病毒诊断与防治技术课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《病毒诊断与防治技术课件.ppt》由用户(晟晟文业)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 病毒 诊断 防治 技术 课件
- 资源描述:
-
1、12.1 12.1 计算机病毒的定义计算机病毒的定义12.2 12.2 计算机病毒的诊断与防治技术计算机病毒的诊断与防治技术12.3 12.3 网络病毒的诊断与防治网络病毒的诊断与防治第12章 病毒诊断与防治技术12.4 12.4 常用病毒软件的使用技术常用病毒软件的使用技术12.5 12.5 应用实例应用实例本节内容本节内容 12.1.1 12.1.1 计算机病毒的定义计算机病毒的定义 12.1.2 12.1.2 计算机病毒的基本原理计算机病毒的基本原理 12.1.3 12.1.3 计算机病毒的分类计算机病毒的分类 12.1.4 12.1.4 计算机病毒的破坏能力计算机病毒的破坏能力 12.
2、1 计算机病毒概述计算机病毒概述12.1.1 12.1.1 计算机病毒的定义计算机病毒的定义 1 1病毒的定义病毒的定义 美国计算机研究专家FCohen博士最早提出了“计算机病毒”的概念:计算机病毒是一段人为编制的计算机程序代码。这段代码一旦进入计算机并得以执行,它就会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。其特性在很多方面与生物病毒有着极其相似的地方。中华人民共和国计算机信息系统安全保护条例第二十八条中对计算机病毒做的定义是:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令
3、或者程序代码。广义上说,凡能够破坏计算机正常运行和破坏计算机中数据的程序代码都可以称为计算机病毒。从1987年发现第1例计算机病毒以来,计算机病毒的发展经历了以下几个主要阶段:DOS引导阶段;DOS可执行文件阶段;混合型阶段;伴随及批次性阶段;多形性阶段;生成器及变体机阶段;网络及蠕虫阶段;视窗阶段;宏病毒阶段;互联网病毒阶段。12.1.2 12.1.2 计算机病毒的基本原理计算机病毒的基本原理 1.计算机病毒的工作原理计算机病毒的工作原理 (1)计算机病毒的主要特征 l 可控性:计算机病毒与各种应用程序一样也是人为编写出来的,是可控制的。l 传染性:病毒的传染性又称“自我复制”或“再生”。再
4、生是判断是不是计算机病毒的最重要依据。在一定条件下,病毒通过某种渠道从一个文件和一台计算机传染到另外没有被病毒传染的文件和计算机。l 夺取系统控制权:计算机病毒的首要目标就是争夺系统的控制权,一般采用修改中断入口或在正常程序中插入一段病毒程序,在系统启动或程序调用时,先运行病毒程序,而后才转向正常的系统或程序运行。l 隐蔽性:计算机病毒的隐蔽性表现在两个方面:其一,传染的隐蔽性,大多数病毒在进行传染时不具有外部表现,不易被人发现。其二,一般的病毒程序都夹在正常程序之中,很难被发现。l 潜伏性:一个编制精巧的计算机病毒程序,传染计算机或网络后,可以潜伏几周或者几个月甚至几年。(2)计算机病毒发作
5、的触发条件 l利用系统时钟提供的时间作为触发机制,这种触发机制被大量病毒使用。如“CIH”病毒是在每月的26日才会触发,“黑色星期五”病毒是在既是13日又是星期五才触发。l 利用病毒体自带的计数器作为触发器。l 利用特定环境作为触发条件。(3)不可预见性 不同种类病毒的代码千差万别,病毒的制作技术也在不断地提高,病毒比反病毒软件永远是超前的。新的操作系统和应用系统的出现,软件技术不断地发展,这在为计算机提供了新的发展空间的同时,也对未来病毒的预测更加困难,这就要求人们不断提高对病毒的认识,增强防范意识。(4)病毒的衍生性、持久性和欺骗性 l 人们可以对一种计算机病毒进行改进,从而衍生出一种不同
6、于原版本的新的计算机病毒(又称为变种病毒)。l 计算机病毒程序可由一个受感染的拷贝通过网络系统反复传播,使得病毒的感染具有持久性和复杂性。l 计算机病毒行动诡秘,而计算机对其反应却较“迟钝”,往往把病毒造成的错误当成事实接受下来,这就是计算机病毒的欺骗性。2.2.计算机病毒的作用机理计算机病毒的作用机理 任何一种计算机病毒都是由三个部份组成:引导部份、传染部份和表现部份。l 病毒的引导部份的作用是将病毒的主体加载到计算机内存,为感染部份作准备,在这期间发生驻留内存、修改中断地址、修改存放在高端内存中的信息、保存原中断向量等操作。引导部分也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为
