计算机病毒与反病毒技术课件

1,第9章计算机病毒与反病毒技术,2,导读,计算机病毒的发展历史及危害计算机病毒的基本特征和传播方式病毒的结构常用的反病毒技术常用的病毒防范方法,3,9.1.1计算机病毒的历史,9.1计算机病毒,1977年科幻小说TheAdolescenceofP-1构思了一种能够自我复制、利用通信进行传播的计算机程序。1983年FredAdleman首次在VAX11/750上试验病毒；1987年Brain病毒在全世界传播；1988年11月2日Cornell大学的Morris编写的Worm病毒袭击美国6000台计算机，直接损失尽亿美元；八十年代末，病毒开始传入我国(小球病毒)；1991年,病毒第一次用于战争实战;1998年,CIH病毒出现,第一例破坏硬件的病毒;,4,病毒的产生它的产生是计算机技术和社会信息化发展到一定阶段的必然产物.1、计算机病毒产生的背景（1）是计算机犯罪的新形式：计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大。（2）计算机软硬件产品的脆弱性是根本的技术原因。（3）微机的普及应用是计算机病毒产生的必要环境。,9.1计算机病毒,5,2、计算机病毒产生的原因搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒,例如象圆点一类的良性病毒。个别人的报复心理。例如1987年底出现在以色列耶路撒冷西伯莱大学的犹太人病毒,就是雇员在工作中受挫或被辞退时故意制造的。用于版权保护的目的而采取的报复性惩罚措施。用于研究或有益目的而设计的程序,由于某种原因失去控制或产生了意想不到的效果。,9.1计算机病毒,6,9.1.2病毒的本质,病毒的概念计算机病毒是能够通过某种途径潜伏在计算机存储介质（或程序）里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。“计算机病毒（ComputerVirus）是指编制的或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并能够自我复制的一组计算机指令或者程序代码。”,9.1计算机病毒,7,病毒的定义借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制,具有传染性。与生物病毒不同的是几乎所有的计算机病毒都是人为地故意制造出来的,有时一旦扩散出来后连编者自己也无法控制。它已经不是一个简单的纯计算机学术问题,而是一个严重的社会问题了。,9.1计算机病毒,8,病毒的生命周期（1）隐藏阶段：这个阶段的病毒不进行操作，而是等待事件触发。（2）传播阶段：病毒会把自身的一个副本传播到未感染这种病毒的程序或磁盘的某个扇区中去。（3）触发阶段：病毒将被激活去执行病毒设计者预先设计好的功能。（4）执行阶段：这一阶段病毒将执行预先设计的功能直至执行完毕。,9.1计算机病毒,9,病毒的生存周期:1.判断部分判断是否满足发作条件2.执行部分执行恶意代码3.伪装、复制部分1)伪装成正常程序，或者隐藏自身。（木马常用）2)复制自身代码依附到其他正常程序上（传染），这是传统病毒的特征。,9.1计算机病毒,10,病毒的特征：（1）传染性；传染性是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，使被感染的计算机工作失常甚至瘫痪。病毒程序一般通过修改磁盘扇区信息或文件内容并把自身嵌入到其中，利用这种方法达到病毒的传染和扩散。（被嵌入的程序叫做宿主程序）,9.1计算机病毒,11,（2）破坏性对系统来讲，所有的计算机病毒都存在一个共同的危害，即占用系统资源，降低计算机系统的工作效率。计算机病毒可能会彻底破坏系统的正常运行它可以毁掉系统的部分数据，也可以破坏全部数据并使之无法恢复。并非所有的病毒都有恶劣的破坏作用，有些病毒除了占用磁盘和内存外，没有别的危害。但有时几种本没有多大破坏作用的病毒交叉感染，也会导致系统崩溃。,9.1计算机病毒,12,（3）潜伏性：计算机病毒程序进入系统之后一般不会马上发作，可以在几周或者几个月内隐藏在合法文件中，对其他系统进行传染，而不被人发现。