计算机病毒分析防范技术.ppt
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《计算机病毒分析防范技术.ppt》由会员分享,可在线阅读,更多相关《计算机病毒分析防范技术.ppt(59页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、1 1/59/59讲解人:讲解人:电电 话:话:E-mailE-mail:2 2/59/59议程内容议程内容 第一章第一章 计算机病毒的概念、概况与现状计算机病毒的概念、概况与现状 第二章第二章 计算机病毒分类介绍与技术分析计算机病毒分类介绍与技术分析 第三章第三章 反病毒技术介绍与病毒分析处理反病毒技术介绍与病毒分析处理 第四章第四章 反病毒产品介绍与安全体系建立反病毒产品介绍与安全体系建立3 3/59/59本章概要本章概要 第第1节节 计算机病毒的定义、特点与原理计算机病毒的定义、特点与原理 第第2节节 计算机病毒计算机病毒的产生、的产生、发展发展及危害及危害 第第3节节 计算机病毒疫情与
2、互联网安全形势计算机病毒疫情与互联网安全形势4 4/59/59计算机病毒的概念 从广义上讲,凡是能够引起计算机故障,破坏计算机数据的程序从广义上讲,凡是能够引起计算机故障,破坏计算机数据的程序 统称为统称为“计算机病毒计算机病毒”。据此定义,诸如蠕虫、木马、恶意软件。据此定义,诸如蠕虫、木马、恶意软件 此类程序等均可称为此类程序等均可称为“计算机病毒计算机病毒”。计算机病毒特性:计算机病毒特性:破坏性、破坏性、隐蔽性、传染性、潜伏性。隐蔽性、传染性、潜伏性。“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者 毁坏数据,
3、影响计算机使用,并能自我传染的一组计算机指令或者程序毁坏数据,影响计算机使用,并能自我传染的一组计算机指令或者程序 代码。代码。”中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例第二十八条第二十八条(1994(1994年年2 2月月1818日中华人民共和国国务院令日中华人民共和国国务院令147147号发布号发布)5 5/59/59计算机病毒的特性n破坏性破坏性是计算机病毒的首要特征,不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响,轻者占用系统资源,降低计算机工作效率,重者窃取数据、破坏数据和程序,甚至导
4、致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句,或者根本没有任何破坏动作,但会占用系统资源,如无法关闭的玩笑程序等。恶性病毒则有明确的目的,或窃取重要信息如银行帐号和密码,或打开后门接受远程控制等。n隐蔽性 计算机病毒虽然是采用同正常程序一样的技术编写而成,但因为其破坏的目的,因此会千方百计地隐藏自己的蛛丝马迹,以防止用户发现、删除它。病毒通常没有任何可见的界面,并采用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小,也是为了隐藏。6 6/59/59计算机病毒的特性l传染性 计算机病毒同自然界的生物病毒一样也具有传染性。
5、病毒作者为了最大地达到其目的,总会尽力使病毒传播到更多的计算机系统上。病毒通常会通过网络、移动存储介质等各种渠道从已被感染的计算机扩散到未被感染的计算机中,感染型病毒会通过直接将自己植入正常程序的方法来传播。l潜伏性许多病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块,如有些病毒会在特定的时间发作。7 7/59/59计算机病毒的工作流程一次非授权的加载,病毒进入内存病毒引导模块被执行修改系统参数,引入传染和表现模块监视系统运行传染条件是否满足触发条件是否满足进行传染进行表现8 8/59/59一、源代码嵌入攻击型一、源代码嵌入攻击型 这类病毒
6、入侵的主要是高级语言的源程序,病毒是在源程序编译之前插入病毒代码,这类病毒入侵的主要是高级语言的源程序,病毒是在源程序编译之前插入病毒代码,最后随源程序一起被编译成可执行文件,这样刚生成的就是带毒文件,这种方式难度较大。最后随源程序一起被编译成可执行文件,这样刚生成的就是带毒文件,这种方式难度较大。二、代码取代攻击型二、代码取代攻击型 这类病毒主要是用它自身的病毒代码取代某个程序的整个或部分模块。这类病毒主要是用它自身的病毒代码取代某个程序的整个或部分模块。这类病毒针对性较强,主要攻击特定的程序,不易发现,并且清除也较困难。这类病毒针对性较强,主要攻击特定的程序,不易发现,并且清除也较困难。三
