第三章-計算機病毒課件

第三章

計算機病毒第三章 計算機病毒3.4計算機病毒的傳播途徑

3.3計算機病毒分類

3.2計算機病毒的特征

3.1計算機病毒概述

3.5計算機病毒的基本防治

3.6木馬的特征與防治

3.7常見的殺毒軟件教學(xué)要求：理解：計算機病毒和生物病毒的聯(lián)系與區(qū)別，計算機病毒的分類和基本防治，計算機病毒的危害

掌握：計算機病毒的定義、特征、基本構(gòu)造，計算機病毒的傳播途徑，計算機病毒的生命周期3.1計算機病毒概述

計算機病毒就是最不安全的因素之一，各種計算機病毒的產(chǎn)生和全球性蔓延已經(jīng)給計算機系統(tǒng)的安全造成了巨大的威脅和損害。

隨著計算機網(wǎng)絡(luò)的發(fā)展，計算機病毒對信息安全的威脅日益嚴重，鑒于此，人們開始了反計算機病毒的研究，一方面要掌握對當前計算機病毒的防范措施，另一方面要加強對病毒未來發(fā)展趨勢的研究，真正做到防患于未然。計算機病毒的定義根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)、影響計算機使用、并能自我復(fù)制的一組計算機指令或者程序代碼。從廣義上講，一切危害用戶計算機數(shù)據(jù)、偷盜用戶隱私、損害他人利益及影響用戶正常操作的程序或代碼都可被定義為計算機病毒。計算機病毒的特征任何計算機病毒都是人為制造的、具有一定破壞性的程序。它們與生物病毒有不同點，也有相似之處。概括起來，計算機病毒具有破壞性、傳染性、隱蔽性、潛伏性、衍生性等主要特征。(一)寄生性計算機病毒寄生在其他程序之中，當執(zhí)行這個程序時，病毒就起破壞作用，而在未啟動這個程序之前，它是不易被人發(fā)覺的。

（2）傳染性計算機病毒是一段人為編制的計算機程序代碼，這段程序代碼一旦進入計算機并得以執(zhí)行，它就會搜尋通過各種途徑將自身代碼傳播到其他文件或者計算機中，達到自我繁殖的目的。（3）潛伏性大部分計算機系統(tǒng)感染病毒后，病毒不會馬上發(fā)作，可在幾天、幾周、幾個月甚至幾年地隱藏起來，而不被發(fā)現(xiàn)。只有在滿足某種特定條件時才會發(fā)作。（4）隱蔽性計算機病毒一般是具有很高編程技巧、短小靈活的程序，通常依附在正常程序或磁盤中較隱蔽的地方，也有的以隱含文件夾形式出現(xiàn)，用戶很難發(fā)現(xiàn)。如果不經(jīng)過代碼分析，是很難將病毒程序與正常程序區(qū)分開的。正是這種特性才使得病毒在發(fā)現(xiàn)之前已進行了廣泛的傳播，造成了破壞。(5)可觸發(fā)性病毒只有在滿足某種條件的情況下才會發(fā)作，計算機病毒使用的觸發(fā)條件主要有以下三種。

時間觸發(fā)型：利用計算機內(nèi)的時鐘提供的時間作為觸發(fā)器，這種觸發(fā)條件被許多計算機病毒采用，觸發(fā)的時間有的精確到百分之幾秒，有的則只區(qū)分年份。例如：CIH病毒的發(fā)作時間為每年4月26日，這一天是病毒作者陳盈豪的生日。利用計算機病毒體內(nèi)自帶的計數(shù)器作為觸發(fā)器，計算機病毒利用計數(shù)器記錄某種事件發(fā)生的次數(shù)，一旦計數(shù)器達到某一設(shè)定的值，就執(zhí)行破壞操作。

利用計算機內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器，特定操作可以是用戶按下某種特定的組合鍵，或者發(fā)送電子郵件，也可以是訪問文件等。（6）破壞性計算機病毒的目的在于破壞系統(tǒng)的正常運行，主要表現(xiàn)有占用系統(tǒng)資源、破壞用戶數(shù)據(jù)、干擾系統(tǒng)正常運行。惡性病毒的危害性很大，嚴重時可導(dǎo)致系統(tǒng)死機，甚至網(wǎng)絡(luò)癱瘓。(7)衍生性計算機病毒程序可被他人模仿或修改，經(jīng)過惡做劇者或惡意攻擊者的改寫，就可能成為原病毒的變種。計算機機病毒的基本構(gòu)造計算機病毒的邏輯程序結(jié)構(gòu)一般來講包含三個部分：引導(dǎo)部分、傳染部分、表現(xiàn)或破壞部分。

