病毒及防范措施课件

1第4章病毒及防范措施1第4章24.1计算机病毒1977年科幻小说《TheAdolescenceofP-1》构思了一种能够自我复制、利用通信进行传播的计算机程序。1983年FredAdleman首次在VAX11/750上试验病毒；1987年Brain病毒在全世界传播；1988年11月2日Cornell大学的Morris编写的Worm病毒袭击美国6000台计算机，直接损失尽亿美元；八十年代末，病毒开始传入我国；24.1计算机病毒1977年科幻小说《TheAdoles34.1.1计算机病毒的概念《中华人民共和国计算机信息系统安全保护条例》中队计算机病毒进行了明确的定义： “计算机病毒（ComputerVirus）是指编制的或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并能够自我复制的一组计算机指令或者程序代码。”为什么称为病毒？是借用生物学中“病毒”的概念，因为这种特殊的计算机程序与生物学中的病毒就有相似的特征。生物学中的病毒具有哪些特征呢？结构简单、寄生性、自我繁殖、传播性、破坏性34.1.1计算机病毒的概念《中华人民共和国计算机信息系41、计算机病毒产生的背景（1）是计算机犯罪的新形式：计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大。（2）计算机软硬件产品的脆弱性是根本的技术原因。（3）微机的普及应用是计算机病毒产生的必要环境。4.1.2病毒的产生及特性 它的产生是计算机技术和社会信息化发展到一定阶段的必然产物41、计算机病毒产生的背景4.1.2病毒的产生及特性 它52、计算机病毒产生的原因开玩笑、恶作剧个别人的报复心理用于版权保护的目的用于特殊目的3、病毒发展的阶段（略）52、计算机病毒产生的原因3、病毒发展的阶段（略）64、病毒的特征：（1）传染性；传染性是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，使被感染的计算机工作失常甚至瘫痪。 病毒程序一般通过修改磁盘扇区信息或文件内容并把自身嵌入到其中，利用这种方法达到病毒的传染和扩散。（被嵌入的程序叫做宿主程序。）；64、病毒的特征：7（2）破坏性

对系统来讲，所有的计算机病毒都存在一个共同的危害，即占用系统资源，降低计算机系统的工作效率。 同时计算机病毒的破坏性性主要取决于计算机病毒设计者的目的，如果病毒设计者的目的是彻底破坏系统的正常运行，那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的，它可以毁掉系统的部分数据，也可以破坏全部数据并使之无法恢复。并非所有的病毒都有恶劣的破坏作用，有些病毒除了占用磁盘和内存外，没有别的危害。但有时几种本没有多大破坏作用的病毒交叉感染，也会导致系统崩溃。7（2）破坏性8（3）潜伏性

：一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内隐藏在合法文件中，对其他系统进行传染，而不被人发现。潜伏性越好，其在系统中的存在时间就会越长，病毒的传染范围就会越大，它的危害就越大

潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘里呆上很长时间，一旦时机成熟，得到运行机会，就四处繁殖、扩散。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。

8（3）潜伏性：一个编制精巧的计算机病毒程序，进入系统之后9（4）可执行性

计算机病毒与其他合法程序一样，是一段可执行的程序，但它不是一个完整的程序，而是寄生在其他可执行程序中。

只有在执行时，才具有传染性、破坏性未经授权而执行： 病毒通过悄悄地篡夺合法程序的系统控制权而得到运行的机会。 一般正常的程序是由用户启动，完成用户交给的任务，其目的对用户是可见的。而病毒隐藏在合法程序中，当用户启动合法程序时窃取到系统的控制权，先于正常程序执行。病毒的动作、目的对用户是未知的，是未经用户允许的。9（4）可执行性未经授权而执行：10（5）可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。病毒的触发机制用来控制感染和破坏动作的频率。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作；如果不满足，使病毒继续潜伏。如CIH，触发条件：26日10（5）可触发性：病毒因某个事件或数值的出现，诱使病毒实施11（6）隐蔽性：病毒一般是具有很高编程技巧、短小精悍的程序。如果不经过代码分析，病毒程序与正常程序是不容易区别的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。

一是传染的隐蔽性，大多数病毒在传染时速度是极快的，不易被人发现。二是病毒程序存在的隐蔽性，一般的病毒程序都附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不让用户发现它的存在。