潜伏性越好，它的危害就越大潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。,9.1计算机病毒,13,（4）可执行性计算机病毒与其他合法程序一样，是一段可执行的程序，但它不是一个完整的程序，而是寄生在其他可执行程序中。只有在执行时，才具有传染性、破坏性。未经授权而执行：病毒通过悄悄地篡夺合法程序的系统控制权而得到运行的机会。一般正常的程序是由用户启动，完成用户交给的任务，其目的对用户是可见的。而病毒隐藏在合法程序中，当用户启动合法程序时窃取到系统的控制权，先于正常程序执行。病毒的动作、目的对用户是未知的，是未经用户允许的。,9.1计算机病毒,14,（5）可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。病毒的触发机制用来控制感染和破坏动作的频率。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。如CIH，触发条件：26日,9.1计算机病毒,15,（6）隐蔽性：病毒一般不经过代码分析，很难与正常程序是区分出来。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。一是传染的隐蔽性，大多数病毒在传染时速度是极快的，不易被人发现。二是病毒程序存在的隐蔽性，一般的病毒程序都附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不让用户发现它的存在。,9.1计算机病毒,16,（7）衍生性：分析计算机病毒的结构可知，传染和破坏部分反映了设计者的设计思想和设计目的。但是，这可以被其他掌握原理的人进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒（又称为变种），这就是计算机病毒的衍生性。这种变种病毒造成的后果可能比原版病毒严重得多。,9.1计算机病毒,17,（8）寄生性：病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后，一般对宿主程序进行一定的修改，宿主程序一旦执行，病毒程序就被激活，从而可以进行自我复制和繁衍。,9.1计算机病毒,18,9.1计算机病毒,9.1.3病毒的分类,按破坏性分为：无害型无危险型危险型非常危险型按激活时间分为定时随机,19,按照病毒特有的算法分为：伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。变型病毒（幽灵病毒）：使用复杂算法，每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。,9.1计算机病毒,20,按传染方式分为：文件型：病毒一般附着在可执行文件上,长驻内存;引导型：影响软盘引导扇区及硬盘主引导扇区,当系统引导时进入内存，控制系统；混合型：既可感染引导区，又可感染文件。宏病毒：感染MSOffice文档网络病毒:木马、蠕虫病毒、网页病毒,9.1计算机病毒,21,理论上，与外界交换数据的所有场合都有可能。传播途径：因特网传播:通过电子邮件传播、通过浏览网页和下载软件传播、通过即时通讯软件传播、通过网络游戏传播；局域网传播：数据在从一台计算机发送到其他计算机上时，传播了被感染文件；通过不可移动的计算机硬件设备传播：计算机的专用集成电路芯片(ASIC)和硬盘为病毒的重要传播媒介。极为少见，但破坏性强。,9.1.3病毒的传播及危害,9.1计算机病毒,22,通过移动存储设备传播：移动存储设备包括我们常见的软盘、磁带、光盘、移动硬盘、U盘(含数码相机、MP3等)。U盘病毒逐步的增加，使得U盘成为第二大病毒传播途径。无线设备传播：随着手机功能性的开放和增值服务的拓展，手机病毒会成为新一轮电脑病毒危害的“源头”。特别是智能手机和3G网络的发展，让手机病毒的传播速度和危害程度与日俱增。,9.1计算机病毒,23,病毒的危害：国家计算机病毒应急处理中心2008年公布的数据显示，我国计算机病毒感染率达到91.47。在受病毒感染的用户中，感染病毒3次以上的用户达53.64、密码被盗的用户占14.24。近年来病毒功能越来越强大，不仅拥有蠕虫病毒传播速度和破坏能力，而且还具有木马的控制计算机和盗窃重要信息的功能。