第1讲 计算机病毒概述(2)

1、计算机病毒 课程(kchng)介绍王 _wang共六十三页学时设置与考试(kosh)形式课堂教学：24学时(xush)实验教学：12学时课外实验：20学时- 笔试70分+实验成绩20分+平时成绩10分共六十三页教材(jioci)共六十三页教材(jioci)共六十三页我们(w men)需要具备的基础知识对操作系统的基本了解对PE文件格式的基本了解各种编程语言 汇编语言-通过(tnggu)查阅资料看懂汇编程序计算机网络基础共六十三页本课程(kchng)的学习目的了解并掌握计算机病毒产生和传播(chunb)的机理，具备预防、分析和对抗计算机病毒的基本能力。共六十三页教材(j

2、ioci)目录第1章 计算机病毒概述第2章 预备知识第3章 计算机病毒的基本(jbn)机制第4章 DOS病毒分析第5章 Windows病毒分析第6章 病毒技巧共六十三页教材(jioci)目录 第7章 漏洞与网络蠕虫第8章 特洛伊木马与Rootkit第9章 病毒对抗技术(jsh)第10章 计算机病毒的防范第11章 UNIX病毒和手机病毒-X卧底共六十三页其他(qt)参考资料王倍昌，走进计算机病毒，人民邮电出版社，2010年。刘功申，计算机病毒及其防范技术，清华大学出版社。2008年。韩筱卿、王建锋等，计算机病毒分析与防范大全，电子(dinz)工业出版社，2006年。罗云彬，Windows环境下3

3、2位汇编语言程序设计，电子工业出版社，2009年。王爽，汇编语言，清华大学出版社，2008年 共六十三页学习(xux)的几点建议多关注国内外的反病毒相关网站-关注反病毒界所关注的。多看几类病毒样本，写几份详细的样本分析(fnx)报告。不要局限于课堂，要充分利用网络。共六十三页VB100 & VB RAPVB：virus Bulletin ; RAP： reactive and proactive 反应(fnyng)和主动测试共六十三页2010年金山(jn shn)数据共六十三页2013年上半年中国信息安全综合(zngh)报告瑞星云安全系统(xtng)共截获新增病毒样本1633万余个，病毒总体数

4、量比去年下半年增长93.01%，呈现出一个爆发式的增长态势。共六十三页在报告(bogo)期内，广东省病毒感染为2,379万人次，位列全国第一，其次为河北省2,245万人次及河南省2,110万人次。共六十三页比特币：1:266美元汇率引发病毒风暴2013年上半年，比特币在网上异常火爆，其兑换峰值曾高达1比特币兑换266美元。今年3月，一家比特币中介公司就曾遭到黑客(hi k)袭击，被盗走价值1，2480美元的比特币。（约7.7万元人民币）共六十三页留学生频遭QQ高额诈骗利用不法手段获取的留学生QQ号，假冒其本人，骗取家长的信任，以达到诈骗钱财(qinci)的目的。共六十三页APP应用设置(shz

5、h)不当严重威胁人身安全共六十三页移动社交分享(fn xin)成网络跟踪数据源共六十三页虚拟化、云应用日趋成熟 安全风险(fngxin)渐露端倪共六十三页网络(wnglu)钓鱼（Phishing）是一种网络诈骗，通常是骗取用户的银行或游戏的账号、密码等。利用电子邮件“钓鱼”链接虚假网站利用木马程序“钓鱼”记录用户“动作”利用虚假网址(wn zh)“钓鱼”例如和 共六十三页武汉千余出租车计价(j ji)失灵 2008年8月8日凌晨0时许，武汉市千余辆的士的计价器突然死机(s j)，导致人车停岗四小时。 共六十三页网上购物(u w)共六十三页中华人民共和国刑法(xngf)共六十三页计算机病毒第一章

6、 计算机病毒概述(i sh)共六十三页什么(shn me)是计算机病毒？对计算机病毒的理解？与正常(zhngchng)程序的区别？在现实生活中，遇到过哪些计算机病毒攻击？计算机病毒可以通过哪些方式进行传播？共六十三页大家都使用什么样的反病毒软件？你认为(rnwi)反病毒软件是如何工作的？反病毒软件为什么可以查杀病毒？病毒库是做什么的？为什么需要更新病毒库？共六十三页本章(bn zhn)内容计算机病毒的定义计算机病毒的特点 （重点理解）计算机病毒的分类 计算机病毒的命名规则(guz) （掌握）计算机病毒的传播途径计算机病毒的对抗手段 （重点理解）计算机病毒的自我保护技术待发展的计算机病毒对抗技术

