計(jì)算機(jī)病毒授課課件

計(jì)算機(jī)病毒與防范技術(shù)病毒演示病毒演示—CIH病毒CIH將硬盤

FORMAT!CIH將BIOS給毀了

!病毒演示—彩帶病毒病毒演示—圣誕節(jié)病毒病毒演示—白雪公主巨大的黑白螺旋占據(jù)了屏幕位置，使計(jì)算機(jī)使用者無法進(jìn)行任何操作！1()

病毒演示—紅色代碼一、計(jì)算機(jī)病毒概念

定義：計(jì)算機(jī)病毒是一段附著在其他程序上的可以實(shí)現(xiàn)自我繁殖的程序代碼。（國(guó)外）1994年2月18日，國(guó)家正式頒布實(shí)施了《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在第二十八條中明確指出：計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)影響計(jì)算機(jī)使用并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。（國(guó)內(nèi)）

1.1計(jì)算機(jī)病毒定義

時(shí)間

名稱

特點(diǎn)1949年諾依曼《復(fù)雜自動(dòng)機(jī)器的理論與結(jié)構(gòu)》程序可以在內(nèi)存進(jìn)行自我復(fù)制和變異的理論20世紀(jì)60年代初CoreWar通過復(fù)制自身來擺脫對(duì)方控制1981年ElkCloner通過磁盤進(jìn)行感染1986年底Brain首次使用了偽裝手段1987年Casade自我加解密1987年12月ChristmasTree在VM/CMS操作系統(tǒng)下傳播1988年“耶路撒冷”病毒文件型病毒1988年11月2日蠕蟲程序造成6000多臺(tái)機(jī)子癱瘓1.2計(jì)算機(jī)病毒產(chǎn)生和發(fā)展一、計(jì)算機(jī)病毒概念

1.2計(jì)算機(jī)病毒產(chǎn)生和發(fā)展一、計(jì)算機(jī)病毒概念

首例能夠破壞硬件的病毒CHI1998年6月第一個(gè)使用FTP進(jìn)行傳播Homer1997年4月第一個(gè)Linux環(huán)境下的病毒Bliss1997年2月攻擊Windows操作系統(tǒng)病毒大規(guī)模出現(xiàn)宏病毒Concept感染C語(yǔ)言和Pascal語(yǔ)言感染OBJ文件SrcVirShifter1993、1994年第一個(gè)多態(tài)病毒Chameleon1990年標(biāo)志著計(jì)算機(jī)病毒開始入侵我國(guó)“小球”1989年4月格式化硬盤Yankee1989年特點(diǎn)名稱時(shí)間1995年8月9日2006年5至6月份相繼出現(xiàn)針對(duì)銀行的木馬、病毒事件和進(jìn)行網(wǎng)絡(luò)敲詐活動(dòng)的“敲詐者”病毒。2006年11月，我國(guó)又連續(xù)出現(xiàn)“熊貓燒香”、“仇英”、“艾妮”等盜取網(wǎng)上用戶密碼帳號(hào)的病毒和木馬。2007年以盜取網(wǎng)絡(luò)游戲帳號(hào)為目的編寫的“網(wǎng)游盜號(hào)木馬”病毒成為新的毒王，“QQ通行證”病毒和“灰鴿子”分列第二、第三位。2008年機(jī)器狗系列病毒AV終結(jié)者病毒系列。2009年上半年，計(jì)算機(jī)病毒、木馬的傳播方式以網(wǎng)頁(yè)掛馬為主。掛馬者主要通過微軟以及其它應(yīng)用普遍的第三方軟件漏洞為攻擊目標(biāo)。1.2計(jì)算機(jī)病毒產(chǎn)生和發(fā)展一、計(jì)算機(jī)病毒概念

1.3計(jì)算機(jī)病毒的產(chǎn)生原因計(jì)算機(jī)病毒的產(chǎn)生原因主要有4個(gè)方面：（1）惡作劇型（2）報(bào)復(fù)心理型（3）版權(quán)保護(hù)型（4）特殊目的型一、計(jì)算機(jī)病毒概念

