计算机病毒与反病毒技术课件.ppt

1、第八章计算机病毒与反病毒技术、熊猫烧香武汉男孩，发展历程：2006年10月16日，熊猫烧香病毒在互联网上传播。从2006年底到2007年初，金山网络安全反病毒中心检测到“熊猫烧香”品种数量已达90多个。这种病毒不仅通过网站感染用户，还在局域网中传播，仅在三个月内就导致数百万台电脑中毒。中毒症状：1感染系统文件，全部。被感染的用户系统中的exe可执行文件被更改为熊猫手持三根香2通过局域网传播，然后感染局域网中的所有计算机系统，最后导致企业局域网瘫痪3暂停大量的反病毒软件进程4删除扩展名为gho的文件，使用户的系统备份文件丢失。问题，什么样的程序是病毒？病毒的危害是什么？病毒是如何传播的？病毒程序

2、的一般结构？学习目标1计算机病毒的发展历史和危害1计算机病毒的基本特征和传播方式1常用的反病毒技术1常用的病毒预防方法和病毒来源。1949年，冯诺依曼提出了计算机病毒的概念“一种能够自我复制的自动机”。匈牙利裔美国数学家冯诺依曼现在使用的计算机的基本工作原理是用二进制系统存储程序和控制数据和指令。冯诺依曼对人类最大的贡献是在计算机科学、计算机技术和数值方面。在20世纪70年代，美国作家瑞安构思了一种可以自我复制并通过通信传播的计算机程序，称为计算机病毒。1983年11月3日，弗雷德科恩博士开发了一种破坏性的程序，这种程序可以在手术过程中自我复制，Len Adleman将其命名为计算机病毒。19

3、86年初，巴基斯坦的巴斯基特和阿姆贾德兄弟撰写了巴基斯坦病毒(脑病毒)，一年之内就传遍了全世界。1988年3月2日，一种病毒在苹果电脑中爆发。在那一天，被感染的苹果电脑停止工作，只显示“向所有苹果电脑用户宣布和平”的信息。庆祝麦克的生日。1988年冬天，在康奈尔大学学习的莫里斯向美国最大的计算机网络发送了一种叫做“蠕虫”的计算机病毒。在1991年的海湾战争中，美国军队首次在实战中使用计算机病毒。1992年，针对杀毒软件的“幽灵”病毒出现了，如减半。1996年，针对微软办公室的“宏病毒”首次出现。1997年被公认为计算机反病毒领域的“宏病毒”年。CIH病毒，也称为切尔诺贝利，是一种可怕的计算机病

4、毒。它是由台湾大学生陈盈豪编辑的。1998年5月，当陈盈豪还在大同工学院学习的时候，他用英文缩写“CIH”完成了计算机病毒的研究，最初的意思是“记住1986年的灾难”或“让杀毒软件公司难堪”。1999年4月26日，CIH病毒在世界范围内大规模爆发，导致近6000万台计算机瘫痪。(该病毒诞生于1998年)，2001年7月中旬，一种名为“红队”的病毒在美国广泛传播，这种病毒专门攻击白宫网站的服务器，引起了全世界的恐慌。2003年，“2003年蠕虫王”病毒在亚洲、美国和澳大利亚迅速传播，造成全球网络灾难。2004年是虫灾之年，大流行病毒：蠕虫。奈斯基，沃姆。一个机器人，虫子。洛夫盖特，沃姆。上海合作

5、组织炸弹，蠕虫。布拉斯特，沃姆。小邮递员(虫子。申请信(蠕虫。克莱兹)是沃姆。索比格和杰弗里李帕森，一个18岁的高中生，因涉嫌制造“冲击波”计算机病毒于2003年8月29日被捕。他的邻居说他们无法相信。在他们眼里，杰弗里李帕森是个电脑天才，他绝不是黑客，更不用说是罪犯了。2005年对特洛伊人来说是受欢迎的一年。新木马包括8月9日，木马。udisk小偷病毒。特洛伊木马病毒会确定计算机上移动设备的类型，并自动将u盘中的所有数据复制到计算机C盘的“测试”文件夹中，这可能会导致一些公共计算机用户丢失他们的数据。11月25日，“证券窃贼”()。木马病毒可以窃取包括南方证券、国泰君安在内的许多证券交易系统

