计算机病毒防护

下，需要在网络的数据出入口处和网络
中重要设备前配置防病毒网关，以防止
病毒进入内部网络。
29
1.5 防病毒网关
防病毒网关按照处理流量分为：
1. 百兆
2. 千兆
防病毒网关按照功能上分有两种: 1. 保护网络入口的防病毒网关 2. 保护邮件器的防病毒网关
30
1.6
• •
反病毒技术
第一代反病毒技术——简单特征码扫描
6
1.1
病毒定义
计算机病毒（Computer Virus）：是指编制或者 在计算机程序中插入的破坏计算机功能或者毁坏 数据，影响计算机使用，并能自我复制的一组计 算机指令或者程序代码。——摘自1994年《中国 人民共和国计算机信息系统安全保护条例》
7
一种能把自己（或经演变）注入其它程序的计 算机程序 传播机制同生物病毒类似。生物病毒是把自己 注入细胞中 蠕虫程序与木马程序不是真正意义的病毒
建立防病毒管理机构
防病毒管理机制的制定和完善
制定防病毒管理制度
用技术手段保障管理的有效性 加强培训以保障管理机制执行
1.7
建立有效的病毒应急响应机制
建立应急响应中心
病毒事件分级
制定应急响应处理预案
应急响应流程
应急响应的事后处理
1.7 通常的病毒应急反应预案流程图
启动应急响应预案 人员到位 工具到位
病毒命名
一般格式：<病毒前缀>.<病毒名>.<病毒后缀>
病毒前缀——指一个病毒的种类，用来区别病毒的种族。不同的种 类的病毒，其前缀也是不同的。
• Trojan：木马病毒前缀 Macro：宏病毒前缀 Script：脚本病毒前缀 • Worm：蠕虫病毒前缀 Backdoor：后门病毒前缀 Joke：玩笑病毒前缀
22
1.4
1.密码破解技术
病毒技术和特点
应用此技术的病毒可对win2000以上的 操作系统的密码进行破解。此类病毒一般 会带有约几百单词数量（有时会更大的） 的字典库 ，可对“弱口令”进行破解。
例：爱情后门病毒
23
1.4
病毒技术和特点
2.端口监听技术（原多见于木马程序） Moodown.y病毒利用自身的SMTP发信引擎来发 送病毒邮件，监听82端口，等待攻击者连接， 可自动下载并执行新的病毒。 振荡波病毒的最新变种监听1023端口（支持 USER、PASS、PORT、RETR和QUIT命令），并实 现一个tftp服务器，并进行攻击。
17
按病毒破坏能力分类
无害型：除了传染时减少磁盘的可用空间外， 对系统没有其它影响。 无危险型：这类病毒仅仅是减少内存、显示图 像、发出声音及同类音响。 危险型：这类病毒在计算机系统操作中造成严 重的错误。 非常危险型： 这类病毒删除程序、破坏数据、 清除系统内存区和操作系统中重要的信息。
18
1.3
8
生物病毒VS计算机病毒
入侵 危害 变异 特异 预防和清除
9
病毒的起源
1977 年，Thomas.J.Ryan的科幻小说《The Adolescence of P-1》描写了一种可以在计算机中互相传染的病毒，病毒最后控 制了 7,000 台计算机，造成了一场灾难。 1983 年，弗雷德· 科恩 (Fred Cohen)研制出一种在运行过程中 可以复制自身的破坏性程序，伦· 艾德勒曼 (Len Adleman) 将它 命名为计算机病毒(computer viruses)，并在每周一次的计算机 安全讨论会上正式提出，8 小时后专家们在 VAX11/750 计算机 系统上运行，第一个病毒实验成功，一周后又获准进行 5 个实 验的演示，从而在实验上验证了计算机病毒的存在。
1.7 有防护的办公网络中病毒传播
大型内部网络， 一般均有防火墙等边界防护措施，但是还经常会出现病毒，病 毒是如何传入的呢？
病毒传入途径： 1. 终端漏洞导致病毒传播； 2. 邮件接收导致病毒传播； 3. 外部带有病毒的介质直接接入网络导致病毒传播； 4. 内部用户绕过边界防护措施，直接接入因特网导致 病毒被引入； 5. 网页中的恶意代码传入；
计算机病毒及防范
新疆电力科学研究院
1982，苹果电脑，elk cloner病毒
Rich Skrenta 世界上第一个病毒制造者
课程大纲
一．防病毒 二．蠕虫防范 三．木马防范 四．恶意网页防范 五．恶意代码的分析
2
课程目标
了解病毒、蠕虫、木马、恶意网页的原理 掌握病毒、蠕虫、木马、恶意网页的防范 了解恶意代码的分析方法
1.7 物理隔离网络中病毒的传播
国家机关和军队、银行等为了保护网络，一般均采 用物理隔离措施，这类网络理论上应该是安全的，不 过也有病毒的出现，这类网络，病毒主要是靠几种途 径传入的： 1. 外部带有病毒的介质接入网络导致病毒传播 2. 内部用户私自在将所使用的终端接入因特网导致 病毒被引入
