恶意软件（病毒）的分析与防范 Defence analysis of malware.ppt

恶意软件（病毒）的分析与防范 Defence analysis of malware 计算机学院 傅建明 Fujms@ 恶意软件 开设本课程的目的是使学生了解并掌握计算机恶意代码所涉及的基本知识和防范技术，提高计算机安全保护意识，具备防范恶意代码的基本能力 教学安排 恶意软件概述和基础知识 传统的计算机病毒 网络蠕虫 网页（移动）恶意代码（木马） 后门 木马 rootkit 传统的计算机病毒 生物病毒 计算机病毒 计算机病毒的分类 计算机病毒的防治 生物病毒 病毒是目前发现的最小微生物，其其突出的特点是： （1）个体极小。 （2）寄生性。病毒没有独立的代谢活动，在活体外不具有任何生命特征。 （3）没有细胞结构，化学组成与繁殖方式较简单。病毒没有细胞结构，大多数病毒是由蛋白质与核酸组成的大分子，而且只含单一类型核酸DNA或RNA。 生物病毒 埃博拉病毒:Ebola,无有效的治疗和疫苗，血液 艾滋病病毒:AIDS，CD4+T细胞 肺结核病毒 冠状病毒 :SARS 流感病毒 禽流感病毒：H5V? 天花病毒 腸道病毒：Enterovirus 计算机病毒 F.Cohen 博士： 计算机病毒是一段附着在其它程序上的、可以自我繁殖的程序代码。复制后生成的新病毒同样具有感染其它程序的功能。 计算机病毒 《中华人民共和国计算机信息系统安全保护条例》明确指出： “计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。 计算机病毒 冯.诺伊曼 ：数据和程序并无本质区别，如果不运行它或不理解它，则根本无法分辨出一个数据段和一个程序段。 “磁蕊大战”(core war) 爬行者程序(Creeper) ，收割者(Reaper) 侏儒(Dwarf) Imp Xerox蠕虫 ：网络维护和分布式计算，耗尽所有资源 计算机病毒 在生命周期中，病毒一般会经历如下四个阶段： 潜伏阶段 传染阶段 触发阶段 发作阶段 计算机病毒的特征 （1）传染性 （2）非授权性 （3）隐蔽性 （4）潜伏性 （5）破坏性 （6）不可预见性 （7）可触发性 计算机病毒的分类 按照计算机病毒攻击的操作系统分类 攻击DOS系统的病毒 攻击WINDOWS系统的病毒 攻击UNIX 系统的病毒 攻击OS/2系统的病毒 攻击Macintosh系统的病毒 其它操作系统上的病毒（如手机病毒等）） 计算机病毒的分类 按照计算病毒的攻击类型分类： 攻击微型计算机的病毒 攻击小型计算机的病毒 攻击工作站的病毒 攻击便携式电子设备的病毒 计算机病毒的分类 按照计算机病毒的链接方式分类 源码型病毒 嵌入型病毒 shell病毒 译码型病毒（宏病毒/脚本病毒） 操作系统型病毒 计算机病毒的分类 按照计算机病毒的破坏情况分类 良性病毒：是不包含有对计算机系统产生直接破坏作用的代码的计算机病毒。 恶性病毒：指在代码中包含有损伤和破坏计算机系统的操作。 计算机病毒的分类 按传播媒介来分类 单机病毒：单机病毒的载体是磁盘或光盘。常见的是通过从软盘传入硬盘，感染系统后，再传染其它软盘。软盘又感染其它系统。 网络病毒：网络为病毒提供了最好的传播途径，它的破坏力是前所未有的。网络病毒利用计算机网络的协议或命令以及Email等进行传播，常见的是通过QQ、BBS、Email、FTP、Web等传播。 计算机病毒的分类 按寄生方式和传染途径分类: 引导型病毒 文件型病毒 引导型兼文件型病毒 计算机病毒的基本防治 检测：一旦系统被感染，就立即断定病毒的存在并对其进行定位。 鉴别：对病毒进行检测后，辨别该病毒的类型。 消除：在确定病毒的类型后，从受染文件中删除所有的病毒并恢复程序的正常状态。消除被感染系统中的所有病毒，目的是阻止病毒的进一步传染。 计算机病毒的基本防治 第一代：简单的扫描:病毒的特征 第二代：启发式的扫描:启发性知识，完整性的检查 第三代：主动设置陷阱：行为监测 第四代：全面的预防措施：虚拟机 计算机病毒的三种机制 病毒程序是一种特殊程序，其最大特点是具有感染能力。病毒的感染动作受到触发机制的控制，病毒触发机制还控制了病毒的破坏动作。病毒程序一般由感染模块、触发模块、破坏模块、主控模块组成，相应为传染机制、触发机制和破坏机制三种。有的病毒不具备所有的模块，如巴基斯坦智囊病毒没有破坏模块。 计算机病毒的感染目标 计算机病毒的感染机制 引导型病毒的感染 寄生感染 插入感染和逆插入感染 链式感染 破坏性感染 滋生/伴侣感染 没有入口点的感染 OBJ、LIB和源码的感染 引导型病毒的感染 寄生感染 病毒将其代码放入宿主程序中，不论放入宿主程序的头