计算机病毒及防治文档PPT文档.ppt

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,计算机病毒及防治,计算机病毒的发展历史,1986,年,1,月，首例病毒：巴基斯坦病毒,(Pakistan,或称,Brain,病毒,),，,1986-1995,年间主要通过软盘传播。,1989,年春，在我国发现了首例计算机病毒,小球病毒,1999,年,email,出现之前，利用微软,Word,等程序的宏病毒将散布时间从数周甚至数月缩短到了数天。,1998,年的,CIH,1998,年以后：红色代码、尼姆达、冲击波,1990,年，赛门铁克推出了,Norton Antivirus,，这是由一家重要软件公司开发出的第一个反病毒程序。,3.1.1,计算机病毒的概念和发展史,1,萌芽阶段,2,DOS,平台阶段,3,Windows,平台阶段,4,互联网阶段,3.1.2,计算机病毒的特征,计算机病毒一般具有以下几个特征。,1,传染性,病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。,2,非授权性,隐藏在正常文件中，窃取到系统的控制权，病毒的动作、目的队用户是未知的，未经用户许可的。,3,隐蔽性,不经过代码分析，很难将病毒程序与正常程序区别开来。,4,潜伏性,一般不会马上发作，可能隐藏在合法程序中，默默进行传染扩散而不被人发现。,5,破坏性,一旦发作会造成系统或数据的损伤甚至毁灭。,6,不可预见性,不同种类的病毒，它们的代码千差万别,3.1.3,计算机病毒的种类,1,按病毒的寄生方式分类,（,1,）文件型病毒,（,2,）引导型病毒,（,3,）混合型病毒,2,按病毒的传染方法分类,（,1,）驻留型病毒,（,2,）非驻留型病毒,3,按病毒的破坏能力分类,（,1,）无害性,具有病毒的特征，传染时仅减少磁盘的可用空间，对系统没有其他影响。,（,2,）无危害性,这类病毒对系统影响较小，仅是减少内存，显示信息、图像或发出声音等。,（,3,）危险性,这类病毒在计算机系统操作中造成严重的错误。,（,4,）非常危险性,这类病毒会删除程序，破坏数据，清除系统内存区和操作系统中重要的信息，甚至会破坏计算机硬件，对系统的危害是最大的。,4,按病毒特有的算法分类,（,1,）伴随型病毒,（,2,）“蠕虫”病毒,（,3,）寄生型病毒,5,按病毒的链接方式分类,（,1,）源码型病毒,（,2,）嵌入型病毒,（,3,）外壳病毒,（,4,）操作系统型病毒,3.2 计算机病毒的工作机理,3.2.1,引导型病毒,1,引导区的结构,2,计算机的引导过程,3,引导型病毒的基本原理,覆盖型和转移型,图,3.1,转移型引导病毒的原理图,3.2.2,文件型病毒,（,1,）,内存驻留的病毒首先检查系统内存，查看内存是否已有此病毒存在，如果没有则将病毒代码装入内存进行感染。,（,2,）,对于内存驻留病毒来说，驻留时还会把一些,DOS,或者基本输入输出系统（,BIOS,）的中断指向病毒代码,（,3,）,执行病毒的一些其他功能，如破坏功能，显示信息或者病毒精心制作的动画等。,（,4,）,这些工作后，病毒将控制权返回被感染程序，使正常程序执行。,（,a,）引导型病毒,（,b,）文件型病毒,病毒的传播、破坏过程,返回本节,3.2.3,混合型病毒,混合型病毒顾名思义就是集引导型和文件型病毒特性为一体的病毒，它们可以感染可执行文件，也可以感染引导区，并使之相互感染，具有相当强的感染力。,3.2.4,宏病毒,宏病毒是计算机病毒历史上发展最快的病毒，它也是传播最广泛，危害最大的一类病毒。据国际计算机安全协会（,International Computer Security Association,）的统计报道，在当前流行的病毒中，宏病毒占全部病毒的,80%,左右。,宏病毒是一类使用宏语言编写的程序，依赖于微软,Office,办公套件,Word,、,Excel,和,PowerPoint,等应用程序传播。