搜索
江苏经贸2020/1/30网络安全技术1网络安全技术信息技术系鲍洪生江苏经贸2020/1/30网络安全技术2学习单元三主题学习单元一江苏经贸2020/1/30网络安全技术3任务利用病毒木马等恶意软件对网络中的计算机进行攻击Internet中毒被挂马攻击者江苏经贸2020/1/30网络安全技术4什么是病毒《中华人民共和国计算机信息系统安全保护条例》中明确定义,计算机病毒是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。在计算机病毒定义中,要深刻理解的是计算机病毒是“能够自我复制的程序代码”。江苏经贸2020/1/30网络安全技术5计算机病毒的特性1.非授权可执行性2.隐蔽性3.传染性4.潜伏性5.破坏性6.可触发性在这些特性中,最关键的技术是“非授权可执行性”。即一切病毒传染、破坏的前提是病毒程序被执行。如果病毒程序代码未被执行,它就不会传染和破坏。江苏经贸2020/1/30网络安全技术6病毒的要点研究计算机病毒要抓住2个要点:–病毒是程序代码–程序代码被执行一个病毒只要上述两点中的一点不满足就不能进行传染与破坏。讨论:以下哪些对象有可能含有病毒?如何启动?–可执行程序文件–文本文件,Office文档–图片文件–视频文件–网页–电子邮件(不包含附件)江苏经贸2020/1/30网络安全技术7病毒的种类与特点引导型病毒:–程序代码:隐藏在磁盘主引导区(将正常引导程序替换)。–执行方法:BIOS引导启动(计算机系统设计决定,磁盘操作系统必定先启动主引导区代码)。文件型病毒:–程序代码:嵌入正常可执行文件中。–执行方法:执行程序时被“搭车”启动。江苏经贸2020/1/30网络安全技术8病毒的种类与特点宏病毒:–程序代码:以VB脚本的形式存在宏命令中。–执行方法:定义为自动宏,打开office文档时自动启动。网页脚本病毒:–程序代码:以ASP、JSP或其他脚本形式存于网页中(包括HTML格式的电子邮件中)。–执行方法:打开网页(或电子邮件)时由IE(或OE)自动执行。江苏经贸2020/1/30网络安全技术9病毒的种类与特点蠕虫(木马):–程序代码:独立的病毒程序,以可执行文件形式存在。–传播方法:主要利用网络操作系统系统漏洞,获得远程主机写入权限传播(这是目前蠕虫病毒主要传播方式)。–执行方法:主要修改注册表,将病毒程序自启动序列,开机后自启动。也有以欺骗手段诱使受害者主动执行。–蠕虫病毒的预防方法:操作系统打补丁。江苏经贸2020/1/30网络安全技术10病毒发展阶段:第一代病毒第一代病毒的产生年限可以认为在1986-1989年之间,这一期间出现的病毒可以称之为传统的病毒,是计算机病毒的萌芽和滋生时期。由于当时计算机的应用软件少,而且大多是单机运行环境,因此病毒没有大量流行,流行病毒的种类也很有限,病毒的清除工作相对来说较容易。江苏经贸2020/1/30网络安全技术11第一代计算机病毒的特点病毒攻击的目标比较单一。或者是传染磁盘引导扇区,或者是传染可执行文件。病毒程序主要采取截获系统中断向量的方式监视系统的运行状态,并在一定的条件下对目标进行传染。病毒传染目标以后的特征比较明显,如磁盘上出现坏扇区,可执行文件的长度增加、文件建立日期、时间发生变化,等等。这些特征容易被人工或查毒软件所发现。病毒程序不具有自我保护的措施,容易被人们分析和解剖,从而使得人们容易编制相应的消毒软件。江苏经贸2020/1/30网络安全技术12第二代病毒第二代病毒第又称为混合型病毒,其产生的年限可以认为在1989-1991年之间,它是计算机病毒由简单发展到复杂,由单纯走向成熟的阶段。计算机局域网开始应用与普及,许多单机应用软件开始转向网络环境,应用软件更加成熟,由于网络系统尚未有安全防护的意识,缺乏在网络环境下病毒防御的思想准备与方法对策,给计算机病毒带来了第一次流行高峰。这一时期出现的病毒不仅在数量上急剧地增加,更重要的是病毒从编制的方式、方法,驻留内存以及对宿主程序的传染方式、方法等方面都有了较大的变化。