計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全

計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件第1頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月目錄：計(jì)算機(jī)病毒的起源與發(fā)展計(jì)算機(jī)病毒的定義與特征★計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的危害性計(jì)算機(jī)病毒分析★其他惡意程序第2頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月根據(jù)國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心的調(diào)查顯示：2003-2008年我國(guó)計(jì)算機(jī)病毒感染率高達(dá)85.57%，造成的損失達(dá)到63.57%。－－(來(lái)源:央視國(guó)際)

您的計(jì)算機(jī)安全嗎？第3頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月安裝了安全軟件，電腦里就一定沒(méi)有病毒木馬嗎？金山毒霸安全實(shí)驗(yàn)室公布最新研究報(bào)告顯示,國(guó)內(nèi)95.6%的電腦上安裝了安全軟件,但每年仍然有約百萬(wàn)病毒木馬被“漏殺”。而這些被“漏殺”的病毒木馬將直接影響到中國(guó)千萬(wàn)網(wǎng)民網(wǎng)絡(luò)安全問(wèn)題，同時(shí)給中國(guó)互聯(lián)網(wǎng)帶來(lái)的經(jīng)濟(jì)損失也將超過(guò)十億元?！?009-2010年中國(guó)新增病毒木馬約2000萬(wàn)種,其中漏殺期1-7天的病毒木馬超過(guò)100萬(wàn)個(gè),占到新增病毒的5%,30%以上的中國(guó)網(wǎng)民電腦存在‘漏殺’病毒?！钡?頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月以你的經(jīng)歷，談?wù)勀阒赖降牟《?。?頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月一個(gè)每天都要遇到的操作可移動(dòng)存儲(chǔ)設(shè)備的使用

第6頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月一個(gè)每天都要遇到的操作如果您的電腦配有攝像頭，在您使用完攝像頭后，您會(huì)（）拔掉攝像頭，或者將攝像頭扭轉(zhuǎn)方向 （546人，44.1%）無(wú)所謂 （693人，55.9%）第7頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月女鬼病毒女鬼病毒在感染用戶系統(tǒng)后，會(huì)不定時(shí)的在電腦上出現(xiàn)恐怖的女鬼，并伴有陰森恐怖的鬼哭狼嚎的聲音。女鬼每次出現(xiàn)大約停留30秒鐘，低垂著腦袋，披頭散發(fā)，兩眼還射出紅光，加上陰森的恐怖之聲，使人在夜間開(kāi)電腦時(shí)，不禁毛骨悚然，嚇到腿軟。該女鬼病毒是用VB語(yǔ)言寫(xiě)的程序，需要一個(gè)VB的動(dòng)態(tài)鏈接庫(kù)，有些用戶系統(tǒng)上可能沒(méi)有這個(gè)文件，病毒因此就無(wú)法被激活。第8頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月木馬病毒木馬，全稱為：特洛伊木馬（TrojanHorse）?！疤芈逡聊抉R”這一詞最早出先在希臘神話傳說(shuō)中。相傳在3000年前，在一次希臘戰(zhàn)爭(zhēng)中。麥尼勞斯（人名）派兵討伐特洛伊（王國(guó)），但久攻不下。他們想出了一個(gè)主意：首先他們假裝被打敗，然后留下一個(gè)木馬。而木馬里面卻藏著最強(qiáng)悍的勇士！最后等時(shí)間一到，木馬里的勇士全部沖出來(lái)把敵人打敗了！特洛伊木馬第9頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月“木馬”的含義就是把預(yù)謀的功能隱藏在公開(kāi)的功能里，掩飾真正的企圖。木馬其實(shí)就是那些盜號(hào)者所制造的一些惡意程序。當(dāng)木馬植入了你的電腦后，電腦就會(huì)被監(jiān)控起來(lái)。輕者，偷取用戶資，會(huì)把你的QQ密碼.游戲帳號(hào)和密碼.等發(fā)給編寫(xiě)病毒的人。