1、计算机病毒防治技术计算机病毒防治技术目目 录录 8.2 8.2 计算机病毒的构成与传播计算机病毒的构成与传播2 8.3 8.3 计算机病毒的检测清除与防范计算机病毒的检测清除与防范3 8.4 8.4 恶意软件的危害与清除恶意软件的危害与清除 4目目 录录教学目标教学目标教学目标教学目标 掌握掌握计算机病毒的概念、产生、特点及种类计算机病毒的概念、产生、特点及种类 掌握掌握计算机病毒的构成、传播、触发以及新型计算机病毒的构成、传播、触发以及新型病毒实例病毒实例 掌握掌握计算机病毒与木马程序的检测、清除与防计算机病毒与木马程序的检测、清除与防范方法范方法 了解了解恶意软件的危害与清除方法恶意软件的
2、危害与清除方法 了解瑞星云安全软件了解瑞星云安全软件20112011的应用的应用3计算机病毒防治技术8.1 计算机病毒概述计算机病毒概述n8.1.1 8.1.1 计算机病毒的概念及产生计算机病毒的概念及产生 n1.1.计算机病毒的概念计算机病毒的概念 计计算机病毒算机病毒(Computer VirusComputer Virus),通常是指能够破坏计算机正常工作),通常是指能够破坏计算机正常工作的、人为编制的一组计算机的、人为编制的一组计算机指令指令或或程序程序。根据。根据中华人民共和国计算机信中华人民共和国计算机信息系统安全保护条例息系统安全保护条例,对计算机病毒的,对计算机病毒的定义规定定
3、义规定如下:如下:“计算机病毒,计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机使用,并能自我复制的一组计算机指令或者程序代码。”2.2.计算机病毒的产生计算机病毒的产生 1983 1983年年1111月月3 3日,就读南加州大学的博士研究生弗雷德日,就读南加州大学的博士研究生弗雷德科恩(科恩(Fred Fred CohenCohen),在),在UNIXUNIX系统下,编写了一个会自动复制,并且在计算机间进行系统下,编写了一个会自动复制,并且在
4、计算机间进行传染从而引起系统死机的小程序。此后,科恩为了证明其理论而将这些程传染从而引起系统死机的小程序。此后,科恩为了证明其理论而将这些程序以论文的形式发表在学术研讨会上,引起轰动。此前,虽然有不少计算序以论文的形式发表在学术研讨会上,引起轰动。此前,虽然有不少计算机专家都发出过计算机病毒可能会出现的警告,但科恩才是真正通过实践机专家都发出过计算机病毒可能会出现的警告,但科恩才是真正通过实践让计算机病毒具备破坏性的概念具体成形的第一人。他的一位教授将他编让计算机病毒具备破坏性的概念具体成形的第一人。他的一位教授将他编写的那段程序命名为写的那段程序命名为“病毒(病毒(VirusVirus)”。
5、4计算机病毒防治技术8.1 计算机病毒概述计算机病毒概述8.1.2 8.1.2 计算机病毒的特点计算机病毒的特点 5计算机病毒防治技术8.1 计算机病毒概述计算机病毒概述案例案例8-18-1计算机病毒种类样本计算机病毒种类样本 20102010年上半年,据江民反病毒中心、江民全球病毒年上半年,据江民反病毒中心、江民全球病毒监测预警系统、江民客户服务中心联合统计的数据,截监测预警系统、江民客户服务中心联合统计的数据,截止到止到20102010年年6 6月月3131日,共截获新增各种计算机病毒(样本)日,共截获新增各种计算机病毒(样本)数总计(包括木马、后门、广告程序、间谍木马、脚本数总计(包括木
6、马、后门、广告程序、间谍木马、脚本病毒、漏洞病毒、蠕虫病毒)病毒、漏洞病毒、蠕虫病毒)75847377584737个,其中新增木马个,其中新增木马(样本)(样本)44542774454277个,新增后门(样本)个,新增后门(样本)623791623791个,新增个,新增广告程序(样本)广告程序(样本)223639223639个,新增漏洞病毒(样本)个,新增漏洞病毒(样本)166359166359个,其它病毒(样本)个,其它病毒(样本)10632551063255个,个,各种新型病毒各种新型病毒及变异还在不断变化及变异还在不断变化。6计算机病毒防治技术8.1 计算机病毒概述计算机病毒概述8.1.
