第3章 计算机病毒优秀PPT.ppt

第3章 计算机病毒现在学习的是第1页，共20页3.1.2计算机病毒的发展历史计算机病毒的发展历史 计算机病毒的发展经历了以下几个主要阶段：计算机病毒的发展经历了以下几个主要阶段：萌芽阶段（萌芽阶段（19861986年年19891989年）年）综合发展阶段（综合发展阶段（19891989年年19921992年）年）成熟发展阶段（成熟发展阶段（19921992年年19951995年）年）InternetInternet阶段（阶段（19951995年以后）年以后）现在学习的是第2页，共20页 3.2计算机病毒的分类计算机病毒的分类3.2.1按照计算机病毒攻击的系统分类按照计算机病毒攻击的系统分类 1 1攻攻击击DOSDOS系系统统的病毒的病毒2 2攻攻击击WindowsWindows系系统统的病毒的病毒3 3攻攻击击UNIX/LinuxUNIX/Linux系系统统的病毒的病毒4 4攻攻击击OS/2OS/2系系统统的病毒的病毒5 5攻攻击击MacintoshMacintosh系系统统的病毒的病毒6 6其他操作系其他操作系统统上的病毒上的病毒现在学习的是第3页，共20页3.2.2按照病毒的攻击机型分类按照病毒的攻击机型分类 1攻击微型计算机的病毒攻击微型计算机的病毒2攻击小型机的计算机病毒攻击小型机的计算机病毒3 3攻击工作站的计算机病毒攻击工作站的计算机病毒3.2.3 3.2.3 按照计算机病毒的链接方式分类按照计算机病毒的链接方式分类1 1源码型病毒源码型病毒2 2嵌入型病毒嵌入型病毒3 3外壳型病毒外壳型病毒 4 4操作系统型病毒操作系统型病毒 现在学习的是第4页，共20页3.2.4 3.2.4 按照计算机病毒的破坏情况分类按照计算机病毒的破坏情况分类 1良性计算机病毒良性计算机病毒 2 2恶性计算机病毒恶性计算机病毒 3.2.5 3.2.5 按照计算机病毒的寄生部位或传染对象分类按照计算机病毒的寄生部位或传染对象分类 1 1磁盘引导区传染的计算机病毒磁盘引导区传染的计算机病毒 2 2操作系统传染的计算机病毒操作系统传染的计算机病毒 3 3可执行程序传染的计算机病毒可执行程序传染的计算机病毒3.2.6 3.2.6 按照计算机病毒激活的时间分类按照计算机病毒激活的时间分类 1 1定时病毒定时病毒 2 2随机病毒随机病毒 3.2.7 3.2.7 按照计算机病毒传播的媒介分类按照计算机病毒传播的媒介分类 1 1单机病毒单机病毒 2 2网络病毒网络病毒 3.2.8 3.2.8 按照计算机病毒寄生方式和传染途径分类按照计算机病毒寄生方式和传染途径分类 1 1引导型病毒引导型病毒 2 2文件型病毒文件型病毒 3 3混合型病毒混合型病毒 现在学习的是第5页，共20页 3.2.9 3.2.9 按照计算机病毒特有的算法分类按照计算机病毒特有的算法分类 1伴随型病毒伴随型病毒 2“蠕虫蠕虫”型病毒型病毒 3寄生型病毒寄生型病毒 4练习型病毒练习型病毒 5诡秘型病毒诡秘型病毒 6变型病毒（又称幽灵病毒）变型病毒（又称幽灵病毒）3.2.10 3.2.10 按照计算机病毒破坏的能力分类按照计算机病毒破坏的能力分类 1无害型无害型 2无危险型无危险型 3危险型危险型 4非常危险型非常危险型 现在学习的是第6页，共20页3.3计算机病毒的原理计算机病毒的原理3.3.1计算机病毒的工作原理计算机病毒的工作原理 计计算算机机病病毒毒的的产产生生过过程程可可分分为为：程程序序设设计计-传传播播-潜潜伏伏-触触发发、运运行行-实实行行攻攻击击。计计算机病毒从生成开始到完全根除结束也存在一个生命周期。算机病毒从生成开始到完全根除结束也存在一个生命周期。