版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、第第5 5章章 病毒分析與防御病毒分析與防御 教學(xué)提示隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,計算機病毒也隨之產(chǎn)生和發(fā)展,給我們的日常應(yīng)用造成了很大的負面影響,要想解決這個棘手的問題,就要求我們對病毒有一個全面清楚的了解。本章講述計算機病毒產(chǎn)生發(fā)展的歷史、病毒的定義、病毒的產(chǎn)生原因及來源、病毒的特征、分類以及病毒傳染后的表現(xiàn)、病毒機制與組成結(jié)構(gòu);并介紹病毒的發(fā)展趨勢。教學(xué)要求本章要求了解計算機病毒發(fā)展的歷史和病毒的發(fā)展趨勢;掌握病毒的定義、特征、分類、傳播方式和病毒的產(chǎn)生基理等。5.1 計算機病毒概述計算機病毒概述o我們要認識病毒,就要從病毒的產(chǎn)生、發(fā)展、分類、特性和傳染途徑的各個方面對病毒有個全
2、面的了解。 5.1.1 計算機病毒產(chǎn)生發(fā)展的歷史計算機病毒產(chǎn)生發(fā)展的歷史5.1.2 計算機病毒的定義計算機病毒的定義o 計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。o 但隨著Internet技術(shù)的發(fā)展,計算機病毒的定義正在逐步發(fā)生著變化,與計算機病毒的特征和危害有類似之處的“特洛伊木馬”和“蠕蟲”從廣義的角度而言也可歸為計算機病毒。特洛伊木馬(Trojan horse)是一種黑客程序,是一種潛伏執(zhí)行非授權(quán)功能的技術(shù),它在正常程序中存放秘密指令,使計算機在仍能完成原先指定任務(wù)的情況下,執(zhí)行非授權(quán)功能?!叭湎x”(W
3、orm)是一個程序或程序序列,通過分布式網(wǎng)絡(luò)來擴散傳播特定的信息或錯誤,進而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖或系統(tǒng)崩潰。 5.1.3 計算機病毒的產(chǎn)生原因及來源計算機病毒的產(chǎn)生原因及來源o(1) 惡作劇類型,有些愛好計算機并對計算機技術(shù)精通的人士為了炫耀自己的高超技術(shù)和智慧,憑借對軟硬件的深入了解,編制這些特殊的程序。這些程序通過載體傳播出去后,在一定條件下被觸發(fā),其目的是自我表現(xiàn)一下,這類病毒一般都是良性的,不會有破壞操作。o(2) 報復(fù)心理型,有些人對社會不滿或受到不公證的待遇,他就有可能會編制一些危險的程序。有這樣的事例:某公司職員在職期間編制了一段代碼隱藏在其公司的系統(tǒng)中,一旦檢測到他的
4、名字在工資報表中被刪除,該程序立即發(fā)作,破壞整個系統(tǒng)。o(3) 版權(quán)保護類型,由于很多商業(yè)軟件被非法復(fù)制,有些開發(fā)商為了保護自己的利益制作了一些特殊程序附加在產(chǎn)品中。如:Pakistan病毒,其制作者是為了追蹤那些非法復(fù)制他們產(chǎn)品的用戶。o(4) 特殊目的類型,某組織或個人為達到特殊目的,對政府機構(gòu)、單位的特殊系統(tǒng)進行宣傳或破壞,或用于軍事目的。還有出于好奇,為了報復(fù),為了祝賀,為了得到控制密碼,為了未拿到所編制軟件的報酬預(yù)留的陷阱等原因。 5.1.4 計算機病毒的特性計算機病毒的特性o 1計算機病毒的傳染性o 2計算機病毒的可執(zhí)行性 o 3計算機病毒的可觸發(fā)性o 4計算機病毒的破壞性o 5計
