第1章计算机病毒_第1页
第1章计算机病毒_第2页
第1章计算机病毒_第3页
第1章计算机病毒_第4页
第1章计算机病毒_第5页
已阅读5页,还剩122页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

计算机病毒概述

本章主要内容计算机病毒的基本概念计算机病毒发展的历史计算机病毒的分类计算机病毒命名规则计算机病毒的发展趋势计算机病毒的防治网上相关资源

一、计算机病毒的定义二、计算机病毒的特性三、计算机病毒简史四、病毒人生五、计算机病毒的分类六、计算机病毒的传播途径七、染毒计算机的症状八、计算机病毒的主要危害九、计算机病毒的命名规则十、计算机病毒防治十一、杀毒软件及评价十二、解决方案和策略十三、国内外病毒产品的技术发展态势计算机病毒感染率变化趋势数据来源:中国计算机病毒应急处理中心

2014年9月,国家计算机病毒应急处理中心发布了“2013年全国信息网络安全状况与计算机和移动终端病毒疫情调查结果”。调查结果显示,2013年我国计算机病毒感染率为54.9%,比上年上升了9.8%,在连续5年下降后回升,但上升幅度趋缓。随着移动互联网技术的发展,网上银行、网络支付、移动金融等已经成为很多人生活的一部分,受经济利益的驱动,它们也成为病毒的主要攻击目标,在盗取钱财的同时,不法分子还会窃取用户的私密信息。另一方面,微博也成为新的关注点。同时,针对大型企业、重点行业的病毒传播和攻击增多。另外,调查结果显示,超过半数被抽检政府网站存在安全隐患。

2015年4月,信息安全公司赛门铁克和美国运营商Verizon分别发布的最新报告显示,计算机用户目前在上网过程中很难确保安全。随着黑客越来越具有“创造性”,许多企业也面临着如何应对信息安全攻击的难题。赛门铁克对2014年的信息安全威胁进行了分析。报告表示,黑客的行动速度比企业防御速度更快。而相对于此前几年,黑客正在发动越来越多的恶意攻击。2014年,全球开发出的恶意软件,包括计算机病毒和其他恶意软件的数量超过了3.17亿种。这意味着,每天新出现的信息安全威胁接近100万种。一、计算机病毒的定义“计算机病毒”与医学上的“病毒”不同, 它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。“计算机病毒”为什么叫做病毒?与生物医学上的病毒同样有传染和破坏的特性,因此这一名词是由生物医学上的“病毒”概念引申而来。病毒感染示意

生物病毒感染与寄生计算机病毒感染与寄生FredCohen定义:

计算机病毒是一种程序,他用修改其它程序的方法将自身的精确拷贝或者可能演化的拷贝插入其它程序,从而感染其它程序。标准定义(中国):直至1994年2月18日,我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在《条例》第二十八条中明确指出:"计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。"此定义具有法律性、权威性。恶意程序未经授权便干扰或破坏计算系统/网络的程序或代码称之为恶意程序/恶意代码恶意程序大致可以分为两类:依赖于主机程序的恶意程序不能独立于应用程序或系统程序,即存在宿主独立于主机程序的恶意程序能在操作系统上运行的、独立的程序

