《计算机病毒知识》PPT课件.ppt

,计算机病毒,主讲：戴秉汕 制作：王志炜,一、计算机病毒的概念,病毒是一个医学名称，生物病毒比细菌还小，能侵入人、动物、植物体中，引起一些疾病。计算机有一类有害的程序，也能使计算机引起“疾病”，我们称它为计算机病毒。此外，把这种程序称作“病毒”，因为像生物病毒一样有复制能力。,计算机病毒在未被人们认识之前，通常是在屏幕上出现不正常的显示画面，硬盘中的数据丢失或在目录中变更文件的长度。,病毒的主要症状 计算机的工作效率降低 可执行文件图标异常、无法正常运行 磁盘的坏区数目增加 屏幕上出现与程序无关的信息和画面 异常动作增多（如突然死机并重启） 程序和数据神秘丢失，文件名不能辨认,一、计算机病毒的概念,某些人编写的一种计算机程序。,计算机病毒是哪儿来的？,一、计算机病毒的概念,一、计算机病毒的概念,计算机病毒的产生过程： 程序设计（汇编语言，vb，c，vc，c+） 传播潜伏触发、运行实行攻击。,计算机病毒产生的原因： 开玩笑，恶作剧。 产生于个别人的报复心理。 盗取个人资料、窃取隐私牟取利益。,计算机病毒（Virus）概念：,定义：对计算机系统具有破坏作用的计算机程序 制毒动机：人为制造出来的。恶作剧；报复和有意破坏；对付非法拷贝而采取的惩罚措施。 组成：初始引导、传染、触发和破坏,一、计算机病毒的概念,二、计算机病毒的发展,自从20世纪80年代中期发现第一例电脑病毒以来，电脑病毒的数量急剧增长。目前，世界上发现的病毒数量已经超过40000种，国内发现的也达600多种。,1987年 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等。面对计算机病毒的突然袭击，众多计算机用户甚至专业人员都惊慌失措。,1998年被公认为计算机反病毒界的CIH病毒年。该病毒是第一个直接攻击、破坏硬件的计算机病毒，是迄今为止破坏最为严重的病毒。仅CIH一种病毒造成的经济损失就达到了7500万美元，超过了科索沃战争。,目前该病毒已有三个版本，即1.2、1.3、1.4，发作日期分别是4月26日、6月26日和每月的26日。,CIH病毒,二、计算机病毒的发展,二、计算机病毒的发展,计算机病毒的发展史,1988 “Morris蠕虫,1991 病毒用于战争,1999 CIH病毒,2000 “ILOVEYOU”病毒,2004 震荡波病毒,熊猫烧香 (本年度长的最可爱的病毒),2007 灰鸽子(最危险的后门程序),2003 冲击波病毒（Worm.Blaster最厉害的病毒） 冲击波杀手（Worm.Welchia 最善良的病毒）,2007 熊猫烧香 熊猫烧香是一种经过多次变种的蠕虫病毒变种，2006年10月16日由25岁的中国湖北武汉新洲区人李俊编写，2007年1月初肆虐网络，它主要通过下载的档案传染。对计算机程序、系统破坏严重。 病毒别名：尼姆亚，武汉男生，后又化身为“金猪报喜”，国外称“熊猫烧香”,二、计算机病毒的发展,二、计算机病毒的发展,三、计算机病毒的特点,说明病毒具有传染性！,三、计算机病毒的特点,说明病毒具有破坏性！,三、计算机病毒的特点,说明病毒具有隐藏性和潜伏性！,三、计算机病毒的特点,传染性,破坏性,隐藏性,潜伏性(可触发性),计算机病毒是一种可直接或间接执行的文件，但它不能以独立文件的形式存在，它必须依赖现有的硬、软件资源而存在。微机的病毒是以磁盘为主要载体的。,计算机病毒可以从不同的角度(传染方式、破坏方式)进行分类。若从病毒的危害性，可将病毒分为： “良性”病毒：一般不破坏操作系统或程序文件，仅在条件满足时在屏幕上显示语句或图形，例如：小球病毒、和平病毒、圣诞病毒； “恶性”病毒：往往直接破坏系统文件或程序文件。破坏方式为： （1）病毒在操作系统引导时进入系统内存，修改系统中断向量。例如：大麻病毒、巴基斯坦病毒； （2）寄生在可执行文件的头或尾部，一旦运行带毒文件，则病毒进入内存。例如：犹太病毒、Amiga病毒。,四、计算机病毒的分类,四、计算机病毒的分类,按照传染方式、破坏方式又可以将计算机病毒分为：,引导区病毒 文件型病毒 混合型病毒 宏病毒 网络蠕虫程序 “木马”程序,1.引导区病毒： 引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时，不对主引导区的内容正确与否进行判别的缺点，在引导型系统的过程中侵入系统，驻留内存，监视系统运行，待机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。