至于嚴(yán)重的，木馬制作者可以像操作自己的機(jī)器一樣控制您的機(jī)器，甚至可以遠(yuǎn)程監(jiān)控您的所有操作。一舉一動(dòng)，都在別人的眼皮底下進(jìn)行。第10頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的發(fā)展史自第一個(gè)真正意義上的計(jì)算機(jī)病毒于1983年走出實(shí)驗(yàn)室以來(lái)，人們對(duì)它的認(rèn)識(shí)經(jīng)歷了“不以為然→談毒色變→口誅筆伐，人人喊打→理性對(duì)待，泰然處之”四個(gè)階段。第11頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒產(chǎn)生的歷史1977年:出現(xiàn)在科幻小說(shuō)中1983年：FredCohen：在計(jì)算機(jī)安全研討會(huì)上發(fā)布1986年：巴基斯坦兩兄弟為追蹤非法拷貝其軟件的人制造了“巴基斯坦”病毒，成了世界上公認(rèn)的第一個(gè)傳染PC兼容機(jī)的病毒，并且很快在全球流行。1987年10月：美國(guó)發(fā)現(xiàn)世界上第一例病毒(Brain)。1988年：小球病毒傳入我國(guó)，在幾個(gè)月之內(nèi)迅速傳染了20多個(gè)省、市，成為我國(guó)第一個(gè)病毒案例。此后，如同打開(kāi)的潘多拉的盒子，各種計(jì)算機(jī)病毒層出不窮！第12頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的發(fā)展階段—萌芽階段1萌芽階段

1986年到1989年：計(jì)算機(jī)病毒的萌芽時(shí)期病毒清除相對(duì)比較容易特點(diǎn)：攻擊目標(biāo)單一主要采取截取系統(tǒng)中斷向量的方式監(jiān)控系統(tǒng)的運(yùn)行狀態(tài)，并在一定的觸發(fā)條件下進(jìn)行傳播傳染后特征明顯不具自我保護(hù)措施第13頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的發(fā)展階段—綜合發(fā)展階段2綜合發(fā)展階段1989年到1992年：由簡(jiǎn)單到復(fù)雜，由原始走向成熟特點(diǎn)：攻擊目標(biāo)趨于混合型采用更為隱蔽的方法駐留內(nèi)存感染目標(biāo)后沒(méi)有明顯的特征開(kāi)始采用自我保護(hù)措施開(kāi)始出現(xiàn)變種第14頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的發(fā)展階段—成熟發(fā)展階段3成熟發(fā)展階段

1992到1995年：病毒開(kāi)始具有多態(tài)性質(zhì)。病毒每次傳染目標(biāo)時(shí)，嵌入宿主程序中的病毒程序大部分可變種，正由于這個(gè)特點(diǎn)，傳統(tǒng)的特征碼檢測(cè)病毒法開(kāi)始了新的探索研究。

在這個(gè)階段，病毒的發(fā)展主要集中在病毒技術(shù)的提高上，病毒開(kāi)始向多維化方向發(fā)展，對(duì)反病毒廠商也提出了新的挑戰(zhàn)。第15頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的發(fā)展階段—網(wǎng)絡(luò)病毒階段4網(wǎng)絡(luò)病毒階段1995年到2000年：隨著網(wǎng)絡(luò)的普及，大量的病毒開(kāi)始利用網(wǎng)絡(luò)傳播，蠕蟲(chóng)開(kāi)始大規(guī)模的傳播。由于網(wǎng)絡(luò)的便利和信息的共享，很快又出現(xiàn)了通過(guò)E-mail傳播的病毒。由于宏病毒編寫(xiě)簡(jiǎn)單、破壞性強(qiáng)、清除復(fù)雜，加上微軟未對(duì)WORD文檔結(jié)構(gòu)公開(kāi)，給清除宏病毒帶來(lái)了不便這一階段的病毒，主要是利用網(wǎng)絡(luò)來(lái)進(jìn)行傳播和破壞第16頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的發(fā)展階段—迅速壯大的階段5.