計算機病毒授課課件

計算機病毒與防范技術(shù)病毒演示病毒演示—CIH病毒CIH將硬盤

FORMAT!CIH將BIOS給毀了

!病毒演示—彩帶病毒病毒演示—圣誕節(jié)病毒病毒演示—白雪公主巨大的黑白螺旋占據(jù)了屏幕位置，使計算機使用者無法進行任何操作！1()

病毒演示—紅色代碼一、計算機病毒概念

定義：計算機病毒是一段附著在其他程序上的可以實現(xiàn)自我繁殖的程序代碼。（國外）1994年2月18日，國家正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在第二十八條中明確指出：計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)影響計算機使用并能自我復(fù)制的一組計算機指令或者程序代碼。（國內(nèi)）

1.1計算機病毒定義

時間

名稱

特點1949年諾依曼《復(fù)雜自動機器的理論與結(jié)構(gòu)》程序可以在內(nèi)存進行自我復(fù)制和變異的理論20世紀(jì)60年代初CoreWar通過復(fù)制自身來擺脫對方控制1981年ElkCloner通過磁盤進行感染1986年底Brain首次使用了偽裝手段1987年Casade自我加解密1987年12月ChristmasTree在VM/CMS操作系統(tǒng)下傳播1988年“耶路撒冷”病毒文件型病毒1988年11月2日蠕蟲程序造成6000多臺機子癱瘓1.2計算機病毒產(chǎn)生和發(fā)展一、計算機病毒概念

1.2計算機病毒產(chǎn)生和發(fā)展一、計算機病毒概念

首例能夠破壞硬件的病毒CHI1998年6月第一個使用FTP進行傳播Homer1997年4月第一個Linux環(huán)境下的病毒Bliss1997年2月攻擊Windows操作系統(tǒng)病毒大規(guī)模出現(xiàn)宏病毒Concept感染C語言和Pascal語言感染OBJ文件SrcVirShifter1993、1994年第一個多態(tài)病毒Chameleon1990年標(biāo)志著計算機病毒開始入侵我國“小球”1989年4月格式化硬盤Yankee1989年特點名稱時間1995年8月9日2006年5至6月份相繼出現(xiàn)針對銀行的木馬、病毒事件和進行網(wǎng)絡(luò)敲詐活動的“敲詐者”病毒。2006年11月，我國又連續(xù)出現(xiàn)“熊貓燒香”、“仇英”、“艾妮”等盜取網(wǎng)上用戶密碼帳號的病毒和木馬。2007年以盜取網(wǎng)絡(luò)游戲帳號為目的編寫的“網(wǎng)游盜號木馬”病毒成為新的毒王，“QQ通行證”病毒和“灰鴿子”分列第二、第三位。2008年機器狗系列病毒AV終結(jié)者病毒系列。2009年上半年，計算機病毒、木馬的傳播方式以網(wǎng)頁掛馬為主。掛馬者主要通過微軟以及其它應(yīng)用普遍的第三方軟件漏洞為攻擊目標(biāo)。1.2計算機病毒產(chǎn)生和發(fā)展一、計算機病毒概念

1.3計算機病毒的產(chǎn)生原因計算機病毒的產(chǎn)生原因主要有4個方面：（1）惡作劇型（2）報復(fù)心理型（3）版權(quán)保護型（4）特殊目的型一、計算機病毒概念

1.4計算機病毒的命名方式病毒的命名并無統(tǒng)一的規(guī)定，基本都是采用前后綴法來進行命名。

一般格式為：[前綴].[病毒名].[后綴]。以振蕩波蠕蟲病毒的變種c“Worm.Sasser.c”為例，Worm指病毒的種類為蠕蟲，Sasser是病毒名，c指該病毒的變種。（1）病毒前綴（2）病毒名（3）病毒后綴一、計算機病毒概念

1.破壞性：(體系設(shè)計者的意圖）

無論何種病毒一旦進入系統(tǒng)對OS的運行就會造成不同程度的影響，小到占用資源（石頭、小球），大到刪除數(shù)據(jù)和使系統(tǒng)崩潰，使之無法恢復(fù)，造成補課挽回的損失。2.傳染性:(最重要的特征）計算機病毒也會通過各種媒體從已被感染的計算機擴散到未被感染的計算機。3.隱蔽性:

