《计算机病毒概述优品资料课件.ppt》由会员分享,可在线阅读,更多相关《计算机病毒概述优品资料课件.ppt(127页珍藏版)》请在三一办公上搜索。
1、计算机病毒概述,计算机病毒概述,本章主要内容,计算机病毒的基本概念计算机病毒发展的 计算机病毒的分类计算机病毒命名规则计算机病毒的发展趋势计算机病毒的防治网上相关资源,一、计算机病毒的定义二、计算机病毒的特性三、计算机病毒简史四、病毒人生五、计算机病毒的分类六、计算机病毒的传播途径七、染毒计算机的症状八、计算机病毒的主要危害九、计算机病毒的命名规则十、计算机病毒防治十一、杀毒软件及评价十二、解决方案和策略十三、国内外病毒产品的技术发展态势,计算机病毒感染率变化趋势,数据来源:中国计算机病毒应急处理中心,年9月,国家计算机病毒应急处理中心发布了“ 年全国信息网络安全状况与计算机和移动终端病毒疫情
2、调查结果”。调查结果显示, 年我国计算机病毒感染率为54.9%,比上年上升了9.8%,在连续5年下降后回升,但上升幅度趋缓。 随着移动互联网技术的发展,网上 、网络支付、移动金融等已经成为很多人生活的一部分,受经济利益的驱动,它们也成为病毒的主要攻击目标,在盗取钱财的同时,不法分子还会窃取用户的私密信息。另一方面,微博也成为新的关注点。同时,针对大型企业、重点行业的病毒传播和攻击增多。另外,调查结果显示,超过半数被抽检政府网站存在安全隐患。,年4月,信息安全公司赛门铁克和 运营商Verizon分别发布的最新报告显示,计算机用户目前在上网过程中很难确保安全。随着黑客越来越具有“创造性”,许多企业
3、也面临着如何应对信息安全攻击的难题。赛门铁克对 年的信息安全威胁进行了分析。报告表示,黑客的行动速度比企业防御速度更快。而相对于此前几年,黑客正在发动越来越多的恶意攻击。 年,全球开发出的恶意软件,包括计算机病毒和其他恶意软件的数量超过了3.17亿种。这意味着,每天新出现的信息安全威胁接近100万种。,一、计算机病毒的定义,“计算机病毒”与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。“计算机病毒”为什么叫做病毒?与生物医学上的病毒同样有传染和破坏的特性,因此这一名词是由生物医学上的“病毒”概念引申而来。,病毒感染示意,生物病毒感染
4、与寄生,计算机病毒感染与寄生,Fred Cohen定义: 计算机病毒是一种程序,他用修改其它程序的方法将自身的精确拷贝或者可能演化的拷贝插入其它程序,从而感染其它程序。,标准定义(中国):,直至1994年2月18日,我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例,在条例第二十八条中明确指出:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。,恶意程序,未经授权便干扰或破坏计算系统/网络的程序或代码称之为恶意程序/恶意代码恶意程序大致可以分为两类:依赖于主机程序的恶意程序不能独立
5、于应用程序或系统程序,即存在宿主独立于主机程序的恶意程序能在操作系统上运行的、独立的程序,二、计算机病毒的特性,破坏性 传染性 隐蔽性 寄生性 触发(潜伏)性,计算机病毒的基本特征,计算机病毒的可执行性(程序性)计算机病毒的基本特征,也是计算机病毒最基本的一种表现形式程序性决定了计算机病毒的可防治性、可清除性,反病毒技术就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其取得系统控制权,并及时将其清除 “人为的特制程序”是任何计算机病毒都固有的本质属性,这一属性也决定了病毒的面目各异且多变,计算机病毒的基本特征,计算机病毒的传染性计算机病毒的传染性是指病毒具有把自身复制到其他
6、程序的能力。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。计算机病毒的这种将自身复制到感染目标中的“再生机制”,使得病毒能够在系统中迅速扩散。正常的计算机程序一般是不会将自身的代码强行链接到其他程序之上的。是否具有传染性,是判别一个程序是否为计算机病毒的首要条件。传染性也决定了计算机病毒的可判断性。,计算机病毒的基本特征,计算机病毒的非授权性计算机病毒未经授权而执行计算机病毒的隐蔽性计算机病毒通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。计算机病毒的隐蔽性表现在两个方面:传染的隐蔽性病毒程序存在的隐蔽性,计算机病毒的基本特征
