《資訊安全》PPT課件 (2).pptVIP

資訊安全,電腦病毒 一年十六班 四號 林沛瑩,目錄,電腦病毒的產(chǎn)生 病毒種類 電腦病毒的影響 電腦病毒的測驗 電腦病毒的防治 電腦病毒的徵兆 相關資訊,病毒種類,開機磁區(qū)電腦病毒 此類病毒會寄生在磁碟的啟動磁區(qū)中，當使用者開機，載入作系統(tǒng)的 系統(tǒng)檔案時，便會常駐在記憶體中，進而感染其他軟、硬磁碟機的乒 動磁區(qū)。 常見：【米開朗基羅、磁碟殺手】 檔案型電腦病毒 早期大多會寄生在副名為COM及EXE的執(zhí)行檔上；現(xiàn)今的檔案型 病毒則多以java cript或VB Script(副檔名JS、VBS)撰寫而成。 常見：【十三號星期五】,病毒種類,混合型病毒 兼具了開機型及檔案型病毒的特性。他除會感染執(zhí)行檔之外還能感 染啟動磁區(qū)！ 常見：【大榔頭、NATAS】 巨集型病毒 通常寄生含有VBA聚集的文件檔案（如：.doc、xls）上當使用者開啟 感染此類病毒的文件檔案時病毒便會開始進行破壞電腦系統(tǒng)的工作 常見：【臺灣NO.1、臺灣釣魚臺】,病毒種類,蠕 蟲 蠕蟲是另一種能自行複製和經(jīng)由網(wǎng)絡擴散的程式。蠕蟲利用電郵系統(tǒng) 去複製，例如把自己隱藏於附件並於短時間內(nèi)電郵予多個用戶。 特洛伊木馬 是一個看似正當?shù)某淌剑聦嵣袭攬?zhí)行時會進行一些惡性及不正當 的活動。特洛伊可用作黑客工具去竊取用戶的密碼資料或破壞硬碟內(nèi) 的程式或數(shù)據(jù)。與電腦病毒的分別是特洛伊不會複製自己。它的傳播 技倆通常是誘騙電腦用家把特洛伊木馬植入電腦內(nèi)，例如通過電郵上 的遊戲附件等。,電腦病毒的產(chǎn)生,電腦病毒被製造有很多不同的原因。 如：病毒是由僱員故意製造用來向公司報復，表示自己的不滿； 有些就是用來慶祝某些節(jié)日；甚至有些是由宗教狂、政治狂製造的，目的就是想從這途徑發(fā)表自己的聲音。 有些程式編寫員製造電腦病毒的目的是為了表現(xiàn)自己的能力或挑戰(zhàn)自己或別人，他們只是想看看病毒會帶來甚麼後果或者看看是否有人能夠把病毒清除，其實這種做法是錯誤運用自己的能力。 其實很多病毒只不過是程式中的錯誤。 當一個程式編寫員設計一個新程式時，很多時都會注要不到其中的小問題或錯誤（bugs）。就因為這些小問題或錯誤（bug），造成一些不必要的指令及影響。所以作為一個好的程式編寫員應該在程式未公開前把程式作一次徹底的檢查及測試。其實大部的錯誤病毒都沒有破壞性，所以正確來說這些錯誤病毒應該被定義為錯誤（bug）而不是病毒。,電腦病毒的影響,大部份的病毒都是把電腦程式及數(shù)據(jù)破壞。 有些電腦病毒例如FormatC（macrovirus）及StonedDaniela，當它們被觸發(fā)時，會無條件地把硬磁碟格式化及刪除磁碟上所有系統(tǒng)檔案。 以AOL4FreeTrojanHorse為例子，它附在電子郵件訊息上並以AOL4FREE.COM為檔案名。其實它是用DOS的公用程式（utility）-BATEXEC1.5版本由成批文件（batchfile）轉(zhuǎn)換過來的。 這個TrojanHorse首先會在DOS裏的不同目錄找尋DELTREE.EXE這個檔案，然後用這個檔案把硬磁碟裏的所有檔案刪除。當檔案被刪除後，它會顯示一個DOS錯誤訊息：BadCommandorfilename以及一個猥褻的訊息（obscenemessage）。