第三章-计算机病毒课件.ppt

1、Virus第三章计算机病毒3.4 计算机病毒的传播途径计算机病毒的传播途径 3.3 计算机病毒分类计算机病毒分类 3.2 计算机病毒的特征计算机病毒的特征 3.1 计算机病毒概述计算机病毒概述 3.5计算机病毒的基本防治计算机病毒的基本防治 3.6 木马的特征与防治木马的特征与防治 3.7 常见的杀毒软件常见的杀毒软件教学要求：v 理解：计算机病毒和生物病毒的联系与区别，计算机病毒的分类和基本防治，计算机病毒的危害 v 掌握：计算机病毒的定义、特征、基本构造，计算机病毒的传播途径，计算机病毒的生命周期3.1 计算机病毒概述 v 计算机病毒就是最不安全的因素之一，各种计算机病毒的产生和全球性蔓延

2、已经给计算机系统的安全造成了巨大的威胁和损害。 v 随着计算机网络的发展，计算机病毒对信息安全的威胁日益严重，鉴于此，人们开始了反计算机病毒的研究，一方面要掌握对当前计算机病毒的防范措施，另一方面要加强对病毒未来发展趋势的研究，真正做到防患于未然。 计算机病毒的定义计算机病毒的定义 根据中华人民共和国计算机信息系统安全保护条例 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用、并能自我复制的一组计算机指令或者程序代码。 从广义上讲，一切危害用户计算机数据、偷盗用户隐私、损害他人利益及影响用户正常操作的程序或代码都可被定义为计算机病毒。计算机病毒的特征计算机病

3、毒的特征v任何计算机病毒都是人为制造的、具有一定破坏性的程序。它们与生物病毒有不同点，也有相似之处。v概括起来，计算机病毒具有破坏性、传染性、隐蔽性 、潜伏性、衍生性等主要特征。(一) 寄生性v计算机病毒寄生在其他程序之中，当执行这个程序时，病毒就起破坏作用，而在未启动这个程序之前，它是不易被人发觉的。 （2） 传染性v计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进入计算机并得以执行，它就会搜寻通过各种途径将自身代码传播到其他文件或者计算机中，达到自我繁殖的目的。（3）潜伏性v大部分计算机系统感染病毒后，病毒不会马上发作，可在几天、几周、几个月甚至几年地隐藏起来，而不被发现。只有

4、在满足某种特定条件时才会发作。（4） 隐蔽性v计算机病毒一般是具有很高编程技巧、短小灵活的程序，通常依附在正常程序或磁盘中较隐蔽的地方，也有的以隐含文件夹形式出现，用户很难发现。如果不经过代码分析，是很难将病毒程序与正常程序区分开的。正是这种特性才使得病毒在发现之前已进行了广泛的传播，造成了破坏。(5) 可触发性v 病毒只有在满足某种条件的情况下才会发作，计算机病毒使用的触发条件主要有以下三种。 1.时间触发型：利用计算机内的时钟提供的时间作为触发器， 这种触发条件被许多计算机病毒采用， 触发的时间有的精确到百分之几秒， 有的则只区分年份。v 例如：CIH 病毒的发作时间为每年4月26日，这一

5、天是病毒作者陈盈豪的生日。2. 利用计算机病毒体内自带的计数器作为触发器， 计算机病毒利用计数器记录某种事件发生的次数， 一旦计数器达到某一设定的值， 就执行破坏操作。 3. 利用计算机内执行的某些特定操作作为触发器， 特定操作可以是用户按下某种特定的组合键， 或者发送电子邮件， 也可以是访问文件等。（6） 破坏性v计算机病毒的目的在于破坏系统的正常运行，主要表现有占用系统资源、破坏用户数据、干扰系统正常运行。恶性病毒的危害性很大，严重时可导致系统死机，甚至网络瘫痪。(7) 衍生性衍生性v计算机病毒程序可被他人模仿或修改，经过恶做剧者或恶意攻击者的改写，就可能成为原病毒的变种。计算机机病毒的基

