第3章-计算机病毒课件

3.1.2 计算机病毒的发展历史计算机病毒的发展历史计算机病毒的发展经历了以下几个主要阶段：计算机病毒的发展经历了以下几个主要阶段：萌芽阶段（萌芽阶段（19861986年年19891989年）年）综合发展阶段（综合发展阶段（19891989年年19921992年）年）成熟发展阶段（成熟发展阶段（19921992年年19951995年）年）InternetInternet阶段（阶段（19951995年以后）年以后）3.1.2 计算机病毒的发展历史 13.2计算机病毒的分类计算机病毒的分类 3.2.1 按照计算机病毒攻击的系统分类按照计算机病毒攻击的系统分类 1 1攻攻击DOSDOS系系统的病毒的病毒2 2攻攻击WindowsWindows系系统的病毒的病毒3 3攻攻击UNIX/LinuxUNIX/Linux系系统的病毒的病毒4 4攻攻击OS/2OS/2系系统的病毒的病毒5 5攻攻击MacintoshMacintosh系系统的病毒的病毒6 6其他操作系其他操作系统上的病毒上的病毒 3.2计算机病毒的分类 3.2.1 按照计算机23.2.2 按照病毒的攻击机型分类按照病毒的攻击机型分类 1攻击微型计算机的病毒攻击微型计算机的病毒2攻击小型机的计算机病毒攻击小型机的计算机病毒3 3攻击工作站的计算机病毒攻击工作站的计算机病毒3.2.3 3.2.3 按照计算机病毒的链接方式分类按照计算机病毒的链接方式分类1 1源码型病毒源码型病毒2 2嵌入型病毒嵌入型病毒3 3外壳型病毒外壳型病毒 4 4操作系统型病毒操作系统型病毒 3.2.2 按照病毒的攻击机型分类 1攻击微型计算机的病33.2.4 3.2.4 按照计算机病毒的破坏情况分类按照计算机病毒的破坏情况分类 1良性计算机病毒良性计算机病毒 2 2恶性计算机病毒恶性计算机病毒 3.2.5 3.2.5 按照计算机病毒的寄生部位或传染对象分类按照计算机病毒的寄生部位或传染对象分类 1 1磁盘引导区传染的计算机病毒磁盘引导区传染的计算机病毒 2 2操作系统传染的计算机病毒操作系统传染的计算机病毒 3 3可执行程序传染的计算机病毒可执行程序传染的计算机病毒3.2.6 3.2.6 按照计算机病毒激活的时间分类按照计算机病毒激活的时间分类 1 1定时病毒定时病毒 2 2随机病毒随机病毒 3.2.7 3.2.7 按照计算机病毒传播的媒介分类按照计算机病毒传播的媒介分类 1 1单机病毒单机病毒 2 2网络病毒网络病毒 3.2.8 3.2.8 按照计算机病毒寄生方式和传染途径分类按照计算机病毒寄生方式和传染途径分类 1 1引导型病毒引导型病毒 2 2文件型病毒文件型病毒 3 3混合型病毒混合型病毒 3.2.4 按照计算机病毒的破坏情况分类4 3.2.9 3.2.9 按照计算机病毒特有的算法分类按照计算机病毒特有的算法分类1伴随型病毒伴随型病毒2“蠕虫蠕虫”型病毒型病毒3寄生型病毒寄生型病毒4练习型病毒练习型病毒5诡秘型病毒诡秘型病毒6变型病毒（又称幽灵病毒）变型病毒（又称幽灵病毒）3.2.10 3.2.10 按照计算机病毒破坏的能力分类按照计算机病毒破坏的能力分类1无害型无害型2无危险型无危险型3危险型危险型4非常危险型非常危险型 3.2.9 按照计算机病毒特有的算法分类 53.3计算机病毒的原理计算机病毒的原理 3.3.1 计算机病毒的工作原理计算机病毒的工作原理 计计算算机机病病毒毒的的产产生生过过程程可可分分为为：程程序序设设计计-传传播播-潜潜伏伏-触触发发、运运行行-实实行行攻攻击击。计计算算机机病病毒毒从从生生成成开开始始到到完完全全根根除除结结束束也也存存在在一一个个生命周期。生命周期。