新型计算机病毒的发展趋势及特点和技术ppt课件

计算机病毒原理与防范,第4章 新型计算机病毒的发展 趋势及特点和技术,2,4.1 新型计算机病毒的发展趋势,网络化 利用基于Internet的编程语言与编程技术实现，易于修改以产生新的变种，从而逃避反计算机病毒软件的搜索。如利用Java、ActiveX和VBScript等技术，使病毒潜伏在HTML页面中。 例如：“爱虫”病毒、“Kakworm”病毒 人性化 充分利用了心理学知识，针对人类的心理制造计算机病毒，其主题、文件名更具人性化和极具诱惑性。 例如：“My-babypic”病毒 多样化 新计算机病毒可以是可执行文件、脚本语言和HTML网页等多种形式，并向电子邮件、网上贺卡、卡通图片、ICQ和OICQ等发展。,4.1 新型计算机病毒的发展趋势,隐蔽化 新一代计算机病毒更善于隐蔽自己、伪装自己，其主题会在传播中改变，或具有诱惑性的主题、附件名。 如：主页计算机病毒、“维罗纳”病毒、“Matrix”病毒 平民化 由于脚本语言的广泛使用，专用计算机病毒生成工具的流行，计算机病毒的制造不再是计算机专家表现自己的高超技术。 智能化 可对外设、硬件设施物理性破坏，也可对人体实施攻击。,4.2 新型计算机病毒发展的主要特点,4.2.1 新型计算机病毒的主要特点,利用系统漏洞将成为计算机病毒有力的传播方式 局域网内快速传播 以多种方式快速传播 欺骗性增强 大量消耗系统与网络资源 更广泛的混合性特征 计算机病毒与黑客技术的融合 计算机病毒出现频度高，计算机病毒生成工具多，计算机病毒的变种多 难于控制和彻底根治，容易引起多次疫情,4.2.2 基于Windows的计算机病毒,1什么是Windows计算机病毒？ Windows计算机病毒： 指能感染Windows可执行程序并可在Windows系统下运行的计算机病毒。 Windows计算机病毒分类： 感染NE格式(Windows3.X)可执行程序的计算机病毒 感染PE格式(Windows95以上)可执行程序的计算机病毒,4.2.2 基于Windows的计算机病毒,2为什么Windows计算机病毒这么多？ 一方面，随着人们对Windows操作系统认识的深入，系统功能的强大而使系统庞大，不可避免地出现错误和漏洞；另一方面，Windows系统源码保密。 危害系统主机的非授权主机进程的表现形式： 病毒程序 蠕虫 木马 后门 漏洞,4.2.2 基于Windows的计算机病毒,危害系统主机的非授权主机进程的表现形式： 病毒程序 病毒程序一般比较小巧，表现为强传染性，会传染它所能访问的文件系统中的文件。 蠕虫 蠕虫是利用网络进行传播的程序。利用主机提供的服务缺陷攻击目标机。目标机感染后，一般会随机选择一段IP地址进行扫描，寻找下一个有缺陷的目标进行攻击。 如：“Lion”针对DNS解析的服务程序BIND； “冲击波”、“震荡波”针对Windows系统。,4.2.2 基于Windows的计算机病毒,危害系统主机的非授权主机进程的表现形式： 木马 木马是网络攻击成功后有意放置的程序，用于与外界的攻击程序接口，以非法访问被攻击主机为目的。绝大多数针对Windows系统。 后门 后门是写系统或网络服务程序的公司或个人放置在系统上，以进行非法访问为目的的代码。只存在于不开放源码的操作系统中。 漏洞 漏洞是指由于程序编写过程中的失误，导致系统被非法访问,4.2.2 基于Windows的计算机病毒,3Windows系统与计算机病毒的斗争 Windows系统只有通过不断升级、完善，才可以减少受计算机病毒骚扰的机会。,4.2.3 新型计算机病毒的传播途径,1传播途径 软盘 光盘 硬盘 BBS 网络,4.2.3 新型计算机病毒的传播途径,2计算机病毒传播呈现多样性 (1)隐藏在即时通信软件中的计算机病毒 即时通信IM软件：ICQ、QQ、MSN Messenger 例如： “求职信”病毒：第一个通过ICQ进行传播的恶性蠕虫 “爱情森林”系列病毒、“QQ尾巴”病毒：通过腾讯QQ进行传播 “MSN射手”病毒、“W32.HLLW.Henpeck”病毒：通过腾讯MSN Messenger进行传播 通过即时通信软件传播病毒的原因： 用户数量庞大，有利于病毒的迅速传播； 软件内建有联系人清单，可方便地获取传播目标。