第12章恶意代码与计算机病毒的防治PPT文档.ppt
代码是指计算机程序代码,可以被执行完成特定功能。黑客编写的具有破坏作用的计算机程序,这就是恶意代码。,14.1 恶意代码 14.1.1 恶意代码的概念,恶意代码可以按照两种分类标准,从两个角度进行直交分类。一种分类标准是,恶意代码是否需要宿主,即特定的应用程序、工具程序或系统程序。需要宿主的恶意代码具有依附性,不能脱离宿主而独立运行;不需宿主的恶意代码具有独立性,可不依赖宿主而独立运行。另一种分类标准是,恶意代码是否能够自我复制。不能自我复制的恶意代码是不感染的;能够自我复制的恶意代码是可感染的。,14.1.2 恶意代码的分类,表14-1 恶意代码的分类方法,表14-2 恶意代码的分类实例,1.不感染的依附性恶意代码特洛伊木马特洛伊木马是一段能实现有用的或必需的功能的程序,但是同时还完成一些不为人知的功能,这些额外的功能往往是有害的。特洛伊木马经常伪装成游戏软件、搞笑程序、屏保、非法软件、色情资料等,上载到电子新闻组或通过电子邮件直接传播,很容易被不知情的用户接收和继续传播。(2)逻辑炸弹逻辑炸弹(Logic bomb)是一段具有破坏性的代码,事先预置于较大的程序中,等待某扳机事件发生触发其破坏行为。一旦逻辑炸弹被触发,就会造成数据或文件的改变或删除、计算机死机等破坏性事件。,(3)后门或陷门后门(backdoor)或陷门(trapdoor)是进入系统或程序的一个秘密入口,它能够通过识别某种特定的输入序列或特定账户,使访问者绕过访问的安全检查,直接获得访问权利,并且通常高于普通用户的特权。多年来,程序员为了调试和测试程序一直合法地使用后门,但当程序员或他所在的公司另有企图时,后门就变成了一种威胁。,2.不感染的独立性恶意代码(1)点滴器点滴器(dropper)是为传送和安装其他恶意代码而设计的程序,它本身不具有直接的感染性和破坏性。点滴器专门对抗反病毒检测,使用了加密手段,以阻止反病毒程序发现它们。当特定事件出现时,它便启动,将自身包含的恶意代码释放出来。,(2)繁殖器繁殖器(generator)是为制造恶意代码而设计的程序,通过这个程序,把某些已经设计好的恶意代码模块按照使用者的选择组合起来而已,没有任何创造新恶意代码的能力。因此,检测由繁殖器产生的任何病毒都比较容易,只要通过搜索一个字符串,每种组合都可以被发现。(3)恶作剧恶作剧(hoax)是为欺骗使用者而设计的程序,它侮辱使用者或让其做出不明智的举动。恶作剧通过“心理破坏”达到“现实破坏”。,3.可感染的依附性恶意代码计算机病毒(viru)是一段附着在其他程序上的可以进行自我繁殖的代码。由此可见,计算机病毒是既有依附性,又有感染性。,4.可感染的独立性恶意代码(1)蠕虫计算机蠕虫(worm)是一种通过计算机网络能够自我复制和扩散的程序。蠕虫与病毒的区别在于“附着”。蠕虫不需要宿主,感染的是系统环境(如操作系统或邮件系统)。蠕虫利用一些网络工具复制和传播自身,其中包括:电子邮件蠕虫会把自身的副本邮寄到其他系统中;远程执行蠕虫能够执行在其他系统中的副本;远程登录蠕虫能够像用户一样登录到远程系统中,然后使用系统命令将其自身从一个系统复制到另一个系统中。,根据启动方式可分为几种。自动启动蠕虫(Self-Launching Worm)不需要与受害者交互而自动执行,如Morris Worm;用户启动蠕虫(User-Launched Worm)必须由使用者来执行,因此需要一定的伪装,如CHRISTMA EXEC;混合启动蠕虫(Hybrid-Launch Worm)包含上述两种启动方式。,(2)细菌计算机细菌(germ)是一种在计算机系统中不断复制自己的程序。以指数形式膨胀,最终会占用全部的处理器时间和内存或磁盘空间,从而导致计算资源耗尽无法为用户提供服务。细菌通常发生在多用户系统和网络环境中,目的就是占用所有的资源。,计算机病毒是一种可感染的依附性恶意代码。计算机病毒具有纯粹意义上的病毒特征外,还带有其他类型恶意代码的特征。蠕虫病毒就是最典型和最常见的恶意代码,它是蠕虫和病毒的混合体。