計(jì)算機(jī)病毒與木馬課件

第3章計(jì)算機(jī)病毒與木馬本章要點(diǎn)計(jì)算機(jī)病毒的演變史 計(jì)算機(jī)病毒的特性計(jì)算機(jī)病毒的分類及傳播途徑 計(jì)算機(jī)病毒的檢測和防御方法 木馬的類型及基本功能木馬的工作原理木馬的檢測與防御3.1計(jì)算機(jī)病毒概述3.1.1計(jì)算機(jī)病毒的定義在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中，計(jì)算機(jī)病毒被定義為“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。20世紀(jì)60年代初，美國貝爾實(shí)驗(yàn)室的3個(gè)年輕的程序員編寫了一個(gè)名為“磁芯大戰(zhàn)”的電子游戲，由玩家雙方各自編寫一套程序，通過程序復(fù)制自身來擺脫對方的控制，這是計(jì)算機(jī)病毒最初的雛形。1982年，里奇?斯克倫塔編寫了elkcloner病毒，感染蘋果電腦，該病毒發(fā)作時(shí)僅會在計(jì)算機(jī)的屏幕上顯示一首詩，這是世界上最早的計(jì)算機(jī)的病毒。1983年，美國計(jì)算機(jī)安全專家費(fèi)雷德?科恩研制出一種能夠自我復(fù)制的計(jì)算機(jī)程序，這被認(rèn)為是世界上第一例具備破壞性的計(jì)算機(jī)病毒。1988年，美國康奈爾大學(xué)研究生羅伯特?莫里斯編寫了一個(gè)計(jì)算機(jī)蠕蟲病毒，當(dāng)該病毒進(jìn)入互聯(lián)網(wǎng)后，自身瘋狂復(fù)制并擴(kuò)散到所有聯(lián)網(wǎng)計(jì)算機(jī)中，造成了巨額經(jīng)濟(jì)損失，這是世界上第一個(gè)在網(wǎng)絡(luò)上傳播的計(jì)算機(jī)病毒。3.1.2計(jì)算機(jī)病毒的演變史13.1.3計(jì)算機(jī)病毒的特性1．破壞性2．隱蔽性3．潛伏性4．傳染性5．依附性6．針對性7．未經(jīng)授權(quán)而執(zhí)行8．不可預(yù)見性3.2計(jì)算機(jī)病毒及其分類、傳播途徑3.2.1常見計(jì)算機(jī)病毒1．蠕蟲病毒2．沖擊波病毒3．震蕩波病毒4．腳本病毒5．ARP病毒

