第11章计算机病毒防治.ppt
《第11章计算机病毒防治.ppt》由会员分享,可在线阅读,更多相关《第11章计算机病毒防治.ppt(92页珍藏版)》请在三一文库上搜索。
1、,第11章 计算机病毒的防治,2008年11月,主要内容,第一节 计算机病毒概述 第二节 计算机病毒分析 第三节 计算机病毒的防范、检测、清除 第四节 计算机病毒破坏后的恢复 第五节 常见杀毒软件的使用,计算机病毒防治,、计算机病毒产生的历史,1977年,Thomas j Ryan在科幻小说P-1的青春中幻想一种计算机病毒可以从一台计算机传染到另一台计算机,最终控制了7000台计算机。 1983年美国计算机安全专家Fred Cohen博士在VAX-11上通过实验证明了计算机病毒的存在。 1986年,巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了“巴基斯坦”病毒,成了世界上公认的第一个传染PC兼容
2、机的病毒,并且很快在全球流行。 1987年10月,美国发现世界上第一例计算机病毒(Brain) 1988年。小球病毒传入我国,在几个月之内迅速传染了20 多个省、市,成为我国第一个病毒案例。 此后,如同打开的潘多拉的盒子,各种计算机病毒层出不穷。,一、计算机病毒概述,、计算机病毒的定义,狭义定义 计算机病毒是一种靠修改其它程序来插入或进行自身拷贝,从而感染其它程序的一种程序。 Fred Cohen博士对计算机病毒的定义。 广义定义 能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序代码。 我国定义 我国中华人民共和国计算机信息系统安全保护条例第二十八条:“计算机病毒,是指编制或
3、者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。,一、计算机病毒概述,、计算机病毒的发展历史,DOS时代 DOS是一个安全性较差的操作系统,所以在DOS时代,计算机病毒无论是数量还是种类都非常多。按照传染方式可以分为:系统引导病毒、外壳型病毒、复合型病毒。各类病毒的具体内容见“病毒的分类”。 Windows时代 1995年8月,微软发布了Windows95,标志着个人电脑的操作系统全面进入了Windows9X时代,而Windows9X对DOS的弱依赖性则使得计算机病毒也进入了Windows时代。这个时代的最大特征便是大量DOS病毒的消
4、失以及宏病毒的兴起。,一、计算机病毒概述,、计算机病毒的发展历史,Internet时代 可以这样说,网络病毒大多是Windows时代宏病毒的延续,它们往往利用强大的宏语言读取用户E-mail软件的地址簿,并将自身作为附件发向地址簿内的那些E-mail地址去。由于网络的快速和便捷,网络病毒的传播是以几何级数进行的,其危害比以前的任何一种病毒都要大。,一、计算机病毒概述,、计算机病毒的特征,基本特征 传染性 自我复制,通过多种渠道传播 潜伏性 感染后不一定立刻发作; 依附于其他文件、程序、介质,不被发现 可触发性 触发条件:日期、时间、文件类型 破坏性 破坏数据的完整性和可用性 破坏数据的保密性
5、系统和资源的可用性。,一、计算机病毒概述,、计算机病毒的特征,其它特征 非授权可执行性 寄生性 寄生于其它文件、程序、 隐蔽性 程序隐蔽、传染隐蔽; 不易被发现 针对性 针对特定的计算机、特定的操作系统 多态性 每一次感染后改变形态,检测更困难 持久性 难于清除,一、计算机病毒概述,、计算机病毒的分类,按宿主分类 引导型病毒 主引导区 操作系统引导区 直到20世纪90年代中期,引导区型病毒是最流行的病毒类型,主要通过软盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区,蔓延到用户硬盘,并能侵染到用户硬盘中的“主引导记录”。一旦硬盘中的引导区被病毒感染,病毒就试图侵染每一个插入计算机的从事
6、访问的软盘的引导区。病毒可驻留在内存内并感染被访问的磁盘。,一、计算机病毒概述,、计算机病毒的分类,按宿主分类 文件型病毒 操作系统 应用程序 宏病毒 文件型病毒是文件侵染者。通常它感染扩展名为COM、EXE、DRV、BIN、OVL、SYS等文件。每一次它们激活时,感染文件把自身复制到其他文件中。 该类病毒在操作系统执行文件时取得控制权并把自己依附在可执行文件上,然后,利用这些指令来调用附在文件中某处的病毒代码。当文件执行时,病毒会调出自己的代码来执行,接着又返回到正常的执行系列。,一、计算机病毒概述,、计算机病毒的分类,按宿主分类 复合型病毒 复合型病毒具有引导区型病毒和文件型病毒两者的特征
