第一章 計算機病毒概述課件

計算機病毒及其防范技術(shù)大學(xué)生信息安全系列教程第一章計算機病毒概述開設(shè)這門課程的目的1、正確認(rèn)識計算機病毒2、正確防范計算機病毒及其他惡意程序3、提高個人信息安全及個人隱私保護的能力。4、自我防范意識的培養(yǎng)5、近些年計算機及公共信息安全案例6、正確區(qū)分計算機軟硬件故障及計算機病毒等引起的故障。7、計算機病毒查實實戰(zhàn)及病毒解析。8、網(wǎng)絡(luò)下載及游戲輔助工具注意事項。9、手機病毒及惡意程序解析。第一章計算機病毒概述計算機病毒及其防范技術(shù)第1章計算機病毒概述大學(xué)生信息安全系列教程第一章計算機病毒概述本章學(xué)習(xí)目標(biāo)明確計算機病毒的基本概念了解計算機病毒發(fā)展的歷史轉(zhuǎn)折點熟悉計算機病毒的分類熟悉商業(yè)計算機病毒命名規(guī)則掌握計算機病毒的發(fā)展趨勢第一章計算機病毒概述一、計算機病毒的定義計算機病毒產(chǎn)生的動機(原因)：計算機系統(tǒng)的脆弱性(IBM病毒防護計劃)作為一種文化（hacker）病毒編制技術(shù)學(xué)習(xí)。惡作劇。產(chǎn)生于個別人的報復(fù)心理。用于版權(quán)保護（江民公司）。用于特殊目的（軍事、計算機防病毒公司）。

第一章計算機病毒概述計算機病毒的前身只不過是程序員閑來無事而編寫的趣味程序；后來，才發(fā)展出了諸如破壞文件、修改系統(tǒng)參數(shù)、干擾計算機的正常工作等的惡性病毒。“病毒”一詞的正式出現(xiàn)在1985年3月份的“科學(xué)美國人”里。“計算機病毒”與醫(yī)學(xué)上的“病毒”不同，它不是天然存在的，是某些人利用計算機軟、硬件所固有的脆弱性，編制的具有特殊功能的程序。“計算機病毒”為什么叫做病毒？原因是，它與生物醫(yī)學(xué)上的病毒同樣有傳染和破壞的特性，因此這一名詞是由生物醫(yī)學(xué)上的“病毒”概念引申而來。第一章計算機病毒概述FredCohen定義：

計算機病毒是一種程序，他用修改其它程序的方法將自身的精確拷貝或者可能演化的拷貝插入其它程序，從而感染其它程序。FredCohen認(rèn)為：

病毒不是利用操作系統(tǒng)運行的錯誤和缺陷的程序，病毒是正常的用戶程序。第一章計算機病毒概述廣義定義：從廣義上講，凡能夠引起計算機故障，破壞計算機數(shù)據(jù)的程序統(tǒng)稱為計算機病毒。依據(jù)此定義，諸如惡意代碼，蠕蟲,木馬等均可稱為計算機病毒。在國內(nèi)，專家和研究者對計算機病毒也做過不盡相同的定義，但一直沒有公認(rèn)的明確定義。第一章計算機病毒概述標(biāo)準(zhǔn)定義（中國）：

直至1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在《條例》第二十八條中明確指出："計算機病毒，是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。"此定義具有法律性、權(quán)威性。第一章計算機病毒概述二、病毒特征和結(jié)構(gòu)

破壞性傳染性隱蔽性

寄生性觸發(fā)（潛伏）性第一章計算機病毒概述第一章計算機病毒概述/*引導(dǎo)功能模塊*/{將病毒程序寄生于宿主程序中；加載計算機程序；病毒程序隨其宿主程序的運行進(jìn)入系統(tǒng)；}{傳染功能模塊；}{破壞功能模塊；}main(){調(diào)用引導(dǎo)功能模塊；A：do{尋找傳染對象；if(傳染條件不滿足) gotoA；}while(滿足傳染條件)；調(diào)用傳染功能模塊；第一章計算機病毒概述while(滿足破壞條件) {激活病毒程序； 調(diào)用破壞功能模塊；}運行宿主源程序； if不關(guān)機 gotoA；關(guān)機；}第一章計算機病毒概述在第一部商用電腦出現(xiàn)之前，馮·諾伊曼在他的論文《復(fù)雜自動裝置的理論及組識的進(jìn)行》里，就已經(jīng)勾勒出了病毒程序的藍(lán)圖。Bell實驗室的磁心大戰(zhàn)（CoreWar）。70年代美國作家雷恩出版的《P1的青春－TheAdolescenceofP1》一書中作者構(gòu)思出了計算機病毒的概念。1983年11月3日，F(xiàn)redCohen博士研制出第一個計算機病毒（Unix）。1986年初，在巴基斯坦的拉合爾(Lahore)，巴錫特(Basit)和阿姆杰德(Amjad)兩兄弟經(jīng)營著一家IBM-PC機及其兼容機的小商店。他們編寫了Pakistan病毒，即Brain。在一年內(nèi)流傳到了世界各地。1987年世界各地的計算機用戶幾乎同時發(fā)現(xiàn)了形形色色的計算機病毒，如大麻、IBM圣誕樹、黑色星期五等等。三、病毒成長的痕跡第一章計算機病毒概述1988年3月2日，一種蘋果機的病毒發(fā)作，這天受感染的蘋果機停止工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機生日。1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個被稱為“蠕蟲”的電腦病毒送進(jìn)了美國最大的電腦網(wǎng)絡(luò)——互聯(lián)網(wǎng)。1988年11月2日下午5點，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡(luò)有不明入侵者。當(dāng)晚，從美國東海岸到西海岸，互聯(lián)網(wǎng)用戶陷入一片恐慌。1989年全世界的計算機病毒攻擊十分猖獗，我國也未幸免。1991年在“海灣戰(zhàn)爭”中，美軍第一次將計算機病毒用于實戰(zhàn)。1992年出現(xiàn)針對殺毒軟件的“幽靈”病毒，如One-half。第一章計算機病毒概述1996年首次出現(xiàn)針對微軟公司Office的“宏病毒”。1997年被公認(rèn)為計算機反病毒界的“宏病毒”年。1999年4月26日，CIH病毒在全球范圍大規(guī)模爆發(fā)，造成近6000萬臺電腦癱瘓。（該病毒產(chǎn)生于1998年）1999年Happy99等完全通過Internet傳播的病毒的出現(xiàn)標(biāo)志著Internet病毒將成為病毒新的增長點。2001年7月中旬，一種名為“紅色代碼”的病毒在美國大面積蔓延，這個專門攻擊服務(wù)器的病毒攻擊了白宮網(wǎng)站，造成了全世界恐慌。2003年，“2003蠕蟲王”病毒在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡(luò)災(zāi)害。