主引导记录病毒感染硬盘的主引导区，如大麻病毒、2708病毒、火炬病毒等；分区引导记录病毒感染硬盘的活动分区引导记录，如小球病毒、Girl病毒等。,四、计算机病毒的分类,四、计算机病毒的分类,引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒，它先于操作系统，依托的环境是BIOS中断服务程序.引导型病毒是利用操作系统的引导模块放在某个固定的位置，并且控制权的转交方式是以物理位置为依据.而不是以操作系统引导的内容为依据.因而病毒占据该物理位置可获得控制权，而将真正的引导区内容转移或替换，待病毒程序执行后，将控制权交给真正的引导区内容，使得这个带病毒的系统看似正常运转，而病毒已隐藏在系统中并伺机传染，发作. 引导型病毒按其寄对象的不同又可分为两类，即MBR（主引导区）病毒，BR（引导）病毒：MBR病毒也称为分区病毒，将病毒寄生在硬盘分区中主引导程序所占据的硬盘0头0柱面第1个扇区中.典型的病毒有大麻（Stoned),2708,INT60病毒等；BR病毒是将病毒寄生在硬盘逻辑0扇（即0面0道第1个扇区）；典型的病毒有Brain，小球病毒等.,四、计算机病毒的分类,2.文件型病毒： 文件型病毒系计算机病毒的一种，主要通过感染计算机中的可执行文件（.exe）和命令文件(.com)。文件型病毒是对计算机的源文件进行修改，使其成为新的带毒文件。一旦计算机运行该文件就会被感染，从而达到传播的目的。,四、计算机病毒的分类,我们把所有通过操作系统的文件系统进行感染的病毒都称作文件病毒，所以这是一类数目非常巨大的病毒。理论上可以制造这样一个病毒，该病毒可以感染基本上所有操作系统的可执行文件。目前已经存在这样的文件病毒，可以感染所有标准的DOS可执行文件：包括批处理文件、DOS下的可加载驱动程序（.SYS）文件以及普通的COM/EXE可执行文件。除此之外，还有一些病毒可以感染高级语言程序的源代码，开发库和编译过程所生成的中间文件。病毒也可能隐藏在普通的数据文件中，但是这些隐藏在数据文件中的病毒不是独立存在的，必须需要隐藏在普通可执行文件中的病毒部分来加载这些代码。从某种意义上，宏病毒隐藏在字处理文档或者电子数据表中的病毒也是一种文件型病毒。,四、计算机病毒的分类,文件型病毒按照感染方式又可以分为： 1.寄生病毒 2.覆盖病毒 3.无入口点病毒 4.伴随病毒 5.链接病毒,四、计算机病毒的分类,寄生病毒： 这类病毒在感染的时候，将病毒代码加入正常程序之中，原来程序的功能部分或者全部被保留。根据病毒代码加入的方式不同，寄生病毒可以分为“头寄生”、“尾寄生”、“中间插入”和“空洞利用”四种。根据被感染文件的信息是不是有丢失，我们把病毒感染分成破坏性感染和非破坏性感染，对于非破坏性感染的文件，只要杀毒软件清楚的掌握了病毒感染的基本原理，准确的进行还原是可能的，在这种情况下，我们称这个病毒是可清除的。而对于破坏性感染，由于病毒删除或者覆盖了原来文件的全部/部分内容，所以这种病毒是不能清除的，只能删除感染文件。,四、计算机病毒的分类,覆盖病毒： 这种病毒没有任何美感可言，也没有体现出任何高明的技术，病毒制造者直接用病毒程序替换被感染的程序，这样所有的文件头也变成了病毒程序的文件头，不用作任何调整。显然，这种病毒不可能广泛流行，因为被感染的程序立刻就不能正常工作了，用户可以迅速的发现病毒的存在并采取相应的措施。熊猫烧香即为一种覆盖型病毒。,四、计算机病毒的分类,无入口点病毒： 这种病毒并不是真正没有入口点，只是在被感染程序执行的时候，没有立刻跳转到病毒的代码处开始执行。也就是说，没有在COM文件的开始放置一条跳转指令，也没有改变EXE文件的程序入口点。病毒代码无声无息的潜伏在被感染的程序中，可能在非常偶然的条件下才会被触发开始执行，采用这种方式感染的病毒非常隐蔽，杀毒软件很难发现在程序的某个随机的部位，有这样一些在程序运行过程中会被执行到的病毒代码！,四、计算机病毒的分类,伴随病毒： 这种病毒不改变被感染的文件，而是为被感染的文件创建一个伴随文件（病毒文件），这样当你执行被感染文件的时候，实际上执行的是病毒文件。,四、计算机病毒的分类,链接病毒： 这种病毒不改变被感染的文件，而是为被感染的文件创建一个伴随文件（病毒文件），这样当你执行被感染文件的时候，实际上执行的是病毒文件。