,4.2.3 新型计算机病毒的传播途径,2计算机病毒传播呈现多样性 隐藏在即时通信软件中的计算机病毒 在IRC中的计算机病毒 点对点计算机病毒,4.2.4 新型计算机病毒的危害,1计算机病毒肆虐：以“震荡波”病毒为例 2计算机病毒与IT共存 据海外有关数据显示：全球每月产生新计算机病毒300种，一年就达40005000种。全球每年造成巨大的经济损失。 典型案例：“尼姆达”、“美丽莎”、“CIH”、“Sircam”病毒 网络攻击手段：密码攻击、分组窃听和IP地址欺骗，以及拒绝服务（Ddos）、未授权访问和特洛伊木马（Trojan） 专家针对计算机病毒推荐的防范措施： 1及时关注微软公司官方网站公布的系统漏洞，下载正式补丁； 2购买专业杀毒软件厂商的软件及其后台服务，及时升级； 3定期备份计算机上的重要文件。,4.2.5 电子邮件成为计算机病毒传播的主要媒介,“BubbleBoy”病毒： 无需用户打开附件就能感染用户的计算机系统。 通过E-mail进行传播的计算机病毒的主要特点： （1）传播速度快、传播范围广； （2）破坏力大、破坏性强。 典型案例： 2000年5月4日“爱虫”计算机病毒的爆发,4.2.6 新型计算机病毒的最主要载体,目前，计算机网络成为计算机病毒传播的最主要载体。 1网络蠕虫成为最主要和破坏力量最大的计算机病毒类型 “蠕虫”病毒主要利用系统漏洞进行传播，在控制系统的同时，为系统打开后门，成为一种黑客攻击工具。 “蠕虫”病毒编写简单，往往直接利用VBS来编写。如“欢乐时光”病毒。 2恶意网页、木马和计算机病毒,4.2.6 新型计算机病毒的最主要载体,蠕虫（Worm）： 虽然蠕虫可以在计算机系统中繁殖，有的蠕虫甚至还可以在内存、磁盘、网络中移动、爬行，但它们不依附于其他程序，即不需要宿主对象。 严格地说，蠕虫与计算机病毒的一个最大区别在于：蠕虫程序本身并不具备传染性。 在其他方面，蠕虫与计算机病毒又极为类似，它是计算机病毒的“近亲”，而被视为是另一种类型的计算机病毒,4.2.6 新型计算机病毒的最主要载体,目前，计算机网络成为计算机病毒传播的最主要载体。 1网络蠕虫成为最主要和破坏力量最大的计算机病毒类型 2恶意网页、木马和计算机病毒 恶意网页的特点： 在用户不知道情况下，修改用户浏览器选项； 修改用户注册表选项，锁定注册表，修改系统启动选项，以及在用户桌面生成网页快捷访问方式。 格式化用户硬盘（很少出现）。 注意：在当前计算机病毒定义下，不能称恶意网页为计算机病毒，因为它不能自我复制；也不能称为木马，因为它没有远程控制。 木马的最主要特点：远程控制,4.2.6 新型计算机病毒的最主要载体,特洛伊木马（Trojan Horse）： 借古罗马战争中的“木马”战术而得名 原理：木马实际上是一种在远程计算机之间建立起连接，使远程计算机能通过网络控制本地计算机上的程序。 传播：木马以合法而正常的程序（如计算机游戏、压缩工具乃至防治计算机病毒软件等）面目出现，来达到欺骗并在用户计算机上运行、产生用户所料不及的破坏后果之目的。 组成：一般情况下，木马程序由服务器端程序和客户端程序组成。其中服务器端程序安装在被控制对象的计算机上，客户端程序是控制者所使用的。,4.2.6 新型计算机病毒的最主要载体,特洛伊木马（Trojan Horse）： 危害：通过远程控制对目标计算机进行危险的文件管理，包括可从受害者的计算机查看、删除、移动、上传、下载、执行任何文件；进行警告信息发送、键盘记录、记录机内保密信息、关闭窗口、鼠标控制、计算机基本设置等非法操作 木马和远程控制软件的区别：木马具有隐蔽性。例如国内的血蜘蛛、国外的PCAnyWhere等远程控制软件，其服务器端在目标计算机上运行时，目标计算机上会出现很醒目的标志；而木马类软件的服务器在运行时则应用多种手段来隐藏自己。 类型： 远程访问木马 密码发送型木马 FTP型木马 键盘记录型木马 毁坏型木马,4.3 新型计算机病毒发展的主要技术,4.3.1 ActiveX与Java,传统计算机病毒与新型计算机病毒： 1宿主程序： 传统计算机病毒：一定有一个“宿主”程序，如.EXE文件、.COM文件以及.DOC文件 宏病毒：感染Word，如：“Taiwan No.1”病毒 新型计算机病毒：完全不需要宿主程序 2寄生方式 传统计算机病毒：寄生在可执行程序代码中，伺机对系统进行破坏 新型计算机病毒：利用网页编写所用的Java或ActiveX语言编写的可执行程序，当浏览网页时就会下载并在系统中执行。