IDS计算机病毒.ppt

复习上次课的内容 恶意程序的概念、分类 后门、逻辑炸弹、特洛伊木马 病毒的生命周期 病毒的结构 病毒的分类 恶意程序 恶意软件可以分为两类: 一类需要驻留在宿主程序中，而另一类则独立于宿主程序。 第一类软件实质上是一些必须 依赖于某些实际的应用程序、实用程序或者系统程序才可以运行的程序段。 后一类软件是 可以被操作系统调度并运行的独立程序。 后门 后门是程序的秘密入口点， 它使得知情者可以绕开正常的安全访问机制而直接访问程序。 当后门被某些恶意者利用，作为获取未经授权的访问权限的工具时，它便成为一种安全威胁。 逻辑炸弹 逻辑炸弹实际上是嵌入到某些合法程序中的代码段，当遇到某些特定条件时，它便会“爆发”。 引爆的条件很多，如某个特定的日期等。例如，CIH 病毒 (导致了 BIOS的毁坏)每年的4月26日或每月的26日。 一旦被引爆，将会引起危害。 特洛伊木马 特洛伊木马 是一种有用或者表面上有用的程序或命令过程。它包含隐秘代码段，一旦被调用，将会执行一些不希望或有害的功能。 如盗号木马(QQ、银行、网游) 病毒的生命周期 病毒的生命周期包含以下四个阶段： 1. 休眠阶段（Dormant phase） 2. 传播阶段（Propagation phase） 3. 触发阶段（Triggering phase 4. 执行阶段（Execution phase） 病毒结构 病毒的类型 1, 寄生病毒 2, 内存驻留病毒 3, 引导扇区病毒 4, 隐形病毒 5, 多态病毒 概述 宏病毒 电子邮件病毒 蠕虫 病毒的成长痕迹 病毒人生 宏病毒 近年来，一些企业遇到的病毒网站大幅度增加 。 这一增长是由于一个最新的病毒类型：宏病毒。据国家计算机安全局,宏病毒现在在所有计算机病毒中占了三分之二。 宏病毒 宏病毒具有非常高的威胁性，其原因有以下几点: 1, 宏病毒与系统平台无关。 实际上所有的宏病毒都会感染 Microsoft Word 文档。 因此任何支持Word的硬件平台和操作系统都可以被宏病毒感染。 宏病毒 2, 宏病毒感染的目标是文档文件，而不是可执行文件。 而实际上，传入计算机系统中的大部分信息都以文档而非程序的方式保存。 3, 宏病毒易于传播。 一个非常普遍的传播媒介是电子邮件。 宏病毒 使我们建立宏病毒的是一种被称为宏的机制。 这是一种宏观调控，可以自动调用，而没有用户的输入。 在Microsoft Word中, 有三种类型的宏机制： 宏病毒 1, 自动执行（Antoexecute）: 如果一个名为自动执行的宏病毒是在“Normal.dot ”模板或在一个全局的模板保存Word的启动目录，这时执行的时候启动Word。 宏病毒 2，自动宏（Automacro）: 当定义的事件发生时，自动宏执行,这些定义的事件包括开启或关闭的文件，创建一个新的文件，或退出Word中。 宏病毒 3，命令宏（Command macro）:如果宏在一个全局性的宏观文件或宏附加到文件的名称是Word命令，这时执行的时候用户就要调用Word命令（如文件保存）。 电子邮件病毒 电子邮件病毒是一种最近发展起来的恶意软件。 第一个广泛传播的电子邮件病毒是 Melissa病毒，它利用 Microsoft Word 的宏，嵌入到电子邮件的附件中。 如果收件人打开该附件，就会激活Word的宏。 之后： 电子邮件病毒 1, 电子邮件病毒搜寻用户通讯录中的邮件列表，并将自身发送到邮件列表上的每一个邮箱中。 2, 病毒在本地进行一些破坏性操作。 电子邮件病毒 1999年底，互联网上出现了一种更为强大的电子邮件病毒。 只要用户打开含有这种病毒的电子邮件，就会激活该病毒，而不再等到打开附件之后。 这种病毒使用的电子邮件数据包支持的 Visual Basic脚本语言。 蠕虫 蠕虫是可以自行复制，并通过网络连接将病毒副本从一台计算机发送到其它计算机中的程序。 蠕虫 网络蠕虫程序利用网络连接从一个系统传播到其它系统。一旦在某系统中被激活，网络蠕虫还可以像一般计算机病毒和细菌一样运行，它可能会植入特洛伊木马程序，或者执行一些分裂性或破坏性的操作。 蠕虫 为实现自身的复制，网络蠕虫病毒需要使用某些网络媒介。 这些媒介包括: 蠕虫 电子邮件工具（Electronic mail facility）: 利用电子邮件，蠕虫可以将自身的副本邮寄给其他系统。. 远程执行功能（Remote execution capability）: 利用此功能，蠕虫可以在其他系统上执行自身的副本。 远程登录功能（Remote login capability）: 蠕虫可以作为用户登录一个远程系统，并用命令将自身从一个系统复制到其它系统。 蠕虫 网络蠕虫显示出于计