計(jì)算機(jī)反病毒技術(shù)計(jì)算機(jī)反病毒技術(shù)第1頁復(fù)習(xí)計(jì)算機(jī)病毒定義

計(jì)算機(jī)病毒發(fā)展歷史計(jì)算機(jī)病毒分類計(jì)算機(jī)病毒特點(diǎn)網(wǎng)絡(luò)計(jì)算機(jī)病毒特點(diǎn)回答：是一段附著在其它程序上能夠?qū)崿F(xiàn)自我繁殖程序代碼?；卮穑浩茐男?、傳染性、隱蔽性、潛伏性、不可預(yù)見性計(jì)算機(jī)反病毒技術(shù)第2頁

今年上六個(gè)月，計(jì)算機(jī)病毒異?；钴S，木馬、蠕蟲、黑客后門等輪番攻擊互聯(lián)網(wǎng)，從熊貓燒香、灰鴿子到艾妮、AV終止者，重大惡性病毒頻繁發(fā)作，危害程度也在逐步加大，而此時(shí)殺毒軟件卻顯得應(yīng)對(duì)乏力。新課導(dǎo)入計(jì)算機(jī)反病毒技術(shù)第3頁新課導(dǎo)入

在近日舉行賽門鐵克VISION用戶大會(huì)上，來自YankeeGroup研究機(jī)構(gòu)安全教授AndrewJaquith語出驚人。他認(rèn)為殺毒軟件將無法有效地處理日益增多惡意程序，并預(yù)言未來殺毒軟件將走向末路。關(guān)鍵問題：反病毒技術(shù)

計(jì)算機(jī)反病毒技術(shù)第4頁主要內(nèi)容計(jì)算機(jī)病毒檢測(cè)方法木馬和蠕蟲病毒原理分析、危害和預(yù)防計(jì)算機(jī)病毒現(xiàn)實(shí)狀況和發(fā)展趨勢(shì)。計(jì)算機(jī)反病毒技術(shù)第5頁一病毒檢測(cè)主要目標(biāo)磁盤主引導(dǎo)扇區(qū)、分區(qū)表文件分配表、文件目錄區(qū)中止向量可執(zhí)行文件內(nèi)存空間計(jì)算機(jī)反病毒技術(shù)第6頁二病毒檢驗(yàn)方法比較法掃描法特征字識(shí)別法分析法檢驗(yàn)和法計(jì)算機(jī)反病毒技術(shù)第7頁比較法是用原始備份與被檢測(cè)引導(dǎo)扇區(qū)或被檢測(cè)文件進(jìn)行比較。該方法優(yōu)點(diǎn)是簡單，方便，不需專用軟件；缺點(diǎn)是無法確定病毒類型。比較法計(jì)算機(jī)反病毒技術(shù)第8頁病毒掃描程序可識(shí)別病毒數(shù)目取決于病毒代碼庫中所含病毒種類。掃描法掃描法是用每一個(gè)病毒體含有特定字符串對(duì)被檢測(cè)對(duì)象進(jìn)行掃描。掃描程序由兩個(gè)別組成：病毒代碼庫和病毒掃描程序。計(jì)算機(jī)反病毒技術(shù)第9頁特征字識(shí)別法計(jì)算機(jī)病毒特征字識(shí)別法只需從病毒體內(nèi)抽取極少幾個(gè)關(guān)鍵特征字來組成特征字庫。該方法因?yàn)橐幚碜止?jié)極少，所以工作起來速度更加快、誤報(bào)警更少。計(jì)算機(jī)反病毒技術(shù)第10頁分析法本方法是利用對(duì)應(yīng)技術(shù)分析被檢測(cè)對(duì)象，確認(rèn)是否為病毒。

校驗(yàn)和法對(duì)正常文件內(nèi)容，計(jì)算其校驗(yàn)和，并不停比較校驗(yàn)和一致性計(jì)算機(jī)反病毒技術(shù)第11頁五種檢驗(yàn)方法對(duì)比未知病毒病毒類型誤報(bào)警率速度比較法掃描法特征字識(shí)別法分析法校驗(yàn)和法能不能不能能能不能能能能不能高低低低高較快較快快慢較快計(jì)算機(jī)反病毒技術(shù)第12頁