引導(dǎo)部分的作用是將病毒主體加載到內(nèi)存，為傳染部分做準備（如駐留內(nèi)存、修改中斷、修改高端內(nèi)存、保存原中斷向量、修改注冊表等操作）。傳染部分的作用是將病毒代碼復(fù)制到傳染目標上去。不同類型的病毒在傳染方式、傳染條件以及傳播所借助的媒體上各有不同。表現(xiàn)部分的作用是在病毒發(fā)作條件（表現(xiàn)、破壞條件）滿足時，實施對系統(tǒng)的干擾和破壞活動。

計算機病毒的生命周期開發(fā)期今天有一點計算機編程知識的人都可以制造一個病毒。傳染期在一個病毒制造出來后，病毒的編寫者將其拷貝分發(fā)出去并確認其已被傳播出去。潛伏期一個設(shè)計良好的病毒可以在它活化前的很長時期里被復(fù)制。這就給了它充裕的傳播時間。

計算機病毒的生命周期發(fā)作期帶有破壞機制的病毒會在滿足某一特定條件時發(fā)作。發(fā)現(xiàn)期

通常情況下，一個病毒被檢測到并被隔離出來后，它會被送到計算機安全協(xié)會或反病毒廠家，在那里病毒被通報和描述給反病毒研究工作者。計算機病毒的生命周期殺毒期在這一階段，反病毒開發(fā)人員修改他們的軟件以使其可以檢測到新發(fā)現(xiàn)的病毒。消亡期有一些病毒在消失之前有一個很長的消亡期。計算機病毒的分類對計算機病毒的分類主要有以下幾種方法：按計算機病毒寄生方式和感染途徑分類按計算機病毒攻擊的操作系統(tǒng)分類按計算機病毒的表現(xiàn)（破壞）情況分類按計算機病毒的傳播媒介分類按計算機病毒寄生方式和感染途徑分類引導(dǎo)型病毒引導(dǎo)型病毒感染軟盤中的引導(dǎo)區(qū)，蔓延到用戶硬盤，并能感染到用戶盤中的“主引導(dǎo)記錄”。引導(dǎo)型病毒幾乎都會常駐內(nèi)存，差別僅在于內(nèi)存中的位置不同。引導(dǎo)型病毒按其寄生對象的不同又可分為兩類：MBR（主引導(dǎo)區(qū)）病毒和BR（引導(dǎo)區(qū)）病毒。MBR病毒也稱分區(qū)病毒，將病毒寄生在硬盤分區(qū)主引導(dǎo)程序所占據(jù)的硬盤0頭0柱面第1個扇區(qū)中。典型的有“大麻”病毒。BR病毒是將病毒寄生在硬盤邏輯0扇區(qū)或軟盤邏輯0扇區(qū)，典型的有“Brain”、“小球”病毒。按計算機病毒寄生方式和感染途徑分類文件型病毒

文件型病毒是指所有通過操作系統(tǒng)的文件系統(tǒng)進行感染的病毒。文件型病毒分為源碼型病毒、嵌入型病毒和外殼型病毒。

源碼型病毒是用高級語言編寫的，若不進行匯編、鏈接則無法傳染擴散。嵌入型病毒是嵌入在程序中的，它只針對某種具體程序起作用，如“DBASE”病毒。

文件型病毒按其駐留內(nèi)存方式的不同可分為駐留型和不駐留內(nèi)存型。按計算機病毒寄生方式和感染途徑分類混合型病毒混合型病毒，也稱綜合型、復(fù)合型病毒，同時具備引導(dǎo)型和文件型病毒的特征，即這種病毒既可以感染磁盤引導(dǎo)扇區(qū)，又可以感染可執(zhí)行文件。這類病毒有極強的傳染性，危害性大，清除難度也更大。按計算機病毒攻擊的操作系統(tǒng)分類攻擊DOS系統(tǒng)的病毒攻擊Windows系統(tǒng)的病毒攻擊Unix系統(tǒng)的病毒攻擊OS/2系統(tǒng)的病毒其他操作系統(tǒng)上的病毒

按計算機病毒的表現(xiàn)（破壞）情況分類良性病毒良性病毒是指不包含對計算機系統(tǒng)產(chǎn)生直接破壞作用代碼的計算機病毒。惡性病毒惡性病毒是指在代碼中包含損傷和破壞計算機系統(tǒng)的操作，在其傳染或發(fā)作時會對系統(tǒng)產(chǎn)生直接的破壞作用。按計算機病毒的傳播媒介分類單機病毒

