计算机病毒概述.ppt

计算机病毒概述,本章学习目标,掌握计算机病毒的基本概念了解计算机病毒发展的历史转折点熟悉计算机病毒的分类熟悉商业计算机病毒命名规则掌握计算机病毒的发展趋势,一、计算机病毒的定义,计算机病毒产生的动机(原因)：计算机系统的脆弱性(IBM病毒防护计划)作为一种文化（hacker）病毒编制技术学习恶作剧报复心理用于版权保护（江民公司）用于特殊目的（军事、计算机防病毒公司）,“计算机病毒”与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。“计算机病毒”为什么叫做病毒？与生物医学上的病毒同样有传染和破坏的特性，因此这一名词是由生物医学上的“病毒”概念引申而来。,Fred Cohen定义：计算机病毒是一种程序，他用修改其它程序的方法将自身的精确拷贝或者可能演化的拷贝插入其它程序，从而感染其它程序。Fred Cohen认为：病毒不是利用操作系统运行的错误和缺陷的程序，病毒是正常的用户程序。,标准定义（中国）：,直至1994年2月18日，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中明确指出：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。此定义具有法律性、权威性。,二、计算机病毒的特性,破坏性 传染性 隐蔽性 寄生性 触发（潜伏）性,/*引导功能模块*/将病毒程序寄生于宿主程序中；加载计算机程序；病毒程序随其宿主程序的运行进入系统；传染功能模块；破坏功能模块；main()调用引导功能模块；A：do 寻找传染对象；if(传染条件不满足)goto A；while(满足传染条件)；调用传染功能模块；,while(满足破坏条件)激活病毒程序；调用破坏功能模块；运行宿主源程序；if 不关机goto A；关机；,计算机病毒感染率变化趋势,数据来源：中国计算机病毒应急处理中心,三、计算机病毒简史,年份,计算机病毒简史,在第一部商用电脑出现之前，冯诺伊曼在他的论文复杂自动装置的理论及组识的进行里，就已经勾勒出了病毒程序的蓝图。70年代美国作家雷恩出版的P1的青春The Adolescence of P1一书中作者构思出了计算机病毒的概念。美国电话电报公司(AT&T)的贝尔实验室中，三个年轻程序员道格拉斯.麦耀莱、维特.维索斯基和罗伯.莫里斯在工作之余想出一种电子游戏叫做“磁芯大战(core war)”。,博士论文的主题是计算机病毒1983年11月3日，Fred Cohen博士研制出第一个计算机病毒（Unix）。,1986年初，巴基斯坦的拉合尔，巴锡特和阿姆杰德两兄弟编写了Pakistan病毒，即Brain，其目的是为了防范盗版软件。Dos PC 引导区1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。,视窗病毒,1988 年 3 月 2 日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。,肇事者-Robert T.Morris,美国康奈尔大学学生，其父是美国国家安全局安全专家。机理-利用sendmail,finger 等服务的漏洞，消耗CPU资源，并导致拒绝服务。影响-Internet上大约6000台计算机感染，占当时Internet 联网主机总数的10%，造成9600万美元的损失。CERT/CC的诞生-DARPA成立CERT（Computer Emergency Response Team），以应付类似事件。,莫里斯蠕虫（Morris Worm）1988年,1989年，全世界计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户（包括中国）造成了极大损失。全球流行DOS病毒,伊拉克战争中的病毒-AF/91（1991）,在沙漠风暴行动的前几周，一块被植入病毒的计算机芯片被安装进了伊拉克空军防卫系统中的一台点阵打印机中。该打印机在法国组装，取道约旦、阿曼运到了伊拉克。病毒瘫痪了伊拉克空军防卫系统中的一些Windows系统主机以及大型计算机，据说非常成功。,宏病毒,1996年，出现针对微软公司Office的“宏病毒”。