还剩8页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
——姓名时士柱学号3130103380上课时间周三
7.8节关键词计算机病毒ComputerVirus;起源Origin;发展Development;范例(Example;防范Precaution综述2随着网络技术的发展,计算机在人们的日常生活中逐渐发挥着愈来愈重要的作用但随之而来的则是计算机病毒的日趋复杂多变,而计算机病毒的破坏性和传播能力也不断增强可以说,计算机病毒的产生是一个历史问题,是计算机科学技术高度发展与计算机文明迟迟得不到完善这样一种不平衡发展的结果,它充分暴露了计算机信息系统本身的脆弱性和安全管理方面存在的问题如何防范计算机病毒的侵袭已成为国际上亟待解决的重大课题自第一个真正意义上的计算机病毒于1983年走出实验室以来,人们对它的认识也经历了“不以为然→谈毒色变→口诛笔伐,人人喊打→理性对待,泰然处之”四个阶段而如何正确认识计算机病毒、如何规避、减少计算机病毒带来的损失也显得愈发重要二.计算机病毒
(一).计算机病毒概述
1.计算机病毒的概念及定义1)计算机病毒的概念是一个能够通过修改程序,把自身复制进去,进而去传染其他程序的程序2计算机病毒的定义a.狭义定义计算机病毒是一种靠修改其它程序来插入或进行自身拷贝,从而感染其它程序的一种程序(FredCohen博士对计算机病毒的定义);b.广义定义能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序代码;c.我国定义《中华人民共和国计算机信息系统安全保护条例》第二十八条“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”计算机病毒的存在原因计算机病毒产生的来源多种多样存在的理论依据来自于冯诺依曼结构及信息共享这种体系把存储的程序当作数据处理,可以动态地进行修改,以满足变化多端的需求操作系统和应用程序都被如此看待病毒利用了系统中可执行程序可被修改的属性,以达到病毒自身的不同于系统或用户的特殊目的归根结底,计算机病毒来源于计算机系统本身所具有的动态修改和自我复制的能力计算机病毒的发展史
(1)1977年:出现在科幻小说中;
(2)1983年FredCohen在计算机安全研讨会上发布;
(3)1986年巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了“巴基斯坦”病毒,成了世界上公认的第一个传染PC兼容机的病毒,并且很快在全球流行;
(4)1987年10月美国发现世界上第一例病毒Brain;
(5)1988年小球病毒传入我国,在几个月之内迅速传染了20多个省、市,成为我国第一个病毒案例;此后,如同打开的潘多拉的盒子,各种计算机病毒层出不穷
4.计算机病毒的发展阶段
(1)萌芽阶段1)时间1986年到1989年;2)特点a.攻击目标单一;b.主要采取截取系统中断向量的方式监控系统的运行状态,并在一定的触发条件下进行传播;c.传染后特征明显;d.不具自我保护措施
(2)综合发综展阶段1)时间1989年到1992年;2)特点a.攻击目标趋于混合型;b.采用更为隐蔽的方法驻留内存;c.感染目标后没有明显的特征;d.开始采用自我保护措施;e.开始出现变种
(3)成熟发展阶段1992到1995年病毒开始具有多态性质病毒每次传染目标时,嵌入宿主程序中的病毒程序大部分可变种,正由于这个特点,传统的特征码检测病毒法开始了新的探索研究在这个阶段,病毒的发展主要集中在病毒技术的提高上,病毒开始向多维化方向发展,对反病毒厂商也提出了新的挑战
(4)网络病毒阶段1995年到2000年随着网络的普及,大量的病毒开始利用网络传播,蠕虫开始大规模的传播由于网络的便利和信息的共享,很快又出现了通过E-mail传播的病毒由于宏病毒编写简单、破坏性强、清除复杂,加上微软未对WORD文档结构公开,给清除宏病毒带来了不便这一阶段的病毒,主要是利用网络来进行传播和破坏
