第8章計(jì)算機(jī)病毒與反病毒技術(shù)第8章計(jì)算機(jī)病毒與反病毒技術(shù)第8章計(jì)算機(jī)病毒與反病毒技術(shù)課件第8章計(jì)算機(jī)病毒與反病毒技術(shù)課件熊貓燒香—武漢男生發(fā)展過程：2006年10月16日“熊貓燒香”病毒在網(wǎng)上傳播，2006年底到2007年初，金山毒霸反病毒中心監(jiān)測到“熊貓燒香”變種數(shù)已達(dá)到90多個(gè)。病毒主要通過網(wǎng)站帶毒感染用戶之外，也會在局域網(wǎng)中傳播，導(dǎo)致短短三月內(nèi)數(shù)百萬臺電腦中毒。熊貓燒香—武漢男生發(fā)展過程：2006年10月16日“熊貓燒香中毒癥狀：

1．感染系統(tǒng)文件，被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣

2．通過局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓

3．中止大量的反病毒軟件進(jìn)程

4．刪除擴(kuò)展名為gho的文件，使用戶的系統(tǒng)備份文件丟失

中毒癥狀：問題什么樣的程序才是病毒?病毒有哪些危害性?病毒是怎樣實(shí)現(xiàn)傳播的?病毒程序的一般結(jié)構(gòu)?問題什么樣的程序才是病毒?學(xué)習(xí)目標(biāo)l

計(jì)算機(jī)病毒的發(fā)展歷史及危害l

計(jì)算機(jī)病毒的基本特征及傳播方式l

病毒的結(jié)構(gòu)l

常用的反病毒技術(shù)l

常用的病毒防范方法學(xué)習(xí)目標(biāo)病毒起源1949,馮?諾依曼就提出了計(jì)算機(jī)病毒的概念”能夠?qū)嶋H復(fù)制自身的自動機(jī)”美籍匈牙利數(shù)學(xué)家馮·諾依曼現(xiàn)在使用的計(jì)算機(jī)基本工作原理是存儲程序和程序控制數(shù)據(jù)與指令采用二進(jìn)制馮·諾依曼對人類的最大貢獻(xiàn)是對計(jì)算機(jī)科學(xué)、計(jì)算機(jī)技術(shù)和數(shù)值分析的開拓性工作。病毒起源1949,馮?諾依曼就提出了計(jì)算機(jī)病毒的概念”能夠?qū)?0年代,美國作家雷恩所著《P1的青春》一書中構(gòu)思了一種能夠自我復(fù)制，利用通信進(jìn)行傳播的計(jì)算機(jī)程序，稱之為計(jì)算機(jī)病毒。第8章計(jì)算機(jī)病毒與反病毒技術(shù)課件1983年11月3日，弗雷德·科恩（FredCohen）博士研制出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序倫·艾德勒曼（LenAdleman）將它命名為計(jì)算機(jī)病毒（computervirus）。1983年11月3日，弗雷德·科恩（FredCohen）博1986年初，巴基斯坦的巴錫特（Basit）和阿姆杰德（Amjad）兩兄弟編寫了Pakistan病毒（即Brain病毒），該病毒在一年內(nèi)流傳到了世界各地。1988年3月2日，一種蘋果機(jī)的病毒發(fā)作，這天受感染的蘋果機(jī)停止工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機(jī)生日。1986年初，巴基斯坦的巴錫特（Basit）和阿姆杰德（Am蠕蟲病毒1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個(gè)被稱為“蠕蟲”的電腦病毒送進(jìn)了美國最大的電腦網(wǎng)絡(luò)——互聯(lián)網(wǎng)。蠕蟲病毒1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個(gè)被1991年在“海灣戰(zhàn)爭”中，美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)。1992年出現(xiàn)針對殺毒軟件的“幽靈”病毒，如One-half。1996年首次出現(xiàn)針對微軟公司Office的“宏病毒”。1997年被公認(rèn)為計(jì)算機(jī)反病毒界的“宏病毒”年。第8章計(jì)算機(jī)病毒與反病毒技術(shù)課件CIH病毒CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病毒。它是由臺灣大學(xué)生陳盈豪編制的，九八年五月間，陳盈豪還在大同工學(xué)院就讀時(shí)，完成以他的英文名字縮寫“CIH”名的電腦病毒起初據(jù)稱只是為了“想紀(jì)念一下1986的災(zāi)難”或“使反病毒軟件公司難堪”。