教學第08章計算機病毒的防治課件

第8章計算機病毒

主要內(nèi)容： 1．概述 2．病毒原理 3．病毒技術(shù) 4．反病毒技術(shù) 5．常用反病毒軟件第8章計算機病毒 主要內(nèi)容：16.1概述6.1.1定義廣義：凡能夠引起計算機故障，破壞數(shù)據(jù)的程序。權(quán)威定義：編制或者插入計算機程序中的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或程序代碼?！吨腥A人民共和國計算機信息安全保護條例》6.1概述6.1.1定義26.1.2特征寄生性（宿主程序）傳染性隱蔽性潛伏性觸發(fā)性破壞性6.1.2特征36.1.3傳播途徑通過不可移動的計算機硬件設(shè)備通過可移動存儲設(shè)備通過計算機網(wǎng)絡(luò)通過無線通道6.1.3傳播途徑46.1.4分類按攻擊的OS按傳播媒介按危害程度按寄生方式從廣義病毒定義6.1.4分類5按攻擊的OS：

攻擊DOS

攻擊WINDOWS

攻擊UNIX/LINUX

攻擊嵌入式OS按攻擊的OS：6按傳播媒介：

單機病毒：磁盤 網(wǎng)絡(luò)病毒：網(wǎng)絡(luò)，當今最多按傳播媒介：7按危害程度：

良性病毒 惡性病毒 中性病毒按危害程度：8按寄生方式：

引導型 文件型（..bat.dll.vxd.sys）

混合型按寄生方式：9從廣義定義：

傳統(tǒng)病毒 特洛伊木馬 蠕蟲從廣義定義：10特洛伊木馬定義：泛指那些內(nèi)部包含有為完成特定任務而編制的程序，一種潛伏執(zhí)行非授權(quán)功能的技術(shù)。本質(zhì)上屬于遠程控制工具。原理：

c/s模式傳播途徑

email附件 用戶間的文件交換 被其它惡意代碼攜帶 互聯(lián)網(wǎng)下載的文件特洛伊木馬11特征和行為 不自我復制； 被感染計算機變慢或出現(xiàn)異常行為； 多出一個或多個任務； 注冊表或配置文件被修改預防： 不執(zhí)行來歷不明的程序 必備殺毒軟件特征和行為12蠕蟲定義：通過網(wǎng)絡(luò)來傳播特定信息或錯誤，破壞網(wǎng)絡(luò)信息或造成網(wǎng)絡(luò)服務中斷的病毒。特點： 利用網(wǎng)絡(luò)軟件的缺陷，進行自我復制和主動傳播。蠕蟲136.2病毒原理3個功能模塊：引導模塊傳染模塊破壞模塊6.2病毒原理3個功能模塊：14傳統(tǒng)病毒（引導型、文件型）引導型病毒工作流程文件型病毒工作流程傳統(tǒng)病毒（引導型、文件型）15宏病毒宏：一系列組合在一起的命令或指令，它們形成一個命令，以實現(xiàn)任務執(zhí)行自動化。宏病毒：存儲于文檔、模版中的病毒特點：只感染微軟數(shù)據(jù)文件機制：用VB高級語言編寫的病毒代碼，直接混雜在文檔中傳播。當打開一個染毒文檔或執(zhí)行觸發(fā)宏病毒的操作時，病毒激活，并存儲在normal.dot在，以后保存的文檔被自動感染。工作流程宏病毒16網(wǎng)絡(luò)病毒種類：蠕蟲、木馬傳播方式：email、網(wǎng)頁、文件傳輸如：loveletter、happytime網(wǎng)絡(luò)病毒176.3病毒技術(shù)寄生技術(shù)駐留技術(shù)加密變形技術(shù)隱藏技術(shù)6.3病毒技術(shù)18寄生技術(shù) 將病毒代碼加入正常程序中，原正常程序功能的部分或全部保留。頭寄生尾寄生插入寄生文件型病毒使用最多寄生技術(shù)19駐留技術(shù) 當染毒文件執(zhí)行時，將病毒部分功能模塊進入內(nèi)存，即使程序結(jié)束，仍駐留內(nèi)存。 如果殺毒軟件只清除文件中病毒，而不清除內(nèi)存中病毒，仍會感染。駐留技術(shù)20加密變形技術(shù) 對不同傳染實例呈現(xiàn)多樣性。 傳統(tǒng)病毒在代碼中總有自身特點，反病毒軟件廠商利用這些特點編制特征碼，進行檢測。加密變形技術(shù)21隱藏技術(shù) 病毒在進入系統(tǒng)后，會采取種種方法隱藏行蹤，使不易被發(fā)現(xiàn)。隱藏技術(shù)226.4反病毒技術(shù)6.4.1發(fā)現(xiàn)病毒 系統(tǒng)運行遲鈍 程序加載時間過長 簡單操作，硬盤花費很長時間

