計算機病毒與網絡安全

計算機病毒與網絡安全課件第一頁，共六十二頁，2022年，8月28日目錄：計算機病毒的起源與發(fā)展計算機病毒的定義與特征★計算機病毒的分類計算機病毒的危害性計算機病毒分析★其他惡意程序第二頁，共六十二頁，2022年，8月28日根據國家計算機病毒應急處理中心的調查顯示：2003-2008年我國計算機病毒感染率高達85.57%，造成的損失達到63.57%。－－(來源:央視國際)

您的計算機安全嗎？第三頁，共六十二頁，2022年，8月28日安裝了安全軟件，電腦里就一定沒有病毒木馬嗎？金山毒霸安全實驗室公布最新研究報告顯示,國內95.6%的電腦上安裝了安全軟件,但每年仍然有約百萬病毒木馬被“漏殺”。而這些被“漏殺”的病毒木馬將直接影響到中國千萬網民網絡安全問題，同時給中國互聯網帶來的經濟損失也將超過十億元?！?009-2010年中國新增病毒木馬約2000萬種,其中漏殺期1-7天的病毒木馬超過100萬個,占到新增病毒的5%,30%以上的中國網民電腦存在‘漏殺’病毒?！钡谒捻摚擦?，2022年，8月28日以你的經歷，談談你知道到的病毒。第五頁，共六十二頁，2022年，8月28日一個每天都要遇到的操作可移動存儲設備的使用

第六頁，共六十二頁，2022年，8月28日一個每天都要遇到的操作如果您的電腦配有攝像頭，在您使用完攝像頭后，您會（）拔掉攝像頭，或者將攝像頭扭轉方向 （546人，44.1%）無所謂 （693人，55.9%）第七頁，共六十二頁，2022年，8月28日女鬼病毒女鬼病毒在感染用戶系統(tǒng)后，會不定時的在電腦上出現恐怖的女鬼，并伴有陰森恐怖的鬼哭狼嚎的聲音。女鬼每次出現大約停留30秒鐘，低垂著腦袋，披頭散發(fā)，兩眼還射出紅光，加上陰森的恐怖之聲，使人在夜間開電腦時，不禁毛骨悚然，嚇到腿軟。該女鬼病毒是用VB語言寫的程序，需要一個VB的動態(tài)鏈接庫，有些用戶系統(tǒng)上可能沒有這個文件，病毒因此就無法被激活。第八頁，共六十二頁，2022年，8月28日木馬病毒木馬，全稱為：特洛伊木馬（TrojanHorse）?！疤芈逡聊抉R”這一詞最早出先在希臘神話傳說中。相傳在3000年前，在一次希臘戰(zhàn)爭中。麥尼勞斯（人名）派兵討伐特洛伊（王國），但久攻不下。他們想出了一個主意：首先他們假裝被打敗，然后留下一個木馬。而木馬里面卻藏著最強悍的勇士！最后等時間一到，木馬里的勇士全部沖出來把敵人打敗了！特洛伊木馬第九頁，共六十二頁，2022年，8月28日“木馬”的含義就是把預謀的功能隱藏在公開的功能里，掩飾真正的企圖。木馬其實就是那些盜號者所制造的一些惡意程序。當木馬植入了你的電腦后，電腦就會被監(jiān)控起來。輕者，偷取用戶資，會把你的QQ密碼.游戲帳號和密碼.等發(fā)給編寫病毒的人。至于嚴重的，木馬制作者可以像操作自己的機器一樣控制您的機器，甚至可以遠程監(jiān)控您的所有操作。一舉一動，都在別人的眼皮底下進行。第十頁，共六十二頁，2022年，8月28日計算機病毒的發(fā)展史自第一個真正意義上的計算機病毒于1983年走出實驗室以來，人們對它的認識經歷了“不以為然→談毒色變→口誅筆伐，人人喊打→理性對待，泰然處之”四個階段。第十一頁，共六十二頁，2022年，8月28日計算機病毒產生的歷史1977年:出現在科幻小說中1983年：FredCohen：在計算機安全研討會上發(fā)布1986年：巴基斯坦兩兄弟為追蹤非法拷貝其軟件的人制造了“巴基斯坦”病毒，成了世界上公認的第一個傳染PC兼容機的病毒，并且很快在全球流行。1987年10月：美國發(fā)現世界上第一例病毒(Brain)。1988年：小球病毒傳入我國，在幾個月之內迅速傳染了20多個省、市，成為我國第一個病毒案例。此后，如同打開的潘多拉的盒子，各種計算機病毒層出不窮！第十二頁，共六十二頁，2022年，8月28日計算機病毒的發(fā)展階段—萌芽階段1萌芽階段

