计算机病毒简史--课件

计算机病毒简介A b r i e f i n t r o d u c t i o n o f C o m p u t e r V i r u s01ppt课件1 1发展历程2 2基本概念3 3分类简介4 4防治技术主要内容2ppt课件0101发展历程d e v e l o p m e n t h i s t o r y3ppt课件上世纪40年代，克劳斯拉克纳尔是哥伦比亚大学地球工程中心的教授,他还在洛斯阿拉莫斯国家实验室工作时，和朋友正在喝啤酒聊天如何解决全球变暖问题？起源：一个关于串啤、环保和学霸的故事4ppt课件 他们打算把空气中的二氧化碳转变成碳酸钙石灰石、汉白玉、白垩，都是这种东西。从空气中提取二氧化碳然后变成固体的工作量和所需要的资源都是惊人的，不能指望有人投资或者国家拨款。一个全自动的转化过程。假设一台机器。它能够复制自身。它可以把太阳能转化为所需的电能。它可以很容易地获得制造它的原料。这像是一个细胞一样不停地分裂，而无穷无尽的太阳能将会让它们不停地繁殖下去，直到被制止为止。太阳能不是问题，而一台机器所需要的原料无非是铁、铜、铝、硅、碳这样的常见元素罢了，这些东西遍地都是，只要提取出来就行。只有一个问题：怎样让机器自我复制？这是大数学家迪尔卡都没有解决的问题！5ppt课件约翰冯诺依曼(19031957）原籍匈牙利，布达佩斯大学数学博士。20世纪最重要的数学家之一，在现代计算机、博弈论、核武器和生化武器等领域内的科学全才之一，被后人称为“计算机之父”和“博弈论之父”。第二次世界大战期间为第一颗原子弹的研制作出了贡献。为研制电子数字计算机提供了基础性的方案。晚年，研究自动机理论，著有对人脑和计算机系统进行精确分析的著作计算机与人脑。主要著作有量子力学的数学基础（1926）、计算机与人脑（1958）、经典力学的算子方法、博弈论与经济行为（1944）、连续几何（1960）等。6ppt课件冯诺依曼认为，任何能够自我繁殖的系统，都应该同时具有两个基本功能。1通用构造器它必须能够构建某一个组成元素和结构与自己一致的下一代。2描述器它需要能够把对自身的描述传递给下一代。这样，只要有合适的原料，通用构造器就可以根据描述器的指示，生产出下一台机器，并且把描述的信息也传递给这台新机器。随后，新机器启动，再进入下一个循环，这种自增殖系统，称之为“冯诺依曼机器人”7ppt课件奥克松斯计划克劳斯拉克纳尔和克里斯托弗文特打算按照冯诺依曼的思路开展他们的工作，他们给这个项目起名叫奥克松斯（Auxons），这是从希腊语的“auxein”借过来的，意思是“成长”。他们给最初的原型机安装了高温熔炉用来获取需要的金属原料，并且打算把它扔到沙漠里面去。在那里，奥克松斯可以获得大量的原料和能量，并且不会有人来打扰。虽然失败了，也没有原理图遗留下来，但是在我的想法中，奥克松斯看起来应该跟WallE差不多8ppt课件奥克松斯计划虽然失败了，但是冯先生成功了，他1949年以TheoryandOrganizationofComplicatedAutomata为题的一场在伊利诺伊大学的演讲，后改以Theoryofself-reproducingautomata为题出版。冯诺伊曼在他的论文中描述一个计算机程序如何复制其自身。9ppt课件上世纪60年代初，贝尔实验室的一群小伙子们，在无聊的工作之余开始他们的炫技游戏，一不小心开创了两个先河。雏 形：计 算 机 游 戏 和 病 毒 双 料 的 祖 师 爷10ppt课件 60年代，贝尔实验室三个才二十多岁、华横溢的年轻人道格拉斯麦克利、维克特维索斯基以及罗伯特莫里斯，按照冯氏理论开始了他们的游戏历程。