计算机病毒与黑客教学课件

第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -1-第第4 4章章 计算机病毒与黑客计算机病毒与黑客本章教学要求：本章教学要求：（1）掌握计算机病毒的定义、特征，）掌握计算机病毒的定义、特征，(3.1)（2）了解病毒的传播途径、类型；）了解病毒的传播途径、类型；(3.1)（3）了解计算机病毒表现现象）了解计算机病毒表现现象(3.1)（4）掌握木马原理；）掌握木马原理；(3.4)（5）了解木马的启动方式；）了解木马的启动方式；(3.4)（6）了解特木马隐藏的基本方法；）了解特木马隐藏的基本方法；(3.4)（7）了解特洛伊木马查杀方法；）了解特洛伊木马查杀方法；(3.4)（8）掌握计算机病毒与黑客的防范基本方法。）掌握计算机病毒与黑客的防范基本方法。(3.5)第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -2-4.1 计算机病毒的概述计算机病毒的概述4.1.1 计算机病毒的定义计算机病毒的定义中华人民共和国计算机信息系统安全保护条例对病毒定义表明了计算机病毒就是具有破坏性的计算机程序。4.1.2计算机病毒的特征计算机病毒的特征(思考题思考题1.1)1破坏性。2隐蔽性。3传染性。病毒通过自身复制来感染正常文件.第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -3-计算机病毒的破坏性、隐蔽性、传染性是计算机病毒的基本特征。4潜伏性。5可触发性。6不可预见性。4.1.3计算机病毒的产生原因计算机病毒的产生原因1软件产品的脆弱性是产生计算机病毒根本的技术原因2社会因素是产生计算机病毒的土壤 第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -4-4.1.4计算机病毒的传播途径计算机病毒的传播途径计算机病毒主要是通过复制文件、发送文件、运行程序等操作传播的。通常有以下几种传播途径：1移动存储设备包括软盘、硬盘、移动硬盘、光盘、磁带等。硬盘是数据的主要存储介质，因此也是计算机病毒感染的主要目标。2网络目前大多数病毒都是通过网络进行传播的，破坏性很大。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -5-4.1.5 计算机病毒的分类计算机病毒的分类我们把计算机病毒大致归结为7种类型。1引导型病毒。主要通过感染软盘、硬盘上的引导扇区或改写磁盘分区表（FAT）来感染系统。早期的计算机病毒大多数属于这类病毒。2文件型病毒。它主要是以感染COM、EXE等可执行文件为主，被感染的可执行文件在执行的同时，病毒被加载并向其它正常的可执行文件传染或执行破坏操作。文件型病毒大多数也是常驻内存的。3宏病毒。宏病毒是一种寄存于微软Office的文档或模板的宏中的计算机病毒，是利用宏语言编写的。由于Office软件在全球存在着广泛的用户，所以宏病毒的传播十分迅速和广泛。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -6-4网页病毒。网页病毒一般也是使用脚本语言将有害代码直接写在网页上，当浏览网页时会立即破坏本地计算机系统，轻者修改或锁定主页，重者格式化硬盘，使你防不胜防。5混合型病毒。兼有上述计算机病毒特点的病毒统称为混合型病毒，所以它的破坏性更大，传染的机会也更多，杀毒也更加困难。以上病毒为通常意义上的普通病毒 第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -7-6蠕虫病毒。（思考题（思考题2.1）蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系。一般认为：蠕虫是一种通过网络传播的恶性病毒，（1）蠕虫病毒与一般的计算机病毒不同，它不采用将自身拷贝附加蠕虫病毒与一般的计算机病毒不同，它不采用将自身拷贝附加到其它程序中的方式来复制自己，也就是说蠕虫病毒不需要将其自到其它程序中的方式来复制自己，也就是说蠕虫病毒不需要将其自身附着到宿主程序上。身附着到宿主程序上。（2）蠕虫即可独自传播。）蠕虫即可独自传播。蠕虫病毒主要通过网络传播，具有极强的蠕虫病毒主要通过网络传播，具有极强的自我复制能力、传播性和破坏性。自我复制能力、传播性和破坏性。最危险的是，蠕虫可大量复制。最危险的是，蠕虫可大量复制。例如，例如，蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本，联系人的计算机蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本，联系人的计算机也将执行同样的操作，结果造成多米诺效应（网络通信负担沉重），业务网也将执行同样的操作，结果造成多米诺效应（网络通信负担沉重），业务网络和整个络和整个 Internet 的速度都将减慢。