病毒的具体类别及企业防病毒体系的建立_第1页
病毒的具体类别及企业防病毒体系的建立_第2页
病毒的具体类别及企业防病毒体系的建立_第3页
病毒的具体类别及企业防病毒体系的建立_第4页
病毒的具体类别及企业防病毒体系的建立_第5页
已阅读5页,还剩35页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

病毒的具体类别及企业防病毒体系的建立目录

病毒的定义、类型和分类病毒的现状和趋势防范技术和措施病毒案例分析和清除方法病毒的具体类别及企业防病毒体系的建立计算机病毒定义广义定义:能构引起计算机故障,破坏计算机数据的程序统称为计算机病毒。法律规定计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。病毒的具体类别及企业防病毒体系的建立狭义定义:主要指传统型病毒,即依靠感染宿主文件,当宿主文件被执行或加载时病毒得以爆发并传播。广义病毒:狭义病毒、蠕虫、木马。病毒的具体类别及企业防病毒体系的建立引导型病毒宏病毒文件型病毒邮件型病毒网站脚本病毒特洛伊木马蠕虫计算机病毒分类(广义)病毒的具体类别及企业防病毒体系的建立引导型病毒引导型病毒是一种在ROMBIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS服务程序。使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。引导型病毒是在安装操作系统之前进入内存,寄生对象又相对固定,因此该类型病毒基本上减少操作系统所掌管的内存容量方法来驻留内存高端。引导型病毒感染硬盘时,必定驻留硬盘的主引导扇区或引导扇区,并且只驻留一次,因此引导型病毒一般都是在软盘启动过程中把病毒传染给硬盘的。

病毒的具体类别及企业防病毒体系的建立宏病毒Word定义宏:宏就是能组织到一起作为一独立的命令使用的一系列word指令,它能使日常工作变得更容易。该病毒通过可执行文件感染目标系统文件。传播途径:存储介质、网络共享、电子邮件等方式病毒的具体类别及企业防病毒体系的建立文件型病毒文件型病毒主要是指感染可执行文件(com,exe)的病毒,他隐藏在宿主文件中。执行宿主程序时,将会先执行病毒程序再执行宿主程序。CIH就是一种典型的文件型病毒病毒的具体类别及企业防病毒体系的建立邮件型病毒通过电子邮件传播的病毒都可以叫邮件型病毒,有很多邮件型病毒又可以称为蠕虫病毒。邮件病毒的分类:附件方式、邮件本身、嵌入方式(邮件只是这种病毒的传播方式,因此这种病毒是蠕

虫的一种蠕虫)。欢乐时光、求职信、网络天空都是有名的邮件型病毒病毒的具体类别及企业防病毒体系的建立脚本型病毒利用脚本技术(vbscrit、javascript、php、perl)编写的通过浏览器传播并感染计算机的病毒。病毒的具体类别及企业防病毒体系的建立特洛伊木马也叫黑客程序或后门病毒,本质就是一个远程控制软件,可以进行任何远程操作。木马病毒通过网络浏览/下载、网络共享、电子邮件等方式传播自启动、隐藏端口与蠕虫或普通病毒最大的区别是他不会自动传播。病毒的具体类别及企业防病毒体系的建立蠕虫(worm)他除了有着与一般的计算机病毒共同的特性外,还拥有自身的特征:他不需要一个文件作为宿主,它具有自动的传播机制依靠网络大规模传播。他不仅能破坏被感染的计算机系统还能造成网络瘫痪,是一种恶性网络型计算机病毒。大名鼎鼎的病毒几乎大半都是蠕虫病毒:冲击波、震荡波、威金、熊猫烧香等。病毒的具体类别及企业防病毒体系的建立计算机病毒特性传染性潜伏性可执行性破坏性针对性隐蔽性病毒的具体类别及企业防病毒体系的建立计算机病毒特性(1)传染性:正常的计算机程序一般是不会将自身的代码强行连接到其他程序上,而病毒却能使自身的代码强行传染到一切符合其传染条件的程序潜伏性:大部分的病毒感染系统之后一般不会马上发作,它可长期隐藏在系统,只有在满足其特定条件时才会运行。可执行性:病毒文件在满足相应的条件后,会触发运行,产生破坏。(未经授权的执行)病毒的具体类别及企业防病毒体系的建立计算机病毒特性(2)破坏性:任何病毒只要侵入系统并发作,就会对系统和应用程序产生不可预知的破坏和影响。(良性和恶性)针对性:通常病毒是利用特定的漏洞针对特性的系统、应用进行破坏。隐蔽性:病毒通常附在正常程序中或磁盘隐蔽处,与正常程序通常难以区分。病毒的具体类别及企业防病毒体系的建立病毒传播手段