江苏经贸2020/1/30网络安全技术13第二代计算机病毒的特点病毒攻击的目标趋于混合型,即一种病毒既可传染磁盘引导扇区,又可能传染可执行文件。病毒程序不采用明显地截获中断向量的方法监视系统的运行,而采取更为隐蔽的方法驻留内存和传染目标。病毒传染目标后没有明显的特征,如磁盘上不出现坏扇区,可执行文件的长度增加不明显,不改变被传染文件原来的建立日期和时间等等。病毒程序往往采取了自我保护措施,如加密技术、反跟踪技术,制造障碍,增加人们分析和解剖的难度,同时也增加了软件检测、解毒的难度。江苏经贸2020/1/30网络安全技术14第三代病毒第三代病毒的产生可以认为从1992年开始至1995年,此类病毒称为“多态性”病毒或“自我变形”病毒。所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时,放人宿主程序中的病毒程序大部分都是可变的,即在搜集到同一种病毒的多个样本中,病毒程序的代码绝大多数是不同的,这是此类病毒的重要特点。正是由于这一特点,传统的利用特征码法检测病毒的产品不能检测出此类病毒。江苏经贸2020/1/30网络安全技术15第三代计算机病毒的特点此类病毒的首创者是一位反病毒的技术专家。他编写的1260病毒就是一种多态性病毒,有极强的传染力。他编写此类病毒的目的是为了研究,他将此类病毒散发给他的同事,不幸的是,此种病毒超出了反病毒的技术范围,流入了病毒技术中。该病毒作者还散布一种名为“多态性发生器”的软件工具,利用此工具将普通病毒进行编译即可使之变为多态性病毒。第三阶段是病毒的成熟发展阶段。在这一阶段中病毒的发展主要是病毒技术的发展,病毒开始向多维化方向发展,这将导致计算机病毒检则和消除的困难。江苏经贸2020/1/30网络安全技术16第四代病毒90年代中后期,随着远程网、远程访问服务的开通,病毒流行面更加广泛,病毒的流行迅速突破地域的限制,可以在局域网和广域网中传播扩散。江苏经贸2020/1/30网络安全技术17第四代计算机病毒的特点这一时期的病毒的最大特点是利用Internet作为其主要传播途径,其主要特点有:–传染方式多:可利用网页、登录、电子邮件、系统漏洞……等方式。–传染速度快:瞬间即可传遍全世界。–清除难度大:病毒在网上广泛传播,如果系统漏洞未补上,杀除后还会感染。–破坏性强:不仅影响单机,可以造成整个网络的瘫痪和服务的停止。江苏经贸2020/1/30网络安全技术18计算机病毒的组成结构虽然计算机病毒的种类很多,但通过分析现有的计算机病毒,发现几乎所有的计算机病毒都是由3个部分组成,即:–引导模块:将病毒代码装入内存,并执行。通过修改中断等系统参数控制计算机的运行。–传染模块:•传染判断:判断是否具有传染条件(如是否被传染过、运行于何种操作系统等)。•传染实施:若满足传染条件则实施传染。–表现模块:•触发条件判断:只有当满足触发条件时才激发破坏模块。•破坏和表现:表现或对系统进行破坏。江苏经贸2020/1/30网络安全技术19病毒主要传染方式普通文件拷贝移动存储使用电子邮件传播利用软件漏洞利用系统漏洞社会工程欺骗江苏经贸2020/1/30网络安全技术20病毒的防范与清除防范病毒–计算机病毒防范,是指通过建立合理的计算机病毒防范体系和制度,及时发现计算机病毒的侵入,并采取有效的手段阻止计算机病毒的传播和破坏,恢复受影响的计算机系统和数据。江苏经贸2020/1/30网络安全技术21检测病毒检测病毒方法有:–特征代码法–校验和法–行为监测法–虚拟机模拟法这些方法依据的原理不同,实现时所需的开销也不同,同时检测的范围也不同,各有所长。江苏经贸2020/1/30网络安全技术22特征代码法特征代码法的实现步骤:–采集已知病毒样本,在病毒样本中,抽取特征代码。•抽取的代码要有典型性,不能与正常程序代码吻合。•抽取的代码要有适当长度,一方面维持特征代码的唯一性,另一方面又不要有太大的空间与时间的开销。