计算机网络安全电子教案(新版)第三章计算机病毒及其防治.ppt

1、第三章 计算机病毒及其防治第一节 计算机病毒及其特性,一、计算机病毒的定义 计算机病毒：是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。,二、计算机病毒的特性,（1）可执行性 计算机病毒是一段可执行程序，但它不是一个完整的程序，而是寄生在其他可执行程序上，因此它享有一切程序所能得到的权力。病毒运行时，与合法程序争夺系统的控制权。 （2）传染性 计算机病毒是一段人为编制的计算机程序代码，这段程序代码一旦进人计算机并得以执行，它就会搜寻其他符合传染条件的程序或存储介质，确定目标后将自身代码插入其中，达到自我繁殖的目的。,（3）寄

2、生性 病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后，一般对宿主程序进行一定的修改，宿主程序一旦执行，病毒程序就被激活，从而可以进行自我复制和繁衍。 （4）隐蔽性 计算机病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。有些计算机受到传染后，系统通常仍能正常运行，使用户不会感到任何异常,隐蔽性表现在两个方面： 一、传染的隐蔽性 二、病毒程序存在的隐蔽性 （5）潜伏性 一个编制精巧的计算机病毒程序，进人系统之后一般不会马上发作，可以在几周或者几个月内甚至几年内隐藏在合法文件

3、中，对其他系统进行传染，而不被发现，潜伏性愈好，其在系统中的存在时间就会愈长，病毒的传染范围就会愈大。,潜伏性表现在两个方面： 一、病毒程序不用专用检测程序是检查不出来的 ，可以长期在系统里呆很长时间，待时机成熟就又要四处繁殖、扩散，继续为害。 二、计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。触发条件一旦得到满足 就会造成很严重的破坏。 （6）触发性 病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。,（7）破坏性 降低计算机系统的工作效率，占用系统资源，其具体情况取决于人侵系统的病毒程序。 （8）衍生性 分析计算机病毒的结构

4、可知，传染和破坏部分反映了设计者的设计思想和设计目的。但是，这可以被其他掌握原理的人以其个人的企图进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒。这就是计算机病毒的变种性。这种变种病毒造成的后果可能比原版病毒严重得多。,1. 计算机病毒产生的背景 (1) 计算机软硬件产品的脆弱性 (2) 计算机的广泛应用 计算机的广泛应用是计算机病毒产生的必要环境。计算机的普及使得病毒得以大面积的传染，而且使得某些爱搞恶作剧的人和具有报复心理的人以及具有显示欲的人大量制造计算机病毒。 (3) 特殊的政治、经济和军事目的 某些组织或个人采用高科技手段即利用计算机病毒，达到其政治、经济或军事目的。如在

5、金融领域，利用计算机病毒进行高科技犯罪。这种犯罪具有动态性和随机性，不易取证，风险小获利大。这对金融安全和金融正常运转构成了严重的威胁 。,三、 计算机病毒的产生背景及主要来源,2、计算机病毒的来源 (1) 产生于恶作剧 (2) 产生于报复心理 (3) 产生于软件商保护软件 用于研究或实践而设计的“有用”程序，由于某种原因失去控制而扩散出实验室或研究所，从而成为危害四方的计算机病毒 用于政治、经济和军事等特殊目的,四、计算机病毒简史及发展阶段,1、计算机病毒简史 计算机病毒在计算机诞生不久就出现了。但开始是程序员闲来无事而编写的趣味程序，并无恶意。直到 1977年，Thomas.J.Ryan在

6、科幻小说The Adolescence Of P-1里，就幻想一种计算机病毒从一台计算机系统传染到另一台计算机。1983年美国计算机安全专家 Fred Cohen博士通过实验证明了计算机病毒出现的可能性。1986年，真正揭开了计算机病毒神秘的面纱从幻想走进了现实。巴基斯坦两兄弟为追踪非法拷贝软件的人制造了“巴基斯坦”病毒，此病毒成为了世界上公认的第一个传染PC兼容机的病毒，并且很快在全球流行。1988年，各种病毒开始大肆流行。神秘的“蠕虫程序”导致美国的一个计算机网络瘫痪。1989年10月13日“黑色星期五病毒出现，继而是“小球病毒”、“大麻病毒”、“宏病毒”等。1998年4月在台湾出现了CI

