Security10計算機病毒與反病毒-智能信息安全.ppt

智能信息安全 Intelligent Information Security,孫松林 北京郵電大學 Email: ,計算機病毒與反病毒,計算機病毒概述 計算機病毒的表現(xiàn)現(xiàn)象 計算機病毒制作技術(shù) 計算機病毒的技術(shù)防范 計算機病毒檢測方法 計算機病毒免疫,計算機病毒定義,計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。 從廣義上定義，凡能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。,1949年，馮.諾依曼復雜自動機組織論，提出了計算機程序能夠在內(nèi)存中自我復制，即已把病毒程序的藍圖勾勒出來。 1987年10月，在美國發(fā)現(xiàn)世界上第一例計算機病毒（Brian）,羅伯特-莫里斯(Robert Morris),在康奈爾大學編制蠕蟲病毒，1988年在MIT的第一次工作過程中戲劇性地散播出了網(wǎng)絡(luò)蠕蟲病毒后，“Hacker”一詞開始在英語中被賦予了特定的含義。 在此次的事故中成千上萬的電腦受到了影響，并導致了部分電腦崩潰。,計算機病毒概述,計算機病毒的特點 傳染性 隱蔽性 潛伏性 破壞性 不可預(yù)見性,計算機病毒概述,計算機病毒的傳播途徑 不可移動的計算機硬件設(shè)備：即利用專用集成電路芯片(ASIC)進行傳播 移動存儲設(shè)備：包括軟盤、CD-ROM、ZIP和JAZ盤等。其中軟盤是使用廣泛、移動頻繁的存儲介質(zhì)，因此也成為了計算機病毒寄生的“溫床”。盜版光盤上的軟件和游戲及非法拷貝也是目前傳播計算機病毒的主要途徑。由于移動盤使用方便，很多計算機用戶都選擇使用它來進行數(shù)據(jù)文件的存儲和拷貝，無形中使得盤成為這些病毒和惡意木馬程序傳播的載體，給計算機用戶的數(shù)據(jù)安全和系統(tǒng)的正常使用帶來很大危害。硬盤是現(xiàn)在數(shù)據(jù)的主要存儲介質(zhì)，因此也是計算機病毒感染的重災(zāi)區(qū)。,計算機病毒概述,網(wǎng)絡(luò)：隨著Internet的風靡，給病毒的傳播又增加了新的途徑，并成為第一傳播途徑。Internet開拓性的發(fā)展使病毒可能成為災(zāi)難，病毒的傳播更迅速，反病毒的任務(wù)更加艱巨。Internet帶來的一種威脅來自文件下載，另一種威脅來自電子郵件。網(wǎng)絡(luò)使用的簡易性和開放性使得這種威脅越來越嚴重。 點對點通信系統(tǒng)和無線通道：目前，這種傳播途徑隨著手機功能性的開放和增值服務(wù)的拓展，已經(jīng)成為有必要加以防范的一種病毒傳播途徑。隨著智能手機的普及，通過彩信、上網(wǎng)瀏覽與下載到手機中的程序越來越多，不可避免的會對手機安全產(chǎn)生隱患，手機病毒會成為新一輪電腦病毒危害的“源頭”。,計算機病毒概述,計算機病毒的生命周期 創(chuàng)造期 孕育期 潛伏期 發(fā)病期 根除期,計算機病毒概述,計算機病毒的分類 按照計算機病毒攻擊的系統(tǒng)分類 1）攻擊DOS系統(tǒng)的病毒 2）攻擊Windows 系統(tǒng)的病毒 3）攻擊UNIX系統(tǒng)的病毒 4）攻擊OS/2系統(tǒng)的病毒,計算機病毒概述,按照病毒攻擊的機型分類 1）攻擊微型計算機的病毒 2）攻擊小型機的計算機病毒 3）攻擊工作站的計算機病毒 按照計算機病毒的鏈接方式分類 1）源碼型病毒 2）嵌入型病毒 3）外殼型病毒 4）操作系統(tǒng)型病毒,計算機病毒概述,按照計算機病毒的破壞情況分類 1）良性計算機病毒 2）惡性計算機病毒 按照計算機病毒的寄生部位或傳染對象分類 1）磁盤引導區(qū)傳染的計算機病毒 2）操作系統(tǒng)傳染的計算機病毒 3）可執(zhí)行程序傳染的計算機病毒,計算機病毒概述,按照計算機病毒激活的時間分類 1）定時病毒 2）隨機病毒 按照傳播媒介分類 1）單機病毒 2）網(wǎng)絡(luò)病毒 按照寄生方式和傳染途徑分類 1）引導型病毒 2）文件型病毒 3）混合型病毒,計算機病毒概述,計算機病毒的結(jié)構(gòu) 計算機病毒程序一般包括3個功能模塊：引導模塊、傳染模塊、表現(xiàn)模塊。 