如“熊猫烧香”病毒的制造、传播者追求经济利益的目的越来越强，这种趋利性引发了大量的网络犯罪活动。,9.1计算机病毒,24,危害的表现：1病毒激发对计算机数据信息的直接破坏作用。如：格式化磁盘、改写文件分配表和目录区、删除或者改写替换文件等。2占用磁盘空间和对信息的破坏。引导型病毒侵占引导扇区，导致文件丢失。文件型病毒大量侵占磁盘空间。3抢占系统资源病毒抢占内存，导致内存减少，一部分软件不能运行。抢占中断，破坏正常运行。,9.1计算机病毒,25,4影响计算机运行速度长驻内存的病毒或多或少的要消耗系统处理时间。5计算机病毒错误与不可预见的危害病毒特别是变种病毒存在大量错误，带来极大危害6计算机病毒的兼容性对系统运行的影响病毒的兼容性较差，常常导致死机。7计算机病毒给用户造成严重的心理压力经常遭到病毒攻击，导致用户对病毒产生恐惧心理，从而产生误判，带来损失。,9.1计算机病毒,26,病毒破坏行为的常见表现：BIOS病毒现象1、开机运行几秒后突然黑屏2、外部设备无法找到3、硬盘无法找到4、电脑发出异样声音硬盘引导区病毒现象1、无法正常启动硬盘2、引导时出现死机现象3、执行C盘时显示“NotreadyerrordriveAAbort，Retry，Fail?”,9.1计算机病毒,27,操作系统病毒现象1、引导系统时间变长2、计算机处理速度比以前明显放慢3、系统文件出现莫名其妙的丢失，或字节变长，日期修改等现象4、系统生成一些特殊的文件5、驱动程序被修改使得某些外设不能正常工作6、软驱、光驱丢失7、计算机经常死机或重新启动,9.1计算机病毒,28,应用程序病毒现象1、启动应用程序出现“非法错误”对话框2、应用程序文件变大3、应用程序不能被复制、移动、删除4、硬盘上出现大量无效文件5、某些程序运行时载入时间变长,9.1计算机病毒,29,格式：.病毒前缀是指一个病毒的种类，他是用来区别病毒的种族分类的。病毒名是指一个病毒的家族特征，是用来区别和标识病毒家族的。病毒后缀是指一个病毒的变种特征，是用来区别具体某个家族病毒的某个变种的，可能有多个。,9.1.5病毒的命名,9.1计算机病毒,30,CIH病毒是一种能够破坏计算机系统硬件的恶性病毒，台湾制造。CIH病毒传播的主要途径是Internet和电子邮件，它也会通过软盘或光盘的交流传播。CIH病毒只感染Windows95/98操作系统，对DOS操作系统及NT以上系统(winNT,2000,XP,2003,VISTA等)无危害。传播的实时性和隐蔽性很强。,9.2典型病毒分析,9.2.1CIH病毒,31,CIH病毒发作特征当其发作条件成熟时，其将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征是：1、以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏。2、某些主板上的FlashRom中的BIOS信息将被清除。,9.2典型病毒分析,32,CIH病毒的版本CIH病毒属文件型病毒，其别名有Win95.CIH、Win32.CIH、PE_CIH，发展过程经历了v1.0,v1.1,v1.2,v1.3,v1.4共5个版本，最流行的是v1.2版本。在CIH的相关版本中，只有v1.2、v1.3、v1.4这3个版本的病毒具有实际的破坏性，v1.0感染后只增加文件长度，v1.1具有可判断WinNT软件的功能，一旦判断用户运行的是WinNT，则不发生作用，进行自我隐藏，以避免产生错误提示信息。,9.2典型病毒分析,33,宏是微软公司为其OFFICE软件包设计的一个特殊功能，目的是让用户文档中的一些任务自动化。OFFICE中的WORD和EXEAL都有宏。宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开中毒的文档，宏就会被执行，宏病毒就会被激活，从而转移到计算机上，并驻留在Normal模板上。使得以后编辑的自动保存的文档都会感染。,9.2典型病毒分析,9.2.2宏病毒,34,宏病毒的危害：1.对WORD运行的破坏是：不能正常打印；封闭或改变文件存储路径；将文件改名；乱复制文件；封闭有关菜单；文件无法正常编辑。2.对系统的破坏是：WORDBasic语言能够调用系统命令，造成破坏。