1997年公认为计算机反病毒界的“宏病毒年”。特点：书写简单，甚至有很多自动制作工具,CIH（1998-1999）,1998年，首例破坏计算机硬件的CIH病毒出现，引起人们的恐慌。1999年4月26日，CIH病毒在我国大规模爆发，造成巨大损失。,蠕虫 病毒新时代,1999年3月26日，出现一种通过因特网进行传播的美丽莎病毒。2001年7月中旬，一种名为“红色代码”的病毒在美国大面积蔓延，这个专门攻击服务器的病毒攻击了白宫网站，造成了全世界恐慌。2003年，“2003蠕虫王”病毒在亚洲、美洲、澳大利亚等地迅速传播，造成了全球性的网络灾害。记忆犹新的3年（2003-2005）,2004年是蠕虫泛滥的一年，大流行病毒：网络天空(Worm.Netsky)高波(Worm.Agobot)爱情后门(Worm.Lovgate)震荡波(Worm.Sasser)SCO炸弹(Worm.Novarg)冲击波(Worm.Blaster)恶鹰(Worm.Bbeagle)小邮差(Worm.Mimail)求职信(Worm.Klez)大无极(Worm.SoBig),2005年是木马流行的一年，新木马包括：8月9日，“闪盘窃密者（Trojan.UdiskThief）”病毒。该木马病毒会判定电脑上移动设备的类型，自动把U盘里所有的资料都复制到电脑C盘的“test”文件夹下，这样可能造成某些公用电脑用户的资料丢失。11月25日，“证券大盗”（）。该木马病毒可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码，被盗号的股民账户存在被人恶意操纵的可能。7月29日，“外挂陷阱”（）。此病毒可以盗取多个网络游戏的用户信息，如果用户通过登陆某个网站，下载安装所需外挂后，便会发现外挂实际上是经过伪装的病毒，这个时候病毒便会自动安装到用户电脑中。9月28日，我的照片(Trojan.PSW.MyPhoto)病毒。该病毒试图窃取热血江湖、传奇、天堂、工商银行、中国农业银行 等数十种网络游戏及网络银行的账号和密码。该病毒发作时，会显示一张照片使用户对其放松警惕。,2006年木马仍然是病毒主流，变种层出不穷2006年上半年，江民反病毒中心共截获新病毒33358种，另据江民病毒预警中心监测的数据显示，1至6月全国共有7322453台计算机感染了病毒，其中感染木马病毒电脑2384868台，占病毒感染电脑总数的32.56%，感染广告软件电脑1253918台，占病毒感染电脑总数的17.12%，感染后门程序电脑 664589台，占病毒感染电脑总数的9.03%，蠕虫病毒216228台，占病毒感染电脑总数的2.95%，监测发现漏洞攻击代码感染181769台，占病毒感染电脑总数的2.48%，脚本病毒感染15152台，占病毒感染电脑总数的2.06%。,最前沿病毒,2007年：流氓软件反流氓软件技术对抗的阶段。Cnnic3721 yahoo熊猫烧香2008年：木马ARPPhishing（网络钓鱼）,2009年恶意代码产业化木马是主流其他：浏览器劫持、下载捆绑、钓鱼,2010年新增恶意代码750万（瑞星）；流行恶意代码：快捷方式真假难分、木马依旧猖獗，但更注重经济利益和特殊应用。,恶意代码的发展趋势,卡巴斯基实验室的高级研究师David Emm研究获悉，到2008年底为止，全球大约存在各种恶意代码1,400,000个。,发展趋势网络化发展 专业化发展 简单化发展多样化发展 自动化发展 犯罪化发展,四、病毒人生（法律）,1983 年 11 月 3 日，弗雷德科恩(Fred Cohen)博士研制出一种在运行过程中可以复制自身的破坏性程序，伦艾德勒曼(Len Adleman)将它命名为计算机病毒(computer viruses)，并在每周一次的计算机安全讨论会上正式提出。,1988年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络互联网。1988年11月2日下午5点，互联网的管理人员首次发现网络有不明入侵者。当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。,CIH病毒，又名“切尔诺贝利”，是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。