《计算机病毒知识》PPT课件

计算机病毒,计算机知识培训之五,计算机管理中心2005.7.19,姜磊福,-摘自国家计算机病毒应急处理中心,-摘自国家计算机病毒应急处理中心,计算机病毒爆发的几张图片,计算机病毒基本知识,计算机病毒的定义,计算机病毒是什么东西呢?是否会象其他生物病毒,如感冒病毒一样对人体造成伤害呢?“计算机病毒”是会造成伤害,但不是对人造成伤害,而是对计算机系统造成一定的伤害.其实,“计算机病毒”是一段非常短的,会不断自我复制,隐藏和感染其他程序或计算机的程序代码.,计算机病毒的特性,特性,传染性,衍生性,不可预见性,寄生性,潜伏性,针对性,隐蔽性,破坏性,计算机病毒的传染性,传染性是计算机病毒最重要的特性，这一点与生物病毒是一致的。生物病毒通过传染,从一个生物体扩散到另一个生物体.在适宜的条件下,它得到大量繁殖,并进而使被感染的生物体表现出病症.同样地,计算机病毒也会通过各种渠道从已被感染的计算机扩散到未被感染的计算机,在某些情况下造成被感染的计算机工作失常甚至瘫痪.这就是计算机病毒最重要的特征传染和破坏.与生物病毒不同的是,计算机病毒是一段人为编制的计算机程序代码,这段程序代码一旦进入计算机并得以执行,就与系统中的程序连接在一起,并不断地去传染其它未被感染的程序.,计算机病毒的隐蔽性,计算机病毒通常附在正常程序中或磁盘较隐蔽的地方,目的是不让用户发现它的存在.不经过防病毒软件的扫描,计算机病毒程序与正常程序是很难区别开.在没有防护措施的情况下,计算机病毒程序经运行取得系统控制权后,可以在不到1秒钟的时间里传染几百个程序,而且在屏幕上没有任何异常显示.这种现象就是计算机病毒传染的隐蔽性。,计算机病毒的隐蔽性表现在两个方面:一是传染的隐蔽性二是计算机病毒程序存在的隐蔽性,大部分的计算机病毒感染系统之后一般不会马上发作,它会长期隐藏在系统中,只有在满足其特定条件时才会爆发,在此期间,它会对系统和文件进行大肆传染.潜伏性愈好,其在系统中的存在时间就会愈久,计算机病毒的传染范围就会愈大.在潜伏期间计算机病毒程序不用专用检测程序是检查不出的,计算机病毒的爆发是靠一定的触发条件进行发作的,不满足触发条件时,计算机病毒除了传染外不做什么破坏.一旦触发条件得到满足,有的在屏幕上显示信息,图形或特殊标识,有的则执行破坏系统的操作,如格式化磁盘,删除磁盘文件,对数据文件做加密,封锁键盘以及使系统崩溃等.,计算机病毒的潜伏性,计算机病毒的破坏性,任何计算机病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响.轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃.这些都取决于计算机病毒编制者的目的。病毒一般会攻击系统数据区,攻击部位包括:引导扇区,FAT表,文件目录;攻击文件;攻击内存;干扰系统运行,如:无法操作文件,重启动,死机等;导致系统性能下降;攻击磁盘,造成不能访问磁盘,无法写入等;扰乱屏幕显示;干扰键盘操作;喇叭发声;攻击CMOS;干扰外设,如无法访问打印机等.,计算机病毒产生的原因,1、一些计算机爱好者的好奇或兴趣。2、产生于个别人的报复心理。3、用于版权保护，商业软件为防被非法复制，为了保护自己的利益制作了一些特殊程序，附在产品中。4、产生于游戏。5、用于研究或实验而设计的“有用”程序，由于某种原因失去控制而扩散出来。6、由于政治、经济和军事等特殊目的。据说,计算机病毒的传播途径,只要是能够进行数据交换的介质都可能成为计算机病毒传播途径,磁盘到磁盘,程序到程序,文档到文档,INTERNET和EMAIL,局域网,存储设备之间的传播存储设备包括：软盘CD-ROMUSB盘硬盘等盗版光盘上的软件和游戏及非法拷贝也是目前传播计算机病毒主要途径.存储设备之间病毒的传播有以下几种形式：,局域网传播局域网络技术的应用为企业的发展作出巨大贡献，但同时也为计算机病毒的迅速传播铺平了一条道路,网络是由相互连接的一组计算机组成的,这是数据共享和相互协作的需要.组成网络的每一台计算机都能连接到其他计算机,数据能从一台计算机发送到其他计算机上.如果发送的数据感染了计算机病毒,接收方的计算机将自动被感染,因此,有可能在很短的时间内感染整个网络中的计算机。,互联网传播,国际互联网已经越来越多地被用于获取信息,发送和接收文件。随着互联网的高速发展,计算机病毒也走上了高速传播之路,互联网已经成为计算机病毒的第一传播途径，主要通过：,电子邮件:计算机病毒主要是以附件的形式进行传播。网上论坛：在论坛上用户除了可以讨论问题外,还能够进行各种文件的交换,加之论坛一般没有严格的安全管理，便使之成为计算机病毒传播的场所。WWW浏览下载软件即时通讯工具,计算机病毒的主要危害,计算机病毒也是软件程序，其对于计算机的危害取决于计算机病毒编制者的意图,它们能够做任何作用于计算机的操作.下面让我们分析一下计算机病毒的危害。,攻击系统数据区对于文件的攻击计算机病毒可以对文件进行删除,重命名,更换内容,修改部分代码等操作,受到攻击的文件一般是无法修复的.影响系统运行速度,使系统的运行明显变慢.计算机病毒可以占用各种系统资源,如CPU,硬盘资源,内存等,因此造成系统运行速度下降,反应变慢.破坏磁盘计算机病毒可以控制系统对于磁盘的操作,造成的影响包括格式化磁盘,无法写入,写入时数据丢失等.,扰乱屏幕显示计算机病毒扰乱屏幕显示的方式很多,比如:字符倒置,屏幕抖动,图形翻转显示等.