1986年到1989年：計算機病毒的萌芽時期病毒清除相對比較容易特點：攻擊目標單一主要采取截取系統(tǒng)中斷向量的方式監(jiān)控系統(tǒng)的運行狀態(tài)，并在一定的觸發(fā)條件下進行傳播傳染后特征明顯不具自我保護措施第十三頁，共六十二頁，2022年，8月28日計算機病毒的發(fā)展階段—綜合發(fā)展階段2綜合發(fā)展階段1989年到1992年：由簡單到復雜，由原始走向成熟特點：攻擊目標趨于混合型采用更為隱蔽的方法駐留內存感染目標后沒有明顯的特征開始采用自我保護措施開始出現變種第十四頁，共六十二頁，2022年，8月28日計算機病毒的發(fā)展階段—成熟發(fā)展階段3成熟發(fā)展階段

1992到1995年：病毒開始具有多態(tài)性質。病毒每次傳染目標時，嵌入宿主程序中的病毒程序大部分可變種，正由于這個特點，傳統(tǒng)的特征碼檢測病毒法開始了新的探索研究。

在這個階段，病毒的發(fā)展主要集中在病毒技術的提高上，病毒開始向多維化方向發(fā)展，對反病毒廠商也提出了新的挑戰(zhàn)。第十五頁，共六十二頁，2022年，8月28日計算機病毒的發(fā)展階段—網絡病毒階段4網絡病毒階段1995年到2000年：隨著網絡的普及，大量的病毒開始利用網絡傳播，蠕蟲開始大規(guī)模的傳播。由于網絡的便利和信息的共享，很快又出現了通過E-mail傳播的病毒。由于宏病毒編寫簡單、破壞性強、清除復雜，加上微軟未對WORD文檔結構公開，給清除宏病毒帶來了不便這一階段的病毒，主要是利用網絡來進行傳播和破壞第十六頁，共六十二頁，2022年，8月28日計算機病毒的發(fā)展階段—迅速壯大的階段5.迅速壯大的階段2000年以后：成熟繁榮階段，計算機病毒的更新和傳播手段更加多樣性，網絡病毒的目的性也更強出現了木馬，惡意軟件等特定目的的惡意程序特點：技術綜合利用，病毒變種速度大大加快惡意軟件和病毒程序直接把矛頭對向了殺毒軟件計算機病毒技術和反病毒技術的競爭進一步激化，反病毒技術也面臨著新的洗牌第十七頁，共六十二頁，2022年，8月28日計算機病毒的起源與發(fā)展計算機病毒的定義與特征★計算機病毒的分類計算機病毒的危害性計算機病毒分析★其他惡意程序第十八頁，共六十二頁，2022年，8月28日計算機病毒的定義狹義定義計算機病毒是一種靠修改其它程序來插入或進行自身拷貝，從而感染其它程序的一種程序。

——FredCohen博士對計算機病毒的定義。廣義定義能夠引起計算機故障，破壞計算機數據，影響計算機系統(tǒng)的正常使用的程序代碼。我國定義《中華人民共和國計算機信息系統(tǒng)安全保護條例》第二十八條：

