第4章计算机病毒与木马.ppt

《第4章计算机病毒与木马.ppt》由会员分享，可在线阅读，更多相关《第4章计算机病毒与木马.ppt（56页珍藏版）》请在优知文库上搜索。

1、n【本章要点】【本章要点】n通过本章的学习，可以了解计算机病毒的定通过本章的学习，可以了解计算机病毒的定义。掌握计算机病毒特征以及检测、防范等义。掌握计算机病毒特征以及检测、防范等技术。初步了解木马攻击的技术、特点。技术。初步了解木马攻击的技术、特点。第第 4 章计算机病毒与木马章计算机病毒与木马4.1计算机病毒概述4.2计算机病毒的危害及其表现4.3计算机病毒的检测与防范4.4木马病毒4.5木马的攻击防护技术4.1.1 计算机病毒的起源计算机病毒的起源4.1.2 计算机病毒的定义及特征计算机病毒的定义及特征4.1.3 计算机病毒的生命周期计算机病毒的生命周期4.1.4 计算机病毒的分类计算机

2、病毒的分类 可以从不同角度给出计算机病毒的定义。可以从不同角度给出计算机病毒的定义。（1）通过磁盘、磁带和网络等作为媒介传播扩散，）通过磁盘、磁带和网络等作为媒介传播扩散，能能“传染传染”其他程序的一种程序；其他程序的一种程序；（2）能够实现自身复制且借助一定的载体存在的具）能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序；有潜伏性、传染性和破坏性的程序；（3）是一种人为制造的程序，它通过不同的途径潜）是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里，伏或寄生在存储媒体（如磁盘、内存）或程序里，当某种条件或时机成熟时，当某种条件或时机成熟

3、时，它会自生复制并传播，它会自生复制并传播，使计算机的资源受到不同程序的破坏。使计算机的资源受到不同程序的破坏。计算机病毒主要有以下几种传播方式计算机病毒主要有以下几种传播方式n1、通过电子邮件进行传播、通过电子邮件进行传播n2、利用系统漏洞进行传播、利用系统漏洞进行传播n3、通过、通过 MSN、QQ等即时通信软件进行传等即时通信软件进行传播播n4、通过网页进行传播、通过网页进行传播n5、通过移动存储设备进行传播、通过移动存储设备进行传播 n今后任何时候病毒都不会很快地消失，并呈现快速增长的态今后任何时候病毒都不会很快地消失，并呈现快速增长的态势。仅在势。仅在2013年年1至至6月，瑞星月，瑞

4、星“云安全云安全”系统共截获新增系统共截获新增病毒样本病毒样本1,633万余个，病毒总体数量比万余个，病毒总体数量比2012年下半年增年下半年增长长93.01%，呈现出一个爆发式的增长态势。其中木马病毒，呈现出一个爆发式的增长态势。其中木马病毒1,172万个，占总体病毒的万个，占总体病毒的71.8%，和，和2012年一样是第一年一样是第一大种类病毒。新增病毒样本包括蠕虫病毒（大种类病毒。新增病毒样本包括蠕虫病毒（Worm）198万万个，占总体数量的个，占总体数量的12.16%，成为第二大种类病毒。感染型，成为第二大种类病毒。感染型（Win32）病毒）病毒97万个，占总体数量的万个，占总体数量的

5、5.99%，后门病毒，后门病毒（Backdoor）66万个，占总体数量的万个，占总体数量的4.05%，位列第三，位列第三和第四。恶意广告（和第四。恶意广告（Adware）、黑客程序（）、黑客程序（Hack）、病）、病毒释放器（毒释放器（Dropper）、恶意驱动（）、恶意驱动（Rootkit）依次排列，）依次排列，比例分别为比例分别为1.91%、1.03%、0.62%和和0.35%。1、计算机病毒的几种起源说（1）科学幻想起源说）科学幻想起源说（2）恶作剧起源说）恶作剧起源说（3）游戏程序起源说）游戏程序起源说n病毒的发展史呈现一定的规律性，一般情况是新的病毒的发展史呈现一定的规律性，一般情况

