复旦大学信息安全课件第7章新一代计算机病毒
133页1、第七章 新一代计算机病毒第七章 新一代计算机病毒 计算机病毒的发展从九十年代中期进入了快速发展,攻击目标以计算机病毒的发展从九十年代中期进入了快速发展,攻击目标以Windows为主,出现了双料双重,攻击杀毒软件的,具有黑客性质的病毒为主,出现了双料双重,攻击杀毒软件的,具有黑客性质的病毒 7.1 变形多态病毒变形多态病毒 从从1992年以来,出现了能在传播过程中自动修改病毒代码,改变加解密例程的变形多态病毒,给病毒的检测和清除带来新的问题。年以来,出现了能在传播过程中自动修改病毒代码,改变加解密例程的变形多态病毒,给病毒的检测和清除带来新的问题。 变形多态病毒一般有一个变异引擎,它是一种简单的机器代码生成器,它可以根据不同机器配置、所攻击的文件情况、传染次数等修改病毒程序体代码。变形多态病毒一般有一个变异引擎,它是一种简单的机器代码生成器,它可以根据不同机器配置、所攻击的文件情况、传染次数等修改病毒程序体代码。 在带毒载体被运行后,病毒程序首先被执行,掌握系统控制权,变异引擎被启动,会根据变异引擎的功能读取有关信息,遇到传染对象后生成变形病毒程序,把变形病毒体和变异引擎一起附加到传染目
2、标上,完成一次传染。在带毒载体被运行后,病毒程序首先被执行,掌握系统控制权,变异引擎被启动,会根据变异引擎的功能读取有关信息,遇到传染对象后生成变形病毒程序,把变形病毒体和变异引擎一起附加到传染目标上,完成一次传染。 如果是具有对病毒程序体加密能力的病毒,则在被加载后先进行自我解密,根据变异引擎的功能读取有关信息,在把病毒程序附加到新的目标之前,采用一个互补的加密例程来加密病毒程序,然后把新产生的解密例程与加密的病毒程序体(包括变异引擎)一起附加到传染对象上。如果是具有对病毒程序体加密能力的病毒,则在被加载后先进行自我解密,根据变异引擎的功能读取有关信息,在把病毒程序附加到新的目标之前,采用一个互补的加密例程来加密病毒程序,然后把新产生的解密例程与加密的病毒程序体(包括变异引擎)一起附加到传染对象上。 这类病毒每传染一个对象就变化一种样子,变形能力可达上千亿甚至无限,给病毒检测和清除带来一定困难。这类病毒每传染一个对象就变化一种样子,变形能力可达上千亿甚至无限,给病毒检测和清除带来一定困难。 这类病毒有:这类病毒有:NATAS/4744/4746病毒,病毒,HYY/3522(福州(福州
3、1号变形王)、变形大玩笑号变形王)、变形大玩笑JOKE和和CONNIE2-台湾台湾2号变形王等。号变形王等。 7.2 Retro病毒病毒 在生物学中,在生物学中,Retro病毒(逆转录酶病毒)能破坏抑制细胞变异的酶,导致肿瘤产生,病毒(逆转录酶病毒)能破坏抑制细胞变异的酶,导致肿瘤产生, 因此从某种程度上讲,一方面是酶要防止肿瘤产生,而另一方面则是要产生肿瘤,而其手段则是攻击它的攻击者。因此从某种程度上讲,一方面是酶要防止肿瘤产生,而另一方面则是要产生肿瘤,而其手段则是攻击它的攻击者。 计算机中的计算机中的Retro病毒的目标也是如此,它的任务就是寻找反病毒程序并试图删除一些关键文件,使得反病毒程序无法检测病毒。病毒的目标也是如此,它的任务就是寻找反病毒程序并试图删除一些关键文件,使得反病毒程序无法检测病毒。 一些反病毒程序会包括一个数据文件,这个文件中存放病毒的特征标记。一些反病毒程序会包括一个数据文件,这个文件中存放病毒的特征标记。Retro病毒的攻击手段就是删除这种病毒定义文件,从而破坏了扫描程序检测病毒的能力。病毒的攻击手段就是删除这种病毒定义文件,从而破坏了扫描程序检测病毒的
