计算机病毒与防范技术病毒演示病毒演示—CIH病毒病毒演示—彩带病毒病毒演示—圣诞节病毒病毒演示—白雪公主巨大的黑白螺旋占据了屏幕位置,使计算机使用者无法进行任何操作!198.137.240.91()病毒演示—红色代码一、计算机病毒概念定义:计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。(国外)1994年2月18日,国家正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在第二十八条中明确指出:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用并能自我复制的一组计算机指令或者程序代码。(国内)1.1计算机病毒定义时间名称特点1949年诺依曼《复杂自动机器的理论与结构》程序可以在内存进行自我复制和变异的理论20世纪60年代初CoreWar通过复制自身来摆脱对方控制1981年ElkCloner通过磁盘进行感染1986年底Brain首次使用了伪装手段1987年Casade自我加解密1987年12月ChristmasTree在VM/CMS操作系统下传播1988年“耶路撒冷”病毒文件型病毒1988年11月2日蠕虫程序造成6000多台机子瘫痪1.2计算机病毒产生和发展一、计算机病毒概念1.2计算机病毒产生和发展一、计算机病毒概念首例能够破坏硬件的病毒CHI1998年6月第一个使用FTP进行传播Homer1997年4月第一个Linux环境下的病毒Bliss1997年2月攻击Windows操作系统病毒大规模出现宏病毒Concept感染C语言和Pascal语言感染OBJ文件SrcVirShifter1993、1994年第一个多态病毒Chameleon1990年标志着计算机病毒开始入侵我国“小球”1989年4月格式化硬盘Yankee1989年特点名称时间1995年8月9日2006年5至6月份相继出现针对银行的木马、病毒事件和进行网络敲诈活动的“敲诈者”病毒。2006年11月,我国又连续出现“熊猫烧香”、“仇英”、“艾妮”等盗取网上用户密码帐号的病毒和木马。2007年以盗取网络游戏帐号为目的编写的“网游盗号木马”病毒成为新的毒王,“QQ通行证”病毒和“灰鸽子”分列第二、第三位。2008年机器狗系列病毒AV终结者病毒系列。2009年上半年,计算机病毒、木马的传播方式以网页挂马为主。挂马者主要通过微软以及其它应用普遍的第三方软件漏洞为攻击目标。1.2计算机病毒产生和发展一、计算机病毒概念1.3计算机病毒的产生原因计算机病毒的产生原因主要有4个方面:(1)恶作剧型(2)报复心理型(3)版权保护型(4)特殊目的型一、计算机病毒概念1.4计算机病毒的命名方式病毒的命名并无统一的规定,基本都是采用前后缀法来进行命名。一般格式为:[前缀].[病毒名].[后缀]。以振荡波蠕虫病毒的变种c“Worm.Sasser.c”为例,Worm指病毒的种类为蠕虫,Sasser是病毒名,c指该病毒的变种。(1)病毒前缀(2)病毒名(3)病毒后缀一、计算机病毒概念1.破坏性:(体系设计者的意图)无论何种病毒一旦进入系统对OS的运行就会造成不同程度的影响,小到占用资源(石头、小球),大到删除数据和使系统崩溃,使之无法恢复,造成补课挽回的损失。2.传染性:(最重要的特征)计算机病毒也会通过各种媒体从已被感染的计算机扩散到未被感染的计算机。3.隐蔽性:病毒是一种具有很高编程技巧,短小精悍的可执行程序,他通常粘附在正常程序或磁盘引导扇区中,以及一些空闲概率比较大的扇区中,目的就是不让用户发现。计算机病毒不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。2.1计算机病毒特征二、计算机病毒原理4.潜伏性:计算机病毒潜伏性是指病毒具有依附其他媒体而寄生的能力。大部分病毒感染系统以后,一般不会马上发作,他可长期的隐藏,只有条件满足才会启动。因此,病毒可以在磁盘、光盘或其他介质上静静的呆上几天,甚至是几年。5.