《计算机病毒简史.ppt》由会员分享,可在线阅读,更多相关《计算机病毒简史.ppt(99页珍藏版)》请在三一办公上搜索。
1、,计算机病毒简介,A brief introduction of Computer Virus,0,主要内容,01,发展历程,development history,上世纪40年代,克劳斯 拉克纳尔是哥伦比亚大学地球工程中心的教授,他还在洛斯阿拉莫斯国家实验室工作时,和朋友正在喝啤酒聊天如何解决全球变暖问题?,起源:一个关于串啤、环保和学霸的故事,他们打算把空气中的二氧化碳转变成碳酸钙石灰石、汉白玉、白垩,都是这种东西。从空气中提取二氧化碳然后变成固体的工作量和所需要的资源都是惊人的,不能指望有人投资或者国家拨款。,一个全自动的转化过程。假设一台机器。它能够复制自身。它可以把太阳能转化为所需的
2、电能。它可以很容易地获得制造它的原料。这像是一个细胞一样不停地分裂,而无穷无尽的太阳能将会让它们不停地繁殖下去,直到被制止为止。太阳能不是问题,而一台机器所需要的原料无非是铁、铜、铝、硅、碳这样的常见元素罢了,这些东西遍地都是,只要提取出来就行。只有一个问题:怎样让机器自我复制?这是大数学家迪尔卡都没有解决的问题,!,约翰冯诺依曼(19031957)原籍匈牙利,布达佩斯大学数学博士。20世纪最重要的数学家之一,在现代计算机、博弈论、核武器和生化武器等领域内的科学全才之一,被后人称为“计算机之父”和“博弈论之父”。第二次世界大战期间为第一颗原子弹的研制作出了贡献。为研制电子数字计算机提供了基础性
3、的方案。晚年,研究自动机理论,著有对人脑和计算机系统进行精确分析的著作计算机与人脑。主要著作有量子力学的数学基础(1926)、计算机与人脑(1958)、经典力学的算子方法、博弈论与经济行为(1944)、连续几何(1960)等。,冯诺依曼认为,任何能够自我繁殖的系统,都应该同时具有两个基本功能。,1,2,这样,只要有合适的原料,通用构造器就可以根据描述器的指示,生产出下一台机器,并且把描述的信息也传递给这台新机器。随后,新机器启动,再进入下一个循环,这种自增殖系统,称之为“冯诺依曼机器人”,奥克松斯计划 克劳斯拉克纳尔和克里斯托弗文特打算按照冯诺依曼的思路开展他们的工作,他们给这个项目起名叫奥克
4、松斯(Auxons),这是从希腊语的“auxein”借过来的,意思是“成长”。他们给最初的原型机安装了高温熔炉用来获取需要的金属原料,并且打算把它扔到沙漠里面去。在那里,奥克松斯可以获得大量的原料和能量,并且不会有人来打扰。虽然失败了,也没有原理图遗留下来,但是在我的想法中,奥克松斯看起来应该跟WallE差不多,奥克松斯计划虽然失败了,但是冯先生成功了,他1949年以 Theory and Organization of Complicated Automata 为题的一场在伊利诺伊大学的演讲,后改以 Theory of self-reproducing automata 为题出版。冯诺伊曼在
5、他的论文中描述一个计算机程序如何复制其自身。,上世纪60年代初,贝尔实验室的一群小伙子们,在无聊的工作之余开始他们的炫技游戏,一不小心开创了两个先河。,雏形:计算机游戏和病毒双料的祖师爷,60年代,贝尔实验室三个才二十多岁、华横溢的年轻人道格拉斯麦克利、维克特维索斯基以及罗伯特莫里斯,按照冯氏理论开始了他们的游戏历程。游戏双方各写一套程序,输入同一部电脑中,这两套程序在电脑的内存中互相追杀对方,有时它们会设下一些关卡,有时会停下来自行修理(重新写)被对方破坏的几行指令;当它被困时,也可以把自己复制一次,逃离险境。因为当时使用磁芯作为存储设备,所以该游戏又称为“磁芯大战”。,直到上世纪70-80