如果這病毒找不到DELTREE.EXE的話，它就不能把檔案刪除，但猥褻的訊息（obscenemessage）仍會出現(xiàn)。 有些病毒，如Monkey（Stoned.Empire.Monkey）及AntiEXE，會感染主啟動記錄（MasterBootRecordMBR）及DOS啟動磁區(qū)(DosBootSector），之後它會降低記憶體及硬磁碟的效能，直至當我們的用電腦時螢光幕上顯示一些訊息或有其他損壞。,電腦病毒的測驗,對曾中過電腦病毒的朋友，都知道電腦病毒是什麼樣子。 例如是檔案的長度和日期忽然改變，系統(tǒng)執(zhí)行速度下降或出現(xiàn)一些奇怪的訊息或者無故當機，嚴重的是硬碟被重新格式化。 電腦病毒如前文所說的那麼神通廣大，那麼我們常用的防毒軟件是如何去發(fā)現(xiàn)它們的呢？他們就是利用所謂的病毒碼（VirusPattern）。,電腦病毒的測驗,防毒軟體常使用的病毒測試技術： 病毒碼掃描法 將新發(fā)現(xiàn)的病毒加以分析後，根據(jù)其特徵，編成病毒碼，加入資料庫中。 以後每當執(zhí)行掃毒程式時，便能立刻掃描程式檔案，並作病毒碼比對，即能偵測到是否有病毒。 病毒碼掃描法又快又有效率（例如趨勢科技的PC-cillin及ServerProtect，利用深層掃描技術，在即時掃瞄各個或大或小的檔案時，平均只需1/20秒的時間），大多數(shù)防毒軟體均採用這種方式，但其缺點是無法偵測到未知的新病毒及以變種病毒。,電腦病毒的測驗,加總比對法（Check-sum） 根據(jù)每個程式的檔案名稱、大小、時間、日期及內(nèi)容，加總為一個檢查碼，再將檢查碼附於程式的後面，或是將所有檢查碼放在同一個資料庫中，再利用此Check-sum系統(tǒng)，追蹤並記錄每個程式的檢查碼是否遭更改，以判斷是否中毒。 這種技術可偵測到各式的病毒，但最大的缺點就是誤判斷高，且無法確認是哪種病毒感染的。對於隱形飛機式病毒，亦無法偵測到。 人工智慧陷阱（Rule-based） 人工智慧陷阱是一種監(jiān)測電腦行為的常駐式掃描技術。 它將所有病毒所產(chǎn)生的行為歸納起來，一旦發(fā)現(xiàn)記憶體的程式有任何不當?shù)男袨椋到y(tǒng)就會有所警覺，並告知使用。 這種技術的優(yōu)點是執(zhí)行速度快、手續(xù)簡便，且可以偵測到各式病毒；其缺點就是程式設計難，且不容易考慮週全。 不過在這千變?nèi)f化的病毒世界中，人工智慧陷阱掃描技術是一個至少具有保全功能的新觀點。目前趨勢科技的PC-Cillin，就對病毒的可疑行為設下了將近12道的陷阱，以達到預防重於治療的目標。,電腦病毒的測驗,軟體模擬掃描法 軟體模擬技術專門用來對付千面人病毒 千面人病毒在每次傳染時，都以不同的隨機亂數(shù)加密於每個中毒的檔案中，傳統(tǒng)病毒碼比對的方式根本就無法找到這種病毒。軟體模擬技術則是成功地模擬CPU執(zhí)行，在其設計的DOS虛擬機器下假執(zhí)行病毒的變體引擎解碼程式，安全並確實地將多型體病毒解開，使其顯露原本的面目，再加以掃描。 VICE先知掃描法 VICE先知掃描技術是繼軟體模擬後的一大技術上突破。既然軟體模擬可以建立一個保護模式下的DOS虛擬機器，模擬CPU動作並假執(zhí)行程式以解開變體引擎病毒，那麼應用類似的技術也可以用來分析一般程式檢查可疑的病毒碼。 因此VICE將工程師用來判斷程式是否有病毒碼存在的方法，分析歸納成專家系統(tǒng)知識庫，再利用軟體工程的模擬技術假執(zhí)行新的病毒，則可分析出新病毒碼對付以後的病毒。