信息安全概论第21讲.pptVIP

信息安全概论 7.4 计算机病毒防护 恶意软件是按计算机攻击者的意图执行以达到恶意目标的指令集。 根据执行、传播和危害可以把恶意软件分为： 计算机病毒 蠕虫 恶意移动代码 特洛伊木马 后门 在非专业化的一些媒体上，经常以计算机病毒来概括各类的恶意软件。其实计算机病毒仅是恶意软件的一种。 7.4.1 恶意软件简介 恶意软件（Malware）：指的是使计算机按照攻击者的意图执行以达到恶意目标的指令集。 一组指令集强调不一定是二进制执行文件。恶意软件的实现方式可以多种多样，如二进制执行文件、脚本语言代码、宏代码、或是寄生在其他代码中的一段指令流。 典型的攻击目标： 技术炫耀（或恶作剧）。 远程控制被攻击主机，使之能为攻击者的傀儡主机，满足其实施跳板攻击或进一步传播恶意软件的需要。 窃密（用户帐号/密码，信用卡信息、商业机密、政治军事机密等）。 盗用资源（计算、存储、带宽等）。 拒绝服务（如破坏文件/硬盘/BIOS等）。 恶意软件分类表 恶意软件类型 定义特性 著名实例 计算机病毒 通过感染文件（包括二进制及数据文件）进行传播，需要宿主程序被执行才能运行 CIH 蠕虫 单独的软件，不需要宿主软件，通过攻击网络漏洞等方式主动传播，通常不需要人为干预 Morris Worm、Code Red I/II、Slammer 恶意移动代码 从远程主机下载到本地执行的轻量级恶意代码，不需要或仅需要极少的人为干预 Cross Site Scripting 后门 绕过正常的安全控制机制，从而为攻击者提供访问的途径 Netcat、BO（Back Orifice）、冰河、LRK（Linux Root Kit） 特洛伊木马 伪装成一个有用的软件，隐藏其恶意目标，从而欺骗用户安装 Setiri 融合型恶意软件 融合上述的各种恶意软件技术 Lion, Nimda 恶意软件发展历程图 恶意软件发展的趋势 恶意软件的复杂度和破坏力上的不断增强； 恶意软件的发布和技术的创新越来越频繁； 关注重点从计算机病毒转移到蠕虫，感染可执行程序转向攻击互联网和内核。 7.4.2 计算机病毒概述 计算机病毒基本概念 计算机病毒：计算机病毒是一个能感染其他程序的程序，它靠篡改其他程序，并把自身的拷贝或可能演化的形式放入其他程序中，而实现病毒的感染。 计算机病毒的基本特性： 寄生感染性 潜伏性 可触发性 破坏性 衍生性 2. 计算机病毒的分类 2000年12月亚洲计算机反病毒大会的报告中说，之前的病毒数量超过55000种。 1997年2月出现的首例攻击Linux系统的病毒－Bliss病毒打破了Unix系统环境下的平静。2001年又相继出现了攻击Linux系统的Adore病毒和具有Unix系统、Windows系统双重感染能力的Win32.Winux病毒。 分类 传播媒介分类 单机病毒 网络病毒 按照攻击操作系统平台分类 攻击DOS系统的病毒； 攻击Windows系统的病毒； 攻击Unix系统的病毒等。 寄生方式分类 操作系统型病毒 外壳型病毒 嵌入型病毒 源码型病毒 感染方式 引导型病毒 文件病毒 混合病毒 3. 计算机病毒发展趋势 隐蔽性 多态性 变形性 抗分析 使反病毒软件失效 多样化传播 诱惑欺骗性 传播方式多样化 更新的感染目标－手机病毒 与其他恶意软件的融合 7.4.3 计算机病毒机理分析 计算机病毒结构的基本模式 计算机病毒程序工作的流程图 1. 感染及引导机制 病毒要将自身嵌入到一个宿主程序上运行。计算机病毒如何从宿主程序上被引导（运行）和感染是紧密相关的。计算机病毒潜在的感染目标可分为可执行文件、引导扇区和支持宏指令的数据文件三大类。 感染可执行文件 可执行文件作为宿主程序，当其被用户运行时，依附在上面的病毒就可以被激活取得控制权。当宿主程序被执行时，操作系统首先会运行病毒代码，大多数情况下，病毒在判断其触发条件是否满足后会将控制权转交给宿主程序，所以用户很难感觉到病毒的存在。 前缀感染机制 图 7.10 前缀感染机制示意图 后缀感染机制 图 7.11 后缀感染机制示意图 插入感染机制 图 7.12 插入感染机制示意图 计算机启动时，首先是通过BIOS定位到磁盘的主引导区，运行储存在那的主引导记录，主引导记录接着从分区表中找到第一个活动分区，然后读取并执行这个活动分区的分区引导记录，而分区引导记录负责装载操作系统。 感染引导区上的引导记录，病毒就可先于操作系统便截取系统控制权。 感染引导扇区 图 7.13 引导型病毒感染计算机启动过程中的主引导记录和分区引导记录