第三章-計(jì)算機(jī)病毒課件

第三章

計(jì)算機(jī)病毒第三章 計(jì)算機(jī)病毒3.4計(jì)算機(jī)病毒的傳播途徑

3.3計(jì)算機(jī)病毒分類(lèi)

3.2計(jì)算機(jī)病毒的特征

3.1計(jì)算機(jī)病毒概述

3.5計(jì)算機(jī)病毒的基本防治

3.6木馬的特征與防治

3.7常見(jiàn)的殺毒軟件教學(xué)要求：理解：計(jì)算機(jī)病毒和生物病毒的聯(lián)系與區(qū)別，計(jì)算機(jī)病毒的分類(lèi)和基本防治，計(jì)算機(jī)病毒的危害

掌握：計(jì)算機(jī)病毒的定義、特征、基本構(gòu)造，計(jì)算機(jī)病毒的傳播途徑，計(jì)算機(jī)病毒的生命周期3.1計(jì)算機(jī)病毒概述

計(jì)算機(jī)病毒就是最不安全的因素之一，各種計(jì)算機(jī)病毒的產(chǎn)生和全球性蔓延已經(jīng)給計(jì)算機(jī)系統(tǒng)的安全造成了巨大的威脅和損害。

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒對(duì)信息安全的威脅日益嚴(yán)重，鑒于此，人們開(kāi)始了反計(jì)算機(jī)病毒的研究，一方面要掌握對(duì)當(dāng)前計(jì)算機(jī)病毒的防范措施，另一方面要加強(qiáng)對(duì)病毒未來(lái)發(fā)展趨勢(shì)的研究，真正做到防患于未然。計(jì)算機(jī)病毒的定義根據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)、影響計(jì)算機(jī)使用、并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。從廣義上講，一切危害用戶(hù)計(jì)算機(jī)數(shù)據(jù)、偷盜用戶(hù)隱私、損害他人利益及影響用戶(hù)正常操作的程序或代碼都可被定義為計(jì)算機(jī)病毒。計(jì)算機(jī)病毒的特征任何計(jì)算機(jī)病毒都是人為制造的、具有一定破壞性的程序。它們與生物病毒有不同點(diǎn)，也有相似之處。概括起來(lái)，計(jì)算機(jī)病毒具有破壞性、傳染性、隱蔽性、潛伏性、衍生性等主要特征。(一)寄生性計(jì)算機(jī)病毒寄生在其他程序之中，當(dāng)執(zhí)行這個(gè)程序時(shí)，病毒就起破壞作用，而在未啟動(dòng)這個(gè)程序之前，它是不易被人發(fā)覺(jué)的。

（2）傳染性計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼，這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行，它就會(huì)搜尋通過(guò)各種途徑將自身代碼傳播到其他文件或者計(jì)算機(jī)中，達(dá)到自我繁殖的目的。（3）潛伏性大部分計(jì)算機(jī)系統(tǒng)感染病毒后，病毒不會(huì)馬上發(fā)作，可在幾天、幾周、幾個(gè)月甚至幾年地隱藏起來(lái)，而不被發(fā)現(xiàn)。只有在滿(mǎn)足某種特定條件時(shí)才會(huì)發(fā)作。（4）隱蔽性計(jì)算機(jī)病毒一般是具有很高編程技巧、短小靈活的程序，通常依附在正常程序或磁盤(pán)中較隱蔽的地方，也有的以隱含文件夾形式出現(xiàn)，用戶(hù)很難發(fā)現(xiàn)。如果不經(jīng)過(guò)代碼分析，是很難將病毒程序與正常程序區(qū)分開(kāi)的。正是這種特性才使得病毒在發(fā)現(xiàn)之前已進(jìn)行了廣泛的傳播，造成了破壞。(5)可觸發(fā)性病毒只有在滿(mǎn)足某種條件的情況下才會(huì)發(fā)作，計(jì)算機(jī)病毒使用的觸發(fā)條件主要有以下三種。

