病毒知识培训ppt

反病毒知识培训教程培训讲师：付欲华第一部分病毒知识（一）病毒基础知识一、病毒的概念和特点1.病毒的定义计算机病毒从广义上讲，凡能够引起计算机故障，破坏计算机数据、影响计算机的正常运行的指令或代码统称为计算机病毒。在计算机发展过程中，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。在我国，1994年2月18日颁布实施的《中华人民共和国计算机信息系统安全保护条例》对计算机病毒作出了明确的定义，《条例》第二十八条中规定：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”第一部分病毒知识2.病毒的特征破坏性隐藏性传染性潜伏性第一部分病毒知识破坏性破坏性是计算机病毒的首要特征，不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响,轻者占用系统资源，降低计算机工作效率，重者窃取数据、破坏数据和程序，甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，如无法关闭的玩笑程序等。恶性病毒则有明确得目的，或窃取重要信息如银行帐号和密码，或打开后门接受远程控制等。隐蔽性计算机病毒虽然是采用同正常程序一样的技术编写而成，但因为其破坏的目的，因此会千方百计地隐藏自己的蛛丝马迹，以防止用户发现、删除它。病毒通常没有任何可见的界面，并采用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。第一部分病毒知识传染性计算机病毒同自然界的生物病毒一样也具有传染性。病毒作者为了最大地达到其目的，总会尽力使病毒传播到更多的计算机系统上。病毒通常会通过网络、移动存储介质等各种渠道从已被感染的计算机扩散到未被感染的计算机中，感染型病毒会通过直接将自己植入正常程序的方法来传播。潜伏性许多病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块，如有些病毒会在特定的时间发作。第一部分病毒知识3.病毒的通用命名规则病毒名是由以下6字段组成的：主行为类型.子行为类型.宿主文件类型.主名称.版本信息.主名称变种号#内部信息其中字段之间使用“.”或“-”分隔，#号以后属于内部信息，为推举结构。主行为类型与病毒子行为类型病毒可能包含多个主行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的主行为类型。同样的，病毒也可能包含多个子行为类型，这种情况可以通过每种主行为类型的危害级别确定危害级别最高的作为病毒的子行为类型。其中危害级别是指对病毒所在计算机的危害。病毒主行为类型与病毒子行为类型存在对应关系，下表将描述这一对应关系：第一部分病毒知识主行为类型子行为类型Backdoor危害级别：1说明：中文名称—“后门”，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行可以对被感染的系统进行远程控制，而且用户无法通过正常的方法禁止其运行。“后门”其实是木马的一种特例，它们之间的区别在于“后门”可以对被感染的系统进行远程控制（如：文件管理、进程控制等）。（空）说明：目前还没有划分这类病毒的子行为类型。Worm危害级别：2说明：中文名称—“蠕虫”，是指利用系统的漏洞、外发邮件、共享目录、可传输文件的软件（如：MSN、OICQ、IRC等）、可移动存储介质（如：U盘、软盘），这些方式传播自己的病毒。这种类型的病毒其子型行为类型用于表示病毒所使用的传播方式。Mail危害级别：1说明：通过邮件传播IM危害级别：2说明：通过某个不明确的即时通讯软件传播MSN危害级别：3说明：通过MSN传播QQ危害级别：4说明：通过OICQ传播第一部分病毒知识ICQ危害级别：5说明：通过ICQ传播P2P危害级别：6说明：通过P2P软件传播IRC危害级别：7说明：通过ICR传播（空）说明：不依赖其他软件进行传播的传播方式，如：利用系统漏洞、共享目录、可移动存储介质。