可触发性:病毒的可触发性是指当病毒触发条件满足时,病毒才在感染了的计算机上开始发作,表现出一定的症状和破坏性。6.不可预见性:从对病毒的检测来看,病毒具有不可预见性。病毒永远超前于反病毒软件。2.1计算机病毒特征二、计算机病毒原理2.2计算机病毒的分类病毒可以分别按照破坏性、传染性、连接方式、病毒特有算法4种方式进行分类。分类表现及影响良性病毒只是显示信息、凑乐、发出声响、自我复制。除了减少磁盘空间外,对系统没有其他影响恶性病毒封锁、干扰、中断输入输出、使用户无法打印,甚至终止计算机的运行,使系统造成严重的错误(Azsua、Typo—COM)极恶性病毒删除普通程序或系统文件,破坏系统配置,导致死机、崩溃等灾难性病毒破坏分区信息。主引导区信息、FAT,删除数据文件,甚至格式硬盘1.按破坏性分类二、计算机病毒原理2.按感染形式分类文件病毒:通过在执行文件中插入指令把自己依附在可执行文件上,此种病毒感染文件,并寄生在文件中,进而造成文件损坏。如“耶路撒冷”、“百年病毒”引导区病毒:潜伏在软盘的引导扇区,或在硬盘的引导区,或主引导纪录(分区扇区)中插入指令。如果计算机用被感染的软盘引导时,病毒就会感染到引导硬盘,并把自己的代码调入内存。(小球、石头)混合型病毒:具有引导型和文件型两种病毒的特性。CIH病毒就是这种混合型病毒。2.2计算机病毒的分类二、计算机病毒原理3.按连接方式分类源码型病毒:较少见,也难以编写。因为他要攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译。连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。入侵型病毒:可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强,一般难以发现,清除也较困难。操作系统型病毒:可用其自身部分加入或替代操作系统的部分功能。由于其直接感染操作系统,这类病毒的危害性也较大。(小球,大麻)外壳型病毒:将自身依附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部分文件型病毒属于此类2.2计算机病毒的分类二、计算机病毒原理4.按病毒特有的算法分类伴随型病毒:这类病毒不改变文件本身,他根据算法产生EXE文件的伴随体,具有同样的名字和不同扩展名(COM)。蠕虫型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其他机器的内存,计算网络地址,将自身的病毒通过网络发送。他们在系统中存在,一般除了占用内存以外不会占用其他资源。寄生型病毒:除了伴随和蠕虫,其他的都可以成为寄生型病毒,他们依附在系统的引导区或文件,通过系统的功能进行传播练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒处于调试阶段变形病毒:这病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容与长度。2.2计算机病毒的分类二、计算机病毒原理2.3计算机病毒的传播途径:1)通过不可移动的设备进行传播较少见,但破坏力很强。2)通过移动存储设备进行传播最广泛的传播途径3)通过网络进行传播反病毒所面临的新课题4)通过点对点通讯系统和无线通道传播预计将来会成为两大传播渠道二、计算机病毒原理2.4病毒的表现形式:狡猾的病毒通过多种途径感染计算机,那么我们怎么看出计算机已中毒?1)平时运行正常的计算机突然经常性无故死机。可能病毒修改了中断处理程序等。2)操作系统无法正常启动。关机后重启,操作系统报告缺少必要的启动文件或文件破坏,系统无法启动。可能病毒感染系统文件使文件结构发生变化。3)运行速度明显变慢。4)以前能正常运行的软件经常发生内存不足的错误,或使用程序中的某个功能时报说内存不足。可能病毒占用了内存。二、计算机病毒原理2.4病毒的表现形式:5)打印和通信发生错误。打印出来的是乱码,调制解调器不能拨号。