计算机病毒与木马课件

第3章计算机病毒与木马本章要点计算机病毒的演变史 计算机病毒的特性计算机病毒的分类及传播途径 计算机病毒的检测和防御方法 木马的类型及基本功能木马的工作原理木马的检测与防御3.1计算机病毒概述3.1.1计算机病毒的定义在《中华人民共和国计算机信息系统安全保护条例》中，计算机病毒被定义为“编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。20世纪60年代初，美国贝尔实验室的3个年轻的程序员编写了一个名为“磁芯大战”的电子游戏，由玩家双方各自编写一套程序，通过程序复制自身来摆脱对方的控制，这是计算机病毒最初的雏形。1982年，里奇•斯克伦塔编写了elkcloner病毒，感染苹果电脑，该病毒发作时仅会在计算机的屏幕上显示一首诗，这是世界上最早的计算机的病毒。1983年，美国计算机安全专家费雷德•科恩研制出一种能够自我复制的计算机程序，这被认为是世界上第一例具备破坏性的计算机病毒。1988年，美国康奈尔大学研究生罗伯特•莫里斯编写了一个计算机蠕虫病毒，当该病毒进入互联网后，自身疯狂复制并扩散到所有联网计算机中，造成了巨额经济损失，这是世界上第一个在网络上传播的计算机病毒。3.1.2计算机病毒的演变史13.1.3计算机病毒的特性1．破坏性2．隐蔽性3．潜伏性4．传染性5．依附性6．针对性7．未经授权而执行8．不可预见性3.2计算机病毒及其分类、传播途径3.2.1常见计算机病毒1．蠕虫病毒2．冲击波病毒3．震荡波病毒4．脚本病毒5．ARP病毒

3.2.2计算机病毒的分类1．按寄生方式分类（1）宏病毒（2）系统引导病毒（3）文件型病毒（4）混合型病毒（5）网络病毒3.2.2计算机病毒的分类22．按破坏程度分类（1）良性病毒（2）恶性病毒（3）极恶性病毒3．按传染方式分类（1）非驻留型病毒（2）驻留型病毒3.2.3计算机病毒的传播途径1．网络传播2．无线通信传播3．计算机硬件设备传播4．外部移动存储设备传播2．普通病毒的检测与防御——瑞星杀毒软件的使用“首页”选项卡“操作日志”提供给用户主要的操作日志信息；“信息中心”提供给用户最新的安全信息；不同的操作按钮提供给用户快捷的操作方式。2．普通病毒的检测与防御——瑞星杀毒软件的使用“监控”选项卡显示瑞星监控状态，监控的项目有：文件监控、邮件监控、网页监控。用户可以单击“开启”或“关闭”按钮控制监控状态。单击“文件监控”按钮，可以对文件的监控级别进行从低到高的设置，也可单击“常规设置”和“高级设置”按钮来设置对病毒的处理方式。2．普通病毒的检测与防御——瑞星杀毒软件的使用“防御”选项卡用户可根据自己系统的实际情况和需要，制定独特的防御规则。主动防御功能包括：系统加固、应用程序访问控制、应用程序保护、程序启动控制、恶意行为检测、隐藏进程检测。用户可以单击“开启”或“关闭”按钮设置主动防御的实施状态。2．普通病毒的检测与防御——瑞星杀毒软件的使用“工具”选项卡在此界面中，包含病毒隔离系统、其他嵌入式杀毒等瑞星工具，同时还显示了它们的工具名、版本信息、大小、操作、帮助信息。单击工具名前的“+”，可显示该工具的作用。在界面底部，单击“检查更新”按钮，程序将连接瑞星网站下载最新的工具包。2．普通病毒的检测与防御——瑞星杀毒软件的使用“安检”选项卡为用户提供全面的评测日志，使用户了解当前计算机的安全等级及系统状态，并根据用户计算机的实际情况推荐用户进行相应的操作。用户可以通过单击“详细报告”链接来了解并检查项目具体细节。。3．普通病毒的检测与防御——卡巴斯基反病毒软件杀毒功能的使用卡巴斯基杀毒软件是一款比较优秀的网络杀毒软件。它具有较强的中心管理和杀毒能力，能实现带毒杀毒，它还提供所有类型的抗病毒防护：抗病毒扫描仪、监控器、行为阻断和完全检验。3.3.2U盘病毒的检测与防御1．U盘病毒的传播过程一台计算机感染了病毒，只要U盘连接USB端口就会被迅速感染上病毒。U盘感染病毒后，若不及时查杀病毒，当此U盘连接到另一台未中毒的计算机时，引发病毒感染本地计算机。2．U盘中毒症状判断1）U盘双击打开提示拒绝访问2）U盘中出现名称类似于Autorun的隐藏文件3）鼠标右键单击U盘，弹出的菜单中出现“自动播放”等选项4）当插入U盘时，引起操作系统崩溃，开机自检后直接或反复重启，5）U盘里面出现了一个“RECYCLER”的文件夹6）U盘中出现了名称与一些常见软件名称类似的程序7）计算机运行缓慢，系统资源无故被占用3.3.3ARP病毒的检测与防御1．ARP病毒发作现象

