计算机病毒 (2)2优秀课件.ppt

《计算机病毒 (2)2优秀课件.ppt》由会员分享，可在线阅读，更多相关《计算机病毒 (2)2优秀课件.ppt（53页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机病毒第1页，本讲稿共53页7.1计算机病毒概述计算机病毒的定义计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒的发展历史第2页，本讲稿共53页2022/11/292计算机病毒的危害 破坏磁盘文件分配表 删除软盘或磁盘上的可执行文件或数据文件，使文件丢失 修改或破坏文件中的数据 产生垃圾文件，占据磁盘空间，使磁盘空间逐渐减少 破坏硬盘的主引导扇区，使计算机无法启动 对整个磁盘或磁盘的特定扇区进行格式化，使磁盘中的全部或部分信息丢失 破坏计算机主板上的BIOS内容，使计算机无法正常工作 破坏网络中的资

2、源 占用CPU运行时间，使运行效率降低 破坏屏幕正常显示，干扰用户的操作 破坏键盘的输入程序，使用户的正常输入出现错误 破坏系统设置或对系统信息加密，使用户系统工作紊乱 第3页，本讲稿共53页2022/11/293计算机病毒的特征传染性潜伏性破坏性隐蔽性触发性衍生性寄生性持久性 第4页，本讲稿共53页2022/11/294按照病毒的传染途径进行分类，可划分为引导型病毒、文件型病毒和混合型病毒:引导型病毒 文件型病毒 混合型病毒 按照病毒的传播媒介分类:单机病毒 网络病毒 按照病毒的表现性质分类:良性病毒恶性病毒 7.2计算机病毒的分类第5页，本讲稿共53页2022/11/295按照病毒破坏的能

3、力分类:无害型病毒 无危险型病毒 危险型病毒 非常危险型病毒 按照病毒的攻击对象分类:攻击DOS的病毒 攻击 Windows的病毒攻击网络的病毒 7.2计算机病毒的分类第6页，本讲稿共53页2022/11/296计算机病毒的结构:引导部分 传染部分 表现部分 引导型病毒的工作原理:加载过程传染过程破坏过程文件型病毒的工作原理:加载过程 传染过程 发作过程 7.3计算机病毒的工作原理第7页，本讲稿共53页2022/11/2977.4反病毒技术反病毒技术的发展 第一代反病毒技术是采取单纯的病毒特征代码分析，将病毒从带毒文件中清除掉。第二代反病毒技术是采用静态广谱特征扫描方法检测病毒表现部分。第三代

4、反病毒技术的主要特点是将静态扫描技术和动态仿真跟踪技术结合起来，将查找病毒和清除病毒合二为一。第四代反病毒技术则是针对计算机病毒的发展而基于病毒家族体系的命名规则、基于多位CRC校验和扫描机理。第8页，本讲稿共53页2022/11/2987.4反病毒技术从杀毒技术上来讲，当前，最流行的杀毒软件都是一个扫描器，扫描的算法有多种，通常为了使杀毒软件功能更强大，会结合使用好几种扫描方法。简单特征码80年代末期，基于个人电脑病毒的诞生，随即就有了清除病毒的工具反病毒软件。这一时期，病毒所使用的技术还比较简单，从而检测相对容易，最广泛使用的就是特征码匹配的方法。特征码是什么呢？比如说，“如果在第1034

5、字节处是下面的内容：0 xec,0 x99,0 x80,0 x99，就表示是大麻病毒。”这就是特征码，一串表明病毒自身特征的十六进制的字串。特征码一般都选得很长，有时可达数十字节，一般也会选取多个，以保证正确判断。杀毒软件通过利用特征串，可以非常容易的查出病毒。第9页，本讲稿共53页2022/11/2997.4反病毒技术广谱特征为了躲避杀毒软件的查杀，电脑病毒开始进化。病毒为了躲避杀毒软件的查杀，逐渐演变为变形的形式，每感染一次，就对自身变一次形，通过对自身的变形来躲避查杀。这样一来，同一种病毒的变种病毒大量增加，甚至可以到达天文数字的量级。大量的变形病毒不同形态之间甚至可以做到没有超过三个连

