計算機病毒.ppt

1、計算機病毒分析和預防技術，議程內容，第一章計算機病毒的概念和概況，第二章計算機病毒分類介紹和技術分析，第三章防病毒技術介紹和病毒分析處理，第四章防病毒產品介紹和安全系統構筑，本章概要，第一節(jié)計算機城第二節(jié)電腦病毒的發(fā)生第三節(jié)電腦病毒的疫病和互聯網的安全狀況、電腦病毒的概念，廣義上是指引起電腦故障、破壞電腦數據的程序總稱“電腦病毒” 根據這個定義，蠕蟲、特洛伊木馬、惡意軟件等程序可以稱為“計算機病毒”。 電腦病毒特性：破壞性、隱蔽性、傳染性、潛伏性。 “電腦病毒是指破壞插入電腦程序中的電腦功能，破壞數據，影響電腦的使用， 可自我感染的計算機指令和程序代碼的集合。中華人民共和國計算機信息系統安全保

2、護條例第28條(1994年2月18日中華人民共和國國務院令147號公布)，計算機病毒的特性、破壞性是計算機病毒的主要特征，不具有破壞行為的指令和任何病毒只要侵入系統，就會對系統和應用程序產生程度的影響，輕者占有系統資源，降低計算機的生產效率，重者盜竊數據，破壞數據和程序，使系統崩潰。 從這個特性可以把病毒分為良性病毒和惡性病毒。 良性疾病度可能只顯示畫面和音樂等無聊的詞匯，或者沒有任何破壞行為，消耗系統資源。 例如，無法關閉的笑話程序等。 惡性病毒有明確的目的，如盜取銀行賬號和密碼等重要信息，打開后門接受遠程控制。 隱蔽性計算機病毒是用與通常的程序相同的技術寫的，但是為了其破壞的目的，用戶為了

3、不發(fā)現或刪除它，隱藏了成千上萬的線索。 病毒通常沒有可見的接口，而是用過程或隱藏文件等手段隱藏自己。 大多數病毒的代碼修訂得非常短，也是為了隱蔽。 電腦病毒的特性、傳染性電腦病毒也和自然界的生物病毒一樣具有傳染性。 病毒制作者將盡一切努力讓更多的計算機系統感染病毒，以最大限度地達到其目的。 病毒通常通過網絡和可移動媒體等各種渠道從感染的計算機向未感染的計算機擴散，感染型病毒通過將自身直接嵌入普通程序的方式來感染。 潛伏性的許多病毒感染系統不會立即發(fā)作，它可以長期隱藏在系統中，只有在滿足其特定條件時才能啟動其表達(破壞)模塊，例如某些病毒會在特定時間發(fā)作。計算機病毒工作流、感染、一、源代碼嵌入攻

4、擊型等病毒入侵主要是高級語言的源程序，病毒在源程序編譯前插入病毒代碼，最后與源程序一起執(zhí)行二、代碼替換攻擊型這樣的病毒主要將某個程序的全部或者一部分模塊替換為自身的病毒代碼。 這種病毒的目標性很強，主要攻擊特定的程序，很難發(fā)現，驅除也很困難。 三、系統修改入侵型病毒主要用自己的程序復蓋或修改系統中的部分文件，調用或替代操作系統中的部分功能。 由于直接感染系統危害較大，是最常見的一種，文檔型病毒較多。 四、外殼寄生入侵型病毒通常附加在正常程序的頭部或尾部，相當于在程序中添加外殼，在受感染程序運行時，先執(zhí)行病毒代碼，然后將正常程序轉入存儲器。 現在，大多數文檔類型的病毒都屬于這一類。電腦病毒的入侵

5、方式，電腦病毒的傳播方式，通過互聯網1 .電子郵件2 .瀏覽網頁，下載軟件3 .即時通訊4 .網絡游戲2，通過局域網1 .軟盤2 .磁帶3 .光盤4 .可移動硬盤5.u-disc (包括數碼照相機、MP3等)6. ZIP、JAZ磁盤7 .磁光盤(mo ) 1 .通過無線網絡或設備智能化(感染Windows系統的. exe、 dll等文件，使用這些文件進行傳播) 2、蠕蟲： Worm； (通過網絡攻擊或系統漏洞進行傳播，通常發(fā)送有毒郵件，阻止網絡) 3，腳本病毒： Script。 VBS/JS日本電視臺； (用腳本語言編寫，通過網頁進行傳播) 4，木馬/黑客病毒： Trojan/Hack。 PS

