搜索
安博士有限公司一、病毒基础知识安博士有限公司计算机病毒基本概念概念:编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。(1994年2月18号公布)特征:复制、感染、隐蔽、破坏。危害:病毒运行后能够损坏文件、使系统瘫痪,从而造成各种难以预料的后果。网络环境下,计算机病毒种类越来越多、传染速度也越来越快、危害更是越来越大。防治:以防为主,病原体(病毒库)是病毒防治技术的关键。安博士有限公司年当时比较重要就是只要插入到计算机程序里面,另外它要能够自我复制,就是一种感染性,自我复制是一种传播,但对于新的病毒,已经不能完全的符合基本定义。新型病毒:引导型病毒特伊木马恶作剧程序逻辑炸蛋蠕虫病毒以上的病毒被称为后计算机病毒。目前的反病毒软件对于病毒的研究其实基于很多种广义的计算机病毒来说的安博士有限公司新病毒的特性区分会自我复制感染文件和(或)磁盘Payload*病毒Virus是是有时蠕虫Worm是不–作为单独的文件存在有时特洛伊木马(Trojan)黑客程序不–通常由使用者执行不–作为单独的文件存在是开玩笑的程序Jokeprograms不–通常由使用者执行不–作为单独的文件存在不–否则它可能是特洛伊木马*:PPaayyllooaaddTThheeddeelliivveerreeddeeffffeeccttooffaavviirruuss..MMaayybbeeaammeessssaaggee,,ssccrreeeennggrraapphhiicc,,ddeessttrruuccttiioonnooffddaattaa,,eettcc..安博士有限公司计算机病毒的种类引导型---Stone(混合型)、DIRII文件型---Onehalf、CIH、Funlove宏病毒---Concept,台湾一号特洛伊木马---黑客程序BO,冰河恶作剧---DELETEWin95、女鬼蠕虫病毒---美丽莎、爱虫邮件炸弹---MailBomb协议病毒---红色代码安博士有限公司计算机病毒的危害及症状计算机病毒的主要危害有:1.病毒激发对计算机数据信息的直接破坏作用2.占用磁盘空间和对信息的破坏3.抢占系统资源4.影响计算机运行速度5.计算机病毒错误与不可预见的危害6.计算机病毒的兼容性对系统运行的影响7.计算机病毒给用户造成严重的心理压力安博士有限公司例如:最早的在86年的一个病毒由巴基斯坦两兄弟编的brain大脑病毒,brain是一种引导型的病毒,在86年的时候,当时苹果机比较流行,这个病毒在苹果机上发作。在88年11月2号,著名的在Internet上有蠕虫病毒,使得美国整个军方网络上的6000多台计算机被病毒感染,那当时的损失达到9600万。我们国家最早是在统计部门在1988年发现小球病毒,发作时在屏幕上弹出小的红球,通过弹性碰撞的方式进行移动。病毒数量的增长也是非常快,在86年时候1种,89年6种,90年80种,98年2万种,2000年4.6万种,2001年达到6万种,那目前现在平均每天病毒的种类仍以30种的速度递增。中国首次计算机病毒疫情网上调查结果国内有高达73%的计算机曾遭受过病毒感染!安博士有限公司计算机病毒的传播途径通过不可移动的计算机硬件设备进行传播。通过移动存储设备来传播这些设备包括软盘、磁带等。通过计算机网络进行传播。通过点对点通信系统和无线通道传播。安博士有限公司病毒的产生背景计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是:(1)计算机病毒是计算机犯罪的一种新的衍化形式。(2)计算机软硬件产品的危弱性是根本的技术原因。(3)微机的普及应用是计算机病毒产生的必要环境。安博士有限公司二、病毒与反病毒技术安博士有限公司病毒与反病毒的实质病毒的实质:一组计算机指令或者程序代码。反病毒的实质:从计算机中检测到具有病毒性质的代码或文件,并予以清除。计算机技术的不断发展,病毒与反病毒的技术也日益进步,随着网络时代的到来,二者之间的斗争十分激烈。安博士有限公司文件(EXE、DLL、OCX)为了和以前的DOS/Windows系统保持兼容,WIN9X/NT下等32位的EXE文件格式有所不同,其中含有一些空挡,病毒会找适合的地方嵌入进去这是一个被感染的WindowsPE格式EXEFile为保证其隐蔽性,病毒会将自己写到一个最“适合”它自己的病毒代码的空间部分。如果覆写的位置超过了“空挡”大小,原始程序文件被感染时可能已被覆写破坏了部分数据。这些被感染类型有些是不可恢复的,因为原始程序文件被感染时可能已被覆写破坏了。(典型的象CIH、FUNLOVE病毒)EXE文件被感染VIRUS安博士有限公司病毒技术的发展对抗特征码技术对抗覆盖法技术多线程技术元多形技术反虚拟机技术安博士有限公司病毒加壳技术概念:在一些电脑程序中,有一段负责保护程序不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它們保护程序的任务。就像动植物的壳一般都是在身体外面一樣理所當然)。实质:利用特定的压缩算法(就象WinZIP一样)把木马压缩打包运行的时候在内存中解压释放程序本体再运行。