1.4計(jì)算機(jī)病毒的命名方式病毒的命名并無統(tǒng)一的規(guī)定，基本都是采用前后綴法來進(jìn)行命名。

一般格式為：[前綴].[病毒名].[后綴]。以振蕩波蠕蟲病毒的變種c“Worm.Sasser.c”為例，Worm指病毒的種類為蠕蟲，Sasser是病毒名，c指該病毒的變種。（1）病毒前綴（2）病毒名（3）病毒后綴一、計(jì)算機(jī)病毒概念

1.破壞性：(體系設(shè)計(jì)者的意圖）

無論何種病毒一旦進(jìn)入系統(tǒng)對(duì)OS的運(yùn)行就會(huì)造成不同程度的影響，小到占用資源（石頭、小球），大到刪除數(shù)據(jù)和使系統(tǒng)崩潰，使之無法恢復(fù)，造成補(bǔ)課挽回的損失。2.傳染性:(最重要的特征）計(jì)算機(jī)病毒也會(huì)通過各種媒體從已被感染的計(jì)算機(jī)擴(kuò)散到未被感染的計(jì)算機(jī)。3.隱蔽性:

病毒是一種具有很高編程技巧，短小精悍的可執(zhí)行程序，他通常粘附在正常程序或磁盤引導(dǎo)扇區(qū)中，以及一些空閑概率比較大的扇區(qū)中，目的就是不讓用戶發(fā)現(xiàn)。計(jì)算機(jī)病毒不經(jīng)過程序代碼分析或計(jì)算機(jī)病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開來的。2.1計(jì)算機(jī)病毒特征二、計(jì)算機(jī)病毒原理

4.潛伏性：

計(jì)算機(jī)病毒潛伏性是指病毒具有依附其他媒體而寄生的能力。大部分病毒感染系統(tǒng)以后，一般不會(huì)馬上發(fā)作，他可長(zhǎng)期的隱藏，只有條件滿足才會(huì)啟動(dòng)。因此，病毒可以在磁盤、光盤或其他介質(zhì)上靜靜的呆上幾天，甚至是幾年。

5.可觸發(fā)性：病毒的可觸發(fā)性是指當(dāng)病毒觸發(fā)條件滿足時(shí)，病毒才在感染了的計(jì)算機(jī)上開始發(fā)作，表現(xiàn)出一定的癥狀和破壞性。6.不可預(yù)見性：

從對(duì)病毒的檢測(cè)來看，病毒具有不可預(yù)見性。病毒永遠(yuǎn)超前于反病毒軟件。2.1計(jì)算機(jī)病毒特征二、計(jì)算機(jī)病毒原理

2.2計(jì)算機(jī)病毒的分類

病毒可以分別按照破壞性、傳染性、連接方式、病毒特有算法4種方式進(jìn)行分類。

分類

表現(xiàn)及影響良性病毒只是顯示信息、湊樂、發(fā)出聲響、自我復(fù)制。除了減少磁盤空間外，對(duì)系統(tǒng)沒有其他影響惡性病毒封鎖、干擾、中斷輸入輸出、使用戶無法打印，甚至終止計(jì)算機(jī)的運(yùn)行，使系統(tǒng)造成嚴(yán)重的錯(cuò)誤（Azsua、Typo—COM）極惡性病毒刪除普通程序或系統(tǒng)文件，破壞系統(tǒng)配置，導(dǎo)致死機(jī)、崩潰等災(zāi)難性病毒破壞分區(qū)信息。主引導(dǎo)區(qū)信息、FAT，刪除數(shù)據(jù)文件，甚至格式硬盤1.按破壞性分類二、計(jì)算機(jī)病毒原理

