計算機技術(shù)- 3章計算機病毒

今天打開U盤項目提出打開文件的擴展名安全問題1提出安全問題2提出有一天，小李在QQ聊天時，收到一位網(wǎng)友發(fā)來的信息，如圖4-1所示，出于好奇和對網(wǎng)友的信任，小李打開了網(wǎng)友提供的超鏈接，此時突然彈出一個無法關(guān)閉的窗口，提示系統(tǒng)即將在一分鐘以后關(guān)機，并進入一分鐘倒計時狀態(tài)，如圖4-2所示。小李驚呼上當(dāng)受騙，那么小李的計算機究竟怎么了？我在網(wǎng)上下載一軟件，下載完成后出現(xiàn)如下圖提示，這是什么類型描述一的病毒？網(wǎng)絡(luò)安全技術(shù)安全問題3提出安全問題1分析：文件夾圖標類病毒是一類惡意病毒，它會將所有根目錄下和桌面上的文件夾全部隱藏，并將自己的副本命名為文件夾的名字。由于病毒的圖標就是文件夾圖標，如果沒有顯示擴展名的話很容易反復(fù)感染病毒。并且由于病毒的機理，會在硬盤上產(chǎn)生大量的病毒副本，即使副本被清理掉了，恢復(fù)隱藏的文件夾也是一件不容易的事情。1.開始--運行--gpedit.msc--用戶配置--管理模板--系統(tǒng)--關(guān)閉自動播放--啟用--關(guān)閉所有驅(qū)動器--確定2.重新啟動電腦,關(guān)閉自動播放的功能將奏效!安全問題2分析：沖擊波(Worm.Blaster)病毒小李的計算機中了沖擊波(Worm.Blaster)病毒。2002年8月12日，沖擊波病毒導(dǎo)致全球范圍內(nèi)數(shù)以億計的計算機中毒，所帶來的直接經(jīng)濟損失達數(shù)十億美金。病毒運行時會不停地利用IP掃描技術(shù)尋找網(wǎng)絡(luò)上系統(tǒng)為Windows2000或XP的計算機，找到后就利用RPC緩沖區(qū)漏洞攻擊該系統(tǒng)，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染，使系統(tǒng)操作異常、不停重新啟動、甚至導(dǎo)致系統(tǒng)崩潰。另外，該病毒還會對Microsoft的一個升級網(wǎng)站進行拒絕服務(wù)攻擊，導(dǎo)致該網(wǎng)站堵塞，使用戶無法通過該網(wǎng)站升級系統(tǒng)。安全問題3分析：木馬病毒木馬全稱“特洛伊木馬”，英文名稱為TrojanHorse，據(jù)說這個名稱來源于希臘神話《木馬屠城記》。與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。木馬病毒的產(chǎn)生嚴重危害著現(xiàn)代網(wǎng)絡(luò)的安全運行。能力CAPACITY要求了解什么是計算機病毒及其發(fā)展歷程。理解計算機病毒的特征。了解計算機病毒的分類。掌握典型計算機病毒的基本原理和查殺方法。病毒發(fā)展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發(fā)展趨勢一、計算機病毒的定義1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在《條例》第二十八條中明確指出：“計算機病毒，指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。病毒：Virus病毒發(fā)展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發(fā)展趨勢二、計算機病毒的發(fā)展史01OPTION02OPTION03OPTION04OPTION計算機病毒的產(chǎn)生的思想基礎(chǔ)和病毒發(fā)展簡介實驗室中產(chǎn)生——病毒的祖先（磁芯大戰(zhàn)）計算機病毒的出現(xiàn)（1983年）我國計算機病毒的出現(xiàn)（1989年）二、計算機病毒的發(fā)展史病毒的產(chǎn)生原因（4）出于政治、戰(zhàn)爭的需要（3）出于某種報復(fù)目的或惡作劇而編寫病毒（1）編制人員出于一種炫耀和顯示自己能力的目的（2）某些軟件作者出于版權(quán)保護的目的而編制二、計算機病毒的發(fā)展史計算機病毒的發(fā)展歷程1.DOS引導(dǎo)階段3.伴隨階段5.生成器、變體機階段7.視窗階段9.郵件病毒階段8.宏病毒階段6.網(wǎng)絡(luò)、蠕蟲階段4.多形階段2.DOS可執(zhí)行階段10.手持移動設(shè)備病毒階段時

間名

稱事

件1983.11.10

弗里德·科恩以測試計算機安全為目的編寫首個計算機病毒1986Brain巴基斯坦的兩兄弟為了防止自己辛苦編寫的DOS軟件被盜版制作的軟盤引導(dǎo)病毒1987.10黑色星期五病毒第一次大規(guī)模爆發(fā)1988.11蠕蟲病毒羅伯特·莫里斯寫的第一個蠕蟲病毒

