計(jì)算機(jī)病毒防治TCSP認(rèn)證第九講計(jì)算機(jī)病毒概述課件

計(jì)算機(jī)病毒防治TCSP認(rèn)證第九講計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒防治TCSP認(rèn)證第九講計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒防治TCSP認(rèn)證第九講計(jì)算機(jī)病毒概述本章概要本章內(nèi)容主要是計(jì)算機(jī)病毒的基礎(chǔ)知識(shí)，包括：計(jì)算機(jī)病毒概念計(jì)算機(jī)病毒的生命周期計(jì)算機(jī)病毒發(fā)展簡史計(jì)算機(jī)病毒不良特征及危害計(jì)算機(jī)病毒分類計(jì)算機(jī)病毒的命名原則研究計(jì)算機(jī)病毒的基本準(zhǔn)則2計(jì)算機(jī)病毒防治TCSP認(rèn)證第九講計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒防治本章概要本章內(nèi)容主要是計(jì)算機(jī)病毒的基礎(chǔ)知識(shí)，包括：計(jì)算機(jī)病毒概念計(jì)算機(jī)病毒的生命周期計(jì)算機(jī)病毒發(fā)展簡史計(jì)算機(jī)病毒不良特征及危害計(jì)算機(jī)病毒分類計(jì)算機(jī)病毒的命名原則研究計(jì)算機(jī)病毒的基本準(zhǔn)則2本章概要本章內(nèi)容主要是計(jì)算機(jī)病毒的基礎(chǔ)知識(shí)，包括：2本章目標(biāo)

通過本章學(xué)習(xí)，學(xué)員應(yīng)該了解計(jì)算機(jī)病毒的基本概念、分類方法、病毒的特征、傳播途徑及研究病毒的基本準(zhǔn)則等，為深入了解計(jì)算機(jī)病毒做好準(zhǔn)備。3本章目標(biāo) 通過本章學(xué)習(xí)，學(xué)員應(yīng)該了解計(jì)算機(jī)病毒的基本概念、計(jì)算機(jī)病毒概念2020/11/4計(jì)算機(jī)病毒概念2020/11/4什么是病毒?廣義的病毒：

泛指所有惡意軟件，即Malware。

Malware是由兩個(gè)英文單詞融合而成，分別是Malicious（懷惡意的,惡毒的）和Software（軟件）。狹義的病毒：狹義的病毒特指惡意軟件中的一類——文件感染型病毒。這類惡意軟件與其他惡意軟件的不同之處在于它會(huì)感染其他可執(zhí)行文件。關(guān)于這類惡意軟件的詳情可參考第十七章《文件感染型病毒》5什么是病毒?廣義的病毒：5什么是病毒?狹義的病毒：特指惡意軟件中的一類——文件感染型病毒。這類惡意軟件與其他惡意軟件的不同之處在于它會(huì)感染其他可執(zhí)行文件。6什么是病毒?狹義的病毒：6什么是計(jì)算機(jī)病毒?計(jì)算機(jī)病毒通常是指可以自我復(fù)制，以及向其他文件傳播的程序。7什么是計(jì)算機(jī)病毒?計(jì)算機(jī)病毒通常是指可以自我復(fù)制，以及向其他計(jì)算機(jī)病毒的生命周期8計(jì)算機(jī)病毒的生命周期8計(jì)算機(jī)病毒簡史2020/11/4計(jì)算機(jī)病毒簡史2020/11/4計(jì)算機(jī)病毒起源計(jì)算機(jī)病毒的來源多種多樣，有的是計(jì)算機(jī)工作人員或業(yè)余愛好者為了純粹尋開心而制造出來的有的則是軟件公司為保護(hù)自己的產(chǎn)品被非法拷貝而制造的報(bào)復(fù)性懲罰10計(jì)算機(jī)病毒起源計(jì)算機(jī)病毒的來源多種多樣，有的是計(jì)算機(jī)工作人員計(jì)算機(jī)病毒歷史1961年，美國的三個(gè)程序員通過編寫小程序破壞對(duì)方、復(fù)制自身等來獲取游戲勝利；這是計(jì)算機(jī)病毒“雛形”1971年，世界上第一個(gè)病毒CREEPER（爬行者）出現(xiàn)；不久一個(gè)名為Reaper（收割機(jī)）的程序出現(xiàn)，這是病毒史上的第一個(gè)專殺工具“計(jì)算機(jī)病毒”這一概念是1977年由美國著名科普作家“雷恩”在一部科幻小說《P1的青春》中提出1983年美國計(jì)算機(jī)安全專家“考因”首次通過實(shí)驗(yàn)證明了病毒的可實(shí)現(xiàn)性1989年全世界的計(jì)算機(jī)病毒攻擊十分猖獗，其中"米開朗基羅"病毒給許多計(jì)算機(jī)用戶造成極大損失。11計(jì)算機(jī)病毒歷史1961年，美國的三個(gè)程序員通過編寫小程序破壞計(jì)算機(jī)病毒歷史1989年全世界的計(jì)算機(jī)病毒攻擊十分猖獗，其中"米開朗基羅"病毒給許多計(jì)算機(jī)用戶造成極大損失。1991年在“海灣戰(zhàn)爭”中，美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)1992年出現(xiàn)針對(duì)殺毒軟件的"幽靈"病毒，如One-half。1996年首次出現(xiàn)針對(duì)微軟公司Office的"宏病毒"。1997年被公認(rèn)為計(jì)算機(jī)反病毒界的“宏病毒”年。1998年出現(xiàn)針對(duì)Windows95/98系統(tǒng)的病毒，如CIH（1998年被公認(rèn)為計(jì)算機(jī)反病毒界的CIH病毒年）。1999年Happy99等完全通過Internet傳播的病毒的出現(xiàn)標(biāo)志著Internet病毒將成為病毒新的增長點(diǎn)。