Trojan危害级别：3说明：中文名称—“木马”，是指在用户不知道也不允许的情况下，在被感染的系统上以隐蔽的方式运行，而且用户无法通过正常的方法禁止其运行。这种病毒通常都有利益目的，它的利益目的也就是这种病毒的子行为。Spy危害级别：1说明：窃取用户信息（如：文件等）PSW危害级别：2说明：具有窃取密码的行为DL危害级别：3说明：下载病毒并运行IMMSG危害级别：4说明：通过某个不明确的载体或多个明确的载体传播即时消息（这一行为与蠕虫的传播行为不同，蠕虫是传播病毒自己，木马仅仅是传播消息）MSNMSG危害级别：5说明：通过MSN传播即时消息第一部分病毒知识QQMSG危害级别：6说明：通过OICQ传播即时消息ICQMSG危害级别：7说明：通过ICQ传播即时消息UCMSG危害级别：8说明：通过UC传播即时消息Proxy危害级别：9说明：将被感染的计算机作为代理服务器Clicker危害级别：10说明：点击指定的网页Dialer危害级别：12说明：通过拨号来骗取Money的程序（空）说明：无法描述其利益目的但又符合木马病毒的基本特征，则不用具体的子行为进行描述Virus危害级别：4说明：中文名称“感染型病毒”，是指将病毒代码附加到被感染的宿主文件（如：PE文件、DOS下的COM文件、VBS文件、具有可运行宏的文件）中，使病毒代码在被感染宿主文件运行时取得运行权的病毒。（空）说明：目前还没有划分这类病毒的子行为类型第一部分病毒知识Harm危害级别：5说明：中文名称—“破坏性程序”，是指那些不会传播也不感染，运行后直接破坏本地计算机（如：格式化硬盘、大量删除文件等）导致本地计算机无法正常使用的程序。（空）说明：目前还没有划分这类病毒的子行为类型Dropper危害级别：6说明：中文名称—“释放病毒的程序”，是指不属于正常的安装或自解压程序，并且运行后释放病毒并将它们运行。（空）说明：目前还没有划分这类病毒的子行为类型Hack危害级别：无说明：中文名称—“黑客工具”，是指可以在本地计算机通过网络攻击其他计算机的工具。Exploit说明：漏洞探测攻击工具DDoser说明：拒绝服务攻击工具Flooder说明：洪水攻击工具（空）说明：不能明确攻击方式并与黑客相关的软件，则不用具体的子行为进行描述Binder危害级别：无说明：捆绑病毒的工具（空）说明：目前还没有划分这类病毒的子行为类型第一部分病毒知识Constructor危害级别：无说明：中文名称—“病毒生成器”，是指可以生成不同功能的病毒的程序。（空）说明：目前还没有划分这类病毒的子行为类型Joke危害级别：无说明：中文名称—“玩笑程序”，是指运行后不会对系统造成破坏，但是会对用户造成心理恐慌的程序。（空）说明：目前还没有划分这类病毒的子行为类型Junk危害级别：无说明：中文名称—“损坏的病毒文件”，是指包含病毒代码但是病毒代码已经无法运行的文件。（空）说明：目前还没有划分这类病毒的子行为类型Rootkit危害级别：无说明：一种“越权执行”的应用程序，它设法让自己达到和内核一样的运行级别，甚至进入内核空间，这样它就拥有了和内核一样的访问权限，因而可以对内核指令进行修改（空）说明：目前还没有划分这类病毒的子行为类型第一部分病毒知识宿主文件宿主文件是指病毒所使用的文件类型，目前的宿主文件有以下几种。JS说明：JavaScript脚本文件VBS说明：VBScript脚本文件HTML说明：HTML文件Java说明：Java的Class文件COM说明：Dos下的Com文件EXE说明：Dos下的Exe文件Boot说明：硬盘或软盘引导区Word说明：MS公司的Word文件Excel说明：MS公司的Excel文件PE说明：PE文件WinREG说明：注册表文件Ruby说明：一种脚本Python说明：一种脚本.BAT说明：BAT脚本文件IRC说明：IRC脚本Lisp说明：一种解释语言第一部分病毒知识主名称病毒的主名称是由分析员根据病毒体的特征字符串、特定行为或者所使用的编译平台来定的，如果无法确定病毒的特征字符串、特定行为或者所使用的编译平台则可以用字符串”Agent”来代替主名称，小于10k大小的文件可以命名为“Samll”。