第1講 計(jì)算機(jī)病毒概述(2)

1、計(jì)算機(jī)病毒 課程(kchng)介紹王 _wang共六十三頁(yè)學(xué)時(shí)設(shè)置與考試(kosh)形式課堂教學(xué)：24學(xué)時(shí)(xush)實(shí)驗(yàn)教學(xué)：12學(xué)時(shí)課外實(shí)驗(yàn)：20學(xué)時(shí)- 筆試70分+實(shí)驗(yàn)成績(jī)20分+平時(shí)成績(jī)10分共六十三頁(yè)教材(jioci)共六十三頁(yè)教材(jioci)共六十三頁(yè)我們(w men)需要具備的基礎(chǔ)知識(shí)對(duì)操作系統(tǒng)的基本了解對(duì)PE文件格式的基本了解各種編程語(yǔ)言 匯編語(yǔ)言-通過(guò)(tnggu)查閱資料看懂匯編程序計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)共六十三頁(yè)本課程(kchng)的學(xué)習(xí)目的了解并掌握計(jì)算機(jī)病毒產(chǎn)生和傳播(chunb)的機(jī)理，具備預(yù)防、分析和對(duì)抗計(jì)算機(jī)病毒的基本能力。共六十三頁(yè)教材(j

2、ioci)目錄第1章 計(jì)算機(jī)病毒概述第2章 預(yù)備知識(shí)第3章 計(jì)算機(jī)病毒的基本(jbn)機(jī)制第4章 DOS病毒分析第5章 Windows病毒分析第6章 病毒技巧共六十三頁(yè)教材(jioci)目錄 第7章 漏洞與網(wǎng)絡(luò)蠕蟲(chóng)第8章 特洛伊木馬與Rootkit第9章 病毒對(duì)抗技術(shù)(jsh)第10章 計(jì)算機(jī)病毒的防范第11章 UNIX病毒和手機(jī)病毒-X臥底共六十三頁(yè)其他(qt)參考資料王倍昌，走進(jìn)計(jì)算機(jī)病毒，人民郵電出版社，2010年。劉功申，計(jì)算機(jī)病毒及其防范技術(shù)，清華大學(xué)出版社。2008年。韓筱卿、王建鋒等，計(jì)算機(jī)病毒分析與防范大全，電子(dinz)工業(yè)出版社，2006年。羅云彬，Windows環(huán)境下3

3、2位匯編語(yǔ)言程序設(shè)計(jì)，電子工業(yè)出版社，2009年。王爽，匯編語(yǔ)言，清華大學(xué)出版社，2008年 共六十三頁(yè)學(xué)習(xí)(xux)的幾點(diǎn)建議多關(guān)注國(guó)內(nèi)外的反病毒相關(guān)網(wǎng)站-關(guān)注反病毒界所關(guān)注的。多看幾類(lèi)病毒樣本，寫(xiě)幾份詳細(xì)的樣本分析(fnx)報(bào)告。不要局限于課堂，要充分利用網(wǎng)絡(luò)。共六十三頁(yè)VB100 & VB RAPVB：virus Bulletin ; RAP： reactive and proactive 反應(yīng)(fnyng)和主動(dòng)測(cè)試共六十三頁(yè)2010年金山(jn shn)數(shù)據(jù)共六十三頁(yè)2013年上半年中國(guó)信息安全綜合(zngh)報(bào)告瑞星云安全系統(tǒng)(xtng)共截獲新增病毒樣本1633萬(wàn)余個(gè)，病毒總體數(shù)

4、量比去年下半年增長(zhǎng)93.01%，呈現(xiàn)出一個(gè)爆發(fā)式的增長(zhǎng)態(tài)勢(shì)。共六十三頁(yè)在報(bào)告(bogo)期內(nèi)，廣東省病毒感染為2,379萬(wàn)人次，位列全國(guó)第一，其次為河北省2,245萬(wàn)人次及河南省2,110萬(wàn)人次。共六十三頁(yè)比特幣：1:266美元匯率引發(fā)病毒風(fēng)暴2013年上半年，比特幣在網(wǎng)上異?；鸨?，其兌換峰值曾高達(dá)1比特幣兌換266美元。今年3月，一家比特幣中介公司就曾遭到黑客(hi k)襲擊，被盜走價(jià)值1，2480美元的比特幣。（約7.7萬(wàn)元人民幣）共六十三頁(yè)留學(xué)生頻遭QQ高額詐騙利用不法手段獲取的留學(xué)生QQ號(hào)，假冒其本人，騙取家長(zhǎng)的信任，以達(dá)到詐騙錢(qián)財(cái)(qinci)的目的。共六十三頁(yè)APP應(yīng)用設(shè)置(shz

