全套课件·计算机病毒及其防范技术-完整.ppt

上传人(卖家):三亚风情 文档编号:3522996 上传时间:2022-09-11 格式:PPT 页数:815 大小:9.16MB
下载 相关 举报
全套课件·计算机病毒及其防范技术-完整.ppt_第1页
第1页 / 共815页
全套课件·计算机病毒及其防范技术-完整.ppt_第2页
第2页 / 共815页
全套课件·计算机病毒及其防范技术-完整.ppt_第3页
第3页 / 共815页
全套课件·计算机病毒及其防范技术-完整.ppt_第4页
第4页 / 共815页
全套课件·计算机病毒及其防范技术-完整.ppt_第5页
第5页 / 共815页
点击查看更多>>
资源描述

1、计算机病毒概述计算机病毒概述本章学习目标 明确计算机病毒的基本概念 了解计算机病毒发展的历史转折点 熟悉计算机病毒的分类 熟悉商业计算机病毒命名规则 掌握计算机病毒的发展趋势一、计算机病毒的定义一、计算机病毒的定义计算机病毒产生的动机(原因):计算机系统的脆弱性(IBM病毒防护计划)作为一种文化(hacker)病毒编制技术学习。恶作剧。产生于个别人的报复心理。用于版权保护(江民公司)。用于特殊目的(军事、计算机防病毒公司)。计算机病毒的前身只不过是程序员闲来无事而编写的趣味程序;后来,才发展出了诸如破坏文件、修改系统参数、干扰计算机的正常工作等的恶性病毒。“病毒”一词的正式出现在1985年3月

2、份的“科学美国人”里。“计算机病毒”与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。“计算机病毒”为什么叫做病毒?原因是,它与生物医学上的病毒同样有传染和破坏的特性,因此这一名词是由生物医学上的“病毒”概念引申而来。Fred Cohen定义:计算机病毒是一种程序,他用修改其它程序的方法将自身的精确拷贝或者可能演化的拷贝插入其它程序,从而感染其它程序。Fred Cohen认为:病毒不是利用操作系统运行的错误和缺陷的程序,病毒是正常的用户程序。广义定义:从广义上讲,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。依据此定义,

3、诸如恶意代码,蠕虫,木马等均可称为计算机病毒。在国内,专家和研究者对计算机病毒也做过不尽相同的定义,但一直没有公认的明确定义。标准定义(中国):直至1994年2月18日,我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例,在条例第二十八条中明确指出:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。二、病毒特征和结构二、病毒特征和结构 破坏性 传染性 隐蔽性 寄生性 触发(潜伏)性/*引导功能模块*/将病毒程序寄生于宿主程序中;加载计算机程序;病毒程序随其宿主程序的运行进入系统;传

4、染功能模块;破坏功能模块;main()调用引导功能模块;A:do 寻找传染对象;if(传染条件不满足)goto A;while(满足传染条件);调用传染功能模块;while(满足破坏条件)激活病毒程序;调用破坏功能模块;运行宿主源程序;if 不关机goto A;关机;在第一部商用电脑出现之前,冯诺伊曼在他的论文复杂自动装置的理论及组识的进行里,就已经勾勒出了病毒程序的蓝图。Bell实验室的磁心大战(Core War)。70年代美国作家雷恩出版的P1的青春The Adolescence of P1一书中作者构思出了计算机病毒的概念。1983年11月3日,Fred Cohen博士研制出第一个计算机

5、病毒(Unix)。1986 年初,在巴基斯坦的拉合尔(Lahore),巴锡特(Basit)和阿姆杰德(Amjad)两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。他们编写了Pakistan 病毒,即Brain。在一年内流传到了世界各地。1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等。三、病毒成长的痕迹三、病毒成长的痕迹 1988 年 3 月 2 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。1988年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为“蠕虫”的电脑

6、病毒送进了美国最大的电脑网络互联网。1988年11月2日下午5点,互联网的管理人员首次发现网络有不明入侵者。当晚,从美国东海岸到西海岸,互联网用户陷入一片恐慌。1989年全世界的计算机病毒攻击十分猖獗,我国也未幸免。1991年在“海湾战争”中,美军第一次将计算机病毒用于实战。1992年出现针对杀毒软件的“幽灵”病毒,如One-half。1996年首次出现针对微软公司Office的“宏病毒”。1997年被公认为计算机反病毒界的“宏病毒”年。1999年4月26日,CIH病毒在全球范围大规模爆发,造成近6000万台电脑瘫痪。(该病毒产生于1998年)1999年 Happy99等完全通过Interne