1.7 建立有效的病毒防范管理机制
21
常见病毒及前缀（cont.）
8．破坏性程序病毒 破坏性程序病毒的前缀是：Harm。用好看的图标来诱惑用户 点击，当点击这类病毒时，便会直接对计算机产生破坏。 如格式化C盘（Harm.formatC.f） 9．玩笑病毒 玩笑病毒的前缀是：Joke。也称恶作剧病毒。用好看的图标 来诱惑用户点击，但不对电脑进行破坏。如：女鬼 （Joke.Girlghost）病毒。 10．捆绑机病毒 捆绑机病毒的前缀是：Binder。用特定的捆绑程序将病毒与 应用程序如QQ、IE捆绑起来，当运行这些捆绑病毒时，会 表面上运行这些应用程序，然后隐藏运行捆绑在一起的病 毒。如：捆绑QQ（Binder.QQPass.QQBin）.
按病毒存在的媒体 按病毒攻击操作系统分类 按病毒传染的方法分类 按病毒破坏能力分类
13
1.2.1
按病毒百度文库在媒体分类
一、引导型计算机病毒主要是感染磁盘的引导扇区，也就是常说 的磁盘的BOOT区。我们在使用被感染的磁盘（无论是软盘还是 硬盘）启动计算机时它们就会首先取得系统控制权，驻留内存 之后再引导系统，并伺机传染其它软盘或硬盘的引导区。 二、文件型计算机病毒一般只传染磁盘上的可执行文件（COM， EXE），在用户调用染毒的可执行文件时，计算机病毒首先被 运行，然后计算机病毒驻留内存伺机传染其他文件，其特点是 附着于正常程序文件，成为程序文件的一个外壳或部件。 三、宏病毒（Macro Virus）传播依赖于包括Word、Excel和 PowerPoint等应用程序在内的Office套装软件. 四、电子邮件计算机病毒就是以电子邮件作为传播途径的计算机 病毒
病毒名——指一个病毒的家族特征，是用来区别和标识病毒家族。 比如 CIH 、 Sasser 病毒 病毒后缀——指一个病毒的变种特征，是用来区别具体某个家族病 毒的某个变种的。一般都采用英文中的26个字母来表示，如 Worm.Sasser.b就是指 振荡波蠕虫病毒的变种B，因此一般称为 “ 振荡波B变种”或者“振荡波变种B”。如果该病毒变种非常多，可 以采用数字与字母混合表示变种标识
24
1.4
病毒技术和特点
3.多线程扫描技术 现在常见病毒多采用此技术，此技术可加 速网络病毒的传播速度。 如I-Worm.Sasser.e（振荡波.e）开辟128个 线程扫描网络，传播病毒。
25
1.4
4. 漏洞技术
病毒技术和特点
利用操作系统和软件系统（主要是微软的软件系统）漏
洞进行攻击;即发送不正常的数据包，使获得的系统出现
错误，从而使病毒夺取对方电脑的控制权。
例：冲击波利用rpc漏洞，震荡波利用LSASS漏洞
26
1.5
目前存在病毒的传播途径
27
1.5 防病毒软件的结构
防病毒软件的3个组成部分
扫描应用 扫描引擎 病毒定义库
防 病 毒 软 件
28
1.5 防病毒网关
由于目前的防火墙并不能防止目前 所有的病毒进入内网，所以在某些情况
20
常见病毒及前缀（cont.）
4、脚本病毒 脚本病毒的前缀是：Script。用脚本语言编写，通过网页进行的 传播的病毒，如红色代码（Script.Redlof） 5、宏病毒 宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、 Excel97（也许还有别的）其中之一。如著名的美丽莎 (Macro.Melissa)。 6、后门病毒 后门病毒的前缀是：Backdoor。通过网络传播，给系统开后门， 给用户电脑带来安全隐患。如IRC后门Backdoor.IRCBot 。 7、病毒种植程序病毒 运行时会从体内释放出一个或几个新的病毒到系统目录下，由释 放出来的新病毒产生破坏。如：冰河播种者 （Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。
14
15
按病毒攻击操作系统分类
DOS Windows Unix（Linux） OS/2
16
按病毒传染的方法分类
驻留型病毒
• 驻留型病毒感染计算机后，把自身的内存驻留部分 放在内存（RAM）中，这一部分程序挂接系统调用 并合并到操作系统中去，处于激活状态，一直到关 机或重新启动
非驻留型病毒
• 非驻留型病毒在得到机会激活时并不感染计算机内 存，一些病毒在内存中留有小部分，但是并不通过 这一部分进行传染
10
电脑病毒的工作原理
病毒三部曲: 1. 住进阶段: 执行被感染的程序,病毒就加 载入计算机内存 2. 感染阶段: 病毒把自己注入其他程序,包 括远程文件 3. 执行阶段: 当某些条件成熟时, 一些病毒 会有一些特别的行为. 例如重新启动,删 除文件.
