《網(wǎng)絡(luò)安全技術(shù)》第8章計(jì)算機(jī)病毒防范課件

1、第8章 計(jì)算機(jī)病毒防范主編賈鐵軍 副主編陳國秦 蘇慶剛 沈?qū)W東編著 王堅(jiān) 王小剛 宋少婷上海教育高地建設(shè)項(xiàng)目高等院校規(guī)劃教材網(wǎng)絡(luò)安全技術(shù)及應(yīng)用（第2版）上海市精品課程 網(wǎng)絡(luò)安全技術(shù)第1頁，共41頁。目 錄 8.2 計(jì)算機(jī)病毒的構(gòu)成與傳播28.3 計(jì)算機(jī)病毒的檢測(cè)清除與防范38.4 惡意軟件的危害與清除 4 8.1 計(jì)算機(jī)病毒概述1 8.5 360安全衛(wèi)士及殺毒軟件應(yīng)用實(shí)驗(yàn) 5 8.6 本章小結(jié)6第2頁，共41頁。目 錄教學(xué)目標(biāo) 了解計(jì)算機(jī)病毒發(fā)展的歷史和趨勢(shì) 理解病毒的定義、分類、特征、結(jié)構(gòu)、傳播方式和病毒產(chǎn)生 掌握病毒檢測(cè)、清除、防護(hù)、病毒和防病毒的發(fā)展趨勢(shì) 掌握惡意軟件概念、分類、防護(hù)和清

2、除 掌握360安全衛(wèi)士及殺毒軟件應(yīng)用實(shí)驗(yàn)重點(diǎn)重點(diǎn)第3頁，共41頁。8.1 計(jì)算機(jī)病毒概述8.1.1 計(jì)算機(jī)病毒的概念及發(fā)展 1. 計(jì)算機(jī)病毒的概念 計(jì)算機(jī)病毒（Computer Virus）在中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中被明確定義為：是指編制者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。 海灣戰(zhàn)爭(zhēng)中用網(wǎng)絡(luò)病毒攻擊取得重大戰(zhàn)果。據(jù)報(bào)道，1991年的海灣戰(zhàn)爭(zhēng)是美軍主導(dǎo)參加的一場(chǎng)大規(guī)模局部戰(zhàn)爭(zhēng)。美國在伊拉克從第三方國家購買的打印機(jī)里植入可遠(yuǎn)程控制的網(wǎng)絡(luò)病毒，在開戰(zhàn)前，使伊拉克整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)管理的雷達(dá)預(yù)警系統(tǒng)全部癱瘓，并首次

3、將大量高科技武器投入實(shí)戰(zhàn)，取得了壓倒性的制空、制電磁優(yōu)勢(shì)，也是世界首次公開在實(shí)戰(zhàn)中用網(wǎng)絡(luò)病毒攻擊取得的重大戰(zhàn)果，強(qiáng)化了美軍在該地區(qū)的軍事存在，同時(shí)為2003年的伊拉克戰(zhàn)爭(zhēng)奠定基礎(chǔ)。 案例8-1第4頁，共41頁。2. 計(jì)算機(jī)病毒的發(fā)展計(jì)算機(jī)病毒發(fā)展主要經(jīng)歷了五個(gè)重要的階段。 計(jì)算機(jī)病毒的概念起源。在第一部商用計(jì)算機(jī)推出前，計(jì)算機(jī)先驅(qū)馮諾依曼（John Von Neumann）在一篇論文中，曾初步概述了病毒程序的概念。美國著名的AT&T 貝爾實(shí)驗(yàn)室中，三個(gè)年輕人工作之余玩的一種“磁芯大戰(zhàn)”（Core war）的游戲：編出能吃掉別人編碼的程序來互相攻擊。這種游戲，呈現(xiàn)了病毒程序的感染和破壞性。案例8

4、-28.1 計(jì)算機(jī)病毒概述第5頁，共41頁。下載2012，當(dāng)心兇猛病毒. 計(jì)算機(jī)反病毒機(jī)構(gòu)發(fā)布警示，隨著災(zāi)難大片2012的熱映，很多電影下載網(wǎng)站均推出在線收看或下載服務(wù)，一種名為“中華吸血鬼”變種病毒，被從一些掛馬的電影網(wǎng)站中截獲。3. 計(jì)算機(jī)病毒的產(chǎn)生原因 計(jì)算機(jī)病毒的起因和來源情況各異，有的是為了某種目的，分為個(gè)人行為和集團(tuán)行為兩種。有的病毒還曾為用于研究或?qū)嶒?yàn)而設(shè)計(jì)的“有用”程序，后來失制擴(kuò)散或被利用。 計(jì)算機(jī)病毒的產(chǎn)生原因主要有4個(gè)方面：惡作劇型報(bào)復(fù)心理型版權(quán)保護(hù)型特殊目的型8.1 計(jì)算機(jī)病毒概述案例8-3第6頁，共41頁。4計(jì)算機(jī)病毒的命名方式 命名方式由多個(gè)前綴與后綴組合，中間以點(diǎn)

