网络安全第7章-计算机及手机病毒防范课件

目录7.2病毒危害、中毒症状及后果27.3计算机病毒的构成与传播37.4计算机病毒检测清除与防范4

7.1计算机及手机病毒基础1

7.5360安全卫士及杀毒软件应用实验57.6本章小结6国家十三五重点出版规划项目上海高校精品课程/优秀教材奖目录教学目标●理解计算机及手机病毒的概念、产生、特点及种类●掌握病毒的构成、传播、触发以及新型病毒实例●掌握病毒与木马程序的检测、清除与防范方法●熟悉360安全卫士杀毒软件应用方法重点重点国家十三五重点出版规划项目上海高校精品课程/优秀教材奖7.1计算机及手机病毒基础7.1.1病毒的概念、发展及命名1.计算机及手机病毒的概念

计算机病毒（ComputerVirus）在《中华人民共和国计算机信息系统安全保护条例》中被明确定义为：是指编制者在计算机程序中插入的破坏系统功能或破坏数据，影响系统使用并能够自我复制的一组指令或程序代码。手机病毒是一种具有传染性、破坏性等特征的手机程序，其实质上同计算机病毒基本一样，以后统称为网络病毒。

海湾战争中首用网络病毒攻击的信息战。1991年海湾战争。美国在伊拉克从第三国购买的打印机里植入可远程控制的网络病毒，开战前使伊拉克整个雷达预警系统全部瘫痪，成为世界首次公开在实战中用网络病毒攻击，同时为2003年的伊拉克战争奠定基础。

案例7-1

计算机病毒产生和来源各异，主要目的分为个人行为和集团行为两种。有的病毒还曾为用于研究或实验而设计的“有用”程序，后来失控扩散或被利用。计算机病毒的产生原因主要有4个方面：7.1计算机及手机病毒基础

计算机病毒的概念起源。1949年首次关于计算机病毒理论的学术工作，出现在计算机先驱冯·诺依曼（JohnVonNeumann）一篇论文中，概述病毒程序的概念。后来，美国著名的AT&T贝尔实验室中，三个年轻人工作之余玩的一种“磁芯大战”（Corewar）的游戏：编出能吃掉别人编码的程序来互相攻击。这种游戏，呈现了病毒程序的感染和破坏性。2.计算机及手机病毒的产生

计算机病毒发展主要经历了五个重要阶段。7.1计算机及手机病毒基础3.计算机病毒的发展阶段

4．计算机病毒的命名方式

命名方式由多个前缀与后缀组合，中间以点“•”分隔，一般格式为：

[前缀].[病毒名].[后缀]。如振荡波蠕虫病毒的变种“Worm.Sasser.c”，其中Worm指病毒的种类为蠕虫，Sasser是病毒名，c指该病毒的变种。（1）病毒前缀-病毒种类（2）病毒名-病毒的名称（3）病毒后缀-病毒变种特征

病毒名即病毒的名称，如“病毒之母”CIH病毒及其变种的名称一律为“CIH”，冲击波蠕虫的病毒名为“Blaster”。病毒名也有一些约定俗成方式，可按病毒发作的时间命名，如黑色星期五；也可按病毒发作症状命名，如小球；或按病毒自身包含的标志命名，如熊猫病毒；还可按病毒发现地命名，如耶路撒冷病毒；或按病毒的字节长度命名，如1575。7.1计算机及手机病毒基础7.1.2计算机及手机病毒的特点

根据对病毒的产生、传播和破坏行为的分析,可概括为6个主要特点。

1.传播性

传播性是病毒的基本特点。计算机病毒与生物病毒类似，也会通过各种途径传播扩散，在一定条件下造成被感染的系统工作失常甚至瘫痪。2.隐蔽性病毒程序很隐蔽与正常程序只有经过代码分析才能区别3.潜伏性绝大部分的计算机病毒感染系统之后一般不会马上发作，可长期隐藏在系统中，只有当满足其特定条件时才启动其破坏代码，显示发作信息或破坏系统。4.触发及控制性