二、计算机病毒的特性

破坏性传染性隐蔽性

寄生性触发(潜伏)性计算机病毒的基本特征计算机病毒的可执行性(程序性)计算机病毒的基本特征,也是计算机病毒最基本的一种表现形式程序性决定了计算机病毒的可防治性、可清除性,反病毒技术就是要提前取得计算机系统的控制权,识别出计算机病毒的代码和行为,阻止其取得系统控制权,并及时将其清除“人为的特制程序”是任何计算机病毒都固有的本质属性,这一属性也决定了病毒的面目各异且多变计算机病毒的基本特征计算机病毒的传染性计算机病毒的传染性是指病毒具有把自身复制到其他程序的能力。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机。计算机病毒的这种将自身复制到感染目标中的“再生机制”,使得病毒能够在系统中迅速扩散。正常的计算机程序一般是不会将自身的代码强行链接到其他程序之上的。是否具有传染性,是判别一个程序是否为计算机病毒的首要条件。传染性也决定了计算机病毒的可判断性。计算机病毒的基本特征计算机病毒的非授权性计算机病毒未经授权而执行计算机病毒的隐蔽性计算机病毒通常附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。计算机病毒的隐蔽性表现在两个方面:传染的隐蔽性病毒程序存在的隐蔽性计算机病毒的基本特征计算机病毒的潜伏性一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作潜伏性愈好,其在系统中的存在时间就会愈长,病毒的传染范围就会愈大计算机病毒的可触发性计算机病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性为了隐蔽自己,病毒必须潜伏,少做动作。如果完全不动作,一直潜伏的话,病毒既不能感染也不能进行破坏,便失去了杀伤力。病毒既要隐蔽又要维持杀伤力,它必须具有可触发性计算机病毒的基本特征计算机病毒攻击的主动性计算机病毒对系统的攻击是主动的,是不以人的意志为转移的计算机病毒的针对性要使计算机病毒得以运行,就必须具有适合该病毒发生作用的特定软硬件环境计算机病毒的衍生性衍生性为一些好事者提供了一种创造新病毒的捷径。衍生出来的变种病毒造成的后果可能比原版病毒严重衍生性,是导致产生变体病毒的必然原因计算机病毒的基本特征计算机病毒的寄生性(依附性)病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性计算机病毒的不可预见性反病毒软件预防措施和技术手段往往滞后于病毒的产生速度计算机病毒的诱惑欺骗性某些病毒常以某种特殊的表现方式,引诱、欺骗用户不自觉地触发、激活病毒,从而实施其感染、破坏功能计算机病毒的持久性即使在病毒程序被发现以后,数据和程序以至操作系统的恢复都非常困难计算机病毒的本质无论是DOS病毒还是Win32病毒,其本质是一致的,都是人为制造的程序其本质特点是程序的无限重复执行或复制,因为病毒的最大特点是其传染性,而传染性的原因是其自身程序不断复制的结果,即程序本身复制到其他程序中或简单地在某一系统中不断地复制自己/*引导功能模块*/{将病毒程序寄生于宿主程序中;加载计算机程序;病毒程序随其宿主程序的运行进入系统;}{传染功能模块;}{破坏功能模块;}main(){调用引导功能模块;A:do{寻找传染对象;if(传染条件不满足) gotoA;}while(满足传染条件);调用传染功能模块;while(满足破坏条件) {激活病毒程序; 调用破坏功能模块;}运行宿主源程序; if不关机 gotoA;关机;}三、计算机病毒简史年份计算机病毒简史计算机病毒产生的动机(原因):计算机系统的脆弱性作为一种文化(hacker)病毒编制技术学习恶作剧\报复心理用于版权保护(江民公司)用于特殊目的(军事、计算机防病毒公司)计算机病毒简史在第一部商用电脑出现之前,冯·诺伊曼在他的论文《复杂自动装置的理论及组识的进行》里,就已经勾勒出了病毒程序的蓝图。70年代美国作家雷恩出版的《P1的青春-TheAdolescenceofP1》一书中作者构思出了计算机病毒的概念。美国电话电报公司(AT&T)的贝尔实验室中,三个年轻程序员道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯在工作之余想出一种电子游戏叫做“磁芯大战(corewar)”。

博士论文的主题是计算机病毒1983年11月3日,FredCohen博士研制出第一个计算机病毒(Unix)。

1986年初,巴基斯坦的拉合尔,巴锡特和阿姆杰德两兄弟编写了

Pakistan病毒,即Brain,其目的是为了防范盗版软件。Dos–PC–引导区1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻、IBM圣诞树、黑色星期五等等。视窗病毒1988年3月2日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。肇事者-RobertT.Morris,美国康奈尔大学学生,其父是美国国家安全局安全专家。机理-利用sendmail,finger等服务的漏洞,消耗CPU资源,并导致拒绝服务。影响Internet上大约6000台计算机感染,占当时Internet联网主机总数的10%,造成9600万美元的损失。莫里斯事件震惊了美国社会乃至整个世界。

黑客从此真正变黑,黑客伦理失去约束,黑客传统开始中断。大众对黑客的印象永远不可能回复。而且,计算机病毒从此步入主流。

CERT/CC的诞生-DARPA成立CERT(ComputerEmergencyResponseTeam),以应付类似事件。莫里斯蠕虫(MorrisWorm)1988年

