计算机病毒与防御课件.pptVIP

第9章 计算机病毒与防御 本章要求 掌握计算机病毒的概念义 了解计算机病毒的发展史与危害 熟悉计算机病毒的主要特性 掌握计算机病毒的分类、查杀与防范方法。 本章主要内容 9.1 计算机病毒的概念 9.2 计算机病毒的种类 9.3 计算机病毒的查杀与防范方法 9.1.1 计算机病毒的定义 9.1.2 计算机病毒的发展史 9.1.3 计算机病毒的危害 9.1.4 计算机病毒的主要特性 9.1.1 计算机病毒的定义 在《中华人民共和国计算机信息系统安全保护条例》中被明确定义，计算机病毒是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 从广义上讲，一些恶意程序虽然不能自我复制，但会对计算机系统产生破坏或严重损害计算机使用者的利益，这些程序往往也被归类为计算机病毒，如木马程序等。 9.1.2 计算机病毒的发展史 最早提出电脑病毒概念的是电脑的先驱者冯·诺伊曼。在他的一篇论文《复杂自动装置的理论及组识的进行》里，勾勒出病毒程序自我繁殖的基本原理。不过在当时，绝大部分的电脑专家都无法想像会有这种能自我繁殖的程序。 第一次验证了计算机病毒存在的可能性是在1983年11月，美国电脑专家弗雷德?科恩博士研制出一种在运行过程中可以复制自身的破坏性程序，并将它命名为计算机病毒，并在每周一次的计算机安全讨论会上正式提出，之后专家们在VAX11/750计算机系统上运行，第一个病毒实验成功。但这个病毒程序仅存在于实验室，证明计算机病毒是可以被制造出来的，但其并没有对外扩散。 第一个真正的电脑病毒诞生于1987年。 这个病毒程序是由一对巴基斯坦兄弟：巴斯特和阿姆捷特所写。此兄弟二人在当地经营一家个人电脑的商店，由于当地盗拷软件的风气盛行，他们为了防止他们的软件被任意盗拷，编写出一个特殊的程序，只要有人盗拷他们的软件，这个程序就会发作，将盗拷者的硬盘剩余空间给吃掉。这个程序命名为Pakistani Brain(巴基斯坦大脑)，被公认为是世界上第一个计算机病毒，这个病毒在其后的一年时间里扩散到世界各地。 第一代病毒 第一代病毒的产生年代通常认为在1986-1989年之间，这一期间出现的病毒称之为传统病毒，是计算机病毒的萌芽和滋生时期。 这一阶段的计算机病毒具有如下的一些特点： （1）病毒攻击的目标比较单一，有些传染磁盘引导扇区，有些传染可执行文件。 （2）病毒程序主要采取截获系统中断向量的方式监视系统的运行状态，并在一定的条件下对目标进行传染。 （3）病毒传染目标以后的特征比较明显，如磁盘上出现坏扇区，可执行文件的长度增加、文件建立的日期和时间发生变化等等。这些特征容易被人工或查毒软件所发现。 （4）病毒程序不具有自我保护的措施，容易被人们分析和解剖，从而使得人们容易编制相应的消毒软件。 第二代病毒 第二代病毒又称为混合型病毒，其产生的年代在1989-1991年之间，它是计算机病毒由简单发展到复杂，由单纯走向成熟的阶段。 （1）病毒攻击的目标趋于混合型，即一种病毒既可传染磁盘引导扇区，又可能传染可执行文件。 （2）病毒程序不采用明显地截获中断向量的方法监视系统的运行，而采取更为隐蔽的方法驻留内存和传染目标。 （3）病毒传染目标后没有明显的特征，如磁盘上不出现坏扇区，可执行文件的长度增加不明显，不改变被传染文件原来的建立日期和时间等等。 （4）病毒程序往往采取了自我保护措施，如加密技术、反跟踪技术，制造各种障碍，增加人们解剖、分析病毒的难度，也增加了病毒的发现与杀除难度。 （5）出现许多病毒的变种，这些变种病毒较原病毒的传染性更隐蔽，破坏性更大。 第三代病毒 第三代病毒的产生是从1992年开始至1995年，此类病毒称为“多态性”病毒或“自我变形”病毒。 所谓“多态性”或“自我变形”的含义是指此类病毒在每次传染目标时，侵入宿主程序中的病毒程序大部分都是可变的，即在搜集到同一种病毒的多个样本中，病毒程序的代码绝大多数是不同的，这是此类病毒的重要特点。 第四代病毒 90年代中后期，随着因特网、远程访问服务的开通，病毒流行面更加广泛，病毒的流行迅速突破地域的限制， 首先通过广域网传播至局域网内，再在局域网内传播扩散。 随着因特网的普及，电子邮件的使用，以及Office系列办公软件被广泛应用，夹杂于电子邮件内的Office宏病毒成为当时病毒的主流。由于宏病毒编写简单、破坏性强、清除繁杂，加上微软对文档结构没有公开，给直接基于文档结构清除宏病毒带来了诸多不便。 这一时期的病毒的最大特点是利用Internet作为其主要传播途径，传播对象从传统的引导型和依附于可执行程序文件而转向流通性更强的文档文件中。因而，病毒传播快、隐蔽性强、破坏性大。这些都给病毒防治带来