異常錯誤信息出現(xiàn) 內(nèi)存、磁盤空間忽然大量減少 程序文件大小、屬性、內(nèi)容改變 經(jīng)常死機 出現(xiàn)不明常駐任務 異常聲音、畫面6.4反病毒技術(shù)6.4.1發(fā)現(xiàn)病毒236.4.2檢測技術(shù)比較法：進行原始的或正常的特征與被檢測對象特征進行比較 文件長度、內(nèi)容、內(nèi)存、中斷向量 優(yōu)點：簡單、方便、不需專用軟件 缺點：無法確認病毒種類、名稱6.4.2檢測技術(shù)24校驗和法：計算正常文件的校驗和，并保存，然后定期比較 優(yōu)點：可偵測各式病毒，包括未知病毒 缺點：誤判率高，無法確認病毒種類校驗和法：計算正常文件的校驗和，并保存，然后定期比較25分析法：該法使用人員主要是反毒技術(shù)人員搜索法：用病毒含有的特定字符串對被檢測對象進行掃描。 特征字符串的選擇好壞，起決定作用。 缺點：掃描時間長；不易選取合適特征串；病毒特征碼未更新時，無法識別新病毒和并行病毒。 目前使用最普遍。分析法：該法使用人員主要是反毒技術(shù)人員266.4.3清除 摘除染毒文件中的病毒代碼，恢復正常。 專用殺毒軟件或手工。6.4.3清除276.4.4免疫 原理：根據(jù)病毒簽名實現(xiàn)，由于病毒在感染文件時，對已感染文件，不再感染 可人為在“健康程序”中加入病毒簽名，起到免疫作用。6.4.4免疫286.4.5預防 經(jīng)常備份數(shù)據(jù) 新購磁盤、軟件等，先查毒 避免在無防毒軟件或公用計算機上使用移動盤 對計算機的使用進行控制，禁止來歷不明人進入系統(tǒng) 采用殺毒軟件，實時監(jiān)控、經(jīng)常殺毒、及時升級6.4.5預防296.5常見殺毒軟件必備功能： 查、殺 對新病毒的反應能力 對文件備份、恢復 實時監(jiān)控 界面友好，使用方便 對資源占有情況國內(nèi)外著名殺毒軟件： 諾頓、officeScan、卡巴斯基、瑞星、江民、金山6.5常見殺毒軟件必備功能：30習題與思考題1．什么是計算機病毒？2．計算病毒的基本特征是什么？3．簡述計算機病毒攻擊的對象及所造成的危害。4．病毒按寄生方式分為哪幾類？5．計算機病毒一般由哪幾部分構(gòu)成，各部分的作用是什么？計算機病毒的預防有哪幾方面？6．簡述檢測計算機病毒的常用方法。7．簡述宏病毒的特征及其清除方法。8．什么是計算機病毒免疫？9．簡述計算機病毒的防治措施。10．什么是網(wǎng)絡(luò)病毒，防治網(wǎng)絡(luò)病毒的要點是什么？習題與思考題1．什么是計算機病毒？31第8章計算機病毒

主要內(nèi)容： 1．概述 2．病毒原理 3．病毒技術(shù) 4．反病毒技術(shù) 5．常用反病毒軟件第8章計算機病毒 主要內(nèi)容：326.1概述6.1.1定義廣義：凡能夠引起計算機故障，破壞數(shù)據(jù)的程序。權(quán)威定義：編制或者插入計算機程序中的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或程序代碼?！吨腥A人民共和國計算機信息安全保護條例》6.1概述6.1.1定義336.1.2特征寄生性（宿主程序）傳染性隱蔽性潛伏性觸發(fā)性破壞性6.1.2特征346.1.3傳播途徑通過不可移動的計算機硬件設(shè)備通過可移動存儲設(shè)備通過計算機網(wǎng)絡(luò)通過無線通道6.1.3傳播途徑356.1.4分類按攻擊的OS按傳播媒介按危害程度按寄生方式從廣義病毒定義6.1.4分類36按攻擊的OS：

攻擊DOS

攻擊WINDOWS

攻擊UNIX/LINUX

攻擊嵌入式OS按攻擊的OS：37按傳播媒介：

單機病毒：磁盤 網(wǎng)絡(luò)病毒：網(wǎng)絡(luò)，當今最多按傳播媒介：38按危害程度：

良性病毒 惡性病毒 中性病毒按危害程度：39按寄生方式：

引導型 文件型（..bat.dll.vxd.sys）

混合型按寄生方式：40從廣義定義：

傳統(tǒng)病毒 特洛伊木馬 蠕蟲從廣義定義：41特洛伊木馬定義：泛指那些內(nèi)部包含有為完成特定任務而編制的程序，一種潛伏執(zhí)行非授權(quán)功能的技術(shù)。本質(zhì)上屬于遠程控制工具。原理：