1989年,全世界计算机病毒攻击十分猖獗,其中“米开朗基罗”病毒给许多计算机用户(包括中国)造成了极大损失。全球流行DOS病毒伊拉克战争中的病毒-AF/91(1991)在沙漠风暴行动的前几周,一块被植入病毒的计算机芯片被安装进了伊拉克空军防卫系统中的一台点阵打印机中。该打印机在法国组装,取道约旦、阿曼运到了伊拉克。病毒瘫痪了伊拉克空军防卫系统中的一些Windows系统主机以及大型计算机,据说非常成功。宏病毒1996年,出现针对微软公司Office的“宏病毒”。1997年公认为计算机反病毒界的“宏病毒年”。特点:书写简单,甚至有很多自动制作工具CIH(1998-1999)1998年,首例破坏计算机硬件的CIH病毒出现,引起人们的恐慌。1999年4月26日,CIH病毒在我国大规模爆发,造成巨大损失。蠕虫——病毒新时代1999年3月26日,出现一种通过因特网进行传播的美丽莎病毒(宏病毒,通过邮件传播)。2001年7月中旬,一种名为“红色代码”的病毒在美国大面积蔓延,这个专门攻击web服务器的病毒攻击了白宫网站,造成了全世界恐慌。2003年,“2003蠕虫王”病毒在亚洲、美洲、澳大利亚等地迅速传播,造成了全球性的网络灾害。蠕虫病毒流行的3年(2003-2005)2004年是蠕虫泛滥的一年,大流行病毒:网络天空(Worm.Netsky)高波(Worm.Agobot)爱情后门(Worm.Lovgate)震荡波(Worm.Sasser)SCO炸弹(Worm.Novarg)冲击波(Worm.Blaster)恶鹰(Worm.Bbeagle)小邮差(Worm.Mimail)求职信(Worm.Klez)大无极(Worm.SoBig)

2005年是木马流行的一年,新木马包括:8月9日,“闪盘窃密者(Trojan.UdiskThief)”病毒。该木马病毒会判定电脑上移动设备的类型,自动把U盘里所有的资料都复制到电脑C盘的“test”文件夹下,这样可能造成某些公用电脑用户的资料丢失。11月25日,“证券大盗”(Trojan/PSW.Soufan)。该木马病毒可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码,被盗号的股民账户存在被人恶意操纵的可能。7月29日,“外挂陷阱”(troj.Lineage.hp)。此病毒可以盗取多个网络游戏的用户信息,如果用户通过登陆某个网站,下载安装所需外挂后,便会发现外挂实际上是经过伪装的病毒,这个时候病毒便会自动安装到用户电脑中。9月28日,"我的照片"(Trojan.PSW.MyPhoto)病毒。该病毒试图窃取《热血江湖》、《传奇》、《天堂Ⅱ》、《工商银行》、《中国农业银行》等数十种网络游戏及网络银行的账号和密码。该病毒发作时,会显示一张照片使用户对其放松警惕。

2006年木马仍然是病毒主流,变种层出不穷2006年上半年,江民反病毒中心共截获新病毒33358种,另据江民病毒预警中心监测的数据显示,1至6月全国共有7,322,453台计算机感染了病毒,其中感染木马病毒电脑2,384,868台,占病毒感染电脑总数的32.56%,感染广告软件电脑1,253,918台,占病毒感染电脑总数的17.12%,感染后门程序电脑

664,589台,占病毒感染电脑总数的9.03%,蠕虫病毒216,228台,占病毒感染电脑总数的2.95%,监测发现漏洞攻击代码感染181,769台,占病毒感染电脑总数的2.48%,脚本病毒感染15152台,占病毒感染电脑总数的2.06%。最前沿病毒2007年:流氓软件——反流氓软件技术对抗的阶段。3721–yahoo熊猫烧香2008年:木马ARPPhishing(网络钓鱼)

2009年恶意代码产业化木马是主流其他:浏览器劫持、下载捆绑、钓鱼

2010年新增恶意代码750万(瑞星);流行恶意代码:快捷方式真假难分、木马依旧猖獗,但更注重经济利益和特殊应用。

移动智能终端恶意代码2004年第一个运行于手机上的病毒Cabir出现仅仅运行于Android平台上的恶意代码已达35万(趋势科技2012年底统计)恶意代码的发展趋势卡巴斯基实验室的高级研究师DavidEmm研究获悉,到2008年底为止,全球大约存在各种恶意代码1,400,000个。