7、共六十三页美国计算机病毒研究专家Fred.Cohen 博士： 计算机病毒是一段附着在其它程序上的、可以自我繁殖的程序代码，复制后生成的新病毒同样具有感染(gnrn)其它程序的功能。1. 计算机病毒的定义(dngy)共六十三页又是定义(dngy)中华人民共和国计算机信息系统安全保护条例明确指出： “计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据(shj)，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。此定义具有法律性、权威性。 共六十三页狭义的：一组能够进行自我传播、需要用户 干预来触发执行(zhxng)的破坏性程序或代码。广义的：恶意代码 蠕虫、木马、后门

8、、僵尸(bot)、Rootkit、流氓软件、间谍软件、广告软件、Exploit、黑客工具等。还是(hi shi)定义共六十三页 一段能够进行自我传播(chunb)、无需用户干预而可以自动触发执行的破坏性程序或代码。利用系统漏洞来进行传播蠕虫王、冲击波、震荡波、扫荡波等蠕虫(r chn)（worm）共六十三页 在Win32系统下传染，病毒利用Outlook Express的漏洞，发送带有染毒附件的邮件，当用户(yngh)在预览带有病毒附件的邮件时，附件就会自动执行，从而使用户(yngh)受到该病毒的感染。它将被感染机器的用户密码、键盘日志等发送到指定的邮件地址。电子邮件(din z yu jin

9、)蠕虫病毒-BadTrans.B共六十三页附着在应用程序中或单独存在的一些恶意程序，可以利用网络远程响应网络另一端控制程序的控制命令，实现对被植入了木马程序的目标计算机的控制，或者窃取感染木马程序的计算机上的机密资料。木马程序通常是目标用户被欺骗之后自己触发(chf)执行的。远程控制型木马：灰鸽子、冰河、黑洞等木马(mm)（ Trojan ）共六十三页允许攻击者绕过系统中常规安全控制机制的程序(chngx)，它按照攻击者自己的意图提供通道。后门通常是由攻击者入侵到目标计算机之后由攻击者植入的，与木马不同。后门(humn)（ Back Door）共六十三页僵尸网络（botnet）是指采用一种或多

10、种传播手段，将大量主机感染bot程序，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。大量被植入僵尸程序的电脑通过(tnggu)僵尸控制服务器便可以形成僵尸网络。僵尸(jingsh)（bot）共六十三页Rootkit是能够持久或可靠地、无法被检测的存在于计算机上的一组程序或代码，使得(sh de)攻击者能够保持访问计算机上最高权限的用户“root”。Windows下的Rootkit在功能上以隐藏恶意程序为主。Rootkit共六十三页间谍软件(run jin)广告软件流氓软件黑客工具共六十三页在生命周期中，病毒一般会经历如下(rxi)三个阶段： 潜伏阶段：病毒处于休眠状态，最终会被某

11、些条件激活（日期、某特定程序或特定文件的出现，内存容量超过一定范围等等）传播阶段：将自身复制到其他程序或磁盘的某个区域上。共六十三页 发作阶段：病毒被激活，在系统中发作，会执行某一特定功能从而达到某种既定的目的。病毒发作体现出来的破坏程度是不同的： 表现自己 破坏程序和文件中的数据，甚至(shnzh)毁坏硬件共六十三页为什么会出现(chxin)计算机病毒？来源于对自身软件进行保护。如巴基斯坦病毒。一些计算机爱好者出于好奇或兴趣(xngq)，也有的是为了满足自己的表现欲。用于研究或实验而设计的“有用”程序，由于某种原因失去控制而扩散出来。产生于程序员之间的游戏。如磁芯大战共六十三页政治、军事等特

12、殊目的。基于经济目的，非法组织以盗取用户银行账号、游戏账号等信息为方式以获取经济利益，目前甚至已经形成了盗号黑色产业链。这也是目前计算机病毒泛滥(fnln)的重要原因。共六十三页共六十三页2.计算机病毒的特点(tdin)1）传染性2）破坏性3）隐蔽性4）程序性（可执行性）5）可触发(chf)性6）衍生性7）不可预见性8）欺骗性共六十三页1）传染性: 病毒把自身复制到其他程序、中间存储 介质或主机的性质。区别于正常程序。2）破坏性：良性病毒-降低计算机工作效率，占用系统 资源，如内存空间、磁盘(c pn)存储空间以及系 统运行时间等； 恶性病毒-破坏数据、删除文件、格式化磁 盘、系统崩溃，硬件损

