第3章計(jì)算機(jī)病毒

1、1 第3章 計(jì)算機(jī)病毒計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)（第4版）工業(yè)和信息化“十三五”高職高專人才培養(yǎng)規(guī)劃教材第3章 計(jì)算機(jī)病毒人民郵電出版社2 第3章 計(jì)算機(jī)病毒能力CAPACITY要求了解什么是計(jì)算機(jī)病毒及其發(fā)展歷程。理解計(jì)算機(jī)病毒的特征。了解計(jì)算機(jī)病毒的分類。掌握典型計(jì)算機(jī)病毒的基本原理和查殺方法。3 第3章 計(jì)算機(jī)病毒內(nèi)容CONTENTS導(dǎo)航病毒發(fā)展史計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒的特點(diǎn)病毒分類病毒的防護(hù)計(jì)算機(jī)病毒的發(fā)展趨勢(shì)4 第3章 計(jì)算機(jī)病毒一、計(jì)算機(jī)病毒的定義 1994年2月18日，我國(guó)正式頒布實(shí)施了中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，在條例第二十八條中明確指出：“計(jì)算機(jī)病毒，指編制或者在計(jì)

2、算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制 的一組計(jì)算機(jī)指令或者程序代碼 ”。 病毒：Virus5 第3章 計(jì)算機(jī)病毒內(nèi)容CONTENTS導(dǎo)航病毒發(fā)展史計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒的特點(diǎn)病毒分類病毒的防護(hù)計(jì)算機(jī)病毒的發(fā)展趨勢(shì)6 第3章 計(jì)算機(jī)病毒二、計(jì)算機(jī)病毒的發(fā)展史01OPTION02OPTION03OPTION04OPTION計(jì)算機(jī)病毒的產(chǎn)生的思想基礎(chǔ)和病毒發(fā)展簡(jiǎn)介實(shí)驗(yàn)室中產(chǎn)生病毒的祖先（磁芯大戰(zhàn)）計(jì)算機(jī)病毒的出現(xiàn)（1983年）我國(guó)計(jì)算機(jī)病毒的出現(xiàn) （1989年）7 第3章 計(jì)算機(jī)病毒二、計(jì)算機(jī)病毒的發(fā)展史病毒的產(chǎn)生原因（4）出于政治、戰(zhàn)爭(zhēng)的需要（3）出于某種

3、報(bào)復(fù)目的或惡作劇而編寫(xiě)病毒 （1）編制人員出于一種炫耀和顯示自己能力的目的（2）某些軟件作者出于版權(quán)保護(hù)的目的而編制 8 第3章 計(jì)算機(jī)病毒二、計(jì)算機(jī)病毒的發(fā)展史計(jì)算機(jī)病毒的發(fā)展歷程1. DOS引導(dǎo)階段3. 伴隨階段5. 生成器、變體機(jī)階段7. 視窗階段9. 郵件病毒階段8. 宏病毒階段6. 網(wǎng)絡(luò)、蠕蟲(chóng)階段4. 多形階段2. DOS可執(zhí)行階段10. 手持移動(dòng)設(shè)備病毒階段 9 第3章 計(jì)算機(jī)病毒時(shí) 間名 稱事 件1983.11.10 弗里德科恩以測(cè)試計(jì)算機(jī)安全為目的編寫(xiě)首個(gè)計(jì)算機(jī)病毒1986Brain巴基斯坦的兩兄弟為了防止自己辛苦編寫(xiě)的DOS軟件被盜版制作的軟盤引導(dǎo)病毒1987.10黑色星期五

4、病毒第一次大規(guī)模爆發(fā)1988.11蠕蟲(chóng)病毒羅伯特莫里斯寫(xiě)的第一個(gè)蠕蟲(chóng)病毒 1990.14096發(fā)現(xiàn)首例隱蔽型病毒，破壞數(shù)據(jù)1991.4米開(kāi)朗基羅第一個(gè)格式化硬盤的開(kāi)機(jī)型病毒1991GPI首例網(wǎng)絡(luò)病毒，突破了NOVELL公司的 Netware網(wǎng)絡(luò)安全機(jī)制1995VCL（Virus Creation Laboratory）病毒生產(chǎn)工具在美國(guó)傳播1996宏病毒傳播方式增加（郵件等）1998CIH第一個(gè)破壞硬件的病毒，面向Windows的 VxD技術(shù)編制的1999Mellisa、happy99郵件病毒2000紅色代碼黑客型病毒2000.6VBS.Timofonica世界上第一個(gè)手機(jī)病毒2001Nimd

