【文档说明】计算机病毒与防范讲义课件.ppt，共(37)页，360.075 KB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-77284.html

以下为本文档部分文字说明：

计算机病毒与防范讲义课件15.1计算机病毒简介15.1.1恶意代码在讨论计算机病毒之前，我们先看恶意代码的分类情况。这些威胁可以分成两类：需要宿主的程序和可以独立运行的程序。前者实际上是程序片段，它们不

能脱离某些特定的应用程序、应用工具或系统程序而独立存在；后者是完整的程序，操作系统可以调度和运行它们。NetworkandInformationSecurity第15章计算机病毒与防范••恶意代码的分类NetworkandInformationSecurity第15章计算机病毒与防范复制恶

意程序需要宿主程序后门逻辑炸弹特洛伊木马病毒细菌独立蠕虫••15.1.2计算机病毒的概念计算机病毒在《中华人民共和国计算机信息系统安全保护条例》中的定义为：“编制或者在计算机程序中插入的破坏计算机功能或者数据，影响计算机使用并且能够自我

复制的一组计算机指令或者程序代码”。另外，从广义上讲，逻辑炸弹、特洛伊木马、蠕虫都可称为病毒。NetworkandInformationSecurity第15章计算机病毒与防范••15.1.3计算机病毒的发展史1.DOS时代2.Win

dows时代3.Internet时代由于网络的快速和便捷，网络病毒的传播是以几何级数进行的，其危害比以前的任何一种病毒都要大。现在，计算机病毒有一个新的发展趋势。利用漏洞进行破坏性攻击的病毒已经逐渐不再唱主角了，电脑用户安全的最大威胁已经让位于以经济利益为目的，以欺骗用户为手段，严重干扰人们日

常工作、数据安全和个人隐私的各类间谍、木马、钓鱼软件。有报告显示，这类软件的危害已经超越传统病毒，成为互联网安全最大的威胁。NetworkandInformationSecurity第15章计算机病毒与防范••15.1.4计算机病毒的分类1.系统引导病毒系统引导病毒又称引导区型病毒。直到

20世纪90年代中期，引导区型病毒是最流行的病毒类型，主要通过软盘在DOS操作系统里传播。引导区型病毒侵染软盘中的引导区，蔓延到用户硬盘，并能侵染到用户硬盘中的主引导记录(也称为主引导扇区)。一旦硬盘中的引导区被病毒感染

，病毒就试图侵染每一个插入计算机的从事访问的软盘的引导区。NetworkandInformationSecurity第15章计算机病毒与防范••2.文件型病毒文件型病毒是文件侵染者，也被称为寄生病毒。它运作在计算机存储器里，通常它感染扩展名为COM、EXE、DRV、BIN、

OVL、SYS等的文件。每一次它们激活时，被感染文件把自身复制到其他文件中，并能在存储器里保存很长时间，直到病毒又被激活。NetworkandInformationSecurity第15章计算机病毒与防范••3.复合型病毒复合型病毒有引导区型病毒和文件型病毒两者的特征。4.宏病毒宏病毒一

般是指寄存在MicrosoftOffice文档上的病毒宏代码。它影响对文档的各种操作，如打开、存储、关闭或清除等。当打开Office文档时，宏病毒程序就会被执行，即宏病毒处于活动状态，当触发条件满足时，宏病毒才开始传

染、表现和破坏。NetworkandInformationSecurity第15章计算机病毒与防范••5.网络病毒网络病毒大体上可分为两类：一类是局域网上的病毒；另一类就是随着互联网的兴起产生的新的网络病毒。这类新的病毒又可以根据提供的服务来细分。互联网提供了众多的服务，如WWW

服务、电子邮件服务、文件传输服务等。病毒可以利用这些服务来传播，因而可以把网络病毒分为邮件病毒、网页病毒、FTP病毒等。其中，邮件病毒在网络病毒中占绝大多数。NetworkandInformationSecurity第15章计算机病毒与防范••15.

