網(wǎng)絡(luò)病毒與防治

網(wǎng)絡(luò)病毒與防治第1頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全2導(dǎo)致計(jì)算機(jī)病毒產(chǎn)生的社會(huì)淵源計(jì)算機(jī)病毒是計(jì)算機(jī)技術(shù)和以計(jì)算機(jī)為核心的社會(huì)信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物，是計(jì)算機(jī)犯罪的一種新的衍化形式產(chǎn)生計(jì)算機(jī)病毒的原因，大致可以分為以下幾種：計(jì)算機(jī)愛好者出于好奇或興趣，也有的是為了滿足自己的表現(xiàn)欲或制作惡作劇產(chǎn)生于個(gè)別人的報(bào)復(fù)、破壞心理來源于游戲軟件來源于軟件加密用于研究或?qū)嶒?yàn)而設(shè)計(jì)的“有用”的程序出于政治、經(jīng)濟(jì)和軍事等特殊目的，一些組織或個(gè)人也會(huì)編寫一些程序用于進(jìn)攻對方的計(jì)算機(jī)第2頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全3------------狹義定義1994年2月18日，我國正式頒布實(shí)施了《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，在《條例》第二十八條中明確指出：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”

這一定義，具有一定的法律性和權(quán)威性6.1計(jì)算機(jī)病毒概述

第3頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全4-----------廣義定義計(jì)算機(jī)病毒(ComputerVirus)，是一種具有自我復(fù)制能力的計(jì)算機(jī)程序，它不僅能破壞計(jì)算機(jī)系統(tǒng)，而且還能傳播、感染到其他的系統(tǒng)，能影響計(jì)算機(jī)軟件、硬件的正常運(yùn)行，破壞數(shù)據(jù)的正確與完整。類似于生物病毒，它能把自身附著在各種類型的文件上或寄生在存儲(chǔ)媒介中，能對計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行各種破壞；有獨(dú)特的復(fù)制能力和傳染性，能夠自我復(fù)制——主動(dòng)傳染，另一方面，當(dāng)文件被復(fù)制或在網(wǎng)絡(luò)中從一個(gè)用戶傳送到另一個(gè)用戶時(shí)——被動(dòng)傳染，它們就隨同文件一起蔓延開來第4頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全5病毒感染示意圖生物病毒感染與寄生計(jì)算機(jī)病毒感染與寄生第5頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全66.2計(jì)算機(jī)病毒的特征

根據(jù)對計(jì)算機(jī)病毒的產(chǎn)生、傳染和破壞行為的分析，總結(jié)出病毒有以下幾個(gè)主要特點(diǎn)。 1）傳染性(基本特征) 2）奪取系統(tǒng)控制權(quán)3）隱蔽性4）破壞性5）潛伏性6）可觸發(fā)性7）不可預(yù)見性第6頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全76.3計(jì)算機(jī)病毒傳染方式

計(jì)算機(jī)不運(yùn)行時(shí)不存在對磁盤的讀寫或數(shù)據(jù)共享；沒有磁盤的讀寫，病毒不能傳入磁性存儲(chǔ)介質(zhì)，而只能駐留于內(nèi)存之中或駐留于存儲(chǔ)設(shè)備之中。計(jì)算機(jī)運(yùn)行就含有很頻繁的磁盤讀寫工作，就容易得到病毒傳染的先決條件。有了條件病毒是如何傳染的呢？

（1）駐入內(nèi)存：病毒要達(dá)到傳染的目的必須駐留于內(nèi)存之中，所以病毒傳染的第一步是駐留內(nèi)存；

（2）尋找傳染機(jī)會(huì)：病毒駐入內(nèi)存之后，首先尋找可進(jìn)行攻擊的對象，并判定這一對象是否可被傳染（有些病毒的傳染是無條件的）；

（3）進(jìn)行傳染：當(dāng)病毒尋找到傳染的對象并判定可進(jìn)行傳染之后，通過INT13H這一磁盤中斷服務(wù)程序達(dá)到傳染磁盤的目的，并將其寫入磁盤系統(tǒng)；一般病毒將在內(nèi)存中申請一空間，以便常駐內(nèi)存或?yàn)槌ｑv內(nèi)存程序（TSR），病毒為使自己不被發(fā)現(xiàn)，此時(shí)一般不覆蓋其它數(shù)據(jù)的，通常病毒程序?qū)懡o于內(nèi)存高端，其傳染方式如上病毒存儲(chǔ)方式。第7頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全86.4計(jì)算機(jī)病毒的分類