游戏双方各写一套程序，输入同一部电脑中，这两套程序在电脑的内存中互相追杀对方，有时它们会设下一些关卡，有时会停下来自行修理（重新写）被对方破坏的几行指令；当它被困时，也可以把自己复制一次，逃离险境。因为当时使用磁芯作为存储设备，所以该游戏又称为“磁芯大战”。11ppt课件直到上世纪70-80年代，计算机病毒这个名字，才被开发出来并广为人知，在这里一大群文科生功不可没。以 毒 之 名：咱 们 文 科 生 有 力 量12ppt课件1970年代，雷恩在P1的青春一书中构思了一种可以自我复制，利用通信进行传播的计算机程序，并第一次称之为“计算机病毒”。大卫杰洛德（DavidGerrold）的WhenH.A.R.L.I.E.wasOne，描述了一个叫“病毒”的程序和与之对战的叫“抗体”的程序；约翰布鲁勒尔（JohnBrunner）的小说震荡波骑士（ShakewaveRider），描述了一个叫做“磁带蠕虫”、在网络上删除数据的程序。13ppt课件弗雷德科恩1983年11月3日，弗雷德科恩在UNIX系统下，编写了一个会自动复制并在计算机间进行传染从而引起系统死机的小程序。该程序对电脑并无害处，潜伏于更大的合法程序当中，通过软盘(当前出售的电脑多不再用)传到电脑上。一些电脑专家也曾警告，电脑病毒是有可能存在的，但科恩是第一个真正通过实践记录电脑病毒的人。1984年，将这些程序以论文发表，在其博士论文给出了电脑病毒的第一个学术定义，这也是今天公认的标准，从而引起了轰动。14ppt课件计算机病毒是一种计算机程序，它通过修改其它程序把自身或其演化体插入它们中，从而感染它们。同时可以通过数学方法严格证明，这样的病毒能够在任何允许信息共享的系统中传播，不论是否有安全技术。算机病毒不是利用操作系统的错误或缺陷的程序。它是正常的用户程序，它仅使用那些每天都使用的正常操作。弗雷德科恩15ppt课件 1984年，科学美国人（又称环球科学）月刊的专栏作家杜特尼在5月刊号写了第一篇讨论“磁芯大战”的文章，并且只要寄上两块美金，任何读者都可以收到有关写程序的纲领，在自己家的电脑中开辟战场。在1985年3月份的科学美国人里，杜特尼再次讨论“磁芯大战”和病毒。在文章的开头他便说：“当去年5月有关磁芯大战的文章印出来时，我并没有想过我所谈论的是那么严重的题目”文中多次提到“病毒”这个名称。16ppt课件“意大利的电脑程序员利用感染磁碟的方式使其它电脑受到破坏性程序的感染。就这样，潘多拉之盒被打开了，许多程序员都了解了病毒的原理，进而开始尝试编制这种具有隐蔽性、攻击性和传染性的特殊程序。病毒从隐秘走向公开，先是利用磁碟，然后是利用网络，迅速在全世界范围内扩散开来，成为电脑用户的头号敌人。”杜特尼17ppt课件上世纪70-80年代，出现了很多病毒或者疑似病毒的计算机程序，除了磁芯大战之类鼻祖型雏形只为，谁是第一个病毒一直存在着很大的争议。灰 色 领 奖 台：到 底 谁 才 是 第 一 名18ppt课件C r e e p e r时间：1971开发者：罗伯特托马斯简介：通过阿帕网传播，显示“我是Creeper，有本事来抓我呀!”。Creeper在网络中移动，从一个系统跳到另外一个系统并自我复制。E l k C l o n e r时间：1982开发者：里奇.斯克伦塔简介：通过软盘传播,并感染了成千上万的机器，但它是无害的：它只是在用户的屏幕上显示一首诗，其中有两句是这样的：“它将进入你所有的磁盘/它会进入你的芯片。”C-B R A I N时间：1986开发者：基斯坦兄弟巴斯特和阿姆捷特 简介：他们在当地经营一家贩卖个人计算机的商店，为了防止他们的软件被任意盗拷而编写。只要有人盗拷他们的软件，C-BRAIN就会发作，并耗尽磁盘空间。19ppt课件在财政部的计算机无法正常使用，经技术论证确定为C-BRAIN系列变种病毒造成的，这是中国本土发现的最早的计算机病毒。