1项目三系统的安全与防范、启动盘的制作任务分解:任务一计算机病毒防护任务二制作U盘启动盘211.1计算机病毒的诊断1.计算机病毒定义计算机病毒(ComputerVirus)在《中华人民共和国计算机信息系统安全保护条例》中被明确定义,病毒是指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。任务一计算机病毒•1.计算机病毒的传染性•与生物病毒一致:传染性是生物病毒的一个重要特征。通过传染,生物病毒从一个生物体扩散到另一个生物体。•计算机病毒一旦进入计算机病得以执行,它会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身插入其中,达到自我繁殖的目的。•是否具传染性:判别一个程序是否为病毒的最重要条件。计算机病毒的特性2.计算机病毒的隐蔽性•计算机病毒通常附在正常程序中或磁盘较隐蔽的地方,目的是不让用户发现它的存在。不经过程序代码分析或计算机病毒代码扫描,计算机病毒程序与正常程序是不容易区别开来的。•一是传染的隐蔽性。•二是计算机病毒程序存在的隐蔽性。计算机病毒的特性•3.计算机病毒的潜伏性•大部分的计算机病毒感染系统之后一般不会马上发作,它可长期隐藏在系统中,只有在满足其特定条件时才启动其表现(破坏)模块,在此期间,它就可以对系统和文件进行大肆传染。潜伏性愈好,其在系统中的存在时间就会愈久,计算机病毒的传染范围就会愈大。计算机病毒的特性•4.可触发性:一种条件的控制•计算机病毒使用的触发条件主要有以下三种。••(1)利用计算机内的时钟提供的时间作为触发器,这种触发条件被许多计算机病毒采用,触发的时间有的精确到百分之几秒,有的则只区分年份。例:CIH病毒陈盈豪每年4月26日•计算机病毒的特性•(2)利用计算机病毒体内自带的计数器作为触发器,计算机病毒利用计数器记录某种事件发生的次数,一旦计数器达到某一设定的值,就执行破坏操作。•例:ElkCloner第50次启动感染病毒的软盘时•(3)利用计算机内执行的某些特定操作作为触发器,特定操作可以是用户按下某种特定的组合键,可以是执行格式化命令,也可以是读写磁盘的某些扇区等。计算机病毒的特性•5.计算机病毒的破坏性•任何计算机病毒只要侵入系统,都会对系统及应用程序产生不同程度的影响。轻者会降低计算机的工作效率,占用系统资源,重者可导致系统崩溃。这些都取决于计算机病毒编制者的意愿。•攻击系统数据区,攻击部位包括引导扇区、FAT表、文件目录;攻击文件;攻击内存;干扰系统运行,如无法操作文件、重启动、死机等;导致系统性能下降;攻击磁盘,造成不能访问磁盘、无法写入等;扰乱屏幕显示;干扰键盘操作;喇叭发声;攻击CMOS;干扰外设,如无法访问打印机等。计算机病毒的特性•6.计算机病毒的针对性•计算机病毒都是针对某一种或几种计算机和特定的操作系统的。例如,有针对PC及其兼容机的,有针对Macintosh的,还有针对Unix和Linux操作系统的。•有一种计算机病毒几乎是与操作系统无关的,那就是宏病毒,所有能够运行Office文档的地方都有宏病毒的存在。计算机病毒的特性•7.计算机病毒的衍生性•计算机病毒的衍生性是指计算机病毒编制者或者其他人将某个计算机病毒进行一定的修改后,使其衍生为一种与原先版本不同的计算机病毒。后者可能与原先的计算机病毒有很相似的特征,这时我们称其为原先计算机病毒的一个变种/变体(ComputerVirus-Variance)。计算机病毒的特性•8.计算机病毒的寄生性•计算机病毒的寄生性是指一般的计算机病毒程序都是依附于某个宿主程序中,依赖于宿主程序而生存,并且通过宿主程序的执行而传播的。•蠕虫和特洛伊木马程序则是例外,它们并不是依附于某个程序或文件中,其本身就完全包含有恶意的计算机代码,这也是二者与一般计算机病毒的区别。计算机病毒的特性•9.