各種不同種類的病毒有著各自不同的特征，它們有的以感染文件為主、有的以感染系統(tǒng)引導(dǎo)區(qū)為主、大多數(shù)病毒只是開個(gè)小小的玩笑、但少數(shù)病毒則危害極大（如臭名昭著CIH病毒），這就要求我們采用適當(dāng)?shù)姆椒▽Σ《具M(jìn)行分類，以進(jìn)一步滿足日常操作的需要。第8頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全9按破壞性分類良性病毒：是指那些只是為了表現(xiàn)自己而并不破壞系統(tǒng)數(shù)據(jù)，只占用系統(tǒng)

CPU資源或干擾系統(tǒng)工作的一類計(jì)算機(jī)病毒。惡性病毒：是指病毒制造者在主觀上故意要對被感染的計(jì)算機(jī)實(shí)施破壞，這類病毒一旦發(fā)作就破壞系統(tǒng)的數(shù)據(jù)、刪除文件、加密磁盤或格式化操作系統(tǒng)盤，使系統(tǒng)處于癱瘓狀態(tài)。按傳染方式分類系統(tǒng)引導(dǎo)型：感染引導(dǎo)區(qū)，系統(tǒng)引導(dǎo)時(shí)病毒裝入內(nèi)存，同時(shí)獲得對系統(tǒng)的控制權(quán)，對外傳播病毒，并且在一定條件下發(fā)作，實(shí)施破壞。文件型病毒：一般只傳染磁盤上的可執(zhí)行文件(COM，EXE)。將自身包圍在系統(tǒng)可執(zhí)行文件的周圍、對原文件不作修改，運(yùn)行可執(zhí)行文件時(shí)，病毒程序首先被執(zhí)行，進(jìn)入到系統(tǒng)中獲得對系統(tǒng)的控制權(quán)?；旌闲筒《荆杭嬗幸陨蟽煞N病毒的特點(diǎn)，既染引導(dǎo)區(qū)又染文件，因此擴(kuò)大了這種病毒的傳染途徑。第9頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全10按連接方式分類源碼型病毒：源碼病毒較為少見，亦難以編寫。因?yàn)樗舾呒?jí)語言編寫的源程序，在源程序編譯之前插入其中，并隨源程序一起編譯、連接成可執(zhí)行文件。此時(shí)剛剛生成的可執(zhí)行文件便已經(jīng)帶毒了。在源被編譯之前，插入到源程序中，經(jīng)編譯之后，成為合法程序的一部分。入侵型病毒：將自身入侵到現(xiàn)有程序之中，使其變成合法程序的一部分。操作系統(tǒng)病毒：可用其自身部分加入或替代操作系統(tǒng)的部分功能。因其直接感染操作系統(tǒng)，這類病毒的危害性也較大。外殼病毒：將自身附在正常程序的開頭或結(jié)尾，相當(dāng)于給正常程序加了個(gè)外殼。大部份的文件型病毒都屬于這一類。第10頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全11按廣義病毒概念分類蠕蟲(worm)：監(jiān)測IP地址，網(wǎng)絡(luò)傳播邏輯炸彈(logicbomb)：條件觸發(fā)，定時(shí)器特洛伊木馬(TrojanHorse)：

隱含在合法程序上的一段非法程序。陷門：在某個(gè)系統(tǒng)或者某個(gè)文件中設(shè)置機(jī)關(guān)，使得當(dāng)提供特定的輸入數(shù)據(jù)時(shí)，允許違反安全策略。第11頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全12病毒、蠕蟲和木馬的區(qū)別1．病毒的特點(diǎn)計(jì)算機(jī)病毒是編寫的一段程序，它可以在未經(jīng)用戶許可，甚至在用戶不知情的情況下改變計(jì)算機(jī)的運(yùn)行方式。病毒必須滿足兩個(gè)條件：自行執(zhí)行：它通常將自己的代碼置于另一個(gè)程序的執(zhí)行路徑中。自我復(fù)制：病毒代碼的明確目的是自我復(fù)制。如：可以用受病毒感染的文件副本替換其他可執(zhí)行文件。與蠕蟲相比，病毒可破壞計(jì)算機(jī)硬件、軟件和數(shù)據(jù)。

第12頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全132．蠕蟲的特點(diǎn)

