計算機(jī)病毒原理與防范基礎(chǔ).ppt

《計算機(jī)病毒原理與防范基礎(chǔ).ppt》由會員分享，可在線閱讀，更多相關(guān)《計算機(jī)病毒原理與防范基礎(chǔ).ppt（22頁珍藏版）》請在裝配圖網(wǎng)上搜索。

計算機(jī)病毒原理與防范,胡繼榮制作,病毒起因計算機(jī)病毒的起因多種多樣，有的是計算機(jī)工作人員或業(yè)余愛好者為了純粹尋開心而制造出來,有的則是為防止自己的產(chǎn)品被非法拷貝而制造的報復(fù)性懲罰。一般可分為這樣幾種情況：,,,1.惡作?。好绹的螤柎髮W(xué)的莫里斯，編寫蠕蟲程序肇事后，被稱為電腦奇才，一些公司出高薪爭相聘用他。,2.加密陷阱論：巴基斯坦病毒是世界上唯一給出病毒作者姓名、地址的病毒。由該國一家電腦商店的兩兄弟編寫，目的是追蹤軟件產(chǎn)品的非法用戶。,3.游戲程序起源：1960年美國人約翰康維在編寫生命游戲程序時，萌發(fā)了程序自我自制技術(shù)。其程序運(yùn)行時屏幕上有許多生命元素圖案在運(yùn)動變化，元素在過于擁擠和稀疏時都會因缺少生存條件而死亡，只有處于合適環(huán)境中的元素才能自我復(fù)制并進(jìn)行傳播。,4.政治、經(jīng)濟(jì)和軍事：一些組織和個人也會編制一些程序勝于進(jìn)攻對方電腦，給對方造成災(zāi)難或直接經(jīng)濟(jì)損失。,,病毒與計算機(jī)犯罪,莫里斯事件：1988年11月2日，康奈爾大學(xué)計算機(jī)科學(xué)系研究生羅但特.莫里斯制造的蠕蟲案件。震蕩波事件：2004年德國18歲的技校生為顯示自己的才能,用自己組裝的電腦編寫了一個名為“震蕩波”的程序。該病毒不是通常意義上的病毒，而是一種以某種程序語言編寫的程序文本。造成了全球巨大經(jīng)濟(jì)損失。美國德爾塔航空公司取消周末全部航班、歐萌委員會1200臺計算機(jī)失靈、芬蘭一家銀行關(guān)閉全部營業(yè)處?；炜徒^情炸彈：2001年由黑龍江17歲的高中學(xué)生池某制造。,什么是計算機(jī)病毒,感染標(biāo)記：即病毒簽名。常以ASCⅡ方式放在程序里。破壞模塊：實(shí)現(xiàn)病毒編寫者預(yù)定的破壞動作代碼。觸發(fā)模塊：根據(jù)預(yù)定條件是否滿足，控制病毒的感染或破壞。主控模塊：包括調(diào)用感染模塊,進(jìn)行感染；調(diào)用觸發(fā)模塊，接受其返回值；根據(jù)返回值決定是否執(zhí)行破壞。,分類方法有很多。根據(jù)攻擊系統(tǒng)分類：攻擊DOS型、攻擊WINDOWS型、攻擊UNIX型、攻擊OS/2型。根據(jù)攻擊機(jī)型分：微型計算機(jī)病毒、小型計算機(jī)病毒、工作站病毒。根據(jù)病毒鏈接方式分：源碼型、嵌入型、外殼性、操作系統(tǒng)型。按破壞情況分:良性病毒、惡性病毒按傳播媒介分:單機(jī)病毒、網(wǎng)絡(luò)病毒,計算機(jī)病毒的特點(diǎn),可執(zhí)行性傳染性潛伏性可觸發(fā)性破壞性攻擊主動性針對性非授權(quán)性隱蔽性衍生性寄生性不可預(yù)見性欺騙性持久性,計算機(jī)病毒的結(jié)構(gòu),計算機(jī)病毒的分類,,計算機(jī)病毒技術(shù)基礎(chǔ),文件系統(tǒng),馮.