第4章计算机病毒与木马.ppt
《第4章计算机病毒与木马.ppt》由会员分享,可在线阅读,更多相关《第4章计算机病毒与木马.ppt(56页珍藏版)》请在课桌文档上搜索。
1、第 4 章计算机病毒与木马,【本章要点】通过本章的学习,可以了解计算机病毒的定义。掌握计算机病毒特征以及检测、防范等技术。初步了解木马攻击的技术、特点。,第 4 章计算机病毒与木马,4.1计算机病毒概述4.2计算机病毒的危害及其表现4.3计算机病毒的检测与防范4.4木马病毒4.5木马的攻击防护技术,4.1计算机病毒概述,4.1.1 计算机病毒的起源4.1.2 计算机病毒的定义及特征4.1.3 计算机病毒的生命周期4.1.4 计算机病毒的分类,4.1计算机病毒概述,可以从不同角度给出计算机病毒的定义。(1)通过磁盘、磁带和网络等作为媒介传播扩散,能“传染”其他程序的一种程序;(2)能够实现自身复
2、制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序;(3)是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体(如磁盘、内存)或程序里,当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏。,计算机病毒主要有以下几种传播方式,1、通过电子邮件进行传播2、利用系统漏洞进行传播3、通过MSN、QQ等即时通信软件进行传播4、通过网页进行传播5、通过移动存储设备进行传播,今后任何时候病毒都不会很快地消失,并呈现快速增长的态势。仅在2013年1至6月,瑞星“云安全”系统共截获新增病毒样本1,633万余个,病毒总体数量比2012年下半年增长93.01%,呈现出一个爆发式
3、的增长态势。其中木马病毒1,172万个,占总体病毒的71.8%,和2012年一样是第一大种类病毒。新增病毒样本包括蠕虫病毒(Worm)198万个,占总体数量的12.16%,成为第二大种类病毒。感染型(Win32)病毒97万个,占总体数量的5.99%,后门病毒(Backdoor)66万个,占总体数量的4.05%,位列第三和第四。恶意广告(Adware)、黑客程序(Hack)、病毒释放器(Dropper)、恶意驱动(Rootkit)依次排列,比例分别为1.91%、1.03%、0.62%和0.35%。,4.1.1 计算机病毒的起源,1、计算机病毒的几种起源说(1)科学幻想起源说(2)恶作剧起源说(3
4、)游戏程序起源说,病毒的发展史呈现一定的规律性,一般情况是新的病毒技术出现后,病毒会迅速发展,接着反病毒技术的发展会抑制其流传。操作系统升级后,病毒也会调整为新的方式,产生新的病毒技术。IT行业普遍认为,从最原始的单机磁盘病毒到现在逐步进入人们视野的手机病毒,计算机病毒主要经历了六个重要的发展阶段。第一阶段为原始病毒阶段。第二阶段为混合型病毒阶段。第三阶段为多态性病毒阶段。,第四阶段为网络病毒阶段。第五阶段为主动攻击型病毒。第六阶段为“移动终端病毒”阶段。,4.1.2 计算机病毒的定义及特征,1.计算机病毒的定义2.计算机病毒的产生3.计算机病毒的特点(1)计算机病毒的程序性(可执行性)(2)
5、计算机病毒的传染性(3)计算机病毒的潜伏性(4)计算机病毒的可触发性(5)计算机病毒的破坏性,3.计算机病毒的特点,(6)攻击的主动性(7)病毒的针对性(8)病毒的非授权性(9)病毒的隐蔽性(10)病毒的衍生性(11)病毒的寄生性(依附性)(12)病毒的持久性,4.1.3 计算机病毒的生命周期,(1)开发期(2)传染期(3)潜伏期(4)发作期(5)发现期(6)消化期(7)消亡期,4.1.4 计算机病毒的分类,1.按攻击对像分类若按病毒攻击的对象来分类,可分为攻击微型计算机、小型机和工作站的病毒,甚至安全措施很好的大型机及计算机网络也是病毒攻击的目标。这些攻击对象之中,以攻击微型计算机的病毒最多
6、,其中90是攻击IBM PC机及其兼容饥的。其他还有攻击Macintosh及Amiga计算机的。,2.按入侵途径分类,(1)操作系统病毒(2)外壳病毒(3)源码病毒(4)入侵病毒,3.按传染方式分类,(1)传染磁盘引导区的病毒(2)传染可执行文件的病毒传染操作系统文件的病毒传染一般可执行文件的病毒既传染文件又传染磁盘引导区的病毒,4.按病毒存在的媒体分类,可以分为网络病毒、文件病毒和引导型病毒。网络病毒通过计算机网络传播感染网络中的可执行文件;文件病毒感染计算机中的文件(如:COM,EXE,DOC等);引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR)。还有这三种情况的混合型,例
7、如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。,5.按病毒破坏的能力分类,(1)无害型。除了传染时减少磁盘的可用空间外,对系统没有其他影响。(2)无危险型。这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。(3)危险型。这类病毒在计算机系统操作中造成严重的错误。(4)非常危险型。这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。,6.按计算机病毒特有的算法分类,(1)伴随型病毒。(2)“蠕虫”型病毒。(3)寄生型病毒。,7.按其表现性质,恶意病毒“四大家族”宏病毒 CIH病毒
