计算机病毒概述本章学习目标
明确计算机病毒的基本概念
了解计算机病毒发展的历史转折点
熟悉计算机病毒的分类
熟悉商业计算机病毒命名规则
掌握计算机病毒的发展趋势一、计算机病毒的定义计算机病毒产生的动机 (原因 ):
计算机系统的脆弱性 (IBM病毒防护计划 )
作为一种文化( hacker)
病毒编制技术学习。
恶作剧。
产生于个别人的报复心理。
用于版权保护(江民公司)。
用于特殊目的(军事、计算机防病毒公司)。
计算机病毒的前身只不过是程序员闲来无事而编写的趣味程序;后来,才发展出了诸如破坏文件、修改系统参数、干扰计算机的正常工作等的恶性病毒。
,病毒,一词的正式出现在 1985年 3月份的,科学美国人,
里。
,计算机病毒,与医学上的,病毒,不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,
编制的具有特殊功能的程序。
,计算机病毒,为什么叫做病毒?原因是,它与生物医学上的病毒同样有传染和破坏的特性,因此这一名词是由生物医学上的,病毒,概念引申而来。
Fred Cohen定义:
计算机病毒是一种程序,他用修改其它程序的方法将自身的精确拷贝或者可能演化的拷贝插入其它程序,从而感染其它程序。
Fred Cohen认为:
病毒不是利用操作系统运行的错误和缺陷的程序,
病毒是正常的用户程序。
广义定义:
从广义上讲,凡能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。依据此定义,诸如恶意代码,蠕虫,木马等均可称为计算机病毒。在国内,专家和研究者对计算机病毒也做过不尽相同的定义,但一直没有公认的明确定义。
标准定义(中国):
直至 1994年 2月 18日,我国正式颁布实施了,中华人民共和国计算机信息系统安全保护条例,,
在,条例,第二十八条中明确指出,"计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,
并能自我复制的一组计算机指令或者程序代码。
"此定义具有法律性、权威性。
二、病毒特征和结构破坏性传染性 隐蔽性寄生性 触发(潜伏)性
/*引导功能模块 */
{将病毒程序寄生于宿主程序中;
加载计算机程序;
病毒程序随其宿主程序的运行进入系统; }
{传染功能模块; }
{破坏功能模块; }
main()
{调用引导功能模块;
A,do
{寻找传染对象;
if(传染条件不满足 )
goto A; }
while(满足传染条件 );
调用传染功能模块;
while(满足破坏条件 )
{激活病毒程序;
调用破坏功能模块; }
运行宿主源程序;
if 不关机
goto A;
关机;
}
在第一部商用电脑出现之前,冯 ·诺伊曼 在他的论文,复杂自动装置的理论及组识的进行,里,就已经勾勒出了病毒程序的蓝图。
Bell实验室的磁心大战( Core War)。
70年代美国作家雷恩出版的,P1的青春- The Adolescence
of P1,一书中作者构思出了计算机病毒的概念。
1983年 11月 3日,Fred Cohen博士研制出第一个计算机病毒( Unix)。
1986 年初,在巴基斯坦的拉合尔 (Lahore),巴锡特 (Basit)
和阿姆杰德 (Amjad) 两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。他们编写了 Pakistan 病毒,即 Brain。在一年内流传到了世界各地。
1987年世界各地的计算机用户几乎同时发现了形形色色的计算机病毒,如大麻,IBM圣诞树、黑色星期五等等 。
三、病毒成长的痕迹
1988 年 3 月 2 日,一种苹果机的病毒发作,这天受感染的苹果机停止工作,只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。
1988年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络 ——互联网。 1988年 11月 2日下午 5点,互联网的管理人员首次发现网络有不明入侵者。当晚,从美国东海岸到西海岸,互联网用户陷入一片恐慌。
1989年全世界的计算机病毒攻击十分猖獗,我国也未幸免。
1991年在“海湾战争”中,美军第一次将计算机病毒用于实战。
1992年出现针对杀毒软件的“幽灵”病毒,如 One-
half。
1996年首次出现针对微软公司 Office的“宏病毒”。
1997年被公认为计算机反病毒界的“宏病毒”年。
