计算机病毒与网络安全精选文档.ppt
计算机病毒与网络安全课件计算机病毒与网络安全课件本讲稿第一页,共六十二页目目 录:录:1.计算机病毒的起源与发展2.计算机病毒的定义与特征 3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 6.其他恶意程序本讲稿第二页,共六十二页根据国家计算机病毒应急处理中心的调查显示:根据国家计算机病毒应急处理中心的调查显示:2003-2003-20082008年我国计算机病毒感染率高达年我国计算机病毒感染率高达85.57%85.57%,造成的,造成的损失达到损失达到63.57%63.57%。(来源来源:央视国际央视国际)您的计算机安全吗?您的计算机安全吗?本讲稿第三页,共六十二页安装了安全软件,电脑里就一定没有病毒木马吗?金山毒霸安全实验室公布最新研究报告显示,国内95.6%的电脑上安装了安全软件,但每年仍然有约百万病毒木马被“漏杀”。而这些被“漏杀”的病毒木马将直接影响到中国千万网民网络安全问题,同时给中国互联网带来的经济损失也将超过十亿元。“2009-2010年中国新增病毒木马约2000万种,其中漏杀期1-7天的病毒木马超过100万个,占到新增病毒的5%,30%以上的中国网民电脑存在漏杀病毒。”本讲稿第四页,共六十二页以你的经历,谈谈你知道到的病毒。以你的经历,谈谈你知道到的病毒。本讲稿第五页,共六十二页一个每天都要遇到的操作一个每天都要遇到的操作可移动存储设备的使用 本讲稿第六页,共六十二页一个每天都要遇到的操作一个每天都要遇到的操作如果您的电脑配有摄像头,在您使用完摄像头后,您会()a.拔掉摄像头,或者将摄像头扭转方向(546人,44.1%)b.无所谓(693人,55.9%)本讲稿第七页,共六十二页女鬼病毒女鬼病毒女鬼病毒在感染用户系统后,会不定时的在电脑上出现恐怖的女鬼病毒在感染用户系统后,会不定时的在电脑上出现恐怖的女鬼,并伴有阴森恐怖的鬼哭狼嚎的声音。女鬼每次出现大约女鬼,并伴有阴森恐怖的鬼哭狼嚎的声音。女鬼每次出现大约停留停留3030秒钟,低垂着脑袋,披头散发,两眼还射出红光,加上阴森秒钟,低垂着脑袋,披头散发,两眼还射出红光,加上阴森的恐怖之声,使人在夜间开电脑时,不禁毛骨悚然,吓到腿软。的恐怖之声,使人在夜间开电脑时,不禁毛骨悚然,吓到腿软。该女鬼病毒是用该女鬼病毒是用VBVB语言写的程序,需要一个语言写的程序,需要一个VBVB的动态链接库,有些的动态链接库,有些用户系统上可能没有这个文件,病毒因此就无法被激活。用户系统上可能没有这个文件,病毒因此就无法被激活。本讲稿第八页,共六十二页木马病毒木马病毒木木马,全称,全称为:特洛伊木:特洛伊木马(Trojan HorseTrojan Horse)。)。“特洛伊木特洛伊木马”这一一词最早出先在希腊神最早出先在希腊神话传说中。相中。相传在在30003000年前,在一次希腊年前,在一次希腊战争中。麦尼争中。麦尼劳斯(人名)派兵斯(人名)派兵讨伐特洛伊伐特洛伊(王国),但久攻不下。他(王国),但久攻不下。他们想出了一个主意:首先他想出了一个主意:首先他们假装被打假装被打败,然后留下一个木然后留下一个木马。而木。而木马里面却藏着最里面却藏着最强悍的勇士!最后等悍的勇士!最后等时间一一到,木到,木马里的勇士全部冲出来把里的勇士全部冲出来把敌人打人打败了!了!特洛伊木马本讲稿第九页,共六十二页“木木马”的含的含义就是把就是把预谋的功能的功能隐藏藏在公开的功能里,掩在公开的功能里,掩饰真正真正的企的企图。木木马其其实就是那些盗号者所制造的一些就是那些盗号者所制造的一些恶意程序意程序。当木当木马植入了你的植入了你的电脑后,后,电脑就会被就会被监控起来。控起来。轻者,者,偷取取用用户资,会把你的,会把你的QQQQ密密码.游游戏帐号和密号和密码.等等发给编写病毒的写病毒的人人。至于至于严重的,木重的,木马制作者可以像操作自己的机器一制作者可以像操作自己的机器一样控制您的机器,控制您的机器,甚至可以甚至可以远程程监控您的所有操作。一控您的所有操作。一举一一动,都在,都在别人的眼皮底下人的眼皮底下进行。行。本讲稿第十页,共六十二页计算机病毒的发展史计算机病毒的发展史m自第一个真正意义上的计算机病毒于自第一个真正意义上的计算机病毒于19831983年走出实验室以来,年走出实验室以来,人们对它的认识经历了人们对它的认识经历了“不以为然不以为然谈毒色变谈毒色变口诛笔伐,人口诛笔伐,人人喊打人喊打理性对待,泰然处之理性对待,泰然处之”四个阶段四个阶段。