第12章 计算机病毒防范与治理课件

第 12章 计算机病毒防范与治理引言n 计算机病毒是引起计算机软件故障的主要途径之一，因此了解计算机病毒的历史，熟悉常见的病毒，并且掌握其有效的防治方法是计算机的使用者必须拥有的知识。另外，目前计算机或者网络也频繁遭到黑客攻击攻击，那么什么是黑客，黑客主要攻击的手段是什么，只有充分的了解这些知识，我们才能采取适当的防范措施。 12.1 计算机病毒概述n 自从 1946年第一台冯 -诺依曼型计算机 ENIAC出世以来，计算机已被应用到人类社会的各个领域。然而， 1988年发生在美国的 “蠕虫病毒 ”事件，给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国 CORNELL大学研究生莫里斯编写。 此病毒使得数千台连网的计算机停止运行，并造成巨额损失 。n 在国内，最初引起人们注意的病毒是 80年代末出现的 “黑色星期五 ”， “米氏病毒 ”， “小球病毒 ”等。n 最初对病毒理论的构思可追溯到科幻小说。在 70年代美国作家雷恩出版的 P1的青春 一书中构思了一种能够自我复制，利用通信进行传播的计算机程序，并称之为计算机病毒。 12.1 计算机病毒概述n 从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为计算机病毒。 n 直至 1994年 2月 18日，我国正式颁布实施了 中华人民共和国计算机信息系统安全保护条例 ，在 条例 第二十八条中明确指出： “计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。 ”此定义具有法律性、权威性。 12.1 计算机病毒概述n 那么究竟它是如何产生的呢？其过程可分为：程序设计 -传播 -潜伏 -触发、运行 -实行攻击。究其产生的原因不外乎以下几种： n 开个玩笑，一个恶作剧。 n 产生于个别人的报复心理。 n 用于版权保护。 n 用于特殊目的。某组织或个人为达到特殊目的，对政府机构、单位的特殊系统进行宣传或破坏或用于军事目的。 12.2 计算机病毒的特点n 传染性 ：通过各种渠道从已被感染的计算机扩散到未被感染的计算机。n 隐蔽性 ：病毒通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。 n 潜伏性 ：大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其破坏模块。 n 破坏性 ：任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。 n 不可预见性 12.3 计算机病毒的分类n 从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。无论多少种，病毒的数量仍在不断增加。据国外统计，计算机病毒以 10种 /周的速度递增，另据我国公安部统计，国内以 4种 /月的速度递增。计算机病毒的分类的方法很多，主要有以下几种：（ 1）按破坏程度划分，可将病毒分为良性病毒和恶性病毒。 n 良性病毒是指不破坏系统、程序或数据的病毒，但它会干扰计算机的正常运行，可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作或将文件的长度增加以占用内存或磁盘空间。这类病毒较多，如： GENP、小球、 W-BOOT等。 n 恶性病毒则有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。（ 2）按入侵方式划分，可将病毒分为操作系统型病毒、外壳型病毒。n 操作系统型病毒是将病毒加入操作系统程序文件，在系统启动运行时，病毒首先进入内存，使计算机系统带病毒工作，并伺机发作。n 外壳型病毒是将病毒复制品或其变种放置在程序的前面或后面部分，一般不修改源程序。（ 3）按入侵对象划分，可将病毒划分为系统型病毒、文件型病毒和混合型病毒。n 系统型病毒主要攻击系统引导区域、文件分配表、目录区域等。