5、h)不當(dāng)嚴(yán)重威脅人身安全共六十三頁(yè)移動(dòng)社交分享(fn xin)成網(wǎng)絡(luò)跟蹤數(shù)據(jù)源共六十三頁(yè)虛擬化、云應(yīng)用日趨成熟 安全風(fēng)險(xiǎn)(fngxin)漸露端倪共六十三頁(yè)網(wǎng)絡(luò)(wnglu)釣魚(yú)（Phishing）是一種網(wǎng)絡(luò)詐騙，通常是騙取用戶(hù)的銀行或游戲的賬號(hào)、密碼等。利用電子郵件“釣魚(yú)”鏈接虛假網(wǎng)站利用木馬程序“釣魚(yú)”記錄用戶(hù)“動(dòng)作”利用虛假網(wǎng)址(wn zh)“釣魚(yú)”例如和 共六十三頁(yè)武漢千余出租車(chē)計(jì)價(jià)(j ji)失靈 2008年8月8日凌晨0時(shí)許，武漢市千余輛的士的計(jì)價(jià)器突然死機(jī)(s j)，導(dǎo)致人車(chē)停崗四小時(shí)。 共六十三頁(yè)網(wǎng)上購(gòu)物(u w)共六十三頁(yè)中華人民共和國(guó)刑法(xngf)共六十三頁(yè)計(jì)算機(jī)病毒第一章

6、 計(jì)算機(jī)病毒概述(i sh)共六十三頁(yè)什么(shn me)是計(jì)算機(jī)病毒？對(duì)計(jì)算機(jī)病毒的理解？與正常(zhngchng)程序的區(qū)別？在現(xiàn)實(shí)生活中，遇到過(guò)哪些計(jì)算機(jī)病毒攻擊？計(jì)算機(jī)病毒可以通過(guò)哪些方式進(jìn)行傳播？共六十三頁(yè)大家都使用什么樣的反病毒軟件？你認(rèn)為(rnwi)反病毒軟件是如何工作的？反病毒軟件為什么可以查殺病毒？病毒庫(kù)是做什么的？為什么需要更新病毒庫(kù)？共六十三頁(yè)本章(bn zhn)內(nèi)容計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒的特點(diǎn) （重點(diǎn)理解）計(jì)算機(jī)病毒的分類(lèi) 計(jì)算機(jī)病毒的命名規(guī)則(guz) （掌握）計(jì)算機(jī)病毒的傳播途徑計(jì)算機(jī)病毒的對(duì)抗手段 （重點(diǎn)理解）計(jì)算機(jī)病毒的自我保護(hù)技術(shù)待發(fā)展的計(jì)算機(jī)病毒對(duì)抗技術(shù)

7、共六十三頁(yè)美國(guó)計(jì)算機(jī)病毒研究專(zhuān)家Fred.Cohen 博士： 計(jì)算機(jī)病毒是一段附著在其它程序上的、可以自我繁殖的程序代碼，復(fù)制后生成的新病毒同樣具有感染(gnrn)其它程序的功能。1. 計(jì)算機(jī)病毒的定義(dngy)共六十三頁(yè)又是定義(dngy)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例明確指出： “計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)(shj)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。此定義具有法律性、權(quán)威性。 共六十三頁(yè)狹義的：一組能夠進(jìn)行自我傳播、需要用戶(hù) 干預(yù)來(lái)觸發(fā)執(zhí)行(zhxng)的破壞性程序或代碼。廣義的：惡意代碼 蠕蟲(chóng)、木馬、后門(mén)