11（6）隐蔽性：病毒一般是具有很高编程技巧、短小精悍的程序12（7）衍生性：分析计算机病毒的结构可知，传染和破坏部分反映了设计者的设计思想和设计目的。但是，这可以被其他掌握原理的人进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒（又称为变种），这就是计算机病毒的衍生性。这种变种病毒造成的后果可能比原版病毒严重得多。（8）寄生性：病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后，一般对宿主程序进行一定的修改，宿主程序一旦执行，病毒程序就被激活，从而可以进行自我复制和繁衍。

12（7）衍生性：分析计算机病毒的结构可知，传染和破坏部分反134.1.3病毒的分类：按破坏性分为：无害型无危险型危险型非常危险型。按激活时间分为定时随机134.1.3病毒的分类：14按照病毒特有的算法分为：伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。变型病毒（幽灵病毒）：使用复杂算法，每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。14按照病毒特有的算法分为：15按传染方式分为：文件型：病毒一般附着在可执行文件上；引导型：当系统引导时进入内存，控制系统；混合型：既可感染引导区，又可感染文件。宏病毒：感染MSOffice文档其他类型15按传染方式分为：16病毒的组成：安装模块：提供潜伏机制；传播模块：提供传染机制；触发模块：提供触发机制；其中，传染机制是病毒的本质特征，防治、检测及杀毒都是从分析病毒传染机制入手的。病毒的症状：启动或运行速度明显变慢；文件大小、日期变化；死机增多；莫名其妙地丢失文件；磁盘空间不应有的减少；有规律地出现异常信息；自动生成一些特殊文件；无缘无故地出现打印故障。16病毒的组成：17计算机病毒的传播途径1）硬件设备传播：通过不可移动的设备进行传播较少见，但破坏力很强。2）移动存储设备传播：这是最广泛的传播途径之一3）通过网络进行传播：这是最广泛的传播途径之二4）无线传播：通过点对点通讯系统和无线通道传播预计将来会成为两大传播渠道4.1.4病毒的传播及危害传播的途径：理论上，与外界交换数据的所有场合都有可能。17计算机病毒的传播途径4.1.4病毒的传播及危害传播的18病毒的危害直接破坏数据占用磁盘空间抢占系统资源影响计算机运行速度错误的不可预见性给用户造成心理压力18病毒的危害19病毒破坏行为的常见表现BIOS病毒现象

1、开机运行几秒后突然黑屏

2、外部设备无法找到

3、硬盘无法找到

4、电脑发出异样声音

硬盘引导区病毒现象

1、无法正常启动硬盘

2、引导时出现死机现象

3、执行C盘时显示“NotreadyerrordriveAAbort，Retry，Fail?”

19病毒破坏行为的常见表现20病毒破坏行为的常见表现操作系统病毒现象

1、引导系统时间变长

2、计算机处理速度比以前明显放慢

3、系统文件出现莫名其妙的丢失，或字节变长，日期修改等现象

4、系统生成一些特殊的文件

5、驱动程序被修改使得某些外设不能正常工作

6、软驱、光驱丢失

7、计算机经常死机或重新启动

20病毒破坏行为的常见表现21病毒破坏行为的常见表现应用程序病毒现象

1、启动应用程序出现“非法错误”对话框

2、应用程序文件变大

3、应用程序不能被复制、移动、删除

4、硬盘上出现大量无效文件

5、某些程序运行时载入时间变长

21病毒破坏行为的常见表现224.2网络病毒的防范措施传统的网络病毒定义是指利用网络进行传播的病毒。现在的网络病毒定义是指以网络为平台，对计算机产生安全威胁的所有程序的总称。224.2网络病毒的防范措施传统的网络病毒定义是指利用234.2.1网络病毒的新特点传染速度快扩散面广传播形式复杂多样难以彻底清除破坏性大潜在危险性大234.2.1网络病毒的新特点传染速度快24增加安全意识小心邮件挑选网络版杀毒软件4.2.2基于网络安全体系的防病毒技术24增加安全意识4.2.2基于网络安全体系的防病毒技术254.3防毒策略与常用杀毒软件 防毒：预防入侵；病毒过滤、监控、隔离 查毒：发现和追踪病毒；统计、报警 杀毒：从感染对象中清除病毒；恢复功能4.3.1病毒的防治策略（参见教材P82）4.3.2防毒杀毒软件254.3防毒策略与常用杀毒软件 防毒：预防入侵；26反病毒软件的选择1）能查杀的病毒数量多2）扫描速度快3）快速、方便地升级著名杀毒软件公司瑞星 RAV北京江民 KV系列，如KV3000冠群金辰 KILL金山 金山毒霸卡巴斯基 Kaspersky