迅速壯大的階段2000年以后：成熟繁榮階段，計(jì)算機(jī)病毒的更新和傳播手段更加多樣性，網(wǎng)絡(luò)病毒的目的性也更強(qiáng)出現(xiàn)了木馬，惡意軟件等特定目的的惡意程序特點(diǎn)：技術(shù)綜合利用，病毒變種速度大大加快惡意軟件和病毒程序直接把矛頭對(duì)向了殺毒軟件計(jì)算機(jī)病毒技術(shù)和反病毒技術(shù)的競(jìng)爭(zhēng)進(jìn)一步激化，反病毒技術(shù)也面臨著新的洗牌第17頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的起源與發(fā)展計(jì)算機(jī)病毒的定義與特征★計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的危害性計(jì)算機(jī)病毒分析★其他惡意程序第18頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的定義狹義定義計(jì)算機(jī)病毒是一種靠修改其它程序來(lái)插入或進(jìn)行自身拷貝，從而感染其它程序的一種程序。

——FredCohen博士對(duì)計(jì)算機(jī)病毒的定義。廣義定義能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)，影響計(jì)算機(jī)系統(tǒng)的正常使用的程序代碼。我國(guó)定義《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第二十八條：

"計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！钡?9頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的特征基本特征傳染性自我復(fù)制，通過(guò)多種渠道傳播潛伏性感染后不一定立刻發(fā)作依附于其他文件、程序、介質(zhì)，不被發(fā)現(xiàn)可觸發(fā)性觸發(fā)條件：日期、時(shí)間、文件類型破壞性破壞數(shù)據(jù)的完整性和可用性破壞數(shù)據(jù)的保密性系統(tǒng)和資源的可用性非授權(quán)可執(zhí)行性第20頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的特征其它特征寄生性寄生于其它文件、程序隱蔽性程序隱蔽、傳染隱蔽；不易被發(fā)現(xiàn)針對(duì)性*針對(duì)特定的計(jì)算機(jī)、特定的操作系統(tǒng)多態(tài)性*每一次感染后改變形態(tài)，檢測(cè)更困難持久性*難于清除第21頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的起源與發(fā)展計(jì)算機(jī)病毒的定義與特征★計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的危害性計(jì)算機(jī)病毒分析★其他惡意程序第22頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的分類按宿主分類按危害分類按傳播媒介分類按攻擊平臺(tái)分類第23頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的分類按宿主分類1)引導(dǎo)型病毒主引導(dǎo)區(qū)操作系統(tǒng)引導(dǎo)區(qū)2)文件型病毒操作系統(tǒng)應(yīng)用程序宏病毒

3)復(fù)合型病毒復(fù)合型病毒具有引導(dǎo)區(qū)型病毒和文件型病毒兩者的特征第24頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的分類按危害分類良性病毒如：小球病毒惡性病毒如：CIH病毒第25頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的分類按傳播媒介分類單機(jī)病毒DOS、Windows、Unix/Linux病毒等網(wǎng)絡(luò)病毒通過(guò)網(wǎng)絡(luò)或電子郵件傳播第26頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的分類按攻擊平臺(tái)分類DOS病毒：MS-DOS及兼容操作系統(tǒng)上編寫(xiě)的病毒W(wǎng)indows病毒：Win32上編寫(xiě)的純32位病毒程序MAC病毒Unix/Linux病毒第27頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的起源與發(fā)展計(jì)算機(jī)病毒的定義與特征★計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的危害性計(jì)算機(jī)病毒分析★其他惡意程序第28頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的危害性攻擊系統(tǒng)數(shù)據(jù