1999年 4月 26日,CIH病毒在全球范围大规模爆发,造成近 6000万台电脑瘫痪。(该病毒产生于 1998年)
1999年 Happy99等完全通过 Internet传播的病毒的出现标志着 Internet病毒将成为病毒新的增长点。
2001年 7月中旬,一种名为“红色代码”的病毒在美国大面积蔓延,这个专门攻击服务器的病毒攻击了白宫网站,造成了全世界恐慌 。
2003年,,2003蠕虫王”病毒在亚洲、美洲、澳大利亚等地迅速传播,造成了全球性的网络灾害。
2004年是蠕虫泛滥的一年,大流行病毒:
网络天空 (Worm.Netsky)
高波 (Worm.Agobot)
爱情后门 (Worm.Lovgate)
震荡波 (Worm.Sasser)
SCO炸弹 (Worm.Novarg)
冲击波 (Worm.Blaster)
恶鹰 (Worm.Bbeagle)
小邮差 (Worm.Mimail)
求职信 (Worm.Klez)
大无极 (Worm.SoBig)
2005年是木马流行的一年,新木马包括:
8月 9日,“闪盘窃密者( Trojan.UdiskThief)”病毒。该木马病毒会判定电脑上移动设备的类型,自动把 U盘里所有的资料都复制到电脑 C盘的
,test”文件夹下,这样可能造成某些公用电脑用户的资料丢失。
11月 25日,“证券大盗”(Trojan/PSW.Soufan)。
该木马病毒可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码,被盗号的股民账户存在被人恶意操纵的可能。
7月 29日,“外挂陷阱”( troj.Lineage.hp)。此病毒可以盗取多个网络游戏的用户信息,如果用户通过登陆某个网站,下载安装所需外挂后,
便会发现外挂实际上是经过伪装的病毒,这个时候病毒便会自动安装到用户电脑中。
9月 28日," 我的照片 " (Trojan.PSW.MyPhoto)病毒。该病毒试图窃取
,热血江湖,,,传奇,,,天堂 Ⅱ,,,工商银行,,,中国农业银行,等数十种网络游戏及网络银行的账号和密码。该病毒发作时,会显示一张照片使用户对其放松警惕。
2006年木马仍然是病毒主流,变种层出不穷
2006年上半年,江民反病毒中心共截获新病毒 33358
种,另据江民病毒预警中心监测的数据显示,1至 6月全国共有 7322453台计算机感染了病毒,其中感染木马病毒电脑 2384868台,占病毒感染电脑总数的
32.56%,感染广告软件电脑 1253918台,占病毒感染电脑总数的 17.12%,感染后门程序电脑 664589台,
占病毒感染电脑总数的 9.03%,蠕虫病毒 216228台,
占病毒感染电脑总数的 2.95%,监测发现漏洞攻击代码感染 181769台,占病毒感染电脑总数的 2.48%,脚本病毒感染 15152台,占病毒感染电脑总数的 2.06%。
2007年:
流氓软件 ——反流氓软件技术对抗的阶段。
Cnnic
3721 – yahoo
病毒的发展趋势
病毒更新换代向多元化发展
依赖网络进行传播
攻击方式多样(邮件,网页,局域网等)
利用系统漏洞成为病毒有力的传播方式
病毒与黑客技术相融合四、病毒人生(法律)
1983 年 11 月 3 日,弗雷德 ·科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序,
伦 ·艾德勒曼 (Len Adleman)
将它命名为计算机病毒
(computer viruses),并在每周一次的计算机安全讨论会上正式提出。
1988年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络 ——互联网。 1988年 11
月 2日下午 5点,互联网的管理人员首次发现网络有不明入侵者。当晚,从美国东海岸到西海岸,互联网用户陷入一片恐慌。
CIH病毒,又名“切尔诺贝利”,是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的,九八年五月间,
陈盈豪还在大同工学院就读时,完成以他的英文名字缩写,CIH”名的电脑病毒起初据称只是为了“想纪念一下 1986的灾难”或“使反病毒软件公司难堪”。
年仅 18岁的高中生杰弗里 ·李 ·帕森因为涉嫌是
“冲击波”电脑病毒的制造者于 2003年 8月 29日被捕。对此,他的邻居们表示不敢相信。在他们的眼里,杰弗里 ·李 ·帕森是一个电脑天才,而决不是什么黑客,更不会去犯罪。
李俊,大学本科毕业
大于 1000万用户染毒
损失数亿元人民币
处罚:最高无期?
