第3章計算機病毒

1、深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠1第三章 計算機病毒深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠2目錄 計算機病毒的定義 病毒發(fā)展史 計算機病毒的特點 病毒分類 計算機病毒的發(fā)展趨勢 病毒實例 病毒的防護深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠3網(wǎng)絡(luò)安全防護體系構(gòu)架網(wǎng)絡(luò)安全評估安全防護網(wǎng)絡(luò)安全服務(wù)系統(tǒng)漏洞掃描網(wǎng)絡(luò)管理評估病毒防護體系網(wǎng)絡(luò)監(jiān)控數(shù)據(jù)保密網(wǎng)絡(luò)訪問控制應(yīng)急服務(wù)體系安全技術(shù)培訓(xùn)數(shù)據(jù)恢復(fù)網(wǎng)絡(luò)安全防護體系構(gòu)架深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠4深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠

2、5 1994年2月18日，我國正式頒布實施了中華人民共和國計算機信息系統(tǒng)安全保護條例，在條例第二十八條中明確指出： “指編制或者在計算機程序中插入的破壞破壞 計算機功能或者破壞破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制自我復(fù)制 的一組計算機指令計算機指令 或者程序代碼程序代碼 ”。病毒：VirusVirus一、計算機病毒的定義深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠6二、病毒發(fā)展史1、計算機病毒的產(chǎn)生的思想基礎(chǔ)和病毒發(fā)展簡介2、實驗室中產(chǎn)生病毒的祖先（磁芯大戰(zhàn)）3、計算機病毒的出現(xiàn) 4、我國計算機病毒的出現(xiàn) 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠7病毒的

3、產(chǎn)生原因（1）編制人員出于一種炫耀和顯示自己能力的目的（2）某些軟件作者出于版權(quán)保護的目的而編制 （3）出于某種報復(fù)目的或惡作劇而編寫病毒 （4）出于政治、戰(zhàn)爭的需要深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠8二、病毒的發(fā)展歷程二、病毒的發(fā)展歷程 1. DOS引導(dǎo)階段 2. DOS可執(zhí)行階段 3. 伴隨階段 4. 多形階段 5. 生成器、變體機階段 6. 網(wǎng)絡(luò)、蠕蟲階段 7. 視窗階段 8. 宏病毒階段 9. 郵件病毒階段 10. 手持移動設(shè)備病毒階段 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠9時代劃分時間總結(jié)第一代：傳統(tǒng)病毒1986-1989DOS引導(dǎo)階

4、段DOS可執(zhí)行階段第二代：混合病毒(超級病毒)1989-1991伴隨、批次型階段第三代：多態(tài)性病毒1992-1995幽靈、多形階段生成器、變體機階段第四代：90年代中后宏病毒階段網(wǎng)絡(luò)、蠕蟲階段深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠10二、病毒的發(fā)展歷程二、病毒的發(fā)展歷程時間名稱事件1986Brain 第一個病毒（軟盤引導(dǎo)）1987黑色星期五病毒第一大規(guī)模爆發(fā)1988.11.2蠕蟲病毒 第一個蠕蟲計算機病毒 1990.1“4096”發(fā)現(xiàn)首例隱蔽型病毒，破壞數(shù)據(jù)1991 病毒攻擊應(yīng)用于戰(zhàn)爭 1991米開朗基羅第一個格式化硬盤的開機型病毒1992VCL- Virus Creat

5、ion Laboratory病毒生產(chǎn)工具在美國傳播深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠11深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠12深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠13計算機病毒的危害計算機病毒的危害v1、計算機病毒造成巨大的社會經(jīng)濟損失v2、影響政府職能部門正常工作的開展v3、計算機病毒被賦予越來越多的政治意義v4、利用計算機病毒犯罪現(xiàn)象越來越嚴(yán)重深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠14三、計算機病毒的特征三、計算機病毒的特征 破壞性 傳染性 隱蔽性 寄生性 可觸發(fā)性可執(zhí)行性深圳職業(yè)技術(shù)學(xué)院深圳

6、職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠15計算機病毒有哪些種類？依據(jù)不同的分類標(biāo)準(zhǔn)，計算機病毒可以做不同的歸類。常見的分類標(biāo)準(zhǔn)有：1. 根據(jù)病毒依附的操作系統(tǒng)2. 根據(jù)病毒的攻擊方式3. 根據(jù)病毒的傳播媒介4. 根據(jù)病毒的傳播途徑深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠16病毒攻擊的操作系統(tǒng) Microsoft DOS Microsoft Windows 95/98/ME Microsoft Windows NT/2000/XP Unix(Linux) 其他操作系統(tǒng)深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠17病毒的傳播媒介存儲介質(zhì)網(wǎng)絡(luò)l 郵件(SoBi

7、g)l 網(wǎng)頁(RedLof)l 局域網(wǎng)(Funlove)l 遠程攻擊(Blaster)1. 網(wǎng)絡(luò)下載深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠18深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠19病毒的傳播和感染對象感染引導(dǎo)區(qū)感染文件可執(zhí)行文件OFFICE宏網(wǎng)頁腳本（ Java小程序和ActiveX控件）網(wǎng)絡(luò)蠕蟲網(wǎng)絡(luò)木馬破壞程序其他惡意程序深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠20引導(dǎo)型病毒 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠21文件型病毒 文件型病毒的特點是附著于正常程序文件，成為程序文件的一個外殼或部件。 文件