諾依曼體系結(jié)構(gòu),WINDOWS程序工作原理,磁盤結(jié)構(gòu),計算機(jī)病毒的制造、傳染和發(fā)作，依賴于具體的計算機(jī)硬件與軟件，必須符合這些硬件和軟件系統(tǒng)的規(guī)范要求，而這些規(guī)范要求實(shí)際就是計算機(jī)病毒的技術(shù)基礎(chǔ)。不同的計算機(jī)硬件環(huán)境、不同的軟件環(huán)境，都會制造出不同的病毒。了解和掌握計算機(jī)硬件與軟件的基礎(chǔ)知識，對我們分析了解計算機(jī)病毒技術(shù)的特點(diǎn)、工作原理是十分必要的。,馮.諾依曼機(jī)體系結(jié)構(gòu),馮.諾依曼是是20世紀(jì)最杰出的數(shù)學(xué)家之一，于1945年提出了“程序內(nèi)存式”計算機(jī)的設(shè)計思想。這一卓越的思想為電子計算機(jī)的邏輯結(jié)構(gòu)設(shè)計奠定了基礎(chǔ)，已成為計算機(jī)設(shè)計的基本原則。馮.諾依曼式計算機(jī)的硬件由五大部件構(gòu)成：,,磁盤結(jié)構(gòu),了解磁盤的結(jié)構(gòu)及其數(shù)據(jù)組織的特點(diǎn)，對于檢測和預(yù)防計算機(jī)病毒具有十分重要的意義。,硬盤盤面以轉(zhuǎn)軸中心為圓心，被均勻地劃分成若干個半徑不等的稱為磁道的同心圓，不同盤面上的相同直徑的磁道，在垂直方向構(gòu)成一個叫做柱面的圓柱。顯然柱面數(shù)等于磁道數(shù)。,磁道由首部、18個扇區(qū)和尾部構(gòu)成。扇區(qū)由標(biāo)識區(qū)(ID區(qū))、間隙、數(shù)據(jù)區(qū)和間隙組成。每個扇區(qū)為512B。,,,,,,……,,……,,首部,尾部,扇區(qū)1,扇區(qū)N,ID區(qū),間隙,間隙,間隙,ID區(qū),數(shù)據(jù)區(qū),,扇區(qū)2,,,,,索引信號,容量=碰頭數(shù)磁道數(shù)/面扇區(qū)數(shù)/磁道512B/扇區(qū),標(biāo)識扇區(qū)的開始與記錄目標(biāo)地址的信息,硬盤的數(shù)據(jù)組織,磁盤的扇區(qū)定位有兩種方法：物理扇區(qū)與邏輯扇區(qū)。硬盤的物理扇區(qū)由驅(qū)動器號、磁頭號(面號)、柱面號與扇區(qū)號四個參數(shù)組成。,每一種操作系統(tǒng)要想在硬盤上建立自己的分區(qū)，必須由一個自己特有的實(shí)用程序來進(jìn)行操作。硬盤初始化時，經(jīng)過分區(qū)后建立一個主引導(dǎo)分區(qū)和其他幾個分區(qū)。見下圖：,主引導(dǎo)扇區(qū),保留,FAT區(qū),DOS引導(dǎo)扇區(qū),目錄區(qū),數(shù)據(jù)區(qū),,系統(tǒng)隱藏分區(qū),,,DOS分區(qū)1,,DOS分區(qū)2,位于硬盤的0磁頭0柱面1扇區(qū)，是硬盤的第1物理扇區(qū)，包括硬盤主引導(dǎo)程序代碼、四個分區(qū)表信息和主引導(dǎo)記錄有效標(biāo)志等內(nèi)容。該區(qū)受損時可用FDISK/MBR的DOS命令來重建主引導(dǎo)程序和主引導(dǎo)記錄有效標(biāo)志，分區(qū)信息不會被修改。,,主引導(dǎo)扇區(qū)結(jié)構(gòu)與文件系統(tǒng),用戶可用DEBUG來查看主引導(dǎo)記錄。,文件系統(tǒng)是操作系統(tǒng)中借以組織、存儲和命名文件的結(jié)構(gòu)。