计算机系统安全(计算机病毒).ppt

《计算机系统安全(计算机病毒).ppt》由会员分享，可在线阅读，更多相关《计算机系统安全(计算机病毒).ppt（30页珍藏版）》请在三一办公上搜索。

1、17/11/2023,网络安全Network Security,17/11/2023,几种常见的计算机病毒,计算机病毒概述,第7章 计算机系统安全,计算机病毒的防治,17/11/2023,计算机病毒的概念,定义：计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。（国外）定义：计算机病毒是指破坏计算机功能或者数据，并能自我复制的程序。（国内）病毒发展史：1977年科幻小说The Adolescence of P-1描写计算机病毒1983年Fred Adleman首次在VAX 11/750上试验病毒；1986年Brain病毒在全世界传播；1988年11月2日Cornell大学的Morr

2、is编写的Worm病毒袭击美国6000台计算机，直接损失尽亿美元；八十年代末，病毒开始传入我国；,17/11/2023,病毒产生的原因：计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大。1）寻求刺激：自我表现；恶作剧；2）出于报复心理。病毒的特征：传染性；寄生性；衍生性；隐蔽性；潜伏性；可触发性；夺取控制权；破坏性与危害性；,计算机病毒的概念（续）,17/11/2023,按破坏性分为：良性；恶性。按激活时间分为：定时；随机按传染方式分为：引导型：当系统引导时进入内存，控制系统；文件型：病毒一般附着在可执行文件上；混合型：既可感染引导区，又可感染文件。按连接方式分为：O

3、S型：替换OS的部分功能，危害较大；源码型：要在源程序编译之前插入病毒代码；较少；外壳型：附在正常程序的开头或末尾；最常见；入侵型：病毒取代特定程序的某些模块；难发现。,计算机病毒的分类,17/11/2023,按照病毒特有的算法分为：伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。变型病毒（幽灵病毒）：使用复杂算法，每传播一次都具有不同内容和长

4、度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。,计算机病毒的分类（续）,17/11/2023,计算机病毒的组成,病毒的组成：安装模块：提供潜伏机制；传播模块：提供传染机制；触发模块：提供触发机制；其中，传染机制是病毒的本质特征，防治、检测及 杀毒都是从分析病毒传染机制入手的。,17/11/2023,病毒的症状：启动或运行速度明显变慢；文件大小、日期变化；死机增多；莫名其妙地丢失文件；磁盘空间不应有的减少；有规律地出现异常信息；自动生成一些特殊文件；无缘无故地出现打印故障。,计算机病毒的症状,17/11/2023,1）通过不可移动的设备进行传播 较少见，但破坏力很强。2）通过

5、移动存储设备进行传播 最广泛的传播途径3）通过网络进行传播 反病毒所面临的新课题4）通过点对点通讯系统和无线通道传播 预计将来会成为两大传播渠道,计算机病毒的传播途径,17/11/2023,攻击系统数据区：主引导区、Boot区、FAT区、文件目录攻击文件、内存、CMOS；干扰系统运行，使速度下降；干扰屏幕、键盘、喇叭、打印机；破坏网络资源。,病毒的破坏行为,17/11/2023,病毒的发展趋势,攻击对象趋于混合型；反跟踪技术；增强隐蔽性：避开修改中断向量值；请求在内存中的合法身份；维持宿主程序外部特征；不用明显感染标志采用加密技术，使得对病毒的跟踪、判断更困难；繁衍不同的变种。,17/11/2

6、023,几种常见的计算机病毒,计算机病毒概述,第7章 计算机系统安全,计算机病毒的防治,17/11/2023,几种常见的病毒,宏病毒宏(Macro)：为避免重复操作而设计的一组命令。在打开文件时，先执行“宏”，然后载入文件内容。因此如果“宏”带有病毒，则在编辑文件时病毒自动载入。宏病毒的症状：1）用Word或Excel打开文件时，出现“文档未打开”、“内存不够”、“WordBasic Err=514”等；2）保存文件时，强制将文件按“.dot”类型存储，或强制在指定目录存放。3）宏病毒的版本兼容问题,17/11/2023,几种宏病毒：AAAZAO Macro：Concept病毒，第一个宏病毒；