n 文件型病毒主要传染可执行文件，如以 .com 和 .exe为扩展名的可执行文件。n 混合型病毒则是前两种病毒的混合体，既可以感染系统文件，又可以传染可执行文件。2常见的病毒介绍 n 病毒的发展可谓 “日新月异 ”，历史上影响比较大的有我们介绍过的 “震荡波 ”、 “冲击波 ”、 “求职信 ”、 “蠕虫王 ”，近些年，还曾出现过像 “熊猫烧香 ”、 “灰鸽子 ”等等。熊猫烧香 “ 武汉男生 ” ，俗称 “ 熊猫烧香 ” ，这是一个感染型的蠕虫病毒，它能感染系统中 exe， com，pif， src， html， asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为 gho的文件，该文件是一系统备份工具 GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有 .exe可执行文件全部被改成熊猫举着三根香的模样。 灰鸽子 n 灰鸽子病毒的文件名由攻击者任意定制，病毒还可以注入正常程序的进程隐藏自己， Windows的任务管理器看不到病毒存在，需要借助第三方工具软件查看。中灰鸽子病毒后的电脑会被远程攻击者完全控制，黑客可以轻易的复制、删除、上传、下载保存在你电脑上的文件，还可以记录每一个点击键盘的操作，用户的 QQ号、网络游戏帐号、网上银行帐号，可以被远程攻击者轻松获得。更有甚者，远程攻击者可以直接控制摄像头，远程攻击者在窃取资料后，还可以远程将病毒卸载，达到销毁证据的目的。灰鸽子自身并不具备传播性，一般通过捆绑的方式（包括：网页、邮件、 IM聊天工具、非法软件）进行传播。 新型蠕虫病毒n VBS.Neiber.Amm是一种通过感染电子邮件来达到其恶意传播的网络蠕虫病毒。它主要感染以微软公司Microsoft Outlook来发送电子邮件的用户。而且这种胆大的病毒在您的电子邮件感染此病毒后，电子邮件的题目为：注意病毒。不管您的邮件带不带有附件，打开邮件您就有可能感染此病毒。感染此病毒后，病毒将会全力的重写以 .vbs和以 .vbe格式存在的文件 ,使计算机运行缓慢。特洛伊木马 冰河 n 该软件主要用于远程监控，具体功能包括 : 1自动跟踪目标机屏幕变化，同时可以完全模拟键盘及鼠标输入 .2记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框中出现过的口令信息 3限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册表等多项功能限制；4远程文件操作：包括创建、上传、下载、复制、删除文件或目录、文件压缩、快速浏览文本文件、远程打开文件（提供了四中不同的打开方式 正常方式、最大化、最小化和隐藏方式）等多项文件操作功能 12.4 计算机病毒感染特征如果计算机出现下面所述的情况，很可能是感染了病毒：1系统频繁死机。可能是因为病毒打开了许多文件或占用了大量内存。2系统无法启动。系统启动时间加长或不能正常启动。可能是病毒修改了硬盘的引导信息或删除了某些启动文件，如引导型病毒引导文件损坏。3打不开文件。可能是病毒修改了文件格式或修改了文件链接位置。4经常报告内存不够。可能是病毒非法侵占了大量内存。5提示硬盘空间不够。可能是病毒复制了大量的病毒文件。6软盘等设备未访问时出现读写信号。7生成不可见的表格文件或出现大量来历不明的文件。8开机时出现黑屏，无法正常启动。9数据丢失。可执行文件没有经删除突然丢失，可能是病毒删除了文件。10浏览网页时，经常出现一些不明网页。11系统不认识磁盘或硬盘，不能引导系统等。12生成不可见的表格文件或特定文件。13磁盘卷标名发生变化。14在未经您授权的情况下，有程序试图访问互联网15您的收件箱内收到了大量没有发送地址和主题的邮件。16硬盘被频繁访问，硬盘灯狂闪17 IE无法使用或未经授权自动打开18运行速度降低12.5 黑客攻击方式n 一般概念中的黑客，是指那些采用高超技术破解对方防护措施，私自侵入并控制重要计算机（服务器），对网络系统进行 “滋扰 ”的不速之客。