計算機病毒及其防治

1、1計算機病毒及其防治計算機病毒及其防治2了解計算機病毒的概念了解計算機病毒的概念 掌握計算機病毒的特點掌握計算機病毒的特點掌握計算機病毒的防治掌握計算機病毒的防治學習目標學習目標討論：什么是計算機病毒，它與生物病毒一討論：什么是計算機病毒，它與生物病毒一樣么（比如甲型樣么（比如甲型HINI）？）？計算機病毒的概念計算機病毒的概念 計算機病毒計算機病毒 生物病毒生物病毒問題問題1一、計算機病毒名稱的由來一、計算機病毒名稱的由來 計算機病毒發(fā)作的情況類似于生物上所講的病毒，所以人們引用生物中病毒的概念，把它稱為計算機病毒。計算機病毒不能夠獨立存在，它就像生物病毒一樣必須寄生在宿主細胞上，而計算機病

2、毒寄生的宿主就是程序、文件、電子郵件等等。計算機病毒的概念計算機病毒的概念二、計算機病毒的概念二、計算機病毒的概念 計算機病毒計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數據、影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。計算機病毒的概念計算機病毒的概念三、計算機病毒的產生三、計算機病毒的產生計算機病毒存在的理論依據來自于馮諾依計算機病毒存在的理論依據來自于馮諾依曼結構及信息共享曼結構及信息共享計算機病毒產生的來源多種多樣計算機病毒產生的來源多種多樣歸根結底，計算機病毒來源于計算機系統(tǒng)歸根結底，計算機病毒來源于計算機系統(tǒng)本身所具有的動態(tài)修改和自我復制的能力本身所

3、具有的動態(tài)修改和自我復制的能力 計算機病毒的概念計算機病毒的概念6常見病毒常見病毒 計算機病毒的概念計算機病毒的概念案例案例“沖擊波沖擊波”（又稱（又稱“LovsanLovsan” ”或或“MSBlastMSBlast” ”）首先發(fā)起攻擊。）首先發(fā)起攻擊。病毒最早于病毒最早于20032003年年8 8月月1111日日被檢測出來被檢測出來并迅速并迅速傳播傳播，兩天，兩天之內就達到了攻擊頂峰。病毒通過網絡連接和網絡流量之內就達到了攻擊頂峰。病毒通過網絡連接和網絡流量傳播，利用了傳播，利用了Windows2000/XPWindows2000/XP的一個弱點進行攻擊，被的一個弱點進行攻擊，被激活激活以

4、后，它會向計算機用戶展示一個惡意對話框，提以后，它會向計算機用戶展示一個惡意對話框，提示系統(tǒng)將關閉。示系統(tǒng)將關閉。損失損失：2020億億100100億美元億美元, ,受到感染的計受到感染的計算機不計其數。算機不計其數。分析以上文字回答“沖擊波”具有計算機病毒的哪些特性？計算機病毒的特點計算機病毒的特點計算機病毒的特點計算機病毒的特點破壞性破壞性傳染性傳染性隱蔽性隱蔽性潛伏性潛伏性討論：討論：計算機病毒通過什么途徑進行傳播計算機病毒通過什么途徑進行傳播計算機病毒的傳播途徑計算機病毒的傳播途徑可移動存儲設備局域網因特網共享服務，網內數據傳換光盤、U盤、移動硬盤等網頁瀏覽、電子郵件、QQ、MSN問題

5、問題2全球十大計算機病毒全球十大計算機病毒1 CIH病毒 爆發(fā)年限:1998年6月損失估計：全球約5億美元2 梅利莎(Melissa) 爆發(fā)年限:1999年3月損失估計：全球約3億6億美元3 愛蟲(Iloveyou)” 爆發(fā)年限:2000年損失估計：全球超過100億美元計算機病毒的危害計算機病毒的危害全球十大計算機病毒全球十大計算機病毒4紅色代碼(CodeRed) 爆發(fā)年限:2001年7月損失估計：全球約26億美元5 沖擊波(Blaster) 爆發(fā)年限:2003年夏季損失估計：數百億美元6 巨無霸(Sobig) 爆發(fā)年限:2003年8月損失估計：50億100億美元計算機病毒的危害計算機病毒的危