計算機病毒的結(jié)構(gòu),計算機病毒概述,病毒程序流程,計算機病毒制作技術(shù),腳本語言與ActiveX技術(shù) 采用自加密技術(shù) 采用變形技術(shù) 采用特殊的隱形技術(shù) 對抗計算機病毒防范系統(tǒng) 反跟蹤技術(shù) 中斷與計算機病毒,常見病毒,蠕蟲 沖擊波蠕蟲 特洛伊木馬 宏病毒 CIH病毒 ,蠕蟲,蠕蟲是一種程序 可以自我復制并可以在操作系統(tǒng)外部傳播 可以使用電子郵件或其他的傳輸機制來將自己從一臺計算機復制到另一臺計算機 可以破壞計算機數(shù)據(jù)和安全性 其破壞方式在很多方面都和病毒相同，所不同的是，蠕蟲是在系統(tǒng)間進行自身復制。,特洛伊木馬,特洛伊木馬是一種看起來無害的程序，它設(shè)計成誘騙用戶認為它是有用的程序，當它在運行時卻執(zhí)行有害的操作。 特洛伊木馬程序不像病毒和蠕蟲那樣進行自我傳播。 該程序一般是通過從 Internet 下載的方式來獲取的。 大多數(shù)病毒防護程序都只檢測有限數(shù)量的特洛伊木馬程序。,宏病毒,宏病毒利用應(yīng)用程序自身的宏編程語言來散布病毒，這些宏可能會破壞文檔或其他計算機軟件；能夠感染 Word 文件，以及使用編程語言的其他任何應(yīng)用程序。 與操作系統(tǒng)病毒不同，宏病毒不感染程序，只感染文檔和模板。 如果打開的文檔或模板中帶有宏病毒，病毒就會感染系統(tǒng)并擴散到系統(tǒng)中的其他文檔和模板。 宏病毒還會在平臺之間散布。例如，宏病毒不僅能感染 Windows 平臺上的文件，還能感染 Macintosh 平臺上的文件。,計算機病毒的技術(shù)防范,計算機病毒防范，是指通過建立合理的計算機病毒防范體系和制度，及時發(fā)現(xiàn)計算機病毒的侵入，并采取有效的手段阻止計算機病毒的傳播和破壞，恢復受影響的計算機系統(tǒng)和數(shù)據(jù)。,計算機病毒的技術(shù)防范,計算機病毒的技術(shù)防范措施 新購置的計算機硬軟件系統(tǒng)的測試 計算機系統(tǒng)的啟動 單臺計算機系統(tǒng)的安全使用 重要數(shù)據(jù)文件要有備份 下載文件要檢查 計算機網(wǎng)絡(luò)的安全使用 點對點通信系統(tǒng) 無線通信網(wǎng),計算機病毒的技術(shù)防范,常見反病毒技術(shù) 實時反病毒技術(shù) VxD(虛擬設(shè)備驅(qū)動)機制 虛擬機技術(shù) 主動內(nèi)核技術(shù) 啟發(fā)掃描的反病毒技術(shù) 郵件病毒防殺技術(shù) 宏指紋識別技術(shù),計算機病毒檢測方法,比較法 比較法是用原始備份與被檢測的引導扇區(qū)或被檢測的文件進行比較 比較法的好處是簡單、方便，不需專用軟件，還可以發(fā)現(xiàn)那些尚不能被現(xiàn)有的查毒程序發(fā)現(xiàn)的計算機病毒 缺點是無法確認計算機病毒的種類名稱,計算機病毒檢測方法,加總對比法 根據(jù)每個程序的檔案名稱、大小、時間、日期及內(nèi)容，加總為1個檢查碼，再將檢查碼附于程序后面，或是將所有檢查碼放在同一個數(shù)據(jù)庫中，再利用此加總對比系統(tǒng)，追蹤并記錄每個程序的檢查碼是否被更改，以判斷是否感染了計算機病毒 這種技術(shù)可偵測到各式的計算機病毒，包括未知病毒 缺點是誤判斷高，無法確認病毒種類，無法偵測隱形計算機病毒,計算機病毒檢測方法,搜索法(掃描法) 