新版計算機病毒概述

本章學(xué)習(xí)目標(biāo)掌握計算機病毒基本概念了解計算機病毒發(fā)展歷史轉(zhuǎn)折點熟悉計算機病毒分類熟悉商業(yè)計算機病毒命名規(guī)則掌握計算機病毒發(fā)展趨勢新版計算機病毒概述第1頁一、計算機病毒定義計算機病毒產(chǎn)生動機(原因)：計算機系統(tǒng)脆弱性(IBM病毒防護計劃)作為一個文化（hacker）病毒編制技術(shù)學(xué)習(xí)惡作劇\報復(fù)心理用于版權(quán)保護（江民企業(yè)）用于特殊目標(biāo)（軍事、計算機防病毒企業(yè)）新版計算機病毒概述第2頁“計算機病毒”與醫(yī)學(xué)上“病毒”不一樣， 它不是天然存在，是一些人利用計算機軟、硬件所固有脆弱性，編制含有特殊功效程序。“計算機病毒”為何叫做病毒？與生物醫(yī)學(xué)上病毒一樣有傳染和破壞特征，所以這一名詞是由生物醫(yī)學(xué)上“病毒”概念引申而來。新版計算機病毒概述第3頁FredCohen定義：

計算機病毒是一個程序，他用修改其它程序方法將本身準(zhǔn)確拷貝或者可能演化拷貝插入其它程序，從而感染其它程序。FredCohen認(rèn)為：

病毒不是利用操作系統(tǒng)運行錯誤和缺點程序，病毒是正常用戶程序。新版計算機病毒概述第4頁標(biāo)準(zhǔn)定義（中國）：直至1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在《條例》第二十八條中明確指出："計算機病毒，是指編制或者在計算機程序中插入破壞計算機功效或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制一組計算機指令或者程序代碼。"此定義含有法律性、權(quán)威性。新版計算機病毒概述第5頁二、計算機病毒特征

破壞性傳染性隱蔽性

寄生性觸發(fā)（潛伏）性新版計算機病毒概述第6頁新版計算機病毒概述第7頁/*引導(dǎo)功效模塊*/{將病毒程序寄生于宿主程序中；加載計算機程序；病毒程序隨其宿主程序運行進入系統(tǒng)；}{傳染功效模塊；}{破壞功效模塊；}main(){調(diào)用引導(dǎo)功效模塊；A：do{尋找傳染對象；

if(傳染條件不滿足) gotoA；}while(滿足傳染條件)；調(diào)用傳染功效模塊；while(滿足破壞條件) {激活病毒程序； 調(diào)用破壞功效模塊；}

運行宿主源程序；

if不關(guān)機

gotoA；關(guān)機；}新版計算機病毒概述第8頁計算機病毒感染率改變趨勢數(shù)據(jù)起源：中國計算機病毒應(yīng)急處理中心

新版計算機病毒概述第9頁三、計算機病毒簡史年份新版計算機病毒概述第10頁計算機病毒簡史在第一部商用電腦出現(xiàn)之前，馮·諾伊曼在他論文《復(fù)雜自動裝置理論及組識進行》里，就已經(jīng)勾勒出了病毒程序藍圖。70年代美國作家雷恩出版《P1青春－TheAdolescenceofP1》一書中作者構(gòu)思出了計算機病毒概念。美國電話電報企業(yè)(AT&T)貝爾試驗室中，三個年輕程序員道格拉斯.麥耀萊、維特.維索斯基和羅伯.莫里斯在工作之余想出一個電子游戲叫做“磁芯大戰(zhàn)(corewar)”。新版計算機病毒概述第11頁博士論文主題是計算機病毒1983年11月3日，F(xiàn)redCohen博士研制出第一個計算機病毒（Unix）。新版計算機病毒概述第12頁1986年初，巴基斯坦拉合爾，巴錫特和阿姆杰德兩弟兄編寫了