5、算機病毒的非授權(quán)性o 6計算機病毒的隱蔽性5.1.5 計算機病毒的分類計算機病毒的分類o 1按照計算機病毒攻擊的操作系統(tǒng)不同分類o 2按照病毒的攻擊機型不同分類o 3按照計算機病毒的鏈接方式不同分類 o 4按照計算機病毒的破壞情況不同分類o 5按照傳播媒介不同分類o 6按傳染方式不同分類o 7根據(jù)病毒特有的算法不同分類5.1.6 計算機病毒感染的表現(xiàn)計算機病毒感染的表現(xiàn)o 在一般情況下,計算機在感染病毒后總有一些異?,F(xiàn)象出現(xiàn),其中具有代表性的行為有電腦動作比平常遲鈍;程序載入時間比平時長,這是因為有些病毒能控制程序或系統(tǒng)的啟動程序,當系統(tǒng)剛開始啟動或是一個應(yīng)用程序被載入時,將執(zhí)行這些病毒,因而
6、會花更多時間來載入程序;對一個簡單的工作,磁盤似乎花了比預(yù)期長的時間;不尋常的錯誤信息出現(xiàn),表示病毒已經(jīng)試圖去讀取磁盤并感染它,特別是當這種信息出現(xiàn)繁復(fù)時;硬盤的指示燈無緣無故地閃亮;系統(tǒng)內(nèi)存忽然大量減少,有些病毒會消耗大量的內(nèi)存,曾經(jīng)執(zhí)行過的程序,再次執(zhí)行時,突然提示沒有足夠的空間可以利用;磁盤可利用的空間突然減少,這個信息表明病毒已經(jīng)開始復(fù)制了;可執(zhí)行文件的大小改變了,正常情況下,這些程序應(yīng)該維持固定的大小,但有些不太高明的病毒會增加程序的大?。粔牡涝黾?,有些病毒會將某些磁道標注為壞道,而將自己隱藏其中,于是掃毒軟體往往也無法檢查病毒的存在,如Disk_Killer會尋找3或5個連續(xù)未用的
7、磁區(qū),并將其標示為壞道;內(nèi)存中增加來路不明的常駐程序或進程;文件奇怪地消失;文件的內(nèi)容被加進一些奇怪的資料;文件名稱、日期、屬性等被修改過等。5.2 病毒機制與組成結(jié)構(gòu)病毒機制與組成結(jié)構(gòu)5.2.1 計算機病毒的組成結(jié)構(gòu)計算機病毒的組成結(jié)構(gòu) o雖然計算機病毒的種類很多,但通過分析現(xiàn)有的計算機病毒,發(fā)現(xiàn)幾乎所有的計算機病毒都是由3個部分組成,即引導(dǎo)模塊、傳染模塊和表現(xiàn)模塊。 5.2.2 計算機病毒的傳染計算機病毒的傳染o1計算機病毒的傳染方式和途徑o2計算機病毒的傳染過程o3系統(tǒng)型病毒傳染機理o4文件型病毒傳染機理5.2.3 計算機病毒的觸發(fā)機計算機病毒的觸發(fā)機制制o 1時間觸發(fā)o 2鍵盤觸發(fā)o
8、3感染觸發(fā) o 4啟動觸發(fā)o 5訪問磁盤次數(shù)觸發(fā)o 6調(diào)用中斷功能觸發(fā)o 7CPU型號/主板型號觸發(fā)5.2.4 計算機病毒的生存周期計算機病毒的生存周期o計算機病毒的產(chǎn)生過程可分為程序設(shè)計傳播潛伏觸發(fā)運行實行攻擊。計算機病毒擁有一個完整的生命周期,從產(chǎn)生到徹底根除,下面就描述病毒生命周期的各個時期。5.3 病毒實例剖析 o 5.3.1 Nimda蠕蟲病毒剖析 傳播方式:o通過電子郵件從一個客戶端感染另一個客戶端o通過開放的網(wǎng)絡(luò)共享從一個客戶端感染另一個客戶端o通過瀏覽被感染的網(wǎng)站從Web 服務(wù)器感染客戶端o通過主動掃描或利用 “Microsoft IIS 4.0 / 5.0 directory
