搜索
1/59讲解人:电话:E-mail:2/59议程内容第一章计算机病毒的概念、概况与现状第二章计算机病毒分类介绍与技术分析第三章反病毒技术介绍与病毒分析处理第四章反病毒产品介绍与安全体系建立3/59本章概要第1节计算机病毒的定义、特点与原理第2节计算机病毒的产生、发展及危害第3节计算机病毒疫情与互联网安全形势4/59计算机病毒的概念从广义上讲,凡是能够引起计算机故障,破坏计算机数据的程序统称为“计算机病毒”。据此定义,诸如蠕虫、木马、恶意软件此类程序等均可称为“计算机病毒”。计算机病毒特性:破坏性、隐蔽性、传染性、潜伏性。“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我传染的一组计算机指令或者程序代码。”——《中华人民共和国计算机信息系统安全保护条例》第二十八条(1994年2月18日中华人民共和国国务院令147号发布)5/59计算机病毒的特性破坏性破坏性是计算机病毒的首要特征,不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响,轻者占用系统资源,降低计算机工作效率,重者窃取数据、破坏数据和程序,甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何破坏动作,但会占用系统资源,如无法关闭的玩笑程序等。恶性病毒则有明确的目的,或窃取重要信息如银行帐号和密码,或打开后门接受远程控制等。隐蔽性计算机病毒虽然是采用同正常程序一样的技术编写而成,但因为其破坏的目的,因此会千方百计地隐藏自己的蛛丝马迹,以防止用户发现、删除它。病毒通常没有任何可见的界面,并采用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。6/59计算机病毒的特性传染性计算机病毒同自然界的生物病毒一样也具有传染性。病毒作者为了最大地达到其目的,总会尽力使病毒传播到更多的计算机系统上。病毒通常会通过网络、移动存储介质等各种渠道从已被感染的计算机扩散到未被感染的计算机中,感染型病毒会通过直接将自己植入正常程序的方法来传播。潜伏性许多病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块,如有些病毒会在特定的时间发作。7/59计算机病毒的工作流程一次非授权的加载,病毒进入内存病毒引导模块被执行修改系统参数,引入传染和表现模块监视系统运行传染条件是否满足触发条件是否满足进行传染进行表现8/59一、源代码嵌入攻击型这类病毒入侵的主要是高级语言的源程序,病毒是在源程序编译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的就是带毒文件,这种方式难度较大。二、代码取代攻击型这类病毒主要是用它自身的病毒代码取代某个程序的整个或部分模块。这类病毒针对性较强,主要攻击特定的程序,不易发现,并且清除也较困难。三、系统修改入侵型这类病毒主要是用自身程序覆盖或修改系统中的某些文件,来调用或替代操作系统中的部分功能。由于是直接感染系统危害较大,也是最常见的一种,多为文件型病毒。四、外壳寄生入侵型这类病毒通常是将其附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。计算机病毒的入侵方式9/59计算机病毒的传播方式一、通过因特网传播1.电子邮件2.浏览网页和下载软件3.即时通讯软件4.网络游戏二、通过局域网传播1.文件共享2.系统漏洞攻击三、通过移动存储设备传播1.软盘2.光盘3.移动硬盘4.U盘(含数码相机、MP3等)四、通过无线网络或设备传播1.智能手机、PDA2.无线通道10/59计算机病毒的分类与命名(Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15)1、系统病毒:Win32、PE、Win95等;(感染Windows系统的.exe、.dll等文件,并利用这些文件进行传播)2、蠕虫病毒:Worm;(通过网络攻击或者系统漏洞进行传播,往往还发送带毒邮件,阻塞网络)3、脚本病毒:Script。