网络安全讲义第5章课件.ppt

第5章 病毒分析与防御;5.1 计算机病毒概述;5.1.2 病毒的定义 计算机病毒指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。 特洛伊木马（Trojan horse）：木马通常“伪装”成另一程序，比如一个著名的游戏或工具，不知情的用户运行后便上了当。虽然木马程序通常表现出格式化硬盘、传染病毒或安装“后门”等恶性行为，可是它并不会复制自己。挂马 后门程序（backdoor）是一套远程控制工具，当后门程序成功侵入计算机系统后便悄悄打开某个端口，接着黑客便能通过Internet窃取系统的网络帐号、密码等重要资料或破坏数据。;5.1.3 病毒的产生原因及来源 1）恶作剧类型 良性 2）报复心里型 如1998年的CIH 3）版权保护型 如Pakistan 4）特殊目的型;5.1.4 计算机病毒的特征 1）传染性 2）可执行性 3）可触发性 4）破坏性 良性 恶性 5）非授权性 6）隐蔽性 传染的隐蔽和存在的隐蔽;补充：病毒的隐藏方法;二 使用线程注射技术的dll木马 进程：指一个可执行文件在运行期间请求系统在内存里开辟给它的数据信息块，系统通过控制这个数据块管理运行中的程序。或者说进程是可执行文件把自身从存储介质复制在内存中的映像。 线程：在一个进程里产生的多个执行进度实例。 线程注射：远程线程注射。通常情况下，各个进程的内存空间是不可以相互访问的，可保障程序运行的稳定性。但有些情况下，必须让进程之间可以相互访问和管理，“远程线程”即可以实现进程之间的跨内存空间访问。产生一个特殊线程，能够将一段执行代码连接到另一个进程所处的内存空间里，达到交换数据的目的，这个连接称为“注射”;线程注射离不开“hook技术”，即“钩子技术”。 钩子（hook）：是windows消息处理机制的一个平台，通过系统调用，把它挂入系统，每当特定的消息发出，钩子函数在目标窗口接受前，先得到控制权，捕捉该消息，并可加工改变、传递、删除该消息。 木马编写者首先将一个实际为木马主体的dll文件载入内存，然后通过“线程注射”技术将其诸如其他进程的内存空间，这个dll里的代码就成为其他进程的一部分来实现了自身的隐藏执行，通过调用hook机制，这个dll木马就实现了监视用户的输入输出操作。因为dll文件的大量存在，使该种木马更难被识别。;5.1.5 病毒的分类 1 按照病毒攻击的操作系统不同分类： 1）攻击DOS系统 2）攻击Windows系统 3）攻击UNIX系统 4）攻击OS/2系统 5）攻击NetWare系统;3 按照病毒的链接方式不同分类 1）源码型病毒：攻击高级语言编写的程序，编译时，和源程序合为一体。 2）嵌入型病毒：病毒程序与其攻击的对象以插入的方式链接。 3）外壳型病毒：病毒程序包围在合法程序的四周 4）操作系统型病毒：病毒代码加入到或取代部分操作系统。;5 按照传播媒介不同分类 单机病毒、网络病毒;优点：隐蔽性强,不容易发现；兼容性强, 通用于DOS WINDOWS 操作系统。缺点：传染速度慢，要带毒软盘启动才能传到硬盘；杀毒容易,只需改写引导区即可。 所以现在纯引导型病毒已很少了。;2）文件型病毒：感染可执行文件。寄生在宿主程序的前面或后面，并修改程序的第一个执行指令， 使病毒先于宿主程序执行，这样随着宿主程序的使用而传染扩散。 文件型病毒利用一些DOS功能进行传染，这些DOS功能能够检测出磁盘的未用空间，把病毒的传染部分写到磁盘的未用部位去。所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间。一些文件型病毒传染速度很快，在短时间内感染大量文件，每个文件都不同程度地加长了，就造成磁盘空间的严重浪费。 3）混合型病毒：感染引导区和可执行文件;7 按照病毒特有的算法不同分类 1）伴随型病毒：病毒产生 一个EXE文件的伴随体 2）蠕虫型病毒 3）寄生型病毒;5.2 病毒机制与组成结构;5.2.2 病毒的传染 1 传染方式和途径 方式有主动传染和被动传染。途径有。。。 2 传染过程 病毒引导模块将病毒传染模块引导并驻留内存，修改系统中数据向量的入口地址（int 13H或int 21H），使数据向量指向病毒程序传染模块。一旦系统执行磁盘读写操作或系统调用，病毒传染模块被激活。如传染条件满足，则利用int 13读写磁盘中断把病毒传染给被读写的磁盘或程序。然后再转移到原数据服务程序执行原有的操作。;3 系统型病毒传染机理 系统型病毒在开机引导时窃取int 13H的控制权，在计算机运行时随时监视软盘操作情况，有软盘读写时，把软盘引导区写到软盘的另一位置，把病毒写入软盘第一扇区。 4 文件型病毒传染机理 当被感染的COM、EXE文件执行时，病毒进入内存，如发现可感染目标，则利