6、的交易账户和密码，窃取的股东账户可能被恶意操纵。7月29日，“外部陷阱”(troj。天堂. hp)。这种病毒可以窃取多个网络游戏的用户信息。如果用户登录网站后下载并安装该插件，他会发现该插件实际上是一个伪装的病毒，此时病毒会自动安装到用户的计算机中。9月28日，我的照片(特洛伊。我的照片)病毒。该病毒试图盗取数十款网络游戏和网上银行的账号和密码，如热血江湖、传奇、天堂、中国工商银行、中国农业银行。当病毒爆发时，会显示一张照片，让用户放松警惕。中华人民共和国计算机信息系统安全保护条例对计算机病毒的定义作了明确规定：“计算机病毒是指编译或插入计算机程序的一套计算机指令或程序代码，破坏计算机功能或数

7、据，影响计算机的使用，并能自我复制。”病毒的生命周期，(1)隐藏阶段，(2)传播阶段，(3)触发阶段，(4)执行阶段，病毒不运行，等待事件触发。触发事件包括时间、其他程序或文件的出现等等。但是有些病毒没有隐藏的阶段。病毒会将自己复制到未受感染的程序或磁盘的某个扇区。被感染的程序可以继续传播病毒的副本。病毒将被激活进入执行阶段。在这个阶段，病毒是由一些系统事件触发的。例如，当病毒本身的拷贝数达到一定数量时，病毒被激活以执行由病毒设计者预先设计的功能。这些功能可能是无害的，例如向屏幕发送消息；它也可能是有害的，例如删除程序或文件，强制关机等。病毒的一般结构，程序v:=转到主；1234567；子例程

8、import-executable :=循环：file :=get-radom-executable-file；如果(文件的第一行=1234567 ),则转到循环；否则在文件前面加上V；子程序do-damage:=不管要做什么样的破坏，子程序trigger-pulled:=如果某个条件保持不变，则返回true main : main-program :=import-executive；如果扣动扳机，就会造成伤害；转到下一个；病毒的特征，(1)传染性的最重要标准。(2)破坏性的良性和恶性；(3)潜伏潜伏期不易发现，触发机制复杂。(4)可执行性(5)可触发的时间、日期、文件类型和特定数据(6)隐

9、藏的病毒短小精悍，感染病毒的程序不应加以区分。病毒的类型，1。文件感染类型2。引导扇区类型3。混合型4。宏病毒5。网络病毒主要感染了COM、EXE等可执行文件，寄生在主机程序中，必须借助主机程序加载到内存中。病毒将代码复制到主机程序的开头或结尾，导致受感染文件变长。或者直接重写被感染文件的程序代码，导致宿主程序本身的功能受到影响。大多数文件病毒都驻留在内存中。被称为引导病毒，主要影响软盘上的引导扇区和硬盘上的主引导扇区。主引导扇区是硬盘的第一个扇区。主引导程序占据扇区的前446kb，并负责从活动分区加载操作系统引导程序。硬盘启动开机自检后，将硬盘的主引导扇区读入内存，然后执行该代码。几乎所有的

10、引导病毒都驻留在内存中。它结合了引导病毒和文件病毒的特点，不仅感染引导区，还感染文件。启动或执行程序时感染其他磁盘或文件。宏病毒寄生在文档或模板的宏中。当打开文档时，宏病毒将被激活，进入计算机内存，并驻留在普通模板上。被感染机器打开的word文档感染了宏病毒。特洛伊木马，蠕虫，网页病毒。网页病毒-网页的恶意代码。在网页中用Java小程序、JavaScript和ActiveX设计的程序。您可以使用IE漏洞修改用户注册表，修改IE默认设置，获取用户的个人数据，删除文件，格式化硬盘等。(1)移动存储设备包括软盘、u盘、移动硬盘、光盘和磁带。(2)电子邮件、文件下载、网页浏览和聊天软件在互联网上传播。

11、(3)无线传输，病毒的危害，(1)病毒攻击对计算机数据和信息造成的直接破坏，(2)占用磁盘空间和对信息的破坏，(3)抢占系统资源，(4)对计算机运行速度的影响，(5)计算机病毒错误和不可预见的危害，(6)计算机病毒对用户造成的严重心理压力，格式化硬盘会覆盖文件分配表和目录区，删除重要文件，覆盖文件，破坏CMOS，非法占用磁盘空间， 占用磁盘引导扇区，将原始引导扇区转移到其他扇区，增加文件长度，大多数病毒的内存驻留在活动状态，占用内存。 一些病毒会修改中断地址，抓住中断并干扰系统的正常运行。网络病毒占用了大量的网络资源、计算机连接和带宽，使得网络通信速度变慢。为了判断感染攻击情况，病毒应该监控计