6、年代,计算机病毒这个名字,才被开发出来并广为人知,在这里一大群文科生功不可没。,以毒之名:咱们文科生有力量,1970年代,雷恩在P1的青春一书中构思了一种可以自我复制,利用通信进行传播的计算机程序,并第一次称之为“计算机病毒”。大卫杰洛德(David Gerrold)的When H.A.R.L.I.E.was One,描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序;约翰布鲁勒尔(John Brunner)的小说震荡波骑士(ShakewaveRider),描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。,弗雷德科恩 1983年11月3日,弗雷德科恩在UNIX系统下,编写了一个会自动复
7、制并在计算机间进行传染从而引起系统死机的小程序。该程序对电脑并无害处,潜伏于更大的合法程序当中,通过软盘(当前出售的电脑多不再用)传到电脑上。一些电脑专家也曾警告,电脑病毒是有可能存在的,但科恩是第一个真正通过实践记录电脑病毒的人。1984年,将这些程序以论文发表,在其博士论文给出了电脑病毒的第一个学术定义,这也是今天公认的标准,从而引起了轰动。,计算机病毒是一种计算机程序,它通过修改其它程序把自身或其演化体插入它们中,从而感染它们。同时可以通过数学方法严格证明,这样的病毒能够在任何允许信息共享的系统中传播,不论是否有安全技术。算机病毒不是利用操作系统的错误或缺陷的程序。它是正常的用户程序,它
8、仅使用那些每天都使用的正常操作。弗雷德科恩,1984年,科学美国人(又称环球科学)月刊的专栏作家杜特尼在5月刊号写了第一篇讨论“磁芯大战”的文章,并且只要寄上两块美金,任何读者都可以收到有关写程序的纲领,在自己家的电脑中开辟战场。在1985年3月份的科学美国人里,杜特尼再次讨论“磁芯大战”和病毒。在文章的开头他便说:“当去年5月有关磁芯大战的文章印出来时,我并没有想过我所谈论的是那么严重的题目”文中多次提到“病毒”这个名称。,“意大利的电脑程序员利用感染磁碟的方式使其它电脑受到破坏性程序的感染。就这样,潘多拉之盒被打开了,许多程序员都了解了病毒的原理,进而开始尝试编制这种具有隐蔽性、攻击性和传
9、染性的特殊程序。病毒从隐秘走向公开,先是利用磁碟,然后是利用网络,迅速在全世界范围内扩散开来,成为电脑用户的头号敌人。”杜特尼,上世纪70-80年代,出现了很多病毒或者疑似病毒的计算机程序,除了磁芯大战之类鼻祖型雏形只为,谁是第一个病毒一直存在着很大的争议。,灰色领奖台:到底谁才是第一名,在财政部的计算机无法正常使用,经技术论证确定为C-BRAIN系列变种病毒造成的,这是中国本土发现的最早的计算机病毒。,1988:登陆中国,以“石头-2”为代表的新型病毒开始大规模爆发,不同于以往以软盘为感染对象的老战友,新型的病毒编写技术更成熟、代码更复杂,由于硬盘是“长期驻留”在计算机上的大容量高速存储设备
10、,从此之后复制、传播更加便利对“体积”的要求也放宽了。,1989:开辟第二战场转战硬盘,在此之前,计算机病毒均为引导型病毒,它们是通过磁盘到磁盘的形式进行感染的,随着“金蝉(1992)”等复合型病毒的出现,实现了从文件到文件的感染进一步拓宽了计算机病毒的感染途径,从表现上看也更像生物病毒入侵细胞的过程。,1990:完全体形态感染可执行文件,海湾战争期间,美国通过芯片植入式病毒入侵了伊拉克防控网络,造成了伊防控系统全线瘫痪超过12小时虽然该嵌入式后门是否能成为计算机病毒尚有争议,但很多人仍然认为,这是计算机病毒的第一次战场处女秀。,1990:新式武器计算机病毒首次用于战争,1990年,美国获悉一
