周病毒剖析防范與清除課件

1、周病毒剖析防范與清除1 網(wǎng)絡管理與信息安全 病毒剖析、防范與清除 周病毒剖析防范與清除2 復習 計算機病毒的發(fā)展年代和特點 計算機病毒的組成結構 宏病毒的原理與實現(xiàn)方法 U盤病毒的原理與實現(xiàn)方法 周病毒剖析防范與清除3 本節(jié)教學目標 通過剖析一種具體病毒，分析病毒傳播機制 掌握查殺病毒的方法 周病毒剖析防范與清除4 本課要點 掌握查殺病毒的基本原理和方法 周病毒剖析防范與清除5 病毒的防范與清除 防范病毒 計算機病毒防范，是指通過建立合理的 計算機病毒防范體系和制度，及時發(fā)現(xiàn) 計算機病毒的侵入，并采取有效的手段 阻止計算機病毒的傳播和破壞，恢復受 影響的計算機系統(tǒng)和數(shù)據(jù)。 周病毒剖析防范與清除

2、6 檢測病毒 檢測病毒方法有： 特征代碼法 校驗和法 行為監(jiān)測法 軟件模擬法 這些方法依據(jù)的原理不同，實現(xiàn)時所需的開 銷也不同，同時檢測的范圍也不同，各有所 長。 周病毒剖析防范與清除 特征代碼法 特征代碼法的實現(xiàn)步驟： 采集已知病毒樣本，在病毒樣本中，抽取特征代碼。 n抽取的代碼要有典型性，不能與正常程序代碼吻合。 n抽取的代碼要有適當長度，一方面維持特征代碼的唯 一性，另一方面又不要有太大的空間與時間的開銷。 在保持唯一性的前提下，盡量使特征代碼長度短些， 以減少空間與時間開銷。將特征代碼納入病毒數(shù)據(jù)庫。 打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒 數(shù)據(jù)庫中的病毒特征代碼。如果發(fā)

3、現(xiàn)病毒特征代碼，由于特 征代碼與病毒一一對應，便可以斷定，被查文件中患有何種 病毒。 周病毒剖析防范與清除8 特征代碼法的特點 優(yōu)點： 檢測準確、可識別病毒的名稱、誤報警率低、依據(jù)檢測結果，可做解毒 處理。 缺點： 不能檢測未知病毒、搜集已知病毒的特征代碼費用開銷大。 速度慢。隨著病毒種類的增多，檢索時間變長。如果檢索5000種病毒， 必須對5000個病毒特征代碼逐一檢查。 不能檢查多形性病毒。 不能對付隱蔽性病毒。隱蔽性病毒若先進駐內(nèi)存，隱蔽性病毒能先于檢 測工具，將被查文件中的病毒代碼剝?nèi)?，檢測工具檢測到一個虛假的好 文件，而不能報警，被隱蔽性病毒所蒙騙。 周病毒剖析防范與清除9 病毒特征

4、檢測碼 下面是一段國際公開病毒特征檢測碼，不具有 破壞性，用于檢驗殺毒軟件。 X5O!P%AP4PZX54(P)7CC)7$EICAR- STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 周病毒剖析防范與清除10 校驗和法 將正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入文件中或 寫入別的文件中保存。在文件使用過程中，定期地或每次使用 文件前，檢查文件現(xiàn)在內(nèi)容算出的校驗和與原來保存的校驗和 是否一致，因而可以發(fā)現(xiàn)文件是否感染，它既可發(fā)現(xiàn)已知病毒 又可發(fā)現(xiàn)未知病毒。 這種方法既能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒。但是，它不 能識別病毒類，不能報出病毒名稱。由于病毒感染并非文件內(nèi)

