病毒的概述精品課件

1、病毒的概述第1頁，共51頁，2022年，5月20日，8點41分，星期五4.1 計算機病毒概述4.1.1 計算機病毒的起源計算機病毒的產(chǎn)生是一個歷史問題，是計算機科學(xué)技術(shù)高度發(fā)展與計算機文明遲遲得不到完善這樣一種不平衡發(fā)展的結(jié)果，它充分暴露了計算機信息系統(tǒng)本身的脆弱性和安全管理方面存在的問題。如何防范計算機病毒的侵襲已成為國際上亟待解決的重大課題。第2頁，共51頁，2022年，5月20日，8點41分，星期五4.1 計算機病毒概述4.1.2 計算機病毒的定義在中華人民共和國計算機信息系統(tǒng)安全保護條例中明確定義，計算機病毒指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且

2、能夠自我復(fù)制的一組計算機指令或者程序代碼”。計算機病毒具有非法性、隱藏性、潛伏性、可觸發(fā)性、破壞性、傳染性等特性。第3頁，共51頁，2022年，5月20日，8點41分，星期五4.1.3 計算機病毒的分類（1）按照計算機病毒攻擊的系統(tǒng)分類。 攻擊DOS系統(tǒng)的病毒這類病毒出現(xiàn)最早、數(shù)量最多，變種也最多。 攻擊Windows系統(tǒng)的病毒由于Windows系統(tǒng)是多用戶、多任務(wù)的圖形界面操作系統(tǒng)，深受用戶的歡迎， Windows系統(tǒng)正逐漸成為病毒攻擊的主要對象。 攻擊UNIX系統(tǒng)的病毒當前，UNIX系統(tǒng)應(yīng)用非常廣泛，并且許多大型的網(wǎng)絡(luò)設(shè)備均采用 UNIX作為其主要的操作系統(tǒng)，所以UNIX病毒的出現(xiàn)，對人類

3、的信息安全是一個嚴重的威脅。第4頁，共51頁，2022年，5月20日，8點41分，星期五4.1.3 計算機病毒的分類（2）按照計算機病毒的鏈接方式分類。 源碼型病毒該病毒攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到源程序中，經(jīng)編譯成為合法程序的一部分。 嵌入型病毒這種病毒是將自身嵌入到現(xiàn)有程序中，把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的，一旦侵入程序體后也較難消除。 外殼型病毒將其自身包圍在主程序的四周，對原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般測試文件的大小即可知道。 操作系統(tǒng)型病毒這種病毒用它自己的程序意圖

4、加入或取代部分操作系統(tǒng)的程序模塊進行工作，具有很強的破壞力，可以導(dǎo)致整個系統(tǒng)的癱瘓。圓點病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。第5頁，共51頁，2022年，5月20日，8點41分，星期五4.1.3 計算機病毒的分類（3）按照計算機病毒的破壞情況分類。 良性計算機病毒這類病毒為了表現(xiàn)其存在，只是不停地進行擴散，從一臺計算機傳染到另一臺，并不破壞計算機內(nèi)的數(shù)據(jù)。它一般會導(dǎo)致整個系統(tǒng)運行效率降低，給正常操作帶來麻煩。 惡性計算機病毒指在其代碼中包含有損傷和破壞計算機系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)產(chǎn)生直接的破壞作用。第6頁，共51頁，2022年，5月20日，8點41分，星期五4.1.3 計算機

5、病毒的分類（4）根據(jù)計算機病毒傳染方式進行分類 磁盤引導(dǎo)區(qū)傳染的計算機病毒磁盤引導(dǎo)區(qū)傳染的病毒主要是用病毒的全部或部分邏輯取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在磁盤的其他地方。例如，“大麻”和“小球”病毒就是這類病毒。 操作系統(tǒng)傳染的計算機病毒這類病毒作為操作系統(tǒng)的一部分，只要計算機開始工作，病毒就處在隨時被觸發(fā)的狀態(tài)。 “黑色星期五”即為此類病毒。 可執(zhí)行程序傳染的計算機病毒可執(zhí)行程序傳染的病毒通常寄生在可執(zhí)行程序中，一旦程序被執(zhí)行，病毒就會被激活。第7頁，共51頁，2022年，5月20日，8點41分，星期五4.1.3 計算機病毒的分類（5）按照計算機病毒激活的時間分類。 定時型病毒定

