第節(jié)計算機病毒與網(wǎng)絡(luò)安全ppt課件.ppt

1、目 錄： 計算機病毒的起源與發(fā)展 計算機病毒的定義與特征 計算機病毒的分類 計算機病毒的危害性 計算機病毒分析 其他惡意程序,根據(jù)國家計算機病毒應(yīng)急處理中心的調(diào)查顯示：2003-2008年我國計算機病毒感染率高達85.57%，造成的損失達到63.57%。 (來源:央視國際),您的計算機安全嗎？,安裝了安全軟件，電腦里就一定沒有病毒木馬嗎？金山毒霸安全實驗室公布最新研究報告顯示,國內(nèi)95.6%的電腦上安裝了安全軟件,但每年仍然有約百萬病毒木馬被“漏殺”。 而這些被“漏殺”的病毒木馬將直接影響到中國千萬網(wǎng)民網(wǎng)絡(luò)安全問題，同時給中國互聯(lián)網(wǎng)帶來的經(jīng)濟損失也將超過十億元。,“2009-2010年中國新增

2、病毒木馬約2000萬種,其中漏殺期1-7天的病毒木馬超過100萬個,占到新增病毒的5%,30%以上的中國網(wǎng)民電腦存在漏殺病毒?！?以你的經(jīng)歷，談?wù)勀阒赖降牟《尽?一個每天都要遇到的操作,可移動存儲設(shè)備的使用,一個每天都要遇到的操作,如果您的電腦配有攝像頭，在您使用完攝像頭后， 您會（ ） 拔掉攝像頭，或者將攝像頭扭轉(zhuǎn)方向（546人，44.1%） 無所謂（693人，55.9%）,女鬼病毒,女鬼病毒在感染用戶系統(tǒng)后，會不定時的在電腦上出現(xiàn)恐怖的女鬼，并伴有陰森恐怖的鬼哭狼嚎的聲音。女鬼每次出現(xiàn)大約停留30秒鐘，低垂著腦袋，披頭散發(fā)，兩眼還射出紅光，加上陰森的恐怖之聲，使人在夜間開電腦時，不禁毛骨

3、悚然，嚇到腿軟。 該女鬼病毒是用VB語言寫的程序，需要一個VB的動態(tài)鏈接庫，有些用戶系統(tǒng)上可能沒有這個文件，病毒因此就無法被激活。,木馬病毒,木馬，全稱為：特洛伊木馬（Trojan Horse）。 “特洛伊木馬”這一詞最早出先在希臘神話傳說中。相傳在3000年前，在一次希臘戰(zhàn)爭中。麥尼勞斯（人名）派兵討伐特洛伊（王國），但久攻不下。他們想出了一個主意：首先他們假裝被打敗，然后留下一個木馬。而木馬里面卻藏著最強悍的勇士！最后等時間一到，木馬里的勇士全部沖出來把敵人打敗了！,特洛伊木馬,“木馬”的含義就是把預謀的功能隱藏在公開的功能里，掩飾真正的企圖。 木馬其實就是那些盜號者所制造的一些惡意程序。

4、 當木馬植入了你的電腦后，電腦就會被監(jiān)控起來。輕者，偷取用戶資，會把你的QQ密碼.游戲帳號和密碼.等發(fā)給編寫病毒的人。 至于嚴重的，木馬制作者可以像操作自己的機器一樣控制您的機器，甚至可以遠程監(jiān)控您的所有操作。一舉一動，都在別人的眼皮底下進行。,計算機病毒的發(fā)展史,自第一個真正意義上的計算機病毒于1983年走出實驗室以來，人們對它的認識經(jīng)歷了“不以為然談毒色變口誅筆伐，人人喊打理性對待，泰然處之”四個階段 。,計算機病毒產(chǎn)生的歷史,1977年:出現(xiàn)在科幻小說中 1983年： Fred Cohen：在計算機安全研討會上發(fā)布 1986年：巴基斯坦兩兄弟為追蹤非法拷貝其軟件的人制造了“巴基斯坦”病毒

5、，成了世界上公認的第一個傳染PC兼容機的病毒，并且很快在全球流行。 1987年10月：美國發(fā)現(xiàn)世界上第一例病毒(Brain)。 1988年：小球病毒傳入我國，在幾個月之內(nèi)迅速傳染了20 多個省、市，成為我國第一個病毒案例。 此后，如同打開的潘多拉的盒子，各種計算機病毒層出不窮！,計算機病毒的發(fā)展階段萌芽階段,1 萌芽階段 1986年到1989年：計算機病毒的萌芽時期 病毒清除相對比較容易 特點： 攻擊目標單一 主要采取截取系統(tǒng)中斷向量的方式監(jiān)控系統(tǒng)的運行狀態(tài)，并在一定的觸發(fā)條件下進行傳播 傳染后特征明顯 不具自我保護措施,計算機病毒的發(fā)展階段綜合發(fā)展階段,2 綜合發(fā)展階段 1989年到1992