9、 traversal”的缺陷”從客戶端感染W(wǎng)eb 服務(wù)器o通過掃描 “Code Red” (IN-2001-09),和 “sadmind/IIS” (CA-2001-11) 留下的后門從客戶端感染W(wǎng)eb 服務(wù)器o感染Nimda 病毒的機器會不斷向Windows 的地址薄中的所有的郵件發(fā)送攜帶了Nimda病毒的郵件的拷貝。o同樣的,客戶端機器會掃描有漏洞的IIS 服務(wù)器。Nimda 會搜尋以前的IIS蠕蟲病毒留下的后門:Code Red II IN-2001-09 和 sadmind/IIS worm CA-2001-11; 它也試圖利用IIS Directory Traversal 漏洞 (V
10、U #111677)。o初步分析表明, 該病毒除了改變網(wǎng)頁的目錄以繁衍自身外沒有其它破壞性的行為。但通過大量發(fā)送電子郵件和掃描網(wǎng)絡(luò)可以導(dǎo)致網(wǎng)絡(luò)的“拒絕服務(wù)”(DoS)。o 5.3.2 CodeRedII剖析o Code Red蠕蟲能夠迅速傳播,并造成大范圍的訪問速度下降甚至阻斷。紅色代碼蠕蟲造成的破壞主要是涂改網(wǎng)頁,對網(wǎng)絡(luò)上的其它服務(wù)器進行攻擊,被攻擊的服務(wù)器又可以繼續(xù)攻擊其它服務(wù)器。在每月的20-27日,向特定IP地址1()發(fā)動攻擊。病毒最初于7月19日首次爆發(fā),7月31日該病毒再度爆發(fā),但由于大多數(shù)計算機用戶都提前安裝了修補軟件
11、,所以該病毒第二次爆發(fā)的破壞程度明顯減弱 。o“紅色代碼”病毒是通過微軟公司IIS系統(tǒng)漏洞進行感染,它使IIS服務(wù)程序處理請求數(shù)據(jù)包時溢出,導(dǎo)致把此“數(shù)據(jù)包”當作代碼運行,病毒駐留后再次通過此漏洞感染其它服務(wù)器。Code Red采用了一種叫做緩存區(qū)溢出的黑客技術(shù),利用網(wǎng)絡(luò)上使用微軟IIS系統(tǒng)的服務(wù)器來進行病毒的傳播。這個蠕蟲病毒使用服務(wù)器的端口80進行傳播,而這個端口正是Web服務(wù)器與瀏覽器進行信息交流的渠道。o與其它病毒不同的是,“紅色代碼” 不同于以往的文件型病毒和引導(dǎo)型病毒,并不將病毒信息寫入被攻擊服務(wù)器的硬盤。它只存在于內(nèi)存,傳染時不通過文件這一常規(guī)載體,而是借助這個服務(wù)器的網(wǎng)絡(luò)連接攻
12、擊其它的服務(wù)器,直接從一臺電腦內(nèi)存?zhèn)鞯搅硪慌_電腦內(nèi)存。當本地IIS服務(wù)程序收到某個來自“紅色代碼”發(fā)送的請求數(shù)據(jù)包時,由于存在漏洞,導(dǎo)致處理函數(shù)的堆棧溢出。當函數(shù)返回時,原返回地址已被病毒數(shù)據(jù)包覆蓋,程序運行線跑到病毒數(shù)據(jù)包中,此時病毒被激活,并運行在IIS服務(wù)程序的堆棧中。o “紅色代碼II”病毒代碼首先會判斷內(nèi)存中是否以注冊了一個名為CodeRedII的Atom(系統(tǒng)用于對象識別),如果已存在此對象,表示此機器已被感染,病毒進入無限休眠狀態(tài),未感染則注冊Atom并創(chuàng)建300個病毒線程,當判斷到系統(tǒng)默認的語言ID是中華人民共和國或中國臺灣時,線程數(shù)猛增到600個,創(chuàng)建完畢后初始化病毒體內(nèi)的一
