病毒的概述精品課件

1、病毒的概述第1頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.1 計(jì)算機(jī)病毒概述4.1.1 計(jì)算機(jī)病毒的起源計(jì)算機(jī)病毒的產(chǎn)生是一個(gè)歷史問題，是計(jì)算機(jī)科學(xué)技術(shù)高度發(fā)展與計(jì)算機(jī)文明遲遲得不到完善這樣一種不平衡發(fā)展的結(jié)果，它充分暴露了計(jì)算機(jī)信息系統(tǒng)本身的脆弱性和安全管理方面存在的問題。如何防范計(jì)算機(jī)病毒的侵襲已成為國際上亟待解決的重大課題。第2頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.1 計(jì)算機(jī)病毒概述4.1.2 計(jì)算機(jī)病毒的定義在中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例中明確定義，計(jì)算機(jī)病毒指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且

2、能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。計(jì)算機(jī)病毒具有非法性、隱藏性、潛伏性、可觸發(fā)性、破壞性、傳染性等特性。第3頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.1.3 計(jì)算機(jī)病毒的分類（1）按照計(jì)算機(jī)病毒攻擊的系統(tǒng)分類。 攻擊DOS系統(tǒng)的病毒這類病毒出現(xiàn)最早、數(shù)量最多，變種也最多。 攻擊Windows系統(tǒng)的病毒由于Windows系統(tǒng)是多用戶、多任務(wù)的圖形界面操作系統(tǒng)，深受用戶的歡迎， Windows系統(tǒng)正逐漸成為病毒攻擊的主要對(duì)象。 攻擊UNIX系統(tǒng)的病毒當(dāng)前，UNIX系統(tǒng)應(yīng)用非常廣泛，并且許多大型的網(wǎng)絡(luò)設(shè)備均采用 UNIX作為其主要的操作系統(tǒng)，所以UNIX病毒的出現(xiàn)，對(duì)人類

3、的信息安全是一個(gè)嚴(yán)重的威脅。第4頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.1.3 計(jì)算機(jī)病毒的分類（2）按照計(jì)算機(jī)病毒的鏈接方式分類。 源碼型病毒該病毒攻擊高級(jí)語言編寫的程序，該病毒在高級(jí)語言所編寫的程序編譯前插入到源程序中，經(jīng)編譯成為合法程序的一部分。 嵌入型病毒這種病毒是將自身嵌入到現(xiàn)有程序中，把計(jì)算機(jī)病毒的主體程序與其攻擊的對(duì)象以插入的方式鏈接。這種計(jì)算機(jī)病毒是難以編寫的，一旦侵入程序體后也較難消除。 外殼型病毒將其自身包圍在主程序的四周，對(duì)原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般測試文件的大小即可知道。 操作系統(tǒng)型病毒這種病毒用它自己的程序意圖

4、加入或取代部分操作系統(tǒng)的程序模塊進(jìn)行工作，具有很強(qiáng)的破壞力，可以導(dǎo)致整個(gè)系統(tǒng)的癱瘓。圓點(diǎn)病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。第5頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.1.3 計(jì)算機(jī)病毒的分類（3）按照計(jì)算機(jī)病毒的破壞情況分類。 良性計(jì)算機(jī)病毒這類病毒為了表現(xiàn)其存在，只是不停地進(jìn)行擴(kuò)散，從一臺(tái)計(jì)算機(jī)傳染到另一臺(tái)，并不破壞計(jì)算機(jī)內(nèi)的數(shù)據(jù)。它一般會(huì)導(dǎo)致整個(gè)系統(tǒng)運(yùn)行效率降低，給正常操作帶來麻煩。 惡性計(jì)算機(jī)病毒指在其代碼中包含有損傷和破壞計(jì)算機(jī)系統(tǒng)的操作，在其傳染或發(fā)作時(shí)會(huì)對(duì)系統(tǒng)產(chǎn)生直接的破壞作用。第6頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.1.3 計(jì)算機(jī)