6、是新的病毒技术出现后，病毒会迅速发展，接着反病毒技病毒技术出现后，病毒会迅速发展，接着反病毒技术的发展会抑制其流传。操作系统升级后，病毒也术的发展会抑制其流传。操作系统升级后，病毒也会调整为新的方式，产生新的病毒技术。会调整为新的方式，产生新的病毒技术。IT行业普行业普遍认为，从最原始的单机磁盘病毒到现在逐步进入遍认为，从最原始的单机磁盘病毒到现在逐步进入人们视野的手机病毒，计算机病毒主要经历了六个人们视野的手机病毒，计算机病毒主要经历了六个重要的发展阶段。重要的发展阶段。n第一阶段为原始病毒阶段。第一阶段为原始病毒阶段。n第二阶段为混合型病毒阶段。第二阶段为混合型病毒阶段。n第三阶段为多态性

7、病毒阶段。第三阶段为多态性病毒阶段。n第四阶段为网络病毒阶段。第四阶段为网络病毒阶段。n第五阶段为主动攻击型病毒。第五阶段为主动攻击型病毒。n第六阶段为第六阶段为“移动终端病毒移动终端病毒”阶段。阶段。1.计算机病毒的定义2.计算机病毒的产生3.计算机病毒的特点（1）计算机病毒的程序性）计算机病毒的程序性(可执行性可执行性)（2）计算机病毒的传染性）计算机病毒的传染性（3）计算机病毒的潜伏性）计算机病毒的潜伏性（4）计算机病毒的可触发性）计算机病毒的可触发性（5）计算机病毒的破坏性）计算机病毒的破坏性（6）攻击的主动性）攻击的主动性（7）病毒的针对性）病毒的针对性（8）病毒的非授权性）病毒的非

8、授权性（9）病毒的隐蔽性）病毒的隐蔽性（10）病毒的衍生性）病毒的衍生性（11）病毒的寄生性）病毒的寄生性(依附性依附性)（12）病毒的持久性）病毒的持久性（1）开发期）开发期（2）传染期）传染期（3）潜伏期）潜伏期（4）发作期）发作期（5）发现期）发现期（6）消化期）消化期（7）消亡期）消亡期n1.按攻击对像分类n若按病毒攻击的对象来分类，可分为攻击微若按病毒攻击的对象来分类，可分为攻击微型计算机、小型机和工作站的病毒，甚至安型计算机、小型机和工作站的病毒，甚至安全措施很好的大型机及计算机网络也是病毒全措施很好的大型机及计算机网络也是病毒攻击的目标。这些攻击对象之中，以攻击微攻击的目标。这些

9、攻击对象之中，以攻击微型计算机的病毒最多，其中型计算机的病毒最多，其中90是攻击是攻击IBM PC机及其兼容饥的。其他还有攻击机及其兼容饥的。其他还有攻击Macintosh及及Amiga计算机的。计算机的。（1）操作系统病毒）操作系统病毒（2）外壳病毒）外壳病毒（3）源码病毒）源码病毒（4）入侵病毒）入侵病毒（1）传染磁盘引导区的病毒）传染磁盘引导区的病毒（2）传染可执行文件的病毒）传染可执行文件的病毒传染操作系统文件的病毒传染操作系统文件的病毒传染一般可执行文件的病毒传染一般可执行文件的病毒既传染文件又传染磁盘引导区的病毒既传染文件又传染磁盘引导区的病毒n可以分为网络病毒、文件病毒和引导型病

10、毒。网络可以分为网络病毒、文件病毒和引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件；病毒通过计算机网络传播感染网络中的可执行文件；文件病毒感染计算机中的文件（如：文件病毒感染计算机中的文件（如：COM，EXE，DOC等）；引导型病毒感染启动扇区（等）；引导型病毒感染启动扇区（Boot）和）和硬盘的系统引导扇区（硬盘的系统引导扇区（MBR）。还有这三种情况的）。还有这三种情况的混合型，例如：多型病毒（文件和引导型）感染文混合型，例如：多型病毒（文件和引导型）感染文件和引导扇区两种目标，这样的病毒通常都具有复件和引导扇区两种目标，这样的病毒通常都具有复杂的算法，它们使用非常规的办法侵

11、入系统，同时杂的算法，它们使用非常规的办法侵入系统，同时使用了加密和变形算法。使用了加密和变形算法。（1）无害型。除了传染时减少磁盘的可用空间外，）无害型。除了传染时减少磁盘的可用空间外，对系统没有其他影响。对系统没有其他影响。（2）无危险型。这类病毒仅仅是减少内存、显示图）无危险型。这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。像、发出声音及同类音响。（3）危险型。这类病毒在计算机系统操作中造成严）危险型。这类病毒在计算机系统操作中造成严重的错误。重的错误。（4）非常危险型。这类病毒删除程序、破坏数据、）非常危险型。这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。清