,年仅18岁的高中生杰弗里李帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此，他的邻居们表示不敢相信。在他们的眼里，杰弗里李帕森是一个电脑天才，而决不是什么黑客，更不会去犯罪。,李俊，大学本科毕业大于1000万用户染毒损失数亿元人民币处罚：最高无期？,五、计算机病毒的主要危害,直接危害：1.病毒激发对计算机数据信息的直接破坏作用 2.占用磁盘空间和对信息的破坏 3.抢占系统资源 4.影响计算机运行速度 5.计算机病毒错误与不可预见的危害 6.计算机病毒的兼容性对系统运行的影响,病毒的危害情况,间接危害：1.计算机病毒给用户造成严重的心理压力2.造成业务上的损失3.法律上的问题,近几年来的重大损失,六、计算机病毒的分类,1、按病毒存在的媒体分类,网络病毒：通过计算机网络传播感染网络中的可执行文件；文件病毒：感染计算机中的文件（如：，等）；引导型病毒：感染启动扇区（Boot）和硬盘的系统引导扇区（）；混合型病毒：是上述三种情况的混合。例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。,2、按病毒传染的方法分类,引导扇区传染病毒：主要使用病毒的全部或部分代码取代正常的引导记录，而将正常的引导记录隐藏在其他地方。执行文件传染病毒：寄生在可执行程序中，一旦程序执行，病毒就被激活，进行预定活动。网络传染病毒：这类病毒是当前病毒的主流，特点是通过互联网络进行传播。例如，蠕虫病毒就是通过主机的漏洞在网上传播。,3、按病毒破坏的能力分类,无害型：除了传染时减少磁盘的可用空间外，对系统没有其它影响。无危险型：这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。危险型：这类病毒在计算机系统操作中造成严重的错误。非常危险型：这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。,4、按病毒算法分类,伴随型病毒：这一类病毒并不改变文件本身，它们根据算法产生EXE文件的伴随体，具有同样的名字和不同的扩展名（COM），例如：XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。蠕虫型病毒：通过计算机网络传播，不改变文件和资料信息，利用网络从一台机器的内存传播到其它机器的内存，计算网络地址，将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源寄生型病毒：依附在系统的引导扇区或文件中，通过系统的功能进行传播。练习型病毒：病毒自身包含错误，不能进行很好的传播，例如一些病毒在调试阶段。变形病毒：这一类病毒使用一个复杂的算法，使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和经过变化的病毒体组成。,5、按计算机病毒的链结方式分类,源码型病毒：该病毒攻击高级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分。嵌入型病毒：这种病毒是将自身嵌入到现有程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术，超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。外壳型病毒：外壳型病毒将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。操作系统型病毒：这种病毒用自身的程序加入或取代部分操作系统进行工作，具有很强的破坏力，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。,6、按病毒攻击操作系统分类,Microsoft DOSMicrosoft Windows 95/98/MEMicrosoft Windows NT/2000/XPUnix(Linux)Macintosh（MacMag病毒、Scores病毒）OS/2（AEP病毒）,病毒的发展是伴随着计算机软硬件的发展而发展的。沿着操作系统发展的几个阶段来看看病毒技术与反病毒技术演化。