6、本构造计算机机病毒的基本构造v 计算机病毒的逻辑程序结构一般来讲包含三个部分：引导部分、传染部分、表现或破坏部分。 引导部分的作用是将病毒主体加载到内存，为传染部分做准备（如驻留内存、修改中断、修改高端内存、保存原中断向量、修改注册表等操作）。 传染部分的作用是将病毒代码复制到传染目标上去。不同类型的病毒在传染方式、传染条件以及传播所借助的媒体上各有不同。 表现部分的作用是在病毒发作条件（表现、破坏条件）满足时，实施对系统的干扰和破坏活动。 计算机病毒的生命周期计算机病毒的生命周期 开发期 今天有一点计算机编程知识的人都可以制造一个病毒。 传染期 在一个病毒制造出来后，病毒的编写者将其拷贝分发

7、出去并确认其已被传播出去。 潜伏期 一个设计良好的病毒可以在它活化前的很长时期里被复制。这就给了它充裕的传播时间。 计算机病毒的生命周期计算机病毒的生命周期 发作期 带有破坏机制的病毒会在满足某一特定条件时发作。 发现期 通常情况下，一个病毒被检测到并被隔离出来后，它会被送到计算机安全协会或反病毒厂家，在那里病毒被通报和描述给反病毒研究工作者。 计算机病毒的生命周期计算机病毒的生命周期 杀毒期 在这一阶段，反病毒开发人员修改他们的软件以使其可以检测到新发现的病毒。 消亡期 有一些病毒在消失之前有一个很长的消亡期。计算机病毒的分类v 对计算机病毒的分类主要有以下几种方法：1.按计算机病毒寄生方式

8、和感染途径分类2.按计算机病毒攻击的操作系统分类3.按计算机病毒的表现（破坏）情况分类4.按计算机病毒的传播媒介分类按按计算机病毒寄生方式和感染途径分类计算机病毒寄生方式和感染途径分类v 引导型病毒 引导型病毒感染软盘中的引导区，蔓延到用户硬盘，并能感染到用户盘中的“主引导记录”。 引导型病毒几乎都会常驻内存，差别仅在于内存中的位置不同。引导型病毒按其寄生对象的不同又可分为两类：MBR（主引导区）病毒和BR（引导区）病毒。 MBR病毒也称分区病毒，将病毒寄生在硬盘分区主引导程序所占据的硬盘0头0柱面第1个扇区中。典型的有“大麻”病毒。 BR病毒是将病毒寄生在硬盘逻辑0扇区或软盘逻辑0扇区，典型

9、的有“Brain”、“小球”病毒。按按计算机病毒寄生方式和感染途径分类计算机病毒寄生方式和感染途径分类v 文件型病毒 文件型病毒是指所有通过操作系统的文件系统进行感染的病毒。 文件型病毒分为源码型病毒、嵌入型病毒和外壳型病毒。 源码型病毒是用高级语言编写的，若不进行汇编、链接则无法传染扩散。 嵌入型病毒是嵌入在程序中的，它只针对某种具体程序起作用，如“DBASE”病毒。 文件型病毒按其驻留内存方式的不同可分为驻留型和不驻留内存型。按按计算机病毒寄生方式和感染途径分类计算机病毒寄生方式和感染途径分类v混合型病毒 混合型病毒，也称综合型、复合型病毒，同时具备引导型和文件型病毒的特征，即这种病毒既可

10、以感染磁盘引导扇区，又可以感染可执行文件。这类病毒有极强的传染性，危害性大，清除难度也更大。按按计算机病毒计算机病毒攻击的操作系统分类攻击的操作系统分类v攻击DOS系统的病毒 v攻击Windows系统的病毒 v攻击Unix系统的病毒 v攻击OS/2系统的病毒v其他操作系统上的病毒 按按计算机病毒计算机病毒的表现（破坏）情况分类的表现（破坏）情况分类v良性病毒 良性病毒是指不包含对计算机系统产生直接破坏作用代码的计算机病毒。 v恶性病毒 恶性病毒是指在代码中包含损伤和破坏计算机系统的操作，在其传染或发作时会对系统产生直接的破坏作用。 按按计算机病毒计算机病毒的传播媒介分的传播媒介分类类v 单机病