"計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼?！钡谑彭?，共六十二頁，2022年，8月28日計算機病毒的特征基本特征傳染性自我復制，通過多種渠道傳播潛伏性感染后不一定立刻發(fā)作依附于其他文件、程序、介質，不被發(fā)現可觸發(fā)性觸發(fā)條件：日期、時間、文件類型破壞性破壞數據的完整性和可用性破壞數據的保密性系統(tǒng)和資源的可用性非授權可執(zhí)行性第二十頁，共六十二頁，2022年，8月28日計算機病毒的特征其它特征寄生性寄生于其它文件、程序隱蔽性程序隱蔽、傳染隱蔽；不易被發(fā)現針對性*針對特定的計算機、特定的操作系統(tǒng)多態(tài)性*每一次感染后改變形態(tài)，檢測更困難持久性*難于清除第二十一頁，共六十二頁，2022年，8月28日計算機病毒的起源與發(fā)展計算機病毒的定義與特征★計算機病毒的分類計算機病毒的危害性計算機病毒分析★其他惡意程序第二十二頁，共六十二頁，2022年，8月28日計算機病毒的分類按宿主分類按危害分類按傳播媒介分類按攻擊平臺分類第二十三頁，共六十二頁，2022年，8月28日計算機病毒的分類按宿主分類1)引導型病毒主引導區(qū)操作系統(tǒng)引導區(qū)2)文件型病毒操作系統(tǒng)應用程序宏病毒

