计算机病毒-课件

病毒的防治及应急处理1病毒的防治及应急处理1一、计算机病毒的概念定义：计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。（国外）定义：计算机病毒是指破坏计算机功能或者数据，并能自我复制的程序。（国内）病毒发展史：1977年科幻小说《TheAdolescenceofP-1》描写计算机病毒1983年FredAdleman首次在VAX11/750上试验病毒；1986年Brain病毒在全世界传播；1988年11月2日Cornell大学的Morris编写的Worm病毒袭击美国6000台计算机，直接损失尽亿美元；八十年代末，病毒开始传入我国；2一、计算机病毒的概念定义：计算机病毒是一段附着在其他程序上的病毒产生的原因：计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大。1）寻求刺激：自我表现；恶作剧；2）出于报复心理。病毒的特征：传染性；寄生性；衍生性；隐蔽性；潜伏性；可触发性；夺取控制权；破坏性与危害性；3病毒产生的原因：3病毒的分类：按破坏性分为：良性；恶性。按激活时间分为：定时；随机按传染方式分为：引导型：当系统引导时进入内存，控制系统；文件型：病毒一般附着在可执行文件上；混合型：既可感染引导区，又可感染文件。按连接方式分为：OS型：替换OS的部分功能，危害较大；源码型：要在源程序编译之前插入病毒代码；较少；外壳型：附在正常程序的开头或末尾；最常见；入侵型：病毒取代特定程序的某些模块；难发现。4病毒的分类：4按照病毒特有的算法分为：伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。变型病毒（幽灵病毒）：使用复杂算法，每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。5按照病毒特有的算法分为：5病毒的组成：安装模块：提供潜伏机制；传播模块：提供传染机制；触发模块：提供触发机制；其中，传染机制是病毒的本质特征，防治、检测及杀毒都是从分析病毒传染机制入手的。病毒的症状：启动或运行速度明显变慢；文件大小、日期变化；死机增多；莫名其妙地丢失文件；磁盘空间不应有的减少；有规律地出现异常信息；自动生成一些特殊文件；无缘无故地出现打印故障。6病毒的组成：6计算机病毒的传播途径1）通过不可移动的设备进行传播较少见，但破坏力很强。2）通过移动存储设备进行传播最广泛的传播途径3）通过网络进行传播反病毒所面临的新课题4）通过点对点通讯系统和无线通道传播预计将来会成为两大传播渠道7计算机病毒的传播途径7病毒的破坏行为攻击系统数据区：主引导区、Boot区、FAT区、文件目录攻击文件、内存、CMOS；干扰系统运行，使速度下降；干扰屏幕、键盘、喇叭、打印机；破坏网络资源。病毒的发展趋势攻击对象趋于混合型；反跟踪技术；增强隐蔽性：避开修改中断向量值；请求在内存中的合法身份；维持宿主程序外部特征；不用明显感染标志采用加密技术，使得对病毒的跟踪、判断更困难；繁衍不同的变种。8病毒的破坏行为8二、病毒的防治网络环境下的病毒防治原则与策略防重于治，防重在管：制度；注册、权限、属性、服务器安全；集中管理、报警。综合防护：木桶原理；防火墙与防毒软件结合最佳均衡原则：占用较小的网络资源管理与技术并重正确选择反毒产品多层次防御：病毒检测、数据保护、实时监控注意病毒检测的可靠性：经常升级；两种以上。9二、病毒的防治网络环境下的病毒防治原则与策略9二、病毒的防治防毒：预防入侵；病毒过滤、监控、隔离查毒：发现和追踪病毒；统计、报警解毒：从感染对象中清除病毒；恢复功能病毒检测的方法直接观察法：根据病毒的种种表现来判断特征代码法：采集病毒样本，抽取特征代码特点：能快速、准确检验已知病毒，不能发现未知的病毒。10二、病毒的防治防毒：预防入侵；病毒过滤、监控、隔离10校验和法：根据文件内容计算的校验和与以前的作比较。优点：能判断文件细微变化，发现未知病毒。缺点：当软件升级、改口令时会产生误报；不能识别病毒名称；对隐蔽性病毒无效。行为监测法：基于对病毒异常行为的判断特点：发现许多未知病毒；可能误报，实施难软件模拟法：一种软件分析器，用软件方法来模拟和分析程序的运行。特点：可用于对付多态病毒。11校验和法：根据文件内容计算的校验和与以前的作比较。11反病毒软件的选择1）扫描速度30秒能扫描1000个以上文件2）识别率3）病毒清除测试著名杀毒软件公司冠群金辰KILL瑞星RAV北京江民KV3000信源LANVRV赛门铁克NortonAntiVirus时代先锋（行天98）