13、個隨機數(shù)發(fā)生器,此發(fā)生器產(chǎn)生用于病毒感染的目標電腦IP地址。每個病毒線程每100毫秒就會向一隨機地址的80端口發(fā)送一長度為3818字節(jié)的病毒傳染數(shù)據(jù)包。巨大的病毒數(shù)據(jù)包使網(wǎng)絡(luò)陷于癱瘓。o 5.3.3 CIH病毒oCIH病毒查殺:目前市面上大部分殺軟如金山毒霸,江民殺毒軟件等都能有效查殺此病毒,而且目前市面上絕大多數(shù)電腦都已使用win XP系統(tǒng),此病毒對NT以上系統(tǒng) (winNT, 2000, XP, 2003, VISTA, window 7等)已無危害 。oCIH病毒是一種能夠破壞計算機系統(tǒng)硬件的惡性病毒。據(jù)目前掌握的材料來看,這個病毒產(chǎn)自臺灣,最早隨國際兩大盜版集團販賣的盜版光盤在歐美等地
14、廣泛傳播,隨后進一步通過Internet傳播到全世界各個角落。 oo CIH屬惡性病毒,當其發(fā)作條件成熟時,其將破壞硬盤數(shù)據(jù),同時有可能破壞BIOS程序,其發(fā)作特征是:o 1、以2048個扇區(qū)為單位,從硬盤主引導(dǎo)區(qū)開始依次往硬盤中寫入垃圾數(shù)據(jù),直到硬盤數(shù)據(jù)被全部破壞為止。最壞的情況下硬盤所有數(shù)據(jù)(含全部邏輯盤數(shù)據(jù))均被破壞,如果重要信息沒有備份,那就只有哭了!o 2、某些主板上的Flash Rom中的BIOS信息將被清除。5.4 病毒的防范與清除o病毒有那么大的威脅,我們?nèi)绾畏婪??萬一不小心感染了病毒,怎樣清除?怎樣減少病毒對計算機的危害?首先要采取的措施就是病毒的防范,如果真的感染了要想辦法
15、徹底清除。5.4.1 防范病毒o計算機病毒防范,是指通過建立合理的計算機病毒防范體系和制度,及時發(fā)現(xiàn)計算機病毒的侵入,并采取有效的手段阻止計算機病毒的傳播和破壞,恢復(fù)受影響的計算機系統(tǒng)和數(shù)據(jù)。5.4.2 檢測病毒 o想要知道自己的計算機中是否染有病毒,最簡單的方法是想要知道自己的計算機中是否染有病毒,最簡單的方法是用較新的防病毒軟件對磁盤進行全面的檢測。但是防病毒用較新的防病毒軟件對磁盤進行全面的檢測。但是防病毒軟件對于病毒來講,總是后發(fā)制人。如何能夠及早地發(fā)現(xiàn)軟件對于病毒來講,總是后發(fā)制人。如何能夠及早地發(fā)現(xiàn)新病毒呢?新病毒呢?o檢測病毒方法有:特征代碼法、校驗和法、行為監(jiān)測法、檢測病毒方法
16、有:特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法,這些方法依據(jù)的原理不同,實現(xiàn)時所需的開軟件模擬法,這些方法依據(jù)的原理不同,實現(xiàn)時所需的開銷也不同,同時檢測的范圍也不同,各有所長。銷也不同,同時檢測的范圍也不同,各有所長。 o軟件模擬法軟件模擬法開始使用特征代碼法監(jiān)測病毒,如果發(fā)現(xiàn)隱蔽病毒或多態(tài)性病毒嫌疑時,啟動軟件模擬模塊,監(jiān)測病毒的運行,待病毒自身的密碼譯碼后,再運用特征代碼法來識別病毒的種類。o特征代碼法采集病毒樣本,抽取特征代碼特點:能快速、準確檢驗已知病毒,不能發(fā)現(xiàn)未知的病毒。校驗和法: 根據(jù)文件內(nèi)容計算的校驗和與以前的作比較。優(yōu)點:能判斷文件細微變化,發(fā)現(xiàn)未知病毒。缺點:當軟件升級
