計(jì)算機(jī)病毒基礎(chǔ)知識(shí)

1、第八講 計(jì)算機(jī)病毒基礎(chǔ)知識(shí),計(jì)算機(jī)病毒簡(jiǎn)介計(jì)算機(jī)病毒的基本原理計(jì)算機(jī)病毒的檢測(cè)技術(shù)計(jì)算機(jī)病毒的清除、預(yù)防,本講內(nèi)容,計(jì)算機(jī)病毒的概念,在生物學(xué)中，病毒是指侵入動(dòng)植物體等有機(jī)生命體中的具有感染性、潛伏性、破壞性的微生物，而且不同的病毒具有不同的誘發(fā)因素。“計(jì)算機(jī)病毒”一詞是人們聯(lián)系到破壞計(jì)算機(jī)系統(tǒng)的“病原體”具有與生物病毒相似的特征，借用生物學(xué)病毒而使用的計(jì)算機(jī)術(shù)語?！坝?jì)算機(jī)病毒”與生物學(xué)上的“病毒”還是有些區(qū)別，它不是天然存在

2、的，是某些人利用計(jì)算機(jī)軟、硬件所固有的脆弱性（這是計(jì)算機(jī)病毒產(chǎn)生的根本原因），編制具有特殊功能的程序。,計(jì)算機(jī)病毒的概念（續(xù)）,目前最流行的定義： 計(jì)算機(jī)病毒是一段附著在其他程序上的、可以自我繁殖的程序代碼。在《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中的定義為：“指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”。此定義具有法律性、權(quán)威性。,病毒程序與正常程序的區(qū)別,

3、正常程序是具有應(yīng)用功能的完整程序，以文件形式存在，具有合法文件名；而病毒一般不以文件的形式獨(dú)立存在，一般沒有文件名，它隱藏在正常程序和數(shù)據(jù)文件中，是一種非完整的程序。正常程序依照用戶的命令執(zhí)行，完全在用戶的意愿下完成某種操作，也不會(huì)自身復(fù)制；而病毒在用戶完全不知的情況下運(yùn)行，將自身復(fù)制到其他正常程序中，而且與合法程序爭(zhēng)奪系統(tǒng)的控制權(quán)，甚至進(jìn)行各種破壞。,計(jì)算機(jī)病毒產(chǎn)生的原因,研究、興趣等目的。游戲、惡作劇、表現(xiàn)欲等目的。破壞、報(bào)復(fù)

4、目的。軟件保護(hù)目的。特殊目的。,計(jì)算機(jī)病毒特征,可執(zhí)行性：病毒是一段可執(zhí)行程序，但不是一個(gè)完整的程序。傳染性：病毒的基本特征，必備的特征。非授權(quán)性：強(qiáng)調(diào)病毒程序的執(zhí)行對(duì)用戶是未知的。依附性：病毒的寄生方式（靜態(tài)）。潛伏性：由可觸發(fā)性決定的（動(dòng)態(tài)）。可觸發(fā)性：病毒在一定條件下激活或發(fā)作。不可預(yù)見性：指病毒的實(shí)現(xiàn)機(jī)制。針對(duì)性：病毒一般是對(duì)特定的操作系統(tǒng)的。破壞性：病毒的表現(xiàn)特征。,計(jì)算機(jī)病毒的生命周期,創(chuàng)造期：編制者花數(shù)

5、日數(shù)周努力研究出一種可廣為散布的有害程序，新病毒誕生。孕育期：病毒被放在一些容易散播的地方。潛伏感染期：病毒不斷地繁殖與傳染。發(fā)作期：一切條件形成，病毒開始破壞行動(dòng)。發(fā)現(xiàn)期：一旦病毒發(fā)作，也就是它被發(fā)現(xiàn)的時(shí)期。同化期：殺毒軟件能夠檢測(cè)到這種新計(jì)算機(jī)病毒。根除期：使用了能檢測(cè)及控制這種病毒的殺毒軟件，病毒就有可能被根除。,計(jì)算機(jī)病毒的傳播途徑,網(wǎng)頁電子郵件Email 局域網(wǎng)共享或共享的個(gè)人計(jì)算機(jī)盜版軟件、文件下載系統(tǒng)漏