6、续字节是相同的。为了对付这种情况，首先特征码的获取不可能再是简单的取出一段代码来，而是分段的，中间可以包含任意的内容（也就是增加了一些不参加比较的“掩码字节”，在出现“掩码字节”的地方，出现什么内容都不参加比较）。这就是曾经提出的广谱特征码的概念。这个技术在一段时间内，对于处理某些变形的病毒提供了一种方法，但是也使误报率大大增加，所以采用广谱特征码的技术目前已不能有效的对新病毒进行查杀，并且还可能把正规程序当作病毒误报给用户.第10页，本讲稿共53页2022/11/29107.4反病毒技术启发式扫描 为了对付病毒的不断变化和对未知病毒的研究，启发式扫描方式出现了。启发式扫描是通过分析指令出现的

7、顺序，或特定组合情况等常见病毒的标准特征来决定文件是否感染未知病毒。因为病毒要达到感染和破坏的目的，通常的行为都会有一定的特征，例如非常规读写文件，终结自身，非常规切入零环等等。所以可以根据扫描特定的行为或多种行为的组合来判断一个程序是否是病毒。这种启发式扫描比起静态的特征码扫描要先进的多，可以达到一定的未知病毒处理能力，但还是会有不准确的时候。特别是因为无法确定一定是病毒，而不可能做未知病毒杀毒。第11页，本讲稿共53页2022/11/29117.4反病毒技术行为判定 针对变形病毒、未知病毒等复杂的病毒情况，极少数杀毒软件采用了虚拟机技术，达到了对未知病毒良好的查杀效果。它实际上是一种可控的

8、，由软件模拟出来的程序虚拟运行环境，就像我们看的电影黑客帝国一样。在这一环境中虚拟执行的程序，就像生活在母体(Matrix)中的人，不论好坏，其一切行为都是受到建筑师(architect)控制的。虽然病毒通过各种方式来躲避杀毒软件，但是当它运行在虚拟机中时，它并不知道自己的一切行为都在被虚拟机所监控，所以当它在虚拟机中脱去伪装进行传染时，就会被虚拟机所发现，如此一来，利用虚拟机技术就可以发现大部分的变形病毒和大量的未知病毒。第12页，本讲稿共53页2022/11/29127.4反病毒技术CRC检查:循环冗余校验CRC(Cyclic Redundancy Check)是对一个传送数据块进行高效的

9、差错控制方法。CRC扫描的原理是计算磁盘中的实际文件或系统扇区的CRC值(检验和)，这些CRC值被杀毒软件保存到自己的数据库中，在运行杀毒软件时，用备份的CRC值与当前计算的值比较，这样就可以知道文件是否已经修改或被病毒感染。第13页，本讲稿共53页2022/11/29137.4反病毒技术虚拟机(行为判定)就像是一个侦探，可以根据对人的行为识别犯罪活动；启发式扫描就像是警察，看你身上携带了枪支而怀疑你；广谱特征是拿着照片追查已知的罪犯，但是会注意是否带了假发或者墨镜来逃避检查；而特征码识别就只是通过对人的外貌来判断。第14页，本讲稿共53页2022/11/2914病毒防治常用方法1计算机内要运

10、行实时的监控软件和防火墙软件。当然，这些软件必须是正版的。例如：瑞星、KV、诺顿、金山毒霸、卡巴斯基等杀毒软件；2要及时的升级杀毒软件的病毒库；3如果用的是Windows操作系统，最好经常到微软网站查看有无最新发布的补丁，以便及时升级；4不要打开来历不明的邮件，特别是有些附件；5接收远程文件时，不要直接将文件写入硬盘，最好将远程文件先存入软盘，然后对其进行杀毒，确认无毒后再拷贝到硬盘中。6尽量不要共享文件或数据。7最后，就是要对重要的数据和文件做好备份，最好是设定一个特定的时间，例如每晚12:00，系统自动对当天的数据进行备份；第15页，本讲稿共53页2022/11/29157.4.3Wind

11、ows病毒防范技术1经常对系统升级并经常浏览微软的网站去下载最新补丁2正确配置Windows操作系统在安装完Windows操作系统以后，一定要对系统进行配置，这对Windows操作系统防病毒起着至关重要的作用，正确的配置也可以使Windows操作系统免遭病毒的侵害。(1)正确配置网络。(2)正确配置服务3利用Windows系统自带的工具(1)利用注册表工具(2)利用Msinfo32.exe命令(查看全面的系统信息)第16页，本讲稿共53页2022/11/29167.4.3Windows病毒防范技术第17页，本讲稿共53页2022/11/29177.5 典 型 病 毒7.5.1 蠕虫病毒1.蠕虫