赛门铁克 NortonAntiVirus26反病毒软件的选择27CIH病毒台湾陈盈豪编写，一般每月26日发作。不仅破坏硬盘的引导扇区和分区表，还破坏系统FlashBIOS芯片中的系统程序，导致主板损坏。病毒长1KB，由于使用VXD技术，只感染32位Windows系统可执行文件中的.PE格式文件。修复硬盘分区表：信源公司()的免费软件VRVFIX.EXE；CIH疫苗:CIH作者的Ant-CIHv1.0；美国Symantec公司的Kill_CIH4.4常见的病毒及清除（1）27CIH病毒4.4常见的病毒及清除（1）284.4常见的病毒及清除（2）宏病毒 宏(Macro)：为避免重复操作而设计的一组命令。在打开文件时，先执行“宏”，然后载入文件内容。因此如果“宏”带有病毒，则在编辑文件时病毒自动载入。宏病毒的特点:感染数据文件、多平台交叉感染 容易编写、容易传播宏病毒的症状：1）用Word或Excel打开文件时，出现“文档未打开”、“内存不够”、“WordBasicErr=514”等；2）保存文件时，强制将文件按“.dot”类型存储，或强制在指定目录存放。284.4常见的病毒及清除（2）宏病毒29几种宏病毒：AAAZAOMacro：Concept病毒，第一个宏病毒；TaiwanNO.1：第一个中文word病毒；RainbowMacro：能改变桌面颜色；FormatC：格式化C盘，第一个木马型宏病毒；HotMacro：第一个调用WindowsAPI的宏病毒；NuclearMacro:第一个干扰打印机、硬盘的宏病毒。29几种宏病毒：30宏病毒的防治除杀毒软件以外，还可尝试下列方法：1）按住<Shift>键再启动Word，禁止宏自动运行；2）工具宏，检查并删除所有可能带病毒的宏；3）使用DisableAutoMacros宏

SubMain

DisableAutoMacros1

EndSub”4）将模板文件如normal.dot的属性设为只读。30宏病毒的防治31第4章病毒及防范措施1第4章324.1计算机病毒1977年科幻小说《TheAdolescenceofP-1》构思了一种能够自我复制、利用通信进行传播的计算机程序。1983年FredAdleman首次在VAX11/750上试验病毒；1987年Brain病毒在全世界传播；1988年11月2日Cornell大学的Morris编写的Worm病毒袭击美国6000台计算机，直接损失尽亿美元；八十年代末，病毒开始传入我国；24.1计算机病毒1977年科幻小说《TheAdoles334.1.1计算机病毒的概念《中华人民共和国计算机信息系统安全保护条例》中队计算机病毒进行了明确的定义： “计算机病毒（ComputerVirus）是指编制的或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并能够自我复制的一组计算机指令或者程序代码。”为什么称为病毒？是借用生物学中“病毒”的概念，因为这种特殊的计算机程序与生物学中的病毒就有相似的特征。生物学中的病毒具有哪些特征呢？结构简单、寄生性、自我繁殖、传播性、破坏性34.1.1计算机病毒的概念《中华人民共和国计算机信息系341、计算机病毒产生的背景（1）是计算机犯罪的新形式：计算机病毒是高技术犯罪，具有瞬时性、动态性和随机性。不易取证，风险小破坏大。（2）计算机软硬件产品的脆弱性是根本的技术原因。（3）微机的普及应用是计算机病毒产生的必要环境。4.1.2病毒的产生及特性 它的产生是计算机技术和社会信息化发展到一定阶段的必然产物41、计算机病毒产生的背景4.1.2病毒的产生及特性 它352、计算机病毒产生的原因开玩笑、恶作剧个别人的报复心理用于版权保护的目的用于特殊目的3、病毒发展的阶段（略）52、计算机病毒产生的原因3、病毒发展的阶段（略）364、病毒的特征：（1）传染性；传染性是病毒的基本特征。计算机病毒会通过各种渠道从已被感染的计算机扩散到未被感染的计算机，使被感染的计算机工作失常甚至瘫痪。 病毒程序一般通过修改磁盘扇区信息或文件内容并把自身嵌入到其中，利用这种方法达到病毒的传染和扩散。（被嵌入的程序叫做宿主程序。）；64、病毒的特征：37（2）破坏性