7、,计算机病毒的潜伏性一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大计算机病毒的可触发性计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动作,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性,计算机病毒的基本特征,计算机病毒攻击的主动性计算机病毒对系统的攻击是主动的,是不以人的意志为转移的计算机病毒的针对性要使计算机病毒得以运行,就必须具有适合该病毒发生作用的特定软硬件环境计算机病毒的衍
8、生性衍生性为一些好事者提供了一种创造新病毒的捷径。衍生出来的变种病毒造成的后果可能比原版病毒严重衍生性,是导致产生变体病毒的必然原因,计算机病毒的基本特征,计算机病毒的寄生性(依附性)病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性计算机病毒的不可预见性反病毒软件预防措施和技术手段往往滞后于病毒的产生速度计算机病毒的诱惑欺骗性某些病毒常以某种特殊的表现方式,引诱、欺骗用户不自觉地触发、激活病毒,从而实施其感染、破坏功能计算机病毒的持久性即使在病毒程序被发现以后,数据和程序以至操作系统的恢复都非常困难,计算机病毒的本质,无论是DOS病毒还是Win32病毒,其本质是一
9、致的,都是人为制造的程序其本质特点是程序的无限重复执行或复制,因为病毒的最大特点是其传染性,而传染性的原因是其自身程序不断复制的结果,即程序本身复制到其他程序中或简单地在某一系统中不断地复制自己,/*引导功能模块*/将病毒程序寄生于宿主程序中;加载计算机程序;病毒程序随其宿主程序的运行进入系统;传染功能模块;破坏功能模块;main()调用引导功能模块;A:do 寻找传染对象; if(传染条件不满足)goto A; while(满足传染条件); 调用传染功能模块;,while(满足破坏条件)激活病毒程序;调用破坏功能模块; 运行宿主源程序; if 不关机goto A; 关机;,三、计算机病毒简史
10、,年份,计算机病毒简史,计算机病毒产生的动机(原因):计算机系统的脆弱性作为一种文化(hacker)病毒编制技术学习恶作剧报复心理用于版权保护(江民公司)用于特殊目的(军事、计算机防病毒公司),计算机病毒简史,在第一部商用电脑出现之前,冯诺伊曼在他的论文复杂自动装置的理论及组识的进行里,就已经勾勒出了病毒程序的蓝图。70年代 作家雷恩出版的P1的青春The Adolescence of P1一书中作者构思出了计算机病毒的概念。,博士论文的主题是计算机病毒1983年11月3日,Fred Cohen博士研制出第一个计算机病毒(Unix)。,1986年初,巴基斯坦的拉合尔,巴锡特和阿姆杰德两兄弟编写
11、了Pakistan病毒,即Brain,其目的是为了防范盗版软件。Dos PC 引导区1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等 。,视窗病毒,1988 年 3 月 2 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。,肇事者- Robert T. Morris , 康奈尔大学学生,其父是 国家安全局安全专家。机理- 利用sendmail, finger 等服务的漏洞,消耗CPU资源,并导致拒绝服务。影响Internet上大约6000台计算机感染,占当时Intern
12、et 联网主机总数的10%,造成9600万美元的损失。莫里斯事件震惊了 社会乃至整个世界。 黑客从此真正变黑,黑客伦理失去约束,黑客传统开始中断。大众对黑客的印象永远不可能回复。而且,计算机病毒从此步入主流。 CERT/CC的诞生- DARPA成立CERT(Computer Emergency Response Team),以应付类似事件。,莫里斯蠕虫(Morris Worm) 1988年,1989年,全世界计算机病毒攻击十分猖獗,其中“米开朗基罗”病毒给许多计算机用户(包括中国)造成了极大损失。全球流行DOS病毒,伊拉克战争中的病毒-AF/91(1991),在沙漠风暴行动的前几周,一块被植入