1988：登陆中国20ppt课件以“石头-2”为代表的新型病毒开始大规模爆发，不同于以往以软盘为感染对象的老战友，新型的病毒编写技术更成熟、代码更复杂，由于硬盘是“长期驻留”在计算机上的大容量高速存储设备，从此之后复制、传播更加便利对“体积”的要求也放宽了。1 9 8 9：开 辟 第 二 战 场 转 战 硬 盘21ppt课件在此之前，计算机病毒均为引导型病毒，它们是通过磁盘到磁盘的形式进行感染的，随着“金蝉（1992）”等复合型病毒的出现，实现了从文件到文件的感染进一步拓宽了计算机病毒的感染途径，从表现上看也更像生物病毒入侵细胞的过程。1990：完 全 体 形 态 感 染 可 执 行 文 件22ppt课件项目引导型文件型感染位置引导扇区任意可执行文件共存性差好大小限制引导扇区大小存储大小交叉感染难度高低实现功能少多查杀难度较小大传染能力弱（仅能感染引导盘）强病毒危害大极大制作难度极高较低23ppt课件海湾战争期间，美国通过芯片植入式病毒入侵了伊拉克防控网络，造成了伊防控系统全线瘫痪超过12小时虽然该嵌入式后门是否能成为计算机病毒尚有争议，但很多人仍然认为，这是计算机病毒的第一次战场处女秀。1990：新式武器计算机病毒首次用于战争24ppt课件1990年，美国获悉一个重要情报：伊拉克将从法国购买一种用于防空系统的新型电脑打印机，准备通过约旦首都安曼偷运回巴格达。于是，美国间谍买通了安曼机场的守卫人员，运送打印机的飞机一降落到安曼，他就偷偷溜进机舱，用一套带有计算机病毒的同类芯片换下了电脑打印机中的芯片。伊拉克人毫无察觉，将带有病毒芯片的电脑打印机安装到了防空系统上。海湾战争爆发后，美国人通过无线网络激活了电脑打印机芯片内的计算机病毒，病毒侵入伊拉克防空系统的电脑网络中，使整个系统陷入瘫痪。美国由此取得了海湾战争中的关键性胜利。这是世界上首次将计算机病毒用于实战并取得较好效果的战例，从而也使网络空间战初现端倪。25ppt课件随着病毒的泛滥，杀毒软件行业兴起，早期的安全专家们使用“搜索匹配”的方法识别病毒，他们分析各类病毒源代码，并生成“识别码”以此来判断某一文件是否为病毒。但1995年之后随着“幽灵”、“VCL”等病毒的诞生，识别病毒已经越来越难了。1995：变种时代到来可自变异的病毒问世26ppt课件在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成，当生成器的生成结果为病毒时,就产生了这种复杂的“病毒生成器”，而变体机就是增加解码复杂程度的指令生成机制。直到现在指令“加花”依然是病毒免杀的最常见手段27ppt课件1998年KV300+识别库大小630 K今天 360识别库大小607 M28ppt课件1999年4月26日，CIH病毒1.2版首次大规模爆发，全球超过六千万台电脑受到了不同程度的破坏。这是第一个破坏硬件系统的恶性病毒。由原集嘉通讯公司（技嘉子公司）手机研发中心主任工程师陈盈豪在其于台湾大同工学院念书期间制作。1998：从虚幻到现实 CIH病毒大爆发29ppt课件2000年之后，种类繁多，数量繁多的病毒被开发出来。病毒的编写不再是炫技和个人爱好，逐渐出现了产业化的倾向，以营利为目的的地下病毒工厂逐渐繁荣起来千 禧 年：蓬 勃 发 展 的 新 世 纪30ppt课件2000Kakworm，爱虫，Apology-B，Marker，Pretty，Stages-A，Navidad，Ska-Happy99，WM97/Thus，XM97/Jin红色结束符、爱情后门、FUNLOVE、QQ传送者、冲击波杀手、罗拉、求职信、尼姆达II、QQ木马、CIH50179个，其中木马、蠕虫、黑客病毒占其中的91%，以盗取用户有价账号的木马病毒（如网银、QQ、网游）为主，病毒多达2000多种20032005中国大陆地区主要流行计算机病毒31ppt课件伊朗铀浓缩的根基是上世纪60年代末，由欧洲设计IR-1离心机，这种老旧的设计，精度低、稳定性差、寿命短，所以伊朗采用了离心机的冗余策略，阵列中每个离心机组都有在线备份，即一个坏掉，可以马上切换到另外一个使其工作，并使用基于西门子的S7-417级联保护器进行控制。