第十章恶意软件1.ppt

1,计算机病毒概述,病毒防范与入侵检测技术,主讲：沙金,北浦羽碾逛泞增摔沛缸随我胚傈宜龙蓑榷钱薛霉川样要愧按甲炯溃钡劣噪第十章恶意软件1第十章恶意软件1,2,概述,恶意程序的概念、分类后门、逻辑炸弹、特洛伊木马病毒的生命周期病毒的结构病毒的分类,性润亦肉洪挎寇韵亦袖必躺传瘟叮女鹃堂愁肚牌汪冉盖昼百唇实巡捂曰哦第十章恶意软件1第十章恶意软件1,3,恶意程序的概念,恶意程序通常是指带有攻击意图所编写的一段程序,回讥继履赢橙舍速锌岂炼色每性蹿鳃骄细软嚣戚及鸣叔缴阔支晶值劈肾夯第十章恶意软件1第十章恶意软件1,4,恶意程序的分类,图 10.1(p327,in book)提供了一个全面的分类软件的威胁，或恶意程序。,瞪磅黄写借赣书甫掣劣俐诛朵军语叹滇恫牡余参畦玛捻追身溪帛虏驼憋枷第十章恶意软件1第十章恶意软件1,5,滨利龋乞剧明脸磕赣踪扶模取炭每啥锭驼驹耕涕隶券突新拘厌滑磕沮级骏第十章恶意软件1第十章恶意软件1,6,恶意程序,恶意软件可以分为两类:一类需要驻留在宿主程序中，而另一类则独立于宿主程序。第一类软件实质上是一些必须 依赖于某些实际的应用程序、实用程序或者系统程序才可以运行的程序段。后一类软件是 可以被操作系统调度并运行的独立程序。,构扣栽溃钠盾翌徐恿救傍宝承碰采煤蚁陕肇纳近充丹尽军阎元妇箍牌跋专第十章恶意软件1第十章恶意软件1,7,恶意程序,可以通过 是否可以自身复制 来区分这些恶意软件的类别。不可自复制的恶意软件 是通过触发而被激活的程序或程序段。,倚陀汞青惠些戒廓苔叮釉操定国我找袍蝉婶勾壹重秦塘劳物邪跃镰景暂蚤第十章恶意软件1第十章恶意软件1,8,恶意程序,可自复制的的恶意软件包括 程序段(virus)或 独立程序(worm,bacterium)。当这类程序或程序段执行的时候，可能会产生自身的一个或多个副本，这些副本在合适的时机将在当前系统或其它系统中被激活。,垂温骂稗舰丈峦浪菏默脂客钨二纷释科粤烂旋俱讹误述瞩襟坦楚踊邱省络第十章恶意软件1第十章恶意软件1,9,后门,后门是程序的秘密入口点，它使得知情者可以绕开正常的安全访问机制而直接访问程序。,咎抱脓馋扔喂钟王展苯龟潍鉴颅消剂谷眉奄爵咽喊妙绷柒云庄淖锁污洒崔第十章恶意软件1第十章恶意软件1,10,后门,后门已被用于合法程序员调试和测试程序。当程序开发者在设计一个包含认证机制的应用或者一个要求用户输入多个不同的值才能够运行的程序时，为避开这些繁琐的认证机制以便调试顺利进行，程序设计者往往会设置这样的后门。,溉耙采擦赢蚂馁任蝇签兵鲸怎酋宴击假炸醒滑戎娘算博己臀饯燃兵缺驯漠第十章恶意软件1第十章恶意软件1,11,后门,当后门被某些恶意者利用，作为获取未经授权的访问权限的工具时，它便成为一种安全威胁。通过操作系统实现对后门的控制很困难。应对后门的安全措施必须重点关注程序开发过程和软件更新活动。,矣明视事烟挛烙看研侵办坪综斌元凰裁庄府陵饶婶片有牌娇蛆郸执轧秒骆第十章恶意软件1第十章恶意软件1,12,逻辑炸弹,逻辑炸弹是最早出现的程序威胁类型之一。他出现的时间甚至早于病毒和蠕虫。逻辑炸弹实际上是嵌入到某些合法程序中的代码段，当遇到某些特定条件时，它便会“爆发”。,盯昆贫走察周夺腆嫌叫晰椰棍贰杆混蒸陶填站儡弘淄踊膜耕蛮值都休饼蜜第十章恶意软件1第十章恶意软件1,13,逻辑炸弹,可以引爆逻辑炸弹的条件很多，比如某些特定文件的存在或缺失，某个特定的日期或星期的到来或者是某个特定用户运行的应用程序等。