)區(qū)攻擊部位包括硬盤(pán)主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表、文件目錄攻擊文件刪除、改名、替換內(nèi)容、丟失簇和對(duì)文件加密等攻擊內(nèi)存內(nèi)存是計(jì)算機(jī)的重要資源，也是病毒攻擊的重要目標(biāo)第29頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的危害性干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降如不執(zhí)行命令、打不開(kāi)文件干擾內(nèi)部命令的執(zhí)行、擾亂串并接口、虛假報(bào)警、強(qiáng)制游戲內(nèi)部棧溢出、重啟動(dòng)、死機(jī)病毒激活時(shí)，系統(tǒng)時(shí)間延遲程序啟動(dòng)，在時(shí)鐘中納入循環(huán)計(jì)數(shù)，迫使計(jì)算機(jī)空轉(zhuǎn)，運(yùn)行速度明顯下降干擾鍵盤(pán)、喇叭或屏幕，適用戶無(wú)法正常操作響鈴、封鎖鍵盤(pán)、換字、抹掉緩存區(qū)字符、輸入紊亂等。許多病毒運(yùn)行時(shí)，會(huì)使計(jì)算機(jī)的喇叭發(fā)出響聲病毒擾亂顯示的方式很多，如字符跌落、倒置、顯示前一屏、打開(kāi)對(duì)話框、光標(biāo)下跌、滾屏、抖動(dòng)、亂寫(xiě)等第30頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的危害性攻擊CMOS，破壞系統(tǒng)硬件有的病毒激活時(shí)，能夠?qū)MOS進(jìn)行寫(xiě)入動(dòng)作，破壞CMOS中的數(shù)據(jù)。例如CIH病毒破壞計(jì)算機(jī)硬件，亂寫(xiě)某些主板BIOS芯片，損壞硬盤(pán)干擾打印機(jī)如假報(bào)警、間斷性打印或更換字符干擾網(wǎng)絡(luò)正常運(yùn)行網(wǎng)絡(luò)病毒破壞網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬、阻塞網(wǎng)絡(luò)、造成拒絕服務(wù)等第31頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月歷年重大病毒影響情況病毒名稱出現(xiàn)時(shí)間造成的經(jīng)濟(jì)損失莫里斯蠕蟲(chóng)19886000臺(tái)電腦停機(jī)，9600萬(wàn)美元美麗莎1999超過(guò)12億美元愛(ài)蟲(chóng)2000100億美元紅色代碼2001超過(guò)20億美元求職信2001超過(guò)100億美元SQL蠕蟲(chóng)王2003超過(guò)20億美元第32頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的起源與發(fā)展計(jì)算機(jī)病毒的定義和特征★計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的危害性計(jì)算機(jī)病毒分析★其他惡意程序第33頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒分析計(jì)算機(jī)病毒的結(jié)構(gòu)及工作機(jī)理引導(dǎo)型病毒分析文件型病毒分析宏病毒分析蠕蟲(chóng)病毒分析特洛伊木馬分析第34頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月實(shí)錄超牛病毒破壞電腦世界最強(qiáng)電腦病毒模擬實(shí)驗(yàn)黑客入侵路由器不到五秒獲取銀行卡號(hào)第35頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月①計(jì)算機(jī)病毒的結(jié)構(gòu)及工作機(jī)理計(jì)算機(jī)病毒的結(jié)構(gòu)傳染條件判斷傳染代碼傳染模塊表現(xiàn)及破壞條件判斷破壞代碼表現(xiàn)模塊引導(dǎo)代碼引導(dǎo)模塊第36頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月①計(jì)算機(jī)病毒的結(jié)構(gòu)及工作機(jī)理引導(dǎo)過(guò)程也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進(jìn)入內(nèi)存，為傳染部分做準(zhǔn)備傳染過(guò)程作用是將病毒代碼復(fù)制到目標(biāo)上去。