1990.14096發(fā)現(xiàn)首例隱蔽型病毒，破壞數(shù)據(jù)1991.4米開朗基羅第一個格式化硬盤的開機型病毒1991GPI首例網(wǎng)絡(luò)病毒，突破了NOVELL公司的Netware網(wǎng)絡(luò)安全機制1995VCL（VirusCreationLaboratory）病毒生產(chǎn)工具在美國傳播1996宏病毒傳播方式增加（郵件等）1998CIH第一個破壞硬件的病毒，面向Windows的VxD技術(shù)編制的1999Mellisa、happy99郵件病毒2000紅色代碼黑客型病毒2000.6VBS.Timofonica世界上第一個手機病毒2001Nimda集中了當(dāng)時所有蠕蟲傳播途徑，成為當(dāng)時破壞性非常大的病毒2002SQLSPIDA.B第一個攻擊SQL服務(wù)器的病毒二、計算機病毒的發(fā)展史典型的計算機病毒事件二、計算機病毒的發(fā)展史典型的計算機病毒事件時

間名

稱事

件2003SQL_slammer利用SQLServer數(shù)據(jù)庫的漏洞2003.8沖擊波通過微軟的RPC緩沖區(qū)溢出漏洞進行傳播的蠕蟲病毒2004.5震蕩波類似于“沖擊波”病毒2005QQMyRun通過QQ傳播的蠕蟲病毒2006熊貓燒香破壞多種文件的蠕蟲病毒2007AV終結(jié)者專門破壞殺毒軟件的病毒2008.3磁碟機病毒近幾年來發(fā)現(xiàn)的病毒技術(shù)含量最高、破壞性最強的病毒，其破壞能力、自我保護和反殺毒軟件能力均10倍于“熊貓燒香”2009機器狗該病毒變種繁多，多表現(xiàn)為殺毒軟件無法正常運行2010廣告木馬2010年通過篡改網(wǎng)頁的廣告木馬最流行2011鬼影病毒特點基本為改寫硬盤主引導(dǎo)記錄（MBR）釋放驅(qū)動程序替換系統(tǒng)文件，干擾或阻止殺毒軟件運行，惡意修改主頁，下載多種盜號木馬2012鬼影病毒變種出現(xiàn)數(shù)個變種，包括鬼影5、鬼影6、鬼影6變種等2014蘋果大盜病毒該病毒爆發(fā)在“越獄”的apple手機上，目的盜取AppleID和密碼2015Xcodeghost病毒感染Apple手機，主要通過非官方下載的Xcode傳播，使編譯出的App被注入第三方的代碼，向指定網(wǎng)站上傳用戶數(shù)據(jù)二、計算機病毒的發(fā)展史計算機病毒的危害1、計算機病毒造成巨大的社會經(jīng)濟損失2、影響政府職能部門正常工作的開展3、計算機病毒被賦予越來越多的政治意義4、利用計算機病毒犯罪現(xiàn)象越來越嚴重病毒發(fā)展史計算機病毒的定義計算機病毒命名與特點病毒分類病毒的防護計算機病毒的發(fā)展趨勢病毒的命名方式Worm.Sasser.c<病毒前綴>.<病毒名>.<病毒后綴>病毒前綴:表示病毒的類型木馬(Trojan) 蠕蟲病毒(Worm，net-worm)宏病毒(Macro:excel,word,powerpoint)后門病毒(Backdoor)腳本病毒(script:JV,VB)系統(tǒng)病毒(win32,PE,WIN95,W32)