,4.3.1 ActiveX与Java,Java或ActiveX语言：用来编写具有动感十足的网页 Java或ActiveX语言的执行方式： 将程序代码写在网页上，当访问网站时，用户浏览器将这些程序代码下载，然后用用户的系统资源去执行。 例如： ActiveX控件病毒“Exploder”：能关闭Windows95系统，可见其控制能力之强。 利用Java编写的包含恶意代码的程序： Application macros、Navigator plug-ins、Macintosh等应用程序 现在有些计算机病毒是在用户未知情况下所执行的一些操作而感染传播的。,4.3.2 计算机病毒的驻留内存技术,1引导型病毒的驻留内存技术 引导型病毒是在计算机启动时从磁盘的引导扇区被ROM BIOS中的引导程序读入内存的。在将控制权转交给正常引导程序去做进一步的系统启动工作之前，将自身搬移到内存的高端，即RAM的最高端，同时修改可用内存空间。 例如：“小球”、“大麻”、“米开朗琪罗”等病毒 引导型病毒总是以驻留内存的形式进行感染的。利用DOS的Chkdsk或Pctools程序可发现内存总数的减少；利用Debug不仅可发现内存的减少，而且可发现病毒在内存的具体位置。,4.3.2 计算机病毒的驻留内存技术,2文件型病毒的不驻留内存技术 感染方法是只要被运行一次，就在磁盘中寻找一个未被该病毒感染的文件进行感染。当程序运行结束，病毒连同其宿主程序一起离开内存，不留任何痕迹。 其传染和扩散速度相对于内存驻留型病毒稍差些。 如：“维也纳DOS648”、“Taiwan”、“Syslock”、“W13”等病毒,4.3.2 计算机病毒的驻留内存技术,3文件型病毒的驻留内存技术 文件型病毒可以驻留在内存高端，也可驻留在内存低端 如：“1575”、“DIR2”、“4096”、“新世纪”、“中国炸弹”、“旅行者1202”等病毒 采用DOS的中断调用27H和系统功能调用31H。 文件型病毒可驻留在它被系统调入内存时所在的位置（往往是内存低端）。可被DOS的MEM和Pctools的MI查看到。 如：“1808”病毒 很多病毒采用了直接修改MCB的方法。 可以驻留在内存的低端，也可搬移到内存高端，可以躲避监视。 如：“1575”、“4096”等病毒,4.3.2 计算机病毒的驻留内存技术,Windows环境下病毒的内存驻留（补充） 方法一：病毒作为一个应用程序 由于Windows操作系统本身就是多任务的，所以最简单的内存驻留方法是将病毒作为一个应用程序，病毒拥有自己的窗口(可能是隐藏的)、拥有自己的消息处理函数 方法二：病毒独立占用系统内存块 使用DPMI申请一块系统内存，将病毒代码放置其中 方法三：病毒作为一个设备驱动程序 将病毒作为一个VXD（Win3.x或者Win9x环境下的设备驱动程序）或者在Win NTWin2000下的设备驱动程序WDM加载到内存中运行,4.3.3 修改中断向量表技术,引导型病毒和驻留内存的文件型病毒大都要修改中断向量表，以达到将计算机病毒代码挂接入系统的目的。 对于引导型病毒，磁盘输入输出中断13H是其传染磁盘的唯一通道。通过将病毒的传染模块链入13H磁盘读写中断服务程序，就可在用户利用正常系统服务时感染软硬盘。,4.3.4 计算机病毒隐藏技术,采用“隐藏”技术的计算机病毒表现形式： 计算机病毒进入内存后，若计算机用户不用专用软件或专门手段去检查，则几乎感觉不到因计算机病毒驻留内存而引起的内存可用容量的减少。 计算机病毒感染了正常文件后，该文件的日期和时间不发生变化。因此用DIR命令查看目录时，看不到某个文件因被计算机病毒改写过造成的日期、时间有变化。 计算机病毒在内存中时，用DIR命令看不见因计算机病毒的感染而引起的文件长度的增加。,4.3.4 计算机病毒隐藏技术,采用“隐藏”技术的计算机病毒表现形式： 计算机病毒在内存中时，若查看被该计算机病毒感染的文件，则看不到计算机病毒的程序代码，只看到原正常文件的程序代码。 计算机病毒在内存中时，若查看被计算机病毒感染的引导扇区，则只会看到正常的引导扇区，而看不到实际上处于引导扇区位置的计算机病毒程序。 