第3章-计算机病毒课件

3.1.2计算机病毒的发展历史

计算机病毒的发展经历了以下几个主要阶段：萌芽阶段（1986年－1989年）综合发展阶段（1989年－1992年）成熟发展阶段（1992年－1995年）Internet阶段（1995年以后）3.1.2计算机病毒的发展历史1

3.2计算机病毒的分类

3.2.1按照计算机病毒攻击的系统分类1．攻击DOS系统的病毒2．攻击Windows系统的病毒3．攻击UNIX/Linux系统的病毒4．攻击OS/2系统的病毒5．攻击Macintosh系统的病毒6．其他操作系统上的病毒

3.2计算机病毒的分类

3.2.1按照计算机23.2.2按照病毒的攻击机型分类1．攻击微型计算机的病毒2．攻击小型机的计算机病毒3．攻击工作站的计算机病毒3.2.3按照计算机病毒的链接方式分类1．源码型病毒2．嵌入型病毒3．外壳型病毒4．操作系统型病毒

3.2.2按照病毒的攻击机型分类1．攻击微型计算机的病33.2.4按照计算机病毒的破坏情况分类

1．良性计算机病毒2．恶性计算机病毒

3.2.5按照计算机病毒的寄生部位或传染对象分类

1．磁盘引导区传染的计算机病毒2．操作系统传染的计算机病毒3．可执行程序传染的计算机病毒3.2.6按照计算机病毒激活的时间分类

1．定时病毒2．随机病毒3.2.7按照计算机病毒传播的媒介分类

1．单机病毒2．网络病毒3.2.8按照计算机病毒寄生方式和传染途径分类1．引导型病毒2．文件型病毒3．混合型病毒

3.2.4按照计算机病毒的破坏情况分类43.2.9按照计算机病毒特有的算法分类

1．伴随型病毒2．“蠕虫”型病毒3．寄生型病毒4．练习型病毒5．诡秘型病毒6．变型病毒（又称幽灵病毒）3.2.10按照计算机病毒破坏的能力分类

1．无害型2．无危险型3．危险型4．非常危险型

3.2.9按照计算机病毒特有的算法分类53.3计算机病毒的原理

3.3.1计算机病毒的工作原理

计算机病毒的产生过程可分为：程序设计-传播-潜伏-触发、运行-实行攻击。计算机病毒从生成开始到完全根除结束也存在一个生命周期。开发期传染期潜伏期发作期发现期同化期

消亡期3.3计算机病毒的原理

3.3.1计算机病毒的工作原62．计算机病毒基本环节计算机有病毒有自己的生命周期，实际上，计算机病毒要完成一次完整的传播破坏过程，必须经过“分发拷贝、潜伏繁殖、破坏表现”几个环节，任何一个环节都可以抑制病毒的传播、蔓延，或者清除病毒。与这个环节相关的概念为：（1）传染源（2）传播途径（3）传染（4）病毒激活（5）病毒触发（6）病毒表现2．计算机病毒基本环节73．计算机病毒的逻辑结构

计算机病毒是以现代计算机网络为环境而存在并发展的，即计算机系统软、硬件环境决定了计算机病毒的结构，而这种结构是能够充分利用系统资源进行活动的最合理体现。计算机病毒一般由感染标志（病毒签名）、引导模块、感染模块和破坏模块（表现模块）4个部分组成。

3．计算机病毒的逻辑结构84．计算机病毒的工作原理（1）DOS病毒的原理（2）Windows病毒的原理

PE病毒基本上需要具有重定位、截获API函数地址、搜索感染目标文件、内存文件映射、实施感染等功能。

4．计算机病毒的工作原理93.3.2计算机病毒的特征

1．传染性2．隐蔽性3．破坏性4．潜伏性5．衍生性6．寄生性7．针对性8．非授权性9．不可预见性10．可控性11．可执行性12．攻击的主动性13．欺骗性

3.3.2计算机病毒的特征1．传染性103.3.3计算机病毒的破坏行为（1）攻击系统数据区（2）干扰系统运行，使运行速度下降。（3）攻击文件（4）抢占系统资源（5）干扰I/O设备，篡改预定设置以及扰乱运行（6）导致系统性能下降（7）攻击存储器（8）破坏CMOS中的数据（9）破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽等。

