防病毒系统讲解.ppt
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
6
黑客攻击技术与网络病毒日趋融合
网络攻击方式对使用者要求较低
缓冲区溢出、格式串攻击已公开流 传多年,越来越多的人掌握这些技 巧
少部分人掌握自行挖掘漏洞的能力, 并且这个数量在增加
漏洞挖掘流程专业化,工具自动化
制造病毒越来越简单
“看不见的风险”厂商为了声誉不 完全公开产品的安全缺陷:漏洞私 有,不为人知
23
症状病毒的入侵的症状(四)
经常报告内存不够:病毒非法占用了大量内存; 打开了大量的软件;运行了需内存资源的软件; 系统配置不正确;内存本就不够(目前基本内 存要求为128M)等。
24
症状病毒的入侵的症状(五)
软盘等设备未访问时出读写信号:病毒感染; 软盘取走了还在打开曾经在软盘中打开过的文 件。
难发现、清除,也很难编写) ➢ 源码型病毒(利用网络脚本编写,放在电子邮
件的附件或HTML页中,通过漏洞 感染并执行。)
18
病毒分类
按病毒特征分类 ➢ 蠕虫类病毒 ➢ 黑客类病毒 ➢ 木马类病毒 ➢ 宏病毒 ➢ 脚本病毒
19
判断中毒
各种病毒时至今日也可算是百花齐放了,搞得人心惶惶, 一旦发现自己的电脑有点异常就认定是病毒在作怪,到处 找杀毒软件,一个不行,再来一个,总之似乎不找到“元 凶”誓不罢休一样,结果病毒软件是用了一个又一个,或 许为此人民币是用了一张又一张,还是未见“元凶”的踪 影,其实这未必就是病毒在作怪。
12
病毒的传染性
病毒特征
传染性是衡量一个程序是否是病毒的 重要条件,病毒制造者会花大量时间 考虑如何使病毒能够快速、广泛地传 播,从而达到恶意报复或显示编程能 力的目的。蠕虫病毒可以说是传播速 度最快、传播范围最广的病毒了,美 丽莎、SIRCAM、Nimada、冲击波等 病毒,灰鸽子等就是通过E-mail方式 来传播的,传播速度和范围惊人,24 小时可传播全世界。求职信和灰鸽子 不仅通过邮件,还可通过局域网文件 共享、系统漏洞等多种方式进行传播, 传播能力更强。
15
病毒特征
病毒的触发性
病毒的触发条件是多种多样的。
比如CIH根据系统时间(4月26日)、 Happytime则是按照设定的逻辑条件 来触发的,还有很多病毒是运行后 即触发。
时间:cih,1.2,每年4月26日;1.3, 每年6月26日,1.4,每月26日。
一定条件:“PETER-2”在每年2月 27日会提三个问题,答错后会将硬 盘加密。
计算机病毒防治技术
第一部分 病毒发展趋势
2
病毒发展的第一阶段:
➢ 偶然性
➢ 无意识
➢
无破坏
3
病毒发展的第二阶段: ➢ 破坏性 ➢ 传染性 ➢ 大范围 ➢ 具有很强的攻击行为
4
网络病毒在全球范围内高速扩散
2001年7月19日 0210:015:00
5
病毒发展的第三阶段: ➢ 隐藏性 ➢ 寄生性 ➢ 偷窃性 ➢ 大量性
14
病毒特征
病毒的寄生性
病毒传播过程需要一个载体,病毒 会寄生在这些载体上传播。病毒主 要载体有引导区、文件和内存等, 病毒通过寄生在正常的文件上了来 隐藏自己,它的寄生过程就是它的 传播和感染的过程。 红色代码病毒只通过内存来传播病 毒。 目前,流行的蠕虫病毒主要是通过 网络介质来进行传播的。
20
症状病毒的入侵的症状(一)
经常死机:病毒打开了许多文件或占用了大量 内存;不稳定(如内存质量差,硬件超频性能 差等);运行了大容量的软件占用了大量的内 存和磁盘空间;使用了一些测试软件(有许多 BUG);硬盘空间不够等等;运行网络上的软 件时经常死机也许是由于网络速度太慢,所运 行的程序太大,或者自己的工作站硬件配置太 低。
16
病毒分类
按攻击的操作系统分类 ➢ 攻击x86系列计算机的病毒 ➢ 攻击Macintosh系列计算机的病毒 ➢ 攻击Unix操作系统得病毒 ➢ 攻击手机、PDA的病毒
17
病毒分类
按链接方式分类 ➢ 外壳型病毒(病毒本身包围宿主程序周围,对
原来的程序不作修改) ➢ 入侵型病毒(病毒本身嵌入到目标程序中,很
25
症状病毒的入侵的症状(六)
13
病毒的隐蔽性
病毒特征
病毒是不受欢迎的,因此一定要隐 藏自己不被发现,才能达到传播感 染的目的。 如隐藏在windows系 统目录下,并命名类似系统文件的 文件名;木马更注重伪装和隐藏自 身,这种程序从表面上看没有什么, 但是实际上却隐含着恶意意图。一 些木马程序会通过覆盖系统中已经 存在的文件的方式存在于系统之中, 它实际上是一个窃取密码的工具。 这种病毒通常不容易被发现,因为 它一般是以一个正常的应用的身份 在系统中运行的,如: Trojan.VB.ubj VB木马病毒
21
症状病毒的入侵的症状(二)
系统无法启动:病毒修改了硬盘的引导信息, 或删除了某些启动文件。如引导型病毒引导文 件损坏;硬盘损坏或参数设置不正确;系统文 件人为的误删除等。
22
症状病毒的入侵的症状(三)
文件打不开:病毒修改了文件格式;病毒修改 了文件链接位置。文件损坏;硬盘损坏;文件 快捷方式对应的链接位置发生了变化;原来编 辑文件的软件删除了;如果是在局域网中多表 现为服务器中文件存放位置发生了变化,而工 作站没有及时涮新服器的内容(长时间打开了 资源管理器).