8、、僵尸(bot)、Rootkit、流氓軟件、間諜軟件、廣告軟件、Exploit、黑客工具等。還是(hi shi)定義共六十三頁(yè) 一段能夠進(jìn)行自我傳播(chunb)、無(wú)需用戶(hù)干預(yù)而可以自動(dòng)觸發(fā)執(zhí)行的破壞性程序或代碼。利用系統(tǒng)漏洞來(lái)進(jìn)行傳播蠕蟲(chóng)王、沖擊波、震蕩波、掃蕩波等蠕蟲(chóng)(r chn)（worm）共六十三頁(yè) 在Win32系統(tǒng)下傳染，病毒利用Outlook Express的漏洞，發(fā)送帶有染毒附件的郵件，當(dāng)用戶(hù)(yngh)在預(yù)覽帶有病毒附件的郵件時(shí)，附件就會(huì)自動(dòng)執(zhí)行，從而使用戶(hù)(yngh)受到該病毒的感染。它將被感染機(jī)器的用戶(hù)密碼、鍵盤(pán)日志等發(fā)送到指定的郵件地址。電子郵件(din z yu jin

9、)蠕蟲(chóng)病毒-BadTrans.B共六十三頁(yè)附著在應(yīng)用程序中或單獨(dú)存在的一些惡意程序，可以利用網(wǎng)絡(luò)遠(yuǎn)程響應(yīng)網(wǎng)絡(luò)另一端控制程序的控制命令，實(shí)現(xiàn)對(duì)被植入了木馬程序的目標(biāo)計(jì)算機(jī)的控制，或者竊取感染木馬程序的計(jì)算機(jī)上的機(jī)密資料。木馬程序通常是目標(biāo)用戶(hù)被欺騙之后自己觸發(fā)(chf)執(zhí)行的。遠(yuǎn)程控制型木馬：灰鴿子、冰河、黑洞等木馬(mm)（ Trojan ）共六十三頁(yè)允許攻擊者繞過(guò)系統(tǒng)中常規(guī)安全控制機(jī)制的程序(chngx)，它按照攻擊者自己的意圖提供通道。后門(mén)通常是由攻擊者入侵到目標(biāo)計(jì)算機(jī)之后由攻擊者植入的，與木馬不同。后門(mén)(humn)（ Back Door）共六十三頁(yè)僵尸網(wǎng)絡(luò)（botnet）是指采用一種或多

10、種傳播手段，將大量主機(jī)感染bot程序，從而在控制者和被感染主機(jī)之間所形成的一個(gè)可一對(duì)多控制的網(wǎng)絡(luò)。大量被植入僵尸程序的電腦通過(guò)(tnggu)僵尸控制服務(wù)器便可以形成僵尸網(wǎng)絡(luò)。僵尸(jingsh)（bot）共六十三頁(yè)Rootkit是能夠持久或可靠地、無(wú)法被檢測(cè)的存在于計(jì)算機(jī)上的一組程序或代碼，使得(sh de)攻擊者能夠保持訪(fǎng)問(wèn)計(jì)算機(jī)上最高權(quán)限的用戶(hù)“root”。Windows下的Rootkit在功能上以隱藏惡意程序?yàn)橹?。Rootkit共六十三頁(yè)間諜軟件(run jin)廣告軟件流氓軟件黑客工具共六十三頁(yè)在生命周期中，病毒一般會(huì)經(jīng)歷如下(rxi)三個(gè)階段： 潛伏階段：病毒處于休眠狀態(tài)，最終會(huì)被某

11、些條件激活（日期、某特定程序或特定文件的出現(xiàn)，內(nèi)存容量超過(guò)一定范圍等等）傳播階段：將自身復(fù)制到其他程序或磁盤(pán)的某個(gè)區(qū)域上。共六十三頁(yè) 發(fā)作階段：病毒被激活，在系統(tǒng)中發(fā)作，會(huì)執(zhí)行某一特定功能從而達(dá)到某種既定的目的。病毒發(fā)作體現(xiàn)出來(lái)的破壞程度是不同的： 表現(xiàn)自己 破壞程序和文件中的數(shù)據(jù)，甚至(shnzh)毀壞硬件共六十三頁(yè)為什么會(huì)出現(xiàn)(chxin)計(jì)算機(jī)病毒？來(lái)源于對(duì)自身軟件進(jìn)行保護(hù)。如巴基斯坦病毒。一些計(jì)算機(jī)愛(ài)好者出于好奇或興趣(xngq)，也有的是為了滿(mǎn)足自己的表現(xiàn)欲。用于研究或?qū)嶒?yàn)而設(shè)計(jì)的“有用”程序，由于某種原因失去控制而擴(kuò)散出來(lái)。產(chǎn)生于程序員之間的游戲。如磁芯大戰(zhàn)共六十三頁(yè)政治、軍事等特

