项目4计算机病毒与木马防护ppt课件.ppt

《项目4计算机病毒与木马防护ppt课件.ppt》由会员分享，可在线阅读，更多相关《项目4计算机病毒与木马防护ppt课件.ppt（53页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、在此输入您的封面副标题项目4 计算机病毒与木马防护计算机网络安全项目教程项目项目1 1认识网络安全认识网络安全主 讲：XXXQ Q：XXXXXTEL ：XXXXXXX计算机网络计算机网络安全项目教程安全项目教程项目4 计算机病毒与木马防护1.1 项目导入 随着各种新的网络技术的不断应用和迅速发展随着各种新的网络技术的不断应用和迅速发展, 计计算机网络的应用范围变得越来越广泛算机网络的应用范围变得越来越广泛, 所起的作用所起的作用越来越重要。而随着计算机技术的不断发展越来越重要。而随着计算机技术的不断发展, 病毒病毒也变得越来越复杂和高级也变得越来越复杂和高级, 新一代的计算机病毒充新一代的计算

2、机病毒充分利用某些常用操作系统与应用软件的低防护性分利用某些常用操作系统与应用软件的低防护性的弱点不断肆虐的弱点不断肆虐, 最近几年随着因特网在全球的普最近几年随着因特网在全球的普及及,通过网络传播病毒通过网络传播病毒, 使得病毒的扩散速度也急使得病毒的扩散速度也急骤提高骤提高, 受感染的范围越来越广。因此受感染的范围越来越广。因此, 计算机网计算机网络的安全保护将会变得越来越重要。络的安全保护将会变得越来越重要。1.2 职业能力目标和要求掌握计算机病毒的类别、结构与特点。掌握计算机病毒的类别、结构与特点。掌握计算机病毒的检测与防范。掌握计算机病毒的检测与防范。掌握杀毒软件的使用。掌握杀毒软件

3、的使用。掌握综合检测与清除病毒的方法掌握综合检测与清除病毒的方法计算机病毒与木马防护：计算机病毒与木马防护：计算机病毒的起源计算机病毒的起源计算机病毒的定义计算机病毒的定义计算机病毒的分类计算机病毒的分类计算机病毒的结构计算机病毒的结构计算机病毒的危害计算机病毒的危害常见的计算机病毒常见的计算机病毒木马木马计算机病毒的检测与防范计算机病毒的检测与防范1.3 相关知识 计算机病毒的起源计算机病毒的起源关于计算机病毒的起源，目前有很多种说法，一关于计算机病毒的起源，目前有很多种说法，一般人们认为，计算机病毒来源于早期的特洛伊木般人们认为，计算机病毒来源于早期的特洛伊木马程序。这种程序借用古希腊传说

4、中特洛伊战役马程序。这种程序借用古希腊传说中特洛伊战役中木马计的故事：特洛伊王子在访问希腊时，诱中木马计的故事：特洛伊王子在访问希腊时，诱走希腊王后，因此希腊人远征特洛伊，走希腊王后，因此希腊人远征特洛伊，9年围攻不年围攻不下。第十年，希腊将领献计，将一批精兵藏在一下。第十年，希腊将领献计，将一批精兵藏在一巨大的木马腹中，放在城外，然后佯作撤兵，特巨大的木马腹中，放在城外，然后佯作撤兵，特洛伊人以为敌人已退，将木马作为战利品推进城洛伊人以为敌人已退，将木马作为战利品推进城去，当夜希腊伏兵出来，打开城门里应外合攻占去，当夜希腊伏兵出来，打开城门里应外合攻占了特洛伊城。一些程序开发者利用这一思想开