6、年：由簡單到復雜，由原始走向成熟 特點： 攻擊目標趨于混合型 采用更為隱蔽的方法駐留內(nèi)存 感染目標后沒有明顯的特征 開始采用自我保護措施 開始出現(xiàn)變種,計算機病毒的發(fā)展階段成熟發(fā)展階段,3 成熟發(fā)展階段 1992到1995年：病毒開始具有多態(tài)性質(zhì)。病毒每次傳染目標時，嵌入宿主程序中的病毒程序大部分可變種，正由于這個特點，傳統(tǒng)的特征碼檢測病毒法開始了新的探索研究。 在這個階段，病毒的發(fā)展主要集中在病毒技術(shù)的提高上，病毒開始向多維化方向發(fā)展，對反病毒廠商也提出了新的挑戰(zhàn)。,計算機病毒的發(fā)展階段網(wǎng)絡(luò)病毒階段,4 網(wǎng)絡(luò)病毒階段 1995年到2000年：隨著網(wǎng)絡(luò)的普及，大量的病毒開始利用網(wǎng)絡(luò)傳播，蠕蟲開

7、始大規(guī)模的傳播。由于網(wǎng)絡(luò)的便利和信息的共享，很快又出現(xiàn)了通過E-mail傳播的病毒。由于宏病毒編寫簡單、破壞性強、清除復雜，加上微軟未對WORD文檔結(jié)構(gòu)公開，給清除宏病毒帶來了不便 這一階段的病毒，主要是利用網(wǎng)絡(luò)來進行傳播和破壞,計算機病毒的發(fā)展階段迅速壯大的階段,5.迅速壯大的階段 2000年以后：成熟繁榮階段，計算機病毒的更新和傳播手段更加多樣性，網(wǎng)絡(luò)病毒的目的性也更強 出現(xiàn)了木馬，惡意軟件等特定目的的惡意程序 特點： 技術(shù)綜合利用，病毒變種速度大大加快 惡意軟件和病毒程序直接把矛頭對向了殺毒軟件 計算機病毒技術(shù)和反病毒技術(shù)的競爭進一步激化，反病毒技術(shù)也面臨著新的洗牌,計算機病毒的起源與發(fā)

8、展 計算機病毒的定義與特征 計算機病毒的分類 計算機病毒的危害性 計算機病毒分析 其他惡意程序,計算機病毒的定義,狹義定義 計算機病毒是一種靠修改其它程序來插入或進行自身拷貝，從而感染其它程序的一種程序。 Fred Cohen博士對計算機病毒的定義。 廣義定義 能夠引起計算機故障，破壞計算機數(shù)據(jù)，影響計算機系統(tǒng)的正常使用的程序代碼。 我國定義 中華人民共和國計算機信息系統(tǒng)安全保護條例第二十八條： 計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼?！?計算機病毒的特征,基本特征 傳染性 自我復制，通過多種渠道傳播 潛

9、伏性 感染后不一定立刻發(fā)作 依附于其他文件、程序、介質(zhì)，不被發(fā)現(xiàn) 可觸發(fā)性 觸發(fā)條件：日期、時間、文件類型 破壞性 破壞數(shù)據(jù)的完整性和可用性 破壞數(shù)據(jù)的保密性 系統(tǒng)和資源的可用性 非授權(quán)可執(zhí)行性,計算機病毒的特征,其它特征 寄生性 寄生于其它文件、程序 隱蔽性 程序隱蔽、傳染隱蔽； 不易被發(fā)現(xiàn) 針對性* 針對特定的計算機、特定的操作系統(tǒng) 多態(tài)性* 每一次感染后改變形態(tài)，檢測更困難 持久性* 難于清除,計算機病毒的起源與發(fā)展 計算機病毒的定義與特征 計算機病毒的分類 計算機病毒的危害性 計算機病毒分析 其他惡意程序,計算機病毒的分類,按宿主分類 按危害分類 按傳播媒介分類 按攻擊平臺分類,計算機