这类病毒的数量比较少，但是有一个特别是在中国鼎鼎大名的“目录2”（DIRII）病毒。病毒并没有在硬盘上生成一个专门的病毒文件，而是将自己隐藏在文件系统的某个地方，“目录2”病毒将自己隐藏在驱动器的最后一个簇中，然后修改文件分配表，使目录区中文件文件的开始簇指向病毒代码，这种感染方式的特点是每一个逻辑驱动器上只有一份病毒的拷贝。,四、计算机病毒的分类,3.混合型病毒： 指具有引导型病毒和文件型病毒寄生方式的计算机病毒，所以它的破坏性更大，传染的机会也更多，杀灭也更困难。这种病毒扩大了病毒程序的传染途径,它既感染磁盘的引导记录,又感染可执行文件。当染有此种病毒的磁盘用于引导系统或调用执行染毒文件时,病毒都会被激活。因此在检测、清除复合型病毒时,必须全面彻底地根治,如果只发现该病毒的一个特性,把它只当作引导型或文件型病毒进行清除。虽然好像是清除了,但还留有隐患,这种经过消毒后的“洁净”系统更赋有攻击性。这种病毒有Flip病毒、新世际病毒、One-half病毒等。,四、计算机病毒的分类,4.宏病毒： 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。它是针对微软公司的文字处理软件Word编写的一种病毒。微软公司的字处理软件是最为流行的编辑软件，并且跨越了多种系统平台，宏病毒充分利用了这一点得到恣意传播。宏病毒作为一种新型病毒有其特点与共性。,四、计算机病毒的分类,5.网络蠕虫： 网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，无须计算机使用者干预即可运行的攻击程序或代码，它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点”。,四、计算机病毒的分类,6.木马程序： “木马”程序是目前最常见的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种者电脑的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种者的电脑。,五、计算机病毒的免杀技术,“免杀”，顾名思义就是逃避杀毒软件的查杀，目前用得比较多的免杀方法有加壳、修改特征码和加花指令三种，通常针对不同的情况需要运用不同的免杀方法 。,1.加壳： 举例来说，如果说程序是一张烙饼，那壳就是包装袋，可以让你发现不了包装袋里的东西是什么。常用的壳有UPX和ASP，但是比较常见的壳一般容易被杀毒软件识别，所以加壳有时候会使用到生僻壳，就是不常用的壳。,五、计算机病毒的免杀技术,2.修改特征码： 病毒加壳虽然可以逃过一些杀毒软件的查杀，但是却逃不过杀毒软件的内存杀毒，不过可以定位内存特征码，再修改即可过内存查杀。因此修改特征码成为逃避杀毒软件内存查杀的唯一办法。举例来说，如果程序是一张烙饼，那特征码就像上面的芝麻，每一张饼上面的芝麻位置是不同的，所以每个程序包括病毒特定位置上面的字符也是不同，的。要修改特征码，就要先定位杀毒软件的病毒库所定位的特征码，这个有一定难度，但是现在网络上有很多现成的工具可以定位出特征码，只需简单的修改就可以完成“免杀病毒”的制作了。,五、计算机病毒的免杀技术,3.加花指令： 加花是病毒免杀常用的手段，加花的原理就是通过添加加花指令（一些垃圾指令，类型加1减1之类的无用语句）让杀毒软件检测不到特征码，干扰杀毒软件正常的检测。加花以后，一些杀毒软件就检测不出来了，但是部分杀毒软件依旧可以查杀此类病毒，这就需要多钟免杀技术配合使用。,五、计算机病毒的免杀技术,六、计算机病毒的防治,病毒传播的途径：,防治的基本方法：,六、计算机病毒的防治,常见的杀毒软件：,AVAST AVG 卡巴斯基 小红伞 诺顿,比特梵德 360杀毒 瑞星 金山毒霸 安天防线,一开机，反病毒程序就一刻不停地工作，它实时地监测着计算机工作，一旦发现可疑现象，立即给出警告。,六、计算机病毒的防治,实时监控：,建筑上的防火墙，如果一个房间起火，防火墙就会防治它蔓延到其它房间去，病毒防火墙也是如此，如果你的计算安装了病毒防火墙，它就会自动进行查毒、杀毒工作。比如，你收到一封带有病毒的电子邮件，病毒防火墙会在它入侵的一瞬间将它杀除，你甚至不会感觉到曾经有病毒向你攻击过。,六、计算机病毒的防治,防火墙：,1、如内存无病毒，系统内部操作不会感染病毒，如执行DOS、Win的内部命令，比如在DOS下，执行dir