蠕蟲屬于計(jì)算機(jī)病毒的子類，所以也稱為“蠕蟲病毒”。通常，蠕蟲的傳播無需人為干預(yù)，并可通過網(wǎng)絡(luò)進(jìn)行自我復(fù)制，在復(fù)制過程中可能有改動(dòng)。與病毒相比，蠕蟲可消耗內(nèi)存或網(wǎng)絡(luò)帶寬，并導(dǎo)致計(jì)算機(jī)停止響應(yīng)。與病毒類似，蠕蟲也在計(jì)算機(jī)與計(jì)算機(jī)之間自我復(fù)制，但蠕蟲可自動(dòng)完成復(fù)制過程，因?yàn)樗庸芰擞?jì)算機(jī)中傳輸文件或信息的功能。第13頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全14蠕蟲的工作方式蠕蟲的工作方式一般是：掃描→攻擊→復(fù)制第14頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全15在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中，蠕蟲具有一些新的特性：1．傳播速度快

在單機(jī)上，病毒只能通過軟盤或U盤等可移動(dòng)存儲(chǔ)介質(zhì)從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)計(jì)算機(jī)，而在網(wǎng)絡(luò)中則可以通過網(wǎng)絡(luò)通信機(jī)制，借助高速通信網(wǎng)絡(luò)進(jìn)行迅速擴(kuò)散。2．清除難度大

在單機(jī)中，再頑固的病毒也可通過刪除帶毒文件、低級(jí)格式化硬盤等措施將病毒清除，而網(wǎng)絡(luò)中只要有一臺(tái)主機(jī)未能殺毒干凈就可使整個(gè)網(wǎng)絡(luò)重新全部被病毒感染，甚至剛剛完成殺毒工作的一臺(tái)主機(jī)馬上就能被網(wǎng)上另一臺(tái)主機(jī)的帶毒程序所傳染。因此，僅對主機(jī)進(jìn)行病毒清除不能徹底解決網(wǎng)絡(luò)蠕蟲的問題，而需要借助防火墻等安全設(shè)備進(jìn)行管理。3．破壞性強(qiáng)

網(wǎng)絡(luò)中蠕蟲將直接影響網(wǎng)絡(luò)的工作狀態(tài)，輕則降低速度，影響工作效率，重則造成網(wǎng)絡(luò)系統(tǒng)的癱瘓，破壞服務(wù)器系統(tǒng)資源，使系統(tǒng)數(shù)據(jù)毀于一旦。例如，目前在局域網(wǎng)中泛濫的ARP欺騙便屬于蠕蟲。第15頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全16蠕蟲與病毒之間的區(qū)別及聯(lián)系病毒蠕蟲存在形式寄生獨(dú)立個(gè)體復(fù)制機(jī)制插入到宿主程序(文件)中自身的拷貝傳染機(jī)制宿主程序運(yùn)行系統(tǒng)存在漏洞(Vulnerability)搜索機(jī)制(傳染目標(biāo))主要是針對本地文件主要針對網(wǎng)絡(luò)上的其它計(jì)算機(jī)觸發(fā)傳染計(jì)算機(jī)使用者程序自身影響重點(diǎn)文件系統(tǒng)網(wǎng)絡(luò)性能、系統(tǒng)性能計(jì)算機(jī)使用者角色病毒傳播中的關(guān)鍵環(huán)節(jié)無關(guān)防治措施從宿主程序中摘除為系統(tǒng)打補(bǔ)丁(Patch)第16頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全17特洛伊木馬特洛伊木馬(TrojanHorse)，簡稱木馬，是一種惡意程序，是一種基于遠(yuǎn)程控制的黑客工具，一旦侵入用戶的計(jì)算機(jī)，就悄悄地在宿主計(jì)算機(jī)上運(yùn)行，在用戶毫無察覺的情況下，讓攻擊者獲得遠(yuǎn)程訪問和控制系統(tǒng)的權(quán)限，進(jìn)而在用戶的計(jì)算機(jī)中修改文件、修改注冊表、控制鼠標(biāo)、監(jiān)視/控制鍵盤，或竊取用戶信息古希臘特洛伊之戰(zhàn)中利用木馬攻陷特洛伊城；現(xiàn)代網(wǎng)絡(luò)攻擊者利用木馬，采用偽裝、欺騙(哄騙，Spoofing)等手段進(jìn)入被攻擊的計(jì)算機(jī)系統(tǒng)中，竊取信息，實(shí)施遠(yuǎn)程監(jiān)控第17頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全183．木馬的特點(diǎn)木馬(trojan)與病毒的重大區(qū)別是木馬并不像病毒那樣復(fù)制自身。木馬的特點(diǎn)：不感染其他的文件不破壞計(jì)算機(jī)系統(tǒng)不進(jìn)行自我復(fù)制木馬的主要作用：作為遠(yuǎn)程控制、竊取密碼的工具，它是一個(gè)具有內(nèi)外連接功能的后門程序。木馬的兩種主要傳播途徑：電子郵件和文件下載。第18頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全19一般的木馬程序包括客戶端和服務(wù)器端兩個(gè)程序，其中：