计算机频繁断网、常用软件运行出错等现象

局域网的所有计算机转由通过病毒主机上网，切换时用户会断一次线

联网过程中，需用户多次重新登录2．ARP病毒的检测（1）命令行法（2）抓包嗅探法（3）工具软件法3.3.4蠕虫病毒的检测与防御1．Nimda病毒2．“熊猫烧香”病毒3．“扫荡波”病毒4．“暴风一号”病毒5．“Conflicker”病毒3.4计算机木马概述3.4.1计算机木马的定义计算机木马是指一种带有恶意性质的远程控制软件，它通过一段特定的程序来控制其他的计算机。计算机木马一般分为客户端和服务器端两部分被植入木马的计算机一旦运行服务端后，远程客户端与服务端即可建立连接通信，服务器端的计算机就能够完全被控制，成为被操纵的对象。3.4.2计算机木马的类型及基本功能1.计算机木马的类型（1）远程控制型（2）提升权限型（3）信息窃取型（4）嵌套下载型（5）代理跳板型3.4.3计算机木马的工作原理通常木马会绑定在一些正常的程序中，吸引用户下载，一旦用户下载运行，其中隐藏的木马也一并被激活。还有一些木马会隐藏在网页的脚本中，在用户通过浏览器执行脚本时利用网站技术强制用户加载木马。植入受害计算机的木马运行后会自我销毁和隐藏，木马服务器端会搜集受害计算机的信息发送给黑客，黑客利用这些信息通过客户端连接到受害计算机，并控制受害计算机。3.5计算机木马的检测与防御3.5.1普通计算机木马的检测与防御1．被植入木马的计算机的表现

磁盘无原因地被读盘，网络连接出现异常

图标被修改

启动一个文件，没有任何反应或者会弹出一个程序出错的对话框

进程中出现类似于系统文件名的进程正在运行

主机上有不常见的端口处于监听状态

磁盘剩余空间突然缩减

浏览器自动访问同一个异常的网站

突然弹出一个或多个提示框

计算机系统配置自动被修改2.360安全卫士木马查杀功能的使用方法360安全卫士主界面，单击“查杀流行木马”标签，定期地查杀系统中的木马。快速扫描可对系统内存、启动对象的一些关键位置进行扫描，速度较快；全面扫描可对系统内存、启动对象及全部磁盘进行扫描，速度较慢；自定义区域扫描可对需要扫描的范围进行任意设定。3.ewidoanti-spyware木马查杀功能的使用方法ewidoanti-spyware主界面中显示出计算机的安全状态和授权信息，在主界面的上端有一些功能按钮：Status（状态）、Update（更新）、Scanner（扫描）、Shield（保护）、Infections（病毒）、Reports（报告）、Analysis（分析）、Tools（工具）等。4．手动检测和清除计算机木马的通用方法1）查看连接。2）端口扫描。3）检查注册表。4）查看系统进程。5）安装软件防火墙。3.5.2典型计算机木马的手动清除1．冰河木马的清除2．“广外男生”木马的清除3.6实训项目【实训项目】清除“灰鸽子”木马3.7小结与练习3.7.1