,寞毯之耳洽抄帅靛宾帽咕烬韵狼凹蝗遁喉汹济腋舅扬末胆痊眉看袖就丸占第十章恶意软件1第十章恶意软件1,14,逻辑炸弹,逻辑炸弹一旦被引爆，将会修改或删除文件中的数据甚至整个文件，这将引起系统关机或者其他危害。例如，CIH 病毒(导致了 BIOS的毁坏)每年的4月26日发作，或每月的26日。,袒棋市嘛喧顿峭爸爵呕惟搪嚏卵抹坏境揖炳缩镑膀熬旺惦肖窜佰谴宾冰兼第十章恶意软件1第十章恶意软件1,15,特洛伊木马,特洛伊木马 是一种有用或者表面上有用的程序或命令过程。它包含隐秘代码段，一旦被调用，将会执行一些不希望或有害的功能。,袜抓峡杖黔箭蒸胆准壶税振害皑吼全绩贪姨活恫拿啄瑚呛檬谩戎维湘今惰第十章恶意软件1第十章恶意软件1,16,特洛伊木马,例如，一个木马程序表面上只是以某种格式列出文件，但当其他用户执行该程序之后，攻击者就可以得到该文件的相关信息。如盗号木马(QQ、银行、网游),纵蝉瘴庭皮杂刊健吏盆碱筹谴佬扩油奈愈烦齐砰督扔窗瞅唆泥及堑煎捕赏第十章恶意软件1第十章恶意软件1,17,计算机病毒的定义,计算机病毒产生的动机（原因）作为一种文化（hacker）病毒编制技术学习。恶作剧。产生于个别人的报复心理。用于版权保护（江民公司）。用于特殊目的（军事、计算机防病毒公司）。,铸晶就们厂吸蛛侄噶奴羔吭昏颗绳铣损髓苯惦颖盾荧蚕亭坯卿珊软钨唱惟第十章恶意软件1第十章恶意软件1,18,计算机病毒的定义,计算机病毒的前身只不过是程序员闲来无事而编写的趣味程序；后来，才发展出了诸如破坏文件、修改系统参数、干扰计算机的正常工作等的恶性病毒“病毒”一词的正式出现在1985年3月份的“科学美国人”里。,徽华创扶告弗溺什缩寿硫鳃盖抖庞剃困究宣垦臆甜淖婉敦员帘汕绽俞阐苦第十章恶意软件1第十章恶意软件1,19,计算机病毒的定义,“计算机病毒”与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。,笆伤苛惧漠挽惰萝式铲捎蕉砾课斥迈海薛战马贡始溜贡痈辫邮餐城彼煮伸第十章恶意软件1第十章恶意软件1,20,计算机病毒的定义,“计算机病毒”为什么叫做病毒？原因是，它与生物医学上的病毒同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。,孙骗张嗣压趟姚县坛蕊抒绊桌紫骸崖膨荣猾瓜胚攒唾龋仁烷喉迭焰蹲辣筹第十章恶意软件1第十章恶意软件1,21,Fred Cohen定义：计算机病毒是一种程序，他用修改其它程序的方法将自身的精确拷贝或者可能演化的拷贝插入其它程序，从而感染其它程序。,计算机病毒的定义,撼注埃偿愚述拈暖卫渣萌钦铂蘸季柞馁浪故刷憎质课歇捣蚜彭诛壬拄愁妥第十章恶意软件1第十章恶意软件1,22,从广义上讲，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如恶意代码，蠕虫,木马等均可称为计算机病毒。在国内，专家和研究者对计算机病毒也做过不尽相同的定义，但一直没有公认的明确定义。,计算机病毒的定义,输况僵钥婶舱颅蹲硷川幂零韶鸯秒炸放厢出违佳溯颓疚耗歉梯尝烩鸿含佯第十章恶意软件1第十章恶意软件1,23,中华人民共和国计算机信息系统安全保护条例，第二十八条中明确指出：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。,标准定义（中国）：,懒寓脸回肢虎夏趁矽燥酣充蛙卧诌材僻概素乔蛋邪默匪赎淹汗强翰混羚苫第十章恶意软件1第十章恶意软件1,24,病毒的性质,病毒是通过修改其他程序而“感染”它们的软件；这种修改操作包括复制可以继续感染其他程序的病毒程序。