计算机病毒与黑客课件

第十一讲思考题:1、计算机病毒有哪些特征？计算机病毒有哪些表现现象？如何防范计算机病毒？2、蠕虫病毒与一般病毒比较有何特点？试述它的传播途径及防范方法3、木马与一般病毒比较有何特点？试述木马的基本原理第4章计算机病毒与黑客本章教学要求：

（1）掌握计算机病毒的定义、特征，(3.1)（2）了解病毒的传播途径、类型；(3.1)（3）了解计算机病毒表现现象(3.1)（4）掌握木马原理；(3.4)（5）了解木马的启动方式；(3.4)（6）了解特木马隐藏的基本方法；(3.4)（7）了解特洛伊木马查杀方法；(3.4)（8）掌握计算机病毒与黑客的防范基本方法。(3.5)

4.1计算机病毒的概述

4.1.1计算机病毒的定义《中华人民共和国计算机信息系统安全保护条例》对病毒定义表明了计算机病毒就是具有破坏性的计算机程序。4.1.2计算机病毒的特征(思考题1.1)1．破坏性。2．隐蔽性。3．传染性。病毒通过自身复制来感染正常文件.

4.1.4计算机病毒的传播途径

计算机病毒主要是通过复制文件、发送文件、运行程序等操作传播的。通常有以下几种传播途径：1．移动存储设备包括软盘、硬盘、移动硬盘、光盘、磁带等。硬盘是数据的主要存储介质，因此也是计算机病毒感染的主要目标。2．网络目前大多数病毒都是通过网络进行传播的，破坏性很大。4.1.5计算机病毒的分类我们把计算机病毒大致归结为7种类型。1．引导型病毒。主要通过感染软盘、硬盘上的引导扇区或改写磁盘分区表（FAT）来感染系统。早期的计算机病毒大多数属于这类病毒。2．文件型病毒。它主要是以感染COM、EXE等可执行文件为主，被感染的可执行文件在执行的同时，病毒被加载并向其它正常的可执行文件传染或执行破坏操作。文件型病毒大多数也是常驻内存的。

3．宏病毒。宏病毒是一种寄存于微软Office的文档或模板的宏中的计算机病毒，是利用宏语言编写的。由于Office软件在全球存在着广泛的用户，所以宏病毒的传播十分迅速和广泛。4．网页病毒。网页病毒一般也是使用脚本语言将有害代码直接写在网页上，当浏览网页时会立即破坏本地计算机系统，轻者修改或锁定主页，重者格式化硬盘，使你防不胜防。5．混合型病毒。兼有上述计算机病毒特点的病毒统称为混合型病毒，所以它的破坏性更大，传染的机会也更多，杀毒也更加困难。以上病毒为通常意义上的普通病毒

蠕虫病毒的传播与防范(思考题2.2)

蠕虫病毒是传播最快的病毒种类之一，传播速度最快的蠕虫可以在几分钟之内传遍全球，2003年的“冲击波”病毒、2004年的“震荡波”病毒、2005年上半年的“性感烤鸡”病毒都属于蠕虫病毒。目前危害比较大的蠕虫病毒主要通过三种途径传播：系统漏洞、电子邮件和聊天软件。（1）、利用系统漏洞传播的蠕虫病毒：往往传播速度极快，如利用微软04-011漏洞的“震荡波”病毒，三天之内就感染了全球至少50万台计算机。防止系统漏洞类蠕虫病毒的侵害，最好的办法是打好相应的系统补丁，可以应用瑞星杀毒软件的“漏洞扫描”工具，这款工具可以引导用户打好补丁并进行相应的安全设置，彻底杜绝病毒的感染。（２）、通过电子邮件传播的蠕虫病毒：是近年来病毒作者青睐的方式之一，像“恶鹰”、“网络天空”等都是危害巨大的邮件蠕虫病毒。这样的病毒往往会频繁大量的出现变种，用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。防范邮件蠕虫的最好办法，就是提高自己的安全意识，不要轻易打开带有附件的电子邮件。另外，启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能，也可以提高自己对病毒邮件的防护能力。（３）、通过聊天软件传播的蠕虫病毒从2004年起，MSN、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。“性感烤鸡”病毒就通过MSN软件传播，在很短时间内席卷全球，一度造成中国大陆地区部分网络运行异常。对于普通用户来讲，防范聊天蠕虫的主要措施之一，就是提高安全防范意识，对于通过聊天软件发送的任何文件，都要经过好友确认后再运行；不要随意点击聊天软件发送的网络链接。

5．特洛伊木马型病毒。特洛伊木马型病毒实际上就是黑客程序。（思考题3.1)

（1）一般不对计算机系统进行直接破坏，而是通（过网络控制其它计算机，包括窃取秘密信息，占用计算机系统资源等现象。（2）程序本身并不具备主动传播的特性，因而有时不认为是病毒。最近的特洛伊木马都以电子邮件的形式传播。（3）木马程序通常并不感染文件，木马一般会修改注册表的启动项，或者修改打开文件的关联而获得运行机会。正是由于这个特点，使得我们了解某个木马的入侵特征后，可以相对容易地用手工方法将其清除。杀毒软件清除木马的方法一般就是删除木马生成的文件，因此在你使用杀毒软件扫描后，发现最终是删除了这个带毒文件，也不用感到奇怪。这个程序本来就不是系统的正常文件，把它删除不会对系统产生任何不良影响。

