计算机病毒防治课件PPT

对计算机病毒的防治一直是有关专家的研究课题，但在计算机病毒与防治病毒的战争中，正义的一方并没有占据明显的优势。计算机病毒对安全的危害随着互联网的发展而逐渐升级。但互联网也成为了防病毒厂商、安全团体及时发布消息的主要途径，而且绝大多数防病毒软件都可以通过互联网对病毒库和防病毒程序进行在线升级。本章将从计算机病毒的概念、发展、危害及其特点等方面谈起，介绍计算机病毒的分类，并结合具体的例子介绍恶意代码、计算机病毒尤其是典型计算机病毒的检测与清除。最后，简单回顾计算机病毒的现状和发展趋势。计算机网络安全技术与应用7.1计算机病毒的特点与分类7.2恶意代码7.3计算机病毒的检测与清除7.4典型计算机病毒的检测与清除7.5计算机病毒的现状和发展趋势主要内容第七章计算机病毒防治7.1计算机病毒的特点与分类7.1.1计算机病毒的概念1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用并能自我复制的一组计算机指令或者程序代码。”此定义具有法律效力和权威性。计算机病毒赖以生存的基础是现代计算机都具有相同的工作原理和操作系统的脆弱性，以及网络协议中的安全漏洞。特别是在个人计算机中，系统的基本控制功能对用户是公开的，可以通过调用和修改系统的中断，取得对系统的控制权，从而对系统程序和其他程序进行任意处理。7.1计算机病毒的特点与分类7.1.2计算机病毒的发展从1986年出现第一个感染PC机的计算机病毒开始，至今短短30年，已经经历了3个阶段。第一个阶段为DOS、Windows等传统病毒，此时编写病毒完全是基于对技术的探求，这一阶段的顶峰应该算是CIH病毒；第二个阶段为基于Internet的网络病毒，例如“红色代码”、“冲击波”、“震荡波”等病毒皆属于此阶段，这类病毒往往利用系统漏洞进行世界范围内的大规模传播；目前计算机病毒已经发展到了第三阶段，我们所面临的不再是一个简简单单的病毒，而是集病毒、黑客攻击、木马、间谍软件等多种危害于一身的基于Internet的网络威胁。7.1.3计算机病毒的特点1.发生侵害的主动性2．传染性3．隐蔽性4．表现性5．破坏性6．难确定性7.1计算机病毒的特点与分类7.1.4计算机病毒的分类1．按其破坏性可分为：良性病毒和恶性病毒。2．按其传染途径可分为：驻留内存型病毒和非驻留内存型病毒。3．按连接方式可分为：源码型、入侵型、操作系统型和外壳型病毒。4．按寄生方式可分为：引导型病毒、文件型病毒以及集两种病毒特性于一体的复合型病毒和宏病毒、网络病毒。5．其他一些分类方式按照计算机病毒攻击的操作系统；按照计算机病毒激活的时间；按计算机病毒攻击的机型。7.1计算机病毒的特点与分类宏病毒宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档，其中的宏就会被执行，于是宏病毒就会被激活，转移到计算机上，并驻留在Normal模板上。从此以后，所有自动保存的文档都会“感染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病毒又会转移到他的计算机上。如果某个文档中包含了宏病毒，我们称此文档感染了宏病毒；如果WORD系统中的模板包含了宏病毒，我们称WORD系统感染了宏病毒。宏病毒危害主要在以下方面：一、宏病毒的主要破坏WORD宏病毒的破坏在两方面：1．对WORD运行的破坏是：不能正常打印；封闭或改变文件存储路径；将文件改名；乱复制文件；封闭有关菜单；文件无法正常编辑。如TaiwanNo.lMacro病毒每月13日发作，所有编写工作无法进行。2．对系统的破坏是：WordBasic语言能够调用系统命令，造成破坏。二、宏病毒隐蔽性强，传播迅速，危害严重，难以防治与感染普通.EXE或.COM文件的病毒相比，Word宏病毒具有隐蔽性强，传播迅速，危害严重，难以防治等特点。7.1.5计算机病毒的危害1．