DOS时代（1981）Window 9x时代（1995）Windows NT/2000时代（1996）嵌入式系统（2000）,操作系统及病毒变化,（一）DOS操作系统时代的病毒,DOS操作系统简介16位的操作系统（8086、8088）实模式、单用户、单任务字符界面中断机制,DOS可执行文件病毒原理,COM病毒EXE病毒常见感染手法 通过查目录进行传播 通过执行进行传播 通过文件查找进行传播 通过文件关闭的时候进行传播,DOS反病毒原理,特征码技术模糊匹配技术（广谱杀毒）行为判定技术启发式扫描技术对各种可疑功能进行加权判断；MOV AH,5；INT,13h;format,（二）Windows操作系统,32位操作系统抢占式多任务操作系统保护模式下运行友好的图形界面,Windows病毒,可执行文件病毒宏病毒脚本病毒蠕虫病毒木马病毒,可执行文件病毒,典型病毒（CIH）感染原理特点反病毒技术文件监控内存监控,蠕虫病毒,典型病毒感染原理特点反病毒技术邮件监控网络监控,席卷全球的NIMDA病毒,木马病毒,典型病毒感染原理特点反病毒技术文件监控防火墙,宏病毒,典型病毒感染原理特点反病毒技术OFFICE嵌入式查毒特征代码,脚本病毒,典型病毒感染原理特点反病毒技术脚本监控,智能手机病毒-手机木马（）,病毒名称：类型：Backdoor 公布日期：未知 影响平台：Windows Mobile 病毒别名：Backdoor.WinCE.Brador.a 大小：5632 发源地区：俄罗斯 概述：Brador.A 是已知第一个针对 Pocket PC 手持设备的后门程序。运行时，后门程序将自己复制到启动文件夹，将 PDA 的 IP 地址邮件发送给后门程序的作者，并开始监听一个 TCP 端口的命令。然后黑客可以通过 TCP 端口连接回 PDA，通过后门程序控制 PDA。,运行时，后门程序将自己复制到启动文件夹，将 PDA 的 IP 地址邮件发送给后门程序的作者，并开始监听一个 TCP 端口的命令。然后黑客可以通过 TCP 端口连接回 PDA，通过后门程序控制 PDA。端口：2989,D:浏览文件G:上传文件P:下载文件R:执行命令M:屏幕显示F:退出,运行时，Brador.A 会将自己作为 svchost.exe 复制到 Pocket PC 设备上的 WindowsStartUp 文件夹，以致设备每次启动时它都会自动启动 安装程序对复制到 WindowsStartUp 文件夹的文件作了轻微修改。因此文件每次启动时会有所不同，虽然这不会影响后门程序的操作。仍不清楚这是安装程序有意的还是附带的结果。,危害 当 Brador.A 安装到系统时，会读取本地主机 IP 地址并 email 发送给作者。邮件发送 IP 地址后后门程序打开一个 TCP 端口，开始监听来自它的命令。后门程序能够从 PDA 上传、下载文件，执行任意命令并对 PDA 用户显示信息。,七、计算机病毒的传播途径,1、软盘,软盘作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用，因那时计算机应用比较简单，可执行文件和数据文件系统都较小，许多执行文件均通过软盘相互拷贝、安装，这样病毒就能通过软盘传播文件型病毒；另外，在软盘列目录或引导机器时，引导区病毒会在软盘与硬盘引导区内互相感染。因此软盘也成了计算机病毒的主要的寄生“温床”。,2、光盘,光盘因为容量大，存储了大量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。甚至有些光盘上杀病毒软件本身就带有病毒，这就给本来“干净”的计算机带来了灾难。,3、硬盘（含移动硬盘、USB）,有时，带病毒的硬盘在本地或移到其他地方使用甚至维修等，就会将干净的软盘传染或者感染其他硬盘并扩散。,网络病毒的加速器,4、有线网络,触目惊心的计算卿斯汉,如果：20分钟产生一种新病毒，通过因特网传播（30万公里/秒）。联网电脑每20分钟感染一次，每天开机联网2小时。结论：一年以內一台联网的电脑可能会被最新 病毒感染2190次。另一个数字：75的电脑被感染。,网络服务传播媒介,网络的快速发展促进了以网络为媒介的各种服务（FTP,WWW,BBS,EMAIL等）的快速普及。同时，这些服务也成为了新的病毒传播方式。