5、病毒的分類（4）根據(jù)計(jì)算機(jī)病毒傳染方式進(jìn)行分類 磁盤引導(dǎo)區(qū)傳染的計(jì)算機(jī)病毒磁盤引導(dǎo)區(qū)傳染的病毒主要是用病毒的全部或部分邏輯取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在磁盤的其他地方。例如，“大麻”和“小球”病毒就是這類病毒。 操作系統(tǒng)傳染的計(jì)算機(jī)病毒這類病毒作為操作系統(tǒng)的一部分，只要計(jì)算機(jī)開始工作，病毒就處在隨時(shí)被觸發(fā)的狀態(tài)。 “黑色星期五”即為此類病毒。 可執(zhí)行程序傳染的計(jì)算機(jī)病毒可執(zhí)行程序傳染的病毒通常寄生在可執(zhí)行程序中，一旦程序被執(zhí)行，病毒就會(huì)被激活。第7頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.1.3 計(jì)算機(jī)病毒的分類（5）按照計(jì)算機(jī)病毒激活的時(shí)間分類。 定時(shí)型病毒定

6、時(shí)病毒是在某一特定時(shí)間發(fā)作的病毒，它是以時(shí)間為發(fā)作的觸發(fā)條件，如果時(shí)間不滿足，此類病毒將不會(huì)進(jìn)行破壞活動(dòng)。 隨機(jī)型病毒與定時(shí)型病毒不同的是隨機(jī)型病毒，此類病毒不是通過時(shí)鐘進(jìn)行觸發(fā)的。第8頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.1.3 計(jì)算機(jī)病毒的分類（6）按照傳播媒介分類。 單機(jī)病毒單機(jī)病毒的載體是磁盤，常見的是病毒從軟盤傳入硬盤，感染系統(tǒng)，然后再傳染給其他軟盤，軟盤又傳染給其他系統(tǒng)。 網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒的傳播媒介不再是移動(dòng)式載體，而是網(wǎng)絡(luò)通道，這種病毒的傳染能力更強(qiáng)，破壞力更大。第9頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.1.4 計(jì)算機(jī)病毒的結(jié)構(gòu)圖4.1

7、 計(jì)算機(jī)病毒的程序結(jié)構(gòu)圖1計(jì)算機(jī)病毒的程序結(jié)構(gòu)引導(dǎo)模塊的作用：將病毒加載到內(nèi)存，使病毒程序處于活動(dòng)狀態(tài)。傳染模塊的作用：將病毒代碼復(fù)制到其它傳染目標(biāo)上去。破壞模塊的作用：對(duì)觸發(fā)條件進(jìn)行判斷，滿足時(shí)就實(shí)行破壞表現(xiàn)功能。第10頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五2計(jì)算機(jī)病毒的存儲(chǔ)結(jié)構(gòu)（1）病毒的磁盤存儲(chǔ)結(jié)構(gòu) 系統(tǒng)型病毒是指專門傳染操作系統(tǒng)的啟動(dòng)扇區(qū)，主要是硬盤主引導(dǎo)區(qū)和DOS引導(dǎo)扇區(qū)的病毒。 文件型病毒是指感染系統(tǒng)中可執(zhí)行文件或者依賴于可執(zhí)行文件發(fā)作的病毒。（2）病毒的內(nèi)存駐留結(jié)構(gòu) 駐留在常規(guī)內(nèi)存中 駐留在高端內(nèi)存中 不用駐留內(nèi)存第11頁，共51頁，2022年，5月20日，8點(diǎn)

8、41分，星期五4.2 計(jì)算機(jī)病毒的危害在計(jì)算機(jī)病毒出現(xiàn)的初期，說到計(jì)算機(jī)病毒的危害，往往注重于病毒對(duì)信息系統(tǒng)的直接破壞作用，比如格式化硬盤、刪除文件數(shù)據(jù)等，并以此來區(qū)分惡性病毒和良性病毒。其實(shí)這些只是病毒劣跡的一部分，隨著計(jì)算機(jī)應(yīng)用的發(fā)展，人們深刻地認(rèn)識(shí)到凡是病毒都可能對(duì)計(jì)算機(jī)信息系統(tǒng)造成嚴(yán)重的破壞。 計(jì)算機(jī)病毒的主要危害有：1病毒激發(fā)對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用 2占用磁盤空間和對(duì)信息的破壞 3搶占系統(tǒng)資源 4影響計(jì)算機(jī)運(yùn)行速度 5計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害 6計(jì)算機(jī)病毒的兼容性對(duì)系統(tǒng)運(yùn)行的影響 7計(jì)算機(jī)病毒給用戶造成嚴(yán)重的心理壓力 第12頁，共51頁，2022年，5月20日，8點(diǎn)41