一般病毒在對(duì)目標(biāo)進(jìn)行傳染前，要首先判斷傳染條件是否滿足，判斷病毒是否已經(jīng)感染過(guò)該目標(biāo)等，如CIH病毒只針對(duì)Windows95/98操作系統(tǒng)表現(xiàn)過(guò)程是病毒間差異最大的部分，前兩部分是為這部分服務(wù)的。它破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)的設(shè)備上表現(xiàn)出特定的現(xiàn)象。大部分病毒都是在一定條件下才會(huì)觸發(fā)其表現(xiàn)部分的第37頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月②引導(dǎo)型病毒實(shí)例分析引導(dǎo)型病毒傳染機(jī)理利用系統(tǒng)啟動(dòng)的缺陷傳染目標(biāo)硬盤(pán)的主引導(dǎo)區(qū)和引導(dǎo)區(qū)軟盤(pán)的引導(dǎo)區(qū)傳染途徑通過(guò)軟盤(pán)啟動(dòng)計(jì)算機(jī)防治辦法從C盤(pán)啟動(dòng)打開(kāi)主板的方病毒功能典型病毒小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒第38頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月。病毒②引導(dǎo)型病毒分析引導(dǎo)型病毒——感染與執(zhí)行過(guò)程系統(tǒng)引導(dǎo)區(qū)引導(dǎo)正常執(zhí)行病毒病毒執(zhí)行病毒駐留帶毒執(zhí)行。。。引導(dǎo)系統(tǒng)病毒體。。。第39頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月③文件型病毒分析文件型病毒傳染機(jī)理：利用系統(tǒng)加載執(zhí)行文件的缺陷傳染目標(biāo)：各種能夠獲得系統(tǒng)控制權(quán)執(zhí)行的文件傳染途徑：各種存儲(chǔ)介質(zhì)、網(wǎng)絡(luò)、電子郵件防治辦法使用具有實(shí)時(shí)監(jiān)控功能的殺毒軟件不要輕易打開(kāi)郵件附件典型病毒1575病毒、CIH病毒第40頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月③文件型病毒分析文件型病毒 文件型病毒與引導(dǎo)扇區(qū)病毒區(qū)別是：它攻擊磁盤(pán)上的文件第41頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月③文件型病毒分析文件型病毒——傳染機(jī)理正常程序正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭正常程序程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序頭程序頭病毒程序程序頭病毒程序程序頭病毒程序程序頭病毒程序程序頭病毒程序病毒程序病毒程序正常程序程序頭程序頭第42頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月④宏病毒分析宏病毒定義：宏病毒是指利用軟件所支持的宏命令或語(yǔ)言書(shū)寫(xiě)的一段寄生在支持宏的文檔上的，具有復(fù)制、傳染能力的宏代碼跨平臺(tái)式計(jì)算機(jī)病毒：可以在Windows9X、WindowsNT、OS/2和Unix、Mac等操作系統(tǒng)上執(zhí)行病毒行為影響系統(tǒng)的性能以及對(duì)文檔的各種操作，如打開(kāi)、存儲(chǔ)、關(guān)閉或清除等宏病毒對(duì)病毒而言是一次革命。現(xiàn)在通過(guò)E-mail、3W的互聯(lián)能力及宏語(yǔ)言的進(jìn)一步強(qiáng)化，極大地增強(qiáng)了它的傳播能力第43頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月④宏病毒分析宏病毒——工作機(jī)理 