《计算机系统安全》课程PPT教学课件：第十章 常用攻击手段（3/3）

的 强应急处

1

计算机病毒的概念 定义:计算机病毒是一段附着在其他程序上的可以实现自 我繁殖的程序代码。(国外 定义:计算机病毒是指破坏计算机功能或者数据,并能自 我复制的程序。(国内) 病毒发展史: 1977年科幻小说《 The Adolescence of p-1》描写计算机病毒 1983年 Fred adleman首次在VAX11/750上试验病毒 1986年 Brain病毒在全世界传播; 1988年11月2日 Cornell t学的 Morris编写的Worm病毒袭击 美国6000台计算机,直接损失尽亿美元 八十年代末,病毒开始传入我国;

2 一、计算机病毒的概念 定义：计算机病毒是一段附着在其他程序上的可以实现自 我繁殖的程序代码。（国外） 定义：计算机病毒是指破坏计算机功能或者数据，并能自 我复制的程序。（国内） 病毒发展史： 1977年科幻小说《The Adolescence of P-1》描写计算机病毒 1983年Fred Adleman首次在VAX 11/750上试验病毒； 1986年Brain病毒在全世界传播； 1988年11月2日Cornell大学的Morris编写的Worm病毒袭击 美国6000台计算机，直接损失尽亿美元； 八十年代末，病毒开始传入我国；

病毒产生的原因: 计算机病毒是高技术犯罪,具有瞬时性、动态 性和随机性。不易取证,风险小破坏大。 1)寻求刺激:自我表现;恶作剧; 2)出于报复心理。 病毒的特征: 传染性;寄生性;衍生性; 隐蔽性;潜伏性; 可触发性;夺取控制权; 破坏性与危害性:

3 病毒产生的原因： 计算机病毒是高技术犯罪，具有瞬时性、动态 性和随机性。不易取证，风险小破坏大。 1）寻求刺激：自我表现；恶作剧； 2）出于报复心理。 病毒的特征： 传染性；寄生性；衍生性； 隐蔽性；潜伏性； 可触发性；夺取控制权； 破坏性与危害性；

病毒的分类: 按破坏性分为:良性;恶性。 按激活时间分为:定时;随机 按传染方式分为: 引导型:当系统引导时进入内存,控制系统; 文件型:病毒一般附着在可执行文件上; 混合型:既可感染引导区,又可感染文件。 按连接方式分为: oS型:替换OS的部分功能,危害较大; 源码型:要在源程序编译之前插入病毒代码;较少; 外壳型:附在正常程序的开头或末尾;最常见; 入侵型:病毒取代特定程序的某些模块;难发现

4 病毒的分类： ▪ 按破坏性分为：良性；恶性。 ▪ 按激活时间分为：定时；随机 ▪ 按传染方式分为： 引导型：当系统引导时进入内存，控制系统； 文件型：病毒一般附着在可执行文件上 ； 混合型：既可感染引导区，又可感染文件。 ▪ 按连接方式分为： OS型：替换OS的部分功能，危害较大； 源码型：要在源程序编译之前插入病毒代码；较少； 外壳型：附在正常程序的开头或末尾；最常见； 入侵型：病毒取代特定程序的某些模块；难发现

按照病毒特有的算法分为: 伴随型病毒:产生EXE文件的伴随体COM,病毒把自身 写入COM文件并不改变EXE文件,当DOS加载文件时, 伴随体优先被执行到,再由伴随体加载执行原来的 EXE文件 “蠕虫”型病毒:只占用内存,不改变文件,通过网 络搜索传播病毒。 寄生型病毒:除了伴随和“蠕虫”型以外的病毒,它 们依附在系统的引导扇区或文件中。 变型病毒(幽灵病毒):使用复杂算法,每传播一次 都具有不同内容和长度。一般的作法是一段混有无 关指令的解码算法和被变化过的病毒体组成

5 ▪ 按照病毒特有的算法分为： 伴随型病毒：产生EXE文件的伴随体COM，病毒把自身 写入COM文件并不改变EXE文件，当DOS加载文件时， 伴随体优先被执行到，再由伴随体加载执行原来的 EXE文件。 “蠕虫”型病毒：只占用内存，不改变文件，通过网 络搜索传播病毒。 寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它 们依附在系统的引导扇区或文件中。 变型病毒（幽灵病毒）：使用复杂算法，每传播一次 都具有不同内容和长度。一般的作法是一段混有无 关指令的解码算法和被变化过的病毒体组成