键盘和鼠标工作不正常包括键盘和鼠标封锁,键盘字符混乱,抹掉缓冲区字符等.干扰外设的工作,尤其是打印机计算机病毒可以封锁打印机,造成无法打印.也可能造成打印时文件数据乱码计算机病毒对于商业应用的危害性最大，因为任何一个关键数据的丢失，都意味着财富的损失。,计算机病毒的分类,1、系统病毒系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒。2、蠕虫病毒蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。,3、木马病毒、黑客病毒木马病毒其前缀是：黑客病毒前缀名一般为Hack。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马Trojan.QQ3344，还有大家可能遇见比较多的针对网络游戏的木马病毒如Trojan.LMir.PSW.60。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。,特洛伊木马程序名字来源：古希腊故事，希腊人围攻特洛伊城通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门没有自我复制的功能非自主传播用户主动发送给其他人放到网站上由用户下载,用户运行安装了从网上下载的或从光盘软盘等渠道获得的软件,黑客可利用它打开用户计算机端口，以得到你的重要数据,这些软件包含了木马程序，并且可访问用户的计算机系统，获得重要信息，并发送给黑客,黑客,4、脚本病毒脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。5、宏病毒宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel其中之一。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。,6、后门病毒后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。7破坏性程序病毒破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。,9玩笑病毒玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。10捆绑机病毒捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。,计算机病毒的新特点,随着计算机软硬件水平的不断发展,近年来,计算机病毒技术也是突飞猛进,基于“视窗”的计算机病毒越来越多近年来,攻击计算机的计算机病毒绝大多数都是针对Windows操作系统.另外一个很重要的原因是Windows操作系统本身也存在比较多的安全漏洞,微软每年都会发布大量的补丁程序;其InternetExplorer浏览器,Web服务器,WindowsNT以及邮件系统都存在许多漏洞,而且随着新版本的不断发布,勿庸置疑的是补丁数还会不断增加.,新计算机病毒种类不断涌现,数量急剧增加这两年来,基于互联网进行传播的计算机病毒出现了许多新的种类,比如包含恶意代码的网页,电子邮件计算机病毒,蠕虫,黑客程序.而且,最近甚至出现了专门针对手机和掌上电脑的计算机病毒.同时,计算机病毒的数量急剧增加,据I统计,现在每天有超过100种新计算机病毒出现,因此每年就有36500种左右的新计算机病毒出现，因此,计算机病毒对于计算机的威胁越来越大。,计算机病毒传播途径更多,传播速度更快最初,计算机病毒主要通过软盘,硬盘等可移动磁盘传播,但随着新技术的发展,现在计算机病毒已经可以通过包括大容量移动磁盘，光盘,网络,Interet,电子邮件等多种方式传播,而且仅Internet的传播方式又包括WWW浏览,IRC聊天,FTP下载,BBS论坛等.由于互联网的触角已经遍及世界每一个角落,接入互联网的任何两台计算机都可以进行通讯,因此,也为计算机病毒的传播打开了方面之门.依赖于互联网的便利,现在的计算机病毒传播速度已远非原先可比,尤其是一些蠕虫病毒,它们借助于电子邮件系统,几乎以不可思议的速度传播。,计算机病毒造成的破坏日益严重CIH计算机病毒在全球造成的损失估计是10亿美元,而受2000年5月ILoveYou情书计算机病毒的影响,全球的损失预计高达100亿。,电子邮件成为计算机病毒传播的主要媒介据统计电子邮件已经成为计算机病毒传播的主要媒介,其比例占所有计算机病毒传播媒介的56%.由于电子邮件可附带任何类型的文件,因此,几乎所有类型的计算机病毒都可通过它来进行快速传播.,如何知道计算机感染了病毒,平时运行正常的计算机突然经常性无缘无故地死机操作系统无法正常启动运行速度明显变慢以前能正常运行的软件经常发生内存不足的错误打印和通讯发生异常无意中要求对软盘进行写操作以前能正常运行的应用程序经常发生死机或者非法错误系统文件的时间,日期,大小发生变化磁盘空间迅速减少网络驱动器卷或共享目录无法调用自动链接到一些陌生的网站陌生人发来的电子函件鼠标自己在动Windows桌面图标发生变化,硬盘无法启动,数据丢失系统文件丢失或被破坏文件目录发生混乱部分文档丢失或被破坏部分文档自动加密码网络瘫痪,无法提供正常的服务,如何防范