第3章计算机病毒

《计算机网络安全技术》（第4版）工业和信息化“十三五”高职高专人才培养规划教材第3章计算机病毒人民邮电出版社能力CAPACITY要求了解什么是计算机病毒及其发展历程。理解计算机病毒的特征。了解计算机病毒的分类。掌握典型计算机病毒的基本原理和查杀方法。病毒发展史计算机病毒的定义计算机病毒的特点病毒分类病毒的防护计算机病毒的发展趋势一、计算机病毒的定义1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。病毒：Virus病毒发展史计算机病毒的定义计算机病毒的特点病毒分类病毒的防护计算机病毒的发展趋势二、计算机病毒的发展史01OPTION02OPTION03OPTION04OPTION计算机病毒的产生的思想基础和病毒发展简介实验室中产生——病毒的祖先（磁芯大战）计算机病毒的出现（1983年）我国计算机病毒的出现（1989年）二、计算机病毒的发展史病毒的产生原因（4）出于政治、战争的需要（3）出于某种报复目的或恶作剧而编写病毒（1）编制人员出于一种炫耀和显示自己能力的目的（2）某些软件作者出于版权保护的目的而编制二、计算机病毒的发展史计算机病毒的发展历程1.DOS引导阶段3.伴随阶段5.生成器、变体机阶段7.视窗阶段9.邮件病毒阶段8.宏病毒阶段6.网络、蠕虫阶段4.多形阶段2.DOS可执行阶段10.手持移动设备病毒阶段时

间名

称事

件1983.11.10

弗里德·科恩以测试计算机安全为目的编写首个计算机病毒1986Brain巴基斯坦的两兄弟为了防止自己辛苦编写的DOS软件被盗版制作的软盘引导病毒1987.10黑色星期五病毒第一次大规模爆发1988.11蠕虫病毒罗伯特·莫里斯写的第一个蠕虫病毒

1990.14096发现首例隐蔽型病毒，破坏数据1991.4米开朗基罗第一个格式化硬盘的开机型病毒1991GPI首例网络病毒，突破了NOVELL公司的Netware网络安全机制1995VCL（VirusCreationLaboratory）病毒生产工具在美国传播1996宏病毒传播方式增加（邮件等）1998CIH第一个破坏硬件的病毒，面向Windows的VxD技术编制的1999Mellisa、happy99邮件病毒2000红色代码黑客型病毒2000.6VBS.Timofonica世界上第一个手机病毒2001Nimda集中了当时所有蠕虫传播途径，成为当时破坏性非常大的病毒2002SQLSPIDA.B第一个攻击SQL服务器的病毒二、计算机病毒的发展史典型的计算机病毒事件二、计算机病毒的发展史典型的计算机病毒事件时

间名

称事

件2003SQL_slammer利用SQLServer数据库的漏洞2003.8冲击波通过微软的RPC缓冲区溢出漏洞进行传播的蠕虫病毒2004.5震荡波类似于“冲击波”病毒2005QQMyRun通过QQ传播的蠕虫病毒2006熊猫烧香破坏多种文件的蠕虫病毒2007AV终结者专门破坏杀毒软件的病毒2008.3磁碟机病毒近几年来发现的病毒技术含量最高、破坏性最强的病毒，其破坏能力、自我保护和反杀毒软件能力均10倍于“熊猫烧香”2009机器狗该病毒变种繁多，多表现为杀毒软件无法正常运行2010广告木马2010年通过篡改网页的广告木马最流行2011鬼影病毒特点基本为改写硬盘主引导记录（MBR）释放驱动程序替换系统文件，干扰或阻止杀毒软件运行，恶意修改主页，下载多种盗号木马2012鬼影病毒变种出现数个变种，包括鬼影5、鬼影6、鬼影6变种等2014苹果大盗病毒该病毒爆发在“越狱”的apple手机上，目的盗取AppleID和密码2015Xcodeghost病毒感染Apple手机，主要通过非官方下载的Xcode传播，使编译出的App被注入第三方的代码，向指定网站上传用户数据二、计算机病毒的发展史计算机病毒的危害1、计算机病毒造成巨大的社会经济损失2、影响政府职能部门正常工作的开展3、计算机病毒被赋予越来越多的政治意义4、利用计算机病毒犯罪现象越来越严重病毒发展史计算机病毒的定义计算机病毒的特点病毒分类病毒的防护计算机病毒的发展趋势三、计算机病毒的特点计算机病毒的特点传染性破坏性潜伏性和可触发性非授权性隐藏性不可预见性病毒发展史计算机病毒的定义计算机病毒的特点病毒分类病毒的防护计算机病毒的发展趋势四、病毒分类依据不同的分类标准，计算机病毒可以做不同的归类。常见的分类标准有：根据病毒的传染途径03根据病毒依附的操作系统01根据病毒的传播媒介02四、病毒分类病毒依附的操作系统DOS01MicrosoftWindows02嵌入式系统（工业系统、手机操作系统）04Unix/Linux03四、病毒分类病毒的传播媒介存储介质网络1、网络下载2、网页挂马3、局域网(Funlove)4、远程攻击(Blaster)5、邮件(SoBig)四、病毒分类病毒的传播媒介上网计算机光盘、软盘网络U盘、移动硬盘等移动存储设备其他途径Web浏览器下载软件即时通信软件其他网络软件IE火狐傲游Opera迅雷快车BT下载电驴QQMSN淘宝旺旺新浪UC电子邮件网上银行网络游戏其他四、病毒分类病毒的传播和感染对象感染引导区感染文件可执行文件OFFICE宏网页脚本（Java小程序和ActiveX控件）其他恶意程序破坏程序网络木马网络蠕虫病毒发展史计算机病毒的定义计算机病毒的特点病毒分类病毒的防护计算机病毒的发展趋势CIH病毒五、计算机病毒的发展趋势病毒演示CIH将硬盘