5、发了特洛伊城。一些程序开发者利用这一思想开发出一种外表上很有魅力而且显得很可靠的程序，出一种外表上很有魅力而且显得很可靠的程序，但是这些程序在被用户使用一段时间或者执行一但是这些程序在被用户使用一段时间或者执行一定次数后，便会产生故障，出现各种问题。定次数后，便会产生故障，出现各种问题。计算机病毒的定义计算机病毒的定义一般来讲，凡是能够引起计算机故障，能够破坏一般来讲，凡是能够引起计算机故障，能够破坏计算机中的资源（包括硬件和软件）的代码，统计算机中的资源（包括硬件和软件）的代码，统称为计算机病毒。美国国家计算机安全局出版的称为计算机病毒。美国国家计算机安全局出版的计算机安全术语汇编计算机安全

6、术语汇编对计算机病毒的定义是对计算机病毒的定义是：“计算机病毒是一种自我繁殖的特洛伊木马，计算机病毒是一种自我繁殖的特洛伊木马，它由任务部分、接触部分和自我繁殖部分组成它由任务部分、接触部分和自我繁殖部分组成”。而在我国也通过条例的形式给计算机病毒下了。而在我国也通过条例的形式给计算机病毒下了一个具有法律性、权威性的定义，一个具有法律性、权威性的定义，中华人民共中华人民共和国计算机信息系统安全保护条例和国计算机信息系统安全保护条例明确定义：明确定义：“计算机病毒（计算机病毒（Computer Virus）是指编制或者）是指编制或者在计算机程序中插入的破坏计算机功能或者数据在计算机程序中插入的破

7、坏计算机功能或者数据，影响计算机使用并且能够自我复制的一组计算，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码机指令或者程序代码”。 1按病毒存在的媒体分类 根据病毒存在的媒体，病毒可以划分为网络病毒、文件病根据病毒存在的媒体，病毒可以划分为网络病毒、文件病毒、引导型病毒和混合型病毒。毒、引导型病毒和混合型病毒。 网络病毒：通过计算机网络传播感染网络中的可执行文件网络病毒：通过计算机网络传播感染网络中的可执行文件。 文件病毒：感染计算机中的文件文件病毒：感染计算机中的文件(如：如：COM，EXE，DOC等等)。 引导型病毒：感染启动扇区引导型病毒：感染启动扇区(Boot)和硬盘的系

8、统引导扇区和硬盘的系统引导扇区(MBR)。 混合型病毒：是上述三种情况的混合。例如：多型病毒混合型病毒：是上述三种情况的混合。例如：多型病毒(文文件和引导型件和引导型)感染文件和引导扇区两种目标，这样的病毒通感染文件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵入系统，常都具有复杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。同时使用了加密和变形算法。计算机病毒的分类计算机病毒的分类计算机病毒的分类计算机病毒的分类2按病毒传染的方法分类根据病毒的传染方法，可将计算机病毒分为引导扇区传染病根据病毒的传染方法，可将计算机病毒分为引导扇区传染病毒、执行文

9、件传染病毒和网络传染病毒。毒、执行文件传染病毒和网络传染病毒。引导扇区传染病毒：主要使用病毒的全部或部分代码取代正引导扇区传染病毒：主要使用病毒的全部或部分代码取代正常的引导记录，而将正常的引导记录隐藏在其他地方。常的引导记录，而将正常的引导记录隐藏在其他地方。执行文件传染病毒：寄生在可执行程序中，一旦程序执行，执行文件传染病毒：寄生在可执行程序中，一旦程序执行，病毒就被激活，进行预定活动。病毒就被激活，进行预定活动。网络传染病毒：这类病毒是当前病毒的主流，特点是通过因网络传染病毒：这类病毒是当前病毒的主流，特点是通过因特网络进行传播。例如，蠕虫病毒就是通过主机的漏洞在特网络进行传播。例如，蠕

10、虫病毒就是通过主机的漏洞在网上传播的。网上传播的。 3按病毒破坏的能力分类 根据病毒破坏的能力，计算机病毒可划分为无害型病毒、根据病毒破坏的能力，计算机病毒可划分为无害型病毒、无危险病毒、危险型病毒和非常危险型病毒。无危险病毒、危险型病毒和非常危险型病毒。 无害型：除了传染时减少磁盘的可用空间外，对系统没有无害型：除了传染时减少磁盘的可用空间外，对系统没有其他影响。其他影响。 无危险型：仅仅是减少内存、显示图像、发出声音及同类无危险型：仅仅是减少内存、显示图像、发出声音及同类音响。音响。 危险型：在计算机系统操作中造成严重的错误。危险型：在计算机系统操作中造成严重的错误。 非常危险型：删除程序

