病毒的分类及企业防病毒体系的建立PPT推荐.ppt

1、宏就是能组织到一起作为一独立的命令使用的一系列word指令，它能使日常工作变得更容易。该病毒通过可执行文件感染目标系统文件。传播途径：存储介质、网络共享、电子邮件等方式文件型病毒文件型病毒主要是指感染可执行文件（com，exe）的病毒，他隐藏在宿主文件中。执行宿主程序时，将会先执行病毒程序再执行宿主程序。CIH就是一种典型的文件型病毒邮件型病毒通过电子邮件传播的病毒都可以叫邮件型病毒，有很多邮件型病毒又可以称为蠕虫病毒。邮件病毒的分类：附件方式、邮件本身、嵌入方式（邮件只是这种病毒的传播方式，因此这种病毒是蠕 虫的一种蠕虫）。欢乐时光、求职信、网络天空都是有名的邮件型病毒脚本型病毒利用脚本技术

2、（vbscrit、javascript、php、perl）编写的通过浏览器传播并感染计算机的病毒。特洛伊木马特洛伊木马也叫黑客程序或后门病毒，本质就是一个远程控制软件，可以进行任何远程操作。木马病毒通过网络浏览/下载、网络共享、电子邮件等方式传播自启动、隐藏端口与蠕虫或普通病毒最大的区别是他不会自动传播。蠕虫（蠕虫（worm）他除了有着与一般的计算机病毒共同的特性外，还拥有自身的特征：他不需要一个文件作为宿主，它具有自动的传播机制依靠网络大规模传播。他不仅能破坏被感染的计算机系统还能造成网络瘫痪，是一种恶性网络型计算机病毒。大名鼎鼎的病毒几乎大半都是蠕虫病毒：冲击波、震荡波、威金、熊猫烧香等。

3、计算机病毒特性计算机病毒特性传染性潜伏性可执行性破坏性针对性隐蔽性计算机病毒特性计算机病毒特性（1）传染性:正常的计算机程序一般是不会将自身的代正常的计算机程序一般是不会将自身的代码强行连接到其他程序上，而病毒却能使自身的码强行连接到其他程序上，而病毒却能使自身的代码强行传染到一切符合其传染条件的程序代码强行传染到一切符合其传染条件的程序潜伏性:大部分的病毒感染系统之后一般不会马上大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统，只有在满足其特定发作，它可长期隐藏在系统，只有在满足其特定条件时才会运行。条件时才会运行。可执行性:病毒文件在满足相应的条件后，会触发病毒文件在满足相应的

4、条件后，会触发运行，产生破坏。运行，产生破坏。（未经授权的执行）（未经授权的执行）计算机病毒特性（2）破坏性：任何病毒只要侵入系统并发作，就会对破坏性：任何病毒只要侵入系统并发作，就会对系统和应用程序产生不可预知的破坏和影响。系统和应用程序产生不可预知的破坏和影响。（良性和恶性）（良性和恶性）针对性针对性:通常病毒是利用特定的漏洞针对特性的系通常病毒是利用特定的漏洞针对特性的系统、应用进行破坏。统、应用进行破坏。隐蔽性：病毒通常附在正常程序中或磁盘隐蔽处，隐蔽性：病毒通常附在正常程序中或磁盘隐蔽处，与正常程序通常难以区分。与正常程序通常难以区分。病毒传播手段病毒传播手段 电子邮件 Intern

5、et 浏览以及下载 光盘，USB等介质远程拨入用户带来的病毒 系统漏洞 网络共享病毒常见触发方式病毒常见触发方式特定日期或时间触发感染触发键盘触发启动触发访问磁盘次数触发CPU型号/主板型号触发病毒典型的结构病毒典型的结构典型的计算机病毒一般由三个功能模块组成，即：引导模块、传染模块、破坏模块。但是，不是所有的病毒均由此结构组成，如有的内存病毒甚至没有病毒体（即病毒文件），只驻留在内存。病毒功能模块病毒功能模块引导模块：将病毒主体导入内存并为传染模块提供运行环境。传染模块：将病毒代码传到其他的载体上去，一般情况下传染模块分为两部分，前提是一个条件判别程序，后部才是传染程序主体。破坏模块：破坏模

6、块也将有条件判别部分，因病毒有潜伏期，破坏模块只在条件符合是才活动。目 录n 病毒的定义、类型和分类n 病毒的现状和趋势n防范技术和措施n 病毒案例分析和清除方法几小时几小时Time几周几周/几个月几个月几天几天几分钟几分钟几秒钟几秒钟Early 1990sMid 1990sLate 1990s20002006Contagion Timeframe第第 I 类人工响应:有可能“Flash”ThreatsFile Viruses第第 III 类类人工响应:不可能自动响应:不太可能主动阻挡:有可能第第 II 类类人工响应:很难/不可能自动响应:有可能Macro Virusese-mail Worm

7、sBlended Threats病毒的现状和趋势扩散速度惊人扩散速度惊人在高峰期，每在高峰期，每 12 封电子邮件就有封电子邮件就有 1 封封被被 MyDoom 感染！感染！Code Red 的感染率每的感染率每 37 分钟就翻一番。分钟就翻一番。Slammer 每每 8.5 秒就翻一番，在秒就翻一番，在 10 分钟之内可感分钟之内可感染染 90%未受保护的服务器！未受保护的服务器！一旦有漏洞公开披露，一旦有漏洞公开披露，Blaster 只需只需 27 天就天就可摧毁网络！可摧毁网络！目 录n 病毒的定义、类型和分类n 病毒的现状和趋势n 新型病毒的工作原理与危害n 防范技术和措施n 病毒案例