3)復合型病毒復合型病毒具有引導區(qū)型病毒和文件型病毒兩者的特征第二十四頁，共六十二頁，2022年，8月28日計算機病毒的分類按危害分類良性病毒如：小球病毒惡性病毒如：CIH病毒第二十五頁，共六十二頁，2022年，8月28日計算機病毒的分類按傳播媒介分類單機病毒DOS、Windows、Unix/Linux病毒等網絡病毒通過網絡或電子郵件傳播第二十六頁，共六十二頁，2022年，8月28日計算機病毒的分類按攻擊平臺分類DOS病毒：MS-DOS及兼容操作系統(tǒng)上編寫的病毒Windows病毒：Win32上編寫的純32位病毒程序MAC病毒Unix/Linux病毒第二十七頁，共六十二頁，2022年，8月28日計算機病毒的起源與發(fā)展計算機病毒的定義與特征★計算機病毒的分類計算機病毒的危害性計算機病毒分析★其他惡意程序第二十八頁，共六十二頁，2022年，8月28日計算機病毒的危害性攻擊系統(tǒng)數據區(qū)攻擊部位包括硬盤主引導扇區(qū)、Boot扇區(qū)、FAT表、文件目錄攻擊文件刪除、改名、替換內容、丟失簇和對文件加密等攻擊內存內存是計算機的重要資源，也是病毒攻擊的重要目標第二十九頁，共六十二頁，2022年，8月28日計算機病毒的危害性干擾系統(tǒng)運行，使運行速度下降如不執(zhí)行命令、打不開文件干擾內部命令的執(zhí)行、擾亂串并接口、虛假報警、強制游戲內部棧溢出、重啟動、死機病毒激活時，系統(tǒng)時間延遲程序啟動，在時鐘中納入循環(huán)計數，迫使計算機空轉，運行速度明顯下降干擾鍵盤、喇叭或屏幕，適用戶無法正常操作響鈴、封鎖鍵盤、換字、抹掉緩存區(qū)字符、輸入紊亂等。許多病毒運行時，會使計算機的喇叭發(fā)出響聲病毒擾亂顯示的方式很多，如字符跌落、倒置、顯示前一屏、打開對話框、光標下跌、滾屏、抖動、亂寫等第三十頁，共六十二頁，2022年，8月28日計算機病毒的危害性攻擊CMOS，破壞系統(tǒng)硬件有的病毒激活時，能夠對CMOS進行寫入動作，破壞CMOS中的數據。例如CIH病毒破壞計算機硬件，亂寫某些主板BIOS芯片，損壞硬盤干擾打印機如假報警、間斷性打印或更換字符干擾網絡正常運行網絡病毒破壞網絡系統(tǒng)，非法使用網絡資源，破壞電子郵件，發(fā)送垃圾信息，占用網絡帶寬、阻塞網絡、造成拒絕服務等第三十一頁，共六十二頁，2022年，8月28日歷年重大病毒影響情況病毒名稱出現時間造成的經濟損失莫里斯蠕蟲19886000臺電腦停機，9600萬美元美麗莎1999超過12億美元愛蟲2000100億美元紅色代碼2001超過20億美元求職信2001超過100億美元SQL蠕蟲王2003超過20億美元第三十二頁，共六十二頁，2022年，8月28日計算機病毒的起源與發(fā)展計算機病毒的定義和特征★計算機病毒的分類計算機病毒的危害性計算機病毒分析★其他惡意程序第三十三頁，共六十二頁，2022年，8月28日計算機病毒分析計算機病毒的結構及工作機理引導型病毒分析文件型病毒分析宏病毒分析蠕蟲病毒分析特洛伊木馬分析第三十四頁，共六十二頁，2022年，8月28日實錄超牛病毒破壞電腦世界最強電腦病毒模擬實驗黑客入侵路由器不到五秒獲取銀行卡號第三十五頁，共六十二頁，2022年，8月28日①計算機病毒的結構及工作機理計算機病毒的結構傳染條件判斷傳染代碼傳染模塊表現及破壞條件判斷破壞代碼表現模塊引導代碼引導模塊第三十六頁，共六十二頁，2022年，8月28日①計算機病毒的結構及工作機理引導過程也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進入內存，為傳染部分做準備傳染過程作用是將病毒代碼復制到目標上去。一般病毒在對目標進行傳染前，要首先判斷傳染條件是否滿足，判斷病毒是否已經感染過該目標等，如CIH病毒只針對Windows95/98操作系統(tǒng)表現過程是病毒間差異最大的部分，前兩部分是為這部分服務的。它破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)的設備上表現出特定的現象。大部分病毒都是在一定條件下才會觸發(fā)其表現部分的第三十七頁，共六十二頁，2022年，8月28日②引導型病毒實例分析引導型病毒傳染機理利用系統(tǒng)啟動的缺陷傳染目標硬盤的主引導區(qū)和引導區(qū)軟盤的引導區(qū)傳染途徑通過軟盤啟動計算機防治辦法從C盤啟動打開主板的方病毒功能典型病毒小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒第三十八頁，共六十二頁，2022年，8月28日。病毒②引導型病毒分析引導型病毒——感染與執(zhí)行過程系統(tǒng)引導區(qū)引導正常執(zhí)行病毒病毒執(zhí)行病毒駐留帶毒執(zhí)行。。。引導系統(tǒng)病毒體。。。第三十九頁，共六十二頁，2022年，8月28日③文件型病毒分析文件型病毒傳染機理：利用系統(tǒng)加載執(zhí)行文件的缺陷傳染目標：各種能夠獲得系統(tǒng)控制權執(zhí)行的文件傳染途徑：各種存儲介質、網絡、電子郵件防治辦法使用具有實時監(jiān)控功能的殺毒軟件不要輕易打開郵件附件典型病毒1575病毒、CIH病毒第四十頁，共六十二頁，2022年，8月28日③文件型病毒分析文件型病毒 文件型病毒與引導扇區(qū)病毒區(qū)別是：它攻擊磁盤上的文件第四十一頁，共六十二頁，2022年，8月28日③文件型病毒分析文件型病毒——傳染機理正常程序正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序程序頭病毒程序程序頭病毒程序程序頭病毒程序程序頭病毒程序病毒程序病毒程序正常程序程序頭程序頭第四十二頁，共六十二頁，2022年，8月28日④宏病毒分析宏病毒定義：宏病毒是指利用軟件所支持的宏命令或語言書寫的一段寄生在支持宏的文檔上的，具有復制、傳染能力的宏代碼跨平臺式計算機病毒：可以在Windows9X、WindowsNT、OS/2和Unix、Mac等操作系統(tǒng)上執(zhí)行病毒行為影響系統(tǒng)的性能以及對文檔的各種操作，如打開、存儲、關閉或清除等宏病毒對病毒而言是一次革命?，F在通過E-mail、3W的互聯能力及宏語言的進一步強化，極大地增強了它的傳播能力第四十三頁，共六十二頁，2022年，8月28日④宏病毒分析宏病毒——工作機理 有毒文件.docNormal.dot激活autoopen宏寫入無毒文件.docNormal.dot啟動激活病毒第四十四頁，共六十二頁，2022年，8月28日⑤蠕蟲病毒分析蠕蟲病毒一個獨立的計算機程序，不需要宿主自我復制，自主傳播（Mobile）占用系統(tǒng)或網絡資源、破壞其他程序不偽裝成其他程序，靠自主傳播利用系統(tǒng)漏洞；利用電子郵件（無需用戶參與）第四十五頁，共六十二頁，2022年，8月28日⑤蠕蟲病毒分析蠕蟲病毒傳染機理：利用系統(tǒng)或服務的漏洞傳染目標：操作系統(tǒng)或應用服務傳染途徑：網絡、電子郵件防治辦法使用具有實時監(jiān)控功能的殺毒軟件不要輕易打開郵件附件打最新補丁，更新系統(tǒng)典型病毒RedCode，尼姆達、沖擊波等第四十六頁，共六十二頁，2022年，8月28日⑥特洛伊木馬分析特洛伊木馬程序名字來源：古希臘故事通過偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個遠程控制的后門沒有自我復制的功能非自主傳播用戶主動發(fā)送給其他人放到網站上由用戶下載第四十七頁，共六十二頁，2022年，8月28日⑥特洛伊木馬分析特洛伊木馬程序傳播途徑通過網絡下載、電子郵件防治辦法使用具有實時監(jiān)控功能的殺毒軟件不要輕易打開郵件附件不要輕易運行來路不明的文件典型例子BO、BO2k、Subseven、冰河、廣外女生等第四十八頁，共六十二頁，2022年，8月28日病毒、蠕蟲與木馬的比較需要不需要需要宿主留下后門，竊取信息侵占資源,造成拒絕服務破壞數據完整性、系統(tǒng)完整性主要危害慢