开发期开发期 传染期传染期 潜伏期潜伏期 发作期发作期 发现期发现期 同化期同化期 消亡期消亡期3.3计算机病毒的原理 3.3.1 计算机病毒的工作原62计算机病毒基本环节计算机病毒基本环节 计计算算机机有有病病毒毒有有自自己己的的生生命命周周期期，实实际际上上，计计算算机机病病毒毒要要完完成成一一次次完完整整的的传传播播破破坏坏过过程程，必必须须经经过过“分分发发拷拷贝贝、潜潜伏伏繁繁殖殖、破破坏坏表表现现”几几个个环环节节，任任何何一一个个环环节节都都可可以以抑抑制制病病毒毒的的传传播播、蔓蔓延延，或或者者清清除除病病毒毒。与与这这个个环环节节相相关关的的概念为：概念为：（1 1）传染源）传染源 （2 2）传播途径）传播途径 （3 3）传染）传染 （4 4）病毒激活）病毒激活 （5 5）病毒触发）病毒触发 （6 6）病毒表现）病毒表现 2计算机病毒基本环节7 3 3计算机病毒的逻辑结构计算机病毒的逻辑结构 计计算算机机病病毒毒是是以以现现代代计计算算机机网网络络为为环环境境而而存存在在并并发发展展的的，即即计计算算机机系系统统软软、硬硬件件环环境境决决定定了了计计算算机机病病毒毒的的结结构构，而而这这种种结结构构是是能能够够充充分分利利用用系系统统资资源源进进行行活活动动的的最最合合理理体体现现。计计算算机机病病毒毒一一般般由由感感染染标标志志（病病毒毒签签名名）、引引导导模模块块、感感染染模模块块和和破破坏坏模模块块（表表现现模模块块）4 4个部分组成。个部分组成。3计算机病毒的逻辑结构 84 4计算机病毒的工作原理计算机病毒的工作原理 （1 1）DOSDOS病毒的原理病毒的原理 （2 2）WindowsWindows病毒的原理病毒的原理 PEPE病病毒毒基基本本上上需需要要具具有有重重定定位位、截截获获APIAPI函函数数地地址址、搜索感染目标文件、内存文件映射、实施感染等功能。搜索感染目标文件、内存文件映射、实施感染等功能。4计算机病毒的工作原理 93.3.2 计算机病毒的特征计算机病毒的特征 1 1传染性传染性 2 2隐蔽性隐蔽性 3 3破坏性破坏性 4 4潜伏性潜伏性 5 5衍生性衍生性 6 6寄生性寄生性 7 7针对性针对性 8 8非授权性非授权性 9 9不可预见性不可预见性 1010可控性可控性 1111可执行性可执行性 1212攻击的主动性攻击的主动性 1313欺骗性欺骗性 3.3.2 计算机病毒的特征 1传染性 103.3.3 计算机病毒的破坏行为计算机病毒的破坏行为 （1 1）攻击系统数据区）攻击系统数据区（2 2）干扰系统运行，使运行速度下降。）干扰系统运行，使运行速度下降。（3 3）攻击文件）攻击文件（4 4）抢占系统资源）抢占系统资源（5 5）干扰）干扰I/OI/O设备，篡改预定设置以及扰乱运行设备，篡改预定设置以及扰乱运行（6 6）导致系统性能下降）导致系统性能下降（7 7）攻）攻击存存储器器（8 8）破坏）破坏CMOSCMOS中的数据中的数据（9 9）破破坏坏网网络系系统，非非法法使使用用网网络资源源，破破坏坏电子子邮件件，发送送垃垃圾圾信息，占用网信息，占用网络带宽等。带宽等。3.3.3 计算机病毒的破坏行为（1）攻击系统数据区113.4计算机网络病毒计算机网络病毒 3.4.1 计算机网络病毒的定义计算机网络病毒的定义 从从广广义义上上来来说说，计计算算机机网网络络病病毒毒是是指指利利用用网网络络进进行行传传播播的的一一类类病病毒毒的的总总称称。网网络络在在与与人人方方便便的的同同时时，也也成成了了传传播播病病毒毒的的最最佳佳渠渠道道，它它可可使使病病毒毒迅迅速速地地从从一一台台主主机机传传染染到到另另一一台台主主机机，瞬瞬间间就就会会影影响响整整个个网网络络。