7、t传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。2001年7月中旬,一种名为“红色代码”的病毒在美国大面积蔓延,这个专门攻击服务器的病毒攻击了白宫网站,造成了全世界恐慌。2003年,“2003蠕虫王”病毒在亚洲、美洲、澳大利亚等地迅速传播,造成了全球性的网络灾害。2004年是蠕虫泛滥的一年,大流行病毒:网络天空(Worm.Netsky)高波(Worm.Agobot)爱情后门(Worm.Lovgate)震荡波(Worm.Sasser)SCO炸弹(Worm.Novarg)冲击波(Worm.Blaster)恶鹰(Worm.Bbeagle)小邮差(Worm.Mimail)求职信(Wo

8、rm.Klez)大无极(Worm.SoBig)2005年是木马流行的一年,新木马包括:8月9日,“闪盘窃密者(Trojan.UdiskThief)”病毒。该木马病毒会判定电脑上移动设备的类型,自动把U盘里所有的资料都复制到电脑C盘的“test”文件夹下,这样可能造成某些公用电脑用户的资料丢失。11月25日,“证券大盗”()。该木马病毒可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码,被盗号的股民账户存在被人恶意操纵的可能。7月29日,“外挂陷阱”(troj.Lineage.hp)。此病毒可以盗取多个网络游戏的用户信息,如果用户通过登陆某个网站,下载安装所需外挂后,便会发现外挂实

9、际上是经过伪装的病毒,这个时候病毒便会自动安装到用户电脑中。9月28日,我的照片(Trojan.PSW.MyPhoto)病毒。该病毒试图窃取热血江湖、传奇、天堂、工商银行、中国农业银行 等数十种网络游戏及网络银行的账号和密码。该病毒发作时,会显示一张照片使用户对其放松警惕。2006年木马仍然是病毒主流,变种层出不年木马仍然是病毒主流,变种层出不穷穷 2006年上半年,江民反病毒中心共截获新病毒33358种,另据江民病毒预警中心监测的数据显示,1至6月全国共有7322453台计算机感染了病毒,其中感染木马病毒电脑2384868台,占病毒感染电脑总数的32.56%,感染广告软件电脑1253918台

10、,占病毒感染电脑总数的17.12%,感染后门程序电脑 664589台,占病毒感染电脑总数的9.03%,蠕虫病毒216228台,占病毒感染电脑总数的2.95%,监测发现漏洞攻击代码感染181769台,占病毒感染电脑总数的2.48%,脚本病毒感染15152台,占病毒感染电脑总数的2.06%。2007年:流氓软件反流氓软件技术对抗的阶段。Cnnic 3721 yahoo病毒的发展趋势病毒的发展趋势 病毒更新换代向多元化发展 依赖网络进行传播 攻击方式多样(邮件,网页,局域网等)利用系统漏洞成为病毒有力的传播方式 病毒与黑客技术相融合四、病毒人生(法律)四、病毒人生(法律)1983 年 11 月 3

11、日,弗雷德科恩(Fred Cohen)博士研制出一种在运行过程中可以复制自身的破坏性程序,伦艾德勒曼(Len Adleman)将它命名为计算机病毒(computer viruses),并在每周一次的计算机安全讨论会上正式提出。1988年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络互联网。1988年11月2日下午5点,互联网的管理人员首次发现网络有不明入侵者。当晚,从美国东海岸到西海岸,互联网用户陷入一片恐慌。CIH病毒,又名“切尔诺贝利”,是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的,九八年五月间,陈盈豪还在大同工学院就读时,完成以他的英文名字

12、缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。年仅18岁的高中生杰弗里李帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此,他的邻居们表示不敢相信。在他们的眼里,杰弗里李帕森是一个电脑天才,而决不是什么黑客,更不会去犯罪。李俊,大学本科毕业 大于1000万用户染毒 损失数亿元人民币 处罚:最高无期?直接危害:1.病毒激发对计算机数据信息的直接破坏作用 2.占用磁盘空间和对信息的破坏 3.抢占系统资源 4.影响计算机运行速度 5.计算机病毒错误与不可预见的危害 6.计算机病毒的兼容性对系统运行的影响 间接危害:1.计算机病