時(shí)間觸發(fā)型：利用計(jì)算機(jī)內(nèi)的時(shí)鐘提供的時(shí)間作為觸發(fā)器，這種觸發(fā)條件被許多計(jì)算機(jī)病毒采用，觸發(fā)的時(shí)間有的精確到百分之幾秒，有的則只區(qū)分年份。例如：CIH病毒的發(fā)作時(shí)間為每年4月26日，這一天是病毒作者陳盈豪的生日。利用計(jì)算機(jī)病毒體內(nèi)自帶的計(jì)數(shù)器作為觸發(fā)器，計(jì)算機(jī)病毒利用計(jì)數(shù)器記錄某種事件發(fā)生的次數(shù)，一旦計(jì)數(shù)器達(dá)到某一設(shè)定的值，就執(zhí)行破壞操作。

利用計(jì)算機(jī)內(nèi)執(zhí)行的某些特定操作作為觸發(fā)器，特定操作可以是用戶(hù)按下某種特定的組合鍵，或者發(fā)送電子郵件，也可以是訪(fǎng)問(wèn)文件等。（6）破壞性計(jì)算機(jī)病毒的目的在于破壞系統(tǒng)的正常運(yùn)行，主要表現(xiàn)有占用系統(tǒng)資源、破壞用戶(hù)數(shù)據(jù)、干擾系統(tǒng)正常運(yùn)行。惡性病毒的危害性很大，嚴(yán)重時(shí)可導(dǎo)致系統(tǒng)死機(jī)，甚至網(wǎng)絡(luò)癱瘓。(7)衍生性計(jì)算機(jī)病毒程序可被他人模仿或修改，經(jīng)過(guò)惡做劇者或惡意攻擊者的改寫(xiě)，就可能成為原病毒的變種。計(jì)算機(jī)機(jī)病毒的基本構(gòu)造計(jì)算機(jī)病毒的邏輯程序結(jié)構(gòu)一般來(lái)講包含三個(gè)部分：引導(dǎo)部分、傳染部分、表現(xiàn)或破壞部分。

引導(dǎo)部分的作用是將病毒主體加載到內(nèi)存，為傳染部分做準(zhǔn)備（如駐留內(nèi)存、修改中斷、修改高端內(nèi)存、保存原中斷向量、修改注冊(cè)表等操作）。傳染部分的作用是將病毒代碼復(fù)制到傳染目標(biāo)上去。不同類(lèi)型的病毒在傳染方式、傳染條件以及傳播所借助的媒體上各有不同。表現(xiàn)部分的作用是在病毒發(fā)作條件（表現(xiàn)、破壞條件）滿(mǎn)足時(shí)，實(shí)施對(duì)系統(tǒng)的干擾和破壞活動(dòng)。

計(jì)算機(jī)病毒的生命周期開(kāi)發(fā)期今天有一點(diǎn)計(jì)算機(jī)編程知識(shí)的人都可以制造一個(gè)病毒。傳染期在一個(gè)病毒制造出來(lái)后，病毒的編寫(xiě)者將其拷貝分發(fā)出去并確認(rèn)其已被傳播出去。潛伏期一個(gè)設(shè)計(jì)良好的病毒可以在它活化前的很長(zhǎng)時(shí)期里被復(fù)制。這就給了它充裕的傳播時(shí)間。

計(jì)算機(jī)病毒的生命周期發(fā)作期帶有破壞機(jī)制的病毒會(huì)在滿(mǎn)足某一特定條件時(shí)發(fā)作。發(fā)現(xiàn)期

