计算机网络安全计算机病毒防范技术培训课件.ppt

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,计算机网络安全计算机病毒防范技术,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第八章 计算机病毒防范技术,*,计算机网络安全计算机病毒防范技术,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第八章 计算机病毒防范技术,*,计算机网络安全计算机病毒防范技术,*,计算机网络安全计算机病毒防范技术,8.1,概 述,计算机病毒的定义,计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,美国计算机安全专家,Fred Cohen,博士认为：计算机病毒是一种能传染其它程序的程序，病毒是靠修改其它程序，并把自身的拷贝嵌入其它程序而实现的。,返回本章首页,2,计算机网络安全计算机病毒防范技术,计算机病毒的特性,计算机病毒是一个程序；,计算机病毒具有传染性，可以传染其它程序；,计算机病毒的传染方式是修改其它程序，把自身拷贝嵌入到其它程序中而实现的；,计算机病毒的定义在很多方面借用了生物学病毒的概念，因为它们有着诸多相似的特征，比如能够自我复制，能够快速“传染”，且都能够危害“病原体”，当然计算机病毒危害的“病原体”是正常工作的计算机系统和网络。,3,计算机网络安全计算机病毒防范技术,计算机病毒简史-1,早在,1949,年，计算机的先驱者冯,诺依曼在他的一篇论文,复杂自动机组织论,中，提出了计算机程序能够在内存中自我复制，即已把病毒程序的蓝图勾勒出来。,十年之后，在美国电话电报公司（,AT&T,）的贝尔实验室中，三个年轻程序员道格拉斯,麦耀莱、维特,维索斯基和罗伯,莫里斯在工作之余想出一种电子游戏叫做“磁芯大战”。,1975,年，美国科普作家约翰,布鲁勒尔写了一本名为,震荡波骑士,的书，该书第一次描写了在信息社会中，计算机成为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。,1977,年夏天，科幻小说,P-1,的青春,幻想了世界上第一个计算机病毒，可以从一台计算机传染到另一台计算机，最终控制了,7000,台计算机，酿成了一场灾难，这实际上是计算机病毒的思想基础。,4,计算机网络安全计算机病毒防范技术,计算机病毒简史-2,1983,年,11,月,3,日，弗雷德,科恩博士研制出一种在运行过程中可以复制自身的破坏性程序，伦,艾德勒曼将它命名为计算机病毒（,Viruses,），并在每周一次的计算机安全讨论会上正式提出，,8,小时后专家们在,VAX11/750,计算机系统上运行，第一个病毒实验成功，一周后又获准进行,5,个实验的演示，从而在实验上验证了计算机病毒的存在。,1986,年初，在巴基斯坦的拉合尔，巴锡特和阿姆杰德两兄弟编写了,Pakistan,病毒，该病毒在一年内流传到了世界各地，使人们认识到计算机病毒对,PC,机的影响。,1987,年,10,月，美国第一例计算机病毒（,Brian,）被发现。此后，病毒就迅速蔓延开来，世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、,IBM,圣诞树、黑色星期五等等。,1988,年,3,月,2,日，一种苹果机病毒发作。,1988,年,11,月,3,日，美国,6,千台计算机被病毒感染，造成,Internet,不能正常运行。这是一次非常典型计算机病毒入侵计算机网络的事件。,1989,年，“米开朗基罗”病毒给许多计算机用户造成极大损失。,5,计算机网络安全计算机病毒防范技术,计算机病毒简史-3,1991,年，在“海湾战争”中，美军第一次将计算机病毒用于实战。,1992,年，出现针对杀毒软件的“幽灵”病毒，如,One_Half,。还出现了实现机理与以往的文件型病毒有明显区别的,DIR2,病毒。,1994,年,5,月，南非第一次多种族全民大选的计票工作，因计算机病毒的破坏停止,30,余小时，被迫推迟公布选举结果。,1996,年，出现针对微软公司,Office,的“宏病毒”。,1997,年公认为计算机反病毒界的“宏病毒年”。