本讲稿第十一页,共六十二页计算机病毒产生的历史计算机病毒产生的历史m1977年:出现在科幻小说中m1983年:Fred Cohen:在计算机安全研讨会上发布m1986年:巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了“巴基斯坦”病毒,成了世界上公认的第一个传染PC兼容机的病毒,并且很快在全球流行。m1987年10月:美国发现世界上第一例病毒(Brain)。m1988年:小球病毒传入我国,在几个月之内迅速传染了20 多个省、市,成为我国第一个病毒案例。m此后,如同打开的潘多拉的盒子,各种计算机病毒层出不穷!本讲稿第十二页,共六十二页计算机病毒的发展阶段计算机病毒的发展阶段萌芽阶段萌芽阶段 1 1 萌芽阶段萌芽阶段 1986年到1989年:计算机病毒的萌芽时期病毒清除相对比较容易 特点:攻击目标单一主要采取截取系统中断向量的方式监控系统的运行状态,并在一定的触发条件下进行传播传染后特征明显不具自我保护措施 本讲稿第十三页,共六十二页计算机病毒的发展阶段计算机病毒的发展阶段综合发展阶段综合发展阶段2 2 综合发展阶段综合发展阶段1989年到1992年:由简单到复杂,由原始走向成熟 特点:1.攻击目标趋于混合型2.采用更为隐蔽的方法驻留内存3.感染目标后没有明显的特征 4.开始采用自我保护措施5.开始出现变种本讲稿第十四页,共六十二页计算机病毒的发展阶段计算机病毒的发展阶段成熟发展阶段成熟发展阶段3 3 成熟发展阶段成熟发展阶段 1992到1995年:病毒开始具有多态多态性质。病毒每次传染目标时,嵌入宿主程序中的病毒程序大部分可变种可变种,正由于这个特点,传统的特征码检测病毒法开始了新的探索研究。在这个阶段,病毒的发展主要集中在病毒技术的提高上,病毒开始向多维化方向发展,对反病毒厂商也提出了新的挑战。本讲稿第十五页,共六十二页计算机病毒的发展阶段计算机病毒的发展阶段网络病毒阶段网络病毒阶段 4 4 网络病毒阶段网络病毒阶段 1995年到2000年:随着网络的普及,大量的病毒开始利用网络传播,蠕虫蠕虫开始大规模的传播。由于网络的便利和信息的共享,很快又出现了通过通过E-mailE-mail传播的病毒传播的病毒。由于宏病毒宏病毒编写简单、破坏性强、清除复杂,加上微软未对WORD文档结构公开,给清除宏病毒带来了不便 这一阶段的病毒,主要是利用网络来进行传播和破坏本讲稿第十六页,共六十二页计算机病毒的发展阶段计算机病毒的发展阶段迅速壮大的阶段迅速壮大的阶段 5.迅速壮大的阶段2000年以后:成熟繁荣阶段,计算机病毒的更新和传播手段更加多样性,网络病毒的目的性目的性也更强出现了木马,恶意软件等特定目的特定目的的恶意程序 特点:技术综合利用,病毒变种速度大大加快恶意软件和病毒程序直接把矛头对向了杀毒软件计算机病毒技术和反病毒技术的竞争进一步激化,反病毒技术也面临着新的洗牌本讲稿第十七页,共六十二页1.计算机病毒的起源与发展2.计算机病毒的定义与特征 3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 6.其他恶意程序本讲稿第十八页,共六十二页计算机病毒的定义计算机病毒的定义m狭义定义 计算机病毒是一种靠修改其它程序来插入或进行自身拷贝,从而感染其它程序的一种程序。Fred Cohen博士对计算机病毒的定义。广义定义 能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序代码。m我国定义 中华人民共和国计算机信息系统安全保护条例第二十八条:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”本讲稿第十九页,共六十二页计算机病毒的特征计算机病毒的特征基本特征基本特征1.传染性 自我复制,通过多种渠道传播2.潜伏性 感染后不一定立刻发作 依附于其他文件、程序、介质,不被发现3.可触发性 触发条件:日期、时间、文件类型4.破坏性 破坏数据的完整性和可用性 破坏数据的保密性 系统和资源的可用性5.非授权可执行性本讲稿第二十页,共六十二页计算机病毒的特征计算机病毒的特征其它特征其它特征1.寄生性 寄生于其它文件、程序2.