7、3 8.1.3 计算机病毒的种类计算机病毒的种类 1.根据病毒的破坏程度划分7计算机病毒防治技术8.1 计算机病毒概述计算机病毒概述2.根据病毒侵入的操作系统划分8计算机病毒防治技术3.根据病毒依附载体划分8.1 计算机病毒概述计算机病毒概述9计算机病毒防治技术8.1.4 8.1.4 计算机中毒的异常现象计算机中毒的异常现象表8-1 计算机感染病毒常见现象非连网状态下非连网状态下连网状态下连网状态下无法开机不能上网计算机蓝屏杀毒软件不能正常升级开机启动速度变慢自动弹出多个网页系统运行速度慢非连网状态下的一切异常现象无法找到硬盘分区(以下类似不连网情形)开机后弹出异常提示信息或声音文件名称、扩展
8、名、日期以及属性等被非人为更改过数据非常规丢失或损坏无法打开、读取、操作文件硬盘存储空间意外变小计算机无故死机或自动重启CPU利用率接近100%或内存占用值居高不下计算机自动关机课堂讨论课堂讨论课堂讨论课堂讨论1.1.什么是计算机病毒?什么是计算机病毒?2.2.计算机病毒具有什么典型特征?计算机病毒具有什么典型特征?3.3.计算机感染病毒的异常现象有哪些?计算机感染病毒的异常现象有哪些?8.1 计算机病毒概述计算机病毒概述10计算机病毒防治技术8.2 计算机病毒的构成与传播计算机病毒的构成与传播8.2.1 8.2.1 计算机病毒的构成计算机病毒的构成11计算机病毒防治技术8.2.2 8.2.2
9、 计算机病毒的传播计算机病毒的传播8.2 计算机病毒的构成与传播计算机病毒的构成与传播 计算机病毒的计算机病毒的传染性传染性是计算机病毒最危险的特点之一是计算机病毒最危险的特点之一。计算机病毒潜伏在系统内,用户在不知情的情况下进行相应的操作激活触发条件,使其得以由一个载体传播至另一个载体,完成传播过程。随着计算机的广泛普及应用以及互联网的飞速发展,计算机病毒的传播也从传统的常用交换媒介传播,逐渐发展到通过互联网进行全球化的传播。1.移动式存储介质 移动存储介质主要包括:软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、记忆棒(Memory Stick)、移动硬盘等。移动存储介质以其便携性和
10、大容量存储性为病毒的传播带来了极大的便利,这也是它成为目前主流病毒传播途径的重要原因。12计算机病毒防治技术8.2 计算机病毒的构成与传播计算机病毒的构成与传播8.2.2 8.2.2 计算机病毒的传播计算机病毒的传播13计算机病毒防治技术8.2.3 8.2.3 计算机病毒的触发和生存计算机病毒的触发和生存8.2 计算机病毒的构成与传播计算机病毒的构成与传播14计算机病毒防治技术8.2.4 8.2.4 特种及新型病毒实例特种及新型病毒实例木木 马马木马一词源于古希腊传说中的木马一词源于古希腊传说中的“特洛伊木马特洛伊木马”(Trojan Trojan horsehorse),引申至计算机领域,可
11、以理解为一类恶意程序。木马和),引申至计算机领域,可以理解为一类恶意程序。木马和病毒一样,均是人为编写的应用程序,都属于计算机病毒的范畴。病毒一样,均是人为编写的应用程序,都属于计算机病毒的范畴。相对于普通计算机病毒来说,木马具有更快的传播速度以及更加相对于普通计算机病毒来说,木马具有更快的传播速度以及更加严重的危害性,但其最大的破坏性在于它通过修改图标、捆绑文严重的危害性,但其最大的破坏性在于它通过修改图标、捆绑文件、仿制文件等方式进行伪装和隐藏自己,误导用户下载程序或件、仿制文件等方式进行伪装和隐藏自己,误导用户下载程序或打开文件,同时收集用户计算机信息并将其泄露给黑客供其远程打开文件,同