病毒的组成: 安装模块:提供潜伏机制; 传播模块:提供传染机制 触发模块:提供触发机制 其中,传染机制是病毒的本质特征,防治、检测及 杀毒都是从分析病毒传染机制入手的。 病毒的症状: 启动或运行速度明显变慢;文件大小、日期变化;死 机增多;莫名其妙地丢失文件;磁盘空间不应有的 减少;有规律地出现异常信息;自动生成一些特殊 文件;无缘无故地出现打印故障

6 ▪ 病毒的组成： 安装模块：提供潜伏机制； 传播模块：提供传染机制； 触发模块：提供触发机制； 其中，传染机制是病毒的本质特征，防治、检测及 杀毒都是从分析病毒传染机制入手的。 ▪ 病毒的症状： 启动或运行速度明显变慢；文件大小、日期变化；死 机增多；莫名其妙地丢失文件；磁盘空间不应有的 减少；有规律地出现异常信息；自动生成一些特殊 文件；无缘无故地出现打印故障

计算机病毒的传播途径 1)通过不可移动的设备进行传播 较少见,但破坏力很强。 2)通过移动存储设备进行传播 最广泛的传播途径 3)通过网络进行传播 反病毒所面临的新课题 4)通过点对点通讯系统和无线通道传播 预计将来会成为两大传播渠道

7 ◼ 计算机病毒的传播途径 1）通过不可移动的设备进行传播 较少见，但破坏力很强。 2）通过移动存储设备进行传播 最广泛的传播途径 3）通过网络进行传播 反病毒所面临的新课题 4）通过点对点通讯系统和无线通道传播 预计将来会成为两大传播渠道

病毒的破坏行为 攻击系统数据区:主引导区、Boot区、FAT区、文件目录 攻击文件、内存、CMoS;干扰系统运行,使速度下降; 干扰屏幕、键盘、喇叭、打印机 破坏网络资源。 病毒的发展趋势 攻击对象趋于混合型; 反跟踪技术; 增强隐蔽性:避开修改中断向量值;请求在内存中的合 法身份;维持宿主程序外部特征;不用明显感染标志 采用加密技术,使得对病毒的跟踪、判断更困难; 繁衍不同的变种

8 ◼ 病毒的破坏行为 攻击系统数据区：主引导区、Boot区、FAT区、文件目录 攻击文件、内存、CMOS；干扰系统运行，使速度下降； 干扰屏幕、键盘、喇叭、打印机； 破坏网络资源。 ◼ 病毒的发展趋势 攻击对象趋于混合型； 反跟踪技术； 增强隐蔽性：避开修改中断向量值；请求在内存中的合 法身份；维持宿主程序外部特征；不用明显感染标志 采用加密技术，使得对病毒的跟踪、判断更困难； 繁衍不同的变种

二、病毒的防治 网络环境下的病毒防治原则与策略 防重于治,防重在管:制度;注册、权限、属性、 服务器安全;集中管理、报警 综合防护:木桶原理;防火墙与防毒软件结合 最佳均衡原则:占用较小的网络资源 管理与技术并重 正确选择反毒产品 多层次防御:病毒检测、数据保护、实时监控 注意病毒检测的可靠性:经常升级;两种以上

9 二、病毒的防治 ❖ 网络环境下的病毒防治原则与策略 ➢ 防重于治，防重在管：制度；注册、权限、属性、 服务器安全；集中管理、报警。 ➢ 综合防护：木桶原理；防火墙与防毒软件结合 ➢ 最佳均衡原则：占用较小的网络资源 ➢ 管理与技术并重 ➢ 正确选择反毒产品 ➢ 多层次防御：病毒检测、数据保护、实时监控 ➢ 注意病毒检测的可靠性：经常升级；两种以上

二、病毒的防治 防毒:预防入侵;病毒过滤、监控、隔离 査毒:发现和追踪病毒;统计、报警 解毒:从感染对象中清除病毒;恢复功能 病毒检测的方法 直接观察法:根据病毒的种种表现来判断 特征代码法:采集病毒样本,抽取特征代码 特点:能快速、准确检验已知病毒,不能发现未 知的病毒

10 二、病毒的防治 ◼ 防毒：预防入侵； 病毒过滤、监控、隔离 ◼ 查毒：发现和追踪病毒； 统计、报警 ◼ 解毒：从感染对象中清除病毒；恢复功能 ❖ 病毒检测的方法 ➢ 直接观察法： 根据病毒的种种表现来判断 ➢ 特征代码法 ：采集病毒样本，抽取特征代码 特点：能快速、准确检验已知病毒，不能发现未 知的病毒