发展趋势网络化发展专业化发展简单化发展多样化发展自动化发展犯罪化发展四、病毒人生(法律)1983年11月3日,弗雷德·科恩(FredCohen)博士研制出一种在运行过程中可以复制自身的破坏性程序,伦·艾德勒曼(LenAdleman)将它命名为计算机病毒(computerviruses),并在每周一次的计算机安全讨论会上正式提出。

1988年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络——互联网。1988年11月2日下午5点,互联网的管理人员首次发现网络有不明入侵者。当晚,从美国东海岸到西海岸,互联网用户陷入一片恐慌。

CIH病毒,又名“切尔诺贝利”,是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的,九八年五月间,陈盈豪还在大同工学院就读时,完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。

年仅18岁的高中生杰弗里·李·帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此,他的邻居们表示不敢相信。在他们的眼里,杰弗里·李·帕森是一个电脑天才,而决不是什么黑客,更不会去犯罪。

李俊,技校毕业,中专2007年1月初肆虐网络大于1000万用户染毒损失数亿元人民币处罚:获刑四年2013年6月参与开设网络赌场再次被捕2014年1月被判三年五、计算机病毒的分类1、按病毒存在的媒体分类网络病毒:通过计算机网络传播感染网络中的可执行文件;文件病毒:感染计算机中的文件(如:COM,EXE,DOC等);引导型病毒:感染启动扇区(Boot)和硬盘的系统引导扇区(MBR);混合型病毒:是上述三种情况的混合。例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。2、按病毒传染的方法分类引导扇区传染病毒:主要使用病毒的全部或部分代码取代正常的引导记录,而将正常的引导记录隐藏在其他地方。执行文件传染病毒:寄生在可执行程序中,一旦程序执行,病毒就被激活,进行预定活动。网络传染病毒:这类病毒是当前病毒的主流,特点是通过互联网络进行传播。例如,蠕虫病毒就是通过主机的漏洞在网上传播。3、按病毒破坏的能力分类无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。

无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。

危险型:这类病毒在计算机系统操作中造成严重的错误。

非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。4、按病毒算法分类伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。蠕虫型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源寄生型病毒:依附在系统的引导扇区或文件中,通过系统的功能进行传播。练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。变形病毒:这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和经过变化的病毒体组成。5、按计算机病毒的链结方式分类源码型病毒:该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。嵌入型病毒:这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的,一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术,超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。外壳型病毒:外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知。操作系统型病毒:这种病毒用自身的程序加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。6、按病毒攻击操作系统分类MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT/2000/XPUnix(Linux)Macintosh(MacMag病毒、Scores病毒)OS/2(AEP病毒)病毒的发展是伴随着计算机软硬件的发展而发展的。沿着操作系统发展的几个阶段来看看病毒技术与反病毒技术演化。DOS时代(1981-)Window9x时代(1995-)WindowsNT/2000时代(1996-)嵌入式系统(2000—)操作系统及病毒变化(一)DOS操作系统时代的病毒DOS操作系统简介16位的操作系统(8086、8088)实模式、单用户、单任务字符界面中断机制DOS可执行文件病毒原理COM病毒EXE病毒常见感染手法通过查目录进行传播通过执行进行传播通过文件查找进行传播通过文件关闭的时候进行传播DOS反病毒原理特征码技术模糊匹配技术(广谱杀毒)行为判定技术启发式扫描技术对各种可疑功能进行加权判断;MOVAH,5;INT,13h;format(二)Windows操作系统32位操作系统抢占式多任务操作系统保护模式下运行友好的图形界面Windows病毒可执行文件病毒宏病毒脚本病毒蠕虫病毒木马病毒可执行文件病毒典型病毒(CIH)感染原理特点反病毒技术文件监控内存监控蠕虫病毒典型病毒感染原理特点反病毒技术邮件监控网络监控席卷全球的NIMDA病毒木马病毒典型病毒感染原理特点反病毒技术文件监控防火墙宏病毒典型病毒感染原理特点反病毒技术OFFICE嵌入式查毒特征代码脚本病毒典型病毒感染原理特点反病毒技术脚本监控智能手机病毒-手机木马(WinCE.Brador.A)病毒名称:

WinCE.Brador.A

类型:Backdoor公布日期:未知影响平台:WindowsMobile病毒别名:Backdoor.WinCE.Brador.a大小:5632发源地区:俄罗斯概述:Brador.A是已知第一个针对PocketPC手持设备的后门程序。运行时,后门程序将自己复制到启动文件夹,将PDA的IP地址邮件发送给后门程序的作者,并开始监听一个TCP端口的命令。然后黑客可以通过TCP端口连接回PDA,通过后门程序控制PDA。

