第1章 计算机病毒概述1

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

计算机病毒原理与防治课程概述•本课程是信息安全专业必修课程,通过对本课程的学习,使学生了解并掌握计算机病毒产生和传染的机理,具备分析、预防和对抗计算机病毒的基本能力。01计算机病毒概述主要内容02计算机病毒的工作机制03计算机病毒的表现04计算机病毒的发展趋势、特点、技术05计算机病毒检测技术06典型计算机病毒的原理、防范和清除07常用反病毒软件第1章计算机病毒概述1、计算机病毒的定义;2、计算机病毒的产生和发展;3、计算机病毒的特征;4、计算机病毒的生命周期;5、计算机病毒的传播途径及发作的一般症状;6、计算机病毒的分类。本章主要内容•信息技术的发展迅速改变着人们的生活,作为信息技术的支撑技术——计算机技术起着非常关键的作用。但在计算机技术发展过程中出现了一种不和谐的应用——计算机病毒。计算机病毒的定义•计算机病毒是一种具有特殊功能的程序或一段可执行代码。•1983年,美国计算机安全专家弗雷德•科恩(FrederickCohen)首次提出计算机病毒的存在。1989年,他把计算机病毒定义为:“病毒程序通过修改其他程序的方法将自己的精确拷贝或可能演化的形式放入其他程序中,从而感染它们。”•1994年,我国在颁布的《中华人民共和国计算机信息系统安全保护条例》中定义:“计算机病毒是指编制或者在计算机程序中插入的,破坏计算机功能或数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”计算机病毒的起源•科学幻想起源说•恶作剧起源说•游戏程序起源说•软件商保护软件起源说•归纳起来,计算机系统、Internet的脆弱性是产生计算机病毒的根本技术原因之一,计算机科学技术的不断进步,个人计算机的快速普及应用是产生计算机病毒的加速器。2007年的“熊猫烧香”,autorun,arp,视频类病毒增长迅猛。302005年”震荡波”病毒,qq,msn传播较普遍僵尸网络攻击成上升趋势,从05年上半年开始出现rootkits类病毒的广泛应用,出现超级病毒,集成多种病毒特征于一体。281949年,计算机之父冯•诺依曼在《复杂自动机组织论》中提出了计算机程序能够在内存中自我复制,定义了计算机病毒的基本概念。11981年,世界上诞生了真正意义上的计算机病毒——ElkCloner,这个病毒将自己附着在磁盘的引导扇区上,通过磁盘进行感染。由于它没有造成多大的破坏,所以没有引起大家的关注。32002年出现病毒主要利用流行软件程序中存在的漏洞在用户的系统中自动执行自己。如Bride病毒,Lentin病毒、Klez.I病毒等。262000年5月4日,一种通过国际Internet互联网络的电子邮件功能传播的“爱虫”(Loveletter)病毒迅速在世界各地蔓延,更大规模的发作造成全世界(包括我国在内)空前的计算机系统破坏。241999年,通过邮件进行病毒传播开始成为病毒传播的主要途径,而宏病毒仍然是最流行的病毒。这一年比较有名的病毒有:一种宏病毒与蠕虫的混合物Melissa,通过电子邮件系统大量传播,造成网络阻塞、瘫痪;Happy99、FunLove等。221998年6月,被称作有史以来最大的病毒CIH病毒被发现,这是世界上首例能够破坏硬件的病毒,它既攻击硬盘中的文件系统,又攻击计算机硬件(主板),并使其损坏。它的破坏性使其闻名于世。201995年8月9日,在美国首次发现专门攻击Word文件的新病毒——宏病毒Concept。以前的病毒都是在DOS或Unix操作系统下感染和破坏的,Concept病毒的出现,宣告了攻击Windows操作系统的病毒大规模出现。181992年,多态病毒生成器“MtE”开发出来,同年,一个病毒构造工具集——VirusCreateLibrary开发成功,促使更多的病毒被源源不断的制造出来。这一年,芬兰发现了首例Windows病毒。