用户调用正常程序时并达到触发条件时，窃取系统的控制权，并抢先于正常程序执行，病毒的动作、目的对用户是未知的，未经用户允许。

7.1计算机及手机病毒基础5.影响破坏性

侵入系统的任何病毒,都会对系统及应用程序产生影响.占用系统资源,降低工作效率,甚至可导致系统崩溃,其破坏性多种多样。

6.多态不可预见性不同种类的病毒代码相差很大，但有些操作具有共性，如驻内存、改中断等。利用这些共性已研发出查病毒程序，但由于软件种类繁多、病毒变异难预见。7.1计算机及手机病毒基础

计算机病毒傍热映电影《2012》兴风作浪。随着灾难大片《2012》热映，很多电影网站推出在线收看或下载服务。一种潜伏在被挂马的电影网站中的“中华吸血鬼”变种病毒，能感染多种软件和压缩文件，利用不同方式关闭杀毒软件，以变形破坏功能与加密下载木马病毒。具有一个生成器，可随意定制下载地址和功能。案例7-37.1.3计算机及手机病毒的种类1．以病毒攻击的操作系统分类2．以病毒的攻击机型分类以病毒攻击的操作系统分类攻击DOS系统的病毒攻击Windows系统的病毒攻击UNIX系统的病毒OS/2系统的病毒攻击NetWare系统的病毒7.1计算机及手机病毒基础3．按照病毒的链接方式分类通常，计算机病毒所攻击的对象是系统可执行部分，按照病毒链接方式可分为4种：7.1计算机及手机病毒基础

据国外2016年7月有关媒体报道，互联网安全公司CheckPoint日前指出，一款疑似来自中国某地一家名为Yingmob(微赢互动)的广告公司开发的的恶意软件HummingBad，在手机的Android设备上建立一个永久性的rootkit，已在全球范围内感染了8500万台手机，借助虚假广告和安装额外欺诈性应用获利。利用恶意软件每季度至少100万美元的广告收入。

案例7-44．按照病毒的破坏能力分类根据病毒破坏的能力可划分为4种：

5．按照传播媒介不同分类按照计算机病毒的传播媒介分类，可分为单机病毒和网络病毒。6．按传播方式不同分类按照病毒传播方式分为引导型病毒、文件型病毒和混合型病毒3种。7.1计算机及手机病毒基础轻度7．以病毒特有的算法不同分类8.按照病毒的寄生部位或传染对象分类

传染性是计算机病毒的本质属性，根据寄生部位或传染对象分类，即根据病毒传染方式进行分类，有3种：

9.按照病毒激活的时间分类按照病毒激活时间可分为定时的和随机的。根据病毒程序特有算法分类伴随型病毒"蠕虫"型病毒寄生型病毒练习型病毒诡秘型病毒变型病毒7.1计算机及手机病毒基础/幽灵7.2.1计算机及手机病毒的危害计算机及手机病毒的主要危害包括：1）破坏系统、文件和数据2）窃取机密文件和信息3）造成网络堵塞或瘫痪4）消耗内存、磁盘空间和系统资源5）电脑运行缓慢6）对用户造成心理压力7.2病毒危害、中毒症状及后果7.2.2病毒发作的症状及后果

在感染病毒后，根据中毒的情况会出现不同的症状：系统运行速度变慢、无法上网，无故自动弹出对话框或网页，用户名和密码等用户信息被篡改,甚至是死机,系统瘫痪等,还有以下症状。

7.2病毒危害、中毒症状及后果1.病毒发作时的其他症状

1）提示无关对话

2）发出声响3）产生异常图象

4）硬盘灯不断闪烁

5）算法游戏6）桌面图标发生变化

7）突然重启

或死机8）自动发送邮件9）自动移动鼠标

2.病毒发作的异常后果

绝大部分计算机病毒都属于恶性病毒，发作后的异常现象及造成的后果包括：

1）硬盘无法启动，数据丢失。

2）文件丢失或被破坏。

3）文件目录混乱。

4）BIOS程序混乱使主板破坏。

5）部分文档自动加密。

6）计算机重启时格式化硬盘。

7）网络瘫痪，无法正常服务。讨论思考：（1）什么是计算机病毒？计算机病毒的特点有哪些？（2）计算机病毒的种类具体有哪些？（3）计算机中毒后所出现的情况怎样？7.2病毒危害、中毒症状及后果7.3计算机病毒的构成与传播7.3.1计算机病毒的构成计算机病毒主要构成，有3个单元构成：引导单元传染单元触发单元