13、毒给用户造成严重的心理压力 2.造成业务上的损失 3.法律上的问题近几年来的重大损失近几年来的重大损失 年 份攻击行为发起者受害PC数目损失金额(美元)2006木马和恶意软件2005木马2004Worm_Sasser(震荡波)2003Worm_MSBLAST(冲击波)超过140万台2003SQL Slammer超过20万台9.5亿至12亿2002Klez超过6百万台90亿2001RedCode超过1百万台26亿2001NIMDA超过8百万台60亿2000Love Letter88亿1999CIH超过6千万台近100亿五、计算机病毒的分类五、计算机病毒的分类1、按病毒存在的媒体分类 网络病毒网络

14、病毒:通过计算机网络传播感染网络中的可执行文件;文件病毒文件病毒:感染计算机中的文件(如:,等);引导型病毒引导型病毒:感染启动扇区(Boot)和硬盘的系统引导扇区();混合型病毒混合型病毒:是上述三种情况的混合。例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。2、按病毒传染的方法分类 引导扇区传染病毒引导扇区传染病毒:主要使用病毒的全部或部分代码取代正常的引导记录,而将正常的引导记录隐藏在其他地方。执行文件传染病毒执行文件传染病毒:寄生在可执行程序中,一旦程序执行,病毒就被激活,进行预定活动。网

15、络传染病毒网络传染病毒:这类病毒是当前病毒的主流,特点是通过互联网络进行传播。例如,蠕虫病毒就是通过主机的漏洞在网上传播。3、按病毒破坏的能力分类 无害型:无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。无危险型:无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型:危险型:这类病毒在计算机系统操作中造成严重的错误。非常危险型:非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。4、按病毒算法分类 伴随型病毒:伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOP

16、Y.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。蠕虫型病毒:蠕虫型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。寄生型病毒:寄生型病毒:依附在系统的引导扇区或文件中,通过系统的功能进行传播。练习型病毒:练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。变形病毒:变形病毒:这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同

17、的内容和长度。它们一般的作法是一段混有无关指令的解码算法和经过变化的病毒体组成。5、按计算机病毒的链结方式分类 源码型病毒源码型病毒:该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。嵌入型病毒嵌入型病毒:这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的,一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术,超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。外壳型病毒外壳型病毒:外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见

18、,易于编写,也易于发现,一般测试文件的大小即可知。操作系统型病毒操作系统型病毒:这种病毒用自身的程序加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。6、按病毒攻击操作系统分类、按病毒攻击操作系统分类 Microsoft DOS Microsoft Windows 95/98/ME Microsoft Windows NT/2000/XP Unix(Linux)Macintosh(MacMag病毒、Scores病毒)OS/2(AEP病毒)病毒的发展是伴随着计算机软硬件的发展而发展的,让我们沿着操作系统发展的几个阶段来看看病毒技

19、术与反病毒技术演化。DOS时代(1981)Window 9x时代(1995)Windows NT/2000时代(1996)(一)(一)DOSDOS操作系统时代的病毒操作系统时代的病毒DOS操作系统简介16位的操作系统(8086、8088)实模式、单用户、单任务字符界面中断机制DOSDOS可执行文件病毒原理可执行文件病毒原理COM病毒EXE病毒常见感染手法1.通过查目录进行传播2.通过执行进行传播 3.通过文件查找进行传播4.通过文件关闭的时候进行传播DOSDOS反病毒原理反病毒原理 特征码技术 模糊匹配技术(广谱杀毒)行为判定技术 启发式扫描技术 对各种可疑功能进行加权判断;MOV AH,5;

20、INT,13h;format(二)(二)WindowsWindows操作系统操作系统 32位操作系统 抢占式多任务操作系统 保护模式下运行 友好的图形界面WindowsWindows病毒病毒 可执行文件病毒 宏病毒 脚本病毒 蠕虫病毒 木马病毒 数据包病毒可执行文件病毒可执行文件病毒 典型病毒(CIH)感染原理 特点 反病毒技术文件监控内存监控蠕虫病毒蠕虫病毒 典型病毒 感染原理 特点 反病毒技术邮件监控网络监控席卷全球的席卷全球的NIMDA病毒病毒木马病毒木马病毒 典型病毒 感染原理 特点 反病毒技术文件监控防火墙宏病毒宏病毒 典型病毒 感染原理 特点 反病毒技术OFFICE嵌入式查毒特征代

