病毒与反病毒最终版

1、病毒与反病毒最终版生态系统（ Ecosystem）受害者Victims执法者PoliceITTP产业ITTP Industry 电子犯罪者E-Criminals ITTP:全球IT信息技术 议程恶意程序的定义 病毒的起源和发展反病毒技术的发展Q&A病毒的起源 计算机病毒的诞生大约在1959年，磁芯大战是当时贝尔实验室中三个年轻程序人员在工作之余想出来的，它们是麦耀莱（ Douglas Mcllroy ）、维索斯基（ Victor Vysottsky ）以及莫里斯 （ ）。 病毒的发展操作系统以及设备的类型 易用但不安全不断增长的互联网与智能手机用户 中国、拉丁美洲、俄罗斯、印度、 以及APAC

2、的其他地区 受害者与网络犯罪竞争的视角 大批的信息犯罪,恶意程序的的“沸腾”产业操作系统流行的操作系统: 配置灵活但并不稳定用户的意愿决定了设计方向 也便是配置的灵活性优于系统安全性。安全的系统被易用性更强的系统推到一边。(BREW 是一款安全的操作系统 - 但是大家认识它吗？)在不久的将来出现一款足够安全的系统是不太现实的你能猜出这些车型来自哪些汽车厂商吗?操作系统那你又能猜出这些操作系统属于哪个系统厂商呢?操作系统 新的服务模式为手机产业带来更多的效益与收入。 这一切都是因为复制了PC产业的发展。 所有的手机设备都会变得智能起来。 也就会有更多的人来制造手机病毒。智能手机手机恶意程序的严重

3、程度将会和PC平台类似2008年计算机安全状况前20名系统漏洞分布图20个最常见的漏洞类型黑色病毒产业链 病毒编辑者 最终玩家都是金钱惹的祸 专职盗号人员销售渠道灰鸽子产业链示意图互联网攻击泛滥 中国网民深受其害针对中国用户的大部分攻击都以传播木马，盗取网络游戏数据为目的针对社交网站的恶意程序数量激增恶意程序数量爆炸式增长2007年: 每2分钟在Internet上产生至少5个恶意程序2008年: 每2秒钟在Internet上产生至少1个恶意程序来源：卡巴斯基实验室恶意程序的定义议程 病毒的起源和发展反病毒技术的发展Q&A恶意程序的定义什么是计算机病毒？“传播”永远是第一位的计算机病毒是一个程序

4、，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。 Malware（ Malicious + Software）恶意程序（ Malware ）的大类： 病毒（Viruses）和蠕虫 （ Worms） 木马（Trojans） 可疑包（Suspicious Packers） 恶意工具（Malicious Tools）恶意程序的子类：间谍软件（PUPs） 风险软件（ RiskWare） 恶意广告软件（AdWare） 色情软件（ PornWare）卡巴斯基对恶意程序的命名规则前缀: 行为.平台.名称.变种前缀Prefix:对于具有潜在威胁的程序，通常使用前缀. not-a-virus对于以

5、下两个模块发现的程序，通常使用前缀 HEUR：hrueistics(启发式） PDM：Proactive Defense Module（主动防御）行为 行为包括：什么是恶意程序以及它们如何进行传播。 我们做如下分类：蠕虫（Worms） 病毒（Viruses）恶意工具（Malicious tools）木马（ Trojans）可疑包（Suspicious packers）风险软件（RiskWare）色情软件（PornWare）恶意广告软件（AdWare）病毒（Viruses）病毒拥有自我复制功能。通过网络技术进行传播的恶意程序。Net-WormsEmail-WormsP2P-WormsIRC-Wo