7
病毒发展的未来: 病毒越来越容易制作,为了利益而制造病毒
8
第二部分 病毒与反病毒基础知识
9
什么是病毒?
由于计算机病毒隐藏在合法用户文件之中,因此, 病毒程序的执行也使对系统功能的“合法”调用。
三个比较公认的基本观点: 计算机病毒是人为制造的具有破坏性的程序; 计算机病毒的运行时非授权入侵; 计算机病毒可以隐藏在可执行文件或数据文
件中;
10
计算机病毒的特性
传染性 寄生性
破坏性 隐蔽性
触发性Baidu Nhomakorabea
11
病毒特征
病毒的破坏性
病毒按破坏性费为良性病毒和恶性 病毒。良性病毒:在屏幕上出现卡 通或演奏音乐等、开玩笑、游戏; 恶性病毒:如CIH是典型的引导区 病毒,可修改引导区信息,系统无 法找到分区,无法正常访问硬盘数 据,甚至无法找到分区等。欢乐时 光发作时会删除文件,并启动大量 病毒进程,导致系统资源缺乏而不 能工作。再如求职信等,会用垃圾 代码覆盖文件,造成不可修复的破 坏。
黑客攻击技术与网络病毒日趋融合
网络攻击方式对使用者要求较低
缓冲区溢出、格式串攻击已公开流 传多年,越来越多的人掌握这些技 巧
少部分人掌握自行挖掘漏洞的能力, 并且这个数量在增加
漏洞挖掘流程专业化,工具自动化
制造病毒越来越简单
“看不见的风险”厂商为了声誉不 完全公开产品的安全缺陷:漏洞私 有,不为人知
23
症状病毒的入侵的症状(四)
经常报告内存不够:病毒非法占用了大量内存; 打开了大量的软件;运行了需内存资源的软件; 系统配置不正确;内存本就不够(目前基本内 存要求为128M)等。
24
症状病毒的入侵的症状(五)
软盘等设备未访问时出读写信号:病毒感染; 软盘取走了还在打开曾经在软盘中打开过的文 件。
难发现、清除,也很难编写) ➢ 源码型病毒(利用网络脚本编写,放在电子邮
件的附件或HTML页中,通过漏洞 感染并执行。)
18
病毒分类
按病毒特征分类 ➢ 蠕虫类病毒 ➢ 黑客类病毒 ➢ 木马类病毒 ➢ 宏病毒 ➢ 脚本病毒
19
判断中毒
各种病毒时至今日也可算是百花齐放了,搞得人心惶惶, 一旦发现自己的电脑有点异常就认定是病毒在作怪,到处 找杀毒软件,一个不行,再来一个,总之似乎不找到“元 凶”誓不罢休一样,结果病毒软件是用了一个又一个,或 许为此人民币是用了一张又一张,还是未见“元凶”的踪 影,其实这未必就是病毒在作怪。
12
病毒的传染性
病毒特征
传染性是衡量一个程序是否是病毒的 重要条件,病毒制造者会花大量时间 考虑如何使病毒能够快速、广泛地传 播,从而达到恶意报复或显示编程能 力的目的。蠕虫病毒可以说是传播速 度最快、传播范围最广的病毒了,美 丽莎、SIRCAM、Nimada、冲击波等 病毒,灰鸽子等就是通过E-mail方式 来传播的,传播速度和范围惊人,24 小时可传播全世界。求职信和灰鸽子 不仅通过邮件,还可通过局域网文件 共享、系统漏洞等多种方式进行传播, 传播能力更强。
15
病毒特征
病毒的触发性
病毒的触发条件是多种多样的。
比如CIH根据系统时间(4月26日)、 Happytime则是按照设定的逻辑条件 来触发的,还有很多病毒是运行后 即触发。
时间:cih,1.2,每年4月26日;1.3, 每年6月26日,1.4,每月26日。
一定条件:“PETER-2”在每年2月 27日会提三个问题,答错后会将硬 盘加密。
计算机病毒防治技术
第一部分 病毒发展趋势
2
病毒发展的第一阶段:
➢ 偶然性
➢ 无意识
➢
无破坏
3
病毒发展的第二阶段: ➢ 破坏性 ➢ 传染性 ➢ 大范围 ➢ 具有很强的攻击行为