第一章計算機病毒概述2004年是蠕蟲泛濫的一年，大流行病毒：網(wǎng)絡(luò)天空(sky)高波(Worm.Agobot)愛情后門(Worm.Lovgate)震蕩波(Worm.Sasser)SCO炸彈(Worm.Novarg)沖擊波(Worm.Blaster)惡鷹(Worm.Bbeagle)小郵差(Worm.Mimail)求職信(Worm.Klez)大無極(Worm.SoBig)第一章計算機病毒概述2005年是木馬流行的一年，新木馬包括：8月9日，“閃盤竊密者（Trojan.UdiskThief）”病毒。該木馬病毒會判定電腦上移動設(shè)備的類型，自動把U盤里所有的資料都復(fù)制到電腦C盤的“test”文件夾下，這樣可能造成某些公用電腦用戶的資料丟失。11月25日，“證券大盜”（Ｔｒｏｊａｎ／ＰＳＷ．Ｓｏｕｆａｎ）。該木馬病毒可盜取包括南方證券、國泰君安在內(nèi)多家證券交易系統(tǒng)的交易賬戶和密碼，被盜號的股民賬戶存在被人惡意操縱的可能。7月29日，“外掛陷阱”（troj.Lineage.hp）。此病毒可以盜取多個網(wǎng)絡(luò)游戲的用戶信息，如果用戶通過登陸某個網(wǎng)站，下載安裝所需外掛后，便會發(fā)現(xiàn)外掛實際上是經(jīng)過偽裝的病毒，這個時候病毒便會自動安裝到用戶電腦中。9月28日，"我的照片"(Trojan.PSW.MyPhoto)病毒。該病毒試圖竊取《熱血江湖》、《傳奇》、《天堂Ⅱ》、《工商銀行》、《中國農(nóng)業(yè)銀行》等數(shù)十種網(wǎng)絡(luò)游戲及網(wǎng)絡(luò)銀行的賬號和密碼。該病毒發(fā)作時，會顯示一張照片使用戶對其放松警惕。第一章計算機病毒概述2006年木馬仍然是病毒主流，變種層出不窮2006年上半年，江民反病毒中心共截獲新病毒33358種，另據(jù)江民病毒預(yù)警中心監(jiān)測的數(shù)據(jù)顯示，1至6月全國共有7322453臺計算機感染了病毒，其中感染木馬病毒電腦2384868臺，占病毒感染電腦總數(shù)的32.56%，感染廣告軟件電腦1253918臺，占病毒感染電腦總數(shù)的17.12%，感染后門程序電腦

664589臺，占病毒感染電腦總數(shù)的9.03%，蠕蟲病毒216228臺，占病毒感染電腦總數(shù)的2.95%，監(jiān)測發(fā)現(xiàn)漏洞攻擊代碼感染181769臺，占病毒感染電腦總數(shù)的2.48%，腳本病毒感染15152臺，占病毒感染電腦總數(shù)的2.06%。第一章計算機病毒概述2007年：流氓軟件——反流氓軟件技術(shù)對抗的階段。Cnnic3721–yahoo第一章計算機病毒概述2008年：據(jù)江民反病毒中心、江民KV病毒預(yù)警監(jiān)測系統(tǒng)、江民全國惡意網(wǎng)頁監(jiān)測系統(tǒng)、江民客戶服務(wù)中心聯(lián)合監(jiān)測統(tǒng)計的數(shù)據(jù)顯示，2008年01月01日至2008年12月31日，共截獲病毒1095932種類（所有病毒計數(shù)按KV特征碼記錄計算，并非樣本MD5值，病毒變種無論多少均視為同一類病毒），較2007年增長201.9%，共有28085085臺用戶計算機感染了病毒。2008年計算機病毒疫情總體呈現(xiàn)出如下幾個特征：一、網(wǎng)游盜號類病毒大行其道，新木馬病毒中十有七八二、應(yīng)用軟件漏洞成為“網(wǎng)頁掛馬”新途徑三、網(wǎng)絡(luò)欺詐威脅急劇上升四、僵尸網(wǎng)絡(luò)有增無減BOT類病毒高發(fā)五、病毒產(chǎn)業(yè)化以及互聯(lián)網(wǎng)化日益明顯第一章計算機病毒概述2009年2009年我國最流行的前十種計算機病毒1、“木馬下載器”(Troj_Downloader)2、“U盤殺手”及變種3、“代理木馬”(Troj_Agent)及變種4、AutoRun及變種5、“網(wǎng)游大盜”（Troj_OnlineGames、Gamepass）及變種6、“灰鴿子”(GPigeon)及變種7、Troj_Startpage及變種8、“AV終結(jié)者”及變種9、Html_Iframe及變種10、Conficker及變種（Kido）第一章計算機病毒概述2010年據(jù)江民科技反病毒中心統(tǒng)計數(shù)據(jù)顯示，2010年全年共截獲計算機病毒（樣本）數(shù)1080余萬個，同比2009年下降了約15%。就單月的統(tǒng)計數(shù)據(jù)來看，2010年被感染計算機數(shù)量較多的月份分別為3月、5月和8月份。自9月份開始，感染病毒的計算機數(shù)量開始呈下降趨勢，且降幅較為明顯，最終于12月份跌至年度最低點。以網(wǎng)站、軟件惡意推廣為目的的木馬病毒還將繼續(xù)保持活躍；針對移動智能平臺的病毒將逐漸展露頭角，移動安全需未雨綢繆。