5、“”分隔，一般格式為： 前綴.病毒名.后綴。如振蕩波蠕蟲病毒的變種“Worm. Sasser. c”，其中Worm指病毒的種類為蠕蟲，Sasser是病毒名，c指該病毒的變種。（1）病毒前綴（2）病毒名（3）病毒后綴 病毒名即病毒的名稱，如“病毒之母”CIH病毒及其變種的名稱一律為“CIH”，沖擊波蠕蟲的病毒名為“Blaster”。病毒名也有一些約定俗成方式，可按病毒發(fā)作的時(shí)間命名，如黑色星期五；也可按病毒發(fā)作癥狀命名，如小球；或按病毒自身包含的標(biāo)志命名，如CIH；還可按病毒發(fā)現(xiàn)地命名，如耶路撒冷病毒；或按病毒的字節(jié)長度命名，如1575。案例8-48.1 計(jì)算機(jī)病毒概述第7頁，共41頁。8.1.

6、2 計(jì)算機(jī)病毒的特點(diǎn) 根據(jù)對(duì)病毒的產(chǎn)生、傳播和破壞行為的分析，可將病毒概括為以下6 個(gè)主要特點(diǎn)。1. 傳播性 傳播性是病毒的基本特點(diǎn)。計(jì)算機(jī)病毒與生物病毒類似，也會(huì)通過各種途徑傳播擴(kuò)散，在一定條件下造成被感染的計(jì)算機(jī)系統(tǒng)工作失常甚至癱瘓。2. 竊取系統(tǒng)控制權(quán) 當(dāng)用戶調(diào)用正常程序時(shí)竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動(dòng)作、目的對(duì)用戶往往是未知的，未經(jīng)用戶允許。3. 隱蔽性 病毒程序很隱蔽與正常程序只有經(jīng)過代碼分析才能區(qū)別。4. 破壞性 侵入系統(tǒng)的任何病毒，都會(huì)對(duì)系統(tǒng)及應(yīng)用程序產(chǎn)生影響。占用系統(tǒng)資源，降低計(jì)算機(jī)工作效率，甚至可導(dǎo)致系統(tǒng)崩潰，其破壞性多種多樣。8.1 計(jì)算機(jī)病毒概述第8頁，共

7、41頁。5. 潛伏性 絕大部分的計(jì)算機(jī)病毒感染系統(tǒng)之后一般不會(huì)馬上發(fā)作，可長期隱藏在系統(tǒng)中，只有當(dāng)滿足其特定條件時(shí)才啟動(dòng)其破壞代碼，顯示發(fā)作信息或破壞系統(tǒng)。6. 不可預(yù)見性 不同種類的病毒代碼相差很大，但有些操作具有共性，如駐內(nèi)存、改中斷等。利用這些共性已研發(fā)出查病毒程序，但由于軟件種類繁多、病毒變異難預(yù)見。8.1.3 計(jì)算機(jī)病毒的分類1以病毒攻擊的操作系統(tǒng)分類以病毒攻擊的操作系統(tǒng)分類攻擊DOS系統(tǒng)的病毒攻擊Windows系統(tǒng)的病毒攻擊UNIX系統(tǒng)的病毒OS/2系統(tǒng)的病毒攻擊NetWare系統(tǒng)的病毒8.1 計(jì)算機(jī)病毒概述第9頁，共41頁。2以病毒的攻擊機(jī)型分類3按照病毒的鏈接方式分類 通常，計(jì)

8、算機(jī)病毒所攻擊的對(duì)象是系統(tǒng)可執(zhí)行部分，按照病毒鏈接方式可分為4種：8.1 計(jì)算機(jī)病毒概述第10頁，共41頁。4按照病毒的破壞能力分類 根據(jù)病毒破壞的能力可劃分為4種：5按照傳播媒介不同分類 按照計(jì)算機(jī)病毒的傳播媒介分類，可分為單機(jī)病毒和網(wǎng)絡(luò)病毒。6按傳播方式不同分類 按照計(jì)算機(jī)病毒傳播方式可分為引導(dǎo)型病毒、文件型病毒和混合型病毒3種。8.1 計(jì)算機(jī)病毒概述第11頁，共41頁。7以病毒特有的算法不同分類8. 按照病毒的寄生部位或傳染對(duì)象分類 傳染性是計(jì)算機(jī)病毒的本質(zhì)屬性，根據(jù)寄生部位或傳染對(duì)象分類，即根據(jù)計(jì)算機(jī)病毒傳染方式進(jìn)行分類，有以下3種： 9. 按照病毒激活的時(shí)間分類 按照病毒激活時(shí)間可分