1999年4月26日，CIH病毒在全球范圍大規(guī)模爆發(fā)，造成近6000萬臺電腦癱瘓。（該病毒產(chǎn)生于1998年）CIH病毒CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病2001年7月中旬，一種名為“紅色代碼”的病毒在美國大面積蔓延，這個(gè)專門攻擊服務(wù)器的病毒攻擊了白宮網(wǎng)站，造成了全世界恐慌。2003年，“2003蠕蟲王”病毒在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡(luò)災(zāi)害。第8章計(jì)算機(jī)病毒與反病毒技術(shù)課件2004年是蠕蟲泛濫的一年，大流行病毒：網(wǎng)絡(luò)天空(Worm.Netsky)高波(Worm.Agobot)愛情后門(Worm.Lovgate)震蕩波(Worm.Sasser)SCO炸彈(Worm.Novarg)沖擊波(Worm.Blaster)惡鷹(Worm.Bbeagle)小郵差(Worm.Mimail)求職信(Worm.Klez)大無極(Worm.SoBig)2004年是蠕蟲泛濫的一年，大流行病毒：沖擊波病毒年僅18歲的高中生杰弗里·李·帕森因?yàn)樯嫦邮恰皼_擊波”電腦病毒的制造者于2003年8月29日被捕。對此，他的鄰居們表示不敢相信。在他們的眼里，杰弗里·李·帕森是一個(gè)電腦天才，而決不是什么黑客，更不會去犯罪。沖擊波病毒年僅18歲的高中生杰弗里·李·帕森因?yàn)樯嫦邮恰皼_擊2005年是木馬流行的一年，新木馬包括：8月9日，“閃盤竊密者（Trojan.UdiskThief）”病毒。該木馬病毒會判定電腦上移動設(shè)備的類型，自動把U盤里所有的資料都復(fù)制到電腦C盤的“test”文件夾下，這樣可能造成某些公用電腦用戶的資料丟失。11月25日，“證券大盜”（Ｔｒｏｊａｎ／ＰＳＷ．Ｓｏｕｆａｎ）。該木馬病毒可盜取包括南方證券、國泰君安在內(nèi)多家證券交易系統(tǒng)的交易賬戶和密碼，被盜號的股民賬戶存在被人惡意操縱的可能。7月29日，“外掛陷阱”（troj.Lineage.hp）。此病毒可以盜取多個(gè)網(wǎng)絡(luò)游戲的用戶信息，如果用戶通過登陸某個(gè)網(wǎng)站，下載安裝所需外掛后，便會發(fā)現(xiàn)外掛實(shí)際上是經(jīng)過偽裝的病毒，這個(gè)時(shí)候病毒便會自動安裝到用戶電腦中。9月28日，"我的照片"(Trojan.PSW.MyPhoto)病毒。該病毒試圖竊取《熱血江湖》、《傳奇》、《天堂Ⅱ》、《工商銀行》、《中國農(nóng)業(yè)銀行》等數(shù)十種網(wǎng)絡(luò)游戲及網(wǎng)絡(luò)銀行的賬號和密碼。該病毒發(fā)作時(shí)，會顯示一張照片使用戶對其放松警惕。2005年是木馬流行的一年，新木馬包括：病毒的定義在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中對計(jì)算機(jī)病毒進(jìn)行了明確定義：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。病毒的定義在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中對病毒的生命周期（1）隱藏階段（2）傳播階段（3）觸發(fā)階段（4）執(zhí)行階段處于這個(gè)階段的病毒不進(jìn)行操作，等待事件觸發(fā)。觸發(fā)事件包括時(shí)間、其他程序或文件出現(xiàn)等等。但有的病毒沒有隱藏階段。病毒copy自身到未感染病毒的程序或磁盤的某個(gè)扇區(qū)。被感染的程序可以繼續(xù)傳播病毒的copy。病毒將被激活進(jìn)入執(zhí)行階段。在這一階段，病毒收到一些系統(tǒng)事件的觸發(fā)。例如：病毒本身進(jìn)行復(fù)制的副本數(shù)達(dá)到了某個(gè)數(shù)量病毒被激活執(zhí)行病毒設(shè)計(jì)者預(yù)先設(shè)計(jì)好的功能。這些功能可能是無害的，例如：向屏幕發(fā)送一條消息；也可能是有害的，例如：刪除程序或文件，強(qiáng)行關(guān)機(jī)等。病毒的生命周期（1）隱藏階段處于這個(gè)階段的病毒不進(jìn)行操作，等病毒的一般結(jié)構(gòu)Programv:={gotomain;1234567;subroutineinfect-executable:={loop：file:=get-radom-executable-file;if（first-line-of-file=1234567）thengotoloop;elseprependVtofile;}

