《简谈计算机病毒.pptx》由会员分享,可在线阅读,更多相关《简谈计算机病毒.pptx(42页珍藏版)》请在三一办公上搜索。
1、计算机病毒,计算机病毒,计算机病毒种类,计算机病毒结构及工作机理,计算机病毒查杀,计算机病毒发展史,计算机病毒的发展史,自第一个真正意义上的计算机病毒于1983年走出实验室以来,人们对它的认识经历了“不以为然谈毒色变口诛笔伐,人人喊打理性对待,泰然处之”四个阶段。,计算机病毒产生的历史,1977年:出现在科幻小说中1983年:Fred Cohen:在计算机安全研讨会上发布1986年:巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了“巴基斯坦”病毒,成了世界上公认的第一个传染PC兼容机的病毒,并且很快在全球流行。1987年10月:美国发现世界上第一例病毒(Brain)。1988年:小球病毒传入我国,
2、在几个月之内迅速传染了20 多个省、市,成为我国第一个病毒案例。此后,如同打开的潘多拉的盒子,各种计算机病毒层出不穷!,计算机病毒的发展阶段萌芽阶段,1 萌芽阶段 1986年到1989年:计算机病毒的萌芽时期病毒清除相对比较容易 特点:攻击目标单一主要采取截取系统中断向量的方式监控系统的运行状态,并在一定的触发条件下进行传播传染后特征明显不具自我保护措施,计算机病毒的发展阶段综合发展阶段,2 综合发展阶段1989年到1992年:由简单到复杂,由原始走向成熟 特点:攻击目标趋于混合型采用更为隐蔽的方法驻留内存感染目标后没有明显的特征 开始采用自我保护措施开始出现变种,计算机病毒的发展阶段成熟发展
3、阶段,3 成熟发展阶段 1992到1995年:病毒开始具有多态性质。病毒每次传染目标时,嵌入宿主程序中的病毒程序大部分可变种,正由于这个特点,传统的特征码检测病毒法开始了新的探索研究。在这个阶段,病毒的发展主要集中在病毒技术的提高上,病毒开始向多维化方向发展,对反病毒厂商也提出了新的挑战。,计算机病毒的发展阶段网络病毒阶段,4 网络病毒阶段 1995年到2000年:随着网络的普及,大量的病毒开始利用网络传播,蠕虫开始大规模的传播。由于网络的便利和信息的共享,很快又出现了通过E-mail传播的病毒。由于宏病毒编写简单、破坏性强、清除复杂,加上微软未对WORD文档结构公开,给清除宏病毒带来了不便这
4、一阶段的病毒,主要是利用网络来进行传播和破坏,计算机病毒的发展阶段迅速壮大的阶段,5.迅速壮大的阶段2000年以后:成熟繁荣阶段,计算机病毒的更新和传播手段更加多样性,网络病毒的目的性也更强出现了木马,恶意软件等特定目的的恶意程序 特点:技术综合利用,病毒变种速度大大加快恶意软件和病毒程序直接把矛头对向了杀毒软件计算机病毒技术和反病毒技术的竞争进一步激化,反病毒技术也面临着新的洗牌,计算机病毒,是一段程序,是一段可以执行的代码。,什么是计算机病毒?,计算机病毒特征:,破坏性:盗取数据、删除文件、文件加密传播性:从一个分区复制到另一个分区,充一台主机传播到另一台主机,中一个网络传播到另一个网络隐
5、蔽性:隐藏自己,躲避杀毒软件的查杀可触发性:触发条件、日期、时间、文件类型非授权可执行性:,寄生性:寄生于其它文件、程序潜伏性:感染后不一定立刻发作依附于其他文件、程序、介质,不被发现针对性:针对特定的计算机、特定的操作系统多态性:每一次感染后改变形态,检测更困难持久性:难于清除,其它特征,计算机病毒种类,1)引导型病毒主引导区操作系统引导区2)文件型病毒操作系统应用程序宏病毒3)复合型病毒复合型病毒具有引导区型病毒和文件型病毒两者的特征,按宿主分类:,良性病毒如:小球病毒恶性病毒如:CIH病毒,按危害分类,单机病毒:DOS、Windows、Unix/Linux病毒等网络病毒:通过网络或电子邮
6、件传播,按传播媒介分类,DOS病毒:MS-DOS及兼容操作系统上编写的病毒Windows病毒:Win32上编写的纯32位病毒程序MAC病毒:Unix/Linux病毒,按攻击平台分类,系统病毒:系统病毒主要是攻击Windows操作系统的.exe和.dll文件的一种病毒,前缀常见的是Win32、W32、PE、Win95等,人们所熟知的主要系统病毒是CIH病毒。蠕虫病毒:蠕虫病毒是一种常见的计算机病毒,它主要通过网络复制和传播。传播途径包括网络或者电子邮件。利用操作系统的漏洞主动攻击。蠕虫病毒是自包含的程序,它能拷贝自身功能或自身的某些部分到其他的计算机系统中,一般是通过网络连接的。,计算机病毒种类
7、,计算机病毒种类,木马病毒:木马病毒是通过特定的程序来控制另外一台电脑,通常有两个可执行程序:一个是操控端,一个是被操控端。木马是目前比较流行的一种病毒文件,与一般的病毒不同,它不会自我衍生,也不会刻意去感染其他文件,它通过伪装自身吸引使用者下载执行,向操纵端的人提供被操控端主机的门户,可以任意破坏文件,甚至远程操控电脑。脚本病毒:脚本病毒是采用脚本语言设计的计算机病毒,现在流行的脚本病毒大都是利用JavaScript和VBScript脚本语言编写的,实际上早期的系统中,病毒就已开始利用脚本进行传播和破坏,不过专门的脚本型病毒并不常见。,计算机病毒种类,后门病毒:后门本意是指一座建筑背面开设的