11、个重要情报:伊拉克将从法国购买一种用于防空系统的新型电脑打印机,准备通过约旦首都安曼偷运回巴格达。于是,美国间谍买通了安曼机场的守卫人员,运送打印机的飞机一降落到安曼,他就偷偷溜进机舱,用一套带有计算机病毒的同类芯片换下了电脑打印机中的芯片。伊拉克人毫无察觉,将带有病毒芯片的电脑打印机安装到了防空系统上。海湾战争爆发后,美国人通过无线网络激活了电脑打印机芯片内的计算机病毒,病毒侵入伊拉克防空系统的电脑网络中,使整个系统陷入瘫痪。美国由此取得了海湾战争中的关键性胜利。这是世界上首次将计算机病毒用于实战并取得较好效果的战例,从而也使网络空间战初现端倪。,随着病毒的泛滥,杀毒软件行业兴起,早期的安全
12、专家们使用“搜索匹配”的方法识别病毒,他们分析各类病毒源代码,并生成“识别码”以此来判断某一文件是否为病毒。但1995年之后随着“幽灵”、“VCL”等病毒的诞生,识别病毒已经越来越难了。,1995:变种时代到来可自变异的病毒问世,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成,当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器”,而变体机就是增加解码复杂程度的指令生成机制。直到现在指令“加花”依然是病毒免杀的最常见手段,1998年KV300+识别库大小630 K,今天 36
13、0识别库大小607 M,1999年4月26日,CIH病毒1.2版首次大规模爆发,全球超过六千万台电脑受到了不同程度的破坏。这是第一个破坏硬件系统的恶性病毒。由原集嘉通讯公司(技嘉子公司)手机研发中心主任工程师陈盈豪在其于台湾大同工学院念书期间制作。,1998:从虚幻到现实CIH病毒大爆发,2000年之后,种类繁多,数量繁多的病毒被开发出来。病毒的编写不再是炫技和个人爱好,逐渐出现了产业化的倾向,以营利为目的的地下病毒工厂逐渐繁荣起来,千禧年:蓬勃发展的新世纪,中国大陆地区主要流行计算机病毒,伊朗铀浓缩的根基是上世纪60年代末,由欧洲设计IR-1离心机,这种老旧的设计,精度低、稳定性差、寿命短,
14、所以伊朗采用了离心机的冗余策略,阵列中每个离心机组都有在线备份,即一个坏掉,可以马上切换到另外一个使其工作,并使用基于西门子的S7-417级联保护器进行控制。2010年震网病毒入侵了这些保护器,并采用了来自好莱坞的策略记录21秒传感器数据,然后循环播放这样在监控中心就不会发现离心机状态变化,当离心机异常时也不会予以调整。最终导致整个离心机阵列寿命大幅度缩短。直至该病毒被发现,伊朗核工业被拖慢了最少两年。,BADUSB,在2014年美国黑帽大会上,柏林SRLabs的安全研究人员和独立安全研究人员Karsten Nohl展示了他们称为“BadUSB的攻击方法,这种攻击方法让USB安全和几乎所有和U
15、SB相关的设备(包括具有USB端口的电脑)都陷入相当危险的状态。从传统意义讲,当你在电脑中插入一张CD/DVD光盘,或者插入一个USB设备时,可以通过自动播放来运行一个包含恶意的文件,不过自动播放功能被关闭时,autorun.inf文件就无法自动执行你的文件了。然而通过TEENSY,你可以模拟出一个键盘和鼠标,当你插入这个定制的USB设备时,电脑会识别为一个键盘,利用设备中的微处理器,与存储空间,和编程进去的攻击代码,就可以向主机发送控制命令,从而完全控制主机,无论自动播放是否开启,都可以成功。,2017年5月,一种名为“想哭”的勒索病毒席卷全球,在短短一周时间里,上百个国家和地区受到影响。据
