3 计算机病毒

深圳职业技术学院石淑华池瑞楠1第三章计算机病毒深圳职业技术学院石淑华池瑞楠2目录•计算机病毒的定义•病毒发展史•计算机病毒的特点•病毒分类•计算机病毒的发展趋势•病毒实例•病毒的防护深圳职业技术学院石淑华池瑞楠3网络安全防护体系构架网络安全评估安全防护网络安全服务系统漏洞扫描网络管理评估病毒防护体系网络监控数据保密网络访问控制应急服务体系安全技术培训数据恢复网络安全防护体系构架深圳职业技术学院石淑华池瑞楠413568200595074524015628308413899717206842231798845205000000100000001500000020000000250000002003年2005年2007年2009年新病毒（种）深圳职业技术学院石淑华池瑞楠51994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒：Virus一、计算机病毒的定义深圳职业技术学院石淑华池瑞楠6二、病毒发展史1、计算机病毒的产生的思想基础和病毒发展简介2、实验室中产生——病毒的祖先（磁芯大战）3、计算机病毒的出现4、我国计算机病毒的出现深圳职业技术学院石淑华池瑞楠7病毒的产生原因（1）编制人员出于一种炫耀和显示自己能力的目的（2）某些软件作者出于版权保护的目的而编制（3）出于某种报复目的或恶作剧而编写病毒（4）出于政治、战争的需要深圳职业技术学院石淑华池瑞楠8二、病毒的发展历程•1.DOS引导阶段•2.DOS可执行阶段•3.伴随阶段•4.多形阶段•5.生成器、变体机阶段•6.网络、蠕虫阶段•7.视窗阶段•8.宏病毒阶段•9.邮件病毒阶段•10.手持移动设备病毒阶段深圳职业技术学院石淑华池瑞楠9时代划分时间总结第一代：传统病毒1986-1989DOS引导阶段DOS可执行阶段第二代：混合病毒(超级病毒)1989-1991伴随、批次型阶段第三代：多态性病毒1992-1995幽灵、多形阶段生成器、变体机阶段第四代：90年代中后宏病毒阶段网络、蠕虫阶段深圳职业技术学院石淑华池瑞楠10二、病毒的发展历程时间名称事件1986Brain第一个病毒（软盘引导）1987黑色星期五病毒第一大规模爆发1988.11.2蠕虫病毒第一个蠕虫计算机病毒1990.1“4096”发现首例隐蔽型病毒，破坏数据1991病毒攻击应用于战争1991米开朗基罗第一个格式化硬盘的开机型病毒1992VCL-VirusCreationLaboratory病毒生产工具在美国传播深圳职业技术学院石淑华池瑞楠11深圳职业技术学院石淑华池瑞楠12深圳职业技术学院石淑华池瑞楠13计算机病毒的危害1、计算机病毒造成巨大的社会经济损失2、影响政府职能部门正常工作的开展3、计算机病毒被赋予越来越多的政治意义4、利用计算机病毒犯罪现象越来越严重深圳职业技术学院石淑华池瑞楠14三、计算机病毒的特征破坏性传染性隐蔽性寄生性可触发性可执行性深圳职业技术学院石淑华池瑞楠15计算机病毒有哪些种类？•依据不同的分类标准，计算机病毒可以做不同的归类。常见的分类标准有：1.根据病毒依附的操作系统2.根据病毒的攻击方式3.根据病毒的传播媒介4.根据病毒的传播途径深圳职业技术学院石淑华池瑞楠16病毒攻击的操作系统•MicrosoftDOS•MicrosoftWindows95/98/ME•MicrosoftWindowsNT/2000/XP•Unix(Linux)•其他操作系统病毒攻击的操作系统图例(数据来源于瑞星病毒样本库)DOS43%Unix3%Other1%Windows53%DOSWindowsUnixOther深圳职业技术学院石淑华池瑞楠17病毒的传播媒介•存储介质•网络1.邮件(SoBig)2.网页(RedLof)3.局域网(Funlove)4.远程攻击(Blaster)5.网络下载病毒网络传播方式图例(数据来源于瑞星病毒样本库)邮件47%局域网9%远程攻击4%网页40%邮件网页局域网远程攻击深圳职业技术学院石淑华池瑞楠18深圳职业技术学院石淑华池瑞楠19病毒的传播和感染对象•感染引导区•感染文件•可执行文件•OFFICE宏•网页脚本（Java小程序和ActiveX控件）•网络蠕虫•网络木马•破坏程序•其他恶意程序深圳职业技术学院石淑华池瑞楠20引导型病毒深圳职业技术学院石淑华池瑞楠21文件型病毒•文件型病毒的特点是附着于正常程序文件，成为程序文件的一个外壳或部件。•文件型病毒主要以感染文件扩展名为.com、.exe和.bat等可执行程序为主。•大多数的文件型病毒都会把它们自己的代码复制到其宿主文件的开头或结尾处。