1.5计算机病毒的特点计算机病毒一般具有以下八个特点：破坏性、隐蔽性、潜伏性、传染性、未经授权而执行、依附性、针对性、不可预见性。NetworkandInformationSecurity第15章计算机病毒与防范••15.2.1计算

机病毒的结构计算机病毒在结构上有着共同性，一般由引导部分、传染部分、表现部分三部分组成。1.引导部分：也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备。2.传染部分：作用是将病毒代码复制到目标上去。一般病毒

在对目标进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如CIH病毒只针对Windows95/98操作系统。3.表现部分：这是病毒间差异最大的部分，前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表

现部分的。NetworkandInformationSecurity15.2计算机病毒的工作机理第15章计算机病毒与防范••15.2.2引导区型病毒的工作机理在病毒的分类中已经提到过，引导区型病毒感染的是硬盘的主引导区或软盘的引导

扇区，它是BIOS从磁盘调入内存的第一个程序。这样的话，病毒就常驻内存，一旦满足条件(调用了被病毒修改后的某个中断服务程序)，病毒就会兴风作浪。病毒感染软盘引导扇区的隐蔽性比硬盘差得多。因为软盘和硬盘不同，它没有隐含的扇区，所以病毒要么把正常的引导扇区内容放到软盘的最后一个扇区，要

么放到根目录区，所以当用户显示软盘目录时就会得到乱七八糟的文件名，引起用户的警觉。有的病毒干脆就不保存正常的引导程序，这样用这种软盘启动时就不能正常引导系统，这也很快会被用户发现。NetworkandInformationSecurity第15

章计算机病毒与防范••15.2.3文件型病毒的工作机理文件型病毒的宿主不是引导区而是一些可执行程序。病毒把自己附加在可执行文件中，并等待程序运行。病毒会驻留在内存中，企图感染其它文件。同引导扇区病毒不同，文件型病毒把自己附着或追加在EXE和COM这样的可执行文件上。根据附着

类型不同可分为三种文件病毒：覆盖型、前后附加型和伴随型文件病毒。NetworkandInformationSecurity第15章计算机病毒与防范••1.覆盖型病毒简单地把自己覆盖到原始文件代码上，显然这会完全摧毁该文件，所以这种病毒比较容易被发现。当用户

运行该文件时，病毒代码就会得到运行，而原始文件则不能正常运行。现在有些新型病毒可以覆盖那些不影响宿主程序运行的那部分代码，人们也就不容易发现这种病毒。覆盖病毒的优势就是不改变文件长度，使原始文件看起来正常，但杀毒程序还是可以检测到这种病毒代码的存在。2.前后附加型病毒前附加型病毒把自己附加在

文件的开始部分，后附加型正好相反。这种病毒会增加文件的长度。也就容易被检测和发现，并被清除。NetworkandInformationSecurity第15章计算机病毒与防范••3.伴随型文件病毒为EXE文件创建一个同名的含有病

毒代码的COM文件。由于同名时COM文件先于EXE文件运行，因此当有人运行EXE文件时，控制权就会转到COM文件上，病毒代码就得以运行。它执行完之后，再将控制权转到EXE文件，这样用户不会发现任何问题。NetworkandInformationSecurity第15章计算机病毒与防范••15.

2.4宏病毒的工作机理宏病毒是随着Microsoft的办公自动化软件Office的流行迅速流行起来的。为了减少用户的重复劳作，比如进行相似的操作，Office提供了一种所谓宏的功能。利用这个功能，用户可以把

一系列的操作记录下来，作为一个宏，之后只要运行这个宏，计算机就能自动地重复执行那些定义在宏中的所有操作。这种宏操作一方面方便普通的计算机用户，另一方面给病毒制造者提供了可乘之机。简单地说，宏是一组批处理命令，是用高级语言编写的一段程序。NetworkandInformationSecu

rity第15章计算机病毒与防范••宏病毒的传播方法与其它病毒不同，在我们的Office目录下，有一个“Templates”目录，里面有一个Normal.dot文件，这个文件就是Word的常规模板文件，每次我们启动Word的时候，该文件都会先被Word启动并执

行里面的VBA语句(宏语句)。通常来说，一般用户的Normal.dot里面是没有VBA语句的，毕竟不是每个人都会编写VBA。因此，大多数宏病毒都会采用感染Normal.dot的方法，把自身的恶意VBA

语句复制到Normal.dot里面，使Word每次启动时都执行里面的恶意VBA语句，并将自己的代码复制到其它Word文档里面，以达到传染的目的。NetworkandInformationSecurity第15章计算机病毒与防范••15