五、计算机病毒的主要危害直接危害:
1.病毒激发对计算机数据信息的直接破坏作用
2.占用磁盘空间和对信息的破坏
3.抢占系统资源
4.影响计算机运行速度
5.计算机病毒错误与不可预见的危害
6.计算机病毒的兼容性对系统运行的影响病毒的危害情况
a 数据部分丢失
19%
b 系统无法使用
19%
c 浏览器配置被修改
17%
d 网络无法使用
13%
e 使用受限
11%
f 受到远程控制
8%
g 数据全部丢失
5%
h 不知道
8%
a 数据部分丢失
b 系统无法使用
c 浏览器配置被修改
d 网络无法使用
e 使用受限
f 受到远程控制
g 数据全部丢失
h 不知道
间接危害:
1.计算机病毒给用户造成严重的心理压力
2.造成业务上的损失
3.法律上的问题近几年来的重大损失年 份 攻击行为发起者 受害 PC数目 损失金额 (美元 )
2006 木马和恶意软件 —— ——
2005 木马 —— ——
2004 Worm_Sasser(震荡波 ) —— ——
2003 Worm_MSBLAST(冲击波 ) 超过 140万台 ——
2003 SQL Slammer 超过 20万台 9.5亿至 12亿
2002 Klez 超过 6百万台 90亿
2001 RedCode 超过 1百万台 26亿
2001 NIMDA 超过 8百万台 60亿
2000 Love Letter —— 88亿
1999 CIH 超过 6千万台 近 100亿五、计算机病毒的分类
1、按病毒存在的媒体分类
网络病毒,通过计算机网络传播感染网络中的可执行文件;
文件病毒,感染计算机中的文件(如:COM,E
XE,DOC等);
引导型病毒,感染启动扇区( Boot)和硬盘的系统引导扇区(MBR);
混合型病毒,是上述三种情况的混合。例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
2、按病毒传染的方法分类
引导扇区传染病毒,主要使用病毒的全部或部分代码取代正常的引导记录,而将正常的引导记录隐藏在其他地方。
执行文件传染病毒,寄生在可执行程序中,
一旦程序执行,病毒就被激活,进行预定活动。
网络传染病毒,这类病毒是当前病毒的主流,
特点是通过互联网络进行传播。例如,蠕虫病毒就是通过主机的漏洞在网上传播。
3、按病毒破坏的能力分类
无害型,除了传染时减少磁盘的可用空间外,
对系统没有其它影响。
无危险型,这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
危险型,这类病毒在计算机系统操作中造成严重的错误。
非常危险型,这类病毒删除程序、破坏数据、
清除系统内存区和操作系统中重要的信息。
4、按病毒算法分类
伴随型病毒,这一类病毒并不改变文件本身,它们根据算法产生 EXE文件的伴随体,具有同样的名字和不同的扩展名( COM),例如:
XCOPY.EXE的伴随体是 XCOPY.COM。病毒把自身写入 COM文件并不改变 EXE文件,当 DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的 EXE文件。
蠕虫型病毒,通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病 毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
寄生型病毒,依附在系统的引导扇区或文件中,通过系统的功能进行传播。
练习型病毒,病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
变形病毒,这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和 经过变化的病毒体组成。
5、按计算机病毒的链结方式分类
源码型病毒,该病毒攻击高级语言编写的程序,该病毒在高级语言所编写的程序编译前插入到原程序中,经编译成为合法程序的一部分。
嵌入型病毒,这种病毒是将自身嵌入到现有程序中,把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的,一旦侵入程序体后也较难消除。
如果同时采用多态性病毒技术,超级病毒技术和隐蔽性病毒技术,将给当前的反病毒技术带来严峻的挑战。
外壳型病毒,外壳型病毒将其自身包围在主程序的四周,对原来的程序不作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文件的大小即可知。
