关于病毒、蠕虫、木马的概念小总结

PPT模板下载：信息安全问题分析司如言什么是病毒？蠕虫又是什么？木马呢？病毒、蠕虫、木马之间的关系知多少？病毒类型根据中国国家计算机病毒应急处理中心发表的报告统计，占近45%的病毒是木马程序，蠕虫占病毒总数的25%以上，占15%以上的是脚本病毒，其余的病毒类型分别是：文档型病毒、破坏性程序和宏病毒。PS：根据上面维基百科的解释，可以理解为：蠕虫、木马属于计算机病毒。（感兴趣的同学们下去可以再查证，这里仅是给出一种观点。）No.1首先，谈一谈病毒病毒Virus电脑病毒，或称计算机病毒。是一种在人为或非人为的情况下产生的、在用户不知情或未批准下，能自我复制或运行的电脑程序；电脑病毒往往会影响受感染电脑的正常运作，或是被控制而不自知，也有电脑正常运作仅盗窃数据等用户非自发启动的行为。寄生于其他可执行程序中的，通过磁盘拷贝、文件共享、电子邮件等多种途径进行扩散和感染病毒的“发家史”第一份关于计算机病毒理论的学术工作（虽然“病毒”一词在当时并未使用）于1949年由约翰·冯·诺伊曼完成。病毒一词广为人知是得力于科幻小说。一部是1970年代中期大卫·杰洛德（DavidGerrold）的《WhenH.A.R.L.I.E.wasOne》，描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序；另一部是约翰·布鲁勒尔（JohnBrunner）1975年的小说《震荡波骑士（ShakewaveRider）》，描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。1960年代初，美国麻省理工学院的一些青年研究人员，在做完工作后，利用业余时间玩一种他们自己创造的计算机游戏。做法是某个人编制一段小程序，然后输入到计算机中运行，并销毁对方的游戏程序。而这也可能就是计算机病毒的雏形。《WhenH.A.R.L.I.E.wasOne》《震荡波骑士（ShakewaveRider）》关于病毒的科幻小说一览病毒的感染策略为了能够复制其自身，病毒必须能够运行代码并能够对内存运行写操作。基于这个原因，许多病毒都是将自己附着在合法的可执行文件上。如果用户企图运行该可执行文件，那么病毒就有机会运行。非常驻型病毒非常驻型病毒可以被想成具有搜索模块和复制模块的程序。搜索模块负责查找可被感染的文件，一旦搜索到该文件，搜索模块就会启动复制模块进行感染。常驻型病毒常驻型病毒包含复制模块，其角色类似于非常驻型病毒中的复制模块。复制模块在常驻型病毒中不会被搜索模块调用。常驻型病毒有时会被区分成快速感染者和慢速感染者（针对感染速度的快慢而言）。快速感染者会试图感染尽可能多的文件。病毒的传播途径大多病毒发布作者的目的有多种，包括恶作剧、想搞破坏、报复及想出名与对研究病毒有特殊嗜好。病毒主要通过网络浏览以及下载，电子邮件以及可移动磁盘等途径迅速传播。中病毒后主要症状杀毒软件关闭；经常跑出看不懂的窗口；瘫痪电脑运作。前缀含义WMWord6.0、Word95宏病毒WM97Word97宏病毒XMExcel5.0、Excel95宏病毒X97MExcel5.0和Excel97版本下发作XFExcel程序病毒AMAccess95宏病毒AM97MAccess97宏病毒W95Windows95、98病毒WinWindows3.x病毒W3232位病毒，感染所有32位Windows系统WINT32位Windows病毒，只感染WindowsNTTrojan/Troj特洛伊木马VBSVBScript程序语言编写的病毒VSM感染VisioVBA（VisualBasicforApplications）宏或script的宏或script病毒JSJScript编程语言编写的病毒PE32位寻址的Windows病毒OSXOSX的病毒OSXLOSXLion或者更新版本的病毒以下表格所示是国际上对病毒命名惯例的前缀释义，DOS下的病毒一般无前缀:(中间部分指的是病毒的英文名，而后缀一般是变种代号)No.2那么，再说一说蠕虫计算机蠕虫：不需借助其他可执行程序就能独立存在并运行，通常利用网络中某些主机存在的漏洞来感染和扩散。蠕虫Worm蠕虫，，，计算机蠕虫与计算机病毒相似，是一种能够自我复制的计算机程序。与计算机病毒不同的是，计算机蠕虫不需要附在别的程序内，可能不用使用者介入操作也能自我复制或执行。计算机蠕虫未必会直接破坏被感染的系统，却几乎都对网络有害。计算机蠕虫可能会执行垃圾代码以发动分散式阻断服务攻击，令到计算机的执行效率极大程度降低，从而影响计算机的正常使用；可能会损毁或修改目标计算机的档案；亦可能只是浪费带宽。（恶意的）计算机蠕虫可根据其目的分成2类：一种是面对大规模计算机使用网络发动拒绝服务的计算机蠕虫。另一种是针对个人用户的以执行大量垃圾代码的计算机蠕虫。计算机蠕虫多不具有跨平台性，但是在其他平台下，可能会出现其平台特有的非跨平台性的平台版本。