,14.2 计算机病毒,中华人民共和国计算机信息系统安全保护条例中的定义为:“计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。”,14.2.1 计算机病毒的概念,计算机病毒(简称病毒)具有以下特征:(1)传染性病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。所谓“感染”,就是病毒将自身嵌入到合法程序的指令序列中,致使执行合法程序的操作会招致病毒程序的共同执行或以病毒程序的执行取而代之。(2)隐蔽性病毒一般是具有很高编程技巧的、短小精悍的一段代码,躲在合法程序当中。如果不经过代码分析,病毒程序与正常程序是不容易区别开来的。,(3)潜伏性病毒进入系统之后一般不会马上发作,默默地进行传染扩散而不被人发现。病毒的内部有一种触发机制,一旦触发条件得到满足,病毒便开始表现,有的只是在屏幕上显示信息、图形或特殊标识,有的则执行破坏系统的操作。触发条件可能是预定时间或日期、特定数据出现、特定事件发生等。(4)多态性病毒试图在每一次感染时改变它的形态,使对它的检测变得更困难。,(5)破坏性病毒一旦被触发而发作就会造成系统或数据的损伤甚至毁灭。病毒的破坏程度主要取决于病毒设计者的目的,如果病毒设计者的目的在于彻底破坏系统及其数据,那么这种病毒对于计算机系统进行攻击造成的后果是难以想像的,它可以毁掉系统的部分或全部数据并使之无法恢复。,计算机病毒主要由潜伏机制、传染机制和表现机制构成。在程序结构上由实现这3种机制的模块组成(见图14.1)。若某程序被定义为计算机病毒,只有传染机制是强制性的,潜伏机制和表现机制是非强制性的。,14.2.2 计算机病毒的结构,图14.1 计算机病毒程序结构,1.潜伏机制潜伏机制的功能包括初始化、隐藏和捕捉。潜伏机制模块随着感染的宿主程序的执行进入内存,首先,初始化其运行环境,使病毒相对独立于宿主程序,为传染机制做好准备。然后,利用各种可能的隐藏方式,躲避各种检测,欺骗系统,将自己隐蔽起来。最后,不停地捕捉感染目标交给传染机制,不停地捕捉触发条件交给表现机制。,2.传染机制传染机制的功能包括判断和感染。传染机制先是判断候选感染目标是否已被感染,感染与否通过感染标记来判断,感染标记是计算机系统可以识别的特定字符或字符串。一旦发现作为候选感染目标的宿主程序中没有感染标记,就对其进行感染,也就是将病毒代码和感染标记放入宿主程序之中。,3.表现机制表现机制的功能包括判断和表现。表现机制首先对触发条件进行判断,然后根据不同的条件决定什么时候表现、如何表现。表现内容多种多样,然而不管是炫耀、玩笑、恶作剧,还是故意破坏,或轻或重都具有破坏性。表现机制反映了病毒设计者的意图,是病毒间差异最大的部分。潜伏机制和传染机制是为表现机制服务的。,防治病毒,“防”是主动的,“治”是被动的。首先要积极地“防”,尽量避免病毒入侵。对于入侵的病毒当然要努力地“治”,以尽量减少和挽回病毒造成的损失,。因此,病毒防治应采取“以防为主、与治结合、互为补充”的策略,不可偏废任何一方面。,14.3 防治措施,如上所述,病毒防治技术分为“防”和“治”两部分。“防”毒技术包括预防技术和免疫技术;“治”毒技术包括检测技术和消除技术。,14.3.1 病毒防治的技术,1.病毒检测技术病毒检测就是采用各种检测方法将病毒识别出来。目前,对已知病毒的识别主要采用特征判定技术,即静态判定技术,对未知病毒的识别除了特征判定技术外,还有行为判定技术,即动态判定技术。,4.病毒消除技术病毒消除的目的是清除受害系统中的病毒,恢复系统的原始无毒状态。具体来讲,就是针对系统中的病毒寄生场所或感染对象进行一一杀毒。,有效的病毒防治部署是采用基于网络的多层次的病毒防御体系。该体系在整个网络系统的各组成环节处,包括客户端、服务器、Internet网关和防火墙,设置防线,形成多道防线。即使病毒突破了一道防线,还有第二、第三道防线拦截,因此,能够有效地遏制病毒在网络上的扩散。,14.3.2 病毒防治的部署,病毒防治不仅是技术问题,更是社会问题、管理问题和教育问题。