病毒与反病毒-最终版.ppt

Chapter 4. Understanding Kaspersky Administration Kit 病毒与反病毒技术的发展概况 病毒的起源 计算机病毒的诞生——大约在1959年，磁芯大战是当时贝尔实验室中三个年轻程序人员在工作之余想出来的，它们是麦耀莱（ Douglas Mcllroy ）、维索斯基（ Victor Vysottsky ）以及莫里斯 （ Robert T.Morris ）。 病毒的发展 操作系统以及设备的类型 易用但不安全 不断增长的互联网与智能手机用户 中国、拉丁美洲、俄罗斯、印度、 以及APAC的其他地区 受害者与网络犯罪 竞争的视角 大批的信息犯罪,恶意程序的的“沸腾”产业 2008年计算机安全状况 黑色病毒产业链 灰鸽子产业链示意图 什么是计算机病毒？ “传播”永远是第一位的 计算机病毒是一个程序，一段可执行码。就像生物病毒一样，计算机病毒有独特的复制能力。 Malware（ Malicious + Software） 恶意程序（ Malware ）的大类： – 病毒（Viruses）和蠕虫 （ Worms） – 木马（Trojans） – 可疑包（Suspicious Packers） – 恶意工具（Malicious Tools） 恶意程序的子类： 间谍软件（PUPs） – 风险软件（ RiskWare） – 恶意广告软件（AdWare） – 色情软件（ PornWare） 卡巴斯基对恶意程序的命名规则 [前缀:] 行为.平台.名称.变种 前缀[Prefix:] 对于具有潜在威胁的程序，通常使用前缀. – 《not-a-virus》 对于以下两个模块发现的程序，通常使用前缀 – 《HEUR》：hrueistics(启发式） – 《PDM》：Proactive Defense Module（主动防御） 行为 行为包括：什么是恶意程序以及它们如何进行传播。 我们做如下分类： 病毒（Viruses） 病毒拥有自我复制功能。 木马（Trojans） Trojan-Banker Trojan-Clicker Trojan-DDoS Trojan-Downloader Trojan-Dropper Trojan-Notiffier Rootkits 恶意程序使用一些秘密技术来隐藏自身或某些目标。 平台 平台是恶意程序工作的环境 – 硬件. CPU,Device. (ARM, Sparc,x64) – 软件. 操作系统, 程序环境. (Win32, Linux, BAT, Python, AutoIt). 名称和变种 名称 名称用来定义一系列相似的恶意程序 通常，这些恶意程序只是经过了某些更改或简单的重新编译 同一恶意程序的不同形式. 变种 变种用来定义同一恶意程序的不同编译版本 从 .a开始，如下继续： b,c,d … ,aa,ab, … 恶意程序命名实例 [前缀:] 行为.平台.名称.变种 例如 : -not-a-virus:Adware.Win32.Kwod.a -HEUR:Virus.[Platiorm]. Generic -HEUR:Worm.[Platiorm]. Generic -PDM:Rootkit.Win32.Generic 卡巴斯基的技术优势 1992 — 首先在防病毒数据库中使用伪指令技术 1992 — 世界上第一个用于指令解码的虚拟机技术 1992 — 第一个使用内置专用模块的外部病毒定义库 1993 — 第一个可扫描存档和压缩文件中病毒的软件 1994 — 启发式扫描技术在原理上获得突破 1997 — 开发出处理宏病毒的超快速信息库 1999 — 全球第一个OS/2平台上的实时病毒拦截模块 1999 — 全球第一个集成的Linux防病毒系统 1999 — 全球第一个集成的MS Office 2000防病毒系统 1999 — 全球第一个集成在NDS中的Novell NetWare防病毒系统 2000 — 独特的脚本病毒实时拦截器 2000 — 全球第一个针对NTFS数据交换流的防毒系统 2001 — 全球第一个开发出对Postfix及Exim邮件网关的病毒防护 2003 — 全球领先研发出反垃圾邮件分析内核 2003 — 全球领先研发出“I-CHECKER”扫描技术. 2005 — 可以针对CAB、ARJ、ZIP和RAR等格式的压缩文件进行包内清毒 2006 — 发布先进的Rootkit检测和处理技术 2007、2008、2