Pakistan病毒，即Brain，其目標(biāo)是為了防范盜版軟件。Dos–PC–引導(dǎo)區(qū)1987年世界各地計算機用戶幾乎同時發(fā)覺了形形色色計算機病毒，如大麻、IBM圣誕樹、黑色星期五等等。新版計算機病毒概述第13頁視窗病毒1988年3月2日，一個蘋果機病毒發(fā)作，這天受感染蘋果機停頓工作，只顯示“向全部蘋果電腦使用者宣告和平信息”。以慶賀蘋果機生日。新版計算機病毒概述第14頁肇事者-RobertT.Morris,美國康奈爾大學(xué)學(xué)生，其父是美國國家安全局安全教授。機理-利用sendmail,finger等服務(wù)漏洞，消耗CPU資源，并造成拒絕服務(wù)。影響-Internet上大約6000臺計算機感染，占當(dāng)初Internet聯(lián)網(wǎng)主機總數(shù)10%，造成9600萬美元損失。CERT/CC誕生-DARPA成立CERT（ComputerEmergencyResponseTeam），以應(yīng)付類似事件。莫里斯蠕蟲（MorrisWorm）1988年新版計算機病毒概述第15頁1989年，全世界計算機病毒攻擊十分猖獗，其中“米開朗基羅”病毒給許多計算機用戶（包含中國）造成了極大損失。全球流行DOS病毒新版計算機病毒概述第16頁伊拉克戰(zhàn)爭中病毒-AF/91（1991）在沙漠風(fēng)暴行動前幾周，一塊被植入病毒計算機芯片被安裝進了伊拉克空軍防衛(wèi)系統(tǒng)中一臺點陣打印機中。該打印機在法國組裝，取道約旦、阿曼運到了伊拉克。病毒癱瘓了伊拉克空軍防衛(wèi)系統(tǒng)中一些Windows系統(tǒng)主機以及大型計算機，聽說非常成功。新版計算機病毒概述第17頁宏病毒1996年，出現(xiàn)針對微軟企業(yè)Office“宏病毒”。1997年公認(rèn)為計算機反病毒界“宏病毒年”。特點：書寫簡單，甚至有很多自動制作工具新版計算機病毒概述第18頁CIH（1998-1999）1998年，首例破壞計算機硬件CIH病毒出現(xiàn)，引發(fā)人們恐慌。1999年4月26日，CIH病毒在我國大規(guī)模暴發(fā)，造成巨大損失。新版計算機病毒概述第19頁蠕蟲——病毒新時代1999年3月26日，出現(xiàn)一個經(jīng)過因特網(wǎng)進行傳輸漂亮莎病毒。年7月中旬，一個名為“紅色代碼”病毒在美國大面積蔓延，這個專門攻擊服務(wù)器病毒攻擊了白宮網(wǎng)站，造成了全世界恐慌。年，“蠕蟲王”病毒在亞洲、美洲、澳大利亞等地快速傳輸，造成了全球性網(wǎng)絡(luò)災(zāi)害。記憶猶新3年（-）新版計算機病毒概述第20頁年是蠕蟲泛濫一年，大流行病毒：網(wǎng)絡(luò)天空(Worm.Netsky)高波(Worm.Agobot)愛情后門(Worm.Lovgate)震蕩波(Worm.Sasser)SCO炸彈(Worm.Novarg)沖擊波(Worm.Blaster)惡鷹(Worm.Bbeagle)小郵差(Worm.Mimail)求職信(Worm.Klez)大無極(Worm.SoBig)新版計算機病毒概述第21頁年是木馬流行一年，新木馬包含：8月9日，“閃盤竊密者（Trojan.UdiskThief）”病毒。該木馬病毒會判定電腦上移動設(shè)備類型，自動把U盤里全部資料都復(fù)制到電腦C盤“test”文件夾下，這么可能造成一些公用電腦用戶資料丟失。11月25日，“證券大盜”（Ｔｒｏｊａｎ／ＰＳＷ．Ｓｏｕｆａｎ）。該木馬病毒可盜取包含南方證券、國泰君安在內(nèi)多家證券交易系統(tǒng)交易賬戶和密碼，被盜號股民賬戶存在被人惡意操縱可能。7月29日，“外掛陷阱”（troj.Lineage.hp）。此病毒能夠盜取多個網(wǎng)絡(luò)游戲用戶信息，假如用戶經(jīng)過登陸某個網(wǎng)站，下載安裝所需外掛后，便會發(fā)覺外掛實際上是經(jīng)過偽裝病毒，這個時候病毒便會自動安裝到用戶電腦中。9月28日，"我照片"(Trojan.PSW.MyPhoto)病毒。該病毒試圖竊取《熱血江湖》、《傳奇》、《天堂Ⅱ》、《工商銀行》、《中國農(nóng)業(yè)銀行》等數(shù)十種網(wǎng)絡(luò)游戲及網(wǎng)絡(luò)銀行賬號和密碼。該病毒發(fā)作時，會顯示一張照片使用戶對其放松警覺。新版計算機病毒概述第22頁年木馬依然是病毒主流，變種層出不窮年上六個月，江民反病毒中心共截獲新病毒33358種，另據(jù)江民病毒預(yù)警中心監(jiān)測數(shù)據(jù)顯示，1至6月全國共有7322453臺計算機感染了病毒，其中感染木馬病毒電腦2384868臺，占病毒感染電腦總數(shù)32.56%，感染廣告軟件電腦1253918臺，占病毒感染電腦總數(shù)17.12%，感染后門程序電腦