2010年震网病毒入侵了这些保护器，并采用了来自好莱坞的策略记录21秒传感器数据，然后循环播放这样在监控中心就不会发现离心机状态变化，当离心机异常时也不会予以调整。最终导致整个离心机阵列寿命大幅度缩短。直至该病毒被发现，伊朗核工业被拖慢了最少两年。32ppt课件B A D U S B在2014年美国黑帽大会上，柏林SRLabs的安全研究人员和独立安全研究人员KarstenNohl展示了他们称为“BadUSB的攻击方法，这种攻击方法让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当危险的状态。从传统意义讲，当你在电脑中插入一张CD/DVD光盘，或者插入一个USB设备时，可以通过自动播放来运行一个包含恶意的文件，不过自动播放功能被关闭时，autorun.inf文件就无法自动执行你的文件了。然而通过TEENSY，你可以模拟出一个键盘和鼠标，当你插入这个定制的USB设备时，电脑会识别为一个键盘，利用设备中的微处理器，与存储空间，和编程进去的攻击代码，就可以向主机发送控制命令，从而完全控制主机，无论自动播放是否开启，都可以成功。33ppt课件2017年5月，一种名为“想哭”的勒索病毒席卷全球，在短短一周时间里，上百个国家和地区受到影响。据美国有线新闻网报道，截至2017年5月15日，大约有150个国家受到影响，至少30万台电脑被病毒感染。后续又陆续有该病毒的后续版本被发现，如安卓版、免疫失效升级版，NAS工具箱其他病毒也陆续被公布出来。34ppt课件总 量：2.7亿手机病毒：2670种平均感染率：730%带 毒 率：8 2%累计损失：2100亿男 女 比 例-8:12017年6月瑞星统计数据35ppt课件0202基本概念 basic concepts36ppt课件“编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。中华人民共和国计算机信息系统安全保护条例37ppt课件感染单元破坏单元保护单元一个典型的计算机病毒主要由三部分构成感染单元：通用构造器+通用描述器保护单元：提供隐藏自身、软件狗、反杀、反AV等功能破坏单元：触发器和主要破坏活动执行单元，提供盗取密码、破坏文件、远程控制、加密分区等功能。38ppt课件计 算 机 病 毒 主 要 危 害39ppt课件1繁殖性传染性潜伏性隐蔽性破坏性触发性23456计 算 机 病 毒 主 要 特 点40ppt课件1计算机病毒可以像生物病毒一样进行繁殖，当正常程序运行的时候，它也进行运行自身复制，是否具有繁殖、感染的特征是判断某段程序为计算机病毒的首要条件。繁繁殖殖性性41ppt课件2一旦病毒被复制或产生变种，其速度之快令人难以预防。计算机病毒可通过各种可能的渠道，如：软盘、硬盘、移动硬盘、计算机网络去传染其他的计算机，是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。传传染染性性42ppt课件3计算机病毒具有很强的隐蔽性，有的可以通过病毒软件检查出来，有的根本就查不出来，有的时隐时现、变化无常，这类病毒处理起来通常很困难。