病毒后綴:一個病毒的變種特征，是用來區(qū)別具體某個家族病毒的某個變種的。一般都采用英文中的26個字母來表示舉個例卡巴斯基中國地區(qū)每周病毒報告三、計算機病毒的特點計算機病毒的特點傳染性破壞性潛伏性和可觸發(fā)性非授權(quán)性隱藏性不可預(yù)見性4.3.4宏病毒和蠕蟲病毒1.宏病毒宏(Macro)是Microsoft公司為其Office軟件包設(shè)計的一項特殊功能，Microsoft公司設(shè)計它的目的是讓人們在使用Office軟件進行工作時避免一再地重復(fù)相同的動作。利用簡單的語法，把常用的動作寫成宏，在工作時，可以直接利用事先編寫好的宏自動運行，完成某項特定的任務(wù)，而不必再重復(fù)相同的動作，讓用戶文檔中的一些任務(wù)自動化。使用Word軟件時，通用模板(Normal.dot)里面就包含了基本的宏，因此當(dāng)使用該模板時，Word為用戶設(shè)定了很多基本的格式。宏病毒是用VisualBasic語言編寫的，這些宏病毒不是為了方便人們的工作而設(shè)計的，而是用來對系統(tǒng)進行破壞的。當(dāng)含有這些宏病毒的文檔被打開時，里面的宏病毒就會被激活，并能通過DOC文檔及DOT模板進行自我復(fù)制及傳播。以往病毒只感染程序，不感染數(shù)據(jù)文件，而宏病毒專門感染數(shù)據(jù)文件，徹底改變了“數(shù)據(jù)文件不會傳播病毒”的錯誤認識。宏病毒會感染Office的文檔及其模板文件。Word可以識別的自動宏宏名運行條件AutoExec啟動Word時AutoNew每次新建文檔時AutoOpen每次打開已有文檔時AutoClose每次關(guān)閉文檔時AutoExit退出word時以上宏能獲得文檔（模板）操作控制權(quán)。有些宏病毒還通過FileNew，F(xiàn)ileOpen，F(xiàn)ileSave，F(xiàn)ileSaveAs，F(xiàn)ileExit等宏控制文件的操作。宏病毒演示---學(xué)生實訓(xùn)在虛擬機中實現(xiàn)(物理）在WORD中建一個AUTOOPEN宏病毒:工具----宏-----錄制新宏-----宏名(AUTOOPEN)-----加到NORMAL模板中-----開始建制宏----做些破壞性的操作------打開宏進行編輯----寫個死循環(huán)的程序(1000次).i=100whilei>=1----WendAPI制作一個簡單的宏病毒(學(xué)生課后項目）①步驟1：在Word文檔中，選擇“插入”→“對象”命令，打開“對象”對話框，如圖4-24所示。步驟2：在“新建”選項卡中，選擇“包”選項后，單擊“確定”按鈕，打開“對象包裝程序”窗口，如圖4-25所示，選擇該窗口中的“編輯”→“命令行”命令，在打開的“命令行”對話框中輸入“C:\windows\system32\formatD:/q”(快速格式化D盤），單擊“確定”按鈕。命令行：C:\windows\system32\cmd.exe(修改為一個木馬程序）步驟3：然后在“對象包裝程序”窗口中單擊“插入圖標”按鈕，打開“更改圖標”對話框，如圖4-26所示，為該命令行選擇一個有誘惑力的圖標，然后關(guān)閉“對象包裝程序”窗口。步驟4：此時會在文檔的相關(guān)位置出現(xiàn)一個和相關(guān)命令關(guān)聯(lián)的圖標，還可以在圖標旁邊加注一些鼓動性的文字，如圖4-27所示，盡量使瀏覽者看到后想用鼠標單擊，這樣一個簡單的宏病毒就制作成功了。②宏病毒的防范步驟1：使用殺毒軟件查殺Office軟件的安裝目錄和相關(guān)Office文檔。步驟2：在Word2003軟件中，選擇“工具”→“宏”→“安全性”命令，打開“安全性”對話框，在“安全級”選項卡中，選中“高”單選按鈕，如圖4-29所示，表示只允許運行可靠來源簽署的宏，未經(jīng)簽署的宏會自動取消。宏病毒防范措施①提高宏的安全級別。目前，高版本的Word軟件可以設(shè)置宏的安全級別，在不影響正常使用的情況下，應(yīng)該選擇較高的安全級別。②刪除不知來路的宏定義。③將Normal.dot模板進行備份，當(dāng)被病毒感染后，使用備份模板進行覆蓋。如果懷疑外來文件含有宏病毒，可以使用寫字板軟件打開該文件，然后將文本粘貼到Word文檔中，轉(zhuǎn)換后的文檔是不會含有宏病毒的。用專殺工具病毒發(fā)展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發(fā)展趨勢四、病毒分類依據(jù)不同的分類標準，計算機病毒可以做不同的歸類。常見的分類標準有：根據(jù)病毒的傳染途徑03根據(jù)病毒依附的操作系統(tǒng)01根據(jù)病毒的傳播媒介02四、病毒分類病毒依附的操作系統(tǒng)DOS01MicrosoftWindows02嵌入式系統(tǒng)（工業(yè)系統(tǒng)、手機操作系統(tǒng)）04Unix/Linux03四、病毒分類病毒的傳播媒介存儲介質(zhì)網(wǎng)絡(luò)1、網(wǎng)絡(luò)下載2、網(wǎng)頁掛馬3、局域網(wǎng)(Funlove)4、遠程攻擊(Blaster)5、郵件(SoBig)四、病毒分類病毒的傳播媒介上網(wǎng)計算機光盤、軟盤網(wǎng)絡(luò)U盤、移動硬盤等移動存儲設(shè)備其他途徑Web瀏覽器下載軟件即時通信軟件其他網(wǎng)絡(luò)軟件IE火狐傲游Opera迅雷快車BT下載電驢QQMSN淘寶旺旺新浪UC電子郵件網(wǎng)上銀行網(wǎng)絡(luò)游戲其他四、病毒分類病毒的傳播和感染對象感染引導(dǎo)區(qū)感染文件可執(zhí)行文件OFFICE宏網(wǎng)頁腳本（Java小程序和ActiveX控件）其他惡意程序破壞程序網(wǎng)絡(luò)木馬網(wǎng)絡(luò)蠕蟲病毒發(fā)展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發(fā)展趨勢CIH病毒五、計算機病毒的發(fā)展趨勢病毒演示CIH將硬盤

