计算机网络安全技术ch7.ppt

第7章 计算机病毒防治技术,本章学习目标,病毒的分类、特点和特征、运行机制 反病毒涉及的主要技术 病毒的检测和防治技术、措施 防病毒软件的性能特点、选购指标、工作原理 构筑防病毒体系的基本原则,7.1 计算机病毒概述 7.1.1 计算机病毒的定义,“计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。“病毒”一词来源于生物学，因为通过分析研究，人们发现计算机病毒在很多方面与生物病毒有着相似之处。 “计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。 在中华人民共和国计算机信息系统安全保护条例中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。,7.1.2 病毒的发展历史,计算机病毒发展简史 世界上第一例被证实的计算机病毒是在1983年，大范围流行始于20世纪90年代。早期出现的病毒程序是一种特洛伊木马程序，它是一段隐藏在计算机中的恶毒程序，当计算机运行一段时间或一定次数后就使计算机发生故障。但由于当时计算机的功能有限，因此并未广泛传播。 1983年出现了计算机病毒传播的研究报告，公布了病毒程序的编写方法。同时有人提出了蠕虫（Worm）病毒程序的设计思想。 1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序（当时未给它命名）。这个程序用C语言写了一段自我复制的程序，还插入一段特洛伊木马程序，用来寻找UNIX注册命令的代码。 1988年11月2日晚，美国康尔大学研究生罗特莫里斯将计算机病毒蠕虫投放到网络中。该病毒程序迅速扩展，至第二天凌晨，病毒从美国东海岸传到西海岸，造成了大批计算机瘫痪，甚至欧洲联网的计算机都受到影响，直接经济损失近亿美元。这是自计算机出现以来最严重的一次计算机病毒侵袭事件，它引起了世界各国的关注。,计算机病毒在中国的发展情况,在我国，80年代后期已发现有计算机病毒，80年代末，有关计算机病毒进入90年代，计算机病毒在国内的泛滥更为严重。1982年“黑色星期五”病毒侵入我国，某地民航定票网络在星期五这天因病毒发作而受到严重损害，几乎瘫痪。 1985年在国内发现更为危险的“病毒生产机”，它能自动生成大量“同族”新病毒，并且这些病毒可加密、解密，生存能力和破坏能力极强。这类病毒有1537、CLME等。 CIH病毒是首例攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。CIH病毒是由台湾人编写的（CIH是台湾人陈盈豪的英文缩写），目前发现有三个版本，发作时间一般是每月26日。其中1.3版为6月26日发作，1.4版为每月的26日发作。由于该病毒一般隐藏在盗版光盘、软件、游戏程序中，并能通过Internet迅速传播到世界各地，因此，破坏性极大。病毒发作时，通过复制的代码不断覆盖硬盘系统区，损坏BIOS和主引导区数据，看起来硬盘灯在闪烁，但再次启动时，计算机屏幕便一片漆黑，此时用户硬盘上的分区表已被破坏，数据很难再恢复，它给网络系统带来的损失更严重。,从第一个病毒问世以来，世界上究竟有多少种病毒，说法不一。据国外统计，计算机病毒以10种/周的速度递增。另据我国公安部统计，国内以4种/月的速度递增。目前全世界已知的计算机病毒已超过4万余种，并以每年40%的速度增加，主要病毒已从过去的引导型、文件型发展为宏病毒和网络病毒。特别是随着计算机网络的发展和Internet的普及，病毒传播的速度越来越快，并成为病毒的主要传播途径。 现在，病毒的发展呈现出两个新的趋势：第一，病毒的攻击对象已经从原来个人主机上的文件、内存资源、CPU资源转向网络带宽、网络服务器，而且从工作模式上推断，今后很可能出现诸如对DNS、路由器等网络服务器攻击的病毒；第二，病毒结合了传统病毒自动传播技术和黑客缓冲溢出技术的特点，一旦爆发就会具有规模效应。,7.1.3 病毒的分类,对计算机病毒的命名，各个组织或公司不尽相同。有时对同一种病毒，不同的软件会报出不同的名称。如“SPY”病毒，在KILL中叫SPY，KV3000则叫“TPVO-3783”。