subroutinedo-damage:={whateverdamageistobedone}

subroutinetrigger-pulled:={returntrueifsomeconditionholds}

main:main-program:={infect-executable;iftrigger-pulledthendo-damage;gotonext;}next:

}病毒的一般結(jié)構(gòu)Programv:=病毒的特征（1）傳染性

最重要的判別條件。（2）破壞性良性，惡性（3）潛伏性潛伏期不容易發(fā)現(xiàn)，觸發(fā)機(jī)制。（4）可執(zhí)行性

（5）可觸發(fā)性

時(shí)間，日期，文件類型，特定數(shù)據(jù)（6）隱蔽性病毒短小精悍，感染病毒后的程序不宜區(qū)別。病毒的特征（1）傳染性最重要的判別條件。病毒的類型1.文件感染型2.引導(dǎo)扇區(qū)型3.混合型4.宏病毒5.網(wǎng)絡(luò)病毒主要感染COM，EXE等可執(zhí)行文件，寄生于宿主程序中，必須借助于宿主程序才能裝入內(nèi)存。病毒把代碼復(fù)制到宿主程序的開頭或結(jié)尾，造成被感染文件長度變長?；蛘咧苯痈膶懕桓腥疚募绦虼a，造成宿主程序本身功能受影響。大多數(shù)文件型病毒都是常駐內(nèi)存。簡稱引導(dǎo)型病毒，主要影響軟盤上的引導(dǎo)扇區(qū)和硬盤上的主引導(dǎo)扇區(qū)。主引導(dǎo)扇區(qū)是硬盤的第一個(gè)扇區(qū)，主引導(dǎo)程序占用扇區(qū)的前446kb，負(fù)責(zé)從活動分區(qū)中加載操作系統(tǒng)引導(dǎo)程序。硬盤啟動加電自檢后，將硬盤主引導(dǎo)扇區(qū)讀入內(nèi)存，然后執(zhí)行此段代碼。引導(dǎo)型病毒幾乎都常駐內(nèi)存。綜合了引導(dǎo)型和文件型病毒的特性，不僅感染引導(dǎo)區(qū)，也感染文件。開機(jī)或者執(zhí)行程序時(shí)感染其他磁盤或文件。宏病毒寄生在文檔或模板的宏中。打開文檔，宏病毒就會被激活，進(jìn)入計(jì)算機(jī)內(nèi)存中，駐留在Normal模板上。被感染的機(jī)器打開的word文檔感染上宏病毒。特洛伊木馬、蠕蟲病毒、網(wǎng)頁病毒。網(wǎng)頁病毒-網(wǎng)頁惡意代碼。在網(wǎng)頁中用JavaApplet,JavaScript，ActiveX設(shè)計(jì)的程序?？梢岳肐E漏洞，修改用戶注冊表，修改IE默認(rèn)設(shè)置、獲取用戶的個(gè)人資料，刪除文件，格式化硬盤等。病毒的類型1.文件感染型主要感染COM，EXE等可執(zhí)行文件，病毒的傳播:(1)移動存儲設(shè)備傳播軟盤、優(yōu)盤、移動硬盤、光盤、磁帶。(2)網(wǎng)絡(luò)傳播電子郵件、文件下載、網(wǎng)頁瀏覽、聊天軟件。(3)無線傳播

病毒的傳播:(1)移動存儲設(shè)備傳播病毒的危害:（1）病毒發(fā)作對計(jì)算機(jī)數(shù)據(jù)信息的直接破壞（2）占用磁盤空間和對信息的破壞（3）搶占系統(tǒng)資源（4）影響計(jì)算機(jī)運(yùn)行速度（5）計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害（6）計(jì)算機(jī)病毒給用戶造成嚴(yán)重的心理壓力格式化硬盤改寫文件分配表和目錄區(qū)刪除重要文件改寫文件破壞CMOS非法占用磁盤空間占據(jù)磁盤引導(dǎo)扇區(qū)，將原來的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū)增加文件的長度大多數(shù)病毒在活動狀態(tài)下常駐內(nèi)存，搶占內(nèi)存。有些病毒會修改中斷地址，搶占中斷，干擾系統(tǒng)正常運(yùn)行。網(wǎng)絡(luò)病毒會占用大量網(wǎng)絡(luò)資源，計(jì)算機(jī)連接、帶寬，是網(wǎng)絡(luò)通信變得緩慢病毒為了判斷傳染發(fā)作條件，要對計(jì)算機(jī)的工作狀態(tài)進(jìn)行監(jiān)視。有些病毒為了保護(hù)自己，不但對磁盤上的靜態(tài)病毒加密，而且進(jìn)駐內(nèi)存后的動態(tài)病毒也處在加密狀態(tài)。加密解密的工作量。病毒傳染時(shí)也要插入非法的額外操作。絕大部分病毒都存在不同程度的錯(cuò)誤。計(jì)算機(jī)病毒錯(cuò)誤所產(chǎn)生的后果往往是不可預(yù)見的，有可能比病毒本身的危害還大。病毒的危害:（1）病毒發(fā)作對計(jì)算機(jī)數(shù)據(jù)信息的直接破壞格式化硬病毒的命名病毒前綴.病毒名.病毒后綴。病毒前綴：病毒的種類，不同的種類的病毒，其前綴不相同。比如常見的木馬的前綴是Trojan，蠕蟲的前綴是Worm。病毒名：病毒的家族特征，是用來區(qū)別和標(biāo)識病毒家族的，如著名的CIH病毒的家族名都是統(tǒng)一的CIH，振蕩波蠕蟲病毒的家族名是Sasser。病毒后綴：病毒的變種特征，是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。一般都采用英文中的26個(gè)字母來表示，如：Worm.Sasser.b就是指振蕩波蠕蟲病毒的變種b。如果病毒變種非常多，可以采用數(shù)字與字母混合表示變種標(biāo)識。

病毒的命名病毒前綴.病毒名.病毒后綴。1.系統(tǒng)病毒：Win95

.CIH,Win32.CIH2.蠕蟲病毒：網(wǎng)絡(luò)天空Worm.Netsky.A,貝革熱Worm.Bgeagle.A，震蕩波Worm.Sasser3.木馬病毒、黑客病毒：Trojan，Hack4.腳本病毒：紅色代碼Script.Redlof,歡樂時(shí)光VBS.Happytime,十四日J(rèn)s.Fortnight.c.s5.宏病毒：美麗殺手Macro.Mellissa6.后門病毒：瑞波Backdoor.Rvot1.系統(tǒng)病毒：Win95.CIH,Win32.CIHCIH病毒作者：陳盈豪文件型病毒，感染W(wǎng)indows9x可執(zhí)行文件傳播途徑：Internet和電子郵件版本：V1.0,V1.1,V1.2,V1.3,V1.4等5個(gè)版本。觸發(fā)條件：4月26日，6月26日，26日對計(jì)算機(jī)硬盤及BIOS有超強(qiáng)破壞力CIH病毒作者：陳盈豪宏病毒宏是一系列命令和指令的組合，可以作為單個(gè)命令執(zhí)行來自動完成某項(xiàng)任務(wù)加快常規(guī)編輯和格式設(shè)置的速度自動執(zhí)行一系列復(fù)雜的任務(wù)可以使用宏錄制器來錄制一系列操作。宏病毒宏是一系列命令和指令的組合，可以作為單個(gè)命令執(zhí)行來自動宏病毒寄存在文檔或模板的宏中。一旦打開這樣的文檔，其中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計(jì)算機(jī)上。宏病毒寄存在文檔或模板的宏中。一旦打開這樣的文檔，其中的宏就蠕蟲病毒蠕蟲（Worm）是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它通過分布式網(wǎng)絡(luò)來擴(kuò)散傳播特定的信息或錯(cuò)誤，進(jìn)而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖。