特点：感染数据文件、多平台交叉感染、容易编写、容易传播,9.2典型病毒分析,35,宏病毒的预防与清除预防：启用宏病毒防护功能，防止宏自动执行。将自动执行宏功能禁止掉，即使有宏病毒存在，但无法被激活，也无法发作传染、破坏，这样就起到了防毒的效果。方法：在“Windows资源管理器”中，按住Shift键，然后再双击该Word文档，则可阻止自动宏的运行。,9.2典型病毒分析,36,在确定不使用宏的情况下，删除模板中的宏。怀疑文件有宏病毒时，在WORD打开后另存为RTF格式（写字板）或者WORD6.0格式，EXCEL另存为CSV格式。运用NORMAL摸板保存提示防止自动保存引起的病毒感染和激活。将常用的Word模板文件改为只读属性，可防止Word系统被感染；DOS下的autoexec.bat和config.sys文件最好也都设为只读属性文件。,9.2典型病毒分析,37,清除：手工：以Word为例，选取“工具”菜单中“宏”一项，进入“管理器”，在“宏有效范围”下拉列表框中打开要检查的文档。将上面的列表框中不明来源的自动执行宏删除即可。使用专业杀毒软件：目前杀毒软件都具备清除宏病毒的能力，不过只能对已知的宏病毒进行检查和清除,对于新出现的病毒或病毒的变种则可能不能正常地清除，或者将会破坏文件的完整性，此时还是手工清理为妙。,9.2典型病毒分析,38,蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。蠕虫病毒是自包含的程序,它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中。蠕虫不需要将其自身附着到宿主程序，它是一种独立智能程序。,9.2.3蠕虫病毒,9.2典型病毒分析,39,蠕虫病毒常见的传播方式有两种：1.利用系统漏洞传播：蠕虫病毒利用计算机系统的设计缺陷，通过网络主动的将自己扩散出去。2.利用电子邮件传播：蠕虫病毒将自己隐藏在电子邮件中，随电子邮件扩散到整个网络中，这也是个人计算机被感染的主要途径。感染对象：感染的对象是全网络中所有的计算机，并且这种感染是主动进行的，几小时可以蔓延全球。,9.2典型病毒分析,40,预防方法：大多数蠕虫通过都是利用了微软Outlook的漏洞进行传播的，因此需要特别注意微软网站提供的补丁。尽量少用OUTLOOK。对于邮件附件尽可能小心，打开邮件之前对附件进行预扫描。设置文件夹选项，显示文件名的扩展名，防止后缀名为VBS、SHS等有毒文件。千万别打开扩展名为VBS、SHS和PIF的邮件附件。另外对于有2个扩展名的附件也要谨慎。,9.2典型病毒分析,41,一般情况下勿将磁盘上的目录设为共享，如果确有必要，请将权限设置为只读，读操作须指定口令。当你收到邮件广告或者主动提供的电子邮件时，不要打开附件以及它提供的链接。将浏览器的隐私设置设为“高”。不要从在线聊天系统的陌生人那里接受附件，比如ICQ或QQ中传来的东西。,9.2典型病毒分析,42,病毒的发展趋势（1）传播网络化（2）利用操作系统和应用程序的漏洞（3）混合型威胁（4）病毒制作技术新（5）病毒家族化特征显著,9.2典型病毒分析,43,9.3.1反病毒技术的发展阶段一个合理的反病毒方法，应包括以下几个措施：检测：就是能够确定一个系统是否已发生病毒感染，并能正确确定病毒的位置。识别：检测到病毒后，能够辩别出病毒的种类。清除：识别病毒之后，对感染病毒的程序进行检查，清除病毒并使程序还原到感染之前的状态，从系统中清除病毒以保证病毒不会继续传播。,9.3反病毒技术,44,预防病毒的基本措施（1）人工预防也称标志免疫法。因为任何一种病毒均有一定标志，将此标志固定在某一位置，然后把程序修改正确，达到免疫的目的。（2）软件预防主要是使用计算机病毒的疫苗程序，这种程序能够监督系统运行，并防止某些病毒入侵。（3）硬件预防主要采取两种方法：一是改变计算机系统结构；二是插入附加固件。（4）管理预防：法律制度、计算机系统管理制度。,9.3反病毒技术,45,清除病毒的基本方法清除病毒的基本方法包括人工处理和利用反病毒软件两种。人工处理方法是清除病毒的最基本方法，也是非常重要的方法，它通过准确的分析判断直接清除病毒。反病毒软件具有对特定种类的病毒进行检测的功能，大部分反病毒软件可同时消除查出来的病毒。另外，利用反病毒软件消除病毒时，一般不会因清除病毒而破坏系统中的正常数据。但反病毒