流行病学有一个专门的指标来衡量一种流行病的危害范围，那就在在首例患者发病前该流行病的潜伏期，真正可怕的病毒往往不是“含笑半步癫”型的突然死亡，而是“润物细无声”型的广泛流传。潜潜伏伏性性43ppt课件4早期计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏，通常表现为：增、删、改、移。现代新型病毒有一类以“磁碟机”为代表的下载机型病毒，它本身不会破坏目标系统而是去下载其他病毒文件或降低目标系统安全防护等级。潜潜伏伏性性44ppt课件5计算机中毒后，可能会导致正常的程序无法运行，把计算机内的文件删除或受到不同程度的损坏。如数据损毁、丢失、引导扇损坏、BIOS损坏、硬件环境破坏等。破坏性也是现代计算机病毒和传统“炫技游戏”的分界点。破破坏坏性性45ppt课件6编制计算机病毒的人，一般都为病毒程序设定了一些触发条件，例如，系统时钟的某个时间或日期、系统运行了某些程序等。一旦条件满足，计算机病毒就会“发作”，使系统遭到破坏。有的病毒为了防止“误伤友军”也会设置逆触发开关，当计算机满足某个条件时自行终止感染。触触发发性性46ppt课件常用术语47ppt课件1是指能够影响计算机操作系统、应用程序和数据的完整性，可用性、可控性和保密性的计算机程序或代码。主要包括计算机病毒、蠕虫、木马程序等。如：黑客在注册信息的电子邮箱或者个人主页等中插入类似代码，其中value是值，前面的request就是获取这个值，当知道了数据库的URL，就可以利用本地一张网页进行连接得到Webshell。（不知道数据库也可以，只要知道这个文件被插入到哪一个ASP文件里面就可以了。）恶恶 意意 代代 码码48ppt课件2特洛伊木马（简称木马），是指通过特定的程序（木马程序）来控制另一台计算机。木马通常有两个可执行程序：一个是控制端，另一个是被控制端。木马这个名字来源于古希腊传说（荷马史诗中木马计的故事，Trojan一词的特洛伊木马本意是特洛伊的，即代指特洛伊木马，也就是木马计的故事）。“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。木马病毒的产生严重危害着现代网络的安全运行。木木马马49ppt课件1是最原始的木马程序。主要是简单的密码窃取，通过电子邮件发送信息等，具备了木马最基本的功能。2在技术上有了很大的进步，冰河是中国木马的典型代表之一3主要改进在数据传递技术方面，出现了ICMP等类型的木马，利用畸形报文传递数据，增加了杀毒软件查杀识别的难度4 在进程隐藏方面有了很大改动，采用了内核插入式的嵌入方式，利用远程插入线程技术，嵌入DLL线程。或者挂接PSAPI，实现木马程序的隐藏，甚至在Windows NT/2000下，都达到了良好的隐藏效果。灰鸽子和蜜蜂大盗是比较出名的DLL木马。5驱动级木马多数都使用了大量的Rootkit技术来达到在深度隐藏的效果，并深入到内核空间的，感染后针对杀毒软件和网络防火墙进行攻击，可将系统SSDT初始化，导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS，并且很难查杀。6随着身份认证UsbKey和杀毒软件主动防御的兴起，黏虫技术类型和特殊反显技术类型木马逐渐开始系统化。前者主要以盗取和篡改用户敏感信息为主，后者以动态口令和硬证书攻击为主。PassCopy和暗黑蜘蛛侠是这类木马的代表50ppt课件3指可以通过网络等途径将自身的全部代码或部分代码通过网络复制、传播给其它的网络节点的程序。它不同于计算机病毒，不需要文件宿主。蠕虫由于通过网络大量复制传播，可造成网络阻塞，甚至瘫痪。最具有代表性的应该是熊猫烧香。蠕蠕虫虫51ppt课件4脚本病毒是主要采用脚本语言设计的计算机病毒。