9、為定時(shí)的和隨機(jī)的。根據(jù)病毒程序特有的算法分類伴隨型病毒蠕蟲型病毒寄生型病毒練習(xí)型病毒詭秘型病毒變型 病毒8.1 計(jì)算機(jī)病毒概述第12頁，共41頁。8.1.4 計(jì)算機(jī)中毒的異常癥狀 病毒的存在、感染和發(fā)作的特征表現(xiàn)可分為三類：計(jì)算機(jī)病毒發(fā)作前、發(fā)作時(shí)和發(fā)作后。通常病毒感染比系統(tǒng)故障現(xiàn)象更多些。1. 計(jì)算機(jī)病毒發(fā)作前的情況 計(jì)算機(jī)病毒發(fā)作前主要是以潛伏、傳播為主。其常見的現(xiàn)象為： 1）突然經(jīng)常性地死機(jī) 2）無法正常啟動(dòng)操作系統(tǒng) 3）運(yùn)行速度明顯變慢 4）經(jīng)常發(fā)生內(nèi)存不足現(xiàn)象 5）打印和通訊異常 6）經(jīng)常出現(xiàn)非法錯(cuò)誤 7）基本內(nèi)存發(fā)生變化 8）應(yīng)用程序時(shí)間及大小變異 9）無法另存為Word文檔 10

10、）磁盤容量驟減 11）難以調(diào)用網(wǎng)絡(luò)驅(qū)動(dòng)器卷 或共享目錄 12）陌生的垃圾郵件 13）自動(dòng)鏈接到陌生網(wǎng)站8.1 計(jì)算機(jī)病毒概述第13頁，共41頁。2. 計(jì)算機(jī)病毒發(fā)作時(shí)的癥狀 1）提示 無關(guān)對(duì)話 2）發(fā)出聲響3）產(chǎn)生圖象 4）硬盤燈 不斷閃爍 5）算法游戲6）桌面圖標(biāo)發(fā)生變化 7）突然重啟 或死機(jī)8）自動(dòng) 發(fā)送郵件9）自動(dòng) 移動(dòng)鼠標(biāo)8.1 計(jì)算機(jī)病毒概述第14頁，共41頁。3. 計(jì)算機(jī)病毒發(fā)作的后果 惡性計(jì)算機(jī)病毒發(fā)作后的現(xiàn)象及造成的后果包括： 1）硬盤無法啟動(dòng)，數(shù)據(jù)丟失。 2）文件丟失或被破壞。 3）文件目錄混亂。 4）BIOS程序混亂使主板遭破壞。 5）部分文檔自動(dòng)加密。 6）計(jì)算機(jī)重啟時(shí)格

11、式化硬盤。 7）網(wǎng)絡(luò)癱瘓，無法正常提供服務(wù)。討論思考：（1）什么是計(jì)算機(jī)病毒？計(jì)算機(jī)病毒的特點(diǎn)有哪些？（2）計(jì)算機(jī)病毒的種類具體有哪些？（3）計(jì)算機(jī)中毒后所出現(xiàn)的情況怎樣？8.1 計(jì)算機(jī)病毒概述第15頁，共41頁。 8.2 計(jì)算機(jī)病毒的構(gòu)成與傳播8.2.1 計(jì)算機(jī)病毒的構(gòu)成結(jié)構(gòu)計(jì)算機(jī)病毒種類很多，都由3個(gè)部分構(gòu)成：引導(dǎo) 模塊傳播模塊表現(xiàn) 模塊 3)由兩個(gè)部分構(gòu)成，一是病毒的觸發(fā)條件判斷部分，二是病毒的具體表現(xiàn)部分。 2)是病毒程序的核心，主要功能是傳播病毒，一般由兩個(gè)部分構(gòu)成，一是傳播條件判斷部分；二是傳播部分。 1)功能是將病毒加載到內(nèi)存中，并其存儲(chǔ)空間進(jìn)行保護(hù)，以防被其他程序所覆蓋，同時(shí)修

12、改一些中斷及高端內(nèi)存、保存原中斷向量等系統(tǒng)參數(shù)，為傳播部分做準(zhǔn)備。它也稱潛伏機(jī)制模塊，具有初始化、隱藏和捕捉功能。 我國網(wǎng)絡(luò)遭受攻擊近況。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT監(jiān)測(cè)和國家信息安全漏洞共享平臺(tái)CNVD發(fā)布的數(shù)據(jù)，2014年2月10日至16日一周境內(nèi)被篡改網(wǎng)站數(shù)量為8965個(gè)，比上周增長79.7%；境內(nèi)被植入后門的網(wǎng)站數(shù)量為1168個(gè)；針對(duì)境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為181個(gè)。其中，政府網(wǎng)站被篡改418個(gè)、植入后門的35個(gè)。感染網(wǎng)絡(luò)病毒的主機(jī)數(shù)量約為69萬個(gè)，新增信息安全漏洞280個(gè)。 案例8-4第16頁，共41頁。8.2.2 計(jì)算機(jī)病毒的傳播1計(jì)算機(jī)病毒的傳播方式和途徑一、通過固定的計(jì)算機(jī)

