1 / 26

第 8 章 计算机病毒与反病毒技术

第 8 章 计算机病毒与反病毒技术.

cassandra-romanos
Download Presentation

第 8 章 计算机病毒与反病毒技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第8章 计算机病毒与反病毒技术 • 目前计算机病毒与反病毒技术已经遍及社会的各个领域,互联网的快速发展及其应用的多样化成为计算机病毒滋生的温床,计算机病毒通过互联网络、电子邮件和移动终端等多种途径,为世界带来了一次又一次的巨大灾难。同时每年新的病毒层出不穷,据不完全统计,目前全世界每天新发现的病毒(包括恶意软件)数量已经超过60000个。另外,计算机病毒带来的网络恐怖主义和各种社会问题也越来越突出,根据美国政府公布的一份国家安全报告认为,“21世纪对美国国家安全威胁最严重的就是网络恐怖主义”,而计算机病毒在其中扮演了非常重要的角色,因此计算机病毒与反病毒技术越来越受到各国政府和安全部门的高度重视。

  2. 8.1 计算机病毒概述 • 现代计算机理论的先驱者冯·诺依曼早在第一部商用电脑出现前,就在一篇《复杂自动装置的理论及组织的进行》论文中描绘了未来计算机病毒程序的蓝图,当时大多数人都无法想象会存在这种能够自我繁殖的程序。 • 1975年,美国科普作家约翰·布鲁勒尔在一本名为《震荡波骑士》的书中第一次描写了在信息社会中,计算机作为正义和邪恶双方斗争的工具,该书也成为当年最佳畅销书之一。 • 而1977年约翰·布鲁勒尔的科幻小说《P-1的春天》一书更是以计算机病毒为主角,描写了一种可以在计算机中互相传染的病毒程序,并最终控制了7000台计算机,造成了一场灾难,而虚拟科幻小说世界中的计算机病毒也终于在几年后成为计算机使用者的真实噩梦。

  3. 8.1.1 计算机病毒的定义 • 1. 计算机病毒的基本定义 • 2. 计算机病毒的基本结构

  4. 8.1.2 计算机病毒的基本特征及发展特点 • 1. 计算机病毒的基本特征 • 1) 传染性 • 2) 隐蔽性 • 3) 潜伏性 • 4) 破坏性 • 5) 不可预见性 • 2. 计算机病毒发展的新特点 • 1) 计算机网络成为计算机病毒滋生的温床 • 2) 计算机病毒的变异速度极快,并具有混合型特征 • 3) 计算机病毒的运行和传播方式更加隐蔽 • 4) 利用操作系统漏洞传播 • 5) 计算机病毒技术与黑客技术日益融合 • 6) 物质利益将成为推动计算机病毒发展的最大动力

  5. 8.1.3 计算机病毒的分类 • 1. 依据病毒寄生的媒介来分类 • 2. 依据病毒传染的方法来分类 • 3. 依据病毒的破坏能力来分类 • 攻击系统数据区 • 攻击文件和磁盘 • 攻击内存 • 干扰系统运行 • 降低计算机速度 • 扰乱键盘输入和屏幕显示 • 干扰计算机喇叭和打印机等 • 4. 依据病毒的算法原理来分类 • 5. 依据病毒的传染对象来分类

  6. 8.1.4 计算机病毒的发展概述 • 1. 计算机病毒前史:大计算机和小恶作剧 • 2. 早期计算机病毒 • 3. Windows和互联网时代的病毒和蠕虫 • 4. 商业利益驱动下的病毒产业链

  7. 8.2 计算机病毒惯用技术 • 从传统计算机病毒开始,病毒开发者就采用了加密、压缩、自我编码、变体引擎、更名感染等技术,以此逃避防毒软件的侦测及追捕。除此之外,一些恶性病毒或程序还具备了自我检查及反防毒软件的能力。由于目前病毒的种类和实现技术非常繁多,本节仅着重介绍计算机病毒常用的一些技术。