11、、破坏数据、清除系统内存和操作非常危险型：删除程序、破坏数据、清除系统内存和操作系统中重要的信息。系统中重要的信息。计算机病毒的分类计算机病毒的分类4按病毒算法分类根据病毒特有的算法，病毒可以分为伴随型病毒、蠕虫型病根据病毒特有的算法，病毒可以分为伴随型病毒、蠕虫型病毒、寄生型病毒、练习型病毒、诡秘型病毒和幽灵病毒毒、寄生型病毒、练习型病毒、诡秘型病毒和幽灵病毒.计算机病毒的分类计算机病毒的分类计算机病毒的分类计算机病毒的分类5按病毒的攻击目标分类根据病毒的攻击目标，计算机病毒可以分为根据病毒的攻击目标，计算机病毒可以分为DOS病毒、病毒、Windows病毒和其他系统病毒。病毒和其他系统病毒。

12、DOS病毒：指针对病毒：指针对DOS操作系统开发的病毒。操作系统开发的病毒。Windows病毒：主要指针对病毒：主要指针对Windows 9x操作系操作系统的病毒。统的病毒。其他系统病毒：主要攻击其他系统病毒：主要攻击Linux、Unix和和OS2及及嵌入式系统的病毒。由于系统本身的复杂性，嵌入式系统的病毒。由于系统本身的复杂性，这类病毒数量不是很多。这类病毒数量不是很多。6按计算机病毒的链接方式分类由于计算机病毒本身必须有一个攻击对象才能实由于计算机病毒本身必须有一个攻击对象才能实现对计算机系统的攻击，并且计算机病毒所攻现对计算机系统的攻击，并且计算机病毒所攻击的对象是计算机系统可执行的部分

13、。因此，击的对象是计算机系统可执行的部分。因此，根据链接方式计算机病毒可分为：源码型病毒根据链接方式计算机病毒可分为：源码型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒、嵌入型病毒、外壳型病毒、操作系统型病毒。 计算机病毒的分类计算机病毒的分类计算机病毒一般由引导模块、感染模块、破坏模计算机病毒一般由引导模块、感染模块、破坏模块、触发模块四大部分组成。根据是否被加载到块、触发模块四大部分组成。根据是否被加载到内存，计算机病毒又分为静态和动态。处于静态内存，计算机病毒又分为静态和动态。处于静态的病毒存于存储器介质中，一般不执行感染和破的病毒存于存储器介质中，一般不执行感染和破坏，其传播只能借助第

14、三方活动坏，其传播只能借助第三方活动(如：复制、下载如：复制、下载、邮件传输等、邮件传输等)实现。当病毒经过引导进入内存后实现。当病毒经过引导进入内存后，便处于活动状态，满足一定的触发条件后就开，便处于活动状态，满足一定的触发条件后就开始进行传染和破坏，从而构成对计算机系统和资始进行传染和破坏，从而构成对计算机系统和资源的威胁和毁坏。源的威胁和毁坏。4.3.4 4.3.4 计算机病毒的结构计算机病毒的结构 1病毒对计算机数据信息的直接破坏作用。 2占用磁盘空间和对信息的破坏。 3抢占系统资源。 4影响计算机运行速度。 5计算机病毒会导致用户的数据不安全。4.3.5 4.3.5 计算机病毒的危害