664589臺，占病毒感染電腦總數(shù)9.03%，蠕蟲病毒216228臺，占病毒感染電腦總數(shù)2.95%，監(jiān)測發(fā)覺漏洞攻擊代碼感染181769臺，占病毒感染電腦總數(shù)2.48%，腳本病毒感染15152臺，占病毒感染電腦總數(shù)2.06%。新版計算機病毒概述第23頁最前沿病毒年：流氓軟件——反流氓軟件技術(shù)反抗階段。Cnnic3721–yahoo熊貓燒香年：木馬ARPPhishing（網(wǎng)絡(luò)釣魚）新版計算機病毒概述第24頁年惡意代碼產(chǎn)業(yè)化木馬是主流其它：瀏覽器劫持、下載捆綁、釣魚新版計算機病毒概述第25頁年新增惡意代碼750萬（瑞星）；流行惡意代碼：快捷方式真假難分、木馬依舊猖獗，但更重視經(jīng)濟利益和特殊應(yīng)用。新版計算機病毒概述第26頁惡意代碼發(fā)展趨勢卡巴斯基試驗室高級研究師DavidEmm研究得悉，到年底為止，全球大約存在各種惡意代碼1,400,000個。新版計算機病毒概述第27頁發(fā)展趨勢網(wǎng)絡(luò)化發(fā)展專業(yè)化發(fā)展簡單化發(fā)展多樣化發(fā)展自動化發(fā)展犯罪化發(fā)展新版計算機病毒概述第28頁四、病毒人生（法律）1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一個在運行過程中能夠復(fù)制本身破壞性程序，倫·艾德勒曼(LenAdleman)將它命名為計算機病毒(computerviruses)，并在每七天一次計算機安全討論會上正式提出。新版計算機病毒概述第29頁1988年冬天，正在康乃爾大學(xué)攻讀莫里斯，把一個被稱為“蠕蟲”電腦病毒送進了美國最大電腦網(wǎng)絡(luò)——互聯(lián)網(wǎng)。1988年11月2日下午5點，互聯(lián)網(wǎng)管理人員首次發(fā)覺網(wǎng)絡(luò)有不明入侵者。當(dāng)晚，從美國東海岸到西海岸，互聯(lián)網(wǎng)用戶陷入一片恐慌。新版計算機病毒概述第30頁CIH病毒，又名“切爾諾貝利”，是一個可怕電腦病毒。它是由臺灣大學(xué)生陳盈豪編制，九八年五月間，陳盈豪還在大同工學(xué)院就讀時，完成以他英文名字縮寫“CIH”名電腦病毒起初據(jù)稱只是為了“想紀(jì)念一下1986災(zāi)難”或“使反病毒軟件企業(yè)難堪”。新版計算機病毒概述第31頁年僅18歲高中生杰弗里·李·帕森因為涉嫌是“沖擊波”電腦病毒制造者于年8月29日被捕。對此，他鄰居們表示不敢相信。在他們眼里，杰弗里·李·帕森是一個電腦天才，而決不是什么黑客，更不會去犯罪。新版計算機病毒概述第32頁李俊，大學(xué)本科畢業(yè)大于1000萬用戶染毒損失數(shù)億元人民幣處罰：最高無期？新版計算機病毒概述第33頁五、計算機病毒主要危害直接危害：1.病毒激發(fā)對計算機數(shù)據(jù)信息直接破壞作用2.占用磁盤空間和對信息破壞3.搶占系統(tǒng)資源4.影響計算機運行速度5.計算機病毒錯誤與不可預(yù)見危害6.計算機病毒兼容性對系統(tǒng)運行影響新版計算機病毒概述第34頁病毒危害情況

新版計算機病毒概述第35頁間接危害：1.計算機病毒給用戶造成嚴(yán)重心理壓力2.造成業(yè)務(wù)上損失3.法律上問題新版計算機病毒概述第36頁近幾年來重大損失

年份攻擊行為發(fā)起者受害PC數(shù)目損失金額(美元)木馬和惡意軟件————木馬————Worm_Sasser(震蕩波)————Worm_MSBLAST(沖擊波)超出140萬臺——SQLSlammer超出20萬臺9.5億至12億Klez超出6百萬臺90億RedCode超出1百萬臺26億NIMDA超出8百萬臺60億LoveLetter——88億1999CIH超出6千萬臺近100億新版計算機病毒概述第37頁六、計算機病毒分類新版計算機病毒概述第38頁1、按病毒存在媒體分類網(wǎng)絡(luò)病毒：經(jīng)過計算機網(wǎng)絡(luò)傳輸感染網(wǎng)絡(luò)中可執(zhí)行文件；文件病毒：感染計算機中文件（如：ＣＯＭ，ＥＸＥ，ＤＯＣ等）；引導(dǎo)型病毒：感染開啟扇區(qū)（Boot）和硬盤系統(tǒng)引導(dǎo)扇區(qū)（ＭＢＲ）；混合型病毒：是上述三種情況混合。比如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這么病毒通常都含有復(fù)雜算法，它們使用非常規(guī)方法侵入系統(tǒng)，同時使用了加密和變形算法。新版計算機病毒概述第39頁2、按病毒傳染方法分類引導(dǎo)扇區(qū)傳染病毒：主要使用病毒全部或部分代碼取代正常引導(dǎo)統(tǒng)計，而將正常引導(dǎo)統(tǒng)計隱藏在其它地方。執(zhí)行文件傳染病毒：寄生在可執(zhí)行程序中，一旦程序執(zhí)行，病毒就被激活，進行預(yù)定活動。網(wǎng)絡(luò)傳染病毒：這類病毒是當(dāng)前病毒主流，特點是經(jīng)過互聯(lián)網(wǎng)絡(luò)進行傳輸。比如，蠕蟲病毒就是經(jīng)過主機漏洞在網(wǎng)上傳輸。新版計算機病毒概述第40頁3、按病毒破壞能力分類無害型：除了傳染時降低磁盤可用空間外，對系統(tǒng)沒有其它影響。