行為監(jiān)視器三反病毒軟件工作原理和組成

病毒掃描程序

內(nèi)存掃描程序

完整性檢驗(yàn)器計(jì)算機(jī)反病毒技術(shù)第13頁反病毒軟件實(shí)例—卡巴斯基卡巴斯基反病毒應(yīng)用了當(dāng)今全部最尖端反病毒技術(shù)：病毒掃描器可隨時(shí)掃描全部存放數(shù)據(jù)；完整性檢驗(yàn)器檢驗(yàn)電腦中全部數(shù)據(jù)完整性；獨(dú)特后臺(tái)運(yùn)行腳本病毒檢驗(yàn)器；以及可100%攔截宏病毒行為分析器。計(jì)算機(jī)反病毒技術(shù)第14頁

瑞星在行為檢測(cè)技術(shù)上研究較早。比如瑞星殺毒軟件中注冊(cè)表監(jiān)控、瑞星卡卡、上網(wǎng)安全助手等等都是行為檢測(cè)器雛形。反病毒軟件實(shí)例—瑞星

瑞星版中主動(dòng)防御經(jīng)過病毒分析人員經(jīng)驗(yàn)，定義出一系列動(dòng)作組合規(guī)則，用動(dòng)作組合來進(jìn)行判斷，能夠極大降低誤報(bào)情況發(fā)生。計(jì)算機(jī)反病毒技術(shù)第15頁

定義：“特洛伊木馬”簡稱木馬（Trojanhouse），是一個(gè)基于遠(yuǎn)程控制黑客工具,木馬通常寄生于用戶計(jì)算機(jī)系統(tǒng)中，偷竊用戶信息，并經(jīng)過網(wǎng)絡(luò)發(fā)送給黑客。在黑客進(jìn)行各種攻擊行為中，木馬都起到了開路先鋒作用.四經(jīng)典病毒1—木馬病毒1木馬病毒概述希臘神話“特洛伊木馬記”計(jì)算機(jī)反病毒技術(shù)第16頁2木馬原理

木馬采取客戶機(jī)/服務(wù)器工作模式；

攻擊者利用一個(gè)稱為綁定程序工具將服務(wù)器個(gè)別綁定到某個(gè)正當(dāng)軟件上，誘使用戶運(yùn)行正當(dāng)軟件。計(jì)算機(jī)反病毒技術(shù)第17頁2木馬原理

只要用戶一運(yùn)行該軟件，木馬服務(wù)器個(gè)別就在用戶毫無知覺情況下完成了安裝過程。

木馬控制者經(jīng)過客戶端與被入侵計(jì)算機(jī)服務(wù)器端建立遠(yuǎn)程連接。計(jì)算機(jī)反病毒技術(shù)第18頁

木馬主要以網(wǎng)絡(luò)為依靠進(jìn)行傳輸，偷取用戶隱私資料是其主要目標(biāo)。而且這些木馬病毒多含有引誘性與坑騙性，是病毒新危害趨勢(shì)。3木馬危害

年我國危害最嚴(yán)重十種木馬是：QQ木馬、網(wǎng)銀木馬、MSN木馬、傳奇木馬、劍網(wǎng)木馬、灰鴿子、蜜峰大盜、黑洞木馬、廣告木馬。計(jì)算機(jī)反病毒技術(shù)第19頁5木馬檢測(cè)和去除查看開放端口查看和恢復(fù)win.ini和system.ini系統(tǒng)配置文件查看開啟程序并刪除可疑開啟程序查看系統(tǒng)進(jìn)程并停頓可疑系統(tǒng)進(jìn)程查看和還原注冊(cè)表殺毒軟件和木馬查殺工具檢測(cè)和去除木馬計(jì)算機(jī)反病毒技術(shù)第20頁五經(jīng)典病毒2—蠕蟲病毒1定義

以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊對(duì)象。

普通病毒蠕蟲病毒存在形式存放文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動(dòng)攻擊傳染目標(biāo)當(dāng)?shù)匚募W(wǎng)絡(luò)計(jì)算機(jī)