一旦新的蠕虫被释放，传播速度将非常的速度都将减慢。一旦新的蠕虫被释放，传播速度将非常迅速。不仅使网络堵塞，还使您（和其他人）花费两倍于以往的时间才能看迅速。不仅使网络堵塞，还使您（和其他人）花费两倍于以往的时间才能看到到 Internet 网页。网页。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -8-蠕虫病毒的传播与防范蠕虫病毒的传播与防范(思考题思考题2.2)蠕虫病毒是传播最快的病毒种类之一，传播速度最快的蠕虫可以在几分钟之内传遍全球，2019年的“冲击波”病毒、2019年的“震荡波”病毒、2019年上半年的“性感烤鸡”病毒都属于蠕虫病毒。目前危害比较大的蠕虫病毒主要通过三种途径传播危害比较大的蠕虫病毒主要通过三种途径传播：系统漏洞、电子邮件和聊天软件。（1）、）、利用系统漏洞传播的蠕虫病毒：利用系统漏洞传播的蠕虫病毒：往往传播速度极快，如利用微软04-011漏洞的“震荡波”病毒，三天之内就感染了全球至少50万台计算机。防止系统漏洞类蠕虫病毒的侵害，最好的办法是打好相应的系统补防止系统漏洞类蠕虫病毒的侵害，最好的办法是打好相应的系统补丁丁，可以应用瑞星杀毒软件的“漏洞扫描”工具，这款工具可以引导用户打好补丁并进行相应的安全设置，彻底杜绝病毒的感染。（）、通过电子邮件传播的蠕虫病毒）、通过电子邮件传播的蠕虫病毒：是近年来病毒作者青睐的方式之一，像“恶鹰”、“网络天空”等都是危害巨大的邮件蠕虫病毒。这样的病毒往往会频繁大量的出现变种，用户中毒后往往会造成数据丢失、个人信息失窃、系统运行变慢等。防防范邮件蠕虫的最好办法范邮件蠕虫的最好办法，就是提高自己的安全意识，不要轻易打开带有附件的电子邮，就是提高自己的安全意识，不要轻易打开带有附件的电子邮件。件。另外，启用瑞星杀毒软件的“邮件发送监控”和“邮件接收监控”功能，也可以提高自己对病毒邮件的防护能力。（）、通过聊天软件传播的蠕虫病毒通过聊天软件传播的蠕虫病毒从2019年起，MSN、QQ等聊天软件开始成为蠕虫病毒传播的途径之一。“性感烤鸡”病毒就通过MSN软件传播，在很短时间内席卷全球，一度造成中国大陆地区部分网络运行异常。对于普通用户来讲，防范聊防范聊天蠕虫的主要措施之一，就是提高安全防范意识，对于通过聊天软件发送的任何文件天蠕虫的主要措施之一，就是提高安全防范意识，对于通过聊天软件发送的任何文件，都要经过好友确认后再运行；不要随意点击聊天软件发送的网络链接。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -9-5特洛伊木马型病毒。特洛伊木马型病毒实际上就是黑客程序。（思考题3.1)（1）一般不对计算机系统进行直接破坏，而是通（过网一般不对计算机系统进行直接破坏，而是通（过网络控制其它计算机，包括窃取秘密信息，占用计算机系统络控制其它计算机，包括窃取秘密信息，占用计算机系统资源等现象。资源等现象。（2）程序本身并不具备主动传播的特性，因而有时不认为是病毒。程序本身并不具备主动传播的特性，因而有时不认为是病毒。最近的特洛伊木马都以电子邮件的形式传播。最近的特洛伊木马都以电子邮件的形式传播。（3）木马程序通常并不感染文件，木马一般会修改注册表的启动木马程序通常并不感染文件，木马一般会修改注册表的启动项，或者修改打开文件的关联而获得运行机会。项，或者修改打开文件的关联而获得运行机会。正是由于这个特点，正是由于这个特点，使得我们了解某个木马的入侵特征后，使得我们了解某个木马的入侵特征后，可以相对容易地用手工方法将可以相对容易地用手工方法将其清除。其清除。杀毒软件清除木马的方法一般就是删除木马生成的文件，因此在你杀毒软件清除木马的方法一般就是删除木马生成的文件，因此在你使用杀毒软件扫描后，发现最终是删除了这个带毒文件，也不用感到使用杀毒软件扫描后，发现最终是删除了这个带毒文件，也不用感到奇怪。这个程序本来就不是系统的正常文件，把它删除不会对系统产奇怪。这个程序本来就不是系统的正常文件，把它删除不会对系统产生任何不良影响。生任何不良影响。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -10-4.1.6 4.1.6 计算机病毒的表现现象计算机病毒的表现现象 (思考题思考题1.2)1.2)1平时运行正常的计算机突然经常性无缘无故地死机。2运行速度明显变慢。3打印和通讯发生异常。4系统文件的时间、日期、大小发生变化。5磁盘空间迅速减少。6收到陌生人发来的电子邮件。7自动链接到一些陌生的网站。8计算机不识别硬盘。