網(wǎng)絡安全主題教育

1、目 錄 2.2 病毒危害、中毒癥狀及后果22.3 計算機病毒的構成與傳播32.4 計算機病毒檢測清除與防范4 2.1計算機及手機病毒基礎1 2.1計算機及手機病毒基礎2.1.1病毒的概念、發(fā)展及命名 1. 計算機及手機病毒的概念 計算機病毒（Computer Virus）在中華人民共和國計算機信息系統(tǒng)安全保護條例中被明確定義為：是指編制者在計算機程序中插入的破壞系統(tǒng)功能或破壞數(shù)據(jù)，影響系統(tǒng)使用并能夠自我復制的一組指令或程序代碼。 手機病毒是一種具有傳染性、破壞性等特征的手機程序，其實質上同計算機病毒基本一樣，以后統(tǒng)稱為網(wǎng)絡病毒。 海灣戰(zhàn)爭中首用網(wǎng)絡病毒攻擊的信息戰(zhàn)。1991年海灣戰(zhàn)爭。美國在伊

2、拉克從第三國購買的打印機里植入可遠程控制的網(wǎng)絡病毒，開戰(zhàn)前使伊拉克整個雷達預警系統(tǒng)全部癱瘓，成為世界首次公開在實戰(zhàn)中用網(wǎng)絡病毒攻擊，同時為2003年的伊拉克戰(zhàn)爭奠定基礎。 案例2-12.1計算機及手機病毒基礎病毒之王-震網(wǎng)病毒震網(wǎng)病毒應該是國家行為，甚至是幾個國家的聯(lián)合行為。理由：1、要具備極高的計算機攻擊能力。2、具備高深核物理知識。3、對工控系統(tǒng)制造及控制非常熟悉。4、繞過核心機密區(qū)的人員監(jiān)控和管理控制。震網(wǎng)病毒又名Stuxnet病毒，是一個席卷全球工業(yè)界的病毒。震網(wǎng)（Stuxnet）病毒于2010年6月首次被檢測出來，是第一個專門定向攻擊真實世界中基礎（能源）設施的“蠕蟲”病毒，比如核電

3、站，水壩，國家電網(wǎng)。 計算機病毒產生和來源各異，主要目的分為個人行為和集團行為兩種。有的病毒還曾為用于研究或實驗而設計的“有用”程序，后來失控擴散或被利用。 計算機病毒的產生原因主要有4個方面：2.1計算機及手機病毒基礎 計算機病毒的概念起源。1949年首次關于計算機病毒理論的學術工作，出現(xiàn)在計算機先驅 馮諾依曼（John Von Neumann）一篇論文中，概述病毒程序的概念。后來，美國著名的AT&T 貝爾實驗室中，三個年輕人工作之余玩的一種“磁芯大戰(zhàn)”（Core war）的游戲：編出能吃掉別人編碼的程序來互相攻擊。這種游戲，呈現(xiàn)了病毒程序的感染和破壞性。 2. 計算機及手機病毒的產生案例2

4、-2 計算機病毒發(fā)展主要經(jīng)歷了五個重要階段。2.1計算機及手機病毒基礎 3. 計算機病毒的發(fā)展階段 4計算機病毒的命名方式 命名方式由多個前綴與后綴組合，中間以點“”分隔，一般格式為： 前綴.病毒名.后綴。如振蕩波蠕蟲病毒的變種“Worm. Sasser. c”，其中Worm指病毒的種類為蠕蟲，Sasser是病毒名，c指該病毒的變種。 （1）病毒前綴-病毒種類 （2）病毒名-病毒的名稱 （3）病毒后綴-病毒變種特征 病毒名即病毒的名稱，如“病毒之母”CIH病毒及其變種的名稱一律為“CIH”，沖擊波蠕蟲的病毒名為“Blaster”。病毒名也有一些約定俗成方式，可按病毒發(fā)作的時間命名，如黑色星期五

