计算机病毒防护

新疆电力科学研究院计算机病毒及防范1982，苹果电脑，elkcloner病毒RichSkrenta世界上第一个病毒制造者课程大纲一．防病毒二．蠕虫防范三．木马防范四．恶意网页防范五．恶意代码的分析2课程目标了解病毒、蠕虫、木马、恶意网页的原理掌握病毒、蠕虫、木马、恶意网页的防范了解恶意代码的分析方法3前言恶意代码定义：恶意代码＝有害程序（包括病毒、蠕虫、木马、垃圾邮件、间谍程序、拨号程序、玩笑等在内的所有可能危害计算机安全的程序）主要分为病毒、蠕虫、木马、恶意网页四大类。4一、防病毒534561病毒防范12病毒定义病毒类型病毒的分类病毒技术和特点防病毒产品病毒防范策略61.1病毒定义计算机病毒（ComputerVirus）：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。——摘自1994年《中国人民共和国计算机信息系统安全保护条例》7一种能把自己（或经演变）注入其它程序的计算机程序传播机制同生物病毒类似。生物病毒是把自己注入细胞中蠕虫程序与木马程序不是真正意义的病毒8生物病毒VS计算机病毒入侵危害变异特异预防和清除9病毒的起源1977年，Thomas.J.Ryan的科幻小说《TheAdolescenceofP-1》描写了一种可以在计算机中互相传染的病毒，病毒最后控制了7,000台计算机，造成了一场灾难。1983年，弗雷德·科恩(FredCohen)研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼(LenAdleman)将它命名为计算机病毒(computerviruses)，并在每周一次的计算机安全讨论会上正式提出，8小时后专家们在VAX11/750计算机系统上运行，第一个病毒实验成功，一周后又获准进行5个实验的演示，从而在实验上验证了计算机病毒的存在。10电脑病毒的工作原理病毒三部曲:1.住进阶段:执行被感染的程序,病毒就加载入计算机内存2.感染阶段:病毒把自己注入其他程序,包括远程文件3.执行阶段:当某些条件成熟时,一些病毒会有一些特别的行为.例如重新启动,删除文件.11病毒发展演变趋势图121.2病毒分类按病毒存在的媒体按病毒攻击操作系统分类按病毒传染的方法分类按病毒破坏能力分类131.2.1按病毒存在媒体分类一、引导型计算机病毒主要是感染磁盘的引导扇区，也就是常说的磁盘的BOOT区。我们在使用被感染的磁盘（无论是软盘还是硬盘）启动计算机时它们就会首先取得系统控制权，驻留内存之后再引导系统，并伺机传染其它软盘或硬盘的引导区。二、文件型计算机病毒一般只传染磁盘上的可执行文件（COM，EXE），在用户调用染毒的可执行文件时，计算机病毒首先被运行，然后计算机病毒驻留内存伺机传染其他文件，其特点是附着于正常程序文件，成为程序文件的一个外壳或部件。三、宏病毒（MacroVirus）传播依赖于包括Word、Excel和PowerPoint等应用程序在内的Office套装软件.四、电子邮件计算机病毒就是以电子邮件作为传播途径的计算机病毒1415按病毒攻击操作系统分类DOSWindowsUnix（Linux）OS/216按病毒传染的方法分类驻留型病毒•驻留型病毒感染计算机后，把自身的内存驻留部分放在内存（RAM）中，这一部分程序挂接系统调用并合并到操作系统中去，处于激活状态，一直到关机或重新启动非驻留型病毒•非驻留型病毒在得到机会激活时并不感染计算机内存，一些病毒在内存中留有小部分，但是并不通过这一部分进行传染17按病毒破坏能力分类无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型：这类病毒在计算机系统操作中造成严重的错误。非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。181.3病毒命名一般格式：病毒前缀.病毒名.病毒后缀病毒前缀——指一个病毒的种类，用来区别病毒的种族。不同的种类的病毒，其前缀也是不同的。•Trojan：木马病毒前缀Macro：宏病毒前缀Script：脚本病毒前缀•Worm：蠕虫病毒前缀Backdoor：后门病毒前缀Joke：玩笑病毒前缀病毒名——指一个病毒的家族特征，是用来区别和标识病毒家族。比如CIH、Sasser病毒病毒后缀——指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如Worm.Sasser.b就是指振荡波蠕虫病毒的变种B，因此一般称为“振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多，可以采用数字与字母混合表示变种标识19常见病毒及前缀1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒。2、蠕虫病毒蠕虫病毒的前缀是：Worm。通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波，小邮差。（通常单列）3、木马/黑客病毒木马病毒其前缀是：Trojan，黑客病毒前缀名一般为Hack。通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息。（通常单列）20常见病毒及前缀（cont.）4、脚本病毒脚本病毒的前缀是：Script。用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）5、宏病毒宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97（也许还有别的）其中之一。如著名的美丽莎(Macro.Melissa)。6、后门病毒后门病毒的前缀是：Backdoor。通过网络传播，给系统开后门，给用户电脑带来安全隐患。如IRC后门Backdoor.IRCBot。