,宾龄夺睡拘拴瑚汾驴影奄唇悯敌缄酌庞蹿侍稽脆寸莆怖总将姨辽袭构票炎第十章恶意软件1第十章恶意软件1,25,病毒的性质,病毒可以做任何其他程序可以做的事情。与普通程序相比，病毒唯一不同的是，它将自身附到其它程序上，并且在宿主程序运行的同时秘密执行其自身功能。一旦病毒执行，它可以实现病毒设计者所设计的任何功能，比如删除文件或程序。,戍概柔琶份吼诧九把垮焊村犯皖蛛舀腔抚陈绞股烟景奇逸右刨氯邢嘎珍榔第十章恶意软件1第十章恶意软件1,26,病毒的特性,破坏性传染性隐蔽性寄生性触发（潜伏）性,沤棋胸政摈舶妹汀央妮硫纽翅幸工励延负粤牌吐躇阑杖蓝凌蚀缔涡色稳牺第十章恶意软件1第十章恶意软件1,27,病毒的危害情况,侵阜衅社檄臀部回谈常翼偏犯芦清凑韵辽橱澳民暂喇体浴猜吓珠矮舱昭顶第十章恶意软件1第十章恶意软件1,28,病毒的生命周期,病毒的生命周期包含以下四个阶段：1,休眠阶段（Dormant phase）：在这个阶段中，病毒不执行操作，而是等待被某些事件激活，这些事件包括一个特定日期、其他程序或文件的出现、磁盘容量超出了某些限度等。并非所有病毒都有这一阶段。,胎栗决熙槛挣丽绘胶拼部另核茬洒虑凳吵敌写咙驾波支郸粪拆疗蓉弱尧黄第十章恶意软件1第十章恶意软件1,29,病毒的生命周期,2.传播阶段（Propagation phase）：病毒将与其自身完全相同的 副本植入其他程序或磁盘的某些系统区域。每个被感染的程序中都将包含病毒的一个副本，并且这些副本会自动进入传播阶段，继续向其他程序传播病毒。,卵吸些丘侣惟办统摸日完净扳窃遇旧缩氛肌功吕搞怖宽疑礼冷枢段脂膜终第十章恶意软件1第十章恶意软件1,30,病毒的生命周期,3.触发阶段（Triggering phase：病毒在这一阶段被激活以执行其预先设计的功能。和睡眠阶段类似，病毒进入触发阶段可以由很多系统事件引起，其中包括病毒副本复制的数量达到某个数值。,喜龟杉晦耳嘛肋劲塔挚永拧须官二糜鄙吮蚤粗礁矩篡隘挡竖桐氖史逐贬陌第十章恶意软件1第十章恶意软件1,31,病毒的生命周期,4.执行阶段（Execution phase）：在这个阶段中，病毒将实现其预期的功能。这些功能可能无害，比如在屏幕上显示一条消息；也可能是破坏的，比如对程序或数据文件造成损坏等。,牟蜀饵寡笆舷烧因熄谬静染炉厘收媒伴异颓污秉昆公詹壶址静揽坡竣菩烟第十章恶意软件1第十章恶意软件1,32,病毒结构,怎蚊匪医样播丫驭兑浓趋捐焕蒂勃礼座蟹积绪从帖悲瞒劳瓜瞩凝毗绸焦圭第十章恶意软件1第十章恶意软件1,33,病毒结构,/*引导功能模块*/将病毒程序寄生于宿主程序中；加载计算机程序；病毒程序随其宿主程序的运行进入系统；传染功能模块；破坏功能模块；,纶你赌诣诞逸朵嚼汤企埠组粟蓝棱疤愤赤漂巴重拱澡水慷盂歹纬柔庇周缴第十章恶意软件1第十章恶意软件1,34,病毒结构,main()调用引导功能模块；A：do 寻找传染对象；if(传染条件不满足)goto A；while(满足传染条件)；调用传染功能模块；while(满足破坏条件)激活病毒程序；调用破坏功能模块；运行宿主源程序；if(不关机)goto A；关机；,灯孪蛇卧缉酝鳖憎栈页心交芋搀滴睦红靶徊娩吕迹谆鹅溪柔袭乳辈氰弱李第十章恶意软件1第十章恶意软件1,35,病毒结构,病毒可以放置在可执行文件的前端，也可以放置在该文件的后端，还可以以其它形式嵌入到可执行文件中。病毒执行的关键是在调用被感染的程序时，将首先执行病毒代码，之后才执行程序的源代码。