關(guān)于病毒、蠕蟲、木馬的概念小總結(jié)

PPT模板下載：/moban/

信息安全問題分析司如言什么是病毒？蠕蟲又是什么？木馬呢？病毒、蠕蟲、木馬之間的關(guān)系知多少？病毒類型根據(jù)中國國家計算機病毒應(yīng)急處理中心發(fā)表的報告統(tǒng)計，占近45%的病毒是木馬程序，蠕蟲占病毒總數(shù)的25%以上，占15%以上的是腳本病毒，其余的病毒類型分別是：文檔型病毒、破壞性程序和宏病毒。PS：根據(jù)上面維基百科的解釋，可以理解為：蠕蟲、木馬屬于計算機病毒。（感興趣的同學們下去可以再查證，這里僅是給出一種觀點。）No.1首先，談一談病毒病毒Virus電腦病毒，或稱計算機病毒。

是一種在人為或非人為的情況下產(chǎn)生的、在用戶不知情或未批準下，能自我復(fù)制或運行的電腦程序；

電腦病毒往往會影響受感染電腦的正常運作，或是被控制而不自知，也有電腦正常運作僅盜竊數(shù)據(jù)等用戶非自發(fā)啟動的行為。

寄生于其他可執(zhí)行程序中的，通過磁盤拷貝、文件共享、電子郵件等多種途徑進行擴散和感染病毒的“發(fā)家史”第一份關(guān)于計算機病毒理論的學術(shù)工作（雖然“病毒”一詞在當時并未使用）于1949年由約翰·馮·諾伊曼完成。病毒一詞廣為人知是得力于科幻小說。一部是1970年代中期大衛(wèi)·杰洛德（DavidGerrold）的《WhenH.A.R.L.I.E.wasOne》，描述了一個叫“病毒”的程序和與之對戰(zhàn)的叫“抗體”的程序；另一部是約翰·布魯勒爾（JohnBrunner）1975年的小說《震蕩波騎士（ShakewaveRider）》，描述了一個叫做“磁帶蠕蟲”、在網(wǎng)絡(luò)上刪除數(shù)據(jù)的程序。1960年代初，美國麻省理工學院的一些青年研究人員，在做完工作后，利用業(yè)余時間玩一種他們自己創(chuàng)造的計算機游戲。做法是某個人編制一段小程序，然后輸入到計算機中運行，并銷毀對方的游戲程序。而這也可能就是計算機病毒的雛形。《WhenH.A.R.L.I.E.wasOne》《震蕩波騎士（ShakewaveRider）》關(guān)于病毒的科幻小說一覽病毒的感染策略為了能夠復(fù)制其自身，病毒必須能夠運行代碼并能夠?qū)?nèi)存運行寫操作?；谶@個原因，許多病毒都是將自己附著在合法的可執(zhí)行文件上。如果用戶企圖運行該可執(zhí)行文件，那么病毒就有機會運行。非常駐型病毒非常駐型病毒可以被想成具有搜索模塊和復(fù)制模塊的程序。搜索模塊負責查找可被感染的文件，一旦搜索到該文件，搜索模塊就會啟動復(fù)制模塊進行感染。常駐型病毒常駐型病毒包含復(fù)制模塊，其角色類似于非常駐型病毒中的復(fù)制模塊。復(fù)制模塊在常駐型病毒中不會被搜索模塊調(diào)用。常駐型病毒有時會被區(qū)分成快速感染者和慢速感染者（針對感染速度的快慢而言）?？焖俑腥菊邥噲D感染盡可能多的文件。病毒的傳播途徑大多病毒發(fā)布作者的目的有多種，包括惡作劇、想搞破壞、報復(fù)及想出名與對研究病毒有特殊嗜好。病毒主要通過網(wǎng)絡(luò)瀏覽以及下載，電子郵件以及可移動磁盤等途徑迅速傳播。中病毒后主要癥狀

