网络攻防原理吴礼发912第09讲计算机病毒.pptVIP

第九讲 计算机病毒 吴礼发，洪征，李华波 （wulifa@ ） 内容提纲 恶意程序 所谓恶意程序，是指一类特殊的程序，它们通常在用户不知晓也未授权的情况下潜入到计算机系统中来。 常见的恶意程序包括： 逻辑炸弹 特洛伊木马 后门 蠕虫 计算机病毒 恶意程序（逻辑炸弹） 逻辑炸弹。逻辑炸弹是嵌入某些合法程序的一段代码，没有自我复制功能，在某些条件下会执行一个有害程序，造成一些破坏。 例如，作为某种产权保护方案，某个应用程序可能会在运行几次后就在硬盘在将其自身删除。 恶意程序（特洛伊木马） 特洛伊木马。特洛伊木马是一种包含有害代码的程序，表面上提供一些实用的功能，内部还有用户所不知道的恶意功能。 恶意功能包括：盗取密码、获取文件、远程控制等； 它们不具备自我复制功能。 恶意程序（后门） 后门使得恶意黑客可以远程控制主机系统。 典型的后门包括： 创建帐号后门 攻击者在被控制主机增加新的帐号 网络服务后门 利用telnet等服务实现远程控制 在主机上打开一个网络端口，等待攻击者的远程连接 远程控制型的木马属于该种后门 恶意程序（蠕虫） 蠕虫是能够在网络上自动传播的恶意代码，它利用广泛使用的网络服务中存在的安全漏洞，自我复制，广泛传播。 比如，2003年的Slammer蠕虫，利用了微软SQL server的一个缓冲区溢出漏洞，在15分钟内感染了75000台主机。人为检测和响应根本无法应对。 恶意程序（蠕虫） 恶意程序（病毒） 简单来说，计算机病毒，是能自我复制的一组计算机指令或者程序代码，对于计算机系统的安全构成威胁。 内容提纲 一、病毒的起源(1/3) 1977年夏Thomas.J.Ryan推出了轰动一时的科幻小说，名叫《The Adolescence of P-1》。 在这本书中，作者构造了一种神秘的、能自我复制、利用信息通道传播的计算机程序，称为计算机病毒。 这些病毒飘泊于电脑之内，游荡于硅片之间，控制了7000多台计算机操作系统，引起混乱和不安。 病毒的起源(2/3) 微型计算机上出现的第一个病毒是1982年由Rich Skrenta在Apple机上编写的Elk Cloner。 每当第50次用被感染的磁盘启动系统后，按系统重启动键时，Elk Cloner会在屏幕上显示一首诗。 这是因为Elk Cloner在每第50次启动时，把自己的payload挂在操作系统的重启动处理程序上，因此，只有按下重启键后才能触发病毒有效负荷。 病毒的起源(3/3) 1987年初，美国东部一所医疗中心存储在计算机系统中的一些病历突然消失，经查是病毒在作怪。 1987年12月下旬圣诞节前夕，计算机病毒侵袭了IBM公司的国际电子信息网，向每个曾使用过该信息网的用户发出了相同的贺信，大量连锁信件使得该网络因不堪重负而瘫痪，这就是IBM圣诞树病毒。 … 著名病毒（CIH病毒） 著名病毒（女鬼病毒） 著名病毒（白雪公主病毒） 二、计算机病毒的定义（1/3） 有太多类型的计算机病毒，难以给出十分精确的病毒定义。 Cohend在1984年提出了的病毒的形式化数学模型，简言之：“计算机病毒是一种计算机程序，它通过修改其他程序把自己的一个拷贝或其演化的拷贝插入到其他程序中，从而感染它们。” 提出了病毒的演化特性：通过改变自身而成为演变体的能力。 不遵循此定义的病毒：如伴生病毒。伴生病毒利用操作系统的特性，通过使用与受害程序相同的名字，并在执行路径中将其放在受害程序的前面。 二、计算机病毒的定义（2/3） 计算机病毒更精确一些的定义：“计算机病毒是一种计算机程序，它递归地、明确地复制自己或其演化体。病毒感染宿主文件或者某个系统区域，或者仅仅是修改这些对象的引用，来获得控制权并不断在繁殖来产生新的病毒体” “明确地”是指把复制作为主要功能，而不是次要功能 定义较为抽象，并不严格指明复制到底是怎样进行 我国的信息系统安全保护条例对计算机病毒做出的定义：“计算机病毒，是指破坏计算机功能或者损坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码。” 二、计算机病毒的定义（3/3） 蠕虫是网络病毒，主要在网络上复制。通常，蠕虫会在某台远程机器上自动运行，而不需要用户任何干预。 蠕虫是典型的不需要宿主程序的独立程序，然而，有些蠕虫，如Nimda.A@mm，同样是作为一种感染文件的病毒而传播，它会感染宿主程序。因此，最好的办法是：将蠕虫当作病毒的一种特殊子类来考虑，如果某种病毒的主要传播媒介是网络，那么它应该被归类为蠕虫。 三、计算机病毒的特征(1/4) 计算机病毒有一些与生物界中的病毒极为相似的特征，这也就是所以称其为病毒的缘由。主要病毒特征如下： 传染性 潜伏性 寄生性 触发性 非授权执行性 破坏性 三、计算机病毒的特征（2/4） 特征一：传染性 病毒也是一