病毒防护技术ppt课件PPT资料.ppt

1、,计算机病毒的特征（cont.）,可触发性因某个特征或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。破坏性降低系统的工作效率，占用系统资源，删除文件，导致网络阻塞，窃取文件等病毒的破坏性主要取决于计算机病毒设计者的目的,计算机病毒的传播途径,通过不可移动的计算机硬件设备进行传播通过移动存储设备来传播：如软盘、U盘、光盘等通过计算机网络进行传播通过点对点通信系统和无线通道传播,计算机病毒的历史,最早由冯诺伊曼提出一种可能性-现在称为病毒，但没引起注意。（1948年9月，冯诺伊曼提出了关于自我复制自动机系统的构想）1975 年，美国科普作家约翰布鲁勒尔（John Brunner）写了一

2、本名为震荡波骑士（Shock Wave Rider）的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。1977 年夏天，托马斯捷瑞安（Thomas.J.Ryan）的科幻小说P-1的春天（The Adolescence of P-1）成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。1983 年 11 月 3 日，弗雷德科恩（Fred Cohen）博士研制出一种在运行过程中可以复制自身的破坏性程序，伦艾德勒曼（Len Adleman）将它命名为计算机病毒（compute

3、r viruses），并在每周一次的计算机安全讨论会上正式提出，8 小时后专家们在 VAX11/750 计算机系统上运行，第一个病毒实验成功，一周后又获准进行 5 个实验的演示，从而在实验上验证了计算机病毒的存在。1986 年初，在巴基斯坦的拉合尔（Lahore），巴锡特（Basit）和阿姆杰德（Amjad）两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。他们编写了Pakistan 病毒，即Brain。在一年内流传到了世界各地。,计算机病毒的历史,1991年在“海湾战争”中，美军第一次将计算机病毒用于实战，在空袭巴格达的战斗中，成功地破坏了对方的指挥系统，使之瘫痪，保证了战斗的顺利进行，

4、直至最后胜利。1996年首次出现针对微软公司Office的“宏病毒”。1998年出现针对Windows95/98系统的病毒，如CIH。它主要感染Windows95/98的可执行程序，发作时破坏计算机Flash BIOS芯片中的系统程序，导致主板损坏，同时破坏硬盘中的数据。1999年Happy99等完全通过Internet传播的病毒出现。,计算机病毒的历史,1988 年 3 月 2 日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。1988 年 11 月 2 日，美国六千多台计算机被病毒感染，造成 Internet不能正常运行

5、。这是一次非常典型的计算机病毒入侵计算机网络的事件，迫使美国政府立即作出反应，国防部成立了计算机应急行动小组。这次事件中遭受攻击的包括 5 个计算机中心和 12 个地区结点，连接着政府、大学、研究所和拥有政府合同的 250,000 台计算机。这次病毒事件，计算机系统直接经济损失达 9600 万美元。这个病毒程序设计者是罗伯特莫里斯（Robert T.Morris），当年 23 岁，是在康乃尔（Cornell）大学攻读学位的研究生。罗伯特莫里斯设计的病毒程序利用了系统存在的弱点。由于罗伯特莫里斯成了入侵 ARPANET 网的最大的电子入侵者，而获准参加康乃尔大学的毕业设计，并获得哈佛大学 Aik

6、en 中心超级用户的特权。他也因此被判 3 年缓刑，罚款 1 万美元，他还被命令进行 400 小时的新区服务。1988 年底，在我国的国家统计部门发现小球病毒。,计算机病毒的分类,按攻击的操作系统分类按传播媒介分类按链接方式分类按危害程度分类按寄生方式分类按攻击机型分类从广义病毒定义,按攻击的操作系统分类,攻击DOS系统的病毒攻击Windows系统的病毒攻击UNIX系统的病毒（相对来说，为数不多，传播效率低，不易流行）攻击OS/2系统的病毒攻击嵌入式操作系统的病毒。（特洛伊木马“自由A”）（Palm）,按传播媒介分类,单机病毒载体：磁盘早期的病毒都是单机病毒网络病毒传播媒介：网络GPI病毒是世

7、界上第一个专门攻击计算机网络的病毒当今的病毒大多都是网络病毒（RedCode）,按链接方式分类,源码型病毒：该病毒攻击高级语言编写的程序，在高级语言所编写的程序编译前插入到源程序中，经编译成为合法程序的一部分。目前，该类病毒不多见。入侵型病毒/嵌入型病毒：在感染时往往对宿主程序进行一定的修改，将自身嵌入到攻击目标中，代替宿主程序中不常用到的堆栈区或功能模块，而不是链接在它的首部或尾部。编写该类病毒比较困难。外壳型病毒：寄生在宿主程序的前面或后面，并修改程序的第一个执行指令，使病毒先于宿主程序执行，并随着宿主程序的使用而传染扩散。该类病毒易于编写，数量最多。操作系统型病毒：这种病毒在运行时，用自