对系统来讲，所有的计算机病毒都存在一个共同的危害，即占用系统资源，降低计算机系统的工作效率。 同时计算机病毒的破坏性性主要取决于计算机病毒设计者的目的，如果病毒设计者的目的是彻底破坏系统的正常运行，那么这种病毒对于计算机系统进行攻击造成的后果是难以设想的，它可以毁掉系统的部分数据，也可以破坏全部数据并使之无法恢复。并非所有的病毒都有恶劣的破坏作用，有些病毒除了占用磁盘和内存外，没有别的危害。但有时几种本没有多大破坏作用的病毒交叉感染，也会导致系统崩溃。7（2）破坏性38（3）潜伏性

：一个编制精巧的计算机病毒程序，进入系统之后一般不会马上发作，可以在几周或者几个月内隐藏在合法文件中，对其他系统进行传染，而不被人发现。潜伏性越好，其在系统中的存在时间就会越长，病毒的传染范围就会越大，它的危害就越大

潜伏性的第一种表现是指，病毒程序不用专用检测程序是检查不出来的，因此病毒可以静静地躲在磁盘里呆上很长时间，一旦时机成熟，得到运行机会，就四处繁殖、扩散。潜伏性的第二种表现是指，计算机病毒的内部往往有一种触发机制，不满足触发条件时，计算机病毒除了传染外不做什么破坏。

8（3）潜伏性：一个编制精巧的计算机病毒程序，进入系统之后39（4）可执行性

计算机病毒与其他合法程序一样，是一段可执行的程序，但它不是一个完整的程序，而是寄生在其他可执行程序中。

只有在执行时，才具有传染性、破坏性未经授权而执行： 病毒通过悄悄地篡夺合法程序的系统控制权而得到运行的机会。 一般正常的程序是由用户启动，完成用户交给的任务，其目的对用户是可见的。而病毒隐藏在合法程序中，当用户启动合法程序时窃取到系统的控制权，先于正常程序执行。病毒的动作、目的对用户是未知的，是未经用户允许的。9（4）可执行性未经授权而执行：40（5）可触发性：病毒因某个事件或数值的出现，诱使病毒实施感染或进行攻击的特性称为可触发性。病毒的触发机制用来控制感染和破坏动作的频率。病毒具有预定的触发条件，这些条件可能是时间、日期、文件类型或某些特定数据等。病毒运行时，触发机制检查预定条件是否满足，如果满足，启动感染或破坏动作；如果不满足，使病毒继续潜伏。如CIH，触发条件：26日10（5）可触发性：病毒因某个事件或数值的出现，诱使病毒实施41（6）隐蔽性：病毒一般是具有很高编程技巧、短小精悍的程序。如果不经过代码分析，病毒程序与正常程序是不容易区别的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。

一是传染的隐蔽性，大多数病毒在传染时速度是极快的，不易被人发现。二是病毒程序存在的隐蔽性，一般的病毒程序都附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现，目的是不让用户发现它的存在。

11（6）隐蔽性：病毒一般是具有很高编程技巧、短小精悍的程序42（7）衍生性：分析计算机病毒的结构可知，传染和破坏部分反映了设计者的设计思想和设计目的。但是，这可以被其他掌握原理的人进行任意改动，从而又衍生出一种不同于原版本的新的计算机病毒（又称为变种），这就是计算机病毒的衍生性。这种变种病毒造成的后果可能比原版病毒严重得多。（8）寄生性：病毒程序嵌入到宿主程序中，依赖于宿主程序的执行而生存，这就是计算机病毒的寄生性。病毒程序在侵入到宿主程序中后，一般对宿主程序进行一定的修改，宿主程序一旦执行，病毒程序就被激活，从而可以进行自我复制和繁衍。