10、病毒的分類,按宿主分類 1)引導型病毒 主引導區(qū) 操作系統(tǒng)引導區(qū) 2)文件型病毒 操作系統(tǒng) 應(yīng)用程序 宏病毒 3)復合型病毒 復合型病毒具有引導區(qū)型病毒和文件型病毒兩者的特征,計算機病毒的分類,按危害分類 良性病毒 如：小球病毒 惡性病毒 如：CIH病毒,計算機病毒的分類,按傳播媒介分類 單機病毒 DOS、Windows、Unix/Linux病毒等 網(wǎng)絡(luò)病毒 通過網(wǎng)絡(luò)或電子郵件傳播,計算機病毒的分類,按攻擊平臺分類 DOS病毒：MS-DOS及兼容操作系統(tǒng)上編寫的病毒 Windows病毒：Win32上編寫的純32位病毒程序 MAC病毒 Unix/Linux病毒,計算機病毒的起源與發(fā)展 計算機病毒

11、的定義與特征 計算機病毒的分類 計算機病毒的危害性 計算機病毒分析 其他惡意程序,計算機病毒的危害性,攻擊系統(tǒng)數(shù)據(jù)區(qū) 攻擊部位包括硬盤主引導扇區(qū)、Boot扇區(qū)、FAT表、文件目錄 攻擊文件 刪除、改名、替換內(nèi)容、丟失簇和對文件加密等 攻擊內(nèi)存 內(nèi)存是計算機的重要資源，也是病毒攻擊的重要目標,計算機病毒的危害性,干擾系統(tǒng)運行，使運行速度下降 如不執(zhí)行命令、打不開文件 干擾內(nèi)部命令的執(zhí)行、擾亂串并接口、虛假報警、強制游戲 內(nèi)部棧溢出、重啟動、死機 病毒激活時，系統(tǒng)時間延遲程序啟動，在時鐘中納入循環(huán)計數(shù)，迫使計算機空轉(zhuǎn)，運行速度明顯下降 干擾鍵盤、喇叭或屏幕，適用戶無法正常操作 響鈴、封鎖鍵盤、換字

12、、抹掉緩存區(qū)字符、輸入紊亂等。 許多病毒運行時，會使計算機的喇叭發(fā)出響聲 病毒擾亂顯示的方式很多，如字符跌落、倒置、顯示前一屏、打開對話框、光標下跌、滾屏、抖動、亂寫等,計算機病毒的危害性,攻擊CMOS，破壞系統(tǒng)硬件 有的病毒激活時，能夠?qū)MOS進行寫入動作，破壞CMOS中的數(shù)據(jù)。例如CIH病毒破壞計算機硬件，亂寫某些主板BIOS芯片，損壞硬盤 干擾打印機 如假報警、間斷性打印或更換字符 干擾網(wǎng)絡(luò)正常運行 網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬、阻塞網(wǎng)絡(luò)、造成拒絕服務(wù)等,歷年重大病毒影響情況,計算機病毒的起源與發(fā)展 計算機病毒的定義和特征 計算機病毒

13、的分類 計算機病毒的危害性 計算機病毒分析 其他惡意程序,計算機病毒分析,計算機病毒的結(jié)構(gòu)及工作機理 引導型病毒分析 文件型病毒分析 宏病毒分析 蠕蟲病毒分析 特洛伊木馬分析,實錄超牛病毒破壞電腦 世界最強電腦病毒 模擬實驗黑客入侵路由器 不到五秒獲取銀行卡號,計算機病毒的結(jié)構(gòu)及工作機理,計算機病毒的結(jié)構(gòu),計算機病毒的結(jié)構(gòu)及工作機理,引導過程 也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進入內(nèi)存，為傳染部分做準備 傳染過程 作用是將病毒代碼復制到目標上去。一般病毒在對目標進行傳染前，要首先判斷傳染條件是否滿足，判斷病毒是否已經(jīng)感染過該目標等，如CIH病毒只針對Windows 95/98操作系

14、統(tǒng) 表現(xiàn)過程 是病毒間差異最大的部分，前兩部分是為這部分服務(wù)的。它破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)的設(shè)備上表現(xiàn)出特定的現(xiàn)象。大部分病毒都是在一定條件下才會觸發(fā)其表現(xiàn)部分的,引導型病毒實例分析,引導型病毒 傳染機理 利用系統(tǒng)啟動的缺陷 傳染目標 硬盤的主引導區(qū)和引導區(qū) 軟盤的引導區(qū) 傳染途徑 通過軟盤啟動計算機 防治辦法 從C盤啟動 打開主板的方病毒功能 典型病毒 小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒,引導型病毒分析,引導型病毒感染與執(zhí)行過程,系統(tǒng)引導區(qū),引導 正常執(zhí)行,病毒,引導系統(tǒng),病毒體,文件型病毒分析,文件型病毒 傳染機理：利用系統(tǒng)加載執(zhí)行文件的缺陷 傳染目標：各種能夠獲得

