Download
1 / 37
370 likes | 512 Views
第三讲. 计算机病毒与防治. 计算机病毒概述. 计算机病毒的工作方式. 病毒防治战略. 趋势科技防毒产品简介. 计算机病毒与防治策略. 计算机病毒防治策略. 计算机病毒与防治课程小组. 计算机病毒概述. 一、计算机病毒概述 1.1 计算机病毒的定义 1.2 计算机病毒的发展过程 1.3 计算机病毒的特征 1.4 计算机病毒的组成 1.5 计算机病毒的种类. 计算机病毒概述. 1.1 计算机病毒的定义
E N D
第三讲 计算机病毒与防治
计算机病毒概述 计算机病毒的工作方式 病毒防治战略 趋势科技防毒产品简介 计算机病毒与防治策略 计算机病毒防治策略 计算机病毒与防治课程小组
计算机病毒概述 • 一、计算机病毒概述 • 1.1 计算机病毒的定义 • 1.2 计算机病毒的发展过程 • 1.3 计算机病毒的特征 • 1.4 计算机病毒的组成 • 1.5 计算机病毒的种类
计算机病毒概述 1.1计算机病毒的定义 在1994年我国颁布实施的《中华人民共和国计算机系统安全保护条例》中,对计算机病毒有如下定义:“计算机病毒是编制或在计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码”。
计算机病毒概述 1.2计算机病毒的发展过程 1.早期病毒的产生 在20世纪60年代初,美国贝尔实验室中3个年轻的程序员,道格拉斯·麦耀莱、维特·维索斯基和罗伯在工作之余编制了一个游戏“磁芯大战”(Core War),这个游戏是通过不断复制自身的方式来摆脱对方进程的控制,从而获取最后的胜利。可以说这个程序是病毒的先驱。
计算机病毒概述 2.DOS病毒阶段 3.Windows平台阶段 4.网络病毒阶段 5.病毒发展的未来趋势 (1)网络化 (2)隐蔽化 (3)多样化 (4)破坏性强 (5)简单化
计算机病毒概述 1.3计算机病毒的特征 (1)可执行性。 (2)传染性。 (3)潜伏性。 (4)隐蔽性。 (5)破坏性。 (6)不可预见性。 (7)夺取系统控制权
计算机病毒概述 1.4计算机病毒的组成 计算机病毒程序一般由感染模块、触发模块、破坏模块和主控模块组成,相应为感染机制、触发机制和破坏机制三种。但有些病毒并不具备所有的模块,例如巴基斯坦智囊病毒就没有破坏模块。 1.感染模块 2.触发模块 3.破坏模块 4.主控模块
计算机病毒概述 1.5计算机病毒的种类 计算机病毒的分类方法也有多种,一般按病毒对计算机破坏的程度和传染方式、算法及链接方式来分 。 1.按病毒的传染方式:网络病毒,文件病毒,引导型病毒。 2.按病毒的破坏程度:无害型,无危险型,危险型,非常危险型。 3.按病毒的算法分类 4.按病毒的传染方法:驻留型病毒,非驻留型病毒。
计算机病毒的工作方式 二、计算机病毒的工作方式 2.1 引导型病毒的工作方式 2.2 文件型病毒的工作方式 2.3 混合型病毒的工作方式 2.4 宏病毒的工作方式 2.5 Java病毒 2.6 网络病毒 2.7 脚本病毒 2.8 PE病毒
计算机病毒的工作方式 2.1 引导型病毒的工作方式
计算机病毒的工作方式 2.2 文件型病毒的工作方式 在目前已知的病毒中,大多数属于文件型病毒。文件型病毒一般只传染磁盘上的可执行文件(COM、EXE)。在用户调用染毒的可执行文件时,病毒首先被运行,然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其常见的传染方式是附着于正常程序文件,成为程序文件的一个外壳或部件。
计算机病毒的工作方式 (a)引导型病毒 (b)文件型病毒
计算机病毒的工作方式 2.3 混合型病毒的工作方式 混和型病毒在传染方式上兼具引导型病毒和文件型病毒的特点。这种病毒的原始状态是依附在可执行文件上,以该文件为载体进行传播。当被感染文件执行时,会感染硬盘的主引导记录。以后用硬盘启动系统时,就会实现从文件型病毒转变为引导型病毒。例如BloodBound,主要感染COM、EXE和MBR(硬盘的主引导记录)。它将自己附着在可执行文件的尾部,将破坏性的代码放入MBR中,然后清除硬盘中的文件。
