冀教版信息技術(shù)四上第11課《計算機(jī)病毒與網(wǎng)絡(luò)安全》ppt課件www.edudown.net

計算機(jī)病毒計算機(jī)病毒的起源與進(jìn)展計算機(jī)病毒的定義與特征★計算機(jī)病毒的分類計算機(jī)病毒的危害性計算機(jī)病毒分析★其他惡意程序計算機(jī)病毒的進(jìn)展史自第一個真正意義上的計算機(jī)病毒于1983年走出試驗室以來，人們對它的生疏經(jīng)受了“不以為然→談毒色變→口誅筆伐，人人喊打→理性對待，泰然處之”四個階段。計算機(jī)病毒產(chǎn)生的歷史1977年:消失在科幻小說中1983年：FredCohen：在計算機(jī)安全研討會上公布1986年：巴基斯坦兩兄弟為追蹤非法拷貝其軟件的人制造了“巴基斯坦”病毒，成了世界上公認(rèn)的第一個傳染PC兼容機(jī)的病毒，并且很快在全球流行。1987年10月：美國覺察世界上第一例病毒(Brain)。1988年：小球病毒傳入我國，在幾個月之內(nèi)快速傳染了20多個省、市，成為我國第一個病毒案例。此后，猶如翻開的潘多拉的盒子，各種計算機(jī)病毒層出不窮！計算機(jī)病毒的進(jìn)展階段—萌芽階段1萌芽階段1986年到1989年：計算機(jī)病毒的萌芽時期病毒去除相比照較簡潔特點：攻擊目標(biāo)單一主要實行截取系統(tǒng)中斷向量的方式監(jiān)控系統(tǒng)的運(yùn)行狀態(tài)，并在肯定的觸發(fā)條件下進(jìn)展傳播傳染后特征明顯不具自我愛護(hù)措施計算機(jī)病毒的進(jìn)展階段—綜合進(jìn)展階段2綜合進(jìn)展階段1989年到1992年：由簡潔到簡單，由原始走向成熟特點：攻擊目標(biāo)趨于混合型承受更為隱蔽的方法駐留內(nèi)存感染目標(biāo)后沒有明顯的特征開頭承受自我愛護(hù)措施開頭消失變種計算機(jī)病毒的進(jìn)展階段—成熟進(jìn)展階段3成熟進(jìn)展階段1992到1995年：病毒開頭具有多態(tài)性質(zhì)。病毒每次傳染目標(biāo)時，嵌入宿主程序中的病毒程序大局部可變種，正由于這個特點，傳統(tǒng)的特征碼檢測病毒法開頭了新的探究爭論在這個階段，病毒的進(jìn)展主要集中在病毒技術(shù)的提高上，病毒開頭向多維化方向進(jìn)展，對反病毒廠商也提出了新的挑戰(zhàn)計算機(jī)病毒的進(jìn)展階段—網(wǎng)絡(luò)病毒階段4網(wǎng)絡(luò)病毒階段1995年到2023年：隨著網(wǎng)絡(luò)的普及，大量的病毒開頭利用網(wǎng)絡(luò)傳播，蠕蟲開頭大規(guī)模的傳播。由于網(wǎng)絡(luò)的便利和信息的共享，很快又消失了通過E-mail傳播的病毒。由于宏病毒編寫簡潔、破壞性強(qiáng)、去除簡單，加上微軟未對WORD文檔構(gòu)造公開，給去除宏病毒帶來了不便這一階段的病毒，主要是利用網(wǎng)絡(luò)來進(jìn)展傳播和破壞計算機(jī)病毒的進(jìn)展階段—快速壯大的階段5.快速壯大的階段2023年以后：成熟富強(qiáng)階段，計算機(jī)病毒的更新和傳播手段更加多樣性，網(wǎng)絡(luò)病毒的目的性也更強(qiáng)消失了木馬，惡意軟件等特定目的的惡意程序特點：技術(shù)綜合利用，病毒變種速度大大加快惡意軟件和病毒程序直接把矛頭對向了殺毒軟件計算機(jī)病毒技術(shù)和反病毒技術(shù)的競爭進(jìn)一步激化，反病毒技術(shù)也面臨著新的洗牌計算機(jī)病毒的起源與進(jìn)展計算機(jī)病毒的定義與特征★計算機(jī)病毒的分類計算機(jī)病毒的危害性計算機(jī)病毒分析★其他惡意程序計算機(jī)病毒的定義狹義定義計算機(jī)病毒是一種靠修改其它程序來插入或進(jìn)展自身拷貝，從而感染其它程序的一種程序。 ——FredCohen博士對計算機(jī)病毒的定義。廣義定義能夠引起計算機(jī)故障，破壞計算機(jī)數(shù)據(jù)，影響計算機(jī)系統(tǒng)的正常使用的程序代碼。我國定義《中華人民共和國計算機(jī)信息系統(tǒng)安全愛護(hù)條例》其次十八條： “計算機(jī)病毒，是指編制或者在計算機(jī)程序中插入的破壞計算機(jī)功能或者毀壞數(shù)據(jù)，影響計算機(jī)使用，并能自我復(fù)制的一組計算機(jī)指令或者程序代碼?！庇嬎銠C(jī)病毒的特征根本特征傳染性自我復(fù)制，通過多種渠道傳播潛伏性感染后不肯定馬上發(fā)作依附于其他文件、程序、介質(zhì)，不被覺察可觸發(fā)性觸發(fā)條件：日期、時間、文件類型破壞性破壞數(shù)據(jù)的完整性和可用性破壞數(shù)據(jù)的保密性系統(tǒng)和資源的可用性非授權(quán)可執(zhí)行性計算機(jī)病毒的特征其它特征寄生性寄生于其它文件、程序隱蔽性程序隱蔽、傳染隱蔽；不易被覺察針對性*針對特定的計算機(jī)、特定的操作系統(tǒng)多態(tài)性*每一次感染后轉(zhuǎn)變形態(tài)，檢測更困難長久性*難于去除計算機(jī)病毒的起源與進(jìn)展計算機(jī)病毒的定義與特征★計算機(jī)病毒的分類計算機(jī)病毒的危害性計算機(jī)病毒分析★其他惡意程序計算機(jī)病毒的分類按宿主分類按危害分類按傳播媒介分類按攻擊平臺分類計算機(jī)病毒的分類按宿主分類1)引導(dǎo)型病毒主引導(dǎo)區(qū)操作系統(tǒng)引導(dǎo)區(qū)2)文件型病毒操作系統(tǒng)應(yīng)用程序宏病毒 3)復(fù)合型病毒復(fù)合型病毒具有引導(dǎo)區(qū)型病毒和文件型病毒兩者的特征計算機(jī)病毒的分類按危害分類良性病毒如：小球病毒惡性病毒如：CIH病毒計算機(jī)病毒的分類按傳播媒介分類單機(jī)病毒DOS、Windows、Unix/Linux病毒等網(wǎng)絡(luò)病毒通過網(wǎng)絡(luò)或電子郵件傳播計算機(jī)病毒的分類按攻擊平臺分類DOS病毒：MS-DOS及兼容操作系統(tǒng)上編寫的病毒W(wǎng)indows病毒：Win32上編寫的純32位病毒程序MAC病毒Unix/Linux病毒計算機(jī)病毒的起源與進(jìn)展計算機(jī)病毒的定義與特征★計算機(jī)病毒的分類計算機(jī)病毒的危害性計算機(jī)病毒分析★其他惡意程序計算機(jī)病毒的危害性攻擊系統(tǒng)數(shù)據(jù)區(qū)攻擊部位包括硬盤主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表、文件名目攻擊文件刪除、改名、替換內(nèi)容、喪失簇和對文件加密等攻擊內(nèi)存內(nèi)存是計算機(jī)的重要資源，也是病毒攻擊的重要目標(biāo)計算機(jī)病毒的危害性干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降如不執(zhí)行命令、打不開文件干擾內(nèi)部命令的執(zhí)行、擾亂串并接口、虛假報警、強(qiáng)制玩耍內(nèi)部棧溢出、重啟動、死機(jī)病毒激活時，系統(tǒng)時間延遲程序啟動，在時鐘中納入循環(huán)計數(shù)，迫使計算機(jī)空轉(zhuǎn)，運(yùn)行速度明顯下降干擾鍵盤、喇叭或屏幕，適用戶無法正常操作響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、輸入紊亂等。