Security10計(jì)算機(jī)病毒與反病毒-智能信息安全.ppt

智能信息安全 Intelligent Information Security,孫松林 北京郵電大學(xué) Email: ,計(jì)算機(jī)病毒與反病毒,計(jì)算機(jī)病毒概述 計(jì)算機(jī)病毒的表現(xiàn)現(xiàn)象 計(jì)算機(jī)病毒制作技術(shù) 計(jì)算機(jī)病毒的技術(shù)防范 計(jì)算機(jī)病毒檢測(cè)方法 計(jì)算機(jī)病毒免疫,計(jì)算機(jī)病毒定義,計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 從廣義上定義，凡能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)的程序統(tǒng)稱為計(jì)算機(jī)病毒。,1949年，馮.諾依曼復(fù)雜自動(dòng)機(jī)組織論，提出了計(jì)算機(jī)程序能夠在內(nèi)存中自我復(fù)制，即已把病毒程序的藍(lán)圖勾勒出來(lái)。 1987年10月，在美國(guó)發(fā)現(xiàn)世界上第一例計(jì)算機(jī)病毒（Brian）,羅伯特-莫里斯(Robert Morris),在康奈爾大學(xué)編制蠕蟲病毒，1988年在MIT的第一次工作過程中戲劇性地散播出了網(wǎng)絡(luò)蠕蟲病毒后，“Hacker”一詞開始在英語(yǔ)中被賦予了特定的含義。 在此次的事故中成千上萬(wàn)的電腦受到了影響，并導(dǎo)致了部分電腦崩潰。,計(jì)算機(jī)病毒概述,計(jì)算機(jī)病毒的特點(diǎn) 傳染性 隱蔽性 潛伏性 破壞性 不可預(yù)見性,計(jì)算機(jī)病毒概述,計(jì)算機(jī)病毒的傳播途徑 不可移動(dòng)的計(jì)算機(jī)硬件設(shè)備：即利用專用集成電路芯片(ASIC)進(jìn)行傳播 移動(dòng)存儲(chǔ)設(shè)備：包括軟盤、CD-ROM、ZIP和JAZ盤等。其中軟盤是使用廣泛、移動(dòng)頻繁的存儲(chǔ)介質(zhì)，因此也成為了計(jì)算機(jī)病毒寄生的“溫床”。盜版光盤上的軟件和游戲及非法拷貝也是目前傳播計(jì)算機(jī)病毒的主要途徑。由于移動(dòng)盤使用方便，很多計(jì)算機(jī)用戶都選擇使用它來(lái)進(jìn)行數(shù)據(jù)文件的存儲(chǔ)和拷貝，無(wú)形中使得盤成為這些病毒和惡意木馬程序傳播的載體，給計(jì)算機(jī)用戶的數(shù)據(jù)安全和系統(tǒng)的正常使用帶來(lái)很大危害。硬盤是現(xiàn)在數(shù)據(jù)的主要存儲(chǔ)介質(zhì)，因此也是計(jì)算機(jī)病毒感染的重災(zāi)區(qū)。,計(jì)算機(jī)病毒概述,網(wǎng)絡(luò)：隨著Internet的風(fēng)靡，給病毒的傳播又增加了新的途徑，并成為第一傳播途徑。Internet開拓性的發(fā)展使病毒可能成為災(zāi)難，病毒的傳播更迅速，反病毒的任務(wù)更加艱巨。Internet帶來(lái)的一種威脅來(lái)自文件下載，另一種威脅來(lái)自電子郵件。網(wǎng)絡(luò)使用的簡(jiǎn)易性和開放性使得這種威脅越來(lái)越嚴(yán)重。 點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無(wú)線通道：目前，這種傳播途徑隨著手機(jī)功能性的開放和增值服務(wù)的拓展，已經(jīng)成為有必要加以防范的一種病毒傳播途徑。隨著智能手機(jī)的普及，通過彩信、上網(wǎng)瀏覽與下載到手機(jī)中的程序越來(lái)越多，不可避免的會(huì)對(duì)手機(jī)安全產(chǎn)生隱患，手機(jī)病毒會(huì)成為新一輪電腦病毒危害的“源頭”。