13、硬件設(shè)備進(jìn)行傳播，如用ASIC芯片和硬盤傳播;二、通過移動(dòng)存儲(chǔ)設(shè)備傳播，其中U盤和移動(dòng)硬盤是使用最廣泛、移 動(dòng)最頻繁的存儲(chǔ)介質(zhì)，也成了病毒寄生的“溫床”；三、通過網(wǎng)絡(luò)進(jìn)行傳播，現(xiàn)在已成為病毒的第一傳播途徑；四、通過點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無線通道傳播。病毒傳播途徑為： 8.2 計(jì)算機(jī)病毒的構(gòu)成與傳播第17頁，共41頁。2計(jì)算機(jī)病毒的傳播過程 病毒被動(dòng)傳播的過程是隨著復(fù)制磁盤或文件工作進(jìn)行的； 病毒主動(dòng)傳播的過程是在系統(tǒng)運(yùn)行時(shí)，病毒通過病毒載體，由系統(tǒng)外存進(jìn)入內(nèi)存，并監(jiān)視系統(tǒng)運(yùn)行，在病毒引導(dǎo)模塊將其傳播模塊駐留內(nèi)存過程中，還將修改系統(tǒng)中數(shù)據(jù)向量入口地址。3系統(tǒng)型病毒傳播機(jī)理 系統(tǒng)型病毒利用在啟動(dòng)引導(dǎo)時(shí)竊

14、取int 13H控制權(quán)，在整個(gè)計(jì)算機(jī)運(yùn)行過程中實(shí)時(shí)監(jiān)視磁盤操作，當(dāng)讀寫磁盤的時(shí)讀出磁盤引導(dǎo)區(qū)，判斷磁盤是否中毒，如未中毒就按病毒的寄生方式將原引導(dǎo)區(qū)改寫到磁盤的另一位置，而將病毒寫入第一個(gè)扇區(qū)，完成對(duì)磁盤的傳播。 int13H或int21H,可使數(shù)據(jù)向量指向病毒程序的傳播模塊。當(dāng)系統(tǒng)執(zhí)行磁盤讀寫操作或功能調(diào)用時(shí)，該模塊被激活，判斷傳播條件滿足后，利用系統(tǒng)int 13H讀寫磁盤中斷將病毒傳播給被讀寫的磁盤或被加載的程序，再轉(zhuǎn)移到原數(shù)據(jù)服務(wù)程序執(zhí)行原有操作。案例8-5 8.2 計(jì)算機(jī)病毒的構(gòu)成與傳播第18頁，共41頁。4文件型病毒傳播機(jī)理 病毒執(zhí)行被傳播的可執(zhí)行文件后進(jìn)駐內(nèi)存，并檢測(cè)系統(tǒng)的運(yùn)行，當(dāng)

15、發(fā)現(xiàn)被傳播目標(biāo)時(shí)，先判斷是否中毒；當(dāng)條件滿足，將病毒鏈接到可執(zhí)行文件的首部或尾部，并存入磁盤；傳播后繼續(xù)監(jiān)視系統(tǒng)運(yùn)行，并試圖尋找新目標(biāo)。 主要傳播途徑有以下3種。 1）加載執(zhí)行文件 2）列目錄過程 3）新建文件過程8.2.3 計(jì)算病毒的觸發(fā)與生存1計(jì)算機(jī)病機(jī)毒的觸發(fā)機(jī)制 病毒的基本特性是感染、潛伏、可觸發(fā)、破壞。感染使病毒傳播，破壞性體現(xiàn)其殺傷力。觸發(fā)性兼顧殺傷力和潛伏性，并可控制病毒感染和破壞的頻度。 病毒的觸發(fā)條件主要有7種: 時(shí)間觸發(fā)、鍵盤觸發(fā)、感染觸發(fā)、啟動(dòng)觸發(fā)、訪問磁盤次數(shù)觸發(fā)、調(diào)用中斷功能觸發(fā)、CPU型號(hào)/主板型號(hào)觸發(fā)。2. 計(jì)算機(jī)病毒的生存周期 計(jì)算機(jī)病毒的產(chǎn)生過程分為程序設(shè)計(jì)傳

16、播潛伏觸發(fā)運(yùn)行實(shí)行攻擊。從產(chǎn)生到徹底根除，病毒擁有一個(gè)完整的生存周期。 開發(fā)期、傳播期、潛伏期、發(fā)作期、發(fā)現(xiàn)期、消化期、消亡期 8.2 計(jì)算機(jī)病毒的構(gòu)成與傳播第19頁，共41頁。8.2.4 特種及新型病毒實(shí)例1特洛伊木馬（1）特洛伊木馬的特性 特洛伊木馬（Trojan）病毒是一種具有攻擊系統(tǒng)、破壞文件、發(fā)送密碼和記錄鍵盤等特殊功能的后門程序，其特性也已變異更新。 木馬病毒使網(wǎng)絡(luò)安全形勢(shì)異常嚴(yán)峻。一款名為“母馬下載器”的惡性木馬病毒，集成了其他木馬和病毒，執(zhí)行后將生成數(shù)以千計(jì)的“子木馬”，憑借其超強(qiáng)的“穿透還原”、“超快更新變異”和“反殺”能力，廣泛流行且使眾多查毒軟件難以處理。同一臺(tái)電腦，中毒