12、时收集用户计算机信息并将其泄露给黑客供其远程控制,甚至进一步向计算机发动攻击。控制,甚至进一步向计算机发动攻击。8.2 计算机病毒的构成与传播计算机病毒的构成与传播15计算机病毒防治技术案例案例8-28-2金山安全金山安全2010木马发展趋势报告木马发展趋势报告 2010年以来,绑架型木马增长迅猛,几乎占据了互联网新增木马的主流。无论是木马启动方式,还是对用户电脑系统的破坏性,绑架型木马均超出了传统木马以及感染型木马。而且杀毒软件对此类木马的查杀技术也面临着严峻的考验。2010年之前,绑架型木马已经出现,但并没有大规模爆发。进入2010年,绑架型木马增长迅猛,仅2010年前9个月即新增绑架型木
13、马943862个,占据新增木马的84.2%。8.2 计算机病毒的构成与传播计算机病毒的构成与传播16计算机病毒防治技术8.2 计算机病毒的构成与传播计算机病毒的构成与传播实例实例1 1 冰河木马冰河木马1.1.冰河木马的主要冰河木马的主要冰河木马的主要冰河木马的主要功能功能功能功能 激活冰河木马的服务端程序G-Server.exe后,它将在目标计算机的C:Windows system目录下自动生成两个可执行文件,分别是Kernel32.exe和Sysexplr.exe。如果用户只找到Kernel32.exe,并将其删除,那么冰河木马并未完全根除,只要打开任何一个文本文件或可执行程序,Sysex
14、plr.exe就会被激活而再次生成一个Kernel32.exe,这就是导致冰河木马的屡删无效,死灰复燃的原因。2.2.冰河木马的原理冰河木马的原理冰河木马的原理冰河木马的原理17计算机病毒防治技术实例实例2 2 蠕虫蠕虫 蠕虫病毒是计算机病毒的一种,它具有计算机病毒的共性,如传播性,隐蔽性,破坏性等,同时还具有一些个性特征,如它并不依赖宿主寄生,而是通过复制自身在网络环境下进行传播。同时,蠕虫病毒较普通病毒的破坏性更强,借助共享文件夹、电子邮件、恶意网页、存在漏洞的服务器等伺机传染整个网络内的所有计算机,破坏系统,并使系统瘫痪。课堂讨论课堂讨论课堂讨论课堂讨论1.1.计算机病毒的由几部分构成?
15、计算机病毒的由几部分构成?2.2.计算机病毒的主要传播途径有哪些?计算机病毒的主要传播途径有哪些?3.3.试述电子邮件病毒的触发方式?试述电子邮件病毒的触发方式?8.2 计算机病毒的构成与传播计算机病毒的构成与传播18计算机病毒防治技术8.3 计算机病毒的检测清除与防范计算机病毒的检测清除与防范8.3.1 8.3.1 计算机病毒的检测计算机病毒的检测19计算机病毒防治技术8.3.2 8.3.2 常见病毒的清除方法常见病毒的清除方法8.3 计算机病毒的检测清除与防范计算机病毒的检测清除与防范(1 1)一般常见流行病毒)一般常见流行病毒(2 2)系统文件破坏)系统文件破坏此种情况对计算机危害较小,
16、一般运行杀毒软件进行查杀即可。若可执行文件的病毒无法根除,可将其删除后重新安装多数系统文件被破坏将导致系统无法正常运行,破坏程序较大。若删除文件重新安装后仍未解决问题,则需请专业计算机人员进行清除和数据恢复。在数据恢复前,要将重要的数据文件进行备份,当出现误杀时方便进行恢复。20计算机病毒防治技术8.3 计算机病毒的检测清除与防范计算机病毒的检测清除与防范8.3.4 8.3.4 木马的检测清除与防范木马的检测清除与防范22计算机病毒防治技术8.3 计算机病毒的检测清除与防范计算机病毒的检测清除与防范8.3.5 8.3.5 病毒和防病毒技术的发展趋势病毒和防病毒技术的发展趋势计算机病毒种类及数量
