第8章-计算机病毒与反病毒技术课件.ppt

1、第第8章章 计算机病毒与计算机病毒与反病毒技术反病毒技术熊猫烧香熊猫烧香武汉男生武汉男生l发展过程：2006年10月16日“熊猫烧香”病毒在网上传播，2006年底到2007年初，金山毒霸反病毒中心监测到“熊猫烧香”变种数已达到90多个。l病毒主要通过网站带毒感染用户之外，也会在局域网中传播，导致短短三月内数百万台电脑中毒。l中毒症状：l1感染系统文件，被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样l2通过局域网进行传播，进而感染局域网内所有计算机系统，最终导致企业局域网瘫痪l3中止大量的反病毒软件进程l4删除扩展名为gho的文件，使用户的系统备份文件丢失l问题问题l什么

2、样的程序才是病毒?l病毒有哪些危害性?l病毒是怎样实现传播的?l病毒程序的一般结构?学习目标学习目标l计算机病毒的发展历史及危害l计算机病毒的基本特征及传播方式l病毒的结构l常用的反病毒技术l常用的病毒防范方法病毒起源病毒起源l1949,冯 诺依曼就提出了计算机病毒的概念”能够实际复制自身的自动机”美籍匈牙利数学家冯诺依曼现在使用的计算机基本工作原理是存储程序和程序控制数据与指令采用二进制冯诺依曼对人类的最大贡献是对计算机科学、计算机技术和数值分析的开拓性工作。l70年代,美国作家雷恩所著P1的青春一书中构思了一种能够自我复制，利用通信进行传播的计算机程序，称之为计算机病毒。l1983年11月

3、3日，弗雷德科恩（FredCohen）博士研制出一种在运行过程中可以复制自身的破坏性程序l伦艾德勒曼（LenAdleman）将它命名为计算机病毒（computervirus）。l1986年初，巴基斯坦的巴锡特（Basit）和阿姆杰德（Amjad）两兄弟编写了Pakistan病毒（即Brain病毒），该病毒在一年内流传到了世界各地。l1988年3月2日，一种苹果机的病毒发作，这天受感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。蠕虫病毒蠕虫病毒1988年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络互联网。l199

4、1年在“海湾战争”中，美军第一次将计算机病毒用于实战。l1992年出现针对杀毒软件的“幽灵”病毒，如One-half。l1996年首次出现针对微软公司Office的“宏病毒”。l1997年被公认为计算机反病毒界的“宏病毒”年。CIH病毒病毒v CIH病毒，又名“切尔诺贝利”，是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。v 1999年4月26日，CIH病毒在全球范围大规模爆发，造成近6000万台电脑瘫痪。（该病毒产生于1998年）l

5、2001年7月中旬，一种名为“红色代码”的病毒在美国大面积蔓延，这个专门攻击服务器的病毒攻击了白宫网站，造成了全世界恐慌。l2003年，“2003蠕虫王”病毒在亚洲、美洲、澳大利亚等地迅速传播，造成了全球性的网络灾害。l2004年是蠕虫泛滥的一年，大流行病毒：l网络天空(Worm.Netsky)l高波(Worm.Agobot)l爱情后门(Worm.Lovgate)l震荡波(Worm.Sasser)lSCO炸弹(Worm.Novarg)l冲击波(Worm.Blaster)l恶鹰(Worm.Bbeagle)l小邮差(Worm.Mimail)l求职信(Worm.Klez)l大无极(Worm.SoBi

6、g)冲击波病毒冲击波病毒v 年仅18岁的高中生杰弗里李帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此，他的邻居们表示不敢相信。在他们的眼里，杰弗里李帕森是一个电脑天才，而决不是什么黑客，更不会去犯罪。l2005年是木马流行的一年，新木马包括：l8月9日，“闪盘窃密者（Trojan.UdiskThief）”病毒。该木马病毒会判定电脑上移动设备的类型，自动把U盘里所有的资料都复制到电脑C盘的“test”文件夹下，这样可能造成某些公用电脑用户的资料丢失。l11月25日，“证券大盗”（）。该木马病毒可盗取包括南方证券、国泰君安在内多家证券交易系统的交易账户和密码，被盗号的股民

7、账户存在被人恶意操纵的可能。l7月29日，“外挂陷阱”（troj.Lineage.hp）。此病毒可以盗取多个网络游戏的用户信息，如果用户通过登陆某个网站，下载安装所需外挂后，便会发现外挂实际上是经过伪装的病毒，这个时候病毒便会自动安装到用户电脑中。l9月28日，我的照片(Trojan.PSW.MyPhoto)病毒。该病毒试图窃取热血江湖、传奇、天堂、工商银行、中国农业银行等数十种网络游戏及网络银行的账号和密码。该病毒发作时，会显示一张照片使用户对其放松警惕。病毒的定义病毒的定义l在中华人民共和国计算机信息系统安全保护条例中对计算机病毒进行了明确定义：“计算机病毒是指编制或者在计算机程序中插入的