單機病毒的載體是磁盤、光盤和U盤等可移動存儲介質(zhì)。常見的是病毒從軟盤、U盤、光盤傳入硬盤，感染系統(tǒng)，然后再感染其它可移動存儲介質(zhì)，進而再感染其他系統(tǒng)。

網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)病毒利用計算機網(wǎng)絡(luò)的協(xié)議、命令、E-Mail、FTP、Web、QQ等進行傳播，已經(jīng)成為病毒中危害最為嚴重的種類，如今的病毒大多都是網(wǎng)絡(luò)病毒。計算機病毒的傳播途徑通過移動存儲設(shè)備進行傳播移動存儲設(shè)備包括磁帶、軟盤、光盤、U盤、移動硬盤等。U盤病毒的預(yù)防1.右鍵->【資源管理器】打開移動存儲設(shè)備，屏蔽AUTORUN.INF。2.關(guān)閉本機自動運行：運行【gpedit.msc】->【用戶配置】->【管理模板】->【系統(tǒng)】，將【關(guān)閉自動運行】設(shè)置為“啟用”，“所有驅(qū)動器”3.U盤免疫：在命令行下運行以下指令md

autorun.inf\abcd...\刪除目錄：rdautorun.inf/s計算機病毒的傳播途徑通過有線網(wǎng)絡(luò)系統(tǒng)進行傳播電子郵件、WWW瀏覽、FTP文件傳輸、網(wǎng)絡(luò)聊天工具。

計算機病毒的傳播途徑通過無線通信系統(tǒng)進行傳播無線網(wǎng)絡(luò)已經(jīng)越來越普及，但無線裝置擁有防毒程序的卻不多。由于未來有更多手機通過無線通信系統(tǒng)和互聯(lián)網(wǎng)連接，手機已成為病毒的新的攻擊目標。計算機病毒的危害與癥狀

對計算機數(shù)據(jù)信息的直接破壞大部分病毒在發(fā)作的時候直接破壞計算機的重要信息數(shù)據(jù)，所利用的手段有格式化磁盤、改寫文件分配表和目錄區(qū)、刪除重要文件或者用無意義的“垃圾”數(shù)據(jù)改寫文件、破壞CMOS設(shè)置等。

占用磁盤空間

寄生在磁盤上的病毒總要非法占用一部分磁盤空間。

搶占系統(tǒng)資源

大多數(shù)病毒在動態(tài)下都是常駐內(nèi)存的，這就必然搶占一部分系統(tǒng)資源。病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，致使一部分軟件因內(nèi)存不足而不能運行。

計算機病毒的危害與癥狀影響計算機運行速度病毒為了判斷傳染激發(fā)條件，總要對計算機的工作狀態(tài)進行監(jiān)視，這相對于計算機的正常運行狀態(tài)既多余又有害。有些病毒為了保護自己，不但對磁盤上的靜態(tài)病毒加密，而且進駐內(nèi)存后的動態(tài)病毒也處在加密狀態(tài)。病毒在進行傳染時同樣要插入非法的額外操作，特別是傳染軟盤時不但計算機速度明顯變慢，而且打亂軟盤正常的讀寫順序并發(fā)出刺耳的噪聲。特洛伊木馬不斷自動升級更新、執(zhí)行遠程指令、向遠程計算機發(fā)送本地信息，嚴重影響用戶網(wǎng)絡(luò)訪問速度。計算機病毒的危害與癥狀計算機病毒錯誤與不可預(yù)見的危害

大量含有未知錯誤的病毒擴散傳播其后果是難以預(yù)料的。計算機病毒的兼容性對系統(tǒng)運行的影響病毒的編制者一般不會在各種計算機環(huán)境下對病毒進行測試，因此病毒的兼容性較差，常常導(dǎo)致死機。計算機病毒造成心理的和社會的危害發(fā)現(xiàn)系統(tǒng)感染病毒，會產(chǎn)生潛在的恐懼，極大地影響了現(xiàn)代計算機的使用效率，由此帶來的無形損失是難以估量的。計算機病毒的發(fā)作癥狀屏幕顯示異常系統(tǒng)聲音異常

系統(tǒng)工作異常

不承認硬盤或系統(tǒng)引導(dǎo)失敗。開機出現(xiàn)黑屏。內(nèi)存空間減小，系統(tǒng)運行速度下降。系統(tǒng)自動重啟、異常死機、用戶沒有訪問的設(shè)備出現(xiàn)工作信號。