计算机病毒的不可预见性•计算机病毒的不可预见性体现在以下两个方面:•首先是计算机病毒的侵入、传播和发作是不可预见的,有时即使安装了实时计算机病毒防火墙,也会由于各种原因而不能完全阻隔某些计算机病毒的侵入。•其次不同种类的代码千差万别,病毒的制作技术也不断提高,对未来病毒的预测很困难。计算机病毒的特性1.不可移动的计算机硬件设备这种传播途径是指利用专用集成电路芯片(ASIC)进行传播。这种计算机病毒虽然极少,但破坏力却极强,目前尚没有较好的检测手段对付它。2.移动存储设备:光盘、移动硬盘等。3.网络:电子邮件、BBS、浏览、FTP文件下载、新闻组。4.通过点对点通信系统和无线通信系统传播计算机病毒的特性(1)攻击系统数据区。(2)对于文件的攻击。(3)影响系统运行速度,使系统的运行明显变慢。(4)破坏磁盘。(5)扰乱屏幕显示。(6)键盘和鼠标工作不正常。(7)攻击CMOS。(8)干扰外设的工作,尤其是打印机。计算机病毒的危害和由此产生的症状计算机病毒的产生15现在流行的病毒是由人为故意编写的,多数病毒可以找到作者和产地信息,从大量的统计分析来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,处于对上司的不满,为了好奇,为了报复,为了得到控制口令,为了软件拿不到报酬预留的陷阱等.当然也包括一些病毒研究机构和黑客的测试病毒。计算机病毒的分类16按照病毒存在的媒体分类:病毒可以划分为网络病毒、文件病毒、引导型病毒。按照病毒传染的方法分类:病毒可分为驻留型病毒和非驻留型病毒。按照病毒破坏的能力分类:病毒可分为无害型病毒、无危险型病毒、危险型病毒、非常危险型病毒。按照病毒特有算法分类:病毒可分为伴随型病毒、“蠕虫”型病毒、寄生型病毒、诡秘型病毒、变型病毒(又称幽灵病毒)。•1).引导区电脑病毒:•隐藏在磁盘内,在系统文件启动以前电脑病毒已驻留在内存内。这样一来,电脑病毒就可完全控制DOS中断功能,以便进行病毒传播和破坏活动。那些设计在DOS或Windows3.1上执行的引导区病毒是不能够在新的电脑操作系统上传播。按传染方式分类2).文件型电脑病毒又称寄生病毒,通常感染执行文件(.EXE),但是也有些会感染其它可执行文件,如DLL,SCR等等...每次执行受感染的文件时,电脑病毒便会发作(电脑病毒会将自己复制到其他可执行文件,并且继续执行原有的程序,以免被用户所察觉)。典型例子:CIH会感染Windows95/98的.EXE文件,并在每月的26号发作日进行严重破坏。于每月的26号当日,此电脑病毒会试图把一些随机资料覆写在系统的硬盘,令该硬盘无法读取原有资料。此外,这病毒又会试图破坏FlashBIOS内的资料。3).复合型电脑病毒:具有引导区病毒和文件型病毒的双重特点。按传染方式分类•4).宏病毒:宏病毒专门针对特定的应用软件,可感染依附于某些应用软件内的宏指令,它可以很容易透过电子邮件附件、软盘、文件下载和群组软件等多种方式进行传播如MicrosoftWord和Excel。与其他电脑病毒类型的区别是宏病毒是攻击数据文件而不是程序文件。5).特洛伊或特洛伊木马是一个看似正当的程序,但事实上当执行时会进行一些恶性及不正当的活动。特洛伊可用作黑客工具去窃取用户的密码资料或破坏硬盘内的程序或数据。特洛伊木马与电脑病毒的重大区别是特洛伊木马不具传染性,它并不能像病毒那样复制自身,也并不刻意地去感染其他文件,它主要通过将自身伪装起来,吸引用户下载执行。按传染方式分类•6).蠕虫:一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。根据使用者情况将蠕虫病毒分为两类:一种是面向企业用户和局域网而言;这种病毒利用系统漏洞,主动进行攻击,可以对整个互联网可造成瘫痪性的后果。另外一种是针对个人用户的,通过网络(主要是电子邮件、恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒、求职信病毒为代表。