13、病毒的计算机芯片被安装进了伊拉克空军防卫系统中的一台点阵打印机中。该打印机在法国组装,取道约旦、阿曼运到了伊拉克。病毒瘫痪了伊拉克空军防卫系统中的一些Windows系统主机以及大型计算机,据说非常成功。,宏病毒,1996年,出现针对微软公司Office的“宏病毒”。1997年公认为计算机反病毒界的“宏病毒年”。特点:书写简单,甚至有很多自动制作工具,CIH(1998-1999),1998年,首例破坏计算机硬件的CIH病毒出现,引起人们的恐慌。 1999年4月26日,CIH病毒在我国大规模爆发,造成巨大损失。,蠕虫 病毒新时代,1999年3月26日,出现一种通过因特网进行传播的美丽莎病毒(宏病毒
14、,通过邮件传播)。2001年7月中旬,一种名为“红色代码”的病毒在 大面积蔓延,这个专门攻击web服务器的病毒攻击了白宫网站,造成了全世界恐慌 。2003年,“2003蠕虫王”病毒在亚洲、美洲、澳大利亚等地迅速传播,造成了全球性的网络灾害。蠕虫病毒流行的3年(2003 - 2005),2004年是蠕虫泛滥的一年,大流行病毒:网络天空(Worm.Netsky)高波(Worm.Agobot)爱情后门(Worm.Lovgate)震荡波(Worm.Sasser)SCO炸弹(Worm.Novarg)冲击波(Worm.Blaster)恶鹰(Worm.Bbeagle)小邮差(Worm.Mimail)求职信(
15、Worm.Klez)大无极(Worm.SoBig),2005年是木马流行的一年,新木马包括:8月9日, “闪盘窃密者(Trojan.UdiskThief)”病毒。该木马病毒会判定电脑上移动设备的类型,自动把U盘里所有的资料都复制到电脑C盘的“test”文件夹下,这样可能造成某些公用电脑用户的资料丢失。11月25日, “证券大盗”()。该木马病毒可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码,被盗号的股民账户存在被人恶意操纵的可能。,2006年木马仍然是病毒主流,变种层出不穷2006年上半年,江民反病毒中心共截获新病毒33358种,另据江民病毒预警中心监测的数据显示,1至6月全
16、国共有7,322,453台计算机感染了病毒,其中感染木马病毒电脑2,384,868台,占病毒感染电脑总数的32.56%,感染广告软件电脑1,253,918台,占病毒感染电脑总数的17.12%,感染后门程序电脑 664,589台,占病毒感染电脑总数的9.03%,蠕虫病毒216,228台,占病毒感染电脑总数的2.95%,监测发现漏洞攻击代码感染181,769台,占病毒感染电脑总数的2.48%,脚本病毒感染15152台,占病毒感染电脑总数的2.06%。,最前沿病毒,2007年:流氓软件反流氓软件技术对抗的阶段。3721 yahoo熊猫烧香 年:木马ARPPhishing(网络钓鱼),年恶意代码产业化
17、木马是主流其他:浏览器劫持、下载捆绑、钓鱼,年新增恶意代码750万(瑞星);流行恶意代码:快捷方式真假难分、木马依旧猖獗,但更注重经济利益和特殊应用。,移动智能终端恶意代码2004年第一个运行于 上的病毒Cabir出现仅仅运行于Android平台上的恶意代码已达35万(趋势科技 年底统计),恶意代码的发展趋势,卡巴斯基实验室的高级研究师David Emm研究获悉,到 年底为止,全球大约存在各种恶意代码1,400,000个。,发展趋势网络化发展 专业化发展 简单化发展多样化发展 自动化发展 犯罪化发展,四、病毒人生(法律),1983 年 11 月 3 日,弗雷德科恩 (Fred Cohen) 博
18、士研制出一种在运行过程中可以复制自身的破坏性程序,伦艾德勒曼 (Len Adleman) 将它命名为计算机病毒(computer viruses),并在每周一次的计算机安全讨论会上正式提出。,VBS/KJ 江民它是由台湾大学生陈盈豪编制的,九八年五月间,陈盈豪还在大同工学院就读时,完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。如黑色星期五病毒,又命名为疯狂拷贝病毒寄生型病毒:依附在系统的引导扇区或文件中,通过系统的功能进行传播。该打印机在法国组装,取道约旦、阿曼运到了伊拉克。国际上对病毒命名的惯例对计算机病毒应持有的态度平时
