[网络安全与病毒防范]第九章 计算机病毒概述课件.ppt

八、计算机病毒的命名规则 CARO命名规则，每一种病毒的命名包括五个部分： 病毒家族名 病毒组名 大变种 小变种 修改者 CARO规则的一些附加规则包括： 不用地点命名 不用公司或商标命名 如果已经有了名字就不再另起别名 变种病毒是原病毒的子类 精灵（Cunning）病毒是瀑布（Cascade）病毒的变种，它在发作时能奏乐，因此被命名为Cascade.1701.A。Cascade是家族名，1701是组名。因为Cascade病毒的变种的大小不一（1701, 1704, 1621等），所以用大小来表示组名。A 表示该病毒是某个组中的第一个变种。 业界补充： 反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。比如，WM表示MS Word宏病毒；Win32指32位Windows病毒；VBS指VB脚本病毒。这样，梅丽莎病毒的一个变种的命名就成了W97M.Melissa.AA，Happy 99蠕虫就被称为Win32.Happy99.Worm。 VGrep是反病毒厂商的一种尝试，这种方法将已知的病毒名称通过某种方法关联起来，其目的是不管什么样的扫描软件都能按照可被识别的名称链进行扫描。VGrep将病毒文件读入并用不同的扫描器进行扫描，扫描的结果和被识别出的信息放入数据库中。每一个扫描器的扫描结果与别的扫描结果相比较并将结果用作病毒名交叉引用表。VGrep的参与者赞同为每一种病毒起一个最通用的名字最为代表名字。拥有成千上万扫描器的大型企业集团要求杀毒软件供应商使用VGrep命名，这对于在世界范围内跟踪多个病毒的一致性很有帮助。 九、发展趋势和最新动向 DOS引导阶段 DOS可执行阶段 伴随、批次型阶段 幽灵、多形阶段 生成器、变体机阶段 网络、蠕虫阶段 视窗阶段 宏病毒阶段 互连网阶段 Java、脚本语言、邮件炸弹阶段 通讯设备、PDA设备阶段 最新动向 病毒与其他技术相融合 某些病毒及普通病毒、蠕虫、木马和黑客等技术于一身，具有混合型特征，破坏性极强； 传播途径多，扩散速度快 很多病毒与internet和intranet紧密结合，通过系统漏洞、局域网、网页、邮件等方式进行传播，扩散速度极快。目前此类病毒已有2000种之多； 欺骗性强 很多病毒利用人们的好奇心理，往往具有很强的诱惑性和欺骗性，使得它更容易传染，如“库尔尼科娃”病毒即是利用网坛美女库尔尼科娃的魅力； 大量消耗系统与网络资源 计算机感染了REDCODE等病毒后，病毒会不断遍历磁盘、分配内存，导致系统资源很快被消耗殆尽，最终使得计算机速度越来越慢或网络阻塞； 病毒出现频度高，病毒生成工具多 早期的计算机病毒都是编程高手制作的，编写病毒是为了显示自己的技术，但库尔尼科娃病毒的设计者只是修改了下载的VBS蠕虫孵化器变生成了该病毒。这种工具在网络上很容易就可以获得，因此新病毒的出现频度超出以往的任何时候。 20世纪末每年的病毒数目 十、计算机病毒防治 病毒防治的公理 1、不存在这样一种反病毒软硬件，能够防治未来产生的所有病毒。 2、不存在这样一种病毒程序，能够让未来的所有反病毒软硬件都无法检测。 3、目前的反病毒软件和硬件以及安全产品是都易耗品，必须经常进行更新、升级。 4、病毒产生在前，反病毒手段滞后的现状，将是一个长期的过程。 人类为防治病毒所做出的努力 立体防护 网络版 单机版 防病毒卡 对计算机病毒应持有的态度 1.客观承认计算机病毒的存在，但不要惧怕病毒。 3.树立计算机病毒意识，积极采取预防（备份等）措施。 4.掌握必要的计算机病毒知识和病毒防治技术，对用户至关重要。 5.发现病毒，冷静处理。 目前广泛应用的几种防治技术： 特征码扫描法 特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。该技术实现简单有效，安全彻底；但查杀病毒滞后，并且庞大的特征码库会造成查毒速度下降； 虚拟执行技术 该技术通过虚拟执行方法查杀病毒，可以对付加密、变形、异型及病毒生产机生产的病毒，具有如下特点： 在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器” 在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件 在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则杀毒后将其还原到原文件中，从而实现对各类可执行文件内病毒的查杀 文件实时监控技术 通过利用操作系统底层接口技术，对系统中的所有类型文件