7、。 按危害分类 良性病毒 如:小球病毒。 恶性病毒 如:CIH病毒。,一、计算机病毒概述,、计算机病毒的分类,按传播媒介分为 单机病毒 DOS、Windows、Unix/Linux病毒等。 网络病毒 通过网络或电子邮件传播。 按攻击平台分类: DOS病毒:MS-DOS及兼容操作系统上编写的病毒 Windows病毒:Win32上编写的纯32位病毒程序, MAC病毒: Unix/Linux病毒:,一、计算机病毒概述,、计算机病毒的分类,宏病毒 宏病毒一般是指用宏语言(如 Word Basic)书写的病毒程序,是一段寄生在支持宏的文档(如 Microsoft Office文档)上的宏代码。不面向操作
8、系统,所以,它不受操作平台的约束,可以在DOS、Windows、Unix、Mac等系统中散播。这就是说,宏病毒能被传到任何可运行编写宏的应用程序的机器中。 虽然宏病毒不会有严重的危害,但它会影响系统的性能以及对文档的各种操作,如打开、存储、关闭或清除等。当打开文档时,宏病毒程序就会被执行,即宏病毒处于活动状态,当触发条件满足时,宏病毒才开始传染、表现和破坏。 宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力及宏语言的进一步强化,极大地增强了它的传播能力。,一、计算机病毒概述,、计算机病毒的危害性,1、攻击系统数据区 攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录。
9、一般来说,攻击系统数据区的病毒是恶性病毒,受损的数据不易恢复。 2、攻击文件 病毒对文件的攻击方式很多,如删除、改名、替换内容、丢失簇和对文件加密等。 3、攻击内存 内存是计算机的重要资源,也是病毒攻击的重要目标。病毒额外地占用和消耗内存资源,可导致一些大程序运行受阻。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。,一、计算机病毒概述,、计算机病毒的危害性,4、干扰系统运行,使运行速度下降 此类行为也是花样繁多,如不执行命令、干扰内部命令的执行、虚假报警、打不开文件、内部栈溢出、占用特殊数据区、时钟倒转、重启动、死机、强制游戏、扰乱串并接口等等。病毒激活时,系统时间延迟程序
10、启动,在时钟中纳入循环计数,迫使计算机空转,运行速度明显下降。 5、干扰键盘、喇叭或屏幕,适应胡无法正常操作 病毒干扰键盘操作,如响铃、封锁键盘、换字、抹掉缓存区字符、输入紊乱等。许多病毒运行时,会使计算机的喇叭发出响声。病毒扰乱显示的方式很多,如字符跌落、倒置、显示前一屏、打开对话框、光标下跌、滚屏、抖动、乱写等。,一、计算机病毒概述,、计算机病毒的危害性,6、攻击CMOS,破坏系统硬件 在机器的CMOS中,保存着系统的重要数据,如系统时钟、磁盘类型和内存容量等,并具有校验和。有的病毒激活时,能够对CMOS进行写入动作,破坏CMOS中的数据。例如CIH病毒破坏计算机硬件,乱写某些主板BIOS
11、芯片,损坏硬盘。 7、干扰打印机 如假报警、间断性打印或更换字符。 8、干扰网络正常运行 网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽、阻塞网络、造成拒绝服务等。,一、计算机病毒概述,、计算机病毒的结构及工作机理,计算机病毒的结构 一般由引导模块、传染模块、表现模块三部分组成。,二、计算机病毒分析,、计算机病毒的结构及工作机理,引导过程 也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备。 传染过程 作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前,要首先判断传染条件是否满足,判断病毒是否已经感染过该目标等,如CIH病毒只针对
12、Windows 95/98操作系统 表现过程 是病毒间差异最大的部分,前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。,二、计算机病毒分析,、计算机病毒实例分析,引导型病毒 传染机理 利用系统启动的缺陷 传染目标 硬盘的主引导区和引导区 软盘的引导区 传染途径 通过软盘启动计算机 防治办法 从C盘启动 打开主板的方病毒功能 典型病毒 小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒,二、计算机病毒分析,、计算机病毒实例分析,引导型病毒 引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不