客戶端：用于攻擊者遠(yuǎn)程控制植入木馬的計(jì)算機(jī)（即服務(wù)器端）

服務(wù)器端：是植入木馬程序的遠(yuǎn)程計(jì)算機(jī)。當(dāng)木馬程序或帶有木馬的其他程序執(zhí)行后，木馬首先會(huì)在系統(tǒng)中潛伏下來，并修改系統(tǒng)的配置參數(shù)，每次啟動(dòng)系統(tǒng)時(shí)都能夠?qū)崿F(xiàn)木馬程序的自動(dòng)加載。木馬的組成第19頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全20木馬系統(tǒng)軟件一般由木馬配置程序、控制程序和木馬程序(服務(wù)器程序)三部分組成第20頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全21木馬通常采取如圖所示的方式實(shí)施攻擊：配置木馬（偽裝木馬）→傳播木馬（通過文件下載或電子郵件等方式）→運(yùn)行木馬（自動(dòng)安裝并運(yùn)行）→信息泄露→建立連接→遠(yuǎn)程控制。右圖：木馬的運(yùn)行過程

第21頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全22木馬控制端與服務(wù)端連接的建立第22頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全23木馬通道與遠(yuǎn)程控制木馬連接建立后，控制端端口和服務(wù)端木馬端口之間將會(huì)出現(xiàn)一條通道控制端上的控制端程序可藉這條通道與服務(wù)端上的木馬程序取得聯(lián)系，并通過木馬程序?qū)Ψ?wù)端進(jìn)行遠(yuǎn)程控制，實(shí)現(xiàn)的遠(yuǎn)程控制就如同本地操作第23頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全24檢測和清除木馬的方法檢測和清除木馬的一般流程:特洛伊木馬入侵的一個(gè)明顯證據(jù)是受害計(jì)算機(jī)上意外地打開了某個(gè)端口用Netstat檢測木馬第24頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全25檢測和清除木馬的方法WindowsXP的Netstat工具提供了一個(gè)新的-o選項(xiàng)，能夠顯示出正在使用端口的程序或服務(wù)的進(jìn)程標(biāo)識(shí)符(PID)。有了PID，用任務(wù)管理器就可以方便地根據(jù)PID找到對應(yīng)的程序，以便終止之進(jìn)程標(biāo)識(shí)符PID與映射名稱第25頁，課件共31頁，創(chuàng)作于2023年2月故障解決適用分析能打開學(xué)校主頁，打不開校外網(wǎng)站本機(jī)網(wǎng)絡(luò)正常，等待網(wǎng)絡(luò)恢復(fù)QQ能上，網(wǎng)頁打不開檢查DNS服務(wù)器的相關(guān)設(shè)置；IE瀏覽器出現(xiàn)問題QQ/網(wǎng)頁校內(nèi)校外都打不開只能從物理線路開始分析IP報(bào)告有沖突找本部門網(wǎng)絡(luò)管理員，更換正確的IP地址/掩碼/網(wǎng)關(guān)網(wǎng)絡(luò)連接×換根跳線/接入其他網(wǎng)絡(luò)接口，往上層查找原因（本屋交換機(jī)有問題）網(wǎng)絡(luò)連接非正常情況找本部門網(wǎng)絡(luò)管理員，更換正確的IP地址/掩碼/網(wǎng)關(guān)第26頁，課件共31頁，創(chuàng)作于2023年2月2023/7/26計(jì)算機(jī)網(wǎng)絡(luò)安全27計(jì)算機(jī)病毒防治法律的理論分析

隨著我國社會(huì)對網(wǎng)絡(luò)信息依賴性的加深和系統(tǒng)、網(wǎng)絡(luò)脆弱性的不斷披露，計(jì)算機(jī)病毒是我國網(wǎng)絡(luò)信息安全的主要威脅之一。當(dāng)今病毒呈現(xiàn)的幾何式增長是與網(wǎng)絡(luò)的發(fā)展有著密切的聯(lián)系的計(jì)算機(jī)病毒與破壞、入侵、阻塞、竊取等違法犯罪行為直接相關(guān)，并可為危害國家安全和社會(huì)治安管理秩序的有害數(shù)據(jù)的傳播途徑。病毒制作和傳