,1,宏病毒的特征,（,1,）,宏病毒与传统的文件型病毒有很大的不同。,（,2,）,宏病毒的感染必须通过宏语言的执行环境（如,Word,和,Excel,程序）的功能，不能直接在二进制的数据文件中加入宏病毒代码。,（,3,）,宏病毒是一种与平台无关的病毒，任何可以正确打开和理解,Word,文件宏代码的平台都可能感染宏病毒。,（,4,）,此外宏病毒编写容易，破坏性强。它使用,Visual Basic For Applications,（,VBA,）这样的高级语言编写，编写比较简单，功能比较强大，只要掌握一些基本的“宏”编写手段，即可编写出破坏力很大的宏病毒。,（,5,）,宏病毒的传播速度极快。由于网络的普及，,Email,和,FTP,服务使人们更加方便快捷地获取信息，但同时也为宏病毒的传播提供了便利条件。而且，随着“无纸办公”方式的使用，微软,Office,软件已经成为办公人员不可缺少的工具，这也为宏病毒提供了广阔的天地。,2,宏病毒的感染机制,3,宏病毒的表现,（,1,）有些宏病毒只进行自身的传播，并不具破坏性。,（,2,）这些宏病毒只对用户进行骚扰，但不破坏系统。,（,3,）有些宏病毒极具破坏性。,3.2.5,网络病毒,1,蠕虫病毒的传播过程,蠕虫病毒的传播可以分为,3,个基本模块：,（,1,）扫描,由蠕虫病毒的扫描功能模块负责探测存在漏洞的主机。,（,2,）攻击,攻击模块按漏洞攻击步骤自动攻击步骤（,1,）中找到的对象，取得该主机的权限（一般为管理员权限），获得一个,shell,。,（,3,）复制,复制模块通过原主机和新主机的交互将蠕虫病毒程序复制到新主机并启动。,2,蠕虫病毒的入侵过程,手动入侵一般可分为以下三步。,（,1,）,用各种方法收集目标主机的信息，找到可利用的漏洞或弱点。,（,2,）,针对目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限。对搜集来的信息进行分析，找到可以有效利用的信息。,（,3,）,利用获得的权限在主机上安装后门、跳板、控制端和监视器等，并清除日志。,（,1,）“扫描攻击复制”模式,（,2,）蠕虫病毒传播的其他模式,3,蠕虫病毒的安全防御,3.3 计算机病毒实例,3.3.1 CIH,病毒,CIH,病毒是一种文件型病毒，又称,Win95.CIH,、,Win32.CIH,以及,PE_CIH,，其宿主是,Windows 95/98,系统下的,PE,格式可执行文件（,.EXE,文件），在,DOS,平台和,Windows NT/2000,平台中病毒不起作用。,CIH,病毒简介,1,CIH,病毒分析,CIH,病毒是迄今为止发现的最阴险、危害最大的病毒之一。它发作时不仅破坏硬盘的引导扇区和分区表，而且破坏计算机系统,FLASH BIOS,芯片中的系统程序，导致主板损坏。,2,CIH,病毒发作时的现象,CIH,病毒发作时，将用凌乱的信息覆盖硬盘主引导区和系统,BOOT,区，改写硬盘数据，破坏,FLASH BIOS,，用随机数填充,FLASH,内存，导致机器无法运行。所以该病毒发作时仅会破坏可升级主板的,FLASH BIOS,。,1,CIH,病毒的驻留（病毒的引导）,当运行带有,CIH,病毒的,.exe,文件时，首先调入内存执行的是病毒的驻留程序，驻留程序为,184,。,2,病毒的传染,病毒驻留在内存过程中调用,Windows,内核底层函数。,CIH,不会重复感染,PE,格式文件。,3,病毒的表现,1),病毒通过主板的,BIOS,端口地址,0CFEH,和,0CFDH,向,BIOS,引导块内各写一个字节的代码，造成主机无法启动。,2),通过调用,Vxd call IOS_SendCommand,直接对磁盘进行存取，将垃圾代码以,2048,个扇区为单位，覆盖硬盘的数据,(,含逻辑片）,3.3.2,红色代码病毒,红色代码病毒是一种新型网络病毒,从一台服务器内存传染到另一台服务器内存,攻击装有,IIS,服务的系统,红色代码,II,：,攻击任何语言的系统,在被攻击的系统上植入木马程序,利用,IIS,服务程序的堆栈溢出漏洞,病毒代码创建,300,个病毒线程（中文,600,个），向随机地址的,80,端口发送病毒传染数据包,强行重启计算机,3.3.3,冲击波病毒,针对,Windows,操作系统,(NT/2000/XP/2003),安全漏洞；,利用,IP,扫描技术寻找,Windows,操作系统的计算机,利用,DCOM RPC,缓冲区漏洞进行攻击,冲击波病毒的清除,冲击波病毒的清除方法如下。