無危險型：這類病毒僅僅是降低內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。

危險型：這類病毒在計算機系統(tǒng)操作中造成嚴(yán)重錯誤。

非常危險型：這類病毒刪除程序、破壞數(shù)據(jù)、去除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中主要信息。新版計算機病毒概述第41頁4、按病毒算法分類伴隨型病毒：這一類病毒并不改變文件本身，它們依據(jù)算法產(chǎn)生EXE文件伴隨體，含有一樣名字和不一樣擴展名（COM），比如：XCOPY.EXE伴隨體是XCOPY.COM。病毒把本身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來EXE文件。蠕蟲型病毒：經(jīng)過計算機網(wǎng)絡(luò)傳輸，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機器內(nèi)存?zhèn)鬏數(shù)狡渌鼨C器內(nèi)存，計算網(wǎng)絡(luò)地址，將本身病毒經(jīng)過網(wǎng)絡(luò)發(fā)送。有時它們在系統(tǒng)存在，普通除了內(nèi)存不占用其它資源寄生型病毒：依附在系統(tǒng)引導(dǎo)扇區(qū)或文件中，經(jīng)過系統(tǒng)功效進行傳輸。練習(xí)型病毒：病毒本身包含錯誤，不能進行很好傳輸，比如一些病毒在調(diào)試階段。變形病毒：這一類病毒使用一個復(fù)雜算法，使自己每傳輸一份都含有不一樣內(nèi)容和長度。它們普通作法是一段混有沒有關(guān)指令解碼算法和經(jīng)過改變病毒體組成。新版計算機病毒概述第42頁5、按計算機病毒鏈結(jié)方式分類源碼型病毒：該病毒攻擊高級語言編寫程序，該病毒在高級語言所編寫程序編譯前插入到原程序中，經(jīng)編譯成為正當(dāng)程序一部分。嵌入型病毒：這種病毒是將本身嵌入到現(xiàn)有程序中，把計算機病毒主體程序與其攻擊對象以插入方式鏈接。這種計算機病毒是難以編寫，一旦侵入程序體后也較難消除。假如同時采取多態(tài)性病毒技術(shù)，超級病毒技術(shù)和隱蔽性病毒技術(shù)，將給當(dāng)前反病毒技術(shù)帶來嚴(yán)峻挑戰(zhàn)。外殼型病毒：外殼型病毒將其本身包圍在主程序四面，對原來程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)覺，普通測試文件大小即可知。操作系統(tǒng)型病毒：這種病毒用本身程序加入或取代部分操作系統(tǒng)進行工作，含有很強破壞力，能夠造成整個系統(tǒng)癱瘓。圓點病毒和大麻病毒就是經(jīng)典操作系統(tǒng)型病毒。新版計算機病毒概述第43頁6、按病毒攻擊操作系統(tǒng)分類MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT//XPUnix(Linux)Macintosh（MacMag病毒、Scores病毒）OS/2（AEP病毒）新版計算機病毒概述第44頁病毒發(fā)展是伴伴隨計算機軟硬件發(fā)展而發(fā)展。沿著操作系統(tǒng)發(fā)展幾個階段來看看病毒技術(shù)與反病毒技術(shù)演化。DOS時代（1981－）Window9x時代（1995－）WindowsNT/時代（1996－）嵌入式系統(tǒng)（—）操作系統(tǒng)及病毒改變新版計算機病毒概述第45頁（一）DOS操作系統(tǒng)時代病毒DOS操作系統(tǒng)介紹16位操作系統(tǒng)（8086、8088）實模式、單用戶、單任務(wù)字符界面中止機制新版計算機病毒概述第46頁DOS可執(zhí)行文件病毒原理COM病毒EXE病毒常見感染手法經(jīng)過查目錄進行傳輸經(jīng)過執(zhí)行進行傳輸經(jīng)過文件查找進行傳輸經(jīng)過文件關(guān)閉時候進行傳輸新版計算機病毒概述第47頁DOS反病毒原理特征碼技術(shù)含糊匹配技術(shù)（廣譜殺毒）行為判定技術(shù)啟發(fā)式掃描技術(shù)對各種可疑功效進行加權(quán)判斷；MOVAH,5；INT,13h;format新版計算機病毒概述第48頁（二）Windows操作系統(tǒng)32位操作系統(tǒng)搶占式多任務(wù)操作系統(tǒng)保護模式下運行友好圖形界面新版計算機病毒概述第49頁Windows病毒可執(zhí)行文件病毒宏病毒腳本病毒蠕蟲病毒木馬病毒新版計算機病毒概述第50頁可執(zhí)行文件病毒經(jīng)典病毒（CIH）感染原理特點反病毒技術(shù)文件監(jiān)控內(nèi)存監(jiān)控新版計算機病毒概述第51頁蠕蟲病毒經(jīng)典病毒感染原理特點反病毒技術(shù)郵件監(jiān)控網(wǎng)絡(luò)監(jiān)控新版計算機病毒概述第52頁席卷全球NIMDA病毒新版計算機病毒概述第53頁木馬病毒經(jīng)典病毒感染原理特點反病毒技術(shù)文件監(jiān)控防火墻新版計算機病毒概述第54頁宏病毒經(jīng)典病毒感染原理特點反病毒技術(shù)OFFICE嵌入式查毒特征代碼新版計算機病毒概述第55頁腳本病毒經(jīng)典病毒感染原理特點反病毒技術(shù)腳本監(jiān)控新版計算機病毒概述第56頁