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -11-9操作系统无法正常启动。10部分文档丢失或被破坏。11网络瘫痪。4.1.7 4.1.7 计算机病毒程序一般构成计算机病毒程序一般构成病毒程序一般由三个基本模块组成，即安装模块、传染模块和破坏模块。1安装模块安装模块病毒程序必须通过自身的程序实现自启动并安装到计算机系统中，不同类型的病毒程序会使用不同的安装方法。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -12-2传染模块传染模块传染模块包括三部分内容：（1）传染控制部分。病毒一般都有一个控制条件，一旦满足这个条件就开始感染。例如，病毒先判断某个文件是否是.EXE文件，如果是再进行传染，否则再寻找下一个文件；（2）传染判断部分。每个病毒程序都有一个标记，在传染时将判断这个标记，如果磁盘或者文件已经被传染就不再传染，否则就要传染了；第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -13-（3）传染操作部分。在满足传染条件时进行传染操作。3破坏模块破坏模块计算机病毒的最终目的是进行破坏，其破坏的基本手段就是删除文件或数据。破坏模块包括两部分：一是激发控制，另一个就是破坏操作。对每一个病毒程序来说，安装模块、传染模块是必不可少的，而破坏模块可以直接隐含在传染模块中，也可以单独构成一个模块。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -14-黑客概述黑客概述一、什么是黑客一、什么是黑客黑客是英文“hacker”的音译，源于英文动词hack，意为劈砍，引申为干一件非常漂亮的工作。现在黑客一般定义为利用技术手段进入其权限以外的计算机系统的人。有一点注意到，进入计算机系统做了些什么？这里并没有说明，因此黑客本身是一个中性词，如果做了破坏，可能就是另外一类人。如果不作区分，不掌握黑客的特征，就会误用这个词。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -15-二、典型事例二、典型事例2019年5月，美国众议院、白宫和美国陆军网络及数十个政府网站被黑客攻陷。同时，因北约导弹袭击中国驻南斯拉夫联盟大使馆，中国黑客群体出击美国网站以示抗议。2000年2月，在三天时间内，黑客使美国数家顶级网站雅虎、亚马逊、电子港湾、CNN陷入瘫痪。黑客使用了“拒绝服务攻击”的攻击手段，即用大量无用信息阻塞网站的服务器，使其不能提供正常的服务。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -16-三、国内黑客分类三、国内黑客分类红客：略带政治色彩与爱国主义情客的黑客。很多时候此类黑客的政治热情高于对信息安全技术的热情。蓝客：更热衷于纯粹的互联网安全技术，对于其它问题不关心。文化黑客：完全追求黑客文化原始本质精神、不关心政治，对技术也不疯狂追棒。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -17-4.5 特洛伊木马特洛伊木马4.5.1 黑客程序与特洛伊木马黑客程序与特洛伊木马特洛伊木马实际上是一种典型的黑客程序，它是一种基于远程控制的黑客工具，现在已成为黑客程序的代名词。将黑客程序形容为特洛伊木马就是要体现黑客程序的隐蔽性和欺骗性。比较著名的木马程序有BackOrifice（BO）、Netspy（网络精灵）、Glacier（冰河）、广外女生等，这些木马程序大多可以在网上下载下来直接使用。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -18-4.5.2 4.5.2 木马的基本原理木马的基本原理(思考题思考题3.2)3.2)木马本质上只是一个网络客户/服务程序（Client/Server），一般有两个部分组成：一个是服务端程序，另一个是客户端程序。如果某台计算机中安装了黑客服务器程序，黑客就可以利用自己的客户端进入这台计算中，通过客户端达到控制这台计算机的目的 第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -19-4.5.4 特洛伊木马端口特洛伊木马端口 当木马已潜入某台计算机的时候,黑客可以通过客户端程序命令木马执行任务了,木马打开一个或者几个端口,黑客所使用的客户端程序就可以进入木马打开的端口和木马进行通信。每种木马所打开的端口不同，根据端口号可以识别不同的木马。大多数木马使用的端口号在1024以上。