病毒是一種具有很高編程技巧，短小精悍的可執(zhí)行程序，他通常粘附在正常程序或磁盤引導(dǎo)扇區(qū)中，以及一些空閑概率比較大的扇區(qū)中，目的就是不讓用戶發(fā)現(xiàn)。計算機病毒不經(jīng)過程序代碼分析或計算機病毒代碼掃描，病毒程序與正常程序是不容易區(qū)別開來的。2.1計算機病毒特征二、計算機病毒原理

4.潛伏性：

計算機病毒潛伏性是指病毒具有依附其他媒體而寄生的能力。大部分病毒感染系統(tǒng)以后，一般不會馬上發(fā)作，他可長期的隱藏，只有條件滿足才會啟動。因此，病毒可以在磁盤、光盤或其他介質(zhì)上靜靜的呆上幾天，甚至是幾年。

5.可觸發(fā)性：病毒的可觸發(fā)性是指當(dāng)病毒觸發(fā)條件滿足時，病毒才在感染了的計算機上開始發(fā)作，表現(xiàn)出一定的癥狀和破壞性。6.不可預(yù)見性：

從對病毒的檢測來看，病毒具有不可預(yù)見性。病毒永遠超前于反病毒軟件。2.1計算機病毒特征二、計算機病毒原理

2.2計算機病毒的分類

病毒可以分別按照破壞性、傳染性、連接方式、病毒特有算法4種方式進行分類。

分類

表現(xiàn)及影響良性病毒只是顯示信息、湊樂、發(fā)出聲響、自我復(fù)制。除了減少磁盤空間外，對系統(tǒng)沒有其他影響惡性病毒封鎖、干擾、中斷輸入輸出、使用戶無法打印，甚至終止計算機的運行，使系統(tǒng)造成嚴重的錯誤（Azsua、Typo—COM）極惡性病毒刪除普通程序或系統(tǒng)文件，破壞系統(tǒng)配置，導(dǎo)致死機、崩潰等災(zāi)難性病毒破壞分區(qū)信息。主引導(dǎo)區(qū)信息、FAT，刪除數(shù)據(jù)文件，甚至格式硬盤1.按破壞性分類二、計算機病毒原理

2.按感染形式分類文件病毒：通過在執(zhí)行文件中插入指令把自己依附在可執(zhí)行文件上，此種病毒感染文件，并寄生在文件中，進而造成文件損壞。如“耶路撒冷”、“百年病毒”引導(dǎo)區(qū)病毒：潛伏在軟盤的引導(dǎo)扇區(qū)，或在硬盤的引導(dǎo)區(qū)，或主引導(dǎo)紀(jì)錄（分區(qū)扇區(qū)）中插入指令。如果計算機用被感染的軟盤引導(dǎo)時，病毒就會感染到引導(dǎo)硬盤，并把自己的代碼調(diào)入內(nèi)存。（小球、石頭）混合型病毒：具有引導(dǎo)型和文件型兩種病毒的特性。CIH病毒就是這種混合型病毒。2.2計算機病毒的分類二、計算機病毒原理

3.

按連接方式分類源碼型病毒：較少見，也難以編寫。因為他要攻擊高級語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯。連接成可執(zhí)行文件。此時剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。入侵型病毒：可用自身代替正常程序中的部分模塊或堆棧區(qū)。因此這類病毒只攻擊某些特定程序，針對性強，一般難以發(fā)現(xiàn)，清除也較困難。操作系統(tǒng)型病毒：可用其自身部分加入或替代操作系統(tǒng)的部分功能。由于其直接感染操作系統(tǒng)，這類病毒的危害性也較大。（小球，大麻）外殼型病毒：將自身依附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個外殼。大部分文件型病毒屬于此類2.2計算機病毒的分類二、計算機病毒原理

