計(jì)算機(jī)病毒與木馬

計(jì)算機(jī)病毒與木馬第1頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒的概念起源非常早，在第一部商用計(jì)算機(jī)出現(xiàn)之前好幾年，計(jì)算機(jī)的先驅(qū)者馮·諾依曼（JohnVonNeumann）在他的一篇論文《復(fù)雜自動(dòng)裝置的理論及組織的進(jìn)行》里，已經(jīng)勾勒出病毒程序的藍(lán)圖。不過(guò)在當(dāng)時(shí)，絕大部分的計(jì)算機(jī)專家都無(wú)法想象會(huì)有這種能自我繁殖的程序。第2頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述1975年，美國(guó)科普作家約翰·布魯勒爾（JohnBrLiiler）寫(xiě)了一本名為《震蕩波騎士》的書(shū)，該書(shū)第一次描寫(xiě)了在信息社會(huì)中，計(jì)算機(jī)作為正義和邪惡雙方斗爭(zhēng)的工具的故事，成為當(dāng)年最佳暢銷書(shū)之一。1977年夏天，托馬斯·捷·瑞安的科幻小說(shuō)《P-1的春天》成為美國(guó)的暢銷書(shū)，作者在這本書(shū)中描寫(xiě)了一種可以在計(jì)算機(jī)中互相傳染的病毒，病毒最后控制了7

000臺(tái)計(jì)算機(jī)，造成了一場(chǎng)災(zāi)難。這是世界上第一個(gè)幻想出來(lái)的計(jì)算機(jī)病毒,僅僅在10年之后，這種幻想的計(jì)算機(jī)病毒在世界各地大規(guī)模泛濫。第3頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述不過(guò)，這種具備感染性與破壞性的程序被真正稱為“病毒”，則是在兩年后的一本《科學(xué)美國(guó)人》的月刊中。一位叫作杜特尼的專欄作家在討論“磁芯大戰(zhàn)”與蘋果二型計(jì)算機(jī)（當(dāng)時(shí)流行的正是蘋果二型計(jì)算機(jī)，那時(shí)，PC還未誕生）時(shí)，開(kāi)始把這種程序稱為病毒。與《P-1的春天》成為暢銷書(shū)差不多同一時(shí)間，美國(guó)著名的AT&T貝爾實(shí)驗(yàn)室中，3個(gè)年輕人在工作之余，很無(wú)聊地玩起一種游戲：彼此撰寫(xiě)出能夠吃掉別人程序的程序來(lái)互相作戰(zhàn)，這個(gè)叫做“磁芯大戰(zhàn)”的游戲，進(jìn)一步將計(jì)算機(jī)病毒“感染性”的概念體現(xiàn)出來(lái)。第4頁(yè)，共64頁(yè)，2023年，2月20日，星期四