5、a集中了當(dāng)時(shí)所有蠕蟲(chóng)傳播途徑，成為當(dāng)時(shí)破壞性非常大的病毒2002SQL SPIDA.B第一個(gè)攻擊SQL服務(wù)器的病毒二、計(jì)算機(jī)病毒的發(fā)展史典型的計(jì)算機(jī)病毒事件10 第3章 計(jì)算機(jī)病毒二、計(jì)算機(jī)病毒的發(fā)展史典型的計(jì)算機(jī)病毒事件時(shí) 間名 稱事 件2003SQL_slammer利用SQL Server數(shù)據(jù)庫(kù)的漏洞2003.8沖擊波通過(guò)微軟的RPC緩沖區(qū)溢出漏洞進(jìn)行傳播的蠕蟲(chóng)病毒2004.5震蕩波類似于“沖擊波”病毒2005QQMyRun通過(guò)QQ傳播的蠕蟲(chóng)病毒2006熊貓燒香破壞多種文件的蠕蟲(chóng)病毒2007AV終結(jié)者專門破壞殺毒軟件的病毒2008.3磁碟機(jī)病毒近幾年來(lái)發(fā)現(xiàn)的病毒技術(shù)含量最高、破壞性最強(qiáng)的病

6、毒，其破壞能力、自我保護(hù)和反殺毒軟件能力均10倍于“熊貓燒香”2009機(jī)器狗該病毒變種繁多，多表現(xiàn)為殺毒軟件無(wú)法正常運(yùn)行2010廣告木馬2010年通過(guò)篡改網(wǎng)頁(yè)的廣告木馬最流行2011鬼影病毒特點(diǎn)基本為改寫(xiě)硬盤主引導(dǎo)記錄（MBR）釋放驅(qū)動(dòng)程序替換系統(tǒng)文件，干擾或阻止殺毒軟件運(yùn)行，惡意修改主頁(yè)，下載多種盜號(hào)木馬2012鬼影病毒變種出現(xiàn)數(shù)個(gè)變種，包括鬼影5、鬼影6、鬼影6變種等2014蘋(píng)果大盜病毒該病毒爆發(fā)在“越獄”的apple手機(jī)上，目的盜取Apple ID和密碼2015Xcode ghost病毒感染Apple手機(jī)，主要通過(guò)非官方下載的Xcode傳播，使編譯出的App被注入第三方的代碼，向指定網(wǎng)站

7、上傳用戶數(shù)據(jù)11 第3章 計(jì)算機(jī)病毒二、計(jì)算機(jī)病毒的發(fā)展史計(jì)算機(jī)病毒的危害1、計(jì)算機(jī)病毒造成巨大的社會(huì)經(jīng)濟(jì)損失2、影響政府職能部門正常工作的開(kāi)展3、計(jì)算機(jī)病毒被賦予越來(lái)越多的政治意義4、利用計(jì)算機(jī)病毒犯罪現(xiàn)象越來(lái)越嚴(yán)重12 第3章 計(jì)算機(jī)病毒內(nèi)容CONTENTS導(dǎo)航病毒發(fā)展史計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒的特點(diǎn)病毒分類病毒的防護(hù)計(jì)算機(jī)病毒的發(fā)展趨勢(shì)13 第3章 計(jì)算機(jī)病毒三、計(jì)算機(jī)病毒的特點(diǎn)計(jì)算機(jī)病毒的特點(diǎn)傳染性破壞性潛伏性和可觸發(fā)性非授權(quán)性隱藏性不可預(yù)見(jiàn)性14 第3章 計(jì)算機(jī)病毒內(nèi)容CONTENTS導(dǎo)航病毒發(fā)展史計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒的特點(diǎn)病毒分類病毒的防護(hù)計(jì)算機(jī)病毒的發(fā)展趨勢(shì)15 第3章