9、分，星期五4.2.1 計(jì)算機(jī)病毒的表現(xiàn) 計(jì)算機(jī)運(yùn)行速度的變化主要現(xiàn)象包括：計(jì)算機(jī)的反應(yīng)速度比平時(shí)遲鈍很多；應(yīng)用程序的載入比平時(shí)要多花費(fèi)很長的時(shí)間。 計(jì)算機(jī)磁盤的變化主要現(xiàn)象包括：對(duì)一個(gè)簡單的磁盤存儲(chǔ)操作比預(yù)期時(shí)間長很多；當(dāng)沒有存取數(shù)據(jù)時(shí)，硬盤指示燈無緣無故地亮了；磁盤的可用空間大量地減少；磁盤或者磁盤驅(qū)動(dòng)器不能訪問。 計(jì)算機(jī)內(nèi)存的變化主要現(xiàn)象包括：系統(tǒng)內(nèi)存的容量突然間大量地減少；內(nèi)存中出現(xiàn)了不明的常駐程序。 計(jì)算機(jī)文件系統(tǒng)的變化主要現(xiàn)象包括：可執(zhí)行程序的大小被改變了；重要的文件奇怪地消失；文件被加入了一些奇怪的內(nèi)容；文件的名稱、日期、擴(kuò)展名等屬性被更改；系統(tǒng)出現(xiàn)一些特殊的文件；驅(qū)動(dòng)程序被修改導(dǎo)

10、致很多外部設(shè)備無法正常工作。 異常的提示信息和現(xiàn)象主要現(xiàn)象包括：出現(xiàn)不尋常的錯(cuò)誤提示信息；計(jì)算機(jī)經(jīng)常死機(jī)或者重新啟動(dòng)；啟動(dòng)應(yīng)用程序時(shí)出現(xiàn)錯(cuò)誤提示信息對(duì)話框。第13頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五計(jì)算機(jī)病毒的檢測與防范資源管理器文件夾選項(xiàng)設(shè)置文件瀏覽方式任務(wù)管理器進(jìn)程選項(xiàng)卡性能選項(xiàng)卡第14頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.2.2 計(jì)算機(jī)故障與病毒特征區(qū)別 計(jì)算機(jī)硬件的配置 硬件的正常使用 CMOS的設(shè)置 丟失文件 文件版本不匹配 資源耗盡 非法操作第15頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.2.3 常見的計(jì)算機(jī)病毒1早期的D

11、OS病毒2引導(dǎo)型病毒3文件型病毒4蠕蟲病毒5木馬病毒第16頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.3 計(jì)算機(jī)病毒的檢測與防范4.3.1 文件型病毒對(duì)文件型病毒的防范，一般采用以下一些方法。 安裝最新版本、有實(shí)時(shí)監(jiān)控文件系統(tǒng)功能的防病毒軟件。 及時(shí)更新病毒引擎，一般每月至少更新一次，最好每周更新一次，并在有病毒突發(fā)事件時(shí)立即更新。 經(jīng)常使用防毒軟件對(duì)系統(tǒng)進(jìn)行病毒檢查。 對(duì)關(guān)鍵文件，如系統(tǒng)文件、重要數(shù)據(jù)等，在無毒環(huán)境下經(jīng)常備份。常見的殺毒軟件：諾頓、江民、瑞星、金山、卡巴斯基、PC-Cillin、McAfee 、Virus驅(qū)逐艦等第17頁，共51頁，2022年，5月20日，8點(diǎn)