给病毒起名的方法不外乎以下几种：按病毒出现的地点；按病毒中出现的人名或特征字符；按病毒发作时的症状命名，如“火炬”、“蠕虫”；按病毒的发作时间，如“黑色星期五”病毒，在星期五的那天同时又是13日就发作；有些名称包含病毒代码的长度等。,按感染方式分,引导型病毒 利用软盘或硬盘的启动原理工作，修改系统的引导扇区（在硬盘中称为主引导记录MBR）。病毒感染引导扇区后，在操作系统启动之前病毒就会被读入内存，并首先取得控制权。在这种状态下，只要在计算机中插入其他软盘等外部存储介质，就都会被感染。 文件型病毒 一般只感染磁盘上的可执行文件.COM、.EXE等。在用户调用染毒的执行文件时，病毒首先运行，然后病毒驻留内存，伺机感染给其他可感染文件。其特点是附着于正常程序文件中，成为程序文件的一个外壳或部件。有覆盖感染型、追加感染型和插空感染型三种。 混合型病毒 它兼有上两种病毒特点，既感染引导区又感染文件，因此这种病毒更易感染。,按连接方式分,源码型病毒 较为少见，亦难编写、传播。因为它要攻击高级语言编写的源程序，在源程序编译之前插入其中，并随源程序一起编译、连接成可执行文件。这样刚刚生成的可执行文件便已经带毒了。 入侵型病毒 可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序，针对性强。一般情况下也难以发现和清除。 操作系统病毒 可用其自身部分加入或替代操作系统的部分功能。因其直接感染操作系统，这类病毒的危害性也较大。 外壳型病毒 它将自身附在正常程序的开头或结尾，相当于给正常程序加了个外壳。大部分的文件型病毒都属于这一类。,按破坏性分,良性病毒 它只是为了表现其存在，如只显示某项信息，或播放一段音乐，对源程序不做修改，也不直接破坏计算机的软硬件，对系统的危害较小。但是这类病毒的潜在破坏性还是有的，它使内存空间减少，占用磁盘空间，与操作系统和应用程序争抢CPU的控制权，降低系统运行效率等。 恶性病毒 这种病毒会对计算机的软件和硬件进行恶意的攻击，使系统遭到不同程度的破坏，如破坏数据、删除文件、格式化磁盘、破坏主板、导致系统死机、网络瘫痪等。因此恶性病毒非常危险。,网络病毒,指在网上运行和传播，影响和破坏网络系统的病毒。 上面这些分类都是相对的，同一种病毒按不同的分类方法可属于不同的类型。,7.1.4 病毒的特点和特征,要做好防病毒技术的研究，首先要认清计算机病毒的特点和行为机理，为防范和清除计算机病毒提供充实可靠的依据。 现根据计算机病毒的产生、感染和破坏行为的分析，总结出病毒的主要特点。,病毒的主要特点（1）,刻意编写，人为破坏 计算机病毒不是偶然自发产生的，而是人为编写的、有意破坏的、严谨精巧的程序段，能与所在环境相互适应并紧密配合。 自我复制能力 自我复制能力也称“再生”或“感染”。再生机制是判断是不是计算机病毒的最重要的依据。在一定条件下，病毒通过某种渠道从一个文件或一台计算机感染到另外没有被感染的文件或计算机，病毒代码就是靠这种机制大量传播和扩散的。 夺取系统控制权 病毒为了完成感染、破坏系统的目的，必然要取得系统的控制权，这是计算机病毒的另外一个重要特点。,病毒的主要特点（2）,隐蔽性 在感染上病毒后，计算机系统一般仍然能够运行，被感染的程序也能正常执行，用户不会感到明显的异常，这便是计算机病毒的隐蔽性。 潜伏性 大部分病毒在感染系统后一般不会马上发作，它可长期隐藏在系统中，除了感染外，不表现出破坏性，这样的状态可能保持几天，几个月甚至几年，只有在满足其特定的触发条件后才启动其表现模块，显示发作信息或进行系统破坏。 不可预见性 不同种类病毒的代码千差万别，病毒的制作技术也在不断提高。同反病毒软件相比，病毒永远是超前的。,使计算机病毒发作的触发条件,利用系统的时间作为触发器，这种触发机制被大量病毒使用。 利用病毒体自带的计数器作为触发器。病毒利用计数器记录某种事件发生的次数，一旦计数器达到设定的值，就执行破坏操作。这些事件可以是计算机开机的次数，可以是病毒程序被运行的次数，还可以是从开机起被运行过的程序数量等。 利用计算机内执行某些特定操作作为触发器。特定操作可以是用户按下某些特定键的组合，可以是执行的命令，也可以是对磁盘的读写等。 被病毒使用的触发条件多种多样，而且往往是由多个条件组合触发。