操作系统型病毒,这种病毒用自身的程序加入或取代部分操作系统进行工作,具有很强的破坏力,可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。
6、按病毒攻击操作系统分类
Microsoft DOS
Microsoft Windows
95/98/ME
Microsoft Windows
NT/2000/XP
Unix(Linux)
Macintosh( MacMag
病毒,Scores病毒)
OS/2( AEP病毒)
病毒攻击的操作系统图例
( 数据来源于瑞星病毒样本库 )
DOS
43%
Unix
3%
Other
1%
Window
s
53%
D O S W i n d o w s U n i x O t h e r
病毒的发展是伴随着计算机软硬件的发展而发展的,让我们沿着操作系统发展的几个阶段来看看病毒技术与反病毒技术演化。
DOS时代( 1981-)
Window 9x时代( 1995-)
Windows NT/2000时代( 1996-)
(一) DOS操作系统时代的病毒
DOS操作系统简介
16位的操作系统( 8086,8088)
实模式、单用户、单任务字符界面中断机制
DOS可执行文件病毒原理
COM病毒
EXE病毒
常见感染手法
1,通过查目录进行传播
2,通过执行进行传播
3,通过文件查找进行传播
4,通过文件关闭的时候进行传播
DOS反病毒原理
特征码技术
模糊匹配技术(广谱杀毒)
行为判定技术
启发式扫描技术
对各种可疑功能进行加权判断;
MOV AH,5; INT,13h; format
(二) Windows操作系统
32位操作系统
抢占式多任务操作系统
保护模式下运行
友好的图形界面
Windows病毒
可执行文件病毒
宏病毒
脚本病毒
蠕虫病毒
木马病毒
数据包病毒可执行文件病毒
典型病毒( CIH)
感染原理
特点
反病毒技术文件监控内存监控蠕虫病毒
典型病毒
感染原理
特点
反病毒技术邮件监控网络监控席卷全球的 NIMDA病毒木马病毒
典型病毒
感染原理
特点
反病毒技术文件监控防火墙宏病毒
典型病毒
感染原理
特点
反病毒技术
OFFICE嵌入式查毒特征代码脚本病毒
典型病毒
感染原理
特点
反病毒技术脚本监控数据包病毒
典型病毒( CodeRed,SQL Slammer)
感染原理
特点
反病毒技术安全检测漏洞扫描防火墙六、计算机病毒的传播途径
1、软盘
软盘作为最常用的交换媒介,在计算机应用的早期对病毒的传播发挥了巨大的作用,因那时计算机应用比较简单,可执行文件和数据文件系统都较小,
许多执行文件均通过软盘相互拷贝、安装,这样病毒就能通过软盘传播文件型病毒;另外,在软盘列目录或引导机器时,引导区病毒会在软盘与硬盘引导区内互相感染。因此软盘也成了计算机病毒的主要的寄生“温床”。
2、光盘
光盘因为容量大,存储了大量的可执行文件,大量的病毒就有可能藏身于光盘,对只读式光盘,不能进行写操作,因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中,不可能为病毒防护担负专门责任,也决不会有真正可靠的技术保障避免病毒的传入、传染、流行和扩散。当前,盗版光盘的泛滥给病毒的传播带来了极大的便利。甚至有些光盘上杀病毒软件本身就带有病毒,这就给本来“干净”的计算机带来了灾难。
3、硬盘(含移动硬盘,USB)
有时,带病毒的硬盘在本地或移到其他地方使用甚至维修等,就会将干净的软盘传染或者感染其他硬盘并扩散。
网 络 ——〉 病毒的加速器网络病毒技术社区集体攻击病毒蠕虫病毒特洛伊木马 黑客技术 脚本病毒邮件病毒病毒源码发布
4、有线网络触目惊心的计算 —— 卿斯汉
如果,
20分钟 产 生一 种 新病毒,通 过 因特 网传 播
( 30万 公里 /秒)。 联 网电脑每 20分 钟 感染一次,每天 开 机 联网 2小 时 。
结论:
一年以內一台 联 网的 电脑 可能 会 被最新 病毒感染 2190次。
另 一个数字:
75%的电脑被感染。
网络服务 —— 〉 传播媒介
网络的快速发展促进了以网络为媒介的各种服务
( FTP,WWW,BBS,EMAIL等)的快速普及。同时,
这些服务也成为了新的病毒传播方式。
电子布告栏( BBS),
电子邮件( Email),
即时消息服务( QQ,ICQ,MSN等),
WEB服务,
FTP服务,
新闻组,
5、无线通讯系统
病毒对手机的攻击有 3个层次:攻击 WAP服务器,
使手机无法访问服务器;
攻击网关,向手机用户发送大量垃圾信息;直接对手机本身进行攻击,有针对性地对其操作系统和运行程序进行攻击,使手机无法提供服务。