2.按感染形式分類文件病毒：通過在執(zhí)行文件中插入指令把自己依附在可執(zhí)行文件上，此種病毒感染文件，并寄生在文件中，進(jìn)而造成文件損壞。如“耶路撒冷”、“百年病毒”引導(dǎo)區(qū)病毒：潛伏在軟盤的引導(dǎo)扇區(qū)，或在硬盤的引導(dǎo)區(qū)，或主引導(dǎo)紀(jì)錄（分區(qū)扇區(qū)）中插入指令。如果計(jì)算機(jī)用被感染的軟盤引導(dǎo)時(shí)，病毒就會(huì)感染到引導(dǎo)硬盤，并把自己的代碼調(diào)入內(nèi)存。（小球、石頭）混合型病毒：具有引導(dǎo)型和文件型兩種病毒的特性。CIH病毒就是這種混合型病毒。2.2計(jì)算機(jī)病毒的分類二、計(jì)算機(jī)病毒原理

3.

按連接方式分類源碼型病毒：較少見，也難以編寫。因?yàn)樗舾呒?jí)語(yǔ)言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯。連接成可執(zhí)行文件。此時(shí)剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。入侵型病毒：可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對(duì)性強(qiáng)，一般難以發(fā)現(xiàn)，清除也較困難。操作系統(tǒng)型病毒：可用其自身部分加入或替代操作系統(tǒng)的部分功能。由于其直接感染操作系統(tǒng)，這類病毒的危害性也較大。（小球，大麻）外殼型病毒：將自身依附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個(gè)外殼。大部分文件型病毒屬于此類2.2計(jì)算機(jī)病毒的分類二、計(jì)算機(jī)病毒原理

4．按病毒特有的算法分類伴隨型病毒：這類病毒不改變文件本身，他根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同擴(kuò)展名（COM）。蠕蟲型病毒：通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌麢C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。他們?cè)谙到y(tǒng)中存在，一般除了占用內(nèi)存以外不會(huì)占用其他資源。寄生型病毒：除了伴隨和蠕蟲，其他的都可以成為寄生型病毒，他們依附在系統(tǒng)的引導(dǎo)區(qū)或文件，通過系統(tǒng)的功能進(jìn)行傳播練習(xí)型病毒：病毒自身包含錯(cuò)誤，不能進(jìn)行很好的傳播，例如一些病毒處于調(diào)試階段變形病毒：這病毒使用一個(gè)復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容與長(zhǎng)度。2.2計(jì)算機(jī)病毒的分類二、計(jì)算機(jī)病毒原理

2.3計(jì)算機(jī)病毒的傳播途徑：1）通過不可移動(dòng)的設(shè)備進(jìn)行傳播

較少見，但破壞力很強(qiáng)。2）通過移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播

最廣泛的傳播途徑3）通過網(wǎng)絡(luò)進(jìn)行傳播

反病毒所面臨的新課題4）通過點(diǎn)對(duì)點(diǎn)通訊系統(tǒng)和無線通道傳播

預(yù)計(jì)將來會(huì)成為兩大傳播渠道二、計(jì)算機(jī)病毒原理

2.4病毒的表現(xiàn)形式：

狡猾的病毒通過多種途徑感染計(jì)算機(jī)，那么我們?cè)趺纯闯鲇?jì)算機(jī)已中毒？

1）平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無故死機(jī)?？赡懿《拘薷牧酥袛嗵幚沓绦虻?。2）操作系統(tǒng)無法正常啟動(dòng)。關(guān)機(jī)后重啟，操作系統(tǒng)報(bào)告缺少必要的啟動(dòng)文件或文件破壞，系統(tǒng)無法啟動(dòng)。可能病毒感染系統(tǒng)文件使文件結(jié)構(gòu)發(fā)生變化。3）運(yùn)行速度明顯變慢。4）以前能正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯(cuò)誤，或使用程序中的某個(gè)功能時(shí)報(bào)說內(nèi)存不足?？赡懿《菊加昧藘?nèi)存。二、計(jì)算機(jī)病毒原理