17、不断快速增加计算机病毒种类及数量不断快速增加根据国家计算机病毒应急处理中心病毒样本库的统计,2009年新增病毒样本299万个,是2008年新增病毒数的3.2倍,其中木马程序巨量增加。截至2009年底,木马样本共330万多个,占病毒木马样本总数的72.9%,而2008年这一比例只有54;2009年发现新增木马246万多个,是2008年新增木马的5.5倍。案例案例8-38-323计算机病毒防治技术8.3 计算机病毒的检测清除与防范计算机病毒的检测清除与防范8.3.5 8.3.5 病毒和防病毒技术的发展趋势病毒和防病毒技术的发展趋势“云安全(Cloud Security)”计划是网络时代信息安全的最
18、新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。病毒库不再保存在本地,而是保存在官方服务器中,在扫描的时候和服务器交互后,做出判断是否有病毒。依托“云安全”进行杀毒能降低升级的频率,降低查杀的占用率,减小本地病毒数据库的容量。云安全技术应用的最大优势就在于,识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每
19、个参与者就越安全,整个互联网就会更安全。课堂讨论课堂讨论课堂讨论课堂讨论 1.1.计算机中毒常见的异常现象有哪些?计算机中毒常见的异常现象有哪些?2.2.如何检测、清除、防范计算机病毒?如何检测、清除、防范计算机病毒?3.3.如何检测、清除、防范木马程序?如何检测、清除、防范木马程序?24计算机病毒防治技术8.4 恶意软件的危害和清除恶意软件的危害和清除8.4.1 8.4.1 恶意软件概述恶意软件概述恶意软件主要是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件。根据中国互联网协会颁布的“恶意软件定义”细则,更加明确细化了恶意软件的定义和范围:
20、满足以下八种情况之一即可被认定为是恶意软件,分别为:强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑以及其他侵犯用户知情权和选择权的恶意行为。恶意软件通常难以清除,影响计算机用户正常使用,无法正常卸载和删除给用户造成了巨大困扰,因此又获别名“流流氓软件氓软件”。25计算机病毒防治技术8.4 恶意软件的危害和清除恶意软件的危害和清除8.4.2 8.4.2 恶意软件的危害与清除恶意软件的危害与清除课堂讨论课堂讨论课堂讨论课堂讨论 1.1.什么是恶意软件?什么是恶意软件?2.2.恶意软件的危害有哪些?恶意软件的危害有哪些?3.3.如何清除恶意软件?如何清除恶意软件?26
21、计算机病毒防治技术8.5 瑞星云安全软件瑞星云安全软件2011应用实验应用实验8.5.1 8.5.1 实验目的实验目的8.5.2 8.5.2 实验内容实验内容(1)了解瑞星全功能安全软件2011的主要功能及特点。(2)理解瑞星全功能安全软件2011主要技术和应用。(3)掌握瑞星全功能安全软件2011操作界面、步骤和方法。图8-2 瑞星2011三层安全架构图1.瑞星2011的安全架构 27计算机病毒防治技术8.5.2 8.5.2 实验内容实验内容2.瑞星2011的主要功能及特点8.5 瑞星云安全软件瑞星云安全软件2011应用实验应用实验28计算机病毒防治技术8.5.3 8.5.3 操作步骤操作步
