搜索
清华大学出版社高等院校计算机与信息类规划教材第8章计算机病毒防治技术目录8.2计算机病毒的构成与传播28.3计算机病毒的检测清除与防范38.4恶意软件的危害与清除48.1计算机病毒概述18.5瑞星云安全软件2011应用实验58.6本章小结6目录教学目标●掌握计算机病毒的概念、产生、特点及种类●掌握计算机病毒的构成、传播、触发以及新型病毒实例●掌握计算机病毒与木马程序的检测、清除与防范方法●了解恶意软件的危害与清除方法●了解瑞星云安全软件2011的应用8.1计算机病毒概述8.1.1计算机病毒的概念及产生1.计算机病毒的概念计算机病毒(ComputerVirus),通常是指能够破坏计算机正常工作的、人为编制的一组计算机指令或程序。根据《中华人民共和国计算机信息系统安全保护条例》,对计算机病毒的定义规定如下:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”2.计算机病毒的产生1983年11月3日,就读南加州大学的博士研究生弗雷德·科恩(FredCohen),在UNIX系统下,编写了一个会自动复制,并且在计算机间进行传染从而引起系统死机的小程序。此后,科恩为了证明其理论而将这些程序以论文的形式发表在学术研讨会上,引起轰动。此前,虽然有不少计算机专家都发出过计算机病毒可能会出现的警告,但科恩才是真正通过实践让计算机病毒具备破坏性的概念具体成形的第一人。他的一位教授将他编写的那段程序命名为“病毒(Virus)”。8.1计算机病毒概述8.1.2计算机病毒的特点8.1计算机病毒概述案例8-1计算机病毒种类样本2010年上半年,据江民反病毒中心、江民全球病毒监测预警系统、江民客户服务中心联合统计的数据,截止到2010年6月31日,共截获新增各种计算机病毒(样本)数总计(包括木马、后门、广告程序、间谍木马、脚本病毒、漏洞病毒、蠕虫病毒)7584737个,其中新增木马(样本)4454277个,新增后门(样本)623791个,新增广告程序(样本)223639个,新增漏洞病毒(样本)166359个,其它病毒(样本)1063255个,各种新型病毒及变异还在不断变化。8.1计算机病毒概述8.1.3计算机病毒的种类无害型病毒•无害型病毒主要指对系统和数据无破坏目的病毒。此类病毒往往以画面或声音的形式使感染病毒的用户知道其存在,并不会造成严重破坏。但通常此类病毒的存在会使CPU占用率大幅升高,增加系统负荷,降低其工作性能。典型的无害型病毒有台湾一号病毒、维也纳病毒等。危险型病毒•危险型病毒是指会对系统和数据进行破坏,造成数据丢失,甚至整个计算机系统崩溃的一类计算机病毒。典型的危险型病毒有熊猫烧香病毒、极虎病毒等。毁灭型病毒•毁灭型病毒会删除程序、破坏数据、清除系统内存区,甚至是操作系统中重要的数据信息。除对软件系统造成巨大程度破坏外,毁灭型病毒对硬件系统的破坏同样不容忽视,显示器、CPU、光驱、显卡、主板、硬盘等都有可能成为其攻击破坏的计算机硬件。1.根据病毒的破坏程度划分8.1计算机病毒概述2.根据病毒侵入的操作系统划分DOS病毒•DOS病毒是指在DOS环境下运行、传染的计算机病毒。由于计算机发展初期多为DOS操作系统,因此该病毒在目前普遍的Windows环境下发作的几率很小。Windows病毒•Windows病毒是指能感染Windows可执行程序并可在Windows下运行的一类病毒。目前绝大部分用户安装的都是Windows系统,此类病毒不仅能感染Windows9X操作系统,更会感染安装为WindowsNT操作系统的计算机。Linux等系统病毒•此类病毒为针对Linux、Unix等操作系统开发的病毒。此类病毒受系统免疫力及用户群数量影响,相对来说病毒量及发作率要小。3.根据病毒依附载体划分引导区型病毒引导区型病毒是指以磁盘引导区或主引导区作为依附载体的病毒。该病毒在系统启动过程中,入侵系统,并依附于内存之中,达到监视和控制整个系统的目的,随时可以发作和进行传染。