运行时,Brador.A会将自己作为svchost.exe复制到PocketPC设备上的Windows\StartUp文件夹,以致设备每次启动时它都会自动启动

安装程序对复制到Windows\StartUp文件夹的文件作了轻微修改。因此文件每次启动时会有所不同,虽然这不会影响后门程序的操作。仍不清楚这是安装程序有意的还是附带的结果。

危害当Brador.A安装到系统时,会读取本地主机IP地址并email发送给作者。邮件发送IP地址后后门程序打开一个TCP端口,开始监听来自它的命令。后门程序能够从PDA上传、下载文件,执行任意命令并对PDA用户显示信息。六、计算机病毒的传播途径

1、软盘软盘作为最常用的交换媒介,在计算机应用的早期对病毒的传播发挥了巨大的作用,因那时计算机应用比较简单,可执行文件和数据文件系统都较小,许多执行文件均通过软盘相互拷贝、安装,这样病毒就能通过软盘传播文件型病毒;另外,在软盘列目录或引导机器时,引导区病毒会在软盘与硬盘引导区内互相感染。因此软盘也成了计算机病毒的主要的寄生“温床”。2、光盘光盘因为容量大,存储了大量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了极大的便利。甚至有些光盘上杀病毒软件本身就带有病毒,这就给本来“干净”的计算机带来了灾难。

3、硬盘(含移动硬盘、USB)有时,带病毒的硬盘在本地或移到其他地方使用甚至维修等,就会将干净的软盘传染或者感染其他硬盘并扩散。网络——〉病毒的加速器网络病毒技术社区集体攻击病毒蠕虫病毒特洛伊木马黑客技术脚本病毒邮件病毒病毒源码发布4、有线网络触目惊心的计算——卿斯汉如果:20分钟产生一种新病毒,通过因特网传播(30万公里/秒)。联网电脑每20分钟感染一次,每天开机联网2小时。结论:一年以內一台联网的电脑可能会被最新病毒感染2190次。另一个数字:75%的电脑被感染。网络服务——〉传播媒介网络的快速发展促进了以网络为媒介的各种服务(FTP,WWW,BBS,EMAIL等)的快速普及。同时,这些服务也成为了新的病毒传播方式。电子布告栏(BBS):电子邮件(Email):即时消息服务(QQ,ICQ,MSN等):WEB服务:FTP服务:新闻组:5、无线通讯系统病毒对手机的攻击有3个层次:攻击WAP服务器,使手机无法访问服务器;攻击网关,向手机用户发送大量垃圾信息;直接对手机本身进行攻击,有针对性地对其操作系统和运行程序进行攻击,使手机无法提供服务。七、染毒计算机的症状病毒表现现象:计算机病毒发作前的表现现象病毒发作时的表现现象病毒发作后的表现现象与病毒现象相似的硬件故障与病毒现象相似的软件故障1、发作前的现象平时运行正常的计算机突然经常性无缘无故地死机操作系统无法正常启动运行速度明显变慢以前能正常运行的软件经常发生内存不足的错误打印和通讯发生异常无意中要求对软盘进行写操作以前能正常运行的应用程序经常发生死机或者非法错误系统文件的时间、日期、大小发生变化运行Word,打开Word文档后,该文件另存时只能以模板方式保存磁盘空间迅速减少网络驱动器卷或共享目录无法调用基本内存发生变化陌生人发来的电子邮件2、发作时的现象提示一些不相干的话发出一段的音乐产生特定的图像硬盘灯不断闪烁进行游戏算法Windows桌面图标发生变化计算机突然死机或重启自动发送电子邮件鼠标自己在动

显示图片3、发作后的现象硬盘无法启动,数据丢失系统文件丢失或被破坏文件目录发生混乱部分文档丢失或被破坏部分文档自动加密修改Autoexec.bat文件使部分可软件升级主板的BIOS程序混乱,主板被破坏网络瘫痪,无法提供正常的服务4、与病毒现象类似的软件故障出现“Invaliddrivespecification”(非法驱动器号)软件程序已被破坏(非病毒)软件与操作系统的兼容性引导过程故障用不同的编辑软件程序5、与病毒现象类似的硬件故障系统的硬件配置电源电压不稳定插件接触不良软驱故障关于CMOS的问题八、计算机病毒的主要危害直接危害:1.病毒激发对计算机数据信息的直接破坏作用2.占用磁盘空间和对信息的破坏3.抢占系统资源4.影响计算机运行速度5.计算机病毒错误与不可预见的危害6.计算机病毒的兼容性对系统运行的影响病毒的危害情况