,1998,年，首例破坏计算机硬件的,CIH,病毒出现，引起人们的恐慌。,1999,年,3,月,26,日，出现一种通过因特网进行传播的“美丽杀手”病毒。,1999,年,4,月,26,日，,CIH,病毒在我国大规模爆发，造成巨大损失。,2000,年,5,月,4,日，爱虫病毒开始在全球各地迅速传播。该病毒通过,Microsoft Outlook,电子邮件系统传播令全球为此损失,100,亿美元。,6,计算机网络安全计算机病毒防范技术,计算机病毒简史-4,2001,年完全可以被称为“蠕虫之年”。,Nimda,（尼姆达）、,CodeRed,（红色代码）、,Badtrans,（坏透了）,出现的蠕虫病毒不仅数量众多，而且危害极大，感染了数百万台电脑。,在,2002,年新生的计算机病毒中，木马、黑客病毒以,61%,的绝对数量占据头名。网络病毒越来越成为病毒的主流。,2003,年的,1,月,25,日，仅在“,SQL,杀手”病毒出现的当天，我国就有,80%,的网络服务供应商先后遭受此蠕虫病毒的攻击，造成许多网络的暂时瘫痪。,2003,年的,8,月,12,日，名为“冲击波”的病毒在全球袭击,Windows,操作系统，据估计可能感染了全球一、两亿台计算机，在国内导致上千个局域网瘫痪。,7,计算机网络安全计算机病毒防范技术,计算机病毒的特征,非授权可执行性,隐蔽性,传染性,潜伏性,表现性或破坏性,可触发性,8,计算机网络安全计算机病毒防范技术,计算机病毒的主要危害,直接破坏计算机数据信息,占用磁盘空间和对信息的破坏,抢占系统资源,影响计算机运行速度,计算机病毒错误与不可预见的危害,计算机病毒的兼容性对系统运行的影响,给用户造成严重的心理压力,9,计算机网络安全计算机病毒防范技术,8.2,计算机病毒的工作原理和分类,10,计算机网络安全计算机病毒防范技术,8.2.1,计算机病毒的工作原理,1,计算机病毒的结构,（,1,）病毒的逻辑结构,（,2,）病毒的磁盘存储结构,（,3,）病毒的内存驻留结构,11,计算机网络安全计算机病毒防范技术,（1）病毒的逻辑结构,病毒的引导模块；,病毒的传染模块；,病毒的发作（表现和破坏）模块。,引导模块,传染条件判断模块,实施传染模块,触发条件判断模块,实施表现或破坏模块,图,8-1,计算机病毒的模块结构,12,计算机网络安全计算机病毒防范技术,（2）病毒的磁盘存储结构,磁盘空间结构,经过格式化后的磁盘应包括：,主引导记录区（硬盘）,引导记录区,文件分配表（,FAT,）,目录区,数据区,13,计算机网络安全计算机病毒防范技术,（2）病毒的磁盘存储结构,系统型病毒的磁盘存储结构,病毒的一部分存放在磁盘的引导扇区中,另一部分则存放在磁盘其它扇区中,引导型病毒没有对应的文件名字,14,计算机网络安全计算机病毒防范技术,（2）病毒的磁盘存储结构,文件型病毒的磁盘存储结构,文件型病毒专门感染系统中可执行文件；,其程序依附在被感染文件的首部、尾部、中部或空闲部位；,绝大多数文件型病毒都属于外壳型病毒。,15,计算机网络安全计算机病毒防范技术,（3）病毒的内存驻留结构,系统型病毒的内存驻留结构,系统型病毒是在系统启动时被装入的,病毒程序将自身移动到适当的内存高端,采用修改内存向量描述字的方法隐藏自己,有些病毒也利用小块没有使用的低端内存系统,16,计算机网络安全计算机病毒防范技术,（3）病毒的内存驻留结构,文件型病毒的内存驻留结构,病毒程序是在运行其宿主程序时被装入内存的，文件型病毒按其驻留内存方式可分为：,高端驻留型，典型的病毒有,Yankee,。,常规驻留型，典型的病毒有黑色星期五。,内存控制链驻留型：典型的病毒有,1701,。,设备程序补丁驻留型：典型的病毒有,DIR2,。,不驻留内存型：典型的病毒有,Vienna/648,。,17,计算机网络安全计算机病毒防范技术,2,计算机病毒的作用机制,（1）引导机制,（2）传染机制,（3）破坏机制,18,计算机网络安全计算机病毒防范技术,（1）中断与计算机病毒,中断是CPU处理外部突发事件的一个重要技术。中断类型可划分为：,中断,硬件中断,软件中断：并不是真正的中断，系统功能调用,内部中断：因硬件出错或运算出错所引起；,外部中断：由外设发出的中断；,19,计算机网络安全计算机病毒防范技术,病毒有关的重要中断,INT 08H,和,INT 1CH,的定时中断，有些病毒用来判断激发条件；,INT 09H,键盘输入中断，病毒用于监视用户击键情况；,INT 10H,屏幕输入输出，一些病毒用于在屏幕上显示信息来表现自己；,INT 13H,磁盘输入输出中断，引导型病毒用于传染病毒和格式化磁盘；,INT 21H DOS,功能调用，绝大多数文件型病毒修改该中断。