計算機病毒的發(fā)作癥狀鍵盤工作異常響鈴重復(fù)字符。

文件系統(tǒng)異常文件長度變化時間日期變化文件數(shù)目變化文件后綴變化

計算機病毒的發(fā)作癥狀其他異常形式

壞軌增加發(fā)出虛假報警修改磁盤卷標打開Word文檔后，該文件無法另存為一個.DOC文檔，只能保存成模板文檔（.DOT）；Word菜單有關(guān)宏的選項丟失。Windows桌面圖標發(fā)生變化網(wǎng)絡(luò)癱瘓計算機病毒的基本防治

不論是良性病毒還是惡性病毒，一旦侵入系統(tǒng)都會給系統(tǒng)的正常運行造成一定的破壞，特別是通過網(wǎng)絡(luò)傳播的計算機病毒，能在很短的時間內(nèi)使整個網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的經(jīng)濟損失。因此，預(yù)防病毒的入侵、阻止病毒的傳播，及時地消除計算機病毒是一項非常重要的工作。解決病毒攻擊的理想方法是對病毒進行預(yù)防，即在第一時間阻止病毒進入系統(tǒng)。因為沒有病毒的入侵，也就沒有病毒的傳播，更不需要消除病毒。計算機病毒的基本防治防毒是從病毒的寄生對象、內(nèi)存駐留方式、傳染途徑等病毒行為入手進行動態(tài)監(jiān)測和防范。一方面防止外界病毒向計算機內(nèi)傳染，另一方面抑制現(xiàn)有病毒向外傳染。防毒是以病毒的機理為基礎(chǔ)，防范的目標并不局限于已知的病毒，而是以現(xiàn)有的病毒機理設(shè)計的一類病毒，包括按現(xiàn)有機理設(shè)計的未來新病毒或變種病毒。計算機病毒的基本防治樹立正確的防毒意識，加強計算機應(yīng)用的管理。收到來路不明的帶有附加文件的電子郵件時，應(yīng)直接刪除。個人的Internet賬號和E-mail帳號不可隨意告訴他人，這樣，除了可以避免收到有問題的郵件外，還可以避免賬號被他人盜用。使用復(fù)雜的口令，保證口令不被他人知道并要時常更換。不隨便運行來歷不明的軟件。不隨便點擊QQ等聊天程序中發(fā)送的鏈接網(wǎng)址。系統(tǒng)中的重要文件要定期進行備份。計算機病毒的基本防治技術(shù)上的預(yù)防。利用成熟的殺毒軟件產(chǎn)品和病毒防火墻，實時監(jiān)控病毒的入侵，定期對磁盤進行檢查，清除特定的已知病毒。同時，經(jīng)常升級殺毒軟件、更新病毒庫。如發(fā)現(xiàn)計算機運行異常，通過DEBUG、Winhex等各種調(diào)試工具或?qū)嵱密浖ο到y(tǒng)進行檢測、分析，查找是否感染新病毒或病毒變種。計算機病毒的基本防治防毒的重點是控制病毒的傳染。防毒的關(guān)鍵是控制對病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否惡重要因素。另外，防毒對于不按現(xiàn)有病毒機理設(shè)計的新病毒也可能無能為力。因此，在安裝、及時更新升級病毒防火墻的同時，應(yīng)密切注意系統(tǒng)的各種異?，F(xiàn)象，及時查殺病毒、及時通報病毒疫情。木馬“特洛伊木馬”簡稱木馬，其英文叫做“Trojanhouse”，其名稱取自希臘神話的“特洛伊木馬記”，它是一種基于遠程控制的黑客工具。木馬通常寄生于用戶的計算機系統(tǒng)中，盜竊用戶信息，并通過網(wǎng)絡(luò)發(fā)送給黑客。在黑客進行的各種攻擊行為中，木馬都起到了開路先鋒的作用。木馬的原理木馬程序與其它的病毒程序一樣，都需要在運行時隱藏自己的行蹤。木馬通常不容易被發(fā)現(xiàn)，因為它一般是以一個正常應(yīng)用的身份在系統(tǒng)中運行的。

木馬也采用客戶機/服務(wù)器工作模式。它一般包括一個客戶端和一個服務(wù)器端，客戶端放在木馬控制者的計算機中，服務(wù)器端放置在被入侵的計算機中，木馬控制者通過客