现在流行的脚本病毒大都是利用JavaScript和VBScript脚本语言编写。实际上在早期的系统中，病毒就己经开始利用脚本进行传播和破坏但并不常见。在脚本应用无所不在的今天，脚本病毒却成为危害最大、最为广泛的病毒，特别是当它们和一些传统的进行恶性破坏的病毒相结合时其危害就更为严重了。由于脚本语言的易用性，并且脚本在现在的应用系统中特别是Internet应用中占据了重要地位，脚本病毒也成为互联网病毒中最为流行的病毒之一。脚脚 本本 病病 毒毒52ppt课件5高级持续性威胁（AdvancedPersistentThreat，APT），是指组织（特别是政府）或者小团体，使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式，威胁着企业的数据安全。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性、专业性和目的性。A AP PT T53ppt课件6僵尸网络Botnet是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。之所以用僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。僵僵 尸尸 网网 络络54ppt课件0303分类简介 C l a s s i f i e d i n t r o d u c t i o n55ppt课件计算机病毒分类方法很多，下面按照几种主流分类方法进行分类介绍。56ppt课件1破 坏 性1无害除了传染时减少磁盘的可用空间外，对系统没有其它影响一般为代码编写失败，或逻辑错误的产物。2无危险仅仅是减少内存、显示图像、发出声音及同类影响小球、石头、雨点、C-BRAIN，等早期以恶作剧为目的的病毒3危险在计算机系统操作中造成严重的错误，但可以清除又称良性病毒，期编写方式为将自身嵌入目标位置而不覆盖目标内容。4极危险删除程序、破坏数据、盗取信息AVKILLER、密码大盗、灰鸽子、广外女生、WannCRY、大白熊等。5灾难对物理设备造成巨大影响、引发灾难性事件CIH、震网等。57ppt课件2宿主1引导型感染启动扇区（Boot）和硬盘的系统引导扇区（MBR）2文件型感染计算机中的文件（如：COM，EXE，DOC等）3蠕虫型通过计算机网络传播感染网络中的可执行文件。4混合型具有不止一个依存媒介的病毒58ppt课件引导型引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。此种病毒利用系统引导时，不对主引导区的内容正确与否进行判别的缺点，在引导型系统的过程中侵入系统，驻留内存，监视系统运行，待机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。优点：隐蔽性强，兼容性强，破坏性强一个好的病毒程序是不容易被发现的。缺点：编写难度大传染速度慢，一定要带毒软盘启动才能传到硬盘，杀毒容易，只需改写引导区即可，底板能对引导区写保护，所以现在纯引导型病毒已很少了。主引导区：如大麻病毒、2708病毒、火炬病毒等；分区引导：如小球病毒、Girl病毒等。59ppt课件文件型所有通过操作系统的文件系统进行感染的病毒都称作文件病毒，理论上可以制造这样一个病毒，该病毒可以感染基本上所有操作系统的可执行文件。传统EXE病毒当被感染程序执行之后，病毒会立刻或者在随后的某个时间获得控制权，获得控制权后，病毒通常会进行下面的操作(某个具体的病毒不一定进行了所有这些操作，操作的顺序也很可能不一样):内存驻留的病毒首先检查系统可用内存，查看内存中是否已经有病毒代码存在，如果没有将病毒代码装入内存中。