恶意软件(病毒)的与防范virus分析报告.ppt

恶意软件（病毒）的分析与防范 Defense analysis of malware 计算机学院 严飞 yanfeiclass@126.com 教学安排 恶意代码概述和基础知识 传统的计算机病毒 网络蠕虫 网页/移动恶意代码 后门和木马 Rootkit 交流 传统的计算机病毒 生物病毒 计算机病毒 计算机病毒的分类 计算机病毒的防治 生物病毒 病毒是目前发现的最小微生物，其突出的特点是： （1）个体极小。 （2）寄生性。病毒没有独立的代谢活动，在活体外不具有任何生命特征。 （3）没有细胞结构，化学组成与繁殖方式较简单。病毒没有细胞结构，大多数病毒是由蛋白质与核酸组成的大分子，而且只含单一类型核酸DNA或RNA。 生物病毒 埃博拉病毒:Ebola-1976 无有效的治疗和疫苗 艾滋病病毒:AIDS 变异 冠状病毒 :SARS 流感病毒 禽流感病毒：H5N1 狂犬病 计算机病毒 F.Cohen 博士： 计算机病毒是一段附着在其它程序上的、可以自我繁殖的程序代码。复制后生成的新病毒同样具有感染其它程序的功能。 计算机病毒 《中华人民共和国计算机信息系统安全保护条例》明确指出： “计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。 计算机病毒 在生命周期中，病毒一般会经历如下四个阶段： 潜伏阶段 传染阶段 触发阶段 发作阶段 计算机病毒的特征 （1）传染性 （2）非授权性 （3）隐蔽性 （4）潜伏性 （5）破坏性 （6）不可预见性 （7）可触发性 计算机病毒的分类 按照计算机病毒攻击的操作系统分类 攻击DOS系统的病毒 攻击WINDOWS系统的病毒 攻击UNIX 系统的病毒 攻击OS/2系统的病毒 攻击Macintosh系统的病毒 其它操作系统上的病毒（如手机病毒等）） 计算机病毒的分类 按照计算病毒的攻击类型分类： 攻击微型计算机的病毒 攻击小型计算机的病毒 攻击工作站的病毒 攻击便携式电子设备的病毒 计算机病毒的分类 按照计算机病毒的链接方式分类 源码型病毒 嵌入型病毒 shell病毒 译码型病毒（宏病毒/脚本病毒） 操作系统型病毒 计算机病毒的分类 按照计算机病毒的破坏情况分类 良性病毒：是不包含有对计算机系统产生直接破坏作用的代码的计算机病毒。 恶性病毒：指在代码中包含有损伤和破坏计算机系统的操作。 计算机病毒的分类 按传播媒介来分类 单机病毒：单机病毒的载体是磁盘或光盘。常见的是通过从软盘传入硬盘，感染系统后，再传染其它软盘。软盘又感染其它系统。 网络病毒：网络为病毒提供了最好的传播途径，它的破坏力是前所未有的。网络病毒利用计算机网络的协议或命令以及Email等进行传播，常见的是通过QQ、BBS、视频、音频、图片、Email、FTP、Web等传播。 计算机病毒的分类 按寄生方式和传染途径分类: 引导型病毒 文件型病毒 引导型兼文件型病毒 计算机病毒的基本防治 检测：一旦系统被感染，就立即断定病毒的存在并对其进行定位。 鉴别：对病毒进行检测后，辨别该病毒的类型。 消除：在确定病毒的类型后，从受染文件中删除所有的病毒并恢复程序的正常状态。消除被感染系统中的所有病毒，目的是阻止病毒的进一步传染。 计算机病毒的基本防治 第一代：简单的扫描:病毒的特征 第二代：启发式的扫描:启发性知识，实体完整性检查 第三代：主动设置陷阱：行为监测 第四代：全面的预防措施：虚拟机、沙箱 计算机病毒的三种机制 病毒程序是一种特殊程序，其最大特点是具有感染能力。病毒的感染动作受到触发机制的控制，病毒触发机制还控制了病毒的破坏动作。病毒程序一般由感染模块、触发模块、破坏模块、主控模块组成，相应为传染机制、触发机制和破坏机制三种。有的病毒不具备所有的模块，如T-Mouse病毒，不具有破坏机制（见实验）。 计算机病毒的感染目标 计算机病毒的感染机制 引导型病毒的感染（MBR） 寄生感染 插入感染和逆插入感染 链式感染 破坏性感染 滋生/伴侣感染 没有入口点的感染 OBJ、LIB和源码的感染 1、寄生感染 病毒将其代码放入宿主程序中，不论放入宿主程序的头部、尾部还是中间部位，都称之为寄生感染。病毒放入宿主程序中部的感染方式称为插入感染，另外有插入感染和逆插入感染。 有两种方法把病毒放入文件的头部。第一种方法把目标文件的头部移到文件的尾部，然后拷贝病毒体到目标文件的头部的空间。第二种方法是病毒在RAM中创建其拷贝，然后追加目标文件，最后把连接结果存到磁盘。 1、寄生感染 1、寄生感染 2、插入感染和逆插入感染 插入感染：将病毒插入宿主程序 2、插入感染和逆插入感染 逆插入： 将宿