12、除系统内存区和操作系统中重要的信息。（1）伴随型病毒。）伴随型病毒。（2）“蠕虫蠕虫”型病毒。型病毒。（3）寄生型病毒。）寄生型病毒。恶意病毒恶意病毒“四大家族四大家族”宏病毒宏病毒 CIH病毒病毒 蠕虫病毒蠕虫病毒木马病毒木马病毒4.2.1 计算机病毒的危害1、病毒激发对计算机数据信息的直接破坏作用 大部分病毒在激发的时候直接破坏计算机的重要信息数据，所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的垃圾数据改写文件、破坏CMOS设置等。n寄生在磁盘上的病毒总要非法占用一部分磁寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病盘空间。引导型

13、病毒的一般侵占方式是由病毒本身占据磁盘引导扇区，覆盖一个磁盘扇毒本身占据磁盘引导扇区，覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失，无法恢区。被覆盖的扇区数据永久性丢失，无法恢复，所以在传染过程中一般不破坏磁盘上的复，所以在传染过程中一般不破坏磁盘上的原有数据，但非法侵占了磁盘空间，造成磁原有数据，但非法侵占了磁盘空间，造成磁盘空间的严重浪费。盘空间的严重浪费。n除除VIENNA、CASPER等少数病毒外，其他等少数病毒外，其他大多数病毒在动态下都是常驻内存的，这就大多数病毒在动态下都是常驻内存的，这就必然抢占一部分系统资源。病毒所占用的基必然抢占一部分系统资源。病毒所占用的基本内存长度大致与

14、病毒本身长度相当。病毒本内存长度大致与病毒本身长度相当。病毒抢占内存，导致内存减少，一部分软件不能抢占内存，导致内存减少，一部分软件不能运行。除占用内存外，病毒还抢占中断，干运行。除占用内存外，病毒还抢占中断，干扰系统运行。扰系统运行。病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要病毒进驻内存后不但干扰系统运行，还影响计算机速度，主要表现在：表现在：（1）病毒为了判断传染激发条件，总要对计算机的工作状态）病毒为了判断传染激发条件，总要对计算机的工作状态进行监视，进行监视，这相对于计算机的正常运行状态既多余又有害。这相对于计算机的正常运行状态既多余又有害。（2）有些病毒为了保护自己，不但

15、对磁盘上的静态病毒加密，）有些病毒为了保护自己，不但对磁盘上的静态病毒加密，而且进驻内存后的动态病毒也处在加密状态；而病毒运行结而且进驻内存后的动态病毒也处在加密状态；而病毒运行结束时再用一段程序对病毒重新加密。这样束时再用一段程序对病毒重新加密。这样CPU额外执行数千额外执行数千条以至上万条指令。条以至上万条指令。（3）病毒在进行传染时同样要插入非法的额外操作，特别是）病毒在进行传染时同样要插入非法的额外操作，特别是传染软盘时不但计算机速度明显变慢，而且软盘正常的读写传染软盘时不但计算机速度明显变慢，而且软盘正常的读写顺序被打乱，发出刺耳的噪声。顺序被打乱，发出刺耳的噪声。n计算机病毒与其他

16、计算机软件的最重要差别是病毒计算机病毒与其他计算机软件的最重要差别是病毒的无责任性。编制一个完善的计算机软件需要耗费的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力，经过长时间调试完善，软件才大量的人力、物力，经过长时间调试完善，软件才能推出。但在病毒编制者看来既没有必要这样做，能推出。但在病毒编制者看来既没有必要这样做，也不可能这样做。很多计算机病毒都是个别人在一也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出，绝大部分台计算机上匆匆编制调试后就向外抛出，绝大部分病毒都存在不同程度的错误。计算机病毒错误所产病毒都存在不同程度的错误。计算机病毒错误所产生的后果往往是不可预见的，反病毒工作者曾经详生的后果往往是不可预见的，反病毒工作者曾经详细指出黑色星期五病毒存在细指出黑色星期五病毒存在9处错误，乒乓病毒有处错误，乒乓病毒有5处错误等。但是人们不可能花费大量时间去分析数处错误等。但是人们不可能花费大量时间去分析数万种病毒的错误所在。大量含有未知错误的病毒扩万种病毒的错误所在。大量含有未知错误的病毒扩散传播，其后果是难以预料的。散传播，其后果是难以