13、坏。共六十三页3）隐蔽性：潜伏阶段和发作阶段4）程序性（可执行性）：只有运行(ynxng)了才能达到目的5）可触发性：触发条件6）衍生性：演变或释放出新病毒7）不可预见性：代码千差万别，制作技术不断提高，针对反病毒软件的对抗永远是超前的。8）欺骗性共六十三页3.计算机病毒的分类(fn li)-按操作系统DOS病毒(bngd)引导区病毒文件型病毒混合型病毒Windows病毒PE病毒宏病毒（Macro）：Word、Excel脚本病毒：VBS、JS其它平台病毒*NIX系列OS/2系统 operating system手机病毒共六十三页单机病毒：单机病毒的载体是U盘、移动硬盘、光盘。常见的如从U盘传入

14、硬盘，感染(gnrn)系统后，再传染其它U盘。U盘又感染其它系统。网络病毒：网络为病毒提供了最好的传播途径，它的破坏力是前所未有的。网络病毒利用计算机网络的协议或命令以及Email等进行传播，常见的是通过QQ、BBS、Email、FTP、Web等传播。 计算机病毒的分类(fn li)-按传播媒介共六十三页4.计算机病毒的命名(mng mng)为了方便的表示病毒的类型和重要特征，一般而言，病毒的名称都可以分成三个部分： 前缀 + 病毒名 + 后缀前缀表示该病毒发作的操作(cozu)平台或者病毒的类型，如:Trojan（ Trojan-Downloader 、 Trojan.PSW），Worm，M

15、acro，PE，VBS，BackDoor，Win32，Win95，如果没有前缀，一般表示DOS操作系统下的病毒。共六十三页病毒名为该病毒的名称及其家族；后缀一般可以不要，只是以此区别在该病毒家族中各病毒的不同，可以为字母表示病毒是某一个家族的第几种(j zhn)变种，或者为数字（数字一般是病毒的大小，以病毒的大小来区分同一家族的不同病毒变种）。如果一个病毒的变种数非常多，则可以用字母与数字混合在一起做为病毒后缀 共六十三页Backdoor. Win32.Hupigon.zqf（卡巴斯基） 灰鸽子：远程控制的软件Worm.Win32.Delf.bd Trojan.PSW.Win32.Online

16、Games.GEN（瑞星） OnlineGames：盗窃网络银行、在线(zi xin)游戏密码共六十三页前缀(qinzhu) + 病毒名 + 后缀按病毒发作的时间命名 ：黑色星期五按病毒发作症状命名：“小球” /“火炬”按病毒自身包含的标志命名：病毒中出现的字符串、病毒标识、存放位置或病毒表现(bioxin)时自身宣布的名称。 如：Stone（石头）病毒，爱虫病毒等等共六十三页按病毒发现地命名 ： Jurusalem(耶路撒冷)病毒，Vienna(维也纳)病毒 按病毒的字节长度命名： 以病毒传染文件(wnjin)时文件(wnjin)的增加长度或病毒自身代码的长度来命名。如1575、2153、1

17、701、1704、1514、4096 等不同的反病毒公司可能对同一病毒的命名各不相同共六十三页5.病毒的传播(chunb)途径-传播手段多元化共六十三页共六十三页6.计算机病毒对抗(dukng)手段（1） 特征码扫描 利用病毒留在被感染文件中的病毒特征值（即每种病毒所独有的十六进制代码串）进行检测。 优点：速度(sd)快，误报率低，是检测已知病毒最简单、开销最小的方法。缺点：无法检测新病毒 变形病毒增多，特征库体积庞大，速度下降共六十三页（2） 启发式扫描 以特定方式实现的动态调试器或静态反编译器，通过对有关指令序列的提取(tq)和分析逐步理解并确定其蕴藏的真正动机。 针对PE病毒：根据PE文

18、件在格式上的特征制定启发式 分析方法，如代码是否从最后一节开始执行、是否重定位。优点：可能检测到未知病毒缺点：误报 共六十三页（3）虚拟机（ Virtual Machine ）技术 实现了一个虚拟机来仿真CPU、内存管理系统等系统组件，进而(jn r)模拟代码执行过程，这样病毒就是在扫描器的虚拟机中模拟执行，而不是被真实的CPU执行。优点：检测加密和多态病毒、动态解密程序。共六十三页（4） 主动防御技术 全程监视进程行为通过对病毒的行为特征(tzhng)进行分析采用启发式的判断来进行病毒防御。相对于以上集中扫描方法而言，主动防御更准确的说是一种实时监控技术。 共六十三页7. 计算机病毒自我(zw)保护技术 （1） 加壳变形 逃避检测和提高病毒的生命周期 （2） 直接对抗杀毒软件躲避现有(xin yu)病毒检测技术、绕过反病毒软件，增加自身的生命周期。终结反病毒软件或其部分功能。共六十三页8. 待发展(fzhn)的计算机病毒对