Security10计算机病毒与反病毒-智能信息安全.ppt

智能信息安全 Intelligent Information Security,孙松林 北京邮电大学 Email: ,计算机病毒与反病毒,计算机病毒概述 计算机病毒的表现现象 计算机病毒制作技术 计算机病毒的技术防范 计算机病毒检测方法 计算机病毒免疫,计算机病毒定义,计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。,1949年，冯.诺依曼复杂自动机组织论，提出了计算机程序能够在内存中自我复制，即已把病毒程序的蓝图勾勒出来。 1987年10月，在美国发现世界上第一例计算机病毒（Brian）,罗伯特-莫里斯(Robert Morris),在康奈尔大学编制蠕虫病毒，1988年在MIT的第一次工作过程中戏剧性地散播出了网络蠕虫病毒后，“Hacker”一词开始在英语中被赋予了特定的含义。 在此次的事故中成千上万的电脑受到了影响，并导致了部分电脑崩溃。,计算机病毒概述,计算机病毒的特点 传染性 隐蔽性 潜伏性 破坏性 不可预见性,计算机病毒概述,计算机病毒的传播途径 不可移动的计算机硬件设备：即利用专用集成电路芯片(ASIC)进行传播 移动存储设备：包括软盘、CD-ROM、ZIP和JAZ盘等。其中软盘是使用广泛、移动频繁的存储介质，因此也成为了计算机病毒寄生的“温床”。盗版光盘上的软件和游戏及非法拷贝也是目前传播计算机病毒的主要途径。由于移动盘使用方便，很多计算机用户都选择使用它来进行数据文件的存储和拷贝，无形中使得盘成为这些病毒和恶意木马程序传播的载体，给计算机用户的数据安全和系统的正常使用带来很大危害。硬盘是现在数据的主要存储介质，因此也是计算机病毒感染的重灾区。,计算机病毒概述,网络：随着Internet的风靡，给病毒的传播又增加了新的途径，并成为第一传播途径。Internet开拓性的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet带来的一种威胁来自文件下载，另一种威胁来自电子邮件。网络使用的简易性和开放性使得这种威胁越来越严重。 点对点通信系统和无线通道：目前，这种传播途径随着手机功能性的开放和增值服务的拓展，已经成为有必要加以防范的一种病毒传播途径。随着智能手机的普及，通过彩信、上网浏览与下载到手机中的程序越来越多，不可避免的会对手机安全产生隐患，手机病毒会成为新一轮电脑病毒危害的“源头”。,计算机病毒概述,计算机病毒的生命周期 创造期 孕育期 潜伏期 发病期 根除期,计算机病毒概述,计算机病毒的分类 按照计算机病毒攻击的系统分类 1）攻击DOS系统的病毒 2）攻击Windows 系统的病毒 3）攻击UNIX系统的病毒 4）攻击OS/2系统的病毒,计算机病毒概述,按照病毒攻击的机型分类 1）攻击微型计算机的病毒 2）攻击小型机的计算机病毒 3）攻击工作站的计算机病毒 按照计算机病毒的链接方式分类 1）源码型病毒 2）嵌入型病毒 3）外壳型病毒 4）操作系统型病毒,计算机病毒概述,按照计算机病毒的破坏情况分类 1）良性计算机病毒 2）恶性计算机病毒 按照计算机病毒的寄生部位或传染对象分类 1）磁盘引导区传染的计算机病毒 2）操作系统传染的计算机病毒 3）可执行程序传染的计算机病毒,计算机病毒概述,按照计算机病毒激活的时间分类 1）定时病毒 2）随机病毒 按照传播媒介分类 1）单机病毒 2）网络病毒 按照寄生方式和传染途径分类 1）引导型病毒 2）文件型病毒 3）混合型病毒,计算机病毒概述,计算机病毒的结构 计算机病毒程序一般包括3个功能模块：引导模块、传染模块、表现模块。 计算机病毒的结构,计算机病毒概述,病毒程序流程,计算机病毒制作技术,脚本语言与ActiveX技术 采用自加密技术 采用变形技术 采用特殊的隐形技术 对抗计算机病毒防范系统 反跟踪技术 中断与计算机病毒,常见病毒,蠕虫 冲击波蠕虫 特洛伊木马 宏病毒 CIH病毒 ,蠕虫,蠕虫是一种程序 可以自我复制并可以在操作系统外部传播 可以使用电子邮件或其他的传输机制来将自己从一台计算机复制到另一台计算机 可以破坏计算机数据和安全性 其破坏方式在很多方面都和病毒相同，所不同的是，蠕虫是在系统间进行自身复制。,特洛伊木马,特洛伊木马是一种看起来无害的程序，它设计成诱骗用户认为它是有用的程序，当它在运行时却执行有害的操作。 特洛伊木马程序不像病毒和蠕虫那样进行自我传播。 该程序一般是通过从 Internet 下载的方式来获取的。 大多数病毒防护程序都只检测有限数量的特洛伊木马程序。,宏病毒,宏病毒利用应用程序自身的宏编程语言来散布病毒，这些宏可能会破坏文档或其他计算机软件；能够感染 Word 文件，以及使用编程语言的其他任何应用程序。 与操作系统病毒不同，宏病毒不感染程序，只感染文档和模板。 如果打开的文档或模板中带有宏病毒，病毒就会感染系统并扩散到系统中的其他文档和模板。 