15、系統(tǒng)控制權(quán)執(zhí)行的文件 傳染途徑：各種存儲介質(zhì)、網(wǎng)絡(luò)、電子郵件 防治辦法 使用具有實時監(jiān)控功能的殺毒軟件 不要輕易打開郵件附件 典型病毒 1575病毒、CIH病毒,文件型病毒分析,文件型病毒 文件型病毒與引導扇區(qū)病毒區(qū)別是：它攻擊磁盤上的文件,文件型病毒分析,文件型病毒傳染機理,正常 程序,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,程序頭,病毒程序頭,程序頭,病毒程序,病毒程序,病毒程序,程序頭,宏病毒分析,宏病毒 定義：宏病毒是指利用軟件所支持的宏命令或語言書寫的一段寄生在支持宏的文檔上的，具有復制、傳染能力的宏代碼

16、 跨平臺式計算機病毒：可以在Windows 9X、Windows NT、OS/2和Unix、Mac等操作系統(tǒng)上執(zhí)行病毒行為 影響系統(tǒng)的性能以及對文檔的各種操作，如打開、存儲、關(guān)閉或清除等 宏病毒對病毒而言是一次革命。現(xiàn)在通過E-mail、3W的互聯(lián)能力及宏語言的進一步強化，極大地增強了它的傳播能力,宏病毒分析,宏病毒工作機理,有毒文件.doc,Normal.dot,無毒文件.doc,Normal.dot,蠕蟲病毒分析,蠕蟲病毒 一個獨立的計算機程序，不需要宿主 自我復制，自主傳播（Mobile） 占用系統(tǒng)或網(wǎng)絡(luò)資源、破壞其他程序 不偽裝成其他程序，靠自主傳播 利用系統(tǒng)漏洞； 利用電子郵件（無需

17、用戶參與）,蠕蟲病毒分析,蠕蟲病毒 傳染機理：利用系統(tǒng)或服務(wù)的漏洞 傳染目標：操作系統(tǒng)或應(yīng)用服務(wù) 傳染途徑：網(wǎng)絡(luò)、電子郵件 防治辦法 使用具有實時監(jiān)控功能的殺毒軟件 不要輕易打開郵件附件 打最新補丁，更新系統(tǒng) 典型病毒 RedCode，尼姆達、沖擊波等,特洛伊木馬分析,特洛伊木馬程序 名字來源：古希臘故事 通過偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個遠程控制的后門 沒有自我復制的功能 非自主傳播 用戶主動發(fā)送給其他人 放到網(wǎng)站上由用戶下載,特洛伊木馬分析,特洛伊木馬程序 傳播途徑 通過網(wǎng)絡(luò)下載、電子郵件 防治辦法 使用具有實時監(jiān)控功能的殺毒軟件 不要輕易打開郵件附件 不要輕易運

18、行來路不明的文件 典型例子 BO、BO2k、Subseven、冰河、廣外女生等,病毒、蠕蟲與木馬的比較,計算機病毒的起源與發(fā)展 計算機病毒的定義和特征 計算機病毒的分類 計算機病毒的危害性 計算機病毒分析 其他惡意程序,其他惡意程序,后門(Backdoor) 一種能讓黑客未經(jīng)授權(quán)進入和使用本系統(tǒng)的惡意程序 僵尸(Bot) 一種集后門與蠕蟲一體的惡意程序. 通常使用IRC (Internet Relay Chat) 接受和執(zhí)行黑客命令 廣告軟件/間諜軟件,后門,具有反偵測能力 隱藏文件, 進程, 網(wǎng)絡(luò)端口和連接, 系統(tǒng)設(shè)置, 系統(tǒng)服務(wù) 可以在惡意程序之中, 例如 Berbew；也有獨立軟件, 例如 Hackder Defender 為控制者提供遠程操作能力,僵尸,僵尸生態(tài)系統(tǒng) 僵尸 僵尸網(wǎng) 管理通道 看守者 從 MyDoom.A開始進入鼎盛期 打開后門 TCP port 3127 - 3198 下載和執(zhí)行程序 利用被感染的計算機散發(fā)電子郵件 數(shù)以百萬計的感染計算機被出賣給了垃圾郵件的制造者,僵尸僵尸網(wǎng)發(fā)展趨勢,1）源代碼可在網(wǎng)上免費下載 2）管理方式的變化: 過去: 集中管理 一個 IRC 服務(wù)器管理所有僵尸 關(guān)閉服務(wù)