VBS/JS;(使用脚本语言编写,通过网页进行的传播)4、木马/黑客病毒:Trojan/Hack。PSW/PWD;(木马侵入系统后隐藏,并向外泄露用户信息,而黑客病毒则有可视界面,能对用户电脑远程控制,两者往往成对出现,趋于整合)5、后门病毒:Backdoor;(通过网络传播,在系统上开后门,给用户的电脑带来安全隐患)6、种植程序病毒:Dropper;(运行时释放出一个或多个新的病毒,由新释放的病毒产生破坏)7、捆绑机病毒:Binder;(将病毒与一些应用程序捆绑为表面正常的文件,执行时病毒隐藏运行)8、宏病毒:Macro、Word(97)、Excel(97)等;(感染OFFICE文档,通过通用模板进行传播)(1)破坏性程序:Harm;(2)玩笑型病毒:Joke;9、其他(3)拒绝攻击类:DoS;(4)溢出类病毒:Exploit;(5)黑客工具类:HackTool;病毒命名的一般格式为:前缀.病毒名.后缀常见病毒前缀11/59本章概要第1节计算机病毒的定义、特点与原理第2节计算机病毒的产生、发展及危害第3节计算机病毒疫情与互联网安全形势12/59计算机病毒产生的根源计算机系统的复杂性和脆弱性;各种矛盾激化、经济利益驱使;炫耀、玩笑、恶作剧或是报复;13/59计算机病毒的发展C-BRAINDOS引导阶段DOS可执行阶段网络、蠕虫阶段Windows视窗阶段宏病毒阶段互联网阶段14/59计算机病毒的危害劫持IE浏览器,篡改首页及一些默认项目(如默认搜索);修改Host文件,导致用户不能访问某些网站,或被引导到“钓鱼网站”;添加驱动保护,使用户无法删除某些软件;修改系统启动项目,使某些恶意软件可以随着系统启动;在用户计算机上开置后门,黑客可以通过此后门远程控制中毒机器,组成僵尸网络,对外发动攻击、发送垃圾邮件、点击网络广告等牟利;采用映像劫持技术,使多种杀毒软件和安全工具无法使用;记录用户的键盘、鼠标操作,窃取银行卡、网游密码等信息;记录用户的摄像头操作,可以从远程窥探隐私;使用户的机器运行变慢,大量消耗系统资源;窃取用户电脑数据、信息;……15/59本章概要第1节计算机病毒的定义、特点与原理第2节计算机病毒的产生、发展及危害第3节计算机病毒疫情与互联网安全形势16/59病毒的数量激增2010年上半年,瑞星“云安全”系统共截获新增病毒样本4221366个。在病毒分类统计中,木马病毒共有2344637个,占总体55.54%,紧随其后的依次为“后门病毒”、“蠕虫病毒”、“Rootkit”。17/592010挂马网站类型18/59黑客/病毒产业链分析19/59混合式威胁已成主流,基于漏洞的攻击防不胜防传播方式尽其所能,网页与U盘成为重要途径自我防御能力增强团队化特征明显主要针对基础网络应用利益驱动商业化运作区域化特征明显并且攻击目标明确加壳技术普遍应用主动攻击安全类软件破坏系统功能属性展开变种数量与速度竞赛电子邮件网页浏览网上银行和证券网络游戏网络下载现代病毒的显著特点20/59议程内容第一章计算机病毒的概念、概况与现状第二章计算机病毒分类介绍与技术分析第三章反病毒技术介绍与病毒分析处理第四章反病毒产品介绍与安全体系建立21/59本章概要第1节计算机病毒分类介绍第2节现代计算机病毒惯用技术手段剖析第3节当前流行计算机病毒专题技术详解22/59早期病毒——DOS病毒概念:DOS病毒指针对DOS操作系统开发的病毒,是一种只能在DOS环境下运行、传染的计算机病毒,是最早出现的计算机病毒。目前,几乎没有新制作的DOS病毒,由于Windows系统的普及,DOS病毒几乎绝迹,但是有相当一部分可感染Windows9X系统并传播,或者导致系统死机或程序运行异常。分类:引导型:指感染(主)引导扇区的病毒,如“米氏病毒”;文件型:指感染DOS可执行文件(.EXE、.COM、.BAT)的病毒,如“黑色星期五”;混合型:指既感染(主)引导,又感染文件的病毒。