11
病毒发展演变趋势图
12
1.2 病毒分类
第四代反病毒技术——启发式、脱壳、解压缩、 虚拟机等
32
1.6
反病毒技术发展趋势
人工智能技术的应用
提高清除病毒准确性 以网络为核心的防病毒技术
多种技术的融合
33
1.7
病毒的预防措施
1、新购置的计算机硬软件系统的测试 2、计算机系统的启动 3、单台计算机系统的安全使用 4、重要数据文件要有备份 5、不要随便直接运行或直接打开电子函件中夹带的附件文件 6、计算机网络的安全使用 （1）安装网络服务器时应保证没有计算机病毒存在。 （2）在安装网络服务器时，应将文件系统划分成多个文件卷系统。 （3）一定要用硬盘启动网络服务器。 （4）为各个卷分配不同的用户权限。 （5）在网络服务器上必须安装真正有效的防杀计算机病毒软件。 （6）系统管理员的职责.
3
前言
恶意代码定义： 恶意代码＝有害程序
（包括病毒、蠕虫、木马、垃圾邮件、间谍程序、 拨号程序、玩笑等在内的所有可能危害计算机安全的程序）
主要分为病毒、蠕虫、木马、恶意网页四大类。
4
一、防病毒
5
1
1 2 3 4 5 6
病毒防范
病毒定义 病毒类型 病毒的分类 病毒技术和特点 防病毒产品 病毒防范策略
特征码就是一串表明病毒自身特征的十六进制的字符串。比如大麻病毒 特征码：第1034字节处是下面的内容：0xec , 0x99, 0x80,0x99 不能检测加密和变形病毒
第二代反病毒技术——静态广谱特征扫描
• 可以检测变形病毒，但是误报率高，杀毒风险大
31
第三代反病毒技术——静态扫描和动态仿真跟 踪相结合
应急处理 分离 关键 的主 机和 网段 数据 备份 和配 置备 份 分 离 病 毒 源 清 除 病 毒 源 数据 恢复
安全问题解决 文档 提交 漏洞 加固 经验 总结 相关 处理
39
结束
二、蠕虫防范
40
1988年11月2日下午5点，互联网的 管理人员首次发现网络有不明入侵 者
11月3日清晨5点，当加州伯克利分校 的专家找出阻止病毒蔓延的办法时， 短短12小时内，已有6200台采用Unix 操作系统的SUN工作站和VAX小型机 瘫痪或半瘫痪，不计其数的数据和资 料毁于这一夜之间。造成一场损失近 亿美元的空前大劫难！ 这个程序只有99行，利用了Unix系统 中的缺点，用Finger命令查联机用户 名单，然后破译用户口令，用Mail系 统复制、传播 本身的源程序， 再编译生成代码
19
常见病毒及前缀
1、系统病毒 系统病毒的前缀为：Win32、PE、Win95、W32、W95等。可以感 染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文 件进行传播。如CIH病毒。 2、蠕虫病毒 蠕虫病毒的前缀是：Worm。通过网络或者系统漏洞进行传播， 很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特 性。比如冲击波，小邮差。（通常单列） 3、木马/黑客病毒 木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。 通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界 泄露用户的信息。 （通常单列）