智能手機病毒-手機木馬（WinCE.Brador.A）病毒名稱：

WinCE.Brador.A

類型：Backdoor公布日期：未知影響平臺：

WindowsMobile病毒別名：

Backdoor.WinCE.Brador.a大小：

5632發(fā)源地域：俄羅斯概述：

Brador.A是已知第一個針對PocketPC手持設(shè)備后門程序。運行時，后門程序?qū)⒆约簭?fù)制到開啟文件夾，將PDA

IP地址郵件發(fā)送給后門程序作者，并開始監(jiān)聽一個TCP端口命令。然后黑客能夠經(jīng)過TCP端口連接回PDA，經(jīng)過后門程序控制PDA。新版計算機病毒概述第57頁運行時，后門程序?qū)⒆约簭?fù)制到開啟文件夾，將PDA

IP地址郵件發(fā)送給后門程序作者，并開始監(jiān)聽一個TCP端口命令。然后黑客能夠經(jīng)過TCP端口連接回PDA，經(jīng)過后門程序控制PDA。端口：2989D:瀏覽文件G:上傳文件P:下載文件R:執(zhí)行命令M:屏幕顯示F:退出新版計算機病毒概述第58頁運行時，Brador.A會將自己作為svchost.exe復(fù)制到PocketPC設(shè)備上Windows\StartUp文件夾，以致設(shè)備每次開啟時它都會自動開啟

安裝程序?qū)?fù)制到Windows\StartUp文件夾文件作了輕微修改。所以文件每次開啟時會有所不一樣，即使這不會影響后門程序操作。仍不清楚這是安裝程序有意還是附帶結(jié)果。新版計算機病毒概述第59頁危害當(dāng)Brador.A安裝到系統(tǒng)時，會讀取當(dāng)?shù)刂鳈CIP地址并email發(fā)送給作者。郵件發(fā)送IP地址后后門程序打開一個TCP端口，開始監(jiān)聽來自它命令。后門程序能夠從PDA上傳、下載文件，執(zhí)行任意命令并對PDA用戶顯示信息。新版計算機病毒概述第60頁七、計算機病毒傳輸路徑

新版計算機病毒概述第61頁1、軟盤軟盤作為最慣用交換媒介，在計算機應(yīng)用早期對病毒傳輸發(fā)揮了巨大作用，因那時計算機應(yīng)用比較簡單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均經(jīng)過軟盤相互拷貝、安裝，這么病毒就能經(jīng)過軟盤傳輸文件型病毒；另外，在軟盤列目錄或引導(dǎo)機器時，引導(dǎo)區(qū)病毒會在軟盤與硬盤引導(dǎo)區(qū)內(nèi)相互感染。所以軟盤也成了計算機病毒主要寄生“溫床”。新版計算機病毒概述第62頁2、光盤光盤因為容量大，存放了大量可執(zhí)行文件，大量病毒就有可能藏身于光盤，對只讀式光盤，不能進行寫操作，所以光盤上病毒不能去除。以謀利為目標(biāo)非法盜版軟件制作過程中，不可能為病毒防護擔(dān)負(fù)專門責(zé)任，也決不會有真正可靠技術(shù)保障防止病毒傳入、傳染、流行和擴散。當(dāng)前，盜版光盤泛濫給病毒傳輸帶來了極大便利。甚至有些光盤上殺病毒軟件本身就帶有病毒，這就給原來“潔凈”計算機帶來了災(zāi)難。

新版計算機病毒概述第63頁3、硬盤（含移動硬盤、USB）有時，帶病毒硬盤在當(dāng)?shù)鼗蛞频狡渌胤绞褂蒙踔辆S修等，就會將潔凈軟盤傳染或者感染其它硬盤并擴散。新版計算機病毒概述第64頁網(wǎng)絡(luò)——〉病毒加速器網(wǎng)絡(luò)病毒技術(shù)小區(qū)集體攻擊病毒