开发期开发期 传染期传染期 潜伏期潜伏期 发作期发作期 发现期发现期 同化期同化期 消亡期消亡期现在学习的是第7页，共20页 2计算机病毒基本环节计算机病毒基本环节 计计算算机机有有病病毒毒有有自自己己的的生生命命周周期期，实实际际上上，计计算算机机病病毒毒要要完完成成一一次次完完整整的的传传播播破破坏坏过过程程，必必须须经经过过“分分发发拷拷贝贝、潜潜伏伏繁繁殖殖、破破坏坏表表现现”几几个个环环节节，任任何何一一个个环环节节都都可可以以抑抑制制病病毒毒的的传传播播、蔓蔓延延，或者清除病毒。与这个环节相关的概念为：或者清除病毒。与这个环节相关的概念为：（1 1）传染源）传染源 （2 2）传播途径）传播途径 （3 3）传染）传染 （4 4）病毒激活）病毒激活 （5 5）病毒触发）病毒触发 （6 6）病毒表现）病毒表现现在学习的是第8页，共20页 3 3计算机病毒的逻辑结构计算机病毒的逻辑结构 计计算算机机病病毒毒是是以以现现代代计计算算机机网网络络为为环环境境而而存存在在并并发发展展的的，即即计计算算机机系系统统软软、硬硬件件环环境境决决定定了了计计算算机机病病毒毒的的结结构构，而而这这种种结结构构是是能能够够充充分分利利用用系系统统资资源源进进行行活活动动的的最最合合理理体体现现。计计算算机机病病毒毒一一般般由由感感染染标标志志（病病毒毒签名）、引导模块、感染模块和破坏模块（表现模块）签名）、引导模块、感染模块和破坏模块（表现模块）4 4个部分组成。个部分组成。现在学习的是第9页，共20页4 4计算机病毒的工作原理计算机病毒的工作原理 （1 1）DOSDOS病毒的原理病毒的原理 （2 2）WindowsWindows病毒的原理病毒的原理 PEPE病病毒毒基基本本上上需需要要具具有有重重定定位位、截截获获APIAPI函函数数地地址址、搜搜索索感感染目标文件、内存文件映射、实施感染等功能。染目标文件、内存文件映射、实施感染等功能。现在学习的是第10页，共20页3.3.2计算机病毒的特征计算机病毒的特征1 1传染性传染性 2 2隐蔽性隐蔽性 3 3破坏性破坏性 4 4潜伏性潜伏性 5 5衍生性衍生性 6 6寄生性寄生性 7 7针对性针对性 8 8非授权性非授权性 9 9不可预见性不可预见性 1010可控性可控性 1111可执行性可执行性 1212攻击的主动性攻击的主动性 1313欺骗性欺骗性 现在学习的是第11页，共20页3.3.3计算机病毒的破坏行为计算机病毒的破坏行为 （1 1）攻击系统数据区）攻击系统数据区（2 2）干扰系统运行，使运行速度下降。）干扰系统运行，使运行速度下降。（3 3）攻击文件）攻击文件（4 4）抢占系统资源）抢占系统资源（5 5）干扰）干扰I/OI/O设备，篡改预定设置以及扰乱运行设备，篡改预定设置以及扰乱运行（6 6）导致系统性能下降）导致系统性能下降（7 7）攻）攻击击存存储储器器（8 8）破坏）破坏CMOSCMOS中的数据中的数据（9 9）破破坏坏网网络络系系统统，非非法法使使用用网网络络资资源源，破破坏坏电电子子邮邮件件，发发送送垃垃圾圾信信息息，占用网占用网络络带宽等。带宽等。现在学习的是第12页，共20页3.4计算机网络病毒计算机网络病毒 3.4.1计算机网络病毒的定义计算机网络病毒的定义 从从广广义义上上来来说说，计计算算机机网网络络病病毒毒是是指指利利用用网网络络进进行行传传播播的的一一类类病病毒毒的的总总称称。网网络络在在与与人人方方便便的的同同时时，也也成成了了传传播播病病毒毒的的最最佳佳渠渠道道，它它可可使使病病毒毒迅迅速速地地从从一一台台主主机机传传染染到到另另一一台台主主机机，瞬瞬间间就就会会影影响响整整个个网网络络。