8、計(jì)算機(jī)病毒四、病毒分類依據(jù)不同的分類標(biāo)準(zhǔn)，計(jì)算機(jī)病毒可以做不同的歸類。常見(jiàn)的分類標(biāo)準(zhǔn)有：根據(jù)病毒的傳染途徑0303根據(jù)病毒依附的操作系統(tǒng)0101根據(jù)病毒的傳播媒介020216 第3章 計(jì)算機(jī)病毒四、病毒分類病毒依附的操作系統(tǒng)DOS01Microsoft Windows02嵌入式系統(tǒng)（工業(yè)系統(tǒng)、手機(jī)操作系統(tǒng)）04Unix / Linux0317 第3章 計(jì)算機(jī)病毒四、病毒分類病毒的傳播媒介存儲(chǔ)介質(zhì)網(wǎng)絡(luò)1、網(wǎng)絡(luò)下載2、網(wǎng)頁(yè)掛馬3、局域網(wǎng)(Funlove)4、遠(yuǎn)程攻擊(Blaster)5、郵件(SoBig)18 第3章 計(jì)算機(jī)病毒四、病毒分類病毒的傳播媒介上網(wǎng)計(jì)算機(jī)光盤、軟盤網(wǎng)絡(luò)U盤、移動(dòng)硬盤等移動(dòng)

9、存儲(chǔ)設(shè)備其他途徑Web瀏覽器下載軟件即時(shí)通信軟件其他網(wǎng)絡(luò)軟件IE火狐傲游Opera迅雷快車BT下載電驢QQMSN淘寶旺旺新浪UC電子郵件網(wǎng)上銀行網(wǎng)絡(luò)游戲其他19 第3章 計(jì)算機(jī)病毒四、病毒分類病毒的傳播和感染對(duì)象感染引導(dǎo)區(qū)感染文件可執(zhí)行文件OFFICE宏網(wǎng)頁(yè)腳本（ Java小程序和ActiveX控件）其他惡意程序破壞程序網(wǎng)絡(luò)木馬網(wǎng)絡(luò)蠕蟲(chóng)20 第3章 計(jì)算機(jī)病毒內(nèi)容CONTENTS導(dǎo)航病毒發(fā)展史計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒的特點(diǎn)病毒分類病毒的防護(hù)計(jì)算機(jī)病毒的發(fā)展趨勢(shì)21 第3章 計(jì)算機(jī)病毒CIH病毒五、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)病毒演示22 第3章 計(jì)算機(jī)病毒五、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)病毒演示彩帶病毒23

10、 第3章 計(jì)算機(jī)病毒五、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)病毒演示女鬼病毒24 第3章 計(jì)算機(jī)病毒五、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)病毒演示千年老妖病毒演示圣誕節(jié)病毒25 第3章 計(jì)算機(jī)病毒五、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)病毒演示白雪公主巨大的黑白螺旋占據(jù)了屏幕位置，使計(jì)算機(jī)使用者無(wú)法進(jìn)行任何操作！26 第3章 計(jì)算機(jī)病毒五、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)病毒演示紅色代碼1() 27 第3章 計(jì)算機(jī)病毒五、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)病毒發(fā)作現(xiàn)象28 第3章 計(jì)算機(jī)病毒五、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)計(jì)算機(jī)病毒程序一般構(gòu)成計(jì)算機(jī)病毒程序通常由三個(gè)單元和一個(gè)標(biāo)志構(gòu)成：引導(dǎo)模塊、感染模塊、破壞

11、表現(xiàn)模塊和感染標(biāo)志。感染模塊感染標(biāo)志破壞模塊引導(dǎo)模塊29 第3章 計(jì)算機(jī)病毒五、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)計(jì)算機(jī)病毒引起的異常情況123456異常情況計(jì)算機(jī)系統(tǒng)運(yùn)行速度明顯降低系統(tǒng)容易死機(jī)文件改變、破壞磁盤空間迅速減少內(nèi)存不足系統(tǒng)異常頻繁重啟動(dòng)7頻繁產(chǎn)生錯(cuò)誤信息30 第3章 計(jì)算機(jī)病毒五、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)網(wǎng)絡(luò)化病毒的特點(diǎn)123456網(wǎng)絡(luò)化：傳播速度快、爆發(fā)速度快、面廣隱蔽化：具有欺騙性（加密）多平臺(tái)、多種語(yǔ)言新方式：與黑客、特洛伊木馬相結(jié)合多途徑攻擊反病毒軟件7變化快（變種）8清除難度大 9破壞性強(qiáng) 31 第3章 計(jì)算機(jī)病毒五、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)通過(guò)網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些共性,如

