計算機病毒的概念課件

1、計算機病毒的概念1計算機病毒的概念2一、計算機病毒的概念定義：定義：計算機病毒是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。（國外）定義：定義：計算機病毒是指破壞計算機功能或者數(shù)據(jù)，并能自我復制的程序。（國內(nèi)）病毒發(fā)展史：病毒發(fā)展史：1977年科幻小說The Adolescence of P-1描寫計算機病毒1983年Fred Adleman首次在VAX 11/750上試驗病毒；1986年Brain病毒在全世界傳播；1988年11月2日Cornell大學的Morris編寫的Worm病毒襲擊美國6000臺計算機，直接損失盡億美元；八十年代末，病毒開始傳入我國；計算機病毒的概念3病毒產(chǎn)生的原

2、因：病毒產(chǎn)生的原因：計算機病毒是高技術犯罪，具有瞬時性、動態(tài)性和隨機性。不易取證，風險小破壞大。1）尋求刺激：自我表現(xiàn)；惡作?。?）出于報復心理。病毒的特征：病毒的特征：傳染性；寄生性；衍生性；隱蔽性；潛伏性；可觸發(fā)性；奪取控制權；破壞性與危害性；計算機病毒的概念4病毒的分類：病毒的分類：n按破壞性分為：良性；惡性。n按激活時間分為：定時；隨機n按傳染方式分為：引導型：當系統(tǒng)引導時進入內(nèi)存，控制系統(tǒng)；文件型：病毒一般附著在可執(zhí)行文件上 ；混合型：既可感染引導區(qū)，又可感染文件。n按連接方式分為：OS型：替換OS的部分功能，危害較大；源碼型：要在源程序編譯之前插入病毒代碼；較少；外殼型：附在正常程

3、序的開頭或末尾；最常見；入侵型：病毒取代特定程序的某些模塊；難發(fā)現(xiàn)。計算機病毒的概念5n按照病毒特有的算法分為：伴隨型病毒：伴隨型病毒：產(chǎn)生EXE文件的伴隨體COM，病毒把自身寫入COM文件并不改變EXE文件，當DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件?！叭湎x蠕蟲”型病毒：型病毒：只占用內(nèi)存，不改變文件，通過網(wǎng)絡搜索傳播病毒。寄生型病毒：寄生型病毒：除了伴隨和“蠕蟲”型以外的病毒，它們依附在系統(tǒng)的引導扇區(qū)或文件中。變型病毒（幽靈病毒）：變型病毒（幽靈病毒）：使用復雜算法，每傳播一次都具有不同內(nèi)容和長度。一般的作法是一段混有無關指令的解碼算法和被變化過的病毒體組成

4、。計算機病毒的概念6n病毒的組成：病毒的組成：安裝模塊：提供潛伏機制；傳播模塊：提供傳染機制；觸發(fā)模塊：提供觸發(fā)機制； 其中，傳染機制是病毒的本質(zhì)特征，防治、檢測及殺毒都是從分析病毒傳染機制入手的。n病毒的癥狀：病毒的癥狀：啟動或運行速度明顯變慢；文件大小、日期變化；死機增多；莫名其妙地丟失文件；磁盤空間不應有的減少；有規(guī)律地出現(xiàn)異常信息；自動生成一些特殊文件；無緣無故地出現(xiàn)打印故障。計算機病毒的概念7n計算機病毒的傳播途徑1）通過不可移動的設備進行傳播 較少見，但破壞力很強。2）通過移動存儲設備進行傳播 最廣泛的傳播途徑3）通過網(wǎng)絡進行傳播 反病毒所面臨的新課題4）通過點對點通訊系統(tǒng)和無線通

