計算機病毒-蘑菇課堂課件

計算機病毒（ComputerVirus），根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》，對計算機病毒的定義規(guī)定如下：“計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼?！?。2.1.3計算機病毒定義2.1.4計算機病毒的分類1、按照傳播介質(zhì)進行分類單機病毒、網(wǎng)絡(luò)病毒2、按照破壞性質(zhì)進行分類良性病毒、惡性病毒3、按鏈接/入侵方式源碼型、嵌入型、外殼型、操作系統(tǒng)型病毒。2.1.4計算機病毒的分類4、按寄生部位或傳染對象進行分類操作系統(tǒng)型病毒、感染可執(zhí)行程序的病毒、感染帶有宏的文檔如：引導(dǎo)型病毒、文件型病毒以及集兩種病毒特性于一體的復(fù)合型病毒和宏病毒、網(wǎng)絡(luò)病毒。

5、按計算機病毒特有的算法分類伴隨型病毒、“蠕蟲”型病毒、寄生型病毒、詭秘型病毒、變型病毒2.1.5計算機病毒的命名病毒名是指一個病毒的家族特征，是用來區(qū)別和標識病毒家族的，如CIH病毒的家族名都是統(tǒng)一的

“CIH”，振蕩波蠕蟲病毒的家族名是“Sasser”。病毒后綴是指一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的。一般采用英文中的26個字母來表示，如：Worm.Sasser.b就是指振蕩波蠕蟲病毒的變種B，因此一般稱為“振蕩波B變種”或者“振蕩波變種B”。如果該病毒變種非常多，可以采用數(shù)字與字母混合表示變種標識。

2.1.6計算機病毒的結(jié)構(gòu)和工作機制計算機病毒邏輯結(jié)構(gòu)包括四大模塊：感染模塊觸發(fā)模塊破壞模塊（表現(xiàn)模塊）引導(dǎo)模塊（主控模塊）兩個狀態(tài)：靜態(tài)動態(tài)2.1.6計算機病毒的結(jié)構(gòu)和工作機制1.感染模塊1.感染模塊2.觸發(fā)模塊3.破壞模塊VXer：VirusMaker或者ViruseXchanger4.引導(dǎo)模塊4.引導(dǎo)模塊計算機病毒的引導(dǎo)過程分為以下3個方面4.引導(dǎo)模塊文件在帶毒狀態(tài)下運行文件正常運行2.2計算機病毒的危害及其表現(xiàn)

計算機病毒的危害1、對計算機數(shù)據(jù)信息的直接破壞作用

大部分病毒在激發(fā)的時候直接破壞計算機的重要信息數(shù)據(jù)，所利用的手段有格式化磁盤、改寫文件分配表和目錄區(qū)、刪除重要文件或者用無意義的垃圾數(shù)據(jù)改寫文件、破壞CMOS設(shè)置等。3、搶占系統(tǒng)資源除VIENNA、CASPER等少數(shù)病毒外，其他大多數(shù)病毒在動態(tài)下都是常駐內(nèi)存的，這就必然搶占一部分系統(tǒng)資源。病毒所占用的基本內(nèi)存長度大致與病毒本身長度相當。病毒搶占內(nèi)存，導(dǎo)致內(nèi)存減少，一部分軟件不能運行。除占用內(nèi)存外，病毒還搶占中斷，干擾系統(tǒng)運行。4、影響計算機運行速度