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -20-4.5.5 特洛伊木马的隐藏特洛伊木马的隐藏木马为了更好地隐藏自己，通常会将自己的位置放在c:windows和c:windowssystem32等系统目录中。木马的服务程序命名也很狡猾，通常使用和系统文件相似的文件名。有的木马具有很强的潜伏能力，表面上的木马程序被发现并被删除后，后备的木马在一定的条件下会恢复被删除的木马。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -21-4.5.6 特洛伊木马分类特洛伊木马分类1主动型木马主动型木马 主动型木马原理图主动型木马原理图 第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -22-2反弹型木马反弹型木马 反弹型木马原理图反弹型木马原理图黑客将安放在内部网络的反弹木马定时地连接外部攻击的主机，由于连接是从内部发起的，防火墙无法区分是木马的连接还是合法的连接。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -23-3嵌入式木马嵌入式木马嵌入式木马是黑客将木马程序嵌入到己知的网络通信程序中（如IE浏览器、操作系统等），利用己知的网络通信程序来转发木马控制指令，躲过防火墙检测。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -24-4.5.7 特洛伊木马查杀特洛伊木马查杀 木马的查杀可以采用自动和手动两种方式。最简单的删除木马方法是安装杀毒软件或一些专杀木马的软件。由于杀毒软件的升级要慢于木马的出现，因此学会手工查杀也是非常必要。在手工删除木马之前，最重要的一项工作是备份注册表，防止系统崩溃，备份你认为是木马的文件。如果不是木马就可以恢复，如果是木马就可以对木马进行分析。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -25-1查看注册表查看注册表在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion和HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“Run”开头的键值名有没有可疑的文件名。2检查启动组检查启动组启动组对应的文件夹为：C:windowsstartmenuprogramsstartup，要经常检查启动组中是否有异常的文件。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -26-3检查系统配置文件检查系统配置文件检 查 Win.ini、System.ini、Autoexec.bat、Winstart.bat等系统配置文件。现在修改System.ini中Shell值的情况要多一些，如果在System.ini中看到：Shell=Explorer.exe wind0ws.exe时，这 个wind0ws.exe有可能就是木马程序。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -27-4查看端口与进程查看端口与进程使用Windows本身自带的netstat-an命令就能查看到与本机建立连接的IP以及本机侦听的端口。也可以使用ActivePorts工具监视计算机所有打开的TCP/IP/UDP端口，并可以看到打开端口所对应的程序所在的路径等。如果发现有可疑的端口开放，可以先记下这个端口号，然后按下“CTRL+ALT+DEL”，进入“任务管理器”，就可看到系统正在运行的全部进程。也可以使用进程查看器Prcview或Winproc工具来查看系统进程。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -28-5查看目前运行的服务查看目前运行的服务服务也是很多木马用来保持自己在系统中处于运行状态的方法之一。使用“netstart”命令来查看系统中有哪些服务在开启，如果发现了不是自己开放的服务，我们可以停止并禁用它。6检查系统帐户检查系统帐户黑客也可能在计算机中潜伏一个账户来控制你的计算机。他们采用的方法就是激活一个系统中的很少使用的默认账户，然后把这个账户的权限提升为管理员权限，通过这个账户控制你的计算机。第第4 4章章 计算机病毒与黑客计算机病毒与黑客 -29-4.6 计算机病毒与黑客的防范计算机病毒与黑客的防范(思考题思考题1.3)1安装防病毒和防火墙软件并及时更新病毒库2.不要打开来历不明的电子邮件3插入可移动存储介质时先对其进行病毒扫描4不要从不可靠的网站下载任何软件5使用*.txt等形式的文档6.卸载WindowsScriptingHost7及时更新操作系统 8备份重要资料9做好密码管理工作END