通常情況下，一個(gè)病毒被檢測(cè)到并被隔離出來(lái)后，它會(huì)被送到計(jì)算機(jī)安全協(xié)會(huì)或反病毒廠(chǎng)家，在那里病毒被通報(bào)和描述給反病毒研究工作者。計(jì)算機(jī)病毒的生命周期殺毒期在這一階段，反病毒開(kāi)發(fā)人員修改他們的軟件以使其可以檢測(cè)到新發(fā)現(xiàn)的病毒。消亡期有一些病毒在消失之前有一個(gè)很長(zhǎng)的消亡期。計(jì)算機(jī)病毒的分類(lèi)對(duì)計(jì)算機(jī)病毒的分類(lèi)主要有以下幾種方法：按計(jì)算機(jī)病毒寄生方式和感染途徑分類(lèi)按計(jì)算機(jī)病毒攻擊的操作系統(tǒng)分類(lèi)按計(jì)算機(jī)病毒的表現(xiàn)（破壞）情況分類(lèi)按計(jì)算機(jī)病毒的傳播媒介分類(lèi)按計(jì)算機(jī)病毒寄生方式和感染途徑分類(lèi)引導(dǎo)型病毒引導(dǎo)型病毒感染軟盤(pán)中的引導(dǎo)區(qū)，蔓延到用戶(hù)硬盤(pán)，并能感染到用戶(hù)盤(pán)中的“主引導(dǎo)記錄”。引導(dǎo)型病毒幾乎都會(huì)常駐內(nèi)存，差別僅在于內(nèi)存中的位置不同。引導(dǎo)型病毒按其寄生對(duì)象的不同又可分為兩類(lèi)：MBR（主引導(dǎo)區(qū)）病毒和BR（引導(dǎo)區(qū)）病毒。MBR病毒也稱(chēng)分區(qū)病毒，將病毒寄生在硬盤(pán)分區(qū)主引導(dǎo)程序所占據(jù)的硬盤(pán)0頭0柱面第1個(gè)扇區(qū)中。典型的有“大麻”病毒。BR病毒是將病毒寄生在硬盤(pán)邏輯0扇區(qū)或軟盤(pán)邏輯0扇區(qū)，典型的有“Brain”、“小球”病毒。按計(jì)算機(jī)病毒寄生方式和感染途徑分類(lèi)文件型病毒

文件型病毒是指所有通過(guò)操作系統(tǒng)的文件系統(tǒng)進(jìn)行感染的病毒。文件型病毒分為源碼型病毒、嵌入型病毒和外殼型病毒。

源碼型病毒是用高級(jí)語(yǔ)言編寫(xiě)的，若不進(jìn)行匯編、鏈接則無(wú)法傳染擴(kuò)散。嵌入型病毒是嵌入在程序中的，它只針對(duì)某種具體程序起作用，如“DBASE”病毒。

文件型病毒按其駐留內(nèi)存方式的不同可分為駐留型和不駐留內(nèi)存型。按計(jì)算機(jī)病毒寄生方式和感染途徑分類(lèi)混合型病毒混合型病毒，也稱(chēng)綜合型、復(fù)合型病毒，同時(shí)具備引導(dǎo)型和文件型病毒的特征，即這種病毒既可以感染磁盤(pán)引導(dǎo)扇區(qū)，又可以感染可執(zhí)行文件。這類(lèi)病毒有極強(qiáng)的傳染性，危害性大，清除難度也更大。按計(jì)算機(jī)病毒攻擊的操作系統(tǒng)分類(lèi)攻擊DOS系統(tǒng)的病毒攻擊Windows系統(tǒng)的病毒攻擊Unix系統(tǒng)的病毒攻擊OS/2系統(tǒng)的病毒其他操作系統(tǒng)上的病毒

按計(jì)算機(jī)病毒的表現(xiàn)（破壞）情況分類(lèi)良性病毒良性病毒是指不包含對(duì)計(jì)算機(jī)系統(tǒng)產(chǎn)生直接破壞作用代碼的計(jì)算機(jī)病毒。惡性病毒惡性病毒是指在代碼中包含損傷和破壞計(jì)算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)產(chǎn)生直接的破壞作用。按計(jì)算機(jī)病毒的傳播媒介分類(lèi)單機(jī)病毒

