《电子商务安全技术第09章计算机病毒的产生与预防.ppt》由会员分享,可在线阅读,更多相关《电子商务安全技术第09章计算机病毒的产生与预防.ppt(30页珍藏版)》请在三一办公上搜索。
1、第八章 计算机病毒及其防治技术,8.1 计算机病毒的概念 8.2 计算机病毒的分析 8.3 计算机病毒的防治 8.4 网络病毒的防治技术,8.1 计算机病毒的概念,计算机病毒(Computer Virus)的定义:1984年,最早由计算机病毒之父弗雷德科恩博士(Fred Cohen)定义为:“计算机病毒是一种计算机程序,它通过修改其它程序把自身或其演化体插入它们中,从而感染它们。”,国外最流行的定义为:“计算机病毒,是一段附着在其他程序上的可以实现自我繁殖的程序代码。”,1994年2月18日,中华人民共和国计算机信息系统安全保护条例定义:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功
2、能或者数据,影响计算机使用,并且能够自我复制的一组计算机指令或者程序代码”。,我国对计算机病毒的定义,“磁芯大战”(core war)60年代,贝尔实验室 Douglas Mcllroy、Victor Vysottsky以及Robert T.Morris,计算机病毒的发展历史,1983年,世界上第一例被证实的计算机病毒,同时出现了计算机病毒传播的研究报告,1984年,美国人Thompson开发出了针对UNIX操作系统的病毒程序,1988年11月3日,美国六千多台计算机(占当时整个互联网十分之一)被WORM病毒感染。美国康奈尔大学研究生Robert Morris(罗伯特莫里斯),感染性:病毒的基
3、本特征,自我复制能力。破坏性:病毒会对系统产生不同程度的影响。隐藏性:用户通常感觉不到病毒的存在。潜伏性:一般不会马上发作。可激活性:病毒因某个事件或数值的出现而发作。针对性:病毒的编制者往往有特殊的破坏目的。,计算机病毒的特征,按攻击的对象分:攻击微型机攻击小型机攻击大型机攻击计算机网络,计算机病毒的分类,按寄生的方式分:覆盖式寄生病毒:破坏合法程序的部分或全部功能 代替式寄生病毒:使病毒程序以“合法”身份运行 链接式寄生病毒:将自身程序附加在宿主程序之后 添充式寄生病毒:侵占宿主程序的空闲存储空间 转储式寄生病毒:将宿主程序代码改变存储位置,计算机病毒的分类,按感染的方式分:引导扇区病毒:
4、引导扇区病毒用它自己的数据来代管硬盘的原始引导扇区,并将病毒装入内存。文件感染病毒:文件感染病毒将病毒代码加到可运行的程序文件中,在运行程序时即被激活。综合型感染病毒:是指既感染磁盘引导区程序,又感染系统文件的综合病毒。,计算机病毒的分类,按侵入的途径分:源码病毒:指病毒在源程序被编译前就被插入到源程序中。操作系统病毒:指病毒程序将自身加入或替代操作系统工作。入侵病毒:用自身代替正常程序中的部分模块或堆栈区。外壳病毒:将自身程序放在主程序的周围,一般不对原来的程序进行修改。,计算机病毒的分类,特洛伊木马蠕虫病毒宏病毒脚本病毒恶意网页病毒结合黑客技术的病毒,常见计算机病毒的类型,由来:源于希腊对
5、特洛伊城的战争;寓意“一经进入,后患无穷”。,特洛伊木马(Trojan Horse),定义:特洛伊木马是一种程序,它提供了一些有用的功能,通常是一些用户不希望的功能,诸如在你不了解的情况下拷贝文件或窃取你的密码,或直接将重要资料转送出去,或破坏系统等等。,概述:特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统。,特洛伊木马(Trojan Horse),特点:隐蔽性,难以察觉客户端/服务器模式,分类:远程访问型密码发送型键盘记录型综合型,特洛伊木马(Trojan Horse),著名木马
6、:国外BO(Back Orifice)端口31337国内冰河 端口7626,特洛伊木马(Trojan Horse),防御:用网络扫描软件定期监视内部主机上的TCP服务,定期检查注册表,定期用防病毒软件查杀等。,警惕:不要轻易打开陌生人的信件附件不要轻易接收网友的小程序或打开网址不要到一些小的网站或者黑客网站下载软件,由来:一种体积很小、繁殖很快、爬行迟缓的小虫子感染的计算机运行起来像蠕虫爬行那样缓慢,蠕虫病毒(Worm Virus),定义:蠕虫病毒是一种能自我复制的程序,并能通过计算机网络进行传播,它大量消耗系统资源,使其它程序运行减慢以至停止,最后导致系统和网络瘫痪。,特点:传播速度快,感染
7、范围广 反复感染,难以根除隐蔽性好破坏性大,著名的蠕虫病毒:1988年,Morris,第一个蠕虫病毒 2001年,“尼姆达”病毒(Nimda)2001年,“求职信”病毒(wantjob)2003年,“2003蠕虫王”病毒,蠕虫病毒(Worm Virus),宏病毒(Macro Virus),宏:是一系列自己编写或录制的命令和指令,用来实现任务执行的自动化。宏病毒:是一种存在Word或模版中的计算机病毒,一旦打开这样的文档,宏病毒就会被激活,传染到其它计算机上,并驻留在Normal模版中,此后,自动保存的文档都会被感染。,宏病毒(Macro Virus),宏病毒的特征:宏病毒会感染.DOC文档和.