1983年11月3日，一位南加州大學(xué)的學(xué)生弗雷德·科恩在UNIX系統(tǒng)下，寫(xiě)了一個(gè)會(huì)引起系統(tǒng)死機(jī)的程序，但是這個(gè)程序并未引起一些教授的注意與認(rèn)同。科恩為了證明其理論而將這些程序以論文發(fā)表，在當(dāng)時(shí)引起了不小的震撼?？贫鞯某绦?，讓計(jì)算機(jī)病毒具備破壞性的概念具體成形。到了1987年，第一個(gè)計(jì)算機(jī)病毒C-BRAIN終于誕生了。一般而言，業(yè)界都公認(rèn)這是真正具備完整特征的計(jì)算機(jī)病毒始祖。第5頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述這個(gè)病毒在當(dāng)時(shí)并沒(méi)有太大的殺傷力，但后來(lái)一些有心人士以C-BRAIN為藍(lán)圖，制作出一些變形的病毒。計(jì)算機(jī)病毒的產(chǎn)生是一個(gè)歷史問(wèn)題，是計(jì)算機(jī)科學(xué)技術(shù)高度發(fā)展與計(jì)算機(jī)文明遲遲得不到完善這樣一種不平衡發(fā)展的結(jié)果，它充分暴露了計(jì)算機(jī)信息系統(tǒng)本身的脆弱性和安全管理方面存在的問(wèn)題。如何防范計(jì)算機(jī)病毒的侵襲已成為國(guó)際上亟待解決的重大課題。第6頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述4.1.2計(jì)算機(jī)病毒的定義從廣義上講，凡是人為編制的、干擾計(jì)算機(jī)正常運(yùn)行并造成計(jì)算機(jī)軟硬件故障，甚至破壞計(jì)算機(jī)數(shù)據(jù)的、可自我復(fù)制的計(jì)算機(jī)程序或指令集合都是計(jì)算機(jī)病毒。在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中明確定義，病毒指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。第7頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒具有非法性、隱蔽性、潛伏性、觸發(fā)性、表現(xiàn)性、破壞性、傳染性、針對(duì)性、變異性和不可預(yù)見(jiàn)性。單獨(dú)根據(jù)某一個(gè)特性是不能判斷某個(gè)程序是否是病毒的，必須對(duì)病毒的特性有一個(gè)全面的了解，下面對(duì)病毒的主要特性進(jìn)行簡(jiǎn)單的介紹。第8頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述1．非法性病毒的非法性是指病毒所做的操作都是在未獲得計(jì)算機(jī)用戶的允許下“悄悄地”進(jìn)行的，它們絕大多數(shù)的操作是違背用戶意愿和利益的。在正常情況下，計(jì)算機(jī)用戶調(diào)用執(zhí)行一個(gè)合法的程序時(shí)，把系統(tǒng)的控制權(quán)交給這個(gè)程序，并給其分配相應(yīng)的系統(tǒng)資源。第9頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述2.隱藏性隱藏性是病毒的一個(gè)最基本的特性。因?yàn)椴《径际恰胺欠ā钡某绦?，不可能在用戶的監(jiān)視和意愿下光明正大地存在和運(yùn)行。因此，病毒必須具備隱藏性，才能夠達(dá)到傳播和破壞的目的。第10頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述3.潛伏性病毒感染了其他的合法程序、文件或系統(tǒng)后，不會(huì)立即發(fā)作，而是隱藏起來(lái)。當(dāng)病毒的發(fā)作條件滿足的時(shí)候，才進(jìn)行破壞操作。4．可觸發(fā)性計(jì)算機(jī)病毒一般都有各自的觸發(fā)條件。當(dāng)這些觸發(fā)條件滿足的時(shí)候，病毒開(kāi)始進(jìn)行傳播或者破壞。觸發(fā)的實(shí)質(zhì)是病毒的設(shè)計(jì)者設(shè)計(jì)的一種條件的控制，按照設(shè)計(jì)者的設(shè)計(jì)要求，病毒在條件滿足的情況下進(jìn)行攻擊。第11頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述5.破壞性破壞性是計(jì)算機(jī)病毒的另一主要特性。計(jì)算機(jī)病毒造成的最顯著后果就是破壞計(jì)算機(jī)系統(tǒng)的正常運(yùn)行使之無(wú)法正常工作。病毒的破壞方式是多種多樣的。第12頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述6.傳染性傳染性是計(jì)算機(jī)病毒的一個(gè)重要特征，是判斷一段程序代碼是否是計(jì)算機(jī)病毒的一個(gè)重要依據(jù)。病毒的傳染可以通過(guò)各種渠道，比如可以通過(guò)軟盤、光盤、電子郵件、計(jì)算機(jī)網(wǎng)絡(luò)等迅速地傳染給其他計(jì)算機(jī)。隨著人們?cè)诠ぷ骱蜕钌蠈?duì)網(wǎng)絡(luò)越來(lái)越依賴，E-mail的廣泛使用甚至代替了大量的傳統(tǒng)通信方式，計(jì)算機(jī)病毒的傳播能力以驚人的速度發(fā)展。第13頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述除了上述的幾種特性，病毒還具有表現(xiàn)性、針對(duì)性、變異性等其他特性。要想對(duì)病毒進(jìn)行全面的了解，首先就要對(duì)這些特性進(jìn)行認(rèn)識(shí)和分析，從總體上掌握病毒的特點(diǎn)。第14頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述4.1.3計(jì)算機(jī)病毒的分類從計(jì)算機(jī)病毒問(wèn)世以來(lái)，病毒的發(fā)展非常迅速。由于病毒的多樣化發(fā)展，無(wú)法使用單一的分類方法進(jìn)行區(qū)別，因此下面從不同的角度對(duì)病毒進(jìn)行劃分。第15頁(yè)，共64頁(yè)，2023年，2月20日，星期四（1）按照計(jì)算機(jī)病毒攻擊的系統(tǒng)分類攻擊DOS系統(tǒng)的病毒——這類病毒出現(xiàn)最早、數(shù)量最多，變種也最多。攻擊Windows系統(tǒng)的病毒——由于Windows系統(tǒng)是多用戶、多任務(wù)的圖形界面操作系統(tǒng)，深受用戶的歡迎，Windows系統(tǒng)正逐漸成為病毒攻擊的主要對(duì)象。攻擊UNIX系統(tǒng)的病毒——當(dāng)前，UNIX系統(tǒng)應(yīng)用非常廣泛，并且許多大型的網(wǎng)絡(luò)設(shè)備均采用UNIX作為其主要的操作系統(tǒng)，所以UNIX病毒的出現(xiàn)，對(duì)人類的信息安全是一個(gè)嚴(yán)重的威脅。第16頁(yè)，共64頁(yè)，2023年，2月20日，星期四（2）按照計(jì)算機(jī)病毒的鏈接方式分類