13、管是否可以引导,都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘(常见的如一个软盘)引导时发生的。,二、计算机病毒分析,、计算机病毒实例分析,引导型病毒主引导记录(MBR),二、计算机病毒分析,、计算机病毒实例分析,引导型病毒系统引导过程,二、计算机病毒分析,Power On,CPU & ROM BIOS Initializes,POST Tests,Look for boot device,MBR boot Partition Table Load,DOS Boot Sector Runs,Loads IO.SYS MSDOS.SYS,DOS Loaded,、计算机病毒实
14、例分析,引导型病毒感染与执行过程,二、计算机病毒分析,系统引导区,引导 正常执行,病毒,引导系统,病毒体,、计算机病毒实例分析,文件型病毒 传染机理 利用系统加载执行文件的缺陷 传染目标 各种能够获得系统控制权执行的文件 传染途径 各种存储介质、网络、电子邮件 防治办法 使用具有实时监控功能的杀毒软件 不要轻易打开邮件附件 典型病毒 1575病毒、CIH病毒,二、计算机病毒分析,、计算机病毒实例分析,文件型病毒 文件型病毒与引导扇区病毒最大的不同之处是,它攻击磁盘上的文件。它将自己依附在可执行的文件(通常是.com和.exe)中,并等待程序的运行。这种病毒会感染其它的文件,而它自己却驻留在内存
15、中。当该病毒完成了它的工作后,其宿主程序才被运行,使人看起来仿佛一切都很正常,二、计算机病毒分析,、计算机病毒实例分析,文件型病毒传染机理,二、计算机病毒分析,正常 程序,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,病毒程序头,程序头,病毒程序,病毒程序,病毒程序,程序头,、计算机病毒实例分析,宏病毒 宏病毒一般是指利用软件所支持的宏命令或语言(如 Word Basic)书写的一段寄生在支持宏的文档(如 Microsoft Office文档)上的、具有复制、传染能力的宏代码。 宏病毒是一种新形态的计算机病毒,也
16、是一种跨平台式计算机病毒,可以在Windows 9X、Windows NT、OS/2和Unix、Mac等操作系统上执行病毒行为。 虽然宏病毒不会有严重的危害,但它会影响系统的性能以及对文档的各种操作,如打开、存储、关闭或清除等。当打开文档时,宏病毒程序就会被执行,即宏病毒处于活动状态,当触发条件满足时,宏病毒才开始传染、表现和破坏。 宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力及宏语言的进一步强化,极大地增强了它的传播能力。,二、计算机病毒分析,、计算机病毒实例分析,宏病毒 传染机理 利用处理的文件可以内嵌宏的功能 传染目标 doc、dot、xls、ppt、mdb等文件(W
17、indows) 传染途径 各种存储介质、网络、电子邮件 防治办法 使用具有实时监控功能的杀毒软件 打开系统提供的宏保护功能 典型病毒 “七月杀手”病毒、“美丽莎”病毒,二、计算机病毒分析,、计算机病毒实例分析,宏病毒工作机理,二、计算机病毒分析,有毒文件.doc,Normal.dot,无毒文件.doc,Normal.dot,、计算机病毒实例分析,word宏病毒的清除方法 1、手工清除Word宏病毒为 对于宏病毒最简单的清除步骤为: (1)关闭Word中的所有文档。 (2)选择“工具/模板/管理器/宏”选项。 (3)删除左右两个列表框中所有的宏(除了自己定义的)(一般病毒宏为AutoOpen、A
18、utoNew或AutoClose)。 (4)关闭对话框。 (5)选择“工具/宏”选项。若有 AutoOpen、AutoNew或AutoClose等宏,删除之。 2、使用杀毒软件清除Word宏病毒,二、计算机病毒分析,、计算机病毒实例分析,蠕虫病毒 一个独立的计算机程序,不需要宿主 自我复制,自主传播(Mobile) 占用系统或网络资源、破坏其他程序 不伪装成其他程序,靠自主传播 利用系统漏洞; 利用电子邮件(无需用户参与),二、计算机病毒分析,、计算机病毒实例分析,蠕虫病毒 传染机理 利用系统或服务的漏洞 传染目标 操作系统或应用服务 传染途径 网络、电子邮件 防治办法 使用具有实时监控功能的