大多数病毒组合条件是基于时间的，再辅以读写盘操作、按键操作以及其他条件。,计算机病毒的特征,攻击对象趋于混合型 反跟踪技术 增强隐蔽性 避开修改中断向量值 请求在内存中的合法身份 维持宿主程序的外部特性 不使用明显的感染标志 加密技术处理 对程序段动态加密 对显示信息加密 对宿主程序段加密 病毒繁衍不同变种,7.1.5 病毒的运行机制,病毒的主要隐藏之处 可执行文件 引导扇区 表格和文档 Java小程序和ActiveX控件 典型的病毒运行机制可以分为感染、潜伏、繁殖和发作4个阶段 感染是指病毒自我复制并传播给其他程序 潜伏是指病毒等非法程序为了逃避用户和防病毒软件的监视而隐藏自身行踪的行为 繁殖是病毒程序不断地由一部计算机向其他计算机进行传播的状态 发作是非法程序所实施的各种恶意行动,第一阶段感染,目前，病毒主要通过电子邮件、外部介质、下载这三种途径进入用户的计算机，其中九成以上的病毒是通过电子邮件感染的，Internet正在逐步成为病毒入侵的主要途径。 电子邮件 外部介质 下载,无论是文件型病毒还是引导型病毒，其感染过程总的来说是相似的，可归纳如下： 驻入内存。病毒停留在内存中，监视以后系统的运行，选择机会进行感染。 判断感染条件。对目标进行判断，以决定是否对其进行感染。 感染。通过适当的方式把病毒写入磁盘。文件型病毒与引导型病毒在感染上的主要区别是其感染模块激活的方式不同，引导型多用INT 13H，文件型多用INT 21H。,第二阶段潜伏,隐蔽是指病毒为了隐藏程序文件已被感染病毒的事实，向用户和防病毒软件提供虚假文件尺寸。比如，用户运行受病毒感染的文件后，病毒不仅会感染其他文件，还常驻内存并开始监视用户操作。如果用户运行文件列表显示等命令查看文件尺寸时，病毒就会代替操作系统提供虚假信息，使用户很难察觉到程序文件已经受到病毒感染的事实 . 自我变异是指病毒通过实际改变自身的形态（病毒特征代码），来逃避防病毒软件的检测。由于在每次感染时都会有不同的病毒特征代码，因此即便与防病毒软件掌握的特征代码相对照，也不会被发现。因此，也有人把此类病毒称为变形病毒。,第三阶段繁殖,现在，病毒主要通过电子邮件入侵计算机。蠕虫病毒就是通过电子邮件进行繁殖的典型。最近发生的大规模病毒感染事件都与蠕虫分不开，有Windows蠕虫和UNIX蠕虫。 梅莉莎是最具代表性的Windows蠕虫病毒。该蠕虫属于感染Word文档文件的宏病毒，会随意使用Word宏功能，启动电子邮件软件Outlook，然后把包括病毒自身副本的Word文档文件作为电子邮件附件发送给Outlook地址薄中前50个邮件地址用户。用户一旦打开或运行该附件，在感染Word的同时，也开始进行蠕虫繁殖。其缺陷是：只能被动地等着计算机用户去运行附件。 UNIX蠕虫的最大特点是：不需用户进行任何操作，即可完全自动地通过网络进行繁殖。因为运行UNIX系统的计算机大都是作为服务器来使用的。所以，UNIX蠕虫首先在合适的IP地址范围内，查找正在运行UNIX操作系统，且具有某种特定安全漏洞的服务器，再利用安全漏洞由外部执行命令，向服务器内部发送并运行蠕虫病毒。,第四阶段发作,大部分病毒都是在一定条件下才会发作。在结构上分为两个部分，一部分判断发作的条件是否满足，另一部分执行破坏功能。 发作的条件一般会与时钟或时间有关，因而病毒程序最常修改的中断除了如病毒感染利用的INT 13H、INT 21H外，还有如破坏模块利用的INT 8（硬时钟中断），INT 1CH（软时钟中断）及INT 1AH（读取/设立系统时间、日期）。常见的触发条件有：黑色星期五（某月的13号正好是星期五）；当前时间是整点或半点；病毒进入内存已半小时了等。 病毒的破坏行为、主要破坏目标和破坏程度取决于病毒制作者的主观愿望和其技术能力。不同的病毒，其破坏行为各不相同。,病毒破坏行为归纳,攻击系统数据区。攻击部位包括硬盘主引导区、boot（自举）扇区、FAT表、文件目录。 攻击文件。病毒对文件的攻击方式很多，如删除、改名、替换内容、丢失簇、对文件加密等。 攻击内存。病毒攻击内存的方式有大量占用、改变内存总量、禁止分配和蚕食内存等。 干扰系统运行，使运行速度下降。 干扰键盘、喇叭或屏幕。 攻击CMOS。