防病毒技术与原理

1、,病毒知识和防病毒技术,目录,第一章：病毒基础知识 第二章：计算机病毒的传播途径 第三章：建立有效的病毒防范管理机制 第四章：建立有效的应急响应机制 第五章：防病毒技术介绍 第六章：防病毒相关服务 第七章：天融信防病毒过滤网关介绍 附录一：主机的病毒防治 附录二：重点病毒实例详解,第一章：病毒基础知识,1.1 计算机病毒定义 1.2 计算机病毒的特性 1.3 病毒历史及发展趋势的演变 1.4 典型病毒的结构 1.5 计算机病毒的分类 1.6 计算机病毒的危害 1.7 计算机病毒的触发方式 1.8 感染计算机病毒后的现象 1.9 目前病毒新技术和新特点,广义定义:能够引起计算机故障,破坏计算数据的程序统称为计算机病毒。 标准定义：计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,1.1 计算机病毒定义,传染性：正常的计算机程序一般是不会将自身的代码强行连接到其它程序上，而计算机病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。 隐蔽性：病毒通常附在正常程序中或磁盘隐蔽处，与正常程序通常

2、是难以区分的。,1.2 计算机病毒的特性,潜伏性：大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才会运行。 破坏性：任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的破坏和影响。 不可预见性：从对病毒的检测方面来看，病毒还有不可预见性。,1.3 病毒历史及发展趋势的演变,计算机病毒年表,1.3 病毒历史及发展趋势的演变,计算机病毒年表,病毒发展演变趋势图,典型的计算机病毒一般由三个功能模块组成，即：引导模块，传染模块，破坏模块。 但是，不是所有的病毒均由此结构组成，如有的甚至没有病毒体（即病毒文件），只驻留于内存。,1.4 典型病毒的结构,引导模块：将病毒主体导入内存并为传染模块提供运行环境。 传染模块：将病毒代码传到其它的载体上去.一般情况下传染模块分为两部分，前部是一个条件判别程序，后部才是传染程序主体。 破坏模块：同传染模块一样，破坏模块也带有条件判别部分，因病毒均有潜伏期，破坏模块只在符合条件时才进行活动。,1.5 计算机病毒的分类,按照通常习惯分为以下几种： A）引导型 B）文件型 C）脚本病毒 D）宏病毒 E）蠕虫病毒 F）木马

3、病毒 G）逻辑炸弹,引导型病毒,1感染目标：硬盘或是可移动存储设备（例如软盘）的主引导区。 2传播途径：通过软盘,光盘等介质进行传播 3典型病毒：Stone,文件型病毒,1感染目标：通过可执行的文件感染目标系统文件 2传播途径：各种存储介质，网络共享，电子邮件 3. 特点： 把自己加载到可执行文件中，例如：WORD、电子表格、电脑游戏。 当病毒感染了一个程序后，它就会自我复制去感染系统中的其他程序，或者是其他通过共享使用了被感染文件的系统。 此外，病毒还会驻留在系统内存中，以至于一旦有新的程序运行就会被病毒感染。 病毒的另一种感染方式是通过修改程序运行时所执行文件的顺序而不是修改程序运行的文件本身。 4. 典型病毒：幽灵王,脚本语言:脚本语言是介于HTML和Java、C+和Visual Basic之间的语言。它的语法和规则没有可编译的编程程序那样严谨和复杂。脚本病毒就是指在脚本语言中加入病毒代码，利用网页的等脚本载体传播的病毒。,脚本型病毒,宏病毒,MicrosoftWord中对宏定义为：“宏就是能组织到一起作为一独立的命令使用的一系列Word命令，它能使日常工作变得更容易。” 感染目

4、标：把自己加载到WORD和电子表格中，利用宏语言编写的应用程序来运行和繁殖 传播途径：各种存储介质，网络共享，电子邮件；,蠕虫病毒,蠕虫是指具有通过网络进行自我繁殖功能的程序，传染机理是利用网络和电子邮件进行复制和传播。这一病毒利用了操作系统和应用软件的漏洞，计算机感染这一病毒后，会不断自动上网，并利用文件中的地址信息或者网络共享进行传播和网络攻击。 构成： 传播模块：负责蠕虫的传播 隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现 目的功能模块：实现对计算机的控制、监视或破坏等功能 传播过程： 扫描：探测存在漏洞的主机，当收到成功反馈后，就得到传播对象。 攻击：攻击模块按漏洞攻击步骤自动攻击找到的对象，取得该主机权限（一般为管理员权限），获得一个shell。 复制：复制模块通过原主机和新主机的交互将蠕虫复制到新主机并启动。,木马病毒,特洛伊木马病毒，也叫后门病毒，通过一套隐藏在合法程序中的命令，指示计算机进行不合法的运作。换句话说就是指采用正常用户无法察觉的方法潜入到对方内部实施某种破坏（盗窃）行为。木马程序的本质就是一个远程控制软件。 危害： 发送指令来传输和修改文件。 发动Dd