6、洞、協(xié)議漏洞 移動(dòng)存儲(chǔ)設(shè)備：軟盤、磁帶、CD-ROMs、U盤等通過點(diǎn)對(duì)點(diǎn)通信系統(tǒng)和無線通信系統(tǒng)傳播,計(jì)算機(jī)病毒的狀態(tài),靜態(tài)：存在于輔助存儲(chǔ)介質(zhì)上的計(jì)算機(jī)病毒。能激活態(tài)：內(nèi)存中的病毒代碼能夠被系統(tǒng)的正常運(yùn)行機(jī)制執(zhí)行。激活態(tài)：系統(tǒng)正在執(zhí)行病毒代碼。失活態(tài)：內(nèi)存中的病毒代碼不能被系統(tǒng)的正常運(yùn)行機(jī)制執(zhí)行。,計(jì)算機(jī)病毒的組成,引導(dǎo)模塊：病毒的初始化部分，它隨著系統(tǒng)或宿主程序的執(zhí)行而進(jìn)入內(nèi)存。感染模塊：病毒進(jìn)行感染動(dòng)作的部分，負(fù)責(zé)實(shí)現(xiàn)感

7、染機(jī)制。觸發(fā)模塊：根據(jù)預(yù)定條件滿足與否，控制病毒的感染或破壞動(dòng)作。（可選）破壞模塊：負(fù)責(zé)實(shí)施病毒的破壞動(dòng)作。主控模塊：在總體上控制病毒程序的運(yùn)行。,計(jì)算機(jī)病毒工作的主要流程,計(jì)算機(jī)病毒的分類,按照操作系統(tǒng)分：DOS系統(tǒng)的病毒、Windows系統(tǒng)的病毒、Unix/Linux系統(tǒng)的病毒、OS/2系統(tǒng)的病毒等。按照鏈接方式分：源碼型病毒、嵌入型病毒、Shell病毒、譯碼型病毒、操作系統(tǒng)型病毒等。按照破壞情況分：良性病毒和惡性病毒

8、。按傳播媒介分：?jiǎn)螜C(jī)病毒和網(wǎng)絡(luò)病毒。 按寄生方式和傳染途徑分：引導(dǎo)型病毒、文件型病毒、引導(dǎo)型兼文件型病毒。,計(jì)算機(jī)病毒產(chǎn)生過程,程序設(shè)計(jì)傳播依附激活潛伏觸發(fā)運(yùn)行實(shí)行攻擊,計(jì)算機(jī)病毒基本原理的思考,傳播途徑寄生方式激活方式,計(jì)算機(jī)病毒基本原理的舉例,引導(dǎo)型病毒文件型病毒宏病毒腳本病毒蠕蟲病毒,引導(dǎo)型病毒,通過軟盤傳播，修改13 INT。寄生對(duì)象引導(dǎo)扇區(qū)。激活方式系統(tǒng)啟動(dòng)。典型病毒：大麻病毒

9、、小球病毒、火炬病毒等。,文件型病毒,通過文件復(fù)制傳播。寄生對(duì)象可執(zhí)行文件。激活方式文件執(zhí)行。典型病毒：變色龍病毒、1575病毒等。,宏病毒,宏就是能夠組織在一起的，可以作為一個(gè)獨(dú)立命令來執(zhí)行的一系列Word命令。通過文件復(fù)制傳播。寄生對(duì)象Office文件。激活方式文件打開。典型病毒：美麗莎 、七月殺手、13號(hào)病毒等。,腳本病毒,腳本語言是介于HTML和Java、C++和Visual Basic之類的編程語言之間的語言。腳

10、本語言需要一個(gè)腳本語言引擎解釋執(zhí)行腳本語言編寫的程序。通過網(wǎng)頁、Email等傳播。運(yùn)行網(wǎng)頁中ActiveX控件。欺騙性，如郵件附件采用雙后綴。 寄生對(duì)象:網(wǎng)頁文件、Email附件。激活方式:系統(tǒng)啟動(dòng)自動(dòng)加載。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run典型病毒：美麗公園病毒、愛蟲病毒、庫爾尼科娃病毒等。,蠕蟲病毒,蠕蟲(Worm)是