在机器的CMOS中，保存着系统的重要数据，有的病毒激活时，能够对CMOS区进行写入动作，破坏CMOS中的数据。 干扰打印机。假报警、间断性打印、更换字符。 网络病毒破坏网络系统。非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。,7.2 网络计算机病毒,网络计算机病毒实际上是一个笼统的概念。一种情况是，网络计算机病毒专指在网络上传播、并对网络进行破坏的病毒；另一种情况是指HTML病毒、E-mail病毒、Java病毒等与Internet有关的病毒。,7.2.1 网络计算机病毒的特点,Internet的飞速发展给反病毒工作带来了新的挑战。Internet上有众多的软件供下载，有大量的数据交换，这给病毒的大范围传播提供了可能。Internet衍生出一些新一代病毒，即Java及ActiveX病毒。它不需要停留在硬盘中，且可以与传统病毒混在一起，不被人们察觉。更厉害的是它们可以跨操作系统平台，一旦遭受感染，便毁坏所有操作系统。网络病毒一旦突破网络安全系统，传播到网络服务器，进而在整个网络上感染、再生，就会使网络系统资源遭到致命破坏。 计算机网络的主要特点是资源共享。一旦共享资源感染上病毒，网络各节点间信息的频繁传输将把病毒感染到共享的所有机器上，从而形成多种共享资源的交叉感染。病毒的迅速传播、再生、发作将造成比单机病毒更大的危害。,网络环境中病毒具有的新特点,感染方式多 感染速度快 清除难度大 破坏性强 可激发性 潜在性,7.2.2 网络对病毒的敏感性,网络对文件病毒的敏感性 网络服务器上的文件病毒 端到端网络上的文件病毒 Internet上的文件病毒 网络对引导病毒的敏感性 网络服务器上的引导病毒 端到端网络上的引导病毒 Internet上的引导病毒 网络对宏病毒的敏感性 网络服务器上的宏病毒 端到端网络上的宏病毒 Internet上的宏病毒,7.3 反病毒技术 7.3.1 反病毒涉及的主要技术,实时监视技术 为计算机构筑起一道动态、实时的反病毒防线，通过修改操作系统，使操作系统本身具备反病毒功能，拒病毒于计算机系统之门外。 自动解压缩技术 全平台反病毒技术 为了将反病毒软件与系统的底层无缝连接，可靠地实时检查和杀除病毒，必须在不同的平台上使用相应平台的反病毒软件，在每一个点上都安装相应的反病毒模块，才能做到网络的真正安全和可靠。,7.3.2 病毒的检测,异常情况判断 屏幕出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落的雨点、字符、树叶等，并且系统很难退出或恢复。 扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的声音。 磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继续工作。 硬盘不能引导系统。 磁盘上的文件或程序丢失。 磁盘读/写文件明显变慢，访问的时间加长。 系统引导变慢或出现问题，有时出现“写保护错”提示。 系统经常死机或出现异常的重启动现象。 原来运行的程序突然不能运行，总是出现出错提示。 打印机不能正常启动 。 观察上述异常情况后，可初步判断系统的哪部分资源受到了病毒侵袭，为进一步诊断和清除做好准备。,计算机病毒的检查 检查磁盘主引导扇区 检查FAT表 检查中断向量 检查可执行文件 检查内存空间 根据特征查找,7.3.3 病毒的防治,建立、健全法律和管理制度 在相应的法律和管理制度中明确规定禁止使用计算机病毒攻击、破坏的条文，以制约人们的行为，起到威慑作用 凡使用计算机的单位都应制定相应的管理制度，避免蓄意制造、传播病毒的事件发生 加强教育和宣传 大力宣传计算机病毒的危害，引起人们的重视 普及计算机硬、软件的基本知识 加强软件市场管理，加强版权意识的教育，打击盗版软件的非法出售 要严格控制病毒的研究和管理 采取更有效的技术措施 系统安全 软件过滤 文件加密 生产过程控制 后备恢复 其他有效措施,其他有效技术措施,重要的磁盘和重要的带后缀.COM和.EXE的文件赋予只读功能，避免病毒写到磁盘上或可执行文件中。 消灭感染源。也就是对被计算机感染的磁盘和机器彻底消毒处理，使感染源在短时间内同时被消灭 。 建立程序的特征值档案。 