  8. 8.2.1 引导型病毒的技术特点 • 1. 硬盘的主引导扇区 • 2. 引导型病毒的传染和激活方式

  9. 8.2.2 文件型病毒的技术特点 • 文件型病毒主要感染可执行文件,如扩展名为.COM、.EXE、.OVL等的文件,文件型病毒是一种主流病毒而且种类繁多。 • 一般较完善的隐藏技术至少应该包括如图8-5所示的几个方面。

  10. 8.2.2 文件型病毒的技术特点 • 文件病毒会以多种不同方式连接它们的目标程序文件,将病毒代码附加到一个实际存在的可执行文件中的主要途径有以下4种: • 覆盖已存在的程序代码; • 在程序开头增加代码; • 在程序末尾增加代码; • 将病毒程序代码插入命令中,当执行合法程序时激活病毒程序。 • 感染文件的病毒程序一般都会在目标文件中做一些必要的变动,如果目标文件中含有常规的DOS调用,建立文件日期的数据就会被改变。如果在文件上添加代码,文件的长度就会改变。

  11. 8.2.2 文件型病毒的技术特点 • 根据文件型病毒的不同工作机理,又可分为如下几种常见的病毒类型。 • 1. 寄生型病毒 • 1) 头寄生 • 2) 尾寄生 • 3) 中间插入 • 4) 空洞利用 • 2. 覆盖型病毒 • 3. 无入口点型病毒 • 4. 伴随型病毒 • 5. 文件蠕虫 • 6. 链接病毒 • 7. 对象文件、库文件和源代码病毒

  12. 8.2.3 宏病毒的技术特点 • 1. 什么是“宏” • 2. 宏病毒的作用机制 • 3. 宏病毒的主要技术特点 • 1) 传播速度极快 • 2) 宏病毒的开发和变种技术实现简单 • 3) 造成破坏的可能性极大 • 4) 多平台交叉感染 • 5) 突破了病毒只感染程序文件的局限

  13. 8.2.4 网络蠕虫病毒的技术特点 • 蠕虫(Worm)病毒是一种通过网络传播的恶意病毒,它的出现相对于木马病毒、宏病毒来说比较晚,但是蠕虫病毒无论从传播速度、传播范围,还是从破坏程度上来讲,都是以往的传统病毒所无法比拟的。一般的蠕虫病毒由两部分组成,一个主程序和一个引导程序。 • 蠕虫病毒的特点和发展趋势主要体现在以下几个方面。 • (1) 利用操作系统和应用程序的漏洞主动进行攻击。 • (2) 传播方式多样化。 • (3) 病毒制作技术与传统病毒不同。 • (4) 与黑客技术相结合。

  14. 8.2.5 计算机病毒的其他关键技术 • 1. DLL远程注入技术 • 2. 抗分析病毒技术 • 3. 多态型病毒技术 • 4. 病毒自动生成技术

  15. 8.3 病毒的检测和查杀 • 中国计算机反病毒发展史一般以1998年为界划分为两个重要阶段,前一个阶段主要是查杀感染文件型和引导区病毒,后一个阶段主要是针对蠕虫和木马的查杀。发展到今天,计算机病毒更加复杂,多数新病毒是集后门、木马、蠕虫等特征于一体的混合型病毒。特别是近年来,病毒逃避杀毒软件追杀的能力在不断提升,病毒采用了内核级驱动、映像劫持、ROOTKIT、注册表关联、插入进程/线程、加壳加密等多种技术来对抗反病毒技术,病毒从来没有像今天这样,将新技术应用得如此全面、如此完善。同时计算机反病毒技术在与计算机病毒的较量中也得到了升华,得到了质的飞跃。