一一个个网网络络只只要要有有一一个个入入口口点点，那那么么就就很很有有可可能能感感染染上上网网络络病病毒毒，使病毒在网络中传播扩散，甚至破坏整个系统。使病毒在网络中传播扩散，甚至破坏整个系统。严严格格地地说说，通通过过网网络络传传播播的的病病毒毒并并不不一一定定是是网网络络病病毒毒。而而“蠕蠕虫虫”等等以以网网络络为为平平台台，能能在在网网络络中中传传播播、复复制制及及破破坏坏的的病病毒毒才才是是真真正正的的网网络络病病毒毒。网网络络病病毒毒与与单单机机计计算算机机病病毒毒是是有有较较大大的的区区别别的的，网网络络病病毒毒使使用用网网络络协协议议进进行行传传播播，它它们们通通常常不不修修改改系系统统文文件件或或硬硬盘盘的的引引导导区区。计计算算机机网网络络病病毒毒感感染染客客户户机机的的内内存存，强强制制这这些些计计算算机机向向网网络络中中发发送送大大量量信信息息，因因而而可可能能导导致致网网络络速速度度下下降降甚甚至至瘫瘫痪痪。由由于于网网络络病病毒毒保保留留在在内内存存中，因此传统的基于磁盘的文件中，因此传统的基于磁盘的文件I/O I/O 扫描方法通常无法检测到它们。扫描方法通常无法检测到它们。现在学习的是第13页，共20页3.4.2网络病毒的特点网络病毒的特点1破坏性强破坏性强2传播性极强传播性极强3扩散面广扩散面广4传染速度快传染速度快5清除难度大清除难度大6传染方式多传染方式多现在学习的是第14页，共20页3.4.3网络病毒的分类网络病毒的分类 1按类型分类按类型分类 目前流行的网络病毒从类型上主要分为木马病毒和蠕虫病毒：目前流行的网络病毒从类型上主要分为木马病毒和蠕虫病毒：（1 1）木木马马病病毒毒实实际际上上是是一一种种后后门门程程序序，他他常常常常潜潜伏伏在在操操作作系系统统中中监监视视用用户户的的各各种种操操作作，窃窃取取用用户户的的隐隐私私信信息息，如如QQQQ、游游戏戏账账号号，甚甚至至网网上上银银行行的的账账号号和和密码等。密码等。（2 2）蠕蠕虫虫病病毒毒是是一一种种典典型型的的网网络络病病毒毒，它它可可以以通通过过多多种种方方式式进进行行传传播播，甚甚至至是是利利用用操操作作系系统统和和应应用用程程序序的的漏漏洞洞主主动动进进行行攻攻击击，每每种种蠕蠕虫虫都都包包含含一一个个扫扫描描功功能能模模块块负负责责探探测测存存在在漏漏洞洞的的主主机机，在在网网络络中中扫扫描描到到存存在在该该漏漏洞洞的的计计算算机机后后就就马马上上传传播播出去。出去。这这点点也也使使得得蠕蠕虫虫病病毒毒危危害害性性非非常常大大，可可以以说说网网络络中中一一台台计计算算机机感感染染了了蠕蠕虫虫病病毒毒可可以以在在一一分分钟钟内内将将网网络络中中所所有有存存在在该该漏漏洞洞的的计计算算机机进进行行感感染染。由由于于蠕蠕虫虫发发送送大大量量传传播播数数据据包包，所所以以被被蠕蠕虫虫感感染染了了的的网网络络速速度度非非常常缓缓慢慢，被被蠕蠕虫虫感感染了的计算机也会因为染了的计算机也会因为CPU和内存占用过高而接近死机状态。和内存占用过高而接近死机状态。现在学习的是第15页，共20页 2按传播途径分类按传播途径分类 网络病毒按照传播途径可分为邮件型病毒和漏洞型病毒：网络病毒按照传播途径可分为邮件型病毒和漏洞型病毒：（1 1）邮邮件件病病毒毒是是通通过过电电子子邮邮件件进进行行传传播播的的，病病毒毒将将自自身身隐隐藏藏在在邮邮件件的的附附件件中中并并伪伪造造虚虚假假信信息息欺欺骗骗用用户户打打开开该该附附件件从从而而感感染染病病毒毒，当当然然有有的的邮邮件件性性病病毒毒利利用用的的是是浏浏览览器器的的漏漏洞洞来来实实现现。