5、；也可按病毒發(fā)作癥狀命名，如小球；或按病毒自身包含的標志命名，如熊貓病毒；還可按病毒發(fā)現(xiàn)地命名，如耶路撒冷病毒；或按病毒的字節(jié)長度命名，如1575。2.1計算機及手機病毒基礎2.1.2 計算機及手機病毒的特點 根據(jù)對病毒的產生、傳播和破壞行為的分析,可概括為6 個主要特點。 1. 傳播性 傳播性是病毒的基本特點。計算機病毒與生物病毒類似，也會通過各種途徑傳播擴散，在一定條件下造成被感染的系統(tǒng)工作失常甚至癱瘓。 2. 隱蔽性 病毒程序很隱蔽與正常程序只有經(jīng)過代碼分析才能區(qū)別 3. 潛伏性 絕大部分的計算機病毒感染系統(tǒng)之后一般不會馬上發(fā)作，可長期隱藏在系統(tǒng)中，只有當滿足其特定條件時才啟動其破壞代碼

6、，顯示發(fā)作信息或破壞系統(tǒng)。 4. 觸發(fā)及控制性 用戶調用正常程序時并達到觸發(fā)條件時，竊取系統(tǒng)的控制權，并搶先 于正常程序執(zhí)行，病毒的動作、目的對用戶是未知的，未經(jīng)用戶允許。 2.1計算機及手機病毒基礎 5. 影響破壞性 侵入系統(tǒng)的任何病毒,都會對系統(tǒng)及應用程序產生影響.占用系統(tǒng)資源,降低工作效率,甚至可導致系統(tǒng)崩潰,其破壞性多種多樣。 6. 多態(tài)不可預見性 不同種類的病毒代碼相差很大，但有些操作具有共性，如駐內存、改中斷等。利用這些共性已研發(fā)出查病毒程序，但由于軟件種類繁多、病毒變異難預見。2.1計算機及手機病毒基礎 計算機病毒傍熱映電影2012興風作浪。隨著災難大片2012熱映，很多電影網(wǎng)站

7、推出在線收看或下載服務。一種潛伏在被掛馬的電影網(wǎng)站中的“中華吸血鬼”變種病毒，能感染多種軟件和壓縮文件，利用不同方式關閉殺毒軟件，以變形破壞功能與加密下載木馬病毒。具有一個生成器，可隨意定制下載地址和功能。案例2-32.1.3 計算機及手機病毒的種類 1以病毒攻擊的操作系統(tǒng)分類 2以病毒的攻擊機型分類以病毒攻擊的操作系統(tǒng)分類攻擊DOS系統(tǒng)的病毒攻擊Windows系統(tǒng)的病毒攻擊UNIX系統(tǒng)的病毒OS/2系統(tǒng)的病毒攻擊NetWare系統(tǒng)的病毒2.1計算機及手機病毒基礎 3按照病毒的鏈接方式分類 通常，計算機病毒所攻擊的對象是系統(tǒng)可執(zhí)行部分，按照病毒鏈接方式可分為4種：2.1計算機及手機病毒基礎 據(jù)

8、國外2016年7月有關媒體報道，互聯(lián)網(wǎng)安全公司Check Point日前指出，一款疑似來自中國某地一家名為Yingmob (微贏互動)的廣告公司開發(fā)的的惡意軟件HummingBad，在手機的Android設備上建立一個永久性的rootkit，已在全球范圍內感染了8500萬臺手機，借助虛假廣告和安裝額外欺詐性應用獲利。利用惡意軟件每季度至少100萬美元的廣告收入。 案例2-4 4按照病毒的破壞能力分類 根據(jù)病毒破壞的能力可劃分為4種： 5按照傳播媒介不同分類 按照計算機病毒的傳播媒介分類，可分為單機病毒和網(wǎng)絡病毒。 6按傳播方式不同分類 按照病毒傳播方式分為引導型病毒、文件型病毒和混合型病毒3種