12反病毒软件的选择12反病毒软件工作原理1）病毒扫描程序串扫描算法:与已知病毒特征匹配；文件头、尾部入口扫描算法：模拟跟踪目标程序的执行类属解密法：对付多态、加密病毒2）内存扫描程序：搜索内存驻留文件和引导记录病毒3）完整性检查器：能发现新的病毒；但对于已被感染的系统使用此方法，可能会受到欺骗。4）行为监测器：是内存驻留程序，监视病毒对可执行文件的修改。防止未知的病毒13反病毒软件工作原理13三、几种常见的病毒宏病毒宏(Macro)：为避免重复操作而设计的一组命令。在打开文件时，先执行“宏”，然后载入文件内容。因此如果“宏”带有病毒，则在编辑文件时病毒自动载入。宏病毒的症状：1）用Word或Excel打开文件时，出现“文档未打开”、“内存不够”、“WordBasicErr=514”等；2）保存文件时，强制将文件按“.dot”类型存储，或强制在指定目录存放。3）宏病毒的版本兼容问题14三、几种常见的病毒宏病毒14几种宏病毒：AAAZAOMacro：Concept病毒，第一个宏病毒；TaiwanNO.1：第一个中文word病毒；RainbowMacro：能改变桌面颜色；FormatC：格式化C盘，第一个木马型宏病毒；HotMacro：第一个调用WindowsAPI的宏病毒；NuclearMacro:第一个干扰打印机、硬盘的宏病毒。宏病毒分类：公用宏病毒：以Auto开头的宏，附在normal.dot或Personal.xls等模板上。私用宏病毒：15几种宏病毒：15宏病毒的危害1）传播迅速：因为文件交流频繁；2）制造及变种方便：WordBasic编程容易3）危害大：WordBasic可调用WindowsAPI、DLL、DDE宏病毒的防治除杀毒软件以外，还可尝试下列方法：1）按住<Shift>键再启动Word，禁止宏自动运行；2）工具宏，检查并删除所有可能带病毒的宏；3）使用DisableAutoMacros宏4）将模板文件如normal.dot的属性设为只读。16宏病毒的危害16三、几种常见的病毒CIH病毒台湾陈盈豪编写，一般每月26日发作。不仅破坏硬盘的引导扇区和分区表，还破坏系统FlashBIOS芯片中的系统程序，导致主板损坏。病毒长1KB，由于使用VXD技术，只感染32位Windows系统可执行文件中的.PE格式文件。修复硬盘分区表：信源公司()的免费软件VRVFIX.EXE；CIH疫苗:CIH作者的Ant-CIHv1.0；美国Symantec公司的Kill_CIH17三、几种常见的病毒CIH病毒17四、网络病毒含义1：在网上传播、并对网络进行破坏的病毒。含义2：专指HTML、E-mail、Java等Internet病毒。例：蠕虫病毒，木马程序等。2001年9月18日，Nimdaworm在Internet上迅速传播。该病毒感染Windows系列多种计算机系统，其传播速度之快、影响范围之广、破坏力之强都超过其前不久发现的CodeRedII。18四、网络病毒含义1：在网上传播、并对网络进行破坏的病毒。18特点：网上蔓延，危害更大。1）网上传染方式多，工作站、服务器交叉感染2）混合特征：集文件感染、蠕虫、木马等于一身3）利用网络脆弱性、系统漏洞4）更注重欺骗性5）清除难度大，破坏性强。网络病毒的防范：具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。