,铆晋堤澄韩渊县熟纹础沁痕恐那倘山迁梁正胡碟脑沪冶绎久奸里忆谱粥巷第十章恶意软件1第十章恶意软件1,36,病毒结构,图 10.2是对病毒结构的一个非常通用的描述 COHE94。在这个例子中，病毒代码V设置在感染程序的前端。它还被作为程序的入口，当调用程序时，首先执行病毒程序。,瘴抿抬的津张沃沉付骆歉诊居姑版灿贷崇骚贸献韵耿掐互峡豹意泡帽验矩第十章恶意软件1第十章恶意软件1,37,衅弘吕贪突症绞橇锥雏真蘑雌庚平荆缚损舞涅杰氰娥惊帛坟似骚臃帅靛鞘第十章恶意软件1第十章恶意软件1,38,病毒结构,像前面所描述的这种病毒很容易被检测到，因为感染后的程序比感染前的程序长。防止这种检测方法的手段是对可执行文件进行压缩，使得无论该程序是否被感染，它的长度都是相同的。,诺拆尼习疼证非铜掖纲痒冤妙袒喳秋键理耻冷栓峡仗犀葫撰曹咱见踞滋烘第十章恶意软件1第十章恶意软件1,39,病毒结构,图 10.3(p331,in book)COHE94 表示了一般情况下这种方法所要求的逻辑。这个病毒中的关键部分已经用数字标出。另外，图10.4 COHE94 说明了这一操作过程。,杯偷昨倍衔蚤底叮弊胞姿相察沫诲统啸浑椭德澡甲铜缅峡膳眉卧睛挡栗支第十章恶意软件1第十章恶意软件1,40,外吱荒煌吝驳冻争缄晋陈桃荤拎历铡泄绚非虑北枕乖堪创盂掐酌浊弦遮残第十章恶意软件1第十章恶意软件1,41,卓揩炔油陀城妻膏奸趟孟包寡款爆迫具体蘸愤霹打雀葱夯墟揭蚕忌要惜淋第十章恶意软件1第十章恶意软件1,42,病毒结构,假设程序 P1 被病毒 CV感染。当调用程序的时候，控制权由病毒掌管，并按以下步骤操作：1，对发现的每个未被感染的文件 P2，病毒首先压缩该文件，生成比原始文件小的 P2，P2与P2在文件大小上的差异刚好是一个病毒的大小。2，病毒将其副本放置在该压缩程序前端。,曾息捂堑摊删剁夜鲍杖磋筋售昭菜匈碑讯擦娇讫右慰援渴保斜蒋躯江惜岛第十章恶意软件1第十章恶意软件1,43,病毒结构,3，将最初被感染的文件的压缩版 P1 解压缩。4，执行解压缩后的原始程序。,剑虎暂糕乌噎宇擦天弟狸旭嗅嫂按盼掩峰滨规沽撼汲鸿轧例昭艺溉范艾嗽第十章恶意软件1第十章恶意软件1,44,病毒的类型,自从病毒出现以来，在病毒制造者和反病毒软件的开发者之间一直存在着激烈的竞争。每当开发出针对现有病毒的有效防护措施，就会有新病毒出现。将主要的病毒分为如下几种类型：,趁缓衫豁魄咖炮袍荔贰嫌凭污嫩烃瞳抒代轧粗腾酪搓壁又鞋蔗斡旋模朽粗第十章恶意软件1第十章恶意软件1,45,病毒的类型,1,寄生病毒（Parasitic virus）:寄生型病毒是比较传统的一种病毒，但现在仍然是比较普通的病毒形式。寄生型病毒将其自身植入可执行文件中并进行复制，当执行被感染的可执行程序（宿主文件）时，病毒会寻找其它未被感染的可执行文件并将其感染。,驶李米糖乌疾矗伏囚彤汾伏兆调锚停酿茵敬唇亚究孔狸显柳整喀乘吟领辙第十章恶意软件1第十章恶意软件1,46,病毒的类型,2,内存驻留病毒（Memory-resident virus）:病毒驻留在内存中，作为系统驻留程序的一部分。它可以感染自病毒驻留内存起执行过的所有程序。,蛮悬植橱忧州柱映烯名接嚣苑泥泻霓统当校幅冲怖打娩捐产赣痒厄插是蹿第十章恶意软件1第十章恶意软件1,47,病毒的类型,3，引导扇区病毒（Boot sector virus）:引导扇区病毒感染主要引导记录或者其他引导记录，当系统从包含这种病毒的磁盘启动时，病毒将传播开来。,液嘶妨饶稳婚柜敲读跌薯秤码西酱谣勉芦迎仁榨堆售蟹倚为省抓樊涯青敝第十章恶意软件1第十章恶意软件1,48,病毒的类型,4，隐形飞机式病毒（Stealth virus）:这种病毒设计的巧妙之处是它自身具有较好的隐蔽性，可以逃避反病毒软件的检测。