可能是病毒驻留内存占用打印端口、串行通信端口的中断服务程序。6)无意中要求对软盘进行读写操作。如操作系统提示软驱中没有插软盘等。7)系统文件的时间、日期、大小发生变化。这是最明显计算机病毒迹象。8)运行Word,打开Word文档后,该文档另存为时只能以模板方式保存。无法存为另一DOC文档。中了宏病毒的缘故。二、计算机病毒原理9)磁盘空间迅速减少。10)陌生人发来的电子邮件。尤其是那些很具有诱惑力的,如笑话或情书等,又带有附件的邮件。11)自动链接到一些陌生的网站。计算机没有上网,但他自己拨号并连接到一个陌生的站点,有可能被远程控制了。12)提示一些不相干的话。宏病毒,在满足发作的条件就会弹出对话框显示某句话,并要求用户确定。13)发出一段美妙的音乐。“杨基”和“浏阳河”。14)产生特定的图像。“小球”2.4病毒的表现形式:二、计算机病毒原理15)进行游戏算法。“传奇病毒”16)Windows桌面图标发生变化。17)自动发送电子邮件。在某一特定的时刻向同一个服务器发送无用的信件。18)鼠标自己动。受到黑客的控制。2.4病毒的表现形式:二、计算机病毒原理虽然不同类型的计算机病毒的机制和表现手法不尽相同,但计算机病毒的结构基相似,一般说来是由以下三个程序模块组成。1.引导模块2.传染模块3.破坏与表现模块2.5计算机病毒的结构二、计算机病毒原理1.引导模块当被感染的软硬盘,应用程序开始工作时,病毒的引导模块将病毒由外存引入内存,并使病毒程序成为相对独立于宿主程序的部分,从而使病毒的传染模块和破坏模块进入待机状态。2.5计算机病毒的结构二、计算机病毒原理2.传染模块传染模块包括三部分内容:(1)传染控制部分。病毒一般都有一个控制条件,一旦满足这个条件就开始感染。例如,病毒先判断某个文件是否是.EXE文件,如果是再进行传染,否则再寻找下一个文件;(2)传染判断部分。每个病毒程序都有一个标记,在传染时将判断这个标记,如果磁盘或者文件已经被传染就不再传染,否则就要传染了;(3)传染操作部分。在满足传染条件时进行传染操作。2.5计算机病毒的结构二、计算机病毒原理3.破坏与表现模块破坏与表现模块是病毒程序的核心部分,也是病毒设计者意图的体现部分。这部分程序负责捕捉进入破坏程序的条件,在条件满足时开始进行破坏系统或数据的工作,甚至可以毁掉包括自己在内的系统资源。2.5计算机病毒的结构二、计算机病毒原理1.计算机病毒的触发机制(2)目前病毒采用的触发条件主要有以下几种。(1)时间触发(2)键盘触发如AIDS病毒Invader病毒(3)感染触发BlackMonday病毒在运行第240个染毒程序时被激活(4)启动触发Anti-Tei和Telecom病毒当系统第400次启动时被激活(5)访问磁盘次数触发(6)CPU型号/主板型号触发2.6计算机病毒的触发与生存二、计算机病毒原理计算机病毒的产生过程可分为程序设计—传播—潜伏—触发—运行—实行攻击。计算机病毒拥有一个完整的生命周期,从产生到彻底根除,病毒生命周期包括:(1)开发期(2)传播期(3)潜伏期(4)发作期(5)发现期(6)消化期(7)消亡期2.计算机病毒的生存周期2.6计算机病毒的触发与生存二、计算机病毒原理计算机病毒的发展趋势21世纪是计算机病毒与反病毒激烈角逐的时代,而智能化、人性化、隐蔽化、多样化也在逐渐成为新世纪计算机病毒的发展趋势。智能化人性化隐蔽化多样化•防重于治,防重在管:制度;注册、权限、属性、服务器安全;集中管理、报警。•综合防护:木桶原理;防火墙与防毒软件结合•最佳均衡原则:占用较小的网络资源•管理与技术并重•正确选择反毒产品•多层次防御:病毒检测、数据保护、实时监控•注意病毒检测的可靠性:经常升级;两种以上。3.1网络环境下的病毒防治原则与策略三、反病毒技术防毒:预防入侵;病毒过滤、监控、隔离查毒:发现和追踪病毒;统计、报警解毒:从感染对象中清除病毒;恢复功能计算机病毒的预防计算机病毒防治,要采取预防为主的方针。下面是一些行之有效的措施。安装防病毒软件定期升级防病毒软件不随便打开不明来源的邮件附件尽量减少其他人使用你的计算机及时打系统补丁从外面获取数据先检察建立系统