計算機網(wǎng)絡(luò)安全技術(shù)（第7版）（微課版） 課件 3 計算機病毒

計算機病毒概述計算機病毒分類計算機病毒概述計算機病毒特征和傳播途徑計算機病毒的防治計算機病毒概述

1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在《條例》第二十八條中明確指出：“計算機病毒，指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”。病毒：Virus一、計算機病毒的定義1、計算機病毒的產(chǎn)生的思想基礎(chǔ)和病毒發(fā)展簡介2、實驗室中產(chǎn)生——病毒的祖先（磁芯大戰(zhàn)）3、計算機病毒的出現(xiàn)（1983年）4、我國計算機病毒的出現(xiàn)（1989年）二、計算機病毒的發(fā)展史（1）編制人員出于一種炫耀和顯示自己能力的目的（2）某些軟件作者出于版權(quán)保護的目的而編制（3）出于某種報復(fù)目的或惡作劇而編寫病毒（4）出于政治、戰(zhàn)爭的需要病毒的產(chǎn)生原因1.DOS引導(dǎo)階段2.DOS可執(zhí)行階段3.伴隨階段4.多形階段5.生成器、變體機階段6.網(wǎng)絡(luò)、蠕蟲階段7.視窗階段8.宏病毒階段9.郵件病毒階段10.移動設(shè)備病毒階段計算機病毒的發(fā)展歷程時間（年）名稱事件1987黑色星期五病毒第一次大規(guī)模爆發(fā)1988蠕蟲病毒羅伯特·莫里斯寫的第一個蠕蟲病毒

19904096第一個隱蔽型病毒，會破壞數(shù)據(jù)1991米開朗基羅第一個格式化硬盤的開機型病毒1996Nuclear基于MicrosoftOffice的病毒1998CIH第一個破壞硬件的病毒1999Mellisa、happy99郵件病毒2000VBS.Timofonica第一個手機病毒2001Nimda集中了當(dāng)時所有蠕蟲傳播途徑，成為當(dāng)時破壞性非常大的病毒2003沖擊波通過微軟的RPC緩沖區(qū)溢出漏洞進行傳播的蠕蟲病毒2006熊貓燒香破壞多種文件的蠕蟲病毒2008磁碟機病毒其破壞、自我保護和反殺毒軟件能力均10倍于“熊貓燒香”病毒2014蘋果大盜病毒爆發(fā)在“越獄”的iPhone手機上，目的是盜取AppleID和密碼2017WannaCry勒索病毒至少150個國家的30萬名用戶中招，造成損失達80億美元2018GandCrab勒索病毒勒索病毒依然是2018年影響最大的病毒依據(jù)不同的分類標(biāo)準(zhǔn)，計算機病毒可以做不同的歸類。常見的分類標(biāo)準(zhǔn)有：1.根據(jù)病毒依附的操作系統(tǒng)2.根據(jù)病毒的傳播媒介3.根據(jù)病毒的傳染途徑3.2計算機病毒分類MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT/2000/XPUnix(Linux)其他操作系統(tǒng)（嵌入式）移動設(shè)備操作系統(tǒng)病毒攻擊的操作系統(tǒng)按照計算機病毒的宿主分類引導(dǎo)型病毒文件型病毒宏病毒蠕蟲病毒引導(dǎo)型病毒文件型病毒蠕蟲病毒比較項目病毒類型傳統(tǒng)病毒蠕蟲病毒存在形式寄存文件獨立存在傳染機制宿主文件運行主動攻擊傳染目標(biāo)文件網(wǎng)絡(luò)傳統(tǒng)病毒與蠕蟲病毒的比較蠕蟲（Worm）病毒是自包含的程序（或是一套程序），能傳播自身功能的副本或自身某些部分到其他的計算機系統(tǒng)中（通常是經(jīng)過網(wǎng)絡(luò)連接）。與一般計算機病毒不同，蠕蟲病毒不需要將其自身附著到宿主程序中。傳染性破壞性潛伏性和可觸發(fā)性非授權(quán)性隱藏性不可預(yù)見性3.3計算機病毒的特征計算機病毒的傳播途徑病毒PC端存儲介質(zhì)軟盤移動硬盤網(wǎng)絡(luò)下載Web網(wǎng)頁郵件即時通信局域網(wǎng)其他網(wǎng)絡(luò)應(yīng)用移動端APP惡意鏈接物聯(lián)網(wǎng)設(shè)備計算機病毒診斷技術(shù)1． 特征代碼法2．校驗和法3．行為監(jiān)測法4．軟件模擬法 3.4反病毒技術(shù)簡述｝啟發(fā)式掃描1.采集已知病毒樣本2．打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數(shù)據(jù)庫中的病毒特征代碼（唯一性）。優(yōu)點：

檢測準(zhǔn)確快速、可識別病毒的名稱、誤報警率低、依據(jù)檢測結(jié)果，可做殺毒處理。缺點：

不能檢測未知病毒；

開銷大、效率低特征代碼法將正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入文件中或?qū)懭雱e的文件中保存。針對多態(tài)病毒特點：能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒，但是，它不能識別病毒類型和名稱。誤報率高校驗和法利用病毒的特有行為特征性來監(jiān)測病毒的方法行為特征如下：

A.占有內(nèi)存特殊位置

B.改DOS系統(tǒng)為數(shù)據(jù)區(qū)的內(nèi)存總量

C.對COM、EXE文件做寫入動作

D.病毒程序與宿主程序的切換

……

特點：

可發(fā)現(xiàn)未知病毒、可相當(dāng)準(zhǔn)確地預(yù)報未知的多數(shù)病毒。

可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度。行為監(jiān)測法為了檢測多態(tài)性病毒，可應(yīng)用軟件模擬法。它是一種軟件分析器，用軟件方法來模擬和分析程序的運行。沙盤（沙盒）-Sandboxie