电子布告栏（BBS）：电子邮件（Email）：即时消息服务（QQ,ICQ,MSN等）：WEB服务：FTP服务：新闻组：,5、无线通讯系统,病毒对手机的攻击有3个层次：攻击WAP服务器，使手机无法访问服务器；攻击网关，向手机用户发送大量垃圾信息；直接对手机本身进行攻击，有针对性地对其操作系统和运行程序进行攻击，使手机无法提供服务。,八、染毒计算机的症状,病毒表现现象：计算机病毒发作前的表现现象 病毒发作时的表现现象 病毒发作后的表现现象与病毒现象相似的硬件故障与病毒现象相似的软件故障,1、发作前的现象,平时运行正常的计算机突然经常性无缘无故地死机 操作系统无法正常启动运行速度明显变慢以前能正常运行的软件经常发生内存不足的错误打印和通讯发生异常无意中要求对软盘进行写操作以前能正常运行的应用程序经常发生死机或者非法错误系统文件的时间、日期、大小发生变化运行Word，打开Word文档后，该文件另存时只能以模板方式保存 磁盘空间迅速减少网络驱动器卷或共享目录无法调用基本内存发生变化陌生人发来的电子邮件,2、发作时的现象,提示一些不相干的话发出一段的音乐产生特定的图像硬盘灯不断闪烁进行游戏算法Windows桌面图标发生变化计算机突然死机或重启自动发送电子邮件鼠标自己在动,3、发作后的现象,硬盘无法启动，数据丢失 系统文件丢失或被破坏文件目录发生混乱部分文档丢失或被破坏部分文档自动加密修改Autoexec.bat文件使部分可软件升级主板的BIOS程序混乱，主板被破坏网络瘫痪，无法提供正常的服务,4、与病毒现象类似的软件故障,出现“Invalid drive specification”(非法驱动器号)软件程序已被破坏(非病毒)软件与操作系统的兼容性 引导过程故障 用不同的编辑软件程序,5、与病毒现象类似的硬件故障,系统的硬件配置电源电压不稳定插件接触不良软驱故障关于CMOS的问题,九、计算机病毒的命名规则,CARO命名规则，每一种病毒的命名包括五个部分：病毒家族名病毒组名大变种小变种修改者CARO规则的一些附加规则包括：不用地点命名不用公司或商标命名如果已经有了名字就不再另起别名变种病毒是原病毒的子类,精灵（Cunning）病毒是瀑布（Cascade）病毒的变种，它在发作时能奏乐，因此被命名为。Cascade是家族名，1701是组名。因为Cascade病毒的变种的大小不一（1701,1704,1621等），所以用大小来表示组名。A 表示该病毒是某个组中的第一个变种。业界补充：反病毒软件商们通常在CARO命名的前面加一个前缀来标明病毒类型。比如，WM表示MS Word宏病毒；Win32指32位Windows病毒；VBS指VB脚本病毒。这样，梅丽莎病毒的一个变种的命名就成了，Happy 99蠕虫就被称为。,VGrep是反病毒厂商的一种尝试，这种方法将已知的病毒名称通过某种方法关联起来，其目的是不管什么样的扫描软件都能按照可被识别的名称链进行扫描。VGrep将病毒文件读入并用不同的扫描器进行扫描，扫描的结果和被识别出的信息放入数据库中。每一个扫描器的扫描结果与别的扫描结果相比较并将结果用作病毒名交叉引用表。VGrep的参与者赞同为每一种病毒起一个最通用的名字最为代表名字。拥有成千上万扫描器的大型企业集团要求杀毒软件供应商使用VGrep命名，这对于在世界范围内跟踪多个病毒的一致性很有帮助。,十、计算机病毒防治,病毒防治的公理,1、不存在这样一种反病毒软硬件，能够防治未来产生的所有病毒。2、不存在这样一种病毒程序，能够让未来的所有反病毒软硬件都无法检测。3、目前的反病毒软件和硬件以及安全产品是都易耗品，必须经常进行更新、升级。4、病毒产生在前，反病毒手段滞后的现状，将是一个长期的过程。,人类为防治病毒所做出的努力,立体防护 网络版 单机版防病毒卡,对计算机病毒应持有的态度,1.客观承认计算机病毒的存在，但不要惧怕病毒。3.树立计算机病毒意识，积极采取预防（备份等）措施。4.掌握必要的计算机病毒知识和病毒防治技术，对用户至关重要。5.发现病毒，冷静处理。,目前广泛应用的几种防治技术：,特征码扫描法,特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中，在扫描时将扫描对象与特征代码库比较，如有吻合则判断为染上病毒。