电子商务安全技术第09章计算机病毒的产生与预防.ppt

1、第八章 计算机病毒及其防治技术,8.1 计算机病毒的概念 8.2 计算机病毒的分析 8.3 计算机病毒的防治 8.4 网络病毒的防治技术,8.1 计算机病毒的概念,计算机病毒（Computer Virus）的定义： 1984年，最早由计算机病毒之父弗雷德科恩博士（Fred Cohen）定义为：“计算机病毒是一种计算机程序，它通过修改其它程序把自身或其演化体插入它们中，从而感染它们。”,国外最流行的定义为：“计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。”,1994年2月18日，中华人民共和国计算机信息系统安全保护条例定义： 计算机病毒，是指编制或者在计算机程序中插入的破坏计算

2、机功能或者数据，影响计算机使用，并且能够自我复制的一组计算机指令或者程序代码”。,我国对计算机病毒的定义,“磁芯大战”（core war）60年代，贝尔实验室 Douglas Mcllroy、Victor Vysottsky以及Robert T.Morris,计算机病毒的发展历史,1983年，世界上第一例被证实的计算机病毒，同时出现了计算机病毒传播的研究报告,1984年，美国人Thompson开发出了针对UNIX操作系统的病毒程序,1988年11月3日，美国六千多台计算机（占当时整个互联网十分之一）被WORM病毒感染。美国康奈尔大学研究生Robert Morris（罗伯特莫里斯）,感染性：病毒

3、的基本特征，自我复制能力。 破坏性：病毒会对系统产生不同程度的影响。 隐藏性：用户通常感觉不到病毒的存在。 潜伏性：一般不会马上发作。 可激活性：病毒因某个事件或数值的出现而发作。 针对性：病毒的编制者往往有特殊的破坏目的。,计算机病毒的特征,按攻击的对象分： 攻击微型机 攻击小型机 攻击大型机 攻击计算机网络,计算机病毒的分类,按寄生的方式分： 覆盖式寄生病毒：破坏合法程序的部分或全部功能 代替式寄生病毒：使病毒程序以“合法”身份运行 链接式寄生病毒：将自身程序附加在宿主程序之后 添充式寄生病毒：侵占宿主程序的空闲存储空间 转储式寄生病毒：将宿主程序代码改变存储位置,计算机病毒的分类,按感染

4、的方式分： 引导扇区病毒：引导扇区病毒用它自己的数据来代管硬盘的原始引导扇区，并将病毒装入内存。 文件感染病毒：文件感染病毒将病毒代码加到可运行的程序文件中，在运行程序时即被激活。 综合型感染病毒：是指既感染磁盘引导区程序，又感染系统文件的综合病毒。,计算机病毒的分类,按侵入的途径分： 源码病毒：指病毒在源程序被编译前就被插入到源程序中。 操作系统病毒：指病毒程序将自身加入或替代操作系统工作。 入侵病毒：用自身代替正常程序中的部分模块或堆栈区。 外壳病毒：将自身程序放在主程序的周围，一般不对原来的程序进行修改。,计算机病毒的分类,特洛伊木马 蠕虫病毒 宏病毒 脚本病毒 恶意网页病毒 结合黑客技

5、术的病毒,常见计算机病毒的类型,由来： 源于希腊对特洛伊城的战争； 寓意“一经进入，后患无穷”。,特洛伊木马（Trojan Horse）,定义：特洛伊木马是一种程序，它提供了一些有用的功能，通常是一些用户不希望的功能，诸如在你不了解的情况下拷贝文件或窃取你的密码，或直接将重要资料转送出去，或破坏系统等等。,概述：特洛伊木马是一种或是直接由一个黑客，或是通过一个不令人起疑的用户秘密安装到目标系统的程序。一旦安装成功并取得管理员权限，安装此程序的人就可以直接远程控制目标系统。,特洛伊木马（Trojan Horse）,特点： 隐蔽性，难以察觉 客户端/服务器模式,分类： 远程访问型 密码发送型 键盘

6、记录型 综合型,特洛伊木马（Trojan Horse）,著名木马： 国外BO(Back Orifice) 端口31337 国内冰河 端口7626,特洛伊木马（Trojan Horse）,防御：用网络扫描软件定期监视内部主机上的TCP服务，定期检查注册表，定期用防病毒软件查杀等。,警惕： 不要轻易打开陌生人的信件附件 不要轻易接收网友的小程序或打开网址 不要到一些小的网站或者黑客网站下载软件,由来： 一种体积很小、繁殖很快、爬行迟缓的小虫子 感染的计算机运行起来像蠕虫爬行那样缓慢,蠕虫病毒（Worm Virus）,定义：蠕虫病毒是一种能自我复制的程序，并能通过计算机网络进行传播，它大量消耗系统资