12計(jì)算機(jī)病毒歷史1989年全世界的計(jì)算機(jī)病毒攻擊十分猖獗，其計(jì)算機(jī)病毒發(fā)展 1、DOS引導(dǎo)階段

1987年，計(jì)算機(jī)病毒主要是引導(dǎo)型病毒，具有代表性的是“小球”和“石頭”病毒。

當(dāng)時(shí)的計(jì)算機(jī)硬件較少,功能簡單,一般需要通過軟盤啟動(dòng)后使用。引導(dǎo)型病毒利用軟盤得啟動(dòng)原理工作,它們修改系統(tǒng)啟動(dòng)扇區(qū),在計(jì)算機(jī)啟動(dòng)時(shí)首先取得控制權(quán),減少系統(tǒng)內(nèi)存,修改磁盤讀寫中斷,影響系統(tǒng)工作效率,在系統(tǒng)存取磁盤時(shí)進(jìn)行傳播。1989年,引導(dǎo)型病毒發(fā)展為可以感染硬盤,典型的代表有"石頭2"。13計(jì)算機(jī)病毒發(fā)展 1、DOS引導(dǎo)階段13計(jì)算機(jī)病毒發(fā)展 2、DOS可執(zhí)行階段

1989年,可執(zhí)行文件型病毒出現(xiàn),它們利用DOS系統(tǒng)加載執(zhí)行文件的機(jī)制工作,代表為"耶路撒冷","星期天"病毒,病毒代碼在系統(tǒng)執(zhí)行文件時(shí)取得控制權(quán),修改DOS中斷,在系統(tǒng)調(diào)用時(shí)進(jìn)行傳染,并將自己附加在可執(zhí)行文件中,使文件長度增加。1990年,發(fā)展為復(fù)合型病毒,可感染COM和EXE文件。14計(jì)算機(jī)病毒發(fā)展 2、DOS可執(zhí)行階段

14計(jì)算機(jī)病毒發(fā)展 3、批處理型階段

1992年,伴隨型病毒出現(xiàn),它們利用DOS加載文件的優(yōu)先順序進(jìn)行工作。它感染EXE文件時(shí)生成一個(gè)和EXE同名的擴(kuò)展名為COM伴隨體;它感染COM文件時(shí),改為原來的COM文件為同名的EXE文件,在產(chǎn)生一個(gè)原名的伴隨體,文件擴(kuò)展名為COM。這樣,在DOS加載文件時(shí),病毒就取得控制權(quán)。15計(jì)算機(jī)病毒發(fā)展 3、批處理型階段

15計(jì)算機(jī)病毒發(fā)展 4、幽靈、多形階段

1994年,隨著匯編語言的發(fā)展,實(shí)現(xiàn)同一功能可以用不同的方式進(jìn)行完成,這些方式的組合使一段看似隨機(jī)的代碼產(chǎn)生相同的運(yùn)算結(jié)果。幽靈病毒就是利用這個(gè)特點(diǎn),每感染一次就產(chǎn)生不同的代碼。16計(jì)算機(jī)病毒發(fā)展 4、幽靈、多形階段16計(jì)算機(jī)病毒發(fā)展 5、生成器階段