很多病毒運(yùn)行時，會使計算機(jī)的喇叭發(fā)出響聲病毒擾亂顯示的方式很多，如字符跌落、倒置、顯示前一屏、翻開對話框、光標(biāo)下跌、滾屏、抖動、亂寫等計算機(jī)病毒的危害性攻擊CMOS，破壞系統(tǒng)硬件有的病毒激活時，能夠?qū)MOS進(jìn)展寫入動作，破壞CMOS中的數(shù)據(jù)。例如CIH病毒破壞計算機(jī)硬件，亂寫某些主板BIOS芯片，損壞硬盤干擾打印機(jī)如假報警、連續(xù)性打印或更換字符干擾網(wǎng)絡(luò)正常運(yùn)行網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬、堵塞網(wǎng)絡(luò)、造成拒絕效勞等歷年重大病毒影響狀況病毒名稱出現(xiàn)時間造成的經(jīng)濟(jì)損失莫里斯蠕蟲19886000臺電腦停機(jī)，9600萬美元美麗莎1999超過12億美元愛蟲2000100億美元紅色代碼2001超過20億美元求職信2001超過100億美元SQL蠕蟲王2003超過20億美元計算機(jī)病毒的起源與進(jìn)展計算機(jī)病毒的定義和特征★計算機(jī)病毒的分類計算機(jī)病毒的危害性計算機(jī)病毒分析★其他惡意程序計算機(jī)病毒分析計算機(jī)病毒的構(gòu)造及工作機(jī)理引導(dǎo)型病毒分析文件型病毒分析宏病毒分析蠕蟲病毒分析特洛伊木馬分析①計算機(jī)病毒的構(gòu)造及工作機(jī)理計算機(jī)病毒的構(gòu)造傳染條件判斷傳染代碼傳染模塊表現(xiàn)及破壞條件判斷破壞代碼表現(xiàn)模塊引導(dǎo)代碼引導(dǎo)模塊①計算機(jī)病毒的構(gòu)造及工作機(jī)理引導(dǎo)過程也就是病毒的初始化局部，它隨著宿主程序的執(zhí)行而進(jìn)入內(nèi)存，為傳染局部做預(yù)備傳染過程作用是將病毒代碼復(fù)制到目標(biāo)上去。一般病毒在對目標(biāo)進(jìn)展傳染前，要首先推斷傳染條件是否滿足，推斷病毒是否已經(jīng)感染過該目標(biāo)等，如CIH病毒只針對Windows95/98操作系統(tǒng)表現(xiàn)過程是病毒間差異最大的局部，前兩局部是為這局部效勞的。它破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)的設(shè)備上表現(xiàn)出特定的現(xiàn)象。大局部病毒都是在肯定條件下才會觸發(fā)其表現(xiàn)局部的②引導(dǎo)型病毒實例分析引導(dǎo)型病毒傳染機(jī)理利用系統(tǒng)啟動的缺陷傳染目標(biāo)硬盤的主引導(dǎo)區(qū)和引導(dǎo)區(qū)軟盤的引導(dǎo)區(qū)傳染途徑通過軟盤啟動計算機(jī)防治方法從C盤啟動翻開主板的方病毒功能典型病毒小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒②引導(dǎo)型病毒分析引導(dǎo)型病毒引導(dǎo)扇區(qū)是大局部系統(tǒng)啟動或引導(dǎo)指令所保存的地方，而且對全部的磁盤來講，不管是否可以引導(dǎo)，都有一個引導(dǎo)扇區(qū)。感染的主要方式就是發(fā)生在計算機(jī)通過已被感染的引導(dǎo)盤〔常見的如一個軟盤〕引導(dǎo)時發(fā)生的。