3.2.2計(jì)算機(jī)病毒的分類1．按寄生方式分類（1）宏病毒（2）系統(tǒng)引導(dǎo)病毒（3）文件型病毒（4）混合型病毒（5）網(wǎng)絡(luò)病毒3.2.2計(jì)算機(jī)病毒的分類22．按破壞程度分類（1）良性病毒（2）惡性病毒（3）極惡性病毒3．按傳染方式分類（1）非駐留型病毒（2）駐留型病毒3.2.3計(jì)算機(jī)病毒的傳播途徑1．網(wǎng)絡(luò)傳播2．無線通信傳播3．計(jì)算機(jī)硬件設(shè)備傳播4．外部移動存儲設(shè)備傳播2．普通病毒的檢測與防御——瑞星殺毒軟件的使用“首頁”選項(xiàng)卡“操作日志”提供給用戶主要的操作日志信息；“信息中心”提供給用戶最新的安全信息；不同的操作按鈕提供給用戶快捷的操作方式。2．普通病毒的檢測與防御——瑞星殺毒軟件的使用“監(jiān)控”選項(xiàng)卡顯示瑞星監(jiān)控狀態(tài)，監(jiān)控的項(xiàng)目有：文件監(jiān)控、郵件監(jiān)控、網(wǎng)頁監(jiān)控。用戶可以單擊“開啟”或“關(guān)閉”按鈕控制監(jiān)控狀態(tài)。單擊“文件監(jiān)控”按鈕，可以對文件的監(jiān)控級別進(jìn)行從低到高的設(shè)置，也可單擊“常規(guī)設(shè)置”和“高級設(shè)置”按鈕來設(shè)置對病毒的處理方式。2．普通病毒的檢測與防御——瑞星殺毒軟件的使用“防御”選項(xiàng)卡用戶可根據(jù)自己系統(tǒng)的實(shí)際情況和需要，制定獨(dú)特的防御規(guī)則。主動防御功能包括：系統(tǒng)加固、應(yīng)用程序訪問控制、應(yīng)用程序保護(hù)、程序啟動控制、惡意行為檢測、隱藏進(jìn)程檢測。用戶可以單擊“開啟”或“關(guān)閉”按鈕設(shè)置主動防御的實(shí)施狀態(tài)。2．普通病毒的檢測與防御——瑞星殺毒軟件的使用“工具”選項(xiàng)卡在此界面中，包含病毒隔離系統(tǒng)、其他嵌入式殺毒等瑞星工具，同時(shí)還顯示了它們的工具名、版本信息、大小、操作、幫助信息。單擊工具名前的“+”，可顯示該工具的作用。在界面底部，單擊“檢查更新”按鈕，程序?qū)⑦B接瑞星網(wǎng)站下載最新的工具包。2．普通病毒的檢測與防御——瑞星殺毒軟件的使用“安檢”選項(xiàng)卡為用戶提供全面的評測日志，使用戶了解當(dāng)前計(jì)算機(jī)的安全等級及系統(tǒng)狀態(tài)，并根據(jù)用戶計(jì)算機(jī)的實(shí)際情況推薦用戶進(jìn)行相應(yīng)的操作。用戶可以通過單擊“詳細(xì)報(bào)告”鏈接來了解并檢查項(xiàng)目具體細(xì)節(jié)。。3．普通病毒的檢測與防御——卡巴斯基反病毒軟件殺毒功能的使用卡巴斯基殺毒軟件是一款比較優(yōu)秀的網(wǎng)絡(luò)殺毒軟件。它具有較強(qiáng)的中心管理和殺毒能力，能實(shí)現(xiàn)帶毒殺毒，它還提供所有類型的抗病毒防護(hù)：抗病毒掃描儀、監(jiān)控器、行為阻斷和完全檢驗(yàn)。3.3.2U盤病毒的檢測與防御1．U盤病毒的傳播過程一臺計(jì)算機(jī)感染了病毒，只要U盤連接USB端口就會被迅速感染上病毒。U盤感染病毒后，若不及時(shí)查殺病毒，當(dāng)此U盤連接到另一臺未中毒的計(jì)算機(jī)時(shí)，引發(fā)病毒感染本地計(jì)算機(jī)。2．U盤中毒癥狀判斷1）U盤雙擊打開提示拒絕訪問2）U盤中出現(xiàn)名稱類似于Autorun的隱藏文件3）鼠標(biāo)右鍵單擊U盤，彈出的菜單中出現(xiàn)“自動播放”等選項(xiàng)4）當(dāng)插入U(xiǎn)盤時(shí)，引起操作系統(tǒng)崩潰，開機(jī)自檢后直接或反復(fù)重啟，5）U盤里面出現(xiàn)了一個(gè)“RECYCLER”的文件夾6）U盤中出現(xiàn)了名稱與一些常見軟件名稱類似的程序7）計(jì)算機(jī)運(yùn)行緩慢，系統(tǒng)資源無故被占用3.3.3ARP病毒的檢測與防御1．ARP病毒發(fā)作現(xiàn)象

計(jì)算機(jī)頻繁斷網(wǎng)、常用軟件運(yùn)行出錯(cuò)等現(xiàn)象

局域網(wǎng)的所有計(jì)算機(jī)轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換時(shí)用戶會斷一次線