七、染毒计算机的症状病毒表现现象:
计算机病毒发作前的表现现象病毒发作时的表现现象病毒发作后的表现现象与病毒现象相似的硬件故障与病毒现象相似的软件故障
1、发作前的现象
平时运行正常的计算机突然经常性无缘无故地死机
操作系统无法正常启动
运行速度明显变慢
以前能正常运行的软件经常发生内存不足的错误
打印和通讯发生异常
无意中要求对软盘进行写操作
以前能正常运行的应用程序经常发生死机或者非法错误
系统文件的时间、日期、大小发生变化
运行 Word,打开 Word文档后,该文件另存时只能以模板方式保存
磁盘空间迅速减少
网络驱动器卷或共享目录无法调用
基本内存发生变化
陌生人发来的电子函件
2、发作时的现象
提示一些不相干的话
发出一段的音乐
产生特定的图像
硬盘灯不断闪烁
进行游戏算法
Windows桌面图标发生变化
计算机突然死机或重启
自动发送电子邮件
鼠标自己在动
3、发作后的现象
硬盘无法启动,数据丢失
系统文件丢失或被破坏
文件目录发生混乱
部分文档丢失或被破坏
部分文档自动加密
修改 Autoexec.bat文件
使部分可软件升级主板的 BIOS程序混乱,主板被破坏
网络瘫痪,无法提供正常的服务
4、与病毒现象类似的软件故障
出现,Invalid drive specification”(非法驱动器号 )
软件程序已被破坏 (非病毒 )
软件与操作系统的兼容性
引导过程故障
用不同的编辑软件程序
5、与病毒现象类似的硬件故障
系统的硬件配置
电源电压不稳定
插件接触不良
软驱故障
关于 CMOS的问题八、计算机病毒的命名规则
CARO命名规则,每一种病毒的命名包括五个部分:
病毒家族名
病毒组名
大变种
小变种
修改者
CARO规则的一些附加规则包括:
不用地点命名
不用公司或商标命名
如果已经有了名字就不再另起别名
变种病毒是原病毒的子类精灵( Cunning)病毒是瀑布( Cascade)病毒的变种,它在发作时能奏乐,因此被命名为 Cascade.1701.A。
Cascade是家族名,1701是组名。因为 Cascade病毒的变种的大小不一( 1701,1704,1621等),所以用大小来表示组名。 A 表示该病毒是某个组中的第一个变种。
业界补充:
反病毒软件商们通常在 CARO命名的前面加一个前缀来标明病毒类型。比如,WM表示 MS Word宏病毒; Win32指 32位
Windows病毒; VBS指 VB脚本病毒。这样,梅丽莎病毒的一个变种的命名就成了 W97M.Melissa.AA,Happy 99蠕虫就被称为 Win32.Happy99.Worm。
VGrep是反病毒厂商的一种尝试,这种方法将已知的病毒名称通过某种方法关联起来,其目的是不管什么样的扫描软件都能按照可被识别的名称链进行扫描。 VGrep将病毒文件读入并用不同的扫描器进行扫描,扫描的结果和被识别出的信息放入数据库中。每一个扫描器的扫描结果与别的扫描结果相比较并将结果用作病毒名交叉引用表。 VGrep的参与者赞同为每一种病毒起一个最通用的名字最为代表名字。拥有成千上万扫描器的大型企业集团要求杀毒软件供应商使用 VGrep命名,这对于在世界范围内跟踪多个病毒的一致性很有帮助。
九、发展趋势和最新动向
DOS引导阶段
DOS可执行阶段
伴随、批次型阶段
幽灵、多形阶段
生成器、变体机阶段
网络、蠕虫阶段
视窗阶段
宏病毒阶段
互连网阶段
Java、脚本语言、邮件炸弹阶段
通讯设备,PDA设备阶段最新动向病毒与其他技术相融合某些病毒及普通病毒、蠕虫、木马和黑客等技术于一身,具有混合型特征,破坏性极强;
传播途径多,扩散速度快很多病毒与 internet和 intranet紧密结合,通过系统漏洞、局域网、网页、邮件等方式进行传播,扩散速度极快。目前此类病毒已有
2000种之多;
欺骗性强很多病毒利用人们的好奇心理,往往具有很强的诱惑性和欺骗性,使得它更容易传染,如“库尔尼科娃”病毒即是利用网坛美女库尔尼科娃的魅力;
大量消耗系统与网络资源计算机感染了 REDCODE等病毒后,病毒会不断遍历磁盘、分配内存,导致系统资源很快被消耗殆尽,最终使得计算机速度越来越慢或网络阻塞;
病毒出现频度高,病毒生成工具多早期的计算机病毒都是编程高手制作的,编写病毒是为了显示自己的技术,但库尔尼科娃病毒的设计者只是修改了下载的 VBS蠕虫孵化器变生成了该病毒。这种工具在网络上很容易就可以获得,
因此新病毒的出现频度超出以往的任何时候。
0
5000
10000
15000
20000
25000
30000