5、道傳播 預計將來會成為兩大傳播渠道計算機病毒的概念8n病毒的破壞行為攻擊系統(tǒng)數(shù)據(jù)區(qū)：主引導區(qū)、Boot區(qū)、FAT區(qū)、文件目錄攻擊文件、內(nèi)存、CMOS；干擾系統(tǒng)運行，使速度下降；干擾屏幕、鍵盤、喇叭、打印機；破壞網(wǎng)絡資源。n病毒的發(fā)展趨勢攻擊對象趨于混合型；反跟蹤技術；增強隱蔽性：避開修改中斷向量值；請求在內(nèi)存中的合法身份；維持宿主程序外部特征；不用明顯感染標志采用加密技術，使得對病毒的跟蹤、判斷更困難；繁衍不同的變種。計算機病毒的概念9二、病毒的防治二、病毒的防治n網(wǎng)絡環(huán)境下的病毒防治原則與策略網(wǎng)絡環(huán)境下的病毒防治原則與策略 n防重于治，防重在管：制度；注冊、權限、屬性、防重于治，防重在管：制

6、度；注冊、權限、屬性、服務器安全；集中管理、報警。服務器安全；集中管理、報警。n綜合防護：木桶原理；防火墻與防毒軟件結(jié)合綜合防護：木桶原理；防火墻與防毒軟件結(jié)合n最佳均衡原則：占用較小的網(wǎng)絡資源最佳均衡原則：占用較小的網(wǎng)絡資源n管理與技術并重管理與技術并重n正確選擇反毒產(chǎn)品正確選擇反毒產(chǎn)品n多層次防御：病毒檢測、數(shù)據(jù)保護、實時監(jiān)控多層次防御：病毒檢測、數(shù)據(jù)保護、實時監(jiān)控n注意病毒檢測的可靠性：經(jīng)常升級；兩種以上。注意病毒檢測的可靠性：經(jīng)常升級；兩種以上。計算機病毒的概念10二、病毒的防治二、病毒的防治n防毒：預防入侵； 病毒過濾、監(jiān)控、隔離n查毒：發(fā)現(xiàn)和追蹤病毒； 統(tǒng)計、報警n解毒：從感染對象

7、中清除病毒；恢復功能n病毒檢測的方法病毒檢測的方法n直接觀察法： 根據(jù)病毒的種種表現(xiàn)來判斷n特征代碼法 ：采集病毒樣本，抽取特征代碼特點：能快速、準確檢驗已知病毒，不能發(fā)現(xiàn)未知的病毒。計算機病毒的概念11n校驗和法： 根據(jù)文件內(nèi)容計算的校驗和與以前的作比較。優(yōu)點：能判斷文件細微變化，發(fā)現(xiàn)未知病毒。缺點：當軟件升級、改口令時會產(chǎn)生誤報；不能識別病毒名稱；對隱蔽性病毒無效。n行為監(jiān)測法： 基于對病毒異常行為的判斷特點：發(fā)現(xiàn)許多未知病毒；可能誤報，實施難n軟件模擬法：一種軟件分析器，用軟件方法來模擬和分析程序的運行。 特點：可用于對付多態(tài)病毒。計算機病毒的概念12n反病毒軟件的選擇1）掃描速度 30

8、秒能掃描1000個以上文件2）識別率3）病毒清除測試n著名殺毒軟件公司冠群金辰 KILL瑞星 RAV北京江民 KV3000信源 LAN VRV賽門鐵克 Norton Anti Virus時代先鋒（行天98） 計算機病毒的概念13n反病毒軟件工作原理反病毒軟件工作原理1）病毒掃描程序 串掃描算法:與已知病毒特征匹配；文件頭、尾部 入口掃描算法：模擬跟蹤目標程序的執(zhí)行 類屬解密法：對付多態(tài)、加密病毒2）內(nèi)存掃描程序：搜索內(nèi)存駐留文件和引導記錄病毒3）完整性檢查器：能發(fā)現(xiàn)新的病毒；但對于已被感染的系統(tǒng)使用此方法，可能會受到欺騙。4）行為監(jiān)測器：是內(nèi)存駐留程序，監(jiān)視病毒對可執(zhí)行文件的修改。防止未知的病