5、oS(拒绝服务)攻击。 只是为了隐藏恶意进程的痕迹。 用于收集信息，例如被感染电脑的密码，还可以把收集到的密码列表发送互联网中一个指定的邮件帐户中。,逻辑炸弹,指被设置在合法程序中，通过事件或条件引发后，会破坏程序和数据的子程序段。,新出现的病毒,JAVA等网页病毒； 利用P2P软件传播的病毒； PDA等掌上电脑病毒； 手机病毒等。,按其它分类方式划分,按照计算机病毒的破坏性质分类： 1.良性病毒 2.恶性病毒,造成数据毁坏、丢失； 破坏系统如硬盘、主板等硬件； 影响网络正常功能，甚至网络瘫痪； 破坏系统软件； 为系统留“后门”，为黑客窃取数据提供途径； 降低计算机系统性能。,1.6 计算机病毒的危害,近年病毒爆发的情况及损失,特定日期或时间触发； 感染触发； 键盘触发； 启动触发； 访问磁盘次数触发； CPU型号/主板型号触发。,1.7 计算机病毒的触发方式,1.8 感染计算机病毒后的现象,计算机启动和运行与速度以往相比明显减慢； 文件莫名其妙有丢失； 在系统异常重启和出现异常错误； 键盘、打印、显示有异常现象； 有特殊文件自动生成； 磁盘空间自动产生坏簇或磁盘空间减少; 没做写操作

6、时出现“磁盘有写保护”信息; 在系统进程中出现可疑的进程； 在启动项中发现可疑启动项； 网络数据流出现异常或出现大量有共性的异常数据包。,1.密码破解技术应用此技术的病毒可对win2000以上的操作系统的密码进行破解。此类病毒一般会带有约几百单词数量（有时会更大的）的字典库 ，可对“弱口令”进行破解，因此需要至少六位的数字字母混合的系统口令。例：爱情后门病毒（Worm.Lovgate）,1.9 目前病毒新技术和新特点,2. 漏洞技术利用操作系统和软件系统（主要是微软的软件系统）漏洞进行攻击;即发送不正常的数据包，使获得的系统出现错误，从而使病毒夺取对方电脑的控制权。例：冲击波利用rpc漏洞，震荡波利用LSASS漏洞,3.端口监听技术（原多见于木马程序） Worm_Netsky.Y（“网络天空”病毒变种，又称Moodown.y）病毒利用自身的SMTP发信引擎来发送病毒邮件，监听82端口，允许远程攻击者发送并执行可执行文件 ，可自动下载并执行新的病毒。 “冲击波”蠕虫会监听端口69,模拟出一个TFTP服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有RPC漏洞的135端口进行

7、传播。,4.多线程扫描技术现在常见病毒多采用此技术，此技术可加速网络病毒的传播速度。如I-Worm.Sasser.e（振荡波.e）开辟128个线 程扫描网络，传播病毒。,主动通过网络和邮件系统传播 传播速度极快 扩散面广 变种多、快 使用传统手段难于根治、容易引起多次疫情 具有病毒、蠕虫和后门（黑客）程序的多种特性 病毒向能对抗反病毒软件和有特定目的的方向发展,网络时代病毒的新特性：,第二章：计算机病毒的传播,2.1 计算机病毒的工作环节 2.2 计算机病毒的传播途径 2.3 有防护的内部网络中的病毒传播 2.4 物理隔离网络中的病毒传播 2.5 政府机关网络病毒问题的现状,2.1 计算机病毒的工作环节,完整的计算机病毒工作环节应包括以下几个方面：,传染源：病毒总是依附于某些储存介质，如软盘、硬盘等。 传染媒介：病毒传染的媒介由工作的环境来定，可能是网络，也可能是可以移动的存储介质，例如软磁盘等。 病毒激活：是指将病毒装入内存，并设置触发条件，一旦触发条件成熟，病毒就开始其作用，如：自我复制到传染对象，进行各种破坏活动等。 病毒触发：计算机病毒一旦被激活，立刻发生作用，触发的条件是多样