7、、系统修改入侵型三、系统修改入侵型 这类病毒主要是用自身程序覆盖或修改系统中的某些文件,来调用或替代操作系统这类病毒主要是用自身程序覆盖或修改系统中的某些文件,来调用或替代操作系统 中的部分功能。由于是直接感染系统危害较大,也是最常见的一种,多为文件型病毒。中的部分功能。由于是直接感染系统危害较大,也是最常见的一种,多为文件型病毒。四、外壳寄生入侵型四、外壳寄生入侵型 这类病毒通常是将其附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,这类病毒通常是将其附加在正常程序的头部或尾部,相当于给程序添加了一个外壳,在被感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大多数在被
8、感染的程序执行时,病毒代码先被执行,然后才将正常程序调入内存。目前大多数 文件型的病毒属于这一类。文件型的病毒属于这一类。计算机病毒的入侵方式9 9/59/59计算机病毒的传播方式一、通过因特网传播一、通过因特网传播 1.1.电子邮件电子邮件 2.2.浏览网页和下载软件浏览网页和下载软件 3.3.即时通讯软件即时通讯软件 4.4.网络游戏网络游戏二、通过局域网传播二、通过局域网传播 1.1.文件共享文件共享 2.2.系统漏洞攻击系统漏洞攻击三、通过移动存储设备传播三、通过移动存储设备传播 1.1.软盘软盘 2.2.光盘光盘 3.3.移动硬盘移动硬盘 4.U4.U盘盘(含数码相机、含数码相机、M
9、P3MP3等等)四、通过无线网络或设备传播四、通过无线网络或设备传播 1.1.智能手机、智能手机、PDAPDA 2.2.无线通道无线通道1010/59/59计算机病毒的分类与命名(Backdoor.RmtBomb.12(Backdoor.RmtBomb.12、Trojan.Win32.SendIP.15)Trojan.Win32.SendIP.15)1 1、系统病毒:、系统病毒:Win32Win32、PEPE、Win95Win95等;等;(感染(感染WindowsWindows系统的系统的.exe.exe、.dll.dll 等文件,并利用这些文件进行传播)等文件,并利用这些文件进行传播)2 2
10、、蠕虫病毒:、蠕虫病毒:WormWorm;(通过网络攻击或者系统漏洞进行传播,往往还发送带毒邮件,阻塞网络)(通过网络攻击或者系统漏洞进行传播,往往还发送带毒邮件,阻塞网络)3 3、脚本病毒:、脚本病毒:ScriptScript。VBS/JSVBS/JS;(使用脚本语言编写,通过网页进行的传播)(使用脚本语言编写,通过网页进行的传播)4 4、木马、木马/黑客病毒:黑客病毒:Trojan/HackTrojan/Hack。PSW/PWDPSW/PWD;(木马侵入系统后隐藏,并向外泄露用户信息,(木马侵入系统后隐藏,并向外泄露用户信息,而黑客病毒则有可视界面,能对用户电脑远程控制,两者往往成对出现,
11、趋于整合)而黑客病毒则有可视界面,能对用户电脑远程控制,两者往往成对出现,趋于整合)5 5、后门病毒:、后门病毒:BackdoorBackdoor;(通过网络传播,在系统上开后门,给用户的电脑带来安全隐患)(通过网络传播,在系统上开后门,给用户的电脑带来安全隐患)6 6、种植程序病毒:、种植程序病毒:DropperDropper;(运行时释放出一个或多个新的病毒,由新释放的病毒产生破坏)(运行时释放出一个或多个新的病毒,由新释放的病毒产生破坏)7 7、捆绑机病毒:、捆绑机病毒:BinderBinder;(将病毒与一些应用程序捆绑为表面正常的文件,执行时病毒隐藏运行)(将病毒与一些应用程序捆绑为
12、表面正常的文件,执行时病毒隐藏运行)8 8、宏病毒:、宏病毒:MacroMacro、Word(97)Word(97)、Excel(97)Excel(97)等;等;(感染(感染OFFICEOFFICE文档,通过通用模板进行传播)文档,通过通用模板进行传播)(1 1)破坏性程序:)破坏性程序:HarmHarm;(2 2)玩笑型病毒:)玩笑型病毒:JokeJoke;9 9、其他、其他 (3 3)拒绝攻击类:)拒绝攻击类:DoSDoS;(4 4)溢出类病毒:)溢出类病毒:ExploitExploit;(5 5)黑客工具类:)黑客工具类:HackToolHackTool;病毒命名的一般格式为:病毒命名的