17、后也會(huì)隨機(jī)出現(xiàn)不同的癥狀。案例8-6 8.2 計(jì)算機(jī)病毒的構(gòu)成與傳播第20頁，共41頁。（2）特洛伊木馬的類型 破壞型、密碼發(fā)送型、遠(yuǎn)程訪問型、鍵盤記錄木馬、DoS攻擊木馬、代理木馬、FTP木馬、程序殺手木馬、反彈端口型木馬。 2013年發(fā)現(xiàn)手機(jī)木馬Android.Hehe，可以阻止安卓設(shè)備上的來電和短信，并從受感染的設(shè)備上竊取信息。 2. 蠕蟲病毒及新變種 蠕蟲病毒Nimda是一種破壞力很強(qiáng)的惡意代碼，在網(wǎng)絡(luò)上傳播蔓延快。中毒用戶郵件的正文為空，看似無附件，實(shí)際上郵件中嵌入了病毒的執(zhí)行代碼，用戶瀏覽時(shí)病毒被激活，復(fù)制到臨時(shí)目錄，并運(yùn)行其副本。 謹(jǐn)防新型盜號(hào)木馬。國家計(jì)算機(jī)病毒應(yīng)急處理中心,2

18、013年12月通過對(duì)互聯(lián)網(wǎng)的監(jiān)測(cè)發(fā)現(xiàn)，近期出現(xiàn)惡意木馬程序新變種TrojanGeneric.OJX。運(yùn)行后獲取系統(tǒng)路徑，判斷自身是否在系統(tǒng)目錄下，如果不是則將自身拷貝到指定目錄下并重命名，其文件名隨機(jī)生成。該變種會(huì)打開受感染操作系統(tǒng)中服務(wù)控制管理器，創(chuàng)建服務(wù)進(jìn)程，啟動(dòng)類型為自動(dòng)。 案例8-7 8.2 計(jì)算機(jī)病毒的構(gòu)成與傳播第21頁，共41頁。 目前，全球感染量最大的“飛客”（Conficker）蠕蟲，2009年下半年我國境內(nèi)每月約有1800余萬個(gè)主機(jī)IP受感染，占全球感染總量的30，占各國感染比例的第一位。3. 多重新型病毒 CodeRedII是一種蠕蟲與木馬雙型的病毒。此新病毒極具危險(xiǎn)，不僅

19、可修改主頁，而且可通過IIS 漏洞可對(duì)木馬上載和運(yùn)行。先給自身建立一個(gè)環(huán)境并取得本地IP，用于分析為傳播的子網(wǎng)掩碼，判斷當(dāng)前操作系統(tǒng)，之后根據(jù)判斷增加線程。 2009年出現(xiàn)一種蠕蟲新變種Worm_Pijoyd.B 可感染操作系統(tǒng)中可執(zhí)行文件、網(wǎng)頁文件和腳本文件等，變種運(yùn)行后生成一個(gè)動(dòng)態(tài)鏈接庫文件，使受感染操作系統(tǒng)中的文件保護(hù)功能失效，無法對(duì)變種自我復(fù)制的鏈接庫文件修改，躲避被查殺進(jìn)行自保護(hù)。然后，修改加載動(dòng)態(tài)鏈接庫文件的時(shí)間，并啟動(dòng)服務(wù)進(jìn)程。案例8-8 8.2 計(jì)算機(jī)病毒的構(gòu)成與傳播第22頁，共41頁。4. CIH 病毒 CIH病毒屬文件型惡性病毒，其別名為Win95.CIH、Win32.CI

20、H、PE_CIH，主要感染W(wǎng)indows可執(zhí)行文件。CIH經(jīng)歷了多個(gè)版本的發(fā)展變化，發(fā)作日期為每年的4月26日或6月26日，而版本CIH V1.4的發(fā)作日期則被修改為每月的26日，改變后縮短了發(fā)作期限，增加了破壞性。當(dāng)發(fā)作條件成熟時(shí)，將破壞硬盤數(shù)據(jù)，并可破壞BIOS程序。5.“U盤殺手”新變種 2009年發(fā)現(xiàn)新的“U盤殺手”新變種（Worm_ Autorun.LSK），運(yùn)行后在受感染操作系統(tǒng)的系統(tǒng)目錄下釋放惡意驅(qū)動(dòng)程序，并將自身圖標(biāo)偽裝成Windows默認(rèn)文件夾。變種可將其自身復(fù)制、隱藏、自我命名、誘騙點(diǎn)擊運(yùn)行變種文件。 瑞星“云安全”系統(tǒng)截2014年初截獲了多種新型感染病毒，其特點(diǎn)為：病毒感

