计算机安全-21 病毒.ppt

计算机安全技术 计算机病毒的发展史 自第一个真正意义上的计算机病毒于1983年走出实验室以来，人们对它的认识经历了“不以为然→谈毒色变→口诛笔伐，人人喊打→理性对待，泰然处之”四个阶段 。 　计算机病毒防治 主要内容 第一节　计算机病毒概述第二节　计算机病毒分析第三节　计算机病毒的防范、检测、清除第四节　计算机病毒破坏后的恢复 计算机病毒产生的历史 1977年，Thomas j Ryan在科幻小说《P-1的青春》中幻想一种计算机病毒可以从一台计算机传染到另一台计算机，最终控制了7000台计算机。 1983年美国计算机安全专家Fred Cohen博士在VAX-11上通过实验证明了计算机病毒的存在。 1986年，巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了“巴基斯坦”病毒，成了世界上公认的第一个传染PC兼容机的病毒，并且很快在全球流行。 1987年10月，美国发现世界上第一例计算机病毒(Brain) 1988年。小球病毒传入我国，在几个月之内迅速传染了20 多个省、市，成为我国第一个病毒案例。 此后，如同打开的潘多拉的盒子，各种计算机病毒层出不穷。 计算机病毒的发展阶段——萌芽阶段 1 萌芽阶段 这一阶段从1986年到1989年，这期间出现的病毒可以称为传统的病毒，是计算机病毒的萌芽时期。 由于当时应用软件少，而且大多是单机运行环境，因此病毒没有大量流行，病毒种类也比较有限，病毒清除相对比较容易。 特点 病毒攻击的目标单一，只传染引导扇区或可执行文件； 病毒程序主要采取截取系统中断向量的方式监控系统的运行状态，并在一定的触发条件下进行传播； 病毒传染目标以后特征比较明显，容易被人发现； 病毒不具有自我保护措施，容易让你分析其原理。 计算机病毒的发展阶段——综合发展阶段 2 综合发展阶段 这个阶段从1989年到1992年，这个阶段是计算机病毒由简单到复杂，由原始走向成熟的阶段。 特点： 病毒攻击的目标趋于混合型 病毒程序不采用明显的截获中断向量的方法监视系统，而采用更为隐蔽的方法驻留内存 病毒感染目标后，没有明显的特征 病毒开始采用自我保护措施，如加密技术，反跟踪技术，制造障碍等，增加了对病毒分析的难度 病毒开始出现变种，隐蔽性更强，破坏更大 计算机病毒的发展阶段——成熟发展阶段 3 成熟发展阶段 这个阶段从1992到1995年，病毒开始具有多态性质。病毒每次传染目标时，嵌入宿主程序中的病毒程序大部分可变种，正视由于这个特点，传统的特征码检测病毒法开始了新的探索研究。 在这个阶段，病毒的发展主要集中在病毒技术的提高上，病毒开始向多维化方向发展，对反病毒厂商也提出了新的课题。 计算机病毒的发展阶段——网络病毒阶段 4 网络病毒阶段 1995年到2000年，随着网络的普及，大量的病毒开始利用网络传播，蠕虫开始大规模的传播。由于网络的便利和信息的共享，很快又出现了通过E-mail传播的病毒。由于宏病毒编写简单、破坏性强、清除复杂，加上微软未对WORD文档结构公开，给清除宏病毒带来了不便。 这一阶段的病毒，主要是利用网络来进行传播和破坏，同时为更多的病毒爱好者提供了更大的学习空间和舞台。 计算机病毒的发展阶段——迅速壮大的阶段 5.迅速壮大的阶段 2000年以后，计算机病毒的发展可谓真正到了一个成熟繁荣的阶段，计算机病毒的更新和传播手段更加多样性，网络病毒的目的性也更强。出现了木马，恶意软件等为了特定目的而存在的程序。 这个阶段的病毒的主要特点，技术综合利用，病毒变种速度大大加快，有些病毒程序一天甚至出现多次更新和变种。恶意软件和病毒程序直接把矛头对向了杀毒软件，国内更出现了“AV终结者”、熊猫烧香等关闭杀毒软件，屏蔽病毒字样的目的性很强，并在被感染的计算机后台大量下载其他病毒木马的恶意程序和病毒。计算机病毒技术和反病毒技术的竞争进一步激化，反病毒技术也面临着新的洗牌。 计算机病毒的定义 狭义定义 计算机病毒是一种靠修改其它程序来插入或进行自身拷贝，从而感染其它程序的一种程序。 —— Fred Cohen博士对计算机病毒的定义。 广义定义 能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码。 我国定义 我国《中华人民共和国计算机信息系统安全保护条例》第二十八条：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 计算机病毒的特征 基本特征 传染性 自我复制，通过多种渠道传播 潜伏性 感染后不一定立刻发作； 依附于其他文件、程序、介质，不被发现 可触发性 触发条件：日期、时间、文件类型 破坏性 破坏数据的完整性和可用性 破坏数据的保密性 系统和资源的可用性。 计算机病毒的特征 其它特征 非