非内存驻留病毒会在这个时候进行感染，查找当前目录、根目录或者环境变量PATH中包含的目录，发现可以被感染的可执行文件就进行感染。目前已知可感染文件型：EXE、DOC、SYS、DLL、VxD、CHI、htm、Office文档、VBS、RMVB、GIF、OCX等60ppt课件典型PE文件结构，PE头部主要结构描述61ppt课件62ppt课件蠕虫型在某种意义上来讲，蠕虫型病毒是编写门槛比较低的病毒，它本身是一个单独的可执行文件，其传播过程不需要去“感染”目标文件，而仅仅是“拷贝”并执行副本，他通过网络主动或被动传播，本身不去感染可执行文件，为早期U盘、光盘自启动类病毒的升级产品。具有传播速度快、危害大小不一、水平参差不齐的特点。目前大多数盗号木马、蠕虫均属此类病毒，编写水平较高的：如冲击波、红色代码、灰鸽子、广外女生、想哭等。编写水平较低的难以计数，个别病毒甚至无法成功运行。63ppt课件3连接方式1源码型攻击高级语言编写的源程序，在源程序编译之前插入其中2016年苹果AppStore发现若干应用被嵌入病毒而下架，原因是开发者使用了“黑苹果”系统进行开发。宏病毒也可归为此类。2入侵型自身代替正常程序中的部分模块或堆栈区，攻击特定程序AVKiller等，难以发现，清除困难3系统型自身部分加入或替代操作系统的部分功能替换驱动、核心DLL、核心应用的，常见于WinXP及以前版本Widows系统。4外壳型将自身可执行二进制代码附在正常程序的开头或结尾大部分感染型病毒都是这一类。64ppt课件4算法1伴随型根据算法产生可执行文件的伴随体，把原体隐藏U盘感染类病毒居多，常见模式为将U盘上的Word、exe等文件移动到一个隐藏文件夹中，在原位置留下一个伴随体可执行文件诱导用户点击。2蠕虫型通过计算机网络传播，不改变文件和资料信息利用网络从一台机器的内存传播到其它机器的内存，计算机将自身的病毒通过网络发送。有时它们在系统存在，一般除了内存不占用其它资源3寄生型依附在系统的引导扇区或文件中除了伴随和“蠕虫”型，其它病毒均可称为寄生型病毒，现在已经较少了。4母巢型本身具备蠕虫特征，但他会自动下载并执行其他病毒如：磁碟机、机器狗、XX游戏引导程序等。65ppt课件5传播途径1数据机直连（很少）2系统启动3移动存储介质4互联网、邮件、即时通讯等5局域网6其他形式的设备直连66ppt课件WMWord6.0、Word95宏病毒W3232位病毒，感染所有32位Windows系统WM97Word97宏病毒WINT32位Windows病毒，只感染WindowsNTXMExcel5.0、Excel95宏病毒Trojan/Troj特洛伊木马X97MExcel5.0和Excel97版本下发作VBSVBScript程序语言编写的病毒XFExcel程序病毒VSMVisioVBA宏或script的宏或script病毒AMAccess95宏病毒JSJScript编程语言编写的病毒AM97MAccess97宏病毒PE32位寻址的Windows病毒W95Windows95、98病毒OSXOSX的病毒WinWindows3.x病毒OSXLOSXLion或者更新版本的病毒常见病毒命名前缀67ppt课件0404防治技术 a n t i-v i r u s t e c h n o l o g y68ppt课件计 算 机 感 染 病 毒 后 的 表 现T h e p e r f o r m a n c e o f t h e c o m p u t e r a f t e r i n f e c t i o