11、毒 单机病毒的载体是磁盘、光盘和U盘等可移动存储介质。常见的是病毒从软盘、U盘、光盘传入硬盘，感染系统，然后再感染其它可移动存储介质，进而再感染其他系统。 v 网络病毒 网络病毒利用计算机网络的协议、命令、E-Mail、FTP、Web、QQ等进行传播，已经成为病毒中危害最为严重的种类，如今的病毒大多都是网络病毒。计算机病毒的传播途径计算机病毒的传播途径v通过移动存储设备进行传播 移动存储设备包括磁带、软盘、光盘、U盘、移动硬盘等。U盘病毒的预防v 1.右键-【资源管理器】打开移动存储设备，屏蔽AUTORUN.INF。v 2.关闭本机自动运行：运行【gpedit.msc】-v 【用户配置】-【管

12、理模板】-【系统】，将【关闭自动运行】设置为“启用”，“所有驱动器”v 3.U盘免疫：在命令行下运行以下指令v md autorun.infabcd.v 删除目录： rd autorun.inf /s计算机病毒的传播途径计算机病毒的传播途径v通过有线网络系统进行传播 电子邮件、WWW浏览 、FTP文件传输、网络聊天工具 。 计算机病毒的传播途径计算机病毒的传播途径v通过无线通信系统进行传播 无线网络已经越来越普及，但无线装置拥有防毒程序的却不多。由于未来有更多手机通过无线通信系统和互联网连接，手机已成为病毒的新的攻击目标。计算机病毒的危害与症状 v 对计算机数据信息的直接破坏 大部分病毒在发作

13、的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMOS设置等。 v 占用磁盘空间 寄生在磁盘上的病毒总要非法占用一部分磁盘空间。 v 抢占系统资源 大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒抢占内存，导致内存减少，致使一部分软件因内存不足而不能运行。 计算机病毒的危害与症状v 影响计算机运行速度 病毒为了判断传染激发条件，总要对计算机的工作状态进行监视，这相对于计算机的正常运行状态既多余又有害。 有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密

14、状态。 病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢， 而且打乱软盘正常的读写顺序并发出刺耳的噪声。 特洛伊木马不断自动升级更新、执行远程指令、向远程计算机发送本地信息，严重影响用户网络访问速度。 计算机病毒的危害与症状 计算机病毒错误与不可预见的危害 大量含有未知错误的病毒扩散传播其后果是难以预料的。 计算机病毒的兼容性对系统运行的影响 病毒的编制者一般不会在各种计算机环境下对病毒进行测试，因此病毒的兼容性较差，常常导致死机。 计算机病毒造成心理的和社会的危害 发现系统感染病毒，会产生潜在的恐惧，极大地影响了现代计算机的使用效率，由此带来的无形损失是难以估

15、量的。计算机病毒的发作症状计算机病毒的发作症状v 屏幕显示异常 v 系统声音异常 v 系统工作异常 不承认硬盘或系统引导失败。 开机出现黑屏。 内存空间减小，系统运行速度下降。 系统自动重启、异常死机、用户没有访问的设备出现工作信号。 计算机病毒的发作症状计算机病毒的发作症状v键盘工作异常 响铃 重复字符。 v文件系统异常 文件长度变化 时间日期变化 文件数目变化 文件后缀变化 计算机病毒的发作症状计算机病毒的发作症状v 其他异常形式 坏轨增加 发出虚假报警 修改磁盘卷标 打开Word文档后，该文件无法另存为一个.DOC文档，只能保存成模板文档（ .DOT）；Word菜单有关宏的选项丢失。 W

16、indows桌面图标发生变化 网络瘫痪 计算机病毒的基本防治 不论是良性病毒还是恶性病毒，一旦侵入系统都会给系统的正常运行造成一定的破坏，特别是通过网络传播的计算机病毒，能在很短的时间内使整个网络处于瘫痪状态，从而造成巨大的经济损失。因此，预防病毒的入侵、阻止病毒的传播，及时地消除计算机病毒是一项非常重要的工作。 解决病毒攻击的理想方法是对病毒进行预防，即在第一时间阻止病毒进入系统。因为没有病毒的入侵，也就没有病毒的传播，更不需要消除病毒。 计算机病毒的基本防治 防毒是从病毒的寄生对象、内存驻留方式、传染途径等病毒行为入手进行动态监测和防范。一方面防止外界病毒向计算机内传染，另一方面抑制现有病