9、。2.1計算機及手機病毒基礎輕度7以病毒特有的算法不同分類8. 按照病毒的寄生部位或傳染對象分類 傳染性是計算機病毒的本質屬性，根據(jù)寄生部位或傳染對象分類，即根據(jù)病毒傳染方式進行分類，有3種： 9. 按照病毒激活的時間分類 按照病毒激活時間可分為定時的和隨機的。根據(jù)病毒程序特有算法分類伴隨型病毒蠕蟲型病毒寄生型病毒練習型病毒詭秘型病毒變型 病毒2.1計算機及手機病毒基礎/幽靈2.2.1 計算機及手機病毒的危害計算機及手機病毒的主要危害包括： 1）破壞系統(tǒng)、文件和數(shù)據(jù) 2）竊取機密文件和信息 3）造成網(wǎng)絡堵塞或癱瘓 4）消耗內存、磁盤空間和系統(tǒng)資源 5）電腦運行緩慢 6）對用戶造成心理壓力2.2

10、病毒危害、中毒癥狀及后果2.2.2病毒發(fā)作的癥狀及后果 在感染病毒后，根據(jù)中毒的情況會出現(xiàn)不同的癥狀：系統(tǒng)運行速度變慢、無法上網(wǎng)，無故自動彈出對話框或網(wǎng)頁，用戶名和密碼等用戶信息被篡改,甚至是死機,系統(tǒng)癱瘓等,還有以下癥狀。 2.2病毒危害、中毒癥狀及后果1. 病毒發(fā)作時的其他癥狀 1）提示 無關對話 2）發(fā)出聲響3）產生 異常圖象 4）硬盤燈 不斷閃爍 5）算法 游戲6）桌面圖標發(fā)生變化 7）突然重啟 或死機8）自動 發(fā)送郵件9）自動 移動鼠標 2. 病毒發(fā)作的異常后果 絕大部分計算機病毒都屬于惡性病毒，發(fā)作后的異?，F(xiàn)象及造成的后果包括： 1）硬盤無法啟動，數(shù)據(jù)丟失。 2）文件丟失或被破壞。

11、 3）文件目錄混亂。 4）BIOS程序混亂使主板破壞。 5）部分文檔自動加密。 6）計算機重啟時格式化硬盤。 7）網(wǎng)絡癱瘓，無法正常服務。2.2病毒危害、中毒癥狀及后果 2.3 計算機病毒的構成與傳播2.3.1 計算機病毒的構成計算機病毒主要構成，有3個單元構成：引導 單元傳染單元觸發(fā)單元 3)由兩個部分構成，一是觸發(fā)控制部分，二是二是影響破壞操作部分。 2)是病毒程序的核心，主要功能是傳播病毒，一般由三個部分構成，傳染控制模塊、傳染判斷模塊、傳染操作模塊。 1)也稱潛伏機制模塊，具有初始化、隱藏和捕捉功能?？蓪⒉《炯虞d到內存中，并保護其存儲，以防被其他程序覆蓋，同時修改一些中斷及高端內存、保

12、存原中斷系統(tǒng)參數(shù)，為傳播做準備。圖7-1 計算機病毒的主要構成 2.3.2 計算機病毒的傳播 傳播性是病毒最大威脅和隱患的特點之一。 1移動式存儲介質 數(shù)碼產品常用的移動存儲介質主要包括：軟盤、光盤、DVD、硬盤、閃存、U盤、CF卡、SD卡、記憶棒（Memory Stick）、移動硬盤等。移動存儲介質以其便攜性和大容量存儲性為病毒的傳播帶來了極大的便利，這也是其成為目前主流病毒傳播途徑的重要原因。例如，“U盤殺手”（Worm_Autorun）病毒2. 各種網(wǎng)絡傳播 （1）電子郵件（2）下載文件（3）瀏覽網(wǎng)頁（4）聊天通訊工具（5）移動通信終端 2.3 計算機病毒的構成與傳播 2.3.3 計算病