②引導(dǎo)型病毒分析引導(dǎo)型病毒——主引導(dǎo)記錄〔MBR〕主分區(qū)表(64字節(jié)）結(jié)束標(biāo)記（2字節(jié)）引導(dǎo)代碼及出錯信息55AA主引導(dǎo)程序(446字節(jié))分區(qū)1(16字節(jié))分區(qū)2(16字節(jié))分區(qū)3(16字節(jié))分區(qū)4(16字節(jié))A②引導(dǎo)型病毒分析引導(dǎo)型病毒——系統(tǒng)引導(dǎo)過程PowerOnCPU&ROMBIOSInitializesPOSTTestsLookforbootdeviceMBRbootPartitionTableLoadDOSBootSectorRunsLoadsIO.SYSMSDOS.SYSDOSLoaded。病毒②引導(dǎo)型病毒分析引導(dǎo)型病毒——感染與執(zhí)行過程系統(tǒng)引導(dǎo)區(qū)引導(dǎo)正常執(zhí)行病毒病毒執(zhí)行病毒駐留帶毒執(zhí)行。。。引導(dǎo)系統(tǒng)病毒體。。。③文件型病毒分析文件型病毒傳染機(jī)理：利用系統(tǒng)加載執(zhí)行文件的缺陷傳染目標(biāo)：各種能夠獲得系統(tǒng)掌握權(quán)執(zhí)行的文件傳染途徑：各種存儲介質(zhì)、網(wǎng)絡(luò)、電子郵件防治方法使用具有實時監(jiān)控功能的殺毒軟件不要輕易翻開郵件附件典型病毒1575病毒、CIH病毒③文件型病毒分析文件型病毒 文件型病毒與引導(dǎo)扇區(qū)病毒區(qū)分是：它攻擊磁盤上的文件③文件型病毒分析文件型病毒——傳染機(jī)理正常程序正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序程序頭病毒程序程序頭病毒程序程序頭病毒程序程序頭病毒程序病毒程序病毒程序正常程序程序頭程序頭④宏病毒分析宏病毒定義：宏病毒是指利用軟件所支持的宏命令或語言書寫的一段寄生在支持宏的文檔上的，具有復(fù)制、傳染力量的宏代碼跨平臺式計算機(jī)病毒：可以在Windows9X、WindowsNT、OS/2和Unix、Mac等操作系統(tǒng)上執(zhí)行病毒行為影響系統(tǒng)的性能以及對文檔的各種操作，如翻開、存儲、關(guān)閉或去除等宏病毒對病毒而言是一次革命?，F(xiàn)在通過E-mail、3W的互聯(lián)力量及宏語言的進(jìn)一步強(qiáng)化，極大地增加了它的傳播力量④宏病毒分析宏病毒傳染機(jī)理：利用處理的文件可以內(nèi)嵌宏的功能傳染目標(biāo)：doc、dot、xls、ppt、mdb等文件〔Win〕傳染途徑：各種存儲介質(zhì)、網(wǎng)絡(luò)、電子郵件防治方法使用具有實時監(jiān)控功能的殺毒軟件翻開系統(tǒng)供給的宏愛護(hù)功能典型病毒“七月殺手”病毒、“美麗莎”病毒④宏病毒分析宏病毒——工作機(jī)理 有毒文件.docNormal.dot激活autoopen宏寫入無毒文件.docNormal.dot啟動激活病毒⑤蠕蟲病毒分析蠕蟲病毒一個獨(dú)立的計算機(jī)程序，不需要宿主自我復(fù)制，自主傳播〔Mobile〕占用系統(tǒng)或網(wǎng)絡(luò)資源、破壞其他程序不偽裝成其他程序，靠自主傳播利用系統(tǒng)漏洞；利用電子郵件〔無需用戶參與〕⑤蠕蟲病毒分析蠕蟲病毒傳染機(jī)理：利用系統(tǒng)或效勞的漏洞傳染目標(biāo)：操作系統(tǒng)或應(yīng)用效勞傳染途徑：網(wǎng)絡(luò)、電子郵件防治方法使用具有實時監(jiān)控功能的殺毒軟件不要輕易翻開郵件附件打最新補(bǔ)丁，更新系統(tǒng)典型病毒RedCode，尼姆達(dá)、沖擊波等⑤蠕蟲病毒分析實例：莫爾斯蠕蟲大事發(fā)生于1988年，當(dāng)時導(dǎo)致大約3000臺機(jī)器癱瘓主要的攻擊方法Rsh，rexec：用戶的缺省認(rèn)證Sendmail的debug模式Fingerd的緩沖區(qū)溢出口令猜測⑤蠕蟲病毒分析實例——RedCode