單機(jī)病毒的載體是磁盤(pán)、光盤(pán)和U盤(pán)等可移動(dòng)存儲(chǔ)介質(zhì)。常見(jiàn)的是病毒從軟盤(pán)、U盤(pán)、光盤(pán)傳入硬盤(pán)，感染系統(tǒng)，然后再感染其它可移動(dòng)存儲(chǔ)介質(zhì)，進(jìn)而再感染其他系統(tǒng)。

網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)病毒利用計(jì)算機(jī)網(wǎng)絡(luò)的協(xié)議、命令、E-Mail、FTP、Web、QQ等進(jìn)行傳播，已經(jīng)成為病毒中危害最為嚴(yán)重的種類(lèi)，如今的病毒大多都是網(wǎng)絡(luò)病毒。計(jì)算機(jī)病毒的傳播途徑通過(guò)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行傳播移動(dòng)存儲(chǔ)設(shè)備包括磁帶、軟盤(pán)、光盤(pán)、U盤(pán)、移動(dòng)硬盤(pán)等。U盤(pán)病毒的預(yù)防1.右鍵->【資源管理器】打開(kāi)移動(dòng)存儲(chǔ)設(shè)備，屏蔽AUTORUN.INF。2.關(guān)閉本機(jī)自動(dòng)運(yùn)行：運(yùn)行【gpedit.msc】->【用戶(hù)配置】->【管理模板】->【系統(tǒng)】，將【關(guān)閉自動(dòng)運(yùn)行】設(shè)置為“啟用”，“所有驅(qū)動(dòng)器”3.U盤(pán)免疫：在命令行下運(yùn)行以下指令md

autorun.inf\abcd...\刪除目錄：rdautorun.inf/s計(jì)算機(jī)病毒的傳播途徑通過(guò)有線(xiàn)網(wǎng)絡(luò)系統(tǒng)進(jìn)行傳播電子郵件、WWW瀏覽、FTP文件傳輸、網(wǎng)絡(luò)聊天工具。

計(jì)算機(jī)病毒的傳播途徑通過(guò)無(wú)線(xiàn)通信系統(tǒng)進(jìn)行傳播無(wú)線(xiàn)網(wǎng)絡(luò)已經(jīng)越來(lái)越普及，但無(wú)線(xiàn)裝置擁有防毒程序的卻不多。由于未來(lái)有更多手機(jī)通過(guò)無(wú)線(xiàn)通信系統(tǒng)和互聯(lián)網(wǎng)連接，手機(jī)已成為病毒的新的攻擊目標(biāo)。計(jì)算機(jī)病毒的危害與癥狀

對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞大部分病毒在發(fā)作的時(shí)候直接破壞計(jì)算機(jī)的重要信息數(shù)據(jù)，所利用的手段有格式化磁盤(pán)、改寫(xiě)文件分配表和目錄區(qū)、刪除重要文件或者用無(wú)意義的“垃圾”數(shù)據(jù)改寫(xiě)文件、破壞CMOS設(shè)置等。

占用磁盤(pán)空間

寄生在磁盤(pán)上的病毒總要非法占用一部分磁盤(pán)空間。

搶占系統(tǒng)資源

大多數(shù)病毒在動(dòng)態(tài)下都是常駐內(nèi)存的，這就必然搶占一部分系統(tǒng)資源。病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，致使一部分軟件因內(nèi)存不足而不能運(yùn)行。

計(jì)算機(jī)病毒的危害與癥狀影響計(jì)算機(jī)運(yùn)行速度病毒為了判斷傳染激發(fā)條件，總要對(duì)計(jì)算機(jī)的工作狀態(tài)進(jìn)行監(jiān)視，這相對(duì)于計(jì)算機(jī)的正常運(yùn)行狀態(tài)既多余又有害。有些病毒為了保護(hù)自己，不但對(duì)磁盤(pán)上的靜態(tài)病毒加密，而且進(jìn)駐內(nèi)存后的動(dòng)態(tài)病毒也處在加密狀態(tài)。病毒在進(jìn)行傳染時(shí)同樣要插入非法的額外操作，特別是傳染軟盤(pán)時(shí)不但計(jì)算機(jī)速度明顯變慢，而且打亂軟盤(pán)正常的讀寫(xiě)順序并發(fā)出刺耳的噪聲。特洛伊木馬不斷自動(dòng)升級(jí)更新、執(zhí)行遠(yuǎn)程指令、向遠(yuǎn)程計(jì)算機(jī)發(fā)送本地信息，嚴(yán)重影響用戶(hù)網(wǎng)絡(luò)訪(fǎng)問(wèn)速度。計(jì)算機(jī)病毒的危害與癥狀計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見(jiàn)的危害

