計算機病毒
一、計算機病毒
《中華人民共和國計算機信息系統安全保護條例》中明確指出:「計算機病毒,是指編製或者在計算機程序中插入的破壞計算機功能或者在計算機程序中插入的破壞計算機功能或者毀壞數據,影響計算機使用,並能自我複製的一組計算機指令或者程序代碼。」
- 產生原因
1.早期病毒大多為惡作劇,炫技,破壞性不強
2.版權保護(巴基斯坦病毒,正常軟件中嵌入病毒代碼,追蹤非法拷貝產品的用戶)Microsoft
3.用於特殊目的,對政府、單位的特殊系統進行宣傳或破壞,用于軍事目的(震網)
4.捕獲並控制他人計算機或數據,謀取經濟利益(勒索病毒,熊貓燒香)
- 命名和分類
反病毒公司為方便管理,按照病毒特徵,將病毒進行分類命名。
1.一般格式為:<病毒前綴>.<病毒名>.<病毒後綴>
前綴:Trojan表示木馬,通過網絡或系統漏洞進入用戶的系統並隱藏,向外泄露用戶的信息,對用戶的計算機進行遠程控制。(Trojan.QQ3344)
Worm表示蠕蟲,通過網絡或系統漏洞進行傳播,無需用戶進行特定操作即可感染(打開文件、插入U盤Worm.Sasser)
Macro表示宏病毒,感染office文檔(Macro.Melissa);Win32類病毒感染Windows操作系統的可執行程序*.exe和*.dll(Win32.CIH)
Script表示腳本病毒,使用腳本語言編寫,通過網頁進行傳播(Script.Redlof)
- 典型病毒分析
1.U盤病毒
autorun.inf,RavMonE.exe
[AutoRun]
Open=SysAnti.exe
Shell\Open=打開(&0)
Shell\Open\Command=SysAnti.exe
Shell\Open\Default=1
Shell\Explore=資源管理器(&X)
Shell\Explore\Command=SysAnti.exe
拿到U盤新建文件重命名為autorun.inf設置為只讀、隱藏屬性
2.ARP病毒
ARP地址欺騙,向全網發送偽造的ARP數據包,冒充網關,劫持HTTP流量插廣告
病毒發作的癥狀:所有計算機,不管瀏覽什麼網站,網頁上都會被插入同樣的廣告內容。另外,冒充網關的計算機性能遠不及真正的網關,使計算機上網瀏覽速度變慢
3.熊貓燒香病毒
構建「殭屍網絡」,通過盜竊各種遊戲和QQ賬號等非法方式牟利
4.震網(西門子SIMATIC WinCC)
5.CIH第一個破壞硬件的病毒
6.Wanna cry勒索病毒,利用漏洞
微軟ms17-010(永恆之藍)——蠕蟲,加密文件,比特幣
二、手機病毒
- 發展
1.早期:藍牙 現在:偽基站
- 破壞方式
1.嵌入式惡意代碼
2.與合法程序捆綁,採用加殼等手段
3.篡改安卓程序安裝包APK文件,通過劫持流量或非官方分發渠道傳播
4.保持正常程序執行邏輯,同時執行惡意代碼
三、反病毒技術
- 病毒檢測技術
1.特徵碼掃描
工作機制:特徵匹配
病毒庫:惡意代碼特徵庫
掃描:特徵匹配過程
優勢:準確,誤報率低
不足:效率問題,特徵庫不斷龐大、依賴廠商;滯後,先有病毒後又病毒庫
2.行為檢測
工作機制:基於統計數據
惡意代碼行為有哪些;行為符合度
優勢:能檢測未知病毒
不足:誤報率高
3.雲查殺
大數據收集用戶行為——雲服務器研判——疫情推送
- 反病毒技術
1.殺毒與反殺
2.自我保護
3.單個進程退出前執行
4.處理關閉消息
5.多個進程互相檢查