計(jì)算機(jī)病毒所攻擊的對(duì)象是計(jì)算機(jī)系統(tǒng)可執(zhí)行的部分，因此按照計(jì)算機(jī)病毒的鏈接方式可以將病毒分成以下幾類。源碼型病毒——該病毒攻擊高級(jí)語(yǔ)言編寫(xiě)的程序，該病毒在高級(jí)語(yǔ)言所編寫(xiě)的程序編譯前插入到源程序中，經(jīng)編譯成為合法程序的一部分。嵌入型病毒——這種病毒是將自身嵌入到現(xiàn)有程序中，把計(jì)算機(jī)病毒的主體程序與其攻擊的對(duì)象以插入的方式鏈接。這種計(jì)算機(jī)病毒是難以編寫(xiě)的，一旦侵入程序體后也較難消除。第17頁(yè)，共64頁(yè)，2023年，2月20日，星期四（2）按照計(jì)算機(jī)病毒的鏈接方式分類外殼型病毒——將其自身包圍在主程序的四周，對(duì)原來(lái)的程序不作修改。操作系統(tǒng)型病毒——這種病毒用它自己的程序意圖加入或取代部分操作系統(tǒng)的程序模塊進(jìn)行工作，具有很強(qiáng)的破壞力，可以導(dǎo)致整個(gè)系統(tǒng)的癱瘓。第18頁(yè)，共64頁(yè)，2023年，2月20日，星期四（3）按照計(jì)算機(jī)病毒的破壞情況分類良性計(jì)算機(jī)病毒—指其不包含有立即對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生直接破壞作用的代碼。這類病毒為了表現(xiàn)其存在，只是不停地進(jìn)行擴(kuò)散，從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)，并不破壞計(jì)算機(jī)內(nèi)的數(shù)據(jù)。惡性計(jì)算機(jī)病毒——指在其代碼中包含有損傷和破壞計(jì)算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)產(chǎn)生直接的破壞作用。這些操作代碼都是刻意編寫(xiě)進(jìn)病毒的，這是其本性之一。第19頁(yè)，共64頁(yè)，2023年，2月20日，星期四（4）根據(jù)計(jì)算機(jī)病毒傳染方式進(jìn)行分類磁盤引導(dǎo)區(qū)傳染的計(jì)算機(jī)病毒——磁盤引導(dǎo)區(qū)傳染的病毒主要是用病毒的全部或部分邏輯取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在磁盤的其他地方。由于引導(dǎo)區(qū)是磁盤能正常使用的先決條件，因此，這種病毒在運(yùn)行的一開(kāi)始（如系統(tǒng)啟動(dòng)）就能獲得控制權(quán)，其傳染性較大。第20頁(yè)，共64頁(yè)，2023年，2月20日，星期四（4）根據(jù)計(jì)算機(jī)病毒傳染方式進(jìn)行分類操作系統(tǒng)傳染的計(jì)算機(jī)病毒——操作系統(tǒng)是使一個(gè)計(jì)算機(jī)系統(tǒng)得以運(yùn)行的支持環(huán)境，它包括COM、EXE等許多可執(zhí)行程序及程序模塊。操作系統(tǒng)傳染的計(jì)算機(jī)病毒就是利用操作系統(tǒng)中所提供的一些程序及程序模塊寄生并傳染的。第21頁(yè)，共64頁(yè)，2023年，2月20日，星期四（4）根據(jù)計(jì)算機(jī)病毒傳染方式進(jìn)行分類可執(zhí)行程序傳染的計(jì)算機(jī)病毒?？蓤?zhí)行程序傳染的病毒通常寄生在可執(zhí)行程序中，一旦程序被執(zhí)行，病毒就會(huì)被激活，病毒程序首先被執(zhí)行，并將自身駐留內(nèi)存，然后設(shè)置觸發(fā)條件，進(jìn)行傳染。對(duì)于以上后3種病毒的分類，實(shí)際上可以歸納為兩大類：一類是引導(dǎo)扇區(qū)型傳染的計(jì)算機(jī)病毒；另一類是可執(zhí)行文件型傳染的計(jì)算機(jī)病毒。第22頁(yè)，共64頁(yè)，2023年，2月20日，星期四（5）按照計(jì)算機(jī)病毒激活的時(shí)間分類定時(shí)型病毒——定時(shí)病毒是在某一特定時(shí)間發(fā)作的病毒，它是以時(shí)間為發(fā)作的觸發(fā)條件。隨機(jī)型病毒—與定時(shí)型病毒不同的是隨機(jī)型病毒，此類病毒不是通過(guò)時(shí)鐘進(jìn)行觸發(fā)的。第23頁(yè)，共64頁(yè)，2023年，2月20日，星期四（6）按照傳播媒介分類單機(jī)病毒——單機(jī)病毒的載體是磁盤，常見(jiàn)的是病毒從軟盤傳入硬盤，感染系統(tǒng)，然后再傳染給其他軟盤，軟盤又傳染給其他系統(tǒng)。網(wǎng)絡(luò)病毒——網(wǎng)絡(luò)病毒的傳播媒介不再是移動(dòng)式載體，而是網(wǎng)絡(luò)通道，這種病毒的傳染能力更強(qiáng)，破壞力更大。第24頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒按其寄生方式大致可分為兩類，一是引導(dǎo)型病毒，二是文件型病毒；它們?cè)侔雌鋫魅就緩接挚煞譃轳v留內(nèi)存型和不駐留內(nèi)存型，駐留內(nèi)存型按其駐留內(nèi)存方式又可細(xì)分。混合型病毒集引導(dǎo)型和文件型病毒特性于一體。以上所描述的是比較常見(jiàn)的幾種計(jì)算機(jī)病毒的分類方式。另外，還應(yīng)該了解更多的病毒分類方法，以便更好地認(rèn)識(shí)各種計(jì)算機(jī)病毒。也需要花大力氣了解一些非常有代表性的病毒。第25頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.1.4計(jì)算機(jī)病毒的結(jié)構(gòu)計(jì)算機(jī)病毒與其他客觀存在的事物一樣，都有一定的結(jié)構(gòu)。如果沒(méi)有這些結(jié)構(gòu)的支撐，它就無(wú)法體現(xiàn)計(jì)算機(jī)病毒的諸多特性，無(wú)法實(shí)現(xiàn)病毒的各種功能。因此，了解計(jì)算機(jī)病毒的結(jié)構(gòu)，主要是了解計(jì)算機(jī)病毒的程序結(jié)構(gòu)和計(jì)算機(jī)病毒的存儲(chǔ)結(jié)構(gòu)。第26頁(yè)，共64頁(yè)，2023年，2月20日，星期四1．計(jì)算機(jī)病毒的程序結(jié)構(gòu)各種計(jì)算機(jī)病毒程序大小不同、長(zhǎng)短各異，但是它們一般都包含3個(gè)部分：引導(dǎo)模塊、傳染模塊、表現(xiàn)或破壞模塊，如下圖所示。