要做到以下几点:建立和健全相应的国家法律和法规;建立和健全相应的管理制度和规章;加强和普及相应的知识宣传和培训。,14.3.3 病毒防治的管理,1.病毒防治软件的类型病毒防治软件按其查毒杀毒机制可分为以下3种类型:(1)病毒扫描型病毒扫描型软件采用特征扫描法。这类软件具有检测速度快、误报率低和准确度高的优点,正因为能准确识别已知病毒,所以对被已知病毒感染的程序和数据一般都能恢复。要保证病毒防治的有效性,病毒特征码库和扫描引擎必须经常升级。,14.3.4 病毒防治软件,(2)完整性检查型完整性检查型软件采用比较法和校验和法,监视观察对象(包括引导扇区和计算机文件等)的属性(包括大小、时间、日期和校验和等)和内容是否发生改变,如果检测出变化,则观察对象极有可能已遭病毒感染。,(3)行为封锁型行为封锁型软件采用驻留内存在后台工作的方式,监视可能因病毒引起的异常行为,如果发现异常行为,便及时警告用户,由用户决定该行为是否继续。这类软件试图阻止任何病毒的异常行为,因此可以防止新的未知病毒的传播和破坏。当然,有的“可疑行为”是正常的,所以出现“误诊”总是难免的。,2.病毒防治软件的选购选购病毒防治软件时,需要注意的指标包括检测速度、识别率、清除效果、可管理性、操作界面友好性、升级难易度、技术支持水平等诸多方面。(1)检测速度(2)识别率(3)清除效果,恶意代码是指黑客编写的扰乱社会和他人甚至起着破坏作用的计算机程序,计算机病毒是恶意代码中最常见的一种。为了保障计算机系统和网络的正常运行,有必要懂得恶意代码与计算机病毒的基本概念、工作原理和防止措施。,14.4 本章小结,恶意代码按照是否需要宿主和是否能够自我复制分为4大类:(1)不感染的依附性恶意代码,包括特洛伊木马、逻辑炸弹、后门或陷门等。(2)不感染的独立性恶意代码,包括点滴器、繁殖器、恶作剧等。(3)可感染的依附性恶意代码,主要是病毒。(4)可感染的独立性恶意代码,包括蠕虫、细菌等。计算机病毒的基本特征有传染性、隐蔽性、潜伏性、多态性和破坏性。计算机病毒主要由潜伏机制、传染机制和表现机制构成。,恶意代码或计算机病毒的防治应采取“以防为主,与治结合,互为补充”的策略,不可偏废任何一方面。病毒防治技术包括预防技术、免疫技术、检测技术和消除技术。有效的病毒防治部署采用基于网络的多层次的病毒防御体系。病毒防治不仅是技术问题,更是社会问题、管理问题和教育问题,应建立和健全相应的国家法律和法规,建立和健全相应的管理制度和规章,加强和普及相应的知识宣传和培训。病毒防治软件按其查毒杀毒机制分为病毒扫描型、完整性检查型和行为封锁型。选购病毒防治软件时,需要注意的指标包括检测速度、识别率、清除效果、可管理性、操作界面友好性、升级难易度、技术支持水平等诸多方面。,14-1画出下面恶意代码类别与实例的对应关系。类别A.不感染、依附性B.不感染、独立性C.可感染、依附性D.可感染、独立性实例,习题,a.后门(backdoor)b.点滴器(dropper)c.繁殖器(generator)d.细菌(germ)e.恶作剧(hoax)f.逻辑炸弹(Logic Bomb)g.陷门(trapdoor)h.特洛伊木马(Trojan Horse)i.病毒(virus)j.蠕虫(worm),14-2 计算机病毒有哪些基本特征?14-3 计算机病毒主要由()机制、()机制和()机制构成。14-4 计算机病毒按连接方式分为()、()、()和(),按破坏性质分为()和(),按感染方式分为()、()和()。A.良性病毒 B.源码型病毒 C.恶性病毒D.嵌入型病毒 E.引导型病毒 F.外壳型病毒G.文件型病毒 H.混合型病毒 I.操作系统型病毒14-5 宏病毒属于哪种类型的病毒?,14-6 病毒防治技术分为“防”和“治”两部分。“防”毒技术包括()技术和()技术;“治”毒技术包括()技术和()技术。14-7 计算机病毒特征判定技术有()法、()法、()法和()法。14-8 基于网络的多层次的病毒防御体系中设置的多道防线包括()防线、()防线、()防线和()防线。14-9 病毒防治不仅是技术问题,更是()问题、()问题和()问题。14-10 病毒防治软件的类型分为()型、()型和()型。,