,（,1,）,病毒通过微软的最新,RPC,漏洞进行传播，因此用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁。,（,2,）,病毒运行时会建立一个名为“,BILLY”,的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立一个名为“,msblast”,的进程，用户可以用任务管理器将该病毒进程终止。,（,3,）,病毒运行时会将自身复制为,%systemdir%msblast.exe,，用户可以手动删除该病毒文件。,（,4,）,病毒还会修改注册表的,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows,CurrentVersionRun,项，在其中加入“,windows auto update”=“msblast.exe”,，进行自启动，用户可以手工清除该键值。,（,5,）,病毒会用到,135,、,4444,和,69,等端口，用户可以使用防火墙软件将这些端口禁止或者使用“,TCP/IP,筛选”功能来禁止这些端口。,3.4 计算机病毒的检测和清除,3.4.1,计算机病毒的检测,计算机病毒的检测技术是指通过一定的技术手段判定计算机病毒的一门技术。,现在判定计算机病毒的手段主要有两种：一种是根据计算机病毒特征来进行判断，另一种是对文件或数据段进行校验和计算，保存结果，定期和不定期地根据保存结果对该文件或数据段进行校验来判定。,特征判定技术,根据病毒程序的特征，如感染标记、特征程序段内容、文件长度变化、文件校验和变化等，对病毒进行分类处理，而后凡是有类似特征点出现，则认定是病毒。,行为判定技术,以病毒机理为基础，对病毒的行为进行判断，不仅识别现有病毒，而且识别出属于已知病毒机理的变种病毒和未知病毒。,1.特征判定技术,（,1,）,比较法,：将可能的感染对象与其原始备份进行比较。,优点：简单易行；,缺点：无法确认是否为病毒，且无法识别病毒种类。,特征判定技术,（,2,）,扫描法,：用每一种病毒代码中含有的特定字符或字符串对被检测的对象进行扫描。,实现扫描的软件叫做特征扫描器。组成部分：,病毒特征库：包含各种病毒的特征字符或字符串；,扫描引擎：对检测对象进行匹配性扫描。,优点：能准确查处病毒种类和名称；,缺点：只能查出病毒特征库中的已知病毒。,特征判定技术,（,3,）,分析法,:,针对未知新病毒采用的技术。,工作过程如下：,确认被检查的磁盘引导扇区或计算机文件中是否含有病毒。,确认病毒的类型和种类，判断它是否为一种新病毒；,分析病毒程序的大致结构，提取识别用的特征字符或字符串，添加到病毒特征库中；,分析病毒程序的详细结构，为制定相应的反病毒措施提供方案。,2.校验和判定技术,计算正常文件内容的校验和，将校验和保存。检测时，检查文件当前内容的校验和与原来保存的校验和是否一致。,优点：能发现未知病毒；,缺点：无法识别病毒种类。,利用病毒的特有行为特性进行监测，一旦发现病毒行为则立即报警。,病毒具有一些比较特殊的共同行为：,（,1,）占有,INT 13H,。所有的引导型病毒，都攻击引导扇区或主引导扇区。,（,2,）改,DOS,系统为数据区的内存总量。,（,3,）对,.COM,与,.EXE,文件进行写入操作。,（,4,）病毒程序与宿主程序的切换。,3.行为判定技术,4,软件模拟法,是一种软件分析器，用软件的方法来模拟和分析程序的运行。,5,病毒指令码模拟法,（,Virus Instruction Code Emulation,）,采用专家系统知识库，利用软件工程模拟技术假执行新的病毒，来分析出新的病毒代码。