161990年,出现了第一个多态病毒Chameleon、使用多极加密解密和反跟踪技术的病毒Whale等具有更好隐藏技术的病毒,标志着病毒制造技术的又一次提高。141989年,病毒家族开始出现,如Yankee病毒。同年出现的Eddie病毒可驻留内存,不仅感染被调用的文件,还感染被打开或被拷贝的文件。第一个全秘密寄生的文件病毒——Frodo病毒,能不改变被感染文件的长度。121988年,各种计算机病毒相继出现并广泛传播。11月2日,美国6000台计算机被一名叫Morris的大学生编制的蠕虫程序感染,造成Internet不能正常运行,引起世界范围的轰动。1988年被公认为世界计算机病毒年。101987年12月,第一个网络病毒——ChristmasTree病毒开始流行,这种病毒在vm/cms操作系统下传播,造成了IBM公司内部网络的系统瘫痪。81987年,我国公安部成立了计算机病毒研究小组,并派出专业技术人员到中科院计算所和美国、欧洲进修,学习计算机安全技术,标志着计算机病毒引起了中国政府的警惕。61983年11月,在国际计算机安全学术研讨会上,美国计算机安全专家FrederickCohen博士首次提出计算机病毒的概念,当天,专家们在运行Unix操作系统的VAX11/750计算机上验证了计算机病毒的存在。420世纪60年代初,美国贝尔实验室3位年轻的程序员编写了一个名为“磁芯大战”的电子游戏,该电子游戏被公认为计算机病毒的祖先。21986年底,巴基斯坦有两个编写软件的兄弟为了打击盗版软件的使用者,设计了一个名为“Brain”的病毒。Brain病毒首次使用了伪装的手段来迷惑计算机用户。51987年,首次出现了能自我加密解密的Cascade病毒,标志着计算机病毒制造技术的进一步提高,也说明了病毒与反病毒技术的互相对抗、克制。能自我加解密的病毒还有著名的新西兰Stoned病毒和意大利的PingPong病毒等等。71988年6月13日,一些国家的公司和大学遭到了“耶路撒冷”(Jerusalem)又名“黑色星期五”病毒的攻击。91988年11月,国内媒体首次关注计算机病毒,《人民日报》报道了Morris病毒事件。同时,反病毒技术也已经开始成熟,所罗门公司的反病毒工具——DoctorsSolomon'sAnti-VirusToolkit成为当时最强大的反病毒软件。111989年4月,西南铝厂首先报告在其计算机中发现“小球”病毒,同年又有一些单位的计算机也发现“小球”病毒及其变种或其他病毒,自此,计算机病毒开始侵入我国。131991年,计算机病毒的数量持续上升,世界上已知的病毒总数已向1000攀升。这一年发现的比较有名的病毒有能同时感染文件和引导区的复合多态病毒Tequila,攻击网络的GPI病毒等。这一年,反病毒公司也得到发展壮大,Symantec和CentralPoint两个重要的工具软件开发商开始介入杀毒市场。中国的瑞星公司成立,推出瑞星防病毒卡。151993年、1994年,采用密码技术、编写技巧高超的隐蔽型病毒和多态型病毒相继出现,出现的感染源代码文件(主要是C语言和Pascal语言)的SrcVir病毒和感染OBJ文件的Shifter病毒。171997年2月,第一个Linux环境下的病毒Bliss出现结束了Linux系统从未被病毒感染的历史,同年4月,第一个使用文件传输协议(FTP)进行传播的Homer病毒出现。1997年公认为计算机反病毒界的“宏病毒年”。191998年也出现了许多新型病毒,如远程控制工具“BackOrifice”、“Netbus”等,第一个感染Java可执行文件的StrangeBrew病毒,一种新的用实用VB脚本语言编写的Robbit病毒。212000年被称作VBScript病毒/蠕虫之年。大量使用脚本技术的病毒出现,脚本病毒和蠕虫、传统的病毒、木马程序以及操作系统的安全漏洞相结合,给病毒技术带来了一个新的发展高峰。如VBS/KAK蠕虫等。232001年7月出现的CodeRed和CodeRedII,仅CodeRed病毒所造成的经济损失,就远远超过过去6年来任何一年的年度损失。