13、一般格式为:.常常见见病病毒毒前前缀缀1111/59/59本章概要本章概要 第第1节节 计算机病毒的定义、特点与原理计算机病毒的定义、特点与原理 第第2节节 计算机病毒计算机病毒的产生、的产生、发展发展及危害及危害 第第3节节 计算机病毒疫情与互联网安全形势计算机病毒疫情与互联网安全形势1212/59/59计算机病毒产生的根源 计算机系统的复杂性和脆弱性;计算机系统的复杂性和脆弱性;各种矛盾激化、经济利益驱使;各种矛盾激化、经济利益驱使;炫耀、玩笑、恶作剧或是报复;炫耀、玩笑、恶作剧或是报复;1313/59/59计算机病毒的发展1414/59/59计算机病毒的危害 劫持劫持IEIE浏览器,篡改
14、首页及一些默认项目(如默认搜索)浏览器,篡改首页及一些默认项目(如默认搜索);修改修改HostHost文件,导致用户不能访问某些网站,或被引导到文件,导致用户不能访问某些网站,或被引导到“钓鱼网站钓鱼网站”;添加驱动保护,使用户无法删除某些软件添加驱动保护,使用户无法删除某些软件 ;修改系统启动项目,使某些恶意软件可以随着系统启动;修改系统启动项目,使某些恶意软件可以随着系统启动;在用户计算机上开置后门,黑客可以通过此后门远程控制中毒机器,在用户计算机上开置后门,黑客可以通过此后门远程控制中毒机器,组成僵尸网络,对外发动攻击、发送垃圾邮件、点击网络广告等牟利组成僵尸网络,对外发动攻击、发送垃圾
15、邮件、点击网络广告等牟利 ;采用映像劫持技术,使多种杀毒软件和安全工具无法使用采用映像劫持技术,使多种杀毒软件和安全工具无法使用 ;记录用户的键盘、鼠标操作,窃取银行卡、网游密码等信息记录用户的键盘、鼠标操作,窃取银行卡、网游密码等信息 ;记录用户的摄像头操作,可以从远程窥探隐私记录用户的摄像头操作,可以从远程窥探隐私 ;使用户的机器运行变慢,大量消耗系统资源使用户的机器运行变慢,大量消耗系统资源 ;窃取用户电脑数据、信息;窃取用户电脑数据、信息;1515/59/59本章概要本章概要 第第1节节 计算机病毒的定义、特点与原理计算机病毒的定义、特点与原理 第第2节节 计算机病毒计算机病毒的产生、
16、的产生、发展发展及危害及危害 第第3节节 计算机病毒疫情与互联网安全形势计算机病毒疫情与互联网安全形势1616/59/59病毒的数量激增2010年上半年,瑞星“云安全”系统共截获新增病毒样本4221366个。在病毒分类统计中,木马病毒共有2344637个,占总体55.54%,紧随其后的依次为“后门病毒”、“蠕虫病毒”、“Rootkit”。1717/59/592010挂马网站类型1818/59/59黑客/病毒产业链分析1919/59/59 混合式威胁已成主流,基于漏洞的攻击防不胜防混合式威胁已成主流,基于漏洞的攻击防不胜防 传播方式尽其所能,网页与传播方式尽其所能,网页与U U盘成为重要途径盘成
17、为重要途径 自我防御能力增强自我防御能力增强 团队化特征明显团队化特征明显 主要针对基础网络应用主要针对基础网络应用 利益驱动商业化运作利益驱动商业化运作 区域化特征明显区域化特征明显 并且攻击目标明确并且攻击目标明确 加壳技术普遍应用加壳技术普遍应用 主动攻击安全类软件主动攻击安全类软件 破坏系统功能属性破坏系统功能属性 展开变种数量与速度竞赛展开变种数量与速度竞赛 电子邮件电子邮件 网页浏览网页浏览 网上银行和证券网上银行和证券 网络游戏网络游戏 网络下载网络下载现代病毒的显著特点2020/59/59议程内容议程内容 第一章第一章 计算机病毒的概念、概况与现状计算机病毒的概念、概况与现状
18、第二章第二章 计算机病毒分类介绍与技术分析计算机病毒分类介绍与技术分析 第三章第三章 反病毒技术介绍与病毒分析处理反病毒技术介绍与病毒分析处理 第四章第四章 反病毒产品介绍与安全体系建立反病毒产品介绍与安全体系建立2121/59/59本章概要本章概要 第第1节节 计算机病毒分类介绍计算机病毒分类介绍 第第2节节 现代计算机病毒惯用技术手段剖析现代计算机病毒惯用技术手段剖析 第第3节节 当前流行计算机病毒专题技术详解当前流行计算机病毒专题技术详解2222/59/59早期病毒DOS病毒 概念:概念:DOSDOS病毒指针对病毒指针对DOSDOS操作系统开发的病毒,是一种只能在操作系统开发的病毒,是一
19、种只能在DOSDOS环境下运行、传染的环境下运行、传染的 计算机病毒,是最早出现的计算机病毒。目前,几乎没有新制作的计算机病毒,是最早出现的计算机病毒。目前,几乎没有新制作的DOSDOS病毒,由于病毒,由于WindowsWindows 系统的普及,系统的普及,DOSDOS病毒几乎绝迹,但是有相当一部分可感染病毒几乎绝迹,但是有相当一部分可感染 Windows 9XWindows 9X系统并传播,或者导致系统死机或程序运行异常。系统并传播,或者导致系统死机或程序运行异常。分类:分类:引导型:指感染(主)引导扇区的病毒,如引导型:指感染(主)引导扇区的病毒,如“米氏病毒米氏病毒”;文件型:指感染文
