第7章计算机病毒.ppt

《第7章计算机病毒.ppt》由会员分享，可在线阅读，更多相关《第7章计算机病毒.ppt（53页珍藏版）》请在优知文库上搜索。

1、2023-11-161第7章 计算机病毒本章要点：计算机病毒概述 计算机病毒的分类 计算机病毒的工作原理 反病毒技术 常见计算机病毒介绍 常用杀毒软件2023-11-1627.1 计算机病毒概述计算机病毒的定义 计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒的发展历史2023-11-163 计算机病毒的危害 破坏磁盘文件分配表 删除软盘或磁盘上的可执行文件或数据文件，使文件丢失 修改或破坏文件中的数据 产生垃圾文件，占据磁盘空间，使磁盘空间逐渐减少 破坏硬盘的主引导扇区，使计算机无法启动 对整个磁盘或

2、磁盘的特定扇区进行格式化，使磁盘中的全部或部分信息丢失 破坏计算机主板上的BIOS内容，使计算机无法正常工作 破坏网络中的资源 占用CPU运行时间，使运行效率降低 破坏屏幕正常显示，干扰用户的操作 破坏键盘的输入程序，使用户的正常输入出现错误 破坏系统设置或对系统信息加密，使用户系统工作紊乱 2023-11-164计算机病毒的特征 传染性潜伏性破坏性隐蔽性触发性衍生性寄生性持久性 2023-11-165按照病毒的传染途径进行分类，可划分为引导型病毒、文件型病毒和混合型病毒:引导型病毒 文件型病毒 混合型病毒 按照病毒的传播媒介分类:单机病毒 网络病毒 按照病毒的表现性质分类:良性病毒恶性病毒

3、7.2 计算机病毒的分类2023-11-166按照病毒破坏的能力分类:无害型病毒 无危险型病毒 危险型病毒 非常危险型病毒 按照病毒的攻击对象分类:攻击DOS的病毒 攻击 Windows的病毒攻击网络的病毒 7.2 计算机病毒的分类2023-11-167计算机病毒的结构:引导部分 传染部分 表现部分 引导型病毒的工作原理:加载过程传染过程破坏过程文件型病毒的工作原理:加载过程 传染过程 发作过程 7.3 计算机病毒的工作原理2023-11-1687.4 反病毒技术反病毒技术的发展 第一代反病毒技术是采取单纯的病毒特征代码分析，将病毒从带毒文件中清除掉。第二代反病毒技术是采用静态广谱特征扫描方法

4、检测病毒表现部分。第三代反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一。第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理。2023-11-1697.4 反病毒技术从杀毒技术上来讲，当前，最流行的杀毒软件都是一个扫描器，扫描的算法有多种，通常为了使杀毒软件功能更强大，会结合使用好几种扫描方法。简单特征码80年代末期，基于个人电脑病毒的诞生，随即就有了清除病毒的工具反病毒软件。这一时期，病毒所使用的技术还比较简单，从而检测相对容易，最广泛使用的就是特征码匹配的方法。特征码是什么呢？比如说，“如果在第10

5、34字节处是下面的内容：0 xec,0 x99,0 x80,0 x99，就表示是大麻病毒。”这就是特征码，一串表明病毒自身特征的十六进制的字串。特征码一般都选得很长，有时可达数十字节，一般也会选取多个，以保证正确判断。杀毒软件通过利用特征串，可以非常容易的查出病毒。2023-11-16107.4 反病毒技术广谱特征为了躲避杀毒软件的查杀，电脑病毒开始进化。病毒为了躲避杀毒软件的查杀，逐渐演变为变形的形式，每感染一次，就对自身变一次形，通过对自身的变形来躲避查杀。这样一来，同一种病毒的变种病毒大量增加，甚至可以到达天文数字的量级。大量的变形病毒不同形态之间甚至可以做到没有超过三个连续字节是相同的

