计算机病毒分析与防范技术精要.ppt

欢迎来到点饭论坛 主讲：CIA007-唐正军 cia-007@163.com 2010.11 议程内容 本章概要 计算机病毒的概念 计算机病毒的特性 破坏性 破坏性是计算机病毒的首要特征，不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响,轻者占用系统资源，降低计算机工作效率，重者窃取数据、破坏数据和程序，甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，如无法关闭的玩笑程序等。恶性病毒则有明确的目的，或窃取重要信息如银行帐号和密码，或打开后门接受远程控制等。 隐蔽性 计算机病毒虽然是采用同正常程序一样的技术编写而成，但因为其破坏的目的，因此会千方百计地隐藏自己的蛛丝马迹，以防止用户发现、删除它。病毒通常没有任何可见的界面，并采用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。 计算机病毒的特性 计算机病毒的工作流程 计算机病毒的入侵方式 计算机病毒的传播方式 计算机病毒的分类与命名 本章概要 计算机病毒产生的根源 计算机病毒的发展 计算机病毒的发展 计算机病毒的发展 计算机病毒的发展 计算机病毒的发展 计算机病毒的发展 计算机病毒的危害 本章概要 病毒的数量激增 挂马网站成为木马、病毒攻击的主要途径 2009年度计算机病毒区域特征明显 木马病毒窃密过程示意 2009年十大病毒 黑客/病毒产业链分析 现代病毒的显著特点 议程内容 本章概要 早期病毒—DOS病毒 Office杀手—宏病毒 系统型病毒的存储结构 文件型病毒的存储结构 典型结构的简单病毒示例 互联网瘟疫—蠕虫病毒 隐藏的危机—木马病毒 本章概要 病毒“免杀”技术 病毒“免杀”技术 钩子（上） 钩子（下） 本章概要 “熊猫烧香”病毒分析与处理 “熊猫烧香”病毒分析与处理 “熊猫烧香”病毒分析与处理 “熊猫烧香”病毒分析与处理 防范和应对ARP欺骗病毒 防范和应对ARP欺骗病毒 防范和应对ARP欺骗病毒 防范和应对ARP欺骗病毒 议程内容 本章概要 反病毒产品发展史 反病毒产品发展史 广泛使用的反病毒技术 实时监控系统 一些基本的系统概念（上） 一些基本的系统概念（下） 常见系统进程解析 自启动方式（上） 自启动方式（中） 自启动方式（下） 计算机病毒的预防（上） 计算机病毒的预防（下） 病毒紧急手动处理步骤 议程内容 军事信息网络安全主要威胁 信息安全体系结构 系统安全检查清单（上） 系统安全检查清单（下） 微点主动防御立体化防御体系 微点主动防御立体化防御体系 信息安全建设之路 补充：特殊路径下病毒的处理方法 补充：特殊路径下病毒的处理方法 补充：特殊路径下病毒的处理方法 谢谢! 其它杀毒软件的主动防御 是基于程序单一动作的判断技术，对未知病毒无法自主识别－请用户自行判断，无法明确报出－报警提示用户茫然，不能自动清除－不具备清除能力。 嫁接HIPS系统； 基于程序单一动作的判断技术； 对未知病毒无法自主识别； 无法明确报出－报警提示用户操作； 不能自动清除，不具备清除能力 综上所述系伪主动防御 行为分析 判定层 资源访问 控制层 主 动 防 御 资源访问 扫描层 其它杀毒软件主动防御技术的特点 一、进程： 进程为应用程序的运行实例，是应用程序的一次动态执行；可以简单理解为——系统当前运行的执行程序；当运行某程序时，就创建了一个容纳该程序代码及其所需动态链接库的进程。 （1）系统进程 ：用于完成操作系统的各种功能的进程就是系统进程，它们就是处于运行 状态下的操作系统本身，是系统运行所必须的； 　 （2）用户进程 ：用户进程就是所有由用户执行应用程序所启动的进程。其中应用程序是 由用户安装的程序，执行一个应用程序时可能会启动多个不同的进程。 二、线程： Threads，也称轻量进程，指运行中的程序的调度单位。线程是进程中的实体，一个进程可拥有多个线程，实现程序的并发执行，但一个线程必须有一个父进