内部信息#号后为内部信息，通常不在杀毒软件上显示，用于杀毒软件厂商标识内部信息。版本信息（只允许为数字）对于版本信息不明确的不加版本信息。主名称变种号如果病毒的主行为类型、行为类型、宿主文件类型、主名称均相同，则认为是同一家族的病毒，这时需要变种号来区分不同的病毒记录。变种号为不写字母a—z，如果一位版本号不够用则最多可以扩展3位，如：aa、ab、aaa、aab以此类推。由系统自动计算，不需要人工输入或选择。第一部分病毒知识病毒长度病毒长度字段只用于主行为类型为感染型（Virus）的病毒，字段的值为数字。当字段值为0时，表示病毒长度是可变的。病毒命名举例：Trojan.PSW.Win32.QQPass.aBackdoor.Win32.Gpigeon.bWorm.Win32.Nimaya.bz第一部分病毒知识三、病毒技术的发展历史和现状1.病毒的产生计算机病毒不是来源于突发或偶然的原因，一次突发的停电和偶然的错误，会在计算机的磁盘和内存中产生一些乱码和随机指令，但这些代码是无序和混乱的，而计算机病毒则是一种比较完美的，精巧严谨的代码，按照严格的秩序组织起来，与所在的系统网络环境相适应和配合。计算机病毒不会通过偶然形成，并且需要有一定的长度，这个基本的长度从概率上来讲是不可能通过随机代码产生的。计算机病毒是人为的特制程序，是由人为故意编写的，多数计算机病毒可以找到作者信息和产地信息，通过大量的资料分析统计来看，病毒作者主要的情况和目的是：表现和炫耀自己的能力一些天才的程序员为了表现自己和证明自己的能力第一部分病毒知识为了经济或其它利益如盗取网络银行密码窃取钱财等其它原因因政治，军事，宗教，民族等方面的原因而专门编写的病毒第一部分病毒知识2.病毒的发展历史电脑病毒的起源：电脑病毒的概念其实源起相当早，在第一部商用电脑出现之前好几年时，电脑的先驱者冯·诺伊曼（JohnVonNeumann）在他的一篇论文《复杂自动装置的理论及组识的进行》里，已经勾勒出病毒程序的蓝图。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。1975年，美国科普作家约翰·布鲁勒尔（JohnBrunner）写了一本名为《震荡波骑士》（ShockWaveRider）的书，该书第一次描写了在信息社会中，计算机作为正义和邪恶双方斗争的工具的故事，成为当年最佳畅销书之一。第一部分病毒知识1977年夏天，托马斯·捷·瑞安（Thomas.J.Ryan）的科幻小说《P-1的春天》（TheAdolescenceofP-1）成为美国的畅销书，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了7,000台计算机，造成了一场灾难。虚拟科幻小说世界中的东西，在几年后终于逐渐开始成为电脑使用者的噩梦。而差不多在同一时间，美国著名的AT&T贝尔实验室中，三个年轻人在工作之余，很无聊的玩起一种游戏:彼此撰写出能够吃掉别人程序的程序来互相作战。这个叫做“磁芯大战”（corewar）的游戏，进一步将电脑病毒“感染性”的概念体现出来。1983年11月3日，一位南加州大学的学生弗雷德·科恩（FredCohen）在UNIX系统下，写了一个会引起系统死机的程序，但是这个程序并未引起一些教授的注意与认同。科恩为了证明其理论而将这些程序以论文发表，在当时引起了不小的震撼。科恩的程序，让电脑病毒具备破坏性的概念具体成形。不过，这种具备感染与破坏性的程序被真正称之为病毒，则是在两年后的一本《科学美国人》的月刊中。一位叫作杜特尼（A.K.Dewdney）的专栏作家在讨论磁芯大战与苹果二型电脑（别怀疑，当时流行的正是苹果二型电脑，在那个时侯，我们