8、破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒的生命周期病毒的生命周期l（1）隐藏阶段l（2）传播阶段l（3）触发阶段l（4）执行阶段处于这个阶段的病毒不进行操作，等待事件触发。触发事件包括时间、其他程序或文件出现等等。但有的病毒没有隐藏阶段。病毒copy自身到未感染病毒的程序或磁盘的某个扇区。被感染的程序可以继续传播病毒的copy。病毒将被激活进入执行阶段。在这一阶段，病毒收到一些系统事件的触发。例如：病毒本身进行复制的副本数达到了某个数量病毒被激活执行病毒设计者预先设计好的功能。这些功能可能是无害的，例如：向屏幕发送一条消息；也可能是有害的，

9、例如：删除程序或文件，强行关机等。病毒的一般结构病毒的一般结构lProgram v:=llgoto main;l 1234567;l subroutine infect-executable:=l l loop： file:=get-radom-executable-file;l if （first-line-of-file = 1234567） then goto loop;l else prepend V to file; l l subroutine do-damage:=l whatever damage is to be donel l subroutine trigger-pull

10、ed:=l return true if some condition holdsl lmain: main-program:=l l infect-executable;l if trigger-pulled then do-damage;l goto next;lnext: l 病毒的特征（1）传染性最重要的判别条件。（2）破坏性良性，恶性（3）潜伏性潜伏期不容易发现，触发机制。（4）可执行性（5）可触发性时间，日期，文件类型，特定数据（6）隐蔽性病毒短小精悍，感染病毒后的程序不宜区别。病毒的类型病毒的类型1.文件感染型2.引导扇区型3.混合型4.宏病毒5.网络病毒主要感染COM，EXE等

11、可执行文件，寄生于宿主程序中，必须借助于宿主程序才能装入内存。病毒把代码复制到宿主程序的开头或结尾，造成被感染文件长度变长。或者直接改写被感染文件程序码，造成宿主程序本身功能受影响。大多数文件型病毒都是常驻内存。简称引导型病毒，主要影响软盘上的引导扇区和硬盘上的主引导扇区。主引导扇区是硬盘的第一个扇区，主引导程序占用扇区的前446kb，负责从活动分区中加载操作系统引导程序。硬盘启动加电自检后，将硬盘主引导扇区读入内存，然后执行此段代码。引导型病毒几乎都常驻内存。综合了引导型和文件型病毒的特性，不仅感染引导区，也感染文件。开机或者执行程序时感染其他磁盘或文件。宏病毒寄生在文档或模板的宏中。打开文

12、档，宏病毒就会被激活，进入计算机内存中，驻留在Normal模板上。被感染的机器打开的word文档感染上宏病毒。特洛伊木马、蠕虫病毒、网页病毒。网页病毒-网页恶意代码。在网页中用JavaApplet,JavaScript，ActiveX设计的程序。可以利用IE漏洞，修改用户注册表，修改IE默认设置、获取用户的个人资料，删除文件，格式化硬盘等。病毒的传播病毒的传播: :(1)移动存储设备传播 软盘、优盘、移动硬盘、光盘、磁带。(2)网络传播 电子邮件、文件下载、网页浏览、聊天软件。(3)无线传播 病毒的危害病毒的危害: :（1）病毒发作对计算机数据信息的直接破坏（2）占用磁盘空间和对信息的破坏（3

13、）抢占系统资源（4）影响计算机运行速度（5）计算机病毒错误与不可预见的危害（6）计算机病毒给用户造成严重的心理压力格式化硬盘改写文件分配表和目录区删除重要文件改写文件破坏CMOS非法占用磁盘空间占据磁盘引导扇区，将原来的引导区转移到其他扇区增加文件的长度大多数病毒在活动状态下常驻内存，抢占内存。有些病毒会修改中断地址，抢占中断，干扰系统正常运行。网络病毒会占用大量网络资源，计算机连接、带宽，是网络通信变得缓慢病毒为了判断传染发作条件，要对计算机的工作状态进行监视。有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态。加密解密的工作量。病毒传染时也要插入非法的

14、额外操作。绝大部分病毒都存在不同程度的错误。计算机病毒错误所产生的后果往往是不可预见的，有可能比病毒本身的危害还大。病毒的命名病毒的命名病毒前缀.病毒名.病毒后缀。病毒前缀：病毒的种类，不同的种类的病毒，其前缀不相同。比如常见的木马的前缀是Trojan，蠕虫的前缀是Worm。病毒名：病毒的家族特征，是用来区别和标识病毒家族的，如著名的CIH病毒的家族名都是统一的CIH，振荡波蠕虫病毒的家族名是Sasser。病毒后缀：病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示，如：Worm.Sasser.b就是指振荡波蠕虫病毒的变种b。如果病毒变种非常多，可以采用

15、数字与字母混合表示变种标识。 l1.系统病毒：Win95.CIH,Win32.CIHl2.蠕虫病毒：网络天空Worm.Netsky.A,贝革热Worm.Bgeagle.A，震荡波Worm.Sasserl3.木马病毒、黑客病毒：Trojan，Hackl4.脚本病毒：红色代码Script.Redlof,欢乐时光VBS.Happytime,十四日Js.Fortnight.c.sl5.宏病毒：美丽杀手Macro.Mellissal6.后门病毒：瑞波Backdoor.RvotCIH病毒病毒l作者：陈盈豪l文件型病毒，感染Windows9x可执行文件l传播途径：Internet和电子邮件l版本：V1.0,