蠕蟲又與傳統(tǒng)的病毒又有許多不同之處，如不利用文件寄生、對網(wǎng)絡(luò)造成拒絕服務(wù)、與黑客技術(shù)相結(jié)合等。蠕蟲病毒蠕蟲（Worm）是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它通過計(jì)算機(jī)蠕蟲病毒是一種融合計(jì)算機(jī)蠕蟲、計(jì)算機(jī)病毒和木馬技術(shù)的新技術(shù)通過大規(guī)模的掃描獲取網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)的控制權(quán)進(jìn)行復(fù)制和傳播在已感染的計(jì)算機(jī)中設(shè)置后門或執(zhí)行惡意代碼破壞計(jì)算機(jī)系統(tǒng)或信息。計(jì)算機(jī)蠕蟲病毒是一種融合計(jì)算機(jī)蠕蟲、計(jì)算機(jī)病毒和木馬技術(shù)的新

普通病毒蠕蟲病毒存在形式寄生于文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)

普通病毒蠕蟲病毒存在形式寄生于文件獨(dú)立程序傳染機(jī)制宿主程序病毒名稱

爆發(fā)時(shí)間造成損失

莫里斯蠕蟲1988年6000多臺電腦停機(jī)，經(jīng)濟(jì)損失達(dá)9600萬美元美麗殺手1999年政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器，經(jīng)濟(jì)損失超過12億美元愛蟲病毒2000年5月眾多用戶電腦被感染，損失超過96億美元紅色代碼2001年7月網(wǎng)絡(luò)癱瘓，直接經(jīng)濟(jì)損失超過26億美元求職信2001年12月大量病毒郵件堵塞服務(wù)器，損失達(dá)數(shù)百億美元蠕蟲王2003年1月網(wǎng)絡(luò)大面積癱瘓，銀行自動提款機(jī)運(yùn)做中斷，直接經(jīng)濟(jì)損失超過26億美元沖擊波2003年7月大量網(wǎng)絡(luò)癱瘓，造成了數(shù)十億美金的損失MyDoom2004年1月大量的垃圾郵件，攻擊SCO和微軟網(wǎng)站，給全球經(jīng)濟(jì)造成了300多億美元的損失病毒名稱爆發(fā)時(shí)間造成損失一種是以郵件附件的形式傳播的，當(dāng)無意打開這種郵件，蠕蟲被激活，繼而感染電腦系統(tǒng).另一種是傳播不需要借助其他媒介，感染的對象是存在安全漏洞的電腦。入侵某個(gè)系統(tǒng)之后，會以受害系統(tǒng)為跳板，掃描探測更多存在同樣漏洞的電腦，并自動進(jìn)行攻擊，隨即蔓延擴(kuò)充。一種是以郵件附件的形式傳播的，當(dāng)無意打開這種郵件，蠕蟲被激活蠕蟲病毒的基本結(jié)構(gòu)和傳播過程（1）蠕蟲的基本程序結(jié)構(gòu)包括以下3個(gè)模塊：傳播模塊：負(fù)責(zé)蠕蟲的傳播，傳播模塊又可以分為三個(gè)基本模塊：掃描模塊、攻擊模塊和復(fù)制模塊。隱藏模塊：侵入主機(jī)后，隱藏蠕蟲程序，防止被用戶發(fā)現(xiàn)。目的功能模塊：實(shí)現(xiàn)對計(jì)算機(jī)的控制、監(jiān)視或破壞等功能。蠕蟲病毒的基本結(jié)構(gòu)和傳播過程（1）蠕蟲的基本程序結(jié)構(gòu)包括以下（2）蠕蟲程序的一般傳播過程為：掃描：由蠕蟲的掃描模塊負(fù)責(zé)探測存在漏洞的主機(jī)。當(dāng)程序向某個(gè)主機(jī)發(fā)送探測漏洞的信息并收到成功的反饋信息后，就得到一個(gè)可傳播的對象。攻擊：攻擊模塊按漏洞攻擊步驟自動攻擊上一步驟中找到的對象，取得該主機(jī)的權(quán)限（一般為管理員權(quán)限)。復(fù)制：復(fù)制模塊通過原主機(jī)和新主機(jī)的交互將蠕蟲程序復(fù)制到新主機(jī)并啟動。（2）蠕蟲程序的一般傳播過程為：8.2.4病毒的發(fā)展趨勢（1）傳播網(wǎng)絡(luò)化（2）利用操作系統(tǒng)和應(yīng)用程序的漏洞

（3）混合型威脅

（4）病毒制作技術(shù)新

（5）病毒家族化特征顯著

8.2.4病毒的發(fā)展趨勢（1）傳播網(wǎng)絡(luò)化8.3反病毒技術(shù)8.3.1反病毒技術(shù)的發(fā)展階段一個(gè)合理的反病毒方法，應(yīng)包括以下幾個(gè)措施：