,20,计算机网络安全计算机病毒防范技术,病毒利用中断,图,8-2,病毒盗用中断示意图,中断向量,中断服务程序,中断向量,病毒相关程序,中断服务程序,盗用后,：,盗用前：,21,计算机网络安全计算机病毒防范技术,（2）计算机病毒的传染机制,传染是指计算机病毒由一个载体传播到另一载体，由一个系统进入另一个系统的过程。计算机病毒的传染方式主要有：,病毒程序利用操作系统的引导机制或加载机制进入内存；,从内存的病毒传染新的存储介质或程序文件是利用操作系统的读写磁盘的中断或加载机制来实现的。,22,计算机网络安全计算机病毒防范技术,（3）计算机病毒的破坏机制,破坏机制在设计原则、工作原理上与传染机制基体相同。它也是通过修改某一中断向量入口地址，使该中断向量指向病毒程序的破坏模块。,23,计算机网络安全计算机病毒防范技术,8.2.2,计算机病毒的分类,1,按照病毒攻击的系统分类,（,1,）攻击,DOS,系统的病毒。,（,2,）攻击,Windows,系统的病毒。,（,3,）攻击,UNIX,系统的病毒。,（,4,）攻击,OS/2,系统的病毒。,24,计算机网络安全计算机病毒防范技术,2,按照病毒的攻击机型分类,（,1,）攻击微型计算机的病毒。,（,2,）攻击小型机的计算机病毒。,（,3,）攻击工作站的计算机病毒。,25,计算机网络安全计算机病毒防范技术,3,按照病毒的链结方式分类,（,1,）源码型病毒,（,2,）嵌入型病毒,（,3,）外壳型病毒,（,4,）操作系统型病毒,26,计算机网络安全计算机病毒防范技术,4,按照病毒的破坏情况分类,（,1,）良性计算机病毒,（,2,）恶性计算机病毒,5,按照病毒的寄生方式分类,（,1,）引导型病毒,（,2,）文件型病毒,（,3,）复合型病毒,27,计算机网络安全计算机病毒防范技术,6,按照病毒的传播媒介分类,（,1,）单机病毒,（,2,）网络病毒,28,计算机网络安全计算机病毒防范技术,8.2.3,病毒实例分析,1,CIH,病毒,概况,CIH,病毒是一种文件型病毒，感染,Windows95/98,环境下,PE,格式的,EXE,文件。病毒的危害主要表现在病毒发作后，硬盘数据全部丢失，甚至主板上的,BIOS,中的原内容会被彻底破坏，主机无法启动。,1999,年,4,月,26,日，,CIH,病毒大爆发，全球超过,6000,万台电脑被破坏，,2000,年,CIH,再度爆发，全球损失超过,10,亿美元，,2001,年仅北京就有超过,6000,台电脑遭破坏；,2002,年,CIH,病毒使数千台电脑遭破坏，瑞星公司修复硬盘数量一天接近,200,块。,29,计算机网络安全计算机病毒防范技术,（1）CIH病毒的表现形式,受感染的,.EXE,文件的文件长度没有改变；,DOS,以及,WIN 3.1,格式（,NE,格式）的可执行文件不受感染，并且在,Win NT,中无效。,用资源管理器中“工具,查找,文件或文件夹”的“高级,包含文字”查找,EXE,特征字符串,“CIH v”,，在查找过程中，显示出一大堆符合查找特征的可执行文件。,若,4,月,26,日开机，显示器突然黑屏，硬盘指示灯闪烁不停，重新开机后，计算机无法启动。,30,计算机网络安全计算机病毒防范技术,（2）CIH病毒的行为机制,CIH,病毒直接进入,Windows,内核。没有改变宿主文件的大小，而是采用了一种新的文件感染机制即碎洞攻击（,fragmented cavity attack,），将病毒化整为零，拆分成若干块，插入宿主文件中去；最引人注目的是它利用目前许多,BIOS,芯片开放了可重写的特性，向计算机主板的,BIOS,端口写入乱码，开创了病毒直接进攻计算机主板芯片的先例。可以说,CIH,病毒提供了一种全新的病毒程序方式和病毒发展方向。,31,计算机网络安全计算机病毒防范技术,2,宏病毒,宏的定义,所谓宏，就是软件设计者为了在使用软件工作时避免一再地重复相同动作而设计出来的一种工具。它利用简单的语法，把常用的动作编写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，完成某项特定的任务，而不必再重复相同的动作。