计算机网络病毒及其防范.pptVIP

第5章 计算机网络病毒及其防范 5.1 计算机病毒概述 5.2 计算机网络病毒 5.3 反病毒技术 5.4 计算机网络病毒的防范 5.5 小结 习题与思考题 5.1 计算机病毒概述 5.1.1 计算机病毒的定义 “计算机病毒”有很多种定义，从广义上讲，凡是能引起计算机故障，破坏计算机中数据的程序统称为计算机病毒。现今国外流行的定义为：计算机病毒是一段附着在其他程序上的，可以实现自我繁殖的程序代码。在国内，《中华人民共和国计算机信息系统安全保护条例》的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码”。此定义具有法律性和权威性。 5.1.2 计算机病毒的发展过程 1983年11月3日，弗雷德·科恩(Fred.Cohen)博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼(Len.Adleman)将它命名为计算机病毒(Computer Viruses)。 计算机病毒在20世纪90年代开始大规模流行。1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序(当时未给它命名)。这个程序通过UNIX的口令检测作为合法用户注册，进入系统后，将特洛伊木马程序不断传播、复制，使系统瘫痪。这是一个真正实用的、攻击计算机的病毒。 1988年11月2日晚，美国康尔大学研究生罗特·莫里斯(R.T.Morris)利用计算机系统存在的弱点，将计算机蠕虫病毒投放到网络中，使该病毒程序迅速扩展。至第二天凌晨，病毒从美国东海岸传到西海岸，造成了大批计算机瘫痪，遭受攻击的包括五个计算机中心和12个地区结点，连接着政府、大学、研究所和拥有政府合同的250?000台计算机，直接经济损失达9600万美元。这是自计算机出现以来最严重的一次计算机病毒侵袭事件，给全世界带来巨大的震动，引起世界各国的广泛关注。 随着计算机技术的发展，有越来越多的病毒出现。1995年在北美地区流行着一种“宏”病毒，它不感染.exe和.com文件，只感染文档文件。与传统病毒相比，宏病毒编写更为简单。1996年12月，宏病毒正式在我国出现，病毒名是“Taiwan No.1”。它是在文件型和引导型病毒的基础上发展出来的，它不仅可由磁盘传播，还可由Internet上E-mail和下载文件传播，传播速度快，可以在多平台上交叉感染，危害极大。据专家估计，宏病毒的感染率高达40%以上，即每发现100个病毒就有40个是宏病毒。 在国内，最初让人关注的病毒是1982年出现的“黑色星期五”病毒、“米氏病毒”和“小球病毒”等。由于当时网络没有普及，因此没有造成病毒的广泛流行。 1998年6月出现了CIH病毒，CIH病毒是目前破坏性最大的病毒之一。其别名有Win95.CIH、Spacefiller、Win32.CIH、 PE_CIH。它感染Windows 95/98下的PE(Portable Executable Format)可执行文件，但是不感染DOS文件。 它是世界上首例也是目前惟一能攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。CIH病毒产于台湾，是台湾大学生陈盈豪编写的。目前发现至少有五个版本，发作时间一般是每月26日。 V1.0版本是最初的CIH版本，不具有破坏性，感染Windows 可执行文件。V1.1版本能自动判断运行系统，如果是Windows NT，则自动隐蔽，被感染的文件长度并不增加。V1.2版本增加了破坏用户硬盘以及用户主机BIOS程序的代码，成为恶性病毒。它会感染ZIP自解压文件，导致ZIP压缩包在解压时出现错误信息，发作时间是每年4月26日。其中V1.3版为6月26日发作，不感染WINZIP类的自解压程序。V1.4版本修改了发作日期及病毒的版权信息，为每月的26日发作。由于该病毒一般隐藏在盗版光盘、软件以及游戏程序中，并能通过Internet迅速传播到世界各地，因此破坏性极大。 病毒发作时，通过复制的代码不断覆盖硬盘系统区，损坏BIOS和主引导区数据，看起来硬盘灯在闪烁，但再次启动时，计算机屏幕便一片漆黑，此时用户硬盘上的分区表已被破坏，数据很难再恢复，它对于网络系统的损失更严重。遭到袭击的不仅有国家机关、企事业单位、金融系统，还有公安机关、军事部，估计全球因此损失了上百亿美元。 最近，“红辣椒”、“恶邮差”、“冲击波”、Win32.Cydog等一系列病毒的出现，给计算机用户造成了很大的损失。 现在，由于网络的普及，计算机成为开放网络的一个结点，使得病毒可以长驱直入。计算机病毒非但没有得到抑制，数量反而与日俱增，所造成的危害也越来越大，甚至会造成网络的一时瘫痪。