计算机病毒知识与防范探究.ppt

计算机病毒发作后所造成的后果： 硬盘无法启动，数据丢失 计算机病毒破坏了硬盘的引导扇区后，就无法从硬盘启动计算机系统了。 对计算机数据信息的直接破坏作用。 占用磁盘空间和对信息的破坏 抢占系统资源 影响计算机运行速度 计算机病毒错误与不可预见的危害 网络瘫痪，无法提供正常的服务。 计算机病毒给用户造成严重的心理压力   蠕虫（Worm） 通过网络连接，将自身复制到其它计算机中，但不感染其它文件。 特洛伊木马（Trojan horse） 表面上看起来是无害的程序或数据，实际上内含恶意或有害的代码。窃取用户数据和系统控制权 最常见的两种病毒 二 计算机病毒的检测和防范 用防病毒软件来防范病毒需要定期自动更新或者下载最新的病毒定义、病毒特征。但是防病毒软件的问题在于它只能为防止已知的病毒提供保护。因此，防病毒软件只是在检测已知的特定模式的病毒和蠕虫方面发挥作用。 现代病毒利用人性的弱点 隐蔽性更强 伪装成开玩笑的邮件 伪装求职 甚至伪装防病毒厂家的技术支持 附在图片上 很多时候用户被感染不知道 用一些很有吸引力的标题 — 如点击XX站点可以赚钱 — 打开邮件就会得到免费的礼物 三 计算机木马及其防护 计算机木马概述 全称“特洛伊木马（Trojan Horse）”，古希腊士兵藏在木马内进入敌城，占领敌城的故事 计算机木马指：黑客在可供网络上传下载的应用程序或游戏中，添加可以控制用户计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。 三 计算机木马及其防护 计算机木马的特点 隐蔽性 命名上采用和系统文件的文件名相似的文件名 属性通常是系统文件、隐藏、只读属性 存放在不常用或难以发现的系统文件目录中 在任务栏里隐藏 在任务管理器里隐藏（Ctrl+Alt+Del） 三 计算机木马及其防护 计算机木马的特点 非授权性：一旦控制端与服务器端连接后，便大开系统之门，毫无秘密而言在不常用或难以发现的系统文件目录中。 包含在正常程序中（例如，与图片文件绑定或生成exe-binder程序） 不产生图标，以免用户注意到任务栏里来历不明的图标 自动隐藏在任务管理器中，以“系统服务”的方式欺骗操作系统 三 计算机木马及其防护 计算机木马的特点 自动运行能力：附着在诸如win.ini、system.ini、winstart.ini 或启动组等文件中随系统启动而启动。 自动恢复能力：多文件组合、多重备份，只要触发文件组合中的一个程序，就会启动该木马。 自动打开特别端口，提供给黑客，作为入侵的端口。 特殊功能：除普通的文件操作外，还有诸如搜索cache口令、扫描目标主机的IP地址、键盘记录等功能 三 计算机木马及其防护 计算机木马和病毒的区别 木马不具有自我复制性和传染性，不会像病毒那样自我复制、刻意感染其他文件。 木马的主要意图不是为了破坏用户的系统，而是为了监视并窃取系统中的有用信息，如密码、账号。 三 计算机木马及其防护 两大国产杀毒软件公司的网络安全报告 瑞星反病毒监测网 三 计算机木马及其防护 两大国产杀毒软件公司的网络安全报告 金山反病毒监测网 三 计算机木马及其防护 计算机木马的分类 破坏型：破坏删除文件（*.ini、*.dll、*.exe） 发送密码型：找到隐藏的密码，发送到指定的邮箱 远程访问型：只要运行了服务端程序，如果客户知道服务端的IP地址，就可以实现远程控制 键盘记录型：记录用户在线或离线时按键情况，统计用户按键的频度，进行密码分析 三 计算机木马及其防护 计算机木马的分类 分布式攻击（DoS）型 在一台又一台的计算机（“肉机”）上植入DoS攻击木马，形成DoS攻击机群，攻击第三方的计算机 邮件炸弹：机器一旦被挂马，木马就会随机生成各种各样的主题信件，对特定的邮箱不停发送信件，直到对方邮件服务器瘫痪 代理（Proxy）型：黑客隐藏自己的足迹，让肉机沦为“替罪羊” FTP型：打开端口21，等待用户连接 三 计算机木马及其防护 计算机木马的发展趋势 隐蔽性增加 采用非TCP/UDP封装的IP数据包携带盗取的信息 寄生在TCP端口，与正常通信流混合传送 传输方式多样化（如网页挂马） 编程机制多样化（针对网卡或Modem的底层通信编程，跳过防火墙） 跨平台性（一个木马程序可兼容不同公司不同版本的操作系统） * * * 计算机病毒知识与防范 公桥职高 范军 主要内容 一 计算机病毒概述 二 计算机病毒的防范、检测 三 计算机木马及其防护 四 与计算机病毒相关的一些知识 一 计算机病毒概述 1.计算机病毒的产生和发展 举例一:莫里斯的蠕虫病毒 1988年11月2日，美国重要的计算机网络——Internet中约6000台电脑系统遭到了计算机病毒的攻击，造成了整个