1、第第4 4章章 病毒及防范措施病毒及防范措施2024/5/27 周一1.4.1 计算机病毒算机病毒n1977年科幻小说The Adolescence of P-1构思了一种能够自我复制、利用通信进行传播的计算机程序。n1983年Fred Adleman首次在VAX 11/750上试验病毒;n1987年Brain病毒在全世界传播;n1988年11月2日Cornell大学的Morris编写的Worm病毒袭击美国6000台计算机,直接损失尽亿美元;n八十年代末,病毒开始传入我国;2024/5/27 周一2.4.1.1 计算机病毒的概念算机病毒的概念中中华人民共和国人民共和国计算机信息系算机信息系统安
2、全保安全保护条例条例中中队计算机病毒算机病毒进行了明确的定行了明确的定义:“计算机病毒(算机病毒(Computer Virus)是指)是指编制的或制的或者在者在计算机程序中插入的破坏算机程序中插入的破坏计算机功能或者破坏数算机功能或者破坏数据,影响据,影响计算机使用并能算机使用并能够自我复制的一自我复制的一组计算机指算机指令或者程序代令或者程序代码。”为什么称什么称为病毒?病毒?是借用生物学中是借用生物学中“病毒病毒”的概念,因的概念,因为这种特殊的种特殊的计算算机程序与生物学中的病毒就有相似的特征。机程序与生物学中的病毒就有相似的特征。生物学中的病毒具有哪些特征呢?生物学中的病毒具有哪些特征
3、呢?结构构简单、寄生性、自我繁殖、寄生性、自我繁殖、传播性、破坏性播性、破坏性2024/5/27 周一3.1、计算机病毒产生的背景(1)是计算机犯罪的新形式:计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大。(2)计算机软硬件产品的脆弱性是根本的技术原因。(3)微机的普及应用是计算机病毒产生的必要环境。4.1.2 病毒的病毒的产生及特性生及特性它的产生是计算机技术和社会信息化发展到一定阶段的必然产物2024/5/27 周一4.2、计算机病毒产生的原因n开玩笑、恶作剧n个别人的报复心理n用于版权保护的目的n用于特殊目的3、病毒发展的阶段(略)2024/5/27 周一5.
4、4、病毒的特征:、病毒的特征:(1)传染性染性;传染性是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,使被感染的计算机工作失常甚至瘫痪。病毒程序一般通过修改磁盘扇区信息或文件内容并把自身嵌入到其中,利用这种方法达到病毒的传染和扩散。(被嵌入的程序叫做宿主程序。);2024/5/27 周一6.(2)破坏性)破坏性对系统来讲,所有的计算机病毒都存在一个共同的危害,即占用系统资源,降低计算机系统的工作效率。同时计算机病毒的破坏性性主要取决于计算机病毒设计者的目的,如果病毒设计者的目的是彻底破坏系统的正常运行,那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的
5、,它可以毁掉系统的部分数据,也可以破坏全部数据并使之无法恢复。并非所有的病毒都有恶劣的破坏作用,有些病毒除了占用磁盘和内存外,没有别的危害。但有时几种本没有多大破坏作用的病毒交叉感染,也会导致系统崩溃。2024/5/27 周一7.(3 3)潜伏性)潜伏性:一个编制精巧的计算机病毒程序,进入系统之后一般不会马上发作,可以在几周或者几个月内隐藏在合法文件中,对其他系统进行传染,而不被人发现。潜伏性越好,其在系统中的存在时间就会越长,病毒的传染范围就会越大,它的危害就越大 潜伏性的第一种表现是指,病毒程序不用专用检测程序是检查不出来的,因此病毒可以静静地躲在磁盘里呆上很长时间,一旦时机成熟,得到运行
6、机会,就四处繁殖、扩散。潜伏性的第二种表现是指,计算机病毒的内部往往有一种触发机制,不满足触发条件时,计算机病毒除了传染外不做什么破坏。2024/5/27 周一8.(4 4)可)可执行性行性 计算机病毒与其他合法程序一样,是一段可执行的程序,但它不是一个完整的程序,而是寄生在其他可执行程序中。只有在执行时,才具有传染性、破坏性 未未经授授权而而执行:行:病病毒毒通通过悄悄悄悄地地篡夺合合法法程程序序的的系系统控控制制权而而得得到到运运行行的的机会。机会。一一般般正正常常的的程程序序是是由由用用户启启动,完完成成用用户交交给的的任任务,其其目目的的对用用户是是可可见的的。而而病病毒毒隐藏藏在在合
7、合法法程程序序中中,当当用用户启启动合合法法程程序序时窃窃取取到到系系统的的控控制制权,先先于于正正常常程程序序执行行。病病毒毒的的动作作、目的目的对用用户是未知的,是未是未知的,是未经用用户允允许的。的。2024/5/27 周一9.(5)可可触触发性性:病毒因某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性称为可触发性。病毒的触发机制用来控制感染和破坏动作的频率。病毒具有预定的触发条件,这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时,触发机制检查预定条件是否满足,如果满足,启动感染或破坏动作;如果不满足,使病毒继续潜伏。如CIH,触发条件:26日 2024/5/27 周