12、病毒的定义2.蠕虫病毒与一般病毒的异同下表给出了蠕虫病毒和普通病毒的区别。普通病毒普通病毒蠕虫病毒蠕虫病毒存在形式存在形式寄存文件寄存文件独立程序独立程序传染机制传染机制宿主程序运行宿主程序运行指令代码执行直接攻击指令代码执行直接攻击传染目标传染目标本地文件本地文件网络上的计算机网络上的计算机第18页，本讲稿共53页2022/11/29187.5.1 蠕虫病毒3.蠕虫造成的破坏4.蠕虫病毒的特点和发展趋势1)利用操作系统和应用程序的漏洞主动进行攻击2)传播方式多样3)病毒制作技术与传统的病毒不同4)与黑客技术相结合5.网络蠕虫病毒分析和防范1)利用系统漏洞的恶性蠕虫病毒分析2)企业防范蠕虫病毒

13、措施 3)对个人用户产生直接威胁的蠕虫病毒4)个人用户对蠕虫病毒的防范措施第19页，本讲稿共53页2022/11/29197.5.2 网页脚本病毒1.脚本病毒的定义脚本病毒是指利用.asp、.htm、.html、.vbs、.js类型的文件进行传播的基于VB Script和Java Script脚本语言并由Windows Scripting Host解释执行的一类病毒。2.脚本病毒的特点(1)编写简单。(2)破坏力大。(3)感染力强。(4)传播范围大。(5)病毒源码容易被获取，变种多。(6)欺骗性强。(7)病毒生产机实现起来非常容易。第20页，本讲稿共53页2022/11/29207.5.2 网

14、页脚本病毒3.VBS脚本病毒原理分析1)VBS脚本病毒如何感染、搜索文件2)VBS脚本病毒通过网络传播的几种方式及代码分析(1)通过E-mail附件传播。(2)通过局域网共享传播。(3)通过感染htm、asp、jsp、php等网页文件传播。第21页，本讲稿共53页2022/11/29217.5.2 网页脚本病毒4.防范脚本病毒的安全建议(1)养成良好的上网习惯，不浏览不熟悉的网站，尤其是一些个人主页和色情网站，从根本上减少被病毒侵害的机会。(2)选择安装适合自身情况的主流厂商的杀毒软件，安装个人防火墙，在上网前打开“实时监控功能”，尤其要打开“网页监控”和“注册表监控”两项功能。(3)将正常的

15、注册表进行备份，或者下载注册表修复程序，一旦出现异常情况，马上进行相应的修复。(4)如果发现不良网站，立刻向有关部门报告，同时将网站添加到“黑名单”中，如图4-1所示。第22页，本讲稿共53页2022/11/29227.5.2 网页脚本病毒(5)提高IE等浏览器的安全级别。将IE的安全级别设置为“高”，如图所示。第23页，本讲稿共53页2022/11/29237.5.3 即时通讯病毒1.即时通讯病毒的特点及分类1)更强的隐蔽性2)攻击更加便利3)更快的传播速度第24页，本讲稿共53页2022/11/29247.5.3 即时通讯病毒2.防范即时通讯病毒的安全建议(1)尽量不要在公共场合使用IM软

16、件(2)随时注意微软公司官方的安全公告，及时下载更新系统漏洞补丁，不给病毒制造者以可乘之机。(3)养成良好的上网习惯，时刻提高警惕。(4)制定适合公司环境的内部信息交换规范，严格管理并实时监测内部员工IM软件的使用情况。(5)关闭或删除系统中不需要的服务。(6)建议使用8位以上的复杂密码。(7)当发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，感染其他计算机。(8)使用最新版本的主流信息安全产品，提高系统安全级别。第25页，本讲稿共53页2022/11/29257.5.4 木马病毒1.木马病毒的定义计算机世界的特洛伊木马(Trojan)病毒(也叫黑客程序或后门病毒)是指

17、隐藏在正常程序中的一段具有特殊功能的恶意代码，具备破坏和删除文件、发送密码、记录键盘和攻击等功能，会使用户系统被破坏甚至瘫痪。第26页，本讲稿共53页2022/11/29267.5.4 木马病毒2.木马病毒的工作原理木马病毒一般分为客户端(Client)和服务器端(Server)两部分。服务器端收到请求后会根据请求执行相应的操作，其中包括：查看文件系统，修改、删除、获取文件；查看系统注册表，修改系统配置；截取计算机的屏幕显示，并且发送给控制端；查看系统中的进程，启动和停止进程；控制计算机的键盘、鼠标或其他硬件设备的动作；以本机为跳板，攻击网络中的其他计算机；通过网络下载新的病毒文件。第27页，