9、毒計算機病毒的概念14三、幾種常見的病毒三、幾種常見的病毒n宏病毒宏病毒宏(Macro)：為避免重復操作而設計的一組命令。在打開文件時，先執(zhí)行“宏”，然后載入文件內(nèi)容。因此如果“宏”帶有病毒，則在編輯文件時病毒自動載入。宏病毒的癥狀：宏病毒的癥狀：1）用Word或Excel打開文件時，出現(xiàn)“文檔未打開”、“內(nèi)存不夠”、“WordBasic Err=514”等；2）保存文件時，強制將文件按“.dot”類型存儲，或強制在指定目錄存放。3）宏病毒的版本兼容問題計算機病毒的概念15幾種宏病毒：幾種宏病毒：AAAZAO Macro：Concept病毒，第一個宏病毒；Taiwan NO.1：第一個中文wo

10、rd病毒；Rainbow Macro：能改變桌面顏色；FormatC：格式化C盤，第一個木馬型宏病毒；Hot Macro：第一個調(diào)用Windows API的宏病毒；Nuclear Macro:第一個干擾打印機、硬盤的宏病毒。宏病毒分類：宏病毒分類：公用宏病毒：以Auto開頭的宏，附在normal.dot或Personal.xls 等模板上。私用宏病毒：計算機病毒的概念16n宏病毒的危害宏病毒的危害1）傳播迅速：因為文件交流頻繁；2）制造及變種方便：Word Basic編程容易3）危害大： Word Basic可調(diào)用Windows API、DLL、DDEn宏病毒的防治宏病毒的防治除殺毒軟件以外，

11、還可嘗試下列方法：1）按住鍵再啟動Word，禁止宏自動運行；2）工具宏，檢查并刪除所有可能帶病毒的宏；3）使用Disable AutoMacros宏4）將模板文件如normal.dot的屬性設為只讀。計算機病毒的概念17三、幾種常見的病毒三、幾種常見的病毒nCIH病毒臺灣陳盈豪編寫，一般每月26日發(fā)作。不僅破壞硬盤的引導扇區(qū)和分區(qū)表，還破壞系統(tǒng)Flash BIOS芯片中的系統(tǒng)程序，導致主板損壞。病毒長1KB，由于使用VXD技術，只感染32位Windows 系統(tǒng)可執(zhí)行文件中的.PE格式文件。修復硬盤分區(qū)表：信源公司()的免費軟件VRVFIX.EXE；CIH疫苗:CIH作者的Ant-CIHv1.0

12、； 美國Symantec公司的Kill_CIH計算機病毒的概念18四、網(wǎng)絡病毒四、網(wǎng)絡病毒含義1：在網(wǎng)上傳播、并對網(wǎng)絡進行破壞的病毒。含義2：專指HTML、E-mail、Java等Internet病毒。例：蠕蟲病毒，木馬程序等。2001年9月18日，Nimda worm 在Internet上迅速傳播。該病毒感染W(wǎng)indows 系列多種計算機系統(tǒng)，其傳播速度之快、影響范圍之廣、破壞力之強都超過其前不久發(fā)現(xiàn)的Code Red II。計算機病毒的概念19特點：網(wǎng)上蔓延，危害更大。1）網(wǎng)上傳染方式多，工作站、服務器交叉感染2）混合特征：集文件感染、蠕蟲、木馬等于一身3）利用網(wǎng)絡脆弱性、系統(tǒng)漏洞4）更注

13、重欺騙性5）清除難度大，破壞性強。網(wǎng)絡病毒的防范：具體實現(xiàn)方法包括對網(wǎng)絡服務器中的文件進行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片和對網(wǎng)絡目錄及文件設置訪問權限等。 計算機病毒的概念20n相對于單機病毒的防護來說，網(wǎng)絡病毒的防治具有更大的難度，網(wǎng)絡病毒防治應與網(wǎng)絡管理集成。管理功能就是管理全部的網(wǎng)絡設備：從Hub、交換機、服務器到PC，軟盤的存取、局域網(wǎng)上的信息互通及與Internet的連接等，所有病毒能夠進來的地方。為實現(xiàn)計算機病毒的防治，可在計算機網(wǎng)絡系統(tǒng)上安裝網(wǎng)絡病毒防治服務器；在內(nèi)部網(wǎng)絡服務器上安裝網(wǎng)絡病毒防治軟件；在單機上安裝單機環(huán)境的反病毒軟件。n從以下方面控制網(wǎng)絡病毒： 服務器