19特点：网上蔓延，危害更大。19相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络病毒防治应与网络管理集成。管理功能就是管理全部的网络设备：从Hub、交换机、服务器到PC，软盘的存取、局域网上的信息互通及与Internet的连接等，所有病毒能够进来的地方。为实现计算机病毒的防治，可在计算机网络系统上安装网络病毒防治服务器；在内部网络服务器上安装网络病毒防治软件；在单机上安装单机环境的反病毒软件。从以下方面控制网络病毒：服务器邮件系统WEB站点数据库系统网关20相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络局域网病毒防御体系1）服务器网络病毒防杀模块监视各节点，保护网络操作系统安全；动态告警、杀灭各节点的病毒；配置系统整体的检测计划、时间；对病毒事件进行记录、审计、跟踪；提供技术支持，升级；2）客户端单机病毒防杀模块单机版杀毒软件；响应升级要求21局域网病毒防御体系21安装网络防毒软件的方案1）在网关和防火墙上安装防毒软件缺点：对每个文件的检测将影响网络性能。2）在工作站上安装防毒软件缺点：管理、协调、升级困难。3）在电子邮件服务器上安装防毒软件仅能防止邮件病毒的传播。4）在所有文件服务器上安装防毒软件对于备份服务器，备份与反毒有可能冲突。22安装网络防毒软件的方案22网络反毒的新特征：与OS结合更紧密；实时化；检测压缩文件病毒病毒防火墙技术：能阻止病毒的扩散在网络服务器上安装病毒防火墙系统，例如：InterScanVirusWall关键技术：OS底层接口技术：实时过滤，并少占用资源；网络及应用程序的底层接口技术：各种协议充分利用OS的多任务、多线程机制；优化算法，减少系统开销；23网络反毒的新特征：23网络应急响应网络安全事件:违反明显的或隐含的安全策略的一次活动，即对系统正常运行有负面影响的活动。包括：非授权访问；系统崩溃；拒绝服务；对系统的篡改。时间长短；规模大小；安全级别：A:影响公共安全、社会秩序B:系统停顿，业务无法运作C:业务中断，影响系统效率D:业务短暂故障，可立即修复CERT/CC(计算机紧急事件响应小组/协调中心)发出安全警报：00年26次，01年41次。中国计算机网络应急处理协调中心CNCERT/CC(WWW.CERT.ORG.CN)24网络应急响应网络安全事件:违反明显的或隐含的安全策略的一次网络安全事件的紧急程度：一般：紧急：对人身安全的威胁；对Internet体系的攻击(如对DNS、根名服务器、网络接入点的攻击)对Internet的大范围自动化攻击新型的攻击及新的严重漏洞。网络安全事件的应急准备分析关键业务；后援；应急组织与计划；评估；演练。25网络安全事件的紧急程度：25网络安全事件的应急处理流程

1)发现网络安全事件2)确定影响范围，评估可能损失3)执行预定的应急措4)安全事件通报、求援安全事件通报内容：发生安全事件的联系资料：发生时间、地点；受影响主机资料；事件描述（程度、来源、工具、损失）；采取的措施；期望的援助。26网络安全事件的应急处理流程1)发现网络安全事件26CERT/CC提供的基本服务

CERT/CC是实现信息安全保障的核心，提供以下服务：安全事件的热线响应；检查入侵来源；恢复系统正常工作；事故分析；发布安全警报、公告、建议；咨询；安全培训教育；风险评估。27CERT/CC提供的基本服务CERT/CC是实现信息安全保CERT/CC的组织架构与运行机制

事件处理组技术研发组教育培训组咨询组宣传组网络用户媒体警方安全组织Web站台数据库咨询事件报告应急救援咨询问题解决方案系统维护技术支援提供资料合作合作安全警报更新咨询培训信息28CERT/CC的组织架构与运行机制事件处理组技术研发组教建立统一的信息网络安全保障体系