8、门,通常比较隐蔽,为进出建筑的人提供方便。在信息安全领域,后门是指绕过安全控制为获得程序或者系统访问权的方法。后门的最主要目的就是方便下次秘密进入或者控制系统4。攻击者利用欺骗的手段,通过发电子邮件或者文件,并诱惑使用者打开或者运行病毒文件或者程序,这些木马程序就会在主机上创建一个后门,攻击者攻陷一台主机,获得控制权后就会建立一个后门,比如安装木马程序,以便下次入侵使用。,计算机病毒结构及工作机理,计算机病毒的结构及工作机理,计算机病毒的结构,计算机病毒的结构及工作机理,引导过程也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备传染过程作用是将病毒代码复制到目标上去。一般
9、病毒在对目标进行传染前,要首先判断传染条件是否满足,判断病毒是否已经感染过该目标等,如CIH病毒只针对Windows 95/98操作系统表现过程是病毒间差异最大的部分,前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的,引导型病毒实例分析,引导型病毒传染机理利用系统启动的缺陷传染目标硬盘的主引导区和引导区软盘的引导区传染途径通过软盘启动计算机防治办法从C盘启动打开主板的方病毒功能典型病毒小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒,引导型病毒分析,引导型病毒感染与执行过程,系统引导区,引导正常执行,病毒,引
10、导系统,病毒体,文件型病毒分析,文件型病毒传染机理:利用系统加载执行文件的缺陷传染目标:各种能够获得系统控制权执行的文件传染途径:各种存储介质、网络、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件典型病毒1575病毒、CIH病毒,文件型病毒分析,文件型病毒文件型病毒与引导扇区病毒区别是:它攻击磁盘上的文件,文件型病毒分析,文件型病毒传染机理,正常程序,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,程序头,病毒程序头,程序头,病毒程序,病毒程序,病毒程序,程序头,宏病毒分析,宏病毒定义:宏病毒是指利用软
11、件所支持的宏命令或语言书写的一段寄生在支持宏的文档上的,具有复制、传染能力的宏代码跨平台式计算机病毒:可以在Windows 9X、Windows NT、OS/2和Unix、Mac等操作系统上执行病毒行为影响系统的性能以及对文档的各种操作,如打开、存储、关闭或清除等宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力及宏语言的进一步强化,极大地增强了它的传播能力,宏病毒分析,宏病毒工作机理,有毒文件.doc,Normal.dot,无毒文件.doc,Normal.dot,蠕虫病毒分析,蠕虫病毒一个独立的计算机程序,不需要宿主自我复制,自主传播(Mobile)占用系统或网络资源、破坏其他
12、程序不伪装成其他程序,靠自主传播利用系统漏洞;利用电子邮件(无需用户参与),蠕虫病毒分析,蠕虫病毒传染机理:利用系统或服务的漏洞传染目标:操作系统或应用服务传染途径:网络、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件打最新补丁,更新系统典型病毒RedCode,尼姆达、冲击波等,特洛伊木马分析,特洛伊木马程序名字来源:古希腊故事通过伪装成其他程序、有意隐藏自己恶意行为的程序,通常留下一个远程控制的后门没有自我复制的功能非自主传播用户主动发送给其他人放到网站上由用户下载,特洛伊木马分析,特洛伊木马程序传播途径通过网络下载、电子邮件防治办法使用具有实时监控功能的杀毒软件不要轻易
13、打开邮件附件不要轻易运行来路不明的文件典型例子BO、BO2k、Subseven、冰河、广外女生等,病毒、蠕虫与木马的比较,计算机病毒查杀,手动查杀的过程中,通常会遇到一些常见问题1、找不到相关文件主要是相关文件具有隐藏属性2、无法删除文件“文件可能正在被使用,无法删除”警告。如果一个程序正在运行,是无法直接删除的对于病毒文件,可以采取暴力的做法,删除文件功能可以删除所有顽固的文件(以前使用冰刃,冰刃没有继续更新维护;现在使用文件粉碎),3、文件或进程“重生”某个进程或文件被删除之后,刷新后又会出现。存在“守护”进程或线程没有结束。,手动查杀,注册表,本身是一个数据文件,IFEO(image File Execution Options)映像文件执行参数2007年6月,一种被称为”AV终结者”的病毒开始在互联网肆虐,平时对手动杀病毒的高手都无计可施。并非该病毒采用了某种高深的技术,而是采用了“镜像劫持”技术。,映像劫持技术,第一步:Regedit:找到位置HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options第二步:新建项notepad.exe第三部:新建字符串值并命名为Debugger;将键值改为cmd.exe,映像劫持技术,