隐蔽性 程序隐蔽、传染隐蔽;不易被发现3.针对性*针对特定的计算机、特定的操作系统4.多态性*每一次感染后改变形态,检测更困难5.持久性*难于清除本讲稿第二十一页,共六十二页1.计算机病毒的起源与发展2.计算机病毒的定义与特征 3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 6.其他恶意程序本讲稿第二十二页,共六十二页计算机病毒的分类计算机病毒的分类m按宿主分类m按危害分类m按传播媒介分类m按攻击平台分类本讲稿第二十三页,共六十二页计算机病毒的分类计算机病毒的分类m按宿主分类 1)引导型病毒主引导区操作系统引导区 2)文件型病毒操作系统应用程序宏病毒 3)复合型病毒复合型病毒具有引导区型病毒和文件型病毒两者的特征本讲稿第二十四页,共六十二页计算机病毒的分类计算机病毒的分类m按危害分类 良性病毒如:小球病毒 恶性病毒如:CIH病毒本讲稿第二十五页,共六十二页计算机病毒的分类计算机病毒的分类m按传播媒介分类 单机病毒DOS、Windows、Unix/Linux病毒等 网络病毒通过网络或电子邮件传播本讲稿第二十六页,共六十二页计算机病毒的分类计算机病毒的分类m按攻击平台分类 DOS病毒:MS-DOS及兼容操作系统上编写的病毒 Windows病毒:Win32上编写的纯32位病毒程序 MAC病毒 Unix/Linux病毒本讲稿第二十七页,共六十二页1.计算机病毒的起源与发展2.计算机病毒的定义与特征 3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 6.其他恶意程序本讲稿第二十八页,共六十二页计算机病毒的危害性计算机病毒的危害性1.攻击系统数据区 攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录2.攻击文件 删除、改名、替换内容、丢失簇和对文件加密等3.攻击内存 内存是计算机的重要资源,也是病毒攻击的重要目标本讲稿第二十九页,共六十二页计算机病毒的危害性计算机病毒的危害性4.干扰系统运行,使运行速度下降 如不执行命令、打不开文件 干扰内部命令的执行、扰乱串并接口、虚假报警、强制游戏 内部栈溢出、重启动、死机 病毒激活时,系统时间延迟程序启动,在时钟中纳入循环计数,迫使计算机空转,运行速度明显下降5.干扰键盘、喇叭或屏幕,适用户无法正常操作 响铃、封锁键盘、换字、抹掉缓存区字符、输入紊乱等。许多病毒运行时,会使计算机的喇叭发出响声 病毒扰乱显示的方式很多,如字符跌落、倒置、显示前一屏、打开对话框、光标下跌、滚屏、抖动、乱写等 本讲稿第三十页,共六十二页计算机病毒的危害性计算机病毒的危害性6.攻击CMOS,破坏系统硬件 有的病毒激活时,能够对CMOS进行写入动作,破坏CMOS中的数据。例如CIH病毒破坏计算机硬件,乱写某些主板BIOS芯片,损坏硬盘7.干扰打印机 如假报警、间断性打印或更换字符8.干扰网络正常运行 网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽、阻塞网络、造成拒绝服务等本讲稿第三十一页,共六十二页历年重大病毒影响情况历年重大病毒影响情况病毒名称出现时间造成的经济损失莫里斯蠕虫19886000台电脑停机,9600万美元美丽莎1999超过12亿美元爱虫2000100亿美元红色代码2001超过20亿美元求职信2001超过100亿美元SQL蠕虫王2003超过20亿美元本讲稿第三十二页,共六十二页1.计算机病毒的起源与发展2.计算机病毒的定义和特征 3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 6.其他恶意程序本讲稿第三十三页,共六十二页计算机病毒分析计算机病毒分析计算机病毒的结构及工作机理引导型病毒分析文件型病毒分析宏病毒分析蠕虫病毒分析特洛伊木马分析本讲稿第三十四页,共六十二页m实录超牛病毒破坏电脑m世界最强电脑病毒m模拟实验黑客入侵路由器 不到五秒获取银行卡号本讲稿第三十五页,共六十二页计算机病毒的结构及工作机理计算机病毒的结构及工作机理m计算机病毒的结构传染条件判断传染条件判断传染代码传染代码传染模块传染模块表现及破坏条件判断表现及破坏条件判断破坏代码破坏代码表现模块表现模块引导代码引导代码引导模块引导模块本讲稿第三十六页,共六十二页计算机病毒的结构及工作机理计算机病毒的结构及工作机理1.