7、传染部分做准备。l 病毒的传染部份的作用是将病毒代码程序自动传染到目标上去。不同的病毒在传染方式和传染条件上各有不同。l 病毒的表现部份是病毒主体部份,病毒对计算机系统的破坏就是表现部份的作为,病毒的引导部份及传染部份都是为表现部份服务的。大部份病毒都是在一定的条件下才会触发其表现部份的。12.1.3 12.1.3 计算机病毒的分类计算机病毒的分类 1.DOS1.DOS病毒病毒 (DOS VirusDOS Virus)指针对DOS操作系统开发的病毒。由于Windows 2000/XP/2003病毒的出现,DOS病毒几乎绝迹。但DOS病毒在Windows 2000/XP/2003环境中仍可以进行
8、感染,因此若执行了染毒程序,Windows 2000/XP/2003用户也会被感染。使用现代的杀毒软件能够查杀的病毒中一半以上都是DOS病毒,可见DOS时代DOS病毒的泛滥程度。但这些众多的病毒中除了少数几个让用户胆战心惊的病毒之外,大部分病毒都只是制作者出于好奇或对公开代码进行一定变形而制作的病毒。2.Windows 2.Windows病毒(病毒(Windows VirusWindows Virus)主要指针对Windows 2000/XP/2003操作系统的病毒。现在的电脑用户一般都安装Windows系统,Windows病毒一般感染Windows 2000/XP/2003系统,其中最典型的
9、病毒有CIH病毒。但这并不意味着可以忽略系统是Windows NT系列包括Windows 2000/XP/2003的计算机。一些Windows病毒不仅在Windows 2000/XP/2003上正常感染,还可以感染Windows NT上的其它文件。主要感染的文件扩展名为EXE、SCR、DLL、OCX等。3.3.入侵型病毒(入侵型病毒(Intrusion VirusIntrusion Virus)可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程 序,针对性强。一般情况下难以发现,清除起来较困难。4.4.嵌入式病毒嵌入式病毒(Embedded Virus)Embedded V
10、irus)这种病毒将自身代码嵌入到被感染文件中,当文件被感染后,查杀和清除病毒都很困难。由于编写嵌入式病毒比较困难,所以这种病毒数量不多。5.5.外壳类病毒外壳类病毒(Shell Virus)Shell Virus)这种病毒将自身代码附着于正常程序的首部或尾部。该类病毒的种类繁多,大多感染文件的病毒都是这种类型。6.6.引导区病毒(引导区病毒(Boot VirusBoot Virus)通过感染软盘的引导扇区和硬盘的引导扇区或者主引导记录进行传播的病毒。7.7.文件型病毒(文件型病毒(File VirusFile Virus)指将自身代码插入到可执行文件内来进行传播并伺机进行破坏的病毒。8.8.
11、宏病毒(宏病毒(Macro VirusMacro Virus)使用宏语言编写,可以在一些数据处理系统中运行(主要是微软的办公软件系统,字处理、电子数据表和其他 Office 程序中),利用宏语言的功能将自己复制并且繁殖到其他数据文档里的程序。9.9.蠕虫病毒(蠕虫病毒(Worm VirusWorm Virus)通过网络或者程序漏洞进行自主传播,向外发送带毒邮件或通过即时通讯工具(QQ、MSN等)发送带毒文件,阻塞网络的正常通信。10.10.特洛伊木马(特洛伊木马(TrojanTrojan)通常假扮成有用的程序诱骗用户主动激活,或利用系统漏洞侵入用户电脑。木马进入用户电脑后隐藏在的系统目录下,然
12、后修改注册表,完成黑客定制的操作。11.11.后门程序(后门程序(BackdoorBackdoor)会通过网络或者系统漏洞进入用户的电脑并隐藏在系统目录下,被开后门的计算机可以被黑客远程控制。黑客可以用大量被植入后门程序的计算机组成僵尸网络(Botnet)用以发动网络攻击等。12.12.恶意脚本(恶意脚本(Harm ScriptHarm Script)、恶意网页)、恶意网页 使用脚本语言编写,嵌入在网页当中,调用系统程序、修改注册表对用户计算机进行破坏,或调用特殊指令下载并运行病毒、木马文件。13.13.恶意程序(恶意程序(Harm ProgramHarm Program)会对用户的计算机、文
