计算机病毒及防范ppt课件

第5章计算机网络病毒及其防范第5章计算机网络病毒及其防范5.1计算机病毒概述5.2计算机网络病毒5.3反病毒技术5.4计算机网络病毒的防范5.5小结习题与思考题第5章计算机网络病毒及其防范5.1计算机病毒概述5.1.1计算机病毒的定义“计算机病毒”有很多种定义，从广义上讲，凡是能引起计算机故障，破坏计算机中数据的程序统称为计算机病毒。现今国外流行的定义为：计算机病毒是一段附着在其他程序上的，可以实现自我繁殖的程序代码。在国内，《中华人民共和国计算机信息系统安全保护条例》的定义为：“计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码”。此定义具有法律性和权威性。第5章计算机网络病毒及其防范5.1.2计算机病毒的发展过程1983年11月3日，弗雷德·科恩(Fred.Cohen)博士研制出一种在运行过程中可以复制自身的破坏性程序，伦·艾德勒曼(Len.Adleman)将它命名为计算机病毒(ComputerViruses)。计算机病毒在20世纪90年代开始大规模流行。1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序(当时未给它命名)。这个程序通过UNIX的口令检测作为合法用户注册，进入系统后，将特洛伊木马程序不断传播、复制，使系统瘫痪。这是一个真正实用的、攻击计算机的病毒。第5章计算机网络病毒及其防范1988年11月2日晚，美国康尔大学研究生罗特·莫里斯(R.T.Morris)利用计算机系统存在的弱点，将计算机蠕虫病毒投放到网络中，使该病毒程序迅速扩展。至第二天凌晨，病毒从美国东海岸传到西海岸，造成了大批计算机瘫痪，遭受攻击的包括五个计算机中心和12个地区结点，连接着政府、大学、研究所和拥有政府合同的250 000台计算机，直接经济损失达9600万美元。这是自计算机出现以来最严重的一次计算机病毒侵袭事件，给全世界带来巨大的震动，引起世界各国的广泛关注。第5章计算机网络病毒及其防范随着计算机技术的发展，有越来越多的病毒出现。1995年在北美地区流行着一种“宏”病毒，它不感染.exe和.com文件，只感染文档文件。与传统病毒相比，宏病毒编写更为简单。1996年12月，宏病毒正式在我国出现，病毒名是“TaiwanNo.1”。它是在文件型和引导型病毒的基础上发展出来的，它不仅可由磁盘传播，还可由Internet上E-mail和下载文件传播，传播速度快，可以在多平台上交叉感染，危害极大。据专家估计，宏病毒的感染率高达40%以上，即每发现100个病毒就有40个是宏病毒。第5章计算机网络病毒及其防范在国内，最初让人关注的病毒是1982年出现的“黑色星期五”病毒、“米氏病毒”和“小球病毒”等。由于当时网络没有普及，因此没有造成病毒的广泛流行。1998年6月出现了CIH病毒，CIH病毒是目前破坏性最大的病毒之一。其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH。它感染Windows95/98下的PE(PortableExecutableFormat)可执行文件，但是不感染DOS文件。它是世界上首例也是目前惟一能攻击计算机硬件的病毒，它可攻击计算机的主板，并可造成网络的瘫痪。CIH病毒产于台湾，是台湾大学生陈盈豪编写的。目前发现至少有五个版本，发作时间一般是每月26日。第5章计算机网络病毒及其防范第5章计算机网络病毒及其防范第5章计算机网络病毒及其防范5.1.3计算机病毒的分类目前出现的计算机病毒种类繁多，同时，一种病毒也可能发生多种变形。根据计算机病毒的特征和表现的不同，计算机病毒有多种分类方法。1.按传染方式分类传染是计算机病毒的一个主要特征。计算机病毒按其传染方式可分为三种类型，分别是引导型、文件型和混合型病毒。第5章计算机网络病毒及其防范(1)引导型病毒指传染计算机系统磁盘引导程序的计算机病毒。