[信息与通信]网络四级第6章.ppt

计算机网络安全 计算机网络安全技术 主讲： Email: 电话： 第6章 网络病毒与防治 了解计算机病毒的概念、特征 了解计算机病毒的分类、传播方式及其危害 掌握各种防止病毒的软件的安装和配置方法 掌握特定的网络病毒的查杀方法 6.1 计算机病毒概述 计算机病毒的防御对网络管理员来说是一个望而生畏的任务。特别是随着病毒越来越高级，情况就变得更是如此。目前，几千种不同的病毒不时地对计算机和网络的安全构成严重威胁。因此，了解和控制病毒威胁显得格外重要，任何有关网络数据完整性和安全的讨论都应考虑到病毒。 6.1.1 计算机病毒基本概念 计算机病毒是一种具有自我复制能力的计算机程序，它不仅能够破坏计算机系统，而且还能够传播、感染到其他的系统，它能影响计算机软件、硬件的正常运行，破坏数据的正确与完整。 6.1.2 计算机病毒的历史 起源于冯·诺伊曼（John Von Neumann）的一篇论文《复杂自动装置的理论及组识的进行》。 美国著名的ATT贝尔实验室的“磁芯大战”（core war）的游戏 。 60年代，出现了一种“living”软件 ，可以进行自我复制 1975年，美国科普作家约翰·布鲁勒尔（John Brunner）的《震荡波骑士》（Shock Wave Rider） 1977年，托马斯·捷·瑞安（Thomas.J.Ryan）的科幻小说《P-1的春天》（The Adolescence of P-1） 1983 年 11 月 3 日，弗雷德·科恩 (Fred Cohen) 博士在UNIX系统下研制出一种在运行过程中可以复制自身从而会引起系统死机的程序 1986 年初，在巴基斯坦的拉合尔 (Lahore)，巴锡特 (Basit) 和阿姆杰德(Amjad) 两兄弟编写了Pakistan 病毒，即Brain。 1987年，第一个电脑病毒C-BRAIN终于诞生 . 6.2 计算机病毒的特征及传播方式 要做好反病毒技术的研究，首先要认清计算机病毒的特点和行为机理，为防范和清除计算机病毒提供充实可靠的依据。 6.2.1 计算机病毒的特征 根据对计算机病毒的产生、传染和破坏行为的分析，总结出病毒有以下几个主要特点。 1）自我复制能力 2）夺取系统控制权 3）隐蔽性 4）破坏性 5）潜伏性 6）不可预见性 6.2.2 病毒的传播方式 计算机病毒的传播有如下几种方式： 1. 通过不可移动的计算机硬件设备进行传播(即利用专用ASIC芯片和硬盘进行传播)。这种病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段对付。 2. 通过移动存储设备来传播（包括软盘、磁带等）。其中软盘是使用最广泛移动最频繁的存储介质，因此也成了计算机病毒寄生的“温床”。 3. 通过计算机网络进行传播。随着Internet的高速发展，计算机病毒也走上了高速传播之路，现在通过网络传播已经成为计算机病毒的第一传播途径。 4. 通过点对点通信系统和无线通道传播。 6.3 计算机病毒的分类 各种不同种类的病毒有着各自不同的特征，它们有的以感染文件为主、有的以感染系统引导区为主、大多数病毒只是开个小小的玩笑、但少数病毒则危害极大（如臭名昭著CIH病毒），这就要求我们采用适当的方法对病毒进行分类，以进一步满足日常操作的需要 1. 按程序运行平台分类 病毒按程序运行平台分类可分为DOS病毒、Windows病毒、Windows NT病毒、OS/2病毒等。 2. 按传染方式分类 病毒按传染方式可分为引导型病毒、文件型病毒和混合型病毒三种。 3. 按连接方式分类 病毒按连接方式分为源码型病毒、入侵型病毒、操作系统型病毒、外壳型病毒等四种。 4. 按破坏性分类 根据病毒破坏的能力可划分为以下几种：无害型、无危险型、危险型和非常危险型 5. 新型病毒 部分新型病毒由于其独特性而暂时无法按照前面的类型进行分类，如宏病毒、黑客软件、电子邮件病毒等。 6.4.1 计算机病毒的破坏行为 不同病毒有不同的破坏行为，有代表性的行为如下： 1）攻击系统数据区 即攻击计算机硬盘的主引导扇区、Boot扇区、FAT表、文件目录等内容（一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复） 攻击文件 其表现删除文件、修改文件名称、替换文件内容、删除部分程序代码等等。 攻击内存 内存是计算机的重要资源，也是病毒的攻击目标。其攻击方式主要有占用大量内存、改变内存总量、禁止分配内存等。 4) 干扰系统运行 不执行用户指令、干扰指令的运行、内部栈溢出、占用特殊数据区、时钟倒转、自动重新启