22、骤8.5 瑞星云安全软件瑞星云安全软件2011应用实验应用实验1.操作界面六六大大功功能能区区域域图8-3 瑞星2011操作界面29计算机病毒防治技术8.5.3 8.5.3 操作步骤操作步骤8.5 瑞星云安全软件瑞星云安全软件2011应用实验应用实验2.“智能云安全”技术30计算机病毒防治技术3.杀毒方式多样化8.5.3 8.5.3 操作步骤操作步骤瑞星2011提供快速查杀、全盘查杀、自定义查杀等三种查杀方式,用户可以自行选择查杀方式,应该一段时期后做一次全盘查杀,如果插入外部设备时,例如移动存储设备U盘、移动硬盘等,可以采用自定义查杀方式进行选择。查杀结果如果出现可疑文件则自动上传给“云安全
23、”服务器进行判断,如果确认为病毒,立即升级病毒库将该病毒删除。图8-4 瑞星2011快速查杀界面8.5 瑞星云安全软件瑞星云安全软件2011应用实验应用实验31计算机病毒防治技术4.电脑防护8.5.3 8.5.3 操作步骤操作步骤8.5 瑞星云安全软件瑞星云安全软件2011应用实验应用实验瑞星2011具有针对网络用户的普通电脑防护和网络特殊防护功能。针对常用的一些电脑操作(U盘使用、电子邮件、办公软件等)及网络使用(网页浏览、程序下载等)进行监控,防止恶意程序对操作系统进行破坏性活动,如挂马网站的攻击,被黑客控制沦为“肉鸡”攻击互联网等恶意行为,防御网络威胁的同时保证计算机系统的信息安全。图8
24、-5 瑞星2011电脑基本防护界面 图8-6 瑞星2011电脑网络防护界面32计算机病毒防治技术5.连网程序8.5.3 8.5.3 操作步骤操作步骤8.5 瑞星云安全软件瑞星云安全软件2011应用实验应用实验图8-7 瑞星2011连网程序界面 连网程序功能可以监控当前系统中程序的安全等级、访问网络总流量以及连接数,若某程序出现异常,可以从总流量数据以及连接数直观地反应给用户。33计算机病毒防治技术6.“云安全”计划8.5.3 8.5.3 操作步骤操作步骤8.5 瑞星云安全软件瑞星云安全软件2011应用实验应用实验图8-8 瑞星2011“云安全”计划界面 图8-9 瑞星2011网站拦载界面“云安
25、全”计划通过用户唯一身份标识邮箱地址,将恶意网址上传至瑞星“云安全”服务器,然后服务器将把这些信息上传到恶意网址库中,共享给防火墙等其他软件,并且实时监控这些恶意网站,及时地将这些网站下载的病毒加到病毒库中。34计算机病毒防治技术8.6 本章小结本章小结 计算机病毒的防范,应以计算机病毒的防范,应以预防预防为主,在为主,在各方面的共同配合各方面的共同配合来解决计算机病毒的问题。本章来解决计算机病毒的问题。本章首先首先进行了计算机病毒进行了计算机病毒概述概述,包括包括计算机病毒的计算机病毒的概念及产生概念及产生,计算机病毒的,计算机病毒的特点特点,计算机病,计算机病毒的毒的种类种类,计算机中毒的
26、,计算机中毒的异常现象异常现象;介绍了介绍了计算机病毒的计算机病毒的构成构成、计算机病毒的计算机病毒的传播方式传播方式、计算机病毒的、计算机病毒的触发和生存条件触发和生存条件、特种特种及新型病毒实例分析及新型病毒实例分析等;等;同时同时还具体地还具体地介绍介绍 了了计算机病毒的检计算机病毒的检测、清除与防范技术,木马的检测清除与防范技术,测、清除与防范技术,木马的检测清除与防范技术,以及以及计算计算机病毒和防病毒技术的发展趋势;机病毒和防病毒技术的发展趋势;总结了总结了恶意软件的类型、危恶意软件的类型、危害、清除方法和防范措施;害、清除方法和防范措施;最后最后,针对瑞星全功能安全软件,针对瑞星全功能安全软件20112011的功能、特点、操作界面、常用工具,以及实际应用和具的功能、特点、操作界面、常用工具,以及实际应用和具体的实验目的、内容进行了体的实验目的、内容进行了介绍介绍,便于理解具体实验过程,掌,便于理解具体实验过程,掌握方法。握方法。35计算机病毒防治技术36计算机病毒防治技术