極快快傳播速度依靠用戶主動傳播自主傳播依賴宿主文件或介質傳播方式偽裝成其它文件獨立的文件一般不以文件形式存在表現形式木馬蠕蟲病毒特性第四十九頁，共六十二頁，2022年，8月28日計算機病毒的起源與發(fā)展計算機病毒的定義和特征★計算機病毒的分類計算機病毒的危害性計算機病毒分析★其他惡意程序第五十頁，共六十二頁，2022年，8月28日其他惡意程序后門(Backdoor)一種能讓黑客未經授權進入和使用本系統(tǒng)的惡意程序僵尸(Bot)一種集后門與蠕蟲一體的惡意程序.通常使用IRC(InternetRelayChat)接受和執(zhí)行黑客命令廣告軟件/間諜軟件第五十一頁，共六十二頁，2022年，8月28日①后門具有反偵測能力隱藏文件,進程,網絡端口和連接,系統(tǒng)設置,系統(tǒng)服務可以在惡意程序之中,例如Berbew；也有獨立軟件,例如HackderDefender為控制者提供遠程操作能力第五十二頁，共六十二頁，2022年，8月28日②僵尸僵尸生態(tài)系統(tǒng)僵尸僵尸網管理通道看守者從MyDoom.A開始進入鼎盛期打開后門TCPport3127-3198下載和執(zhí)行程序利用被感染的計算機散發(fā)電子郵件數以百萬計的感染計算機被出賣給了垃圾郵件的制造者第五十三頁，共六十二頁，2022年，8月28日②僵尸——僵尸網發(fā)展趨勢1）源代碼可在網上免費下載2）管理方式的變化:過去:集中管理一個IRC服務器管理所有僵尸關閉服務器就破壞了僵尸網現在:提升注冊多個IRC服務器通訊加密(AES-128或更強)今后:分布式(P2P)管理對照分析:Napster:集中管理,容易被關閉eDonkey:分布式管理,不容易被關閉第五十四頁，共六十二