19、运行正常的计算机突然经常性无缘无故地死机陌生人发来的电子邮件六、计算机病毒的传播途径4、与病毒现象类似的软件故障调用传染功能模块;特点:书写简单,甚至有很多自动制作工具56%,感染广告软件电脑1,253,918台,占病毒感染电脑总数的17.年,全球开发出的恶意软件,包括计算机病毒和其他恶意软件的数量超过了3.实模式、单用户、单任务,1988年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为“蠕虫”的电脑病毒送进了 最大的电脑网络互联网。1988年11月2日下午5点,互联网的管理人员首次发现网络有不明入侵者。当晚,从 东海岸到西海岸,互联网用户陷入一片恐慌。,CIH病毒,又名“切尔诺贝利”,是一种
20、可怕的电脑病毒。它是由台湾大学生陈盈豪编制的,九八年五月间,陈盈豪还在大同工学院就读时,完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。,年仅18岁的高中生杰弗里李帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此,他的邻居们表示不敢相信。在他们的眼里,杰弗里李帕森是一个电脑天才,而决不是什么黑客,更不会去犯罪。,李俊,技校毕业,中专 2007年1月初肆虐网络 大于1000万用户染毒损失数亿元人民币处罚:获刑四年 年6月参与开设 网络赌场再次被捕 年1月被判三年,五、计算机病毒的分类,1、按病毒存在的媒体
21、分类,网络病毒:通过计算机网络传播感染网络中的可执行文件;文件病毒:感染计算机中的文件(如:,等);引导型病毒:感染启动扇区(Boot)和硬盘的系统引导扇区();混合型病毒:是上述三种情况的混合。例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。,2、按病毒传染的方法分类,引导扇区传染病毒:主要使用病毒的全部或部分代码取代正常的引导记录,而将正常的引导记录隐藏在其他地方。执行文件传染病毒:寄生在可执行程序中,一旦程序执行,病毒就被激活,进行预定活动。网络传染病毒:这类病毒是当前病毒的主流,特点是通过
22、互联网络进行传播。例如,蠕虫病毒就是通过主机的漏洞在网上传播。,3、按病毒破坏的能力分类,无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型:这类病毒在计算机系统操作中造成严重的错误。非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。,4、按病毒算法分类,伴随型病毒:蠕虫型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源寄生型病毒:依附在系统的引导扇区或文件
23、中,通过系统的功能进行传播。练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。变形病毒:这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和经过变化的病毒体组成。,5、按计算机病毒的链结方式分类,源码型病毒:该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。嵌入型病毒:这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的,一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术,超级病毒技术和
24、隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。外壳型病毒:外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知。操作系统型病毒:这种病毒用自身的程序加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。,6、按病毒攻击操作系统分类,Microsoft DOSMicrosoft Windows 95/98/MEMicrosoft Windows NT/2000/XPUnix(Linux)Macintosh(MacMag病毒、Scores病毒)OS/2(AE