间接危害:1.计算机病毒给用户造成严重的心理压力2.造成业务上的损失3.法律上的问题近几年来的重大损失

年份攻击行为发起者受害PC数目损失金额(美元)2006木马和恶意软件————2005木马————2004Worm_Sasser(震荡波)————2003Worm_MSBLAST(冲击波)超过140万台——2003SQLSlammer超过20万台9.5亿至12亿2002Klez超过6百万台90亿2001RedCode超过1百万台26亿2001NIMDA超过8百万台60亿2000LoveLetter——88亿1999CIH超过6千万台近100亿九、计算机病毒的命名规则通用命名规则按病毒发作的时间命名如“黑色星期五”按病毒发作症状命名如“小球”病毒按病毒的传染方式命名如黑色星期五病毒,又命名为疯狂拷贝病毒按病毒自身宣布的名称或包含的标志命名CIH病毒的命名源于其含有“CIH”字符按病毒发现地命名如“黑色星期五”又称Jerusalem(耶路撒冷)病毒按病毒的字节长度命名如黑色星期五病毒又称作1813病毒思考:这种命名方式,存在什么不足?国际上对病毒命名的惯例计算机病毒英文命名规则也就是国际上对病毒命名的一般惯例为“前缀+病毒名+后缀”,即三元组命名规则前缀表示该病毒发作的操作平台或者病毒的类型,而DOS下的病毒一般是没有前缀病毒名为该病毒的名称及其家族后缀一般可以不要,只是以此区别在该病毒家族中各病毒的不同,可以为字母,或者为数字以说明此病毒的大小三元组中“病毒名”的命名优先级为:病毒的发现者(或制造者)→病毒的发作症状→病毒的发源地→病毒代码中的特征字符串例如:WM.Cap.AA表示在Cap病毒家族中的一个变种,WM表示该病毒是一个Word宏(Macro)病毒病毒名中若有PSW或者PWD之类的,一般都表示该病毒有盗取口令的功能病毒命名待进一步规范、统一由于存在“灵活”的命名规则和惯例,再加上杀毒软件开发商各自的命名体系存在差异、计算机病毒研究学者/反病毒人员在为病毒命名时的个人观点、所依据的方法也各不相同,最终造成同种病毒出现不同名称的混乱现象如“新欢乐时光”病毒HTML.Redlof.A[Symantec]VBS.KJ[金山]Script.RedLof[瑞星]VBS/KJ[江民]病毒命名可以做出更细致的规定,如:[病毒前缀]+[主要变量]+[次要变量]+[病毒名]+[病毒后缀]比如一个病毒名为:DosV.BOOT.kot.B,那么可以解释为:这是一个DOS病毒,仅仅感染.COM,感染引导区,病毒名为kot,版本号为B。十、计算机病毒防治病毒防治的公理1、不存在这样一种反病毒软硬件,能够防治未来产生的所有病毒。2、不存在这样一种病毒程序,能够让未来的所有反病毒软硬件都无法检测。3、目前的反病毒软件和硬件以及安全产品是都易耗品,必须经常进行更新、升级。4、病毒产生在前,反病毒手段滞后的现状,将是一个长期的过程。人类为防治病毒所做出的努力立体防护网络版单机版防病毒卡对计算机病毒应持有的态度

1.客观承认计算机病毒的存在,但不要惧怕病毒。

3.树立计算机病毒意识,积极采取预防(备份等)措施。4.掌握必要的计算机病毒知识和病毒防治技术,对用户至关重要。5.发现病毒,冷静处理。目前广泛应用的几种防治技术:特征码扫描法特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病毒。该技术实现简单有效,安全彻底;但查杀病毒滞后,并且庞大的特征码库会造成查毒速度下降;虚拟执行技术该技术通过虚拟执行方法查杀病毒,可以对付加密、变形、异型及病毒生产机生产的病毒,具有如下特点:在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器”在虚拟机环境中虚拟执行(不会被实际执行)可疑带毒文件在执行过程中,从虚拟机环境内截获文件数据,如果含有可疑病毒代码,则杀毒后将其还原到原文件中,从而实现对各类可执行文件内病毒的查杀