该技术实现简单有效，安全彻底；但查杀病毒滞后，并且庞大的特征码库会造成查毒速度下降；,虚拟执行技术,该技术通过虚拟执行方法查杀病毒，可以对付加密、变形、异型及病毒生产机生产的病毒，具有如下特点：,在查杀病毒时在机器虚拟内存中模拟出一个“指令执行虚拟机器”在虚拟机环境中虚拟执行（不会被实际执行）可疑带毒文件在执行过程中，从虚拟机环境内截获文件数据，如果含有可疑病毒代码，则杀毒后将其还原到原文件中，从而实现对各类可执行文件内病毒的查杀,智能引擎技术,智能引擎技术发展了特征码扫描法的优点，改进了其弊端，使得病毒扫描速度不随病毒库的增大而减慢。刚刚面世的瑞星杀毒软件2003版即采用了此项技术，使病毒扫描速度比2002版提高了一倍之多；,计算机监控技术,文件实时监控内存实时监控脚本实时监控邮件实时监控注册表实时监控参考：,未知病毒查杀技术,未知病毒技术是继虚拟执行技术后的又一大技术突破，它结合了虚拟技术和人工智能技术，实现了对未知病毒的准确查杀。,压缩智能还原技术,世界上的压缩工具、打包工具、加“壳”工具多不胜数，病毒如果被这样的工具处理后被层层包裹起来，对于防病毒软件来说，就是一个噩梦。为了使用统一的方法来解决这个问题，反病毒专家们发明了未知解压技术，它可以对所有的这类文件在内存中还原，从而使得病毒完全暴露出来。,多层防御，集中管理技术,反病毒要以网为本，从网络系统的角度设计反病毒解决方案，只有这样才能有效地查杀网络上的计算机病毒。在网络上，软件的安装和管理方式是十分关键的，它不仅关系到网络维护和管理的效率和质量，而且涉及到网络的安全性。好的杀毒软件需要能在几分钟之内便可轻松地安装到组织里的每一个NT服务器上，并可下载和散布到所有的目的机器上，由网络管理员集中设置和管理，它会与操作系统及其它安全措施紧密地结合在一起，成为网络安全管理的一部分，并且自动提供最佳的网络病毒防御措施。,病毒免疫技术,病毒免疫技术一直是反病毒专家研究的热点，它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想。实际上，最近出现的软件安全认证技术也应属于此技术的范畴，由于用户应用软件的多样性和环境的复杂性，病毒免疫技术到广泛使用还有一段距离。,病毒防治技术的趋势前瞻,加强对未知病毒的查杀能力,加强对未知病毒的查杀能力是反病毒行业的持久课题，目前国内外多家公司都宣布自己的产品可以对未知病毒进行查杀，但据我们研究，国内外的产品只有少数可以对同一家族的新病毒进行预警，不能清除。目前有些公司已经在这一领域取得了突破性的进展，可以对未知DOS病毒、未知PE 病毒、未知宏病毒进行防范。其中对未知DOS病毒能查到90%以上，并能准确清除其中的80%，未知PE 病毒能查到70%以上、未知宏病毒能实现查杀90%.,防杀针对掌上型移动通讯工具和PDA的病毒,随着掌上型移动通讯工具和PDA的广泛使用，针对这类系统的病毒已经开始出现，并且威胁将会越来越大，反病毒公司将投入更多的力量来加强此类病毒的防范。,兼容性病毒的防杀,目前已经发现可以同时在微软 WINDOWS和日益普及的LINUX两种不同操作系统内运作的病毒，此类病毒将会给人们带来更多的麻烦，促使反病毒公司加强防杀此类病毒。,蠕虫病毒和脚本病毒的防杀不容忽视,蠕虫病毒是一种能自我复制的程序，驻留内存并通过计算机网络复制自己，它通过大量消耗系统资源，最后导致系统瘫痪。给人们带来了巨大的危害，脚本病毒因为其编写相对容易正成为另一种趋势，这两类病毒的危害性使人们丝毫不能忽视对其的防杀。,十一、杀毒软件及评价,病毒查杀能力对新病毒的反应能力对文件的备份和恢复能力实时监控功能 及时有效的升级功能智能安装、远程识别功能界面友好、易于操作 对现有资源的占用情况,（一）杀毒软件必备功能,系统兼容性软件的价格软件商的实力,（二）国内外杀毒软件及市场,金山毒霸、瑞星杀毒、KV3000、PC-Cillin VirusBuster、Norton AntiVirus、Mcafee Virus Scan、Kaspersky Antivirus、F-Secure Antivirus,Nod32等。