项目2常见的病毒表现及防护.ppt

《项目2常见的病毒表现及防护.ppt》由会员分享，可在线阅读，更多相关《项目2常见的病毒表现及防护.ppt（54页珍藏版）》请在三一办公上搜索。

1、学习情境四：计算机病毒与木马,项目2 常见的病毒表现及防护,项目2 常见的病毒表现及防护,课题引入常见的计算机病毒 计算机病毒的表现计算机病毒的防范,课题引入项目背景,病毒的产生1983 年 11 月 3 日，弗雷德科恩(Fred Cohen)博士研制出一种在运行过程中可以复制自身的破坏性程序(该程序能够导致UNIX系统死机）伦艾德勒曼(Len Adleman)将它命名为计算机病毒(computer viruses)，并在每周一次的计算机安全讨论会上正式提出。,课题引入项目分析,完成本项目需要解决的问题：有哪些常见的计算机病毒？不同的计算机病毒的表现形式如何？如何对这些计算机病毒进行防范？,课

2、题引入教学目标,完成本项目需要实现的教学目标：常见的计算机病毒（理解）计算机病毒的表现（掌握）计算机病毒的防范（重点掌握）,课题引入应达到的职业能力,了解常见的计算机病毒掌握计算机病毒的表现形式熟练掌握计算机病毒的防范,项目问题1 计算机病毒的定义,计算机病毒一词是从生物医学病毒概念中引申而来的。在生物界，病毒（Virus）是一种没有细胞结构、只有由蛋白质的外壳和被包裹着的一小段遗传物质两部分组成的比细菌还要小的病原体生物，如大肠杆菌、口蹄疫、狂犬病毒、天花病毒、肺结核病毒、禽流感病毒等。绝大多数的病毒只能在显微镜下才能看到，而且不能独立生存，必须寄生在其他生物的活细胞里才能生存。由于病毒利用

3、寄主细胞的营养生长和繁殖后代，因此给寄主生物造成极大的危害。计算机病毒之所以被称为病毒，是因为它们与生物医学上的病毒也有着很多的相同点。例如，它们都具有寄生性、传染性和破坏性。,项目问题1 计算机病毒的定义,我们通常所说的计算机病毒应该是为达到特殊目的制作和传播的计算机代码或程序，简单说就是恶意代码。有些恶意代码会像生物病毒寄生在其它生物细胞中一样，它们隐藏和寄生在其它计算机用户的正常文件中伺机发作，并大量复制病毒体，感染计算机中的其它正常文件；很多计算机病毒也会像生物病毒给寄主带来极大伤害一样，给寄生的计算机造成巨大的破坏，给人类社会造成不利的影响，造成巨大的经济损失。同时，计算机病毒与生物

4、病毒也有很多不同，例如，计算机病毒并不是天然存在的，它们是由一些别有用心的人利用计算机软、硬件所固有的缺陷有目的的编制而成的。,个人电脑病毒,1986 年初，在巴基斯坦的拉合尔(Lahore)，巴锡特(Basit)和阿姆杰德(Amjad)两兄弟经营着一家 IBM-PC 机及其兼容机的小商店。他们编写了Pakistan 病毒，即Brain。在一年内流传到了世界各地。世界上公认的第一个在个人电脑上广泛流行的病毒通过软盘传播。,“蠕虫”莫里斯,1988年冬天，正在康乃尔大学攻读的莫里斯，把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络互联网。1988年11月2日下午5点，互联网的管理人员首次发

5、现网络有不明入侵者。当晚，从美国东海岸到西海岸，互联网用户陷入一片恐慌。,CIH,CIH病毒，又名“切尔诺贝利”，是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的，九八年五月间，陈盈豪还在大同工学院就读时，完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。,冲击波,年仅18岁的高中生杰弗里李帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此，他的邻居们表示不敢相信。在他们的眼里，杰弗里李帕森是一个电脑天才，而决不是什么黑客，更不会去犯罪。,“武汉男生”俗称“熊猫烧香”,2007年李俊制作该病毒。它是一个感