12、殊目的?；诮?jīng)濟(jì)目的，非法組織以盜取用戶(hù)銀行賬號(hào)、游戲賬號(hào)等信息為方式以獲取經(jīng)濟(jì)利益，目前甚至已經(jīng)形成了盜號(hào)黑色產(chǎn)業(yè)鏈。這也是目前計(jì)算機(jī)病毒泛濫(fnln)的重要原因。共六十三頁(yè)共六十三頁(yè)2.計(jì)算機(jī)病毒的特點(diǎn)(tdin)1）傳染性2）破壞性3）隱蔽性4）程序性（可執(zhí)行性）5）可觸發(fā)(chf)性6）衍生性7）不可預(yù)見(jiàn)性8）欺騙性共六十三頁(yè)1）傳染性: 病毒把自身復(fù)制到其他程序、中間存儲(chǔ) 介質(zhì)或主機(jī)的性質(zhì)。區(qū)別于正常程序。2）破壞性：良性病毒-降低計(jì)算機(jī)工作效率，占用系統(tǒng) 資源，如內(nèi)存空間、磁盤(pán)(c pn)存儲(chǔ)空間以及系 統(tǒng)運(yùn)行時(shí)間等； 惡性病毒-破壞數(shù)據(jù)、刪除文件、格式化磁 盤(pán)、系統(tǒng)崩潰，硬件損

13、壞。共六十三頁(yè)3）隱蔽性：潛伏階段和發(fā)作階段4）程序性（可執(zhí)行性）：只有運(yùn)行(ynxng)了才能達(dá)到目的5）可觸發(fā)性：觸發(fā)條件6）衍生性：演變或釋放出新病毒7）不可預(yù)見(jiàn)性：代碼千差萬(wàn)別，制作技術(shù)不斷提高，針對(duì)反病毒軟件的對(duì)抗永遠(yuǎn)是超前的。8）欺騙性共六十三頁(yè)3.計(jì)算機(jī)病毒的分類(lèi)(fn li)-按操作系統(tǒng)DOS病毒(bngd)引導(dǎo)區(qū)病毒文件型病毒混合型病毒W(wǎng)indows病毒PE病毒宏病毒（Macro）：Word、Excel腳本病毒：VBS、JS其它平臺(tái)病毒*NIX系列OS/2系統(tǒng) operating system手機(jī)病毒共六十三頁(yè)單機(jī)病毒：?jiǎn)螜C(jī)病毒的載體是U盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)。常見(jiàn)的如從U盤(pán)傳入

14、硬盤(pán)，感染(gnrn)系統(tǒng)后，再傳染其它U盤(pán)。U盤(pán)又感染其它系統(tǒng)。網(wǎng)絡(luò)病毒：網(wǎng)絡(luò)為病毒提供了最好的傳播途徑，它的破壞力是前所未有的。網(wǎng)絡(luò)病毒利用計(jì)算機(jī)網(wǎng)絡(luò)的協(xié)議或命令以及Email等進(jìn)行傳播，常見(jiàn)的是通過(guò)QQ、BBS、Email、FTP、Web等傳播。 計(jì)算機(jī)病毒的分類(lèi)(fn li)-按傳播媒介共六十三頁(yè)4.計(jì)算機(jī)病毒的命名(mng mng)為了方便的表示病毒的類(lèi)型和重要特征，一般而言，病毒的名稱(chēng)都可以分成三個(gè)部分： 前綴 + 病毒名 + 后綴前綴表示該病毒發(fā)作的操作(cozu)平臺(tái)或者病毒的類(lèi)型，如:Trojan（ Trojan-Downloader 、 Trojan.PSW），Worm，M

15、acro，PE，VBS，BackDoor，Win32，Win95，如果沒(méi)有前綴，一般表示DOS操作系統(tǒng)下的病毒。共六十三頁(yè)病毒名為該病毒的名稱(chēng)及其家族；后綴一般可以不要，只是以此區(qū)別在該病毒家族中各病毒的不同，可以為字母表示病毒是某一個(gè)家族的第幾種(j zhn)變種，或者為數(shù)字（數(shù)字一般是病毒的大小，以病毒的大小來(lái)區(qū)分同一家族的不同病毒變種）。如果一個(gè)病毒的變種數(shù)非常多，則可以用字母與數(shù)字混合在一起做為病毒后綴 共六十三頁(yè)Backdoor. Win32.Hupigon.zqf（卡巴斯基） 灰鴿子：遠(yuǎn)程控制的軟件Worm.Win32.Delf.bd Trojan.PSW.Win32.Online

