信息安全导论 教学课件 作者 印润远 第10章 病毒的防范.pptVIP

第10章　病毒的防范 10.1 病毒的发展史 10.2 病毒的原理与检测技术 10.3 病毒防范技术措施 10.4 病毒防范产品介绍 思考题 10.1　病毒的发展史 1. 计算机病毒发展简史 世界上第一例被证实的计算机病毒是在1983年，出现了计算机病毒传播的研究报告。同时有人提出了蠕虫病毒程序的设计思想；1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序。 1988年11月2日晚，美国康尔大学研究生罗特·莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。 2.计算机病毒在中国的发展情况 1982年“黑色星期五”病毒侵入我国；1985年在国内发现更为危险的“病毒生产机”，生存能力和破坏能力极强。这类病毒有1537、CLME等。 90年代，计算机病毒在国内的泛滥更为严重。 CIH病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。 3. 计算机病毒发展的10个阶段 （1）DOS引导阶段 （2）DOS可执行文件阶段 （3）混合型阶段 （4）伴随型阶段 （5）多形型阶段 （6）生成器，变体机阶段 （7）网络，蠕虫阶段 （8）Windows阶段 （9）宏病毒阶段 （10）Internet阶段 10.2 病毒的原理与检测技术 10.2.1 计算机病毒的定义 10.2.2 计算机病毒的特性 10.2.3 计算机病毒的命名 10.2.4 计算机病毒的分类 10.2.5 关于宏病毒 10.2.6 计算机病毒的传播途径 10.2.7 计算机病毒的检测方法 10.2.1 计算机病毒的定义 “计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。 国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。 《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 10.2.2 计算机病毒的特性 1. 主动传染性； 2. 破坏性； 3. 寄生性； 4. 隐蔽性； 5. 不可预见性 。 10.2.3 计算机病毒的命名 一般常见的计算机病毒命名方法有： （1）采用病毒体字节数，如1050病毒、4099病毒等。 （2）病毒体内或传染过程中的特征字符串，如CIH、爱虫病毒等。 （3）发作的现象，如小球病毒等。 （4）发作的时间以及相关的事件，如黑色星期五病毒等。 （5）病毒的发源地，如合肥2号等。 （6）特定的传染目标，如DIR II病毒等。 通常还会加上某些指明病毒属性的前后缀，如W32/xxx、mmm．W97M等。 10.2.4 计算机病毒的分类 通常所采用的是根据计算机病毒的感染途径以及所采用的技术来划分的，传统上对计算机病毒的分类包括引导型病毒（Boot Virus）、文件型病毒（File Virus）和混合型病毒（Mixed Virus）等三大类。 1. 特洛伊木马 (1) 特洛伊木马藏身在非可执行文件的代码中（例如，压缩文件和文档文件），为了不被众多的检测程序发现，有藏身在一个可执行文件中。 (2) 特洛伊木马是一个满怀敌意的破坏安全性的程序。它佯装为某种形式，例如，路径列表、备份、游戏或者查找并破坏病毒的程序。 (3) 著名的特洛伊木马之一是C.rackeriack共享软件的一个早期版本。 Crackeriack检测口令文件中相关口令的长度。当用户运行Crackeriack破解口令时，它列出破解的所有口令，并要用户删除该文件。这个软件的最初版本的功能不仅是破解口令，而且秘密地把口令文件的内容报告给企图把特洛伊木马插入该软件的人。 2. 多态病毒 多态病毒能够自身加密，加密的病毒经常隐藏它的特征，避开反病毒软件。 为了传播多态病毒（或其他加密病毒），病毒首先用一种专门的解密程序为加密端口解密。一个解密程序把一个加密文件转换成最初的状态。多态病毒的解密程序取得计算机控制权时病毒自身解密。解密后，解密程序把计算机控制权传给病毒，病毒因此而传播。 3. 行骗病毒 行骗病毒隐藏它对你的文件或引导扇区的修改。Stealth病毒通过监控操作系统从存储介质中读文件或扇区的系统函数，并消除它们调用系统函数产生的后果，从此达到隐藏修改的目的。这样当程序读这些被感染文件或扇区时，他们看到的是原始的、