25、P病毒),病毒的发展是伴随着计算机软硬件的发展而发展的。沿着操作系统发展的几个阶段来看看病毒技术与反病毒技术演化。DOS时代(1981)Window 9x时代(1995)Windows NT/2000时代(1996)嵌入式系统(2000),操作系统及病毒变化,(一)DOS操作系统时代的病毒,DOS操作系统简介16位的操作系统(8086、8088)实模式、单用户、单任务字符界面中断机制,DOS可执行文件病毒原理,COM病毒EXE病毒常见感染手法 通过查目录进行传播 通过执行进行传播 通过文件查找进行传播 通过文件关闭的时候进行传播,DOS反病毒原理,特征码技术模糊匹配技术(广谱杀毒)行为判定技术
26、启发式扫描技术对各种可疑功能进行加权判断;MOV AH ,5; INT,13h; format,(二)Windows操作系统,32位操作系统抢占式多任务操作系统保护模式下运行友好的图形界面,Windows病毒,可执行文件病毒宏病毒脚本病毒蠕虫病毒木马病毒,可执行文件病毒,典型病毒(CIH)感染原理特点反病毒技术文件监控内存监控,蠕虫病毒,典型病毒感染原理特点反病毒技术邮件监控网络监控,席卷全球的NIMDA病毒,木马病毒,典型病毒感染原理特点反病毒技术文件监控防火墙,宏病毒,典型病毒感染原理特点反病毒技术OFFICE嵌入式查毒特征代码,脚本病毒,典型病毒感染原理特点反病毒技术脚本监控,病毒名称:
27、 类型:Backdoor 公布日期: 未知 影响平台: Windows Mobile 病毒别名:大小: 5632 发源地区: 俄罗斯 概述: Brador.A 是已知第一个针对 Pocket PC 手持设备的后门程序。 运行时,后门程序将自己复制到启动文件夹,将 PDA 的 IP 地址邮件发送给后门程序的作者,并开始监听一个 TCP 端口的命令。然后黑客可以通过 TCP 端口连接回 PDA ,通过后门程序控制 PDA 。,运行时, Brador.A 会将自己作为 svchost.exe 复制到 Pocket PC 设备上的 WindowsStartUp 文件夹,以致设备每次启动时它都会自动启动
28、 安装程序对复制到 WindowsStartUp 文件夹的文件作了轻微修改。因此文件每次启动时会有所不同,虽然这不会影响后门程序的操作。仍不清楚这是安装程序有意的还是附带的结果。,危害 当 Brador.A 安装到系统时,会读取本地主机 IP 地址并 email 发送给作者。邮件发送 IP 地址后后门程序打开一个 TCP 端口,开始监听来自它的命令。 后门程序能够从 PDA 上传、下载文件,执行任意命令并对 PDA 用户显示信息。,六、计算机病毒的传播途径,1、软盘,软盘作为最常用的交换媒介,在计算机应用的早期对病毒的传播发挥了巨大的作用,因那时计算机应用比较简单,可执行文件和数据文件系统都较
29、小,许多执行文件均通过软盘相互拷贝、安装,这样病毒就能通过软盘传播文件型病毒;另外,在软盘列目录或引导机器时,引导区病毒会在软盘与硬盘引导区内互相感染。因此软盘也成了计算机病毒的主要的寄生“温床”。,2、光盘,光盘因为容量大,存储了大量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了极大的便利。甚至有些光盘上杀病毒软件本身就带有病毒,这就给本来“干净”的计算机带来了灾难。,3、
30、硬盘(含移动硬盘、USB),有时,带病毒的硬盘在本地或移到其他地方使用甚至维修等,就会将干净的软盘传染或者感染其他硬盘并扩散。,网络病毒的加速器,4、有线网络,触目惊心的计算卿斯汉,如果:20分钟产生一种新病毒,通过因特网传播(30万公里/秒)。联网电脑每20分钟感染一次,每天开机联网2小时。结论:一年以內一台联网的电脑可能会被最新 病毒感染2190次。另一个数字:75的电脑被感染。,网络服务传播媒介,网络的快速发展促进了以网络为媒介的各种服务(FTP, WWW, BBS, EMAIL等)的快速普及。同时,这些服务也成为了新的病毒传播方式。 电子布告栏(BBS): 电子邮件(Email): 即
31、时消息服务(QQ, ICQ, MSN等): WEB服务: FTP服务: 新闻组:,5、无线通讯系统,病毒对 的攻击有3个层次:攻击WAP服务器,使 无法访问服务器;攻击网关,向 用户发送大量垃圾信息;直接对 本身进行攻击,有针对性地对其操作系统和运行程序进行攻击,使 无法提供服务。,七、染毒计算机的症状,病毒表现现象: 计算机病毒发作前的表现现象 病毒发作时的表现现象 病毒发作后的表现现象与病毒现象相似的硬件故障与病毒现象相似的软件故障,1、发作前的现象,平时运行正常的计算机突然经常性无缘无故地死机 操作系统无法正常启动运行速度明显变慢以前能正常运行的软件经常发生内存不足的错误打印和通讯发生异