12（7）衍生性：分析计算机病毒的结构可知，传染和破坏部分反434.1.3病毒的分类：按破坏性分为：无害型无危险型危险型非常危险型。按激活时间分为定时随机134.1.3病毒的分类：44按照病毒特有的算法分为：伴随型病毒：产生EXE文件的伴随体COM，病毒把自身写入COM文件并不改变EXE文件，当DOS加载文件时，伴随体优先被执行到，再由伴随体加载执行原来的EXE文件。“蠕虫”型病毒：只占用内存，不改变文件，通过网络搜索传播病毒。寄生型病毒：除了伴随和“蠕虫”型以外的病毒，它们依附在系统的引导扇区或文件中。变型病毒（幽灵病毒）：使用复杂算法，每传播一次都具有不同内容和长度。一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。14按照病毒特有的算法分为：45按传染方式分为：文件型：病毒一般附着在可执行文件上；引导型：当系统引导时进入内存，控制系统；混合型：既可感染引导区，又可感染文件。宏病毒：感染MSOffice文档其他类型15按传染方式分为：46病毒的组成：安装模块：提供潜伏机制；传播模块：提供传染机制；触发模块：提供触发机制；其中，传染机制是病毒的本质特征，防治、检测及杀毒都是从分析病毒传染机制入手的。病毒的症状：启动或运行速度明显变慢；文件大小、日期变化；死机增多；莫名其妙地丢失文件；磁盘空间不应有的减少；有规律地出现异常信息；自动生成一些特殊文件；无缘无故地出现打印故障。16病毒的组成：47计算机病毒的传播途径1）硬件设备传播：通过不可移动的设备进行传播较少见，但破坏力很强。2）移动存储设备传播：这是最广泛的传播途径之一3）通过网络进行传播：这是最广泛的传播途径之二4）无线传播：通过点对点通讯系统和无线通道传播预计将来会成为两大传播渠道4.1.4病毒的传播及危害传播的途径：理论上，与外界交换数据的所有场合都有可能。17计算机病毒的传播途径4.1.4病毒的传播及危害传播的48病毒的危害直接破坏数据占用磁盘空间抢占系统资源影响计算机运行速度错误的不可预见性给用户造成心理压力18病毒的危害49病毒破坏行为的常见表现BIOS病毒现象

1、开机运行几秒后突然黑屏

2、外部设备无法找到

3、硬盘无法找到

4、电脑发出异样声音

硬盘引导区病毒现象

1、无法正常启动硬盘

2、引导时出现死机现象

3、执行C盘时显示“NotreadyerrordriveAAbort，Retry，Fail?”

19病毒破坏行为的常见表现50病毒破坏行为的常见表现操作系统病毒现象

1、引导系统时间变长

2、计算机处理速度比以前明显放慢

3、系统文件出现莫名其妙的丢失，或字节变长，日期修改等现象

4、系统生成一些特殊的文件

5、驱动程序被修改使得某些外设不能正常工作

6、软驱、光驱丢失

7、计算机经常死机或重新启动

20病毒破坏行为的常见表现51病毒破坏行为的常见表现应用程序病毒现象

1、启动应用程序出现“非法错误”对话框

2、应用程序文件变大

3、应用程序不能被复制、移动、删除

4、硬盘上出现大量无效文件

5、某些程序运行时载入时间变长

21病毒破坏行为的常见表现524.2网络病毒的防范措施传统的网络病毒定义是指利用网络进行传播的病毒。现在的网络病毒定义是指以网络为平台，对计算机产生安全威胁的所有程序的总称。224.2网络病毒的防范措施传统的网络病毒定义是指利用534.2.1网络病毒的新特点传染速度快扩散面广传播形式复杂多样难以彻底清除破坏性大潜在危险性大234.2.1网络病毒的新特点传染速度快54增加安全意识小心邮件挑选网络版杀毒软件4.2.2基于网络安全体系的防病毒技术24增加安全意识4.2.2基于网络安全体系的防病毒技术554.3防毒策略与常用杀毒软件 防毒：预防入侵；病毒过滤、监控、隔离 查毒：发现和追踪病毒；统计、报警 杀毒：从感染对象中清除病毒；恢复功能4.3.1病毒的防治策略（参见教材P82）4.3.2防毒杀毒软件254.3防毒策略与常用杀毒软件 防毒：预防入侵；56反病毒软件的选择1）能查杀的病毒数量多2）扫描速度快