1995年,在匯編語言中,一些數(shù)據(jù)的運(yùn)算放在不同的通用寄存器中,可運(yùn)算出同樣的結(jié)果,隨機(jī)的插入一些空操作和無關(guān)指令,也不影響運(yùn)算的結(jié)果,這樣,一段解碼算法就可以由生成器生成。當(dāng)生成的是病毒時(shí),這種復(fù)雜的稱之為病毒生成器和變體機(jī)就產(chǎn)生了。具有典型代表的是"病毒制造機(jī)"VCL17計(jì)算機(jī)病毒發(fā)展 5、生成器階段17計(jì)算機(jī)病毒發(fā)展

6、網(wǎng)絡(luò)、蠕蟲階段

1995年,隨著網(wǎng)絡(luò)的普及,病毒開始利用網(wǎng)絡(luò)進(jìn)行傳播,它們只是以上幾代病毒的改進(jìn)。在非DOS操作系統(tǒng)中,"蠕蟲"是典型的代表,它不占用除內(nèi)存以外的任何資源,不修改磁盤文件,利用網(wǎng)絡(luò)功能搜索網(wǎng)絡(luò)地址,將自身向下一地址進(jìn)行傳播,有時(shí)也在網(wǎng)絡(luò)服務(wù)器和啟動(dòng)文件中存在。18計(jì)算機(jī)病毒發(fā)展 6、網(wǎng)絡(luò)、蠕蟲階段18計(jì)算機(jī)病毒發(fā)展 7、Windows病毒階段

1996年,隨著Windows和Windows95的日益普及,利用Windows進(jìn)行工作的病毒開始發(fā)展,它們修改(NE,PE)文件,典型的代表是DS.3873,這類病毒的機(jī)制更為復(fù)雜,它們利用保護(hù)模式和API調(diào)用接口工作,清除方法也比較復(fù)雜。19計(jì)算機(jī)病毒發(fā)展 7、Windows病毒階段19計(jì)算機(jī)病毒發(fā)展 8、宏病毒階段

1996年,隨著WindowsWord功能的增強(qiáng),使用Word宏語言也可以編制病毒,這種病毒使用類Basic語言,編寫容易,感染W(wǎng)ord文檔文件。在Excel和AmiPro出現(xiàn)的相同工作機(jī)制的病毒也歸為此類。20計(jì)算機(jī)病毒發(fā)展 8、宏病毒階段20計(jì)算機(jī)病毒發(fā)展 9、互連網(wǎng)階段

1997年,隨著因特網(wǎng)的發(fā)展,各種病毒也開始利用因特網(wǎng)進(jìn)行傳播,一些攜帶病毒的數(shù)據(jù)包和郵件越來越多,如果不小心打開了這些郵件,機(jī)器就有可能中毒。21計(jì)算機(jī)病毒發(fā)展 9、互連網(wǎng)階段21重大計(jì)算機(jī)病毒事件1988年11月2日，Internet前身Arpanet網(wǎng)絡(luò)遭到蠕蟲的攻擊，導(dǎo)致癱瘓，其始作俑者為康奈爾大學(xué)計(jì)算機(jī)科學(xué)系研究生羅伯特·莫里斯

1998年出現(xiàn)的CIH病毒是一個(gè)全新的新型病毒。這種病毒與DOS下的傳統(tǒng)病毒有很大不同，它使用面向Windows的VXD技術(shù)編制。該病毒是第一個(gè)直接攻擊，導(dǎo)致硬件不能正常工作的計(jì)算機(jī)病毒。它主要感染W(wǎng)indows95/98的可執(zhí)行程序，發(fā)作時(shí)破壞計(jì)算機(jī)FlashBIOS芯片中的系統(tǒng)程序，導(dǎo)致主板損壞，同時(shí)破壞硬盤中的數(shù)據(jù)。

22重大計(jì)算機(jī)病毒事件1988年11月2日，Internet前重大計(jì)算機(jī)病毒事件1999年4月出現(xiàn)的梅麗莎病毒，是第一個(gè)通過電子郵件傳播的病毒，短短24小時(shí)之內(nèi)就使美國數(shù)萬臺(tái)服務(wù)器、數(shù)十萬臺(tái)工作站癱瘓，造成損失高達(dá)10億美元。23重大計(jì)算機(jī)病毒事件1999年4月出現(xiàn)的梅麗莎病毒，是第一個(gè)重大計(jì)算機(jī)病毒事件2003年，沖擊波病毒利用Windows操作系統(tǒng)的RPC漏洞大量傳播，導(dǎo)致上百萬臺(tái)計(jì)算機(jī)被迫重啟，損失不計(jì)其數(shù)。在其之后的震蕩波病毒，同樣應(yīng)用了類似的漏洞，這使中國廣大的計(jì)算機(jī)使用者，第一次面對(duì)“漏洞”這個(gè)名詞的時(shí)候，不得不同時(shí)面對(duì)巨大的損失。24重大計(jì)算機(jī)病毒事件2003年，沖擊波病毒利用Windows操重大計(jì)算機(jī)病毒事件