第一章計算機病毒概述病毒的發(fā)展趨勢病毒更新?lián)Q代向多元化發(fā)展依賴網(wǎng)絡(luò)進(jìn)行傳播攻擊方式多樣（郵件，網(wǎng)頁，局域網(wǎng)等）利用系統(tǒng)漏洞成為病毒有力的傳播方式病毒與黑客技術(shù)相融合第一章計算機病毒概述四、病毒人生（法律）1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一種在運行過程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼(LenAdleman)將它命名為計算機病毒(computerviruses)，并在每周一次的計算機安全討論會上正式提出。第一章計算機病毒概述蠕蟲病毒1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個被稱為“蠕蟲”的電腦病毒送進(jìn)了美國最大的電腦網(wǎng)絡(luò)——互聯(lián)網(wǎng)。1988年11月2日下午5點，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡(luò)有不明入侵者。當(dāng)晚，從美國東海岸到西海岸，互聯(lián)網(wǎng)用戶陷入一片恐慌。第一章計算機病毒概述CIHCIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病毒。它是由臺灣大學(xué)生陳盈豪編制的，九八年五月間，陳盈豪還在大同工學(xué)院就讀時，完成以他的英文名字縮寫“CIH”名的電腦病毒起初據(jù)稱只是為了“想紀(jì)念一下1986的災(zāi)難”或“使反病毒軟件公司難堪”。第一章計算機病毒概述沖擊波年僅18歲的高中生杰弗里·李·帕森因為涉嫌是“沖擊波”電腦病毒的制造者于2003年8月29日被捕。對此，他的鄰居們表示不敢相信。在他們的眼里，杰弗里·李·帕森是一個電腦天才，而決不是什么黑客，更不會去犯罪。第一章計算機病毒概述熊貓燒香李俊，大學(xué)本科畢業(yè)大于1000萬用戶染毒損失數(shù)億元人民幣處罰：最高無期？第一章計算機病毒概述五、計算機病毒的主要危害直接危害：1.病毒激發(fā)對計算機數(shù)據(jù)信息的直接破壞作用2.占用磁盤空間和對信息的破壞3.搶占系統(tǒng)資源4.影響計算機運行速度5.計算機病毒錯誤與不可預(yù)見的危害6.計算機病毒的兼容性對系統(tǒng)運行的影響第一章計算機病毒概述病毒的危害情況第一章計算機病毒概述間接危害：1.計算機病毒給用戶造成嚴(yán)重的心理壓力2.造成業(yè)務(wù)上的損失3.法律上的問題第一章計算機病毒概述近幾年來的重大損失年份攻擊行為發(fā)起者受害PC數(shù)目損失金額(美元)2006木馬和惡意軟件————2005木馬————2004Worm_Sasser(震蕩波)————2003Worm_MSBLAST(沖擊波)超過140萬臺——2003SQLSlammer超過20萬臺9.5億至12億2002Klez超過6百萬臺90億2001RedCode超過1百萬臺26億2001NIMDA超過8百萬臺60億2000LoveLetter——88億1999CIH超過6千萬臺近100億第一章計算機病毒概述五、計算機病毒的分類第一章計算機病毒概述1、按病毒存在的媒體分類網(wǎng)絡(luò)病毒：通過計算機網(wǎng)絡(luò)傳播感染網(wǎng)絡(luò)中的可執(zhí)行文件；文件病毒：感染計算機中的文件（如：ＣＯＭ，ＥＸＥ，ＤＯＣ等）；引導(dǎo)型病毒：感染啟動扇區(qū)（Boot）和硬盤的系統(tǒng)引導(dǎo)扇區(qū)（ＭＢＲ）；混合型病毒：是上述三種情況的混合。例如：多型病毒（文件和引導(dǎo)型）感染文件和引導(dǎo)扇區(qū)兩種目標(biāo)，這樣的病毒通常都具有復(fù)雜的算法，它們使用非常規(guī)的辦法侵入系統(tǒng)，同時使用了加密和變形算法。第一章計算機病毒概述2、按病毒傳染的方法分類引導(dǎo)扇區(qū)傳染病毒：主要使用病毒的全部或部分代碼取代正常的引導(dǎo)記錄，而將正常的引導(dǎo)記錄隱藏在其他地方。執(zhí)行文件傳染病毒：寄生在可執(zhí)行程序中，一旦程序執(zhí)行，病毒就被激活，進(jìn)行預(yù)定活動。網(wǎng)絡(luò)傳染病毒：這類病毒是當(dāng)前病毒的主流，特點是通過互聯(lián)網(wǎng)絡(luò)進(jìn)行傳播。例如，蠕蟲病毒就是通過主機的漏洞在網(wǎng)上傳播。第一章計算機病毒概述3、按病毒破壞的能力分類無害型：除了傳染時減少磁盤的可用空間外，對系統(tǒng)沒有其它影響。

無危險型：這類病毒僅僅是減少內(nèi)存、顯示圖像、發(fā)出聲音及同類音響。

危險型：這類病毒在計算機系統(tǒng)操作中造成嚴(yán)重的錯誤。

非常危險型：這類病毒刪除程序、破壞數(shù)據(jù)、清除系統(tǒng)內(nèi)存區(qū)和操作系統(tǒng)中重要的信息。第一章計算機病毒概述4、按病毒算法分類伴隨型病毒：這一類病毒并不改變文件本身，它們根據(jù)算法產(chǎn)生EXE文件的伴隨體，具有同樣的名字和不同的擴展名（COM），例如：XCOPY.EXE的伴隨體是。病毒把自身寫入COM文件并不改變EXE文件，當(dāng)DOS加載文件時，伴隨體優(yōu)先被執(zhí)行到，再由伴隨體加載執(zhí)行原來的EXE文件。

