计算机病毒知识与防范科普讲座

1、计算机病毒的定义和特征计算机病毒的定义和特征 计算机病毒的概念：是一个能够通过修改程序，把自身复计算机病毒的概念：是一个能够通过修改程序，把自身复制进去，进而去传染其他程序的程序。制进去，进而去传染其他程序的程序。 我国在我国在中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例中明确定义，计算机病毒是指中明确定义，计算机病毒是指“编制或者在计算机程序中插入编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码我复制的一组计算机指令或者程序代码”。 一般

2、地，计算机病毒都具有以下特性一般地，计算机病毒都具有以下特性：1 1可执行性可执行性 2 2传染性传染性 3 3潜伏性潜伏性 4 4可触发性可触发性 5 5针对性针对性 6 6隐蔽性隐蔽性 计算机病毒的主要来源计算机病毒的主要来源 1 1购买的软件光盘、优盘、软盘等带有病毒。购买的软件光盘、优盘、软盘等带有病毒。 2 2从别人机器通过磁盘拷贝文件到自己机器。从别人机器通过磁盘拷贝文件到自己机器。 3 3网上下载游戏、歌曲、电影、软件等等。网上下载游戏、歌曲、电影、软件等等。 4 4在局域网中相互拷贝文件，共享文件夹。在局域网中相互拷贝文件，共享文件夹。 5 5上网阅览网页时被病毒入侵。上网阅览

3、网页时被病毒入侵。 6 6、电子邮件也传播病毒。、电子邮件也传播病毒。 不可移动的计算机硬件设备不可移动的计算机硬件设备 这种传播途径是指利用专用集成电路芯片这种传播途径是指利用专用集成电路芯片（ASICASIC）进行传播。）进行传播。 这种计算机病毒虽然极少，这种计算机病毒虽然极少， 但破坏力却极强，但破坏力却极强， 目前尚没有较好的检测手段对目前尚没有较好的检测手段对付它。付它。 移动存储设备：光盘、移动硬盘等。移动存储设备：光盘、移动硬盘等。 网络：电子邮件、网络：电子邮件、BBSBBS、WWWWWW浏览、浏览、FTPFTP文件下文件下 载、载、新闻组。新闻组。 通过点对点通信系统和无线

4、通信系统传播通过点对点通信系统和无线通信系统传播 计算机病毒的传播途径计算机病毒的传播途径计算机病毒的表现现象计算机病毒的表现现象1 1、 平时运行正常的计算机突然经常性无缘无故地死平时运行正常的计算机突然经常性无缘无故地死机。机。 2 2、 操作系统无法正常启动。操作系统无法正常启动。 3 3、 运行速度明显变慢。运行速度明显变慢。 4 4、 以前能正常运行的软件经常发生内存不足的错误。以前能正常运行的软件经常发生内存不足的错误。 5 5、 打印和通讯发生异常。打印和通讯发生异常。 6 6、 无意中要求对软盘进行写操作。无意中要求对软盘进行写操作。7 7、 以前能正常运行的应用程序经常发生死

5、机或者非以前能正常运行的应用程序经常发生死机或者非法错误。法错误。8 8、 系统文件的时间、日期、大小发生变化。系统文件的时间、日期、大小发生变化。 9 9、 运行运行WordWord，打开打开WordWord文档后，该文件另存时只能文档后，该文件另存时只能以模板方式保存。以模板方式保存。1010、 磁盘空间迅速减少。磁盘空间迅速减少。 11 11、 网络驱动器卷或共享目录无法调用。网络驱动器卷或共享目录无法调用。 12 12、 基本内存发生变化。基本内存发生变化。 13 13、 陌生人发来的电子函件。陌生人发来的电子函件。 硬盘无法启动，数据丢失硬盘无法启动，数据丢失 计算机病毒破坏了硬盘的