11、一個(gè)程序或程序序列，通過分布式網(wǎng)絡(luò)來擴(kuò)散傳播特定的信息或錯(cuò)誤，進(jìn)而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖或系統(tǒng)崩潰。 通過系統(tǒng)漏洞傳播。寄生對(duì)象系統(tǒng)目錄。激活方式系統(tǒng)啟動(dòng)自動(dòng)加載。典型病毒：沖擊波病毒、求職信病毒等。,病毒檢測(cè)技術(shù),特征值檢測(cè)技術(shù)校驗(yàn)和檢測(cè)技術(shù)行為監(jiān)測(cè)技術(shù)啟發(fā)式掃描技術(shù)虛擬機(jī)技術(shù),特征值檢測(cè)技術(shù),病毒標(biāo)識(shí)是指計(jì)算機(jī)病毒本身在特定的寄生環(huán)境中確認(rèn)自身是否存在的標(biāo)記符號(hào)。病毒特征值是指一種病毒有別于另一種病毒的字符

12、串。許多抗病毒軟件都采用了計(jì)算機(jī)病毒特征值檢測(cè)技術(shù)的鑒別辦法。檢測(cè)速度快、準(zhǔn)確，誤報(bào)率低。不能檢測(cè)未知病毒。,校驗(yàn)和檢測(cè)技術(shù),計(jì)算正常文件的內(nèi)容和正常的系統(tǒng)扇區(qū)的校驗(yàn)和，將該校驗(yàn)和數(shù)據(jù)庫保存。這種方法既能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒。對(duì)隱蔽性病毒無效。常常有誤報(bào)警。,其它檢測(cè)技術(shù),行為監(jiān)測(cè)技術(shù)計(jì)算機(jī)病毒不論偽裝得如何巧妙，它總存在著一些和正常程序不同的行為。啟發(fā)式掃描技術(shù)分析文件中的指令序列，根據(jù)專家識(shí)別病毒的經(jīng)驗(yàn)和

13、知識(shí)，判斷該文件是否染上病毒。虛擬機(jī)技術(shù)也稱軟件模擬法，是一種軟件分析器，用軟件方法來模擬和分析程序的運(yùn)行，而且程序的運(yùn)行不會(huì)對(duì)系統(tǒng)產(chǎn)生實(shí)際的危險(xiǎn)?？赡苷`報(bào)警、可發(fā)現(xiàn)未知病毒。,病毒的清除,病毒的清除，又稱殺毒，就是將染毒的文件或系統(tǒng)的病毒摘除，使之恢復(fù)為可正常運(yùn)行的健康文件或系統(tǒng)。大多數(shù)情況下，使用殺毒軟件恢復(fù)受感染的文件或系統(tǒng)。如果時(shí)間緊迫，有時(shí)不得不手工殺毒或恢復(fù)。不是所有文件都可以殺毒，也不是所有染毒系統(tǒng)都能夠驅(qū)除病

14、毒使之康復(fù)，可能出現(xiàn)不可預(yù)料的結(jié)果，做好數(shù)據(jù)備份。,病毒的預(yù)防,檢查外來文件。局域網(wǎng)預(yù)防。購買正版軟件。小心運(yùn)行可執(zhí)行文件。使用確認(rèn)和數(shù)據(jù)完整性工具。周期性備份工作文件。留心計(jì)算機(jī)出現(xiàn)的異常。及時(shí)升級(jí)抗病毒工具的病毒特征庫和有關(guān)的殺毒引擎。建立健全的網(wǎng)絡(luò)系統(tǒng)安全管理制度，嚴(yán)格操作規(guī)程和規(guī)章制度。,計(jì)算機(jī)病毒的顯著特點(diǎn)及防御方法,利用漏洞的病毒開始增多，及時(shí)修補(bǔ)系統(tǒng)是御毒良方。漏洞是操作系統(tǒng)致命的安全缺陷，如果系統(tǒng)存在漏

15、洞，即使有殺毒軟件的保護(hù)，病毒依然可以長(zhǎng)驅(qū)直入，對(duì)系統(tǒng)造成破壞。 “SQL蠕蟲王”病毒就是利用了SQL Server 2000的最新漏洞進(jìn)行傳播，病毒也屬此類，近幾年，漏洞病毒更是占到了病毒總數(shù)的20%。預(yù)防漏洞型病毒最好的辦法，就是及時(shí)為自己的操作系統(tǒng)打上補(bǔ)丁，關(guān)閉不常用的服務(wù)，對(duì)系統(tǒng)進(jìn)行必要的設(shè)置。,計(jì)算機(jī)病毒的顯著特點(diǎn)及防御方法（續(xù)1）,病毒向多元化、混合化發(fā)展，整體防御成為趨勢(shì)。病毒中混合型病毒越來越多，它們集合了蠕蟲、后門