n69ppt课件潜伏感染触发发作常见病毒四个阶段70ppt课件1内存使用率增加硬盘空间减少计算机运行、启动速度降低AV、FW等软件失效个别粗制滥造的病毒会引发其他操作系统问题，如：控件加载失败，蓝屏，动态链接库加载失效，复制粘贴失效等潜潜伏伏期期71ppt课件2流量异常频繁存储读写IO速度降低敏感部位出现大量隐藏文件感感染染期期72ppt课件3触触 发发-爆爆 发发谁中招谁知道73ppt课件病毒防治技术C o m p u t e r v i r u s c o n t r o l t e c h n o l o g y74ppt课件1特征码就是从病毒体内不同位置提取的一系列字节，杀毒软件就是通过这些字节及位置信息来检验某个文件是否病毒。每个杀毒软件公司都有自己的特征码提取方法和提取工具，这也是特别需要技术的地方，弄不好就造成误判，将好文件当成病毒给杀了。目前杀毒软件的核心竞争力一般有两个，一是特征码提取技术。二是特征码（正则表达式）匹配技术。rene:重点税源*.null*.mp4特特征征码码75ppt课件2病毒和正常程序的区别可以体现在许多方面，比较常见的如：通常一个应用程序在最初的指令，是检查命令行输入有无参数项、清屏和保存原来屏幕显示等，而病毒程序则没有会这样做的，通常它最初的指令是直接写盘操作、解码指令，或搜索某路径下的可执行程序等相关操作指令序列。这些显著的不同之处，一个熟练的程序员在调试状态下只需一瞥便可一目了然。启发式代码扫描技术实际上就是把这种经验和知识移植到一个查病毒软件中的具体程序体现启启发发式式76ppt课件3于为一些来源不可信、具备破坏力或无法判定程序意图的程序提供试验环境。然而，沙盒中的所有改动对操作系统不会造成任何损失。通常这种技术被计算机技术人员广泛使用，尤其是计算机反病毒行业，沙盒是一个观察计算机病毒的重要环境。影子系统即是利用了这种技术的软件之一。沙沙盒盒运运行行77ppt课件4对于采用虚拟技术的用户来说，传统杀毒软件的定时杀毒会带来很大的IO、cpu、内存使用峰值，造成系统效用问题。虚拟化杀毒技术一般采取“有代理”和“无代理”两种模式，其中无代理模式需调用虚拟化底层系统API开发难度较大，效果较好。有代理模式原理和传统杀毒软件相似，只是统一协调协调查杀过程。虚虚 拟拟 化化 杀杀 毒毒78ppt课件5云杀毒其实是基于特征码杀毒，只是杀软的病毒库已经不全部在本地了，而是在一大堆的服务器里，扫描的时候和服务器交互，这样来做出判断是否有病毒。云杀毒能降低升级的频率，降低查杀的占用，减小本地库的容量。云云杀杀毒毒79ppt课件6大数据杀毒技术在两个方面有优势缓解我国特征码提取等方面技术落后的问题对传统杀毒领域“先爆发、后提取”的滞后杀毒模式有较大的提升大大 数数 据据 杀杀 毒毒80ppt课件7对所有合法的可执行文件进行MD5散列，并把散列值加入白名单，只要可执行文件被改变了，就会被发现并组织运行。白白名名单单81ppt课件8防止网络病毒的一种手段，通过吧病毒特征码识别放到防火墙等网络设备，做到传输即查杀，避免其感染和被执行。防防毒毒墙墙82ppt课件9使用安全成熟的编码方式，开发方法，谨慎使用第三方控件并时刻关注控件供应商的安全公告。选择开启可靠地数据库、中间件、操作系统产品。苹果设备开发时要使用正版系统。手机APP开发后要进行加花、加密等技术处理防止被二次打包插入病毒。安安全全编编码码83ppt课件个 人 计 算 机 用 户 防 治 措 施Computer virus measures for personal computer users84ppt课件85ppt课件86ppt课件87ppt课件88ppt课件89ppt课件90ppt课件91ppt课件92ppt课件93ppt课件94ppt课件95ppt课件96ppt课件97ppt课件98ppt课件谢谢Thanks99ppt课件