病毒進駐內(nèi)存后不但干擾系統(tǒng)運行，還影響計算機速度，主要表現(xiàn)在：（1）病毒為了判斷傳染激發(fā)條件，總要對計算機的工作狀態(tài)進行監(jiān)視，這相對于計算機的正常運行狀態(tài)既多余又有害。（2）有些病毒為了保護自己，不但對磁盤上的靜態(tài)病毒加密，而且進駐內(nèi)存后的動態(tài)病毒也處在加密狀態(tài)；而病毒運行結(jié)束時再用一段程序?qū)Σ《局匦录用?。這樣CPU額外執(zhí)行數(shù)千條以至上萬條指令。（3）病毒在進行傳染時同樣要插入非法的額外操作，特別是傳染軟盤時不但計算機速度明顯變慢，而且軟盤正常的讀寫順序被打亂，發(fā)出刺耳的噪聲。6、計算機病毒的兼容性對系統(tǒng)運行的影響兼容性是計算機軟件的一項重要指標，兼容性好的軟件可以在各種計算機環(huán)境下運行，反之兼容性差的軟件則對運行條件“挑肥揀瘦”，要求機型和操作系統(tǒng)版本等，而病毒的兼容性較差，常常會導(dǎo)致死機。7、計算機病毒給用戶造成嚴重的心理壓力據(jù)有關(guān)計算機銷售部門統(tǒng)計，計算機售后用戶懷疑計算機有病毒而提出咨詢約占售后服務(wù)工作量的60％以上。經(jīng)檢測確實存在病毒的約占70％，另有30％情況只是用戶懷疑，而實際上計算機并沒有病毒，僅僅懷疑病毒而冒然格式化磁盤所帶來的損失更是難以彌補。不僅是個人單機用戶，在一些大型網(wǎng)絡(luò)系統(tǒng)中也難免為甄別病毒而停機。總之計算機病毒像“幽靈”一樣籠罩在廣大計算機用戶心頭，給人們造成巨大的心理壓力，極大地影響了現(xiàn)代計算機的使用效率，由此帶來的無形損失是難以估量的。2.2.2計算機病毒特征2.2.3計算機病毒的檢測清除與防范1、計算機病毒的檢測2、常見病毒的清除方法（1）一般常見流行病毒（2）系統(tǒng)文件破壞此種情況對計算機危害較小，一般運行殺毒軟件進行查殺即可。若可執(zhí)行文件的病毒無法根除，可將其刪除后重新安裝多數(shù)系統(tǒng)文件被破壞將導(dǎo)致系統(tǒng)無法正常運行，破壞程序較大。若刪除文件重新安裝后仍未解決問題，則需請專業(yè)計算機人員進行清除和數(shù)據(jù)恢復(fù)。在數(shù)據(jù)恢復(fù)前，要將重要的數(shù)據(jù)文件進行備份，當出現(xiàn)誤殺時方便進行恢復(fù)。2.2.3計算機病毒的檢測清除與防范4、木馬的檢測清除與防范2.2.3計算機病毒的檢測清除與防范網(wǎng)上銀行及網(wǎng)上交易安全1）計算機日常使用：1.上網(wǎng)計算機要及時下載最新系統(tǒng)安全漏洞補丁，將系統(tǒng)登錄密碼設(shè)定為強密碼，關(guān)閉不必要的文件夾共享。2.安裝反病毒軟件，及時升級，開啟病毒實時監(jiān)控。3.上網(wǎng)瀏覽時，不要隨便點擊陌生網(wǎng)站，以免遭到病毒侵害。4.對于來源不明的電子郵件，不要隨意打開其中給出的鏈接以及附件。5.當瀏覽器有未知插件提示是否安裝時，請首先確定其來源，是不是自己需要的插件。6.在使用移動介質(zhì)(如：U盤、移動硬盤等)之前，先進行病毒查殺。盡量不要使用雙擊打開U盤，而是選擇右鍵-->打開。

網(wǎng)上銀行及網(wǎng)上交易安全2）網(wǎng)銀使用和網(wǎng)上交易：在登錄電子銀行實施網(wǎng)上查詢交易時，盡量選擇安全性相對較高的USB證書、動態(tài)口令等認證方式。2.不要在公共場所，如網(wǎng)吧，登錄網(wǎng)上銀行等一些金融機構(gòu)的網(wǎng)站，防止重要信息被盜。3.除了在線支付，登錄網(wǎng)銀時應(yīng)直接輸入其域名，不要通過其他網(wǎng)站提供的鏈接進入，因為這些鏈接可能導(dǎo)入虛假的銀行網(wǎng)站。4.最好在計算機開機后還沒有登錄其他網(wǎng)站時先登錄網(wǎng)銀賬