技术分类:压缩保护,加密保护加壳程序:常见软件ASPACK,UPX,PEcompact安博士有限公司反病毒技术的更新特征代码法校验和法行为监测法虚拟机技术安博士有限公司虚拟机技术概念:主要是为查杀加密变形病毒而设计的。简单地来说,所谓虚拟机并不是个虚拟的机器,说得更合适一些应该是个虚拟CPU(用软件实现的CPU)。实质:模拟INTELX86CPU的工作过程来解释执行可执行代码,与真正的CPU一样能够取指,译码并执行相应机器指令规定的操作。目的:通过环境来诱使病毒露出真面目。安博士有限公司反病毒软件的关键病毒代码库——存储病毒的特征代码数据文件,并由杀毒引擎来调用。病毒查杀引擎——反病毒产品在杀毒时的一种特殊的算法。在各大厂商的病毒代码库相差无几的情况下,病毒查杀引擎的先进与否直接限制了杀毒软件的能力高低。安博士有限公司杀毒软件的选择引擎技术先进性多样性的杀毒方式查杀多种类型的病毒与其他软件兼容性占用系统资源少扫描效率高适应使用者所在的环境安博士有限公司系列防病毒产品特点:先进的内核引擎扫描技术多种的病毒查杀能力全面的压缩文件类型的支持高速的扫描速度系统资源占用率低安博士有限公司三、现代病毒趋势及检测安博士有限公司病毒发展趋势2004年5月公安部公共信息网络安全监察局发布的我国最流行的十种计算机病毒。2004年的调查结果显示,在今年的4月份至6月份期间,我国感染率最高的病毒是网络蠕虫病毒和针对浏览器的病毒或者恶意代码。2001,52002,52003,52004,51CIHExploitRedlofNetsky2FunloveNimdaSpageRedlof3BingheBingheNimdaHomepage4W97M.markerJS.SeekerQQKillerUnknownmail5MTXHappytimeKlezLovegate6Troj.eraseFunloveFunloveFunlove安博士有限公司现代病毒特点自动传播和主动攻击---蠕虫特洛伊木马—后门多种传播方式:邮件、网络共享、利用IIS、IE、SQL的漏洞危害很大的病毒以邮件为载体,爆发速度快、面广有毒的移动编码--来自Internet网页的威胁安博士有限公司新时代下的网络病毒传统的网络病毒定义是指利用网络进行传播的一类病毒的总称。而现在网络时代的网络病毒,已经不是如此单纯的一个概念了,它被溶进了更多的东西。可以这样说,如今的网络病毒是指以网络为平台,对计算机产生安全威胁的所有程序的总和。主要的类型有:网页病毒,蠕虫病毒,木马病毒安博士有限公司网页病毒定义:网页病毒是利用网页来进行破坏的病毒,它存在于网页之中,其实是利用一些SCRIPT语言编写的一些恶意代码。行为:当用户登录某些含有网页病毒的网站时,网页病毒便被悄悄激活,这些病毒一旦激活,可以利用系统的一些资源进行破坏。危害:轻则修改用户的注册表,使用户的首页、浏览器标题改变,重则可以关闭系统的很多功能,使用户无法正常使用计算机系统,严重者则可以将用户的系统进行格式化。典型:万花谷,JEPG漏洞安博士有限公司网页病毒:万花谷病毒的技术特征:含有有害代码的ActiveX网页文件,它通过在一个网络地址来对计算机用户造成破坏。特性如下:用户不能正常使用WINDOWS的DOS功能程序;)用户不能正常退出WINDOWS;开始菜单上的“关闭系统”、“运行”等栏目被屏蔽,防止用户重新以DOS方式启动,关闭DOS命令、关闭REGEDIT命令等;将IE的浏览器的首页和收藏夹中都加入了含有该有害网页代码的网络地址。解决方法:手动修改注册表,使用专门的解决工具。预防方法:升级防病毒软件,打开实时监控。安博士有限公司蠕虫病毒定义:通过网络连接,将自身复制到其它计算机中,但不感染其它文件。行为:利用了各种的技术,将自己传播到网络中的每一台客户端中。危害:不同的蠕虫病毒的危害表现各不相同。典型:redcode2,netsky,尼姆达,求职信安博士有限公司蠕虫病毒:尼姆达概念:一种新型的恶意蠕虫,影响所有未安装补丁的Windows系统,破坏力极大。行为:通过email邮件传播;通过网络共享传播;通过主动扫描并攻击未打补丁的IIS服务器传播;通过浏览被篡改网页传播。危害:产生大量的垃圾邮件;用蠕虫副本替换系统文件;可能影响word,frontpage等软件正常工作;严重降低系统以及网络性能;创建开放共享,大大降低了系统的安全性;将Guest帐号赋予管理员权限,降低了系统的安全性。解决方法:及时打微软的系统补丁,及时升级杀毒软件,手动扫描硬盘。安博士有限公司木马病毒定义:一种恶意程序,它们悄悄地在宿主机器上运行,就在用户毫无察觉的情况下,让攻击者获得了远程访问和控制系统的权限。木马的实质只是一个通过端口进行通信的网络客户/服务程序危害:信息泄露,系统被破坏等。典型:NetBus,冰河,网络神偷安博士有限公司木马病毒:NetBus概念:破坏网络的安全设置,它能够打开一个端口并允许任何人对染毒的计算机进行完全的访问。行为:1、在\Windows目录下创建并运行Extrac16.reg文件,该文件包含对Netbus的设置,以便让它运行在隐含模式下。2、在临时文件夹Temp(一般情况下为\Windows\Temp)中插入NetbusPro可执行文件,文件名是变化的,但往往以Pkg开头,并以.exe.结尾,3、在注册表中创建NetbusServerPro键值;4、运