13、件进行破坏的程序,本身不会复制和传播。14.14.恶作剧程序(恶作剧程序(JokeJoke)这一类程序不会对用户的计算机、文件造成破坏,但会降低计算机和网络的运行效率,并会给用户带来恐慌和不必要的麻烦。12.1.4 12.1.4 计算机病毒的破坏能力计算机病毒的破坏能力 l 病毒激发对计算机数据信息的直接破坏作用;l 干扰系统运行,使运行速度下降;l 占有磁盘空间和对信息的破坏;l 强占系统资源;l 干扰I/O设备,篡改预定设置以及扰乱运行;l 破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽等。12.2 计算机病毒的诊断与防治技术计算机病毒的诊断与防治技术本节内容12
14、.2.1 计算机病毒的检测12.2.2 计算机病毒的防范措施12.2.1 12.2.1 计算机病毒的检测计算机病毒的检测 1.计算机病毒的表现计算机病毒的表现 当计算机染上病毒之后,会有许多明显的特征。例如,文件的长度和日期忽然改变、系统执行速度下降、出现一些奇怪的信息、无故死机,更为严重的是硬盘已经被格式化了。如果你的计算机上出现下述现象,则有可能是感染了计算机病毒:l 系统启动速度比平时慢;l 系统运行速度异常;l 某些文件的长度及文件的建立日期发生变化;l 没有发出“写”操作命令而出现“磁盘写保护”的提示;l 在内存中发现不明程序的驻留或不明进程的运行;l 打印机、显示器有异常现象;l
15、系统自动生成一些不明的特殊文件;l 文件莫明奇妙地丢失;l 系统自动关机;l 系统经常异常死机。2.2.计算机病毒的诊断计算机病毒的诊断 常见的防毒软件是如何去发现它们的呢?就是利用所谓的病毒码(Virus Pattern)。病毒码其实可以想象成是犯人的指纹,当防毒软件公司收集到一个新的病毒时,就会从这个病毒程序中,截取小段独一无二足以表示这个病毒的二进制程序代码(binary code),来当作扫毒程序辨认病毒的依据,而这段独一无二的二进制程序码就是所谓的病毒码。反病毒软件常用以下6种技术来查找病毒:(1)病毒码扫描法 将新发现的病毒加以分析,根据其特征,编成病毒码,加入资料库中。以后每当执
16、行扫描病毒程序时,能立刻扫描目标文件,并与病毒代码对比,即能侦察到是否有病毒。大多数防毒软件均采用这种方式,其缺点是无法扫描新病毒及以变种病毒。(2)加总比对法 根据每个程序的文件名称、大小、时间及内容,加总(按位加)为一个检查码,再将检查码附于程序的后面或是将所有检查码放在同一个资料库中,再利用加总法追踪并记录每个程序的检查码是否遭到更改,以判断是否中毒。这种技术可侦察到各种病毒,但最大的缺点是误判较高,且无法确认是哪种病毒感染的。(3)人工智能陷阱 人工智能陷阱是一种监测电脑行为的常驻内存扫描技术。它将所有病毒所产生的行为归纳起来,一旦发现内存的程序有任何不当的行为,系统就会有所警觉。这种
17、技术的优点是执行速度快,且可以侦察到各种病毒;其缺点是程序设计难度大。(4)软件模拟扫描法 软件模拟扫描技术专门用来对付“千面人”病毒(Polymorphic/Mutation virus)。千面人病毒在每次传染时,都以不同的随机乱数加密于每个中毒文件中,传统病毒码比对方式根本就无法找到这种病毒。(5)先知扫描法 软件模拟技术可以建立一个保护模式下的DOS虚拟机器,模拟CPU动作并通过执行程序以解开变体引擎病毒,应用类似的技术也可以用来分析一般程序检查可疑的病毒码。因此,VICE可用来判断程序有无病毒码存在的方法,分析专家系统知识库,再利用软件工程模拟技术(software emulation
18、)加上病毒运行机制,则可分析出新的病毒码以对付以后的病毒。这就是先知扫描法VICE(Virus Instruction Code Emulation)。(6)实时I/O扫描 实时I/O扫描(real_time I/O scan)的目的是在于及时地对数据的输入输出动作做病毒码对比的动作,希望能够能在病毒尚未被执行之前,就能够截留下来。实时扫描技术会影响到数据的输入输出速度,但使用实时扫描技术后,文件一旦传入就已经被扫描和清除过病毒了。12.2.2 12.2.2 计算机病毒的防范措施计算机病毒的防范措施 防范网络病毒的过程实际上就是技术对抗的过程,反病毒技术也得适应病毒繁衍和传播方式的发展而不断调
19、整。(1)系统防毒措施 l 制定系统的防毒策略;l 部署多层防御策略;l 定期更新防毒定义文件和引擎;l 定期备份文件;l 预订可发布新病毒威胁警告的电子邮件。(2)终端用户防毒措施 l 对于来历不明的邮件,最好不要轻易打开而是将其直接删除。l 如果将Microsoft Word当作电子编辑使用,就需要将NORMAL.DOT在操作系统级设置只读文件。同时将Microsoft Word的设置更改为“Prompt to Save Normal Template(保存常规模板)”。许多病毒通过更改NORMAL.DOT文件进行自我传播,采取上述措施可产生阻止作用。l 加上存储介质的写保护功能。(3)服