12、41分，星期五4.3.2 引導(dǎo)型病毒對(duì)引導(dǎo)型病毒的防范，一般采取如下措施。 盡量避免使用軟盤等移動(dòng)設(shè)備保存和傳遞資料，如果需要使用，則應(yīng)該先對(duì)軟盤中的文件進(jìn)行病毒的查殺。 軟盤用完后應(yīng)該從軟驅(qū)中取出。 避免在軟驅(qū)中存有軟盤的情況下開機(jī)或者啟動(dòng)操作系統(tǒng)。第18頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.3.3 宏病毒對(duì)宏病毒進(jìn)行防范可以采取如下幾項(xiàng)措施。 提高宏的安全級(jí)別。目前的高版本的Word軟件可以設(shè)置宏的安全級(jí)別，在不影響正常使用的情況下，應(yīng)該選擇較高的安全級(jí)別，如圖4.20所示。圖4.20 宏的安全性選項(xiàng)第19頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.3

13、.3 宏病毒 刪除不知來路的宏定義。 將Normal.dot模板進(jìn)行備份，當(dāng)被病毒感染后，使用備份模板進(jìn)行覆蓋。 如果懷疑外來文件含有宏病毒，可以使用寫字板打開該文件，然后將文本粘貼到Word中，轉(zhuǎn)換后的文檔是不會(huì)含有宏的。第20頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.3.4 蠕蟲病毒針對(duì)蠕蟲病毒，可以采用以下的一些防范措施。 用戶在網(wǎng)絡(luò)中共享的文件夾一定要將權(quán)限設(shè)置為只讀，如圖4.22所示，而且最好對(duì)于重要的文件夾設(shè)置訪問賬號(hào)和密碼。圖4.22 設(shè)置文件夾的權(quán)限第21頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.3.4 蠕蟲病毒 要定期檢查自己的系統(tǒng)內(nèi)是否具

14、有可寫權(quán)限的共享文件夾，如圖4.23所示，一旦發(fā)現(xiàn)這種文件夾，需要及時(shí)關(guān)閉該共享權(quán)限。圖4.23 檢查共享文件夾第22頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.3.4 蠕蟲病毒 要定期檢查計(jì)算機(jī)中的賬戶，看看是否存在不明賬戶信息。一旦發(fā)現(xiàn)，應(yīng)該立即刪除該賬戶，并且禁用Guest賬號(hào)，如圖4.24所示，防止被病毒利用。圖4.24 檢查計(jì)算機(jī)中的用戶賬戶第23頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.3.4 蠕蟲病毒 給計(jì)算機(jī)的賬戶設(shè)置比較復(fù)雜的密碼，防止被蠕蟲病毒破譯。 購買主流的網(wǎng)絡(luò)安全產(chǎn)品，并隨時(shí)更新。 提高防殺病毒的意識(shí)，不要輕易單擊陌生的站點(diǎn)。 不要隨

15、意查看陌生郵件，尤其是帶有附件的郵件。 對(duì)于網(wǎng)絡(luò)管理人員，尤其是郵件服務(wù)器的管理人員，需要經(jīng)常檢測網(wǎng)絡(luò)流量，一旦發(fā)現(xiàn)流量猛增，有可能在網(wǎng)絡(luò)中已經(jīng)存在了蠕蟲病毒第24頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五第25頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.4 木馬攻擊與分析 很多網(wǎng)絡(luò)用戶認(rèn)為，只要裝了殺毒軟件，系統(tǒng)就安全了，這種想法是很危險(xiǎn)的！在現(xiàn)今的網(wǎng)絡(luò)安全環(huán)境下，木馬、病毒肆虐，黑客攻擊頻繁，而各種流氓軟軟件、間諜軟件也行風(fēng)作浪,只靠殺毒軟件已不足以保證我們的系統(tǒng)安全。 第26頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.4 木馬攻擊與分析木馬背