7、Taiwan NO.1：第一个中文word病毒；Rainbow Macro：能改变桌面颜色；FormatC：格式化C盘，第一个木马型宏病毒；Hot Macro：第一个调用Windows API的宏病毒；Nuclear Macro:第一个干扰打印机、硬盘的宏病毒。宏病毒分类：公用宏病毒：以Auto开头的宏，附在normal.dot或Personal.xls 等模板上。私用宏病毒：,宏病毒,17/11/2023,宏病毒的危害1）传播迅速：因为文件交流频繁；2）制造及变种方便：Word Basic编程容易3）危害大：Word Basic可调用Windows API、DLL、DDE宏病毒的防治除杀毒软

8、件以外，还可尝试下列方法：1）按住键再启动Word，禁止宏自动运行；2）工具宏，检查并删除所有可能带病毒的宏；3）使用Disable AutoMacros宏4）将模板文件如normal.dot的属性设为只读。,宏病毒（续）,17/11/2023,CIH病毒,台湾陈盈豪编写，一般每月26日发作。不仅破坏硬盘的引导扇区和分区表，还破坏系统Flash BIOS芯片中的系统程序，导致主板损坏。病毒长1KB，由于使用VXD技术，只感染32位Windows 系统可执行文件中的.PE格式文件。修复硬盘分区表：信源公司()的免费软件VRVFIX.EXE；CIH疫苗:CIH作者的Ant-CIHv1.0；美国Sy

9、mantec公司的Kill_CIH,17/11/2023,网络病毒,含义1：在网上传播、并对网络进行破坏的病毒。含义2：专指HTML、E-mail、Java等Internet病毒。例：蠕虫病毒，木马程序等。2001年9月18日，Nimda worm 在Internet上迅速传播。该病毒感染Windows 系列多种计算机系统，其传播速度之快、影响范围之广、破坏力之强都超过其前不久发现的Code Red II。,17/11/2023,特点：网上蔓延，危害更大。1）网上传染方式多，工作站、服务器交叉感染2）混合特征：集文件感染、蠕虫、木马等于一身3）利用网络脆弱性、系统漏洞4）更注重欺骗性5）清除难

10、度大，破坏性强。网络病毒的防范：具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。,网络病毒（续）,17/11/2023,相对于单机病毒的防护来说，网络病毒的防治具有更大的难度，网络病毒防治应与网络管理集成。管理功能就是管理全部的网络设备：从Hub、交换机、服务器到PC，软盘的存取、局域网上的信息互通及与Internet的连接等，所有病毒能够进来的地方。为实现计算机病毒的防治，可在计算机网络系统上安装网络病毒防治服务器；在内部网络服务器上安装网络病毒防治软件；在单机上安装单机环境的反病毒软件。,网络病毒（续）,17/11/2023

11、,局域网病毒防御体系1）服务器网络病毒防杀模块监视各节点，保护网络操作系统安全；动态告警、杀灭各节点的病毒；配置系统整体的检测计划、时间；对病毒事件进行记录、审计、跟踪；提供技术支持，升级；2）客户端单机病毒防杀模块单机版杀毒软件；响应升级要求,网络病毒（续）,17/11/2023,安装网络防毒软件的方案1）在网关和防火墙上安装防毒软件缺点：对每个文件的检测将影响网络性能。2）在工作站上安装防毒软件缺点：管理、协调、升级困难。3）在电子邮件服务器上安装防毒软件仅能防止邮件病毒的传播。4）在所有文件服务器上安装防毒软件对于备份服务器，备份与反毒有可能冲突。,网络病毒（续）,17/11/2023,