蠕虫病毒的传染目标是互联网内的所有计算机,局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等。它跟电脑病毒有些不同,电脑病毒通常会专注感染其它程序,但蠕虫是专注于利用网络去扩散。按传染方式分类病毒、蠕虫与木马之间有什么区别?共性:–都是可导致您的计算机和计算机上的信息损坏的恶意程序;都是人为编制出的恶意代码,都会对用户照成危害。区别:–木马一般主要以窃取用户相关信息为主要目的,相对病毒而言,我们可以简单地说,病毒破坏你的信息,而木马窃取你的信息。典型的特洛伊木马有灰鸽子、网银大盗等。–蠕虫不使用驻留文件即可在系统之间进行自我复制,而普通病毒需要传播受感染的驻留文件来进行复制,蠕虫病毒的传染目标是互联网内的所有计算机,而普通病毒的传染能力主要是针对计算机内的文件系统而言。按病毒的特性分类Trojan--特洛伊木马,有这个前缀的就是木马了,在此类病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能。比如Trojuan.qqpass.aWin32PEWin95W32W95--系统病毒,特性是可以感染windows操作系统的*.exe和*.dll文件Worm--蠕虫病毒,通过网络或者系统漏洞进行传播。比较著名的有冲击波Script--脚本病毒一般来说,脚本病毒还会有如下前缀:VBSJS(表明是何种脚本编写的)比如欢乐时光Backdoor--后门病毒,特性是通过网络传播,给系统开后门,最著名的就是灰鸽子为代表Dropper--种植程序病毒,特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,代表就是落雪了Joke--玩笑病毒,只是吓吓人而已,没什么危害HackTool--黑客工具Downloader--木马下载者,以体积小的下载者下载体积大的木马,方便隐藏AdWare--广告病毒,监视你在上网时的一举一动,然后把信息反馈到用它的公司计算机网络病毒的比例图典型的计算机病毒事件现代计算机病毒类型现代计算机病毒类型特洛伊木马程序蠕虫玩笑程序恶意程序dropper后门程序DDos攻击程序特洛伊木马程序特洛伊木马程序往往表面上看起来无害,但是会执行一些未预料或未经授权,通常是恶意的操作。蠕虫计算机蠕虫是指一个程序(或一组程序),它会自我复制、传播到别的计算机系统中去。玩笑程序玩笑程序是普通的可执行程序,这些程序建立的目的是用于和计算机用户开玩笑。这些玩笑程序设计时不是致力于破坏用户的数据,但是某些不知情的用户可能会引发不正当的操作,从而导致文件的损坏和数据的丢失。玩笑程序常见表现特征:类似常见的普通可执行程序不会感染其它程序不会造成直接破坏可能给用户带来烦恼和困惑可能不容易中断和停止某些设备(例如鼠标或键盘)可能会暂时工作反常病毒或恶意程序Droppers病毒或恶意程序Droppers被执行后,会在被感染系统中植入病毒或是恶意程序在病毒或恶意程序植入后,可以感染文件和对系统造成破坏用于生成病毒或恶意程序的计算机程序后门程序后门程序是一种会在系统中打开一个秘密访问方式的程序,经常被用来饶过系统安全策略DDos攻击程序DDos攻击程序用于攻击并禁用目标服务器的web服务,导致合法用户无法获得正常服务345.计算机感染病毒的症状(1)计算机的运行速度比平常慢;(2)计算机经常停止响应或死机;(3)计算机每隔数分钟就会崩溃,然后重新启动;(4)计算机会自动重新启动,然后无法正常运行;(5)计算机上的应用程序无法正常运行;(6)无法访问磁盘或磁盘驱动器;(7)无法正确打印;(8)看到异常错误消息;(9)看到变形的菜单和对话框。356.计算机病毒诊断(1)检查是否有异常的进程。(2)查看系统当前启动的服务是否正常。(3)在注册表中查找异常启动项。(4)用浏览器进行网上判断。(5)显示出所有系统文件和隐藏文件,查看是否有隐藏的病毒文件存在。(6)根据杀毒软件能否正常运行来判断计算机是否中毒。3611.2计算机病毒的清除如