6、時病毒是在某一特定時間發(fā)作的病毒，它是以時間為發(fā)作的觸發(fā)條件，如果時間不滿足，此類病毒將不會進行破壞活動。 隨機型病毒與定時型病毒不同的是隨機型病毒，此類病毒不是通過時鐘進行觸發(fā)的。第8頁，共51頁，2022年，5月20日，8點41分，星期五4.1.3 計算機病毒的分類（6）按照傳播媒介分類。 單機病毒單機病毒的載體是磁盤，常見的是病毒從軟盤傳入硬盤，感染系統(tǒng)，然后再傳染給其他軟盤，軟盤又傳染給其他系統(tǒng)。 網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒的傳播媒介不再是移動式載體，而是網(wǎng)絡(luò)通道，這種病毒的傳染能力更強，破壞力更大。第9頁，共51頁，2022年，5月20日，8點41分，星期五4.1.4 計算機病毒的結(jié)構(gòu)圖4.1

7、 計算機病毒的程序結(jié)構(gòu)圖1計算機病毒的程序結(jié)構(gòu)引導(dǎo)模塊的作用：將病毒加載到內(nèi)存，使病毒程序處于活動狀態(tài)。傳染模塊的作用：將病毒代碼復(fù)制到其它傳染目標上去。破壞模塊的作用：對觸發(fā)條件進行判斷，滿足時就實行破壞表現(xiàn)功能。第10頁，共51頁，2022年，5月20日，8點41分，星期五2計算機病毒的存儲結(jié)構(gòu)（1）病毒的磁盤存儲結(jié)構(gòu) 系統(tǒng)型病毒是指專門傳染操作系統(tǒng)的啟動扇區(qū)，主要是硬盤主引導(dǎo)區(qū)和DOS引導(dǎo)扇區(qū)的病毒。 文件型病毒是指感染系統(tǒng)中可執(zhí)行文件或者依賴于可執(zhí)行文件發(fā)作的病毒。（2）病毒的內(nèi)存駐留結(jié)構(gòu) 駐留在常規(guī)內(nèi)存中 駐留在高端內(nèi)存中 不用駐留內(nèi)存第11頁，共51頁，2022年，5月20日，8點

8、41分，星期五4.2 計算機病毒的危害在計算機病毒出現(xiàn)的初期，說到計算機病毒的危害，往往注重于病毒對信息系統(tǒng)的直接破壞作用，比如格式化硬盤、刪除文件數(shù)據(jù)等，并以此來區(qū)分惡性病毒和良性病毒。其實這些只是病毒劣跡的一部分，隨著計算機應(yīng)用的發(fā)展，人們深刻地認識到凡是病毒都可能對計算機信息系統(tǒng)造成嚴重的破壞。 計算機病毒的主要危害有：1病毒激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用 2占用磁盤空間和對信息的破壞 3搶占系統(tǒng)資源 4影響計算機運行速度 5計算機病毒錯誤與不可預(yù)見的危害 6計算機病毒的兼容性對系統(tǒng)運行的影響 7計算機病毒給用戶造成嚴重的心理壓力 第12頁，共51頁，2022年，5月20日，8點41

9、分，星期五4.2.1 計算機病毒的表現(xiàn) 計算機運行速度的變化主要現(xiàn)象包括：計算機的反應(yīng)速度比平時遲鈍很多；應(yīng)用程序的載入比平時要多花費很長的時間。 計算機磁盤的變化主要現(xiàn)象包括：對一個簡單的磁盤存儲操作比預(yù)期時間長很多；當沒有存取數(shù)據(jù)時，硬盤指示燈無緣無故地亮了；磁盤的可用空間大量地減少；磁盤或者磁盤驅(qū)動器不能訪問。 計算機內(nèi)存的變化主要現(xiàn)象包括：系統(tǒng)內(nèi)存的容量突然間大量地減少；內(nèi)存中出現(xiàn)了不明的常駐程序。 計算機文件系統(tǒng)的變化主要現(xiàn)象包括：可執(zhí)行程序的大小被改變了；重要的文件奇怪地消失；文件被加入了一些奇怪的內(nèi)容；文件的名稱、日期、擴展名等屬性被更改；系統(tǒng)出現(xiàn)一些特殊的文件；驅(qū)動程序被修改導(dǎo)

10、致很多外部設(shè)備無法正常工作。 異常的提示信息和現(xiàn)象主要現(xiàn)象包括：出現(xiàn)不尋常的錯誤提示信息；計算機經(jīng)常死機或者重新啟動；啟動應(yīng)用程序時出現(xiàn)錯誤提示信息對話框。第13頁，共51頁，2022年，5月20日，8點41分，星期五計算機病毒的檢測與防范資源管理器文件夾選項設(shè)置文件瀏覽方式任務(wù)管理器進程選項卡性能選項卡第14頁，共51頁，2022年，5月20日，8點41分，星期五4.2.2 計算機故障與病毒特征區(qū)別 計算機硬件的配置 硬件的正常使用 CMOS的設(shè)置 丟失文件 文件版本不匹配 資源耗盡 非法操作第15頁，共51頁，2022年，5月20日，8點41分，星期五4.2.3 常見的計算機病毒1早期的D