8、型病毒主要以感染文件擴展名為.com、.exe和.bat等可執(zhí)行程序為主。 大多數(shù)的文件型病毒都會把它們自己的代碼復(fù)制到其宿主文件的開頭或結(jié)尾處。 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠22紅色代碼 1() 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠23計算機病毒引起是異常情況計算機病毒引起是異常情況 計算機系統(tǒng)運行速度明顯降低 系統(tǒng)容易死機 文件改變、破壞 磁盤空間迅速減少 內(nèi)存不足 系統(tǒng)異常頻繁重啟動 頻繁產(chǎn)生錯誤信息深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠24常見DO

9、S病毒分析1引導(dǎo)記錄病毒 （1）引導(dǎo)型病毒的傳播、破壞過程 （2）引導(dǎo)型病毒實例：小球病毒 2文件型病毒（1）文件型病毒的類型 （2）文件型病毒的感染方式 （3）.COM文件的感染 （4）.EXE文件的感染 （5）.SYS文件的感染 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠25宏病毒的行為和特征 宏病毒是一種新形態(tài)的計算機病毒，也是一種跨平臺式計算機病毒?？梢栽赪indows、Windows 95/98/NT、OS/2、Macintosh 等操作系統(tǒng)上執(zhí)行病毒行為。 宏病毒的主要特征如下： 1）宏病毒會感染.DOC文檔和.DOT模板文件。 2）宏病毒的傳染通常是Word在打

10、開一個帶宏病毒的文檔或模板時，激活宏病毒。 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠263）多數(shù)宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權(quán)。 4）宏病毒中總是含有對文檔讀寫操作的宏命令。5）宏病毒在.DOC文檔、.DOT模板中以BFF（Binary File Format）格式存放，這是一種加密壓縮格式，每個Word版本格式可能不兼容。6）宏病毒具有兼容性。 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠27宏病毒的特點 1傳播極快 2制作、變種方便 3破壞可能性極大 深圳

11、職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠28宏病毒的防治和清除方法 Word宏病毒，是近年來被人們談?wù)摰米疃嗟囊环N計算機病毒。與那些用復(fù)雜的計算機編程語言編制的病毒相比，宏病毒的防治要容易得多！在了解了Word宏病毒的編制、發(fā)作過程之后，即使是普通的計算機用戶，不借助任何殺毒軟件，就可以較好地對其進行防冶。 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠291. 查看“可疑”的宏 2按使用習(xí)慣編制宏 3防備Autoxxxx宏 4小心使用外來的Word文檔 5使用選項“Prompt to Save Normal Template” （工具-選項-保存）6查看宏代碼并

12、刪除 7. 將文檔存儲為RTF格式 8設(shè)置Normal.dot的只讀屬性 9 Normal.dot的密碼保護 10使用OFFICE 的報警設(shè)置 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠30網(wǎng)絡(luò)化病毒的特點 網(wǎng)絡(luò)化：傳播速度快、爆發(fā)速度快、面廣 隱蔽化：具有欺騙性（加密） 多平臺、多種語言 新方式：與黑客、特洛伊木馬相結(jié)合 多途徑： 攻擊反病毒軟件 變化快（變種） 清除難度大 破壞性強 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠31蠕蟲病毒 通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征，如不利用文件寄生（

13、有的只存在于內(nèi)存中）,對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠32蠕蟲病毒與其他病毒的區(qū)別普通病毒蠕蟲病毒存在形式 寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計算機深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠33蠕蟲病毒的特點 破壞性強 傳染方式多 一種是針對企業(yè)的局域網(wǎng)，主要通過系統(tǒng)漏洞；另外一種是針對個人用戶的, 主要通過電子郵件,惡意網(wǎng)頁形式迅速傳播的蠕蟲病毒。 傳播速度快 清除難度大 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠34實例：2003蠕蟲王 深圳職業(yè)技術(shù)學(xué)

14、院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠35病毒病毒實例實例“熊貓燒香熊貓燒香”病毒病毒 感染“熊貓燒香”病毒的現(xiàn)象 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠36 2008年新病毒的實例“磁碟機”病毒 深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠37“磁碟機”病毒現(xiàn)象深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠38“磁碟機”病毒現(xiàn)象深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠39反病毒技術(shù)簡述計算機病毒診斷技術(shù)計算機病毒診斷技術(shù) 1校驗和法診斷 2掃描法診斷 3行為監(jiān)測法診斷 4分析法診斷深圳職業(yè)技術(shù)學(xué)院深圳職業(yè)技術(shù)學(xué)院 石淑華石淑華 池瑞楠池瑞楠40五、病毒的預(yù)防措施 安裝防病毒軟件 定期升級防病毒軟件 不隨便打開不明來源 的郵件附件 盡量減少其他人使用你的計算機 及時打系統(tǒng)補丁 從外面獲取數(shù)據(jù)先檢察 建立系統(tǒng)恢復(fù)盤 定期備份文件 綜合各種防病毒技術(shù)深圳職