殺毒軟件關(guān)閉；經(jīng)常跑出看不懂的窗口；癱瘓電腦運作。前綴含義WMWord6.0、Word95宏病毒W(wǎng)M97Word97宏病毒XMExcel5.0、Excel95宏病毒X97MExcel5.0和Excel97版本下發(fā)作XFExcel程序病毒AMAccess95宏病毒AM97MAccess97宏病毒W(wǎng)95Windows95、98病毒W(wǎng)inWindows3.x病毒W(wǎng)3232位病毒，感染所有32位Windows系統(tǒng)WINT32位Windows病毒，只感染W(wǎng)indowsNTTrojan/Troj特洛伊木馬VBSVBScript程序語言編寫的病毒VSM感染VisioVBA（VisualBasicforApplications）宏或script的宏或script病毒JSJScript編程語言編寫的病毒PE32位尋址的Windows病毒OSXOSX的病毒OSXLOSXLion或者更新版本的病毒以下表格所示是國際上對病毒命名慣例的前綴釋義，DOS下的病毒一般無前綴:(中間部分指的是病毒的英文名，而后綴一般是變種代號)No.2那么，再說一說蠕蟲計算機蠕蟲：不需借助其他可執(zhí)行程序就能獨立存在并運行，通常利用網(wǎng)絡(luò)中某些主機存在的漏洞來感染和擴散。蠕蟲Worm蠕蟲，，，計算機蠕蟲與計算機病毒相似，是一種能夠自我復(fù)制的計算機程序。與計算機病毒不同的是，計算機蠕蟲不需要附在別的程序內(nèi)，可能不用使用者介入操作也能自我復(fù)制或執(zhí)行。計算機蠕蟲未必會直接破壞被感染的系統(tǒng)，卻幾乎都對網(wǎng)絡(luò)有害。計算機蠕蟲可能會執(zhí)行垃圾代碼以發(fā)動分散式阻斷服務(wù)攻擊，令到計算機的執(zhí)行效率極大程度降低，從而影響計算機的正常使用；可能會損毀或修改目標計算機的檔案；亦可能只是浪費帶寬。（惡意的）計算機蠕蟲可根據(jù)其目的分成2類：一種是面對大規(guī)模計算機使用網(wǎng)絡(luò)發(fā)動拒絕服務(wù)的計算機蠕蟲。另一種是針對個人用戶的以執(zhí)行大量垃圾代碼的計算機蠕蟲。計算機蠕蟲多不具有跨平臺性，但是在其他平臺下，可能會出現(xiàn)其平臺特有的非跨平臺性的平臺版本。第一個被廣泛注意的計算機蠕蟲名為：“莫里斯蠕蟲”，由羅伯特·泰潘·莫里斯編寫，于1988年11月2日釋出第一個版本。這個計算機蠕蟲間接和直接地造成了近1億美元的損失。蠕蟲，，，傳播過程蠕蟲程序常駐于一臺或多臺機器中，通常它會掃描其他機器是否有感染同種計算機蠕蟲，如果沒有，就會通過其內(nèi)建的傳播手段進行感染，以達到使計算機癱瘓的目的。其通常會以宿主機器作為掃描源。通常采用：垃圾郵件、漏洞傳播這2種方法來傳播反應(yīng)用有部分檢測器借鑒了計算機蠕蟲的設(shè)計理念，它的工作機理是：掃描目標機器是否有漏洞然后再施加補丁的檢測器。善良意圖的計算機蠕蟲在沖擊波蠕蟲所使用的RPCSS漏洞被發(fā)現(xiàn)一段時間后，網(wǎng)路上出現(xiàn)了一個名為Waldec的蠕蟲，該蠕蟲會自動幫助未修復(fù)該漏洞的用戶打上補丁。不過，該蠕蟲也會大量耗盡網(wǎng)絡(luò)帶寬，與“惡意”蠕蟲對網(wǎng)絡(luò)有差不多的效果。著名的計算機蠕蟲反核蠕蟲、沖擊波蠕蟲、ILOVEYOUSql、王熊貓燒香No.3最后，話一話木馬木馬Trojan特洛伊木馬：一種表面有用，但實際有破壞作用的計算機程序。一旦用戶禁不起誘惑打開了自認為合法的程序，特洛伊木馬便趁機傳播。有些也叫作遠程控制軟件，如果木馬能連通的話，那么可以說控制者已經(jīng)得到了遠程計算機的全部操作控制權(quán)限，操作遠程計算機與操作自己計算機基本沒什么大的區(qū)別，這類程序可以監(jiān)視、攝錄被控用戶的攝像頭與截取密碼等，以及進行用戶可進行的幾乎所有操作（硬件拔插、系統(tǒng)未啟動或未聯(lián)網(wǎng)時無法控制）。