引导过程 也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备2.传染过程 作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前,要首先判断传染条件是否满足,判断病毒是否已经感染过该目标等,如CIH病毒只针对Windows 95/98操作系统3.表现过程 是病毒间差异最大的部分,前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的本讲稿第三十七页,共六十二页引导型病毒实例分析引导型病毒实例分析m引导型病毒 传染机理利用系统启动的缺陷 传染目标硬盘的主引导区和引导区软盘的引导区 传染途径通过软盘启动计算机 防治办法从C盘启动打开主板的方病毒功能 典型病毒小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒本讲稿第三十八页,共六十二页。病毒病毒引导型病毒分析引导型病毒分析m引导型病毒感染与执行过程系统引导区系统引导区系统引导区系统引导区引导引导引导引导正常执行正常执行正常执行正常执行病毒病毒病毒病毒病毒执行病毒驻留带毒执行带毒执行。引导系统引导系统引导系统引导系统病毒体病毒体病毒体病毒体。本讲稿第三十九页,共六十二页文件型病毒分析文件型病毒分析m文件型病毒 传染机理:利用系统加载执行文件的缺陷 传染目标:各种能够获得系统控制权执行的文件 传染途径:各种存储介质、网络、电子邮件 防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件 典型病毒1575病毒、CIH病毒本讲稿第四十页,共六十二页文件型病毒分析文件型病毒分析m文件型病毒文件型病毒与引导扇区病毒区别是:它攻击磁盘上的它攻击磁盘上的文件文件本讲稿第四十一页,共六十二页文件型病毒分析文件型病毒分析m文件型病毒传染机理正常正常程序程序正常正常程序程序程序头程序头正常正常程序程序程序头程序头正常正常程序程序程序头程序头正常正常程序程序程序头程序头正常正常程序程序程序头程序头正常正常程序程序程序头程序头正常正常程序程序程序头程序头正常正常程序程序程序头程序头正常正常程序程序程序头程序头正常正常程序程序程序头程序头正常正常程序程序程序头程序头正常正常程序程序程序头程序头正常正常程序程序程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头病毒程序头程序头程序头病毒程序头病毒程序头程序头程序头病毒程序头病毒程序头程序头程序头病毒程序头病毒程序头程序头程序头病毒程序头病毒程序头程序头程序头程序头程序头病毒程序头病毒程序头病毒程序头病毒程序头程序头程序头病毒程序病毒程序程序头程序头病毒程序病毒程序程序头程序头病毒程序病毒程序程序头程序头病毒程序病毒程序程序头程序头程序头程序头病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序正常正常程序程序程序头程序头程序头程序头程序头程序头本讲稿第四十二页,共六十二页宏病毒分析宏病毒分析m宏病毒 定义:宏病毒是指利用软件所支持的宏命令或语言书写的一段寄生在支持宏的文档上的,具有复制、传染能力的宏代码 跨平台式计算机病毒:可以在Windows 9X、Windows NT、OS/2和Unix、Mac等操作系统上执行病毒行为 影响系统的性能以及对文档的各种操作,如打开、存储、关闭或清除等 宏病毒对病毒而言是一次革命。现在通过E-mail、3W的互联能力及宏语言的进一步强化,极大地增强了它的传播能力本讲稿第四十三页,共六十二页宏病毒分析宏病毒分析m宏病毒工作机理有毒文件有毒文件.docNormal.dot激活激活autoopen宏宏写入无毒文件无毒文件.docNormal.dot启动激活病毒激活病毒本讲稿第四十四页,共六十二页蠕虫病毒分析蠕虫病毒分析m蠕虫病毒 一个独立的计算机程序,不需要宿主 自我复制,自主传播(Mobile)占用系统或网络资源、破坏其他程序 不伪装成其他程序,靠自主传播利用系统漏洞;利用电子邮件(无需用户参与)本讲稿第四十五页,共六十二页蠕虫病毒分析蠕虫病毒分析m蠕虫病毒 传染机理:利用系统或服务的漏洞 