17、毒向外传染。 防毒是以病毒的机理为基础，防范的目标并不局限于已知的病毒，而是以现有的病毒机理设计的一类病毒，包括按现有机理设计的未来新病毒或变种病毒。计算机病毒的基本防治计算机病毒的基本防治 树立正确的防毒意识，加强计算机应用的管理。 收到来路不明的带有附加文件的电子邮件时，应直接删除。 个人的Internet账号和E-mail帐号不可随意告诉他人，这样，除了可以避免收到有问题的邮件外，还可以避免账号被他人盗用。 使用复杂的口令，保证口令不被他人知道并要时常更换。 不随便运行来历不明的软件。 不随便点击QQ等聊天程序中发送的链接网址。 系统中的重要文件要定期进行备份。 计算机病毒的基本防治计算

18、机病毒的基本防治技术上的预防。 利用成熟的杀毒软件产品和病毒防火墙，实时监控病毒的入侵，定期对磁盘进行检查，清除特定的已知病毒。同时，经常升级杀毒软件、更新病毒库。 如发现计算机运行异常，通过DEBUG、Winhex等各种调试工具或实用软件对系统进行检测、分析，查找是否感染新病毒或病毒变种。计算机病毒的基本防治计算机病毒的基本防治 防毒的重点是控制病毒的传染。防毒的关键是控制对病毒行为的判断，如何有效辨别病毒行为与正常程序行为是防毒成功与否恶重要因素。另外，防毒对于不按现有病毒机理设计的新病毒也可能无能为力。因此，在安装、及时更新升级病毒防火墙的同时，应密切注意系统的各种异常现象，及时查杀病毒

19、、及时通报病毒疫情。木马木马v“特洛伊木马”简称木马，其英文叫做“Trojan house”，其名称取自希腊神话的“特洛伊木马记”，它是一种基于远程控制的黑客工具。木马通常寄生于用户的计算机系统中，盗窃用户信息，并通过网络发送给黑客。在黑客进行的各种攻击行为中，木马都起到了开路先锋的作用。木马的原理木马的原理 木马程序与其它的病毒程序一样，都需要在运行时隐藏自己的行踪。木马通常不容易被发现，因为它一般是以一个正常应用的身份在系统中运行的。 木马也采用客户机/服务器工作模式。它一般包括一个客户端和一个服务器端，客户端放在木马控制者的计算机中，服务器端放置在被入侵的计算机中，木马控制者通过客户端与

20、被入侵计算机的服务器端建立远程连接。木马的运行模式v木马的运行可有以下三种模式：潜伏在正常的程序应用中，附带执行独立的恶意操作；潜伏在正常的程序应用中，但会修改正常的应用进行恶意操作；完全覆盖正常的程序应用，执行恶意操作。 木马的检测和清除木马的检测和清除v可以通过查看系统端口开放的情况、系统服务情况、系统任务运行情况、网卡的工作情况、系统日志及运行速度有无异常等对木马进行检测。1.查看开放端口查看开放端口v当前最为常见的木马通常是基于TCP/UDP协议进行客户端与服务器端之间通信的。因此，就可以通过查看在本机上开放的端口，看是否有可疑的程序打开了某个可疑的端口。例如， “冰河”木马使用的监听端口是7626，灰鸽子的监听端口是8000，Back Orifice 2000使用的监听端口是54320等。查看系统自启动程序查看和恢复win.ini和system.ini系统配置文件查看Windows启动菜单。查看和还原注册表运行MSCONFIG查看自启动程序 木马的预防木马的预防v不随意下载来历不明的软件v不随意打开来历不明的邮件，阻塞可疑邮件v及时修补漏洞和关闭可疑的端口v尽量少用共享文件夹v运行实时监控程序v经常升级系统和更新病毒库v限制使用不必要的具有传输能力的文件 常用的杀毒软件(卡巴斯基)常见的杀毒软件McAfee常见的杀毒软件（江民）常见的杀毒软件（瑞星）Virus