2.4病毒的表現(xiàn)形式：5）打印和通信發(fā)生錯(cuò)誤。打印出來的是亂碼，調(diào)制解調(diào)器不能撥號(hào)。可能是病毒駐留內(nèi)存占用打印端口、串行通信端口的中斷服務(wù)程序。6）無意中要求對(duì)軟盤進(jìn)行讀寫操作。如操作系統(tǒng)提示軟驅(qū)中沒有插軟盤等。7）系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化。這是最明顯計(jì)算機(jī)病毒跡象。8）運(yùn)行Word，打開Word文檔后，該文檔另存為時(shí)只能以模板方式保存。無法存為另一DOC文檔。中了宏病毒的緣故。二、計(jì)算機(jī)病毒原理

9）磁盤空間迅速減少。10）陌生人發(fā)來的電子郵件。尤其是那些很具有誘惑力的，如笑話或情書等，又帶有附件的郵件。11）自動(dòng)鏈接到一些陌生的網(wǎng)站。計(jì)算機(jī)沒有上網(wǎng)，但他自己撥號(hào)并連接到一個(gè)陌生的站點(diǎn)，有可能被遠(yuǎn)程控制了。12）提示一些不相干的話。宏病毒，在滿足發(fā)作的條件就會(huì)彈出對(duì)話框顯示某句話，并要求用戶確定。13）發(fā)出一段美妙的音樂?！皸罨焙汀盀g陽(yáng)河”。14）產(chǎn)生特定的圖像?！靶∏颉?.4病毒的表現(xiàn)形式：二、計(jì)算機(jī)病毒原理

15）進(jìn)行游戲算法?！皞髌娌《尽?6）Windows桌面圖標(biāo)發(fā)生變化。17）自動(dòng)發(fā)送電子郵件。在某一特定的時(shí)刻向同一個(gè)服務(wù)器發(fā)送無用的信件。18）鼠標(biāo)自己動(dòng)。受到黑客的控制。2.4病毒的表現(xiàn)形式：二、計(jì)算機(jī)病毒原理

雖然不同類型的計(jì)算機(jī)病毒的機(jī)制和表現(xiàn)手法不盡相同，但計(jì)算機(jī)病毒的結(jié)構(gòu)基相似，一般說來是由以下三個(gè)程序模塊組成。

1.引導(dǎo)模塊

2.傳染模塊

3.破壞與表現(xiàn)模塊

2.5計(jì)算機(jī)病毒的結(jié)構(gòu)二、計(jì)算機(jī)病毒原理

1.引導(dǎo)模塊

當(dāng)被感染的軟硬盤，應(yīng)用程序開始工作時(shí)，病毒的引導(dǎo)模塊將病毒由外存引入內(nèi)存，并使病毒程序成為相對(duì)獨(dú)立于宿主程序的部分，從而使病毒的傳染模塊和破壞模塊進(jìn)入待機(jī)狀態(tài)。2.5計(jì)算機(jī)病毒的結(jié)構(gòu)二、計(jì)算機(jī)病毒原理

2．傳染模塊傳染模塊包括三部分內(nèi)容：（1）傳染控制部分。病毒一般都有一個(gè)控制條件，一旦滿足這個(gè)條件就開始感染。例如，病毒先判斷某個(gè)文件是否是.EXE文件，如果是再進(jìn)行傳染，否則再尋找下一個(gè)文件；

（2）傳染判斷部分。每個(gè)病毒程序都有一個(gè)標(biāo)記，在傳染時(shí)將判斷這個(gè)標(biāo)記，如果磁盤或者文件已經(jīng)被傳染就不再傳染，否則就要傳染了；（3）傳染操作部分。在滿足傳染條件時(shí)進(jìn)行傳染操作。2.5計(jì)算機(jī)病毒的結(jié)構(gòu)二、計(jì)算機(jī)病毒原理