3)由两个部分构成，一是触发控制部分，二是二是影响破坏操作部分。

2)是病毒程序的核心，主要功能是传播病毒，一般由三个部分构成，传染控制模块、传染判断模块、传染操作模块。

1)也称潜伏机制模块，具有初始化、隐藏和捕捉功能。可将病毒加载到内存中，并保护其存储，以防被其他程序覆盖，同时修改一些中断及高端内存、保存原中断系统参数，为传播做准备。图7-1计算机病毒的主要构成7.3.2计算机病毒的传播

传播性是病毒最大威胁和隐患的特点之一。1．移动式存储介质

数码产品常用的移动存储介质主要包括：软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、记忆棒（MemoryStick）、移动硬盘等。移动存储介质以其便携性和大容量存储性为病毒的传播带来了极大的便利，这也是其成为目前主流病毒传播途径的重要原因。例如，“U盘杀手”（Worm_Autorun）病毒2.各种网络传播（1）电子邮件（2）下载文件（3）浏览网页（4）聊天通讯工具（5）移动通信终端7.3计算机病毒的构成与传播7.3.3计算病毒的触发与生存1．病毒的触发条件及方式

病毒基本特性是感染、潜伏、触发、破坏。感染使病毒传播，破坏性体现其杀伤力。触发性兼顾杀伤力和潜伏性，并可控制病毒感染和破坏频度。

病毒触发条件主要有7种:时间触发、键盘触发、感染触发、启动触发、访问磁盘次数触发、调用中断功能触发、CPU型号/主板型号触发。

2.病毒的寄生和生存方式

病毒产生过程分为程序设计—传播—潜伏—触发—运行—实行攻击。从产生到彻底根除，病毒拥有一个完整的生存周期：开发期、传播期、潜伏期、发作期、发现期、消化期、消亡期7.3计算机病毒的构成与传播

电子邮件病毒触发方式。“欢迎时光”病毒（VBS.Haptime.A@mm），作为电子邮件附件，利用邮件系统的缺陷自身传播，可在无运行附件时运行。并可利用邮件系统的信纸功能，将自身复制在信纸模板上传播。用户收到含有病毒邮件，只要浏览内容，即达到了该病毒触发条件，系统就会立刻感染病毒。案例7-5（1）病毒的寄生对象。一是磁盘引导区；二是可执行文件。（2）病毒的生存方式。替代磁盘引导区或可执行文件链接式生存方式7.3.4特种及新型病毒实例1．木马病毒特洛伊木马（Trojan）简称为木马，其名源于古希腊传说。是一种具有攻击系统、破坏文件、发送密码和记录键盘等特殊功能的后门程序,其特性也已变异更新。

木马病毒发展趋势。2016年以来，盗号木马、手机木马、敲诈和广告木马快速增长，仅2016年前8个月新增新型木马近百万个，占各种木马76.3%，且基本占据互联网新增木马的主流。新型木马的启动方式、破坏性均超出了传统木马和感染型木马，且杀毒软件对此类木马查杀技术也面临着严峻的考验。案例7-67.3计算机病毒的构成与传播（1）冰河木马的主要功能1）连接功能2）控制功能3）口令的获取4）屏幕抓取5）远程文件操作6）冰河信使（2）冰河木马的原理。激活的服务端程序+自动生成可执行文件2.蠕虫病毒