5、容改變的唯一的非他性原因，文件內(nèi)容的改變有可能是正常程 序引起的，所以校驗和法常常誤報警。而且此種方法也會影響 文件的運行速度。 周病毒剖析防范與清除11 檢驗和法的不足 病毒感染的確會引起文件內(nèi)容變化，但是校驗和法 對文件內(nèi)容的變化太敏感，又不能區(qū)分正常程序引 起的變動，而頻繁報警。用監(jiān)視文件的校驗和來檢 測病毒，不是最好的方法。 校驗和法對隱蔽性病毒無效。隱蔽性病毒進駐內(nèi)存 后，會自動剝?nèi)ト径境绦蛑械牟《敬a，使校驗和 法受騙，對一個有毒文件算出正常校驗和。 周病毒剖析防范與清除12 運用校驗和法查病毒采用三種方式 在檢測病毒工具中納入校驗和法。對被查的對象文件計 算其正常狀態(tài)的校驗和，將

6、校驗和值寫入被查文件中或 檢測工具中，而后進行比較。 在應用程序中，放入校驗和法自我檢查功能，將文件正 常狀態(tài)的校驗和寫入文件本身中，每當應用程序啟動時， 比較現(xiàn)行校驗和與原校驗和值。實現(xiàn)應用程序的自檢測。 將校驗和檢查程序常駐內(nèi)存，每當應用程序開始運行時， 自動比較檢查應用程序內(nèi)部或別的文件中預先保存的校 驗和。 周病毒剖析防范與清除13 行為監(jiān)測法 利用病毒的特有行為特征性來監(jiān)測病毒的方法，稱為行為監(jiān)測法。 通過對病毒多年的觀察、研究，有一些行為是病毒的共同行為，而且 比較特殊。當程序運行時，監(jiān)視其行為，如果發(fā)現(xiàn)了病毒行為，立即 報警。 這些做為監(jiān)測病毒的行為特征如下： 修改 INT 13

7、H。所有的引導型病毒，都攻擊Boot扇區(qū)或主引導扇 區(qū)。 對COM、EXE文件做寫入動作。病毒要感染，必須寫COM、EXE文件。 修改注冊表。蠕蟲類病毒往往通過修改注冊表而啟動。 周病毒剖析防范與清除14 行為監(jiān)測法的特點 優(yōu)點：可發(fā)現(xiàn)未知病毒。 缺點：可能誤報警、不能識別病毒名稱、實 現(xiàn)時有一定難度。 周病毒剖析防范與清除15 加密病毒 隨著病毒技術的發(fā)展，出現(xiàn)了一類加密病毒。這類病毒 的特點是：病毒主體代碼被加了密。運行時首先得到控 制權的解密代碼將對病毒主體進行循環(huán)解密，完成后將 控制交給病毒主體運行。由于同一種病毒的不同傳染實 例的病毒主體是用不同的密鑰進行加密，因而不可能在 其中找到

8、唯一的一段代碼串和偏移來代表此病毒的特征。 周病毒剖析防范與清除16 虛擬機查毒技術 為了對付加密病毒，出現(xiàn)了虛擬機查毒技術。 解密后病毒體明文是穩(wěn)定不變的，如果能夠得到解密后的 病毒體就可以使用特征碼掃描了。 查毒的虛擬機是一個軟件模擬的CPU，它可以象真正CPU一 樣取指，譯碼，執(zhí)行，它可以模擬一段代碼在真正CPU上運 行得到的結果，而虛擬機在程序上與真實機是隔離的，解 密后的病毒不會侵犯真實機。 虛擬機首先從文件中確定并讀取病毒入口處代碼，然后解 釋執(zhí)行病毒頭部的解密段，最后在執(zhí)行完的結果（解密后 的病毒體明文）中查找病毒的特征碼。 周病毒剖析防范與清除17 病毒的發(fā)展趨勢病毒的發(fā)展趨勢