16、景介紹 特洛伊木馬（以下簡稱木馬)，英文叫做“Trojan horse”，其名稱取自希臘神話的特洛伊木馬記。 古希臘傳說，特洛伊王子帕里斯訪問希臘，誘走了王后海倫，希臘人因此遠(yuǎn)征特洛伊。圍攻9年后，到第10年，希臘將領(lǐng)奧德修斯獻(xiàn)了一計(jì)，就是把一批勇士埋伏在一匹巨大的木馬腹內(nèi)，放在城外后，佯作退兵。特洛伊人以為敵兵已退，就把木馬作為戰(zhàn)利品搬入城中。到了夜間，埋伏在木馬中的勇士跳出來，打開了城門，希臘將士一擁而入攻下了城池。 后來，人們常用“特洛伊木馬”這一典故，用來比喻在敵方營壘里埋下伏兵里應(yīng)外合的活動(dòng)。 第27頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.4 木馬攻擊與分析4.4

17、.2 木馬的概述1特洛伊木馬與病毒的區(qū)別一般地，木馬是不會(huì)自行傳播的，這與病毒是不一樣的；但是現(xiàn)在的病毒往往將木馬作為負(fù)載的一部分復(fù)制到目標(biāo)上，用于竊取數(shù)據(jù)或控制目標(biāo)。第28頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.4 木馬攻擊與分析4.4.2 木馬的概述2特洛伊木馬的種植首先遠(yuǎn)程連接到目標(biāo)，可以在命令行提示符下鍵入：C:net use 53ipc$ /user: administrator第29頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.4 木馬攻擊與分析4.4.2 木馬的概述2特洛伊木馬的種植遠(yuǎn)程連接成功后，可以使用：查看目標(biāo)計(jì)算機(jī)中的共享文件目錄這時(shí)就可

18、以植入木馬程序，可以使用copy c:winntpatch12345.exe 53nt40這里的patch12345.exe是一個(gè)木馬程序。第30頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.4 木馬攻擊與分析第31頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.4 木馬攻擊與分析第32頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.4 木馬攻擊與分析4.4.2 木馬的概述3特洛伊木馬的行為木馬運(yùn)行后，會(huì)修改系統(tǒng)。包括： 利用Autoexec.bat和Config.sys進(jìn)行加載 修改Win.ini文件 修改注冊(cè)表的啟動(dòng)信息第33頁，共51頁，2022年，

19、5月20日，8點(diǎn)41分，星期五4.4 木馬攻擊與分析4.4.2 木馬的概述2特洛伊木馬的種植 偽裝成一般的小軟件 把木馬綁定在正常的程序上第34頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.4.3 木馬的分類1遠(yuǎn)程控制木馬2密碼發(fā)送木馬 3鍵盤記錄木馬 4破壞性質(zhì)的木馬 5DoS攻擊木馬 6代理木馬 7FTP木馬 第35頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.4.4 木馬的發(fā)展木馬的發(fā)展可以分為四代：第一代木馬主要針對(duì)UNIX系統(tǒng) 如BO、Netspy第二代木馬可以進(jìn)行所有入侵操作 如冰河第三代木馬具有穿透防火墻的功能 如灰鴿子第四代木馬增加了進(jìn)程隱藏技術(shù)第3

20、6頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.5 木馬的攻擊防護(hù)技術(shù)4.5.1 常見的木馬 灰鴿子 廣外幽靈第37頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.5 木馬的攻擊防護(hù)技術(shù)4.5.2 木馬的加殼與脫殼木馬的加殼：目的是避免被殺毒軟件查殺。木馬的脫殼：目的是把加殼后的程序恢復(fù)成毫無包裝的可執(zhí)行代碼。第38頁，共51頁，2022年，5月20日，8點(diǎn)41分，星期五4.5.3 安全解決方案為了防范木馬的入侵，應(yīng)該實(shí)施如下的安全措施。 使用專業(yè)廠商的正版木馬防火墻，使用正版的殺毒軟件，并能夠正確地對(duì)木馬防火墻和殺毒軟件進(jìn)行配置。 使用工具軟件隱藏自身的實(shí)際地址。 不要隱藏文件的擴(kuò)展名，以便及時(shí)地發(fā)現(xiàn)木馬文件。 定期