传染目标:操作系统或应用服务 传染途径:网络、电子邮件 防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件打最新补丁,更新系统 典型病毒RedCode,尼姆达、冲击波等本讲稿第四十六页,共六十二页特洛伊木马分析特洛伊木马分析m特洛伊木马程序 名字来源:古希腊故事 通过伪装成其他程序、有意隐藏自己恶意行为的程序,通常留下一个远程控制的后门 没有自我复制的功能 非自主传播用户主动发送给其他人放到网站上由用户下载本讲稿第四十七页,共六十二页特洛伊木马分析特洛伊木马分析m特洛伊木马程序 传播途径通过网络下载、电子邮件 防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件不要轻易运行来路不明的文件 典型例子BO、BO2k、Subseven、冰河、广外女生等本讲稿第四十八页,共六十二页病毒、蠕虫与木马的比较病毒、蠕虫与木马的比较需要不需要需要宿主留下后门,窃取信息侵占资源,造成拒绝服务破坏数据完整性、系统完整性主要危害慢 极快快传播速度依靠用户主动传播自主传播依赖宿主文件或介质传播方式伪装成其它文件独立的文件一般不以文件形式存在表现形式木马蠕虫病毒特性本讲稿第四十九页,共六十二页1.计算机病毒的起源与发展2.计算机病毒的定义和特征 3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 6.其他恶意程序本讲稿第五十页,共六十二页其他恶意程序其他恶意程序后门(Backdoor)一种能让黑客未经授权进入和使用本系统的恶意程序僵尸(Bot)一种集后门与蠕虫一体的恶意程序.通常使用IRC(Internet Relay Chat)接受和执行黑客命令广告软件/间谍软件本讲稿第五十一页,共六十二页后门后门m具有反侦测能力 隐藏文件,进程,网络端口和连接,系统设置,系统服务 可以在恶意程序之中,例如 Berbew;也有独立软件,例如 Hackder Defenderm为控制者提供远程操作能力本讲稿第五十二页,共六十二页僵尸僵尸m僵尸生态系统 僵尸 僵尸网 管理通道 看守者m从 MyDoom.A开始进入鼎盛期 打开后门 TCP port 3127-3198 下载和执行程序 利用被感染的计算机散发电子邮件 数以百万计的感染计算机被出卖给了垃圾邮件的制造者本讲稿第五十三页,共六十二页僵尸僵尸僵尸网发展趋势僵尸网发展趋势1)源代码可在网上免费下载2)管理方式的变化:m过去:集中管理 一个 IRC 服务器管理所有僵尸 关闭服务器就破坏了僵尸网m现在:提升 注册多个IRC 服务器 通讯加密(AES-128 或更强)m今后:分布式(P2P)管理 对照分析:Napster:集中管理,容易被关闭eDonkey:分布式管理,不容易被关闭本讲稿第五十四页,共六十二页广告软件广告软件/间谍软件间谍软件 m广告软件 弹出窗口及横幅形式向用户提供广告服务 通常经过用户授权m间谍软件 未经授权收集用户信息 未经授权上传用户信息 未经授权改变系统外表及行为本讲稿第五十五页,共六十二页广告软件广告软件/间谍软件间谍软件传播方式传播方式m社会工程(欺骗)方法 非软件或硬件漏洞 电子邮件:附属可执行文件 电子邮件:隐蔽真实联接 弹出窗口 伪装网站 附属于其它免费或商业软件m利用浏览器瑕疵 自动下载及安装本讲稿第五十六页,共六十二页手段一手段一:虚假安全警告虚假安全警告本讲稿第五十七页,共六十二页手段二手段二:“取消取消”实际为实际为“是是”本讲稿第五十八页,共六十二页手段三手段三:重复重复本讲稿第五十九页,共六十二页手段四手段四:附加安装软件附加安装软件本讲稿第六十页,共六十二页手段五:利用浏览器缺陷手段五:利用浏览器缺陷m一些浏览器缺陷可被利用绕过安全检测和用户提示,直接启动恶意程序 例如,利用MS03-014缺陷自动下载及运行文件u=http:/www.not-real- 病病 毒毒Viruses木马程序木马程序Trojans后门程序后门程序BACKDOORS广告程序广告程序Adware 蠕蠕 虫虫 WORMSa.E-mailb.Networkc.IRC恶意程序恶意程序Malware“All Worms are Viruses”but“Not all Viruses are Worms”本讲稿第六十二页,共六十二页