6、。为了对付这种情况，首先特征码的获取不可能再是简单的取出一段代码来，而是分段的，中间可以包含任意的内容（也就是增加了一些不参加比较的“掩码字节”，在出现“掩码字节”的地方，出现什么内容都不参加比较）。这就是曾经提出的广谱特征码的概念。这个技术在一段时间内，对于处理某些变形的病毒提供了一种方法，但是也使误报率大大增加，所以采用广谱特征码的技术目前已不能有效的对新病毒进行查杀，并且还可能把正规程序当作病毒误报给用户.2023-11-16117.4 反病毒技术启发式扫描 为了对付病毒的不断变化和对未知病毒的研究，启发式扫描方式出现了。启发式扫描是通过分析指令出现的顺序，或特定组合情况等常见病毒的标准

7、特征来决定文件是否感染未知病毒。因为病毒要达到感染和破坏的目的，通常的行为都会有一定的特征，例如非常规读写文件，终结自身，非常规切入零环等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。这种启发式扫描比起静态的特征码扫描要先进的多，可以达到一定的未知病毒处理能力，但还是会有不准确的时候。特别是因为无法确定一定是病毒，而不可能做未知病毒杀毒。2023-11-16127.4 反病毒技术行为判定 针对变形病毒、未知病毒等复杂的病毒情况，极少数杀毒软件采用了虚拟机技术，达到了对未知病毒良好的查杀效果。它实际上是一种可控的，由软件模拟出来的程序虚拟运行环境，就像我们看的电影黑客帝

8、国一样。在这一环境中虚拟执行的程序，就像生活在母体(Matrix)中的人，不论好坏，其一切行为都是受到建筑师(architect)控制的。虽然病毒通过各种方式来躲避杀毒软件，但是当它运行在虚拟机中时，它并不知道自己的一切行为都在被虚拟机所监控，所以当它在虚拟机中脱去伪装进行传染时，就会被虚拟机所发现，如此一来，利用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。2023-11-16137.4 反病毒技术CRC检查:循环冗余校验CRC(Cyclic Redundancy Check)是对一个传送数据块进行高效的差错控制方法。CRC扫描的原理是计算磁盘中的实际文件或系统扇区的CRC值(检验和

9、)，这些CRC值被杀毒软件保存到自己的数据库中，在运行杀毒软件时，用备份的CRC值与当前计算的值比较，这样就可以知道文件是否已经修改或被病毒感染。2023-11-16147.4 反病毒技术虚拟机(行为判定)就像是一个侦探，可以根据对人的行为识别犯罪活动；启发式扫描就像是警察，看你身上携带了枪支而怀疑你；广谱特征是拿着照片追查已知的罪犯，但是会注意是否带了假发或者墨镜来逃避检查；而特征码识别就只是通过对人的外貌来判断。2023-11-1615病毒防治常用方法1计算机内要运行实时的监控软件和防火墙软件。当然，这些软件必须是正版的。例如：瑞星、KV、诺顿、金山毒霸、卡巴斯基等杀毒软件；2要及时的升级

10、杀毒软件的病毒库；3如果用的是Windows操作系统，最好经常到微软网站查看有无最新发布的补丁，以便及时升级；4不要打开来历不明的邮件，特别是有些附件；5接收远程文件时，不要直接将文件写入硬盘，最好将远程文件先存入软盘，然后对其进行杀毒，确认无毒后再拷贝到硬盘中。6尽量不要共享文件或数据。7最后，就是要对重要的数据和文件做好备份，最好是设定一个特定的时间，例如每晚12:00，系统自动对当天的数据进行备份；2023-11-16167.4.3 Windows病毒防范技术1经常对系统升级并经常浏览微软的网站去下载最新补丁2正确配置Windows操作系统在安装完Windows操作系统以后，一定要对系统

11、进行配置，这对Windows操作系统防病毒起着至关重要的作用，正确的配置也可以使Windows操作系统免遭病毒的侵害。(1)正确配置网络。(2)正确配置服务3利用Windows系统自带的工具(1)利用注册表工具(2)利用Msinfo32.exe命令(查看全面的系统信息)2023-11-16177.4.3 Windows病毒防范技术2023-11-16187.5 典 型 病 毒7.5.1 蠕虫病毒1.蠕虫病毒的定义2.蠕虫病毒与一般病毒的异同 下表给出了蠕虫病毒和普通病毒的区别。普通病毒普通病毒蠕虫病毒蠕虫病毒存在形式存在形式寄存文件寄存文件独立程序独立程序传染机制传染机制宿主程序运行宿主程序运