6、引计算机病毒破坏了硬盘的引导扇区后，就无法从硬盘启动计算机系统了。导扇区后，就无法从硬盘启动计算机系统了。 对计算机数据信息的直接破坏作用。对计算机数据信息的直接破坏作用。 占用磁盘空间和对信息的破坏占用磁盘空间和对信息的破坏 抢占系统资源抢占系统资源 影响计算机运行速度影响计算机运行速度 计算机病毒错误与不可预见的危害计算机病毒错误与不可预见的危害 网络瘫痪，无法提供正常的服务。网络瘫痪，无法提供正常的服务。 计算机病毒给用户造成严重的心理压力计算机病毒给用户造成严重的心理压力 蠕虫（Worm）通过网络连接，将自身复制到其它计算机通过网络连接，将自身复制到其它计算机中，但不感染其它文件。中，

7、但不感染其它文件。特洛伊木马（Trojan horse）表面上看起来是无害的程序或数据，实际表面上看起来是无害的程序或数据，实际上内含恶意或有害的代码。窃取用户数据和上内含恶意或有害的代码。窃取用户数据和系统控制权系统控制权 二二 计算机病毒的检测和计算机病毒的检测和 用防病毒软件来防范病毒需要定期自动更新或者下用防病毒软件来防范病毒需要定期自动更新或者下载最新的病毒定义、病毒特征。但是防病毒软件的问题载最新的病毒定义、病毒特征。但是防病毒软件的问题在于它只能为防止已知的病毒提供保护。因此，防病毒在于它只能为防止已知的病毒提供保护。因此，防病毒软件只是在检测已知的特定模式的病毒和蠕虫方面发挥软

8、件只是在检测已知的特定模式的病毒和蠕虫方面发挥作用。作用。 现代病毒利用人性的弱点现代病毒利用人性的弱点隐蔽性更强隐蔽性更强伪装成开玩笑的邮件伪装成开玩笑的邮件伪装求职伪装求职甚至伪装防病毒厂家的技术支持甚至伪装防病毒厂家的技术支持附在图片上附在图片上很多时候用户被感染不知道很多时候用户被感染不知道用一些很有吸引力的标用一些很有吸引力的标题题 如点击如点击XXXX站点可以站点可以赚钱赚钱 打开邮件就会得到打开邮件就会得到免费的礼物免费的礼物三三 计算机木马及其防护计算机木马及其防护 计算机木马概述计算机木马概述全称全称“特洛伊木马（特洛伊木马（Trojan HorseTrojan Horse）

9、”，古希腊士兵藏在木马内进入敌城，占领古希腊士兵藏在木马内进入敌城，占领敌城的故事敌城的故事计算机木马指：黑客在可供网络上传下计算机木马指：黑客在可供网络上传下载的应用程序或游戏中，添加可以控制载的应用程序或游戏中，添加可以控制用户计算机系统的程序，可能造成用户用户计算机系统的程序，可能造成用户的系统被破坏甚至瘫痪。的系统被破坏甚至瘫痪。三三 计算机木马及其防护计算机木马及其防护 计算机木马的特点计算机木马的特点隐蔽性隐蔽性命名上采用和系统文件的文件名相似的文件命名上采用和系统文件的文件名相似的文件名名属性通常是系统文件、隐藏、只读属性属性通常是系统文件、隐藏、只读属性存放在不常用或难以发现的

10、系统文件目录中存放在不常用或难以发现的系统文件目录中在任务栏里隐藏在任务栏里隐藏在任务管理器里隐藏（在任务管理器里隐藏（Ctrl+Alt+DelCtrl+Alt+Del）三三 计算机木马及其防护计算机木马及其防护 计算机木马的特点计算机木马的特点非授权性：一旦控制端与服务器端连接非授权性：一旦控制端与服务器端连接后，便大开系统之门，毫无秘密而言在后，便大开系统之门，毫无秘密而言在不常用或难以发现的系统文件目录中。不常用或难以发现的系统文件目录中。包含在正常程序中（例如，与图片文件包含在正常程序中（例如，与图片文件绑定或生成绑定或生成exe-binderexe-binder程序）程序）不产生图标

11、，以免用户注意到任务栏不产生图标，以免用户注意到任务栏里来历不明的图标里来历不明的图标自动隐藏在任务管理器中，以自动隐藏在任务管理器中，以“系统系统服务服务”的方式欺骗操作系统的方式欺骗操作系统三三 计算机木马及其防护计算机木马及其防护 计算机木马的特点计算机木马的特点自动运行能力：附着在诸如自动运行能力：附着在诸如win.iniwin.ini、system.inisystem.ini、winstart.ini winstart.ini 或启动组等或启动组等文件中随系统启动而启动。文件中随系统启动而启动。自动恢复能力：多文件组合、多重备份，自动恢复能力：多文件组合、多重备份，只要触发文件组合中