32、常无意中要求对软盘进行写操作以前能正常运行的应用程序经常发生死机或者非法错误系统文件的时间、日期、大小发生变化运行Word,打开Word文档后,该文件另存时只能以模板方式保存 磁盘空间迅速减少网络驱动器卷或共享目录无法调用基本内存发生变化陌生人发来的电子邮件,2、发作时的现象,提示一些不相干的话发出一段的音乐产生特定的图像硬盘灯不断闪烁进行游戏算法Windows桌面图标发生变化计算机突然死机或重启自动发送电子邮件鼠标自己在动,显示图片,3、发作后的现象,硬盘无法启动,数据丢失 系统文件丢失或被破坏文件目录发生混乱部分文档丢失或被破坏部分文档自动加密修改Autoexec.bat文件使部分可软件升
33、级主板的BIOS程序混乱,主板被破坏网络瘫痪,无法提供正常的服务,4、与病毒现象类似的软件故障,出现“Invalid drive specification”(非法驱动器号) 软件程序已被破坏(非病毒) 软件与操作系统的兼容性 引导过程故障 用不同的编辑软件程序,5、与病毒现象类似的硬件故障,系统的硬件配置电源电压不稳定插件接触不良软驱故障关于CMOS的问题,八、计算机病毒的主要危害,直接危害:1.病毒激发对计算机数据信息的直接破坏作用 2.占用磁盘空间和对信息的破坏 3.抢占系统资源 4.影响计算机运行速度 5.计算机病毒错误与不可预见的危害 6.计算机病毒的兼容性对系统运行的影响,病毒的危
34、害情况,间接危害:1.计算机病毒给用户造成严重的心理压力2.造成业务上的损失3.法律上的问题,近几年来的重大损失,九、计算机病毒的命名规则,通用命名规则按病毒发作的时间命名如“黑色星期五”按病毒发作症状命名如“小球”病毒按病毒的传染方式命名如黑色星期五病毒,又命名为疯狂拷贝病毒按病毒自身宣布的名称或包含的标志命名CIH病毒的命名源于其含有“CIH”字符按病毒发现地命名如“黑色星期五”又称Jerusalem(耶路撒冷)病毒按病毒的字节长度命名如黑色星期五病毒又称作1813病毒思考:这种命名方式,存在什么不足?,国际上对病毒命名的惯例,计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀
35、+病毒名+后缀”,即三元组命名规则前缀表示该病毒发作的操作平台或者病毒的类型,而DOS下的病毒一般是没有前缀病毒名为该病毒的名称及其家族后缀一般可以不要,只是以此区别在该病毒家族中各病毒的不同,可以为字母,或者为数字以说明此病毒的大小三元组中“病毒名”的命名优先级为:病毒的发现者(或制造者)病毒的发作症状病毒的发源地病毒代码中的特征字符串A表示在Cap病毒家族中的一个变种,WM表示该病毒是一个Word宏(Macro)病毒病毒名中若有PSW或者PWD之类的,一般都表示该病毒有盗取口令的功能,病毒命名待进一步规范、统一,由于存在 “灵活”的命名规则和惯例,再加上杀毒软件开发商各自的命名体系存在差异
36、、计算机病毒研究学者/反病毒人员在为病毒命名时的个人观点、所依据的方法也各不相同,最终造成同种病毒出现不同名称的混乱现象如“新欢乐时光”病毒VBS.KJ 金山Script.RedLof 瑞星VBS/KJ 江民病毒命名可以做出更细致的规定,如:病毒前缀+主要变量+次要变量+病毒名+病毒后缀,十、计算机病毒防治,病毒防治的公理,1、不存在这样一种反病毒软硬件,能够防治未来产生的所有病毒。2、不存在这样一种病毒程序,能够让未来的所有反病毒软硬件都无法检测。3、目前的反病毒软件和硬件以及安全产品是都易耗品,必须经常进行更新、升级。4、病毒产生在前,反病毒手段滞后的现状,将是一个长期的过程。,人类为防治
37、病毒所做出的努力,立体防护 网络版 单机版防病毒卡,对计算机病毒应持有的态度,1.客观承认计算机病毒的存在,但不要惧怕病毒。 3.树立计算机病毒意识,积极采取预防(备份等)措施。4.掌握必要的计算机病毒知识和病毒防治技术,对用户至关重要。5.发现病毒,冷静处理。,目前广泛应用的几种防治技术:,特征码扫描法,特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病毒。该技术实现简单有效,安全彻底;但查杀病毒滞后,并且庞大的特征码库会造成查毒速度下降;,虚拟执行技术,该技术通过虚拟执行方法查杀病毒,可以对付加密、变形、异型及病毒生