7、源，使其它程序运行减慢以至停止，最后导致系统和网络瘫痪。,特点： 传播速度快，感染范围广 反复感染，难以根除 隐蔽性好 破坏性大,著名的蠕虫病毒： 1988年，Morris，第一个蠕虫病毒 2001年，“尼姆达”病毒（Nimda） 2001年，“求职信”病毒（wantjob） 2003年，“2003蠕虫王”病毒,蠕虫病毒（Worm Virus）,宏病毒（Macro Virus）,宏：是一系列自己编写或录制的命令和指令，用来实现任务执行的自动化。 宏病毒：是一种存在Word或模版中的计算机病毒，一旦打开这样的文档，宏病毒就会被激活，传染到其它计算机上，并驻留在Normal模版中，此后，自动保存的

8、文档都会被感染。,宏病毒（Macro Virus）,宏病毒的特征： 宏病毒会感染.DOC文档和.DOT模板文件。 宏病毒的传染通常是Word在打开一个带宏病毒的文档或模板时，激活宏病毒。 多数宏病毒包含AutoExec、AutoOpen和AutoNew等自动宏，通过这些自动宏病毒取得文档（模板）操作权。,宏病毒（Macro Virus）,宏病毒的防治方法： 保护Word模板文件。 查看“可疑”的宏。 小心使用外来的Word文档。 屏蔽自动执行宏。 利用专业杀毒软件查杀宏病毒。,脚本病毒,VBS脚本病毒： VBS病毒由VB Script编写而成，更甚于宏病毒。,VBS脚本病毒的特征： 编写简单

9、破坏力大 传播范围大 病毒源码容易被获取，变种多,著名脚本病毒：爱虫病毒、新欢乐时光,恶意网页病毒,恶意网页病毒： 利用IE的ActiveX漏洞的病毒 修改用户的IE设置、注册表选项 下载木马、恶意程序或病毒 格式化用户硬盘或删除用户的文件 具有主动攻击性,著名恶意网页病毒：爱情森林,结合黑客技术的病毒,黑客技术+病毒： 同黑客技术结合的网络病毒将成为计算机病毒的主流,传统的计算机病毒：主要依靠某种媒介进行传播，比如软盘、光盘或者电子邮件等。 结合黑客技术的病毒：只要你的系统有后门，有漏洞，就可能感染病毒。,结合黑客技术的病毒,红色代码病毒： 利用Windows服务器的系统漏洞 使用主动传播方

10、式，发动DoS(拒绝服务)攻击 遭到攻击的计算机上植入木马程序 ，远程控制服务器,冲击波病毒： 完全主动地直接扫描互联网上的计算机，一旦发现其存在RPC漏洞，就立即进入并开始发作。,8.2 计算机病毒的分析,病毒的破坏手段： 攻击系统数据区 主引导扇区等 破坏计算机硬件 攻击文件 系统文件、用户数据等 攻击内存 占用大量内存等 干扰系统运行 不执行命令、死机等 速度下降 盗取信息 窃取密码等,软盘软盘作为最常用的交换媒介，在计算机应用的早期对病毒的传播发挥了巨大的作用。 光盘光盘因为容量大，存储了大量的可执行文件，大量的病毒就有可能藏身于光盘。 硬盘由于带病毒的硬盘在本地或移到其他地方使用、维

11、修等，将干净的软盘传染并再扩散。,计算机病毒的传播途径,网络通过BBS、EMAIL等网络方式进行传播，是现代病毒的最主要传播途径。,计算机系统的运行速度异常减慢。 计算机系统出现异常死机或重新启动现象。 系统文件的属性及大小发生改变。 数据文件内容被修改或删除。 计算机系统的存储容量异常减少。 系统可用内存容量大量减少。 网络病毒破坏网络系统。,病毒的表现症状,8.3 计算机病毒的防治,思想上的防范 在思想上重视病毒给计算机安全运行带来的危害 管理上的防范 采取必要的病毒检测措施，制定完善的管理规则,使用上的防范 严格对软盘的控制 定期使用杀病毒软件 尽量不在网络上下载来源不明的软件 及时对操作系统进行升级,网络病毒的特点：,（1）传染方式多 （2）传染速度快 （3）清除难度大 （4）破坏性强,8.4 网络病毒的防治技术,防范计算机网络病毒的一些措施：,在网络中，尽量多用无盘工作站，不用或少用有软驱的工作站。 保证只有系统管理员才有最高的访问权限，避免过多地出现超级用户。 尽量控制用户的网络