n 黑客就是把获得 “根权限 ”作为他们的首要目标。原因很简单，谁获得根权限谁就能够控制整个系统，甚至整个网络。然后便可重新分配权限，修改网站主页、删除某些数据等等，从而造成网络系统混乱，以致瘫痪。这种事件就是所谓的 “黑客攻击 ”。黑客攻击与病毒一样具有严重的破坏性。1系统入侵攻击n 入侵系统是黑客攻击的主要手段之一，其主要目的是取得系统的控制权。系统入侵攻击一般有两种方式：口令攻击和漏洞攻击。1）口令攻击n 入侵者通过监听网络来获取系统账号，当获得系统中较高权限的账号后，就利用暴力破解工具，采用字典穷举法对账号密码进行破解，如果该账号的密码设置不够复杂，就很容易被破解。2）漏洞攻击n 漏洞攻击是指通过对操作系统和服务器程序的漏洞攻击来达到入侵目的，有的 IIS服务器的安全配置不够完善，从而给黑客留下可乘之机。还有针对 ASP， JavaScript等程序的漏洞攻击。2 Web页欺骗n 有的黑客会制作与正常网页相似的假网页，如果用户访问时没有注意，就会被其欺骗。特别是网上交易网站，如果在黑客制作的网页中输入了自己的账号、密码等信息，在提交后就会发送给黑客，这将会给用户造成很大的损失。3、电子邮件攻击 n 这种方式一般是采用电子邮件炸弹（ E mailBomb），是黑客常用的一种攻击手段。指的是用伪造的 IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的恶意邮件，也可称之为大容量的垃圾邮件。由于每个人的邮件信箱是有限的，当庞大的邮件垃圾到达信箱的时候，就会挤满信箱，把正常的邮件给冲掉。同时，因为它占用了大量的网络资源，常常导致网络塞车，使用户不能正常地工作，严重者可能会给电子邮件服务器操作系统带来危险，甚至瘫痪。 4木马攻击n 木马攻击是指黑客在网络中通过散发的木马病毒攻击计算机，如果用户的安全防范比较弱，就会让木马程序进入计算机。木马程序一旦运行，就会连接黑客所在的服务器端，黑客就可以轻易控制这台计算机。黑客常常将木马程序植入网页、将其和其他程序捆绑在一起或是伪装成邮件附件。木马攻击常采用诱入法 n 黑客编写一些看起来 “合法 ”的程序，上传到一些 FTP站点或是提供给某些个人主页，诱导用户下载。当一个用户下载软件时，黑客的软件一起下载到用户的机器上。该软件会跟踪用户的电脑操作，它静静地记录着用户输入的每个口令，然后把它们发送给黑客指定的 Internet信箱。例如，有人发送给用户电子邮件，声称为 “确定我们的用户需要 ”而进行调查。作为对填写表格的回报，允许用户免费使用多少小时。但是，该程序实际上却是搜集用户的口令，并把它们发送给某个远方的 “黑客 ”。5拒绝服务攻击n 拒绝服务攻击是指使网络中正在使用的计算机或服务器停止响应。这种攻击行为通过发送一定数量和序列的报文，使网络服务器中充斥了大量要求回复的信息，消耗网络带宽或系统资源，导致网络或系统不堪重负以至于瘫痪，从而停止正常的网络服务。6缓冲区溢出攻击n 系统在运行时，如果调入的数据长度超出了内存缓冲区的大小，系统只有把这些数据写入缓冲区的其他区域，并将该区域原有的数据覆盖掉。如果被覆盖的数据为指令，系统将出现错误甚至崩溃。如果溢出的数据为病毒代码或木马程序，那么 CPU将执行这些指令，从而使系统中毒或被黑客攻击。7后门攻击n 后门程序是程序员为了便于测试、更改模块的功能而留下的程序入口。一般在软件开发完成时，程序员应该关掉这些后门，但有时由于程序员的疏忽或其他原因，软件中的后门并未关闭。如果这些后门被黑客利用，就可轻易地对系统进行攻击。幻影后门n Backdoor.Win32.UAManager.a，后门程序，通过网络传播，依赖系统： WIN 9X/NT/2000/XP。n 这是采用 C/C+语言编写的后门程序，运行后会在系统目录下生成名为 “ctfime.exe”、 “SysIdt00.dll”、“uamanger.sys”的文件，同时感染修改系统 Shell文件，以实现随系统启动自动运行。中毒之后，攻击者可对电脑进行远程控制，进行多种危险操作如：记录键盘、结束指定的进程、强制重启电脑、执行