16、等等功能，利用多種途徑傳播，危害極大。比如“愛情后門”就是一個(gè)混合型病毒，它雖然屬于蠕蟲類病毒，但不僅會(huì)通過郵件、網(wǎng)絡(luò)進(jìn)行傳播，還會(huì)給系統(tǒng)開后門，對(duì)用戶電腦進(jìn)行遠(yuǎn)程控制。而這種病毒的最終目的不僅僅是為了使用戶的計(jì)算機(jī)系統(tǒng)癱瘓，對(duì)于攻擊者來說，用戶存儲(chǔ)在計(jì)算機(jī)上的機(jī)密資料對(duì)于他們更有價(jià)值。針對(duì)混合型病毒增多的趨勢(shì)，未來的殺毒軟件將是整體防御的全面解決方案。,計(jì)算機(jī)病毒的顯著特點(diǎn)及防御方法（續(xù)2）,有網(wǎng)絡(luò)特性的病毒增多，殺毒軟件的多途徑實(shí)

17、時(shí)監(jiān)控是關(guān)鍵。有網(wǎng)絡(luò)特性的病毒開始增多。像蠕蟲、木馬（黑客）、腳本等類型的病毒，它們都通過網(wǎng)絡(luò)進(jìn)行傳播。從統(tǒng)計(jì)數(shù)據(jù)上看，這三類病毒占了所有病毒總數(shù)的68%，其中，對(duì)個(gè)人電腦和企事業(yè)單位影響最大的是蠕蟲和木馬病毒，像求職信、大無極就是屬此類病毒。這類病毒會(huì)通過網(wǎng)絡(luò)或郵件漏洞進(jìn)行傳播，從而阻塞網(wǎng)絡(luò)、使服務(wù)器癱瘓。多用途實(shí)時(shí)監(jiān)控，是應(yīng)對(duì)網(wǎng)絡(luò)病毒泛濫的最佳措施。,針對(duì)即時(shí)通訊軟件的病毒大量涌現(xiàn)，用戶安全意識(shí)要提高。隨著上網(wǎng)聊天人數(shù)的增多，

18、那些專門針對(duì)QQ、MSN等即時(shí)通訊軟件的病毒極速增加，占普通病毒的10%以上。比如影響比較大的專門偷盜QQ用戶密碼的病毒：QQ傳送者和QQ木馬。針對(duì)MSN的“請(qǐng)客”病毒和專門偷MSN密碼的“MSN竊賊”病毒，這意味著，兩大主流即時(shí)通訊軟件都開始遭受到病毒的威脅，用戶使用即時(shí)通訊軟件越來越不安全。 在這種情況下，用戶要提高自己的安全意識(shí)，比如對(duì)于即時(shí)通訊軟件上的好友發(fā)送過來的網(wǎng)址和文件，一定要小心。因?yàn)檫@可能是病毒發(fā)送的，好友并不知情。,

19、計(jì)算機(jī)病毒的顯著特點(diǎn)及防御方法（續(xù)3）,關(guān)注即時(shí)通訊軟件的升級(jí)報(bào)告，也是保護(hù)自己安全的好辦法，比如QQ的每一次升級(jí)，都會(huì)彌補(bǔ)上若干的漏洞。中毒之后，到專業(yè)的反病毒廠商網(wǎng)站上尋求專殺工具也是一個(gè)好辦法。,計(jì)算機(jī)病毒的顯著特點(diǎn)及防御方法（續(xù)4）,對(duì)計(jì)算機(jī)病毒應(yīng)持有的態(tài)度,客觀承認(rèn)計(jì)算機(jī)病毒的存在。 不要懼怕病毒。 樹立計(jì)算機(jī)病毒意識(shí)，善于總結(jié)經(jīng)驗(yàn)，積極采取預(yù)防措施。 掌握必要的計(jì)算機(jī)病毒知識(shí)和病毒防治技術(shù)，對(duì)用戶至關(guān)重要。發(fā)現(xiàn)病毒，