有毒文件.docNormal.dot激活autoopen宏寫(xiě)入無(wú)毒文件.docNormal.dot啟動(dòng)激活病毒第44頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月⑤蠕蟲(chóng)病毒分析蠕蟲(chóng)病毒一個(gè)獨(dú)立的計(jì)算機(jī)程序，不需要宿主自我復(fù)制，自主傳播（Mobile）占用系統(tǒng)或網(wǎng)絡(luò)資源、破壞其他程序不偽裝成其他程序，靠自主傳播利用系統(tǒng)漏洞；利用電子郵件（無(wú)需用戶參與）第45頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月⑤蠕蟲(chóng)病毒分析蠕蟲(chóng)病毒傳染機(jī)理：利用系統(tǒng)或服務(wù)的漏洞傳染目標(biāo)：操作系統(tǒng)或應(yīng)用服務(wù)傳染途徑：網(wǎng)絡(luò)、電子郵件防治辦法使用具有實(shí)時(shí)監(jiān)控功能的殺毒軟件不要輕易打開(kāi)郵件附件打最新補(bǔ)丁，更新系統(tǒng)典型病毒RedCode，尼姆達(dá)、沖擊波等第46頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月⑥特洛伊木馬分析特洛伊木馬程序名字來(lái)源：古希臘故事通過(guò)偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個(gè)遠(yuǎn)程控制的后門(mén)沒(méi)有自我復(fù)制的功能非自主傳播用戶主動(dòng)發(fā)送給其他人放到網(wǎng)站上由用戶下載第47頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月⑥特洛伊木馬分析特洛伊木馬程序傳播途徑通過(guò)網(wǎng)絡(luò)下載、電子郵件防治辦法使用具有實(shí)時(shí)監(jiān)控功能的殺毒軟件不要輕易打開(kāi)郵件附件不要輕易運(yùn)行來(lái)路不明的文件典型例子BO、BO2k、Subseven、冰河、廣外女生等第48頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月病毒、蠕蟲(chóng)與木馬的比較需要不需要需要宿主留下后門(mén)，竊取信息侵占資源,造成拒絕服務(wù)破壞數(shù)據(jù)完整性、系統(tǒng)完整性主要危害慢

極快快傳播速度依靠用戶主動(dòng)傳播自主傳播依賴宿主文件或介質(zhì)傳播方式偽裝成其它文件獨(dú)立的文件一般不以文件形式存在表現(xiàn)形式木馬蠕蟲(chóng)病毒特性第49頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月計(jì)算機(jī)病毒的起源與發(fā)展計(jì)算機(jī)病毒的定義和特征★計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的危害性計(jì)算機(jī)病毒分析★其他惡意程序第50頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月其他惡意程序后門(mén)(Backdoor)一種能讓黑客未經(jīng)授權(quán)進(jìn)入和使用本系統(tǒng)的惡意程序僵尸(Bot)一種集后門(mén)與蠕蟲(chóng)一體的惡意程序.通常使用IRC(InternetRelayChat)接受和執(zhí)行黑客命令廣告軟件/間諜軟件第51頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月①后門(mén)具有反偵測(cè)能力隱藏文件,進(jìn)程,網(wǎng)絡(luò)端口和連接,系統(tǒng)設(shè)置,系統(tǒng)服務(wù)可以在惡意程序之中,例如Berbew；也有獨(dú)立軟件,例如HackderDefender為控制者提供遠(yuǎn)程操作能力第52頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月②僵尸僵尸生態(tài)系統(tǒng)僵尸僵尸網(wǎng)管理通道看守者從MyDoom.A開(kāi)始進(jìn)入鼎盛期打開(kāi)后門(mén)TCPport3127-3198下載和執(zhí)行程序利用被感染的計(jì)算機(jī)散發(fā)電子郵件數(shù)以百萬(wàn)計(jì)的感染計(jì)算機(jī)被出賣給了垃圾郵件的制造者第53頁(yè)，課件共62頁(yè)，創(chuàng)作于2023年2月②僵尸——僵尸網(wǎng)發(fā)展趨勢(shì)1）源代碼可在網(wǎng)上免費(fèi)下載2）管理方式的變化:過(guò)去:集中管理一個(gè)IRC服務(wù)器管理所有僵尸關(guān)閉服務(wù)器就破壞了僵尸網(wǎng)現(xiàn)在:提升注冊(cè)多個(gè)IRC服務(wù)器通訊加密(AES-128或更強(qiáng))今后:分布式(P2P)管理對(duì)照分析:Napster:集中管理,容易被關(guān)閉eDonkey:分布式管理,不容易被關(guān)閉第54頁(yè)，課