12、网络反毒的新特征：与OS结合更紧密；实时化；检测压缩文件病毒病毒防火墙技术：能阻止病毒的扩散在网络服务器上安装病毒防火墙系统，例如：Inter Scan Virus Wall关键技术：OS底层接口技术：实时过滤，并少占用资源；网络及应用程序的底层接口技术：各种协议充分利用OS的多任务、多线程机制；优化算法，减少系统开销；,网络病毒（续）,17/11/2023,几种常见的计算机病毒,计算机病毒概述,第7章 计算机系统安全,计算机病毒的防治,17/11/2023,病毒的防治,网络环境下的病毒防治原则与策略 防重于治，防重在管：制度；注册、权限、属性、服务器安全；集中管理、报警。综合防护：木桶原理；

13、防火墙与防毒软件结合最佳均衡原则：占用较小的网络资源管理与技术并重正确选择反毒产品多层次防御：病毒检测、数据保护、实时监控注意病毒检测的可靠性：经常升级；两种以上。,17/11/2023,病毒的防治（续）,防毒：预防入侵；病毒过滤、监控、隔离查毒：发现和追踪病毒；统计、报警解毒：从感染对象中清除病毒；恢复功能病毒检测的方法直接观察法：根据病毒的种种表现来判断特征代码法：采集病毒样本，抽取特征代码 特点：能快速、准确检验已知病毒，不能发现未知的病毒。,17/11/2023,校验和法：根据文件内容计算的校验和与以前的作比较。优点：能判断文件细微变化，发现未知病毒。缺点：当软件升级、改口令时会产生误

14、报；不能识别病毒名称；对隐蔽性病毒无效。行为监测法：基于对病毒异常行为的判断 特点：发现许多未知病毒；可能误报，实施难软件模拟法：一种软件分析器，用软件方法来模拟和分析程序的运行。特点：可用于对付多态病毒。,病毒的防治（续）,17/11/2023,反病毒软件的选择1）扫描速度 30秒能扫描1000个以上文件2）识别率3）病毒清除测试著名杀毒软件公司冠群金辰 KILL瑞星 RAV北京江民 KV3000信源 LAN VRV赛门铁克 Norton Anti Virus时代先锋（行天98）,病毒的防治（续）,17/11/2023,反病毒软件工作原理1）病毒扫描程序 串扫描算法:与已知病毒特征匹配；文件

15、头、尾部 入口扫描算法：模拟跟踪目标程序的执行 类属解密法：对付多态、加密病毒2）内存扫描程序：搜索内存驻留文件和引导记录病毒3）完整性检查器：能发现新的病毒；但对于已被感染 的系统使用此方法，可能会受到欺骗。4）行为监测器：是内存驻留程序，监视病毒对可执行文件的修改。防止未知的病毒,病毒的防治（续）,17/11/2023,教材与参考书,教材：李毅超 曹跃，网络与系统攻击技术 电子科大出版社 2007 周世杰 陈伟 钟婷，网络与系统防御技术 电子科大出版社 2007 参考书阙喜戎 等 编著，信息安全原理及应用，清华大学出版社Christopher M.King,Curitis E.Dalton

16、,T.Ertem Osmanoglu（常晓波等译）.安全体系结构的设计、部署与操作，清华大学出版社，2003(Christopher M.King,et al,Security Architecture,design,deployment&Operations)William Stallings，密码编码学与网络安全原理与实践（第三版），电子工业出版社，2004Stephen Northcutt，深入剖析网络边界安全，机械工业出版社，2003冯登国，计算机通信网络安全，2001Bruce Schneier,Applied Cryptography,Protocols,algorithms,and source code in C(2nd Edition)(应用密码学 协议、算法与C源程序，吴世忠、祝世雄、张文政等译)蔡皖东，网络与信息安全，西北工业大学出版社，2004,17/11/2023,Any Question?,Q&A,