11、OS病毒2引導(dǎo)型病毒3文件型病毒4蠕蟲病毒5木馬病毒第16頁，共51頁，2022年，5月20日，8點41分，星期五4.3 計算機病毒的檢測與防范4.3.1 文件型病毒對文件型病毒的防范，一般采用以下一些方法。 安裝最新版本、有實時監(jiān)控文件系統(tǒng)功能的防病毒軟件。 及時更新病毒引擎，一般每月至少更新一次，最好每周更新一次，并在有病毒突發(fā)事件時立即更新。 經(jīng)常使用防毒軟件對系統(tǒng)進行病毒檢查。 對關(guān)鍵文件，如系統(tǒng)文件、重要數(shù)據(jù)等，在無毒環(huán)境下經(jīng)常備份。常見的殺毒軟件：諾頓、江民、瑞星、金山、卡巴斯基、PC-Cillin、McAfee 、Virus驅(qū)逐艦等第17頁，共51頁，2022年，5月20日，8點

12、41分，星期五4.3.2 引導(dǎo)型病毒對引導(dǎo)型病毒的防范，一般采取如下措施。 盡量避免使用軟盤等移動設(shè)備保存和傳遞資料，如果需要使用，則應(yīng)該先對軟盤中的文件進行病毒的查殺。 軟盤用完后應(yīng)該從軟驅(qū)中取出。 避免在軟驅(qū)中存有軟盤的情況下開機或者啟動操作系統(tǒng)。第18頁，共51頁，2022年，5月20日，8點41分，星期五4.3.3 宏病毒對宏病毒進行防范可以采取如下幾項措施。 提高宏的安全級別。目前的高版本的Word軟件可以設(shè)置宏的安全級別，在不影響正常使用的情況下，應(yīng)該選擇較高的安全級別，如圖4.20所示。圖4.20 宏的安全性選項第19頁，共51頁，2022年，5月20日，8點41分，星期五4.3

13、.3 宏病毒 刪除不知來路的宏定義。 將Normal.dot模板進行備份，當被病毒感染后，使用備份模板進行覆蓋。 如果懷疑外來文件含有宏病毒，可以使用寫字板打開該文件，然后將文本粘貼到Word中，轉(zhuǎn)換后的文檔是不會含有宏的。第20頁，共51頁，2022年，5月20日，8點41分，星期五4.3.4 蠕蟲病毒針對蠕蟲病毒，可以采用以下的一些防范措施。 用戶在網(wǎng)絡(luò)中共享的文件夾一定要將權(quán)限設(shè)置為只讀，如圖4.22所示，而且最好對于重要的文件夾設(shè)置訪問賬號和密碼。圖4.22 設(shè)置文件夾的權(quán)限第21頁，共51頁，2022年，5月20日，8點41分，星期五4.3.4 蠕蟲病毒 要定期檢查自己的系統(tǒng)內(nèi)是否具

14、有可寫權(quán)限的共享文件夾，如圖4.23所示，一旦發(fā)現(xiàn)這種文件夾，需要及時關(guān)閉該共享權(quán)限。圖4.23 檢查共享文件夾第22頁，共51頁，2022年，5月20日，8點41分，星期五4.3.4 蠕蟲病毒 要定期檢查計算機中的賬戶，看看是否存在不明賬戶信息。一旦發(fā)現(xiàn)，應(yīng)該立即刪除該賬戶，并且禁用Guest賬號，如圖4.24所示，防止被病毒利用。圖4.24 檢查計算機中的用戶賬戶第23頁，共51頁，2022年，5月20日，8點41分，星期五4.3.4 蠕蟲病毒 給計算機的賬戶設(shè)置比較復(fù)雜的密碼，防止被蠕蟲病毒破譯。 購買主流的網(wǎng)絡(luò)安全產(chǎn)品，并隨時更新。 提高防殺病毒的意識，不要輕易單擊陌生的站點。 不要隨

15、意查看陌生郵件，尤其是帶有附件的郵件。 對于網(wǎng)絡(luò)管理人員，尤其是郵件服務(wù)器的管理人員，需要經(jīng)常檢測網(wǎng)絡(luò)流量，一旦發(fā)現(xiàn)流量猛增，有可能在網(wǎng)絡(luò)中已經(jīng)存在了蠕蟲病毒第24頁，共51頁，2022年，5月20日，8點41分，星期五第25頁，共51頁，2022年，5月20日，8點41分，星期五4.4 木馬攻擊與分析 很多網(wǎng)絡(luò)用戶認為，只要裝了殺毒軟件，系統(tǒng)就安全了，這種想法是很危險的！在現(xiàn)今的網(wǎng)絡(luò)安全環(huán)境下，木馬、病毒肆虐，黑客攻擊頻繁，而各種流氓軟軟件、間諜軟件也行風作浪,只靠殺毒軟件已不足以保證我們的系統(tǒng)安全。 第26頁，共51頁，2022年，5月20日，8點41分，星期五4.4 木馬攻擊與分析木馬背

