信息安全讲座04.ppt

信息安全技术讲座（病毒与木马） 刘乃琦教授 电子科技大学计算机学院 2006年9月 第一节 恶意程序与病毒 Virus protection 二、计算机病毒的特点 所有计算机病毒都具有(或者部分具有)下述的特性，这些特性是病毒赖以生存的手段和机制，是计算机病毒对抗技术中必须涉及的重要问题。 1. 系统特点 1）传染性(propagation)。 感染病毒的程序一旦运行，就会感染其他的程序，并且一直保持这种传染性，进行再传染。特洛依木马型特殊程序以预施方式发布。 系统特点（续） 2）持久性(persistence) 带毒程序可以再传染 带毒程序的检测和清除困难 带毒环境的清洗困难 系统和数据的恢复困难并费时 系统恢复有时甚至是不可能的 网络环境下的病毒跟踪检测更困难 反病毒软件本身具有副作用 系统特点（续） 3）多能性(versatility) 计算机病毒具有各种类型 病毒变化各异, 攻击目标不同 可以针对和攻击各个应用领域 攻击无需任何预先信息 系统特点（续） 4）潜伏性(conceality) 大多数病毒代码少、体积小 病毒程序便于隐藏，不易查觉 程序固化和病毒码的微电子化 病毒的长期存在性和潜伏性 潜伏期的病毒由专门事件触发 受害者很难早期发现 部分病毒具有伪装性，难以识别 系统特点（续） 5）影响性(effectiveness) 计算机病毒既可以对数据、程序、以及整个系统带来灾难性和深远的影响，也可以对操作员、程序员、以及决策者的心理产生极大影响，造成平时和战时, 军事与民事的双重压力。 二、病毒攻击技术 传染途径 注入(侵入) --传染(驻留) --替换(修改) --潜伏(等待) --表现(破坏) --结束(自毁) 在其上任何一个环节都可以阻止病毒传染、设立警戒标志和防护栏。 三、宏病毒特征 与操作系统平台无关 利用文档自动装载 感染数据文件 检测消除困难 与传统病毒机理不同，消除困难 案例：宏病毒手工清除 1）设置Office中的宏安全检测 2）在工具栏中使用宏检测机制 3）使用Versual BASIC编辑器 4）使用MS脚本编辑器 第二节 反病毒技术 Anti-Virus Tech. 一、反病毒技术思路 永远的对抗！ 反病毒技术的难点和困惑 病毒制造和病毒机理的不可预知 反病毒技术发展迟缓，处于被动局面 技术间相互依赖，彼此影响 反病毒技术的副作用 并非所有病毒都能检测、清除 反病毒技术思路 病毒检测 病毒确认 病毒清除 系统恢复 病毒预防 系统免疫 1. 病毒检测技术 1）静态检查 以病毒特征码扫描检查 特征码：特殊的病毒程序指令代码或数据. 单一特征码串；组合特征码； 整体扫描、分区扫描、循环扫描、解压扫描、 缺点：特征码不全、缺少；欺骗性特征码；变异型特征码 病毒检测技术 病毒检测技术 病毒欺骗: 病毒欺骗通常指：在一种病毒代码中（如病毒A中）故意显式地设置另一种病毒（如病毒B）的代码，从而欺骗病毒检测和扫描程序，使其误认为是另一种病毒，造成错报和错误删除。 病毒检测技术 2）动态检查 关键部位操作企图、可疑操作，对敏感部位和关键数据取的访问企图。例如： 对中断矢量的修改 对系统参数的修改 对配置参数的修改 病毒检测技术 对中断矢量的修改 地址：00000-003FF 对系统参数的修改 地址：00400-005FF 如：00413 = 0280 = 640KB容量 不能减少。 对配置参数的修改 I/O地址 70-71，如： IN AL , 70 OUT 71 , AL 病毒检测的副作用 （1）漏报 系统中有病毒但不能够检查出来 原因: 未知新病毒 病毒变异 多形性病毒或者隐形病毒 检测程序功能有限 检查技术、位置、途径不对 无病毒特征码或特征码不断改变 病毒检测的副作用 漏报原因: 压缩文件方式多样 病毒体加密解密方式改变 病毒采用反跟踪技术和迷惑技术 病毒驻留内存高端和XMS/EMS区 病毒技术避开检测技术 病毒检测的副作用 （2）误报 系统中没有病毒报成有病毒 原因: 病毒特征码选择不合理 正常操作与非正常操作不能区分 判断失误，检测技术错误或者不妥 因特殊的干扰而作出错误推测 病毒检测的副作用 （3）