6、W/PWD； (木馬入侵系統后隱藏，向外部泄露用戶信息，黑客病毒擁有視覺界面，可以遠程控制用戶的計算機，兩者有配對出現，匹配的傾向) 5，后門病毒： Baba 在系統上打開后門，給用戶的電腦帶來安全危險) 6、栽培程序病毒： Dropper (運行時放出一個或多個新病毒，并被新放出的病毒破壞) 7、 綁定病毒： Binder (將病毒和某些應用程序綁定到表面正常的文件，在運行時隱藏病毒并運行) 8、宏病毒： Macro、Word(97 )、Excel(97 )等(感染OFFICE文檔并通用) (2)笑話型病毒： Joke； 其他(3)拒絕攻擊類： DoS； (4)溢出類病毒： Exploit；

7、 (5)黑客工具類：黑客工具； 常見病毒前綴，本章概要，第一節(jié)計算機病毒的定義，特征和原理，第二節(jié)計算機病毒的發(fā)生，發(fā)展和危害，第三節(jié)計算機病毒的疫病和互聯網的安全狀況，計算機病毒源頭，計算機系統的復雜性和脆弱性各種矛盾激化經濟利益被動了的夸耀，玩笑，淘氣，報復，電腦病毒的發(fā)展，病毒的發(fā)展的歷史電腦病毒的起源：電腦病毒的概念其實相當早，在第一臺商用電腦出現的幾年前，電腦的先驅者但是當時，大多數計算機專家都不能想象有這樣的自我繁殖過程。 1975年，美國科普作家約翰藍色(John Brunner )寫了一本名為沖擊波騎士(Shock Wave Rider )的書，這本書第一次在信息社會中，描寫了

8、電腦作為正義和邪惡雙方斗爭工具的故事，是當時的暢銷書之一電腦病毒的發(fā)展，第一個電腦病毒：到了1987年，第一個電腦病毒C-BRAIN終于誕生了(似乎這并不值得慶祝)。 一般來說，這被業(yè)界認為是真正具有完整特征的計算機病毒的始祖。 這個病毒程序是巴基斯坦兄弟巴斯特(Basit )和Amjad寫的，他們在當地經營電腦銷售店，在當地盜竊復印軟件的風氣非常盛行，他們的目的主要是他們的軟件任意如果有人偷盜復印軟件，C-BRAIN就會發(fā)作，吃掉偷來的復印者硬盤的剩馀空間。 這種病毒當時殺傷力不大，但是后來也有人將C-BRAIN變形為藍圖，制造出變形的病毒。 其他新的病毒創(chuàng)作也相繼出現，不僅是個人創(chuàng)作，還出

9、現了很多創(chuàng)作小組(如NuKE、Phalcon/Skism、VDV )。 各類禁毒、殺毒和殺毒軟件及專業(yè)公司也相繼出現。 不久，各種病毒的創(chuàng)作和防病毒程序，就像百家爭鳴一樣不斷更新。電腦病毒的發(fā)展，病毒的發(fā)展階段在病毒的發(fā)展史上，病毒的出現是有規(guī)律的，一般在新的病毒技術出現后，病毒會迅速發(fā)展，然后防病毒技術的發(fā)展會抑制其流傳。 此外，操作系統升級后，病毒也會調整為新的方式，產生新的病毒技術。 總而言之，病毒可以分為以下發(fā)展階段： DOS誘導階段1987年，電腦病毒主要是誘導型病毒，代表性的是“小球”和“石”病毒。 當時的電腦硬件少，功能簡單，所以一般需要用軟盤啟動使用。 另一方面，引導型病毒利用

10、軟盤的啟動原理進行工作，修改系統的啟動扇區(qū)，在計算機啟動時首先取得控制權，減少系統內存，修改磁盤的讀寫中斷，影響系統的生產效率，系統訪問磁盤出現可執(zhí)行文件型病毒，使用DOS系統加載可執(zhí)行文件的機制(例如“耶路撒冷”、“星期天”等病毒)發(fā)揮作用。 可執(zhí)行病毒的病毒代碼在系統執(zhí)行文件時獲得控制權，修正DOS中斷，在系統調用時感染，將自己附加到可執(zhí)行文件，增加文件長度。 1990年發(fā)展為復合型病毒，能夠感染COM和EXE文件。 電腦病毒的發(fā)展，伴隨著體型階段的1992年出現了伴隨型病毒，利用DOS加載文件的優(yōu)先順序進行作業(yè)。 代表性的是“金蟬”病毒，在感染EXE文件的同時，與EXE同名的擴展名生成C

11、OM伴隨體。 如果感染了COM文件，則原始COM文件更改為同名EXE文件，生成原始名稱的伴隨體，文件擴展名為COM。 這樣，當DOS加載文件時，病毒將獲得控制權并優(yōu)先執(zhí)行自己的代碼。 這樣的病毒不變更原文件的內容、日期和屬性，在解除病毒時刪除其伴隨體即可，非常容易。 代表性的是“海盜旗”病毒，運行時詢問用戶名和密碼，返回錯誤信息刪除自己。 變種階段1995年，匯編語言中，一些數據的運算可以放入不同的通用寄存器中，運算相同的結果，隨機插入一些與空操作無關的指令，不影響運算結果。 由此，一些解碼算法可以依據生成器生成不同的變種。 其代表作品“病毒制造機”VCL能夠瞬間制造數千種不同的病毒，調查時不

