)一起啟動(dòng)。在用戶的計(jì)算機(jī)上設(shè)置后門。 黑客通過這個(gè)后門遠(yuǎn)程控制中毒機(jī)器，構(gòu)成僵尸網(wǎng)絡(luò)，采用對(duì)外開始攻擊，發(fā)送垃圾郵件，點(diǎn)擊網(wǎng)絡(luò)廣告等有利的視頻劫機(jī)技術(shù)，使得多種防病毒軟件和安全工具無法使用記錄鼠標(biāo)操作，偷竊銀行卡，網(wǎng)游密碼等信息記錄用戶的照相機(jī)操作，能夠遠(yuǎn)程窺視隱私，減慢用戶的機(jī)器運(yùn)行，大量消耗系統(tǒng)資源本章的概要，第1節(jié)計(jì)算機(jī)病毒的定義第二節(jié)計(jì)算機(jī)病毒的發(fā)生、發(fā)展和危害，第三節(jié)計(jì)算機(jī)病毒疫情和互聯(lián)網(wǎng)安全狀況，病毒數(shù)量激增，木馬，后門居首位，木馬病毒密切過程的模式，2007年上半年的十大病毒，2007年上半年的全國(guó)基于黑客脆弱性的攻擊盡可能采取不可避免的傳播方式，網(wǎng)頁

15、和USBu光盤成為重要途徑的自我防御能力增強(qiáng)團(tuán)隊(duì)化特征顯然主要針對(duì)基礎(chǔ)網(wǎng)絡(luò)應(yīng)用利益商業(yè)化運(yùn)營(yíng)區(qū)域化特征顯而易見， 攻擊目標(biāo)明確的電子郵件網(wǎng)站閱覽網(wǎng)絡(luò)銀行和證券網(wǎng)絡(luò)游戲網(wǎng)絡(luò)下載，現(xiàn)代病毒的特征，議程內(nèi)容，第一章計(jì)算機(jī)病毒的概念，概況和現(xiàn)狀，第二章計(jì)算機(jī)病毒分類介紹和技術(shù)分析，第三章防病毒技術(shù)介紹和病毒分析處理第四章防病毒產(chǎn)品介紹和安全系統(tǒng)構(gòu)筑，本章概要，第一節(jié)電腦病毒分類介紹第二節(jié)現(xiàn)代電腦病毒慣用技術(shù)手段分析，第三節(jié)現(xiàn)在流行的電腦病毒專業(yè)技術(shù)詳情，早期病毒DOS病毒， 概念： DOS病毒指針是針對(duì)DOS操作系統(tǒng)開發(fā)的病毒，是只能在DOS環(huán)境中運(yùn)行、感染的計(jì)算機(jī)病毒，最早出現(xiàn)的計(jì)算機(jī)當(dāng)前幾乎沒有新

16、制造的DOS病毒，Windows系統(tǒng)DOS病毒幾乎消失了，但有相當(dāng)一部分感染W(wǎng)indows 9X系統(tǒng)進(jìn)行傳播，或者引起系統(tǒng)恐慌或程序異常。 分類：誘導(dǎo)型：指感染了誘導(dǎo)部門的病毒，例如“my病毒”的文件類型：指感染了DOS可執(zhí)行文件(.EXE、 COM、 BAT )的病毒混合型：指感染(主)誘導(dǎo)和文件感染兩種病毒。 幽靈病毒、Natas病毒等代表：耶路撒冷(Jerusalem )、米開朗基羅(Michelangelo )、Monkey、Music Bug等。 危害： DOS時(shí)代的病毒種類相當(dāng)復(fù)雜，而且改寫現(xiàn)有病毒的人絡(luò)繹不絕，后期也有人寫所謂的“雙體引擎”，一個(gè)病毒可以創(chuàng)造出更多樣的樣子。 另一方面，病毒發(fā)作的癥狀各種各樣，有刪除文件的，有刪除Format硬盤的，在屏幕上顯示各種圖形和聲音的。 但是，現(xiàn)在對(duì)于這些DOS時(shí)代的古董級(jí)病毒，大部分的防病毒軟件都很容易清理，