这这时时用用户户即即使使没没有有打打开开邮邮件件中中的的病病毒毒附附件件而仅仅浏览了邮件内容，由于浏览器存在漏洞也会让病毒趁虚而入。而仅仅浏览了邮件内容，由于浏览器存在漏洞也会让病毒趁虚而入。（2 2）漏漏洞洞病病毒毒。目目前前应应用用最最广广泛泛的的WindowsWindows操操作作系系统统存存在在着着非非常常多多的的漏漏洞洞。这这类类病病毒毒就就利利用用了了的的系系统统漏漏洞洞进进行行传传播播和和破破坏坏活活动动，漏漏洞洞型型病病毒毒则则更更加加可可怕怕，即即使使用用户户没没有有运运行行非非法法软软件件、没没有有打打开开邮邮件件浏浏览览，只只要要连连接接到到网网络络中中，漏漏洞洞型型病病毒毒就就会会利利用用操操作作系系统统的的漏漏洞洞进进入入客客户户机机。如如2004年年风风靡靡的的“冲冲击击波波”和和“震震荡荡波波”病病毒毒就就是是漏漏洞洞型型病病毒毒的的一一种种，他他们们使使全全世世界界网网络络计计算算机机的的瘫瘫痪痪，造造成了巨大的经济损失。成了巨大的经济损失。现在学习的是第16页，共20页3.5计算机病毒的检测与预防计算机病毒的检测与预防 3.5.1计算机病毒的表现计算机病毒的表现 1计算机病毒发作前的表现计算机病毒发作前的表现 2计算机病毒发作时的表现计算机病毒发作时的表现 3计算机病毒发作后的表现计算机病毒发作后的表现 3.5.2 3.5.2 计算机病毒的检测技术计算机病毒的检测技术 1计算机病毒检测技术计算机病毒检测技术 计计算算机机病病毒毒检检测测，从从技技术术上上可可分分为为指指令令特特征征检检测测、功功能能特特征征检检测测和和文件完整性检测三种。文件完整性检测三种。现在学习的是第17页，共20页2反病毒软件常用技术反病毒软件常用技术（1 1）病毒码扫描法）病毒码扫描法（2 2）加总比对法（）加总比对法（Check-sumCheck-sum）（3 3）人工智能陷阱）人工智能陷阱（4 4）软件模拟扫描法）软件模拟扫描法（5 5）VICEVICE（Virus Instruction Code EmulationVirus Instruction Code Emulation）先知扫描法先知扫描法（6 6）实时）实时I/OI/O扫描（扫描（Realtime I/O ScanRealtime I/O Scan）现在学习的是第18页，共20页3.5.3计算机病毒的防范计算机病毒的防范 1 1计算机病毒的防治技术计算机病毒的防治技术 （1 1）计算机病毒的预防技术）计算机病毒的预防技术 （2 2）计算机病毒的检测技术）计算机病毒的检测技术 （3 3）计算机病毒的清除技术）计算机病毒的清除技术 （4 4）计算机病毒的免疫技术）计算机病毒的免疫技术 2 2计算机病毒的防范策略计算机病毒的防范策略 （1 1）提高防毒意识）提高防毒意识 （2 2）立足网络，以防为本）立足网络，以防为本 （3 3）多层防御）多层防御 （4 4）与网络管理集成）与网络管理集成 （5 5）在网关、服务器上防御）在网关、服务器上防御 现在学习的是第19页，共20页3 3企业信息系统防病毒方案企业信息系统防病毒方案 （1 1）病毒查杀能力）病毒查杀能力（2 2）对新病毒的反应能力）对新病毒的反应能力（3 3）病毒实时监测能力）病毒实时监测能力（4 4）快速、方便的升级）快速、方便的升级（5 5）智能安装、远程识别）智能安装、远程识别（6 6）管理方便，易于操作）管理方便，易于操作（7 7）对现有资源的占用情况）对现有资源的占用情况（8 8）系统兼容性）系统兼容性（9 9）软件的价格）软件的价格（1010）软件商的企业实力）软件商的企业实力现在学习的是第20页，共20页