它是一种开机即可启动的病毒，先于操作系统而存在。这类病毒将自身的部分或全部代码寄生在引导扇区，即修改系统的引导扇区，在计算机启动时这些病毒首先取得控制权，减少系统内存，修改磁盘读写中断，在系统存取操作磁盘时进行传播，影响系统工作效率。这类病毒的典型例子有大麻病毒、小球病毒等。(2)文件型病毒指传染可执行文件的计算机病毒。这类计算机病毒传染计算机的可执行文件(通常为.com或.exe、.ovl文件等)以及这些文件在执行过程中所使用的数据文件。在用户调用染毒的执行文件时，病毒被激活。第5章计算机网络病毒及其防范病毒首先运行，然后病毒常驻内存，伺机传染给其他文件或直接传染其他文件。其特点是依靠正常的可执行文件的掩护而潜伏下来，成为程序文件的一个外壳或部件。这是较为常见的传染方式。这类病毒的典型例子有黑色星期五病毒、维也纳病毒和宏病毒等。(3)混合型病毒指传染可执行文件又传染引导程序的计算机病毒。它兼有文件型和引导型病毒的特点。因此，混合型病毒的破坏性更大，传染的机会多，查杀病毒更困难。第5章计算机网络病毒及其防范2.按寄生方式分类寄生是计算机病毒赖以存在的方式。计算机病毒按其寄生方式可分为四种类型，分别是代替型、链接型、转储型和源码病毒。(1)代替型计算机病毒是指计算机病毒在传染病毒宿主之后，计算机病毒用自身代码的部分或全部代替正常程序的部分或全部，从而使宿主程序不能正常运行。有些攻击操作系统的病毒在发作时用自己的逻辑运行模块取代操作系统原来的逻辑运行模块，使操作系统不能正常行使自己的功能。第5章计算机网络病毒及其防范(2)链接型计算机病毒是将计算机病毒程序代码链接到被传染的宿主程序代码的首部、中部或尾部，对原来的程序不做修改。这种病毒较为常见，大部分文件型病毒都属于这一类。(3)转储型计算机病毒是指计算机病毒将原合法程序的代码转移到存储介质的其他部位，而病毒代码占据原合法程序的位置。一旦这种病毒感染了一个文件，就很难被发现，隐蔽性较好。(4)源码病毒主要是利用JAVA、VBS、ActiveX等网络编程语言编写的，放在电子邮件的附件HTML主页中，进入被感染的计算机中执行。第5章计算机网络病毒及其防范在用户使用浏览器来阅读这些带有病毒的网页，或者打开邮件的附件时，病毒就不知不觉地侵入用户的机器中。这些病毒除了可以通过网络传播外，还可以通过网络将计算机内的机密泄露出去。3.按危害程度分类严格地说，只要是计算机病毒，就会对系统造成一定的危害性，只是不同的计算机病毒造成的危害程度不同。计算机病毒按其危害程度可分为三种类型，分别为良性病毒、恶性病毒和中性病毒。第5章计算机网络病毒及其防范(1)良性病毒又称表现型病毒。它只是为了以一种特殊的方式表现其存在，如只显示某项信息、发出蜂鸣声，或播放一段音乐，对源程序不做修改，不删除硬盘上的文件，不格式化硬盘，也不直接破坏计算机的硬件设备，相对而言对系统的危害较小。但是这类病毒还是具有潜在的破坏性，它使内存空间减少，占用磁盘空间，与操作系统和应用程序争抢CPU的控制权，降低系统运行效率等。(2)恶性病毒又称破坏型病毒。它的目的就是对计算机的软件和硬件进行恶意的攻击，使系统遭到严重的破坏，如破坏数据、彻底删除硬盘上的文件或格式化磁盘，使用户用任何软件都无法恢复被删除的文件，它们甚至可能攻击硬盘，破坏主板，导致系统死机而无法工作，在网络上高速传播，致使网络瘫痪等。因此恶性病毒非常危险，造成的危害十分严重。第5章计算机网络病毒及其防范(3)中性病毒是指那些既不对计算机系统造成直接破坏，又没有表现症状，只是疯狂地复制自身的计算机病毒，也就是常说的蠕虫型病毒。蠕虫型计算机病毒比较特殊，它不会攻击其他程序，不附着其他程序，不需要寄主。部分蠕虫病毒能在内存和磁盘上移动，以防被其他程序覆盖。从总体上来说，它的危害程度介于良性计算机病毒与恶性计算机病毒之间。说其危害程度轻，是指有的蠕虫型计算机病毒不做其他的破环，只是在硬盘上疯狂地复制自身，挤占硬盘的大量存储空间，只影响一些文件的存储，但不对文件造成直接破坏；说其危害程度重，是指有的蠕虫型计算机病毒大量复制自身，耗尽了系统资源，使系统不堪重负而崩溃，造成严重的危害。