金字塔型的安全保障体系示意图协调中心专项中心行业服务中心厂商支持中心企业或政府组织的应急中心商业化、社会化的应急与救援中心六类安全事件处理组织：国际/国家，专项中心，行业中心，厂商支持中心，企业组织，社会化机构。29建立统一的信息网络安全保障体系金字塔型的安全保障体系示意图病毒的防治及应急处理30病毒的防治及应急处理1一、计算机病毒的概念定义：计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。（国外）定义：计算机病毒是指破坏计算机功能或者数据，并能自我复制的程序。（国内）病毒发展史：1977年科幻小说《TheAdolescenceofP-1》描写计算机病毒1983年FredAdleman首次在VAX11/750上试验病毒；1986年Brain病毒在全世界传播；1988年11月2日Cornell大学的Morris编写的Worm病毒袭击美国6000台计算机，直接损失尽亿美元；八十年代末，病毒开始传入我国；31一、计算机病毒的概念定义：计算机病毒是一段附着在其他程序上的病毒产生的原因：计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大。1）寻求刺激：自我表现；恶作剧；2）出于报复心理。病毒的特征：传染性；寄生性；衍生性；隐蔽性；潜伏性；可触发性；夺取控制权；破坏性与危害性；32病毒产生的原因：3病毒的分类：按破坏性分为：良性；恶性。按激活时间分为：定时；随机按传染方式分为：引导型：当系统引导时进入内存，控制系统；文件型：病毒一般附着在可执行文件上；混合型：既可感染引导区，又可感染文件。按连接方式分为：OS型：替换OS的部分功能，危害较大；源码型：要在源程序编译之前插入病毒代码；较少；外壳型：附在正常程序的开头或末尾；最常见；入侵型：病毒取代特定程序的某些模块；难发现。33病毒的分类：4按照病毒特有的算法分为：伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。变型病毒（幽灵病毒）：使用复杂算法，每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。34按照病毒特有的算法分为：5病毒的组成：安装模块：提供潜伏机制；传播模块：提供传染机制；触发模块：提供触发机制；其中，传染机制是病毒的本质特征，防治、检测及杀毒都是从分析病毒传染机制入手的。病毒的症状：启动或运行速度明显变慢；文件大小、日期变化；死机增多；莫名其妙地丢失文件；磁盘空间不应有的减少；有规律地出现异常信息；自动生成一些特殊文件；无缘无故地出现打印故障。35病毒的组成：6计算机病毒的传播途径1）通过不可移动的设备进行传播较少见，但破坏力很强。2）通过移动存储设备进行传播最广泛的传播途径3）通过网络进行传播反病毒所面临的新课题4）通过点对点通讯系统和无线通道传播预计将来会成为两大传播渠道36计算机病毒的传播途径7病毒的破坏行为攻击系统数据区：主引导区、Boot区、FAT区、文件目录攻击文件、内存、CMOS；干扰系统运行，使速度下降；干扰屏幕、键盘、喇叭、打印机；破坏网络资源。病毒的发展趋势攻击对象趋于混合型；反跟踪技术；增强隐蔽性：避开修改中断向量值；请求在内存中的合法身份；维持宿主程序外部特征；不用明显感染标志采用加密技术，使得对病毒的跟踪、判断更困难；繁衍不同的变种。37病毒的破坏行为8二、病毒的防治网络环境下的病毒防治原则与策略防重于治，防重在管：制度；注册、权限、属性、服务器安全；集中管理、报警。综合防护：木桶原理；防火墙与防毒软件结合最佳均衡原则：占用较小的网络资源管理与技术并重正确选择反毒产品多层次防御：病毒检测、数据保护、实时监控注意病毒检测的可靠性：经常升级；两种以上。38二、病毒的防治网络环境下的病毒防治原则与策略9二、病毒的防治防毒：预防入侵；病毒过滤、监控、隔离查毒：发现和追踪病毒；统计、报警解毒：从感染对象中清除病毒；恢复功能病毒检测的方法直接观察法：根据病毒的种种表现来判断特征代码法：采集病毒样本，抽取特征代码特点：能快速、准确检验已知病毒，不能发现未知的病毒。39二、病毒的防治防毒：预防入侵；病毒过滤、监控、隔离10校验和法：根据文件内容计算的校验和与以前的作比较。优点：能判断文件细微变化，发现未知病毒。缺点：当软件升级、改口令时会产生误报；不能识别病毒名称；对隐蔽性病毒无效。行为监测法：基于对病毒异常行为的判断特点：发现许多未知病毒；可能误报，实施难软件模拟法：一种软件分析器，用软件方法来模拟和分析程序的运行。特点：可用于对付多态病毒。40校验和法：根据文件内容计算的校验和与以前的作比较。11反病毒软件的选择1）扫描速度30秒能扫描1000个以上文件2）识别率3）病毒清除测试著名杀毒软件公司冠群金辰KILL瑞星RAV北京江民KV3000信源LANVRV赛门铁克NortonAntiVirus时代先锋（行天98）