FORMAT!CIH將BIOS給毀了

!五、計算機病毒的發(fā)展趨勢病毒演示—彩帶病毒五、計算機病毒的發(fā)展趨勢病毒演示—女鬼病毒五、計算機病毒的發(fā)展趨勢病毒演示—千年老妖病毒演示—圣誕節(jié)病毒五、計算機病毒的發(fā)展趨勢病毒演示—白雪公主巨大的黑白螺旋占據(jù)了屏幕位置，使計算機使用者無法進行任何操作！五、計算機病毒的發(fā)展趨勢病毒演示—紅色代碼198.137.240.91()五、計算機病毒的發(fā)展趨勢病毒發(fā)作現(xiàn)象AIDS幻彩救護車Happy99KetapangKmpsd五、計算機病毒的發(fā)展趨勢通過網(wǎng)絡(luò)傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征，如不利用文件寄生（有的只存在于內(nèi)存中）,對網(wǎng)絡(luò)造成拒絕服務(wù)，以及和黑客技術(shù)相結(jié)合等等。蠕蟲病毒蠕蟲病毒與其他病毒的區(qū)別普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網(wǎng)絡(luò)計算機五、計算機病毒的發(fā)展趨勢蠕蟲病毒的特點傳染方式多一種是針對企業(yè)的局域網(wǎng)，主要通過系統(tǒng)漏洞；另外一種是針對個人用戶的,主要通過電子郵件,惡意網(wǎng)頁形式迅速傳播的蠕蟲病毒。傳播速度快清除難度大破壞性強五、計算機病毒的發(fā)展趨勢實例：2003蠕蟲王“熊貓燒香”病毒實例2006年底，“熊貓燒香”病毒在我國Internet上大規(guī)模爆發(fā)，由于該病毒傳播手段極為全面，并且變種頻繁更新，讓用戶和殺毒廠商防不勝防，被列為2006年10大病毒之首?！靶茇垷恪辈《臼且环N蠕蟲病毒(尼姆達)的變種，而且是經(jīng)過多次變種而來的。由于中毒計算機的可執(zhí)行文件會出現(xiàn)“熊貓燒香”圖案，所以被稱為“熊貓燒香”病毒?！靶茇垷恪辈《臼怯肈elphi語言編寫的，這是一個有黑客性質(zhì)感染型的蠕蟲病毒(即：蠕蟲＋木馬)。2007年2月，“熊貓燒香”病毒設(shè)計者李俊歸案，交出殺病毒軟件。2007年9月，湖北省仙桃市法院一審以破壞計算機信息系統(tǒng)罪判處李俊有期徒刑4年。2013年6月13日晚間消息，“熊貓燒香”病毒的2名制造者在麗水“出山”，設(shè)立網(wǎng)絡(luò)賭場，斂財數(shù)百萬元。張順、李俊被法院以開設(shè)賭場罪分別判處有期徒刑五年和三年，并分別處罰金20萬元和8萬元。①感染“熊貓燒香”病毒的癥狀關(guān)閉眾多殺毒軟件和安全工具。感染所有EXE、SCR、PIF、COM文件，并更改圖標為燒香熊貓，如圖4-4所示。循環(huán)遍歷磁盤，感染文件，對關(guān)鍵系統(tǒng)文件跳過，不感染W(wǎng)indows媒體播放器、MSN、IE等程序。在硬盤各個分區(qū)中生成文件autorun.inf和setup.exe。感染所有.htm、.html、.asp、.php、.jsp、.aspx文件，添加木馬惡意代碼，導(dǎo)致用戶一打開這些網(wǎng)頁文件，IE就會自動連接到指定的病毒網(wǎng)址中下載病毒。自動刪除*.gho文件，使用戶的系統(tǒng)備份文件丟失。計算機會出現(xiàn)藍屏、頻繁重新啟動。②“熊貓燒香”病毒的傳播途徑。通過U盤和移動硬盤進行傳播。通過局域網(wǎng)共享文件夾、系統(tǒng)弱口令等傳播，當(dāng)病毒發(fā)現(xiàn)能成功連接攻擊目標的139或445端口后，將使用內(nèi)置的一個用戶列表及密碼字典進行連接。(猜測被攻擊端的密碼)當(dāng)成功的連接上以后，將自己復(fù)制過去并利用計劃任務(wù)啟動激活病毒。通過網(wǎng)頁傳播。③“熊貓燒香”病毒所造成的破壞。關(guān)閉眾多殺毒軟件。每隔1秒尋找桌面窗口，并關(guān)閉窗口標題中含有以下字符的程序：QQKav、QQAV、防火墻、進程、VirusScan、網(wǎng)鏢、殺毒、毒霸、瑞星、江民、超級兔子、優(yōu)化大師、木馬克星、注冊表編輯器、卡巴斯基反病毒、SymantecAntiVirus、Duba……修改注冊表。修改注冊表，使得病毒能自啟動、刪除安全軟件在注冊表中的鍵值、不顯示隱藏文件、刪除相關(guān)安全服務(wù)等。下載病毒文件。每隔10秒，下載病毒制作者指定的文件，并用命令行檢查系統(tǒng)中是否存在共享，如果共享存在就運行netshare命令關(guān)閉admin$共享。572008年新病毒的實例—“磁碟機”病毒58“磁碟機”病毒現(xiàn)象進入安全模式時對局域網(wǎng)發(fā)起ARP攻擊，鏈接到病毒網(wǎng)站飛客蠕蟲(HackExploitWin32MS08-067)是一個利用微軟MS08-067漏洞發(fā)起攻擊的蠕蟲病毒。該病毒會對隨機生成的IP地址發(fā)起攻擊，攻擊成功后會下載一個木馬病毒，通過修改注冊表鍵值來使某免費安全工具功能失效。病毒會修改hosts文件，使用戶無法正常訪問安全廠商網(wǎng)站及服務(wù)器。