,計(jì)算機(jī)病毒概述,計(jì)算機(jī)病毒的生命周期 創(chuàng)造期 孕育期 潛伏期 發(fā)病期 根除期,計(jì)算機(jī)病毒概述,計(jì)算機(jī)病毒的分類 按照計(jì)算機(jī)病毒攻擊的系統(tǒng)分類 1）攻擊DOS系統(tǒng)的病毒 2）攻擊Windows 系統(tǒng)的病毒 3）攻擊UNIX系統(tǒng)的病毒 4）攻擊OS/2系統(tǒng)的病毒,計(jì)算機(jī)病毒概述,按照病毒攻擊的機(jī)型分類 1）攻擊微型計(jì)算機(jī)的病毒 2）攻擊小型機(jī)的計(jì)算機(jī)病毒 3）攻擊工作站的計(jì)算機(jī)病毒 按照計(jì)算機(jī)病毒的鏈接方式分類 1）源碼型病毒 2）嵌入型病毒 3）外殼型病毒 4）操作系統(tǒng)型病毒,計(jì)算機(jī)病毒概述,按照計(jì)算機(jī)病毒的破壞情況分類 1）良性計(jì)算機(jī)病毒 2）惡性計(jì)算機(jī)病毒 按照計(jì)算機(jī)病毒的寄生部位或傳染對(duì)象分類 1）磁盤引導(dǎo)區(qū)傳染的計(jì)算機(jī)病毒 2）操作系統(tǒng)傳染的計(jì)算機(jī)病毒 3）可執(zhí)行程序傳染的計(jì)算機(jī)病毒,計(jì)算機(jī)病毒概述,按照計(jì)算機(jī)病毒激活的時(shí)間分類 1）定時(shí)病毒 2）隨機(jī)病毒 按照傳播媒介分類 1）單機(jī)病毒 2）網(wǎng)絡(luò)病毒 按照寄生方式和傳染途徑分類 1）引導(dǎo)型病毒 2）文件型病毒 3）混合型病毒,計(jì)算機(jī)病毒概述,計(jì)算機(jī)病毒的結(jié)構(gòu) 計(jì)算機(jī)病毒程序一般包括3個(gè)功能模塊：引導(dǎo)模塊、傳染模塊、表現(xiàn)模塊。 計(jì)算機(jī)病毒的結(jié)構(gòu),計(jì)算機(jī)病毒概述,病毒程序流程,計(jì)算機(jī)病毒制作技術(shù),腳本語(yǔ)言與ActiveX技術(shù) 采用自加密技術(shù) 采用變形技術(shù) 采用特殊的隱形技術(shù) 對(duì)抗計(jì)算機(jī)病毒防范系統(tǒng) 反跟蹤技術(shù) 中斷與計(jì)算機(jī)病毒,常見病毒,蠕蟲 沖擊波蠕蟲 特洛伊木馬 宏病毒 CIH病毒 ,蠕蟲,蠕蟲是一種程序 可以自我復(fù)制并可以在操作系統(tǒng)外部傳播 可以使用電子郵件或其他的傳輸機(jī)制來(lái)將自己從一臺(tái)計(jì)算機(jī)復(fù)制到另一臺(tái)計(jì)算機(jī) 可以破壞計(jì)算機(jī)數(shù)據(jù)和安全性 其破壞方式在很多方面都和病毒相同，所不同的是，蠕蟲是在系統(tǒng)間進(jìn)行自身復(fù)制。,特洛伊木馬,特洛伊木馬是一種看起來(lái)無(wú)害的程序，它設(shè)計(jì)成誘騙用戶認(rèn)為它是有用的程序，當(dāng)它在運(yùn)行時(shí)卻執(zhí)行有害的操作。 特洛伊木馬程序不像病毒和蠕蟲那樣進(jìn)行自我傳播。 該程序一般是通過從 Internet 下載的方式來(lái)獲取的。 大多數(shù)病毒防護(hù)程序都只檢測(cè)有限數(shù)量的特洛伊木馬程序。,宏病毒,宏病毒利用應(yīng)用程序自身的宏編程語(yǔ)言來(lái)散布病毒，這些宏可能會(huì)破壞文檔或其他計(jì)算機(jī)軟件；能夠感染 Word 文件，以及使用編程語(yǔ)言的其他任何應(yīng)用程序。 與操作系統(tǒng)病毒不同，宏病毒不感染程序，只感染文檔和模板。 如果打開的文檔或模板中帶有宏病毒，病毒就會(huì)感染系統(tǒng)并擴(kuò)散到系統(tǒng)中的其他文檔和模板。 宏病毒還會(huì)在平臺(tái)之間散布。例如，宏病毒不僅能感染 Windows 平臺(tái)上的文件，還能感染 Macintosh 平臺(tái)上的文件。