12、行指令代码执行直接攻击指令代码执行直接攻击传染目标传染目标本地文件本地文件网络上的计算机网络上的计算机2023-11-16197.5.1 蠕虫病毒3.蠕虫造成的破坏4.蠕虫病毒的特点和发展趋势1)利用操作系统和应用程序的漏洞主动进行攻击2)传播方式多样3)病毒制作技术与传统的病毒不同4)与黑客技术相结合5.网络蠕虫病毒分析和防范1)利用系统漏洞的恶性蠕虫病毒分析2)企业防范蠕虫病毒措施 3)对个人用户产生直接威胁的蠕虫病毒4)个人用户对蠕虫病毒的防范措施2023-11-16207.5.2 网页脚本病毒1.脚本病毒的定义脚本病毒是指利用.asp、.htm、.html、.vbs、.js类型的文件进

13、行传播的基于VB Script和Java Script脚本语言并由Windows Scripting Host解释执行的一类病毒。2.脚本病毒的特点(1)编写简单。(2)破坏力大。(3)感染力强。(4)传播范围大。(5)病毒源码容易被获取，变种多。(6)欺骗性强。(7)病毒生产机实现起来非常容易。2023-11-16217.5.2 网页脚本病毒3.VBS脚本病毒原理分析1)VBS脚本病毒如何感染、搜索文件2)VBS脚本病毒通过网络传播的几种方式及代码分析(1)通过E-mail附件传播。(2)通过局域网共享传播。(3)通过感染htm、asp、jsp、php等网页文件传播。2023-11-1622

14、7.5.2 网页脚本病毒4.防范脚本病毒的安全建议(1)养成良好的上网习惯，不浏览不熟悉的网站，尤其是一些个人主页和色情网站，从根本上减少被病毒侵害的机会。(2)选择安装适合自身情况的主流厂商的杀毒软件，安装个人防火墙，在上网前打开“实时监控功能”，尤其要打开“网页监控”和“注册表监控”两项功能。(3)将正常的注册表进行备份，或者下载注册表修复程序，一旦出现异常情况，马上进行相应的修复。(4)如果发现不良网站，立刻向有关部门报告，同时将网站添加到“黑名单”中，如图4-1所示。2023-11-16237.5.2 网页脚本病毒(5)提高IE等浏览器的安全级别。将IE的安全级别设置为“高”，如图所示

15、。2023-11-16247.5.3 即时通讯病毒1.即时通讯病毒的特点及分类1)更强的隐蔽性2)攻击更加便利3)更快的传播速度2023-11-16257.5.3 即时通讯病毒2.防范即时通讯病毒的安全建议(1)尽量不要在公共场合使用IM软件(2)随时注意微软公司官方的安全公告，及时下载更新系统漏洞补丁，不给病毒制造者以可乘之机。(3)养成良好的上网习惯，时刻提高警惕。(4)制定适合公司环境的内部信息交换规范，严格管理并实时监测内部员工IM软件的使用情况。(5)关闭或删除系统中不需要的服务。(6)建议使用8位以上的复杂密码。(7)当发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成

16、为传播源，感染其他计算机。(8)使用最新版本的主流信息安全产品，提高系统安全级别。2023-11-16267.5.4 木马病毒1.木马病毒的定义计算机世界的特洛伊木马(Trojan)病毒(也叫黑客程序或后门病毒)是指隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件、发送密码、记录键盘和攻击等功能，会使用户系统被破坏甚至瘫痪。2023-11-16277.5.4 木马病毒2.木马病毒的工作原理木马病毒一般分为客户端(Client)和服务器端(Server)两部分。服务器端收到请求后会根据请求执行相应的操作，其中包括：查看文件系统，修改、删除、获取文件；查看系统注册表，修改系统配置；截取计算机的屏幕显示，并且发送给控制端；查看系统中的进程，启动和停止进程；控制计算机的键盘、鼠标或其他硬件设备的动作；以本机为跳板，攻击网络中的其他计算机；通过网络下载新的病毒文件。2023-11-16287.5.4 木马病毒3.木马病毒的危害及特点1)隐蔽性2)自动运行性3)欺骗性4)自动恢复5)自动打开端口6)功能的特殊性2023-11-16297.5.4 木马病毒4.防范木马病毒的安全建议(