6、害全球十大計算機病毒全球十大計算機病毒7 .MyDoom 爆發(fā)年限:2004年1月損失估計：百億美元8. 震蕩波(Sasser)” 爆發(fā)年限:2004年4月損失估計：5億10億美元9.熊貓燒香(Nimaya) 爆發(fā)年限:2006年損失估計：上億美元10 .網游大盜 爆發(fā)年限:2007年損失估計：千萬美元計算機病毒的危害計算機病毒的危害146.1 計算機病毒的概念計算機病毒的概念6.1.1 計算機病毒的產生 6.1.2 計算機病毒的特征6.1.3 計算機病毒的分類 15編制或者在計算機程編制或者在計算機程序中插入的破壞計算機功能或者破序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠壞

7、數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程自我復制的一組計算機指令或者程序代碼。序代碼。 中華人民共和國計算機信息系統(tǒng)安全保護條例中華人民共和國計算機信息系統(tǒng)安全保護條例 166.1.1 計算機病毒的產生計算機病毒存在的理論依據來自于馮諾依計算機病毒存在的理論依據來自于馮諾依曼結構及信息共享曼結構及信息共享計算機病毒產生的來源多種多樣計算機病毒產生的來源多種多樣歸根結底，計算機病毒來源于計算機系統(tǒng)歸根結底，計算機病毒來源于計算機系統(tǒng)本身所具有的動態(tài)修改和自我復制的能力本身所具有的動態(tài)修改和自我復制的能力 176.1.2 計算機病毒的特征破壞性大破壞性大 感染性強感染性強傳播性強

8、傳播性強 隱藏性好隱藏性好可激活性可激活性 有針對性有針對性非授權性非授權性 難于控制難于控制不可預見性不可預見性186.1.3 計算機病毒的分類按攻擊的對象分類按攻擊的對象分類按攻擊的操作系統(tǒng)分類按攻擊的操作系統(tǒng)分類按表現性質分類按表現性質分類196.1.3 計算機病毒的分類按寄生的方式分類按寄生的方式分類 可以分為覆蓋式寄生病毒、代替式寄生病毒、鏈可以分為覆蓋式寄生病毒、代替式寄生病毒、鏈接式寄生病毒、填充式寄生病毒和轉儲式寄生病接式寄生病毒、填充式寄生病毒和轉儲式寄生病毒毒5 5按感染的方式分類按感染的方式分類 可以分為引導扇區(qū)病毒、文件感染病毒、綜合型可以分為引導扇區(qū)病毒、文件感染病毒

9、、綜合型感染病毒感染病毒3 3種種按侵入途徑分類按侵入途徑分類 可以分為源碼病毒、操作系統(tǒng)病毒、入侵病毒和可以分為源碼病毒、操作系統(tǒng)病毒、入侵病毒和外殼病毒外殼病毒4 4種種206.2 計算機病毒的分析計算機病毒的分析6.2.1 計算機病毒的傳播途徑6.2.2 計算機病毒的破壞行為6.2.3 常見計算機病毒的發(fā)作癥狀 216.2.1 計算機病毒的傳播途徑常見的計算機病毒的傳播途徑有以下常見的計算機病毒的傳播途徑有以下4 4種：種： 通過不可移動的計算機硬件設備進行通過不可移動的計算機硬件設備進行傳播傳播通過移動存儲設備來傳播通過移動存儲設備來傳播通過計算機網絡進行傳播通過計算機網絡進行傳播通過

