信息安全原理与技术ch11-恶意代码.pptVIP

Ch9-防火墙 信息安全原理与技术 第2版 郭亚军 宋建华 李莉 董慧慧 清华大学出版社 第11章 恶意代码 主要知识点： -- 计算机病毒 -- 蠕虫病毒 -- 特洛伊木马 -- 恶意代码的防治对策 恶意代码 恶意代码（Malicious code）是一种计算机程序，它通过把代码在不被察觉的情况下嵌入到另一段程序中，从而达到运行具有入侵性或破坏性的程序，或破坏被感染电脑数据的安全性和完整性的目的。 按传播方式，恶意代码大致分成计算机病毒、蠕虫、特洛伊木马、移动代码和复合型病毒等。 11.1 计算机病毒 计算机病毒的起源与发展 计算机病毒的特征 计算机病毒的分类 计算机病毒的结构和原理 计算机病毒是指在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。 计算机病毒能通过某种途径潜伏在计算机的存储介质（或程序）里，当达到某种条件时即被激活，通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染其他程序，对计算机资源进行破坏。 11.1.1 计算机病毒的起源与发展 计算机之父冯诺伊曼在1949年提出了计算机病毒的基本概念：“一部事实上足够复杂的机器能够复制自身”。 1983年l1月3日美国计算机专家弗莱德·科恩（Fred Cohen）演示了第一例被证实的计算机病毒。 1986年初，Basit和Amjad为了打击盗版软件的使用者编写了Pakistan病毒，即BRAIN。在一年内流传到世界各地。 1988年3月2日，一种苹果机的病毒发作，这天感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”以庆祝苹果机生日。 1988年底，我国国家统计系统发现小球病毒。随后全国一些科研部门和国家机关也相继发现病毒入侵。自从“中国炸弹”病毒出现后，已发现越来越多的国产病毒。 在病毒的发展史上，病毒的出现是有规律的，一般情况下一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。 11.1.2 计算机病毒的特征 根据分析计算机病毒的产生、传播和破坏行为，主要特征如下。 传染性 潜伏性 隐蔽性 多态性 破坏性 11.1.3计算机病毒的分类 感染文件型病毒 感染引导区型病毒 宏病毒 恶作剧电子邮件 变形病毒 1. 感染文件型病毒 感染文件型病毒会把自己加载到可执行文件中（如Windows系统中的exe文件和.dll文件等）。 当病毒感染了一个程序后，它在被执行时就自我复制去感染系统中的其他程序和破坏操作。 目前，jerusalem和cascade是这类病毒中比较著名的。 2. 感染引导区型病毒 感染引导区型病毒可以感染软盘、硬盘或可移动存储设备的主引导区。 当带病毒的磁盘上的内容在系统启动时被读取，病毒代码就会被执行，在用户对软盘或硬盘进行读写动作时进行感染活动。 感染引导区病毒隐蔽性非常强，可以对电脑造成极大破坏。Ichelangelo和Stoned是这种病毒中比较典型的。 3. 宏病毒 宏病毒是把自己加载到WOED、EXCEL、ACCESS等办公自动化程序中，利用宏语言编写的应用程序来运行和繁殖。 由于用户经常把带有宏程序的文件共享，所以宏病毒的传播速度是非常快的。 宏病毒利用宏命令的强大系统调用功能，实现某些涉及系统底层操作的破坏。Marker和Melissa是这种病毒的典型例子。 4. 恶作剧电子邮件 这种病毒是一种假冒的病毒警告。它的内容一般是恐吓用户，表示将要对用户计算机造成极大的破坏；或是欺骗用户计算机即将被病毒感染，警告他们立即采取紧急措施。 通常恶作剧电子邮件的传播是通过一些无辜的用户，他们希望发送这个信息提醒其他人防范病毒的侵袭。 恶作剧邮件并不会造成什么危害，但是有的恶作剧邮件会指使用户修改系统设置或是删除某些文件，这将会影响系统的安全性。这种病毒传播比较广泛的有Good Times和Bud Frogs。 5. 变形病毒 为了避免被防毒软件模拟而被侦查，有些病毒在每一次传染到目标后，病毒自身代码和结构在空间上、时间上具有不同的变化，利用此种技术的病毒被称为可变形的。 要达到可变形，一个变形引擎是必需的。一个变形病毒通常非常庞大且复杂。举例来说，Simile病毒包含 14000 行汇编语言，其中 90% 都是变形引擎。 11.1.4 计算机病毒的结构和原理 计算机病毒一般被放在可执行文件的开始、结尾，或以其他方式嵌入，关键是要保证当调用受感染文件时，首先被执行的是病毒程序，然后才是原来的程序。 计算机病毒一般由三个模块构成：引导模块、感染模块和破坏模块 。 （1）引导模块 引导模块是计算机病毒的控制中心。 它的主要作用是当程序开始工作时将病毒