13、毒的觸發(fā)與生存 1病毒的觸發(fā)條件及方式 病毒基本特性是感染、潛伏、觸發(fā)、破壞。感染使病毒傳播，破壞性體現(xiàn)其殺傷力。觸發(fā)性兼顧殺傷力和潛伏性，并可控制病毒感染和破壞頻度。 病毒觸發(fā)條件主要有7種: 時間觸發(fā)、鍵盤觸發(fā)、感染觸發(fā)、啟動觸發(fā)、訪問磁盤次數(shù)觸發(fā)、調用中斷功能觸發(fā)、CPU型號/主板型號觸發(fā)。 2. 病毒的寄生和生存方式 病毒產生過程分為程序設計傳播潛伏觸發(fā)運行實行攻擊。從產生到徹底根除，病毒擁有一個完整的生存周期： 開發(fā)期、傳播期、潛伏期、發(fā)作期、發(fā)現(xiàn)期、消化期、消亡期 2.3 計算機病毒的構成與傳播 電子郵件病毒觸發(fā)方式?！皻g迎時光”病毒（VBS.Haptime.Amm），作為電子郵件

14、附件，利用郵件系統(tǒng)的缺陷自身傳播，可在無運行附件時運行。并可利用郵件系統(tǒng)的信紙功能，將自身復制在信紙模板上傳播。用戶收到含有病毒郵件，只要瀏覽內容，即達到了該病毒觸發(fā)條件，系統(tǒng)就會立刻感染病毒。案例2-5（1）病毒的寄生對象。一是磁盤引導區(qū)；二是可執(zhí)行文件。（2）病毒的生存方式。替代磁盤引導區(qū)或可執(zhí)行文件鏈接式生存方式2.3.4 特種及新型病毒實例 1木馬病毒 特洛伊木馬（Trojan）簡稱為木馬，其名源于古希臘傳說。是一種具有攻擊系統(tǒng)、破壞文件、發(fā)送密碼和記錄鍵盤等特殊功能的后門程序,其特性也已變異更新。 木馬病毒發(fā)展趨勢。2016年以來，盜號木馬、手機木馬、敲詐和廣告木馬快速增長，僅201

15、6年前8個月新增新型木馬近百萬個，占各種木馬76.3%，且基本占據(jù)互聯(lián)網(wǎng)新增木馬的主流。新型木馬的啟動方式、破壞性均超出了傳統(tǒng)木馬和感染型木馬，且殺毒軟件對此類木馬查殺技術也面臨著嚴峻的考驗。案例2-6 2.3 計算機病毒的構成與傳播（1）冰河木馬的主要功能 1）連接功能 2）控制功能 3）口令的獲取 4）屏幕抓取 5）遠程文件操作 6）冰河信使（2）冰河木馬的原理。激活的服務端程序+自動生成可執(zhí)行文件 2. 蠕蟲病毒 具有病毒的共性，同時還具有一些特性，不依賴宿主寄生，通過復制自身在網(wǎng)絡環(huán)境下進行傳播。 （1）I_WORM/EMANUEL網(wǎng)絡蠕蟲 通過微軟的Outlook Eress自動傳播

16、給受感染計算機的地址簿里的所有人，給每人發(fā)送一封帶有該附件的郵件。 （2）熊貓燒香病毒 熊貓燒香是一種經(jīng)過多次變種的蠕蟲病毒。曾在2006-2007年間肆虐互聯(lián)網(wǎng)，被列為我國2006十大病毒之首，一度成為“毒王”。自爆發(fā)后，短時間內出現(xiàn)近百變種，上百萬臺機器中毒，并深受其害。 2.3 計算機病毒的構成與傳播 2.4 計算機病毒檢測清除與防范2.4.1 計算機病毒的檢測 1. 根據(jù)異常現(xiàn)象初步檢測 1）系統(tǒng)運行異常：包括無法開機、開機變慢、系統(tǒng)運行速度慢、頻繁重啟、無故死機、自動關機等； 2）屏幕顯示異常：包括計算機藍屏、彈出異常對話框、產生特定的圖像（如小球病毒）等； 3）聲音播放異常：出現(xiàn)非

