第六章 计算机病毒及防治.pptVIP

课程内容 本章概要 计算机病毒的概念 计算机病毒的特性 破坏性 破坏性是计算机病毒的首要特征，不具有破坏行为的指令或代码不能称为计算机病毒。任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响,轻者占用系统资源，降低计算机工作效率，重者窃取数据、破坏数据和程序，甚至导致系统崩溃。由此特性可将病毒分为良性病毒与恶性病毒。良性病度可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作，但会占用系统资源，如无法关闭的玩笑程序等。恶性病毒则有明确的目的，或窃取重要信息如银行帐号和密码，或打开后门接受远程控制等。 隐蔽性 计算机病毒虽然是采用同正常程序一样的技术编写而成，但因为其破坏的目的，因此会千方百计地隐藏自己的蛛丝马迹，以防止用户发现、删除它。病毒通常没有任何可见的界面，并采用隐藏进程、文件等手段来隐藏自己。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。 计算机病毒的特性 计算机病毒的结构及工作机理 计算机病毒的结构 一般由引导模块、传染模块、表现模块三部分组成。 计算机病毒的结构及工作机理 引导过程 也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。 传染过程 作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如CIH病毒只针对Windows 95/98操作系统 表现过程 是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的。 计算机病毒的工作流程 计算机病毒的入侵方式 计算机病毒的传播方式 计算机病毒的分类与命名 本章概要 计算机病毒产生的根源 计算机病毒的发展 计算机病毒的发展 计算机病毒的发展 计算机病毒的发展 计算机病毒的发展 计算机病毒的发展:江山代有才人出 计算机病毒的发展:江山代有才人出 计算机病毒的发展:江山代有才人出 计算机病毒的发展 计算机病毒的危害 本章概要 病毒的数量激增 木马、后门居首位 木马病毒窃密过程示意 2007上半年十大病毒 2007上半年全国各地疫情 黑客/病毒产业链分析 现代病毒的显著特点 议程内容 本章概要 早期病毒——DOS病毒 DOS时代的AIDS病毒 火炬病毒 该病毒发作时，在屏幕显示五把燃烧的火炬。同时，该病毒用内存的随机数从硬盘的物理第一扇区开始覆盖，造成硬盘中的数据丢失。 Rescue病毒 病毒发作时，显示一些图形和文字。 Suicide病毒 该病毒发作时，在屏幕上显示一幅图形，告诉你的机器已经被该病毒感染。 救护车病毒 该病毒发作时，从屏幕左下角有一辆救护车跑过。 DOS病毒原理分析 引导型病毒 传染机理 利用系统启动的缺陷 传染目标 硬盘的主引导区和引导区 软盘的引导区 传染途径 通过软盘启动计算机 防治办法 从C盘启动 打开主板的方病毒功能 典型病毒 小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒 引导型病毒 引导扇区是大部分系统启动或引导指令所保存的地方，而且对所有的磁盘来讲，不管是否可以引导，都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘（常见的如一个软盘）引导时发生的。 引导型病毒——主引导记录（MBR） 引导型病毒——系统引导过程 引导型病毒——感染与执行过程 Office杀手——宏病毒 DMV病毒 该病毒据说是第一个宏病毒，属于实验性的，无破坏性。 Aliance病毒 该病毒发作时，显示一个对话框。 Laroux病毒 该病毒感染Windows Excel文档，图中显示的是病毒的宏名。 Concept病毒 该病毒感染Win Word后，将在屏幕上弹出一个对话框。 宏病毒——工作机理 系统型病毒的存储结构 Windows95/98时代大名鼎鼎的CIH病毒 “震荡波”(Worm.Sasser ) 文件型病毒的存储结构 典型结构的简单文件病毒示例:autoexec.bat 骇人听闻的女鬼病毒 Windows NT时代的白雪公主病毒 千年老妖病毒 文件型病毒这种病毒会感染其它的文件，而它自己却驻留在内存中。当该病毒完成了它的工作后，其宿主程序才被运行，使人看起来仿佛一切都很正常 文件型病毒——传染机理 互联网瘟疫——蠕虫病毒 攻击 席卷全球的NIMDA病毒 造成严重危害的细密病毒Sircam 隐藏的危机——木马病毒（特洛伊） 木马病毒和黑客程序的远程监控 病毒、蠕虫与木马的比较 流氓软件 流氓软件定义 第一个定义：流氓软件是指具有一定的实用价值但具备电脑病毒和黑客的部分行为特征的软件。它处在合法软件和电脑病毒之间的灰色地带，他会使你无法卸载、并强行弹出广告和窃取用户的私人信息等危害