18、本讲稿共53页2022/11/29277.5.4 木马病毒3.木马病毒的危害及特点1)隐蔽性2)自动运行性3)欺骗性4)自动恢复5)自动打开端口6)功能的特殊性第28页，本讲稿共53页2022/11/29287.5.4 木马病毒4.防范木马病毒的安全建议(1)使用正版的杀毒软件和防火墙产品，并对杀毒软件和防火墙进行合理配置。(2)使用工具软件隐藏本机的真实IP地址。(3)注意电子邮件安全，尽量不要在网络中公开自己关键的邮箱地址，不要打开陌生地址发来的电子邮件，更不要在没有采取任何安全措施的情况下下载或打开邮件的附件。(4)在使用即时通讯软件时，不要轻易运行“朋友”发来的程序或链接。(5)尽量少

19、浏览和访问个人网站。(6)不用隐藏文件的扩展名。(7)定期检查计算机的启动配置，熟悉每一个配置对应的文件，一旦发现没见过的启动项，要立即检查是否是病毒建立的。(8)定期检查系统服务管理器中的服务，检查是否有病毒新建的服务进程。(9)根据文件创建日期定期检查系统目录下是否有近期新建的可执行文件，如果有的话，很可能是病毒文件。第29页，本讲稿共53页2022/11/29297.6常见计算机病毒介绍CIH病毒CIH病毒介绍CIH病毒的传播方法CIH病毒的防范和清除防范CIH病毒 清除CIH病毒 Word宏病毒宏病毒介绍 Word宏病毒的传播方法 Word宏病毒的防范和清除第30页，本讲稿共53页20

20、22/11/29307.6常见计算机病毒介绍第31页，本讲稿共53页2022/11/29317.6.3冲击波病毒1冲击波病毒介绍2冲击波病毒的特征（1）反复重新启动计算机；（2）Windows界面下的某些功能无法正常使用；（3）Office等文件无法正常使用，一些功能如“复制”、“粘贴”等无法使用。（4）用IE浏览器无法打开链接，网络速度明显变慢；3冲击波病毒的防范和清除如果一台计算机不幸感染了冲击波病毒，可按如下方法进行清除：（1）断开与网络的所有连接；（2）终止病毒运行。（3）查找注册表中的主键值。（4）为系统的RPC漏洞，打上安全的补丁，并重新启动计算机。（5）关闭135端口、69端口。

21、（6）运行杀毒软件，再对系统进行彻底的杀毒工作。第32页，本讲稿共53页2022/11/29327.6.4振荡波病毒1振荡波病毒介绍2振荡波病毒的特征当用户的计算机出现如下特征时，表明该计算机可能感染了振荡波病毒。（1）病毒一旦感染系统，会开启上百个线程，占用大量系统资源，使CPU占用率达到100%，系统运行速度极为缓慢。（2）系统感染病毒后，会在内存中产生名为avserve.exe的进程，您可以同时按下Ctrl+Shift+Esc三个按键，调出Windows任务管理器，然后在进程中查看系统中是否存在该进程。（3）病毒感染系统后，会在系统安装目录（默认为C:WINNT）下产生一个名为avser

22、ve.exe的病毒程序。（4）病毒感染系统后，会将avserve.exe=%WINDOWS%avserve.exe，加入注册表键值中：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun。第33页，本讲稿共53页2022/11/29337.6.4振荡波病毒3振荡波病毒的防范和清除（1）立刻将网络断开。（2）查找名为avserve.exe和*_up.exe的文件，并将其删除。（3）运行注册表编辑器，打开：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，并删除窗口右侧的“avserve”=”c:winntavserve”。（4）下载微软补丁程序，网址为：http:/ 反病毒安全体系的建立信息安全体系的建立不仅需要先进的反病毒技术，而且也需要严格的安全管理、法律约束和安全教育等。我们形象地用下列公式来描述：信息安全体系=法律+意识+技术+管理+技能制定严格的法律、法规。计算机病毒的防范不仅是一个技术问题，也是一个意识问题。先进的信息安全技术是网络安全的根本保证。严格的安全管理。对计算机病毒基本防范技能的掌握是有效防范病毒入侵的必要手段。第52页，本讲稿共53页2022/11/2952 End第53页，本讲稿共53页2022/11/2953