17、系統(tǒng)正常聲音等，如“楊基”（Yangkee）病毒和“瀏陽河”病毒； 4）文件/系統(tǒng)異常:無法找到硬盤分區(qū)、文件名等,相關屬性遭更改、硬盤存儲空間意外變小、無法打開/讀取/操作文件、數(shù)據(jù)丟失或損壞、CPU利用率或內存占用過高。 5）外設異常。鼠標/打印機等外設異常無法正常使用等； 6）網(wǎng)絡異常：不能正常上網(wǎng)、殺毒軟件無法升級、自動彈出網(wǎng)頁、主頁被篡改、自動發(fā)送電子郵件等異常現(xiàn)象。 2.4 計算機病毒檢測清除與防范 2. 利用專業(yè)工具檢測查毒 由于病毒具有較強的隱蔽性，必須使用專業(yè)工具對系統(tǒng)進行查毒，主要是指針對包括特定的內存、文件、引導區(qū)、網(wǎng)絡在內的一系列屬性，能夠準確地查出病毒名稱。常見的殺毒

18、軟件基本都含有查毒功能，例如360/瑞星免費在線查毒、金山毒霸查毒、卡巴斯基查毒等。 查毒軟件使用的最主要的病毒查殺方式為病毒標記法。此種方式首先將新病毒加以分析，編成病毒碼，加入資料庫中，然后通過檢測文件、扇區(qū)和內存，利用標記，也就是病毒常用代碼的特征，查找已知病毒與病毒資料庫中的數(shù)據(jù)并進行對比分析，即可判斷是否中毒。2.4.2 常見病毒的清除方法 系統(tǒng)意外中毒，需要及時采取措施,常用處理方法是清除病毒：先對系統(tǒng)被破壞的程度調查評估，并采取有效的清除對策和方法。 殺毒后重啟,再用查殺病毒軟件檢查系統(tǒng),并確認完全恢復正常。 2.4 計算機病毒檢測清除與防范 2.4 計算機病毒檢測清除與防范 2

19、.4.3 普通病毒的防范方法 查殺病毒不如預防,如果能夠采取全面的防護措施，則會更有效地避免病毒的危害。因此，計算機病毒的防范，應該采取預防為主的策略。 首先要在思想上有反病毒的警惕性，依靠使用反病毒技術和管理措施，這些病毒就無法逾越安全保護屏障，從而不能廣泛傳播。個人用戶要及時升級可靠的反病毒產品，因為病毒以每日4-6個的速度產生，反病毒產品必須適應病毒的發(fā)展，不斷升級，才能識別和查殺新病毒，為系統(tǒng)提供真正安全環(huán)境。每一位計算機使用者都要遵守病毒防治的法律和制度，做到不制造病毒，不傳播病毒。養(yǎng)成良好的上機習慣，如定期備份系統(tǒng)數(shù)據(jù)文件；外部存儲設備連接前先殺毒再使用；不訪問違法或不明網(wǎng)站，不下

20、載傳播不良文件等。2.4.4 木馬的檢測清除與防范 1.木馬的檢測（1）檢測系統(tǒng)進程（2）檢查注冊表、ini文件和服務（3）檢測開放端口（4）監(jiān)視網(wǎng)絡通訊 2.木馬病毒的清除（1）手工刪除（2）殺毒軟件清除 3.木馬病毒的防范（1）不點擊不明的網(wǎng)址或郵件（2）不下載沒有確認的軟件（3）及時漏洞修復-堵住可疑端口（4）使用實時監(jiān)控程序 2.4 計算機病毒檢測清除與防范初始化-系統(tǒng)配置文件 木馬可在Win.ini和System.ini”run=”“l(fā)oad=” “shell=”后加載,若在其后加載程序很陌生,可能就是木馬.常將“Explorer”變?yōu)樽陨沓绦蛎?或將其中的字母”l”改為數(shù)字“1”,或將字母“o”改為數(shù)字“0”,不易發(fā)現(xiàn)。2.4.5 病毒和防病毒技術的發(fā)展趨勢 1. 計算機病毒的發(fā)展趨勢 隨著互聯(lián)網(wǎng)的高速發(fā)展，病毒也進入了愈加猖狂和泛濫的階段，目前計算機病毒的發(fā)展主要體現(xiàn)出在以下四個方面：（1）病毒的種類和數(shù)量迅速增長 2.4 計算機病毒檢測清除與防范 據(jù)瑞星網(wǎng)站報道2016年1-6月，瑞星“云安全”系統(tǒng)