計(jì)算機(jī)

病毒

引導(dǎo)模塊

傳染模塊

表現(xiàn)、破壞模塊

第27頁(yè)，共64頁(yè)，2023年，2月20日，星期四2．計(jì)算機(jī)病毒的存儲(chǔ)結(jié)構(gòu)從磁盤存儲(chǔ)結(jié)構(gòu)和內(nèi)存駐留結(jié)構(gòu)兩方面介紹計(jì)算機(jī)病毒的存儲(chǔ)結(jié)構(gòu)。（1）病毒的磁盤存儲(chǔ)結(jié)構(gòu)

要了解病毒的磁盤存儲(chǔ)結(jié)構(gòu)，首先必須了解磁盤的空間劃分。根據(jù)病毒磁盤的存儲(chǔ)結(jié)構(gòu)不同，病毒主要分成系統(tǒng)型病毒和文件型病毒。第28頁(yè)，共64頁(yè)，2023年，2月20日，星期四2．計(jì)算機(jī)病毒的存儲(chǔ)結(jié)構(gòu)系統(tǒng)型病毒是指專門傳染操作系統(tǒng)的啟動(dòng)扇區(qū)，主要是硬盤主引導(dǎo)區(qū)和DOS引導(dǎo)扇區(qū)的病毒。一般分作兩部分，第一部分存放在磁盤引導(dǎo)扇區(qū)中，第二部分則存放在磁盤的其他扇區(qū)。文件型病毒主要是指感染系統(tǒng)中的可執(zhí)行文件或者依賴于可執(zhí)行文件發(fā)作的病毒。一般附著在被感染的文件的首部、尾部，或者中間的空閑部分。第29頁(yè)，共64頁(yè)，2023年，2月20日，星期四2．計(jì)算機(jī)病毒的存儲(chǔ)結(jié)構(gòu)（2）病毒的內(nèi)存駐留結(jié)構(gòu)病毒一般都駐留在常規(guī)內(nèi)存中，相對(duì)來(lái)講，檢測(cè)這些計(jì)算機(jī)病毒比較方便。文件病毒的內(nèi)存駐留結(jié)構(gòu)又可以分為高端駐留型、常規(guī)駐留型、內(nèi)存控制鏈駐留型和設(shè)備程序補(bǔ)丁駐留型等。系統(tǒng)型病毒是在系統(tǒng)啟動(dòng)時(shí)被裝入的。此時(shí)，系統(tǒng)中斷“INT21H”還沒(méi)有設(shè)定，病毒程序要使自身駐留內(nèi)存，不能采用系統(tǒng)功能調(diào)用的方法。第30頁(yè)，共64頁(yè)，2023年，2月20日，星期四2．計(jì)算機(jī)病毒的存儲(chǔ)結(jié)構(gòu)文件型病毒是在其宿主程序的運(yùn)行時(shí)被裝入的，這時(shí)，系統(tǒng)的中斷功能調(diào)用已經(jīng)設(shè)定。因此，病毒一般將自身指令與宿主程序相分離，并將病毒程序移動(dòng)到內(nèi)存高端或者是當(dāng)前用戶內(nèi)存區(qū)的最低端地址處，然后調(diào)用系統(tǒng)功能，使病毒程序常駐內(nèi)存。還有一些病毒是不用駐留內(nèi)存的,每執(zhí)行一次，就主動(dòng)在當(dāng)前路徑中查找滿足要求的可執(zhí)行文件進(jìn)行傳染，它不修改中斷向量，也不需要改動(dòng)系統(tǒng)的任何狀態(tài)，因而用戶很難區(qū)分當(dāng)前運(yùn)行的程序是一個(gè)病毒還是一個(gè)正常運(yùn)行的程序。第31頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.2計(jì)算機(jī)病毒的危害4.2.1計(jì)算機(jī)病毒的表現(xiàn)