12、算机的工作状态。为了保护自己，有些病毒不仅对磁盘上的静态病毒进行加密，还在进入内存后对动态病毒进行加密。加密和解密的工作量。当病毒被感染时，还应该插入非法的额外操作。大多数病毒都有不同程度的错误。计算机病毒错误的后果通常是不可预测的，并且可能比病毒本身更有害。病毒命名、病毒前缀、病毒名称和病毒后缀。病毒前缀：病毒的类型。不同种类的病毒有不同的前缀。例如，常见特洛伊木马的前缀是特洛伊木马，蠕虫的前缀是蠕虫。病毒名称：病毒的家族特征，用于区分和识别病毒家族。例如，著名的CIH病毒的家族名称是统一CIH，振荡蠕虫的家族名称是萨瑟。病毒后缀：病毒的变体特征，用于区分特定家族病毒的变体。一般来说，它用2

13、6个英文字母表示。例如，蠕虫。Sasser.b指的是振荡蠕虫的变种B。如果有许多病毒变体，变体标识可以用数字和字母的混合表示。1.系统病毒：win95.cih，win32.cih2. worm病毒：赛博天空蠕虫。内斯基，伯杰沃姆。黑客病毒：特洛伊木马，黑客4。脚本病毒：红队脚本。雷德洛夫，快乐时光VBS。Happytime，14 js . weeks . c . 5 .宏病毒：美容杀手宏. mellissa6 .后门病毒：Ripple后门。Rvot，CIH病毒，作者：陈盈豪文件病毒，感染Windows9x可执行文件传输路径：互联网和电子邮件版本：1.0、1.1、1.2。触发条件：4月26日、6

14、月26日和6月26日对计算机硬盘和BIOS破坏性极大。宏病毒和宏是一系列命令和指令的组合，可以作为单个命令执行，自动完成某项任务，加快常规编辑和格式设置的速度，并自动执行一系列复杂的任务。使用宏记录器可以记录一系列操作。宏病毒存在于文档或模板的宏中。一旦打开这样的文档，其中的宏将被执行，然后宏病毒将被激活，转移到计算机并驻留在普通模板上。此后，所有自动保存的文档都将被这种宏病毒“感染”，如果其他用户打开被感染的文档，宏病毒将被转移到他的计算机上。蠕虫是一种通过网络传播的恶性病毒，它通过分布式网络传播特定的信息或错误，进而导致拒绝网络服务和死锁。蠕虫与传统病毒有许多不同之处，如不利用文件寄生，造

15、成对网络的拒绝服务，并与黑客技术相结合。计算机蠕虫是计算机蠕虫、计算机病毒和木马技术相结合的一种新技术，它可以通过大规模扫描、复制和传播获得网络漏洞计算机的控制权，并在被感染的计算机中设置后门或执行恶意代码来破坏计算机系统或信息。一种是以邮件附件的形式传播，当这种邮件被无意中打开时，蠕虫被激活并感染计算机系统，另一种是在没有其他媒介的情况下传播，被感染的对象是存在安全漏洞的计算机。入侵某个系统后，它会以受害系统为跳板，扫描和检测更多具有相同漏洞的计算机，并自动攻击它们，然后扩散和扩展。(1)蠕虫的基本程序结构包括以下三个模块：传播模块，负责蠕虫的传播，传播模块可分为三个基本模块：扫描模块、攻击

16、模块和复制模块。隐藏模块：入侵主机后，隐藏蠕虫程序以防止用户发现它。目的功能模块：控制、监视或破坏计算机。(2)蠕虫程序的一般传播过程是扫描：蠕虫扫描模块负责检测存在漏洞的主机。当程序向主机发送检测漏洞的信息并接收到成功的反馈信息时，它得到一个可传播的对象。攻击：攻击模块根据漏洞攻击步骤自动攻击上一步发现的对象，并获得主机的权限(一般是管理员权限)。复制：复制模块将蠕虫程序复制到新主机，并通过原始主机和新主机之间的交互启动它。8.2.4病毒发展趋势，(1)传播网络，(2)利用操作系统和应用程序中的漏洞，(3)混合威胁，(4)新的病毒生产技术，(5)明显的病毒家族特征，8.3反病毒技术，8.3.1反病毒技术发展阶段一个合理的反病毒方法应该包括以下措施：检测：它能够确定并能够正确定位病毒。识别：检测到病毒后，可以识别病毒类型。清除：识别病毒后，检查被感染的程序，清除