病毒激发对计算机数据信息的直接破坏作用2．占用磁盘空间3．抢占系统资源4．影响计算机的运行速度7.1计算机病毒的特点与分类7.1.6计算机病毒的工作机理1．计算机病毒的结构计算机病毒在结构上有着共同性，一般由引导模块、传染模块、触发模块，表现模块部分组成。2．计算机病毒的工作机理因为计算机病毒的传染和发作需要使用一些系统函数及硬件，而后者往往在不同的平台上是各不相同的，因此大多数计算机病毒都是针对某种处理器和操作系统编写的。计算机病毒能够感染的只有可执行代码，按照可执行代码的种类可以将计算机病毒分为引导型病毒、文件型病毒、宏病毒和网络病毒四大类。7.1计算机病毒的特点与分类（1）引导型病毒的工作机理引导扇区是硬盘或软盘的第一个扇区，是存放引导指令的地方，这些引导指令对于操作系统的装载起着十分重要的作用。一般来说，引导扇区在CPU的运行过程中最先获得对CPU的控制权，病毒一旦控制了引导扇区，也就意味着病毒控制了整个计算机系统。引导型病毒程序会用自己的代码替换原始的引导扇区信息，并把这些信息转移到磁盘的其他扇区中。当系统需要访问这些引导数据信息时，病毒程序会将系统引导到存储这些引导信息的新扇区，从而使系统无法发觉引导信息的转移，增强了病毒自身的隐蔽性。引导型病毒可以将感染进行有效的传播。7.1计算机病毒的特点与分类（2）文件型病毒的工作机理文件型病毒攻击的对象是可执行程序，病毒程序将自己附着或追加在后缀名为.exe或.com的可执行文件上。当感染了该类病毒的可执行文件运行时，病毒程序将在系统中进行它的破坏行动。同时，它将驻留在内存中，试图感染其他文件。当该类病毒完成了它的工作之后，其宿主程序才得到运行，使一切看起来很正常。7.1计算机病毒的特点与分类（3）宏病毒的工作机理为了减少用户的重复劳作，例如进行相似的操作，Office提供了一种所谓宏的功能。利用这个功能，用户可以把一系列的操作记录下来，作为一个宏。之后只要运行这个宏，计算机就能自动地重复执行那些定义在宏中的所有操作。这种宏操作一方面方便了普通的计算机用户，另一方面却也给病毒制造者提供了可乘之机。宏病毒是一种专门感染Office系列文档的恶性病毒。1995年，世界上发现了第一个宏病毒Concept。由于宏的编程语言VBA简单易学，因此大量的宏病毒层出不穷，短短两年时间其数量就上升至20000多种!7.1计算机病毒的特点与分类（4）网络病毒的工作机理以典型的“远程探险者”（RemoteExplorer）病毒为例，它是真正的网络病毒，一方面它需要通过网络方可实施有效的传播；另一方面，它要想真正地攻入网络（无论是局域网还是广域网），本身必须具备系统管理员的权限，如果不具备此权限，则它只能够对当前被感染的主机中的文件和目录起作用。该病毒仅在WindowsNTServer和WindowsNTWorkstation平台上起作用，专门感染.exe文件。RemoteExplorer的破坏作用主要表现在：加密某些类型的文件，使其不能再用，并且能够通过局域网或广域网进行传播。7.1计算机病毒的特点与分类7.1计算机病毒的特点与分类2．“震荡波”病毒2004年5月1日，当人们正沉浸在黄金周的快乐之中时，一个新的病毒——“震荡波（Worm.Sasser）”开始在互联网上肆虐。“震荡波”病毒跟“冲击波”病毒非常类似，它是利用微软的系统漏洞MS04-011进行传播的。用户的计算机一旦感染该病毒，系统将开启上百个线程去攻击他人，造成计算机系统运行异常缓慢、网络不畅通，并让系统不停地进行重新启动。值得注意的是，在2004年4月13日，微软对此漏洞发布过级别为严重的安全公告。7.1计算机病毒的特点与分类如果计算机出现下列现象之一，则表明该计算机系统可能已经中毒，用户应该立刻采取措施，清除该病毒。（1）出现系统错误对话框（2）系统资源被大量占用（3）系统内存中出现名为avserve的进程（4）系统目录中出现名为avserve.exe的病毒文件。