15、计算机病毒的危害 1蠕虫（Worm）病毒 2CIH病毒 3宏病毒 4Word文档杀手病毒常见的计算机病毒常见的计算机病毒 木马是指通过一段特定的程序（木马程序）来控制另一台木马是指通过一段特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是客户端，即计算机。木马通常有两个可执行程序：一个是客户端，即控制端，另一个是服务端，即被控制端。植入被种者电脑控制端，另一个是服务端，即被控制端。植入被种者电脑的是的是“服务器服务器”部分，而所谓的部分，而所谓的“黑客黑客”正是利用正是利用“控制控制器器”进入运行了进入运行了“服务器服务器”的电脑。运行了木马程序的的电脑。运行了木马程序

16、的“服务器服务器”以后，被种者的电脑就会有一个或几个端口被打以后，被种者的电脑就会有一个或几个端口被打开，使黑客可以利用这些打开的端口进入电脑系统。木马开，使黑客可以利用这些打开的端口进入电脑系统。木马的设计者为了防止木马被发现，而采用多种手段隐藏木马的设计者为了防止木马被发现，而采用多种手段隐藏木马。木马的服务一旦运行并被控制端连接，其控制端将享有。木马的服务一旦运行并被控制端连接，其控制端将享有服务端的大部分操作权限，例如给计算机增加口令，浏览服务端的大部分操作权限，例如给计算机增加口令，浏览、移动、复制、删除文件，修改注册表，更改计算机配置、移动、复制、删除文件，修改注册表，更改计算机配

17、置等。等。4.3.7 4.3.7 木马木马1. 计算机病毒的检测技术（1）特征判定技术）特征判定技术（2）校验和判定技术）校验和判定技术（3）行为判定技术）行为判定技术2. 计算机病毒的防范（1）病毒防治技术的几个阶段）病毒防治技术的几个阶段（2）目前流行的技术）目前流行的技术4.3.8 4.3.8 计算机病毒的检测与防范计算机病毒的检测与防范4.4项目实施任务任务4-1 360杀毒软件的使用杀毒软件的使用360杀毒是完全免费的杀毒软件，它创新性地整合杀毒是完全免费的杀毒软件，它创新性地整合了四大领先防杀引擎，包括国际知名的了四大领先防杀引擎，包括国际知名的BitDefender病毒查杀引擎、

18、病毒查杀引擎、 360云查杀引擎、云查杀引擎、360主动防御引擎、主动防御引擎、360QVM人工智能引擎。四个人工智能引擎。四个引擎智能调度，为您提供全时全面的病毒防护，引擎智能调度，为您提供全时全面的病毒防护，不但查杀能力出色，而且能第一时间防御新出现不但查杀能力出色，而且能第一时间防御新出现的病毒木马。此外，的病毒木马。此外，360杀毒轻巧快速不卡机，误杀毒轻巧快速不卡机，误杀率远远低于其它杀软，荣获多项国际权威认证杀率远远低于其它杀软，荣获多项国际权威认证，已有超过，已有超过2亿用户选择亿用户选择360杀毒保护电脑安全。杀毒保护电脑安全。4.4项目实施360杀毒软件工作界面4.4项目实施

19、360杀毒软件全盘扫面界面4.4项目实施任务任务4-2 360安全卫士软件的使用安全卫士软件的使用360安全卫士是当前功能更强、效果更好、更受用户欢迎的上网必备安全软件。由于使用方便，用户口碑好，目前，首选安装360的用户已超过4亿。 360安全卫士拥有查杀木马、清理插件、修复漏洞、电脑体检等多种功能，并独创了“木马防火墙”功能，依靠抢先侦测和云端鉴别，可全面、智能地拦截各类木马，保护用户的帐号、隐私等重要信息。4.4项目实施安全卫士进行全盘扫描推荐选择全盘扫描4.4项目实施待扫描完成以后，选中需要清理的内容，按立即清理，是否需要清理看这里清理恶评及系统插件4.4项目实施管理应用软件4.4项目