电子邮件Internet浏览以及下载光盘,USB等介质远程拨入用户带来的病毒系统漏洞网络共享病毒的具体类别及企业防病毒体系的建立病毒常见触发方式特定日期或时间触发感染触发键盘触发启动触发访问磁盘次数触发CPU型号/主板型号触发病毒的具体类别及企业防病毒体系的建立病毒典型的结构典型的计算机病毒一般由三个功能模块组成,即:引导模块、传染模块、破坏模块。但是,不是所有的病毒均由此结构组成,如有的内存病毒甚至没有病毒体(即病毒文件),只驻留在内存。病毒的具体类别及企业防病毒体系的建立病毒功能模块引导模块:将病毒主体导入内存并为传染模块提供运行环境。传染模块:将病毒代码传到其他的载体上去,一般情况下传染模块分为两部分,前提是一个条件判别程序,后部才是传染程序主体。破坏模块:破坏模块也将有条件判别部分,因病毒有潜伏期,破坏模块只在条件符合是才活动。病毒的具体类别及企业防病毒体系的建立目录

病毒的定义、类型和分类病毒的现状和趋势防范技术和措施病毒案例分析和清除方法病毒的具体类别及企业防病毒体系的建立几小时Time几周/几个月几天几分钟几秒钟Early1990sMid1990sLate1990s20002006ContagionTimeframe第I

类人工响应:有可能“Flash”Threats第III类人工响应:不可能自动响应:不太可能主动阻挡:有可能第II类人工响应:很难/不可能自动响应:有可能MacroVirusese-mailWormsBlendedThreats病毒的现状和趋势病毒的具体类别及企业防病毒体系的建立扩散速度惊人在高峰期,每12封电子邮件就有1封被MyDoom感染!CodeRed的感染率每37分钟就翻一番。Slammer每8.5秒就翻一番,在10分钟之内可感染90%未受保护的服务器!一旦有漏洞公开披露,Blaster只需27天就可摧毁网络!病毒的具体类别及企业防病毒体系的建立目录

病毒的定义、类型和分类病毒的现状和趋势新型病毒的工作原理与危害防范技术和措施病毒案例分析和清除方法病毒的具体类别及企业防病毒体系的建立防范技术和措施反应式响应技术:基于特定威胁的特征,目前绝大多数安全产品均基于这种技术通过名字识别攻击根据需要进行响应减轻损失事后恢复主动式响应技术:以识别和阻挡未知威胁为主导思想早期预警技术有效的补丁管理主动识别和阻挡技术病毒的具体类别及企业防病毒体系的建立月天小时分钟秒程序病毒Macro病毒电子邮件蠕虫网络蠕虫Flash蠕虫感染期特征响应期我们已经面临这样一种感染形势,即最新威胁的传播速度已经超出了我们的响应能力如果我们想要赢得这场战争,那么我们必需改变我们的策略1990时间2006感染期特征响应期传统的反应式响应技术存在缺陷病毒的具体类别及企业防病毒体系的建立主动式响应技术:识别和阻挡未知威胁为主导思想将为保护互联网的方式带来的四种新技术行为阻截协议异常防护病毒扼杀一般漏洞利用阻截病毒的具体类别及企业防病毒体系的建立

策略#1:行为阻截思想:

阻截系统上每个应用程序的行为,并实时阻截恶意操作。

设想抗病毒药物如何阻截真正的病毒……每种病毒都有其特定的生命周期。中断其生命周期,您就消灭了病毒。病毒的具体类别及企业防病毒体系的建立

策略#1:行为阻截已经保护了数百万用户!防止程序通过电子邮件进行自我复制已经成功阻截了MyDoom和Sobig,而未使用病毒特征HeyRob,Checkoutthiscoolcalendarprogram.greatmp3stocheckhehe;+-4)Tuesday,March2,200410:07PMcool.exe一样吗?警告:检测到恶意蠕虫电子邮件传送被停止,因为其中包含蠕虫:电子邮件信息Fw:somestuffhere隔离该蠕虫(推荐)病毒的具体类别及企业防病毒体系的建立思想:

在网关和主机上截获数据流,只转发符合公认的互联网标准的数据。

策略#2:协议异常防护标准:只有符合9”x14”x22”标准的行李箱才允许放进头顶上的行李架中。对于红色代码、Slammer和Blaster,都可以使用此类技术来防护。病毒的具体类别及企业防病毒体系的建立

策略#2:协议异常防护思想:

在网关和主机上截获数据流,只转发符合公认的互联网标准的数据。HTTP标准HTTP请求必需符合下列标准:1.必需以GET请求开始。

2.必需发送标题行。

3.请求之后未跟随其他数据。TCP数据包GET/default.ida?XX…XXXHTTP/1.0Accept:text/htmlConnection:closeAAAAAAAAAAACODEREDXYZAPW

QWR@SNNBW#IYYU7AWMANEW7

#9!!@BPPMQ~^RQSPMZN((*#Z,,aO

+01ABVAKMAMWOAPP…对于红色代码、Slammer和Blaster,都可以使用此类技术来防护。病毒的具体类别及企业防病毒体系的建立

策略#3:病毒扼杀思想:

限制PC每秒钟与其他计算机新建的首次连接数。超快计算机蠕虫每秒钟可以连接到数百台新计算机。限制连接速率,便可对蠕虫进行限制。普通用户每秒连接到一至两台计算机。病毒的具体类别及企业防病毒体系的建立

策略#4:一般漏洞利用阻截步骤1:总结新漏洞的“形状”特征步骤2:以该形状作为特征,扫描网络流量并阻截与其匹配的任何数据立即阻截所有的新蠕虫,无需特定的特征。思想:

正如只有形状正确的钥匙才能打开锁一样,只有“形状”正确的蠕虫才能利用漏洞进行攻击。病毒的具体类别及企业防病毒体系的建立如果能阻挡扫描流量,发现不了有漏洞的机器?可能是一条指令,也可能是下载一个执行程序扫描具有漏洞的机器如果能检测出这些攻击指令如果能检测出这些病毒程序?1、客户端防火墙技术2、客户端入侵检测技术3、客户端防病毒技术有效的终端病毒防护技术病毒的具体类别及企业防病毒体系的建立企业级病毒防护体系的构建纵深的防御体系--在传统客户端和服务器层次的防病毒体系外,增加服务器防病毒、网络防病毒和网关防病毒()可以大大加强企业防病毒的能力,形成纵深的防御体系,这是因为增加的防病毒系统可以在最常见的网络传播途径上拦截和清除病毒,并与客户端和文件服务器层次的防病毒联合,形成能够对付复合型病毒的强大的企业防病毒体系架构。病毒的具体类别及企业防病毒体系的建立病毒的具体类别及企业防病毒体系的建立目录

病毒的定义、类型和分类病毒的现状和趋势防范技术和措施病毒案例分析和清除方法病毒的具体类别及企业防病毒体系的建立病毒案例分析—Blaster(冲击波)病毒Blaster原理:W32.Blaster.Worm通过TCP端口135利用DCOMRPC漏洞(此漏洞的信息请参见MicrosoftSecurityBulletinMS03-026)RPC提供了一种进程间的通信机制,通过这一机制,允许在某台计算机上运行的程序顺畅地在远程系统上执行代码。协议本身源自OSF(开放式软件基础)RPC协议,但增加了一些Microsoft特定的扩展。RPC中处理通过TCP/IP的消息交换的部分有一个漏洞。实际上是一个缓冲区溢出漏洞,成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制,可以以本地系统权限执行任意指令。病毒的具体类别及企业防病毒体系的建立Blaster病毒症状上网时弹出RPC服务终止的对话框倒计时60秒反复重启

IE浏览器不能正常地打开链接;右键菜单不能复制粘贴;有时出现应用程序,比如Word异常;网络变慢;在任务管理器里有一个“msblast.exe”进程在运行病毒的具体类别及企业防病毒体系的建立Blaster手动清除方法用任务管理器结束进程。病毒运行时会将自身复制为:%systemdir%\msblast.exe,用户可以手动删除该病毒文件。

注意:%systemdir%是指操作系统安装目录中的系统目录,默认是:“C:\Windows\system”或:“c:\Winnt\system32”。病毒会修改注册表的HKEY_LOCAL_MACHINE

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论