严格内存管理。 严格中断向量的管理。 强化物理访问控制措施，可有效地防止病毒侵入系统。 一旦发现病毒蔓延，要采用可靠的杀毒软件和请有经验的专家处理，必要时需报告计算机安全监察部门，特别要注意不要使其继续扩散。,网络计算机病毒的防治,在网络中，尽量多用无盘工作站，不用或少用有软驱的工作站。 在网络中，要保证系统管理员有最高的访问权限，避免过多地出现超级用户。 对非共享软件，将其执行文件和覆盖文件如*.COM，*.EXE，*.OVL等备份到文件服务器上，定期从服务器上复制到本地硬盘上进行重写操作。 接收远程文件输入时，一定不要将文件直接写入本地硬盘，而应将远程输入文件写到软盘上，然后对其进行查毒，确认无毒后再复制到本地硬盘上。 工作站采用防病毒芯片，这样可防止引导型病毒。 正确设置文件属性，合理规范用户的访问权限。 建立健全网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测。 目前预防病毒最好的办法就是在计算机中安装防病毒软件。 为解决网络防病毒的要求，已出现了病毒防火墙，在局域网与Internet、用户与网络之间进行隔离。,电子邮件病毒的防范措施,不要轻易打开陌生人来信中的附件文件 。 对于比较熟悉、了解的朋友们寄来的信件，如果其信中夹带了程序附件，但是他却没有在信中提及或是说明，也不要轻易运行 。 给别人发送程序文件甚至包括电子贺卡时，一定要先在自己的计算机中试试，确认没有问题后再发，以免好心办了坏事 。 不断完善“网关”软件及病毒防火墙，加强对整个网络入口点的防范 。 使用优秀的防毒软件对电子邮件进行专门的保护。 使用防毒软件同时保护客户机和服务器 。 使用特定的SMTP杀毒软件 。,7.4 软件防病毒技术,防治计算机病毒的最常用方法是使用防病毒软件。但使用防病毒软件是治标不治本的办法，一旦有新的计算机病毒出现，防病毒软件就要被迫相应地升级，它永远落后于计算机病毒的发展，所以计算机病毒的防治根本还是在于完善操作系统的安全机制。,7.4.1 防病毒软件的选择,防病毒软件应有的性能特点 能实时监控病毒可能的入口 。 能扫描多种文件，包括压缩文件、电子邮件、网页和下载的文件等 。 能定期更新 。 用户界面友好，能进行远程安装和管理 。 服务优良，技术支持及时、到位，即发现一个新病毒后很短时间内就能获得防治方法 。,防病毒软件的选购指标,选购防病毒、杀病毒软件，需要注意的指标包括扫描速度、正确识别率、误报率、技术支持水平、升级的难易度、可管理性和警示手段等多个方面。 一般应选择每30秒钟能够扫描1 000个文件以上的防毒软件。 使用一定数量的病毒样本进行测试，正规的测试数量应该在10 000种以上，如果测试的是变形病毒，则每种病毒的变种数量应在200种以上 。 可靠、有效地清除病毒，并保证数据的完整性，是一件非常必要和复杂的工作。,上网一族常用的防病毒软件 Virus Scan For Win 95 Web ScanX For Win 95或NT eSafe Protect For Win 95 著名杀毒软件公司的站点地址 瑞星公司： 北京江民新技术公司 ： McAfee VirusScan: /down/downeval.asp,7.4.2 防病毒软件工作原理,病毒扫描程序 病毒扫描程序是在文件和引导记录中搜索病毒的程序。它只能检测出已经知道的病毒，对于防止新病毒和未知病毒感染几乎没有什么帮助。多数杀毒软件在它们的反病毒产品套件中都提供某种类型的病毒扫描程序。 串扫描算法；入口点扫描算法；类属解密法。 内存扫描程序 内存扫描程序采用与病毒扫描程序同样的基本原理进行工作。它的工作是扫描内存以搜索内存驻留文件和引导记录病毒,完整性检查器 完整性检查器的工作原理基于如下的假设：在正常的计算机操作期间，大多数程序文件和引导记录不会改变。这样，计算机在未感染状态，取得每个可执行文件和引导记录的信息指纹，将这一信息存放在硬盘的数据库中。这些信息可以用于验证原来记录的完整性。在验证时，如果发现文件中的指纹与数据库中的指纹不同，则说明文件已经改变，极有可能已遭病毒感染。大多数完整性检查器会从程序文件中保留以下信息：可执行文件内容的循环冗余校验和；程序入口的前几条机器语言指令；程序的长度、日期和时间 。