41反病毒软件的选择12反病毒软件工作原理1）病毒扫描程序串扫描算法:与已知病毒特征匹配；文件头、尾部入口扫描算法：模拟跟踪目标程序的执行类属解密法：对付多态、加密病毒2）内存扫描程序：搜索内存驻留文件和引导记录病毒3）完整性检查器：能发现新的病毒；但对于已被感染的系统使用此方法，可能会受到欺骗。4）行为监测器：是内存驻留程序，监视病毒对可执行文件的修改。防止未知的病毒42反病毒软件工作原理13三、几种常见的病毒宏病毒宏(Macro)：为避免重复操作而设计的一组命令。在打开文件时，先执行“宏”，然后载入文件内容。因此如果“宏”带有病毒，则在编辑文件时病毒自动载入。宏病毒的症状：1）用Word或Excel打开文件时，出现“文档未打开”、“内存不够”、“WordBasicErr=514”等；2）保存文件时，强制将文件按“.dot”类型存储，或强制在指定目录存放。3）宏病毒的版本兼容问题43三、几种常见的病毒宏病毒14几种宏病毒：AAAZAOMacro：Concept病毒，第一个宏病毒；TaiwanNO.1：第一个中文word病毒；RainbowMacro：能改变桌面颜色；FormatC：格式化C盘，第一个木马型宏病毒；HotMacro：第一个调用WindowsAPI的宏病毒；NuclearMacro:第一个干扰打印机、硬盘的宏病毒。宏病毒分类：公用宏病毒：以Auto开头的宏，附在normal.dot或Personal.xls等模板上。私用宏病毒：44几种宏病毒：15宏病毒的危害1）传播迅速：因为文件交流频繁；2）制造及变种方便：WordBasic编程容易3）危害大：WordBasic可调用WindowsAPI、DLL、DDE宏病毒的防治除杀毒软件以外，还可尝试下列方法：1）按住<Shift>键再启动Word，禁止宏自动运行；2）工具宏，检查并删除所有可能带病毒的宏；3）使用DisableAutoMacros宏4）将模板文件如normal.dot的属性设为只读。45宏病毒的危害16三、几种常见的病毒CIH病毒台湾陈盈豪编写，一般每月26日发作。不仅破坏硬盘的引导扇区和分区表，还破坏系统FlashBIOS芯片中的系统程序，导致主板损坏。病毒长1KB，由于使用VXD技术，只感染32位Windows系统可执行文件中的.PE格式文件。修复硬盘分区表：信源公司()的免费软件VRVFIX.EXE；CIH疫苗:CIH作者的Ant-CIHv1.0；美国Symantec公司的Kill_CIH46三、几种常见的病毒CIH病毒17四、网络病毒含义1：在网上传播、并对网络进行破坏的病毒。含义2：专指HTML、E-mail、Java等Internet病毒。例：蠕虫病毒，木马程序等。2001年9月18日，Nimdaworm在Internet上迅速传播。该病毒感染Windows系列多种计算机系统，其传播速度之快、影响范围之广、破坏力之强都超过其前不久发现的CodeRedII。47四、网络病毒含义1：在网上传播、并对网络进行破坏的病毒。18特点：网上蔓延，危害更大。1）网上传染方式多，工作站、服务器交叉感染2）混合特征：集文件感染、蠕虫、木马等于一身3）利用网络脆弱性、系统漏洞4）更注重欺骗性5）清除难度大，破坏性强。网络病毒的防范：具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。

48特点：网上蔓延，危害更大。19相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络病毒防治应与网络管理集成。管理功能就是管理全部的网络设备：从Hub、交换机、服务器到PC，软盘的存取、局域网上的信息互通及与Internet的连接等，所有病毒能够进来的地方。为实现计算机病毒的防治，可在计算机网络系统上安装网络病毒防治服务器；在内部网络服务器上安装网络病毒防治软件；在单机上安装单机环境的反病毒软件。从以下方面控制网络病毒：服务器邮件系统WEB站点数据库系统网关49相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络局域网病毒防御体系1）服务器网络病毒防杀模块监视各节点，保护网络操作系统安全；动态告警、杀灭各节点的病毒；配置系统整体的检测计划、时间；对病毒事件进行记录、审计、跟踪；提供技术支持，升级；2）客户端单机病毒防杀模块单机版杀毒软件；响应升级要求50局域网病毒防御体系21安装网络防毒软件的方案1）在网关和防火墙上安装防毒软件缺点：对每个文件的检测将影响网络性能。2）在工作站上安装防毒软件缺点：管理、协调、升级困难。3）在电子邮件服务器上安装防毒软件仅能防止邮件病毒的传播。4）在所有文件服务器上安装防毒软件对于备份服务器，备份与反毒有可能冲突。51安装网络防毒软件的方案22网络反毒的新特征：与OS结合更紧密；实时化；检测压缩文件病毒病毒防火墙技术：能阻止病毒的扩散在网络服务器上安装病毒防火墙系统，例如：InterScanVirusWall关键技术：OS底层接口技术：实时过滤，并少占用资源；网络