蠕蟲型病毒：通過計算機網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機器的內(nèi)存?zhèn)鞑サ狡渌鼨C器的內(nèi)存，計算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。有時它們在系統(tǒng)存在，一般除了內(nèi)存不占用其它資源。

寄生型病毒：依附在系統(tǒng)的引導(dǎo)扇區(qū)或文件中，通過系統(tǒng)的功能進(jìn)行傳播。

練習(xí)型病毒：病毒自身包含錯誤，不能進(jìn)行很好的傳播，例如一些病毒在調(diào)試階段。

變形病毒：這一類病毒使用一個復(fù)雜的算法，使自己每傳播一份都具有不同的內(nèi)容和長度。它們一般的作法是一段混有無關(guān)指令的解碼算法和經(jīng)過變化的病毒體組成。第一章計算機病毒概述5、按計算機病毒的鏈結(jié)方式分類源碼型病毒：該病毒攻擊高級語言編寫的程序，該病毒在高級語言所編寫的程序編譯前插入到原程序中，經(jīng)編譯成為合法程序的一部分。嵌入型病毒：這種病毒是將自身嵌入到現(xiàn)有程序中，把計算機病毒的主體程序與其攻擊的對象以插入的方式鏈接。這種計算機病毒是難以編寫的，一旦侵入程序體后也較難消除。如果同時采用多態(tài)性病毒技術(shù)，超級病毒技術(shù)和隱蔽性病毒技術(shù)，將給當(dāng)前的反病毒技術(shù)帶來嚴(yán)峻的挑戰(zhàn)。外殼型病毒：外殼型病毒將其自身包圍在主程序的四周，對原來的程序不作修改。這種病毒最為常見，易于編寫，也易于發(fā)現(xiàn)，一般測試文件的大小即可知。操作系統(tǒng)型病毒：這種病毒用自身的程序加入或取代部分操作系統(tǒng)進(jìn)行工作，具有很強的破壞力，可以導(dǎo)致整個系統(tǒng)的癱瘓。圓點病毒和大麻病毒就是典型的操作系統(tǒng)型病毒。第一章計算機病毒概述6、按病毒攻擊操作系統(tǒng)分類MicrosoftDOSMicrosoftWindows95/98/MEMicrosoftWindowsNT/2000/XPUnix(Linux)Macintosh（MacMag病毒、Scores病毒）OS/2（AEP病毒）第一章計算機病毒概述病毒的發(fā)展是伴隨著計算機軟硬件的發(fā)展而發(fā)展的，讓我們沿著操作系統(tǒng)發(fā)展的幾個階段來看看病毒技術(shù)與反病毒技術(shù)演化。DOS時代（1981－）Window9x時代（1995－）WindowsNT/2000時代（1996－）第一章計算機病毒概述（一）DOS操作系統(tǒng)時代的病毒DOS操作系統(tǒng)簡介16位的操作系統(tǒng)（8086、8088）實模式、單用戶、單任務(wù)字符界面中斷機制第一章計算機病毒概述DOS可執(zhí)行文件病毒原理COM病毒EXE病毒常見感染手法通過查目錄進(jìn)行傳播通過執(zhí)行進(jìn)行傳播通過文件查找進(jìn)行傳播通過文件關(guān)閉的時候進(jìn)行傳播第一章計算機病毒概述DOS反病毒原理特征碼技術(shù)模糊匹配技術(shù)（廣譜殺毒）行為判定技術(shù)啟發(fā)式掃描技術(shù)對各種可疑功能進(jìn)行加權(quán)判斷；MOVAH,5；INT,13h;format第一章計算機病毒概述（二）Windows操作系統(tǒng)32位操作系統(tǒng)搶占式多任務(wù)操作系統(tǒng)保護模式下運行友好的圖形界面第一章計算機病毒概述Windows病毒可執(zhí)行文件病毒宏病毒腳本病毒蠕蟲病毒木馬病毒數(shù)據(jù)包病毒第一章計算機病毒概述可執(zhí)行文件病毒典型病毒（CIH）感染原理特點反病毒技術(shù)文件監(jiān)控內(nèi)存監(jiān)控第一章計算機病毒概述蠕蟲病毒典型病毒感染原理特點反病毒技術(shù)郵件監(jiān)控網(wǎng)絡(luò)監(jiān)控第一章計算機病毒概述席卷全球的NIMDA病毒第一章計算機病毒概述木馬病毒典型病毒感染原理特點反病毒技術(shù)文件監(jiān)控防火墻第一章計算機病毒概述宏病毒典型病毒感染原理特點反病毒技術(shù)OFFICE嵌入式查毒特征代碼第一章計算機病毒概述腳本病毒典型病毒感染原理特點反病毒技術(shù)腳本監(jiān)控第一章計算機病毒概述數(shù)據(jù)包病毒典型病毒（CodeRed,SQLSlammer）感染原理特點反病毒技術(shù)安全檢測漏洞掃描防火墻第一章計算機病毒概述六、計算機病毒的傳播途徑