檢測：就是能夠確定一個(gè)系統(tǒng)是否已發(fā)生病毒感染。并能正確確定病毒的位置。識別：檢測到病毒后，能夠辯別出病毒的種類清除：識別病毒之后，對感染病毒的程序進(jìn)行檢查，清除病毒并使程序還原到感染之前的狀態(tài)，從系統(tǒng)中清除病毒以保證病毒不會繼續(xù)傳播。如果檢測到病毒感染，但無法識別或清除病毒，解決方法是刪除被病毒感染的文件，重載未被感染的版本。

8.3反病毒技術(shù)8.3.1反病毒技術(shù)的發(fā)展階段反病毒軟件可以劃分為四代：l

第一代：簡單的掃描器-特征代碼法l

第二代：啟發(fā)式掃描器l

第三代：行為陷阱-行為監(jiān)視法l

第四代：全部特征保護(hù)反病毒軟件可以劃分為四代：8.4病毒防范措施8.4.1防病毒措施1．服務(wù)器的防病毒措施（1）安裝正版的殺毒軟件（2）攔截受感染的附件

（3）合理設(shè)置權(quán)限（4）取消不必要的共享

（5）重要數(shù)據(jù)定期存檔8.4病毒防范措施8.4.1防病毒措施2．終端用戶防病毒措施（1）安裝殺毒軟件和個(gè)人防火墻（2）禁用預(yù)覽窗口功能（3）刪除可疑的電子郵件（4）不要隨便下載文件

（5）定期更改密碼

2．終端用戶防病毒措施8.4.2常用殺毒軟件國內(nèi)的殺毒軟件市場有瑞星、江民、金山、卡巴、360。瑞星是北京瑞星科技股份有限公司的產(chǎn)品，在國內(nèi)市場占據(jù)率為60%。

江民殺毒軟件KV是江民科技公司的產(chǎn)品，在國內(nèi)市場占據(jù)率為15%。金山毒霸是金山軟件股份有限公司的產(chǎn)品，在國內(nèi)市場占據(jù)率為15%。8.4.2常用殺毒軟件國內(nèi)的殺毒軟件市場有瑞星、江民、金第8章計(jì)算機(jī)病毒與反病毒技術(shù)第8章計(jì)算機(jī)病毒與反病毒技術(shù)第8章計(jì)算機(jī)病毒與反病毒技術(shù)課件第8章計(jì)算機(jī)病毒與反病毒技術(shù)課件熊貓燒香—武漢男生發(fā)展過程：2006年10月16日“熊貓燒香”病毒在網(wǎng)上傳播，2006年底到2007年初，金山毒霸反病毒中心監(jiān)測到“熊貓燒香”變種數(shù)已達(dá)到90多個(gè)。病毒主要通過網(wǎng)站帶毒感染用戶之外，也會在局域網(wǎng)中傳播，導(dǎo)致短短三月內(nèi)數(shù)百萬臺電腦中毒。熊貓燒香—武漢男生發(fā)展過程：2006年10月16日“熊貓燒香中毒癥狀：

1．感染系統(tǒng)文件，被感染的用戶系統(tǒng)中所有.exe可執(zhí)行文件全部被改成熊貓舉著三根香的模樣

2．通過局域網(wǎng)進(jìn)行傳播，進(jìn)而感染局域網(wǎng)內(nèi)所有計(jì)算機(jī)系統(tǒng)，最終導(dǎo)致企業(yè)局域網(wǎng)癱瘓

3．中止大量的反病毒軟件進(jìn)程

4．刪除擴(kuò)展名為gho的文件，使用戶的系統(tǒng)備份文件丟失

中毒癥狀：問題什么樣的程序才是病毒?病毒有哪些危害性?病毒是怎樣實(shí)現(xiàn)傳播的?病毒程序的一般結(jié)構(gòu)?問題什么樣的程序才是病毒?學(xué)習(xí)目標(biāo)l