一一个个网网络络只只要要有有一一个个入入口口点点，那那么么就就很很有有可可能能感感染上网络病毒，使病毒在网络中传播扩散，甚至破坏整个系统。染上网络病毒，使病毒在网络中传播扩散，甚至破坏整个系统。严严格格地地说说，通通过过网网络络传传播播的的病病毒毒并并不不一一定定是是网网络络病病毒毒。而而“蠕蠕虫虫”等等以以网网络络为为平平台台，能能在在网网络络中中传传播播、复复制制及及破破坏坏的的病病毒毒才才是是真真正正的的网网络络病病毒毒。网网络络病病毒毒与与单单机机计计算算机机病病毒毒是是有有较较大大的的区区别别的的，网网络络病病毒毒使使用用网网络络协协议议进进行行传传播播，它它们们通通常常不不修修改改系系统统文文件件或或硬硬盘盘的的引引导导区区。计计算算机机网网络络病病毒毒感感染染客客户户机机的的内内存存，强强制制这这些些计计算算机机向向网网络络中中发发送送大大量量信信息息，因因而而可可能能导导致致网网络络速速度度下下降降甚甚至至瘫瘫痪痪。由由于于网网络络病病毒毒保保留留在在内内存存中中，因因此此传传统统的的基基于于磁磁盘盘的的文文件件I/O I/O 扫扫描方法通常无法检测到它们。描方法通常无法检测到它们。3.4计算机网络病毒 3.4.1 计算机网络病毒的定义123.4.2 网络病毒的特点网络病毒的特点 1破坏性强破坏性强2传播性极强传播性极强3扩散面广扩散面广4传染速度快传染速度快5清除难度大清除难度大6传染方式多传染方式多3.4.2 网络病毒的特点 1破坏性强133.4.3 网络病毒的分类网络病毒的分类 1按类型分类按类型分类 目前流行的网络病毒从类型上主要分为木马病毒和蠕虫病毒：目前流行的网络病毒从类型上主要分为木马病毒和蠕虫病毒：（1 1）木木马马病病毒毒实实际际上上是是一一种种后后门门程程序序，他他常常常常潜潜伏伏在在操操作作系系统统中中监监视视用用户户的的各各种种操操作作，窃窃取取用用户户的的隐隐私私信信息息，如如QQQQ、游游戏戏账账号号，甚甚至至网网上上银行的账号和密码等。银行的账号和密码等。（2 2）蠕蠕虫虫病病毒毒是是一一种种典典型型的的网网络络病病毒毒，它它可可以以通通过过多多种种方方式式进进行行传传播播，甚甚至至是是利利用用操操作作系系统统和和应应用用程程序序的的漏漏洞洞主主动动进进行行攻攻击击，每每种种蠕蠕虫虫都都包包含含一一个个扫扫描描功功能能模模块块负负责责探探测测存存在在漏漏洞洞的的主主机机，在在网网络络中中扫扫描描到到存存在在该漏洞的计算机后就马上传播出去。该漏洞的计算机后就马上传播出去。这这点点也也使使得得蠕蠕虫虫病病毒毒危危害害性性非非常常大大，可可以以说说网网络络中中一一台台计计算算机机感感染染了了蠕蠕虫虫病病毒毒可可以以在在一一分分钟钟内内将将网网络络中中所所有有存存在在该该漏漏洞洞的的计计算算机机进进行行感感染染。由由于于蠕蠕虫虫发发送送大大量量传传播播数数据据包包，所所以以被被蠕蠕虫虫感感染染了了的的网网络络速速度度非非常常缓缓慢慢，被蠕虫感染了的计算机也会因为被蠕虫感染了的计算机也会因为CPU和内存占用过高而接近死机状态。和内存占用过高而接近死机状态。3.4.3 网络病毒的分类 1按类型分类142按传播途径分类按传播途径分类 网络病毒按照传播途径可分为邮件型病毒和漏洞型病毒：网络病毒按照传播途径可分为邮件型病毒和漏洞型病毒：（1 1）邮邮件件病病毒毒是是通通过过电电子子邮邮件件进进行行传传播播的的，病病毒毒将将自自身身隐隐藏藏在在邮邮件件的的附附件件中中并并伪伪造造虚虚假假信信息息欺欺骗骗用用户户打打开开该该附附件件从从而而感感染染病病毒毒，当当然然有有的的邮邮件件性性病病毒毒利利用用的的是是浏浏览览器器的的漏漏洞洞来来实实现现。