6、rmsWorms蠕虫（Worms）恶意程序种类木马（Trojans）Trojan-BankerTrojan-ClickerTrojan-DDoSTrojan-DownloaderTrojan-DropperTrojan-NotiffierTrojan-ProxyTrojan-PSWTrojan-SpyTrojan-MailfinderTrojan-GameThiefTrojan-RamsomTrojan恶意程序种类Rootkits恶意程序使用一些秘密技术来隐藏自身或某些目标。Backdoors恶意程序远程入侵、感染计算机的入口。恶意程序利用软件漏洞进行非法破坏Exploits恶意程序的手段Ha

7、cktools这不是恶意程序，但我们仍然对它进行检测。PE_Patch常规意义上这是一种植入文件的技术平台平台是恶意程序工作的环境 硬件.CPU,Device. (ARM, Sparc,x64) 软件.操作系统, 程序环境. (Win32, Linux, BAT, Python, AutoIt).名称和变种名称名称用来定义一系列相似的恶意程序通常，这些恶意程序只是经过了某些更改或简单的重新编译同一恶意程序的不同形式.变种变种用来定义同一恶意程序的不同编译版本从 .a开始，如下继续：b,c,d ,aa,ab, 恶意程序命名实例前缀: 行为.平台.名称.变种例如 : -HEUR:Virus.Pla

8、tiorm. Generic -HEUR:Worm.Platiorm. Generic 恶意程序的定义议程病毒的起源和发展反病毒技术的发展Q&A反病毒技术的发展反病毒界的“沸腾”的产业针对于不同威胁的相应解决方案:病毒VS反病毒（Anti-*）, 数据访问 VS数据丢失防护(Data Loss Prevention，DLP）, 信息偷盗VS备份不同的方法与技术:黑白名单、 HIPS, Virtualisation, S-Network各种商业模式: Security aaS, Mobile securityM&A:199x: AV, 200 x: AS, 2007: DLP卡巴斯基的技术优势1

9、992 首先在防病毒数据库中使用伪指令技术1992 世界上第一个用于指令解码的虚拟机技术1992 第一个使用内置专用模块的外部病毒定义库1993 第一个可扫描存档和压缩文件中病毒的软件1994 启发式扫描技术在原理上获得突破1997 开发出处理宏病毒的超快速信息库1999 全球第一个OS/2平台上的实时病毒拦截模块1999 全球第一个集成的Linux防病毒系统1999 全球第一个集成的MS Office 2000防病毒系统1999 全球第一个集成在NDS中的Novell NetWare防病毒系统2000 独特的脚本病毒实时拦截器2000 全球第一个针对NTFS数据交换流的防毒系统2001 全球

10、第一个开发出对Postfix及Exim邮件网关的病毒防护2003 全球领先研发出反垃圾邮件分析内核2003 全球领先研发出“I-CHECKER”扫描技术.2005 可以针对CAB、ARJ、ZIP和RAR等格式的压缩文件进行包内清毒2006 发布先进的Rootkit检测和处理技术2007、2008、2009、2010Rootkit扫描 - 为系统深度体检您知道哪个果子里面有虫吗？主动防御 & 启发式扫描家长控制 - 保护儿童健康上网时间控制内容控制级别控制家 长 控 制一切为了孩子！系统版本程序信息中间服务器云处理服务器恶意程序样本信息硬件信息唯一编号卡巴斯基全球安全网络技术预览程序过滤（HIP

11、S）-“活动威胁”才是最大的威胁常规黑名单白名单未知恶意程序间谍软件游戏Skype未授权行为即时消息僵尸网络黑名单受信任程序，允许运行的程序。未授权软件：（信誉未知！）我们能否识别该软件？该软件是否可信？我们是否应该信任该软件？白名单未被认可，不允许运行的程序。程序过滤（HIPS）-应用程序安全分级应用程序权限启动设置 系统文件 安全设置 系统服务 受保护应用程序用户文件 程序设置访问其他进程 系统修改信任网络 局域网 公用网络程序过滤（HIPS）-应用程序控制技术反病毒反垃圾信息防火墙自动更新最少资源占用反盗窃支持Symbian和Windows Mobile手机威胁的终结者 反病毒技术的发展反病毒数据库