大量含有未知錯(cuò)誤的病毒擴(kuò)散傳播其后果是難以預(yù)料的。計(jì)算機(jī)病毒的兼容性對(duì)系統(tǒng)運(yùn)行的影響病毒的編制者一般不會(huì)在各種計(jì)算機(jī)環(huán)境下對(duì)病毒進(jìn)行測(cè)試，因此病毒的兼容性較差，常常導(dǎo)致死機(jī)。計(jì)算機(jī)病毒造成心理的和社會(huì)的危害發(fā)現(xiàn)系統(tǒng)感染病毒，會(huì)產(chǎn)生潛在的恐懼，極大地影響了現(xiàn)代計(jì)算機(jī)的使用效率，由此帶來(lái)的無(wú)形損失是難以估量的。計(jì)算機(jī)病毒的發(fā)作癥狀屏幕顯示異常系統(tǒng)聲音異常

系統(tǒng)工作異常

不承認(rèn)硬盤(pán)或系統(tǒng)引導(dǎo)失敗。開(kāi)機(jī)出現(xiàn)黑屏。內(nèi)存空間減小，系統(tǒng)運(yùn)行速度下降。系統(tǒng)自動(dòng)重啟、異常死機(jī)、用戶(hù)沒(méi)有訪(fǎng)問(wèn)的設(shè)備出現(xiàn)工作信號(hào)。

計(jì)算機(jī)病毒的發(fā)作癥狀鍵盤(pán)工作異常響鈴重復(fù)字符。

文件系統(tǒng)異常文件長(zhǎng)度變化時(shí)間日期變化文件數(shù)目變化文件后綴變化

計(jì)算機(jī)病毒的發(fā)作癥狀其他異常形式

壞軌增加發(fā)出虛假報(bào)警修改磁盤(pán)卷標(biāo)打開(kāi)Word文檔后，該文件無(wú)法另存為一個(gè).DOC文檔，只能保存成模板文檔（.DOT）；Word菜單有關(guān)宏的選項(xiàng)丟失。Windows桌面圖標(biāo)發(fā)生變化網(wǎng)絡(luò)癱瘓計(jì)算機(jī)病毒的基本防治