8、DOT模板文件。宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时,激活宏病毒。多数宏病毒包含AutoExec、AutoOpen和AutoNew等自动宏,通过这些自动宏病毒取得文档(模板)操作权。,宏病毒(Macro Virus),宏病毒的防治方法:保护Word模板文件。查看“可疑”的宏。小心使用外来的Word文档。屏蔽自动执行宏。利用专业杀毒软件查杀宏病毒。,脚本病毒,VBS脚本病毒:VBS病毒由VB Script编写而成,更甚于宏病毒。,VBS脚本病毒的特征:编写简单破坏力大传播范围大病毒源码容易被获取,变种多,著名脚本病毒:爱虫病毒、新欢乐时光,恶意网页病毒,恶意网页病毒:利用I
9、E的ActiveX漏洞的病毒修改用户的IE设置、注册表选项下载木马、恶意程序或病毒格式化用户硬盘或删除用户的文件具有主动攻击性,著名恶意网页病毒:爱情森林,结合黑客技术的病毒,黑客技术+病毒:同黑客技术结合的网络病毒将成为计算机病毒的主流,传统的计算机病毒:主要依靠某种媒介进行传播,比如软盘、光盘或者电子邮件等。结合黑客技术的病毒:只要你的系统有后门,有漏洞,就可能感染病毒。,结合黑客技术的病毒,红色代码病毒:利用Windows服务器的系统漏洞使用主动传播方式,发动DoS(拒绝服务)攻击遭到攻击的计算机上植入木马程序,远程控制服务器,冲击波病毒:完全主动地直接扫描互联网上的计算机,一旦发现其存
10、在RPC漏洞,就立即进入并开始发作。,8.2 计算机病毒的分析,病毒的破坏手段:攻击系统数据区 主引导扇区等 破坏计算机硬件攻击文件 系统文件、用户数据等攻击内存 占用大量内存等干扰系统运行 不执行命令、死机等 速度下降盗取信息 窃取密码等,软盘软盘作为最常用的交换媒介,在计算机应用的早期对病毒的传播发挥了巨大的作用。光盘光盘因为容量大,存储了大量的可执行文件,大量的病毒就有可能藏身于光盘。硬盘由于带病毒的硬盘在本地或移到其他地方使用、维修等,将干净的软盘传染并再扩散。,计算机病毒的传播途径,网络通过BBS、EMAIL等网络方式进行传播,是现代病毒的最主要传播途径。,计算机系统的运行速度异常减
11、慢。计算机系统出现异常死机或重新启动现象。系统文件的属性及大小发生改变。数据文件内容被修改或删除。计算机系统的存储容量异常减少。系统可用内存容量大量减少。网络病毒破坏网络系统。,病毒的表现症状,8.3 计算机病毒的防治,思想上的防范 在思想上重视病毒给计算机安全运行带来的危害 管理上的防范 采取必要的病毒检测措施,制定完善的管理规则,使用上的防范严格对软盘的控制定期使用杀病毒软件尽量不在网络上下载来源不明的软件及时对操作系统进行升级,网络病毒的特点:,(1)传染方式多(2)传染速度快(3)清除难度大(4)破坏性强,8.4 网络病毒的防治技术,防范计算机网络病毒的一些措施:,在网络中,尽量多用无盘工作站,不用或少用有软驱的工作站。保证只有系统管理员才有最高的访问权限,避免过多地出现超级用户。尽量控制用户的网络使用权限。对某些频繁使用或非常重要的文件属性加以控制。建立健全的网络系统安全管理制度,及时对系统升级,定期做文件备份和病毒检测。,常见防病毒软件介绍:,国外:NORTON ANTIVIRUS 由Symantec公司研发,最著名的防病毒软件之一国内:金山公司的金山毒霸瑞星公司的瑞星杀毒软件冠群金辰软件公司的KILL杀毒软件江民公司的KV3000,