21、码脚本病毒脚本病毒 典型病毒 感染原理 特点 反病毒技术脚本监控数据包病毒数据包病毒 典型病毒(CodeRed,SQL Slammer)感染原理 特点 反病毒技术安全检测漏洞扫描防火墙六、计算机病毒的传播途径六、计算机病毒的传播途径 1、软盘 软盘作为最常用的交换媒介,在计算机应用的早期对病毒的传播发挥了巨大的作用,因那时计算机应用比较简单,可执行文件和数据文件系统都较小,许多执行文件均通过软盘相互拷贝、安装,这样病毒就能通过软盘传播文件型病毒;另外,在软盘列目录或引导机器时,引导区病毒会在软盘与硬盘引导区内互相感染。因此软盘也成了计算机病毒的主要的寄生“温床”。2、光盘 光盘因为容量大,存储

22、了大量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了极大的便利。甚至有些光盘上杀病毒软件本身就带有病毒,这就给本来“干净”的计算机带来了灾难。3、硬盘(含移动硬盘、USB)有时,带病毒的硬盘在本地或移到其他地方使用甚至维修等,就会将干净的软盘传染或者感染其他硬盘并扩散。网网络络病毒的加速器病毒的加速器网络病毒技术社区集体攻击病毒 蠕虫病毒特洛伊木马黑客技术脚本病毒邮件病毒病毒

23、源码发布4、有线网络触目惊心的计算触目惊心的计算卿斯汉卿斯汉 如果如果:20分钟分钟产产生一生一种种新病毒,通新病毒,通过过因特因特网传网传播播(30万万公里公里/秒)。秒)。联联网电脑每网电脑每20分分钟钟感染感染一次,每天一次,每天开开机机联网联网2小小时时。结论:结论:一年以內一台一年以內一台联联网的网的电脑电脑可能可能会会被最新被最新 病病毒感染毒感染2190次。次。另另一个数字:一个数字:75的电脑被感染。的电脑被感染。网络服务网络服务传播媒介传播媒介 网络的快速发展促进了以网络为媒介的各种服务(FTP,WWW,BBS,EMAIL等)的快速普及。同时,这些服务也成为了新的病毒传播方式

24、。电子布告栏(电子布告栏(BBS):电子邮件(电子邮件(Email):即时消息服务(即时消息服务(QQ,ICQ,MSN等)等):WEB服务服务:FTP服务服务:新闻组新闻组:5、无线通讯系统 病毒对手机的攻击有3个层次:攻击WAP服务器,使手机无法访问服务器;攻击网关,向手机用户发送大量垃圾信息;直接对手机本身进行攻击,有针对性地对其操作系统和运行程序进行攻击,使手机无法提供服务。七、染毒计算机的症状七、染毒计算机的症状病毒表现现象:计算机病毒发作前的表现现象 病毒发作时的表现现象 病毒发作后的表现现象与病毒现象相似的硬件故障与病毒现象相似的软件故障1、发作前的现象平时运行正常的计算机突然经常

25、性无缘无故地死机 操作系统无法正常启动运行速度明显变慢以前能正常运行的软件经常发生内存不足的错误打印和通讯发生异常无意中要求对软盘进行写操作以前能正常运行的应用程序经常发生死机或者非法错误系统文件的时间、日期、大小发生变化运行Word,打开Word文档后,该文件另存时只能以模板方式保存 磁盘空间迅速减少网络驱动器卷或共享目录无法调用基本内存发生变化陌生人发来的电子函件 2、发作时的现象 提示一些不相干的话 发出一段的音乐 产生特定的图像 硬盘灯不断闪烁 进行游戏算法 Windows桌面图标发生变化 计算机突然死机或重启 自动发送电子邮件 鼠标自己在动3、发作后的现象 硬盘无法启动,数据丢失 系

26、统文件丢失或被破坏 文件目录发生混乱 部分文档丢失或被破坏 部分文档自动加密 修改Autoexec.bat文件 使部分可软件升级主板的BIOS程序混乱,主板被破坏 网络瘫痪,无法提供正常的服务4、与病毒现象类似的软件故障 出现“Invalid drive specification”(非法驱动器号)软件程序已被破坏(非病毒)软件与操作系统的兼容性 引导过程故障 用不同的编辑软件程序5、与病毒现象类似的硬件故障 系统的硬件配置 电源电压不稳定 插件接触不良 软驱故障 关于CMOS的问题八、计算机病毒的命名规则八、计算机病毒的命名规则 CARO命名规则,每一种病毒的命名包括五个部分:病毒家族名 病