是一種結(jié)合了病毒、木馬、DDOS機(jī)制的蠕蟲2023年7月中旬，在美國等地大規(guī)模集中；2023年8月初，消失變種coderedII，針對中文版windows系統(tǒng)，國內(nèi)大規(guī)模集中特點：通過80端口傳播只存在于網(wǎng)絡(luò)效勞器的內(nèi)存，不通過文件載體利用IIS緩沖區(qū)溢出漏洞〔2023年6月18日公布〕⑤蠕蟲病毒分析實例——RedCodeI主要影響WindowsNT系統(tǒng)和Windows2023主要影響國外網(wǎng)絡(luò)據(jù)CERT統(tǒng)計，感染超過25萬臺主要行為利用IIS的Index效勞的緩沖區(qū)溢出缺陷進(jìn)入系統(tǒng)檢查c:\notworm文件是否存在以推斷是否感染中護(hù)〔是中文windows就不修改主頁〕攻擊白宮?、尢芈逡聊抉R分析特洛伊木馬程序名字來源：古希臘故事通過偽裝成其他程序、有意隱蔽自己惡意行為的程序，通常留下一個遠(yuǎn)程掌握的后門沒有自我復(fù)制的功能非自主傳播用戶主動發(fā)送給其他人放到網(wǎng)站上由用戶下載⑥特洛伊木馬分析特洛伊木馬程序傳播途徑通過網(wǎng)絡(luò)下載、電子郵件防治方法使用具有實時監(jiān)控功能的殺毒軟件不要輕易翻開郵件附件不要輕易運(yùn)行來路不明的文件典型例子BO、BO2k、Subseven、冰河、廣外女生等病毒、蠕蟲與木馬的比較需要不需要需要宿主留下后門，竊取信息侵占資源,造成拒絕服務(wù)破壞數(shù)據(jù)完整性、系統(tǒng)完整性主要危害慢極快快傳播速度依靠用戶主動傳播自主傳播依賴宿主文件或介質(zhì)傳播方式偽裝成其它文件獨(dú)立的文件一般不以文件形式存在表現(xiàn)形式木馬蠕蟲病毒特性計算機(jī)病毒的起源與進(jìn)展計算機(jī)病毒的定義和特征★計算機(jī)病毒的分類計算機(jī)病毒的危害性計算機(jī)病毒分析★其他惡意程序其他惡意程序后門(Backdoor)一種能讓黑客未經(jīng)授權(quán)進(jìn)入和使用本系統(tǒng)的惡意程序僵尸(Bot)一種集后門與蠕蟲一體的惡意程序.通常使用IRC(InternetRelayChat)承受和執(zhí)行黑客命令廣告軟件/間諜軟件①后門具有反偵測力量隱蔽文件,進(jìn)程,網(wǎng)絡(luò)端口和連接,系統(tǒng)設(shè)置,系統(tǒng)效勞可以在惡意程序之中,例如Berbew；也有獨(dú)立軟件,例如HackderDefender為掌握者供給遠(yuǎn)程操作力量②僵尸僵尸生態(tài)系統(tǒng)僵尸僵尸網(wǎng)治理通道看管者從MyDoom.A開頭進(jìn)入鼎盛期翻開后門TCPport3127-3198下載和執(zhí)行程序利用被感染的計算機(jī)散發(fā)電子郵件數(shù)以百萬計的感染計算機(jī)被出賣給了垃圾郵件的制造者②僵尸——僵尸網(wǎng)進(jìn)展趨勢1〕源代碼可在網(wǎng)上免費(fèi)下載2〕治理方式的變化:過去:集中治理一個IRC效勞器治理全部僵尸關(guān)閉效勞器就破壞了僵尸網(wǎng)現(xiàn)在:提升注冊多個IRC效勞器通訊加密(AES-128或更強(qiáng))今后:分布式(P2P)治理比照分析:Napster:集中治理,簡潔被關(guān)閉eDonkey:分布式治理,不簡潔被關(guān)閉③廣告軟件/間諜軟件廣告軟件彈出窗口及橫幅形式向用戶供給廣告效勞通常經(jīng)過用戶授權(quán)間諜軟件未經(jīng)授權(quán)收集用戶信息未經(jīng)授權(quán)上傳用戶信息未經(jīng)授權(quán)轉(zhuǎn)變系統(tǒng)外表及行為③廣告軟件/間諜軟件—