,3.4.2,计算机病毒的消除,1,引导型病毒的清除,2,文件型病毒的清除,3,宏病毒的清除,1.,消除引导型病毒,（引导型病毒的物理载体是磁盘，硬盘中,OS,的引导扇区包括第一物理扇区和第一逻辑扇区。第一物理扇区存放的是表明硬件类型和分区信息的主引导记录,(MBR),，第一逻辑扇区存放的是分区引导记录。）,自动清除方法,病毒软件自动检测和清除已知的引导型病毒，包括,MBR,中的病毒，并修复被感染的引导扇区。,人工修复染毒的硬盘,格式化硬盘可以清除分区引导记录中的病毒，但不能消除主引导记录中的病毒。用低级格式化工具如,FDISK,，输入,FDISK/MBR,可以解决这个问题。,1,、,什么是计算机病毒,2,、,计算机病毒的特征,3,、,计算机病毒的分类,4,、,计算机病毒的预防,5,、了解使用安全常识,目录,1,、,什么是计算机病毒,2,、,计算机病毒的特征,3,、,计算机病毒的分类,4,、,计算机病毒的预防,5,、了解使用安全常识,目录,1,、,什么是计算机病毒,2,、,计算机病毒的特征,3,、,计算机病毒的分类,4,、,计算机病毒的预防,5,、了解使用安全常识,目录,1,、,什么是计算机病毒,2,、,计算机病毒的特征,3,、,计算机病毒的分类,4,、,计算机病毒的预防,5,、了解使用安全常识,目录,1,、,什么是计算机病毒,2,、,计算机病毒的特征,3,、,计算机病毒的分类,4,、,计算机病毒的预防,5,、了解使用安全常识,目录,计算机病毒的含义,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,返回,计算机病毒的特征,寄生性,破坏性,传染性,潜伏性,隐蔽性,计算机病毒的特征,寄生性,破坏性,传染性,潜伏性,隐蔽性,计算机病毒的特征,寄生性,破坏性,传染性,潜伏性,隐蔽性,无论何种病毒程序一旦侵入系统都会对操作系统的运行造成不同程度的影响。即使不直接产生破坏作用的病毒程序也要占用系统资源,(,如占用内存空间,，,占用磁盘存储空间以及系统运行时间等,),。因此,，,病毒程序的副作用轻者降低系统工作效率,，,重者导致系统崩溃、数据丢失。,计算机病毒的特征,寄生性,破坏性,传染性,潜伏性,隐蔽性,传染性是计算机病毒最重要的特征,，,是判断一段程序代码是否为计算机病毒的依据。病毒程序一旦侵入计算机系统就开始搜索可以传染的程序或者磁介质,，,然后通过自我复制迅速传播。由于目前计算机网络日益发达,，,计算机病毒可以在极短的时间内,，,通过像,Internet,这样的网络传遍世界。,计算机病毒的特征,寄生性,破坏性,传染性,潜伏性,隐蔽性,计算机病毒具有依附于其他媒体而寄生的能力,，,这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力,，,病毒传染合法的程序和系统后,，,不立即发作,，,而是悄悄隐藏起来,，,然后在用户不察觉的情况下进行传染。这样,，,病毒的潜伏性越好,，,它在系统中存在的时间也就越长,，,病毒传染的范围也越广,，,其危害性也越大。,计算机病毒的特征,寄生性,破坏性,传染性,潜伏性,隐蔽性,计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序。它通常粘附在正常程序之中。病毒想方设法隐藏自身,，,不到发作时机，整个计算机系统看上去一切正常。可,想而知，这种特性使得计算机用户对病毒丧失了应有的警惕性。,返回,返回,计算机病毒的分类,按传染方式分,引导区型病毒,文件型病毒,混合型病毒,宏病毒,Internet,病毒（网络病毒）,计算机病毒的预防,专机专用；利用写保护；固定启动方式；,慎用网上下载的软件；分类管理数据；建立备份；采用防病毒卡或病毒预警软件；定期检查；严禁在计算机上玩电子游戏。,返回,计算机使用安全常识,电源要求,环境洁净要求,室内温度、湿度要求,防止干扰,注意正常开关机,返回,