网络安全13-病毒.ppt

网络安全 罗 敏 武汉大学计算机学院 第12章 VPN技术 重点回顾 VPN概述 VPN的分类 VPN使用的协议与实现 第13章 网络病毒防治 本章简单介绍了计算机病毒的产生、特征、分类和基本组成，分析了DOS病毒、宏病毒、脚本病毒、PE病毒的基本原理，总结了病毒传播的途径，并阐述了对抗计算机病毒的基本技术，最后给出了清除病毒的基本方法和病毒的预防原则。 第13章 网络病毒防治 13.1 计算机病毒概述 13.2 计算机病毒基本原理 13.3 计算机病毒的传播途径 13.4 计算机病毒对抗的基本技术 13.5 病毒的清除 13.6 计算机病毒的预防 13.1 计算机病毒概述 计算机病毒 生物病毒 一种微小的基因代码段—DNA或RNA，它能掌管活细胞机构并采用欺骗性手段生成成千上万的原病毒的复制品 计算机病毒 一段附着在其它程序上的、可以自我繁殖的程序代码 13.1 计算机病毒概述 法律依据 1994年2月18日，《中华人民共和国计算机信息系统安全保护条例》第二十八条 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码 13.1 计算机病毒概述 计算机病毒的判定 人们无法从代码上看出谁是计算机病毒，谁是正常的程序，因为计算机病毒本身就是程序。因此，计算机病毒是不可判定的，不可能用一个杀毒程序就能查出所有的病毒 13.1 计算机病毒概述 产生原因 一些计算机爱好者出于好奇或兴趣 产生于个别人的报复心理 来源于软件加密 产生于游戏 用于研究或实验而设计的“有用”程序，由于某种原因失去控制而扩散出来 由于政治、经济和军事等特殊目的，一些组织或个人也会编制一些程序用于进攻对方电脑 13.1 计算机病毒概述 计算机病毒的特征 传染性 非授权性 隐蔽性 潜伏性 破坏性 不可预见性 可触发性 13.1 计算机病毒概述 计算机病毒的特征 传染性 病毒具有把自身复制到其它程序的能力 非授权性 病毒程序的执行对用户是未知的，即病毒的执行具有某种主动性 隐蔽性 用户不容易察觉病毒程序的存在与执行 13.1 计算机病毒概述 计算机病毒的特征 潜伏性 病毒存在于系统中，并等待时机发作 破坏性 干扰系统的执行、管理、数据 不可预见性 可触发性 根据条件触发破坏行动 13.1 计算机病毒概述 病毒感染的途径 引进的计算机系统和软件中带有病毒 各类出国人员带回的机器和软件染有病毒 染有病毒的游戏软件 非法拷贝中毒 计算机生产、经营单位销售的机器和软件染有病毒 维修部门交叉感染 有人研制、改造病毒 敌对分子以病毒为媒体或武器进行宣传和破坏 通过互联网（访问Web、下载Email和文件等）传入的 13.1 计算机病毒概述 计算机病毒划分 按攻击平台划分 攻击DOS系统的病毒 攻击WINDOWS系统的病毒 攻击UNIX/Linux系统的病毒 攻击OS/2系统的病毒 攻击Macintosh系统的病毒 其它操作系统上的病毒（如手机病毒） 13.1 计算机病毒概述 计算机病毒划分 按链接方式划分 源码型病毒 嵌入型病毒 shell病毒 译码型病毒（如宏病毒，脚本病毒） 操作系统型病毒 13.1 计算机病毒概述 计算机病毒划分 按破坏情况划分 良性病毒 恶性病毒 按传播媒介划分 单机病毒 网络病毒 13.1 计算机病毒概述 计算机病毒划分 按寄生方式和传染途径划分 引导型病毒 文件型病毒 引导型兼文件型病毒 13.1 计算机病毒概述 计算机病毒的存在方式 静态 存在于辅助存储介质上的计算机病毒 静态病毒不能产生传染和破坏作用 动态 进入了计算机内存的计算机病毒 内存中的动态病毒又有两种状态：能激活态和激活态 失活态 用户的干预下，内存中的病毒代码不能被系统的正常运行机制执行 13.1 计算机病毒概述 病毒程序的组成 感染模块 触发模块 破坏模块 主控模块 13.1 计算机病毒概述 感染模块 感染机制有寄生感染，插入感染和逆插入感染，链式感染，破坏性感染，滋生感染，没有入口点的感染，OBJ、LIB和源码的感染，混合感染和交叉感染，零长度感染等 13.1 计算机病毒概述 触发模块 触发模块根据预定条件满足与否，控制病毒的感染或破坏动作 病毒的触发条件有多种形式，例如：日期、时间、键盘、发现特定程序、感染的次数、特定中断调用的次数等 13.1 计算机病毒概述 破坏模块 破坏模块负责实施病毒的破坏动作。其内部是实现病毒编写者预定破坏动作的代码 表现模块 有些病毒的该模块并没有明显的恶意破坏行为，仅在被传染的系统设备上表现出特定的现象，该模块有时又被称为表现模块 常见的破坏有 攻击系统数据区，攻击文件和硬盘， 攻击内存，干扰系统的运行， 扰乱输出设备，扰乱键盘，修改