20、务器防毒措施 目前随着基于Web的电子邮件访问,公共文件夹以及访问存储器的映射网络驱动器等方式的出现,病毒也可以通过多种方式进入电子邮件服务器。这时,就只有基于电子邮件服务器的解决方案才能检测和删除受感染的文件。从以下几个方面可以做到防毒:l 拦截受感染的附件;l 设置全面的随机扫描;l 试探随机扫描;l 重要数据定期保存、备份。(4)多层防御机制 多层防御体系将病毒检测、多层数据保护和集中式管理集成起来,提供全面的病毒防护能力,从而达到“治疗”病毒的效果。病毒检测一直是病毒防护的支柱,多层次防御软件使用了三层保护功能:实时扫描、完整性保护、完整性检验。l 后台实时扫描驱动器能对未知的异形病毒
21、和秘密病毒进行连续的检测。l 完整性保护可阻止病毒从一个感染的工作站扩散到服务器,还可以防止与未知的病毒感染有关的文件崩溃。l 完整性检验无需冗余的扫描而提高实时检验的性能。(5)在网关、服务器上防御措施 防范手段应集中在网络整体上,在个人计算机的硬件和软件,LAN服务器、服务器上的网关、Internet及Internet的网站上,层层设防,对每种病毒都实行隔离,过滤。12.3 网络病毒的诊断与防治网络病毒的诊断与防治本节内容 12.3.1 网络病毒的特征 12.3.2 计算机网络病毒的诊断技术 12.3.3 局域网病毒的防范技术 12.3.1 12.3.1 网络病毒的特征网络病毒的特征 1.
22、1.网络病毒的传播方式网络病毒的传播方式 (1)邮件附件 病毒经常会附在邮件的附件里,然后起一个吸引人的名字,诱惑人们去打开附件,一旦人们试图打开附件时,机器就会感染上附件中所附带的病毒。(2)Email 有些蠕虫病毒会利用“Microsoft Security Bulletin”的安全漏洞将自身藏在邮件中,并向其他用户发送一个病毒副本来进行传播。正如在公告中所描述的那样,该漏洞存在于Internet Explorer之中,可以通过E-mail的附件来传染病毒,用户只要打开邮件就会使机器感染上病毒,并不需要打开邮件附件。(3)Web服务器 有些网络病毒攻击IIS 4.0和5.0 Web服务器。
23、以“尼姆达”病毒为例,主要通过两种手段来进行攻击:第一,它检查计算机是否已经被“红色代码II”病毒所破坏,因为红色代码病毒会创建一个“后门”,任何恶意用户都可以利用这个“后门”获得对系统的控制权。如果“尼姆达”病毒发现了具有这种“后门”的机器,就会利用“红色代码”病毒留下的后门来感染机器。第二,病毒会试图利用“Web Server Folder Traversal”漏洞来感染机器。(4)文件共享 还有一种病毒的传播手段是通过文件共享来进行的。Windows系统可以被配置成允许其他用户读写系统中的文件,之后允许所有人访问系统中的文件。如果病毒发现系统被配置为其他用户有创建文件的权限时,将会在该系
24、统中添加文件来传播病毒。2.2.网络病毒的特点网络病毒的特点 (1)感染速度快 在单机环境下,病毒只能通过软盘从一台计算机带到另一台,而在网络中则可以通过网络通讯机制迅速扩散。根据测定,对于一个局域网络在正常情况下,只要有一台工作站有病毒,就可在几十分钟内将网上的数百台甚至上千台计算机全部感染。(2)扩散面广 由于病毒在网络中扩散非常快,扩散范围很广,不但能迅速传染局域网内所有计算机,还能通过远程工作站将病毒在一瞬间传播到千里之外。(3)传播的形式复杂多样 计算机病毒在网络上一般是通过“工作站/服务器/工作站”的途径进行传播的,但传播的形式复杂多样。(4)通过工作站传染 病毒先传染工作站,在工
25、作站内存驻留,当已感染病毒的工作站连入网络时再传染给服务器。(5)通过服务器感染 如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中,一旦病毒进入文件服务器,就可通过它迅速传染到整个网络的每一个计算机上。而对于无盘工作站来说,由于其并非真的“无盘”(它的盘是网络盘),当其运行网络盘上的一个带毒程序时,便将内存中的病毒传染给该程序或通过映像路径传染到服务器的其他文件上,因此无盘工作站也是病毒孽生的温床。(6)难于彻底清除 单机上的计算机病毒有时可通过删除带毒文件或低级格式化硬盘等措施将病毒彻底清除,而网络中只要有一台工作站未能消毒干净就可使整个网络重新被病毒感染,甚至刚刚完成清除工
展开阅读全文