不論是良性病毒還是惡性病毒，一旦侵入系統(tǒng)都會(huì)給系統(tǒng)的正常運(yùn)行造成一定的破壞，特別是通過(guò)網(wǎng)絡(luò)傳播的計(jì)算機(jī)病毒，能在很短的時(shí)間內(nèi)使整個(gè)網(wǎng)絡(luò)處于癱瘓狀態(tài)，從而造成巨大的經(jīng)濟(jì)損失。因此，預(yù)防病毒的入侵、阻止病毒的傳播，及時(shí)地消除計(jì)算機(jī)病毒是一項(xiàng)非常重要的工作。解決病毒攻擊的理想方法是對(duì)病毒進(jìn)行預(yù)防，即在第一時(shí)間阻止病毒進(jìn)入系統(tǒng)。因?yàn)闆](méi)有病毒的入侵，也就沒(méi)有病毒的傳播，更不需要消除病毒。計(jì)算機(jī)病毒的基本防治防毒是從病毒的寄生對(duì)象、內(nèi)存駐留方式、傳染途徑等病毒行為入手進(jìn)行動(dòng)態(tài)監(jiān)測(cè)和防范。一方面防止外界病毒向計(jì)算機(jī)內(nèi)傳染，另一方面抑制現(xiàn)有病毒向外傳染。防毒是以病毒的機(jī)理為基礎(chǔ)，防范的目標(biāo)并不局限于已知的病毒，而是以現(xiàn)有的病毒機(jī)理設(shè)計(jì)的一類(lèi)病毒，包括按現(xiàn)有機(jī)理設(shè)計(jì)的未來(lái)新病毒或變種病毒。計(jì)算機(jī)病毒的基本防治樹(shù)立正確的防毒意識(shí)，加強(qiáng)計(jì)算機(jī)應(yīng)用的管理。收到來(lái)路不明的帶有附加文件的電子郵件時(shí)，應(yīng)直接刪除。個(gè)人的Internet賬號(hào)和E-mail帳號(hào)不可隨意告訴他人，這樣，除了可以避免收到有問(wèn)題的郵件外，還可以避免賬號(hào)被他人盜用。使用復(fù)雜的口令，保證口令不被他人知道并要時(shí)常更換。不隨便運(yùn)行來(lái)歷不明的軟件。不隨便點(diǎn)擊QQ等聊天程序中發(fā)送的鏈接網(wǎng)址。系統(tǒng)中的重要文件要定期進(jìn)行備份。計(jì)算機(jī)病毒的基本防治技術(shù)上的預(yù)防。利用成熟的殺毒軟件產(chǎn)品和病毒防火墻，實(shí)時(shí)監(jiān)控病毒的入侵，定期對(duì)磁盤(pán)進(jìn)行檢查，清除特定的已知病毒。同時(shí)，經(jīng)常升級(jí)殺毒軟件、更新病毒庫(kù)。如發(fā)現(xiàn)計(jì)算機(jī)運(yùn)行異常，通過(guò)DEBUG、Winhex等各種調(diào)試工具或?qū)嵱密浖?duì)系統(tǒng)進(jìn)行檢測(cè)、分析，查找是否感染新病毒或病毒變種。計(jì)算機(jī)病毒的基本防治防毒的重點(diǎn)是控制病毒的傳染。防毒的關(guān)鍵是控制對(duì)病毒行為的判斷，如何有效辨別病毒行為與正常程序行為是防毒成功與否惡重要因素。另外，防毒對(duì)于不按現(xiàn)有病毒機(jī)理設(shè)計(jì)的新病毒也可能無(wú)能為力。因此，在安裝、及時(shí)更新升級(jí)病毒防火墻的同時(shí)，應(yīng)密切注意系統(tǒng)的各種異?，F(xiàn)象，及時(shí)查殺病毒、及時(shí)通報(bào)病毒疫情。木馬“特洛伊木馬”簡(jiǎn)稱(chēng)木馬，其英文叫做“Trojanhouse”，其名稱(chēng)取自希臘神話(huà)的“特洛伊木馬記”，它是一種基于遠(yuǎn)程控制的黑客工具。木馬通常寄生于用戶(hù)的計(jì)算機(jī)系統(tǒng)中，盜竊用戶(hù)信息，并通過(guò)網(wǎng)絡(luò)發(fā)送給黑客。在黑客進(jìn)行的各種攻擊行為中，木馬都起到了開(kāi)路先鋒的作用。木馬的原理木馬程序與其它的病毒程序一樣，都需要在運(yùn)行時(shí)隱藏自己的行蹤。木馬通常不容易被發(fā)現(xiàn)，因?yàn)樗话闶且砸粋€(gè)正常應(yīng)用的身份在系統(tǒng)中運(yùn)行的。

木馬也采用客戶(hù)機(jī)/服務(wù)器工作模式。它一般包括一個(gè)客戶(hù)端和一個(gè)服務(wù)器端，客戶(hù)端放在木馬控制者的計(jì)算機(jī)中，服務(wù)器端放置在被入侵的計(jì)算機(jī)中，木馬控制者通過(guò)客