只有根據(jù)計(jì)算機(jī)病毒的發(fā)作現(xiàn)象，才可能及時(shí)發(fā)現(xiàn)并清除病毒。這些常見(jiàn)的發(fā)作現(xiàn)象包括以下幾個(gè)方面。計(jì)算機(jī)運(yùn)行速度的變化——主要現(xiàn)象包括：計(jì)算機(jī)的反應(yīng)速度比平時(shí)遲鈍很多；應(yīng)用程序的載入比平時(shí)要多花費(fèi)很長(zhǎng)的時(shí)間；開(kāi)機(jī)時(shí)間過(guò)長(zhǎng)。計(jì)算機(jī)磁盤的變化——主要現(xiàn)象包括：對(duì)一個(gè)簡(jiǎn)單的磁盤存儲(chǔ)操作比預(yù)期時(shí)間長(zhǎng)很多；當(dāng)沒(méi)有存取數(shù)據(jù)時(shí)，硬盤指示燈無(wú)緣無(wú)故地亮了；磁盤的可用空間大量地減少；磁盤的扇區(qū)壞道增加；磁盤或者磁盤驅(qū)動(dòng)器不能訪問(wèn)。第32頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.2計(jì)算機(jī)病毒的危害計(jì)算機(jī)內(nèi)存的變化——主要現(xiàn)象包括：系統(tǒng)內(nèi)存的容量突然間大量地減少；內(nèi)存中出現(xiàn)了不明的常駐程序。計(jì)算機(jī)文件系統(tǒng)的變化——主要現(xiàn)象包括：可執(zhí)行程序的大小被改變了；重要的文件奇怪地消失；文件被加入了一些奇怪的內(nèi)容；文件的名稱、日期、擴(kuò)展名等屬性被更改；系統(tǒng)出現(xiàn)一些特殊的文件；驅(qū)動(dòng)程序被修改導(dǎo)致很多外部設(shè)備無(wú)法正常工作。異常的提示信息和現(xiàn)象——主要現(xiàn)象包括：出現(xiàn)不尋常的錯(cuò)誤提示信息。第33頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.2計(jì)算機(jī)病毒的危害

4.2.2計(jì)算機(jī)故障與病毒特征區(qū)別

如果計(jì)算機(jī)出現(xiàn)了某些特別現(xiàn)象，可能計(jì)算機(jī)就是中了病毒，也可能是一些硬件或者軟件的故障。計(jì)算機(jī)硬件的配置——在選購(gòu)一臺(tái)兼容機(jī)時(shí)，需要考慮系統(tǒng)的兼容性。硬件的正常使用——計(jì)算機(jī)作為一種電子設(shè)備，在使用時(shí)如果電源的電壓不穩(wěn)定，容易造成用戶文件在讀寫(xiě)時(shí)出現(xiàn)丟失或者損壞的現(xiàn)象，更嚴(yán)重時(shí)會(huì)造成系統(tǒng)的自啟動(dòng)。第34頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.2計(jì)算機(jī)病毒的危害CMOS的設(shè)置——CMOS中存儲(chǔ)的信息對(duì)于計(jì)算機(jī)來(lái)說(shuō)是十分重要的，因?yàn)樵陂_(kāi)機(jī)啟動(dòng)過(guò)程中，計(jì)算機(jī)是按照CMOS中的信息進(jìn)行檢測(cè)和初始化的。因此，CMOS的設(shè)置不正確將導(dǎo)致很多計(jì)算機(jī)工作不正常的現(xiàn)象。第35頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.2計(jì)算機(jī)病毒的危害

