第八章 病毒防御和分析幻灯片.pptVIP

介绍 加密技术与信息安全工程师认证培训 中华人民共和国劳动与社会保障部职业资格认证 国家信息安全培训认证管理中心 主任 劳动与社会保障部国家督导、高级考评员 信息产业部 信息化与电子政务专家 盛鸿宇 副研究员 e_gov@ 计算机病毒概述 计算机病毒是指那些具有自我复制能力的计算机程序，它能影响计算机软件、硬件的正常运行，破坏数据的正确与完整 计算机病毒定义（一） 计算机病毒是一个程序，一段可执行码 计算机病毒有独特的复制能力 计算机病毒可以很快地蔓延，又常常难以根除 它们能把自身附着在各种类型的文件上 当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来 计算机病毒定义（二） 计算机病毒简史（一） 计算机病毒简史（二） 2003年度计算机病毒回顾 2003年度病毒排行榜 2003年度计算机病毒回顾 2003年度上榜计算机病毒特点 绝大部分都是利用网络传播的蠕虫病毒 年度排行榜中的病毒绝大部分都是每月排行榜的“常客” 前十名病毒感染计算机数量占全部病毒感染的数量的50%以上 利用漏洞发动攻击的蠕虫都能进入排行榜 2003年度计算机病毒回顾 蠕虫病毒的特点 蠕虫病毒中绝大部分都是利用电子邮件进行传播 利用电子邮件传播的蠕虫病毒影响范围特别广泛 利用系统漏洞传播的病毒传播速度非常快、造成破坏十分严重 2003年度计算机病毒回顾 电子邮件蠕虫病毒的特点 充分利用“社会工程学”方法 不依赖邮件服务器 变种繁多 2003年度计算机病毒回顾 利用系统漏洞的蠕虫病毒出现得越来越快 计算机病毒的发展阶段 DOS引导阶段 DOS可执行阶段 伴随、批次型阶段 幽灵、多形阶段 生成器、变体机阶段 网络、蠕虫阶段 视窗阶段 宏病毒阶段 互连网阶段 Java、邮件炸弹阶段 里程碑事件 在70年代美国作家雷恩出版的《P1的青春》一书中构思了一种能够自我复制，利用通信进行传播的计算机程序，并称之为计算机病毒。 1983年，美国学生Fred Cohen因研究计划需要创造出第一只计算机病毒。 1986年，巴基斯坦的一对兄弟Amjad和Basit Farooq Alvi撰写了第一个IBM个人计算机的病毒Brain。 1988年，美国CORNELL大学研究生莫里斯创造了第一只蠕虫，导致当时Internet主要节点关闭。 1998年，台湾陈盈豪创造了世界上第一只能够破坏硬件的病毒CIH 1999年，David L. Smith创造了第一只通过电子邮件传播的病毒Melissa 2000年，爱虫病毒和库娃成为世界上首先利用“社会工程”方法的蠕虫 2001年，利用微软漏洞的红色代码迅速席卷全世界，利用系统漏洞的蠕虫病毒开始大量通过Internet传播。 病毒的产生背景 计算机病毒是计算机犯罪的一种新的衍化形式 计算机软硬件产品的危弱性是根本的技术原因 微机的普及应用是计算机病毒产生的必要环境 病毒机制与组成结构 载荷机制 载荷机制定义为除了自我复制以外的所有动作 感染机制 病毒结构中首要的而且唯一必需的部分是感染机制 他是一种能让病毒繁殖的代码，也是病毒之所以成为病毒的原因 触发机制 病毒的第二个主要构成部分是有效载荷触发事件，这种病毒在找寻到一定数量的感染体、某一个时间或日期、某一段文本后触发，或者他可能仅仅在第一次被用时就触发了 传染 病毒触发事件 日期触发 时间触发 键盘触发 感染触发 启动触发 访问磁盘次数触发 调用中断功能触发 CPU型号/主板型号触发 病毒机制与组成结构 病毒的危害 影响系统效率 删除、破坏数据 干扰正常操作 组塞网络 进行反动宣传 占用系统资源 计算机病毒分类 按破坏性分类 良性病毒、恶性病毒、极恶性病毒、灾难性病毒 按传染方式分类 文件型病毒、引导扇区病毒、混合型病毒 按连接方式分类 源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒 按特有算法分类 伴随型病毒、蠕虫型病毒、练习型病毒、诡秘型病毒、变形病毒 引导型病毒 感染对象和传播途径 引导型病毒感染启动扇区（Boot）和硬盘的系统引导扇区（MBR），并利用磁盘进行传播。 使用的主要技术 由于引导型病毒是在安装操作系统之前进入内存，寄生对象又相对固定，所以该类型病毒基本上不得不采用减少操作系统所掌管的内存容量(0:413H单元)方法来驻留内存高端，为了使病毒能传染给软盘，普遍修改 INT 13H 的中断向量，而新 INT 13H 中断向量段址必定指向内存高端。 引导型病毒 破坏行为 占用系统资源 导致系统不稳定 破坏磁盘数据 预防与保护的方法 不使用不可信的磁盘启动 使用防病毒软件 利用fdisk /mbr修复磁盘引导区（危险！） 著名的此类病毒 小球病毒 大麻病毒 文件型病毒 感