8、蠕虫病毒木马病毒,4.2计算机病毒的危害及其表现,4.2.1 计算机病毒的危害1、病毒激发对计算机数据信息的直接破坏作用 大部分病毒在激发的时候直接破坏计算机的重要信息数据,所利用的手段有格式化磁盘、改写文件分配表和目录区、删除重要文件或者用无意义的垃圾数据改写文件、破坏CMOS设置等。,2、占用磁盘空间和对信息的破坏,寄生在磁盘上的病毒总要非法占用一部分磁盘空间。引导型病毒的一般侵占方式是由病毒本身占据磁盘引导扇区,覆盖一个磁盘扇区。被覆盖的扇区数据永久性丢失,无法恢复,所以在传染过程中一般不破坏磁盘上的原有数据,但非法侵占了磁盘空间,造成磁盘空间的严重浪费。,3、抢占系统资源,除VIENN
9、A、CASPER等少数病毒外,其他大多数病毒在动态下都是常驻内存的,这就必然抢占一部分系统资源。病毒所占用的基本内存长度大致与病毒本身长度相当。病毒抢占内存,导致内存减少,一部分软件不能运行。除占用内存外,病毒还抢占中断,干扰系统运行。,4、影响计算机运行速度,病毒进驻内存后不但干扰系统运行,还影响计算机速度,主要表现在:(1)病毒为了判断传染激发条件,总要对计算机的工作状态进行监视,这相对于计算机的正常运行状态既多余又有害。(2)有些病毒为了保护自己,不但对磁盘上的静态病毒加密,而且进驻内存后的动态病毒也处在加密状态;而病毒运行结束时再用一段程序对病毒重新加密。这样CPU额外执行数千条以至上
10、万条指令。(3)病毒在进行传染时同样要插入非法的额外操作,特别是传染软盘时不但计算机速度明显变慢,而且软盘正常的读写顺序被打乱,发出刺耳的噪声。,5、计算机病毒错误与不可预见的危害,计算机病毒与其他计算机软件的最重要差别是病毒的无责任性。编制一个完善的计算机软件需要耗费大量的人力、物力,经过长时间调试完善,软件才能推出。但在病毒编制者看来既没有必要这样做,也不可能这样做。很多计算机病毒都是个别人在一台计算机上匆匆编制调试后就向外抛出,绝大部分病毒都存在不同程度的错误。计算机病毒错误所产生的后果往往是不可预见的,反病毒工作者曾经详细指出黑色星期五病毒存在9处错误,乒乓病毒有5处错误等。但是人们不
11、可能花费大量时间去分析数万种病毒的错误所在。大量含有未知错误的病毒扩散传播,其后果是难以预料的。,6、计算机病毒的兼容性对系统运行的影响,兼容性是计算机软件的一项重要指标,兼容性好的软件可以在各种计算机环境下运行,反之兼容性差的软件则对运行条件“挑肥拣瘦”,要求机型和操作系统版本等,而病毒的兼容性较差,常常会导致死机。,7、计算机病毒给用户造成严重的心理压力,据有关计算机销售部门统计,计算机售后用户怀疑计算机有病毒而提出咨询约占售后服务工作量的60以上。经检测确实存在病毒的约占70,另有30情况只是用户怀疑,而实际上计算机并没有病毒,仅仅怀疑病毒而冒然格式化磁盘所带来的损失更是难以弥补。不仅是
12、个人单机用户,在一些大型网络系统中也难免为甄别病毒而停机。总之计算机病毒像“幽灵”一样笼罩在广大计算机用户心头,给人们造成巨大的心理压力,极大地影响了现代计算机的使用效率,由此带来的无形损失是难以估量的。,4.2.2 计算机病毒的表现,(1)平时运行正常的计算机突然经常性无缘无故地死机(2)操作系统无法正常启动(3)运行速度明显变慢(4)以前能正常运行的软件经常发生内存不足的错误(5)打印和通讯发生异常(6)无意中要求对软盘进行写操作(7)以前能正常运行的应用程序经常发生死机或者非法错误(8)系统文件的时间、日期、大小发生变化(9)对于Word文档,另存时只能以模板方式保存,无法另存为一个DO
13、C文档。(10)磁盘空间迅速减少(11)网络驱动器卷或共享目录无法调用(12)基本内存发生变化(13)陌生人发来的电子函件(14)自动链接到一些陌生的网站,4.2.3 计算机病毒的状态及潜伏期,计算机病毒工作流程示意图,触发条件可以是单个条件或复合条件1.单条件触发2.复合条件触发(1)时间触发条件(2)功能触发条件(3)宿主触发条件,4.2.4 常见的计算机病毒,(1)引导型、病毒文件型病毒和复合型病毒引导型病毒有:大麻病毒、2708病毒、火炬病毒、小球病毒、Girl病毒等。文件型病毒有:1575/1591病毒、848病毒(感染.COM和.EXE等可执行文件)Macro/Concept、Ma
14、cro/Atoms等宏病毒(感染.DOC文件)。复合型病毒有:Flip病毒、新世际病毒、One-half病毒等。,(2)良性病毒和恶性病毒良性病毒有:小球病毒、1575/1591病毒、救护车病毒、扬基病毒、Dabi病毒等等。恶性病毒有:黑色星期五病毒、火炬病毒、米开朗基罗病毒等。,4.3计算机病毒的检测与防范,4.3.1计算机病毒检测方法1.比较法2.加总对比法3.搜索法4.分析法5.人工智能陷阱技术和宏病毒陷阱技术6.软件仿真扫描法7.先知扫描法,4.3.2 常见计算机病毒的防范,1.文件型计算机病毒(1)安装最新版本的、功能强大的防杀计算机病毒软件,如瑞星、卡巴斯基等。(2)及时更新查杀计
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机病毒 木马
链接地址:https://www.desk33.com/p-740809.html