8、一10.(6)隐蔽性蔽性:病毒一般是具有很高编程技巧、短小精悍的程序。如果不经过代码分析,病毒程序与正常程序是不容易区别的。一般在没有防护措施的情况下,计算机病毒程序取得系统控制权后,可以在很短的时间里传染大量程序。一是传染的隐蔽性,大多数病毒在传染时速度是极快的,不易被人发现。二是病毒程序存在的隐蔽性,一般的病毒程序都附在正常程序中或磁盘较隐蔽的地方,也有个别的以隐含文件形式出现,目的是不让用户发现它的存在。2024/5/27 周一11.(7)衍生性)衍生性:分析计算机病毒的结构可知,传染和破坏部分反映了设计者的设计思想和设计目的。但是,这可以被其他掌握原理的人进行任意改动,从而又衍生出一种
9、不同于原版本的新的计算机病毒(又称为变种),这就是计算机病毒的衍生性。这种变种病毒造成的后果可能比原版病毒严重得多。(8)寄生性)寄生性:病毒程序嵌入到宿主程序中,依赖于宿主程序的执行而生存,这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后,一般对宿主程序进行一定的修改,宿主程序一旦执行,病毒程序就被激活,从而可以进行自我复制和繁衍。2024/5/27 周一12.4.1.3 病毒的分病毒的分类:按破坏性分按破坏性分为:无害型无危险型危险型非常危险型。按激活按激活时间分分为定时随机2024/5/27 周一13.按照病毒特有的算法分按照病毒特有的算法分为:n伴伴随随型型病病毒毒:产生EXE文
10、件的伴随体COM,病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。n“蠕蠕虫虫”型型病病毒毒:只占用内存,不改变文件,通过网络搜索传播病毒。n寄寄生生型型病病毒毒:除了伴随和“蠕虫”型以外的病毒,它们依附在系统的引导扇区或文件中。n变型型病病毒毒(幽幽灵灵病病毒毒):使用复杂算法,每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。2024/5/27 周一14.按按传染方式分染方式分为:n文件型:病毒一般附着在可执行文件上;n引导型:当系统引导时进入内存,控制系统;n混合型:既可感
11、染引导区,又可感染文件。n宏病毒:感染MS Office文档n其他类型2024/5/27 周一15.病毒的病毒的组成:成:安装模块:提供潜伏机制;传播模块:提供传染机制;触发模块:提供触发机制;其中,传染机制是病毒的本质特征,防治、检测及杀毒都是从分析病毒传染机制入手的。病毒的症状:病毒的症状:启启动或运行速度明或运行速度明显变慢;文件大小、日期慢;文件大小、日期变化;死化;死机增多;莫名其妙地机增多;莫名其妙地丢失文件;磁失文件;磁盘空空间不不应有的有的减少;有减少;有规律地出律地出现异常信息;自异常信息;自动生成一些特殊生成一些特殊文件;无文件;无缘无故地出无故地出现打印故障。打印故障。2
12、024/5/27 周一16.n计算机病毒的算机病毒的传播途径播途径1)硬件设备传播:通过不可移动的设备进行传播 较少见,但破坏力很强。2)移动存储设备传播:这是最广泛的传播途径之一3)通过网络进行传播:这是最广泛的传播途径之二4)无线传播:通过点对点通讯系统和无线通道传播 预计将来会成为两大传播渠道4.1.4 病毒的病毒的传播及危害播及危害传播的途径:理播的途径:理论上,与外界交上,与外界交换数据的所有数据的所有场合都有可能。合都有可能。2024/5/27 周一17.n病毒的危害n直接破坏数据n占用磁盘空间n抢占系统资源n影响计算机运行速度n错误的不可预见性n给用户造成心理压力2024/5/2
13、7 周一18.n病毒破坏行病毒破坏行为的常的常见表表现nBIOS病毒病毒现象象1、开机运行几秒后突然黑屏、开机运行几秒后突然黑屏2、外部、外部设备无法找到无法找到3、硬、硬盘无法找到无法找到4、电脑发出异出异样声音声音n硬硬盘引引导区病毒区病毒现象象1、无法正常启、无法正常启动硬硬盘2、引、引导时出出现死机死机现象象3、执行行C盘时显示示“Not ready error drive A Abort,Retry,Fail?”2024/5/27 周一19.n病毒破坏行病毒破坏行为的常的常见表表现n操作系操作系统病毒病毒现象象1、引、引导系系统时间变长2、计算机算机处理速度比以前明理速度比以前明显放