19、杀毒软件 不要轻易打开邮件附件 打最新补丁,更新系统 典型病毒 RedCode,尼姆达、冲击波等,二、计算机病毒分析,、计算机病毒实例分析,蠕虫病毒实例 莫里斯蠕虫事件 发生于1988年,当时导致大约6000台机器瘫痪 主要的攻击方法 Rsh,rexec:用户的缺省认证 Sendmail 的debug模式 Fingerd的缓冲区溢出 口令猜测,二、计算机病毒分析,、计算机病毒实例分析,蠕虫病毒实例 RedCode 红色代码病毒是一种结合了病毒、木马、DDOS机制的蠕虫。 2001年7月中旬,在美国等地大规模蔓延。 2001年8月初,出现变种coderedII,针对中文版windows系统,国内
20、大规模蔓延。 通过80端口传播。 只存在与网络服务器的内存,不通过文件载体。 溢出利用IIS缓冲区漏洞(2001年6月18日发布,二、计算机病毒分析,、计算机病毒实例分析,蠕虫病毒实例 RedCode I 主要影响Windows NT系统和Windows 2000 主要影响国外网络 据CERT统计,至8月初已经感染超过25万台 主要行为 利用IIS 的Index服务的缓冲区溢出缺陷进入系统 检查c:notworm文件是否存在以判断是否感染 中文保护(是中文windows就不修改主页) 攻击白宫!,二、计算机病毒分析,、计算机病毒实例分析,在侵入一台服务器后,其运行步骤是: 设置运行环境,修改堆
21、栈指针,设置堆栈大小为218h字节。接着GetProcAddress函数地址; 传染:如果C:notworm在,不再进一步传染; 传染其他主机。创造100个线程,其中99个用户感染其他WEB服务器,被攻击IP通过一个算法计算得出; 篡改主页,如果系统默认语言为“美国英语”,第100个进程就将这台服务的主页改成“Welcome to http:/ !, Hacked By Chinese!”,并持续10个小时。(直接在内存中修改,而不是修改*.htm文件) 如果时间在20:00UTC和23:59UTC之间,将反复和白宫主页建立连接,并发送98k字节数据,形成DDOS攻击。,二、计算机病毒分析,、
22、计算机病毒实例分析,蠕虫病毒实例RedCode 病毒的检测和防范 针对安装IIS的windows系统; 是否出现负载显著增加(CPU/网络)的现象; 用netstat an检查是否有许多对外的80端口连接 在web日志中检查是否有/default.ida?xxx%u0078%u0000 u00=a HTTP/1.0这样的攻击记录; 查找系统中是否存在文件c:explorer.exe或d:explorer.exe以及root.exe; 检查注册表文件中是否增加了C和D虚拟目录,以及文件保护功能是否被禁止。 在任务管理器中检查是否存在两个explorer.exe进程,二、计算机病毒分析,、计算机病
23、毒实例分析,特洛伊木马程序 名字来源:古希腊故事 通过伪装成其他程序、有意隐藏自己恶意行为的程序,通常留下一个远程控制的后门 没有自我复制的功能 非自主传播 用户主动发送给其他人 放到网站上由用户下载,二、计算机病毒分析,、计算机病毒实例分析,特洛伊木马程序 传播途径 通过网络下载、电子邮件 防治办法 使用具有实时监控功能的杀毒软件 不要轻易打开邮件附件 不要轻易运行来路不明的文件 典型例子 BO、BO2k、Subseven、冰河、广外女生等,二、计算机病毒分析,、计算机病毒实例分析,特洛伊木马程序通用删除方法 Win.ini文件 windows节中run=和load system.ini文件
24、 boot节的shell=explorer.exe Autoexec.bat文件 win命令 注册表 HLMsoftwaremicrosoftwindowscurrentversionrun HCUsoftwaremicrosoftwindowscurrentversionrunonce HCRexefileshellopencommand “%1” %* HCUcontrol paneldesktopwallpaper,二、计算机病毒分析,、计算机病毒实例分析,病毒、蠕虫与木马的比较,二、计算机病毒分析,、计算机病毒实例分析,恶意网页代码 网页中含有有害的ActiveX、Java Apple
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 11 计算机病毒 防治
链接地址:https://www.31doc.com/p-3364184.html