除了硬件故障，計(jì)算機(jī)的軟件故障也會(huì)導(dǎo)致計(jì)算機(jī)無(wú)法正常使用。這里給出幾種常見(jiàn)的導(dǎo)致軟件故障的原因。丟失文件——每次啟動(dòng)計(jì)算機(jī)和運(yùn)行程序的時(shí)候，都會(huì)牽扯到上百個(gè)文件，其中絕大多數(shù)文件是一些虛擬驅(qū)動(dòng)程序（VxD）和動(dòng)態(tài)鏈接（DLL）。文件版本不匹配——絕大多數(shù)的Windows用戶都會(huì)不時(shí)地向系統(tǒng)中安裝各種不同的軟件，其中的大多數(shù)操作都需要向系統(tǒng)中復(fù)制新文件或者更換現(xiàn)存的文件。每當(dāng)這個(gè)時(shí)候，就可能出現(xiàn)新軟件不能與現(xiàn)存軟件版本兼容的問(wèn)題。第36頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.2計(jì)算機(jī)病毒的危害資源耗盡——一些Windows程序需要消耗各種不同的資源組合，程序在運(yùn)行時(shí)可能導(dǎo)致GDI和USER資源喪失。非法操作——非法操作會(huì)讓很多用戶覺(jué)得不知所措。如果仔細(xì)研究，就會(huì)發(fā)現(xiàn)每當(dāng)有非法操作信息出現(xiàn)，相關(guān)的程序、文件都會(huì)和錯(cuò)誤類型顯示在一起。用戶可以通過(guò)錯(cuò)誤信息列出的程序和文件來(lái)研究錯(cuò)誤起因，因?yàn)橛袝r(shí)候錯(cuò)誤信息并不能直接指出實(shí)際原因。第37頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.2計(jì)算機(jī)病毒的危害

4.2.3常見(jiàn)的計(jì)算機(jī)病毒

由于計(jì)算機(jī)病毒種類多種多樣，基本可分5部分：

1．早期的DOS病毒：DOS病毒是指針對(duì)DOS操作系統(tǒng)開(kāi)發(fā)的病毒，它們是最早出現(xiàn)、數(shù)量最多、變種也最多的計(jì)算機(jī)病毒。2．引導(dǎo)型病毒：引導(dǎo)型病毒是指改寫(xiě)磁盤上的引導(dǎo)扇區(qū)信息的病毒。3．文件型病毒：文件型病毒是指能夠寄生在文件中的以文件為主要感染對(duì)象的病毒。

第38頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.2計(jì)算機(jī)病毒的危害

4．蠕蟲(chóng)病毒：蠕蟲(chóng)（Worm）病毒是一種通過(guò)網(wǎng)絡(luò)傳播的惡意病毒。它的出現(xiàn)相對(duì)于文件病毒、宏病毒等傳統(tǒng)病毒較晚，但是無(wú)論是傳播速度、傳播范圍還是破壞程度上都要比以往傳統(tǒng)的病毒嚴(yán)重得多。蠕蟲(chóng)病毒一般由兩部分組成：一個(gè)主程序和一個(gè)引導(dǎo)程序。主程序的功能是搜索和掃描。引導(dǎo)程序?qū)嶋H是蠕蟲(chóng)病毒主程序的一個(gè)副本，主程序和引導(dǎo)程序都具有自動(dòng)重新定位的能力。第39頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.2計(jì)算機(jī)病毒的危害

5．木馬病毒：木馬又稱作特洛伊木馬，將在后面進(jìn)行詳細(xì)的介紹。木馬運(yùn)行時(shí)會(huì)尋找一些含有著名證券商名稱的窗口標(biāo)題，如果發(fā)現(xiàn)，就開(kāi)始啟動(dòng)鍵盤鉤子對(duì)用戶的登錄信息進(jìn)行記錄，在記錄鍵盤信息的同時(shí)，木馬病毒還會(huì)通過(guò)屏幕快照將用戶登錄時(shí)的畫(huà)面保存為圖片，存放在C盤根目錄下。當(dāng)滿足記錄次數(shù)的條件后，病毒將通過(guò)郵件將信息和圖片發(fā)送出去，同時(shí)病毒將自身刪除。第40頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.3計(jì)算機(jī)病毒的檢測(cè)與防范