.2.5网络病毒的工作机理以下将以典型的RemoteExplorer(远程探险者)病毒为例进行分析。该病毒仅在WindowsNTServer和WindowsNTWorkstation平台上起作用，专门感染EXE文件。RemoteExp

lorer的破坏作用主要表现在：加密某些类型的文件，使其不能再用，并且能够通过局域网或广域网进行传播。NetworkandInformationSecurity第15章计算机病毒与防范••15.3.1CIH病

毒CIH病毒从分类来说属于文件型病毒(只感染Windows9X下的可执行文件)。CIH攻击的就是用户的主板，发作时有两个症状：一个是擦除ROMBIOS中的数据(当然也包括其中的程序)；另一个是从硬盘的主引导区开始做低级格式化

。一旦ROMBIOS中的程序被破坏了，那么计算机连开机自检、系统引导都无法进行了，更不用说启动操作系统了。因此计算机被破坏后，企图象往常一样格式化硬盘，重装操作系统是不可能的。数据丢失造成的损失先不管，仅仅恢复计算机

的正常工作就是非常困难的。NetworkandInformationSecurity第15章计算机病毒与防范15.3常见的计算机病毒••15.3.2冲击波病毒(Worm.Blaster)和震荡波病毒(W

orm.Sasser)2019年，“冲击波”这个利用微软RPC漏洞进行传播的蠕虫病毒至少攻击了全球80%的Windows用户，使他们的计算机无法工作并反复重启。远程过程调用(RPC)是Windows操作系统使用的一个协议。RPC提供了一种进程间通信机制，通过这一机制，在一台计算机上运行的程

序可以顺畅地执行某个远程系统上的代码。NetworkandInformationSecurity第15章计算机病毒与防范••RPC服务终止的对话框NetworkandInformationSecurity第15章计算机病毒与防范••2019年5月1日，“震荡波”病毒出现了。该病毒

可利用Windows平台的Lsass漏洞进行广泛的传播。中毒后的系统将开启上百个线程去攻击网上其他的用户，可造成机器运行缓慢、网络堵塞，并让系统不停的进行倒计时重启。其中毒现象非常类似于2019年的“冲击波”

。NetworkandInformationSecurity第15章计算机病毒与防范••两大恶性病毒的四大区别：1.利用的漏洞不同：冲击波病毒利用的是系统的RPC漏洞，病毒攻击系统时会使RPC服务崩溃，震荡波病毒利用的是系

统的LSASS服务。2.产生的文件不同：冲击波病毒运行时会在内存中产生名为msblast.exe的进程，在系统目录中产生名为msblast.exe的病毒文件，震荡波病毒运行时会在内存中产生名为avserve.exe的进程，在系统目录中产生名为avserve.exe

的病毒文件。3.利用的端口不同：冲击波病毒会监听端口69,模拟出一个TFTP服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有RPC漏洞的135端口进行传播。震荡波病毒会在本地开辟后门，监听TCP的5554端口，然后做为FTP服务器等待远程控制命令，并疯狂地试探连接445端口。

4.攻击目标不同：冲击波病毒攻击所有存在RPC漏洞的电脑和微软升级网站，而震荡波病毒攻击的是所有存在LSASS漏洞的电脑，但目前还未发现有攻击其它网站的现象。NetworkandInformationSecurity第15章计算机病毒与防范••15.3.3爱情后门病毒(Worm

.Lovgate)这是一个集蠕虫后门黑客于一身的病毒。当病毒运行时，将自己复制到windows目录下，文件名为WinRpcsrv.exe，并注册成系统服务。然后把自己复制到system目录下，文件名为

syshelp.exe、WinGate.exe，并在注册表run项中加入自身键值。病毒利用ntdll提供的api找到LSASS进程，并对其植入远程后门代码。该代码将响应用户TCP请求建立一个远程shell进程。win9

x为command，NT,WIN2K,WINXP为cmd.exe。之后病毒将自身复制到windows目录并尝试在win.ini中加入run=rpcsrv.exe。NetworkandInformationSecu

rity第15章计算机病毒与防范••15.4计算机病毒的预防和清除关于计算机病毒的预防，应该用两种手段：一是管理手段，二是技术手段，二缺一不可。15.4.1病毒发作时常见的现象（1）程序装入时间比平时长，运行异常；（2）有规律的发现异常信