14、郵件系統(tǒng) WEB站點 數(shù)據(jù)庫系統(tǒng) 網(wǎng)關計算機病毒的概念21n局域網(wǎng)病毒防御體系1）服務器網(wǎng)絡病毒防殺模塊監(jiān)視各節(jié)點，保護網(wǎng)絡操作系統(tǒng)安全；動態(tài)告警、殺滅各節(jié)點的病毒；配置系統(tǒng)整體的檢測計劃、時間；對病毒事件進行記錄、審計、跟蹤；提供技術支持，升級；2）客戶端單機病毒防殺模塊單機版殺毒軟件；響應升級要求計算機病毒的概念22n安裝網(wǎng)絡防毒軟件的方案1）在網(wǎng)關和防火墻上安裝防毒軟件缺點：對每個文件的檢測將影響網(wǎng)絡性能。2）在工作站上安裝防毒軟件缺點：管理、協(xié)調(diào)、升級困難。3）在電子郵件服務器上安裝防毒軟件僅能防止郵件病毒的傳播。4）在所有文件服務器上安裝防毒軟件對于備份服務器，備份與反毒有可能沖突。

15、計算機病毒的概念23n網(wǎng)絡反毒的新特征：與OS結(jié)合更緊密；實時化；檢測壓縮文件病毒n病毒防火墻技術：能阻止病毒的擴散在網(wǎng)絡服務器上安裝病毒防火墻系統(tǒng)，例如：Inter Scan Virus Wall關鍵技術：OS底層接口技術：實時過濾，并少占用資源；網(wǎng)絡及應用程序的底層接口技術：各種協(xié)議充分利用OS的多任務、多線程機制；優(yōu)化算法，減少系統(tǒng)開銷；計算機病毒的概念24網(wǎng)絡應急響應網(wǎng)絡應急響應n網(wǎng)絡安全事件 :違反明顯的或隱含的安全策略的一次活動，即對系統(tǒng)正常運行有負面影響的活動。包括：非授權訪問；系統(tǒng)崩潰；拒絕服務；對系統(tǒng)的篡改。n時間長短；規(guī)模大??；安全級別：A:影響公共安全、社會秩序B:系統(tǒng)停

16、頓，業(yè)務無法運作C:業(yè)務中斷，影響系統(tǒng)效率D:業(yè)務短暫故障，可立即修復nCERT/CC(計算機緊急事件響應小組/協(xié)調(diào)中心)發(fā)出安全警報：00年26次，01年41次。中國計算機網(wǎng)絡應急處理協(xié)調(diào)中心CNCERT/CC()計算機病毒的概念25n網(wǎng)絡安全事件的緊急程度：一般：緊急：n對人身安全的威脅；n對Internet體系的攻擊(如對DNS、根名服務器、網(wǎng)絡接入點的攻擊)n對Internet的大范圍自動化攻擊n新型的攻擊及新的嚴重漏洞。n網(wǎng)絡安全事件的應急準備分析關鍵業(yè)務；后援；應急組織與計劃；評估；演練。計算機病毒的概念26網(wǎng)絡安全事件的應急處理流程網(wǎng)絡安全事件的應急處理流程 1)發(fā)現(xiàn)網(wǎng)絡安全事件2)確定影響范圍，評估可能損失3)執(zhí)行預定的應急措4)安全事件通報、求援安全事件通報內(nèi)容：發(fā)生安全事件的聯(lián)系資料：發(fā)生時間、地點；受影響主機資料；事件描述（程度、來源、工具、損失）；采取的措施；期望的援助。計算機病毒的概念27CERT/CC提供的基本服務提供的基本服務 nCERT/CC是實現(xiàn)信息安全保障的核心，提供以下服務：安全事件的熱線響應；檢查入侵來源；恢復系統(tǒng)正常工作；事故分析；發(fā)布安全警報、公告、建議；咨詢；安全培訓教育；風險評估。計算機病毒的概念28CERT/C