第讲计算机病毒概述精要.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 一段能够进行自我传播、无需用户干预而可以自动触发执行的破坏性程序或代码。 利用系统漏洞来进行传播 蠕虫王、冲击波、震荡波、扫荡波等 蠕虫（worm） 在Win32系统下传染，病毒利用Outlook Express的漏洞，发送带有染毒附件的邮件，当用户在预览带有病毒附件的邮件时，附件就会自动执行，从而使用户受到该病毒的感染。 它将被感染机器的用户密码、键盘日志等发送到指定的邮件地址。 电子邮件蠕虫病毒--BadTrans.B 附着在应用程序中或单独存在的一些恶意程序，可以利用网络远程响应网络另一端控制程序的控制命令，实现对被植入了木马程序的目标计算机的控制，或者窃取感染木马程序的计算机上的机密资料。 木马程序通常是目标用户被欺骗之后自己触发执行的。 远程控制型木马：灰鸽子、冰河、黑洞等 木马（ Trojan ） 允许攻击者绕过系统中常规安全控制机制的程序，它按照攻击者自己的意图提供通道。 后门通常是由攻击者入侵到目标计算机之后由攻击者植入的，与木马不同。 后门（ Back Door） 僵尸网络（botnet）是指采用一种或多种传播手段，将大量主机感染bot程序，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 大量被植入僵尸程序的电脑通过僵尸控制服务器便可以形成僵尸网络。 僵尸（bot） Rootkit是能够持久或可靠地、无法被检测的存在于计算机上的一组程序或代码，使得攻击者能够保持访问计算机上最高权限的用户“root”。 Windows下的Rootkit在功能上以隐藏恶意程序为主。 Rootkit 间谍软件 广告软件 流氓软件 黑客工具 在生命周期中，病毒一般会经历如下三个阶段： 潜伏阶段：病毒处于休眠状态，最终会被某些条件激活（日期、某特定程序或特定文件的出现，内存容量超过一定范围等等） 传播阶段：将自身复制到其他程序或磁盘的某个区域上。 发作阶段：病毒被激活，在系统中发作，会执行某一特定功能从而达到某种既定的目的。 病毒发作体现出来的破坏程度是不同的： 表现自己 破坏程序和文件中的数据，甚至毁坏硬件 为什么会出现计算机病毒？ 来源于对自身软件进行保护。如巴基斯坦病毒。 一些计算机爱好者出于好奇或兴趣，也有的是为了满足自己的表现欲。 用于研究或实验而设计的“有用”程序，由于某种原因失去控制而扩散出来。 产生于程序员之间的游戏。如磁芯大战 政治、军事等特殊目的。 基于经济目的，非法组织以盗取用户银行账号、游戏账号等信息为方式以获取经济利益，目前甚至已经形成了盗号黑色产业链。这也是目前计算机病毒泛滥的重要原因。 2.计算机病毒的特点 1）传染性 2）破坏性 3）隐蔽性 4）程序性（可执行性） 5）可触发性 6）衍生性 7）不可预见性 8）欺骗性 1）传染性: 病毒把自身复制到其他程序、中间存储 介质或主机的性质。区别于正常程序。 2）破坏性：良性病毒-降低计算机工作效率，占用系统 资源，如内存空间、磁盘存储空间以及系 统运行时间等； 恶性病毒-破坏数据、删除文件、格式化磁 盘、系统崩溃，硬件损坏。 3）隐蔽性：潜伏阶段和发作阶段 4）程序性（可执行性）：只有运行了才能达到目的 5）可触发性：触发条件 6）衍生性：演变或释放出新病毒 7）不可预见性：代码千差万别，制作技术不断提高，针对反病毒软件的对抗永远是超前的。 8）欺骗性 3.计算机病毒的分类--按操作系统 DOS病毒 引导区病毒 文件型病毒 混合型病毒 Windows病毒 PE病毒 宏病毒（Macro）：Word、Excel 脚本病毒：VBS、JS 其它平台病毒 *NIX系列 OS/2系统 operating system 手机病毒 …… 单机病毒：单机病毒的载体是U盘、移动硬盘、光盘。常见的如从U盘传入硬盘，感染系统后，再传染其它U盘。U盘又感染其它系统。 网络病毒：网络为病毒提供了最好的传播途径，它的破坏力是前所未有的。网络病毒利用计算机网络的协议或命令以及Email等进行传播，常见的是通过QQ、BBS、Email、FTP、Web等传播。 计算机病毒的分类--按传播媒介 4.计算机病毒的命名 为了方便的表示病毒的类型和重要特征，一般而言， 病毒的名称都可以分成三个部分： 前缀 + 病毒名 + 后缀 前缀表示该病毒发作的操作平台或者病毒的类型，如:Tro