4．按病毒特有的算法分類伴隨型病毒：這類病毒不改變文件本身，他根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同擴展名（COM）。蠕蟲型病毒：通過計算機網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機器的內(nèi)存?zhèn)鞑サ狡渌麢C器的內(nèi)存，計算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。他們在系統(tǒng)中存在，一般除了占用內(nèi)存以外不會占用其他資源。寄生型病毒：除了伴隨和蠕蟲，其他的都可以成為寄生型病毒，他們依附在系統(tǒng)的引導(dǎo)區(qū)或文件，通過系統(tǒng)的功能進行傳播練習(xí)型病毒：病毒自身包含錯誤，不能進行很好的傳播，例如一些病毒處于調(diào)試階段變形病毒：這病毒使用一個復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容與長度。2.2計算機病毒的分類二、計算機病毒原理

2.3計算機病毒的傳播途徑：1）通過不可移動的設(shè)備進行傳播

較少見，但破壞力很強。2）通過移動存儲設(shè)備進行傳播

最廣泛的傳播途徑3）通過網(wǎng)絡(luò)進行傳播

反病毒所面臨的新課題4）通過點對點通訊系統(tǒng)和無線通道傳播

預(yù)計將來會成為兩大傳播渠道二、計算機病毒原理

2.4病毒的表現(xiàn)形式：

狡猾的病毒通過多種途徑感染計算機，那么我們怎么看出計算機已中毒？

1）平時運行正常的計算機突然經(jīng)常性無故死機?？赡懿《拘薷牧酥袛嗵幚沓绦虻?。2）操作系統(tǒng)無法正常啟動。關(guān)機后重啟，操作系統(tǒng)報告缺少必要的啟動文件或文件破壞，系統(tǒng)無法啟動?？赡懿《靖腥鞠到y(tǒng)文件使文件結(jié)構(gòu)發(fā)生變化。3）運行速度明顯變慢。4）以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤，或使用程序中的某個功能時報說內(nèi)存不足。可能病毒占用了內(nèi)存。二、計算機病毒原理

2.4病毒的表現(xiàn)形式：5）打印和通信發(fā)生錯誤。打印出來的是亂碼，調(diào)制解調(diào)器不能撥號。可能是病毒駐留內(nèi)存占用打印端口、串行通信端口的中斷服務(wù)程序。6）無意中要求對軟盤進行讀寫操作。如操作系統(tǒng)提示軟驅(qū)中沒有插軟盤等。7）系統(tǒng)文件的時間、日期、大小發(fā)生變化。這是最明顯計算機病毒跡象。8）運行Word，打開Word文檔后，該文檔另存為時只能以模板方式保存。無法存為另一DOC文檔。中了宏病毒的緣故。二、計算機病毒原理

9）磁盤空間迅速減少。10）陌生人發(fā)來的電子郵件。尤其是那些很具有誘惑力的，如笑話或情書等，又帶有附件的郵件。11）自動鏈接到一些陌生的網(wǎng)站。計算機沒有上網(wǎng)，但他自己撥號并連接到一個陌生的站點，有可能被遠程控制了。12）提示一些不相干的話。宏病毒，在滿足發(fā)作的條件就會彈出對話框顯示某句話，并要求用戶確定。13）發(fā)出一段美妙的音樂?！皸罨焙汀盀g陽河”。14）產(chǎn)生特定的圖像?！靶∏颉?.4病毒的表現(xiàn)形式：二、計算機病毒原理

15）進行游戲算法?！皞髌娌《尽?6）Windows桌面圖標(biāo)發(fā)生變化。17）自動發(fā)送電子郵件。在某一特定的時刻向同一個服務(wù)器發(fā)送無用的信件。18）鼠標(biāo)自己動。受到黑客的控制。2.4病毒的表現(xiàn)形式：二、計算機病毒原理

雖然不同類型的計算機病毒的機制和表現(xiàn)手法不盡相同，但計算機病毒的結(jié)構(gòu)基相似，一般說來是由以下三個程序模塊組成。

1.引導(dǎo)模塊

2.傳染模塊

3.破壞與表現(xiàn)模塊

2.5計算機病毒的結(jié)構(gòu)二、計算機病毒原理

1.引導(dǎo)模塊

當(dāng)被感染的軟硬盤，應(yīng)用程序開始工作時，病毒的引導(dǎo)模塊將病毒由外存引入內(nèi)存，并使病毒程序成為相對獨立于宿主程序的部分，從而使病毒的傳染模塊和破壞模塊進入待機狀態(tài)。2.5計算機病毒的結(jié)構(gòu)二、計算機病毒原理

