第3章計算機病毒

1、1 第3章 計算機病毒計算機網(wǎng)絡(luò)安全技術(shù)（第4版）工業(yè)和信息化“十三五”高職高專人才培養(yǎng)規(guī)劃教材第3章 計算機病毒人民郵電出版社2 第3章 計算機病毒能力CAPACITY要求了解什么是計算機病毒及其發(fā)展歷程。理解計算機病毒的特征。了解計算機病毒的分類。掌握典型計算機病毒的基本原理和查殺方法。3 第3章 計算機病毒內(nèi)容CONTENTS導航病毒發(fā)展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發(fā)展趨勢4 第3章 計算機病毒一、計算機病毒的定義 1994年2月18日，我國正式頒布實施了中華人民共和國計算機信息系統(tǒng)安全保護條例，在條例第二十八條中明確指出：“計算機病毒，指編制或者在計

2、算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制 的一組計算機指令或者程序代碼 ”。 病毒：Virus5 第3章 計算機病毒內(nèi)容CONTENTS導航病毒發(fā)展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發(fā)展趨勢6 第3章 計算機病毒二、計算機病毒的發(fā)展史01OPTION02OPTION03OPTION04OPTION計算機病毒的產(chǎn)生的思想基礎(chǔ)和病毒發(fā)展簡介實驗室中產(chǎn)生病毒的祖先（磁芯大戰(zhàn)）計算機病毒的出現(xiàn)（1983年）我國計算機病毒的出現(xiàn) （1989年）7 第3章 計算機病毒二、計算機病毒的發(fā)展史病毒的產(chǎn)生原因（4）出于政治、戰(zhàn)爭的需要（3）出于某種

3、報復(fù)目的或惡作劇而編寫病毒 （1）編制人員出于一種炫耀和顯示自己能力的目的（2）某些軟件作者出于版權(quán)保護的目的而編制 8 第3章 計算機病毒二、計算機病毒的發(fā)展史計算機病毒的發(fā)展歷程1. DOS引導階段3. 伴隨階段5. 生成器、變體機階段7. 視窗階段9. 郵件病毒階段8. 宏病毒階段6. 網(wǎng)絡(luò)、蠕蟲階段4. 多形階段2. DOS可執(zhí)行階段10. 手持移動設(shè)備病毒階段 9 第3章 計算機病毒時 間名 稱事 件1983.11.10 弗里德科恩以測試計算機安全為目的編寫首個計算機病毒1986Brain巴基斯坦的兩兄弟為了防止自己辛苦編寫的DOS軟件被盜版制作的軟盤引導病毒1987.10黑色星期五

4、病毒第一次大規(guī)模爆發(fā)1988.11蠕蟲病毒羅伯特莫里斯寫的第一個蠕蟲病毒 1990.14096發(fā)現(xiàn)首例隱蔽型病毒，破壞數(shù)據(jù)1991.4米開朗基羅第一個格式化硬盤的開機型病毒1991GPI首例網(wǎng)絡(luò)病毒，突破了NOVELL公司的 Netware網(wǎng)絡(luò)安全機制1995VCL（Virus Creation Laboratory）病毒生產(chǎn)工具在美國傳播1996宏病毒傳播方式增加（郵件等）1998CIH第一個破壞硬件的病毒，面向Windows的 VxD技術(shù)編制的1999Mellisa、happy99郵件病毒2000紅色代碼黑客型病毒2000.6VBS.Timofonica世界上第一個手機病毒2001Nimd

5、a集中了當時所有蠕蟲傳播途徑，成為當時破壞性非常大的病毒2002SQL SPIDA.B第一個攻擊SQL服務(wù)器的病毒二、計算機病毒的發(fā)展史典型的計算機病毒事件10 第3章 計算機病毒二、計算機病毒的發(fā)展史典型的計算機病毒事件時 間名 稱事 件2003SQL_slammer利用SQL Server數(shù)據(jù)庫的漏洞2003.8沖擊波通過微軟的RPC緩沖區(qū)溢出漏洞進行傳播的蠕蟲病毒2004.5震蕩波類似于“沖擊波”病毒2005QQMyRun通過QQ傳播的蠕蟲病毒2006熊貓燒香破壞多種文件的蠕蟲病毒2007AV終結(jié)者專門破壞殺毒軟件的病毒2008.3磁碟機病毒近幾年來發(fā)現(xiàn)的病毒技術(shù)含量最高、破壞性最強的病