10、點對點通信系統(tǒng)和無線通道傳播通過點對點通信系統(tǒng)和無線通道傳播226.2.2 計算機病毒的破壞行為攻擊系統(tǒng)數據區(qū)攻擊系統(tǒng)數據區(qū)攻擊文件攻擊文件 攻擊內存攻擊內存干擾系統(tǒng)運行干擾系統(tǒng)運行速度下降速度下降攻擊磁盤攻擊磁盤擾亂屏幕顯示擾亂屏幕顯示鍵盤鍵盤喇叭喇叭攻擊攻擊CMOSCMOS干擾打印機干擾打印機236.2.3 常見計算機病毒的發(fā)作癥狀電腦運行比平常遲鈍電腦運行比平常遲鈍程序載入時間比平常久程序載入時間比平常久對一個簡單的工作，磁盤似乎花了比預期長的時間對一個簡單的工作，磁盤似乎花了比預期長的時間不尋常的錯誤信息出現不尋常的錯誤信息出現硬盤的指示燈無緣無故的亮了硬盤的指示燈無緣無故的亮了系統(tǒng)內

11、存容量忽然大量減少系統(tǒng)內存容量忽然大量減少磁盤可利用的空間突然減少磁盤可利用的空間突然減少可執(zhí)行程序的大小改變了可執(zhí)行程序的大小改變了壞軌增加壞軌增加程序同時存取多部磁盤程序同時存取多部磁盤內存內增加來路不明的常駐程序內存內增加來路不明的常駐程序文件奇怪的消失文件奇怪的消失文件的內容被加上一些奇怪的資料文件的內容被加上一些奇怪的資料文件名稱、擴展名、日期、屬性被更改過文件名稱、擴展名、日期、屬性被更改過246.3 計算機病毒的防范計算機病毒的防范6.3.1 提高計算機病毒的防范意識6.3.2 加強計算機病毒的防范管理6.3.3 規(guī)范計算機的使用方法 6.3.4 清除計算機病毒的原則 256.3

12、.1 提高計算機病毒的防范意識6.3.2 加強計算機病毒的防范管理尊重知識產權尊重知識產權采取必要的病毒檢測、監(jiān)控措施，制定完善的采取必要的病毒檢測、監(jiān)控措施，制定完善的管理規(guī)則管理規(guī)則建立計算機系統(tǒng)使用登記制度建立計算機系統(tǒng)使用登記制度, , 及時追查、清及時追查、清除病毒除病毒加強教育和宣傳工作加強教育和宣傳工作建立有效的計算機病毒防護體系建立有效的計算機病毒防護體系建立、完善各種法律制度，保障計算機系統(tǒng)的建立、完善各種法律制度，保障計算機系統(tǒng)的安全性安全性266.3.3 規(guī)范計算機的使用方法新購置的計算機的安全使用方法新購置的計算機的安全使用方法計算機啟動的安全使用方法計算機啟動的安全使

13、用方法防止或減少數據丟失的方法防止或減少數據丟失的方法網絡管理員需要注意的問題網絡管理員需要注意的問題276.3.4 清除計算機病毒的原則在清除計算機病毒前后，一般應遵循的在清除計算機病毒前后，一般應遵循的3 3條原則條原則在發(fā)現計算機病毒后，一般應遵循的在發(fā)現計算機病毒后，一般應遵循的5 5條殺毒原則條殺毒原則在清除病毒的過程中，一般應遵循的在清除病毒的過程中，一般應遵循的7 7條原則條原則286.4 網絡病毒的防治網絡病毒的防治6.4.1 計算機病毒的發(fā)展趨勢6.4.2 網絡病毒的特征 6.4.3 基于網絡安全體系的防毒管理措施 6.4.4 基于工作站與服務器的防毒技術6.4.5 網絡病毒

14、清除方法 296.4.1 計算機病毒的發(fā)展趨勢網絡成為計算機病毒傳播的主要載體網絡成為計算機病毒傳播的主要載體網絡蠕蟲成為最主要和破壞力最大的病毒網絡蠕蟲成為最主要和破壞力最大的病毒類型類型惡意網頁成為破壞的新類型惡意網頁成為破壞的新類型出現帶有明顯病毒特征的木馬或木馬特征出現帶有明顯病毒特征的木馬或木馬特征的病毒的病毒306.4.1 計算機病毒的發(fā)展趨勢技術的遺傳與結合技術的遺傳與結合傳播方式多樣化傳播方式多樣化跨操作系統(tǒng)的病毒跨操作系統(tǒng)的病毒出現手機病毒、信息家電病毒出現手機病毒、信息家電病毒316.4.2 網絡病毒的特征傳染方式多傳染方式多傳染速度快傳染速度快清除難度大清除難度大破壞性更