用每一種計算機病毒體含有的特定字符串對被檢測的對象進行掃描；搜索法是今天使用最為普遍的計算機病毒檢測方法 特征串選擇的好壞，對于病毒的發(fā)現(xiàn)具有決定作用；但是如何提取特征串，則需要足夠的有關(guān)知識 缺點：當被掃描的文件很長時，掃描所花時間也越多；不容易選出合適的特征串；計算機病毒代碼庫未及時更新時，無法識別出新的計算機病毒；不易識別變形計算機病毒等,計算機病毒檢測方法,分析法 分析法是針對未知新病毒采用的技術(shù) 分析法的使用人員主要是反計算機病毒的技術(shù)專業(yè)人員 分析的步驟分為靜態(tài)分析和動態(tài)分析2種,計算機病毒檢測方法,人工智能陷阱技術(shù)和宏病毒陷阱技術(shù) 軟件仿真掃描技術(shù) 先知掃描技術(shù),計算機病毒免疫,針對某一種病毒進行的計算機病毒免疫 根據(jù)病毒傳染標志來實現(xiàn)：由于有些病毒在感染其他程序時要先判斷是否已被感染過，即欲攻擊的宿主程序是否已有相應(yīng)病毒傳染標志，如有則不再感染。因此，可人為地在健康程序中添加病毒傳染標志，起到免疫效果。,計算機病毒免疫,基于自我完整性檢查的計算機病毒的免疫方法 目前這種方法只能用于文件而不能用于引導扇區(qū) 為可執(zhí)行程序增加一個免疫外殼，同時在免疫外殼中記錄有關(guān)用于恢復自身的信息 執(zhí)行程序時，免疫外殼先運行，檢查自身的程序大小、校驗和、生成日期和時間等情況，沒有發(fā)現(xiàn)異常后，再轉(zhuǎn)去執(zhí)行受保護的程序,專題二 手機病毒介紹,手機病毒的概念,手機病毒也是一種計算機程序，和其它計算機病毒（程序）一樣具有傳染性、破壞性。它可利用發(fā)送短信、彩信，電子郵件，瀏覽網(wǎng)站，下載鈴聲等方式進行傳播。手機病毒可能會導致用戶手機死機、關(guān)機、資料被刪、向外發(fā)送垃圾郵件、撥打電話等，甚至還會損毀 SIM卡、芯片等硬件。,手機病毒的歷史,手機病毒的首次出現(xiàn)是在2000年6月，世界上第一個手機病毒VBS。Timofonica在西班牙出現(xiàn)，該病毒通過西班牙電信公司“Telefonica”的移動系統(tǒng)向系統(tǒng)內(nèi)的用戶發(fā)送臟話等垃圾短信。 該病毒最多只能被算作短信炸彈。真正意義上的手機病毒直到2004年6月才出現(xiàn)-“Cabir”蠕蟲病毒。這種病毒通過諾基亞60系列手機復制，然后不斷尋找安裝了藍牙的手機,手機病毒的工作原理,手機中的軟件是嵌入式操作系統(tǒng)（固化在芯片中的操作系統(tǒng)，一般由 JAVA、C+等語言編寫），相當于一個小型的智能處理器，因此和計算機一樣會遭受病毒攻擊。而且，短信也不只是簡單的文字，其中包括手機鈴聲、圖片等信息，都需要手機中的操作系統(tǒng)進行解釋，然后顯示給手機用戶，手機病毒就是靠軟件系統(tǒng)的漏洞來入侵手機的。,手機病毒的危害,1導致用戶信息被竊。 2傳播非法信息。 3破壞手機軟硬件 4造成通訊網(wǎng)絡(luò)癱瘓,Cabir 目標手機：Symbian OS S60平臺手機 主要危害：干擾藍牙通訊，加大電力消耗 Cabir是一個通過藍牙傳播的病毒，可以偽裝成名為“Caribe.sis”的Symbian軟件。當文件被執(zhí)行后，手機的屏幕上會提示“Install Caribe”一旦點擊“Yes”安裝，手機屏幕上會顯示“Caribe-VZ/29a”，并且會對Symbian操作系統(tǒng)進行修改。此后用戶每次打開手機時，Cabir也隨之啟動。,幾種常見的手機病毒,Commwarrior. 目標手機：Symbian OS S60平臺手機主要危害：只要一開機，它會在被感染的手機上復制數(shù)份拷貝，并通過手機中的號碼薄利用MMS方式將拷貝發(fā)送給機主的聯(lián)系人，同時會像Cabir通過藍牙不斷搜尋其