第一章計算機病毒概述1、軟盤軟盤作為最常用的交換媒介，在計算機應(yīng)用的早期對病毒的傳播發(fā)揮了巨大的作用，因那時計算機應(yīng)用比較簡單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過軟盤相互拷貝、安裝，這樣病毒就能通過軟盤傳播文件型病毒；另外，在軟盤列目錄或引導(dǎo)機器時，引導(dǎo)區(qū)病毒會在軟盤與硬盤引導(dǎo)區(qū)內(nèi)互相感染。因此軟盤也成了計算機病毒的主要的寄生“溫床”。第一章計算機病毒概述2、光盤光盤因為容量大，存儲了大量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤，對只讀式光盤，不能進(jìn)行寫操作，因此光盤上的病毒不能清除。以謀利為目的非法盜版軟件的制作過程中，不可能為病毒防護擔(dān)負(fù)專門責(zé)任，也決不會有真正可靠的技術(shù)保障避免病毒的傳入、傳染、流行和擴散。當(dāng)前，盜版光盤的泛濫給病毒的傳播帶來了極大的便利。甚至有些光盤上殺病毒軟件本身就帶有病毒，這就給本來“干凈”的計算機帶來了災(zāi)難。

第一章計算機病毒概述3、硬盤（含移動硬盤、USB）有時，帶病毒的硬盤在本地或移到其他地方使用甚至維修等，就會將干凈的軟盤傳染或者感染其他硬盤并擴散。第一章計算機病毒概述網(wǎng)絡(luò)——〉病毒的加速器網(wǎng)絡(luò)病毒技術(shù)社區(qū)集體攻擊病毒蠕蟲病毒特洛伊木馬黑客技術(shù)腳本病毒郵件病毒病毒源碼發(fā)布4、有線網(wǎng)絡(luò)第一章計算機病毒概述觸目驚心的計算——卿斯?jié)h如果：20分鐘產(chǎn)生一種新病毒，通過因特網(wǎng)傳播（30萬公里/秒）。聯(lián)網(wǎng)電腦每20分鐘感染一次，每天開機聯(lián)網(wǎng)2小時。結(jié)論：一年以內(nèi)一臺聯(lián)網(wǎng)的電腦可能會被最新病毒感染2190次。另一個數(shù)字：75％的電腦被感染。第一章計算機病毒概述網(wǎng)絡(luò)服務(wù)——〉傳播媒介網(wǎng)絡(luò)的快速發(fā)展促進(jìn)了以網(wǎng)絡(luò)為媒介的各種服務(wù)（FTP,WWW,BBS,EMAIL等）的快速普及。同時，這些服務(wù)也成為了新的病毒傳播方式。電子布告欄（BBS）：電子郵件（Email）：即時消息服務(wù)（QQ,ICQ,MSN等）：WEB服務(wù)：FTP服務(wù)：新聞組：第一章計算機病毒概述5、無線通訊系統(tǒng)病毒對手機的攻擊有3個層次：攻擊WAP服務(wù)器，使手機無法訪問服務(wù)器；攻擊網(wǎng)關(guān)，向手機用戶發(fā)送大量垃圾信息；直接對手機本身進(jìn)行攻擊，有針對性地對其操作系統(tǒng)和運行程序進(jìn)行攻擊，使手機無法提供服務(wù)。第一章計算機病毒概述七、染毒計算機的癥狀病毒表現(xiàn)現(xiàn)象：計算機病毒發(fā)作前的表現(xiàn)現(xiàn)象病毒發(fā)作時的表現(xiàn)現(xiàn)象病毒發(fā)作后的表現(xiàn)現(xiàn)象與病毒現(xiàn)象相似的硬件故障與病毒現(xiàn)象相似的軟件故障第一章計算機病毒概述1、發(fā)作前的現(xiàn)象平時運行正常的計算機突然經(jīng)常性無緣無故地死機操作系統(tǒng)無法正常啟動運行速度明顯變慢以前能正常運行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯誤打印和通訊發(fā)生異常無意中要求對軟盤進(jìn)行寫操作以前能正常運行的應(yīng)用程序經(jīng)常發(fā)生死機或者非法錯誤系統(tǒng)文件的時間、日期、大小發(fā)生變化運行Word，打開Word文檔后，該文件另存時只能以模板方式保存磁盤空間迅速減少網(wǎng)絡(luò)驅(qū)動器卷或共享目錄無法調(diào)用基本內(nèi)存發(fā)生變化陌生人發(fā)來的電子函件第一章計算機病毒概述2、發(fā)作時的現(xiàn)象提示一些不相干的話發(fā)出一段的音樂產(chǎn)生特定的圖像硬盤燈不斷閃爍進(jìn)行游戲算法Windows桌面圖標(biāo)發(fā)生變化計算機突然死機或重啟自動發(fā)送電子郵件鼠標(biāo)自己在動第一章計算機病毒概述3、發(fā)作后的現(xiàn)象硬盤無法啟動，數(shù)據(jù)丟失系統(tǒng)文件丟失或被破壞文件目錄發(fā)生混亂部分文檔丟失或被破壞部分文檔自動加密修改Autoexec.bat文件使部分可軟件升級主板的BIOS程序混亂，主板被破壞網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù)第一章計算機病毒概述4、與病毒現(xiàn)象類似的軟件故障出現(xiàn)“Invaliddrivespecification”(非法驅(qū)動器號)軟件程序已被破壞(非病毒)軟件與操作系統(tǒng)的兼容性引導(dǎo)過程故障用不同的編輯軟件程序第一章計算機病毒概述5、與病毒現(xiàn)象類似的硬件故障系統(tǒng)的硬件配置電源電壓不穩(wěn)定插件接觸不良軟驅(qū)故障關(guān)于CMOS的問題第一章計算機病毒概述八、計算機病毒的命名規(guī)則

CARO命名規(guī)則，每一種病毒的命名包括五個部分：病毒家族名病毒組名大變種小變種修改者CARO規(guī)則的一些附加規(guī)則包括：不用地點命名不用公司或商標(biāo)命名如果已經(jīng)有了名字就不再另起別名變種病毒是原病毒的子類第一章計算機病毒概述命名實例：精靈（Cunning）病毒是瀑布（Cascade）病毒的變種，它在發(fā)作時能奏樂，因此被命名為Cascade.1701.A。Cascade是家族名，1701是組名。因為Cascade病毒的變種的大小不一（1701,1704,1621等），所以用大小來表示組名。A表示該病毒是某個組中的第一個變種。