4.1.6计算机病毒的表现现象(思考题1.2)

1．平时运行正常的计算机突然经常性无缘无故地死机。2．运行速度明显变慢。3．打印和通讯发生异常。

4．系统文件的时间、日期、大小发生变化。5．磁盘空间迅速减少。6．收到陌生人发来的电子邮件。7．自动链接到一些陌生的网站。

8．计算机不识别硬盘。2．传染模块传染模块包括三部分内容：（1）传染控制部分。病毒一般都有一个控制条件，一旦满足这个条件就开始感染。例如，病毒先判断某个文件是否是.EXE文件，如果是再进行传染，否则再寻找下一个文件；（2）传染判断部分。每个病毒程序都有一个标记，在传染时将判断这个标记，如果磁盘或者文件已经被传染就不再传染，否则就要传染了；

（3）传染操作部分。在满足传染条件时进行传染操作。3．破坏模块计算机病毒的最终目的是进行破坏，其破坏的基本手段就是删除文件或数据。破坏模块包括两部分：一是激发控制，另一个就是破坏操作。对每一个病毒程序来说，安装模块、传染模块是必不可少的，而破坏模块可以直接隐含在传染模块中，也可以单独构成一个模块。

黑客概述一、什么是黑客黑客是英文“hacker”的音译，源于英文动词hack，意为劈砍，引申为干一件非常漂亮的工作。现在黑客一般定义为利用技术手段进入其权限以外的计算机系统的人。有一点注意到，进入计算机系统做了些什么？这里并没有说明，因此黑客本身是一个中性词，如果做了破坏，可能就是另外一类人。如果不作区分，不掌握黑客的特征，就会误用这个词。三、国内黑客分类红客：略带政治色彩与爱国主义情客的黑客。很多时候此类黑客的政治热情高于对信息安全技术的热情。蓝客：更热衷于纯粹的互联网安全技术，对于其它问题不关心。文化黑客：完全追求黑客文化原始本质精神、不关心政治，对技术也不疯狂追棒。

4.5特洛伊木马4.5.1黑客程序与特洛伊木马特洛伊木马实际上是一种典型的黑客程序，它是一种基于远程控制的黑客工具，现在已成为黑客程序的代名词。将黑客程序形容为特洛伊木马就是要体现黑客程序的隐蔽性和欺骗性。比较著名的木马程序有BackOrifice（BO）、Netspy（网络精灵）、Glacier（冰河）、广外女生等，这些木马程序大多可以在网上下载下来直接使用。4.5.2木马的基本原理(思考题3.2)木马本质上只是一个网络客户/服务程序（Client/Server），一般有两个部分组成：一个是服务端程序，另一个是客户端程序。如果某台计算机中安装了黑客服务器程序，黑客就可以利用自己的客户端进入这台计算中，通过客户端达到控制这台计算机的目的

4.5.5特洛伊木马的隐藏木马为了更好地隐藏自己，通常会将自己的位置放在c:\windows和c:\windows\system32等系统目录中。木马的服务程序命名也很狡猾，通常使用和系统文件相似的文件名。有的木马具有很强的潜伏能力，表面上的木马程序被发现并被删除后，后备的木马在一定的条件下会恢复被删除的木马。

4.5.6特洛伊木马分类

1．主动型木马

主动型木马原理图

2．反弹型木马

反弹型木马原理图

黑客将安放在内部网络的反弹木马定时地连接外部攻击的主机，由于连接是从内部发起的，防火墙无法区分是木马的连接还是合法的连接。

4.5.7特洛伊木马查杀

木马的查杀可以采用自动和手动两种方式。最简单的删除木马方法是安装杀毒软件或一些专杀木马的软件。由于杀毒软件的升级要慢于木马的出现，因此学会手工查杀也是非常必要。在手工删除木马之前，最重要的一项工作是备份注册表，防止系统崩溃，备份你认为是木马的文件。如果不是木马就可以恢复，如果是木马就可以对木马进行分析。

1．查看注册表

在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“Run”开头的键值名有没有可疑的文件名。

2．检查启动组启动组对应的文件夹为：C:windows\startmenu\programs\startup，要经常检查启动组中是否有异常的文件。

5．查看目前运行的服务

服务也是很多木马用来保持自己在系统中处于运行状态的方法之一。使用“netstart”命令来查看系统中有哪些服务在开启，如果发现了不是自己开放的服务，我们可以停止并禁用它。

6．检查系统帐户

黑客也可能在计算机中潜伏一个账户来控制你的计算机。他们采用的方法就是激活一个系统中的很少使用的默认账户，然后把这个账户的权限提升为管理员权限，通过这个账户控制你的计算机。