2蠕蟲病毒與普通病毒區(qū)分計(jì)算機(jī)反病毒技術(shù)第21頁隱藏模塊

3蠕蟲基礎(chǔ)結(jié)構(gòu)和傳輸

傳輸模塊

目標(biāo)功效模塊掃描模塊攻擊模塊復(fù)制模塊計(jì)算機(jī)反病毒技術(shù)第22頁面向個(gè)人用戶蠕蟲

“愛蟲”、“求職信”蠕蟲

4蠕蟲類別面向企業(yè)用戶蠕蟲

“紅色代碼”、“尼姆達(dá)”、“SQL蠕蟲王

依據(jù)使用者情況不一樣蠕蟲可分為2類：計(jì)算機(jī)反病毒技術(shù)第23頁按其傳輸和攻擊特征蠕蟲可分為3類：

漏洞蠕蟲69%“紅色代碼”“SQL蠕蟲王”郵件蠕蟲27%“求職信”蠕蟲傳統(tǒng)蠕蟲4%。計(jì)算機(jī)反病毒技術(shù)第24頁發(fā)生在9/18/在3個(gè)小時(shí)內(nèi)超出100,000計(jì)算機(jī)受到感染在二十四小時(shí)內(nèi)超出1.2億PC遭到感染,許多企業(yè)網(wǎng)絡(luò)癱瘓

蠕蟲病毒之一—尼姆達(dá)病毒計(jì)算機(jī)反病毒技術(shù)第25頁工作站經(jīng)過電子郵件文件服務(wù)器

工作站郵件服務(wù)器防火墻Internet尼姆達(dá)蠕蟲案例網(wǎng)站服務(wù)器經(jīng)過網(wǎng)頁

工作站網(wǎng)站服務(wù)器郵件網(wǎng)關(guān)蠕蟲病毒之一—尼姆達(dá)病毒計(jì)算機(jī)反病毒技術(shù)第26頁工作站經(jīng)過電子郵件文件服務(wù)器

工作站郵件服務(wù)器防火墻Internet網(wǎng)站服務(wù)器經(jīng)過網(wǎng)頁

工作站郵件網(wǎng)關(guān)尼姆達(dá)蠕蟲案例網(wǎng)站服務(wù)器蠕蟲病毒之一—尼姆達(dá)病毒計(jì)算機(jī)反病毒技術(shù)第27頁工作站經(jīng)過電子郵件文件服務(wù)器

工作站郵件服務(wù)器防火墻Internet網(wǎng)站服務(wù)器經(jīng)過網(wǎng)頁

工作站郵件網(wǎng)關(guān)尼姆達(dá)蠕蟲案例網(wǎng)站服務(wù)器蠕蟲病毒之一—尼姆達(dá)病毒計(jì)算機(jī)反病毒技術(shù)第28頁尼姆達(dá)攻擊手法工作站工作站網(wǎng)站服務(wù)器網(wǎng)站服務(wù)器郵件中惡意附件攻破多個(gè)網(wǎng)站服務(wù)器以前攻破網(wǎng)站服務(wù)器瀏覽器進(jìn)攻文件共享Internethub路由器計(jì)算機(jī)反病毒技術(shù)第29頁5企業(yè)類蠕蟲病毒防范加強(qiáng)網(wǎng)絡(luò)管理員安全管理水平，提升安全意識(shí)建立病毒檢測(cè)系統(tǒng)?？稍诘谝粫r(shí)間內(nèi)檢測(cè)到網(wǎng)絡(luò)異常和病毒攻擊建立應(yīng)急響應(yīng)系統(tǒng)，將風(fēng)險(xiǎn)降低到最低建立備份和容災(zāi)系統(tǒng)

6個(gè)人用戶蠕蟲病毒分析和防范

對(duì)于個(gè)人用戶而言，威脅大蠕蟲病毒普通經(jīng)過電子郵件和惡意網(wǎng)頁傳輸方式。計(jì)算機(jī)反病毒技術(shù)第30頁六計(jì)算機(jī)病毒現(xiàn)實(shí)狀況

木馬病毒超出蠕蟲病毒趨勢(shì)

集各種傳輸方式，各種攻擊伎倆于一身，形成一個(gè)廣義“新病毒”。

惡性病毒暴發(fā)頻繁計(jì)算機(jī)反病毒技術(shù)第31頁混合型威脅(CodeRed,Nimda)拒絕服務(wù)攻擊(Yahoo!,eBay)發(fā)送大量郵件病毒(LoveLetter/Melissa)多變形病毒(Tequila)特洛伊木馬病毒網(wǎng)絡(luò)入侵已知威脅數(shù)量頻率和復(fù)雜性正在增加計(jì)算機(jī)反病毒技術(shù)第32頁病毒網(wǎng)絡(luò)化病毒