磁盤或分區(qū)和它所包括的文件系統(tǒng)的不同是很重要的，大部分應(yīng)用程序都基于文件系統(tǒng)進(jìn)行操作，在不同種文件系統(tǒng)上是不能工作的。,磁盤文件系統(tǒng),DOS/WINDOWS系統(tǒng)操作系統(tǒng)中共使用了6種不同的文件系統(tǒng)：FAT12、FAT16、FAT32、NTFS、NTFS5.0、WinFS。LINUX系統(tǒng)使用的主要是Ext2、Ext3，也能識別FAT16分區(qū)。,FAT12：文件名只能是8.3格式；磁盤容量最大8M；文件磁片嚴(yán)重HAT16:大容量磁盤利用率低；分區(qū)創(chuàng)建的越大，造成的浪費(fèi)越大。FAT32：文件分配表擴(kuò)大后，速度減慢；不能向下兼容；當(dāng)分區(qū)小于512M時，該格式不起作用，單個文件不能超過4G。NTFS：有出色的安全性和穩(wěn)定性，且不易產(chǎn)生故善人碎片，對用戶權(quán)限有非常嚴(yán)格的限制。但兼容性不好NTFS5.0：可支持2T的分區(qū)，是可恢復(fù)的文件系統(tǒng)；支持對分區(qū)、文件夾和文件的壓縮以及動態(tài)分區(qū)。WinFS:建立在NTFS文件系統(tǒng)之上。請上微軟官方網(wǎng)站查看。Ext2：是LINUX/GUN系統(tǒng)中的標(biāo)準(zhǔn)文件系統(tǒng)。存取文件性能好。Ext3：是上述系統(tǒng)的下一代，目前離實(shí)用階段還的一段距離。是一個日志式文件系統(tǒng)。,在Windows9x、NT、2000下，所有的Win32可執(zhí)行文件(除VxD與DLL)都是基于Microsoft設(shè)計的一種新的文件格式：可移植的執(zhí)行體,即PE格式。該格式的一些特性源自UNIX的COFF(命令目標(biāo)文件)文件格式。Windows下感染可執(zhí)行文件的病毒，就必須對PE格式的可執(zhí)行文件進(jìn)行修改。PE文件結(jié)構(gòu)格式如下：,HomePage,GameDirections,PE文件格式,1.調(diào)用API函數(shù)進(jìn)行文件搜索2.采用遞歸與非遞歸算法進(jìn)行搜索3.內(nèi)存映射文件,1.利用程序的返回地址,在其附近搜索Kernel32模塊基地址2.對相應(yīng)操作系統(tǒng)分別給出固定的Kernel32模塊基地址,我們在編程用常量和變量時，一般直接用名字訪問,編譯后通過偏移地址訪問,而計算機(jī)病毒在感染宿主程序時,要插入到宿主程序的代碼空間,肯定要用到變量和常量.當(dāng)病毒感染host程序后,由于依附到host程序中的位置不同,病毒隨host載入內(nèi)存后,病毒的各變量常量在內(nèi)存中的位置自然也隨之變化.病毒必須采用重定位技術(shù)才能使自己正常運(yùn)行,WIN32病毒分析,,,概念,組成,分類,特征,植入方法,特洛伊木馬,一種能夠在受害者毫無察覺的情況下滲透到系統(tǒng)的代碼,硬件部分,軟件部分,具體連接部分,遠(yuǎn)程控制型,密碼發(fā)送型,鍵盤記錄型,毀壞型,FTP型,多媒體型,隱蔽性,自動運(yùn)行性,欺騙性,自動恢復(fù)性,功能特殊性,軟件復(fù)制,電子郵件,發(fā)送超鏈接,緩沖區(qū)溢出攻擊,WINDOWS程序設(shè)計是一種事件驅(qū)動方式的程序設(shè)計模式。