具有病毒的共性，同时还具有一些特性，不依赖宿主寄生，通过复制自身在网络环境下进行传播。

（1）I_WORM/EMANUEL网络蠕虫

通过微软的OutlookEress自动传播给受感染计算机的地址簿里的所有人，给每人发送一封带有该附件的邮件。

（2）熊猫烧香病毒

熊猫烧香是一种经过多次变种的蠕虫病毒。曾在2006-2007年间肆虐互联网，被列为我国2006十大病毒之首，一度成为“毒王”。自爆发后，短时间内出现近百变种，上百万台机器中毒，并深受其害。7.3计算机病毒的构成与传播讨论思考：（1）病毒如何构成？病毒传播方式有哪些？（2）计算机病毒的生存周期具体有哪些过程？（3）特洛伊木马的特性和类型有哪些？7.4计算机病毒检测清除与防范7.4.1计算机病毒的检测

1.根据异常现象初步检测1）系统运行异常：包括无法开机、开机变慢、系统运行速度慢、频繁重启、无故死机、自动关机等；2）屏幕显示异常：包括计算机蓝屏、弹出异常对话框、产生特定的图像（如小球病毒）等；3）声音播放异常：出现非系统正常声音等，如“杨基”（Yangkee）病毒和“浏阳河”病毒；4）文件/系统异常:无法找到硬盘分区、文件名等,相关属性遭更改、硬盘存储空间意外变小、无法打开/读取/操作文件、数据丢失或损坏、CPU利用率或内存占用过高。5）外设异常。鼠标/打印机等外设异常无法正常使用等；6）网络异常：不能正常上网、杀毒软件无法升级、自动弹出网页、主页被篡改、自动发送电子邮件等异常现象。7.4计算机病毒检测清除与防范

2.利用专业工具检测查毒

由于病毒具有较强的隐蔽性，必须使用专业工具对系统进行查毒，主要是指针对包括特定的内存、文件、引导区、网络在内的一系列属性，能够准确地查出病毒名称。常见的杀毒软件基本都含有查毒功能，例如360/瑞星免费在线查毒、金山毒霸查毒、卡巴斯基查毒等。

查毒软件使用的最主要的病毒查杀方式为病毒标记法。此种方式首先将新病毒加以分析，编成病毒码，加入资料库中，然后通过检测文件、扇区和内存，利用标记，也就是病毒常用代码的特征，查找已知病毒与病毒资料库中的数据并进行对比分析，即可判断是否中毒。7.4.2常见病毒的清除方法系统意外中毒，需要及时采取措施,常用处理方法是清除病毒：先对系统被破坏的程度调查评估，并采取有效的清除对策和方法。

杀毒后重启,再用查杀病毒软件检查系统,并确认完全恢复正常。7.4计算机病毒检测清除与防范7.4计算机病毒检测清除与防范7.4.3普通病毒的防范方法

查杀病毒不如预防,如果能够采取全面的防护措施，则会更有效地避免病毒的危害。因此，计算机病毒的防范，应该采取预防为主的策略。

首先要在思想上有反病毒的警惕性，依靠使用反病毒技术和管理措施，这些病毒就无法逾越安全保护屏障，从而不能广泛传播。个人用户要及时升级可靠的反病毒产品，因为病毒以每日4-6个的速度产生，反病毒产品必须适应病毒的发展，不断升级，才能识别和查杀新病毒，为系统提供真正安全环境。每一位计算机使用者都要遵守病毒防治的法律和制度，做到不制造病毒，不传播病毒。养成良好的上机习惯，如定期备份系统数据文件；外部存储设备连接前先杀毒再使用；不访问违法或不明网站，不下载传播不良文件等。7.4.4木马的检测清除与防范1.木马的检测（1）检测系统进程（2）检查注册表、ini文件和服务（3）检测开放端口（4）监视网络通讯2.木马病毒的清除（1）手工删除（2）杀毒软件清除3.木马病毒的防范（1）不点击不明的网址或邮件（2）不下载没有确认的软件（3）及时漏洞修复-堵住可疑端口（4）使用实时监控程序7.4计算机病毒检测清除与防范初始化-系统配置文件

木马可在Win.ini和System.ini”run=”“load=”“shell=”后加载,若在其后加载程序很陌生,可能就是木马.常将“Explorer”变为自身程序名,或将其中的字母”l”改为数字“1”,或将字母“o”改为数字“0”,不易发现。7.4.5病毒和防病毒技术的发展趋势1.计算机病毒的发展趋势

