计算机病毒
一、计算机病毒
《中华人民共和国计算机信息系统安全保护条例》中明确指出:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”
- 产生原因
1.早期病毒大多为恶作剧,炫技,破坏性不强
2.版权保护(巴基斯坦病毒,正常软件中嵌入病毒代码,追踪非法拷贝产品的用户)Microsoft
3.用于特殊目的,对政府、单位的特殊系统进行宣传或破坏,用于军事目的(震网)
4.捕获并控制他人计算机或数据,谋取经济利益(勒索病毒,熊猫烧香)
- 命名和分类
反病毒公司为方便管理,按照病毒特征,将病毒进行分类命名。
1.一般格式为:<病毒前缀>.<病毒名>.<病毒后缀>
前缀:Trojan表示木马,通过网络或系统漏洞进入用户的系统并隐藏,向外泄露用户的信息,对用户的计算机进行远程控制。(Trojan.QQ3344)
Worm表示蠕虫,通过网络或系统漏洞进行传播,无需用户进行特定操作即可感染(打开文件、插入U盘Worm.Sasser)
Macro表示宏病毒,感染office文档(Macro.Melissa);Win32类病毒感染Windows操作系统的可执行程序*.exe和*.dll(Win32.CIH)
Script表示脚本病毒,使用脚本语言编写,通过网页进行传播(Script.Redlof)
- 典型病毒分析
1.U盘病毒
autorun.inf,RavMonE.exe
[AutoRun]
Open=SysAnti.exe
Shell\Open=打开(&0)
Shell\Open\Command=SysAnti.exe
Shell\Open\Default=1
Shell\Explore=资源管理器(&X)
Shell\Explore\Command=SysAnti.exe
拿到U盘新建文件重命名为autorun.inf设置为只读、隐藏属性
2.ARP病毒
ARP地址欺骗,向全网发送伪造的ARP数据包,冒充网关,劫持HTTP流量插广告
病毒发作的症状:所有计算机,不管浏览什么网站,网页上都会被插入同样的广告内容。另外,冒充网关的计算机性能远不及真正的网关,使计算机上网浏览速度变慢
3.熊猫烧香病毒
构建“僵尸网络”,通过盗窃各种游戏和QQ账号等非法方式牟利
4.震网(西门子SIMATIC WinCC)
5.CIH第一个破坏硬件的病毒
6.Wanna cry勒索病毒,利用漏洞
微软ms17-010(永恒之蓝)——蠕虫,加密文件,比特币
二、手机病毒
- 发展
1.早期:蓝牙 现在:伪基站
- 破坏方式
1.嵌入式恶意代码
2.与合法程序捆绑,采用加壳等手段
3.篡改安卓程序安装包APK文件,通过劫持流量或非官方分发渠道传播
4.保持正常程序执行逻辑,同时执行恶意代码
三、反病毒技术
- 病毒检测技术
1.特征码扫描
工作机制:特征匹配
病毒库:恶意代码特征库
扫描:特征匹配过程
优势:准确,误报率低
不足:效率问题,特征库不断庞大、依赖厂商;滞后,先有病毒后又病毒库
2.行为检测
工作机制:基于统计数据
恶意代码行为有哪些;行为符合度
优势:能检测未知病毒
不足:误报率高
3.云查杀
大数据收集用户行为——云服务器研判——疫情推送
- 反病毒技术
1.杀毒与反杀
2.自我保护
3.单个进程退出前执行
4.处理关闭消息
5.多个进程互相检查