第一个被广泛注意的计算机蠕虫名为：“莫里斯蠕虫”，由罗伯特·泰潘·莫里斯编写，于1988年11月2日释出第一个版本。这个计算机蠕虫间接和直接地造成了近1亿美元的损失。蠕虫，，，传播过程蠕虫程序常驻于一台或多台机器中，通常它会扫描其他机器是否有感染同种计算机蠕虫，如果没有，就会通过其内建的传播手段进行感染，以达到使计算机瘫痪的目的。其通常会以宿主机器作为扫描源。通常采用：垃圾邮件、漏洞传播这2种方法来传播反应用有部分检测器借鉴了计算机蠕虫的设计理念，它的工作机理是：扫描目标机器是否有漏洞然后再施加补丁的检测器。善良意图的计算机蠕虫在冲击波蠕虫所使用的RPCSS漏洞被发现一段时间后，网路上出现了一个名为Waldec的蠕虫，该蠕虫会自动帮助未修复该漏洞的用户打上补丁。不过，该蠕虫也会大量耗尽网络带宽，与“恶意”蠕虫对网络有差不多的效果。著名的计算机蠕虫反核蠕虫、冲击波蠕虫、ILOVEYOUSql、王熊猫烧香No.3最后，话一话木马木马Trojan特洛伊木马：一种表面有用，但实际有破坏作用的计算机程序。一旦用户禁不起诱惑打开了自认为合法的程序，特洛伊木马便趁机传播。有些也叫作远程控制软件，如果木马能连通的话，那么可以说控制者已经得到了远程计算机的全部操作控制权限，操作远程计算机与操作自己计算机基本没什么大的区别，这类程序可以监视、摄录被控用户的摄像头与截取密码等，以及进行用户可进行的几乎所有操作（硬件拔插、系统未启动或未联网时无法控制）。另外，用户一旦感染了特洛伊木马，就会成为“僵尸”（或常被称为“肉鸡”），成为任黑客手中摆布的“机器人”。通常黑客或脚本小孩（scriptkids）可以利用数以万计的“僵尸”发送大量伪造包或者是垃圾数据包对预定目标进行拒绝服务攻击，造成被攻击目标瘫痪。特洛伊木马之神话(1)名字的由来“木马”这一名称来源于希腊神话特洛伊战争的特洛伊木马。计算机中所说的木马与病毒一样也是一种有害的程序，其特征与特洛伊木马一样具有伪装性，看起来挺好的，却会在用户不经意间，对用户的计算机系统产生破坏或窃取数据，特别是用户的各种账户及口令等重要且需要保密的信息，甚至控制用户的计算机系统。特征特洛伊木马不经电脑用户准许就可获得电脑的使用权。程序容量十分轻小，运行时不会浪费太多资源，因此没有使用杀毒软件是难以发觉的；运行时很难阻止它的行动，运行后，立刻自动登录在系统启动区，之后每次在Windows加载时自动运行；或立刻自动变更档名，甚至隐形；或马上自动复制到其他文件夹中，运行连用户本身都无法运行的动作；或浏览器自动连往奇怪或特定的网页。特洛伊木马之神话（2）木马发展史赏析木马程序技术发展可以说非常迅速。主要是有些年轻人出于好奇，或是急于显示自己实力，不断改进木马程序的编写。至今木马程序已经经历六代的改进：第一代，是最原始的木马程序。主要是简单的密码窃取，通过电子邮件发送信息等，具备木马最基本的功能。第二代，在技术上有了很大的进步，冰河是中国木马的典型代表之一。第三代，主要改进在数据传递技术方面，出现ICMP等类型的木马，利用畸形报文传递数据，增加杀毒软件查杀识别的难度。特洛伊木马之神话（3）第四代，在进程隐藏方面有了很大改动，采用内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程等方式，实现木马程序的隐藏，甚至在WindowsNT/2000下，都达到良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。第五代，驱动级木马。驱动级木马多数都使用大量的Rootkit技术来达到在深度隐藏的效果，并深入到内核空间的，感染后针对杀毒软件和网络防火墙进行攻击，可将系统SSDT初始化，导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS，并且很难查杀。第六代，随着身份认证UsbKey和杀毒软件主动防御的兴起，黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主，后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表。特洛伊木马之神话（4）中毒症状木马的植入通常是利用操作系统的漏洞，绕过对方的防御措施（如防火墙）。中了特洛伊木马程序的计算机，因为资源被占用，速度会减慢，莫名死机，且用户信息可能会被窃取，导致数据外泄等情况发生。解决办法特洛伊木马大部分可以被杀毒软件识别清除。但很多时候，需要用户去手动清除某些文件，注册表项等。不具有破坏防火墙功能的木马可以被防火墙拦截。寄语：本来是想插入一些有趣的、真实的图片，带给大家关于信息安全方面一些有用的信息，没想到做到最后，竟然还是长篇大论了这么多的概念。估计有人可能要吐槽了，，，希望再接再厉吧，不足以及不对地方只能让同学们和老师纠正了。谢谢！2016/3/23