典型的蠕虫有Exporer.Zip.Worm、Melissa、红色代码等。第5章计算机网络病毒及其防范所以，对于蠕虫型计算机病毒的危害程度，不能一概而论，只能用“中性病毒”这个概念来对其加以界定。4.按攻击对象划分1)攻击DOS的病毒IBMPC及其兼容机在我国使用得非常广泛，它们都可以运行DOS操作系统。在已发现的病毒中，攻击DOS的病毒种类最多、数量最多，且每种病毒都有变种，所以这种病毒传播得非常广泛。小球病毒是国内发现的第一个DOS病毒。第5章计算机网络病毒及其防范2)攻击Windows的病毒攻击Windows的病毒多种多样，其中的宏病毒变形很多，有感染Word的宏病毒，有感染Excel的宏病毒，还有感染Access的宏病毒，其中感染Word的宏病毒最多。Concept病毒是世界上首例攻击Windows的宏病毒。3)攻击网络的病毒近几年来，因特网在全世界迅速发展，上网已成为计算机使用者的时尚。随着网上用户的增加，网络病毒的传播速度更快，范围更广，病毒造成的危害更大。如GPI病毒是世界上第一个专门攻击计算机网络的病毒。第5章计算机网络病毒及其防范5.1.4计算机病毒的特征计算机病毒是一种特殊的程序，所以它除了具有与其他正常程序一样的特性外，还具有与众不同的基本特征。通过对计算机病毒的研究，可以总结出它的几个特征。1.传染性计算机病毒的传染性是指病毒具有把自身复制到其他程序中的特性。传染性是病毒的基本属性，是判断一个可疑程序是否是病毒的主要依据。病毒一旦入侵系统，它就会寻找符合传染条件的程序或存储介质，确定目标后将自身代码插入其中，达到自我繁殖的目的。第5章计算机网络病毒及其防范只要一台计算机感染病毒，如果没有得到及时的控制，那么病毒会很快在这台计算机上扩散，被感染的文件又成了新的传染源，通过与其他计算机进行信息交换，进行更大范围的传染。如果是联网的计算机感染了病毒，那么病毒的传播速度将更快。计算机病毒一般有自己的标志。当染毒程序被运行时，病毒被激活，它监视着计算机系统的运行，一旦发现某个程序没有自己的标志，就立刻发起攻击，传染无毒程序。第5章计算机网络病毒及其防范2.潜伏性计算机病毒的潜伏性是指病毒具有依附其他媒体而寄生的能力，也称隐蔽性。病毒程序为了达到不断传播并破坏系统的目的，一般不会在传染某一程序后立即发作，否则就暴露了自身。因此，它通常附着在正常程序或磁盘较隐蔽的地方，也有个别的病毒以隐含文件的方式出现。一般情况下，系统被感染病毒后用户是感觉不到它的存在的，只有病毒发作后或者系统出现什么不正常的反应时，用户才能察觉。病毒的潜伏性与病毒的传染性相辅相成，病毒可以在潜伏阶段传播，潜伏性越大，传播的范围越广。第5章计算机网络病毒及其防范3.破坏性计算机病毒的破坏性是指病毒破坏文件或数据，甚至损坏主板，干扰系统的正常运行。任何病毒只要入侵系统就会对系统及应用程序产生不同程度的影响。病毒的破坏性只有在病毒发作时才能体现出来。病毒破坏的严重程度取决于病毒制造者的目的和技术水平。轻者只是影响系统的工作效率，占用系统资源，造成系统运行不稳定。重者则可以破坏或删除系统的重要数据和文件，或者加密文件、格式化磁盘，甚至攻击计算机硬件，导致整个系统瘫痪。第5章计算机网络病毒及其防范4.可触发性计算机病毒的可触发性是指病毒因某个事件或某个数值的出现，诱发病毒发作。为了不让用户发现，病毒必须隐藏起来，少做动作。但如果完全不动，又失去了作用。因此，病毒为了又隐蔽自己，又保持杀伤力，就必须设置合理的触发条件。每种计算机病毒都有自己预先设计好的触发条件，这些条件可能是时间、日期、文件类型或使用文件的次数这样特定的数据等。满足触发条件的时候，病毒发作，对系统或文件进行感染或破坏。条件不满足的时候，病毒继续潜伏。第5章计算机网络病毒及其防范5.针对性计算机病毒的针对性是指病毒的运行需要特定的软、硬件环境，只能在特定