病毒及反病毒.ppt

第3章 病毒、木马和恶意软件的清除与预防 了解计算机病毒、木马的概念、特征 了解计算机病毒的分类、传播方式及其危害 掌握各种防止病毒的软件的安装和配置方法 掌握特定的网络病毒、木马的查杀方法 本章节的实训建议在虚拟机中进行 目前病毒的情况 每周病毒预警： 钓鱼欺诈网页威胁网上购物安全 /zt/weeklyvirus/2010081701.shtml 一周安全事件点评：钓鱼网站成网购最大风险 /zt/weeklyvirus/2010081601.shtml 每周病毒预警：木马篡改DNS设置劫持hao123、265、360网址导航站流量 /zt/weeklyvirus/2010091301.shtml 3.1 计算机病毒概述 3.1.1 计算机病毒基本概念 计算机病毒是一种具有自我复制能力的计算机程序，它不仅能够破坏计算机系统，而且还能够传播、感染到其他的系统，它能影响计算机软件、硬件的正常运行，破坏数据的正确与完整。 《中华人民共和国计算机信息安全保护条例》的定义：计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。 计算机病毒也是一种恶意代码。 3.1.2 计算机病毒的历史 起源于冯·诺伊曼（John Von Neumann）的一篇论文《复杂自动装置的理论及组识的进行》。 美国著名的ATT贝尔实验室的“磁芯大战”（core war）的游戏 。 60年代，出现了一种“living”软件 ，可以进行自我复制 1983 年 11 月 3 日，弗雷德·科恩 (Fred Cohen) 博士在UNIX系统下研制出一种在运行过程中可以复制自身从而会引起系统死机的程序 1986 年初，在巴基斯坦的拉合尔 (Lahore)，巴锡特 (Basit) 和阿姆杰德(Amjad) 两兄弟编写了Pakistan 病毒，即Brain。 1987年，第一个电脑病毒C-BRAIN终于诞生 . 计算机病毒主要经历了六个重要的发展阶段 第一阶段为原始病毒阶段 (1986-1989年) 第二阶段为混合型病毒阶段 (1989－1991年)是计算机病毒由简单发展到复杂的阶段 第三阶段为多态性病毒阶段 第四阶段为网络病毒阶段 (90年代后) 第五阶段为主动攻击型病毒 (2000年后):2003年出现的“冲击波”病毒和2004年流行的“震荡波”病毒 第六阶段为“手机病毒”阶段 病毒发展趋势 “商业病毒”泛滥 高频度 传播速度快，危害面广 病毒制作技术新 病毒形式多样化 病毒生成工具 与反病毒软件的对抗性进一步加强 3.1.3 病毒的命名方式 Worm. Sasser . c 病毒前缀.病毒名.病毒后缀 病毒前缀 木马(Trojan ) 蠕虫病毒 (Worm ) 宏病毒(Macro) 后门病毒(Backdoor) 脚本病毒(script) 系统病毒(win32,PE,WIN95,W32) 病毒后缀:一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的。一般都采用英文中的26个字母来表示 3.1.4病毒的程序结构 病毒的传播方式 计算机病毒的传播有如下几种方式： 1. 通过不可移动的计算机硬件设备进行传播(即利用专用ASIC芯片和硬盘进行传播)。这种病毒虽然极少，但破坏力却极强，目前尚没有较好的检测手段对付。 2. 通过移动存储设备来传播（包括软盘、磁带等）。其中软盘是使用最广泛移动最频繁的存储介质，因此也成了计算机病毒寄生的“温床”。 3. 通过计算机网络进行传播。随着Internet的高速发展，计算机病毒也走上了高速传播之路，现在通过网络传播已经成为计算机病毒的第一传播途径。 4. 通过点对点通信系统和无线通道传播。 计算机病毒的破坏行为 不同病毒有不同的破坏行为，有代表性的行为如下： 1）攻击系统数据区 即攻击计算机硬盘的主引导扇区、Boot扇区、FAT表、文件目录等内容（一般来说，攻击系统数据区的病毒是恶性病毒，受损的数据不易恢复） 攻击文件 其表现删除文件、修改文件名称、替换文件内容、删除部分程序代码等等。 攻击内存 内存是计算机的重要资源，也是病毒的攻击目标。其攻击方式主要有占用大量内存、改变内存总量、禁止分配内存等。 4) 干扰系统运行 不执行用户指令、干扰指令的运行、内部栈溢出、占用特殊数据区、时钟倒转、自动重新启动计算机、死机等。 5) 计算机速度下降 不少病毒在时钟中纳入了时间的循环计数，迫使计算机空转，计算机速度明显下降。 6) 攻击磁盘 攻击磁盘数据、不写盘、写操作变读操作、写盘时丢字节等。 7) 扰乱屏幕显示 字符显示错乱、跌落、环绕、倒