17、、改口令時會產(chǎn)生誤報;不能識別病毒名稱;對隱蔽性病毒無效。行為監(jiān)測法: 基于對病毒特有行為的判斷特點:發(fā)現(xiàn)許多未知病毒;可能誤報,實施難軟件模擬法:一種軟件分析器,用軟件方法來模擬和分析程序的運行。 特點:可用于對付多態(tài)病毒。5.5 病毒和反病毒的發(fā)展趨勢病毒和反病毒的發(fā)展趨勢5.5.1 病毒的發(fā)展趨勢病毒的發(fā)展趨勢o 隨著計算機軟、硬件水平的不斷發(fā)展,近年來,計算機病毒技術(shù)也是突飛猛進,病毒對于人類造成的影響已經(jīng)越來越大,從最早的單片機到現(xiàn)在的手機,病毒也隨著世界的進步而不斷發(fā)展,今天的病毒主要朝著智能對抗反病毒手段和有目的方向發(fā)展。 5.5.2 病毒清除技術(shù)的發(fā)展趨勢病毒清除技術(shù)的發(fā)展趨勢
18、o1實時監(jiān)測技術(shù)o2自動解壓縮技術(shù)o3跨平臺反病毒技術(shù)5.5.3 防病毒系統(tǒng)的要求防病毒系統(tǒng)的要求o 1完整的產(chǎn)品體系和較高的病毒檢測率 o 2功能完善的防病毒軟件控制臺o 3減少通過廣域網(wǎng)進行管理的流量o 4對計算機病毒的實時防范能力o 5快速及時的病毒特征碼升級5.6 本 章 實 訓(xùn) o實訓(xùn)1:病毒代碼特征分析o實訓(xùn)2:防病毒軟件應(yīng)用5.7 本章習(xí)題填空題o(1) 計算機病毒雖然種類很多,通過分析現(xiàn)有的計算機病毒,幾乎所有的計算機病毒都是由3個部分組成,即_、_和_。o(2) 病毒不斷發(fā)展,我們把病毒按時間和特征分成_個階段。o(3) 病毒按傳染方式可分為_型病毒、_型病毒和_型病毒3種。o(4) 目前病毒采用的觸發(fā)條件主要有以下幾種:_觸發(fā)、鍵盤觸發(fā)、感染觸發(fā)、_觸發(fā)、訪問磁盤次數(shù)觸發(fā)、調(diào)用中斷功能觸發(fā)和CPU型號/主板型號觸發(fā)。o(5) 現(xiàn)在世界上成熟的反病毒技術(shù)已經(jīng)完全可以徹底預(yù)防、徹底殺除所有的已知病毒,其中主要涉及以下3大技術(shù):_技術(shù)、_技術(shù)和全平臺反病毒技術(shù)。選擇題o (1) ( )是病毒
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025版房地產(chǎn)項目預(yù)售合同示范文本4篇
- 2025版臺式一體機商場采購合同包含軟件安裝與培訓(xùn)服務(wù)3篇
- 2025年建筑材料堆放場地租賃與供應(yīng)鏈管理合同3篇
- 二零二五版民營醫(yī)院兒科醫(yī)師及護士勞動合同4篇
- 二零二五年餐飲業(yè)短期服務(wù)員派遣合同3篇
- 2025年度高科技產(chǎn)品遠期交易合同4篇
- 2025年度綠色建筑節(jié)能改造合同6篇
- 2025年度數(shù)據(jù)中心機房租賃與環(huán)保責任承諾合同3篇
- 二零二五年度智能門窗系統(tǒng)研發(fā)與安裝一體化服務(wù)合同4篇
- 2025年環(huán)保型布草生產(chǎn)與銷售一體化合同3篇
- 工業(yè)自動化生產(chǎn)線操作手冊
- 房地產(chǎn)銷售任務(wù)及激勵制度
- 并購指南(如何發(fā)現(xiàn)好公司)
- DL-T-1642-2016環(huán)形混凝土電桿用腳扣
- 銅礦成礦作用與地質(zhì)環(huán)境分析
- 30題紀檢監(jiān)察位崗位常見面試問題含HR問題考察點及參考回答
- 詢價函模板(非常詳盡)
- 《AI營銷畫布:數(shù)字化營銷的落地與實戰(zhàn)》
- 麻醉藥品、精神藥品、放射性藥品、醫(yī)療用毒性藥品及藥品類易制毒化學(xué)品等特殊管理藥品的使用與管理規(guī)章制度
- 乘務(wù)培訓(xùn)4有限時間水上迫降
- 2023年低年級寫話教學(xué)評語方法(五篇)
評論
0/150
提交評論