4.3.1文件型病毒

對(duì)文件型病毒的防范，一般采用以下一些方法。安裝最新版本、有實(shí)時(shí)監(jiān)控文件系統(tǒng)功能的防病毒軟件。及時(shí)更新病毒引擎，并在有病毒突發(fā)事件時(shí)立即更新。經(jīng)常使用防毒軟件對(duì)系統(tǒng)進(jìn)行病毒檢查。對(duì)關(guān)鍵文件，在無(wú)毒環(huán)境下經(jīng)常備份。在不影響系統(tǒng)正常工作的情況下，對(duì)系統(tǒng)文件設(shè)置最低的訪問(wèn)權(quán)限。第41頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.3計(jì)算機(jī)病毒的檢測(cè)與防范

4.3.2引導(dǎo)型病毒：

引導(dǎo)型病毒的防范措施盡量避免使用軟盤等移動(dòng)設(shè)備保存和傳遞資料，如果需要使用，則應(yīng)該先對(duì)軟盤中的文件進(jìn)行病毒的查殺。軟盤用完后應(yīng)該從軟驅(qū)中取出。避免在軟驅(qū)中存有軟盤的情況下開(kāi)機(jī)或者啟動(dòng)操作系統(tǒng)。第42頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.3計(jì)算機(jī)病毒的檢測(cè)與防范

4.3.3宏病毒的表現(xiàn)嘗試保存文檔時(shí)，Word只允許保存為文檔模板。Word文檔圖標(biāo)的外形類似于文檔模板圖標(biāo)而不是文檔圖標(biāo)。在工具菜單上選擇“宏”并單擊“宏”后，程序沒(méi)有反應(yīng)。宏列表中出現(xiàn)新宏。打開(kāi)Word文檔或模板時(shí)顯示異常消息。如果打開(kāi)一個(gè)文檔后沒(méi)有進(jìn)行修改，立即就有存盤操作。第43頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.3計(jì)算機(jī)病毒的檢測(cè)與防范

4.3.3宏病毒：宏病毒的防范措施提高宏的安全級(jí)別。目前的高版本的Word軟件可以設(shè)置宏的安全級(jí)別，在不影響正常使用的情況下，應(yīng)該選擇較高的安全級(jí)別。刪除不知來(lái)路的宏定義。將Normal.dot模板進(jìn)行備份，當(dāng)被病毒感染后，使用備份模板進(jìn)行覆蓋。如果懷疑外來(lái)文件含有宏病毒，可以使用寫(xiě)字板打開(kāi)該文件，然后將文本粘貼到Word中，轉(zhuǎn)換后的文檔是不會(huì)含有宏的。第44頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.3計(jì)算機(jī)病毒的檢測(cè)與防范

4.3.4蠕蟲(chóng)病毒：

蠕蟲(chóng)病毒的防范措施用戶在網(wǎng)絡(luò)中共享的文件夾一定要將權(quán)限設(shè)置為只讀，而且最好對(duì)于重要的文件夾設(shè)置訪問(wèn)賬號(hào)和密碼。要定期檢查自己的系統(tǒng)內(nèi)是否具有可寫(xiě)權(quán)限的共享文件夾，一旦發(fā)現(xiàn)這種文件夾，需要及時(shí)關(guān)閉該共享權(quán)限。第45頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.3計(jì)算機(jī)病毒的檢測(cè)與防范要定期檢查計(jì)算機(jī)中的賬戶，看看是否存在不明賬戶信息。一旦發(fā)現(xiàn)，應(yīng)該立即刪除該賬戶，并且禁用Guest賬號(hào)，防止被病毒利用。給計(jì)算機(jī)的賬戶設(shè)置比較復(fù)雜的密碼，防止被蠕蟲(chóng)病毒破譯。購(gòu)買主流的網(wǎng)絡(luò)安全產(chǎn)品，并隨時(shí)更新。提高防殺病毒的意識(shí)，不要輕易單擊陌生的站點(diǎn)。不要隨意查看陌生郵件，尤其是帶有附件的郵件。第46頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.4木馬攻擊與分析

4.4.1木馬背景介紹木馬全稱“特洛伊木馬”，英文名稱為TrojanHorse，它來(lái)源于《荷馬史詩(shī)》中描述的一個(gè)古希臘故事。木馬是一段精心編寫(xiě)的計(jì)算機(jī)程序。木馬設(shè)計(jì)者將這些木馬程序插入到宿主中，網(wǎng)絡(luò)用戶執(zhí)行這些軟件時(shí)，在毫不知情的情況下，木馬就進(jìn)入了他們的計(jì)算機(jī)，進(jìn)而盜取數(shù)據(jù)，甚至控制系統(tǒng)。第47頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.4木馬攻擊與分析