27、毒组名 大变种 小变种 修改者CARO规则的一些附加规则包括:不用地点命名 不用公司或商标命名 如果已经有了名字就不再另起别名 变种病毒是原病毒的子类 精灵(Cunning)病毒是瀑布(Cascade)病毒的变种,它在发作时能奏乐,因此被命名为Cascade.1701.A。Cascade是家族名,1701是组名。因为Cascade病毒的变种的大小不一(1701,1704,1621等),所以用大小来表示组名。A 表示该病毒是某个组中的第一个变种。业界补充:业界补充:反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。比如,WM表示MS Word宏病毒;Win32指32位Windows

28、病毒;VBS指VB脚本病毒。这样,梅丽莎病毒的一个变种的命名就成了W97M.Melissa.AA,Happy 99蠕虫就被称为Win32.Happy99.Worm。VGrep是反病毒厂商的一种尝试,这种方法将已知的病毒名称通过某种方法关联起来,其目的是不管什么样的扫描软件都能按照可被识别的名称链进行扫描。VGrep将病毒文件读入并用不同的扫描器进行扫描,扫描的结果和被识别出的信息放入数据库中。每一个扫描器的扫描结果与别的扫描结果相比较并将结果用作病毒名交叉引用表。VGrep的参与者赞同为每一种病毒起一个最通用的名字最为代表名字。拥有成千上万扫描器的大型企业集团要求杀毒软件供应商使用VGrep命

29、名,这对于在世界范围内跟踪多个病毒的一致性很有帮助。九、发展趋势和最新动向九、发展趋势和最新动向 DOS引导阶段 DOS可执行阶段 伴随、批次型阶段 幽灵、多形阶段 生成器、变体机阶段 网络、蠕虫阶段 视窗阶段 宏病毒阶段 互连网阶段 Java、脚本语言、邮件炸弹阶段 通讯设备、PDA设备阶段最新动向最新动向病毒与其他技术相融合病毒与其他技术相融合某些病毒及普通病毒、蠕虫、木马和黑客等技术于一身,具有混合型特征,破坏性极强;传播途径多,扩散速度快传播途径多,扩散速度快很多病毒与internet和intranet紧密结合,通过系统漏洞、局域网、网页、邮件等方式进行传播,扩散速度极快。目前此类病毒

30、已有2000种之多;欺骗性强欺骗性强 很多病毒利用人们的好奇心理,往往具有很强的诱惑性和欺骗性,使得它更容易传染,如“库尔尼科娃”病毒即是利用网坛美女库尔尼科娃的魅力;大量消耗系统与网络资源大量消耗系统与网络资源计算机感染了REDCODE等病毒后,病毒会不断遍历磁盘、分配内存,导致系统资源很快被消耗殆尽,最终使得计算机速度越来越慢或网络阻塞;病毒出现频度高,病毒生成工具多病毒出现频度高,病毒生成工具多 早期的计算机病毒都是编程高手制作的,编写病毒是为了显示自己的技术,但库尔尼科娃病毒的设计者只是修改了下载的VBS蠕虫孵化器变生成了该病毒。这种工具在网络上很容易就可以获得,因此新病毒的出现频度超

31、出以往的任何时候。20世纪末每年的病毒数目 十、计算机病毒防治十、计算机病毒防治病毒防治的公理病毒防治的公理1、不存在这样一种反病毒软硬件,能够防治未来产生的所有病毒。2、不存在这样一种病毒程序,能够让未来的所有反病毒软硬件都无法检测。3、目前的反病毒软件和硬件以及安全产品是都易耗品,必须经常进行更新、升级。4、病毒产生在前,反病毒手段滞后的现状,将是一个长期的过程。人类为防治病毒所做出的努力人类为防治病毒所做出的努力 立体防护 网络版 单机版防病毒卡1.客观承认计算机病毒的存在,但不要惧怕病毒。3.树立计算机病毒意识,积极采取预防(备份等)措施。4.掌握必要的计算机病毒知识和病毒防治技术,对

32、用户至关重要。5.发现病毒,冷静处理。目前广泛应用的几种防治技术:目前广泛应用的几种防治技术:特征码扫描法特征码扫描法特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病毒。该技术实现简单有效,安全彻底;但查杀病毒滞后,并且庞大的特征码库会造成查毒速度下降;虚拟执行技术虚拟执行技术 该技术通过虚拟执行方法查杀病毒,可以对付加密、变形、异型及病毒生产机生产的病毒,具有如下特点:在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器”在虚拟机环境中虚拟执行(不会被实际执行)可疑带毒文件在执行过程中,从虚拟机环境内截获文件数据