深圳职业技术学院石淑华池瑞楠22红色代码•198.137.240.91()深圳职业技术学院石淑华池瑞楠23计算机病毒引起是异常情况•计算机系统运行速度明显降低•系统容易死机•文件改变、破坏•磁盘空间迅速减少•内存不足•系统异常频繁重启动•频繁产生错误信息深圳职业技术学院石淑华池瑞楠24常见DOS病毒分析1．引导记录病毒•（1）引导型病毒的传播、破坏过程•（2）引导型病毒实例：小球病毒2．文件型病毒•（1）文件型病毒的类型•（2）文件型病毒的感染方式•（3）.COM文件的感染•（4）.EXE文件的感染•（5）.SYS文件的感染深圳职业技术学院石淑华池瑞楠25宏病毒的行为和特征宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒。可以在Windows、Windows95/98/NT、OS/2、Macintosh等操作系统上执行病毒行为。宏病毒的主要特征如下：•1）宏病毒会感染.DOC文档和.DOT模板文件。•2）宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。深圳职业技术学院石淑华池瑞楠26•3）多数宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自动宏，通过这些自动宏病毒取得文档（模板）操作权。•4）宏病毒中总是含有对文档读写操作的宏命令。•5）宏病毒在.DOC文档、.DOT模板中以BFF（BinaryFileFormat）格式存放，这是一种加密压缩格式，每个Word版本格式可能不兼容。•6）宏病毒具有兼容性。深圳职业技术学院石淑华池瑞楠27宏病毒的特点•1．传播极快•2．制作、变种方便•3．破坏可能性极大深圳职业技术学院石淑华池瑞楠28宏病毒的防治和清除方法•Word宏病毒，是近年来被人们谈论得最多的一种计算机病毒。与那些用复杂的计算机编程语言编制的病毒相比，宏病毒的防治要容易得多！在了解了Word宏病毒的编制、发作过程之后，即使是普通的计算机用户，不借助任何杀毒软件，就可以较好地对其进行防冶。深圳职业技术学院石淑华池瑞楠29•1.查看“可疑”的宏•2．按使用习惯编制宏•3．防备Autoxxxx宏•4．小心使用外来的Word文档•5．使用选项“PrompttoSaveNormalTemplate”（工具-选项-保存）•6．查看宏代码并删除•7.将文档存储为RTF格式•8．设置Normal.dot的只读属性•9．Normal.dot的密码保护•10．使用OFFICE的报警设置深圳职业技术学院石淑华池瑞楠30网络化病毒的特点•网络化：传播速度快、爆发速度快、面广•••新方式：与黑客、特洛伊木马相结合•多途径：•攻击反病毒软件•变化快（变种）•清除难度大•破坏性强深圳职业技术学院石淑华池瑞楠31蠕虫病毒•通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中）,对网络造成拒绝服务，以及和黑客技术相结合等等。深圳职业技术学院石淑华池瑞楠32蠕虫病毒与其他病毒的区别普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机深圳职业技术学院石淑华池瑞楠33蠕虫病毒的特点•破坏性强•传染方式多一种是针对企业的局域网，主要通过系统漏洞；另外一种是针对个人用户的,主要通过电子邮件,恶意网页形式迅速传播的蠕虫病毒。•传播速度快•清除难度大深圳职业技术学院石淑华池瑞楠34实例：2003蠕虫王深圳职业技术学院石淑华池瑞楠35病毒实例——“熊猫烧香”病毒感染“熊猫烧香”病毒的现象深圳职业技术学院石淑华池瑞楠362008年新病毒的实例—“磁碟机”病毒深圳职业技术学院石淑华池瑞楠37“磁碟机”病毒现象深圳职业技术学院石淑华池瑞楠38“磁碟机”病毒现象深圳职业技术学院石淑华池瑞楠39反病毒技术简述计算机病毒诊断技术•1．校验和法诊断•2．扫描法诊断•3．行为监测法诊断•4．分析法诊断深圳职业技术学院石淑华池瑞楠40五、病毒的预防措施•安装防病毒软件•定期升级防病毒软件•不随便打开不明来源的邮件附件•尽量减少其他人使用你的计算机•及时打系统补丁•从外面获取数据先检察•建立系统恢复盘•定期备份文件•综合各种防病毒技术深圳职业技术学院石淑华池瑞楠41常用的防病毒软件•Kv3000•瑞星：Rishing•NAI公司：McAfeeTVD•TrendMicro（趋势科技）：•Symantec公司：NortonAntiVirus深圳职业技术学院石淑华池瑞楠42著名杀毒软件公司的站点地址