其應(yīng)用程序最大的特點(diǎn)就是程序無固定的流程，只是針對某個事件的處理有特定的子流程，WINDOWS應(yīng)用程序就是由許多這樣的子流程構(gòu)成的。WINDOWS應(yīng)用程序本質(zhì)上是面向?qū)ο蟮?。程序提供給用戶界面的可視圖像在程序內(nèi)部一般也是一個對象，用戶對可視對象的操作通過事件驅(qū)動模式觸發(fā)相應(yīng)對象的可用方法。程序的運(yùn)行就是用戶外部操作不斷產(chǎn)生事件，這些事件又被相應(yīng)的對象處理的過程。,,,CIH病毒剖析,CIH病毒是一種文件型病毒,是第一例感染W(wǎng)INDOWS環(huán)境下的PE格式文件的病毒。目前CIH病毒有多個版本，最流行的是CIH1.2版本。,受感染的EXE文件的文件長度未改變。DOS及Win3.1格式的或執(zhí)行文件不受感染，且在WinNT中無效查找包含EXE特征“CIHv”過程中顯示一大堆符合查找特征的可執(zhí)行文件4月26日開機(jī)會黑屏、硬盤指示燈閃爍、重新開機(jī)時無法啟動,CIH病毒的表現(xiàn)形式、危害及傳播途徑,CIH病毒的運(yùn)行機(jī)制,碎洞攻擊，將病毒化整為零插入到宿主文件中，利用BIOS芯片可重寫特點(diǎn)，發(fā)作時向主板BIOS中寫入亂碼，開創(chuàng)了病毒直接進(jìn)攻硬件的行先例。,CIH病毒程序的組成,引導(dǎo)模塊：感染了該病毒的EXE文件運(yùn)行時修改文件程序的入口地址傳染模塊：病毒駐留內(nèi)存過程中調(diào)用WINDOWS內(nèi)核底層表現(xiàn)模塊,腳本病毒,腳本宿主簡稱WSH，是一種與語言無關(guān)的腳本宿主，可用于與WINDOWS腳本兼容的腳本引擎。WSH是一種WINDOWS管理工具。當(dāng)腳本到達(dá)計算機(jī)時，WSH先充當(dāng)主機(jī)的一部分，它使對象和服務(wù)可用于腳本，并提供一系列腳本執(zhí)行指南。腳本語言的前身實(shí)際上就是DOS系統(tǒng)下的批處理文件。腳本的應(yīng)用是對應(yīng)用系統(tǒng)的一個強(qiáng)大的支撐，需要一個運(yùn)行環(huán)境。現(xiàn)在比較流行的腳本語言的Unix/Linuxshell、VBScript、PHP、JavaScript、JSP等?，F(xiàn)在流行的腳本病毒大都是利JavaScript和VBScript編寫。JavaScript是一種解釋型的、基于對象的腳本語言，是一種寬松類型的語言，不必顯式地定義變量的數(shù)據(jù)類型。大多數(shù)情況下，該語言會根據(jù)需要自動進(jìn)行轉(zhuǎn)換。VBScript使用ActiverXScript與宿主應(yīng)用程序?qū)υ挕?VBS腳本病毒,該病毒是用VBScript編寫的，其腳本語言功能非常強(qiáng)大，利用WINDOWS系統(tǒng)的開放性特點(diǎn)，通過調(diào)用一些現(xiàn)成的WINDOWS對象、組件，可直接對文件系統(tǒng)、注冊表等進(jìn)行控制，功能非常強(qiáng)大。VBS腳本病毒具有如下特點(diǎn)：編寫簡單破壞力大感染力強(qiáng)傳播范圍廣病毒碼容易被獲取、變種多欺騙性強(qiáng)病毒生產(chǎn)機(jī)實(shí)現(xiàn)起來非常容易,VBS病毒機(jī)理,感染方法：一般直接通過自我復(fù)制進(jìn)行感染，病毒中的絕大部分代碼都可以直接附加在其他同類程序的中間。