,電腦病毒的測驗,即時的I/O掃描 RealtimeI/OScan的目的在於即時地對資料的輸入/輸出動作做病毒碼比對的動作，希望能夠在病毒尚未被執(zhí)行之前，就能夠防堵下來。 理論上，這樣的即時掃描程式雖然會影響到整體的資料傳輸速率，但是使用RealtimeI/Oscan，檔案傳送進來之後，就等於掃過了一次毒，整體來說，是沒有什麼差別的。 文件巨集病毒陷阱 MacroTrapTM是結(jié)合了病毒碼比對與人工智慧陷阱的技術，依病毒行為模式（Rulebase）來偵測已知及未知的巨集病毒。 其中，配合OLE2技術，可將巨集與文件分開，使得掃描速度變得飛快，而且更可有效地將巨集病毒徹底清除!,電腦病毒的防治,電腦病毒的防治包括了兩方面，一是預防，二是治毒。古人有云，預防勝於治療，所以預防電腦病毒對保護你的電腦系統(tǒng)免受病毒破壞是非常重要的。但是亡羊補牢，為時未晚也，治毒和預防都不可忽視。 預防篇 提倡尊重知識產(chǎn)權的觀念，支持使用合法原版的軟件，拒絕使用翻版軟件，只有這樣才能夠確實降低使用者電腦發(fā)生中毒的機會。 平常就要將重要的資料備份起來，畢竟解毒軟體不能完全還原中毒的資料，只有靠自己的備份才是最重要的。 避免用軟碟開機，甚且是別人的磁片。 準備一些好的防毒、掃毒、解毒軟體，並且定期使用。 建立正確病毒基本觀念，瞭解病毒感染、發(fā)作的原理，學習災後重建資料的技巧，別以為DIR看到一堆亂碼就救不回來了，其實有很多軟體修復資料的功能很強大，學會使用它們是很有幫助的。,電腦病毒的防治,治療篇 關（Step1；關閉電源） 開（Step2；以乾淨磁片開機） 掃（Step3；用防毒軟體掃瞄病毒） 除（Step4；若偵測到病毒，則刪除之） 救（Step5；若偵測到的是硬碟分割區(qū)或啟動區(qū)病毒時，可用“硬碟緊急救援磁片”救回資料，或用乾淨DOS磁片中的FDISK指令，執(zhí)行FDISK/MBR以救回硬碟分割區(qū)資料；另可在A槽中執(zhí)行ASYSC：（C為中毒磁碟）以救回資料；若不行就只有重新格式化硬碟了 防（Step；好了！您的電腦安全了。 不過為了預防未來不再受到病毒之侵害，建議您經(jīng)常更新你的防毒軟件，以建立完善且堅固的病毒防疫系統(tǒng)）,電腦病毒的徵兆,不具破壞型 這種溫和型的電腦病毒因其設計原理較為簡單且不具殺傷力，所以在今電腦病毒家族中以不見其蹤跡了。 其可能的徵兆有： 1.程式的執(zhí)行速度變慢了。 2.出現(xiàn)一些玩笑的字句。 3.出現(xiàn)一些電腦音樂。 4.電腦常常莫名其,妙當機。,電腦病毒的徵兆,輕微破壞型 這種型最常見的徵兆就是檔案忽然變大，或是檔案屬性被改了，諸如此類都還是算是較輕微的破壞。 其徵兆如下： 1.執(zhí)行程式時就出現(xiàn)Program too big to fit in the memory 2.由軟碟開機時，無法進入硬碟 C、D.中。 3.檔案名稱、屬性被更改了或無緣無故將檔案消除不見了。 4.在 DOS 下，鍵入 DIR 時會出現(xiàn)一些亂碼。,電腦病毒的徵兆,嚴重破壞型 此種所表現(xiàn)出來的徵兆最為可怕，一般來說會將你的硬碟資料給殺掉。嚴重的還會將你的硬碟整個破壞掉。 可能的徵兆如下： 1.出現(xiàn)一些警告文字，告訴使用者即將格式化（ FORMAT ）你的電 腦，造成你的資料消失。 2.在電腦上會出現(xiàn)一些警告文字，要你與它賭一場吃角子老虎，若你 贏則相安無事，輸了則毀掉你的硬碟。,相關資料,趨勢科技 免費線上掃毒 / mcafee 免費線上掃毒 /myapps/mfs/d