9、 病毒傳播方式不再以存儲介質為主要的傳播載體，網(wǎng)絡成為計算 機病毒傳播的主要載體。 現(xiàn)在，我們在生活和工作中，已經(jīng)很少使用軟盤，網(wǎng)絡成為我們 傳播文件的主要方式，因此，計算機病毒也就不在依靠傳統(tǒng)的傳 播方式，網(wǎng)絡成為計算機病毒傳播的最主要載體，這里面有兩層 涵義： 計算機病毒的傳播被動的利用了網(wǎng)絡；比如CIH病毒完全是一款傳統(tǒng) 的病毒，但是，它依附在其他程序上面通過網(wǎng)絡進行傳播； 計算機病毒主動利用網(wǎng)絡傳播；這些病毒直接利用了網(wǎng)絡特征，這 也是今后計算機病毒的最常見的特征。 周病毒剖析防范與清除18 蠕蟲成為最主要和破壞力最大的病毒類型 當網(wǎng)絡應用日益廣泛以后，網(wǎng)絡蠕蟲成為病毒設計者的 首選。

10、 除了網(wǎng)絡具有傳播廣、速度快的優(yōu)點以外，蠕蟲的一些 特征也促使病毒制造者特別中意這種病毒類型： 蠕蟲病毒主要利用系統(tǒng)漏洞進行傳播，在控制系統(tǒng)的同時， 為系統(tǒng)打開后門，因此，病毒制造者特別是有黑客趨向的病 毒制造者會特別中意這種病毒； 蠕蟲病毒編寫簡單，不需要經(jīng)過復雜的學習；(編寫傳統(tǒng)病毒 需要對系統(tǒng)有深入的了解；而蠕蟲病毒往往利僅用VBS來編寫， 比如歡樂時光）。對這一類只要仔細研究它們的源代碼，很 快就可以自己編寫一個相似的病毒出來。 周病毒剖析防范與清除19 惡意網(wǎng)頁 現(xiàn)在已經(jīng)有很多網(wǎng)頁使用了動態(tài)技術。這些網(wǎng)頁有以下特點： 在瀏覽者不知道的情況下，修改用戶的瀏覽器選項，包括首頁、瀏覽器標題

11、 欄、瀏覽器右鍵菜單、瀏覽器工具菜單等，以達到使瀏覽者再次訪問該網(wǎng)頁 的目的；網(wǎng)頁這一類的網(wǎng)頁沒有對用戶的文件資料和硬件造成損害，但是， 讓用戶在瀏覽時造成不便； 修改瀏覽者注冊表選項，鎖定注冊表、修改系統(tǒng)啟動選項，這一類的網(wǎng)頁， 目的也是迫使用戶訪問其網(wǎng)頁，但是，在客觀上已經(jīng)造成了對用戶的惡意干 擾甚至破壞； 其它形式的破壞，如格式化用戶硬盤等；這樣的網(wǎng)頁在理論上已經(jīng)可以實現(xiàn)， 但在實際的網(wǎng)絡上，似乎還沒有大規(guī)模的出現(xiàn)或者沒有以上提到的那些惡意 網(wǎng)頁那樣廣泛。 其實以上提到的三種情況，就使用技術而言是相似甚至相同的，都是使用了IE的 ActiveX漏洞。 在當前的病毒定義下，我們尚不能稱惡意

12、網(wǎng)頁為病毒，因為它少了病毒最明顯得一個特 征不能自我復制。但其破壞性是巨大的。 周病毒剖析防范與清除20 病毒與木馬技術相互結合 病毒與木馬技術相互結合，出現(xiàn)帶有明顯病毒特征的木馬或者木 馬特征的病毒。 在有木馬以前，傳統(tǒng)病毒的危害比較直接，直接進行簡單的破壞。 有了木馬以后，因為它們的背后往往有一個人來控制，控制者會 通過木馬來控制計算機，可實施任何形式的破壞。 現(xiàn)在，一些木馬加入了病毒的傳播機制，可以寄生于某種載體上 自由繁殖，而被感染的計算機被打開端口可被監(jiān)控者控制。 監(jiān)控者可以使用掃描器在網(wǎng)絡中掃描發(fā)現(xiàn)被感染的計算機，從中 選擇感興趣者進行竊密或破壞。 周病毒剖析防范與清除21 傳播方