38、产机生产的病毒,具有如下特点:,在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器”在虚拟机环境中虚拟执行(不会被实际执行)可疑带毒文件在执行过程中,从虚拟机环境内截获文件数据,如果含有可疑病毒代码,则杀毒后将其还原到原文件中,从而实现对各类可执行文件内病毒的查杀,智能引擎技术,智能引擎技术发展了特征码扫描法的优点,改进了其弊端,使得病毒扫描速度不随病毒库的增大而减慢。刚刚面世的瑞星杀毒软件2003版即采用了此项技术,使病毒扫描速度比2002版提高了一倍之多;,计算机监控技术,文件实时监控内存实时监控脚本实时监控邮件实时监控注册表实时监控参考:,未知病毒查杀技术,未知病毒技术是继虚拟执行
39、技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。,压缩智能还原技术,世界上的压缩工具、打包工具、加“壳”工具多不胜数,病毒如果被这样的工具处理后被层层包裹起来,对于防病毒软件来说,就是一个噩梦。为了使用统一的方法来解决这个问题,反病毒专家们发明了未知解压技术,它可以对所有的这类文件在内存中还原,从而使得病毒完全暴露出来。,多层防御,集中管理技术,反病毒要以网为本,从网络系统的角度设计反病毒解决方案,只有这样才能有效地查杀网络上的计算机病毒。 在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护和管理的效率和质量,而且涉及到网络的安全性。好的杀毒软
40、件需要能在几分钟之内便可轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。,病毒免疫技术,病毒免疫技术一直是反病毒专家研究的热点,它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。实际上,最近出现的软件安全认证技术也应属于此技术的范畴,由于用户应用软件的多样性和环境的复杂性,病毒免疫技术到广泛使用还有一段距离。,病毒防治技术的趋势前瞻,加强对未知病毒的查杀能力,加强对未知病毒的查杀能力是反病毒行业的持久课题,目前国内外
41、多家公司都宣布自己的产品可以对未知病毒进行查杀,但据我们研究,国内外的产品只有少数可以对同一家族的新病毒进行预警,不能清除。目前有些公司已经在这一领域取得了突破性的进展,可以对未知DOS病毒、未知PE 病毒、未知宏病毒进行防范。其中对未知DOS病毒能查到90%以上,并能准确清除其中的80%,未知PE 病毒能查到70%以上、未知宏病毒能实现查杀90%.,防杀针对掌上型移动通讯工具和PDA的病毒,随着掌上型移动通讯工具和PDA的广泛使用,针对这类系统的病毒已经开始出现,并且威胁将会越来越大,反病毒公司将投入更多的力量来加强此类病毒的防范。,兼容性病毒的防杀,目前已经发现可以同时在微软 WINDOW
42、S和日益普及的LINUX两种不同操作系统内运作的病毒,此类病毒将会给人们带来更多的麻烦,促使反病毒公司加强防杀此类病毒。,蠕虫病毒和脚本病毒的防杀不容忽视,蠕虫病毒是一种能自我复制的程序,驻留内存并通过计算机网络复制自己,它通过大量消耗系统资源,最后导致系统瘫痪。给人们带来了巨大的危害,脚本病毒因为其编写相对容易正成为另一种趋势,这两类病毒的危害性使人们丝毫不能忽视对其的防杀。,十一、杀毒软件及评价,病毒查杀能力对新病毒的反应能力对文件的备份和恢复能力实时监控功能 及时有效的升级功能智能安装、远程识别功能界面友好、易于操作 对现有资源的占用情况,(一)杀毒软件必备功能,系统兼容性软件的价格软件
43、商的实力,(二)国内外杀毒软件及市场,金山毒霸、瑞星杀毒、KV3000、PC-Cillin VirusBuster、Norton AntiVirus、Mcafee Virus Scan、Kaspersky Antivirus、F-Secure Antivirus,Nod32等。,电脑报 评测结果,AV-Test 2007年5月排名,十二、解决方案和策略,企业网络中的病毒漏洞,File Server,Mail Server,Client,Internet Gateway,Firewall,企业网络基本结构 网关(Gateway) 服务器(Servers) 邮件服务器 文件/应用服务器 客户端(c