2007年所有人幾乎“談熊貓色變”，熊貓燒香在短短幾個(gè)月時(shí)間里感染了幾百萬臺(tái)電腦，。該病毒不僅感染可執(zhí)行文件，還會(huì)感染網(wǎng)頁文件，并通過局域網(wǎng)、U盤等渠道傳播，而且該病毒還對(duì)主流殺毒軟件進(jìn)行攻擊，并刪除gho后綴名的文件，使中毒的計(jì)算機(jī)無法恢復(fù)。

2007年2月12日抓獲病毒作者李?。校?5歲，武漢新洲區(qū)人），他編寫的“熊貓燒香”病毒并在網(wǎng)上廣泛傳播，并且還以自己出售和由他人代賣的方式，在網(wǎng)絡(luò)上將該病毒銷售給120余人，非法獲利10萬余元25重大計(jì)算機(jī)病毒事件2007年所有人幾乎“談熊貓色變”，計(jì)算機(jī)病毒不良特征26計(jì)算機(jī)病毒不良特征26計(jì)算機(jī)病毒的危害竊取敏感信息，造成用戶經(jīng)濟(jì)或精神損失；破壞文件或數(shù)據(jù)，造成用戶數(shù)據(jù)丟失或毀損；占用系統(tǒng)資源，造成計(jì)算機(jī)運(yùn)行緩慢；占用系統(tǒng)網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)阻塞或系統(tǒng)癱瘓；破壞操作系統(tǒng)等軟件或計(jì)算機(jī)主板等硬件，造成計(jì)算機(jī)無法啟動(dòng)；其他錯(cuò)誤及不可預(yù)知的危害。27計(jì)算機(jī)病毒的危害竊取敏感信息，造成用戶經(jīng)濟(jì)或精神損失；27根據(jù)感染平臺(tái)分類

感染W(wǎng)indows系統(tǒng)病毒感染Unix/Linux系統(tǒng)的病毒感染其他操作系統(tǒng)跨平臺(tái)病毒

感染DOS系統(tǒng)病毒28根據(jù)感染平臺(tái)分類感染W(wǎng)indows系統(tǒng)病毒感染Uni根據(jù)宿主或感染對(duì)象分類

文件型病毒

復(fù)合型病毒

宏病毒

引導(dǎo)型病毒29根據(jù)宿主或感染對(duì)象分類文件型病毒復(fù)合型病毒宏病毒引導(dǎo)根據(jù)文件類型分類文本文件

其它可執(zhí)行文件30根據(jù)文件類型分類文本文件其它可執(zhí)行文件30根據(jù)惡意行為分類ThreatsSpamMalwareGraywareVirusesTrojansWormsSpywarePhishingPharmingBotsAdwareTrojanSpywareDownloadersDroppersPasswordStealersBackdoors防間諜軟件產(chǎn)品覆蓋范圍防病毒產(chǎn)品覆蓋范圍31根據(jù)惡意行為分類ThreatsSpamMalwareGray現(xiàn)代計(jì)算機(jī)病毒類型現(xiàn)代計(jì)算機(jī)病毒類型

特洛伊木馬程序

蠕蟲

玩笑程序

惡意程序dropper

后門程序

DDos攻擊程序32現(xiàn)代計(jì)算機(jī)病毒類型現(xiàn)代計(jì)算機(jī)病毒類型特洛伊木馬程序蠕蟲病毒的命名原則2020/11/4病毒的命名原則2020/11/4病毒命名規(guī)則文件類型

如Win32、W32、Win16、BAT、JS等

病毒類型

如WORM、TROJAN、BACKDOOR等

病毒（家族）名

如NETSKY、VIKING、CIH等

病毒變種名

一般以順序排列的字母后綴或數(shù)字組成一般來說病毒名稱至少包含以下內(nèi)容中的一至多項(xiàng)：34病毒命名規(guī)則文件類型

如Win32、W32、Win16、BA趨勢(shì)科技對(duì)于病毒的命名病毒名稱前綴病毒類型TROJ木馬WORM蠕蟲PE文件感染型ADW廣告組件TSPY間諜木馬JS腳本VBSVB腳本PACKER加殼文件BKDR后門程序JOKE玩