文件型病毒文件型病毒以其数量多,传播广的特点,成为计算机病毒中最为常见的一类病毒。此类病毒依托于系统中各种类型的文件,对宿主文件进行篡改,一旦运行则激活病毒发作。复合型病毒复合型病毒兼具引导区型病毒和文件型病毒两类病毒的特点。该病毒利用系统漏洞感染正常的如可执行文件、本地网页文件、电子邮件等,同时又感染引导区。例如,“艾妮”复合型病毒。宏病毒宏病毒是一类以文档或模板的宏为传播载体的计算机病毒。宏病毒影响对文档的各种操作。打开带有宏的文档,病毒就会立即发作,并留置在模板中。通过该模板打开的文档或自动保存的文档会立刻被传染上宏病毒。蠕虫病毒蠕虫病毒虽不用将自身依附于宿主程序,但此类病毒需要通过网络这个载体进行复制和传播。其主要传染途径有网络共享文件、电子邮件、恶意网页、存在着漏洞的服务器等。8.1计算机病毒概述8.1.4计算机中毒的异常现象表8-1计算机感染病毒常见现象非连网状态下连网状态下无法开机不能上网计算机蓝屏杀毒软件不能正常升级开机启动速度变慢自动弹出多个网页系统运行速度慢非连网状态下的一切异常现象无法找到硬盘分区(以下类似不连网情形)开机后弹出异常提示信息或声音文件名称、扩展名、日期以及属性等被非人为更改过数据非常规丢失或损坏无法打开、读取、操作文件硬盘存储空间意外变小计算机无故死机或自动重启CPU利用率接近100%或内存占用值居高不下计算机自动关机课堂讨论1.什么是计算机病毒?2.计算机病毒具有什么典型特征?3.计算机感染病毒的异常现象有哪些?8.1计算机病毒概述8.2计算机病毒的构成与传播8.2.1计算机病毒的构成计算机病毒引导单元传染单元传染控制模块传染判断模块传染操作模块触发单元触发控制破坏操作8.2.2计算机病毒的传播8.2计算机病毒的构成与传播计算机病毒的传染性是计算机病毒最危险的特点之一。计算机病毒潜伏在系统内,用户在不知情的情况下进行相应的操作激活触发条件,使其得以由一个载体传播至另一个载体,完成传播过程。随着计算机的广泛普及应用以及互联网的飞速发展,计算机病毒的传播也从传统的常用交换媒介传播,逐渐发展到通过互联网进行全球化的传播。1.移动式存储介质移动存储介质主要包括:软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、记忆棒(MemoryStick)、移动硬盘等。移动存储介质以其便携性和大容量存储性为病毒的传播带来了极大的便利,这也是它成为目前主流病毒传播途径的重要原因。8.2计算机病毒的构成与传播8.2.2计算机病毒的传播8.2.3计算机病毒的触发和生存8.2计算机病毒的构成与传播8.2.4特种及新型病毒实例木马木马一词源于古希腊传说中的“特洛伊木马”(Trojanhorse),引申至计算机领域,可以理解为一类恶意程序。木马和病毒一样,均是人为编写的应用程序,都属于计算机病毒的范畴。相对于普通计算机病毒来说,木马具有更快的传播速度以及更加严重的危害性,但其最大的破坏性在于它通过修改图标、捆绑文件、仿制文件等方式进行伪装和隐藏自己,误导用户下载程序或打开文件,同时收集用户计算机信息并将其泄露给黑客供其远程控制,甚至进一步向计算机发动攻击。8.2计算机病毒的构成与传播案例8-2金山安全2010木马发展趋势报告2010年以来,绑架型木马增长迅猛,几乎占据了互联网新增木马的主流。无论是木马启动方式,还是对用户电脑系统的破坏性,绑架型木马均超出了传统木马以及感染型木马。而且杀毒软件对此类木马的查杀技术也面临着严峻的考验。2010年之前,绑架型木马已经出现,但并没有大规模爆发。进入2010年,绑架型木马增长迅猛,仅2010年前9个月即新增绑架型木马943862个,占据新增木马的84.2%。8.2计算机病毒的构成与传播8.2计算机病毒的构成与传播激活冰河木马的服务端程序G-Server.exe后,它将在目标计算机的C:\Windows\system目录下自动生成两个可执行文件,分别是Kernel32.exe和Sysexplr.exe。