FORMAT!CIH将BIOS给毁了

!五、计算机病毒的发展趋势病毒演示—彩带病毒五、计算机病毒的发展趋势病毒演示—女鬼病毒五、计算机病毒的发展趋势病毒演示—千年老妖病毒演示—圣诞节病毒五、计算机病毒的发展趋势病毒演示—白雪公主巨大的黑白螺旋占据了屏幕位置，使计算机使用者无法进行任何操作！五、计算机病毒的发展趋势病毒演示—红色代码1()五、计算机病毒的发展趋势病毒发作现象AIDS幻彩救护车Happy99KetapangKmpsd五、计算机病毒的发展趋势计算机病毒程序一般构成计算机病毒程序通常由三个单元和一个标志构成：引导模块、感染模块、破坏表现模块和感染标志。感染模块感染标志破坏模块引导模块五、计算机病毒的发展趋势计算机病毒引起的异常情况123456异常情况计算机系统运行速度明显降低系统容易死机文件改变、破坏磁盘空间迅速减少内存不足系统异常频繁重启动7频繁产生错误信息五、计算机病毒的发展趋势网络化病毒的特点123456网络化：传播速度快、爆发速度快、面广隐蔽化：具有欺骗性（加密）多平台、多种语言新方式：与黑客、特洛伊木马相结合多途径攻击反病毒软件7变化快（变种）8清除难度大9破坏性强五、计算机病毒的发展趋势通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中）,对网络造成拒绝服务，以及和黑客技术相结合等等。蠕虫病毒蠕虫病毒与其他病毒的区别普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机五、计算机病毒的发展趋势蠕虫病毒的特点传染方式多一种是针对企业的局域网，主要通过系统漏洞；另外一种是针对个人用户的,主要通过电子邮件,恶意网页形式迅速传播的蠕虫病毒。传播速度快清除难度大破坏性强五、计算机病毒的发展趋势实例：2003蠕虫王病毒发展史计算机病毒的定义计算机病毒的特点病毒分类病毒的防护计算机病毒的发展趋势六、病毒的防护反病毒技术简述计算机病毒诊断技术

｝启发式扫描特征代码法校验和法行为监测法软件模拟法01OPTION02OPTION03OPTION04OPTION六、病毒的防护1、采集已知病毒样本2、打开被检测文件，在文件中搜索，检查文件中是否含有病毒数据库中的病毒特征代码（唯一性）。特征代码法优点：

检测准确快速、可识别病毒的名称、误报警率低、依据检测结果，可做杀毒处理。缺点：不能检测未知病毒、搜集已知病毒的特征代码，费用开销大、在网络上效率低（在网络服务器上，因长时间检索会使整个网络性能变坏）。

文件特征代码内存特征代码六、病毒的防护将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。针对多态病毒特点：

能发现已知病毒，也能发现未知病毒，但是，它不能识别病毒类型和名称。误报率高校验和法六、病毒的防护利用病毒的特有行为特征性来监测病毒的方法行为特征如下：

A、占有内存特殊位置

B、改DOS系统为数据区的内存总量

C、对COM、EXE文件做写入动作

D、病毒程序与宿主程序的切换特点：

可发现未知病毒、可相当准确地预报未知的多数病毒

可能误报警、不能识别病毒名称、实现时有一定难度行为监测法六、病毒的防护为了检测多态性病毒，可应用软件模拟法。它是一种软件分析器，用软件方法来模拟和分析程序的运行。沙盘（沙盒）-Sandboxie软件模拟法杀毒软件是采取多种技术的结合：特征码、启发式、主动防御等。下面以瑞星产品为例讲解主动防御技术杀毒软件六、病毒的防护主动防御是一种阻止恶意程序执行的技术。可以在病毒发作时进行主动而有效的全面防范，从技术层面上有效应对未知病毒的肆虐。杀毒软件主动防御（瑞星）杀毒软件中的“主动防御功能六、病毒的防护病毒的预防措施安装防病毒软件定期升级防病毒软件不随便打开不明来源的邮件附件尽量减少其他人使用你的计算机及时打系统补丁综合各种防病毒技术定期备份文件