（5）注册表中出现病毒键值7.1计算机病毒的特点与分类3．电子邮件病毒所谓电子邮件病毒，就是以电子邮件方式作为传播途径的计算机病毒。该类病毒的特点如下：（1）电子邮件可以夹带任何类型的文件，夹带的文件可能带毒。（2）有些计算机病毒，能自动通过电子邮件进行传染、扩散。病毒通过电子邮件传播，具有以下两个特点：（1）速度快，范围广。（2）破坏力大。7.2.1常见的恶意代码7.2恶意代码恶意代码需要宿主的程序可以独立运行的程序后门逻辑炸弹特洛伊木马病毒细菌蠕虫复制图7-3恶意代码分类示意图1．后门（Backdoor）2．逻辑炸弹（LogicBomb）3．特洛伊木马（TrojanHorse）4．病毒（Virus）5．蠕虫（Worm）7.2恶意代码7.2.2木马1．木马病毒概述“特洛伊木马”的英文名称为TrojanHorse（其名称取自希腊神话的《特洛伊木马记》），是指表面看上去对人们有用或有趣，但实际上却有害的东西，并且它的破坏性是隐蔽的。计算机中的木马是一种基于远程控制的黑客工具，采用客户机/服务器工作模式。它通常包含控制端和被控制端两部分。被控制端的木马程序一旦植入受害者的计算机（简称宿主）中，操纵者就可以在控制端实时监视该用户的一切操作，有的放矢地窃取重要文件和信息，甚至还能远程操控受害计算机对其他计算机发动攻击。木马的控制端和被控制端通过网络进行交互。7.2恶意代码木马的运行，可以采用以下3种模式。（1）潜伏在正常的程序应用中，附带执行独立的恶意操作。（2）潜伏在正常的程序应用中，但会修改正常的应用进行恶意操作。（3）完全覆盖正常的程序应用，执行恶意操作。7.2恶意代码2．木马的特点木马具有隐蔽性和非授权性的特点。所谓隐蔽性，是指木马的设计者为了防止木马被发现，会采用多种手段隐藏木马。这样，被控制端即使发现感染了木马，也不能确定其准确的位置。所谓非授权性，是指一旦控制端与被控制端连接后，控制端将享有被控制端的大部分操作权限，包括修改文件、修改注册表、控制鼠标、键盘等，这些权力并不是被控制端赋予的，而是通过木马程序窃取的。7.2恶意代码2．木马的工作过程木马对网络主机的入侵过程，可大致分为6个步骤。（1）配置木马（2）传播木马（3）运行木马（4）信息泄露（5）连接建立（6）远程控制7.2恶意代码4．木马的危害木马是一种远程控制工具，以简便、易行、有效而深受黑客青睐。木马主要以网络为依托进行传播，窃取用户隐私资料是其主要目的；而且多具有引诱性与欺骗性，是病毒新的危害趋势。木马可以说是一种后门程序，它会在受害者的计算机系统里打开一个“后门”，黑客经由这个被打开的特定“后门”进入系统，然后就可以随心所欲地操纵计算机了。木马不仅是一般黑客的常用工具，更是网上情报刺探的一种主要手段，对国家安全造成了巨大威胁。7.2恶意代码2004年国内危害最严重的10种木马是：QQ木马、网银木马、MSN木马、传奇木马、剑网木马、BOT系列木马、灰鸽子、蜜蜂大盗、黑洞木马、广告木马。这些木马会随着电子邮件、即时通信工具、网页浏览等方式感染用户计算机。系统漏洞就像给了木马一把钥匙，使它能够很轻易地在计算机中潜伏下来，达到其窃取隐私信息的险恶目的。根据木马的特点及其危害范围，可将其分为针对网络游戏的木马、针对网上银行的木马、针对即时通信工具的木马、给计算机开后门的木马和推广广告的木马等五大类别。7.2恶意代码5．木马的检测和清除可以通过查看系统端口开放的情况、系统服务情况、系统任务运行情况、网卡的工作情况、系统日志及运行速度有无异常等对木马进行检测，检测到计算机感染木马后，就要根据木马的特征来进行清除；此外，也可查看是否有可疑的启动程序、可疑的进程存在，是否修改了Win.ini、System.ini系统配置文件和注册表，如果存在可疑的程序和进程，则按照特定的方法进行清除。7.2恶意代码（1）查看开放端口（2）查看和恢复Win.ini和System.ini系统配置文件（3）查看启动程序并删除可疑的启动程序（4）查看系统进程并停止