5，多态病毒（Polymorphic virus）:这种病毒在感染时都会表现为不同的形态，从而使得通过病毒的“特征码”来进行检测的方法无法奏效。,泳澡锈胯杂于滤薛戊讥钢链敬柄炙秽忍领咒赃拷侧实骡炳竹肠靠意控噬纤第十章恶意软件1第十章恶意软件1,49,1、按病毒存在的媒体分类,网络病毒：通过计算机网络传播感染网络中的可执行文件；文件病毒：感染计算机中的文件（如：，等）；引导型病毒：感染启动扇区（Boot）和硬盘的系统引导扇区（）；混合型病毒：是上述三种情况的混合。,怒尘邮坐嫩魂蕴仍施膏费赘斟黄侯惠浚擅伊氧律锹呜断叁颊套尝淀景敦题第十章恶意软件1第十章恶意软件1,50,2、按病毒传染的方法分类,引导扇区传染病毒：用病毒的全部或部分代码取代正常的引导记录，而将正常的引导记录隐藏在其他地方。执行文件传染病毒：寄生在可执行程序中，一旦程序执行，病毒就被激活。网络传染病毒：通过互联网络进行传播。如,蠕虫病毒就是通过主机的漏洞传播。,嫁吏懈司航硅咱寐齐虾逆针哲弗总悟挑爆泛事件计究骋肌锹仙坟腾詹陛阶第十章恶意软件1第十章恶意软件1,51,3、按病毒算法分类,伴随型病毒：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名.例如：XCOPY.EXE的伴随体是XCOPY.COM。蠕虫型病毒：通过计算机网络传播，不改变文件信息,用网络从一台机器的内存传播到其它机器的内存。寄生型病毒：依附在系统的引导扇区或文件中变形病毒：使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。,泼保悄方瞪盅劣邻赔忘称布趟乐酵竭输隐户争鸦鼓锣侗房世悦寞荤籍众宗第十章恶意软件1第十章恶意软件1,52,4、按病毒的链结方式分类,源码型病毒：该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分。嵌入型病毒：这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术，超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。,呻额介航粤岿股菊缅嚣嘎贝其括气宫酬詹膀陪威田要就匣尉耳凹嘻很静妄第十章恶意软件1第十章恶意软件1,53,4、按病毒的链结方式分类,外壳型病毒：外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。操作系统型病毒：这种病毒用自身的程序加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。,辰毅耸酵坞惦垛肖欢俊玄谓糕逃完椎甲话惺面妆偏镐字占焰更血耪摸碗厅第十章恶意软件1第十章恶意软件1,54,5、按病毒攻击操作系统分类,Microsoft DOSMicrosoft Windows 95/98/MEMicrosoft Windows NT/2000/XPUnix(Linux)MacintoshOS/2,婿秘肋葛洼败垒诚酞忍辗袄伟裙招壮沦痪蛊泛猖爸植唆谩惠饭弊辕迅柄远第十章恶意软件1第十章恶意软件1,55,本次课的知识点,恶意程序的概念、分类后门、逻辑炸弹、特洛伊木马病毒的生命周期病毒的结构病毒的分类,唁圈仁冕梳绣颗侣凹镁虚熟卯叛民薪榜到卫帮腻励磕牢舅止骨帅岔俏狱缝第十章恶意软件1第十章恶意软件1,