2计算机病毒教材.ppt

网络安全技术 计算机病毒 复习 什么是病毒？ “计算机病毒”最早是由美国计算机病毒研究专家F.Cohen博士提出的。 “计算机病毒”有很多种定义，国外最流行的定义为：计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。 在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 病毒的存储方式 计算机病毒的存储方式有两种： 第一种是内存驻留方式 第二种是磁盘存储方式。 驻留内存是计算机病毒能够发挥作用的必要条件，而磁盘存储是病毒存在的客观条件。我们只要破坏掉病毒存储方式中的任意一种，都可以使计算机病毒丢失其原有特性，从而保证了我们计算机系统免受计算机病毒的侵扰。 计算机病毒的特征 根据对计算机病毒的产生、传染和破坏行为的分析，总结出病毒有以下几个主要特点。 1）自我复制能力 2）夺取系统控制权 3）隐蔽性 4）破坏性 5）潜伏性 6）不可预见性 病毒的发展历程 1. DOS引导阶段 2. DOS可执行阶段 3. 伴随阶段 4. 多形阶段 5. 生成器、变体机阶段 6. 网络、蠕虫阶段 7. 视窗阶段 8. 宏病毒阶段 9. 邮件病毒阶段 10. 手持移动设备病毒阶段 病毒分类 1、系统病毒 系统病毒的前缀为：Win32、PE、Win95、W32、W95等。 可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。 如CIH病毒 病毒分类 2、蠕虫病毒 蠕虫病毒的前缀是：Worm。 通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。 如冲击波 病毒分类 3、木马病毒、黑客病毒 木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。 通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。 QQ消息尾巴 病毒分类 4、脚本病毒 脚本病毒的前缀是：Script。还会有如下前缀：VBS、JS(表明是何种脚本编写的) 使用脚本语言编写，通过网页进行的传播的病毒。 如欢乐时光(VBS。Happytime) 病毒分类 5、宏病毒 也是脚本病毒的一种。前缀是：Macro，Word、Word97、Excel、Excel97等。 该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播 如：美丽莎(Macro.Melissa)。 病毒分类 6、后门病毒 后门病毒的前缀是：Backdoor。 通过网络传播，给系统开后门，给用户电脑带来安全隐患。 病毒分类 7、病毒种植程序病毒 8.破坏性程序病毒 9.玩笑病毒 10.捆绑机病毒 现代计算机病毒的流行特征 1．攻击对象趋于混合型 2．反跟踪技术 3．增强隐蔽性 4．加密技术处理 5．病毒繁衍不同变种 增强隐蔽性： （1）避开修改中断向量值 （2）请求在内存中的合法身份 （3）维持宿主程序的外部特性 （4）不使用明显的感染标志 网络安全防护体系构架 病毒的传播方式 计算机病毒的传播有如下几种方式： 1. 通过不可移动的计算机硬件设备进行传播(即利用专用ASIC芯片和硬盘进行传播)。这种病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段对付。 2. 通过移动存储设备来传播（包括软盘、磁带等）。其中软盘是使用最广泛移动最频繁的存储介质，因此也成了计算机病毒寄生的“温床”。 3. 通过计算机网络进行传播。随着Internet的高速发展，计算机病毒也走上了高速传播之路，现在通过网络传播已经成为计算机病毒的第一传播途径。 4. 通过点对点通信系统和无线通道传播。 病毒的传播、破坏过程 计算机病毒的检测 1．异常情况判断 2．计算机病毒的检查 异常情况判断 计算机工作出现下列异常现象，则有可能感染了病毒： 1）屏幕出现异常图形或画面，这些画面可能是一些鬼怪，也可能是一些下落的雨点、字符、树叶等，并且系统很难退出或恢复。 2）扬声器发出与正常操作无关的声音，如演奏乐曲或是随意组合的、杂乱的声音。 3）磁盘可用空间减少，出现大量坏簇，且坏簇数目不断增多，直到无法继续工作。 4）硬盘不能引导系统。 5）磁盘上的文件或程序丢失。 6）磁盘读/写文件明显变慢，访问的时间加长。 7）系统引导变慢或出现问题，有时出现“写保护错”提示。 8）系统经常死机或出现异常的重启动现象