  16. 8.3.1 计算机反病毒技术的4个发展阶段 • 计算机反病毒技术在与计算机病毒的对抗中,逐步经历了4个重要的技术发展阶段。 • 第一个阶段的反病毒技术一般都是采取单纯的病毒特征代码分析,将病毒从带毒文件中清除掉。 • 第二个阶段的反病毒技术采用了静态广谱特征扫描方法来检测病毒,这种方式可以更多地检测出变形病毒,但另一方面误报率也很高,尤其是用这种不严格的特征判定方式去清除病毒带来的风险性很大,容易造成文件和数据的破坏 • 第三个阶段的反病毒技术将静态扫描技术和动态仿真跟踪技术结合起来,将查找病毒和清除病毒合二为一,形成一个整体解决方案,能够全面实现防、查、杀等反病毒所必备的各种手段,以驻留内存方式防止病毒的入侵,凡是检测到的病毒都能清除,不会破坏文件和数据。 • 第四个阶段的反病毒技术第四代反病毒技术则是针对计算机病毒的发展,基于病毒家族体系的命名规则、多位CRC校验和扫描机理,采用了启发式智能代码分析模块、动态数据还原模块(能查出隐蔽性极强的压缩加密文件中的病毒)、内存解毒模块、自身免疫模块等先进的解毒技术,较好地解决了以前防毒技术顾此失彼、此消彼长的状态。

  17. 8.3.2 常见的病毒检测和查杀方法 • 1. 特征代码法 • 2. 校验和法 • 3. 行为监测法 • 1) 抢占INT 13H号中断 • 2) 修改DOS系统内存总量 • 3) 更改COM、EXE文件内容 • 4) 软件模拟法 • 5) VICE先知扫描法

  18. 8.3.3 杀毒软件的基本工作原理 • 1. 杀毒软件引擎的行为标准 • (1) 非自身程序行为的程序行为捕获。 • (2) 基于引擎机制的规则判断。 • (3) 引擎与病毒库的交互作用。 • 2. 杀毒软件引擎的实现方式 • 1) 虚拟机 • 2) 实时监控技术 • 3. 最新的云杀毒技术

  19. 8.4 恶意软件的防护和查杀 • 目前恶意软件的数目和种类繁多,因此很难为每种恶意软件类别提供一个精准的定义。通常情况下,“恶意软件”被用作一个集合名词,以指代故意在计算机系统上执行任何恶意任务的病毒、蠕虫和木马程序等。对于反病毒工作而言,可将恶意软件类别笼统地定义为特洛伊木马、蠕虫和病毒代码等的集合。

  20. 8.4.1 恶意软件的特征和分类 • 1. 恶意软件的特征 • 强制安装 • 难以卸载 • 浏览器劫持 • 未经许可的弹出性广告 • 恶意收集用户信息 • 恶意卸载 • 恶意捆绑 • 其他侵害用户的恶意行为

  21. 8.4.1 恶意软件的特征和分类 • 2. 恶意软件的分类 • 1) 计算机病毒 • 2) 计算机蠕虫 • 3) 未知的后门软件 • 4) 特洛伊木马 • 5) 广告软件/间谍软件 • 6) 混合恶意软件 • 7) 恶意移动代码

  22. 8.4.2 恶意软件的传输机制 • 恶意软件可以使用一个或多个不同的传输机制在计算机之间进行传播和复制,常见的传输机制有以下几种。 • (1) 网络共享。 • (2) 网络扫描。 • (3) 借助P2P网络。 • (4) 邮件程序。 • (5) 远程利用。

  23. 8.4.3 恶意软件防御技术 • 1. 基于主机的恶意代码防护技术 • 1) 误用检测技术 • 2) 权限控制技术 • 3) 完整性技术 • 2. 基于网络的恶意代码防护技术 • 1) 异常检测技术 • 2) 误用检测技术

  24. 8.5 本 章 小 结 • 本章讨论了计算机病毒和恶意软件的主要技术和防御措施。通过本章的学习,帮助读者初步建立起对计算机病毒和恶意软件的基本认识,了解计算机病毒的基本技术原理和发展趋势,加深对恶意软件的理解和防范。由于目前计算机病毒和恶意软件的种类和实现技术种类繁多,感兴趣的读者可根据自己的爱好和兴趣阅读其他相关的书籍。另外,对计算机病毒和恶意软件的防范不仅取决于技术上的准备,与用户的安全意识、正确的上网习惯和软件使用习惯等都有很大的关系。

  25. 8.6 课 后 习 题 • 1. 填空题 • 2. 选择题 • 3. 判断题 • 4. 简答题 • 参见教材P290

More Related