,計(jì)算機(jī)病毒的技術(shù)防范,計(jì)算機(jī)病毒防范，是指通過建立合理的計(jì)算機(jī)病毒防范體系和制度，及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒的侵入，并采取有效的手段阻止計(jì)算機(jī)病毒的傳播和破壞，恢復(fù)受影響的計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)。,計(jì)算機(jī)病毒的技術(shù)防范,計(jì)算機(jī)病毒的技術(shù)防范措施 新購(gòu)置的計(jì)算機(jī)硬軟件系統(tǒng)的測(cè)試 計(jì)算機(jī)系統(tǒng)的啟動(dòng) 單臺(tái)計(jì)算機(jī)系統(tǒng)的安全使用 重要數(shù)據(jù)文件要有備份 下載文件要檢查 計(jì)算機(jī)網(wǎng)絡(luò)的安全使用 點(diǎn)對(duì)點(diǎn)通信系統(tǒng) 無(wú)線通信網(wǎng),計(jì)算機(jī)病毒的技術(shù)防范,常見反病毒技術(shù) 實(shí)時(shí)反病毒技術(shù) VxD(虛擬設(shè)備驅(qū)動(dòng))機(jī)制 虛擬機(jī)技術(shù) 主動(dòng)內(nèi)核技術(shù) 啟發(fā)掃描的反病毒技術(shù) 郵件病毒防殺技術(shù) 宏指紋識(shí)別技術(shù),計(jì)算機(jī)病毒檢測(cè)方法,比較法 比較法是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較 比較法的好處是簡(jiǎn)單、方便，不需專用軟件，還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查毒程序發(fā)現(xiàn)的計(jì)算機(jī)病毒 缺點(diǎn)是無(wú)法確認(rèn)計(jì)算機(jī)病毒的種類名稱,計(jì)算機(jī)病毒檢測(cè)方法,加總對(duì)比法 根據(jù)每個(gè)程序的檔案名稱、大小、時(shí)間、日期及內(nèi)容，加總為1個(gè)檢查碼，再將檢查碼附于程序后面，或是將所有檢查碼放在同一個(gè)數(shù)據(jù)庫(kù)中，再利用此加總對(duì)比系統(tǒng)，追蹤并記錄每個(gè)程序的檢查碼是否被更改，以判斷是否感染了計(jì)算機(jī)病毒 這種技術(shù)可偵測(cè)到各式的計(jì)算機(jī)病毒，包括未知病毒 缺點(diǎn)是誤判斷高，無(wú)法確認(rèn)病毒種類，無(wú)法偵測(cè)隱形計(jì)算機(jī)病毒,計(jì)算機(jī)病毒檢測(cè)方法,搜索法(掃描法) 用每一種計(jì)算機(jī)病毒體含有的特定字符串對(duì)被檢測(cè)的對(duì)象進(jìn)行掃描；搜索法是今天使用最為普遍的計(jì)算機(jī)病毒檢測(cè)方法 特征串選擇的好壞，對(duì)于病毒的發(fā)現(xiàn)具有決定作用；但是如何提取特征串，則需要足夠的有關(guān)知識(shí) 缺點(diǎn)：當(dāng)被掃描的文件很長(zhǎng)時(shí)，掃描所花時(shí)間也越多；不容易選出合適的特征串；計(jì)算機(jī)病毒代碼庫(kù)未及時(shí)更新時(shí)，無(wú)法識(shí)別出新的計(jì)算機(jī)病毒；不易識(shí)別變形計(jì)算機(jī)病毒等,計(jì)算機(jī)病毒檢測(cè)方法,分析法 分析法是針對(duì)未知新病毒采用的技術(shù) 分析法的使用人員主要是反計(jì)算機(jī)病毒的技術(shù)專業(yè)人員 分析的步驟分為靜態(tài)分析和動(dòng)態(tài)分析2種,計(jì)算機(jī)病毒檢測(cè)方法,人工智能陷阱技術(shù)和宏病毒陷阱技術(shù) 軟件仿真掃描技術(shù) 先知掃描技術(shù),計(jì)算機(jī)病毒免疫,針對(duì)某一種病毒進(jìn)行的計(jì)算機(jī)病毒免疫 根據(jù)病毒傳染標(biāo)志來(lái)實(shí)現(xiàn)：由于有些病毒在感染其他程序時(shí)要先判斷是否已被感染過，即欲攻擊的宿主程序是否已有相應(yīng)病毒傳染標(biāo)志，如有則不再感染。