NCSE-信息安全一级幻灯- 6.ppt

计算机病毒概述 第1节 计算机病毒概述 第2节 病毒机制与组成结构 第3节 病毒编制的关键技术 第4节 病毒实例剖析 第5节 病毒攻击的防范与清除 第6节 病毒发展趋势 计算机病毒概述 计算机病毒是指那些具有自我复制能力的计算机程序，它能影响计算机软件、硬件的正常运行，破坏数据的正确与完整 计算机病毒定义（一） 计算机病毒是一个程序，一段可执行码 计算机病毒有独特的复制能力 计算机病毒可以很快地蔓延，又常常难以根除 它们能把自身附着在各种类型的文件上 当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来 计算机病毒定义（二） 某些计算机病毒还有其它一些共同特性 计算机病毒定义（三） 计算机病毒简史（一） 计算机病毒简史（二） 计算机病毒简史（三） 病毒的产生背景 计算机病毒是计算机犯罪的一种新的衍化形式 计算机软硬件产品的危弱性是根本的技术原因 微机的普及应用是计算机病毒产生的必要环境 病毒机制与组成结构 （一） 感染 感染机制可定义为病毒传播的途径或方式 载荷 载荷机制定义为除了自我复制以外的所有动作 触发 触发机制定义伪决定是否在此时传送载荷的例程 病毒机制与组成结构 （二） 感染机制 触发机制 有效载荷 病毒机制与组成结构（三） 感染机制 病毒结构中首要的而且唯一必需的部分是感染机制 他是一种能让病毒繁殖的代码，也是病毒之所以成为病毒的原因 触发机制 病毒的第二个主要构成部分是有效载荷触发事件，这种病毒在找寻到一定数量的感染体、某一个时间或日期、某一段文本后触发，或者他可能仅仅在第一次被用时就触发了 病毒机制与组成结构（四） 计算机病毒的引导机制 计算机病毒的传染机制 计算机病毒的破坏机制 计算机病毒的触发机制 计算机病毒的引导机制 传染 病毒机制与组成结构 （五） 病毒机制与组成结构(一) 日期触发 时间触发 键盘触发 感染触发 启动触发 访问磁盘次数触发 调用中断功能触发 CPU型号/主板型号触发 病毒机制与组成结构（二） 蠕虫（WORM）病毒是通过分布式网络来扩散特定的信息或错误的，进而造成网络服务器遭到拒绝并发生死锁 病毒机制与组成结构（三） 病毒机制与组成结构 （四） 病毒编制的关键技术 （一） 病毒编制的关键技术 （二） 病毒实例剖析 （一） 蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中）,对网络造成拒绝服务，以及和黑客技术相结合等等 病毒实例剖析（二） 蠕虫病毒（一） 蠕虫病毒与一般病毒的异同 蠕虫病毒（二） 蠕虫的破坏和发展趋势 蠕虫病毒（三） 蠕虫发作的一些特点和发展趋势 利用操作系统和应用程序的漏洞主动进行攻击 此类病毒主要是“红色代码”和“尼姆达”,以及至今依然肆虐的”求职信”等 传播方式多样 如“尼姆达”病毒和”求职信”病毒，可利用的传播途径包括文件、电子邮件、Web服务器、网络共享等等 病毒制作技术新 与传统的病毒不同的是，许多新病毒是利用当前最新的编程语言与编程技术实现的，易于修改以产生新的变种，从而逃避反病毒软件的搜索 与黑客技术相结合 潜在的威胁和损失更大 以红色代码为例,感染后的机器的web目录的\scripts下将生成一个root.exe,可以远程执行任何命令,从而使黑客能够再次进入 蠕虫病毒（四） 蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞 软件上的缺陷 如远程溢出，微软ie和outlook的自动执行漏洞等等，需要软件厂商和用户共同配合，不断的升级软件 人为的缺陷 主要是指的是计算机用户的疏忽 sql蠕虫 sql蠕虫 攻击的是微软数据库系Microsoft SQL Server 2000的 利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞 此蠕虫病毒本身除了对网络产生拒绝服务攻击外,并没有别的破坏措施 但如果病毒编写者在编写病毒的时候加入破坏代码,后果将不堪设想 红色代码(Code red)病毒 红色代码(Code red)病毒 该蠕虫感染运行Microsoft Index Server 2.0的系统，或是在Windows 2000、IIS中启用了Indexing Service(索引服务)的系统 该蠕虫利用了一个缓冲区溢出漏洞进行传播（未加限制的Index Server ISAPI Extension缓冲区使WEB服务器变的不安全） 蠕虫只存在于内存中，并不向硬盘中拷文件 求职信病毒 “求职信”病毒/蠕虫 该程序具有罕见的双程序结构 分为蠕虫部分（网络传播）和病毒部分（感染文件，破坏文件） 两者在代码上是独立的两部分，可能也是分开编写的 两者的结合方式非常有趣，作者先是写好蠕虫