蠕蟲病毒特洛伊木馬黑客技術(shù)腳本病毒郵件病毒病毒源碼公布4、有線網(wǎng)絡(luò)新版計算機病毒概述第65頁觸目驚心計算——卿斯?jié)h假如：20分鐘產(chǎn)生一種新病毒，通過因特網(wǎng)傳播（30萬公里/秒）。聯(lián)網(wǎng)電腦每20分鐘感染一次，天天開機聯(lián)網(wǎng)2小時。結(jié)論：一年以內(nèi)一臺聯(lián)網(wǎng)電腦可能會被最新病毒感染2190次。另一個數(shù)字：75％電腦被感染。新版計算機病毒概述第66頁網(wǎng)絡(luò)服務(wù)——〉傳輸媒介網(wǎng)絡(luò)快速發(fā)展促進了以網(wǎng)絡(luò)為媒介各種服務(wù)（FTP,WWW,BBS,EMAIL等）快速普及。同時，這些服務(wù)也成為了新病毒傳輸方式。電子布告欄（BBS）：電子郵件（Email）：即時消息服務(wù)（QQ,ICQ,MSN等）：WEB服務(wù)：FTP服務(wù)：新聞組：新版計算機病毒概述第67頁5、無線通訊系統(tǒng)病毒對手機攻擊有3個層次：攻擊WAP服務(wù)器，使手機無法訪問服務(wù)器；攻擊網(wǎng)關(guān)，向手機用戶發(fā)送大量垃圾信息；直接對手機本身進行攻擊，有針對性地對其操作系統(tǒng)和運行程序進行攻擊，使手機無法提供服務(wù)。新版計算機病毒概述第68頁八、染毒計算機癥狀病毒表現(xiàn)現(xiàn)象：計算機病毒發(fā)作前表現(xiàn)現(xiàn)象病毒發(fā)作時表現(xiàn)現(xiàn)象病毒發(fā)作后表現(xiàn)現(xiàn)象與病毒現(xiàn)象相同硬件故障與病毒現(xiàn)象相同軟件故障新版計算機病毒概述第69頁1、發(fā)作前現(xiàn)象平時運行正常計算機突然經(jīng)常性無緣無故地死機操作系統(tǒng)無法正常開啟運行速度顯著變慢以前能正常運行軟件經(jīng)常發(fā)生內(nèi)存不足錯誤打印和通訊發(fā)生異常無意中要求對軟盤進行寫操作以前能正常運行應(yīng)用程序經(jīng)常發(fā)生死機或者非法錯誤系統(tǒng)文件時間、日期、大小發(fā)生改變運行Word，打開Word文檔后，該文件另存時只能以模板方式保留磁盤空間快速降低網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用基本內(nèi)存發(fā)生改變陌生人發(fā)來電子郵件新版計算機病毒概述第70頁2、發(fā)作時現(xiàn)象提醒一些不相干話發(fā)出一段音樂產(chǎn)生特定圖像硬盤燈不停閃爍進行游戲算法Windows桌面圖標(biāo)發(fā)生改變計算機突然死機或重啟自動發(fā)送電子郵件鼠標(biāo)自己在動新版計算機病毒概述第71頁3、發(fā)作后現(xiàn)象硬盤無法開啟，數(shù)據(jù)丟失系統(tǒng)文件丟失或被破壞文件目錄發(fā)生混亂部分文檔丟失或被破壞部分文檔自動加密修改Autoexec.bat文件使部分可軟件升級主板BIOS程序混亂，主板被破壞網(wǎng)絡(luò)癱瘓，無法提供正常服務(wù)新版計算機病毒概述第72頁4、與病毒現(xiàn)象類似軟件故障出現(xiàn)“Invaliddrivespecification”(非法驅(qū)動器號)軟件程序已被破壞(非病毒)軟件與操作系統(tǒng)兼容性引導(dǎo)過程故障用不一樣編輯軟件程序新版計算機病毒概述第73頁5、與病毒現(xiàn)象類似硬件故障系統(tǒng)硬件配置電源電壓不穩(wěn)定插件接觸不良軟驅(qū)故障關(guān)于CMOS問題新版計算機病毒概述第74頁九、計算機病毒命名規(guī)則

CARO命名規(guī)則，每一個病毒命名包含五個部分：病毒家族名病毒組名大變種小變種修改者CARO規(guī)則一些附加規(guī)則包含：不用地點命名不用企業(yè)或商標(biāo)命名假如已經(jīng)有了名字就不再另起別名變種病毒是原病毒子類新版計算機病毒概述第75頁

精靈（Cunning）病毒是瀑布（Cascade）病毒變種，它在發(fā)作時能奏樂，所以被命名為Cascade.1701.A。Cascade是家族名，1701是組名。因為Cascade病毒變種大小不一（1701,1704,1621等），所以用大小來表示組名。A表示該病毒是某個組中第一個變種。

業(yè)界補充：反病毒軟件商們通常在CARO命名前面加一個前綴來標(biāo)明病毒類型。比如，WM表示MSWord宏病毒；Win32指32位Windows病毒；VBS指VB腳本病毒。這么，梅麗莎病毒一個變種命名就成了W97M.Melissa.AA，Happy99蠕蟲就被稱為Win32.Happy99.Worm。新版計算機病毒概述第76頁VGrep是反病毒廠商一個嘗試，這種方法將已知病毒名稱經(jīng)過某種方法關(guān)聯(lián)起來，其目標(biāo)是不論什么樣掃描軟件都能按照可被識別名稱鏈進行掃描。VGrep將病毒文件讀入并用不一樣掃描器進行掃描，掃描結(jié)果和被識別出信息放入數(shù)據(jù)庫中。每一個掃描器掃描結(jié)果與別掃描結(jié)果相比較并將結(jié)果用作病毒名交叉引用表。VGrep參加者贊同為每一個病毒起一個最通用名字最為代表名字。擁有成千上萬掃描器大型企業(yè)集團要求殺毒軟件供給商使用VGrep命名，這對于在世界范圍內(nèi)跟蹤多個病毒一致性很有幫助。新版計算機病毒概述第77頁十、計算機病毒防治新版計算機病毒概述第78頁病毒防治公理1、不存在這么一個反病毒軟硬件，能夠防治未來產(chǎn)生全部病毒。2、不存在這么一個病毒程序，能夠讓未來全部反病毒軟硬件都無法檢測。3、當(dāng)前反病毒軟件和硬件以及安全產(chǎn)品是都易耗品，必須經(jīng)常進行更新、升級。4、病毒產(chǎn)生在前，反病毒伎倆滯后現(xiàn)實狀況，將是一個長久過程。新版計算機病毒概述第79頁人類為防治病毒所做出努力