,所谓“宏病毒”，是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒，也是一种跨平台的计算机病毒，可以在,Windows 9X,、,Windows NT/2000,、,OS/2,和,Macintosh System 7,等操作系统上执行。,32,计算机网络安全计算机病毒防范技术,（1）宏病毒的行为机制,Word,模式定义出一种文件格式，将文档资料以及该文档所需要的宏混在一起放在后缀为,doc,的文件之中，这种作法已经不同于以往的软件将资料和宏分开存储的方法。正因为这种宏也是文档资料，便产生了宏感染的可能性。,Word,宏病毒通过,doc,文档和,dot,模板进行自我复制及传播。计算机文档是交流最广的文件类型。这就为,Word,宏病毒传播带来了很多便利，特别是,Internet,网络的普及和,E-mail,的大量应用更为,Word,宏病毒的传播“拓展”了道路。,33,计算机网络安全计算机病毒防范技术,（2）Word宏病毒特征,Word,宏病毒会感染,doc,文档和,dot,模板文件。,Word,宏病毒的传染通常是,Word,在打开一个带宏病毒的文档或模板时，激活宏病毒。病毒宏将自身复制到,Word,通用（,Normal,）模板中，以后在打开或关闭文件时宏病毒就会把病毒复制到该文件中。,多数,Word,宏病毒包含,AutoOpen,、,AutoClose,、,AutoNew,和,AutoExit,等自动宏，通过这些自动宏病毒取得文档（模板）操作权。,Word,宏病毒中总是含有对文档读写操作的宏命令。,Word,宏病毒在,doc,文档、,dot,模板中以,BFF,（,Binary File Format,）格式存放，这是一种加密压缩格式，不同,Word,版本格式可能不兼容。,34,计算机网络安全计算机病毒防范技术,3,网络病毒,网络病毒专指在网络传播、并对网络进行破坏的病毒；,网络病毒也指,HTML,病毒、,E-mail,病毒、,Java,病毒等与因特网有关的病毒。,35,计算机网络安全计算机病毒防范技术,网络病毒的特点,传染方式多,传播速度比较快,清除难度大,破坏性强,潜在性,深,36,计算机网络安全计算机病毒防范技术,4,电子邮件病毒,“电子邮件病毒”其实和普通的计算机病毒一样，只不过它们的传播途径主要是通过电子邮件，所以才被称为“电子邮件病毒”。,37,计算机网络安全计算机病毒防范技术,电子邮件病毒的特点,传统的杀毒软件对检测此类格式的文件无能为力,传播速度快,传播范围广,破坏力大,38,计算机网络安全计算机病毒防范技术,8.3,计算机病毒的检测与防范,39,计算机网络安全计算机病毒防范技术,（,5,）磁盘上的文件或程序丢失。,（,6,）磁盘读,/,写文件明显变慢，访问的时间加长。,（,7,）系统引导变慢或出现问题，有的出现“写保护错”提示。,（,8,）系统经常死机或出现异常的重启动现象。,（,9,）原来运行的程序突然不能运行，总是出现出错提示。,（,10,）连接的打印机不能正常启动。,观察上述异常情况后，可初步判断系统的哪部分资源受到了病毒侵袭，为进一步诊断和 清除做好准备。,41,计算机网络安全计算机病毒防范技术,2,检测的主要依据,（,1,）检查磁盘主引导扇区,（,2,）检查,FAT,表,（,3,）检查中断向量,（,4,）检查可执行文件,（,5,）检查内存空间,（,6,）检查特征串,42,计算机网络安全计算机病毒防范技术,3计算机病毒的检测手段,（,1,）特征代码法,特征代码法是检测已知病毒的最简单、开销最小的方法。特征代码法的实现步骤如下：,采集已知病毒样本。,在病毒样本中，抽取特征代码。,打开被检测文件，在文件中搜索病毒特征代码。,特征代码法的特点：,速度慢,误报警率低,不能检查多形性病毒,不能对付隐蔽性病毒,43,计算机网络安全计算机病毒防范技术,（,2,）校验和法,将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染，这种方法叫校验和法。,优点,：方法简单，能发现未知病毒、被查文件的细微变化也能发现。,缺点,：会误报警、不能识别病毒名称、不能对付隐蔽型病毒。