2．傳染模塊傳染模塊包括三部分內(nèi)容：（1）傳染控制部分。病毒一般都有一個控制條件，一旦滿足這個條件就開始感染。例如，病毒先判斷某個文件是否是.EXE文件，如果是再進行傳染，否則再尋找下一個文件；

（2）傳染判斷部分。每個病毒程序都有一個標(biāo)記，在傳染時將判斷這個標(biāo)記，如果磁盤或者文件已經(jīng)被傳染就不再傳染，否則就要傳染了；（3）傳染操作部分。在滿足傳染條件時進行傳染操作。2.5計算機病毒的結(jié)構(gòu)二、計算機病毒原理

3.破壞與表現(xiàn)模塊

破壞與表現(xiàn)模塊是病毒程序的核心部分，也是病毒設(shè)計者意圖的體現(xiàn)部分。這部分程序負責(zé)捕捉進入破壞程序的條件，在條件滿足時開始進行破壞系統(tǒng)或數(shù)據(jù)的工作，甚至可以毀掉包括自己在內(nèi)的系統(tǒng)資源。

2.5計算機病毒的結(jié)構(gòu)二、計算機病毒原理

1.計算機病毒的觸發(fā)機制（2）目前病毒采用的觸發(fā)條件主要有以下幾種。（1）時間觸發(fā)（2）鍵盤觸發(fā)如AIDS病毒Invader病毒（3）感染觸發(fā)BlackMonday病毒在運行第240個染毒程序時被激活（4）啟動觸發(fā)Anti-Tei和Telecom病毒當(dāng)系統(tǒng)第400次啟動時被激活（5）訪問磁盤次數(shù)觸發(fā)（6）CPU型號/主板型號觸發(fā)2.6計算機病毒的觸發(fā)與生存二、計算機病毒原理

計算機病毒的產(chǎn)生過程可分為程序設(shè)計—傳播—潛伏—觸發(fā)—運行—實行攻擊。

計算機病毒擁有一個完整的生命周期，從產(chǎn)生到徹底根除，病毒生命周期包括：

（1）開發(fā)期（2）傳播期（3）潛伏期（4）發(fā)作期（5）發(fā)現(xiàn)期（6）消化期（7）消亡期2.計算機病毒的生存周期2.6計算機病毒的觸發(fā)與生存二、計算機病毒原理

計算機病毒的發(fā)展趨勢21世紀(jì)是計算機病毒與反病毒激烈角逐的時代，而智能化、人性化、隱蔽化、多樣化也在逐漸成為新世紀(jì)計算機病毒的發(fā)展趨勢。智能化人性化隱蔽化多樣化防重于治，防重在管：制度；注冊、權(quán)限、屬性、服務(wù)器安全；集中管理、報警。綜合防護：木桶原理；防火墻與防毒軟件結(jié)合最佳均衡原則：占用較小的網(wǎng)絡(luò)資源管理與技術(shù)并重正確選擇反毒產(chǎn)品多層次防御：病毒檢測、數(shù)據(jù)保護、實時監(jiān)控注意病毒檢測的可靠性：經(jīng)常升級；兩種以上。3.1網(wǎng)絡(luò)環(huán)境下的病毒防治原則與策略三、反病毒技術(shù)防毒：預(yù)防入侵；病毒過濾、監(jiān)控、隔離查毒：發(fā)現(xiàn)和追蹤病毒；統(tǒng)計、報警解毒：從感染對象中清除病毒；恢復(fù)功能計算機病毒的預(yù)防計算機病毒防治，要采取預(yù)防為主的方針。下面是一些行之有效的措施。安裝防病毒軟件定期升級防病毒軟件不隨便打開不明來源的郵件附件盡量減少其他人使用你的計算機及時打系統(tǒng)補丁從外面獲取數(shù)據(jù)先檢察建立系統(tǒng)恢復(fù)盤定期備份文件綜合各種防病毒技術(shù)三、反病毒技術(shù)網(wǎng)關(guān)級防毒Internet企業(yè)內(nèi)部網(wǎng)絡(luò)STOP!服務(wù)器端防毒客戶端防毒防毒集中管理器STOP!