6、毒，其破壞能力、自我保護和反殺毒軟件能力均10倍于“熊貓燒香”2009機器狗該病毒變種繁多，多表現(xiàn)為殺毒軟件無法正常運行2010廣告木馬2010年通過篡改網(wǎng)頁的廣告木馬最流行2011鬼影病毒特點基本為改寫硬盤主引導記錄（MBR）釋放驅(qū)動程序替換系統(tǒng)文件，干擾或阻止殺毒軟件運行，惡意修改主頁，下載多種盜號木馬2012鬼影病毒變種出現(xiàn)數(shù)個變種，包括鬼影5、鬼影6、鬼影6變種等2014蘋果大盜病毒該病毒爆發(fā)在“越獄”的apple手機上，目的盜取Apple ID和密碼2015Xcode ghost病毒感染Apple手機，主要通過非官方下載的Xcode傳播，使編譯出的App被注入第三方的代碼，向指定網(wǎng)站

7、上傳用戶數(shù)據(jù)11 第3章 計算機病毒二、計算機病毒的發(fā)展史計算機病毒的危害1、計算機病毒造成巨大的社會經(jīng)濟損失2、影響政府職能部門正常工作的開展3、計算機病毒被賦予越來越多的政治意義4、利用計算機病毒犯罪現(xiàn)象越來越嚴重12 第3章 計算機病毒內(nèi)容CONTENTS導航病毒發(fā)展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發(fā)展趨勢13 第3章 計算機病毒三、計算機病毒的特點計算機病毒的特點傳染性破壞性潛伏性和可觸發(fā)性非授權(quán)性隱藏性不可預(yù)見性14 第3章 計算機病毒內(nèi)容CONTENTS導航病毒發(fā)展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發(fā)展趨勢15 第3章

8、計算機病毒四、病毒分類依據(jù)不同的分類標準，計算機病毒可以做不同的歸類。常見的分類標準有：根據(jù)病毒的傳染途徑0303根據(jù)病毒依附的操作系統(tǒng)0101根據(jù)病毒的傳播媒介020216 第3章 計算機病毒四、病毒分類病毒依附的操作系統(tǒng)DOS01Microsoft Windows02嵌入式系統(tǒng)（工業(yè)系統(tǒng)、手機操作系統(tǒng)）04Unix / Linux0317 第3章 計算機病毒四、病毒分類病毒的傳播媒介存儲介質(zhì)網(wǎng)絡(luò)1、網(wǎng)絡(luò)下載2、網(wǎng)頁掛馬3、局域網(wǎng)(Funlove)4、遠程攻擊(Blaster)5、郵件(SoBig)18 第3章 計算機病毒四、病毒分類病毒的傳播媒介上網(wǎng)計算機光盤、軟盤網(wǎng)絡(luò)U盤、移動硬盤等移動

9、存儲設(shè)備其他途徑Web瀏覽器下載軟件即時通信軟件其他網(wǎng)絡(luò)軟件IE火狐傲游Opera迅雷快車BT下載電驢QQMSN淘寶旺旺新浪UC電子郵件網(wǎng)上銀行網(wǎng)絡(luò)游戲其他19 第3章 計算機病毒四、病毒分類病毒的傳播和感染對象感染引導區(qū)感染文件可執(zhí)行文件OFFICE宏網(wǎng)頁腳本（ Java小程序和ActiveX控件）其他惡意程序破壞程序網(wǎng)絡(luò)木馬網(wǎng)絡(luò)蠕蟲20 第3章 計算機病毒內(nèi)容CONTENTS導航病毒發(fā)展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發(fā)展趨勢21 第3章 計算機病毒CIH病毒五、計算機病毒的發(fā)展趨勢病毒演示22 第3章 計算機病毒五、計算機病毒的發(fā)展趨勢病毒演示彩帶病毒23

10、 第3章 計算機病毒五、計算機病毒的發(fā)展趨勢病毒演示女鬼病毒24 第3章 計算機病毒五、計算機病毒的發(fā)展趨勢病毒演示千年老妖病毒演示圣誕節(jié)病毒25 第3章 計算機病毒五、計算機病毒的發(fā)展趨勢病毒演示白雪公主巨大的黑白螺旋占據(jù)了屏幕位置，使計算機使用者無法進行任何操作！26 第3章 計算機病毒五、計算機病毒的發(fā)展趨勢病毒演示紅色代碼1() 27 第3章 計算機病毒五、計算機病毒的發(fā)展趨勢病毒發(fā)作現(xiàn)象28 第3章 計算機病毒五、計算機病毒的發(fā)展趨勢計算機病毒程序一般構(gòu)成計算機病毒程序通常由三個單元和一個標志構(gòu)成：引導模塊、感染模塊、破壞