12、的一个程序，就会只要触发文件组合中的一个程序，就会启动该木马。启动该木马。自动打开特别端口，提供给黑客，作为自动打开特别端口，提供给黑客，作为入侵的端口。入侵的端口。特殊功能：除普通的文件操作外，还有特殊功能：除普通的文件操作外，还有诸如搜索诸如搜索cachecache口令、扫描目标主机的口令、扫描目标主机的IPIP地址、键盘记录等功能地址、键盘记录等功能三三 计算机木马及其防护计算机木马及其防护 计算机木马和病毒的区别计算机木马和病毒的区别木马不具有自我复制性和传染性，不会木马不具有自我复制性和传染性，不会像病毒那样自我复制、刻意感染其他文像病毒那样自我复制、刻意感染其他文件。件。木马的主要

13、意图不是为了破坏用户的系木马的主要意图不是为了破坏用户的系统，而是为了监视并窃取系统中的有用统，而是为了监视并窃取系统中的有用信息，如密码、账号。信息，如密码、账号。三三 计算机木马及其防护计算机木马及其防护 两大国产杀毒软件公司的网络安全报告两大国产杀毒软件公司的网络安全报告 瑞星反病毒监测网瑞星反病毒监测网三三 计算机木马及其防护计算机木马及其防护 两大国产杀毒软件公司的网络安全报告两大国产杀毒软件公司的网络安全报告 金山反病毒监测网金山反病毒监测网三三 计算机木马及其防护计算机木马及其防护 计算机木马的分类计算机木马的分类破坏型：破坏删除文件（破坏型：破坏删除文件（* *. .iniin

14、i、* *. .dlldll、* *.exe.exe）发送密码型：找到隐藏的密码，发送到发送密码型：找到隐藏的密码，发送到指定的邮箱指定的邮箱远程访问型：只要运行了服务端程序，远程访问型：只要运行了服务端程序，如果客户知道服务端的如果客户知道服务端的IPIP地址，就可以地址，就可以实现远程控制实现远程控制键盘记录型：记录用户在线或离线时按键盘记录型：记录用户在线或离线时按键情况，统计用户按键的频度，进行密键情况，统计用户按键的频度，进行密码分析码分析三三 计算机木马及其防护计算机木马及其防护 计算机木马的分类计算机木马的分类分布式攻击（分布式攻击（DoSDoS）型）型在一台又一台的计算机（在一

15、台又一台的计算机（“肉机肉机”）上植入上植入DoSDoS攻击木马，形成攻击木马，形成DoSDoS攻击机攻击机群，攻击第三方的计算机群，攻击第三方的计算机邮件炸弹：机器一旦被挂马，木马就邮件炸弹：机器一旦被挂马，木马就会随机生成各种各样的主题信件，对会随机生成各种各样的主题信件，对特定的邮箱不停发送信件，直到对方特定的邮箱不停发送信件，直到对方邮件服务器瘫痪邮件服务器瘫痪代理（代理（ProxyProxy）型：黑客隐藏自己的足迹，）型：黑客隐藏自己的足迹，让肉机沦为让肉机沦为“替罪羊替罪羊”FTPFTP型：打开端口型：打开端口2121，等待用户连接，等待用户连接三三 计算机木马及其防护计算机木马及

16、其防护 计算机木马的发展趋势计算机木马的发展趋势隐蔽性增加隐蔽性增加采用非采用非TCP/UDPTCP/UDP封装的封装的IPIP数据包携带盗数据包携带盗取的信息取的信息寄生在寄生在TCPTCP端口，与正常通信流混合传端口，与正常通信流混合传送送传输方式多样化（如网页挂马）传输方式多样化（如网页挂马）编程机制多样化（针对网卡或编程机制多样化（针对网卡或ModemModem的底的底层通信编程，跳过防火墙）层通信编程，跳过防火墙）跨平台性（一个木马程序可兼容不同公跨平台性（一个木马程序可兼容不同公司不同版本的操作系统）司不同版本的操作系统）三三 计算机木马及其防护计算机木马及其防护 计算机木马的发展