(5)迅速壮大的阶段1)时间2000年以后成熟繁荣阶段,计算机病毒的更新和传播手段更加多样性,网络病毒的目的性也更强出现了木马,恶意软件等特定目的的恶意程序2)特点:a.技术综合利用,病毒变种速度大大加快;b.恶意软件和病毒程序直接把矛头对向了杀毒软件;c.计算机病毒技术和反病毒技术的竞争进一步激化,反病毒技术也面临着新的洗牌
5.计算机病毒的特征1)传染性自我复制,通过多种渠道传播;2)潜伏性感染后不一定立刻发作,依附于其他文件、程序、介质,不被发现;3)可触发性触发条件日期、时间、文件类型;4)破坏性破坏数据的完整性和可用性、数据的保密性、系统和资源的可用性;5)非授权可执行性;6)寄生性寄生于其它文件、程序;7)隐蔽性程序隐蔽、传染隐蔽、不易被发现;8)针对性针对特定的计算机、特定的操作系统;9)多态性每一次感染后改变形态,检测更困难;10)持久性难于清除计算机病毒的基本结构1)引导部分把病毒程序加载到内存功能驻留内存、修改中断、修改高端内存、保存原中断向量;2)传染部分把病毒代码复制到传染目标上功能条件判断、与主程序连接、设置标志;3)表现部分运行、实施破坏功能条件判断、显示、文件读写计算机病毒的特性
8.计算机病毒的结构模式
9.计算机病毒的程序结构
10.计算机病毒的分类
(1)以病毒攻击的操作系统分类1)攻击DOS系统的病毒;2)攻击Windows系统的病毒(用户使用多,主要的攻击对象);3)攻击UNIX系统的病毒;4)攻击OS/2系统的病毒;5)攻击NetWare系统的病毒
(2)以病毒的攻击机型分类1)攻击微型计算机的病毒;2)攻击小型机的计算机病毒;3)攻击服务器的计算机病毒
(3)按照计算机病毒的链接方式分类1)源码型病毒;2)嵌入型病毒将计算机病毒的主体程序与其攻击对象以插入方式进行链接,一旦进入程序中就难以清除;3)外壳型病毒将自身包围在合法的主程序的周围,对原来的程序并不作任何修改常见、易于编写、易发现;4)操作系统型病毒
(4)按照计算机病毒的破坏能力分类1)无害型;2)无危险型;3)危险型;4)非常危险型
(5)按照传播媒介不同分类1)单机病毒;2)网络病毒
(6)按传播方式不同分类1)引导型病毒;2)文件型病毒.com.exe3)混合型病毒
(7)根据病毒特有的算法不同分类1)伴随型病毒;2)蠕虫型病毒;3)寄生型病毒;4)练习型病毒;5)诡秘型病毒;6)变型病毒(又称幽灵病毒)
(8)按照病毒的寄生部位或传染对象分类1)磁盘引导区传染的计算机病毒;2)操作系统传染的计算机病毒;3)可执行程序传染的计算机病毒以上三种病毒的分类,实际上可以归纳为两大类一类是引导区型传染的计算机病毒;另一类是可执行文件型传染的计算机病毒
(二).计算机病毒举例引导型病毒
(1)概述1)传染机理利用系统启动的缺陷;2)传染目标硬盘的主引导区和引导区,软盘的引导区;3)传染途径通过软盘启动计算机4)防治办法从C盘启动、打开主板的方病毒功能;5)典型病毒小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒
(2)感染分析引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不管是否可以引导,都有一个引导扇区感染的主要方式就是发生在计算机通过已被感染的引导盘(常见的如一个软盘)引导时发生的
(3)工作机理文件型病毒
(1)概述1)传染机理利用系统加载执行文件的缺陷;2)传染目标各种能够获得系统控制权执行的文件;3)传染途径各种存储介质、网络、电子邮件;4)防治办法使用具有实时监控功能的杀毒软件,不要轻易打开邮件附件;5)典型病毒1575病毒、CIH病毒感染分析文件型病毒与引导扇区病毒区别是它攻击磁盘上的文件
(3)工作机理
3.宏病毒