業(yè)界補充：反病毒軟件商們通常在CARO命名的前面加一個前綴來標(biāo)明病毒類型。比如，WM表示MSWord宏病毒；Win32指32位Windows病毒；VBS指VB腳本病毒。這樣，梅麗莎病毒的一個變種的命名就成了W97M.Melissa.AA，Happy99蠕蟲就被稱為Win32.Happy99.Worm。第一章計算機病毒概述VGrep是反病毒廠商的一種嘗試，這種方法將已知的病毒名稱通過某種方法關(guān)聯(lián)起來，其目的是不管什么樣的掃描軟件都能按照可被識別的名稱鏈進(jìn)行掃描。VGrep將病毒文件讀入并用不同的掃描器進(jìn)行掃描，掃描的結(jié)果和被識別出的信息放入數(shù)據(jù)庫中。每一個掃描器的掃描結(jié)果與別的掃描結(jié)果相比較并將結(jié)果用作病毒名交叉引用表。VGrep的參與者贊同為每一種病毒起一個最通用的名字最為代表名字。擁有成千上萬掃描器的大型企業(yè)集團要求殺毒軟件供應(yīng)商使用VGrep命名，這對于在世界范圍內(nèi)跟蹤多個病毒的一致性很有幫助。第一章計算機病毒概述九、發(fā)展趨勢和最新動向DOS引導(dǎo)階段DOS可執(zhí)行階段伴隨、批次型階段幽靈、多形階段生成器、變體機階段網(wǎng)絡(luò)、蠕蟲階段視窗階段宏病毒階段互連網(wǎng)階段Java、腳本語言、郵件炸彈階段通訊設(shè)備、PDA設(shè)備階段第一章計算機病毒概述最新動向病毒與其他技術(shù)相融合某些病毒及普通病毒、蠕蟲、木馬和黑客等技術(shù)于一身，具有混合型特征，破壞性極強；傳播途徑多，擴散速度快很多病毒與internet和intranet緊密結(jié)合，通過系統(tǒng)漏洞、局域網(wǎng)、網(wǎng)頁、郵件等方式進(jìn)行傳播，擴散速度極快。目前此類病毒已有2000種之多；第一章計算機病毒概述欺騙性強

很多病毒利用人們的好奇心理，往往具有很強的誘惑性和欺騙性，使得它更容易傳染，如“庫爾尼科娃”病毒即是利用網(wǎng)壇美女庫爾尼科娃的魅力；大量消耗系統(tǒng)與網(wǎng)絡(luò)資源計算機感染了REDCODE等病毒后，病毒會不斷遍歷磁盤、分配內(nèi)存，導(dǎo)致系統(tǒng)資源很快被消耗殆盡，最終使得計算機速度越來越慢或網(wǎng)絡(luò)阻塞；第一章計算機病毒概述病毒出現(xiàn)頻度高，病毒生成工具多

早期的計算機病毒都是編程高手制作的，編寫病毒是為了顯示自己的技術(shù)，但庫爾尼科娃病毒的設(shè)計者只是修改了下載的VBS蠕蟲孵化器變生成了該病毒。這種工具在網(wǎng)絡(luò)上很容易就可以獲得，因此新病毒的出現(xiàn)頻度超出以往的任何時候。20世紀(jì)末每年的病毒數(shù)目第一章計算機病毒概述十、計算機病毒防治第一章計算機病毒概述病毒防治的公理1、不存在這樣一種反病毒軟硬件，能夠防治未來產(chǎn)生的所有病毒。2、不存在這樣一種病毒程序，能夠讓未來的所有反病毒軟硬件都無法檢測。3、目前的反病毒軟件和硬件以及安全產(chǎn)品是都易耗品，必須經(jīng)常進(jìn)行更新、升級。4、病毒產(chǎn)生在前，反病毒手段滯后的現(xiàn)狀，將是一個長期的過程。第一章計算機病毒概述人類為防治病毒所做出的努力立體防護網(wǎng)絡(luò)版單機版防病毒卡第一章計算機病毒概述對計算機病毒應(yīng)持有的態(tài)度1.客觀承認(rèn)計算機病毒的存在，但不要懼怕病毒。

3.樹立計算機病毒意識，積極采取預(yù)防（備份等）措施。4.掌握必要的計算機病毒知識和病毒防治技術(shù)，對用戶至關(guān)重要。5.發(fā)現(xiàn)病毒，冷靜處理。第一章計算機病毒概述目前廣泛應(yīng)用的幾種防治技術(shù)：特征碼掃描法特征碼掃描法是分析出病毒的特征病毒碼并集中存放于病毒代碼庫文件中，在掃描時將掃描對象與特征代碼庫比較，如有吻合則判斷為染上病毒。該技術(shù)實現(xiàn)簡單有效，安全徹底；但查殺病毒滯后，并且龐大的特征碼庫會造成查毒速度下降；第一章計算機病毒概述虛擬執(zhí)行技術(shù)該技術(shù)通過虛擬執(zhí)行方法查殺病毒，可以對付加密、變形、異型及病毒生產(chǎn)機生產(chǎn)的病毒，具有如下特點：在查殺病毒時在機器虛擬內(nèi)存中模擬出一個“指令執(zhí)行虛擬機器”在虛擬機環(huán)境中虛擬執(zhí)行（不會被實際執(zhí)行）可疑帶毒文件在執(zhí)行過程中，從虛擬機環(huán)境內(nèi)截獲文件數(shù)據(jù)，如果含有可疑病毒代碼，則殺毒后將其還原到原文件中，從而實現(xiàn)對各類可執(zhí)行文件內(nèi)病毒的查殺