宏病毒还会在平台之间散布。例如，宏病毒不仅能感染 Windows 平台上的文件，还能感染 Macintosh 平台上的文件。,计算机病毒的技术防范,计算机病毒防范，是指通过建立合理的计算机病毒防范体系和制度，及时发现计算机病毒的侵入，并采取有效的手段阻止计算机病毒的传播和破坏，恢复受影响的计算机系统和数据。,计算机病毒的技术防范,计算机病毒的技术防范措施 新购置的计算机硬软件系统的测试 计算机系统的启动 单台计算机系统的安全使用 重要数据文件要有备份 下载文件要检查 计算机网络的安全使用 点对点通信系统 无线通信网,计算机病毒的技术防范,常见反病毒技术 实时反病毒技术 VxD(虚拟设备驱动)机制 虚拟机技术 主动内核技术 启发扫描的反病毒技术 邮件病毒防杀技术 宏指纹识别技术,计算机病毒检测方法,比较法 比较法是用原始备份与被检测的引导扇区或被检测的文件进行比较 比较法的好处是简单、方便，不需专用软件，还可以发现那些尚不能被现有的查毒程序发现的计算机病毒 缺点是无法确认计算机病毒的种类名称,计算机病毒检测方法,加总对比法 根据每个程序的档案名称、大小、时间、日期及内容，加总为1个检查码，再将检查码附于程序后面，或是将所有检查码放在同一个数据库中，再利用此加总对比系统，追踪并记录每个程序的检查码是否被更改，以判断是否感染了计算机病毒 这种技术可侦测到各式的计算机病毒，包括未知病毒 缺点是误判断高，无法确认病毒种类，无法侦测隐形计算机病毒,计算机病毒检测方法,搜索法(扫描法) 用每一种计算机病毒体含有的特定字符串对被检测的对象进行扫描；搜索法是今天使用最为普遍的计算机病毒检测方法 特征串选择的好坏，对于病毒的发现具有决定作用；但是如何提取特征串，则需要足够的有关知识 缺点：当被扫描的文件很长时，扫描所花时间也越多；不容易选出合适的特征串；计算机病毒代码库未及时更新时，无法识别出新的计算机病毒；不易识别变形计算机病毒等,计算机病毒检测方法,分析法 分析法是针对未知新病毒采用的技术 分析法的使用人员主要是反计算机病毒的技术专业人员 分析的步骤分为静态分析和动态分析2种,计算机病毒检测方法,人工智能陷阱技术和宏病毒陷阱技术 软件仿真扫描技术 先知扫描技术,计算机病毒免疫,针对某一种病毒进行的计算机病毒免疫 根据病毒传染标志来实现：由于有些病毒在感染其他程序时要先判断是否已被感染过，即欲攻击的宿主程序是否已有相应病毒传染标志，如有则不再感染。因此，可人为地在健康程序中添加病毒传染标志，起到免疫效果。,计算机病毒免疫,基于自我完整性检查的计算机病毒的免疫方法 目前这种方法只能用于文件而不能用于引导扇区 为可执行程序增加一个免疫外壳，同时在免疫外壳中记录有关用于恢复自身的信息 执行程序时，免疫外壳先运行，检查自身的程序大小、校验和、生成日期和时间等情况，没有发现异常后，再转去执行受保护的程序,专题二 手机病毒介绍,手机病毒的概念,手机病毒也是一种计算机程序，和其它计算机病毒（程序）一样具有传染性、破坏性。它可利用发送短信、彩信，电子邮件，浏览网站，下载铃声等方式进行传播。手机病毒可能会导致用户手机死机、关机、资料被删、向外发送垃圾邮件、拨打电话等，甚至还会损毁 SIM卡、芯片等硬件。,手机病毒的历史,手机病毒的首次出现是在2000年6月，世界上第一个手机病毒VBS。Timofonica在西班牙出现，该病毒通过西班牙电信公司“Telefonica”的移动系统向系统内的用户发送脏话等垃圾短信。 该病毒最多只能被算作短信炸弹。真正意义上的手机病毒直到2004年6月才出现-“Cabir”蠕虫病毒。这种病毒通过诺基亚60系列手机复制，然后不断寻找安装了蓝牙的手机,手机病毒的工作原理,手机中的软件是嵌入式操作系统（固化在芯片中的操作系统，一般由 JAVA、C+等语言编写），相当于一个小型的智能处理器，因此和计算机一样会遭受病毒攻击。而且，短信也不只是简单的文字，其中包括手机铃声、图片等信息，都需要手机中的操作系统进行解释，然后显示给手机用户，手机病毒就是靠软件系统的漏洞来入侵手机的。,手机病毒的危害,1导致用户信息被窃。 2传播非法信息。 3破坏手机软硬件 4造成通讯网络瘫痪,Cabir 目标手机：Symbian OS S60平台手机 主要危害：干扰蓝牙通讯，加大电力消耗 Cabir是一个通过蓝牙传播的病毒，可以伪装成名为“Caribe.sis”的Symbian软件。当文件被执行后，手机的屏幕上会提示“Install Caribe”一旦点击“Yes”安装，手机屏幕上会显示“Caribe-VZ/29a”，并且会对Symbian操作系统进行修改。此后用户每次打开手机时，Cabir也随之启动。,几种常见的手机病毒,Commwarrior. 目标手机：Symbian OS S60平台手机主要危害：只要一开机，它会在被感染的手机上复制数份拷贝，并通过手机中的号码薄利用MMS方式将拷贝发送给机主的联系人，同时会像Cabir通过蓝牙不断搜寻其