21、染能力強(qiáng)、可釋放多個(gè)木馬程序、變異快、可逃脫很多殺毒軟件的查殺與監(jiān)控。當(dāng)用戶從網(wǎng)上下載游戲、MP3、exe、flash等時(shí)，很可能帶有病毒，用戶運(yùn)行后即可感染電腦中的其他文件。Win32.virut、Win32. BMW和Worm.Win32.viking是其中三個(gè)威力最強(qiáng)的感染型病毒 案例8-9 8.2 計(jì)算機(jī)病毒的構(gòu)成與傳播第23頁，共41頁。 新型U盤病毒瞄準(zhǔn)WIN7。金山云安全中心發(fā)布預(yù)警稱，新操作系統(tǒng)Windows上市后，已發(fā)現(xiàn)針對(duì)WIN7的病毒新變種。目前，感染量最高的U盤病毒“文件夾模仿者”系列，除了進(jìn)行免殺處理外，還將所偽裝的文件夾圖標(biāo)采用了WIN7的圖標(biāo)風(fēng)格。其新變種實(shí)質(zhì)上是

22、廣告木馬。它通過隱藏盤中的真實(shí)文件、并替換其中文件夾圖標(biāo)為自己圖標(biāo)的方式，誘使用戶在每次查看文件時(shí)點(diǎn)擊木馬圖標(biāo)激活運(yùn)行，彈出指向某些網(wǎng)站的IE窗口，才允許用戶進(jìn)入文件夾內(nèi)。案例8-10討論思考：（1）計(jì)算機(jī)病毒如何構(gòu)成？計(jì)算機(jī)病毒傳播方式有哪些？（2）計(jì)算機(jī)病毒的生存周期具體有哪些過程？（3）特洛伊木馬的特性和類型有哪些？ 8.2 計(jì)算機(jī)病毒的構(gòu)成與傳播6. 磁碟機(jī)病毒主要危害主要癥狀主要防范方法第24頁，共41頁。 8.3 計(jì)算機(jī)病毒檢測(cè)清除與防范8.3.1 計(jì)算機(jī)病毒的檢測(cè)1特征代碼法 特征代碼法是檢測(cè)已知病毒的最簡單、開銷較小的方法。其檢測(cè)步驟為：采集中毒樣本，并抽取特征代碼，打開被檢測(cè)

23、文件，然后搜索檢查是否含病毒特征碼。2校驗(yàn)和法 校驗(yàn)和法指在使用文件前或定期地檢查文件內(nèi)容前后的校驗(yàn)和變化的方法。既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒，卻無法識(shí)別病毒類和病毒名。3行為監(jiān)測(cè)法 行為監(jiān)測(cè)法是利用病毒的行為特征監(jiān)測(cè)病毒的一種方法。病毒的一些行為特征比較特殊且具有其共性，監(jiān)視程序運(yùn)行，可發(fā)現(xiàn)病毒并及時(shí)報(bào)警。4軟件模擬法 多態(tài)性病毒代碼密碼化，且每次激活的密鑰各異，對(duì)比染毒代碼也無法找出共性特征的穩(wěn)定代碼。目前，很多殺毒軟件已具有實(shí)時(shí)監(jiān)測(cè)功能，在預(yù)防病毒方面效果也很好。第25頁，共41頁。8.3.2 常見病毒的清除方法計(jì)算機(jī)系統(tǒng)意外中毒，需要及時(shí)采取措施，常用的處理方法是清除病毒：先對(duì)系統(tǒng)

24、被破壞的程度調(diào)查評(píng)估，并采取有效的清除對(duì)策和方法。殺毒后重啟計(jì)算機(jī)，再用防殺病毒軟件檢查系統(tǒng)，并確認(rèn)完全恢復(fù)正常。 8.3 計(jì)算機(jī)病毒檢測(cè)清除與防范第26頁，共41頁。 8.3 計(jì)算機(jī)病毒檢測(cè)清除與防范8.3.3 計(jì)算機(jī)病毒的防范 計(jì)算機(jī)病毒的防范重于檢測(cè)和清除，這項(xiàng)系統(tǒng)工程，需要全社會(huì)的共同努力。國家依法打擊病毒的制造者和蓄意傳播者，并建立計(jì)算機(jī)病毒防治機(jī)構(gòu)及處理中心，從政策與技術(shù)上組織、協(xié)調(diào)和指導(dǎo)全國的計(jì)算機(jī)病毒防治。通過建立計(jì)算機(jī)病毒防范體系和制度，實(shí)時(shí)檢測(cè)及時(shí)發(fā)現(xiàn)計(jì)算機(jī)病毒的侵入，有效遏制病毒的傳播和破壞，盡快恢復(fù)。 企事業(yè)單位應(yīng)樹立“預(yù)防為主”思想，制定出切實(shí)可行的管理措施，以防止病