第一章計算機病毒概述文件實時監(jiān)控技術(shù)通過利用操作系統(tǒng)底層接口技術(shù)，對系統(tǒng)中的所有類型文件或指定類型的文件進(jìn)行實時的行為監(jiān)控，一旦有病毒傳染或發(fā)作時就及時報警。從而實現(xiàn)了對病毒的實時、永久、自動監(jiān)控。這種技術(shù)能夠有效控制病毒的傳播途徑，但是這種技術(shù)的實現(xiàn)難度較大，系統(tǒng)資源的占用率也會有所降低。第一章計算機病毒概述智能引擎技術(shù)

智能引擎技術(shù)發(fā)展了特征碼掃描法的優(yōu)點，改進(jìn)了其弊端，使得病毒掃描速度不隨病毒庫的增大而減慢。剛剛面世的瑞星殺毒軟件2003版即采用了此項技術(shù)，使病毒掃描速度比2002版提高了一倍之多；其他的反病毒技術(shù)第一章計算機病毒概述計算機監(jiān)控技術(shù)文件實時監(jiān)控內(nèi)存實時監(jiān)控腳本實時監(jiān)控郵件實時監(jiān)控注冊表實時監(jiān)控參考：第一章計算機病毒概述嵌入式殺毒技術(shù)

嵌入式殺毒技術(shù)是對病毒經(jīng)常攻擊的應(yīng)用程序或?qū)ο筇峁┲攸c保護的技術(shù)，它利用操作系統(tǒng)或應(yīng)用程序提供的內(nèi)部接口來實現(xiàn)。它對使用頻度高、使用范圍廣的主要的應(yīng)用軟件提供被動式的防護。如對MS-Office、Outlook、IE、Winzip、NetAnt等應(yīng)用軟件進(jìn)行被動式殺毒。第一章計算機病毒概述未知病毒查殺技術(shù)

未知病毒技術(shù)是繼虛擬執(zhí)行技術(shù)后的又一大技術(shù)突破，它結(jié)合了虛擬技術(shù)和人工智能技術(shù)，實現(xiàn)了對未知病毒的準(zhǔn)確查殺。第一章計算機病毒概述壓縮智能還原技術(shù)世界上的壓縮工具、打包工具、加“殼”工具多不勝數(shù)，病毒如果被這樣的工具處理后被層層包裹起來，對于防病毒軟件來說，就是一個噩夢。為了使用統(tǒng)一的方法來解決這個問題，反病毒專家們發(fā)明了未知解壓技術(shù)，它可以對所有的這類文件在內(nèi)存中還原，從而使得病毒完全暴露出來。第一章計算機病毒概述多層防御，集中管理技術(shù)反病毒要以網(wǎng)為本，從網(wǎng)絡(luò)系統(tǒng)的角度設(shè)計反病毒解決方案，只有這樣才能有效地查殺網(wǎng)絡(luò)上的計算機病毒。在網(wǎng)絡(luò)上，軟件的安裝和管理方式是十分關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護和管理的效率和質(zhì)量，而且涉及到網(wǎng)絡(luò)的安全性。好的殺毒軟件需要能在幾分鐘之內(nèi)便可輕松地安裝到組織里的每一個NT服務(wù)器上，并可下載和散布到所有的目的機器上，由網(wǎng)絡(luò)管理員集中設(shè)置和管理，它會與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起，成為網(wǎng)絡(luò)安全管理的一部分，并且自動提供最佳的網(wǎng)絡(luò)病毒防御措施。第一章計算機病毒概述病毒免疫技術(shù)病毒免疫技術(shù)一直是反病毒專家研究的熱點，它通過加強自主訪問控制和設(shè)置磁盤禁寫保護區(qū)來實現(xiàn)病毒免疫的基本構(gòu)想。實際上，最近出現(xiàn)的軟件安全認(rèn)證技術(shù)也應(yīng)屬于此技術(shù)的范疇，由于用戶應(yīng)用軟件的多樣性和環(huán)境的復(fù)雜性，病毒免疫技術(shù)到廣泛使用還有一段距離。第一章計算機病毒概述病毒防治技術(shù)的趨勢前瞻加強對未知病毒的查殺能力加強對未知病毒的查殺能力是反病毒行業(yè)的持久課題，目前國內(nèi)外多家公司都宣布自己的產(chǎn)品可以對未知病毒進(jìn)行查殺，但據(jù)我們研究，國內(nèi)外的產(chǎn)品只有少數(shù)可以對同一家族的新病毒進(jìn)行預(yù)警，不能清除。目前有些公司已經(jīng)在這一領(lǐng)域取得了突破性的進(jìn)展，可以對未知DOS病毒、未知PE病毒、未知宏病毒進(jìn)行防范。其中對未知DOS病毒能查到90%以上，并能準(zhǔn)確清除其中的80%，未知PE病毒能查到70%以上、未知宏病毒能實現(xiàn)查殺90%.第一章計算機病毒概述防殺針對掌上型移動通訊工具和PDA的病毒隨著掌上型移動通訊工具和PDA的廣泛使用，針對這類系統(tǒng)的病毒已經(jīng)開始出現(xiàn)，并且威脅將會越來越大，反病毒公司將投入更多的力量來加強此類病毒的防范。介紹六種面向手機電話等便攜式信息設(shè)備的“EPOC”上運行的病毒：第一章計算機病毒概述EPOC介紹：EPOC是PsionSoftware推出的操作系統(tǒng)，專門用于移動計算設(shè)備，包括掌上電腦。"EPOC”這個詞起源于世界將會進(jìn)入“anewepochofpersonalconvenience”。EPOC是一個開放的操作系統(tǒng)，它支持信息傳送、網(wǎng)頁瀏覽、辦公室作業(yè)、公用事業(yè)以及個人信息管理(PIM)的應(yīng)用，也有軟件可以和個人計算機與服務(wù)器作同步的溝通。第一章計算機病毒概述EPOC-ALARM，持續(xù)發(fā)出警告聲音，雖無大害，但很煩人；EPOC-BANDINFO.A,發(fā)作時將用戶信息并為“Somefoolownthis”;EPOC-FAKE.A,會在手機的屏幕上顯示格式化內(nèi)置硬盤的畫面，但實際上并不會執(zhí)行格式化操作；EPOC-GHOST.A，會在畫面上顯示“Everyonehatesyou”;EPOC-ALIGHT.A，會使背景燈持續(xù)閃爍；EPOC-ALONE.A,可使鍵盤操作功能喪失，可及時輸入“Leavemealone”來解除病毒常駐；第一章計算機病毒概述兼容性病毒的防殺