3.3.3计算机病毒的破坏行为（1）攻击系统数据区113.4计算机网络病毒

3.4.1计算机网络病毒的定义

从广义上来说，计算机网络病毒是指利用网络进行传播的一类病毒的总称。网络在与人方便的同时，也成了传播病毒的最佳渠道，它可使病毒迅速地从一台主机传染到另一台主机，瞬间就会影响整个网络。一个网络只要有一个入口点，那么就很有可能感染上网络病毒，使病毒在网络中传播扩散，甚至破坏整个系统。严格地说，通过网络传播的病毒并不一定是网络病毒。而“蠕虫”等以网络为平台，能在网络中传播、复制及破坏的病毒才是真正的网络病毒。网络病毒与单机计算机病毒是有较大的区别的，网络病毒使用网络协议进行传播，它们通常不修改系统文件或硬盘的引导区。计算机网络病毒感染客户机的内存，强制这些计算机向网络中发送大量信息，因而可能导致网络速度下降甚至瘫痪。由于网络病毒保留在内存中，因此传统的基于磁盘的文件I/O扫描方法通常无法检测到它们。3.4计算机网络病毒

3.4.1计算机网络病毒的定义123.4.2网络病毒的特点

1．破坏性强2．传播性极强3．扩散面广4．传染速度快5．清除难度大6．传染方式多3.4.2网络病毒的特点1．破坏性强133.4.3网络病毒的分类1．按类型分类目前流行的网络病毒从类型上主要分为木马病毒和蠕虫病毒：（1）木马病毒实际上是一种后门程序，他常常潜伏在操作系统中监视用户的各种操作，窃取用户的隐私信息，如QQ、游戏账号，甚至网上银行的账号和密码等。（2）蠕虫病毒是一种典型的网络病毒，它可以通过多种方式进行传播，甚至是利用操作系统和应用程序的漏洞主动进行攻击，每种蠕虫都包含一个扫描功能模块负责探测存在漏洞的主机，在网络中扫描到存在该漏洞的计算机后就马上传播出去。这点也使得蠕虫病毒危害性非常大，可以说网络中一台计算机感染了蠕虫病毒可以在一分钟内将网络中所有存在该漏洞的计算机进行感染。由于蠕虫发送大量传播数据包，所以被蠕虫感染了的网络速度非常缓慢，被蠕虫感染了的计算机也会因为CPU和内存占用过高而接近死机状态。

3.4.3网络病毒的分类1．按类型分类142．按传播途径分类网络病毒按照传播途径可分为邮件型病毒和漏洞型病毒：（1）邮件病毒是通过电子邮件进行传播的，病毒将自身隐藏在邮件的附件中并伪造虚假信息欺骗用户打开该附件从而感染病毒，当然有的邮件性病毒利用的是浏览器的漏洞来实现。

这时用户即使没有打开邮件中的病毒附件而仅仅浏览了邮件内容，由于浏览器存在漏洞也会让病毒趁虚而入。（2）漏洞病毒。目前应用最广泛的Windows操作系统存在着非常多的漏洞。这类病毒就利用了的系统漏洞进行传播和破坏活动，漏洞型病毒则更加可怕，即使用户没有运行非法软件、没有打开邮件浏览，只要连接到网络中，漏洞型病毒就会利用操作系统的漏洞进入客户机。如2004年风靡的“冲击波”和“震荡波”病毒就是漏洞型病毒的一种，他们使全世界网络计算机的瘫痪，造成了巨大的经济损失。

2．按传播途径分类153.5计算机病毒的检测与预防

3.5.1计算机病毒的表现1．计算机病毒发作前的表现

2．计算机病毒发作时的表现

3．计算机病毒发作后的表现

3.5.2计算机病毒的检测技术

1．计算机病毒检测技术计算机病毒检测，从技术上可分为指令特征检测、功能特征检测和文件完整性检测三种。3.5计算机病毒的检测与预防

3.5.1计算机病毒的162．反病毒软件常用技术（1）病毒码扫描法（2）加总比对法（Check-sum）（3）人工智能陷阱（4）软件模拟扫描法（5）VICE（VirusInstructionCodeEmulation）——先知扫描法（6）实时I/O扫描（RealtimeI/OScan）2．反病毒软件常用技术17

3.5.3计算机病毒的防范1．计算机病毒的防治技术（1）计算机病毒的预防技术（2）计算机病毒的检测技术（3）计算机病毒的清除技术（4）计算机病毒的免疫技术2．计算机病毒的防范策略（1）提高防毒意识（2）立足网络，以防为本（3）多层防御（4）与网络管理集成（5）在网关、服务器上防御

3.5.3计算机病毒的防范1．计算机病毒