8章恶意软件.pptVIP

第八章 恶意软件防范;四道防线;一、 基本概念;分类;1 病毒的概念;1994年2月18日，我国正式颁布实施《中华人民共和国计算机信息系统安全保护条例》的第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 此定义具有法律性、权威性。;2 蠕虫;3 僵尸;4 木马;木马的种类;拒绝服务攻击p8;薯疹止灌箩畏敖陇钥慈仁缨藩产酶抹懦勾逛埃娄思注震惩虐奥频择神芳反8章恶意软件8章恶意软件;5 逻辑炸弹;6 陷门;1 病毒的根本原理 计算机系统的冯·诺伊曼体系结构决定了计算机软件的特征，也从根本上决定了计算机病毒的存在。;软件是： 工具； 资源； 知识产品； 社会进步的标志； 具有威慑力的武器； 信息阐述和交流的工具; 特定装置转换成逻辑装置的手段；;2 病毒的发展史;（2）第一个真正的计算机病毒 1987年，第一个计算机病毒C-BRAIN诞生了。 （3）DOS时代的著名病毒： （4）基于Windows环境的病毒：宏病毒 （5）Internet时代，网络病毒的崛起 经由网络广泛传播是第二代病毒的特征 ;3 病毒的特点;这是病毒的基本特征。病毒一旦侵入系统，它会搜寻其他符合其传染条件的程序或存储介质，确定目标后再将自身代码插入其中，达到自我繁殖的目的。;破坏性;病毒一般是具有很高编程技巧、短小精悍的程序。 通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。 目的是不让用户发现它的存在。 系统被感染病毒后一般情况下用户是感觉不到它的存在的，只有在其发作，出现不正常反映时用户才知道。;潜伏性;不可预见性;一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务。其目的对用户是可见的、透明的。 病毒具有正常程序的一切特性，它隐藏再正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户时未知的，是未经用户允许的。;4 病毒结构分析;引导部分 作用是将病毒主体加载到内存，为传染部分做准备（如驻留内存，修改中断，修改高端内存，保存原中断向量等操作）。 传染部分 作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式，传染条件上各有不同。 ;表现部分 表现部分是病毒间差异最大的部分，前两个部分也是为这部分服务的。大部分的病毒都是有一定条件才会触发其表现部分的。如：以时钟、计数器作为触发条件的或用键盘输入特定字符来触发的。 这一部分也是最为灵活的部分，这部分根据编制者的不同目的而千差万别，或者根本没有这部分。; ;病毒后果; ; ;5 病毒分类;;;;宏病毒的分类 宏病毒根据传染的宿主的不同可以分为：传染Word的宏病毒、传染Excel的宏病毒和传染AmiPro的宏病毒。由于目前国内Word系统应用较多，所以大家谈论的宏病毒一般是指Word宏病毒。 ;Word宏病毒的特点 （1）以数据文件方式传播，隐蔽性好，传播速度快，难于杀除 （2）制作宏病毒以及在原型病毒上变种非常方便 （3）破坏可能性极大 ;Word宏病毒的表现 Word宏病毒在发作时，会使Word运行出现怪现象，如自动建文件、开窗口、内存总是不够、关闭WORD不对已修改文件提出未存盘警告、存盘文件丢失等，有的使打印机无法正常打印。Word宏病毒在传染时，会使原有文件属性和类型发生改变，或Word自动对磁盘进行操作等。当内存中有Word宏病毒时，原Word文档无法另存为其他格式的文件，只能以模板形式进行存储。 ;（1）对于已染病毒的NORMAL.DOT文件，首先应将NORMAL.DOT中的自动宏清除，然后将NORMAL.DOT置成只读方式。 （2）对于其它已感染病毒的文件均应将自动宏清除，这样就可以达到清除病毒的目的。 （3）平时使用时要加强防范。定期检查活动宏表，对来历不明的宏最好予以删除；如果发现后缀为.DOC的文件变成模板（.DOT）时，则可怀疑其已染宏病毒，其主要表现是在Save As文档时，选择文件类型的框变为灰色。;（4）在启动Word、创建文档、打开文档、关闭文档以及退出Word时，按住SHIFT键可以阻止自动宏的运行。例如，当用含有AutoNew宏的模板新建一文档时，在“新建”对话框中单击“确定”按钮时按住SHIFT键，就可以阻止AutoNew宏的执行。 （5）存储一个文档时，务必明确指定该文档的扩展名。宏病毒总是试图把模板文件的扩展名加到你指定的文件名后面，无论扩展名是否已经存在。例如，你指定文件名如下TEST.DOC，最终这个文件名会变为TEST.DOC.DOT，显然这个文件名在DOS下不可接受的。由此就可以察觉到宏病毒的存在。 ;;;6