35000
40000
1991 1992 1993 1994 1995 1996 1997 1998 1999
20世纪末每年的病毒数目十、计算机病毒防治病毒防治的公理
1、不存在这样一种反病毒软硬件,能够防治未来产生的所有病毒。
2、不存在这样一种病毒程序,能够让未来的所有反病毒软硬件都无法检测。
3、目前的反病毒软件和硬件以及安全产品是都易耗品,必须经常进行更新、升级。
4、病毒产生在前,反病毒手段滞后的现状,将是一个长期的过程。
人类为防治病毒所做出的努力立体防护网络版单机版防病毒卡对计算机病毒应持有的态度
1.客观承认计算机病毒的存在,但不要惧怕病毒。
3.树立计算机病毒意识,积极采取预防(备份等)
措施。
4.掌握必要的计算机病毒知识和病毒防治技术,对用户至关重要。
5.发现病毒,冷静处理。
目前广泛应用的几种防治技术:
特征码扫描法特征码扫描法是分析出病毒的特征病毒码并集中存放于病毒代码库文件中,在扫描时将扫描对象与特征代码库比较,如有吻合则判断为染上病毒。该技术实现简单有效,安全彻底;但查杀病毒滞后,并且庞大的特征码库会造成查毒速度下降;
虚拟执行技术该技术通过虚拟执行方法查杀病毒,可以对付加密、
变形、异型及病毒生产机生产的病毒,具有如下特点:
在查杀病毒时在机器虚拟内存中模拟出一个,指令执行虚拟机器,
在虚拟机环境中虚拟执行(不会被实际执行)可疑带毒文件
在执行过程中,从虚拟机环境内截获文件数据,如果含有可疑病毒代码,则杀毒后将其还原到原文件中,
从而实现对各类可执行文件内病毒的查杀
文件实时监控技术通过利用操作系统底层接口技术,对系统中的所有类型文件或指定类型的文件进行实时的行为监控,一旦有病毒传染或发作时就及时报警 。
从而实现了对病毒的实时,永久,自动监控 。
这种技术能够有效控制病毒的传播途径,但是这种技术的实现难度较大,系统资源的占用率也会有所降低 。
智能引擎技术智能引擎技术发展了特征码扫描法的优点,改进了其弊端,使得病毒扫描速度不随病毒库的增大而减慢。刚刚面世的瑞星杀毒软件 2003版即采用了此项技术,使病毒扫描速度比 2002版提高了一倍之多;
其他的反病毒技术
计算机监控技术
文件实时监控
内存实时监控
脚本实时监控
邮件实时监控
注册表实时监控
参考,www.sysinternals.com
嵌入式杀毒技术嵌入式杀毒技术是对病毒经常攻击的应用程序或对象提供重点保护的技术,它利用操作系统或应用程序提供的内部接口来实现。它对使用频度高、
使用范围广的主要的应用软件提供被动式的防护。
如对 MS-Office,Outlook,IE,Winzip,NetAnt
等应用软件进行被动式杀毒。
未知病毒查杀技术未知病毒技术是继虚拟执行技术后的又一大技术突破,它结合了虚拟技术和人工智能技术,实现了对未知病毒的准确查杀。
压缩智能还原技术世界上的压缩工具,打包工具,加,壳,工具多不胜数,病毒如果被这样的工具处理后被层层包裹起来,对于防病毒软件来说,就是一个噩梦 。 为了使用统一的方法来解决这个问题,反病毒专家们发明了未知解压技术,它可以对所有的这类文件在内存中还原,从而使得病毒完全暴露出来 。
多层防御,集中管理技术反病毒要以网为本,从网络系统的角度设计反病毒解决方案,只有这样才能有效地查杀网络上的计算机病毒 。
在网络上,软件的安装和管理方式是十分关键的,它不仅关系到网络维护和管理的效率和质量,而且涉及到网络的安全性 。 好的杀毒软件需要能在几分钟之内便可轻松地安装到组织里的每一个 NT服务器上,并可下载和散布到所有的目的机器上,由网络管理员集中设置和管理,它会与操作系统及其它安全措施紧密地结合在一起,成为网络安全管理的一部分,并且自动提供最佳的网络病毒防御措施 。
病毒免疫技术病毒免疫技术一直是反病毒专家研究的热点,它通过加强自主访问控制和设置磁盘禁写保护区来实现病毒免疫的基本构想 。 实际上,最近出现的软件安全认证技术也应属于此技术的范畴,由于用户应用软件的多样性和环境的复杂性,病毒免疫技术到广泛使用还有一段距离 。
病毒防治技术的趋势前瞻
加强对未知病毒的查杀能力加强对未知病毒的查杀能力是反病毒行业的持久课题,目前国内外多家公司都宣布自己的产品可以对未知病毒进行查杀,但据我们研究,国内外的产品只有少数可以对同一家族的新病毒进行预警,不能清除。
目前有些公司已经在这一领域取得了突破性的进展,
可以对未知 DOS病毒、未知 PE 病毒、未知宏病毒进行防范。其中对未知 DOS病毒能查到 90%以上,并能准确清除其中的 80%,未知 PE 病毒能查到 70%
以上、未知宏病毒能实现查杀 90%.