6、染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样,项目问题2 DOS病毒的表现,DOS病毒是指针对DOS操作系统开发的病毒，它们是最早出现、数量最多、变种也最多的计算机病毒。由于Windows系统的普及，DOS病毒几乎绝迹一部分DOS病毒可以在Win9x中进行传播和破坏，甚至在Windows的DOS窗口下运行。毛毛虫病毒发作时在DOS系统的界面上。有一只毛毛

7、虫不停的走动。毛毛虫经过的区域，屏幕上原来正常显示的内容被遮住了，同时DOS系统无法进行正常工作。,项目问题2毛毛虫病毒的表现,引导型病毒,引导型病毒是指改写磁盘上的引导扇区信息的病毒。引导型病毒主要感染软盘和硬盘的引导扇区或者主引导区，在系统启动时，由于先行执行引导扇区上的引导程序，使得病毒加载到系统内存上。引导型病毒一般使用汇编语言编写，因此病毒程序很短，执行速度很快。例如Stone、Brain、Pingpang、Monkey等,引导型病毒表现小球病毒,小球病毒在系统启动后进入系统内存，执行过程中在屏幕上一直有一个小球不停的跳动，呈近似正弦曲线状。,文件病毒,文件型病毒是指能够寄生在文件中

8、的以文件为主要感染对象的病毒。这类病毒主要感染可执行文件或者数据文件。文件型病毒是数量最为庞大的一种病毒，它主要分为伴随型病毒、“蠕虫”型病毒和寄生型病毒几种。例如CIH病毒、红色代码、蓝色代码,文件型病毒CIH,CIH病毒很多人会闻之色变，因为CIH病毒是有史以来影响最大的病毒之一。从1998年6月，从台湾出现之后，CIH病毒引起了持续一年的恐慌，因为它本身具有巨大的破坏性，尤其它是第一个可以破坏某些电脑硬件的病毒。CIH病毒只在每年的4月26日发作，其主要破坏硬盘上的数据,并且破坏部分类型主板上的Flash BIOS，是一种既破坏软件又破坏硬件的恶性病毒。,文件型病毒CIH,当系统的时钟走

9、到了4月26日这一天，中了CIH病毒的计算机将受到巨大的打击。病毒开始发作时，出现“蓝屏”现象，并且提示当前应用被终止，系统需要重新启动,文件型病毒CIH,当计算机被重新启动后，用户会发现自己计算机硬盘上的数据被全部删除了，甚至某些计算机使用者主板上Flash ROM中的BIOS数据被清除,文件型病毒CIH,虽然CIH病毒感染的是Windows95、Windows98可执行文件的病毒，其威胁已经几乎退出了历史舞台，但是CIH病毒给当时计算机界带来的影响是巨大的，而且由于其首次实现了对硬件的破坏，对人们的心里造成的危害也是无法估量的。,文件型病毒红色代码,红色代码病毒是一种网络传播的文件型病毒。

10、该病毒主要针对微软公司的Microsoft IIS和索引服务的Windows NT4.0以及Windows2000服务器中存在的技术漏洞进行对网站的攻击。服务器受到感染的网站将被修改。如果是在英文系统下，红色代码病毒会继续修改网页；如果是在中文系统下，红色代码病毒会继续进行传播。,文件型病毒红色代码,宏病毒,宏是微软公司为其OFFICE软件包设计的一个特殊功能，软件设计者为了让人们在使用软件进行工作时，避免一再地重复相同的动作而设计出来的一种工具，它利用简单的语法，把常用的动作写成宏，当在工作时，就可以直接利用事先编好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作，目的是让用户文档

11、中的一些任务自动化。,宏病毒,可以把特定的宏命令代码附加在指定文件上，通过文件的打开或关闭来获取控制权，实现宏命令在不同文件之间的共享和传递，从而在未经使用者许可的情况下获取某种控制权，达到传染的目的。以Word为例，一旦病毒宏侵入WORD，它就会替代原有的正常宏，如FileOpen、FileSave、FileSaveAs和 FilePrint等等，并通过这些宏所关联的文件操作功能获取对文件交换的控制。,宏病毒,宏病毒的表现现象尝试保存文档时，Word只允许保存为文档模板 Word文档图标的外形类似文档模板图标而不是文档图标 在工具菜单上选择“宏”并单击“宏”后，程序没有反应 宏列表中出现新宏