8、己的逻辑模块取代操作系统的部分合法程序模块。,按危害程度分类,良性计算机病毒：不对计算机系统直接进行破坏，只是具有一定表现症状的病毒。恶性计算机病毒：在其代码中包含有损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用，诸如窜改数据、格式化硬盘等。中性病毒：对计算机系统不造成直接破坏，又没有表现症状，只是疯狂复制自身的病毒，也就是常说的蠕虫型病毒。,按寄生方式分类,引导型病毒：通过磁盘引导区传染的病毒，主要是用病毒的全部或部分逻辑取代正常的引导记录，而将正常的引导记录隐藏在磁盘的其他地方。文件型病毒：通过操作系统的文件系统传染的病毒，主要以感染可执行程序（.bat、.exe、

9、.com、.sys、.dll、.ovl、.vxd等）为主，病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，并将自身驻留内存，然后设置触发条件，进行感染。混合型病毒：既传染磁盘引导扇区又传染可执行文件的病毒，综合了系统型和文件型病毒的特征。,按攻击机型分类,攻击微型计算机的病毒攻击小型机的计算机病毒攻击工作站的计算机病毒攻击便携式电子设备的病毒,从广义病毒定义,逻辑炸弹特洛伊木马计算机蠕虫,逻辑炸弹,逻辑炸弹：修改计算机程序，使它在某种特殊条件下按某种不同的方式运行。逻辑炸弹也是由程序员插入其它程序代码中间的，但并不进行自我复制。,特洛伊木马（Trojan horse）,定义：泛指那

10、些内部包含有为完成特殊任务而编制的程序，一种潜伏执行非授权功能的技术。它原本属于一类基于远程控制的工具。原理：C/S模式，服务器提供服务，客户机接受服务。作为服务器的主机一般会打开一个默认的端口进行监听，如果有客户机向服务器的这一端口提出连接请求，服务器上的相应程序就会自动运行，来应答客户机的请求。这个程序被称为守护进程。例如：冰河木马,特洛伊木马（Trojan horse）,攻击步骤：设定好服务器程序；骗取对方执行服务器程序；寻找对方的IP地址；用客户端程序来控制对方的计算机。特征和行为：木马本身不进行自我复制。被感染的计算机系统会表现出不寻常的行为或运行变慢。比如：有一个或多个不寻常的任务

11、在运行；注册表和其他配置文件被修改；电子邮件会在用户不知情的情况下被发送等。,特洛伊木马（Trojan horse）,传播途径：作为电子邮件附件传播；隐藏在用户与其他用户进行交流的文档和其他文件中；被其他恶意代码所携带，如蠕虫；会隐藏在从互联网上下载的捆绑的免费软件中。预防：不要执行任何来历不明的软件或程序（无论是邮件中还是Internet上下载的）。上网的计算机要必备防毒软件（切记及时升级）,计算机蠕虫（Worm）,定义：通过分布式网络来扩散传播特定信息或错误，破坏网络中的信息或造成网络服务中断的病毒。主要特点：利用网络中软件系统的缺陷，进行自我复制和主动传播。但它与病毒在文件之间的传播不同

12、，它们是从一台计算机传播到另一台计算机，从而感染整个系统。组成：主程序和引导程序主程序：一旦在机器上执行，就会通过读取公共配置文件以及收集当前网络状态信息，获得与当前机器联网的其他机器的信息和软件缺陷，并主动尝试在这些远程机器上建立其引导程序。,蠕虫王,病毒名称：Worm.SQLexp.3762003年1月25日，互联网上出现了“2003蠕虫王”病毒，其危害远远超过曾经肆虐一时的”红色代码”病毒。感染该蠕虫病毒后网络带宽被大量占用，导致网络瘫痪，该蠕虫是利用SQLSERVER2000的解析端口1434的缓冲区溢出漏洞，对其网络进行攻击。由于“2003蠕虫王”具有极强的传播能力，在亚洲、美洲、澳

13、大利亚等地迅速传播，造成了全球性的网络灾害。我国互联网运营单位的网络也部分出现了访问变慢现象，情况严重的网络甚至也曾一度瘫痪。病毒特征：该蠕虫攻击安装有Microsoft SQL 的NT系列服务器，该病毒尝试探测被攻击机器的1434/udp端口，如果探测成功，则发送376个字节的蠕虫代码.1434/udp端口为Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞，使蠕虫的后续代码能够得以机会在被攻击机器上运行进一步传播,导致系统瘫痪，停止服务.攻击对象多为XP,NT,不攻击9X.,病毒原理,传统病毒宏病毒网络病毒,计算机病毒的逻辑结构,计算机病毒程

14、序一般包括以下3个功能模块：病毒的引导模块：当病毒的宿主程序开始工作时将病毒程序从外存引入内存，使其与宿主程序独立，并且使病毒的传染模块和破坏模块处于活动状态，以监视系统运行。病毒的传染模块：负责将病毒传染给其他计算机程序，使病毒向外扩散。它由两部分组成：病毒传染的条件判断部分和病毒传染程序主体部分。病毒的破坏（表现）模块：是病毒的核心部分，它体现了病毒制造者的意图。由两部分组成：病毒破坏的条件判断部分和破坏程序主体部分。,传统病毒,传统病毒一般指早期的DOS病毒，通常采用按照寄生方式的分类方法（引导型、文件型和混合型）。引导型病毒的工作流程文件型病毒的工作流程,引导型病毒的工作流程,文件型病毒的工作流程,宏病毒,宏：是一系列组合在一起的命令和指令，它们形成一个命令，以实现任务执行的自动化。宏病毒