14、慢放慢3、系、系统文件出文件出现莫名其妙的莫名其妙的丢失,或字失,或字节变长,日,日期修改等期修改等现象象4、系、系统生成一些特殊的文件生成一些特殊的文件5、驱动程序被修改使得某些外程序被修改使得某些外设不能正常工作不能正常工作6、软驱、光、光驱丢失失7、计算机算机经常死机或重新启常死机或重新启动n2024/5/27 周一20.n病毒破坏行病毒破坏行为的常的常见表表现n应用程序病毒用程序病毒现象象1、启、启动应用程序出用程序出现“非法非法错误”对话框框2、应用程序文件用程序文件变大大3、应用程序不能被复制、移用程序不能被复制、移动、删除除4、硬、硬盘上出上出现大量无效文件大量无效文件5、某些程
15、序运行、某些程序运行时载入入时间变长n2024/5/27 周一21.4.2 网网络病毒的防范措施病毒的防范措施n传统的网络病毒定义是指利用网络进行传播的病毒。n现在的网络病毒定义是指以网络为平台,对计算机产生安全威胁的所有程序的总称。2024/5/27 周一22.4.2.1 网网络病毒的新特点病毒的新特点n传染速度快n扩散面广n传播形式复杂多样n难以彻底清除n破坏性大n潜在危险性大2024/5/27 周一23.n增加安全意增加安全意识n小心小心邮件件n挑挑选网网络版版杀毒毒软件件4.2.2 基于网基于网络安全体系的防病毒技安全体系的防病毒技术2024/5/27 周一24.4.3 防毒策略与常用
16、防毒策略与常用杀毒毒软件件防毒:防毒:预防入侵;防入侵;病毒病毒过滤、监控、隔离控、隔离查毒:毒:发现和追踪病毒;和追踪病毒;统计、报警警杀毒:从感染毒:从感染对象中清除病毒;恢复功能象中清除病毒;恢复功能4.3.1 病毒的防治策略(参病毒的防治策略(参见教材教材P82)4.3.2 防毒防毒杀毒毒软件件2024/5/27 周一25.n反病毒反病毒软件的件的选择1)能)能查杀的病毒数量多的病毒数量多2)扫描速度快描速度快3)快速、方便地升)快速、方便地升级著名著名杀毒毒软件公司件公司瑞星瑞星 RAV北京江民北京江民 KV系列,如系列,如KV3000冠群金辰冠群金辰 KILL金山金山 金山毒霸金山
17、毒霸 卡巴斯基卡巴斯基 Kaspersky 赛门铁克克 Norton Anti Virus2024/5/27 周一26.nCIH病毒台湾陈盈豪编写,一般每月26日发作。不仅破坏硬盘的引导扇区和分区表,还破坏系统Flash BIOS芯片中的系统程序,导致主板损坏。病毒长1KB,由于使用VXD技术,只感染32位Windows 系统可执行文件中的.PE格式文件。修复硬盘分区表:信源公司()的免费软件VRVFIX.EXE;CIH疫苗:CIH作者的Ant-CIHv1.0;美国Symantec公司的Kill_CIH4.4 常常见的病毒及清除(的病毒及清除(1)2024/5/27 周一27.4.4 常常见的
18、病毒及清除(的病毒及清除(2)n宏病毒宏病毒宏(Macro):为避免重复操作而设计的一组命令。在打开文件时,先执行“宏”,然后载入文件内容。因此如果“宏”带有病毒,则在编辑文件时病毒自动载入。n宏病毒的特点宏病毒的特点:感染数据文件、多平台交叉感染感染数据文件、多平台交叉感染容易容易编写、容易写、容易传播播n宏病毒的症状:宏病毒的症状:1)用Word或Excel打开文件时,出现“文档未打开”、“内存不够”、“WordBasic Err=514”等;2)保存文件时,强制将文件按“.dot”类型存储,或强制在指定目录存放。2024/5/27 周一28.几种宏病毒:几种宏病毒:AAAZAO Macr
19、o:Concept病毒,第一个宏病毒;Taiwan NO.1:第一个中文word病毒;Rainbow Macro:能改变桌面颜色;FormatC:格式化C盘,第一个木马型宏病毒;Hot Macro:第一个调用Windows API的宏病毒;Nuclear Macro:第一个干扰打印机、硬盘的宏病毒。2024/5/27 周一29.n宏病毒的防治宏病毒的防治除杀毒软件以外,还可尝试下列方法:1)按住键再启动Word,禁止宏自动运行;2)工具宏,检查并删除所有可能带病毒的宏;3)使用Disable AutoMacros宏 Sub MainDisableAutoMacros 1End Sub”4)将模
20、板文件如normal.dot的属性设为只读。2024/5/27 周一30.后面内容直接删除就行资料可以编辑修改使用资料可以编辑修改使用2024/5/27 周一31.主要经营:网络软件设计、图文设计制作、发布广告等公司秉着以优质的服务对待每一位客户,做到让客户满意!2024/5/27 周一32.致力于数据挖掘,合同简历、论文写作、PPT设计、计划书、策划案、学习课件、各类模板等方方面面,打造全网一站式需求2024/5/27 周一33.感感谢您的您的观看和下看和下载The user can demonstrate on a projector or computer,or print the presentation and make it into a film to be used in a wider field2024/5/27 周一34.
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100