在保持唯一性的前提下,尽量使特征代码长度短些,以减少空间与时间开销。将特征代码纳入病毒数据库。–打开被检测文件,在文件中搜索,检查文件中是否含有病毒数据库中的病毒特征代码。如果发现病毒特征代码,由于特征代码与病毒一一对应,便可以断定,被查文件中患有何种病毒。江苏经贸2020/1/30网络安全技术23特征代码法的特点优点:–检测准确、可识别病毒的名称、误报警率低、依据检测结果,可做解毒处理。缺点:–不能检测未知病毒、搜集已知病毒的特征代码费用开销大。–速度慢。随着病毒种类的增多,检索时间变长。如果检索5000种病毒,必须对5000个病毒特征代码逐一检查。–不能检查多形性病毒。–不能对付隐蔽性病毒。隐蔽性病毒若先进驻内存,隐蔽性病毒能先于检测工具,将被查文件中的病毒代码剥去,检测工具检测到一个虚假的好文件,而不能报警,被隐蔽性病毒所蒙骗。江苏经贸2020/1/30网络安全技术24病毒特征检测码下面是一段国际公开病毒特征检测码,不具有破坏性,用于检验杀毒软件。X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*江苏经贸2020/1/30网络安全技术25校验和法将正常文件的内容,计算其校验和,将该校验和写入文件中或写入别的文件中保存。在文件使用过程中,定期地或每次使用文件前,检查文件现在内容算出的校验和与原来保存的校验和是否一致,因而可以发现文件是否感染,它既可发现已知病毒又可发现未知病毒。这种方法既能发现已知病毒,也能发现未知病毒。但是,它不能识别病毒类,不能报出病毒名称。由于病毒感染并非文件内容改变的唯一的非他性原因,文件内容的改变有可能是正常程序引起的,所以校验和法常常误报警。而且此种方法也会影响文件的运行速度。江苏经贸2020/1/30网络安全技术26校验和法的不足病毒感染的确会引起文件内容变化,但是校验和法对文件内容的变化太敏感,又不能区分正常程序引起的变动,而频繁报警。用监视文件的校验和来检测病毒,不是最好的方法。校验和法对隐蔽性病毒无效。隐蔽性病毒进驻内存后,会自动剥去染毒程序中的病毒代码,使校验和法受骗,对一个有毒文件算出正常校验和。江苏经贸2020/1/30网络安全技术27校验和法查病毒采用三种方式在检测病毒工具中纳入校验和法。对被查的对象文件计算其正常状态的校验和,将校验和值写入被查文件中或检测工具中,而后进行比较。在应用程序中,放入校验和法自我检查功能,将文件正常状态的校验和写入文件本身中,每当应用程序启动时,比较现行校验和与原校验和值。实现应用程序的自检测。将校验和检查程序常驻内存,每当应用程序开始运行时,自动比较检查应用程序内部或别的文件中预先保存的校验和。江苏经贸2020/1/30网络安全技术28行为监测法利用病毒的特有行为特征性来监测病毒的方法,称为行为监测法。通过对病毒多年的观察、研究,有一些行为是病毒的共同行为,而且比较特殊。当程序运行时,监视其行为,如果发现了病毒行为,立即报警。容易被认为是病毒行为特征如下:–修改INT13H。所有的引导型病毒,都攻击Boot扇区或主引导扇区。–对COM、EXE文件做写入动作。病毒要感染,必须写COM、EXE文件。–修改注册表。蠕虫类病毒往往通过修改注册表而启动。江苏经贸2020/1/30网络安全技术29行为监测法的特点优点:可发现未知病毒。缺点:容易误报警、不能识别病毒名称、实现时有一定难度。江苏经贸2020/1/30网络安全技术30加密病毒随着病毒技术的发展,出现了一类加密病毒。这类病毒的特点是:病毒主体代码被加了密。运行时首先得到控制权的解密代码将对病毒主体进行循环解密,完成后将控制交给病毒主体运行。由于同一种病毒的不同传染实例的病毒主体是用不同的密钥进行加密,因而不可能在其中找到唯一的一段代码串和偏移来代表此病毒的特征。江苏经贸2020/1/30网络安全技术31虚拟机查毒技术为了对付加密病毒,出现了虚拟机查毒技术。解密后