16、美国有线新闻网报道,截至2017年5月15日,大约有150个国家受到影响,至少30万台电脑被病毒感染。后续又陆续有该病毒的后续版本被发现,如安卓版、免疫失效升级版,NAS工具箱其他病毒也陆续被公布出来。,手机病毒:2670种,平均感染率:730%,带毒率:82%,累计损失:2100亿,男女比例-8:1,2017年6月瑞星统计数据,02,基本概念,basic concepts,“编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。中华人民共和国计算机信息系统安全保护条例,感染单元,破坏单元,保护单元,一个典型的计算机病毒主要由三部分
17、构成感染单元:通用构造器+通用描述器保护单元:提供隐藏自身、软件狗、反杀、反AV等功能破坏单元:触发器和主要破坏活动执行单元,提供盗取密码、破坏文件、远程控制、加密分区等功能。,计算机病毒主要危害,1,繁殖性,传染性,潜伏性,隐蔽性,破坏性,触发性,2,3,4,5,6,计算机病毒主要特点,1,2,3,4,5,6,常用术语,1,2,3,4,5,6,03,分类简介,Classified introduction,计算机病毒分类方法很多,下面按照几种主流分类方法进行分类介绍。,引导型,引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点
18、,在引导型系统的过程中侵入系统,驻留内存,监视系统运行,待机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。优点:隐蔽性强,兼容性强,破坏性强一个好的病毒程序是不容易被发现的。缺点:编写难度大传染速度慢,一定要带毒软盘启动才能传到硬盘,杀毒容易,只需改写引导区即可,底板能对引导区写保护,所以现在纯引导型病毒已很少了。主引导区:如大麻病毒、2708病毒、火炬病毒等;分区引导:如小球病毒、Girl病毒等。,文件型,所有通过操作系统的文件系统进行感染的病毒都称作文件病毒,理论上可以制造这样一个病毒,该病毒可以感染基本上所有操作系统的可执行文件。传统EXE病毒当
19、被感染程序执行之后,病毒会立刻或者在随后的某个时间获得控制权,获得控制权后,病毒通常会进行下面的操作(某个具体的病毒不一定进行了所有这些操作,操作的顺序也很可能不一样):内存驻留的病毒首先检查系统可用内存,查看内存中是否已经有病毒代码存在,如果没有将病毒代码装入内存中。非内存驻留病毒会在这个时候进行感染,查找当前目录、根目录或者环境变量PATH中包含的目录,发现可以被感染的可执行文件就进行感染。目前已知可感染文件型:EXE、DOC、SYS、DLL、VxD、CHI、htm、Office文档、VBS、RMVB、GIF、OCX等,典型PE文件结构,PE头部主要结构描述,蠕虫型,在某种意义上来讲,蠕虫
20、型病毒是编写门槛比较低的病毒,它本身是一个单独的可执行文件,其传播过程不需要去“感染”目标文件,而仅仅是“拷贝”并执行副本,他通过网络主动或被动传播,本身不去感染可执行文件,为早期U盘、光盘自启动类病毒的升级产品。具有传播速度快、危害大小不一、水平参差不齐的特点。目前大多数盗号木马、蠕虫均属此类病毒,编写水平较高的:如冲击波、红色代码、灰鸽子、广外女生、想哭等。编写水平较低的难以计数,个别病毒甚至无法成功运行。,常见病毒命名前缀,04,防治技术,anti-virus technology,计算机感染病毒后的表现,The performance of the computer after infection,常见病毒四个阶段,1,2,3,谁中招谁知道,病毒防治技术,Computer virus control technology,1,2,3,4,5,6,7,8,9,个人计算机用户防治措施,Computer virus measures for personal computer users,谢谢,Thanks,