33、,如果含有可疑病毒代码,则杀毒后将其还原到原文件中,从而实现对各类可执行文件内病毒的查杀 文件实时监控技术文件实时监控技术 通过利用操作系统底层接口技术,对系统中的所有类型文件或指定类型的文件进行实时的行为监控,一旦有病毒传染或发作时就及时报警。从而实现了对病毒的实时、永久、自动监控。这种技术能够有效控制病毒的传播途径,但是这种技术的实现难度较大,系统资源的占用率也会有所降低。智能引擎技术智能引擎技术 智能引擎技术发展了特征码扫描法的优点,改进了其弊端,使得病毒扫描速度不随病毒库的增大而减慢。刚刚面世的瑞星杀毒软件2003版即采用了此项技术,使病毒扫描速度比2002版提高了一倍之多;其他的反病

34、毒技术其他的反病毒技术计算机监控技术计算机监控技术 文件实时监控 内存实时监控 脚本实时监控 邮件实时监控 注册表实时监控 参考:嵌入式杀毒技术嵌入式杀毒技术 嵌入式杀毒技术是对病毒经常攻击的应用程序或对象提供重点保护的技术,它利用操作系统或应用程序提供的内部接口来实现。它对使用频度高、使用范围广的主要的应用软件提供被动式的防护。如对MS-Office、Outlook、IE、Winzip、NetAnt等应用软件进行被动式杀毒。未知病毒查杀技术未知病毒查杀技术 未知病毒技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。压缩智能还原技术压缩智能还原

35、技术 世界上的压缩工具、打包工具、加“壳”工具多不胜数,病毒如果被这样的工具处理后被层层包裹起来,对于防病毒软件来说,就是一个噩梦。为了使用统一的方法来解决这个问题,反病毒专家们发明了未知解压技术,它可以对所有的这类文件在内存中还原,从而使得病毒完全暴露出来。多层防御,集中管理技术多层防御,集中管理技术反病毒要以网为本,从网络系统的角度设计反病毒解决方案,只有这样才能有效地查杀网络上的计算机病毒。在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护和管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件需要能在几分钟之内便可轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所

36、有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。病毒免疫技术病毒免疫技术 病毒免疫技术一直是反病毒专家研究的热点,它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。实际上,最近出现的软件安全认证技术也应属于此技术的范畴,由于用户应用软件的多样性和环境的复杂性,病毒免疫技术到广泛使用还有一段距离。病毒防治技术的趋势前瞻病毒防治技术的趋势前瞻加强对未知病毒的查杀能力加强对未知病毒的查杀能力加强对未知病毒的查杀能力是反病毒行业的持久课题,目前国内外多家公司都宣布自己的产品可以对未

37、知病毒进行查杀,但据我们研究,国内外的产品只有少数可以对同一家族的新病毒进行预警,不能清除。目前有些公司已经在这一领域取得了突破性的进展,可以对未知DOS病毒、未知PE 病毒、未知宏病毒进行防范。其中对未知DOS病毒能查到90%以上,并能准确清除其中的80%,未知PE 病毒能查到70%以上、未知宏病毒能实现查杀90%.防杀针对掌上型移动通讯工具和防杀针对掌上型移动通讯工具和PDAPDA的病毒的病毒 随着掌上型移动通讯工具和PDA的广泛使用,针对这类系统的病毒已经开始出现,并且威胁将会越来越大,反病毒公司将投入更多的力量来加强此类病毒的防范。介绍六种面向手机电话等便携式信息设备的介绍六种面向手机

38、电话等便携式信息设备的“EPOCEPOC”上运行的病毒:上运行的病毒:EPOC-ALARM,持续发出警告声音,虽无大害,但很烦人;EPOC-BANDINFO.A,发作时将用户信息并为 “Somefoolownthis”;EPOC-FAKE.A,会在手机的屏幕上显示格式化内置硬盘的画面,但实际上并不会执行格式化操作;EPOC-GHOST.A,会在画面上显示“Everyone hates you”;EPOC-ALIGHT.A,会使背景灯持续闪烁;EPOC-ALONE.A,可使键盘操作功能丧失,可及时输入“Leave me alone”来解除病毒常驻;目前已经发现可以同时在微软 WINDOWS和日益