11、表現(xiàn)模塊和感染標志。感染模塊感染標志破壞模塊引導模塊29 第3章 計算機病毒五、計算機病毒的發(fā)展趨勢計算機病毒引起的異常情況123456異常情況計算機系統(tǒng)運行速度明顯降低系統(tǒng)容易死機文件改變、破壞磁盤空間迅速減少內(nèi)存不足系統(tǒng)異常頻繁重啟動7頻繁產(chǎn)生錯誤信息30 第3章 計算機病毒五、計算機病毒的發(fā)展趨勢網(wǎng)絡(luò)化病毒的特點123456網(wǎng)絡(luò)化：傳播速度快、爆發(fā)速度快、面廣隱蔽化：具有欺騙性（加密）多平臺、多種語言新方式：與黑客、特洛伊木馬相結(jié)合多途徑攻擊反病毒軟件7變化快（變種）8清除難度大 9破壞性強 31 第3章 計算機病毒五、計算機病毒的發(fā)展趨勢通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些共性,如

12、傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中）,對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。蠕蟲病毒蠕蟲病毒與其他病毒的區(qū)別普通病毒蠕蟲病毒存在形式 寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網(wǎng)絡(luò)計算機32 第3章 計算機病毒五、計算機病毒的發(fā)展趨勢蠕蟲病毒的特點傳染方式多傳播速度快清除難度大破壞性強33 第3章 計算機病毒五、計算機病毒的發(fā)展趨勢實例：2003蠕蟲王34 第3章 計算機病毒內(nèi)容CONTENTS導航病毒發(fā)展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發(fā)展趨勢35 第3章 計算機病毒六、病毒的防護

13、反病毒技術(shù)簡述計算機病毒診斷技術(shù)啟發(fā)式掃描特征代碼法校驗和法行為監(jiān)測法軟件模擬法01OPTION02OPTION03OPTION04OPTION36 第3章 計算機病毒六、病毒的防護1、采集已知病毒樣本 2、打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼（唯一性）。 特征代碼法優(yōu)點： 檢測準確快速、可識別病毒的名稱、誤報警率低、依據(jù)檢測結(jié)果，可做殺毒處理。 缺點： 不能檢測未知病毒、搜集已知病毒的特征代碼，費用開銷大、在網(wǎng)絡(luò)上效率低（在網(wǎng)絡(luò)服務(wù)器上，因長時間檢索會使整個網(wǎng)絡(luò)性能變壞）。 l文件特征代碼l內(nèi)存特征代碼37 第3章 計算機病毒六、病毒的防護l將正常文件的

14、內(nèi)容，計算其校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。 針對多態(tài)病毒l特點： 能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒，但是，它不能識別病毒類型和名稱。誤報率高 校驗和法38 第3章 計算機病毒六、病毒的防護l利用病毒的特有行為特征性來監(jiān)測病毒的方法l行為特征如下： A、占有內(nèi)存特殊位置 B、改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量 C、對COM、EXE文件做寫入動作 D、病毒程序與宿主程序的切換 l特點：可發(fā)現(xiàn)未知病毒、可相當準確地預(yù)報未知的多數(shù)病毒 可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度 行為監(jiān)測法 39 第3章 計算機病毒六、病毒的防護l為了檢測多態(tài)性病毒，可應(yīng)用軟件模擬法。它是一種軟件分

15、析器，用軟件方法來模擬和分析程序的運行。l沙盤（沙盒）-Sandboxie 軟件模擬法l殺毒軟件是采取多種技術(shù)的結(jié)合：特征碼、啟發(fā)式、主動防御等。l下面以瑞星產(chǎn)品為例講解主動防御技術(shù)殺毒軟件40 第3章 計算機病毒六、病毒的防護主動防御是一種阻止惡意程序執(zhí)行的技術(shù)?？梢栽诓《景l(fā)作時進行主動而有效的全面防范，從技術(shù)層面上有效應(yīng)對未知病毒的肆虐。殺毒軟件主動防御（瑞星 ）殺毒軟件中的“主動防御功能 41 第3章 計算機病毒六、病毒的防護病毒的預(yù)防措施安裝防病毒軟件定期升級防病毒軟件不隨便打開不明來源 的郵件附件盡量減少其他人使用你的計算機及時打系統(tǒng)補丁綜合各種防病毒技術(shù)定期備份文件建立系統(tǒng)恢復(fù)盤從外面獲取數(shù)據(jù)先檢察42 第3章 計