15、強破壞性更強326.4.3 基于網絡安全體系的防毒管理措施 有以下幾點加以注意：有以下幾點加以注意： 盡量多用無盤工作站盡量多用無盤工作站盡量少用有盤工作站盡量少用有盤工作站盡量少用超級用戶登錄盡量少用超級用戶登錄嚴格控制用戶的網絡使用權限嚴格控制用戶的網絡使用權限對某些頻繁使用或非常重要的文件屬性加以對某些頻繁使用或非常重要的文件屬性加以控制，以免被病毒傳染控制，以免被病毒傳染對遠程工作站的登錄權限嚴格限制對遠程工作站的登錄權限嚴格限制336.4.4 基于工作站與服務器的防毒技術基于工作站的基于工作站的DOSDOS防毒技術防毒技術工作站防毒主要有以下幾種方法：工作站防毒主要有以下幾種方法：

16、使用防毒殺毒軟件使用防毒殺毒軟件 安裝防毒卡安裝防毒卡 安裝防毒芯片安裝防毒芯片346.4.4 基于工作站與服務器的防毒技術基于服務器的基于服務器的NLMNLM防毒技術防毒技術 基于服務器的基于服務器的NLMNLM防毒技術一般具備防毒技術一般具備以下功能：以下功能：實時在線掃描實時在線掃描服務器掃描服務器掃描工作站掃描工作站掃描356.4.5 網絡病毒清除方法立即使用立即使用BROADCASTBROADCAST命令，通知所有用戶退網，命令，通知所有用戶退網，關閉文件服務器。關閉文件服務器。用帶有寫保護的、用帶有寫保護的、“干凈干凈”的系統(tǒng)盤啟動系統(tǒng)的系統(tǒng)盤啟動系統(tǒng)管理員工作站，并立即清除本機病

17、毒。管理員工作站，并立即清除本機病毒。用帶有寫保護的、用帶有寫保護的、“干凈干凈”的系統(tǒng)盤啟動文件的系統(tǒng)盤啟動文件服務器，系統(tǒng)管理員登錄后，使用服務器，系統(tǒng)管理員登錄后，使用DISABLE DISABLE LOGINLOGIN命令禁止其他用戶登錄。命令禁止其他用戶登錄。將文件服務器的硬盤中的重要資料備份到將文件服務器的硬盤中的重要資料備份到“干干凈的凈的”軟盤上。軟盤上。用殺毒軟件掃描服務器上所有卷的文件，恢復用殺毒軟件掃描服務器上所有卷的文件，恢復或刪除發(fā)現被病毒感染的文件，重新安裝被刪或刪除發(fā)現被病毒感染的文件，重新安裝被刪文件。文件。用殺毒軟件掃描并清除所有可能染上病毒的軟用殺毒軟件掃描

18、并清除所有可能染上病毒的軟盤或備份文件中的病毒。盤或備份文件中的病毒。用殺毒軟件掃描并清除所有的有盤工作站硬盤用殺毒軟件掃描并清除所有的有盤工作站硬盤上的病毒。上的病毒。在確信病毒已經徹底清除后，重新啟動網絡和在確信病毒已經徹底清除后，重新啟動網絡和工作站。工作站。366.5 常用的防殺毒軟件常用的防殺毒軟件6.5.1 國際著名防殺毒軟件 6.5.2 國內防殺毒軟件 6.5.3 國內外防殺毒軟件的比較 6.5.4 企業(yè)級的防病毒工作 6.5.5 權威病毒認證機構及其法規(guī)、標準 37表表6.1 常用防殺毒軟件對照表常用防殺毒軟件對照表防殺毒軟件防殺毒軟件 網網 址址 卡巴斯基Kaspersky