c/s模式傳播途徑

email附件 用戶間的文件交換 被其它惡意代碼攜帶 互聯(lián)網(wǎng)下載的文件特洛伊木馬42特征和行為 不自我復制； 被感染計算機變慢或出現(xiàn)異常行為； 多出一個或多個任務； 注冊表或配置文件被修改預防： 不執(zhí)行來歷不明的程序 必備殺毒軟件特征和行為43蠕蟲定義：通過網(wǎng)絡(luò)來傳播特定信息或錯誤，破壞網(wǎng)絡(luò)信息或造成網(wǎng)絡(luò)服務中斷的病毒。特點： 利用網(wǎng)絡(luò)軟件的缺陷，進行自我復制和主動傳播。蠕蟲446.2病毒原理3個功能模塊：引導模塊傳染模塊破壞模塊6.2病毒原理3個功能模塊：45傳統(tǒng)病毒（引導型、文件型）引導型病毒工作流程文件型病毒工作流程傳統(tǒng)病毒（引導型、文件型）46宏病毒宏：一系列組合在一起的命令或指令，它們形成一個命令，以實現(xiàn)任務執(zhí)行自動化。宏病毒：存儲于文檔、模版中的病毒特點：只感染微軟數(shù)據(jù)文件機制：用VB高級語言編寫的病毒代碼，直接混雜在文檔中傳播。當打開一個染毒文檔或執(zhí)行觸發(fā)宏病毒的操作時，病毒激活，并存儲在normal.dot在，以后保存的文檔被自動感染。工作流程宏病毒47網(wǎng)絡(luò)病毒種類：蠕蟲、木馬傳播方式：email、網(wǎng)頁、文件傳輸如：loveletter、happytime網(wǎng)絡(luò)病毒486.3病毒技術(shù)寄生技術(shù)駐留技術(shù)加密變形技術(shù)隱藏技術(shù)6.3病毒技術(shù)49寄生技術(shù) 將病毒代碼加入正常程序中，原正常程序功能的部分或全部保留。頭寄生尾寄生插入寄生文件型病毒使用最多寄生技術(shù)50駐留技術(shù) 當染毒文件執(zhí)行時，將病毒部分功能模塊進入內(nèi)存，即使程序結(jié)束，仍駐留內(nèi)存。 如果殺毒軟件只清除文件中病毒，而不清除內(nèi)存中病毒，仍會感染。駐留技術(shù)51加密變形技術(shù) 對不同傳染實例呈現(xiàn)多樣性。 傳統(tǒng)病毒在代碼中總有自身特點，反病毒軟件廠商利用這些特點編制特征碼，進行檢測。加密變形技術(shù)52隱藏技術(shù) 病毒在進入系統(tǒng)后，會采取種種方法隱藏行蹤，使不易被發(fā)現(xiàn)。隱藏技術(shù)536.4反病毒技術(shù)6.4.1發(fā)現(xiàn)病毒 系統(tǒng)運行遲鈍 程序加載時間過長 簡單操作，硬盤花費很長時間

異常錯誤信息出現(xiàn) 內(nèi)存、磁盤空間忽然大量減少 程序文件大小、屬性、內(nèi)容改變 經(jīng)常死機 出現(xiàn)不明常駐任務 異常聲音、畫面6.4反病毒技術(shù)6.4.1發(fā)現(xiàn)病毒546.4.2檢測技術(shù)比較法：進行原始的或正常的特征與被檢測對象特征進行比較 文件長度、內(nèi)容、內(nèi)存、中斷向量 優(yōu)點：簡單、方便、不需專用軟件 缺點：無法確認病毒種類、名稱6.4.2檢測技術(shù)55校驗和法：計算正常文件的校驗和，并保存，然后定期比較 優(yōu)點：可偵測各式病毒，包括未知病毒 缺點：誤判率高，無法確認病毒種類校驗和法：計算正常文件的校驗和，并保存，然后定期比較56分析法：該法使用人員主要是反毒技術(shù)人員搜索法：用病毒含有的特定字符串對被檢測對象進行掃描。 特征字符串的選擇好壞，起決定作用。 缺點：掃描時間長；不易選取合適特征串；病毒特征碼未更新時，無法識別新病毒和并行病毒。 目前使用最普遍。分析法：該法使用人員主要是反毒技術(shù)人員576.4.3清除 摘除染毒文件中的病毒代碼，恢復正常。 專用殺毒軟件或手工。6.4.3清除586.4.4免疫 原理：根據(jù)病毒簽名實現(xiàn)，由于病毒在感染文件時，對已感染文件，不再感染 可人為在“健康程序”中加入病毒簽名，起到免疫作用。6.4.4免疫596.4.5預防 經(jīng)常備份數(shù)據(jù) 新購磁盤、軟件等，先查毒 避免在無防毒軟件或公用計算機上使用移動盤 對計算機的使用進行控制，禁止來歷不明人進入系統(tǒng) 采用殺毒軟件，實時監(jiān)控、經(jīng)常殺毒、及時升級6.4.5預防606.5常見殺毒軟件必備功能： 查、殺 對新病毒的反應能力 對文件備份、恢復 實時監(jiān)控 界面友好，使用方便 對資源占有情況國內(nèi)外著名殺毒軟件： 諾頓、offi