如新歡樂時光病毒可將自己的代碼附加在htm文件的尾部，并在頂部加入一條調(diào)用病毒代碼的語句；而愛蟲病毒則是直接生成一個文件的副本，將病毒代碼拷入其中，并以原文件名作為病毒文件名的前綴，VBS作為后綴。,傳播方式：通過E-mail附件傳播、通過局域網(wǎng)共享傳播、通過感染htm、asp、jsp、php等網(wǎng)頁文件傳播、通過IRC聊天通道傳播。,病毒加載：修改注冊表項、通過映射文件執(zhí)行方式、欺騙用戶，讓用戶自己執(zhí)行、Desktop.ini和Folder.htt互相配合。,對抗反病毒的方法：自加密、運(yùn)用Execute函數(shù)、改變對象的聲明方法、直接關(guān)閉反病毒軟件。,VBS腳本病毒的防范,VBS病毒具有一些弱點(diǎn)：運(yùn)行是時需要用到一個對象：FileSystemObject代碼通過WindowsScriptHost來解釋執(zhí)行運(yùn)行時需要其關(guān)聯(lián)程序Wscript.exe的支持通過網(wǎng)頁傳播的病毒需要ActiveX的支持通過E-mail傳播的病毒需要OE的自動發(fā)送郵件功能支持，但絕大多數(shù)病毒都是以E-mail為主要傳播方式的預(yù)防措施：禁用文件系統(tǒng)對象FileSystemObject卸載WindowsScriptHost刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的映射在Windows目錄中找到Wscript.exe，更名或刪除在瀏覽器安全選項中將“ActiveX”控件及插件設(shè)為禁用禁止OE的自動收發(fā)郵件功能不要隱藏系統(tǒng)中書籍文件類型的擴(kuò)展名安裝防病毒軟件,宏病毒,MicrosoftWord對宏的定義是：能組織到一起作為一個獨(dú)立的命令使用的一系列Word命令，它能使日常工作變得更容易。Word宏病毒是一些制作病毒的專業(yè)人員利用MicriptWord的開放性即WordBasic編程接口，專門制作的一個或多個具有病毒特點(diǎn)的宏的集合。這種病毒影響計算機(jī)使用，并能通過DOC文檔模塊進(jìn)行自我復(fù)制及傳播。該病毒具有如下特點(diǎn)：感染DOC文檔文件和DOT模板文件傳染通常是Word在打開一個帶有該病毒的文檔或模板時激活大多含有AutoOpen、AutoClose、AutonNew和AutoExit等自動宏必然含有對文檔讀寫操作的宏指令在DOC文檔、DOT模板中是BFF的加密壓縮格式存放,蠕蟲病毒,蠕蟲與病毒的區(qū)別表現(xiàn)在兩個方面：主動性不一樣：蠕蟲具有很強(qiáng)的主動性，其運(yùn)行傳播不需要計算機(jī)使用者干預(yù)；而病毒則必須借助使用者的某種操作才能激活。感染對象不同：蠕蟲感染的是有相應(yīng)漏洞或其他脆弱性的計算機(jī)系統(tǒng)；而病毒則是針對計算機(jī)中的文件系統(tǒng)。蠕蟲的傳播模型：SimpleEpidemicModel、Kermack-MckendrickModel、SIS、鄒長春的Two-Anti-Worm。蠕蟲的傳播策略：拓?fù)鋻呙?、隊列掃描、子網(wǎng)掃描、基于目標(biāo)列表的掃描、隨機(jī)掃描。蠕蟲的攻擊手段：緩沖區(qū)溢出攻擊、格式化字符串攻擊、DoS與DDoS攻擊、弱密碼攻擊、默認(rèn)設(shè)置脆弱性攻擊、社會工程方式。,