信息安全技术 周苏 第7-1讲 病毒防范技术与杀病毒软件新.pptVIP

计算机网络技术 信息安全技术 第 7 讲 病毒防范技术 7.1 病毒防范技术与杀病毒软件 7.2 解析计算机蠕虫病毒 第 7 -1讲 病毒防范技术与杀病毒软件 计算机病毒实际上是一种在计算机系统运行过程中能够实现传染和侵害计算机系统功能的程序。在系统穿透或违反授权攻击成功后，攻击者通常要在系统中植入一种能力，为攻击系统、网络提供条件。例如向系统中侵入病毒、蛀虫、特洛伊木马、陷门、逻辑炸弹；或通过窃听、冒充等方式来破坏系统正常工作。因特网是目前计算机病毒的主要传播源。 针对病毒的严重性，我们应提高防范意识，做到所有软件都经过严格审查，经过相应的控制程序后才能使用；积极采用防病毒软件，定时对系统中的所有工具软件、应用软件进行检测，以防止各种病毒的入侵。 1. 计算机病毒的概念 “病毒”一词源于生物学，人们通过分析研究发现，计算机病毒在很多方面与生物病毒有相似之处，以此借用生物病毒的概念。在《中华人民共和国计算机信息系统安全保护条例》中的相关定义是：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码。” (1) 病毒的产生和发展 随着计算机应用的普及，早期就有一些科普作家意识到可能会有人利用计算机进行破坏，提出了“计算机病毒”这个概念。不久，计算机病毒便在理论、程序上都得到了证实。 1949年，计算机的创始人冯·诺依曼发表《复杂自动机器的理论和结构》的论文，提出了计算机程序可以在内存中进行自我复制和变异的理论。此后，许多计算机人员在自己的研究工作中应用和发展了程序自我复制的理论。 1959年，AT＆T贝尔实验室的3位成员设计出具有自我复制能力、并能探测到别的程序在运行时能将其销毁的程序。 1983年，Fred Cohen博士研制出一种在运行过程中可以复制自身的破坏性程序。并在全美计算机安全会议上提出和在VAX II/150机上演示，从而证实计算机病毒的存在，这也是公认的第一个计算机病毒程序的出现。 随着计算机技术的发展，出现了一些具有恶意的程序。最初是一些计算机爱好者恶作剧性的游戏，后来有一些软件公司为防止盗版在自己的软件中加入了病毒程序。 1988年，罗伯特·莫里斯 (Rober Moms) 制造的蠕虫病毒是首个通过网络传播而震撼世界的“计算机病毒侵入网络的案件”。后来，又出现了许多恶性计算机病毒。计算机病毒会抢占系统资源、删除和破坏文件，甚至对硬件造成毁坏，而网络的普及使得计算机病毒传播更加广泛和迅速。 (2) 恶意程序 所谓恶意程序是指一类特殊的程序，它们通常在用户不知晓也末授权的情况下潜入进来，具有用户不知道 (一般也不许可) 的特性，激活后将影响系统或应用的正常功能，甚至危害或破坏系统。恶意程序的表现形式多种多样，有的是改动合法程序，让它含有并执行某种破坏功能；有的是利用合法程序的功能和权限，非法获取或篡改系统资源和敏感数据，进行系统入侵。 根据恶意程序威胁的存在形式不同，将其分为需要宿主程序和不需要宿主程序可独立存在的威胁两大类，前者基本上是不能独立运行的程序片段，而后者是可以被操作系统调度和运行的自包含程序。 也可以根据是否进行复制来区分这些恶意程序。 前者是当宿主程序被调用时被激活起来完成一个特定功能的程序片段； 后者是由程序片段 (病毒) 或由独立程序 (蠕虫、细菌) 组成，在执行时可以在同一个系统或某个其他系统中产生自身的一个或多个以后将被激活的副本。 事实上，随着恶意程序彼此间的交叉和互相渗透 (变异) ，这些区分正变得模糊起来。恶意程序的出现、发展和变化给计算机系统、网络系统和各类信息系统带来了巨大的危害。 1) 陷门。 是进入程序的秘密入口。知道陷门的人可以不经过通常的安全访问过程而获得访问权力。陷门技术本来是程序员为了进行调试和测试程序时避免繁琐的安装和鉴别过程，或者想要保证存在另一种激活或控制的程序而采用的方法。如通过一个特定的用户ID、秘密的口令字、隐蔽的事件序列或过程等，这些方法都避开了建立在应用程序内部的鉴别过程。 当陷门被无所顾忌地用来获得非授权访问时，就变成了威胁。如一些典型的可潜伏在用户计算机中的陷门程序，可将用户上网后的计算机打开陷门，任意进出；可以记录各种口令信息，获取系统信息，限制系统功能；还可以远程对文件操作、对注册表操作等。 在有些情况下，系统管理员会使用一些常用的技术来加以防范。例如，利用工具给系统打补丁，把已知的系统漏洞给补上；对某些存在安全隐患的资源进行访问控制；对系统的使用人员进行安全教育等。这些安全措施是必要的，但绝不是足够的。只要是在运行的系统，总是可能找出它的漏洞而进入系统，问题只是进入系统的代价大小不同。另外，信息网络的迅速发展是与网络所能提供的大量服务密切相关的。由于