20、件型:指感染DOSDOS可执行文件(可执行文件(.EXE.EXE、.COM.COM、.BAT.BAT)的病毒,如)的病毒,如“黑色星期五黑色星期五”;混合型:指既感染(主)引导,又感染文件的病毒。如:混合型:指既感染(主)引导,又感染文件的病毒。如:“幽灵幽灵”病毒、病毒、NatasNatas病毒等;病毒等;代表:代表:耶路撒冷(耶路撒冷(JerusalemJerusalem)、)、米开朗基罗(米开朗基罗(MichelangeloMichelangelo)、)、MonkeyMonkey、Music BugMusic Bug等;等;危害:危害:DOSDOS时期的病毒种类相当繁杂,而且不断有人改写
21、现有的病毒,到了后期甚至有人写出所谓时期的病毒种类相当繁杂,而且不断有人改写现有的病毒,到了后期甚至有人写出所谓 的的“双体引擎双体引擎”,可以把一种病毒创造出更多元化的面貌。而病毒发作的症状更是各式各样,可以把一种病毒创造出更多元化的面貌。而病毒发作的症状更是各式各样,有的会删除文件、有的会有的会删除文件、有的会FormatFormat硬盘、有的还会在屏幕上显出各式各样的图形与音效。但是,硬盘、有的还会在屏幕上显出各式各样的图形与音效。但是,现在对于这些现在对于这些DOSDOS时期的古董级病毒,大部分杀毒软件时期的古董级病毒,大部分杀毒软件 都可以轻易地扫除,杀伤力已经大不如前了。都可以轻易
22、地扫除,杀伤力已经大不如前了。2323/59/59Office杀手宏病毒 概念:(概念:(1 1)宏,译自)宏,译自MacroMacro,是,是OFFICEOFFICE的一个特殊功能。它利用简单的的一个特殊功能。它利用简单的VBVB语法,语法,把一系列常用操作集成在一小段程序内,需要重复时运行宏即可,实现文档中把一系列常用操作集成在一小段程序内,需要重复时运行宏即可,实现文档中 一些任务的自动化。默认一些任务的自动化。默认OfficeOffice将宏存贮在通用模板将宏存贮在通用模板Normal.dotNormal.dot中,该特点为宏病毒利用中,该特点为宏病毒利用 。(2 2)宏病毒是一种寄存
23、在文档或模板的宏中的计算机病毒。一旦打开这样的文档,宏病毒就会被)宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,宏病毒就会被 激活,转移到计算机并驻留在激活,转移到计算机并驻留在 Normal Normal 模板上。自此所有自动保存的文档都会模板上。自此所有自动保存的文档都会“感染感染”上该上该 宏病毒,其他用户打开了染毒文档,宏病毒又会转移到其他计算机。宏病毒,其他用户打开了染毒文档,宏病毒又会转移到其他计算机。特点:制作、变种方便,隐蔽性强,传播迅速,破坏可能性极大,但兼容性不高等。特点:制作、变种方便,隐蔽性强,传播迅速,破坏可能性极大,但兼容性不高等。危害:不能正
24、常打印、改变文件存储、将文件改名、乱复制文件、封闭菜单、删除选项、无法正常编辑、危害:不能正常打印、改变文件存储、将文件改名、乱复制文件、封闭菜单、删除选项、无法正常编辑、只能存为模板格式、破坏数据文档、设置密码、调用系统命令造成破坏。只能存为模板格式、破坏数据文档、设置密码、调用系统命令造成破坏。防治防治:(:(1 1)将常用的将常用的WordWord模板文件改为只读属性;模板文件改为只读属性;(2 2)禁止自动执行宏功能()禁止自动执行宏功能(winword.exe/mDisableAutoMacroswinword.exe/mDisableAutoMacros););处理处理:(:(1
25、1)应急时可以用写字板或应急时可以用写字板或WORD 6.0WORD 6.0将文档打开并另外存储。将文档打开并另外存储。(2 2)进入)进入“宏管理器宏管理器”,在,在“宏有效范围宏有效范围”列表中将不明的自动执行宏删除;列表中将不明的自动执行宏删除;(3 3)首选用最新版的反病毒软件查杀;)首选用最新版的反病毒软件查杀;2424/59/59系统型病毒的存储结构一、一、基本概念基本概念 系统型病毒是指专门传染操作系统的启动扇区,主要是指传染硬盘主引导扇区系统型病毒是指专门传染操作系统的启动扇区,主要是指传染硬盘主引导扇区 和和DOSDOS引导扇区的病毒。引导扇区的病毒。二、二、存储结构存储结构
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机病毒 分析 防范 技术
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内