7、H病毒，是第一个直接破坏计算机硬件的病毒，可破坏BIOS中的系统程序导致主板损坏，并破坏硬盘。特别近几年来计算机网络的普及，出现了许多通过计算机网络（主要是电子邮件）传播的病毒，如 1999年6月出现了“梅利莎”（Melissa）病毒2 年5月出现了“爱虫病毒”（I Love You）； 2000年底出现了 Fun Love病毒；2001年初出现了“欢乐时光” (Happy Time)病毒；2001年7月出现了“红色代码”（Red Code）病毒；2001年9月出现了“尼姆达”（Nimda）病毒。2001年10月出现了“本拉登”病毒等。,2、计算机病毒的发展阶段 （1）第一代病毒：198619

8、89年，这一时期出现的病毒称为“传统病毒”，是计算机病毒的萌芽和滋生时期。 （2）第二代病毒：19891991年，这一时期出现的病毒称为“混合型病毒”或“超级病毒”。这一阶段是计算机病毒由简单发展到复杂，由单纯走向成熟的阶段。 （3）第三代病毒：19921995年，这一时期出现的病毒称为“多态性病毒”或“自我变形病毒”。所谓“多态性病毒”或“自我变形病毒”的含义是指病毒传染目标时，放入宿主程序中病毒程序大部分都是可变的，即病毒的程序代码大多数是不同的，这是此类病毒的重要特点。,（4）第四代病毒：90年代中后期，随着计算机网络的开通，病毒流行面更加广泛，病毒的流行突破了地域的限制，首先通过广域网

9、传播至局域网内，再在局域网内传播扩散。1996年随着国内Internet的普及，Email的使用，计算机网络病毒成为病毒的主流。 这一时期的病毒的最大特点是利用Internet作为其主要传播途径，所以病毒传播快、隐蔽性强、破坏性大。,第二节 计算机病毒的类型及危害,一、计算机病毒的类型 1. 按攻击的系统分类 （1）攻击DOS系统的病毒 ，这类病毒出现最早、最多，变种也最多。 （2）攻击Windows系统的病毒 ，目前网络上攻击最多的操作系统就是Windows （3）攻击UNIX系统的病毒 ，许多大型的网络均采用UNIX作为其主要的操作系统,2、按链结方式分类,（1）源码型病毒 这种病毒攻击高

10、级语言编写的程序，该病毒在高级语言所编写的程序编译前插入到原程序中，经编译成为合法程序的一部分。 （2）嵌入型病毒 这种病毒是将自身嵌入到程序中，把计算机病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病毒是难以编写的，一旦侵入程序体后也较难消除。如果同时采用多态性病毒技术、超级病毒技术和隐蔽性病毒技术，将给当前的反病毒技术带来严峻的挑战。,（3）外壳型病毒 这种病毒是将其自身包围在主程序的四周，对原来的程序不作修改。这种病毒最为常见，易于编写，也易于发现，一般测试文件的大小即可知。 （4）操作系统型病毒 这种病毒运行时用它自己的程序取代部分操作系统的合法程序进行工作，具有很强的破坏力

11、，可以导致整个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。,（1）磁盘引导区传染的计算机病毒 。 如：“大麻”、“小球”病毒 （2）操作系统传染的计算机病毒 （3）可执行程序传染的计算机病毒 可执行程序传染的病毒通常寄生在可执行程序中，一旦程序被执行，病毒也就被激活，病毒程序首先被执行，并将自身驻留内存，然后设置触发条件，进行传染 。,3、 按寄生部位或传染对象分类,4、按传播媒介分类,（1）单机病毒 单机病毒的载体是磁盘，常见的是病毒从软盘传人硬盘，感染系统，然后再传染其他软盘，软盘又传染其他系统。 （2）网络病毒 网络病毒的传播媒介不再是移动式载体，而是网络通道，这种病毒的传染

12、速度快，破坏力大。,5、按载体和传染途径分类,（1）引导型病毒 由于引导程序是计算机启动时最先加载执行的，所以此类病毒可在计算机运行时最先获得控制权 ,引导型病毒几乎都会常驻在内存中 （2）文件型病毒 源码型病毒是用高级语言编写的，若不进行汇编、链接则无法传染扩散。 嵌入型病毒是嵌入在程序的中间，它只能针对某个具体程序。 外壳型病毒寄生在宿主程序的前面或后面，并修改程序的第一个执行指令，使病毒先于宿主程序执行，这样随着宿主程序的使用而传染扩散 （3）混合型病毒 综合引导型和文件型病毒的特征 ，危害更大,二、计算机病毒的主要危害,（1）破坏计算机数据信息 （2）抢占系统资源 （3）影响计算机运行