44、lients),趋势整体防病毒解决方案,Firewall,File Server,Client,Internet Gateway,InterScan VirusWall,Mail Server,趋势整体防病毒解决方案 1 网关级解决方案 InterScan Viruswall 2 服务器级解决方案 邮件服务器 ScanMail for Exchange / for Notes 文件服务器 ServerProtect for NT / Netware 3 客户端解决方案 Office Scan 4 集中管理系统解决方案 TVCS (Trend Virus Control System),防病毒策
45、略,1、建立病毒防治的规章制度,严格管理; 2、建立病毒防治和应急体系; 3、进行计算机安全教育,提高安全防范意识;4、对系统进行风险评估;5、选择经过公安部认证的病毒防治产品;6、正确配置,使用病毒防治产品;,7、正确配置系统,减少病毒分侵害事件;8、定期检查敏感文件;9、适时进行安全评估,调整各种病毒防治策略;10、建立病毒事故分析制度;11、确保恢复,减少损失;,十三、国内外病毒产品的技术发展态势,国内外反病毒公司在反病毒领域各有所长,国内外产品竞争激烈,随着中国信息化进程的深入开展,多家国际反病毒公司均加大了对中国市场的力度;,国内反病毒企业发展势头强劲,国内的瑞星、江民等公司都引进了
46、一些国外技术;,反病毒服务是竞争关键,要推动企业信息安全建设、并从根本上改变国内信息安全现状,建立健全的服务体系是关键。,我们相信人类受到病毒侵害及由此带来的损失将逐步减少,国内反病毒行业在政府的规范和用户的支持下将取得更好的成绩!,相关资源,1. Wildlist国际组织该网站维护世界各地发现的病毒列表。网站负责维护这个列表,并且按月打包供用户下载。此外,网站上还有一些计算机病毒方面的学术论文。2. 病毒公告牌对于任何关心恶意代码和垃圾信息防护、检测和清除的人来说,病毒公告在线杂志是一个必不可少的参考。逐日逐月地,病毒公告牌提供如下信息:1)来自于反恶意代码业界的发人深省的新闻和观点2)最新
47、恶意代码威胁的详细分析3)探索反恶意代码技术开发的长篇文档4)反恶意代码专家的会见5)对当前反病毒产品的独立评测6)覆盖垃圾邮件和反垃圾邮件技术的月报,29A的成员对病毒技术特别感兴趣,用户可以从这里学到病毒制作技术。Wildlist国际组织此外,网站上还有一些计算机病毒方面的学术论文。1、建立病毒防治的规章制度,严格管理;将病毒程序寄生于宿主程序中;计算机病毒感染率变化趋势程序性决定了计算机病毒的可防治性、可清除性,反病毒技术就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其取得系统控制权,并及时将其清除反病毒软件预防措施和技术手段往往滞后于病毒的产生速度该打印机在法国组
48、装,取道约旦、阿曼运到了伊拉克。1988 年 3 月 2 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。,3. 29A病毒技术组织这个网站包含病毒、木马和其他一些能够破坏计算机系统安全的软件。29A的成员对病毒技术特别感兴趣,用户可以从这里学到病毒制作技术。该网站是黑客不可或却的学习网站。4. 亚洲反病毒研究者协会(AVAR)AVAR(亚洲反病毒研究者协会 )成立于1998年6月。协会的宗旨是预防计算机病毒的传播和破坏,促进亚洲的反病毒研究者间建立良好的合作关系。该协会是独立的、非盈利性组织,主要面向的对象是亚太地区。本协会有来自以下国家
49、和地区资深的反病毒专家:澳大利亚、中国、中国香港、印度、 、韩国、菲律宾、新加坡、中国台北、英国以及 。 我们的独立性保证了我们能在对抗计算机病毒的过程中发挥重要的作用,同时会提醒人们对计算机安全的警惕性。AVAR的主要工作包括:1) 组织和承办以反病毒为主题的AVAR年会和论坛2) 在AVAR网站上提供亚洲的计算机病毒事件的信息3) 通过邮件的形式在AVAR的成员中建立邮件列表,并在会员中交换意见与信息,5. 国家计算机病毒应急处理中心网站主要内容是病毒流行列表、病毒SOS求救、数据恢复等。6. 病毒观察网站主要内容包括病毒预报、新闻、评论、相关法规、反病毒资料、安全漏洞、密码知识、病毒百科在线检索等。,