16、Games.GEN（瑞星） OnlineGames：盜竊網(wǎng)絡(luò)銀行、在線(xiàn)(zi xin)游戲密碼共六十三頁(yè)前綴(qinzhu) + 病毒名 + 后綴按病毒發(fā)作的時(shí)間命名 ：黑色星期五按病毒發(fā)作癥狀命名：“小球” /“火炬”按病毒自身包含的標(biāo)志命名：病毒中出現(xiàn)的字符串、病毒標(biāo)識(shí)、存放位置或病毒表現(xiàn)(bioxin)時(shí)自身宣布的名稱(chēng)。 如：Stone（石頭）病毒，愛(ài)蟲(chóng)病毒等等共六十三頁(yè)按病毒發(fā)現(xiàn)地命名 ： Jurusalem(耶路撒冷)病毒，Vienna(維也納)病毒 按病毒的字節(jié)長(zhǎng)度命名： 以病毒傳染文件(wnjin)時(shí)文件(wnjin)的增加長(zhǎng)度或病毒自身代碼的長(zhǎng)度來(lái)命名。如1575、2153、1

17、701、1704、1514、4096 等不同的反病毒公司可能對(duì)同一病毒的命名各不相同共六十三頁(yè)5.病毒的傳播(chunb)途徑-傳播手段多元化共六十三頁(yè)共六十三頁(yè)6.計(jì)算機(jī)病毒對(duì)抗(dukng)手段（1） 特征碼掃描 利用病毒留在被感染文件中的病毒特征值（即每種病毒所獨(dú)有的十六進(jìn)制代碼串）進(jìn)行檢測(cè)。 優(yōu)點(diǎn)：速度(sd)快，誤報(bào)率低，是檢測(cè)已知病毒最簡(jiǎn)單、開(kāi)銷(xiāo)最小的方法。缺點(diǎn)：無(wú)法檢測(cè)新病毒 變形病毒增多，特征庫(kù)體積龐大，速度下降共六十三頁(yè)（2） 啟發(fā)式掃描 以特定方式實(shí)現(xiàn)的動(dòng)態(tài)調(diào)試器或靜態(tài)反編譯器，通過(guò)對(duì)有關(guān)指令序列的提取(tq)和分析逐步理解并確定其蘊(yùn)藏的真正動(dòng)機(jī)。 針對(duì)PE病毒：根據(jù)PE文

18、件在格式上的特征制定啟發(fā)式 分析方法，如代碼是否從最后一節(jié)開(kāi)始執(zhí)行、是否重定位。優(yōu)點(diǎn)：可能檢測(cè)到未知病毒缺點(diǎn)：誤報(bào) 共六十三頁(yè)（3）虛擬機(jī)（ Virtual Machine ）技術(shù) 實(shí)現(xiàn)了一個(gè)虛擬機(jī)來(lái)仿真CPU、內(nèi)存管理系統(tǒng)等系統(tǒng)組件，進(jìn)而(jn r)模擬代碼執(zhí)行過(guò)程，這樣病毒就是在掃描器的虛擬機(jī)中模擬執(zhí)行，而不是被真實(shí)的CPU執(zhí)行。優(yōu)點(diǎn)：檢測(cè)加密和多態(tài)病毒、動(dòng)態(tài)解密程序。共六十三頁(yè)（4） 主動(dòng)防御技術(shù) 全程監(jiān)視進(jìn)程行為通過(guò)對(duì)病毒的行為特征(tzhng)進(jìn)行分析采用啟發(fā)式的判斷來(lái)進(jìn)行病毒防御。相對(duì)于以上集中掃描方法而言，主動(dòng)防御更準(zhǔn)確的說(shuō)是一種實(shí)時(shí)監(jiān)控技術(shù)。 共六十三頁(yè)7. 計(jì)算機(jī)病毒自我(zw)保護(hù)技術(shù) （1） 加殼變形 逃避檢測(cè)和提高病毒的生命周期 （2） 直接對(duì)抗殺毒軟件躲避現(xiàn)有(xin yu)病毒檢測(cè)技術(shù)、繞過(guò)反病毒軟件，增加自身的生命周期。終結(jié)反病毒軟件或其部分功能。共六十三頁(yè)8. 待發(fā)展(fzhn)的計(jì)算機(jī)病毒對(duì)