聯(lián)網(wǎng)過程中，需用戶多次重新登錄2．ARP病毒的檢測（1）命令行法（2）抓包嗅探法（3）工具軟件法3.3.4蠕蟲病毒的檢測與防御1．Nimda病毒2．“熊貓燒香”病毒3．“掃蕩波”病毒4．“暴風(fēng)一號”病毒5．“Conflicker”病毒3.4計(jì)算機(jī)木馬概述3.4.1計(jì)算機(jī)木馬的定義計(jì)算機(jī)木馬是指一種帶有惡意性質(zhì)的遠(yuǎn)程控制軟件，它通過一段特定的程序來控制其他的計(jì)算機(jī)。計(jì)算機(jī)木馬一般分為客戶端和服務(wù)器端兩部分被植入木馬的計(jì)算機(jī)一旦運(yùn)行服務(wù)端后，遠(yuǎn)程客戶端與服務(wù)端即可建立連接通信，服務(wù)器端的計(jì)算機(jī)就能夠完全被控制，成為被操縱的對象。3.4.2計(jì)算機(jī)木馬的類型及基本功能1.計(jì)算機(jī)木馬的類型（1）遠(yuǎn)程控制型（2）提升權(quán)限型（3）信息竊取型（4）嵌套下載型（5）代理跳板型3.4.3計(jì)算機(jī)木馬的工作原理通常木馬會綁定在一些正常的程序中，吸引用戶下載，一旦用戶下載運(yùn)行，其中隱藏的木馬也一并被激活。還有一些木馬會隱藏在網(wǎng)頁的腳本中，在用戶通過瀏覽器執(zhí)行腳本時(shí)利用網(wǎng)站技術(shù)強(qiáng)制用戶加載木馬。植入受害計(jì)算機(jī)的木馬運(yùn)行后會自我銷毀和隱藏，木馬服務(wù)器端會搜集受害計(jì)算機(jī)的信息發(fā)送給黑客，黑客利用這些信息通過客戶端連接到受害計(jì)算機(jī)，并控制受害計(jì)算機(jī)。3.5計(jì)算機(jī)木馬的檢測與防御3.5.1普通計(jì)算機(jī)木馬的檢測與防御1．被植入木馬的計(jì)算機(jī)的表現(xiàn)

磁盤無原因地被讀盤，網(wǎng)絡(luò)連接出現(xiàn)異常

圖標(biāo)被修改

啟動一個(gè)文件，沒有任何反應(yīng)或者會彈出一個(gè)程序出錯(cuò)的對話框

進(jìn)程中出現(xiàn)類似于系統(tǒng)文件名的進(jìn)程正在運(yùn)行

主機(jī)上有不常見的端口處于監(jiān)聽狀態(tài)

磁盤剩余空間突然縮減

瀏覽器自動訪問同一個(gè)異常的網(wǎng)站

突然彈出一個(gè)或多個(gè)提示框

計(jì)算機(jī)系統(tǒng)配置自動被修改2.360安全衛(wèi)士木馬查殺功能的使用方法360安全衛(wèi)士主界面，單擊“查殺流行木馬”標(biāo)簽，定期地查殺系統(tǒng)中的木馬?？焖賿呙杩蓪ο到y(tǒng)內(nèi)存、啟動對象的一些關(guān)鍵位置進(jìn)行掃描，速度較快；全面掃描可對系統(tǒng)內(nèi)存、啟動對象及全部磁盤進(jìn)行掃描，速度較慢；自定義區(qū)域掃描可對需要掃描的范圍進(jìn)行任意設(shè)定。3.ewidoanti-spyware木馬查殺功能的使用方法ewidoanti-spyware主界面中顯示出計(jì)算機(jī)的安全狀態(tài)和授權(quán)信息，在主界面的上端有一些功能按鈕：Status（狀態(tài)）、Update（更新）、Scanner（掃描）、Shield（保護(hù)）、Infections（病毒）、Reports（報(bào)告）、Analysis（分析）、Tools（工具）等。4．手動檢測和清除計(jì)算機(jī)木馬的通用方法1）查看連接。2）端口掃描。3）檢查注冊表。4）查看系統(tǒng)進(jìn)程。5）安裝軟件防火墻。3.5.2典型計(jì)算機(jī)木馬的手動清除1．冰河木馬的清除2．“廣外男生”木馬的清除3.6實(shí)訓(xùn)項(xiàng)目【實(shí)訓(xùn)項(xiàng)目】清除“灰鴿子”木馬3.7小結(jié)與練習(xí)3.7.1