防杀针对掌上型移动通讯工具和 PDA的病毒随着掌上型移动通讯工具和 PDA的广泛使用,针对这类系统的病毒已经开始出现,
并且威胁将会越来越大,反病毒公司将投入更多的力量来加强此类病毒的防范。
介绍六种面向手机电话等便携式信息设备的
,EPOC” 上运行的病毒:
EPOC-ALARM,持续发出警告声音,虽无大害,但很烦人;
EPOC-BANDINFO.A,发作时将用户信息并为
,Somefoolownthis”;
EPOC-FAKE.A,会在手机的屏幕上显示格式化内置硬盘的画面,但实际上并不会执行格式化操作;
EPOC-GHOST.A,会在画面上显示,Everyone hates you”;
EPOC-ALIGHT.A,会使背景灯持续闪烁;
EPOC-ALONE.A,可使键盘操作功能丧失,可及时输入
,Leave me alone”来解除病毒常驻;
兼容性病毒的防杀目前已经发现可以同时在微软 WINDOWS和日益普及的 LINUX两种不同操作系统内运作的病毒,
此类病毒将会给人们带来更多的麻烦,促使反病毒公司加强防杀此类病毒。
蠕虫病毒和脚本病毒的防杀不容忽视蠕虫病毒是一种能自我复制的程序,驻留内存并通过计算机网络复制自己,它通过大量消耗系统资源,最后导致系统瘫痪。给人们带来了巨大的危害,脚本病毒因为其编写相对容易正成为另一种趋势,这两类病毒的危害性使人们丝毫不能忽视对其的防杀。
十一、杀毒软件及评价
病毒查杀能力
对新病毒的反应能力
对文件的备份和恢复能力
实时监控功能
及时有效的升级功能
智能安装、远程识别功能
界面友好、易于操作
对现有资源的占用情况
(一)杀毒软件必备功能
系统兼容性
软件的价格
软件商的实力
(二)国内外杀毒软件及市场
金山毒霸、瑞星杀毒,KV3000,PC-Cillin
VirusBuster,Norton AntiVirus,Mcafee
Virus Scan,Kaspersky Antivirus,F-Secure
Antivirus等。
2004年第一季度,中国防杀毒软件市场各品牌的排名前五位依次为瑞星、赛门铁克、江民,趋势科技和金山,它们合占的市场份额达到 69.7%,品牌集中度较高;其余 30.3%的市场份额 被其它厂商所瓜分,市场竞争日趋激烈。
项目 诺顿 Macfee 趋势 卡巴斯基 瑞星 金山程序界面 ★★★★ ★★★ ★★★★ ★★★★ ★★★★ ★★★★★
扫描设置 ★★★★★ ★★★★ ★★★ ★★★★★ ★★★★ ★★★★
查杀病毒 ★★★★★ ★★★ ★★★★★ ★★★★ ★★★★ ★★★
查毒速度 ★★★★ ★★★★ ★★★★★ ★★★★ ★★★★ ★★★★
占用资源 ★★★ ★★★★★ ★★★★★ ★★★★ ★★★★ ★★★
邮件支持 ★★★★★ ★★★★ ★★★★ ★★★★★ ★★★★ ★★★★
病毒报警 ★★★★★ ★★★★★ ★★★★★ ★★★ ★★★★ ★★★
升级频率 ★★★★ ★★★★★ ★★★★★ ★★★★ ★★★★★ ★★★★★
综合评比 ★★★★★ ★★★★ ★★★★★ ★★★★ ★★★★ ★★★
(三)杀毒软件评测结果 及评价
公安部在 2002年底测试结果:
瑞星 95分;
国内其他产品(例如,江民、金山等)
在 85-90分区间;
国外产品(例如,趋势、诺顿、熊猫等)
都处于 75分左右的水平。
国内没有厂商通过 ICSA的产品测试
地缘性因素十二、解决方案和策略企业网络中的病毒漏洞
File Server
Mail Server
Client
Internet Gateway
Firewall
Internet
企业网络基本结构网关( Gateway)
服务器( Servers)
邮件服务器文件 /应用服务器客户端( clients)
趋势整体防病毒解决方案
Firewall
Internet
File Server
Client
Internet Gateway
InterScan VirusWall
ServerProtect
for NT
for NetWare
Central Control
TVCS
Mail Server
ScanMail
for Exchange
for Lotus Notes
OfficeScan Clients
OfficeScan Server
OfficeScan Server
趋势整体防病毒解决方案
1 网关级解决方案 InterScan Viruswall
2 服务器级解决方案邮件服务器 ScanMail for Exchange / for Notes
文件服务器 ServerProtect for NT / Netware
3 客户端解决方案 Office Scan
4 集中管理系统解决方案 TVCS
(Trend Virus Control System)
防病毒策略
1、建立病毒防治的规章制度,严格管理;
2、建立病毒防治和应急体系;
3、进行计算机安全教育,提高安全防范意识;
4、对系统进行风险评估;
5、选择经过公安部认证的病毒防治产品;
6、正确配置,使用病毒防治产品;
7、正确配置系统,减少病毒分侵害事件;
8、定期检查敏感文件;
9、适时进行安全评估,调整各种病毒防治策略;
10、建立病毒事故分析制度;
11、确保恢复,减少损失;
十三、国内外病毒产品的技术发展态势
国内外反病毒公司在反病毒领域各有所长
国内外产品竞争激烈随着中国信息化进程的深入开展,多家国际反病毒公司均加大了对中国市场的力度;
国内反病毒企业发展势头强劲国内的瑞星、江民等公司都引进了一些国外技术;
反病毒服务是竞争关键要推动企业信息安全建设、并从根本上改变国内信息安全现状,建立健全的服务体系是关键。
我们相信人类受到病毒侵害及由此带来的损失将逐步减少,国内反病毒行业在政府的规范和用户的支持下将取得更好的成绩!