16、V1.1,V1.2,V1.3,V1.4等5个版本。l触发条件：4月26日，6月26日，26日l对计算机硬盘及BIOS有超强破坏力宏病毒宏病毒l宏是一系列命令和指令的组合，可以作为单个命令执行来自动完成某项任务l加快常规编辑和格式设置的速度l自动执行一系列复杂的任务l可以使用宏录制器来录制一系列操作。l宏病毒寄存在文档或模板的宏中。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。l从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。蠕虫病毒蠕虫病毒蠕虫（Worm）是一种

17、通过网络传播的恶性病毒，它通过分布式网络来扩散传播特定的信息或错误，进而造成网络服务遭到拒绝并发生死锁。 蠕虫又与传统的病毒又有许多不同之处，如不利用文件寄生、对网络造成拒绝服务、与黑客技术相结合等。l计算机蠕虫病毒是一种融合计算机蠕虫、计算机病毒和木马技术的新技术l通过大规模的扫描获取网络中存在漏洞的计算机的控制权进行复制和传播l在已感染的计算机中设置后门或执行恶意代码破坏计算机系统或信息。普通病毒普通病毒蠕虫病毒蠕虫病毒存在形式存在形式寄生于文件独立程序传染机制传染机制宿主程序运行主动攻击传染目标传染目标本地文件网络计算机病毒名称爆发时间造成损失莫里斯蠕虫1988年6000多台电脑停机，经

18、济损失达9600万美元美丽杀手1999年政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元爱虫病毒2000年5月众多用户电脑被感染，损失超过96亿美元红色代码2001年7月网络瘫痪，直接经济损失超过26亿美元求职信2001年12月大量病毒邮件堵塞服务器，损失达数百亿美元蠕虫王2003年1月网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元冲击波2003年7月大量网络瘫痪，造成了数十亿美金的损失MyDoom2004年1月大量的垃圾邮件，攻击SCO和微软网站，给全球经济造成了300多亿美元的损失l一种是以邮件附件的形式传播的，当无意打开这种邮件，蠕虫被激活，继而感染电

19、脑系统.l另一种是传播不需要借助其他媒介，感染的对象是存在安全漏洞的电脑。入侵某个系统之后，会以受害系统为跳板，扫描探测更多存在同样漏洞的电脑，并自动进行攻击，随即蔓延扩充。蠕虫病毒的基本结构和传播过程蠕虫病毒的基本结构和传播过程（1）蠕虫的基本程序结构包括以下3个模块：传播模块：负责蠕虫的传播，传播模块又可以分为三个基本模块：扫描模块、攻击模块和复制模块。隐藏模块：侵入主机后，隐藏蠕虫程序，防止被用户发现。目的功能模块：实现对计算机的控制、监视或破坏等功能。（2）蠕虫程序的一般传播过程为：扫描：由蠕虫的扫描模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，

20、就得到一个可传播的对象。攻击：攻击模块按漏洞攻击步骤自动攻击上一步骤中找到的对象，取得该主机的权限（一般为管理员权限)。复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。8.2.4 病毒的发展趋势病毒的发展趋势（1）传播网络化（2）利用操作系统和应用程序的漏洞（3）混合型威胁（4）病毒制作技术新（5）病毒家族化特征显著8.3 反病毒技术反病毒技术8.3.1 反病毒技术的发展阶段反病毒技术的发展阶段一个合理的反病毒方法，应包括以下几个措施：检测：就是能够确定一个系统是否已发生病毒感染。并能正确确定病毒的位置。识别：检测到病毒后，能够辩别出病毒的种类清除：识别病毒之后，对感染病毒

21、的程序进行检查，清除病毒并使程序还原到感染之前的状态，从系统中清除病毒以保证病毒不会继续传播。如果检测到病毒感染，但无法识别或清除病毒，解决方法是删除被病毒感染的文件，重载未被感染的版本。反病毒软件可以划分为四代：l第一代：简单的扫描器-特征代码法l第二代：启发式扫描器l第三代：行为陷阱-行为监视法l第四代：全部特征保护8.4 病毒防范措施病毒防范措施8.4.1 防病毒措施防病毒措施1服务器的防病毒措施服务器的防病毒措施（1）安装正版的杀毒软件（2）拦截受感染的附件（3）合理设置权限（4）取消不必要的共享（5）重要数据定期存档2终端用户防病毒措施终端用户防病毒措施（1）安装杀毒软件和个人防火墙（2）禁用预览窗口功能（3）删除可疑的电子邮件（4）不要随便下载文件（5）定期更改密码8.4.2 常用杀毒软件常用杀毒软件国内的杀毒软件市场有瑞星、江民、金山、卡巴、360。瑞星是北京瑞星科技股份有限公司的产品，在国内市场占据率为60%。江民杀毒软件KV是江民科技公司的产品，在国内市场占据率为15%。金山毒霸是金山软件股份有限公司的产品，在国内市场占据率为15%。