39、普及的LINUX两种不同操作系统内运作的病毒,此类病毒将会给人们带来更多的麻烦,促使反病毒公司加强防杀此类病毒。蠕虫病毒和脚本病毒的防杀不容忽视蠕虫病毒和脚本病毒的防杀不容忽视 蠕虫病毒是一种能自我复制的程序,驻留内存并通过计算机网络复制自己,它通过大量消耗系统资源,最后导致系统瘫痪。给人们带来了巨大的危害,脚本病毒因为其编写相对容易正成为另一种趋势,这两类病毒的危害性使人们丝毫不能忽视对其的防杀。十一、杀毒软件及评价十一、杀毒软件及评价病毒查杀能力对新病毒的反应能力对文件的备份和恢复能力实时监控功能 及时有效的升级功能智能安装、远程识别功能界面友好、易于操作 对现有资源的占用情况(一)杀毒软

40、件必备功能(一)杀毒软件必备功能 系统兼容性软件的价格软件商的实力(二)国内外杀毒软件及市场(二)国内外杀毒软件及市场 金山毒霸、瑞星杀毒、KV3000、PC-Cillin VirusBuster、Norton AntiVirus、Mcafee Virus Scan、Kaspersky Antivirus、F-Secure Antivirus等。2004年第一季度,中国防杀毒软件市场各品牌的排名前五位依次为瑞星、赛门铁克、江民、趋势科技和金山,它们合占的市场份额达到69.7%,品牌集中度较高;其余30.3%的市场份额 被其它厂商所瓜分,市场竞争日趋激烈。项目诺顿Macfee趋势卡巴斯基瑞星金山

41、程序界面扫描设置查杀病毒查毒速度占用资源邮件支持病毒报警升级频率综合评比(三)杀毒软件评测结果(三)杀毒软件评测结果及评价 公安部在2002年底测试结果:瑞星95分;国内其他产品(例如,江民、金山等)在85-90分区间;国外产品(例如,趋势、诺顿、熊猫等)都处于75分左右的水平。国内没有厂商通过ICSA的产品测试 地缘性因素十二、解决方案和策略十二、解决方案和策略 企业网络中的病毒漏洞企业网络中的病毒漏洞File ServerMail ServerClientInternet GatewayFirewall 趋势整体防病毒解决方案趋势整体防病毒解决方案FirewallFile ServerCl

42、ientInternet GatewayCentral ControlMail ServerOfficeScan Serverfor Exchange/for Notesfor NT/Netware(Trend Virus Control System)防病毒策略防病毒策略 1、建立病毒防治的规章制度,严格管理;2、建立病毒防治和应急体系;3、进行计算机安全教育,提高安全防范意识;4、对系统进行风险评估;5、选择经过公安部认证的病毒防治产品;6、正确配置,使用病毒防治产品;7、正确配置系统,减少病毒分侵害事件;8、定期检查敏感文件;9、适时进行安全评估,调整各种病毒防治策略;10、建立病毒事故

43、分析制度;11、确保恢复,减少损失;十三、国内外病毒产品的技术发展态势十三、国内外病毒产品的技术发展态势国内外反病毒公司在反病毒领域各有所长国内外反病毒公司在反病毒领域各有所长 随着中国信息化进程的深入开展,多家国际反病毒公司均加大了对中国市场的力度;国内反病毒企业发展势头强劲国内反病毒企业发展势头强劲 国内的瑞星、江民等公司都引进了一些国外技术;反病毒服务是竞争关键反病毒服务是竞争关键 要推动企业信息安全建设、并从根本上改变国内信息安全现状,建立健全的服务体系是关键。我们相信人类受到病毒侵害及由此带来的损失将逐步减少,国内反病毒行业在政府的规范和用户的支持下将取得更好的成绩!相关资源1.Wi

44、ldlist国际组织http:/www.wildlist.org该网站维护世界各地发现的病毒列表。网站负责维护这个列表,并且按月打包供用户下载。此外,网站上还有一些计算机病毒方面的学术论文。2.病毒公告牌http:/对于任何关心恶意代码和垃圾信息防护、检测和清除的人来说,病毒公告在线杂志是一个必不可少的参考。逐日逐月地,病毒公告牌提供如下信息:1)来自于反恶意代码业界的发人深省的新闻和观点2)最新恶意代码威胁的详细分析3)探索反恶意代码技术开发的长篇文档4)反恶意代码专家的会见5)对当前反病毒产品的独立评测6)覆盖垃圾邮件和反垃圾邮件技术的月报3.29A病毒技术组织http:/lux.org/