9月出现的Nimda病毒以36.07%高居该年度病毒感染率第一,一天内该病毒通过Internet几乎传遍了世界上的每一个角落。252003年是一个名副其实的“病毒年”,这一年里,计算机病毒的数量,造成的危害,重大流行病毒出现的频度,被感染的计算机数量都远远超过了以往。而这一年尤以蠕虫病毒最为典型,如“冲击波”病毒、“巨无霸”病毒、“蠕虫王”病毒等都是蠕虫病毒。27计算机病毒的发展2006年开始大规模流行“威金”病毒、“落雪”病毒。并且开始有频繁的”oday“类利用系统漏洞的病毒出现。292008年机器狗,磁碟机,通过06年兴起的免杀技术的流行,反查杀,反杀毒软件,反主动防御类新型病毒出现,还有“扫荡波”病毒。病毒主要趋势是爆发型强,感染和传播广泛,而且很难防范。31计算机病毒的特征•计算机病毒是一段特殊的程序代码,它能和其他程序一样存储运行。除此之外,它还具有寄生性,传染性,潜伏性,隐蔽性,破坏性。它一般藏在合法程序当中,当计算机运行时,它与合法的程序争夺系统的控制权,从而对计算机系统实施干扰和破坏作用。•寄生性计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用,而在未启动这个程序之前,它是不易被人发觉的。•传染性是计算机病毒的基本特征。判断一个计算机程序是否为病毒,一个最主要的依据就是看它是否具有传染性。传染是计算机病毒生存的必要条件,它总是设法尽可能地把自己复制并添加到其它程序中去。•破坏性:计算机病毒生存、传染的目的是为了表现其破坏性,其实现形式有两种:一种是把病毒传染给程序,使宿主程序的功能失效,如程序被修改、覆盖、丢失等;另一种是病毒利用自身的表现/破坏模块进行表现和破坏。无论是哪种方式,其危害都是很大的。凡是与软件有关的资源都有可能受到病毒的破坏。•隐蔽性:计算机病毒要获得有效的传染和传播,就应该尽量在用户能够察觉的范围之外进行。因为用户一旦发现,计算机病毒就有可能被清除。因此,大多数病毒都把自己隐藏起来。如,把自身复制到Windows目录下或者复制到一般用户不会打开的目录下,然后把自己的名字改成系统的文件名,或与系统文件名相似。这样当运行时用户就不易发现它是个病毒文件,达到隐蔽的目的。•潜伏性是指病毒在相当一段时间里,虽然在系统中但不执行它的破坏功能,使用户难以察觉,只有到达某个时间点或受其他条件的激发时才执行恶意代码。•触发性:病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性。病毒的触发机制就是用来控制感染和破坏动作的频率的。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作,使病毒进行感染或攻击;如果不满足,使病毒继续潜伏。计算机病毒的生命周期•“计算机病毒”和生物世界的病毒一样,都是有其独特的生命周期。而“计算机病毒”的生命周期就是由以下几个步骤组成的一个循环。•创造期:当计算机病毒编制者花了数天或数周的努力研究出一些可以广为散布的程序,计算机病毒就这样诞生了。•孕育期:这些计算机病毒编制者会将这些含有计算机病毒的程序放在一些容易散播的地方。如一些计算机游戏盘片、BBS站点、Internet的FTP站点,甚至是公司或是学校的网络中等等。•潜伏感染期:在潜伏期中,计算机病毒会不断地繁殖与传染。一个完美的计算机病毒拥有很长的潜伏期,如此一来计算机病毒就有更多的时间去传播到更多的地方,一旦发作將会造成更大的危害。例如世界著名的米开朗基罗病毒,在每年三月六日发作前,有整整一年的潜伏期。•发作期:当一切条件形成之后,计算机病毒于是就开始破坏的行动。有些计算机病毒会在某些特定的日期发作,有些则自己有个倒数计时装置来决定发病的时间。虽然有些计算机病毒发作时并沒有破坏动作,但是它们仍然会占据一些系统资源,从而降低系统运作的效率。

1 / 47
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功