計(jì)算機(jī)病毒的發(fā)展歷史及危害l

計(jì)算機(jī)病毒的基本特征及傳播方式l

病毒的結(jié)構(gòu)l

常用的反病毒技術(shù)l

常用的病毒防范方法學(xué)習(xí)目標(biāo)病毒起源1949,馮?諾依曼就提出了計(jì)算機(jī)病毒的概念”能夠?qū)嶋H復(fù)制自身的自動機(jī)”美籍匈牙利數(shù)學(xué)家馮·諾依曼現(xiàn)在使用的計(jì)算機(jī)基本工作原理是存儲程序和程序控制數(shù)據(jù)與指令采用二進(jìn)制馮·諾依曼對人類的最大貢獻(xiàn)是對計(jì)算機(jī)科學(xué)、計(jì)算機(jī)技術(shù)和數(shù)值分析的開拓性工作。病毒起源1949,馮?諾依曼就提出了計(jì)算機(jī)病毒的概念”能夠?qū)?0年代,美國作家雷恩所著《P1的青春》一書中構(gòu)思了一種能夠自我復(fù)制，利用通信進(jìn)行傳播的計(jì)算機(jī)程序，稱之為計(jì)算機(jī)病毒。第8章計(jì)算機(jī)病毒與反病毒技術(shù)課件1983年11月3日，弗雷德·科恩（FredCohen）博士研制出一種在運(yùn)行過程中可以復(fù)制自身的破壞性程序倫·艾德勒曼（LenAdleman）將它命名為計(jì)算機(jī)病毒（computervirus）。1983年11月3日，弗雷德·科恩（FredCohen）博1986年初，巴基斯坦的巴錫特（Basit）和阿姆杰德（Amjad）兩兄弟編寫了Pakistan病毒（即Brain病毒），該病毒在一年內(nèi)流傳到了世界各地。1988年3月2日，一種蘋果機(jī)的病毒發(fā)作，這天受感染的蘋果機(jī)停止工作，只顯示“向所有蘋果電腦的使用者宣布和平的信息”。以慶祝蘋果機(jī)生日。1986年初，巴基斯坦的巴錫特（Basit）和阿姆杰德（Am蠕蟲病毒1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個(gè)被稱為“蠕蟲”的電腦病毒送進(jìn)了美國最大的電腦網(wǎng)絡(luò)——互聯(lián)網(wǎng)。蠕蟲病毒1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個(gè)被1991年在“海灣戰(zhàn)爭”中，美軍第一次將計(jì)算機(jī)病毒用于實(shí)戰(zhàn)。1992年出現(xiàn)針對殺毒軟件的“幽靈”病毒，如One-half。1996年首次出現(xiàn)針對微軟公司Office的“宏病毒”。1997年被公認(rèn)為計(jì)算機(jī)反病毒界的“宏病毒”年。第8章計(jì)算機(jī)病毒與反病毒技術(shù)課件CIH病毒CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病毒。它是由臺灣大學(xué)生陳盈豪編制的，九八年五月間，陳盈豪還在大同工學(xué)院就讀時(shí)，完成以他的英文名字縮寫“CIH”名的電腦病毒起初據(jù)稱只是為了“想紀(jì)念一下1986的災(zāi)難”或“使反病毒軟件公司難堪”。1999年4月26日，CIH病毒在全球范圍大規(guī)模爆發(fā)，造成近6000萬臺電腦癱瘓。（該病毒產(chǎn)生于1998年）CIH病毒CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病2001年7月中旬，一種名為“紅色代碼”的病毒在美國大面積蔓延，這個(gè)專門攻擊服務(wù)器的病毒攻擊了白宮網(wǎng)站，造成了全世界恐慌。2003年，“2003蠕蟲王”病毒在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡(luò)災(zāi)害。第8章計(jì)算機(jī)病毒與反病毒技術(shù)課件2004年是蠕蟲泛濫的一年，大流行病毒：網(wǎng)絡(luò)天空(Worm.Netsky)高波(Worm.Agobot)愛情后門(Worm.Lovgate)震蕩波(Worm.Sasser)SCO炸彈(Worm.Novarg)沖擊波(Worm.Blaster)惡鷹(Worm.Bbeagle)小郵差(Worm.Mimail)求職信(Worm.Klez)大無極(Worm.SoBig)2004年是蠕蟲泛濫的一年，大流行病毒：沖擊波病毒年僅18歲的高中生杰弗里·李·帕森因?yàn)樯嫦邮恰皼_擊波”電腦病毒的制造者于2003年8月29日被捕。對此，他的鄰居們表示不敢相信。在他們的眼里，杰弗里·李·帕森是一個(gè)電腦天才，而決不是什么黑客，更不會去犯罪。沖擊波病毒年僅18歲的高中生杰弗里·李·帕森因?yàn)樯嫦邮恰皼_擊2005年是木馬流行的一年，新木馬包括：8月9日，“閃盤竊密者（Trojan.UdiskThief）”病毒。該木馬病毒會判定電腦上移動設(shè)備的類型，自動把U盤里所有的資料都復(fù)制到電腦C盤的“test”文件夾下，這樣可能造成某些公用電腦用戶的資料丟失。11月25日，“證券大盜”（Ｔｒｏｊａｎ／ＰＳＷ．Ｓｏｕｆａｎ）。該木馬病毒可盜取包括南方證券、國泰君安在內(nèi)多家證券交易系統(tǒng)的交易賬戶和密碼，被盜號的股民賬戶存在被人惡意操縱的可能。7月29日，“外掛陷阱”（troj.Lineage.hp）。此病毒可以盜取多個(gè)網(wǎng)絡(luò)游戲的用戶信息，如果用戶通過登陸某個(gè)網(wǎng)站，下載安裝所需外掛后，便會發(fā)現(xiàn)外掛實(shí)際上是經(jīng)過偽裝的病毒，這個(gè)時(shí)候病毒便會自動安裝到用戶電腦中。9月28日，"我的照片"(Trojan.PSW.MyPhoto)病毒。該病毒試圖竊取《熱血江湖》、《傳奇》、《天堂Ⅱ》、《工商銀行》、《中國農(nóng)業(yè)銀行》等數(shù)十種網(wǎng)絡(luò)游戲及網(wǎng)絡(luò)銀行的賬號和密碼。該病毒發(fā)作時(shí)，會顯示一張照片使用戶對其放松警惕。2005年是木馬流行的一年，新木馬包括：病毒的定義在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中對計(jì)算機(jī)病毒進(jìn)行了明確定義：“計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。病毒的定義在《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中對病毒的生命周期（1）隱藏階段（2）傳播階段（3）觸發(fā)階段（4）執(zhí)行階段處于這個(gè)階段的病毒不進(jìn)行操作，等待事件觸發(fā)。觸發(fā)事件包括時(shí)間、其他程序或文件出現(xiàn)等等。但有的病毒沒有隱藏階段。病毒copy自身到未感染病毒的程序或磁盤的某個(gè)扇區(qū)。被感染的程序可以繼續(xù)傳播病毒的copy。病毒將被激活進(jìn)入執(zhí)行階段。在這一階段，病毒收到一些系統(tǒng)事件的觸發(fā)。例如：病毒本身進(jìn)行復(fù)制的副本數(shù)達(dá)到了某個(gè)數(shù)量病毒被激活執(zhí)行病毒設(shè)計(jì)者預(yù)先設(shè)計(jì)好的功能。這些功能可能是無害的，例如：向屏幕發(fā)送一條消息；也可能是有害的，例如：刪除程序或文件，強(qiáng)行關(guān)機(jī)等。病毒的生命周期（1）隱藏階段處于這個(gè)階段的病毒不進(jìn)行操作，等病毒的一般結(jié)構(gòu)Programv:={gotomain;1234567;subroutineinfect-executable:={loop：file:=get-radom-executable-file;if（first-line-of-file=1234567）thengotoloop;elseprependVtofile;}