戶，在操作網(wǎng)銀的時候不要同時瀏覽別的網(wǎng)站。5.離開網(wǎng)銀操作時不要一走了之，一定要正確地退出網(wǎng)銀，USB證書不用時要及時拔掉，避免被他人遠程控制。網(wǎng)上銀行及網(wǎng)上交易安全2）網(wǎng)銀使用和網(wǎng)上交易：6.網(wǎng)銀賬號密碼采用多次復(fù)制粘貼，分段交叉輸入，或故意插入錯誤字符然后刪除的方式輸入，或者用網(wǎng)銀自帶的軟鍵盤輸入，避免被鍵盤監(jiān)控木馬程序竊取。7.除在網(wǎng)銀界面外，不要在其他任何頁面輸入網(wǎng)銀登錄信息。8.對收到有網(wǎng)上銀行升級內(nèi)容的電話或短信，要求提供網(wǎng)銀登錄信息或登錄網(wǎng)銀的，不要輕易相信，必要時撥打銀行的服務(wù)電話進行確認。不要輕易打開聲稱是某個網(wǎng)銀來的郵件、特別是帶附件的郵件。也不要點擊郵件中的任何連接。9.網(wǎng)上購物時要選擇注冊時間相對較長、信用度較高的店鋪。10.跳轉(zhuǎn)到網(wǎng)銀支付頁面后，要注意核對網(wǎng)銀地址、付款金額、商戶名稱等信息。網(wǎng)上銀行及網(wǎng)上交易安全2）網(wǎng)銀使用和網(wǎng)上交易：11.為賬戶設(shè)定網(wǎng)上支付額度，用多少設(shè)多少，盡量避免在網(wǎng)上進行大額交易。12.保留網(wǎng)上消費的記錄，以備查詢；經(jīng)常檢查銀行卡賬戶交易明細，發(fā)現(xiàn)不明支出款項應(yīng)立即聯(lián)絡(luò)銀行。13.任何國家機關(guān)部門、銀行都無權(quán)向公眾索要賬號和密碼，不要輕信任何套取網(wǎng)上銀行用戶名(登錄卡號)和密碼的行為。14.認準銀行客服短信發(fā)送號碼。如中行是95566，銀行客服短信通過銀行客服固定的特殊號碼發(fā)送，不可能采用普通手機號碼發(fā)送服務(wù)信息，一旦收到普通手機號碼發(fā)來的銀行服務(wù)信息一定是欺詐短信，要立即刪除并報案。15.分開設(shè)置網(wǎng)上銀行和手機銀行的密碼；安裝專用防病毒軟件；手機丟失或更換手機號碼后及時暫?；蜃N手機銀行業(yè)務(wù)。6、病毒和防病毒技術(shù)的發(fā)展趨勢2.2.3計算機病毒的檢測清除與防范5、病毒和防病毒技術(shù)的發(fā)展趨勢“云安全（CloudSecurity）”計劃是網(wǎng)絡(luò)時代信息安全的最新體現(xiàn)，它融合了并行處理、網(wǎng)格計算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到Server端進行自動分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個客戶端。病毒庫不再保存在本地，而是保存在官方服務(wù)器中，在掃描的時候和服務(wù)器交互后，做出判斷是否有病毒。依托“云安全”進行殺毒能降低升級的頻率，降低查殺的占用率，減小本地病毒數(shù)據(jù)庫的容量。云安全技術(shù)應(yīng)用的最大優(yōu)勢就在于，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡(luò)服務(wù)，實時進行采集、分析以及處理。整個互聯(lián)網(wǎng)就是一個巨大的“殺毒軟件”，參與者越多，每個參與者就越安全，整個互聯(lián)網(wǎng)就會更安全。2.2.3計算機病毒的檢測清除與防范常見的惡意代碼

