[计算机软件及应用]第5讲 病毒、恶意程序及其防范.pptVIP

请先思考以下2个问题 恶意代码如何进入我们的计算机？ 上网的时候 未上网的时候 恶意代码以什么形式在我们的计算机中？ 关机之后 开机之后 恶意代码的概念 恶意代码，又称Malicious Code，或MalCode，MalWare。 其设计目的是用来实现某些恶意功能的代码或程序 恶意代码的分类 恶意代码的分类（续） 计算机病毒的特点 计算机病毒出现的原因 曾经出现的计算机病毒 CIH病毒 CIH病毒 “梅丽莎”介绍 爱虫病毒 爱虫病毒 求职信病毒 2003年以来的重大计算机病毒 病毒传播手段多元化 病毒的传播途径 病毒的存在形式 病毒的检测与清除 清除方式 清除方式 电脑蠕虫的背景 近来, 电子邮件(Klez, Nimda, Sober) 和网络 (Code Red, SQL.Slammer)蠕虫已经从流行规模上超过了电脑病毒 一些电子邮件和网络蠕虫成功地在短时间内传播 Code Red, Nimda (2001) SQL Slammer, Blaster, Sober (2003) 蠕虫造成的损失对照表 网络蠕虫具有以下特征 主动攻击 利用软件漏洞 造成网络拥塞 消耗系统资源 留下安全隐患 行踪隐蔽 反复性 破坏性 网络蠕虫工作机制 网络蠕虫的工作机制分为3个阶段：信息收集、攻击渗透、现场处理 信息收集 攻击渗透 现场处理 网络蠕虫扫描策略 网络蠕虫扫描越是能够尽快地发现被感染主机，那么网络蠕虫的传播速度就越快。 随机扫描 选择扫描 顺序扫描 基于目标列表的扫描 基于DNS扫描 网络蠕虫 扫描策略设计的原则有三点 尽量减少重复的扫描，使扫描发送的数据包尽量是没有被感染蠕虫的机器； 保证扫描覆盖到尽量大的可用地址段，包括尽量大的范围，扫描的地址段为互联网上的有效地址段； 处理好扫描的时间分布，使得扫描不要集中在某一时间内发生。 网络蠕虫传播模型 分为3个阶段 慢速发展阶段，漏洞被蠕虫设计者发现，并利用漏洞设计蠕虫发布于互联网，大部分用户还没有通过服务器下载补丁，网络蠕虫只是感染了少量的网络中的主机。 快速发展阶段，如果每个感染蠕虫的可以扫描并感染的主机数为W，n为感染的次数，那么感染主机数扩展速度为Wn，感染蠕虫的机器成指数幂急剧增长。 缓慢消失阶段，随着网络蠕虫的爆发和流行，人们通过分析蠕虫的传播机制，采取一定措施及时更新补丁包，并采取措删除本机存在的蠕虫，感染蠕虫数量开始缓慢减少。 网络蠕虫防御和清除 给系统漏洞打补丁 蠕虫病毒大多数都是利用系统漏洞进行传播的，因此在清除蠕虫病毒之前必须将蠕虫病毒利用的相关漏洞进行修补。 清除正在运行的蠕虫进程 每个进入内存的蠕虫一般会以进程的形式存在，只要清除了该进程，就可以使蠕虫失效。 删除蠕虫病毒的自启动项 感染蠕虫主机用户一般不可能启动蠕虫病毒，蠕虫病毒需要就自己启动。需要在这些自启动项中清除蠕虫病毒的设置。 删除蠕虫文件 可以通过蠕虫在注册表的键值可以知道病毒的躲藏位置，对于那些正在运行或被调用的文件无法直接删除，可以借助于相关工具删除。 利用自动防护工具，如个人防火墙软件 通过个人防火墙软件可以设置禁止不必要的服务。另外也可以设置监控自己主机有那些恶意的流量。 其他恶意程序 后门(Backdoor) 一种能让黑客未经授权进入和使用本系统的恶意程序 僵尸(Bot) 一种集后门与蠕虫一体的恶意程序. 通常使用IRC (Internet Relay Chat) 接受和执行黑客命令. * * * * * * 钓鱼程序（Phishing） 复制一个官方网站的主页，诱使用户输入个人的机密信息，如银行账号，密码等等。 钓鱼 垃圾邮件 出口 BotNet TO: greg@ FROM: hr@ HR signup now! /signup XYZ HR Dept. Sign up now! SSN: 实例1 实例2 Phishing的最新统计数据 数据来源 Symantec 2008年3月发布的互联网安全报告 Symantec Brightmail AntiSpam? 每周截获的phishing攻击从9百万次增长到3千3百万次 以文件为中心 拦截文件存储 通过特征发现病毒 弱点 被动反应，无法在病毒出现之前提供特征 无法有效对付非常住网络蠕虫 反病毒技术现状 启发式识别 静态启发式识别 利用特征来侦测已知恶意代码段 动态启发式识别 采用 CPU 模拟把静态可执行文件转化为动态行为 行为阻止 反溢出保护 截获及阻止恶意系统调用 第一代系统已经商业运行 过多的安全警告 反病毒技术发展方向 防御广告软件/间谍软件 禁止动态内容 ActiveX Java Script 使用X键来关闭弹出窗口 从信誉好的网站下载已被扫描过并确认无毒文件 使用反间谍程序 被动模式 –