因此，可人為地在健康程序中添加病毒傳染標(biāo)志，起到免疫效果。,計(jì)算機(jī)病毒免疫,基于自我完整性檢查的計(jì)算機(jī)病毒的免疫方法 目前這種方法只能用于文件而不能用于引導(dǎo)扇區(qū) 為可執(zhí)行程序增加一個(gè)免疫外殼，同時(shí)在免疫外殼中記錄有關(guān)用于恢復(fù)自身的信息 執(zhí)行程序時(shí)，免疫外殼先運(yùn)行，檢查自身的程序大小、校驗(yàn)和、生成日期和時(shí)間等情況，沒有發(fā)現(xiàn)異常后，再轉(zhuǎn)去執(zhí)行受保護(hù)的程序,專題二 手機(jī)病毒介紹,手機(jī)病毒的概念,手機(jī)病毒也是一種計(jì)算機(jī)程序，和其它計(jì)算機(jī)病毒（程序）一樣具有傳染性、破壞性。它可利用發(fā)送短信、彩信，電子郵件，瀏覽網(wǎng)站，下載鈴聲等方式進(jìn)行傳播。手機(jī)病毒可能會(huì)導(dǎo)致用戶手機(jī)死機(jī)、關(guān)機(jī)、資料被刪、向外發(fā)送垃圾郵件、撥打電話等，甚至還會(huì)損毀 SIM卡、芯片等硬件。,手機(jī)病毒的歷史,手機(jī)病毒的首次出現(xiàn)是在2000年6月，世界上第一個(gè)手機(jī)病毒VBS。Timofonica在西班牙出現(xiàn)，該病毒通過西班牙電信公司“Telefonica”的移動(dòng)系統(tǒng)向系統(tǒng)內(nèi)的用戶發(fā)送臟話等垃圾短信。 該病毒最多只能被算作短信炸彈。真正意義上的手機(jī)病毒直到2004年6月才出現(xiàn)-“Cabir”蠕蟲病毒。這種病毒通過諾基亞60系列手機(jī)復(fù)制，然后不斷尋找安裝了藍(lán)牙的手機(jī),手機(jī)病毒的工作原理,手機(jī)中的軟件是嵌入式操作系統(tǒng)（固化在芯片中的操作系統(tǒng)，一般由 JAVA、C+等語(yǔ)言編寫），相當(dāng)于一個(gè)小型的智能處理器，因此和計(jì)算機(jī)一樣會(huì)遭受病毒攻擊。而且，短信也不只是簡(jiǎn)單的文字，其中包括手機(jī)鈴聲、圖片等信息，都需要手機(jī)中的操作系統(tǒng)進(jìn)行解釋，然后顯示給手機(jī)用戶，手機(jī)病毒就是靠軟件系統(tǒng)的漏洞來(lái)入侵手機(jī)的。,手機(jī)病毒的危害,1導(dǎo)致用戶信息被竊。 2傳播非法信息。 3破壞手機(jī)軟硬件 4造成通訊網(wǎng)絡(luò)癱瘓,Cabir 目標(biāo)手機(jī)：Symbian OS S60平臺(tái)手機(jī) 主要危害：干擾藍(lán)牙通訊，加大電力消耗 Cabir是一個(gè)通過藍(lán)牙傳播的病毒，可以偽裝成名為“Caribe.sis”的Symbian軟件。當(dāng)文件被執(zhí)行后，手機(jī)的屏幕上會(huì)提示“Install Caribe”一旦點(diǎn)擊“Yes”安裝，手機(jī)屏幕上會(huì)顯示“Caribe-VZ/29a”，并且會(huì)對(duì)Symbian操作系統(tǒng)進(jìn)行修改。此后用戶每次打開手機(jī)時(shí)，Cabir也隨之啟動(dòng)。,幾種常見的手機(jī)病毒,Commwarrior. 目標(biāo)手機(jī)：Symbian OS S60平臺(tái)手機(jī)主要危害：只要一開機(jī)，它會(huì)在被感染的手機(jī)上復(fù)制數(shù)份拷貝，并通過手機(jī)中的號(hào)碼薄利用MMS方式將拷貝發(fā)送給機(jī)主的聯(lián)系人，同時(shí)會(huì)像Cabir通過藍(lán)牙不斷搜尋其