另外，用戶一旦感染了特洛伊木馬，就會成為“僵尸”（或常被稱為“肉雞”），成為任黑客手中擺布的“機器人”。通常黑客或腳本小孩（scriptkids）可以利用數(shù)以萬計的“僵尸”發(fā)送大量偽造包或者是垃圾數(shù)據(jù)包對預(yù)定目標進行拒絕服務(wù)攻擊，造成被攻擊目標癱瘓。特洛伊木馬之神話(1)名字的由來

“木馬”這一名稱來源于希臘神話特洛伊戰(zhàn)爭的特洛伊木馬。計算機中所說的木馬與病毒一樣也是一種有害的程序，其特征與特洛伊木馬一樣具有偽裝性，看起來挺好的，卻會在用戶不經(jīng)意間，對用戶的計算機系統(tǒng)產(chǎn)生破壞或竊取數(shù)據(jù)，特別是用戶的各種賬戶及口令等重要且需要保密的信息，甚至控制用戶的計算機系統(tǒng)。特征特洛伊木馬不經(jīng)電腦用戶準許就可獲得電腦的使用權(quán)。程序容量十分輕小，運行時不會浪費太多資源，因此沒有使用殺毒軟件是難以發(fā)覺的；運行時很難阻止它的行動，運行后，立刻自動登錄在系統(tǒng)啟動區(qū)，之后每次在Windows加載時自動運行；或立刻自動變更檔名，甚至隱形；或馬上自動復(fù)制到其他文件夾中，運行連用戶本身都無法運行的動作；或瀏覽器自動連往奇怪或特定的網(wǎng)頁。特洛伊木馬之神話（2）木馬發(fā)展史賞析

木馬程序技術(shù)發(fā)展可以說非常迅速。主要是有些年輕人出于好奇，或是急于顯示自己實力，不斷改進木馬程序的編寫。至今木馬程序已經(jīng)經(jīng)歷六代的改進：第一代，是最原始的木馬程序。主要是簡單的密碼竊取，通過電子郵件發(fā)送信息等，具備木馬最基本的功能。第二代，在技術(shù)上有了很大的進步，冰河是中國木馬的典型代表之一。第三代，主要改進在數(shù)據(jù)傳遞技術(shù)方面，出現(xiàn)ICMP等類型的木馬，利用畸形報文傳遞數(shù)據(jù)，增加殺毒軟件查殺識別的難度。特洛伊木馬之神話（3）第四代，在進程隱藏方面有了很大改動，采用內(nèi)核插入式的嵌入方式，利用遠程插入線程技術(shù)，嵌入DLL線程等方式，實現(xiàn)木馬程序的隱藏，甚至在Windows

NT/2000下，都達到良好的隱藏效果。灰鴿子和蜜蜂大盜是比較出名的DLL木馬。第五代，驅(qū)動級木馬。驅(qū)動級木馬多數(shù)都使用大量的Rootkit技術(shù)來達到在深度隱藏的效果，并深入到內(nèi)核空間的，感染后針對殺毒軟件和網(wǎng)絡(luò)防火墻進行攻擊，可將系統(tǒng)SSDT初始化，導(dǎo)致殺毒防火墻失去效應(yīng)。有的驅(qū)動級木馬可駐留BIOS，并且很難查殺。第六代，隨著身份認證UsbKey和殺毒軟件主動防御的興起，黏蟲技術(shù)類型和特殊反顯技術(shù)類型木馬逐漸開始系統(tǒng)化。前者主要以盜取和篡改用戶敏感信息為主，后者以動態(tài)口令和硬證書攻擊為主。PassCopy和暗黑蜘蛛俠是這類木馬的代表。特洛伊木馬之神話（4）中毒癥狀木馬的植入通常是利用操作系統(tǒng)的漏洞，繞過對方的防御措施（如防火墻）。中了特洛伊木馬程序的計算機，因為資源被占用，速度會減慢，莫名死機，且用戶信息可能會被竊取，導(dǎo)致數(shù)據(jù)外泄等情況發(fā)