,44,计算机网络安全计算机病毒防范技术,校验和法查病毒,运用校验和法查病毒采用三种方式：,在检测病毒工具中纳入校验和法，对被查的对象文件计算其正常状态的校验和，将校验和值写入被查文件中或检测工具中，而后进行比较。,在应用程序中，放入校验和法自我检查功能，将文件正常状态的校验和写入文件本身中，每当应用程序启动时，比较现行校验和与原校验和值，实现应用程序的自检测。,将校验和检查程序常驻内存，每当应用程序开始运行时，自动比较检查应用程序内部或别的文件中预先保存的校验和。,45,计算机网络安全计算机病毒防范技术,（,3,）行为监测法,利用病毒的特有行为特征来监测病毒的方法，称为行为监测法。这些能够作为监测病毒的行为特征如下：,A.,占有,INT 13H,B.,改,DOS,系统为数据区的内存总量,C.,对,COM,、,EXE,文件做写入动作,D.,病毒程序与宿主程序的切换,优点,：可发现未知病毒、可相当准确地预报未知的多数病毒。,缺点,：可能误报警、不能识别病毒名称、实现时有一定难度。,46,计算机网络安全计算机病毒防范技术,8.3.2 计算机病毒的防范,1,严格的管理,2,有效的技术,目前在预防病毒工具中采用的技术主要有：,（,1,）将大量的消毒,/,杀毒软件汇集一体。,（,2,）检测一些病毒经常要改变的系统信息。,（,3,）监测写盘操作，对引导区或主引导区的写操作报警。,（,4,）对文件形成一个密码检验码，实现对程序完整性的验证。,（,5,）智能判断型。,（,6,）智能监察型。,47,计算机网络安全计算机病毒防范技术,电子邮件病毒的防治,（1）思想上高度重视，不要轻易打开来信中的附件文件；,（2）不断完善“网关”软件及病毒防火墙软件；,（3）使用优秀的防毒软件同时保护客户机和服务器；,（4）使用特定的SMTP杀毒软件。,48,计算机网络安全计算机病毒防范技术,8.4,计算机病毒的发展方向和趋势,49,计算机网络安全计算机病毒防范技术,8.4.1 计算机病毒的新特性,（,1,）利用微软漏洞主动传播,（,2,）局域网内快速传播,（,3,）以多种方式传播,（,4,）大量消耗系统与网络资源,（,5,）双程序结构,（,6,）用即时工具传播病毒,（,7,）病毒与黑客技术的融合,（,8,）远程启动,50,计算机网络安全计算机病毒防范技术,8.4.2,计算机病毒发展的趋势及对策,今后病毒的一些特点：,（,1,）变形病毒成为下一代病毒首要的特点。,（,2,）与,Internet,和,Intranet,更加紧密地结合，利用一切可以利用的方式进行传播；,（,3,）所有的病毒都具有混合型特征，破坏性大大增强；,（,4,）因为其扩散极快，不再追求隐藏性，而更加注重欺骗性；,（,5,）利用系统漏洞将成为病毒有力的传播方式。,51,计算机网络安全计算机病毒防范技术,新一代的反病毒软件应具备的能力,（,1,）全面地与互联网结合，实时监控，防止病毒入侵；,（,2,）快速反应的病毒检测网，在病毒爆发的第一时间即能提供解决方案；,（,3,）完善的在线升级服务，使用户随时拥有最新的防病毒能力；,（,4,）对病毒经常攻击的应用程序提供重点保护；,（,5,）提供完整、即时的反病毒咨询，提高用户的反病毒意识与警觉性。,52,计算机网络安全计算机病毒防范技术,8.5 小 结,计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒的特征主要有：非授权可执行性、隐蔽性、传染性、潜伏性、破坏性以及可触发性。,计算机病毒的主要危害包括：病毒激发对计算机数据信息的直接破坏作用、占用磁盘空间和对信息的破坏、抢占系统资源、影响计算机运行速度、计算机病毒错误与不可预见的危害、计算机病毒的兼容性对系统运行的影响、计算机病毒给用户造成严重的心理压力。,53,计算机网络安全计算机病毒防范技术,计算机病毒一般包括三大功能模块，即引导模块、传染模块和破坏/表现模块。从不同的角度，计算机病毒有不同的分类方法。,计算机病毒的检测要从检查系统资源的异常情况入手。防治感染病毒的途径可概括为两类：一是用户遵守和加强安全操作控制措施，二是使用防病毒工具。,未来的计算机病毒将更加智能化，其破坏力和影响力将不断增强，计算机病毒防治工作将成为信息系统安全的重要因素。,54,计算机网络安全计算机病毒防范技术,返回本章首页,本章到此结束，谢谢！,55,计算机网络安全计算机病毒防范技术,