13、式多樣化 這里的傳播方式不僅是指網(wǎng)絡等介質的傳播， 而是指吸引用戶“上當”的方式。 通過具有誘惑性的語言或圖片欺騙用戶點擊某 些鏈接，通過這些鏈接使用戶在不知情的情況 下主動下載病毒代碼。 周病毒剖析防范與清除22 跨操作系統(tǒng)的病毒 現(xiàn)在已經(jīng)發(fā)現(xiàn)Linux下的病毒，隨著Linux的普 及，已經(jīng)出現(xiàn)可以同時感染W(wǎng)indows操作系統(tǒng) 和Linux操作系統(tǒng)的病毒。 周病毒剖析防范與清除23 手機病毒、信息家電病毒的出現(xiàn) 隨著無線應用協(xié)議（WAP）和信息家電的普及，手機和 信息家電將逐步復雜和智能化。同時，手機、信息家 電和互聯(lián)網(wǎng)的結合日益緊密，這些設備為了用戶使用 方便，往往具有通過網(wǎng)絡升級功能。

14、 網(wǎng)絡升級的本質就是通過網(wǎng)絡修改程序代碼，這為網(wǎng) 絡傳輸病毒留下了技術通道。 手機病毒將病毒以JAVA代碼形式或者發(fā)送短信息給手 機。用戶將此代碼加入手機后造成手機中毒。 周病毒剖析防范與清除24 流氓軟件 “流氓軟件”是介于病毒和合法軟件之間的軟件。 “流氓軟件”介于兩者之間，即具備正常功能與實用價值（下載、媒體播放等） 也有惡意行為（彈廣告、開后門），給用戶帶來實質危害。 流氓軟件流氓行徑： 強行侵入用戶電腦，無法卸載 強行彈出廣告，借以獲取商業(yè)利益 有侵害用戶的虛擬財產(chǎn)安全潛在因素 偷偷收集用戶在網(wǎng)上消費時的行為習慣、帳號密碼 從法律意義上來講，我國刑法第285條、286條對侵入用戶計算

15、機、破壞計算機功 能的行為進行了明確規(guī)定，“流氓軟件”的編寫和發(fā)布將可能觸犯國家法律，國 家有關部門對其十分重視，并一直在密切關注事態(tài)的發(fā)展。 有關人士也正在呼吁主管部門將此類不良程序列為有害程序，等同于病毒、木馬 來處理，以便于反病毒廠商早日將這些程序加入殺毒軟件病毒庫。 周病毒剖析防范與清除25 防病毒系統(tǒng)的要求防病毒系統(tǒng)的要求 完整的產(chǎn)品體系和較高的病毒檢測率 功能完善的防病毒軟件控制臺 減少通過廣域網(wǎng)進行管理的流量 對計算機病毒的實時防范能力 快速及時的病毒特征碼升級 周病毒剖析防范與清除26 典型殺毒軟件介紹(2006年度排名) 金獎：BitDefender 銀獎： Kaspersk

16、y 銅獎： F-Secure Anti-Virus 第四名： PC-cillin 第五名： ESET Nod32 第六名： McAfee VirusScan 第七名： Norton AntiVirus 第八名： AVG Anti-Virus 第九名： eTrust EZ Antivirus 第十名： Norman Virus Control 第十一名：AntiVirusKit 第十二名：AVAST! 第十三名：Panda Titanium 第十四名：F-Prot 周病毒剖析防范與清除27 目前世界四大殺毒軟件各自的特點 卡巴就好象西毒，兇猛強悍，神功蓋世，對敵決不留情，出手狠辣， 招招奪命，絕少失手，不愧為一代梟雄，但畢竟練的不是純正內(nèi)功， 容易走火入魔，導致系統(tǒng)出問題。 麥咖啡就象東邪，玉樹臨風，俊朗瀟灑，對敵招式繁多，機關重重， 殺伐決斷從不遲疑，為江湖第一機智聰明之人，但因其心機太深，令 人難以掌握。 諾頓就象南帝，雍容