12、傳播性,隱蔽性,破壞性等等,同時(shí)具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中）,對(duì)網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。蠕蟲(chóng)病毒蠕蟲(chóng)病毒與其他病毒的區(qū)別普通病毒蠕蟲(chóng)病毒存在形式 寄存文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動(dòng)攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)32 第3章 計(jì)算機(jī)病毒五、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)蠕蟲(chóng)病毒的特點(diǎn)傳染方式多傳播速度快清除難度大破壞性強(qiáng)33 第3章 計(jì)算機(jī)病毒五、計(jì)算機(jī)病毒的發(fā)展趨勢(shì)實(shí)例：2003蠕蟲(chóng)王34 第3章 計(jì)算機(jī)病毒內(nèi)容CONTENTS導(dǎo)航病毒發(fā)展史計(jì)算機(jī)病毒的定義計(jì)算機(jī)病毒的特點(diǎn)病毒分類病毒的防護(hù)計(jì)算機(jī)病毒的發(fā)展趨勢(shì)35 第3章 計(jì)算機(jī)病毒六、病毒的防護(hù)

13、反病毒技術(shù)簡(jiǎn)述計(jì)算機(jī)病毒診斷技術(shù)啟發(fā)式掃描特征代碼法校驗(yàn)和法行為監(jiān)測(cè)法軟件模擬法01OPTION02OPTION03OPTION04OPTION36 第3章 計(jì)算機(jī)病毒六、病毒的防護(hù)1、采集已知病毒樣本 2、打開(kāi)被檢測(cè)文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫(kù)中的病毒特征代碼（唯一性）。 特征代碼法優(yōu)點(diǎn)： 檢測(cè)準(zhǔn)確快速、可識(shí)別病毒的名稱、誤報(bào)警率低、依據(jù)檢測(cè)結(jié)果，可做殺毒處理。 缺點(diǎn)： 不能檢測(cè)未知病毒、搜集已知病毒的特征代碼，費(fèi)用開(kāi)銷大、在網(wǎng)絡(luò)上效率低（在網(wǎng)絡(luò)服務(wù)器上，因長(zhǎng)時(shí)間檢索會(huì)使整個(gè)網(wǎng)絡(luò)性能變壞）。 l文件特征代碼l內(nèi)存特征代碼37 第3章 計(jì)算機(jī)病毒六、病毒的防護(hù)l將正常文件的

14、內(nèi)容，計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫(xiě)入文件中或?qū)懭雱e的文件中保存。 針對(duì)多態(tài)病毒l特點(diǎn)： 能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒，但是，它不能識(shí)別病毒類型和名稱。誤報(bào)率高 校驗(yàn)和法38 第3章 計(jì)算機(jī)病毒六、病毒的防護(hù)l利用病毒的特有行為特征性來(lái)監(jiān)測(cè)病毒的方法l行為特征如下： A、占有內(nèi)存特殊位置 B、改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量 C、對(duì)COM、EXE文件做寫(xiě)入動(dòng)作 D、病毒程序與宿主程序的切換 l特點(diǎn)：可發(fā)現(xiàn)未知病毒、可相當(dāng)準(zhǔn)確地預(yù)報(bào)未知的多數(shù)病毒 可能誤報(bào)警、不能識(shí)別病毒名稱、實(shí)現(xiàn)時(shí)有一定難度 行為監(jiān)測(cè)法 39 第3章 計(jì)算機(jī)病毒六、病毒的防護(hù)l為了檢測(cè)多態(tài)性病毒，可應(yīng)用軟件模擬法。它是一種軟件分

15、析器，用軟件方法來(lái)模擬和分析程序的運(yùn)行。l沙盤（沙盒）-Sandboxie 軟件模擬法l殺毒軟件是采取多種技術(shù)的結(jié)合：特征碼、啟發(fā)式、主動(dòng)防御等。l下面以瑞星產(chǎn)品為例講解主動(dòng)防御技術(shù)殺毒軟件40 第3章 計(jì)算機(jī)病毒六、病毒的防護(hù)主動(dòng)防御是一種阻止惡意程序執(zhí)行的技術(shù)。可以在病毒發(fā)作時(shí)進(jìn)行主動(dòng)而有效的全面防范，從技術(shù)層面上有效應(yīng)對(duì)未知病毒的肆虐。殺毒軟件主動(dòng)防御（瑞星 ）殺毒軟件中的“主動(dòng)防御功能 41 第3章 計(jì)算機(jī)病毒六、病毒的防護(hù)病毒的預(yù)防措施安裝防病毒軟件定期升級(jí)防病毒軟件不隨便打開(kāi)不明來(lái)源 的郵件附件盡量減少其他人使用你的計(jì)算機(jī)及時(shí)打系統(tǒng)補(bǔ)丁綜合各種防病毒技術(shù)定期備份文件建立系統(tǒng)恢復(fù)盤從外面獲取數(shù)據(jù)先檢察42 第3章 計(jì)