13、速度 （4）计算机病毒错误与不可预见的危害 （5）计算机病毒的兼容性对系统运行的影响 （6）计算机病毒给用户造成严重的心理压力,第三节 计算机病毒的结构及作用机制,计算机病毒与生物病毒一样，有其自身的病毒体和寄生体。寄生体是一合法程序，为病毒提供一种生存环境。当病毒程序寄生于合法程序后，病毒就成了程序的一部分，并在程序中占有合法地位。这样合法程序就成了病毒程序的寄生体，或称病毒程序的载体，我们称原合法程序为宿主或宿主程序。当染有病毒的宿主程序在计算机系统中运行时或运行后就驻留于内存中。 计算机病毒在结构上有其共性。一般来说，计算机病毒包括三大功能模块：引导模块、传染模块、发作模块。而每一模块各

14、有自己的工作原理，我们称之为作用机制。下面我们分别讨论计算机病毒的结构及作用机制。,一、 计算机病毒的结构,条件判断,传染,条件判断,表现或破坏,二、 计算机病毒的作用机制1、计算机病毒的引导机制,（1）计算机病毒的寄生对象 计算机病毒实际上是一种特殊的程序，是程序就必然要存储在磁盘上，但是病毒程序为了进行自身的主动传播，必须使自身寄生在可以获取执行权的寄生对象上。就目前出现的各种计算机病毒来看，其寄生对象有三种： 寄生在磁盘引导扇区； 寄生在可执行文件中； 寄生在数据文件中； 这样病毒程序寄生在他们的上面，就可以在一定条件下获得执行权，然后进行病毒的动态传播和破坏活动。,（2）计算机病毒的寄

15、生方式 替代法：病毒程序用自己的部分或全部指令代码，替代磁盘引导扇区或文件中的全部或部分内容 链接法：病毒程序将自身代码作为正常程序的一部分与原有正常程序链接在一起 （3）计算机病毒的引导过程 驻留内存 窃取系统控制 恢复系统功能,（1）计算机病毒的传染方式 被动传染：被动传染是指用户在进行拷贝磁盘或文件时，把一个病毒由一个载体复制到另一个载体上；或者是通过网络上的信息传递，把一个病毒程序从一方传递到另一方的传染方式 主动传染 ：主动传染是指计算机病毒以计算机系统的运行以及病毒程序处于激活状态为先决条件，在病毒处于激活的状态下，只要传染条件满足，病毒程序能主动地把病毒自身传染给另一个载体或另一

16、个系统的传染方式,2、计算机病毒的传染机制,（2）计算机病毒的传染过程 （1）立即传染：病毒在被执行到的瞬间，抢在宿主程序开始执行前，立即感染磁盘上的其他程序，然后再执行宿主程序 （2）驻留内存并伺机传染：内存中的病毒检查当前系统环境，在执行一个程序或操作时传染磁盘上的程序，驻留在系统内存中的病毒程序在宿主程序运行结束后，仍可活动，直至关闭计算机,（3）系统型病毒传染机理 对软盘的感染：系统型病毒利用在开机引导时窃获的 INT 13H控制权，在整个计算机运行过程中随时监视软盘操作情况，趁读写软盘的时机读出软盘引导区，判断软盘是否染毒，如未感染就按病毒的寄生方式把原引导区写到软盘另一位置，把病毒

17、写入软盘第一个扇区，从而完成对软盘的感染 对硬盘的传染：往往是在计算机上第一次使用带毒软盘进行的，具体步骤与软盘传染相似，也是读出引导区判断后写入病毒,（4）文件型病毒传染机理 首先对运行的可执行文件特定地址的标识位信息进行判断是否感染了病毒；当条件满足，利用 INT 13H将病毒连接到可执行文件的首部或尾部或中间，并存入磁盘中；完成传染后，继续监视系统的运行，试图寻找新的攻击目标。,原理：破坏机制在设计原则、工作原理上与传染机制基本相同。它也是通过修改某一中断向量人口地址，使该中断向量指向病毒程序的破坏模块 ，从而对系统进行破坏。 计算机病毒的破坏行为体现了病毒的杀伤力。病毒破坏行为的激烈程