8、分析和清除方法防范技术和措施防范技术和措施1.1.反应式响应技术：基于特定威胁的特征，反应式响应技术：基于特定威胁的特征，目前绝大多目前绝大多数安全产品均基于这种技术数安全产品均基于这种技术通过名字识别攻击根据需要进行响应减轻损失事后恢复2.2.主动式响应技术：以识别和阻挡未知威胁为主导思想主动式响应技术：以识别和阻挡未知威胁为主导思想早期预警技术有效的补丁管理主动识别和阻挡技术月月天天小时小时分钟分钟秒秒程序程序病毒病毒Macro病毒病毒电子邮件电子邮件蠕虫蠕虫网络网络蠕虫蠕虫Flash蠕虫蠕虫感染期感染期特征特征响应期响应期我们已经面临这样一种感染形势，即最新威胁的传播速度已经超出了我们的

9、响应能力如果我们想要赢得这场战争，那么我们必需改变我们的策略1990时间2006 感染期感染期特征响应期特征响应期传统的反应式响应技术存在缺陷传统的反应式响应技术存在缺陷主动式响应技术：识别和阻挡未知威胁为主导思想主动式响应技术：识别和阻挡未知威胁为主导思想将为保护互联网的方式带来的四种新技术行为阻截行为阻截协议异常防护协议异常防护病毒扼杀病毒扼杀一般漏洞利用阻截一般漏洞利用阻截策略#1：行为阻截思想：思想：阻截系统上每个应用程序的行为，并实时阻截恶意操作。设想抗病毒药物如何阻截真正的病毒每种病毒都有其特定的生每种病毒都有其特定的生命周期。命周期。中断其生命周期，您就消中断其生命周期，您就消灭

10、了病毒。灭了病毒。策略#1：行为阻截已经保护了数百万用户！防止程序通过电子邮件进行自我复制已经成功阻截了 MyDoom 和 Sobig，而未使用病毒特征Hey Rob,Check out this cool calendar program.great mp3s to check hehe;+-4）Tuesday,March 2,2004 10:07 PMfredcorporation.orgcool.exe一样吗？一样吗？警告：检测到恶意蠕虫电子邮件传送被停止，因为其中包含蠕虫：电子邮件信息Fw:some stuff here隔离该蠕虫（推荐）思想：在网关和主机上截获数据流，只转发符合公认的

11、互联网标准的数据。策略#2：协议异常防护标准：标准：只有符合只有符合 9”x14”x22”标标准的行李箱才允许放进头准的行李箱才允许放进头顶上的行李架中。顶上的行李架中。对于红色代码、对于红色代码、Slammer 和和 Blaster，都可以使用此类技术来防护。，都可以使用此类技术来防护。协议异常防护思想：HTTP 标准标准HTTP 请求必需符合下列标准：1.必需以必需以 GET 请求开始。请求开始。2.必需发送标题行。必需发送标题行。3.请求之后未跟随其他数据。请求之后未跟随其他数据。TCP 数据包数据包GET/default.ida?XXXXX HTTP/1.0Accept:text/ht

12、ml Connection:close AAAAAAAAAAACODEREDXYZAPWQWRSNNBW#IYYU7AWMANEW7#9!BPPMQRQSPMZN（*#Z,aO+01ABVAKMAMWOAPP对于红色代码、对于红色代码、Slammer 和和 Blaster，都可以使用此类技术来防护。策略#3：病毒扼杀思想：限制 PC 每秒钟与其他计算机新建的首次连接数。超快计算机蠕虫每秒钟可以连接超快计算机蠕虫每秒钟可以连接到数百台新计算机。到数百台新计算机。限制连接速率，便可对蠕虫进行限限制连接速率，便可对蠕虫进行限制。制。普通用户每秒连接到一至两台普通用户每秒连接到一至两台计算机。计算机。

13、策略#4：一般漏洞利用阻截步骤步骤 1：总结新漏洞的：总结新漏洞的“形状形状”特征特征步骤步骤 2：以该形状作为特征，扫描网络：以该形状作为特征，扫描网络流量并阻截与其匹配的任何数据流量并阻截与其匹配的任何数据立即阻截所有的新蠕虫，无需特立即阻截所有的新蠕虫，无需特定的特征。定的特征。正如只有形状正确的钥匙才能打开锁一样，只有“形状”正确的蠕虫才能利用漏洞进行攻击。如果能阻挡扫描如果能阻挡扫描流量，发现不了流量，发现不了有漏洞的机器？有漏洞的机器？可能是一条指令，也可能是可能是一条指令，也可能是下载一个执行程序下载一个执行程序扫描具有漏扫描具有漏洞的机器洞的机器如果能检测出如果能检测出这些攻击

14、指令这些攻击指令如果能检测出这如果能检测出这些病毒程序？些病毒程序？1、客户端防火墙技术2、客户端入侵检测技术3、客户端防病毒技术有效的终端病毒防护技术有效的终端病毒防护技术企业级病毒防护体系的构建纵深的防御体系-在传统客户端和服务器层次的防病毒体系外，增加服务器防病毒、网络防病毒和网关防病毒（FTP/HTTP/HTTPS）可以大大加强企业防病毒的能力，形成纵深的防御体系，这是因为增加的防病毒系统可以在最常见的网络传播途径上拦截和清除病毒，并与客户端和文件服务器层次的防病毒联合，形成能够对付复合型病毒的强大的企业防病毒体系架构。目 录n 病毒的定义、类型和分类n 病毒的现状和趋势n 防范技术和措施n 病毒案例分析和清除方法病毒案例分析病毒案例分析BlasterBlaster（冲击波）病毒（冲击波）病毒Blaster原理：W32.Blaster.Worm 通过 TCP 端口 135 利用 DCOM RPC 漏洞（此漏洞的信息请参见 Microsoft Security Bulletin MS03-026）RPC 提供了一种进程间的通信机制，通过这