目前已經(jīng)發(fā)現(xiàn)可以同時在微軟WINDOWS和日益普及的LINUX兩種不同操作系統(tǒng)內(nèi)運作的病毒，此類病毒將會給人們帶來更多的麻煩，促使反病毒公司加強防殺此類病毒。第一章計算機病毒概述蠕蟲病毒和腳本病毒的防殺不容忽視

蠕蟲病毒是一種能自我復(fù)制的程序，駐留內(nèi)存并通過計算機網(wǎng)絡(luò)復(fù)制自己，它通過大量消耗系統(tǒng)資源，最后導(dǎo)致系統(tǒng)癱瘓。給人們帶來了巨大的危害，腳本病毒因為其編寫相對容易正成為另一種趨勢，這兩類病毒的危害性使人們絲毫不能忽視對其的防殺。第一章計算機病毒概述十一、殺毒軟件及評價第一章計算機病毒概述病毒查殺能力對新病毒的反應(yīng)能力對文件的備份和恢復(fù)能力實時監(jiān)控功能及時有效的升級功能智能安裝、遠(yuǎn)程識別功能界面友好、易于操作對現(xiàn)有資源的占用情況（一）殺毒軟件必備功能

第一章計算機病毒概述系統(tǒng)兼容性軟件的價格軟件商的實力第一章計算機病毒概述（二）國內(nèi)外殺毒軟件及市場金山毒霸、瑞星殺毒、江民殺毒、PC-Cillin（趨勢殺毒）NortonAntiVirus（諾頓殺毒）、McafeeVirusScan（麥咖啡殺毒）、KasperskyAntivirus（卡巴斯基殺毒）等。第一章計算機病毒概述在國產(chǎn)殺毒領(lǐng)域，瑞星、江民、金山毒霸一直三足鼎立，但在2006年卡巴斯基大舉進(jìn)入中國之后，就打破這一局勢，這與卡巴斯基的的市場運作和當(dāng)時的互聯(lián)網(wǎng)環(huán)境具有一定關(guān)系。在2009年金安明邦調(diào)研中心調(diào)查的2千多份有效問卷中，目前使用瑞星殺毒軟件的以38.6%占有絕對優(yōu)勢，其次是卡巴斯基占有23.3%，金山毒霸、江民殺毒和NOD32分列其后，在前五名中，國外殺毒殺毒軟件擁有兩席的地位，也是不容小視，好在瑞星、江民、金山依舊保持較好的市場占有率。這方面也說明了國產(chǎn)殺毒廠商更加熟悉國內(nèi)的互聯(lián)網(wǎng)環(huán)境和用戶的使用特點，尤其是金山毒霸已經(jīng)兩次通過國際VB100認(rèn)證，更是增添了國產(chǎn)軟件能夠與國外軟件競爭的砝碼。而諾頓殺毒軟件由于一直被定位在企業(yè)級用戶端，并且由于價格等因素，個人用戶目前不具優(yōu)勢。第一章計算機病毒概述項目諾頓Macfee趨勢卡巴斯基瑞星金山程序界面★★★★★★★★★★★★★★★★★★★★★★★★掃描設(shè)置★★★★★★★★★★★★★★★★★★★★★★★★★查殺病毒★★★★★★★★★★★★★★★★★★★★★★★★查毒速度★★★★★★★★★★★★★★★★★★★★★★★★★占用資源★★★★★★★★★★★★★★★★★★★★★★★★郵件支持★★★★★★★★★★★★★★★★★★★★★★★★★★病毒報警★★★★★★★★★★★★★★★★★★★★★★★★★升級頻率★★★★★★★★★★★★★★★★★★★★★★★★★★★★綜合評比★★★★★★★★★★★★★★★★★★★★★★★★★（三）殺毒軟件評測結(jié)果及評價第一章計算機病毒概述殺毒軟件的測試排名：殺毒軟件測評實驗室使用的病毒庫過于偏向歐美國家，對于東亞地區(qū)尤其是在我國肆虐的以盜竊網(wǎng)銀、游戲賬號為主要目的的木馬病毒，他們并沒有在病毒庫中給予應(yīng)有的重視。所以，在世界級殺毒軟件排名中，國產(chǎn)的殺毒軟件在測試中并沒有很好的成績。這就是地緣性因素。第一章計算機病毒概述十二、解決方案和策略第一章計算機病毒概述企業(yè)網(wǎng)絡(luò)中的病毒漏洞MailServerClientInternetGatewayFirewallInternet

企業(yè)網(wǎng)絡(luò)基本結(jié)構(gòu)

網(wǎng)關(guān)（Gateway)服務(wù)器（Servers)

郵件服務(wù)器文件/應(yīng)用服務(wù)器客戶端（clients)第一章計算機病毒概述趨勢整體防病毒解決方案FirewallInternetClientInternetGatewayInterScanVirusWallServerProtectforNT

forNetWareCentralControlTVCSMailServerScanMailforExchange

forLotusNotesOfficeScanClientsOfficeScanServerOfficeScanServer趨勢整體防病毒解決方案1網(wǎng)關(guān)級解決方案InterScanViruswall

2服務(wù)器級解決方案

郵件服務(wù)器ScanMail

forExchange/forNotes文件服務(wù)器ServerProtect

forNT/Netware3客戶端解決方案OfficeScan4集中管理系統(tǒng)解決方案TVCS