弟08讲计算机病毒防范技术.pptVIP

计算机网络与信息安全技术 第8讲 计算机病毒防范技术 学习目标及重点 本节学习目标 计算机病毒概念、组成及其分类； 计算机病毒工作原理； 计算机病毒的破坏性传播方式及其症状； 计算机病毒的基本检测方法； 计算机病毒的防治。 学习重点 掌握计算机病毒基本防治技术 计算机病毒的产生与发展 病毒发展史： 1977年科幻小说《The Adolescence of P-1》(《P-1的春天》)描写计算机病毒，作者在这本书中描写了一种可以在计算机中互相传染的病毒，病毒最后控制了 7,000 台计算机，造成了一场灾难。 1983 年 11 月 3 日，弗雷德·科恩 (Fred Cohen) 博士研制出一种在运行过程中可以复制自身的破坏性程序 ； 1986 年初，在巴基斯坦的拉合尔 (Lahore)，巴锡特 (Basit) 和阿姆杰德(Amjad) 两兄弟编写了Pakistan 病毒，即Brain。在一年内流传到了世界各地； 1988 年 3 月 2 日，一种苹果机病毒发作，感染的苹果机停止工作，只显示“向所有苹果电脑的使用者宣布和平的信息”。以庆祝苹果机生日。 1988年11月2日康乃尔 (Cornell) 大学的罗伯特·莫里斯 (Robert T.Morris)编写的Worm病毒袭击美国6000台计算机，直接损失近9600万美元； 1988 年底，在我国的国家统计部门发现小球病毒。病毒开始传入我国； 计算机病毒的演变 1990年，开发出了第一个多态病毒。多态病毒是一种恶意软件，它使用不限数量的加密例程以防止被检测出来。多态病毒具有在每次复制时都可以更改其自身的能力，这使得用于“识别”病毒的基于签名的防病毒软件程序很难检测出这种病毒。 自那时起，病毒就变得越来越复杂：病毒开始访问电子邮件通讯簿，并将其自身发送到联系人；宏病毒将其自身附加到各种办公类型的应用程序文件并攻击这些文件；此外还出现了专门利用操作系统和应用程序漏洞的病毒。 电子邮件、对等 (P2P) 文件共享网络、网站、共享驱动器和产品漏洞都为病毒复制和攻击提供了平台。 在已感染系统上创建的后门（由恶意软件引入的秘密或隐藏的网络入口点）使得病毒编写者（或黑客）可以返回和运行他们所选择的任何软件。 病毒编写者还开始认真地设计病毒攻击的结构并使用社会工程，来开发具有可信外观的电子邮件。 恶意软件演变的同时，防病毒软件也处在不断的发展之中。 计算机病毒的概念 定义：计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。（国外） 定义：计算机病毒是指破坏计算机功能或者数据，并能自我复制的程序。（国内） 病毒是一段具有自我复制能力的代理程序，它将自己的代码写入宿主程序的代码中，以感染宿主程序，每当运行受感染的宿主程序时病毒就自我复制，然后其副本感染其它程序，如此周而复始。它一般隐藏在其它宿主程序中，具有潜伏能力、自我繁殖能力、被激活产生破坏能力。 计算机病毒的概念 病毒产生的原因： 计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大。 1）寻求刺激：自我表现；恶作剧；出于报复心理。 2）恶意目的（一般以金钱、政治、军事目的为主）。 3）实验室研究。 病毒的特征： 针对性；传染性； 寄生性；衍生性； 隐蔽性；潜伏性； 可触发性；夺取控制权； 破坏性与危害性； 计算机病毒的组成 计算机病毒技术正以惊人的速度在发展，不断有新的病毒出现。不同类型的计算机病毒采用的机制和表现手法不尽相同，但计算机病毒的机构基本相似，一般来说是由以下3个程序模块组成的。 （1）引导模块：在合适的条件下，引导模块作为整个病毒程序的组成部分，首先得到执行，它负责把病毒程序加载到内存合适的区域，并潜入到正在执行的操作系统或其它宿主程序中，至此病毒程序已经完成激活前的全部工作。 （2）传染模块：主要负责捕捉传染的条件和传染的对象，在保证被传染程序正常运行的情况下，完成计算机病毒的复制传播任务。 （3）破坏与表现模块：这里的破坏不单指毁坏系统的软/硬件和磁盘上的数据、文件，同时还指明显降低整个系统的运行效率。该部分程序负责捕捉进入破坏程序的条件，在条件满足时开始进行破坏系统或数据的工作，甚至可以毁掉包括病毒程序本身在内的系统资源。 计算机病毒的分类 1.按感染对象分类：可分为三类，即引导型病毒、文件型病毒和混