计算机病毒的工作方式 2.4 宏病毒的工作方式 宏病毒是利用宏语句(VBA 语言)编写的。它们通常利用宏的自动化功能进行感染,当一个感染的宏被运行时,它会将自己安装在应用的模板中,并感染应用创建和打开的所有文档。Office中的Word、Excel和PowerPoint都有宏。
计算机病毒的工作方式 2.5 Java病毒 Java是由Sun公司创建的一种用于互联网环境中的编程语言。Java 用程序不会直接运行在操作系统中,而是运行在Java虚拟机(JVM)上。 因此用Java编写的应用程序的移植性非常强,包括现在的手机中的一些 程序也是用Java编写的。 Java Applet是一种内嵌在HTML网页中的可携式Java小程序。具有Java功 能的浏览器可以运行这个小程序。Java Applet可供Web开发人员建立含 有功能更丰富的交互式动态Web网页。它们会在使用者访问网页时被执行 。黑客、病毒作者或其他恶意人士可能会用Java恶意程序代码当作武器 攻击使用者的系统。
计算机病毒的工作方式 2.6 网络病毒 随着互联网的高速发展,计算机病毒从原来的磁盘进行传播发展到 现在的通过网络的漏洞进行传播。到如今,网络病毒已经成为计算机网 络安全的最大威胁之一。网络病毒中又以蠕虫病毒出现最早,传播最为 广泛,例如“冲击波”、“红色代码”病毒等。
计算机病毒的工作方式 2.7 脚本病毒 脚本病毒也是一种特殊的网络病毒。脚本是指从一个数据文档中执 行一个任务的一组指令,它也是嵌入到一个文件中,常见的是嵌入到网 页文件中。脚本病毒依赖于一些特殊的脚本语言(例如VBScript、 JavaScript、PerlScript、PHP、Flash等)。有些脚 本语言,例如VBScript(Visual Basic Script)以及 JavaScript病毒,必须通过Microsoft的Windows Scripting Host(WSH)才能够激活执行以及感染其他文件。
计算机病毒的工作方式 2.8 PE病毒 PE病毒,是指感染Windows PE格式文件的病毒,。PE病毒是目前影响 力极大的一类病毒。PE病毒同时也是所有病毒中数量极多、破坏性极大 、技巧性最强的一类病毒。如FunLove、“中国黑客”等病毒都属于这个 范畴。 用汇编语言编写,能在任何windows系统下运行,对编程要求很高。
病毒的预防、检测和清除 三、病毒的预防、检测和清除 3.1 计算机病毒的预防 3.2 计算机病毒的检测方法 3.3 计算机病毒的清除
病毒的预防、检测和清除 3.1 计算机病毒的预防 (1)使用无毒的系统软件和应用软件。 (2)CMOS设置。 (3)使用最新的系统安全更新。 (4)禁用Windows Script Host(WSH)和FSO对象。 (6)启动防火墙 。 (7)启用宏病毒警告 。 (8)邮件附件的处理。 (9)安装杀毒软件。
病毒的预防、检测和清除 3.2 计算机病毒的检测方法 1.特征代码法 2.校验和法 3.行为监测法 4.软件模拟法 5.启发式扫描技术
病毒的预防、检测和清除 3.3计算机病毒的清除 1.引导型病毒的清除 引导型病毒的一般清理办法是用Format命令格式化磁盘,但这种方法的缺点是在病毒被杀掉的同 时有用的数据也被清除掉了。除了格式化的方法外,还可以用其他的方法进行恢复。 引导型病毒在不同的平台上清除方法有所不同。在Windows XP平台下,可以用以下方法 进行恢复: (1)用Windows XP 安装光盘启动。 (2)在“欢迎安装”的界面中按R键进行修复,启动Windows的修复控制台。 (3)选择正确的要修复的机器的数量。 (4)键入管理员密码,如果没有密码,则直接回车。 (5)在命令行键入下面的命令: FIXMBR 回车 FIXBOOT 回车 (6)键入EXIT,重启计算机。
病毒的预防、检测和清除 2.文件型病毒的清除 (1)检查注册表 (2)检查win.ini文件 (3)检查system.ini文件 (4)重新启动计算机,然后根据文件名,在硬盘找到这个程序,将其删除。