19、McAfee產品系列 諾頓Norton 江民 金山毒霸 瑞星 趨勢 386.5.1 國際著名防殺毒軟件卡巴斯基卡巴斯基KasperskyKaspersky McAfeeMcAfee公司產品公司產品諾頓諾頓NortonNorton 6.5.2 國內防殺毒軟件江民江民 金山毒霸金山毒霸 瑞星瑞星 趨勢趨勢396.5.3 國內外防殺毒軟件的比較國內外防殺毒軟件總體上的差別有以下兩點：國內外防殺毒軟件總體上的差別有以下兩點： 國外的防殺毒軟件廠商主要集中在高端的信息國外的防殺毒軟件廠商主要集中在高端的信息安全領域，而較底端的單機版才是國內廠商聚安全領域，而較底端的單機版才是國內廠商聚集的場所集的場所

20、國外的防殺毒軟件具有強大的病毒前攝防御功國外的防殺毒軟件具有強大的病毒前攝防御功能，而國內的防殺毒軟件能夠查殺到的病毒數能，而國內的防殺毒軟件能夠查殺到的病毒數量相對來講更多，查殺的速度相對也更快量相對來講更多，查殺的速度相對也更快 406.5.4 企業(yè)級的防病毒工作建立企業(yè)多層次的病毒防護體系建立企業(yè)多層次的病毒防護體系 這里的多層次病毒防護體系是指在企業(yè)的這里的多層次病毒防護體系是指在企業(yè)的每個臺式機上安裝臺式機的反病毒軟件，每個臺式機上安裝臺式機的反病毒軟件，在服務器上安裝基于服務器的反病毒軟件，在服務器上安裝基于服務器的反病毒軟件，在在InternetInternet網關上安裝基于網關

21、上安裝基于InternetInternet網關網關的反病毒軟件。的反病毒軟件。 企業(yè)在防病毒體系建設方面主要存在三方面的問題企業(yè)在防病毒體系建設方面主要存在三方面的問題防病毒系統(tǒng)建設簡單化 對如何發(fā)揮個體主機自身防御能力考慮過少 對用戶防病毒教育重視不夠 416.5.4 企業(yè)級的防病毒工作建立企業(yè)多層次的病毒防護體系建立企業(yè)多層次的病毒防護體系 有效的防病毒方法應從以下五方面著手有效的防病毒方法應從以下五方面著手依據最小服務化原則，進行標準化配置，減依據最小服務化原則，進行標準化配置，減小攻擊面小攻擊面 建立補丁自動分發(fā)機制，及時進行漏洞修補，建立補丁自動分發(fā)機制，及時進行漏洞修補，保證應用安

22、全更新保證應用安全更新 啟用基于主機的防火墻，完善信息隔離機制啟用基于主機的防火墻，完善信息隔離機制 選擇合適的防病毒系統(tǒng)，全面部署防病毒軟選擇合適的防病毒系統(tǒng)，全面部署防病毒軟件件 強化安全教育，增強用戶自我防護意識強化安全教育，增強用戶自我防護意識 426.5.4 企業(yè)級的防病毒工作防病毒體系建設的注意問題防病毒體系建設的注意問題絕不能出現安裝防病毒系統(tǒng)造成業(yè)務中斷的情況絕不能出現安裝防病毒系統(tǒng)造成業(yè)務中斷的情況 要確保有人監(jiān)控防病毒系統(tǒng)的運轉情況要確保有人監(jiān)控防病毒系統(tǒng)的運轉情況 企業(yè)級防病毒軟件產品的選擇企業(yè)級防病毒軟件產品的選擇防病毒引擎的工作效率防病毒引擎的工作效率系統(tǒng)的易管理性系統(tǒng)的易管理性 對病毒的防護能力對病毒的防護能力(特別是病毒碼的更新能