立體防護網(wǎng)絡(luò)版單機版防病毒卡新版計算機病毒概述第80頁對計算機病毒應(yīng)持有態(tài)度

1.客觀認(rèn)可計算機病毒存在，但不要懼怕病毒。

3.樹立計算機病毒意識，主動采取預(yù)防（備份等）辦法。4.掌握必要計算機病毒知識和病毒防治技術(shù)，對用戶至關(guān)主要。5.發(fā)覺病毒，冷靜處理。新版計算機病毒概述第81頁當(dāng)前廣泛應(yīng)用幾個防治技術(shù)：特征碼掃描法特征碼掃描法是分析出病毒特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時將掃描對象與特征代碼庫比較，如有吻合則判斷為染上病毒。該技術(shù)實現(xiàn)簡單有效，安全徹底；但查殺病毒滯后，而且龐大特征碼庫會造成查毒速度下降；新版計算機病毒概述第82頁虛擬執(zhí)行技術(shù)

該技術(shù)經(jīng)過虛擬執(zhí)行方法查殺病毒，能夠?qū)Ω都用?、變形、異型及病毒生產(chǎn)機生產(chǎn)病毒，含有以下特點：在查殺病毒時在機器虛擬內(nèi)存中模擬出一個“指令執(zhí)行虛擬機器”在虛擬機環(huán)境中虛擬執(zhí)行（不會被實際執(zhí)行）可疑帶毒文件在執(zhí)行過程中，從虛擬機環(huán)境內(nèi)截獲文件數(shù)據(jù)，假如含有可疑病毒代碼，則殺毒后將其還原到原文件中，從而實現(xiàn)對各類可執(zhí)行文件內(nèi)病毒查殺

新版計算機病毒概述第83頁智能引擎技術(shù)

智能引擎技術(shù)發(fā)展了特征碼掃描法優(yōu)點，改進了其弊端，使得病毒掃描速度不隨病毒庫增大而減慢。剛才面世瑞星殺毒軟件版即采取了此項技術(shù)，使病毒掃描速度比版提升了一倍之多；新版計算機病毒概述第84頁計算機監(jiān)控技術(shù)文件實時監(jiān)控內(nèi)存實時監(jiān)控腳本實時監(jiān)控郵件實時監(jiān)控注冊表實時監(jiān)控參考：新版計算機病毒概述第85頁未知病毒查殺技術(shù)

未知病毒技術(shù)是繼虛擬執(zhí)行技術(shù)后又一大技術(shù)突破，它結(jié)合了虛擬技術(shù)和人工智能技術(shù)，實現(xiàn)了對未知病毒準(zhǔn)確查殺。新版計算機病毒概述第86頁壓縮智能還原技術(shù)

世界上壓縮工具、打包工具、加“殼”工具多不勝數(shù)，病毒假如被這么工具處理后被層層包裹起來，對于防病毒軟件來說，就是一個噩夢。為了使用統(tǒng)一方法來處理這個問題，反病毒教授們創(chuàng)造了未知解壓技術(shù)，它能夠?qū)θ窟@類文件在內(nèi)存中還原，從而使得病毒完全暴露出來。新版計算機病毒概述第87頁多層防御，集中管理技術(shù)反病毒要以網(wǎng)為本，從網(wǎng)絡(luò)系統(tǒng)角度設(shè)計反病毒處理方案，只有這么才能有效地查殺網(wǎng)絡(luò)上計算機病毒。在網(wǎng)絡(luò)上，軟件安裝和管理方式是十分關(guān)鍵，它不但關(guān)系到網(wǎng)絡(luò)維護和管理效率和質(zhì)量，而且包括到網(wǎng)絡(luò)安全性。好殺毒軟件需要能在幾分鐘之內(nèi)便可輕松地安裝到組織里每一個NT服務(wù)器上，并可下載和散布到全部目標(biāo)機器上，由網(wǎng)絡(luò)管理員集中設(shè)置和管理，它會與操作系統(tǒng)及其它安全辦法緊密地結(jié)合在一起，成為網(wǎng)絡(luò)安全管理一部分，而且自動提供最正確網(wǎng)絡(luò)病毒防御辦法。新版計算機病毒概述第88頁病毒免疫技術(shù)