,电脑报2008评测结果,AV-Test 2007年5月排名,十二、解决方案和策略,企业网络中的病毒漏洞,File Server,Mail Server,Client,Internet Gateway,Firewall,企业网络基本结构 网关（Gateway)服务器（Servers)邮件服务器 文件/应用服务器 客户端（clients),趋势整体防病毒解决方案,Firewall,File Server,Client,Internet Gateway,InterScan VirusWall,Mail Server,趋势整体防病毒解决方案 1 网关级解决方案 InterScan Viruswall 2 服务器级解决方案 邮件服务器 ScanMail for Exchange/for Notes 文件服务器 ServerProtect for NT/Netware 3 客户端解决方案 Office Scan 4 集中管理系统解决方案 TVCS(Trend Virus Control System),防病毒策略,1、建立病毒防治的规章制度，严格管理；2、建立病毒防治和应急体系；3、进行计算机安全教育，提高安全防范意识；4、对系统进行风险评估；5、选择经过公安部认证的病毒防治产品；6、正确配置，使用病毒防治产品；,7、正确配置系统，减少病毒分侵害事件；8、定期检查敏感文件；9、适时进行安全评估，调整各种病毒防治策略；10、建立病毒事故分析制度；11、确保恢复，减少损失；,十三、国内外病毒产品的技术发展态势,国内外反病毒公司在反病毒领域各有所长,国内外产品竞争激烈,随着中国信息化进程的深入开展，多家国际反病毒公司均加大了对中国市场的力度；,国内反病毒企业发展势头强劲,国内的瑞星、江民等公司都引进了一些国外技术；,反病毒服务是竞争关键,要推动企业信息安全建设、并从根本上改变国内信息安全现状，建立健全的服务体系是关键。,我们相信人类受到病毒侵害及由此带来的损失将逐步减少，国内反病毒行业在政府的规范和用户的支持下将取得更好的成绩！,相关资源,1.Wildlist国际组织该网站维护世界各地发现的病毒列表。网站负责维护这个列表，并且按月打包供用户下载。此外，网站上还有一些计算机病毒方面的学术论文。2.病毒公告牌对于任何关心恶意代码和垃圾信息防护、检测和清除的人来说，病毒公告在线杂志是一个必不可少的参考。逐日逐月地，病毒公告牌提供如下信息：1)来自于反恶意代码业界的发人深省的新闻和观点2)最新恶意代码威胁的详细分析3)探索反恶意代码技术开发的长篇文档4)反恶意代码专家的会见5)对当前反病毒产品的独立评测6)覆盖垃圾邮件和反垃圾邮件技术的月报,3.29A病毒技术组织这个网站包含病毒、木马和其他一些能够破坏计算机系统安全的软件。29A的成员对病毒技术特别感兴趣，用户可以从这里学到病毒制作技术。该网站是黑客不可或却的学习网站。4.亚洲反病毒研究者协会(AVAR)AVAR(亚洲反病毒研究者协会)成立于1998年6月。协会的宗旨是预防计算机病毒的传播和破坏，促进亚洲的反病毒研究者间建立良好的合作关系。该协会是独立的、非盈利性组织，主要面向的对象是亚太地区。本协会有来自以下国家和地区资深的反病毒专家：澳大利亚、中国、中国香港、印度、日本、韩国、菲律宾、新加坡、中国台北、英国以及美国。我们的独立性保证了我们能在对抗计算机病毒的过程中发挥重要的作用，同时会提醒人们对计算机安全的警惕性。AVAR的主要工作包括：1)组织和承办以反病毒为主题的AVAR年会和论坛2)在AVAR网站上提供亚洲的计算机病毒事件的信息3)通过邮件的形式在AVAR的成员中建立邮件列表，并在会员中交换意见与信息,5.国家计算机病毒应急处理中心网站主要内容是病毒流行列表、病毒SOS求救、数据恢复等。6.病毒观察网站主要内容包括病毒预报、新闻、评论、相关法规、反病毒资料、安全漏洞、密码知识、病毒百科在线检索等。,7.中国绿盟网站内容包括安全论坛、安全文献、系统工具、工具介绍等。8.安全焦点网站内容包括安全文献、安全工具、安全漏洞、焦点论坛等。,9.病毒资讯网网站主要内容包括黑客频道、防毒技巧、网络安全新闻、病毒新闻等。10.国际计算机安全联合会(ICSA-InterNational Computer Secwrity Association)如要对Internet的安全问题感兴趣,你可以访问国家计算机安全联合会(NCSA)的站点。这里会看到很多关于国家计算机安全联合会各种活动的信息,包括会议,培训、产品认证和安全警告等。在这里你可以了解到国际知名的病毒防治软件登记请况。,Any Questions?Thank You!,