相关资源
1,Wildlist国际组织
http://www.wildlist.org
该网站维护世界各地发现的病毒列表。网站负责维护这个列表,并且按 月打包供用户下载。此外,网站上还有一些计算机病毒方面的学术论文。
2,病毒公告牌
http://www.virusbtn.com
对于任何关心恶意代码和垃圾信息防护、检测和清除的人来说,病毒公告在线杂志是一个必不可少的参考。逐日逐月地,病毒公告牌提供如下信息:
1)来自于反恶意代码业界的发人深省的新闻和观点
2)最新恶意代码威胁的详细分析
3)探索反恶意代码技术开发的长篇文档
4)反恶意代码专家的会见
5)对当前反病毒产品的独立评测
6)覆盖垃圾邮件和反垃圾邮件技术的月报
3,29A病毒技术组织
http://vx.netlux.org/29a/
这个网站包含病毒、木马和其他一些能够破坏计算机系统安全的软件。 29A的成员对病毒技术特别感兴趣,用户可以从这里学到病毒制作技术。该网站是黑客不可或却的学习网站。
4,亚洲反病毒研究者协会 (AVAR)
http://www.aavar.org
AVAR(亚洲反病毒研究者协会 )成立于 1998年 6月。协会的宗旨是预防计算机病毒的传播和破坏,促进亚洲的反病毒研究者间建立良好的合作关系。该协会是独立的、非盈利性组织,主要面向的对象是亚太地区。本协会有来自以下国家和地区资深的反病毒专家:澳大利亚、中国、中国香港、印度、日本、韩国、菲律宾、
新加坡、中国台北、英国以及美国。 我们的独立性保证了我们能在对抗计算机病毒的过程中发挥重要的作用,同时会提醒人们对计算机安全的警惕性。 AVAR
的主要工作包括:
1) 组织和承办以反病毒为主题的 AVAR年会和论坛
2) 在 AVAR网站上提供亚洲的计算机病毒事件的信息
3) 通过邮件的形式在 AVAR的成员中建立邮件列表,并在会员中交换意见与信息
5,国家计算机病毒应急处理中心
http://www.antivirus-china.org.cn
网站主要内容是病毒流行列表、病毒 SOS求救、数据恢复等。
6,病毒观察
http://www.virusview.net
网站主要内容包括病毒预报、新闻、评论、相关法规、反病毒资料、安全漏洞、密码知识、病毒百科在线检索等。
7,中国绿盟
http://www.nsfocus.com; http://www.nsforce.com
网站内容包括安全论坛、安全文献、系统工具、工具介绍等。
8,安全焦点
http://www.xfocus.net
网站内容包括安全文献、安全工具、安全漏洞、焦点论坛等。
9,病毒资讯网
http://kv365.com
网站主要内容包括黑客频道、防毒技巧、网络安全新闻、病毒新闻等。
10,国际计算机安全联合会 (ICSA-InterNational Computer
Secwrity Association)
http://www.icsa.com/
如要对 Internet的安全问题感兴趣,你可以访问国家计算机安全联合会 (NCSA)的站点。这里会看到很多关于国家计算机安全联合会各种活动的信息,包括会议,培训、产品认证和安全警告等。在这里你可以了解到国际知名的病毒防治软件登记请况。
谢谢