25、毒傳播，定期專項(xiàng)培訓(xùn)，提高計(jì)算機(jī)使用人員防毒意識(shí)。對(duì)于重要部門，專機(jī)專用；對(duì)于具體用戶，一定遵守有關(guān)規(guī)則和習(xí)慣：配備殺毒軟件并及時(shí)升級(jí)；留意安全信息，及時(shí)打好補(bǔ)??；經(jīng)常備份文件并殺毒一次；對(duì)外來文件和存儲(chǔ)介質(zhì)都應(yīng)先查毒后使用；一旦遭到大規(guī)模的病毒攻擊，應(yīng)立即采取隔離措施，并向有關(guān)部門報(bào)告，再采取措施清除；不點(diǎn)擊不明網(wǎng)站及鏈接；不使用盜版光盤；不下載不明文件和游戲等。個(gè)人用戶也要遵守病毒防治的法紀(jì)和制度，不斷學(xué)習(xí)、積累防毒知識(shí)和經(jīng)驗(yàn)，養(yǎng)成良好的防毒習(xí)慣，不造毒不傳毒。第27頁，共41頁。8.3.4 木馬的檢測(cè)清除與防范1.木馬的檢測(cè)方法（1）檢測(cè)系統(tǒng)進(jìn)程（2）檢查注冊(cè)表、ini文件和服務(wù)（3）檢

26、測(cè)開放端口（4）監(jiān)視網(wǎng)絡(luò)通訊2.木馬的清除方法（1）手工刪除（2）殺毒軟件清除3.木馬的防范方法（1）堵住控制通路（2）堵住可疑進(jìn)程（3）利用查毒軟件 木馬可在Win.ini和System.ini”run=”“l(fā)oad=” “shell=”后面加載,若在這些選項(xiàng)后的加載程序很陌生,可能就是木馬.通常將“Explorer”變?yōu)樽陨沓绦蛎?只需將其中的字母”l”改為數(shù)字“1”,或?qū)⒆帜浮皁”改為數(shù)字“0”,不易被發(fā)現(xiàn)。 8.3 計(jì)算機(jī)病毒檢測(cè)清除與防范 上海市經(jīng)濟(jì)和信息化委員會(huì)2013年8月23發(fā)布計(jì)算機(jī)病毒預(yù)報(bào)。 案例8-12案例8-11第28頁，共41頁。8.3.5 病毒和反病毒技術(shù)的發(fā)展趨勢(shì)

27、1. 計(jì)算機(jī)病毒的發(fā)展趨勢(shì) 計(jì)算機(jī)病毒技術(shù)發(fā)展變化很快，而且造成的影響更為廣泛，從最早的單片機(jī)到現(xiàn)在的聯(lián)網(wǎng)手機(jī)，并朝著網(wǎng)絡(luò)化、智能對(duì)抗反病毒手段和有目的方向發(fā)展。一些新病毒更加隱蔽，針對(duì)查毒軟件而設(shè)計(jì)的多形態(tài)病毒使查毒更難。 8.3 計(jì)算機(jī)病毒檢測(cè)清除與防范 據(jù)瑞星網(wǎng)站報(bào)道2013年1至6月，瑞星“云安全”系統(tǒng)共截獲新增病毒樣本1,633萬余個(gè)，病毒總體數(shù)量比去年下半年增長93.01%，呈現(xiàn)出一個(gè)爆發(fā)式的增長態(tài)勢(shì)。其中木馬病毒1,172萬個(gè)，占總體病毒的71.8%，和去年一樣是第一大種類病毒。新增病毒樣本包括蠕蟲病毒（Worm）198萬個(gè)，占總體數(shù)量的12.16%，成為第二大種類病毒。感染型（

28、Win32）病毒97萬個(gè)，占總體數(shù)量的5.99%，后門病毒（Backdoor）66萬個(gè)，占總體數(shù)量的4.05%，位列第三和第四。惡意廣告（Adware）、黑客程序（Hack）、病毒釋放器（Dropper）、惡意驅(qū)動(dòng)（Rootkit）依次排列，比例分別為1.91%、1.03%、0.62%和0.35%。 案例8-13第29頁，共41頁。2. 病毒防范技術(shù)的發(fā)展趨勢(shì)病毒清除新技術(shù)和新發(fā)展主要體現(xiàn)在：討論思考：（1）如何進(jìn)行常見病毒的檢測(cè)、清除、防范？（2）如何進(jìn)行木馬病毒的檢測(cè)、清除和防范？（3）計(jì)算機(jī)病毒和防病毒技術(shù)的發(fā)展趨勢(shì)是什么？1）實(shí)時(shí)監(jiān)測(cè)技術(shù)2）自動(dòng)解壓縮技術(shù)3）跨平臺(tái)反病毒技術(shù)4）云端殺