subroutinedo-damage:={whateverdamageistobedone}

subroutinetrigger-pulled:={returntrueifsomeconditionholds}

main:main-program:={infect-executable;iftrigger-pulledthendo-damage;gotonext;}next:

}病毒的一般結(jié)構(gòu)Programv:=病毒的特征（1）傳染性

最重要的判別條件。（2）破壞性良性，惡性（3）潛伏性潛伏期不容易發(fā)現(xiàn)，觸發(fā)機(jī)制。（4）可執(zhí)行性

（5）可觸發(fā)性

時(shí)間，日期，文件類型，特定數(shù)據(jù)（6）隱蔽性病毒短小精悍，感染病毒后的程序不宜區(qū)別。病毒的特征（1）傳染性最重要的判別條件。病毒的類型1.文件感染型2.引導(dǎo)扇區(qū)型3.混合型4.宏病毒5.網(wǎng)絡(luò)病毒主要感染COM，EXE等可執(zhí)行文件，寄生于宿主程序中，必須借助于宿主程序才能裝入內(nèi)存。病毒把代碼復(fù)制到宿主程序的開頭或結(jié)尾，造成被感染文件長度變長?；蛘咧苯痈膶懕桓腥疚募绦虼a，造成宿主程序本身功能受影響。大多數(shù)文件型病毒都是常駐內(nèi)存。簡稱引導(dǎo)型病毒，主要影響軟盤上的引導(dǎo)扇區(qū)和硬盤上的主引導(dǎo)扇區(qū)。主引導(dǎo)扇區(qū)是硬盤的第一個(gè)扇區(qū)，主引導(dǎo)程序占用扇區(qū)的前446kb，負(fù)責(zé)從活動分區(qū)中加載操作系統(tǒng)引導(dǎo)程序。硬盤啟動加電自檢后，將硬盤主引導(dǎo)扇區(qū)讀入內(nèi)存，然后執(zhí)行此段代碼。引導(dǎo)型病毒幾乎都常駐內(nèi)存。綜合了引導(dǎo)型和文件型病毒的特性，不僅感染引導(dǎo)區(qū)，也感染文件。開機(jī)或者執(zhí)行程序時(shí)感染其他磁盤或文件。宏病毒寄生在文檔或模板的宏中。打開文檔，宏病毒就會被激活，進(jìn)入計(jì)算機(jī)內(nèi)存中，駐留在Normal模板上。被感染的機(jī)器打開的word文檔感染上宏病毒。特洛伊木馬、蠕蟲病毒、網(wǎng)頁病毒。網(wǎng)頁病毒-網(wǎng)頁惡意代碼。在網(wǎng)頁中用JavaApplet,JavaScript，ActiveX設(shè)計(jì)的程序?？梢岳肐E漏洞，修改用戶注冊表，修改IE默認(rèn)設(shè)置、獲取用戶的個(gè)人資料，刪除文件，格式化硬盤等。病毒的類型1.文件感染型主要感染COM，EXE等可執(zhí)行文件，病毒的傳播:(1)移動存儲設(shè)備傳播軟盤、優(yōu)盤、移動硬盤、光盤、磁帶。(2)網(wǎng)絡(luò)傳播電子郵件、文件下載、網(wǎng)頁瀏覽、聊天軟件。(3)無線傳播