病毒免疫技術(shù)一直是反病毒教授研究熱點，它經(jīng)過加強自主訪問控制和設(shè)置磁盤禁寫保護區(qū)來實現(xiàn)病毒免疫基本構(gòu)想。實際上，最近出現(xiàn)軟件安全認(rèn)證技術(shù)也應(yīng)屬于此技術(shù)范圍，因為用戶應(yīng)用軟件多樣性和環(huán)境復(fù)雜性，病毒免疫技術(shù)到廣泛使用還有一段距離。新版計算機病毒概述第89頁病毒防治技術(shù)趨勢前瞻加強對未知病毒查殺能力加強對未知病毒查殺能力是反病毒行業(yè)持久課題，當(dāng)前國內(nèi)外多家企業(yè)都宣告自己產(chǎn)品能夠?qū)ξ粗《具M行查殺，但據(jù)我們研究，國內(nèi)外產(chǎn)品只有少數(shù)能夠?qū)ν患易逍虏《具M行預(yù)警，不能去除。當(dāng)前有些企業(yè)已經(jīng)在這一領(lǐng)域取得了突破性進展，能夠?qū)ξ粗狣OS病毒、未知PE病毒、未知宏病毒進行防范。其中對未知DOS病毒能查到90%以上，并能準(zhǔn)確去除其中80%，未知PE病毒能查到70%以上、未知宏病毒能實現(xiàn)查殺90%.新版計算機病毒概述第90頁防殺針對掌上型移動通訊工具和PDA病毒

伴隨掌上型移動通訊工具和PDA廣泛使用，針對這類系統(tǒng)病毒已經(jīng)開始出現(xiàn)，而且威脅將會越來越大，反病毒企業(yè)將投入更多力量來加強這類病毒防范。新版計算機病毒概述第91頁兼容性病毒防殺

當(dāng)前已經(jīng)發(fā)覺能夠同時在微軟WINDOWS和日益普及LINUX兩種不一樣操作系統(tǒng)內(nèi)運作病毒，這類病毒將會給人們帶來更多麻煩，促使反病毒企業(yè)加強防殺這類病毒。新版計算機病毒概述第92頁蠕蟲病毒和腳本病毒防殺不容忽略

蠕蟲病毒是一個能自我復(fù)制程序，駐留內(nèi)存并經(jīng)過計算機網(wǎng)絡(luò)復(fù)制自己，它經(jīng)過大量消耗系統(tǒng)資源，最終造成系統(tǒng)癱瘓。給人們帶來了巨大危害，腳本病毒因為其編寫相對輕易正成為另一個趨勢，這兩類病毒危害性使人們絲毫不能忽略對其防殺。新版計算機病毒概述第93頁十一、殺毒軟件及評價新版計算機病毒概述第94頁病毒查殺能力對新病毒反應(yīng)能力對文件備份和恢復(fù)能力實時監(jiān)控功效及時有效升級功效智能安裝、遠程識別功效界面友好、易于操作對現(xiàn)有資源占用情況（一）殺毒軟件必備功效

新版計算機病毒概述第95頁系統(tǒng)兼容性軟件價格軟件商實力新版計算機病毒概述第96頁（二）國內(nèi)外殺毒軟件及市場金山毒霸、瑞星殺毒、KV3000、PC-CillinVirusBuster、NortonAntiVirus、McafeeVirusScan、KasperskyAntivirus、F-SecureAntivirus,Nod32等。新版計算機病毒概述第97頁《電腦報》評測結(jié)果新版計算機病毒概述第98頁AV-Test年5月排名新版計算機病毒概述第99頁十二、處理方案和策略新版計算機病毒概述第100頁

企業(yè)網(wǎng)絡(luò)中病毒漏洞FileServerMailServerClientInternetGatewayFirewallInternet

企業(yè)網(wǎng)絡(luò)基本結(jié)構(gòu)

網(wǎng)關(guān)（Gateway)

服務(wù)器（Servers)

郵件服務(wù)器文件/應(yīng)用服務(wù)器客戶端（clients)新版計算機病毒概述第101頁

趨勢整體防病毒處理方案FirewallInternetFileServerClientInternetGatewayInterScanVirusWallServerProtectforNT

forNetWareCentralControlTVCSMailServerScanMailforExchange

forLotusNotesOfficeScanClientsOfficeScanServerOfficeScanServer

趨勢整體防病毒處理方案

1網(wǎng)關(guān)級處理方案InterScanViruswall

2服務(wù)器級處理方案

郵件服務(wù)器ScanMail

forExchange/forNotes

文件服務(wù)器ServerProtect

forNT/Netware3客戶端處理方案OfficeScan4集中管理系統(tǒng)處理方案TVCS

(TrendVirusControlSystem)新版計算機病毒概述第102頁防病毒策略1、建立病毒防治規(guī)章制度，嚴(yán)格管理；

2、建立病毒防治和應(yīng)急體系；

3、進行計算機安全教育，提升安全防范意識；

4、對系統(tǒng)進行風(fēng)險評定；

5、選擇經(jīng)過公安部認(rèn)證病毒防治產(chǎn)品；