16、景介紹 特洛伊木馬（以下簡稱木馬)，英文叫做“Trojan horse”，其名稱取自希臘神話的特洛伊木馬記。 古希臘傳說，特洛伊王子帕里斯訪問希臘，誘走了王后海倫，希臘人因此遠征特洛伊。圍攻9年后，到第10年，希臘將領(lǐng)奧德修斯獻了一計，就是把一批勇士埋伏在一匹巨大的木馬腹內(nèi)，放在城外后，佯作退兵。特洛伊人以為敵兵已退，就把木馬作為戰(zhàn)利品搬入城中。到了夜間，埋伏在木馬中的勇士跳出來，打開了城門，希臘將士一擁而入攻下了城池。 后來，人們常用“特洛伊木馬”這一典故，用來比喻在敵方營壘里埋下伏兵里應(yīng)外合的活動。 第27頁，共51頁，2022年，5月20日，8點41分，星期五4.4 木馬攻擊與分析4.4

17、.2 木馬的概述1特洛伊木馬與病毒的區(qū)別一般地，木馬是不會自行傳播的，這與病毒是不一樣的；但是現(xiàn)在的病毒往往將木馬作為負載的一部分復(fù)制到目標上，用于竊取數(shù)據(jù)或控制目標。第28頁，共51頁，2022年，5月20日，8點41分，星期五4.4 木馬攻擊與分析4.4.2 木馬的概述2特洛伊木馬的種植首先遠程連接到目標，可以在命令行提示符下鍵入：C:net use 53ipc$ /user: administrator第29頁，共51頁，2022年，5月20日，8點41分，星期五4.4 木馬攻擊與分析4.4.2 木馬的概述2特洛伊木馬的種植遠程連接成功后，可以使用：查看目標計算機中的共享文件目錄這時就可

18、以植入木馬程序，可以使用copy c:winntpatch12345.exe 53nt40這里的patch12345.exe是一個木馬程序。第30頁，共51頁，2022年，5月20日，8點41分，星期五4.4 木馬攻擊與分析第31頁，共51頁，2022年，5月20日，8點41分，星期五4.4 木馬攻擊與分析第32頁，共51頁，2022年，5月20日，8點41分，星期五4.4 木馬攻擊與分析4.4.2 木馬的概述3特洛伊木馬的行為木馬運行后，會修改系統(tǒng)。包括： 利用Autoexec.bat和Config.sys進行加載 修改Win.ini文件 修改注冊表的啟動信息第33頁，共51頁，2022年，

19、5月20日，8點41分，星期五4.4 木馬攻擊與分析4.4.2 木馬的概述2特洛伊木馬的種植 偽裝成一般的小軟件 把木馬綁定在正常的程序上第34頁，共51頁，2022年，5月20日，8點41分，星期五4.4.3 木馬的分類1遠程控制木馬2密碼發(fā)送木馬 3鍵盤記錄木馬 4破壞性質(zhì)的木馬 5DoS攻擊木馬 6代理木馬 7FTP木馬 第35頁，共51頁，2022年，5月20日，8點41分，星期五4.4.4 木馬的發(fā)展木馬的發(fā)展可以分為四代：第一代木馬主要針對UNIX系統(tǒng) 如BO、Netspy第二代木馬可以進行所有入侵操作 如冰河第三代木馬具有穿透防火墻的功能 如灰鴿子第四代木馬增加了進程隱藏技術(shù)第3

20、6頁，共51頁，2022年，5月20日，8點41分，星期五4.5 木馬的攻擊防護技術(shù)4.5.1 常見的木馬 灰鴿子 廣外幽靈第37頁，共51頁，2022年，5月20日，8點41分，星期五4.5 木馬的攻擊防護技術(shù)4.5.2 木馬的加殼與脫殼木馬的加殼：目的是避免被殺毒軟件查殺。木馬的脫殼：目的是把加殼后的程序恢復(fù)成毫無包裝的可執(zhí)行代碼。第38頁，共51頁，2022年，5月20日，8點41分，星期五4.5.3 安全解決方案為了防范木馬的入侵，應(yīng)該實施如下的安全措施。 使用專業(yè)廠商的正版木馬防火墻，使用正版的殺毒軟件，并能夠正確地對木馬防火墻和殺毒軟件進行配置。 使用工具軟件隱藏自身的實際地址。 不要隱藏文件的擴展名，以便及時地發(fā)現(xiàn)木馬文件。 定期