随着互联网的高速发展，病毒也进入了愈加猖狂和泛滥的阶段，目前计算机病毒的发展主要体现出在以下四个方面：

（1）病毒的种类和数量迅速增长7.4计算机病毒检测清除与防范

据瑞星网站报道2016年1-6月，瑞星“云安全”系统共截获新增病毒样本1,633万余个，病毒总体数量比去年下半年增长93.01%，呈现出爆发式增长态势。其中木马病毒1,172万个，占总体病毒的71.8%，第一大种类病毒。新增病毒样本包括蠕虫病毒（Worm）198万个，占总体数量的12.16%。感染型（Win32）病毒97万个，占总体数量的5.99%，后门病毒（Backdoor）66万个，占总体数量的4.05%。恶意广告（Adware）、黑客程序（Hack）、病毒释放器（Dropper）、恶意驱动（Rootkit）依次排列，比例分别为1.91%、1.03%、0.62%和0.35%。案例7-7（2）病毒传播手段呈多样化、复合化趋势（4）病毒的危害日益增大（3）病毒制作技术水平不断攀升2.防病毒技术的发展趋势

随着实时监控技术日益发展完善，能够达到监控文件、邮件、网页、即时通信、木马修改注册表、隐私信息维护的目的。但随着病毒制造者的不断推出新变种，防病毒技术也取得了一定的进步和突破，由被动防御向主动防御转变势在必行。若用户不及时对网络病毒库更新，会滞后于病毒制造者及病毒发作时间，加之近年网络新兴病毒频发，反病毒领域已经认识到必须由被动使用杀毒软件向主动防御新型病毒转变。所以，云概念、云计算、云安全、云杀毒等新技术应运而生。

云安全（CloudSecurity）是网络安全的最新体现，融合了并行处理、网格计算、未知病毒特征辨识等新技术，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中病毒的新信息，传送到Server端自动分析和处理，再把解决方案发到各客户端。讨论思考：（1）如何进行常见病毒的检测、清除、防范？（2）如何进行木马病毒的检测、清除和防范？（3）计算机病毒和防病毒技术的发展趋势是什么？7.4计算机病毒检测清除与防范7.5实验七360安全卫士杀毒软件应用

7.5.1实验目的7.5.2实验内容

1.主要实验内容360安全卫士及杀毒软件的实验内容：①360安全卫士杀毒软件的主要功能及特点。②360安全卫士杀毒软件主要技术和应用。③360安全卫士杀毒软件主要操作界面和方法。实验用时：2学时（90-120分钟）2.360安全卫士主要功能特点360安全卫士主要功能：①电脑体检。②查杀木马。③修复漏洞。④系统修复。⑤电脑清理。⑥优化加速。⑦电脑门诊。⑧软件管家。⑨功能大全。360安全卫士及杀毒软件的实验目的：①理解360安全卫士杀毒软件的主要功能及特点。②掌握360安全卫士杀毒软件主要技术和应用。③熟悉360安全卫士杀毒软件主要操作界面和方法

3.360杀毒软件主要功能特点

360杀毒软件和360安全卫士配合使用，是安全上网的黄金组合，可提供全时全面的病毒防护。360杀毒软件主要功能特点：①360杀毒无缝整合国际知名的BitDefender病毒查杀引擎和安全中心领先云查杀引擎。②双引擎智能调度，为电脑提供完善的病毒防护体系，不但查杀能力出色，而且能第一时间防御新出现的病毒木马。③杀毒快、误杀率低。以独有的技术体系对系统资源占用少，杀毒快、误杀率低。④快速升级和响应，病毒特征库及时更新，确保对爆发性病毒的快速响应。⑤对感染型木马强力查杀功能的反病毒引擎，以及实时保护技术强大的反病毒引擎，采用虚拟环境启发式分析技术发现和阻止未知病毒。⑥超低系统资源占用，人性化免打扰设置，在用户打开全屏程序或运行应用程序时自动进入“免打扰模式”。7.5360安全卫士及杀毒软件应用实验

7.5.3操作界面及步骤1.360安全卫士操作界面鉴