计算机病毒在内存中时，计算机病毒防范程序和其他工具程序检查不出中断向量被计算机病毒接管，但实际上计算机病毒代码已链接到系统的中断服务程序中,4.3.4 计算机病毒隐藏技术,1静态隐藏技术 静态隐藏技术：指计算机病毒代码依附在宿主程序上时所拥有的固有的隐蔽性 一般由父病毒在感染目标程序时，依照目标程序的特性，产生特定的子病毒，使其能隐蔽在宿主程序中而不被发现 秘密行动法 秘密行动法：通过清除感染程序所留下的痕迹，恢复宿主文件的特征，向查询者返回虚假信息，而达到隐藏病毒的目的 碎片技术：利用Windows环境PE可执行文件分段存储，而各段有一些未使用的剩余空间这一特征，将自身分割成小块，隐藏在内存空隙中，从而消除病毒改变文件长度的缺陷,4.3.4 计算机病毒隐藏技术,秘密行动法：引导型病毒的隐藏方法一 感染时，修改中断服务程序 使用时，截获INT 13调用,4.3.4 计算机病毒隐藏技术,秘密行动法：引导型病毒的隐藏方法二 针对杀毒软件对磁盘直接读写的特点，截获 INT 21H，然后恢复感染区，最后，再进行感染。,4.3.4 计算机病毒隐藏技术,秘密行动法：文件型病毒的隐藏方法 拦截（API, INT调用）访问 恢复 再感染,4.3.4 计算机病毒隐藏技术,自加密技术 计算机病毒可以对静态计算机病毒加密，同时也可以对进驻内存的动态计算机病毒进行加密 Mutation Engine多态技术 采用特殊的加密技术，每感染一个对象，放入宿主程序的代码都不相同，几乎没有任何特征代码串，从而能有效对抗采用特征串搜索法类杀毒软件的查杀 插入性病毒技术 插入性病毒在不了解宿主程序的功能和结构的前提下，能将宿主程序在适当处截断，在宿主程序的中部插入病毒程序，并做到使病毒能获得运行权，达到与宿主程序融为一体,4.3.4 计算机病毒隐藏技术,2动态隐藏技术 动态隐藏技术：指计算机病毒代码在驻留、运行和发作期间所拥有的隐蔽性 计算机病毒利用操作系统的功能和漏洞，后台执行监视和感染的功能，防止被一般的内存或进程管理程序发现 反Debug跟踪技术 Debug主要利用系统中断INT 1和INT 3进行动态跟踪。计算机病毒抑制跟踪的方法主要是修改INT 1和INT 3中断服务程序入口地址的内容来破坏跟踪 此外，常见的其他反跟踪技术有：封锁键盘输入、封锁屏幕输出等,4.3.4 计算机病毒隐藏技术,检测系统调试寄存器，防止计算机病毒被动态跟踪调试 现在的操作系统中出现了很多功能强大的调试工具。计算机病毒可采取一定的方法来进行检测： 计算机病毒通过调用API函数IsDebuggerPresent来检测是否有用户级调试器存在 检测调试寄存器 设置SHE进行反跟踪。SEH即结构化异常处理，是操作系统提供给程序设计者的强有力的处理程序错误或异常的武器 计算机病毒通过软件对调试器进行检测操作，很容易进行拦截,4.3.4 计算机病毒隐藏技术,进程注入技术 进程注入技术将病毒作为一个线程，注入系统应用程序如Explore.exe的地址空间，对于系统此应用程序是绝对安全的程序，这样病毒在驻留内存的同时就达到了隐藏的效果 超级计算机病毒技术 计算机病毒采用VxD技术，如CIH病毒 VxD虚拟设备驱动，是Microsoft公司专门为Windows系统制定的设备驱动程序接口规范。类似于DOS系统中的设备驱动程序，专门用于管理系统所加载的各种设备，不仅适用于硬件设备，也适用于按照VxD规范所编制的各种软件设备,4.3.5 对抗计算机病毒防范系统技术,计算机病毒在传染过程中发现磁盘上有某些著名的计算机病毒防范软件或在文件中查找到出版这些软件的公司时，就删除这些文件或使计算机死机。,4.3.6 技术的遗传与结合,当一项最新的技术或计算机系统出现时，计算机病毒总会找到其薄弱点进行利用，同时计算机病毒制造者还不断吸取已经发现的计算机病毒技术，试图将这些技术融合在一起，制造出更具破坏力的新计算机病毒 如“尼姆达”病毒在传播方式上同时利用了多种有名计算机病毒的传播方式： “FunLove”的共享传播方式 利用邮件计算机病毒的特点进行传播 利用系统软件漏洞进行传播,第4章 新型计算机病毒的发展 趋势及特点和技术,42,本章课后作业,教材：P30 第 1、2、4、7、8 题,