29、毒5）其他防范管理新方法完善產(chǎn)品體系及高病毒檢測(cè)率功能完善的控制臺(tái)減少通過廣域網(wǎng)流量管理實(shí)時(shí)防范能力快速及時(shí)的病毒特征碼升級(jí)主要包括 8.3 計(jì)算機(jī)病毒檢測(cè)清除與防范第30頁，共41頁。 8.4 惡意軟件的危害和清除8.4.1 惡意軟件概述1惡意軟件的概念2惡意軟件的分類 按照惡意軟件的特征和危害可以分為6類： （1）廣告軟件（Adware） （4）行為記錄軟件（Track Ware） （2）間諜軟件（Spyware） （5）惡意共享軟件（malicious shareware） （3）瀏覽器劫持 （6）其它“流氓軟件” 惡意軟件也稱惡意代碼是擾亂系統(tǒng)正常運(yùn)行和操作的程序。廣義上，計(jì)算機(jī)病毒也

30、是惡意軟件的一種。狹義上惡意軟件是介于病毒和正規(guī)軟件之間。一般同時(shí)具有下載、媒體播放等正常功能和自動(dòng)彈出、開后門、難清除等惡意行為。其共同的特征是未經(jīng)用戶許可強(qiáng)行潛入到電腦中，且無法正常卸載和刪除，或刪除后又自動(dòng)生成，因此，也被稱為“流氓軟件”。第31頁，共41頁。8.4.2 惡意軟件的危害與清除1. 惡意軟件的危害 （1）強(qiáng)制彈出廣告軟件 （2）劫持瀏覽器 （3）后臺(tái)記錄 （4）強(qiáng)制改寫系統(tǒng)文件2. 惡意軟件的清除 利用惡意軟件清除工具進(jìn)行清理,如超級(jí)巡警病毒分析工具,惡意軟件清理助手,超級(jí)兔子,Windows優(yōu)化大師,金山清理專家等,其使用方法較為簡單。 Windows 優(yōu)化大師清除惡意軟

31、件方法.Windows優(yōu)化大師是一款功能強(qiáng)大的系統(tǒng)工具軟件,提供了全面有效且簡便安全的系統(tǒng)檢測(cè)、優(yōu)化、清理、維護(hù)四大功能模塊和附加的工具軟件。 案例8-14 8.4 惡意軟件的危害和清除圖8-1 Windows優(yōu)化大師清理惡意軟件界面討論思考：（1）什么是惡意軟件？指出其特征。（2）惡意軟件的種類具體有哪些？（3）惡意軟件的危害和清除方法有哪些？第32頁，共41頁。9.5 360安全衛(wèi)士及殺毒軟件應(yīng)用實(shí)驗(yàn) 9.5.1 實(shí)驗(yàn)?zāi)康?.5.2 實(shí)驗(yàn)內(nèi)容 1. 主要實(shí)驗(yàn)內(nèi)容 360安全衛(wèi)士及殺毒軟件的實(shí)驗(yàn)內(nèi)容： 360安全衛(wèi)士及殺毒軟件的主要功能及特點(diǎn)。 360安全衛(wèi)士及殺毒軟件主要技術(shù)和應(yīng)用。 36

32、0安全衛(wèi)士及殺毒軟件主要操作界面和方法。 實(shí)驗(yàn)用時(shí)：2學(xué)時(shí)（90-120分鐘） 2. 360安全衛(wèi)士主要功能特點(diǎn) 360安全衛(wèi)士主要功能：電腦體檢。查殺木馬。修復(fù)漏洞。系統(tǒng)修復(fù)。電腦清理。優(yōu)化加速。電腦門診。軟件管家。功能大全。360安全衛(wèi)士及殺毒軟件的實(shí)驗(yàn)?zāi)康模?了解360安全衛(wèi)士及殺毒軟件的主要功能及特點(diǎn)。 理解360安全衛(wèi)士及殺毒軟件主要技術(shù)和應(yīng)用。 掌握360安全衛(wèi)士及殺毒軟件主要操作界面和方法 第33頁，共41頁。3. 360殺毒軟件主要功能特點(diǎn) 360殺毒軟件和360安全衛(wèi)士配合使用，是安全上網(wǎng)的黃金組合，可提供全時(shí)全面的病毒防護(hù)。360殺毒軟件主要功能特點(diǎn)： 360殺毒無縫整合國際知名的BitDefender病毒查殺引擎和安全中心領(lǐng)先云查殺引擎。 雙引擎智能調(diào)度，為電腦提供完善的病毒防護(hù)體系，不但查殺能力出色，而且能第一時(shí)間防御新出現(xiàn)的病毒木馬。 殺毒快、誤殺率低。以獨(dú)有的技術(shù)體系對(duì)系統(tǒng)資源占用少，殺毒快、誤殺率低。 快速升級(jí)和響應(yīng)，病毒特征庫及時(shí)更新，確保對(duì)爆發(fā)性病毒的快速響應(yīng)。 對(duì)感染型木馬