4、能力。 有些反病毒产品使用完整性检查方法来检测病毒。把完整性信息存放到数据库中,标识每个未感染文件的关键特征,然后把当前文件与存储在数据库中原来文件的信息核对以验证文件的完整性。有些反病毒产品使用完整性检查方法来检测病毒。把完整性信息存放到数据库中,标识每个未感染文件的关键特征,然后把当前文件与存储在数据库中原来文件的信息核对以验证文件的完整性。Retro病毒就会寻找这个数据库并删除它。病毒就会寻找这个数据库并删除它。 其作用机理是:当用户配置反病毒程序来创建、维护文件数据库时,该病毒被激活,其作用机理是:当用户配置反病毒程序来创建、维护文件数据库时,该病毒被激活, 当用户释放磁盘空间时即删除该数据库,而反病毒程序并不知道数据库被病毒删除。当用户释放磁盘空间时即删除该数据库,而反病毒程序并不知道数据库被病毒删除。 因此当用完整性检查技术检测病毒时,由于发现数据库不存在,就会根据当前文件产生新的数据库,而收录的则是已感染病毒的程序的完整性信息。因此当用完整性检查技术检测病毒时,由于发现数据库不存在,就会根据当前文件产生新的数据库,而收录的则是已感染病毒的程序的完整性信息。 此外还有一类病
5、毒具有惰化反病毒软件的功能。此外还有一类病毒具有惰化反病毒软件的功能。 这类病毒的作用就是阻止反病毒软件更新病毒数据库。这类病毒的作用就是阻止反病毒软件更新病毒数据库。 MTX病毒在感染了系统之后,会监视其对互联网的访问,并阻塞对可能是对反病毒服务商网站的访问,从而阻止更新病毒数据库。病毒在感染了系统之后,会监视其对互联网的访问,并阻塞对可能是对反病毒服务商网站的访问,从而阻止更新病毒数据库。 如果原来系统中反病毒软件没有该病毒信息,那么由于无法更新反病毒软件,就不能清除该病毒。如果原来系统中反病毒软件没有该病毒信息,那么由于无法更新反病毒软件,就不能清除该病毒。 还有一类病毒能够取消还有一类病毒能够取消Office所提供的防范措施。所提供的防范措施。 如,只要选择安全级别为中等,当文档带有宏,就会发出警告。如,只要选择安全级别为中等,当文档带有宏,就会发出警告。 而有一类病毒则能够使得此警告功能失效,即虽然设置的是中等安全级别,但当带有宏的文档被打开时却不会发出警告,而直接打开并激活宏而有一类病毒则能够使得此警告功能失效,即虽然设置的是中等安全级别,但当带有宏的文档被打开时却不会发出
《复旦大学信息安全课件第7章新一代计算机病毒》由会员东***分享,可在线阅读,更多相关《复旦大学信息安全课件第7章新一代计算机病毒》请在金锄头文库上搜索。
幼儿园大班科学活动《智能留言机》课件
幼儿园大班语言绘本阅读《手电筒看见了什么》PPT
幼儿园小班科学《教宝宝认识动物》课件
幼儿园中班语言《灰狼家的小饭桶们》教案
【国家审计报告】审计报告W-06审计处罚决定书
【企业财务管理办法】会计档案管理办法
【员工主动离职-风险防范】劳动争议判决书
【员工被动离职-后续工作】70-070员工违反有关商业秘密的约定可以索赔吗
【员工被动离职-辞退申请】第六节 员工任免通知书
【员工被动离职-后续工作】70-050因员工的原因使服务期无法完成可以索赔吗
企业岗位管理制度12办公室行为规范
企业岗位管理制度30离职人员薪资发放通知单
幼儿园春游活动美丽的公园教案
呼职院电力机车制动机讲义11高速列车和重载列车制动
武理工《运输管理》教案第1章 运输系统
中海大海洋化学讲义02海洋的形成和海水的组成——兼论地球上水的起源、变迁和循环
武理工船舶柴油机习题库及答案04燃油喷射和燃烧
厦大海洋生态学课件07海洋初级生产力
华北理工水声学课件05声波在目标上的反射和散射-1目标强度及常见声纳目标的目标强度的一般特征
武理工船舶结构与设备课件02船体结构与管系-4专用船特殊船体结构特点
2024-03-26 33页
2023-07-05 6页
2023-01-18 51页
2022-10-13 8页
2022-08-03 9页
2022-08-03 35页
2022-08-03 9页
2022-08-03 10页
2022-08-03 9页
2022-08-01 60页