18、度取决于病毒制作者的主观愿望和他所具有的技术能量 。 病毒破坏目标和攻击部位主要是：系统数据区、文件、内存、系统运行、运行速度、磁盘、屏幕显示、键盘、喇叭、打印机、CMOS、主板等。,3、计算机病毒的破坏机制,4、计算机病毒的触发机制,常见的计算机病毒的触发条件 ： （1）日期触发：许多病毒采用日期做触发条件。日期触发大体包括：特定日期触发、月份触发、前半年后半年触发等。 （2）时间触发：时间触发包括特定的时间触发、感染后累计工作时间触发、文件最后写入时间触发等。 （3）键盘触发：有些病毒监视用户的击键动作，当发现病毒预定的键键入时，病毒被激活，进行某些特定操作。键盘触发包括击键次数触发、组合

19、键触发、热启动触发等。,（4）感染触发：许多病毒的感染需要某些条件触发，而且相当数量的病毒又以与感染有关的信息反过来作为破坏行为的触发条件，称为感染触发。它包括：运行感染文件个数触发、感染序数触发、感染磁盘触发、感染失败触发等。 （5）启动触发：病毒对机器的启动次数计数，并将此值作为触发条件。 访问磁盘次数触发；病毒对磁盘I/O访问的次数进行计数，以预定次数做触发条件。,第四节、 计算机病毒的预防,一、计算机病毒的传播途径 1软盘 在计算机应用的早期对病毒的传播发挥了巨大的作用 2硬盘 由于带病毒的硬盘在本地或移到其他地方使用、维修等，将干净的软盘传染并再扩散 3光盘 盗版光盘的泛滥给病毒的传

20、播带来了极大的便利。甚至有些光盘上杀病毒软件本身就带有病毒，这就给本来“清洁”的计算机添了灾难 4计算机网络 文件下载、电子邮件传播,二、计算机病毒的症状,键盘、打印、显示有异常现象 运行速度突然减慢 计算机系统出现异常死机或频繁死机 文件的长度、内容、属性、日期无故改变 丢失文件、丢失数据 系统引导过程变慢 计算机存储系统的存储容量减少或有不明常驻程序 系统不认识磁盘或是硬盘不能开机 整个目录变成一堆乱码 硬盘的指示灯无缘无故亮了 计算机系统蜂鸣出现异常声响 没做写操作时出现“磁盘写保护”信息 异常要求用户输入口令 程序运行出现异常现象或不合理的结果等,三、 计算机病毒的预防,计算机病毒预防

21、：指在病毒尚未入侵或刚刚入侵时，就拦截、阻止病毒的入侵或立即报警。对计算机病毒的预防最重要的是思想上要重视，要清楚一旦计算机感染了病毒轻则影响工作，重则可能将磁盘中存储的数据和程序全破坏掉或使计算机或网络系统瘫痪，造成无法估计的损失。,1对新购置的计算机系统除了格式化硬盘之外还要用杀毒软件检查已知病毒 。 2新购置的计算机软件也要进行病毒检测。 3在保证硬盘无病毒的情况下，能用硬盘引导启动的 不用软盘启动。 4定期与不定期地进行磁盘文件备份工作。 5常备一张真正“干净” 的引导盘并将其写保护。 6. 数据和程序分别存放 。在别人的机器上使用了自己的没有写保护的软盘，再在自己的机器上使用，就应进

22、行病毒检测。在自己的机器上用别人的软盘时也应进行检查,对重点保护的机器应做到专机、专人,专盘、专用 。,预防计算机病毒管理上的措施和方法如下：,7用BOOTSAFE等实用程序或用DEBUG编程提取分区表等方法做好分区表、DOS引导扇区等的备份工作，在进行系统维护和修复工作时可作为参考。 8对于多人共用一台计算机的环境，例如实验室这种情况，应建立登记上机制度，做到使问题能尽早发现，有病毒能及时追查、清除，不致扩散。 9工作用计算机或家用计算机要设置使用权限及专人使用的保护机制，禁止来历不明的人和软件进入系统。 10选择使用公认质量最好、升级服务最及时、对新病毒响应和跟踪最迅速有效的反病毒产品，定期维护和检测您的计算机系统及软盘等。 11建立严密的病毒监视体系,第五节 计算机病毒的清除,如果发现系统感染了病毒，要及时地检