惡意代碼惡意代碼分類示意圖2.2.4惡意軟件的危害和清除1、惡意軟件概述

惡意軟件主要是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵害用戶合法權(quán)益的軟件。中國互聯(lián)網(wǎng)協(xié)會頒布的《“惡意軟件定義”細則》，更加明確細化了惡意軟件的定義和范圍：滿足以下八種情況之一即可被認定為是惡意軟件，分別為：強制安裝、難以卸載、瀏覽器劫持、廣告彈出、惡意收集用戶信息、惡意卸載、惡意捆綁以及其他侵犯用戶知情權(quán)和選擇權(quán)的惡意行為。

惡意軟件通常難以清除，影響計算機用戶正常使用，無法正常卸載和刪除給用戶造成了巨大困擾，因此又獲別名“流氓軟件”。2.2.4惡意軟件的危害和清除2、惡意軟件的危害與清除病毒預(yù)防

1．使用正版軟件2．從可靠渠道下載軟件3．安裝防病毒軟件、防火墻等防病毒工具，準備一套具有查毒、防毒、殺毒及修復(fù)系統(tǒng)的工具軟件，并定期對軟件進行升級、對系統(tǒng)進行查毒。4．對電子郵件提高警惕5．經(jīng)常對系統(tǒng)中的文件進行備份6．備好移動存儲設(shè)備，并設(shè)置寫保護2.2.4惡意軟件的危害和清除7．開機時使用本地硬盤8．做好系統(tǒng)配置9．盡量做到專機專用10．新購置的計算機軟件或硬件也要先查毒再使用11．使用復(fù)雜的密碼12．注意自己的機器最近有無異常13．了解一些病毒知識

2.2.4惡意軟件的危害和清除2.3常見計算機病毒的類型1.根據(jù)病毒的破壞程度劃分2.根據(jù)病毒侵入的操作系統(tǒng)劃分2.3常見計算機病毒的類型3.根據(jù)病毒依附載體劃分2.3常見計算機病毒的類型計算機中的木馬是一種基于遠程控制的黑客工具，采用客戶機/服務(wù)器工作模式。它通常包含控制端和被控制端兩部分。被控制端的木馬程序一旦植入受害者的計算機（簡稱宿主）中，操縱者就可以在控制端實時監(jiān)視該用戶的一切操作，有的放矢地竊取重要文件和信息，甚至還能遠程操控受害計算機對其他計算機發(fā)動攻擊。木馬的控制端和被控制端通過網(wǎng)絡(luò)進行交互。特種及新型病毒實例木馬的運行，可以采用以下3種模式：

（1）潛伏在正常的程序應(yīng)用中，附帶執(zhí)行獨立的惡意操作。（2）潛伏在正常的程序應(yīng)用中，但會修改正常的應(yīng)用進行惡意操作。（3）完全覆蓋正常的程序應(yīng)用，執(zhí)行惡意操作。