病毒的傳播:(1)移動存儲設(shè)備傳播病毒的危害:（1）病毒發(fā)作對計(jì)算機(jī)數(shù)據(jù)信息的直接破壞（2）占用磁盤空間和對信息的破壞（3）搶占系統(tǒng)資源（4）影響計(jì)算機(jī)運(yùn)行速度（5）計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見的危害（6）計(jì)算機(jī)病毒給用戶造成嚴(yán)重的心理壓力格式化硬盤改寫文件分配表和目錄區(qū)刪除重要文件改寫文件破壞CMOS非法占用磁盤空間占據(jù)磁盤引導(dǎo)扇區(qū)，將原來的引導(dǎo)區(qū)轉(zhuǎn)移到其他扇區(qū)增加文件的長度大多數(shù)病毒在活動狀態(tài)下常駐內(nèi)存，搶占內(nèi)存。有些病毒會修改中斷地址，搶占中斷，干擾系統(tǒng)正常運(yùn)行。網(wǎng)絡(luò)病毒會占用大量網(wǎng)絡(luò)資源，計(jì)算機(jī)連接、帶寬，是網(wǎng)絡(luò)通信變得緩慢病毒為了判斷傳染發(fā)作條件，要對計(jì)算機(jī)的工作狀態(tài)進(jìn)行監(jiān)視。有些病毒為了保護(hù)自己，不但對磁盤上的靜態(tài)病毒加密，而且進(jìn)駐內(nèi)存后的動態(tài)病毒也處在加密狀態(tài)。加密解密的工作量。病毒傳染時(shí)也要插入非法的額外操作。絕大部分病毒都存在不同程度的錯(cuò)誤。計(jì)算機(jī)病毒錯(cuò)誤所產(chǎn)生的后果往往是不可預(yù)見的，有可能比病毒本身的危害還大。病毒的危害:（1）病毒發(fā)作對計(jì)算機(jī)數(shù)據(jù)信息的直接破壞格式化硬病毒的命名病毒前綴.病毒名.病毒后綴。病毒前綴：病毒的種類，不同的種類的病毒，其前綴不相同。比如常見的木馬的前綴是Trojan，蠕蟲的前綴是Worm。病毒名：病毒的家族特征，是用來區(qū)別和標(biāo)識病毒家族的，如著名的CIH病毒的家族名都是統(tǒng)一的CIH，振蕩波蠕蟲病毒的家族名是Sasser。病毒后綴：病毒的變種特征，是用來區(qū)別具體某個(gè)家族病毒的某個(gè)變種的。一般都采用英文中的26個(gè)字母來表示，如：Worm.Sasser.b就是指振蕩波蠕蟲病毒的變種b。如果病毒變種非常多，可以采用數(shù)字與字母混合表示變種標(biāo)識。

病毒的命名病毒前綴.病毒名.病毒后綴。1.系統(tǒng)病毒：Win95

.CIH,Win32.CIH2.蠕蟲病毒：網(wǎng)絡(luò)天空Worm.Netsky.A,貝革熱Worm.Bgeagle.A，震蕩波Worm.Sasser3.木馬病毒、黑客病毒：Trojan，Hack4.腳本病毒：紅色代碼Script.Redlof,歡樂時(shí)光VBS.Happytime,十四日J(rèn)s.Fortnight.c.s5.宏病毒：美麗殺手Macro.Mellissa6.后門病毒：瑞波Backdoor.Rvot1.系統(tǒng)病毒：Win95.CIH,Win32.CIHCIH病毒作者：陳盈豪文件型病毒，感染W(wǎng)indows9x可執(zhí)行文件傳播途徑：Internet和電子郵件版本：V1.0,V1.1,V1.2,V1.3,V1.4等5個(gè)版本。觸發(fā)條件：4月26日，6月26日，26日對計(jì)算機(jī)硬盤及BIOS有超強(qiáng)破壞力CIH病毒作者：陳盈豪宏病毒宏是一系列命令和指令的組合，可以作為單個(gè)命令執(zhí)行來自動完成某項(xiàng)任務(wù)加快常規(guī)編輯和格式設(shè)置的速度自動執(zhí)行一系列復(fù)雜的任務(wù)可以使用宏錄制器來錄制一系列操作。宏病毒宏是一系列命令和指令的組合，可以作為單個(gè)命令執(zhí)行來自動宏病毒寄存在文檔或模板的宏中。一旦打開這樣的文檔，其中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉(zhuǎn)移到計(jì)算機(jī)上，并駐留在Normal模板上。從此以后，所有自動保存的文檔都會“感染”上這種宏病毒，而且如果其他用戶打開了感染病毒的文檔，宏病毒又會轉(zhuǎn)移到他的計(jì)算機(jī)上。宏病毒寄存在文檔或模板的宏中。一旦打開這樣的文檔，其中的宏就蠕蟲病毒蠕蟲（Worm）是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它通過分布式網(wǎng)絡(luò)來擴(kuò)散傳播特定的信息或錯(cuò)誤，進(jìn)而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖。

蠕蟲又與傳統(tǒng)的病毒又有許多不同之處，如不利用文件寄生、對網(wǎng)絡(luò)造成拒絕服務(wù)、與黑客技術(shù)相結(jié)合等。蠕蟲病毒蠕蟲（Worm）是一種通過網(wǎng)絡(luò)傳播的惡性病毒，它通過計(jì)算機(jī)蠕蟲病毒是一種融合計(jì)算機(jī)蠕蟲、計(jì)算機(jī)病毒和木馬技術(shù)的新技術(shù)通過大規(guī)模的掃描獲取網(wǎng)絡(luò)中存在漏洞的計(jì)算機(jī)的控制權(quán)進(jìn)行復(fù)制和傳播在已感染的計(jì)算機(jī)中設(shè)置后門或執(zhí)行惡意代碼破壞計(jì)算機(jī)系統(tǒng)或信息。計(jì)算機(jī)蠕蟲病毒是一種融合計(jì)算機(jī)蠕蟲、計(jì)算機(jī)病毒和木馬技術(shù)的新

普通病毒蠕蟲病毒存在形式寄生于文件獨(dú)立程序傳染機(jī)制宿主程序運(yùn)行主動攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計(jì)算機(jī)

普通病毒蠕蟲病毒存在形式寄生于文件獨(dú)立程序傳染機(jī)制宿主程序病毒名稱

爆發(fā)時(shí)間造成損失

莫里斯蠕蟲1988年6000多臺電腦停機(jī)，經(jīng)濟(jì)損失達(dá)9600萬美元美麗殺手1999年政府部門和一些大公司緊急關(guān)閉了網(wǎng)絡(luò)服務(wù)器，經(jīng)濟(jì)損失超過12億美元愛蟲病毒2000年5月眾多用戶電腦被感染，損失超過96億美元紅色代碼2001年7