五、計算機病毒的發(fā)展趨勢計算機病毒程序一般構(gòu)成計算機病毒程序通常由三個單元和一個標志構(gòu)成：引導(dǎo)模塊、感染模塊、破壞表現(xiàn)模塊和感染標志。感染模塊感染標志破壞模塊引導(dǎo)模塊五、計算機病毒的發(fā)展趨勢計算機病毒引起的異常情況123456異常情況計算機系統(tǒng)運行速度明顯降低系統(tǒng)容易死機文件改變、破壞磁盤空間迅速減少內(nèi)存不足系統(tǒng)異常頻繁重啟動7頻繁產(chǎn)生錯誤信息五、計算機病毒的發(fā)展趨勢網(wǎng)絡(luò)化病毒的特點123456網(wǎng)絡(luò)化：傳播速度快、爆發(fā)速度快、面廣隱蔽化：具有欺騙性（加密）多平臺、多種語言新方式：與黑客、特洛伊木馬相結(jié)合多途徑攻擊反病毒軟件7變化快（變種）8清除難度大9破壞性強病毒發(fā)展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發(fā)展趨勢六、病毒的防護反病毒技術(shù)簡述計算機病毒診斷技術(shù)

｝啟發(fā)式掃描特征代碼法校驗和法行為監(jiān)測法軟件模擬法01OPTION02OPTION03OPTION04OPTION六、病毒的防護1、采集已知病毒樣本2、打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼（唯一性）。特征代碼法優(yōu)點：

檢測準確快速、可識別病毒的名稱、誤報警率低、依據(jù)檢測結(jié)果，可做殺毒處理。缺點：不能檢測未知病毒、搜集已知病毒的特征代碼，費用開銷大、在網(wǎng)絡(luò)上效率低（在網(wǎng)絡(luò)服務(wù)器上，因長時間檢索會使整個網(wǎng)絡(luò)性能變壞）。

文件特征代碼內(nèi)存特征代碼六、病毒的防護將正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。針對多態(tài)病毒特點：能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒，但是，它不能識別病毒類型和名稱。誤報率高校驗和法六、病毒的防護利用病毒的特有行為特征性來監(jiān)測病毒的方法行為特征如下：

A、占有內(nèi)存特殊位置

B、改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量

C、對COM、EXE文件做寫入動作

D、