特種及新型病毒實例木馬對網(wǎng)絡(luò)主機的入侵過程，可大致分為6個步驟。

（1）配置木馬（2）傳播木馬（3）運行木馬（4）信息泄露（5）連接建立（6）遠程控制

特種及新型病毒實例查殺木馬的方法：（1）查看開放端口（2）查看和恢復(fù)Win.ini和System.ini系統(tǒng)配置文件（3）查看啟動程序并刪除可疑的啟動程序（4）查看系統(tǒng)進程并停止可疑的系統(tǒng)進程（5）查看和還原注冊表（6）使用殺毒軟件和木馬查殺工具檢測和清除木馬特種及新型病毒實例2.工作原理木馬病毒一般分為客戶端(Client)和服務(wù)器端(Server)兩部分。服務(wù)器端收到請求后會根據(jù)請求執(zhí)行相應(yīng)的操作，其中包括：查看文件系統(tǒng)，修改、刪除、獲取文件；查看系統(tǒng)注冊表，修改系統(tǒng)配置；截取計算機的屏幕顯示，并且發(fā)送給控制端；查看系統(tǒng)中的進程，啟動和停止進程；控制計算機的鍵盤、鼠標或其他硬件設(shè)備的動作；以本機為跳板，攻擊網(wǎng)絡(luò)中的其他計算機；通過網(wǎng)絡(luò)下載新的病毒文件。特種及新型病毒實例3.木馬病毒的危害及特點1)隱蔽性；2)自動運行性；3)欺騙性；4)自動恢復(fù)；5)自動打開端口；6)功能的特殊性。木馬可以說是一種后門程序，它會在受害者的計算機系統(tǒng)里打開一個“后門”，黑客經(jīng)由這個被打開的特定“后門”進入系統(tǒng)，然后就可以隨心所欲地操縱計算機。木馬不僅是一般黑客的常用工具，更是網(wǎng)上情報刺探的一種主要手段，對國家安全造成了巨大威脅。特種及新型病毒實例4.防范木馬病毒的安全建議(1)使用正版的殺毒軟件和防火墻產(chǎn)品，并對殺毒軟件和防火墻進行合理配置。(2)使用工具軟件隱藏本機的真實IP地址。(3)注意電子郵件安全，盡量不要在網(wǎng)絡(luò)中公開自己關(guān)鍵的郵箱地址，不要打開陌生地址發(fā)來的電子郵件，更不要在沒有采取任何安全措施的情況下下載或打開郵件的附件。(4)在使用即時通訊軟件時，不要輕易運行“朋友”發(fā)來的程序或鏈接。特種及新型病毒實例4.防范木馬病毒的安全建議(5)盡量少瀏覽和訪問個人網(wǎng)站。(6)不用隱藏文件的擴展名。(7)定期檢查計算機的啟動配置，熟悉每一個配置對應(yīng)的文件，一旦發(fā)現(xiàn)沒見過的啟動項，要立即檢查是否是病毒建立的。(8)定期檢查系統(tǒng)服務(wù)管理器中的服務(wù)，檢查是否有病毒新建的服務(wù)進程。(9)根據(jù)文件創(chuàng)建日期定期檢查系統(tǒng)目錄下是否有近期新建的可執(zhí)行文件，如果有的話，很可能是病毒文件。特種及新型病毒實例激活冰河木馬的服務(wù)端程序G-Server.exe后，它將在目標計算機的C：\Windows\system目錄下自動生成兩個可執(zhí)行文件，分別是Kernel32.exe和Sysexplr.exe。如果用戶只找到Kernel32.exe，并將其刪除，那么冰河木馬并未完全根除，只要打開任何一個文本文件或可執(zhí)行程序，Sysexplr.exe就會被激活而再次生成一個Kernel32.exe，這就是導(dǎo)致冰河木馬的屢刪無效，死灰復(fù)燃的原因。特種及新型病毒實例

蠕蟲病毒蠕蟲病毒和普通病毒的區(qū)別普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制宿主程序運行指令代碼執(zhí)行直接攻擊傳染目標本地文件網(wǎng)絡(luò)上的計算機特種及新型病毒實例2．蠕蟲的分類（1）根據(jù)使用者情況的不同，可將蠕蟲病毒分為兩類，即面向企業(yè)用戶的蠕蟲病毒和面向個人用戶的蠕蟲病毒。

面向企業(yè)用戶的蠕蟲病毒利用系統(tǒng)漏洞，主動進行攻擊，可以對整個網(wǎng)絡(luò)造成癱瘓性的后果，以“紅色代碼”、“尼姆達”、“SQL蠕蟲王”為代表；面向個人用戶的蠕蟲病毒通過網(wǎng)絡(luò)（主要是電子郵件、惡意網(wǎng)頁形式等）迅速傳播，以“愛蟲”、“求職信”蠕蟲為代表。（2）按其傳播和攻擊特征，可將蠕蟲病毒分為3類，即漏洞蠕蟲、郵件蠕蟲和傳統(tǒng)蠕蟲病毒。其中以利用系統(tǒng)漏洞進行破壞的蠕蟲病毒最多，占蠕蟲病毒總數(shù)量的69%；郵件蠕蟲居第二位，占蠕蟲病毒總數(shù)量的27%；其他傳統(tǒng)蠕蟲病毒占4%。特種及新型病毒實例蠕蟲的傳播