智能引擎技术

智能引擎技术发展了特征码扫描法的优点,改进了其弊端,使得病毒扫描速度不随病毒库的增大而减慢。刚刚面世的瑞星杀毒软件2003版即采用了此项技术,使病毒扫描速度比2002版提高了一倍之多;计算机监控技术文件实时监控内存实时监控脚本实时监控邮件实时监控注册表实时监控参考:未知病毒查杀技术

未知病毒技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。压缩智能还原技术世界上的压缩工具、打包工具、加“壳”工具多不胜数,病毒如果被这样的工具处理后被层层包裹起来,对于防病毒软件来说,就是一个噩梦。为了使用统一的方法来解决这个问题,反病毒专家们发明了未知解压技术,它可以对所有的这类文件在内存中还原,从而使得病毒完全暴露出来。多层防御,集中管理技术反病毒要以网为本,从网络系统的角度设计反病毒解决方案,只有这样才能有效地查杀网络上的计算机病毒。在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护和管理的效率和质量,而且涉及到网络的安全性。好的杀毒软件需要能在几分钟之内便可轻松地安装到组织里的每一个NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施。病毒免疫技术病毒免疫技术一直是反病毒专家研究的热点,它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。实际上,最近出现的软件安全认证技术也应属于此技术的范畴,由于用户应用软件的多样性和环境的复杂性,病毒免疫技术到广泛使用还有一段距离。病毒防治技术的趋势前瞻加强对未知病毒的查杀能力加强对未知病毒的查杀能力是反病毒行业的持久课题,目前国内外多家公司都宣布自己的产品可以对未知病毒进行查杀,但据我们研究,国内外的产品只有少数可以对同一家族的新病毒进行预警,不能清除。目前有些公司已经在这一领域取得了突破性的进展,可以对未知DOS病毒、未知PE病毒、未知宏病毒进行防范。其中对未知DOS病毒能查到90%以上,并能准确清除其中的80%,未知PE病毒能查到70%以上、未知宏病毒能实现查杀90%.防杀针对掌上型移动通讯工具和PDA的病毒随着掌上型移动通讯工具和PDA的广泛使用,针对这类系统的病毒已经开始出现,并且威胁将会越来越大,反病毒公司将投入更多的力量来加强此类病毒的防范。兼容性病毒的防杀

目前已经发现可以同时在微软WINDOWS和日益普及的LINUX两种不同操作系统内运作的病毒,此类病毒将会给人们带来更多的麻烦,促使反病毒公司加强防杀此类病毒。蠕虫病毒和脚本病毒的防杀不容忽视

蠕虫病毒是一种能自我复制的程序,驻留内存并通过计算机网络复制自己,它通过大量消耗系统资源,最后导致系统瘫痪。给人们带来了巨大的危害,脚本病毒因为其编写相对容易正成为另一种趋势,这两类病毒的危害性使人们丝毫不能忽视对其的防杀。十一、杀毒软件及评价病毒查杀能力对新病毒的反应能力对文件的备份和恢复能力实时监控功能及时有效的升级功能智能安装、远程识别功能界面友好、易于操作对现有资源的占用情况(一)杀毒软件必备功能

系统兼容性软件的价格软件商的实力(二)国内外杀毒软件及市场金山毒霸、瑞星杀毒、KV3000、PC-CillinVirusBuster、NortonAntiVirus、McafeeVirusScan、KasperskyAntivirus、F-SecureAntivirus,Nod32等。《电脑报》2008评测结果AV-Test2007年5月排名十二、解决方案和策略企业网络中的病毒漏洞FileServerMailServerClientInternetGatewayFirewallInternet

企业网络基本结构

网关(Gateway)服务器(Servers)

邮件服务器文件/应用服务器客户端(clients)趋势整体防病毒解决方案FirewallInternetFileServerClientInternetGatewayInterScanVirusWallServerProtectforNT

forNetWareCentralControlTVCSMailServerScanMailforExchange

forLotusNotesOfficeScanClientsOfficeScanServerOfficeScanServer趋势整体防病毒解决方案1网关级解决方案InterScanViruswall

2服务器级解决方案

邮件服务器ScanMail

forExchange/forNotes文件服务器ServerProtect

forNT/Netware3客户端解决方案OfficeScan4集中管理系统解决方案TVCS

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论