12、 打开Word文档或模板时显示异常消息 如果打开一个文档后没有进行修改，立即就有存盘操作,宏病毒,防范可以采取如下几项措施提高宏的安全级别 删除不知来路的宏定义 将Normal.dot模板进行备份,宏病毒Word文档杀手病毒,Word文档杀手病毒通过网络进行传播，大小为53248字节。该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档，并试图用自身覆盖找到的Word文档，达到传播的目的。病毒将破坏原来文档的数据，而且会在计算机管理员修改用户密码时进行键盘记录，记录结果也会随病毒传播一起被发送。,宏病毒Word文档杀手病毒,Word文档杀手病毒运行后，将在用户计算机中创建

13、图中所示的文件。当sys文件创建好后，Word文档杀手病毒将在注册表中添加下列启动项：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun“Explorer”=“%SystemDir%sys.exe”。这样，在Windows启动时，病毒就可以自动执行了。,宏病毒Word文档杀手病毒,病毒运行后，当用户试图打开Word文档，则出现下图所示的消息框。,蠕虫病毒,蠕虫(Worm)病毒是一种通过网络传播的恶意病毒。它的出现相对于文件病毒、宏病毒等传统病毒较晚，但是无论是传播的速度、传播范围还是破坏程度上都

14、要比以往传统的病毒严重的多。蠕虫病毒一般由两部分组成：一个主程序和一个引导程序。,蠕虫病毒,主程序的功能是搜索和扫描。它可以读取系统的公共配置文件，获得网络中的联网用户的信息，从而通过系统漏洞，将引导程序建立到远程计算机上。引导程序实际是蠕虫病毒主程序的一个副本，主程序和引导程序都具有自动重新定位的能力。,蠕虫病毒,蠕虫病毒的传播利用微软的系统漏洞攻击计算机网络 利用电子邮件进行传播,蠕虫病毒,蠕虫程序的工作流程蠕虫程序扫描到有漏洞的计算机系统后，将蠕虫主体迁移到目标主机。蠕虫程序进入被感染的系统，对目标主机进行现场处理。现场处理部分的工作包括：隐藏、信息搜集等蠕虫程序生成多个副本，重复上述流

15、程。,蠕虫病毒,蠕虫病毒,蠕虫病毒的行为特征自我繁殖：蠕虫在本质上已经演变为黑客入侵的自动化工具，当蠕虫被释放（release）后，从搜索漏洞，到利用搜索结果攻击系统，到复制副本，整个流程全由蠕虫自身主动完成。就自主性而言，这一点有别于通常的病毒。利用软件漏洞：任何计算机系统都存在漏洞，这些就蠕虫利用系统的漏洞获得被攻击的计算机系统的相应权限，使之进行复制和传播过程成为可能。,蠕虫病毒,造成网络拥塞：在扫描漏洞主机的过程中，蠕虫需要：判断其它计算机是否存在；判断特定应用服务是否存在；判断漏洞是否存在等等，这不可避免的会产生附加的网络数据流量。消耗系统资源：蠕虫入侵到计算机系统之后，会在被感染的

16、计算机上产生自己的多个副本，每个副本启动搜索程序寻找新的攻击目标。留下安全隐患：大部分蠕虫会搜集、扩散、暴露系统敏感信息（如用户信息等），并在系统中留下后门。,蠕虫病毒,病毒类型：普通病毒 蠕虫病毒 存在形式：寄存文件独立程序传染机制：宿主程序运行主动攻击 传染目标：本地文件网络计算机,蠕虫病毒冲击波,冲击波病毒是一种利用系统RPC漏洞进行传播和破坏的蠕虫病毒。当感染了冲击波病毒的计算机中的冲击波病毒发作的时候，蠕虫病毒会给Windows2000、WindowsXP系统带来非常不稳定、重新启动、死机等后果。中了冲击波病毒，系统会出现一个提示框，指出由于远程过程调用（RPC）服务意外终止，Win