蠕蟲程序的一般傳播過程如下：（1）掃描。由蠕蟲的掃描功能模塊負責收集目標主機的信息，尋找可利用的漏洞或弱點。當程序向某個主機發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個可傳播的對象。掃描采用的技術(shù)方法包括用掃描器掃描主機，探測主機的操作系統(tǒng)類型、主機名、用戶名、開放的端口、開放的服務(wù)、開放的服務(wù)器軟件版本等。（2）攻擊。攻擊模塊按步驟自動攻擊前面掃描中找到的對象，取得該主機的權(quán)限（一般為管理員權(quán)限），獲得一個Shell。（3）復(fù)制。復(fù)制模塊通過原主機和新主機的交互將蠕蟲程序復(fù)制到新主機中并啟動。

特種及新型病毒實例蠕蟲病毒的特點和發(fā)展趨勢1)利用操作系統(tǒng)和應(yīng)用程序的漏洞主動進行攻擊2)傳播方式多樣3)病毒制作技術(shù)與傳統(tǒng)的病毒不同4)與黑客技術(shù)相結(jié)合網(wǎng)絡(luò)蠕蟲病毒分析和防范1)利用系統(tǒng)漏洞的惡性蠕蟲病毒分析2)企業(yè)防范蠕蟲病毒措施3)對個人用戶產(chǎn)生直接威脅的蠕蟲病毒4)個人用戶對蠕蟲病毒的防范措施特種及新型病毒實例蠕蟲病毒的防范與普通病毒不同，蠕蟲病毒往往能夠利用漏洞來入侵、傳播。這里的漏洞（或者說是缺陷）分為軟件缺陷和人為缺陷兩類。軟件缺陷（例如遠程溢出、微軟IE和Outlook的自動執(zhí)行漏洞等）需要軟件廠商和用戶共同配合，不斷地升級軟件來解決。人為缺陷主要是指計算機用戶的疏忽。

對于企業(yè)用戶來說，威脅主要集中在服務(wù)器和大型應(yīng)用軟件上；而對個人用戶，主要是防范第二種缺陷。

特種及新型病毒實例（1）企業(yè)類蠕蟲病毒的防范當前，企業(yè)網(wǎng)絡(luò)主要應(yīng)用于文件和打印服務(wù)共享、辦公自動化系統(tǒng)、企業(yè)管理信息系統(tǒng)MIS、Internet應(yīng)用等領(lǐng)域。網(wǎng)絡(luò)具有便利的信息交換特性，蠕蟲病毒也可以充分利用網(wǎng)絡(luò)快速傳播以達到其阻塞網(wǎng)絡(luò)的目的。企業(yè)在充分利用網(wǎng)絡(luò)進行業(yè)務(wù)處理的同時，也要考慮病毒的防范問題，以保證關(guān)系企業(yè)命運的業(yè)務(wù)數(shù)據(jù)的完整性和可用性。企業(yè)防治蠕蟲病毒需要考慮病毒的查殺能力、病毒的監(jiān)控能力和新病毒的反應(yīng)能力等幾個問題。企業(yè)防病毒的一個重要方面就是管理策略。特種及新型病毒實例建議企業(yè)防范蠕蟲病毒的策略如下：①加強網(wǎng)絡(luò)管理員的安全管理水平，提高安全意識。②建立病毒檢測系統(tǒng)，能夠在第一時間內(nèi)檢測到網(wǎng)絡(luò)的異常和病毒的攻擊。③建立應(yīng)急響應(yīng)系統(tǒng)，將風險降到最低。④建立備份和容災(zāi)系統(tǒng)，對于數(shù)據(jù)庫和數(shù)據(jù)系統(tǒng)，必須采用定期備份、多機備份和容災(zāi)等措施，防止意外災(zāi)難下的數(shù)據(jù)丟失。特種及新型病毒實例（2）個人用戶蠕蟲病毒的分析和防范對于個人用戶而言，威脅大的蠕蟲病毒一般采取電子郵件和惡意網(wǎng)頁傳播方式。這些蠕蟲病毒對個人用戶的威