这这时时用用户户即即使使没没有有打打开开邮邮件件中中的的病病毒毒附附件件而而仅仅仅仅浏浏览览了了邮邮件件内内容容，由由于于浏览器存在漏洞也会让病毒趁虚而入。浏览器存在漏洞也会让病毒趁虚而入。（2 2）漏漏洞洞病病毒毒。目目前前应应用用最最广广泛泛的的WindowsWindows操操作作系系统统存存在在着着非非常常多多的的漏漏洞洞。这这类类病病毒毒就就利利用用了了的的系系统统漏漏洞洞进进行行传传播播和和破破坏坏活活动动，漏漏洞洞型型病病毒毒则则更更加加可可怕怕，即即使使用用户户没没有有运运行行非非法法软软件件、没没有有打打开开邮邮件件浏浏览览，只只要要连连接接到到网网络络中中，漏漏洞洞型型病病毒毒就就会会利利用用操操作作系系统统的的漏漏洞洞进进入入客客户户机机。如如2004年年风风靡靡的的“冲冲击击波波”和和“震震荡荡波波”病病毒毒就就是是漏漏洞洞型型病病毒毒的的一一种种，他他们们使使全全世世界界网网络络计计算算机机的的瘫瘫痪痪，造成了巨大的经济损失。造成了巨大的经济损失。2按传播途径分类153.5计算机病毒的检测与预防计算机病毒的检测与预防 3.5.1 计算机病毒的表现计算机病毒的表现 1计算机病毒发作前的表现计算机病毒发作前的表现 2计算机病毒发作时的表现计算机病毒发作时的表现 3计算机病毒发作后的表现计算机病毒发作后的表现 3.5.2 3.5.2 计算机病毒的检测技术计算机病毒的检测技术 1计算机病毒检测技术计算机病毒检测技术 计计算算机机病病毒毒检检测测，从从技技术术上上可可分分为为指指令令特特征征检检测测、功功能能特特征征检检测和文件完整性检测三种。测和文件完整性检测三种。3.5计算机病毒的检测与预防 3.5.1 计算机病毒的162反病毒软件常用技术反病毒软件常用技术（1 1）病毒码扫描法）病毒码扫描法（2 2）加总比对法（）加总比对法（Check-sumCheck-sum）（3 3）人工智能陷阱）人工智能陷阱（4 4）软件模拟扫描法）软件模拟扫描法（5 5）VICEVICE（Virus Virus Instruction Instruction Code Code EmulationEmulation）先先知扫描法知扫描法（6 6）实时）实时I/OI/O扫描（扫描（Realtime I/O ScanRealtime I/O Scan）2反病毒软件常用技术173.5.3 计算机病毒的防范计算机病毒的防范 1 1计算机病毒的防治技术计算机病毒的防治技术 （1 1）计算机病毒的预防技术）计算机病毒的预防技术 （2 2）计算机病毒的检测技术）计算机病毒的检测技术 （3 3）计算机病毒的清除技术）计算机病毒的清除技术 （4 4）计算机病毒的免疫技术）计算机病毒的免疫技术 2 2计算机病毒的防范策略计算机病毒的防范策略 （1 1）提高防毒意识）提高防毒意识 （2 2）立足网络，以防为本）立足网络，以防为本 （3 3）多层防御）多层防御 （4 4）与网络管理集成）与网络管理集成 （5 5）在网关、服务器上防御）在网关、服务器上防御 3.5.3 计算机病毒的防范 1计算机病毒的防治技术 18精品课件精品课件！精品课件！19精品课件精品课件！精品课件！203 3企业信息系统防病毒方案企业信息系统防病毒方案 （1 1）病毒查杀能力）病毒查杀能力（2 2）对新病毒的反应能力）对新病毒的反应能力（3 3）病毒实时监测能力）病毒实时监测能力（4 4）快速、方便的升级）快速、方便的升级（5 5）智能安装、远程识别）智能安装、远程识别（6 6）管理方便，易于操作）管理方便，易于操作（7 7）对现有资源的占用情况）对现有资源的占用情况（8 8）系统兼容性）系统兼容性（9 9）软件的价格）软件的价格（1010）软件商的企业实力）软件商的企业实力3企业信息系统防病毒方案21