17、dows必须立即关闭。同时，消息框给出了一个倒计时，当倒计时完成时，计算机就将重新启动或者关闭。,蠕虫病毒冲击波,蠕虫病毒Swen,四维（Swen）病毒（又叫做斯文），是另一种类型的蠕虫病毒，它主要通过邮件进行传播。该病毒将自己伪装成微软公司的升级邮件来诱惑用户点击，实现病毒的感染和破坏。邮件使用者收到的带有四维病毒的邮件。该邮件的标题是“Lasted Update”，而且邮件中有着微软公司的一些信息。这些诱骗使得用户真的可能以为这是微软公司最新的安全更新程序。,蠕虫病毒Swen,蠕虫病毒Swen,当用户打开该邮件，则会看到邮件内容。其中，附件中有一个可执行程序，它的名字也很像微软公司的安全补

18、丁程序。,蠕虫病毒Swen,当受骗的用户真的打开附件时，病毒对用户的欺骗还没有完成，Outlook会有一个提示框，让用户选择是直接打开还是进行保存，由于用户以为是安全更新程序，所以会直接进行安装。,蠕虫病毒Swen,当点击了确定按钮之后，病毒会给出一个进行安全更新的提示。,蠕虫病毒Swen,当用户选择“是”之后，病毒还会给出安装时的进度条。当安装进度条的进度完成，这时病毒会给出提示安全更新已经成功完成。,项目问题3文件型病毒的防范,对文件型病毒的防范，一般采用以下一些方法：安装最新版本、有实时监控文件系统功能的防病毒软件。及时更新病毒引擎，一般每月至少更新一次，最好每周更新一次，并在有病毒突发

19、事件时立即更新。经常使用防毒软件对系统进行病毒检查。对关键文件，如系统文件、重要数据等，在无毒环境下经常备份。在不影响系统正常工作的情况下对系统文件设置最低的访问权限。,项目问题3引导型病毒的防范,对引导型病毒的防范，一般采取如下措施：尽量避免使用软盘等移动设备保存和传递资料，如果需要使用，则应该先对软盘中的文件进行病毒的查杀。软盘用完后应该从软驱中取出。避免在软驱中存有软盘的情况下开机或者启动操作系统。,项目问题3宏病毒的防范,对宏病毒进行防范可以采取如下几项措施：提高宏的安全级别。目前的高版本的Word软件可以设置宏的安全级别，在不影响正常使用的情况下，应该选择较高的安全级别删除不知来路的

20、宏定义。将Normal.dot模板进行备份，当被病毒感染后，使用备份模板进行覆盖。如果怀疑外来文件含有宏病毒，可以使用写字板打开该文件，然后将文本粘贴到Word中，转换后的文档是不会含有宏的。,蠕虫病毒的防范,针对蠕虫病毒传播方式的特点，对其进行防范需要以下的一些措施：用户在网络中共享的文件夹一定要将权限设置为只读，而且最好对于重要的文件夹设置访问账号和密码。要定期检查自己的系统内是否具有可写权限的共享文件夹，一旦发现这种文件夹，需要及时关闭该共享权限。要定期检查计算机中的账户，看看是否存在不明账户信息。一旦发现，应该立即删除该账户，并且应该禁用Guest账号，防止被病毒利用。,蠕虫病毒的防范,针对蠕虫病毒传播方式的特点，对其进行防范需要以下的一些措施：给计算机的账户设置比较复杂的密码，防止被蠕虫病毒破译。购买主流的网络安全产品，并随时更新。提高防杀病毒的意识，不要轻易点击陌生的站点。不要随意查看陌生邮件，尤其是带有附件的邮件。对于网络管理人员，尤其是邮件服务器的管理人员，需要经常检测网络流量，一旦发现流量猛增，有可能在网络中已经存在了蠕虫病毒。,总 结,完成本项目的学习之后，我们已经掌握了计算机病毒的表现及防护方法。具体内容如下：了解了常见的计算机病毒掌握了计算机病毒的表现形式掌握了计算机病毒的防范,作 业,不同的计算机病毒在表现形式上有什么区别？如何对计算机病毒进行防范？,