3.破壞與表現(xiàn)模塊

破壞與表現(xiàn)模塊是病毒程序的核心部分，也是病毒設(shè)計(jì)者意圖的體現(xiàn)部分。這部分程序負(fù)責(zé)捕捉進(jìn)入破壞程序的條件，在條件滿足時(shí)開始進(jìn)行破壞系統(tǒng)或數(shù)據(jù)的工作，甚至可以毀掉包括自己在內(nèi)的系統(tǒng)資源。

2.5計(jì)算機(jī)病毒的結(jié)構(gòu)二、計(jì)算機(jī)病毒原理

1.計(jì)算機(jī)病毒的觸發(fā)機(jī)制（2）目前病毒采用的觸發(fā)條件主要有以下幾種。（1）時(shí)間觸發(fā)（2）鍵盤觸發(fā)如AIDS病毒Invader病毒（3）感染觸發(fā)BlackMonday病毒在運(yùn)行第240個(gè)染毒程序時(shí)被激活（4）啟動(dòng)觸發(fā)Anti-Tei和Telecom病毒當(dāng)系統(tǒng)第400次啟動(dòng)時(shí)被激活（5）訪問磁盤次數(shù)觸發(fā)（6）CPU型號(hào)/主板型號(hào)觸發(fā)2.6計(jì)算機(jī)病毒的觸發(fā)與生存二、計(jì)算機(jī)病毒原理

計(jì)算機(jī)病毒的產(chǎn)生過程可分為程序設(shè)計(jì)—傳播—潛伏—觸發(fā)—運(yùn)行—實(shí)行攻擊。

計(jì)算機(jī)病毒擁有一個(gè)完整的生命周期，從產(chǎn)生到徹底根除，病毒生命周期包括：

（1）開發(fā)期（2）傳播期（3）潛伏期（4）發(fā)作期（5）發(fā)現(xiàn)期（6）消化期（7）消亡期2.計(jì)算機(jī)病毒的生存周期2.6計(jì)算機(jī)病毒的觸發(fā)與生存二、計(jì)算機(jī)病毒原理

計(jì)算機(jī)病毒的發(fā)展趨勢(shì)21世紀(jì)是計(jì)算機(jī)病毒與反病毒激烈角逐的時(shí)代，而智能化、人性化、隱蔽化、多樣化也在逐漸成為新世紀(jì)計(jì)算機(jī)病毒的發(fā)展趨勢(shì)。智能化人性化隱蔽化多樣化防重于治，防重在管：制度；注冊(cè)、權(quán)限、屬性、服務(wù)器安全；集中管理、報(bào)警。綜合防護(hù)：木桶原理；防火墻與防毒軟件結(jié)合最佳均衡原則：占用較小的網(wǎng)絡(luò)資源管理與技術(shù)并重正確選擇反毒產(chǎn)品多層次防御：病毒檢測(cè)、數(shù)據(jù)保護(hù)、實(shí)時(shí)監(jiān)控注意病毒檢測(cè)的可靠性：經(jīng)常升級(jí)；兩種以上。3.1網(wǎng)絡(luò)環(huán)境下的病毒防治原則與策略三、反病毒技術(shù)防毒：預(yù)防入侵；病毒過濾、監(jiān)控、隔離查毒：發(fā)現(xiàn)和追蹤病毒；統(tǒng)計(jì)、報(bào)警解毒：從感染對(duì)象中清除病毒；恢復(fù)功能計(jì)算機(jī)病毒的預(yù)防計(jì)算機(jī)病毒防治，要采取預(yù)防為主的方針。下面是一些行之有效的措施。安裝防病毒軟件定期升級(jí)防病毒軟件不隨便打開不明來源的郵件附件盡量減少其他人使用你的計(jì)算機(jī)及時(shí)打系統(tǒng)補(bǔ)丁從外面獲取數(shù)據(jù)先檢察建立系統(tǒng)恢復(fù)盤定期備份文件綜合各種防病毒技術(shù)三、反病毒技術(shù)網(wǎng)關(guān)級(jí)防毒Internet企業(yè)內(nèi)部網(wǎng)絡(luò)STOP!服務(wù)器端防毒客戶端防毒防毒集中管理器STOP!