病毒的预防、检测和清除 3.宏病毒的清除 • 在Micrsoft Office应用程序中打开“工具”→ “宏”→“Visual Basic编辑器”,早期的版本为宏管理器。进入到编辑 • 器窗口,用户可以查看Normal模板,若发现有AutoOpen、 • AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、 • FileExit等文件操作宏或一些怪名字的宏,如XXYY等,而自己又没有加载这类特殊模板,这就极可能是宏病毒在作祟,因为大多数 • Normal模板中是不包含上述宏的。确定是宏病毒后,可以在通用模 • 板中删除被认为是病毒的宏。 • 还有一种方法更为简单,通过搜索系统文件,找到Autoexec.dot和Nomal.dot文件,直接删除即可。Office应用程序启动后会重新生成一个干净的模板文件。
病毒的预防、检测和清除 4.网络病毒的清除 • (1)系统加固。Telnet服务、远程连接服务、远程注册表服务、 MSSQL(商用、收费)数据库密码、MySQL(开源、免费)数据库密码,隐藏的盘符共享等等网络安全漏洞、薄弱项,进行加固。 • (2)建立病毒预警检测系统。 • (3)在互联网接入口处安装防病毒网关(病毒杀除、关键字过滤、垃圾邮件阻止等),将病毒隔离在外部网络。
病毒防治战略 四、病毒防治战略 4.1 防毒策略 4.2 目前我州地税系统使用 的防病毒软件和安全监测软件
病毒防治战略 过去,病毒和恶意代码是通过移动存储设备传播到个人的工作站中的。感染集中在本地,防毒软件主要针对桌面保护。然而,今天的大多数病毒和恶意代码都是来自互联网或电子邮件,通常是先攻击服务器和网关,然后再扩散到公司的整个内部网络。由于这种感染方式的变化,所以,当前许多防毒产品都是基于网络的而不是基于桌面上的。 现代的网络结构通常分为三个等级或层次,可以将防毒产品部署在它们之上,如下表4-1所示。
表4-1现代网络的三个层次 病毒防治战略
1.基于点的保护战略 同多层次方案不同,一个基于点的保护战略只会将产品置入网络中已知的进入点。桌面防毒产品就是其中的一个例子,它不负责保护服务器或网关。这个战略比多层次方案更有针对性,也更加经济。但应该注意,有些病毒 (如CodeRed和Nimda )这样的混合型病毒经常会攻击网路中多个进入点。 一个基于点的战略可能无法提供应付这种攻击的有效防护。同时,基于点的防毒产品还存在着管理上的问题,因为这些产品不能够从一个集中的位置进行管理。 病毒防治战略 4.1防毒策略 2.被动式保护战略 被动型战略:只是在系统被感染以后,他们才会对抗恶意代码的问题。 这个过程很耽误时间,进而造成生产效率和数据的损失。
病毒防治战略 2.多层保护战略 一个多层次的保护战略应该能够将防毒软件安装在所有这三个网络层中,提供对计算机病毒的集中保护。 一个多层的战略可以由一个厂商的产品实施,也可以由多个厂商的产品共同实施。 (1)单个厂商产品 一个单厂商多层次的战略即在网络的三个层次(网关、服务器、桌面)中部署来自同一厂商的产品。由于单个厂商经常成套出售他们的产品,因此,这种方案可能会比多厂商方案更加经济。不仅如此,单厂商策略在产品上易于管理。 (2)多厂商产品 一个多厂商多层次的战略即在网络的三个层次上分别部署来自两个或多个厂商的产品。这个方案可能会产生兼容性的问题或难于管理。
病毒防治战略 3. 集成方案战略 一个集成方案可以将多层次的保护和基于点的方法相结合来提供抵御计算机病毒的最广泛的保护。许多防毒产品包都是根据这个战略设计而成的。 另外,一个集成的方案通过提供一个中央控制台还会提高管理水平,尤其是在使用单厂商的产品包时更是如此。
病毒防治战略 4.被动型战略和主动型战略 被动型战略:只是在系统被感染以后,他们才会对抗恶意代码的问题。这个过程很耽误时间,进而造成生产效率和数据的损失。 主动型战略:是在病毒发生之前便准备好对抗病毒的方法,具体就是定期获得最新的代码文件,并进行日常的恶意代码扫描。
病毒防治战略 5.基于订购的防毒支持服务 采取主动型方案的公司通常会订购防毒支持服务。这些服务由防毒厂商提供,包括定期更新的代码文件以及有关新病毒的最新消息,对减少病毒感染的建议,提供解决病毒问题的解决方案。
病毒防治战略 4.2 目前我州地税系统使用的防病毒软件和安全监测软件 1.防病毒软件 我州地税系统目前使用的防病毒软件是省局统一配发的瑞星杀毒软件, 2.被动式保护战略 被动型战略:只是在系统被感染以后,他们才会对抗恶意代码的问题。 这个过程很耽误时间,进而造成生产效率和数据的损失。