12、能使用傳統的特征識別法，需要宏觀地分析命令、解碼檢查病毒，大大提高了復雜性。 電腦病毒的發(fā)展，網絡，蠕蟲的階段隨著網絡的普及，病毒開始利用網絡傳播，這些都是上一代病毒的改良。 在Windows操作系統中，“蠕蟲”是典型的代表，不消耗除內存以外的資源，不修改盤文件，利用網絡功能檢索網絡地址，將自身傳播到下一個地址，有時也是網絡服務器和啟動文件在Windows窗口階段1996年，隨著Windows的普及，使用Windows傳播的病毒開始發(fā)展，它們的修改(NE，PE )文件典型的是DS.3873，這些病毒的機制更加復雜，保護模式和宏病毒階段在1996年，隨著MS Office功能的增強和盛行，也可以

13、使用Word宏語言制作病毒，感染Word文件。 由于Word文件格式沒有公開，這樣的病毒的調查很困難。 在互聯網的階段1997年，隨著互聯網的發(fā)展，各種病毒也開始利用互聯網進行傳播破壞，利用郵件和即時聊天軟件等進行傳播的蠕蟲開始大量出現。 隨著網上購物、網上銀行等電子商務的發(fā)展和網絡游戲的發(fā)展，盜取網上銀行賬號、網絡游戲賬號等用戶機密信息的木馬程序開始泛濫，近年來利用互聯網降低其他病毒更改默認項目Host文件，如計算機病毒發(fā)展、計算機病毒危害、IE瀏覽器侵占、主頁篡改、默認搜索等，使用戶無法訪問某些網站， 或者引導到phishing網站。添加驅動程序保護，使用戶無法刪除某些軟件。更改系統啟動項

14、目，使某些惡意軟件可以和系統一起啟動。在用戶的計算機上設置后門。 黑客通過這個后門遠程控制中毒機器，構成僵尸網絡，采用對外開始攻擊，發(fā)送垃圾郵件，點擊網絡廣告等有利的視頻劫機技術，使得多種防病毒軟件和安全工具無法使用記錄鼠標操作，偷竊銀行卡，網游密碼等信息記錄用戶的照相機操作，能夠遠程窺視隱私，減慢用戶的機器運行，大量消耗系統資源本章的概要，第1節(jié)計算機病毒的定義第二節(jié)計算機病毒的發(fā)生、發(fā)展和危害，第三節(jié)計算機病毒疫情和互聯網安全狀況，病毒數量激增，木馬，后門居首位，木馬病毒密切過程的模式，2007年上半年的十大病毒，2007年上半年的全國基于黑客脆弱性的攻擊盡可能采取不可避免的傳播方式，網頁

15、和USBu光盤成為重要途徑的自我防御能力增強團隊化特征顯然主要針對基礎網絡應用利益商業(yè)化運營區(qū)域化特征顯而易見， 攻擊目標明確的電子郵件網站閱覽網絡銀行和證券網絡游戲網絡下載，現代病毒的特征，議程內容，第一章計算機病毒的概念，概況和現狀，第二章計算機病毒分類介紹和技術分析，第三章防病毒技術介紹和病毒分析處理第四章防病毒產品介紹和安全系統構筑，本章概要，第一節(jié)電腦病毒分類介紹第二節(jié)現代電腦病毒慣用技術手段分析，第三節(jié)現在流行的電腦病毒專業(yè)技術詳情，早期病毒DOS病毒， 概念： DOS病毒指針是針對DOS操作系統開發(fā)的病毒，是只能在DOS環(huán)境中運行、感染的計算機病毒，最早出現的計算機當前幾乎沒有新

16、制造的DOS病毒，Windows系統DOS病毒幾乎消失了，但有相當一部分感染Windows 9X系統進行傳播，或者引起系統恐慌或程序異常。 分類：誘導型：指感染了誘導部門的病毒，例如“my病毒”的文件類型：指感染了DOS可執(zhí)行文件(.EXE、 COM、 BAT )的病毒混合型：指感染(主)誘導和文件感染兩種病毒。 幽靈病毒、Natas病毒等代表：耶路撒冷(Jerusalem )、米開朗基羅(Michelangelo )、Monkey、Music Bug等。 危害： DOS時代的病毒種類相當復雜，而且改寫現有病毒的人絡繹不絕，后期也有人寫所謂的“雙體引擎”，一個病毒可以創(chuàng)造出更多樣的樣子。 另一方面，病毒發(fā)作的癥狀各種各樣，有刪除文件的，有刪除Format硬盤的，在屏幕上顯示各種圖形和聲音的。 但是，現在對于這些DOS時代的古董級病毒，大部分的防病毒軟件都很容易清理，