(1)概述1)定义宏病毒是指利用软件所支持的宏命令或语言书写的一段寄生在支持宏的文档上的,具有复制、传染能力的宏代码;2)跨平台式计算机病毒可以在Windows9X、WindowsNT、OS/2和Unix、Mac等操作系统上执行病毒行为;3)影响系统的性能以及对文档的各种操作,如打开、存储、关闭或清除等;4)宏病毒对病毒而言是一次革命现在通过E-mail、3W的互联能力及宏语言的进一步强化,极大地增强了它的传播能力;5)传染机理利用处理的文件可以内嵌宏的功能;6)传染目标doc、dot、xls、ppt、mdb等文件(Win);7)传染途径各种存储介质、网络、电子邮件;8)防治办法使用具有实时监控功能的杀毒软件打开系统提供的宏保护功能;9典型病毒:“七月杀手”病毒、“美丽莎”病毒.工作机理蠕虫病毒
(1)概述1)传染机理利用系统或服务的漏洞;2)传染目标操作系统或应用服务;3)传染途径网络、电子邮件;4)防治办法使用具有实时监控功能的杀毒软件、不要轻易打开邮件附件、打最新补丁,更新系统;5)典型病毒RedCode、尼姆达、冲击波等
(2)工作机理网络蠕虫的工作机制分为3个阶段信息收集、攻击渗透、现场处理1)信息收集按照一定的策略搜索网络中存活的主机,收集目标主机的信息,并远程进行漏洞的分析如果目标主机上有可以利用的漏洞则确定为一个可以攻击的主机,否则放弃攻击;2)攻击渗透通过收集的漏洞信息尝试攻击,一旦攻击成功,则获得控制该主机的权限,将蠕虫代码渗透到被攻击主机;3)现场处理当攻击成功后,开始对被攻击的主机进行一些处理工作,将攻击代码隐藏,为了能使被攻击主机运行蠕虫代码,还要通过注册表将蠕虫程序设为自启动状态;可以完成它想完成的任何动作,如恶意占用CPU资源;收集被攻击主机的敏感信息,可以危害被感染的主机,删除关键文件
(3)防御和清除1)给系统漏洞打补丁蠕虫病毒大多数都是利用系统漏洞进行传播的,因此在清除蠕虫病毒之前必须将蠕虫病毒利用的相关漏洞进行修补;2)清除正在运行的蠕虫进程每个进入内存的蠕虫一般会以进程的形式存在,只要清除了该进程,就可以使蠕虫失效;3)删除蠕虫病毒的自启动项感染蠕虫主机用户一般不可能启动蠕虫病毒,蠕虫病毒需要就自己启动需要在这些自启动项中清除蠕虫病毒的设置;4删除蠕虫文件:可以通过蠕虫在注册表的键值可以知道病毒的躲藏位置,对于那些正在运行或被调用的文件无法直接删除,可以借助于相关工具删除;5利用自动防护工具,如个人防火墙软件:通过个人防火墙软件可以设置禁止不必要的服务另外也可以设置监控自己主机有那些恶意的流量
5.木马技术:1概述指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和DoS攻击等特殊功能的后门程序它与控制主机之间建立起连接,使得控制者能够通过网络控制受害系统,最大的特征在于隐秘性,偷偷混入对方的主机里面,但是却没有被对方发现这与战争中的木马战术十分相似,因而得名木马程序
(2)工作机理1)合并程序欺骗合并程序是可以将两个或两个以上的可执行文件exe文件结合为一个文件,以后只需执行这个合并文件,两个可执行文件就会同时执行;2)插入其它文件内部利用运行flash文件和影视文件具有可以执行脚本文件的特性,一般使用“插马”工具将脚本文件插入到swf、rm等类型的flash文件和影视文件中;3)伪装成应用程序扩展组件黑客们通常将木马程序写成为任何类型的文件然后挂在一个常用的软件中;4)利用WinRar制作成自释放文件,把木马程序和其它常用程序利用WinRar捆绑在一起,将其制作成自释放文件;5在Word文档中加入木马文件,在Word文档末尾加入木马文件,只要别人点击这个所谓的Word文件就会中木马
(3)入侵环节1)首先是向目标主机植入木马,通过网络将木马程序植入到被控制的计算机;2)启动和隐藏木马,木马程序一般是一个单独文件需要一些系统设置来让计算机自动启动木马程序,为了防止被植入者发现和删除运行的木马程序,就需要将运行的木马程隐藏起来;3)植入者控制被植入木马的主机,需要通过网络通信,需要采取一定的隐藏技术,使通信过程不能够使被植入者通过防火墙等发现;4)就是植入者通过客户端远程控制达到其攻击的目的,可以收集被植入者的敏感信息,可以监视被植入者的计算机运行和动作,甚至可以用来攻击网络中的其它系统