4
网络病毒在全球范围内高速扩散
2001年7月19日 0210:015:00
5
病毒发展的第三阶段: ➢ 隐藏性 ➢ 寄生性 ➢ 偷窃性 ➢ 大量性
14
病毒特征
病毒的寄生性
病毒传播过程需要一个载体,病毒 会寄生在这些载体上传播。病毒主 要载体有引导区、文件和内存等, 病毒通过寄生在正常的文件上了来 隐藏自己,它的寄生过程就是它的 传播和感染的过程。 红色代码病毒只通过内存来传播病 毒。 目前,流行的蠕虫病毒主要是通过 网络介质来进行传播的。
20
症状病毒的入侵的症状(一)
经常死机:病毒打开了许多文件或占用了大量 内存;不稳定(如内存质量差,硬件超频性能 差等);运行了大容量的软件占用了大量的内 存和磁盘空间;使用了一些测试软件(有许多 BUG);硬盘空间不够等等;运行网络上的软 件时经常死机也许是由于网络速度太慢,所运 行的程序太大,或者自己的工作站硬件配置太 低。
16
病毒分类
按攻击的操作系统分类 ➢ 攻击x86系列计算机的病毒 ➢ 攻击Macintosh系列计算机的病毒 ➢ 攻击Unix操作系统得病毒 ➢ 攻击手机、PDA的病毒
17
病毒分类
按链接方式分类 ➢ 外壳型病毒(病毒本身包围宿主程序周围,对
原来的程序不作修改) ➢ 入侵型病毒(病毒本身嵌入到目标程序中,很
25
症状病毒的入侵的症状(六)
13
病毒的隐蔽性
病毒特征
病毒是不受欢迎的,因此一定要隐 藏自己不被发现,才能达到传播感 染的目的。 如隐藏在windows系 统目录下,并命名类似系统文件的 文件名;木马更注重伪装和隐藏自 身,这种程序从表面上看没有什么, 但是实际上却隐含着恶意意图。一 些木马程序会通过覆盖系统中已经 存在的文件的方式存在于系统之中, 它实际上是一个窃取密码的工具。 这种病毒通常不容易被发现,因为 它一般是以一个正常的应用的身份 在系统中运行的,如: Trojan.VB.ubj VB木马病毒
21
症状病毒的入侵的症状(二)
系统无法启动:病毒修改了硬盘的引导信息, 或删除了某些启动文件。如引导型病毒引导文 件损坏;硬盘损坏或参数设置不正确;系统文 件人为的误删除等。
22
症状病毒的入侵的症状(三)
文件打不开:病毒修改了文件格式;病毒修改 了文件链接位置。文件损坏;硬盘损坏;文件 快捷方式对应的链接位置发生了变化;原来编 辑文件的软件删除了;如果是在局域网中多表 现为服务器中文件存放位置发生了变化,而工 作站没有及时涮新服器的内容(长时间打开了 资源管理器).
7
病毒发展的未来: 病毒越来越容易制作,为了利益而制造病毒
8
第二部分 病毒与反病毒基础知识
9
什么是病毒?
由于计算机病毒隐藏在合法用户文件之中,因此, 病毒程序的执行也使对系统功能的“合法”调用。
三个比较公认的基本观点: 计算机病毒是人为制造的具有破坏性的程序; 计算机病毒的运行时非授权入侵; 计算机病毒可以隐藏在可执行文件或数据文
件中;
10
计算机病毒的特性
传染性 寄生性
破坏性 隐蔽性
触发性Baidu Nhomakorabea
11
病毒特征
病毒的破坏性
病毒按破坏性费为良性病毒和恶性 病毒。良性病毒:在屏幕上出现卡 通或演奏音乐等、开玩笑、游戏; 恶性病毒:如CIH是典型的引导区 病毒,可修改引导区信息,系统无 法找到分区,无法正常访问硬盘数 据,甚至无法找到分区等。欢乐时 光发作时会删除文件,并启动大量 病毒进程,导致系统资源缺乏而不 能工作。再如求职信等,会用垃圾 代码覆盖文件,造成不可修复的破 坏。