17、趋势计算机木马的发展趋势模块化设计（易于组装）模块化设计（易于组装）更新更强的感染模式更新更强的感染模式即时通知（即时通知（E-mailE-mail即时通知控制端木马即时通知控制端木马的安装情况，以应对服务端的安装情况，以应对服务端IPIP动态变化动态变化的局面）的局面）商业病毒木马的泛滥（如木马点击器商业病毒木马的泛滥（如木马点击器ClickerClicker病毒，侵入用户电脑后，会根据病毒，侵入用户电脑后，会根据病毒编写者预先设定的网址，去点击网病毒编写者预先设定的网址，去点击网上的广告，如百度竞价排名、上的广告，如百度竞价排名、Google Google AdSenseAdSense等，

18、让广告主支付更多的广告费，等，让广告主支付更多的广告费，而病毒犯罪团伙及其合作伙伴则会分享而病毒犯罪团伙及其合作伙伴则会分享这些额外的这些额外的“利润利润”。 三三 计算机木马及其防护计算机木马及其防护 被木马感染后的紧急措施被木马感染后的紧急措施更改所有的账号和密码更改所有的账号和密码删除硬盘上所有原来没有的东西（系统删除硬盘上所有原来没有的东西（系统还原）还原）杀毒软件清理杀毒软件清理三三 计算机木马及其防护计算机木马及其防护木马的查杀工具木马的查杀工具 木马清道夫木马清道夫 20082008：中国专业级的反木马信息：中国专业级的反木马信息安全产品，经公安部认证安全产品，经公安部认证三三

19、计算机木马及其防护计算机木马及其防护木马的查杀工具木马的查杀工具 EwidoEwido：国外的超强木马查杀工具，：国外的超强木马查杀工具，ver7.51.43ver7.51.43（已更名为（已更名为AVG AVG AntiSpywareAntiSpyware）。）。三三 计算机木马及其防护计算机木马及其防护木马的专杀工具木马的专杀工具 QQQQ木马专杀：木马专杀：QQQQ医生、医生、QQQQ木马专杀工具木马专杀工具V3.5三三 计算机木马及其防护计算机木马及其防护木马的专杀工具木马的专杀工具 “征途征途”、“魔兽魔兽” ” 、“剑网剑网”等网等网络游戏的木马专杀工具络游戏的木马专杀工具金山毒霸

20、网金山毒霸网游专杀工具游专杀工具 “网银大盗网银大盗”木马专杀（键盘记录盗号；木马专杀（键盘记录盗号；使用中突然弹出要求用户修改密码的提使用中突然弹出要求用户修改密码的提示框）示框）江民新网银木马专杀工具江民新网银木马专杀工具三三 计算机木马及其防护计算机木马及其防护 木马的专杀工具木马的专杀工具“灰鸽子灰鸽子”木马专杀：金山、瑞星木马专杀：金山、瑞星漏洞是什么？漏洞是什么？ 系统上的软件再编写的时候总有疏系统上的软件再编写的时候总有疏漏的地方漏的地方 这些疏漏会引起软件的不兼容这些疏漏会引起软件的不兼容（死机）（死机） 还有就是容易被黑客利用还有就是容易被黑客利用 破环破环电脑。电脑。 wi

21、ndowswindows正版用户直接开更新就好正版用户直接开更新就好 盗版用户盗版用户 要吧自带的自动升级关闭要吧自带的自动升级关闭 不然不然微软会黑你家电脑的微软会黑你家电脑的 盗版用户要补漏洞盗版用户要补漏洞就使用辅助软件进行升级就使用辅助软件进行升级 比如比如360360。四四 与计算机病毒相关的一些知识与计算机病毒相关的一些知识防火墙和杀毒软件的区别防火墙和杀毒软件的区别 防火墙和杀毒软件并不是同一种类的东西，防防火墙和杀毒软件并不是同一种类的东西，防火墙是抵御网络攻击的工具。而杀毒软件是清除计火墙是抵御网络攻击的工具。而杀毒软件是清除计算机病毒的工具。虽然，都是在计算机上安装，但算机病毒的工具。虽然，都是在