7、病毒种植程序病毒运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。21常见病毒及前缀（cont.）8．破坏性程序病毒破坏性程序病毒的前缀是：Harm。用好看的图标来诱惑用户点击，当点击这类病毒时，便会直接对计算机产生破坏。如格式化C盘（Harm.formatC.f）9．玩笑病毒玩笑病毒的前缀是：Joke。也称恶作剧病毒。用好看的图标来诱惑用户点击，但不对电脑进行破坏。如：女鬼（Joke.Girlghost）病毒。10．捆绑机病毒捆绑机病毒的前缀是：Binder。用特定的捆绑程序将病毒与应用程序如QQ、IE捆绑起来，当运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒。如：捆绑QQ（Binder.QQPass.QQBin）.221.4病毒技术和特点1.密码破解技术应用此技术的病毒可对win2000以上的操作系统的密码进行破解。此类病毒一般会带有约几百单词数量（有时会更大的）的字典库，可对“弱口令”进行破解。例：爱情后门病毒231.4病毒技术和特点2.端口监听技术（原多见于木马程序）Moodown.y病毒利用自身的SMTP发信引擎来发送病毒邮件，监听82端口，等待攻击者连接，可自动下载并执行新的病毒。振荡波病毒的最新变种监听1023端口（支持USER、PASS、PORT、RETR和QUIT命令），并实现一个tftp服务器，并进行攻击。241.4病毒技术和特点3.多线程扫描技术现在常见病毒多采用此技术，此技术可加速网络病毒的传播速度。如I-Worm.Sasser.e（振荡波.e）开辟128个线程扫描网络，传播病毒。251.4病毒技术和特点4.漏洞技术利用操作系统和软件系统（主要是微软的软件系统）漏洞进行攻击;即发送不正常的数据包，使获得的系统出现错误，从而使病毒夺取对方电脑的控制权。例：冲击波利用rpc漏洞，震荡波利用LSASS漏洞261.5目前存在病毒的传播途径271.5防病毒软件的结构防病毒软件的3个组成部分扫描应用扫描引擎防病毒软件病毒定义库281.5防病毒网关由于目前的防火墙并不能防止目前所有的病毒进入内网，所以在某些情况下，需要在网络的数据出入口处和网络中重要设备前配置防病毒网关，以防止病毒进入内部网络。291.5防病毒网关防病毒网关按照处理流量分为：1.百兆2.千兆防病毒网关按照功能上分有两种:1.保护网络入口的防病毒网关2.保护邮件器的防病毒网关30•••1.6反病毒技术第一代反病毒技术——简单特征码扫描特征码就是一串表明病毒自身特征的十六进制的字符串。比如大麻病毒特征码：第1034字节处是下面的内容：0xec,0x99,0x80,0x99不能检测加密和变形病毒第二代反病毒技术——静态广谱特征扫描可以检测变形病毒，但是误报率高，杀毒风险大31第三代反病毒技术——静态扫描和动态仿真跟踪相结合第四代反病毒技术——启发式、脱壳、解压缩、虚拟机等321.6反病毒技术发展趋势人工智能技术的应用提高清除病毒准确性以网络为核心的防病毒技术多种技术的融合331.7病毒的预防措施1、新购置的计算机硬软件系统的测试2、计算机系统的启动3、单台计算机系统的安全使用4、重要数据文件要有备份5、不要随便直接运行或直接打开电子函件中夹带的附件文件6、计算机网络的安全使用（1）安装网络服务器时应保证没有计算机病毒存在。（2）在安装网络服务器时，应将文件系统划分成多个文件卷系统。（3）一定要用硬盘启动网络服务器。（4）为各个卷分配不同的用户权限。（5）在网络服务器上必须安装真正有效的防杀计算机病毒软件。（6）系统管理员的职责.1.7有防护的办公网络中病毒传播大型内部网络，一般均有防火墙等边界防护措施，但是还经常会出现病毒，病毒是如何传入的呢？病毒传入途径：1.终端漏洞导致病毒传播；2.邮件接收导致病毒传播；3.外部带有病毒的介质直接接入网络导致病毒传播；4.内部用户绕过边界防护措施，直接接入因特网导致病毒被引入；5.网页中的恶意代码传入；1.7物理隔离网络中病毒的传播国家机关和军队、银行等为了保护网络，一般均采用物理隔离措施，这类网络理论上应该是安全的，不过也有病毒的出现，这类网络，病毒主要是靠几种途径传入的：1.外部带有病毒的介质接入网络导致病毒传播2.内部用户私自在将所使用的终端接入因特网导致病毒被引入1.7建立有效的病毒防范管理机制建立防病毒管理机构防病毒管理机制的制定和完善制定防病毒管理制度用技术手段保障管理的有效性加强培训以保障管理机制执行1.7建立有效的病毒应急响应机制建立应急响应中心病毒事件分级制定应急响应处理预案应急响应流程应急响应的事后处理1.7通常的病毒应急反应预案流程图人员到位工具到位应急处理分离数据分清关键的主机和网段备份和配置备份离病毒源除病毒源数据恢复安全问题解决文档提交漏洞加固经验总结相关处理结束39启动应急响应预案二、蠕虫防范40RobertT.MorrisJr.世界上第一个蠕虫制造者1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者11月3日清晨5点，当加州伯克利分校的专家找出阻止病毒蔓延的办法时，短短12小时内，已有6200台采用Unix操作系统的SUN工作站和VAX小型机瘫痪或半瘫痪，不计其数的数据和资料毁于这一夜之间。造成一场损失近亿美元的空前大劫难！这个程序只有99行，利用了Unix系统中的缺点，用Finger命令查联机用户名单，然后破译用户口令，用Mail系统复制、传播本身的源程序，再编译生成代码12342蠕虫技术蠕虫的特征蠕虫的基本结构蠕虫发作特点和趋势蠕虫分析和防范412000年爱虫蠕虫LoveLetter2001年尼姆达蠕虫Worms.Nimda2001年红色代码RedCode•网络瘫痪，直接经济损失超过26亿美元2003年冲击波蠕虫Worm.Blaster2009年conficker蠕虫•感染主机超过7000万…43恶意代码排行榜442.1蠕虫的特征•定义：蠕虫是一个能够独立运行和自我传播的程序•从狭义上讲，与病毒共同点：•传播性•隐