4.4.2木馬的概述特洛伊木馬病毒是指隱藏在正常程序中的一段具有特殊功能的惡意代碼，它具備破壞和刪除文件、發(fā)送密碼、記錄鍵盤和用戶操作、破壞用戶系統(tǒng)，甚至使系統(tǒng)癱瘓的功能。木馬可以被分成良性木馬和惡性木馬兩種。第48頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.4木馬攻擊與分析

1．特洛伊木馬與病毒的區(qū)別:特洛伊木馬與前面介紹的病毒或蠕蟲(chóng)有一定的區(qū)別,它不能夠自行傳播，但是病毒或蠕蟲(chóng)可以用于將特洛伊木馬作為負(fù)載的一部分復(fù)制到目標(biāo)系統(tǒng)上，中斷用戶的工作、影響系統(tǒng)的正常運(yùn)行、在系統(tǒng)中提供后門，使黑客可以竊取數(shù)據(jù)或者控制目標(biāo)系統(tǒng)。第49頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.4木馬攻擊與分析

2．特洛伊木馬的種植:木馬一般兼?zhèn)鋫窝b和傳播這兩種特征，并與TCP/IP網(wǎng)絡(luò)技術(shù)相結(jié)合。木馬病毒一般分成客戶端和服務(wù)端兩個(gè)部分，它的客戶端和服務(wù)端的概念與傳統(tǒng)的網(wǎng)絡(luò)環(huán)境的客戶端和服務(wù)端的概念恰恰相反。要想將木馬植入目標(biāo)機(jī)器，首先需要進(jìn)行偽裝。一般木馬的偽裝有兩種手段：其一是將自己偽裝成一般的軟件。第二種是把木馬綁定在正常的程序上面。第50頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.4木馬攻擊與分析3．特洛伊木馬的行為：當(dāng)被種植了木馬的計(jì)算機(jī)上的木馬程序運(yùn)行后，攻擊者就可以通過(guò)自己的“客戶端”對(duì)被攻擊者發(fā)出請(qǐng)求，“服務(wù)端”收到請(qǐng)求后就會(huì)進(jìn)行相應(yīng)的動(dòng)作。第51頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.4木馬攻擊與分析

4.4.3木馬的分類

1．遠(yuǎn)程控制木馬：遠(yuǎn)程控制木馬是一種數(shù)量最多、危害最大、知名度也最高的木馬，它可以讓入侵者完全控制被種植了木馬的計(jì)算機(jī)。入侵者可以利用它完成一些甚至連計(jì)算機(jī)主人本身都不能順利進(jìn)行的操作，其危害之大實(shí)在不容小覷。第52頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.4木馬攻擊與分析2．密碼發(fā)送木馬：密碼發(fā)送型的木馬正是專門為了盜取被感染計(jì)算機(jī)上的密碼而編寫(xiě)的。木馬一旦被執(zhí)行，就會(huì)自動(dòng)搜索內(nèi)存、cache、臨時(shí)文件夾以及各種敏感密碼文件，一旦搜索到有用的密碼，木馬就會(huì)利用免費(fèi)的電子郵件服務(wù)將密碼發(fā)送到指定的郵箱，從而達(dá)到獲取密碼的目的。第53頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.4木馬攻擊與分析

3．鍵盤記錄木馬：密這種特洛伊木馬是非常簡(jiǎn)單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。第54頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.4木馬攻擊與分析4．破壞性質(zhì)的木馬：這種木馬唯一的功能就是破壞被感染計(jì)算機(jī)的文件系統(tǒng)，使其遭受系統(tǒng)崩潰或者重要數(shù)據(jù)丟失的巨大損失。第55頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.4木馬攻擊與分析5．DoS攻擊木馬：隨著DoS攻擊越來(lái)越廣泛的應(yīng)用，被用作DoS攻擊的木馬也越來(lái)越流行。當(dāng)入侵了一臺(tái)機(jī)器，種上DoS攻擊木馬，那么日后這臺(tái)計(jì)算機(jī)就成為DoS攻擊的最得力助手了。第56頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.4木馬攻擊與分析

6．代理木馬：黑客在入侵的同時(shí)掩蓋自己的足跡，謹(jǐn)防別人發(fā)現(xiàn)自己的身份是非常重要的。因此，給被控制的“肉雞”種上代理木馬，讓其變成攻擊者發(fā)動(dòng)攻擊的跳板就是代理木馬最重要的任務(wù)。第57頁(yè)，共64頁(yè)，2023年，2月20日，星期四4.4木馬攻擊與分析

7．FTP木馬：這種木馬可能是最簡(jiǎn)單、最古老的木馬了，它的唯一功能就是打開(kāi)21號(hào)端口，等待用戶連接?，F(xiàn)在新FTP木馬還加上了密碼功能，這樣，只有攻擊者本人才知道