如果用户只找到Kernel32.exe,并将其删除,那么冰河木马并未完全根除,只要打开任何一个文本文件或可执行程序,Sysexplr.exe就会被激活而再次生成一个Kernel32.exe,这就是导致冰河木马的屡删无效,死灰复燃的原因。蠕虫病毒是计算机病毒的一种,它具有计算机病毒的共性,如传播性,隐蔽性,破坏性等,同时还具有一些个性特征,如它并不依赖宿主寄生,而是通过复制自身在网络环境下进行传播。同时,蠕虫病毒较普通病毒的破坏性更强,借助共享文件夹、电子邮件、恶意网页、存在漏洞的服务器等伺机传染整个网络内的所有计算机,破坏系统,并使系统瘫痪。•该病毒通过Microsoft的OutlookExpress来自动传播给受感染计算机的地址簿里的所有人,给每人发送一封带有该附件的邮件。该网络蠕虫长度16896~22000字节,有多个变种。在用户执行该附件后,该网络蠕虫程序在系统状态区域的时钟旁边放置一个“花”一样的图标,如果用户点击该“花”图标,就会出现一个消息框,内容是不要点击此按钮。如果点击该按钮,会出现一个以Emmanuel为标题的信息框,当用户关闭该信息框时又会出现一些别的提示信息。I_WORM/EMANUEL网络蠕虫•熊猫烧香是一种经过多次变种的蠕虫病毒。曾在2006-2007年间肆虐互联网,被列为我国2006十大病毒之首,一度成为“毒王”。自爆发后,短时间内出现90余个变种,上百万台计算机感染此毒,并深受其害。•感染中毒的计算机系统中,可执行文件会出现“熊猫烧香”图案,其它更为明显的中毒症状表现为计算机蓝屏、反复重启、硬盘数据遭破坏等。同时,作为蠕虫病毒的一类变种,熊猫烧香病毒同样可以通过网络进行传播,感染网络内所有计算机系统,造成不同程度的局域网和互联网瘫痪。熊猫烧香课堂讨论1.计算机病毒的由几部分构成?2.计算机病毒的主要传播途径有哪些?3.试述电子邮件病毒的触发方式?8.2计算机病毒的构成与传播8.3计算机病毒的检测清除与防范8.3.1计算机病毒的检测8.3.2常见病毒的清除方法8.3计算机病毒的检测清除与防范(1)一般常见流行病毒(2)系统文件破坏此种情况对计算机危害较小,一般运行杀毒软件进行查杀即可。若可执行文件的病毒无法根除,可将其删除后重新安装多数系统文件被破坏将导致系统无法正常运行,破坏程序较大。若删除文件重新安装后仍未解决问题,则需请专业计算机人员进行清除和数据恢复。在数据恢复前,要将重要的数据文件进行备份,当出现误杀时方便进行恢复。8.3计算机病毒的检测清除与防范8.3.3计算机病毒的防范杀毒不如搞好防毒,如果能够采取全面的防护措施,则会更有效地避免病毒的危害。因此,计算机病毒的防范,应该采取预防为主的策略。首先要在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,这些病毒就无法逾越计算机安全保护屏障,从而不能广泛传播。个人用户要及时升级可靠的反病毒产品,因为病毒以每日4-6个的速度产生,反病毒产品必须适应病毒的发展,不断升级,才能识别和杀灭新病毒,为系统提供真正安全环境。每一位计算机使用者都要遵守病毒防治的法律和制度,做到不制造病毒,不传播病毒。养成良好的上机习惯,如定期备份系统数据文件;外部存储设备连接前先杀毒再使用;不访问违法或不明网站,不下载传播不良文件等。8.3计算机病毒的检测清除与防范8.3.4木马的检测清除与防范8.3计算机病毒的检测清除与防范8.3.5病毒和防病毒技术的发展趋势计算机病毒的发展主要体现出在以下四个方面:1)病毒的种类和数量迅速增长2)病毒传播手段呈多样化、复合化趋势3)病毒制作技术水平不断攀升4)病毒的危害日益增大计算机病毒种类及数量不断快速增加根据国家计算机病毒应急处理中心病毒样本库的统计,2009年新增病毒样本299万个,是2008年新增病毒数的3.2倍,其中木马程序巨量增加。截至2009年底,木马样本共330万多个,占病毒木马样本总数的72.9%,而2008年这一比例只有54%;2009