45、29a/这个网站包含病毒、木马和其他一些能够破坏计算机系统安全的软件。29A的成员对病毒技术特别感兴趣,用户可以从这里学到病毒制作技术。该网站是黑客不可或却的学习网站。4.亚洲反病毒研究者协会(AVAR)http:/www.aavar.orgAVAR(亚洲反病毒研究者协会)成立于1998年6月。协会的宗旨是预防计算机病毒的传播和破坏,促进亚洲的反病毒研究者间建立良好的合作关系。该协会是独立的、非盈利性组织,主要面向的对象是亚太地区。本协会有来自以下国家和地区资深的反病毒专家:澳大利亚、中国、中国香港、印度、日本、韩国、菲律宾、新加坡、中国台北、英国以及美国。我们的独立性保证了我们能在对抗计算机

46、病毒的过程中发挥重要的作用,同时会提醒人们对计算机安全的警惕性。AVAR的主要工作包括:1)组织和承办以反病毒为主题的AVAR年会和论坛2)在AVAR网站上提供亚洲的计算机病毒事件的信息3)通过邮件的形式在AVAR的成员中建立邮件列表,并在会员中交换意见与信息 5.国家计算机病毒应急处理中心 http:/www.antivirus- 网站主要内容是病毒流行列表、病毒SOS求救、数据恢复等。6.病毒观察 http:/ 网站主要内容包括病毒预报、新闻、评论、相关法规、反病毒资料、安全漏洞、密码知识、病毒百科在线检索等。7.中国绿盟 http:/;http:/ 网站内容包括安全论坛、安全文献、系统工

47、具、工具介绍等。8.安全焦点 http:/ 网站内容包括安全文献、安全工具、安全漏洞、焦点论坛等。9.病毒资讯网 http:/ 网站主要内容包括黑客频道、防毒技巧、网络安全新闻、病毒新闻等。10.国际计算机安全联合会(ICSA-InterNational Computer Secwrity Association)http:/ 掌握计算机病毒的抽象描述 掌握基于图灵机的计算机病毒模型 掌握基于递归函数的计算机病毒模型 掌握网络蠕虫传播模型 掌握计算机病毒预防理论模型 虚拟案例 一个文本编辑程序被病毒感染了。每当使用文本编辑程序时,它总是先进行感染工作并执行编辑任务,其间,它将搜索合适文件以进行

48、感染。每一个新被感染的程序都将执行原有的任务,并且也搜索合适的程序进行感染。这种过程反复进行。当这些被感染的程序跨系统传播,被销售,或者送给其他人时,将产生病毒扩散的新机会。最终,在1990年1月1日以后,被感染的程序终止了先前的活动。现在,每当这样的一个程序执行时,它将删除所有文件。计算机病毒伪代码 main:=Call injure;Call submain;Call infect;injure:=If condition then whatever damage is to be done and halt;infect:=If condition then infect files;案

49、例病毒的伪代码main:=Call injure;Call submain;Call infect;injure:=If date=Jan.1,1990 thenWhile file!=0File=get-random-file;Delete file;Halt;infect:=If true thenFile=get-random-executable-file;Rename main routine submain;Prepend self to file;精简后的伪代码 main:=Call injure;Decompress compressed part of program;Cal

50、l submain;Call infect;injure:=If false then halt;infect:=If executable!=0 then File=get-random-executable-file;Rename main routine submain;Compress file;Prepend self to file;病毒的性质 1对于每个程序,都存在该程序相应的感染形式。也就是,可以把病毒看作是一个程序到一个被感染程序的映射。2每一个被感染程序在每个输入(这里的输入是指可访问信息,例如,用户输入,系统时钟,数据或程序文件等)上做形成如下3个选择:破坏(Injure

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 办公、行业 > 各类PPT课件(模板)
版权提示 | 免责声明

1,本文(全套课件·计算机病毒及其防范技术-完整.ppt)为本站会员(三亚风情)主动上传,163文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。
2,用户下载本文档,所消耗的文币(积分)将全额增加到上传者的账号。
3, 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(发送邮件至3464097650@qq.com或直接QQ联系客服),我们立即给予删除!


侵权处理QQ:3464097650--上传资料QQ:3464097650

【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。


163文库-Www.163Wenku.Com |网站地图|