20、实施修复系统漏洞4.4项目实施开机加速修复操作4.4项目实施任务任务4-3宏病毒和网页病毒的防范宏病毒和网页病毒的防范一、宏病毒宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Excel（也许还有别的）其中之一。凡是只感染WORD文档的病毒格式是：Macro.Word；凡是感染EXCEL L文档的病毒格式是：该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎(Macro.Melissa)。4.4项目实施下面通过一个实例来对宏病毒的原理与运行机制进行分析：1启动Word，创建

21、一个新文档。2在新文档中打开工具菜单、选择宏、查看宏。3为宏起一个名字，自动宏的名字规定必须为autoexec。4单击“创建”按钮，如图所示。4.4项目实施5在宏代码编辑窗口，输入VB代码，调用Windows自带的音量控制程序，如图5-3所示。Shell（“c:windowssystem32sndvol32.exe”）4.4项目实施6关闭宏代码编辑窗口，将文档存盘并关闭。7再次启动刚保存的文档，可以看到音量控制程序被自动启动。4.4项目实施 二、网页病毒所谓网页病毒，就是网页中含有病毒脚本文件或JAVA小程序，当你打开网页时，这些恶意程序就会自动下载到你的硬盘中，修改注册表、嵌入系统进程；当系

22、统重启后，病毒体又会自我更名、复制、再伪装，进行各种破坏活动。（1）管理Cookie在IE中，打开“工具”“Internet选项”“隐私”对话框，这里设定了“阻止所有Cookie”、“高”、“中高”、“中”、“低”、“接受所有Cookie”六个级别(默认为“中”)，你只要拖动滑块就可以方便地进行设定，而点击下方的“编辑”按钮，在“网站地址”中输入特定的网址，就可以将其设定为允许或拒绝它们使用Cookie。（2）禁用或限制使用Java程序及ActiveX控件在网页中经常使用Java、Java Applet、ActiveX编写的脚本，它们可能会获取用户标识、IP地址，乃至口令，甚至会在机器上安装某

23、些程序或进行其他操作，因此应对Java、Java小程序脚本、ActiveX控件和插件的使用进行限制。打开“Internet选项”“安全”“自定义级别”，就可以设置“ActiveX控件和插件”、“Java”、“脚本”、“下载”、“用户验证”以及其它安全选项。对于一些不太安全的控件或插件以及下载操作，应该予以禁止、限制，至少要进行提示。4.4项目实施（3）防止泄露自己的信息缺省条件下，用户在第一次使用Web地址、表单、表单的用户名和密码后，同意保存密码，在下一次再进入同样的Web页及输入密码时，只需输入开头部分，后面的就会自动完成，给用户带来了方便，但同时也留下了安全隐患，不过可以通过调整“自动完

24、成”功能的设置来解决。设置方法如下:依次点击“Internet选项”“内容”“自动完成”，打开“自动完成设置”对话框，选中要使用的“自动完成”复选项。（4）清除已浏览过的网址在“Internet选项”对话框中的“常规”标签下单击历史记录区域的“清除历史记录”按钮即可。若只想清除部分记录，单击IE工具栏上的“历史”按钮，在左栏的地址历史记录中，找到希望清除的地址或其下网页，单击鼠标右键，从弹出的快捷菜单中选取“删除”。（5）清除已访问过的网页为了加快浏览速度，IE会自动把你浏览过的网页保存在缓存文件夹下。当你确认不再需要浏览过的网页时，在此选中所有网页，删除即可。或者在“Internet选项”的

25、“常规”标签下单击“Internet临时文件”项目中的“删除文件”按钮，在打开的“删除文件”对话框中选中“删除所有脱机内容”，单击“确定”，这种方法会遗留少许Cookie在文件夹内，为此IE在“删除文件”按钮旁边增加了一个“删除Cookie”的按钮，通过它可以很方便地删除遗留的4.4项目实施任务任务4-4 利用自解压文件携带木马程序利用自解压文件携带木马程序4.4项目实施通过一个实例来了解这种捆绑木马的方法。目标是将一个Flash动画（1.swf）和木马服务端文件（1.exe）捆绑在一起，做成自释放文件，如果你运行该文件，在显示Flash动画的同时就会中木马。4.4项目实施4.4项目实施一般说