如:“幽灵”病毒、Natas病毒等;代表:耶路撒冷(Jerusalem)、米开朗基罗(Michelangelo)、Monkey、MusicBug等;危害:DOS时期的病毒种类相当繁杂,而且不断有人改写现有的病毒,到了后期甚至有人写出所谓的“双体引擎”,可以把一种病毒创造出更多元化的面貌。而病毒发作的症状更是各式各样,有的会删除文件、有的会Format硬盘、有的还会在屏幕上显出各式各样的图形与音效。但是,现在对于这些DOS时期的古董级病毒,大部分杀毒软件都可以轻易地扫除,杀伤力已经大不如前了。23/59Office杀手——宏病毒概念:(1)宏,译自Macro,是OFFICE的一个特殊功能。它利用简单的VB语法,把一系列常用操作集成在一小段程序内,需要重复时运行宏即可,实现文档中一些任务的自动化。默认Office将宏存贮在通用模板Normal.dot中,该特点为宏病毒利用。(2)宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,宏病毒就会被激活,转移到计算机并驻留在Normal模板上。自此所有自动保存的文档都会“感染”上该宏病毒,其他用户打开了染毒文档,宏病毒又会转移到其他计算机。特点:制作、变种方便,隐蔽性强,传播迅速,破坏可能性极大,但兼容性不高等。危害:不能正常打印、改变文件存储、将文件改名、乱复制文件、封闭菜单、删除选项、无法正常编辑、只能存为模板格式、破坏数据文档、设置密码、调用系统命令造成破坏。防治:(1)将常用的Word模板文件改为只读属性;(2)禁止自动执行宏功能(winword.exe/mDisableAutoMacros);处理:(1)应急时可以用写字板或WORD6.0将文档打开并另外存储。(2)进入“宏管理器”,在“宏有效范围”列表中将不明的自动执行宏删除;(3)首选用最新版的反病毒软件查杀;24/59系统型病毒的存储结构一、基本概念系统型病毒是指专门传染操作系统的启动扇区,主要是指传染硬盘主引导扇区和DOS引导扇区的病毒。二、存储结构此类病毒程序被划分为两部分,第一部分存放在磁盘引导扇区中,第二部分则存放在磁盘其他的扇区中。三、简要说明1.当病毒感染磁盘时,首先根据文件分配表(FAT)表找到一个或一段连续的空白簇;2.然后将病毒程序的第二部分以及磁盘原引导扇区的内容写入该空白簇,并立即将这些簇在FAT中登记项的内容强制标记为坏簇(FF7H);3.接着将病毒程序的第一部分写入磁盘引导扇区,并将病毒程序的第二部分所在簇的簇号或第一扇区的逻辑扇区号记录在磁盘偏移地址01F9处。四、处理:读取偏移地址01F9的地址,将原原引导扇区的内容恢复并删除其第二部分病毒数据即可。25/59文件型病毒的存储结构一、基本概念文件型病毒是指专门感染系统中的可执行文件(即扩展名为.COM、.EXE)的病毒。二、磁盘存储结构此类病毒程序没有独立占用磁盘上的空白簇,而是附着在被感染文件的首部、尾部、中部或其他部位。病毒入侵后一般会使宿主程序占用的磁盘空间增加。三、简要说明绝大多数文件型病毒属于外壳病毒,外壳(即病毒程序)与内核(即宿主程序)之间构成一种层次化结构,加载关系为先运行外壳,再跳转去执行内核。可执行文件的外壳一般具有相对独立的功能和结构,去掉外壳将不会影响内核部分的运行。26/59互联网瘟疫——蠕虫病毒特性:蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫,现在还没有一个成套的理论体系。一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如一般不利用文件寄生,只存在于内存中,对网络造成拒绝服务,以及和黑客技术相结合,等等。具有超强的自我复制能力和传播性、特定的触发性、一定的潜伏性和很大的破坏性。在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时