8、化的，可以是内部时钟，系统的日期，用户标识符，也可能是系统的一次通信等。 病毒表现：表现是病毒的主要目的之一，有时在屏幕显示出来，有时则表现为破坏系统数据。可以这样说，凡是软件技术能够触发到的地方，都在其表现范围内。 病毒传染：传染是病毒性能的一个重要标志。在传染环节中，病毒复制一个自身副本到传染对象中去。,2.2 目前存在病毒的传播途径,2.3 有防护的办公网络中的病毒传播,病毒传入途径： 终端漏洞导致病毒传播； 邮件接收导致病毒传播； 外部带有病毒的介质直接接入网络导致病毒传播； 内部用户绕过边界防护措施，直接接入因特网导致病毒被引入； 网页中的恶意代码传入；,大型内部网络，一般均有防火墙等边界防护措施，但是还经常会出现病毒，病毒是如何传入的呢？,2.4 物理隔离网络中病毒的传播,外部带有病毒的介质接入网络导致病毒传播； 内部用户私自在将所使用的终端接入因特网导致病毒被引入；,国家机关和军队、银行等为了保护网络，一般均采用物理隔离措施，这类网络理论上应该是安全的，不过也有病毒的出现，这类网络，病毒主要是靠几种途径传入的：,一般网络的病毒问题主要有两个方面： 新病毒传入问题 老病毒根

9、除问题,2.5 企业网络病毒问题的现状,企业网络防病毒可能需要面临的问题： 难以确定网络内设备的用户联网状况; 无法快速准确定位病毒源; 了解病毒源后，无法方便的对病毒源进行阻断； 难以监控系统安全补丁安装情况; 缺乏有效的技术手段保证管理制度的贯彻。,第三章：建立有效的病毒防范管理机制,3.1 建立防病毒管理机构 3.2 防病毒管理机制的制定和完善 3.3 制定防病毒管理制度 3.4 用技术手段保障管理的有效性 3.5 加强培训以保障管理机制执行,无论什么样先进的病毒保障系统，使用者、控制者最终都是人。所以防病毒首要的事情是建立防病毒管理机构，以领导、协调防病毒工作和处理应急响应事件。,3.1 建立防病毒管理机构,防病毒管理机构组成图,机构内各组织的防病毒工作的协调管理； 防病毒责任的分配； 系统内部各单位间的防病毒组织的合作。,防病毒管理机构应注意的问题,防病毒需求分析：只有明了自己的安全需求才能有针对性地构建适合于自己的安全体系结构，正确的安全分析需求是保证网络系统的安全的根源。 防病毒风险管理：风险管理是对需求分析结果中存在的威胁和业务需求进行风险评估，以可以接受的投资，进行最大限度的病毒防范工作。 制定防病毒策略:根据组织和部门的防病毒需求和风险评估的结论，制定切实可行的计算机网络防病毒策略。 定期防病毒审核:安全审核的首要任务是审核组织的安全策略是否被有效地和正确地执行。因为网络防病毒是一个动态的过程，防病毒的需求可能会发生变化；为了在防病毒需求发生变化时，策略和控制措施能够及时反映这种变化，必须进行定期安全审核。,3.2 防病毒管理机制的制定和完善,防病毒管理机制的实行过程,A制定计划 B进行实施 C监控审评 D维护改进,1. 网络管理员管理制度,3.3 制定防病毒管理制度,防病毒日常管理责任 防病毒策略管理责任 病毒应急响应事件责任,2. 网络一般用户管理制度,3. 账户及口令管理制度 4. 设备管理规章制度,入网设备防病毒管理制度 服务器管理制度 便携机管理制度 介质管理,管理制度需要注意的问题：减少从第三方的系统下载软件； 组建一支队伍，监测和调查病毒事件； 病毒库必须随时更新； 重要的数据必须备份，并每月检查一次；,

《防病毒技术与原理》由会员飞***分享，可在线阅读，更多相关《防病毒技术与原理》请在金锄头文库上搜索。