26、来，黑客为了隐蔽起见，会修改上面的自释放脚本命令，比如他们会把脚本改为如下内容：Setup=1.exe Setup=explorer.exe 1.swf Silent=1 Overwrite=1 4.4项目实施任务任务4-5 典型木马案例典型木马案例C/S木马原理4.4项目实施反弹端口连接方式14.4项目实施反弹端口连接方式24.4项目实施任务一任务一“冰河冰河”木马的使用木马的使用4.4项目实施4.4项目实施4.4项目实施任务二灰鸽子木马任务二灰鸽子木马4.4项目实施4.4项目实施4.4项目实施任务三广外男生木马任务三广外男生木马4.4项目实施4.4项目实施任务任务4-6 第四代木马的防范第

27、四代木马的防范常见木马的危害显而易见，防范的主要方法有： 提高防范意识，不要打开陌生人传来的可疑邮件和附件。确认来信的源地址是否合法。 如果网速变慢，往往是因为入侵者使用的木马抢占带宽。双击任务栏右下角连接图标，仔细观察发送“已发送字节”项，如果数字比较大，可以确认有人在下在你的硬盘文件，除非你正使用FTP等协议进行文件传输。 察看本机的连接，在本机上通过netstat-an（或第三方程序）查看所有的TCP/UDP连接，当有些IP地址的连接使用不常见的端口与主机通信时，这个连接九需要进一步分析。木马可以通过注册表启动，所以通过检查注册表来发现木马在注册表里留下的痕迹。使用杀毒软件和防火墙。4.

28、4项目实施4.5拓展任务手机病毒拓展任务手机病毒 手机病毒是一种具有传染性、破坏性的手机程序。其可利用发送短信、彩信，电子邮件，浏览网站，下载铃声，蓝牙等方式进行传播，会导致用户手机死机、关机、个人资料被删、向外发送垃圾邮件泄露个人信息、自动拨打电话、发短（彩）信等进行恶意扣费，甚至会损毁 SIM卡、芯片等硬件，导致使用者无法正常使用手机。4.4项目实施2. 手机病毒的传播途径手机病毒的传播途径手机病毒的传播方式有着自身的特点，同时也和电脑的病毒传染有相似的地方。下面是手机病毒传播途径：第一，通过手机蓝牙、无线数据传输传播第二，通过手机SIM卡或者WIFI网络，在网络上进行传播。第三，在把手机

29、和电脑连接的时候，被电脑感染病毒，并进行传播。第四，通过短信、彩信中的未知链接点击后，进行病毒的传播。4.4项目实施3. 手机病毒的危害手机病毒的危害手机病毒可以导致用户信息被窃、破坏手机软硬件、造成通讯网络局部瘫痪、手机用户经济上的损失、通过手机远程控制目标电脑等个人设备。手机病毒对用户和运营商将产生巨大危害:（1）设备：手机病毒对手机电量的影响很大，导致死机、重启，甚至可以烧毁芯片。（2）信用：由于传播病毒和发送恶意的文字给朋友，因此造成在朋友中的信用度下降。（3）可用性：手机病毒导致用户终端被黑客控制，大量发送短/彩信或直接发起对网络的攻击时，对网络运行安全造成威胁。（4）经济：手机病毒引发短/彩信发送和病毒体传播，还可能给用户恶意订购业务，导致用户话费损失。（5）信息：手机病毒可能造成用户信息的丢失和应用程序损毁。4.4项目实施4. 手机病毒防御措施手机病毒防御措施 要避免手机感染病毒，用户在使用手机时要采取适当的措施: （1）关闭乱码电话。 （2）尽量少从网上直接下载信息。 （3）注意短信息中可能存在的病毒。 （4）在公共场所不要打开蓝牙.作为近距离无线传输的蓝牙,虽然传输速度有点慢,但是传染病毒时它并不落后。 （5）对手机进行查杀病毒。