息；（3）用户访问设备(例如打印机)时发现异常情况，如打印机不能联机或打印符号异常；（4）磁盘的空间突然变小了，或不识别磁盘设备；（5）程序和数据神秘地丢失了，文件名不能辨认；（6）显示器上经常出现一些莫名其妙的信息或异常显示（如白斑、圆点等）；（7）机器经常出现死机现象或不能正常启动；（8）

发现可执行文件的大小发生变化或发现不知来源的隐藏文件。NetworkandInformationSecurity第15章计算机病毒与防范••15.4.2Word宏病毒的防范和清除（1）对于已染病毒的NORMAL.DOT文件，首先应将NORMAL.DOT中的自动宏清除

，然后将NORMAL.DOT置成只读方式。（2）对于其它已感染病毒的文件均应将自动宏清除，这样就可以达到清除病毒的目的。（3）平时使用时要加强防范：定期检查活动宏表，对来历不明的宏最好予以删除；如果发现后缀为.DOC的文件变成模板（.

DOT）时，则可怀疑其已染宏病毒，其主要表现是在SaveAs文档时，选择文件类型的下拉框变为灰色。（4）在启动Word、创建文档、打开文档、关闭文档以及退出Word时，按住SHIFT键可以阻止自动宏的运行。（5）存储一个文

档时，务必明确指定该文档的扩展名。NetworkandInformationSecurity第15章计算机病毒与防范••15.4.3网络病毒的防治1.网络反病毒技术的安全度是基于“木桶理论”的。整个系统的安全防护能力，取决于系统中安全防护能力最薄弱的环节。2.网络反

病毒技术尤其是网络病毒实时监测技术应符合“最小占用”原则。网络反病毒技术的应用，理所当然会占用网络系统资源（增加网络负荷、额外占用CPU、占用服务器内存等）。网络反病毒产品是网络应用的辅助产品，因此网络反病毒技术，尤其是网络病毒实时监测技术，在自

身的运行中不应影响网络的正常运行。3.网络反病毒技术的兼容性是网络防毒的重点与难点。NetworkandInformationSecurity第15章计算机病毒与防范••15.5计算机病毒防范产品介绍15.5.1瑞星杀毒软件瑞星杀毒软件是

北京瑞星电脑科技开发有限责任公司自主研制的反病毒安全工具。2019年12月6日，瑞星推出最新杀毒软件2019版。以全面反击“网络威胁”为研发策略的瑞星2019新品，内含“木马墙”、“卡卡上网安全助手”和“在线专家门诊

”三大功能、五项专利技术。瑞星安全专家认为，传统的电脑病毒已经让位于利益驱动的、全方位的“网络威胁”。所谓“网络威胁”，不光是指CIH、冲击波等传统病毒，还包括盗号木马、僵尸网络(BotNet)、间谍软件、流氓软件、网络诈骗、垃圾邮件等等。而电脑病毒，则越来越多地成为黑客攻

击和不法分子获取经济利益的工具。NetworkandInformationSecurity第15章计算机病毒与防范••15.5.2江民杀毒软件2019年9月6日，江民科技隆重发布了其KV2019新品，KV2019是能够兼容32位操作系统的6

4位杀毒软件，并在KV2019系统级杀毒、主动防御未知病毒以及诸多强大功能的基础上，新增了BOOTSCAN杀毒技术、64位智能杀毒、插入移动设备自动查毒、系统漏洞检查、垃圾邮件识别等10项强大功能。NetworkandInformationSecurity第15章计算机

病毒与防范••15.5.3金山毒霸2019年12月6日，国内著名安全厂商金山软件正式发布杀毒新品《金山毒霸2019》。金山毒霸2019依托于全新的网络安全理念，在上一版本主动实时升级、抢先启动防毒等国际领先功能的基础上，重点加强了对木马程序、间谍软件、网络钓鱼的查

杀及防范。进一步完善了主动漏洞修复功能，并能运行于64位的操作系统。更值得一提的是金山毒霸2019还支持查杀智能手机病毒，使得应用范围更加广泛。金山毒霸2019包括“金山毒霸2019”、“金山反间谍2019”、“金山网镖2019”和“金山漏洞修复2

019”四大功能模块。NetworkandInformationSecurity第15章计算机病毒与防范••••••••••••••