(3)防御根据木马工作原理,木马检测一般有以下一些方法1)扫描端口大部分的木马服务器端会在系统中监听某个端口,因此,通过查看系统上开启了那些端口能有效地发现远程控制木马的踪迹;2)检查系统进程很多木马在运行期间都会在系统中生成进程因此,检查进程是一种非常有效的发现木马踪迹方法;3)检查ini文件、注册表和服务等自启动项;4监视网络通讯,木马的通信监控可以通过防火墙来监控三).计算机病毒防御
1.病毒的理论防范方法1)基本隔离法计算机系统如果存在着共享信息,就有可能传染病毒信息系统的共享性和传递性以及解释的通用性,是计算机最突出的优点;2)分割法分割法主要是把用户分割成为不能互相传递信息的封闭的子集;3)流模型法流模型法是对共享信息流流过的距离设立一个阈值,使一定的信息只能在一定的区域中流动,以此建立一个防卫机制若使用超过某一距离阈值的信息,就可能存在某种危险4)限制解释法限制解释法也就是限制兼容,即采用固定的解释模式,就可能不被病毒传染
2.计算机病毒的检测
(1)特征代码法优点检测准确;可识别病毒的名称;误报警率低;依据检测结果可杀毒缺点病毒种类增多检测时间变长;不能检查多态性病毒;校验和法1)计算正常文件校验和并写入文件;2)定期或每次使用文件前计算新校验和;3)与正常态校验和比较4)检出病毒;行为监测法利用病毒的特有行为特征性来监测病毒的方法;软件模拟法模拟CPU执行,在DOS虚拟机下伪执行计算机病毒程序将病毒解密,漏出本来面目特征代码法扫描常用的防杀毒软件
(1)著名防杀毒软件国际著名防杀毒软件卡巴斯基Kaspersky、McAfee公司产品、诺顿Norton;国内防杀毒软件江民、金山毒霸、瑞星、趋势常用防杀毒软件对照表国内外权威病毒认证机构网址对照表感悟与总结身为一名工科生,我对电脑技术的了解也并不是太多(或许这就是我选择工学而不是工信的原因),电脑出了一些小故障往往就会不知所措,更不要说如果电脑感染病毒我会怎么办了通过这次关于病毒及计算机安全的论文写作及材料收集,我对计算机安全尤其是病毒有了更深的了解我了解了计算机病毒的起源、发展史、特性、程序结构、各类计算机病毒的分类、基本工作机理、防御措施及几种比较有名的杀毒软件可以说,这些知识进一步激发了我对计算机病毒、计算机知识及其技术的兴趣在了解计算机病毒的过程中,我一方面会对破坏计算机世界正常秩序的黑客行为表示愤慨,一方面又不得不钦佩黑客们的高超技术(这种钦佩仅仅是对其技术的钦佩)而这种钦佩又进一步激发了我对寻求计算机技术的渴望记得当初上大学之前的最后一节课,班主任给我们说,在大学必须要熟练掌握三种技术计算机、开车、打篮球这三种看似风马牛不相及的技能确有其内在之联系如果说开车、打篮球是与人交往的必备技能,那么计算机技术则是在二十一世纪能够生存下去的必不可少的知识在本次的写作过程中,我一方面自己使用各种浏览器、学校图书馆的网上数据库、知网等,另一方面又去学习排版之类的知识这些可以说是在获得对计算机病毒了解之外的“副产品”但我想这些“副产品”也是极其重要的计算机病毒总是伴随着计算机的使用而出现的而今,随着网络的广泛应用,计算机病毒又和网络成了亲密兄弟,当你在上网时,就要时时提防计算机病毒的出现,因为它的出现有可能就会带给你巨大的损害当然,我们也不能因噎废食,只要认清计算机病毒的本质,合理使用杀毒软件,建立起计算机防范体系,我相信,计算机永远都是我们的好朋友,它将带给人类社会前所未有的变革参考文献《计算机病毒揭秘》美哈利等著,朱代祥,贾建勋,史西斌译人民邮电出版社;《信息安全概论》李剑等.北京机械工业出版社.2009《网络时代计算机病毒的防范》.高冬梅.考试周刊.2009年第25期《我国计算机病毒的特点和发展趋势》.张健.国家计算机病毒应急处理中心《计算机病毒的特点》.抚宁县第六中学.教学之窗《防毒墙从ICSA年报看杀病毒行业的发展趋势》.天极Chinabyte网.《计算机病毒的发展趋势》.西沱古镇论坛.《计算机病毒的危害及症状》.黑客攻防指南网站《计算机病毒的定义及分类》.豆豆网《全球十大计算机病毒排名CIH病毒居首》.酷爱设计网表现部分引导部分传播部分破坏模块的作用对触发条件进行判断,满足时就实行破坏表现功能。