冀教版信息技术四上第11课计算机病毒与网络安全课件1.ppt

计算机病毒与网络安全 中小学课件网1.计算机病毒的起源与发展2.计算机病毒的定义与特征 ★3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 ★6.其他恶意程序 中小学课件网 中小学课件网计算机病毒的发展史•自第一个真正意义上的计算机病毒于自第一个真正意义上的计算机病毒于1983年走出实验室以来，人们对它的认识经历年走出实验室以来，人们对它的认识经历了了“不以为然不以为然→谈毒色变谈毒色变→口诛笔伐，人口诛笔伐，人人喊打人喊打→理性对待，泰然处之理性对待，泰然处之”四个阶段四个阶段 中小学课件网计算机病毒产生的历史•1977年:出现在科幻小说中•1983年： Fred Cohen：在计算机安全研讨会上发布•1986年：巴基斯坦两兄弟为追踪非法拷贝其软件的人制造了“巴基斯坦”病毒，成了世界上公认的第一个传染PC兼容机的病毒，并且很快在全球流行•1987年10月：美国发现世界上第一例病毒(Brain)•1988年：小球病毒传入我国，在几个月之内迅速传染了20 多个省、市，成为我国第一个病毒案例•此后，如同打开的潘多拉的盒子，各种计算机病毒层出不穷！ 中小学课件网计算机病毒的发展阶段—萌芽阶段 1 萌芽阶段萌芽阶段 –1986年到1989年：计算机病毒的萌芽时期–病毒清除相对比较容易 特点：①攻击目标单一②主要采取截取系统中断向量的方式监控系统的运行状态，并在一定的触发条件下进行传播③传染后特征明显④不具自我保护措施 中小学课件网计算机病毒的发展阶段—综合发展阶段2 综合发展阶段综合发展阶段–1989年到1992年：由简单到复杂，由原始走向成熟 特点：1.攻击目标趋于混合型2.采用更为隐蔽的方法驻留内存3.感染目标后没有明显的特征 4.开始采用自我保护措施5.开始出现变种 中小学课件网计算机病毒的发展阶段—成熟发展阶段3 成熟发展阶段成熟发展阶段 –1992到1995年：病毒开始具有多态多态性质。

病毒每次传染目标时，嵌入宿主程序中的病毒程序大部分可变种可变种，正由于这个特点，传统的特征码检测病毒法开始了新的探索研究 –在这个阶段，病毒的发展主要集中在病毒技术的提高上，病毒开始向多维化方向发展，对反病毒厂商也提出了新的挑战 中小学课件网计算机病毒的发展阶段—网络病毒阶段 4 网络病毒阶段网络病毒阶段 –1995年到2000年：随着网络的普及，大量的病毒开始利用网络传播，蠕虫蠕虫开始大规模的传播由于网络的便利和信息的共享，很快又出现了通过通过E-mail传播的病毒传播的病毒由于宏病毒宏病毒编写简单、破坏性强、清除复杂，加上微软未对WORD文档结构公开，给清除宏病毒带来了不便–这一阶段的病毒，主要是利用网络来进行传播和破坏 中小学课件网计算机病毒的发展阶段—迅速壮大的阶段 5.迅速壮大的阶段–2000年以后：成熟繁荣阶段，计算机病毒的更新和传播手段更加多样性，网络病毒的目的性目的性也更强–出现了木马，恶意软件等特定目的特定目的的恶意程序 特点：①技术综合利用，病毒变种速度大大加快②恶意软件和病毒程序直接把矛头对向了杀毒软件③计算机病毒技术和反病毒技术的竞争进一步激化，反病毒技术也面临着新的洗牌 中小学课件网1.计算机病毒的起源与发展2.计算机病毒的定义与特征 ★3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 ★6.其他恶意程序 中小学课件网计算机病毒的定义•狭义定义–计算机病毒是一种靠修改其它程序来插入或进行自身拷贝，从而感染其它程序的一种程序。

—— Fred Cohen博士对计算机病毒的定义•广义定义–能够引起计算机故障，破坏计算机数据，影响计算机系统的正常使用的程序代码•我国定义–《中华人民共和国计算机信息系统安全保护条例》第二十八条："计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码 中小学课件网计算机病毒的特征基本特征基本特征1.传染性–自我复制，通过多种渠道传播2.潜伏性–感染后不一定立刻发作–依附于其他文件、程序、介质，不被发现3.可触发性–触发条件：日期、时间、文件类型4.破坏性–破坏数据的完整性和可用性–破坏数据的保密性–系统和资源的可用性5.非授权可执行性 中小学课件网计算机病毒的特征其它特征其它特征1.寄生性–寄生于其它文件、程序2.隐蔽性–程序隐蔽、传染隐蔽；–不易被发现3.针对性*–针对特定的计算机、特定的操作系统4.多态性*–每一次感染后改变形态，检测更困难5.持久性*–难于清除 中小学课件网1.计算机病毒的起源与发展2.计算机病毒的定义与特征 ★3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 ★6.其他恶意程序 中小学课件网计算机病毒的分类•按宿主分类•按危害分类•按传播媒介分类•按攻击平台分类 中小学课件网计算机病毒的分类•按宿主分类–1)引导型病毒•主引导区•操作系统引导区–2)文件型病毒•操作系统•应用程序•宏病毒–3)复合型病毒•复合型病毒具有引导区型病毒和文件型病毒两者的特征 中小学课件网计算机病毒的分类•按危害分类–良性病毒•如：小球病毒–恶性病毒•如：CIH病毒 中小学课件网计算机病毒的分类•按传播媒介分类–单机病毒•DOS、Windows、Unix/Linux病毒等–网络病毒•通过网络或电子邮件传播 中小学课件网计算机病毒的分类•按攻击平台分类–DOS病毒：MS-DOS及兼容操作系统上编写的病毒–Windows病毒：Win32上编写的纯32位病毒程序–MAC病毒–Unix/Linux病毒 中小学课件网1.计算机病毒的起源与发展2.计算机病毒的定义与特征 ★3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 ★6.其他恶意程序 中小学课件网计算机病毒的危害性1.攻击系统数据区–攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录2.攻击文件–删除、改名、替换内容、丢失簇和对文件加密等3.攻击内存–内存是计算机的重要资源，也是病毒攻击的重要目标 中小学课件网计算机病毒的危害性4.干扰系统运行，使运行速度下降–如不执行命令、打不开文件–干扰内部命令的执行、扰乱串并接口、虚假报警、强制游戏–内部栈溢出、重启动、死机–病毒激活时，系统时间延迟程序启动，在时钟中纳入循环计数，迫使计算机空转，运行速度明显下降5.干扰键盘、喇叭或屏幕，适用户无法正常操作–响铃、封锁键盘、换字、抹掉缓存区字符、输入紊乱等。

–许多病毒运行时，会使计算机的喇叭发出响声–病毒扰乱显示的方式很多，如字符跌落、倒置、显示前一屏、打开对话框、光标下跌、滚屏、抖动、乱写等 中小学课件网计算机病毒的危害性6.攻击CMOS，破坏系统硬件–有的病毒激活时，能够对CMOS进行写入动作，破坏CMOS中的数据例如CIH病毒破坏计算机硬件，乱写某些主板BIOS芯片，损坏硬盘7.干扰打印机–如假报警、间断性打印或更换字符8.干扰网络正常运行–网络病毒破坏网络系统，非法使用网络资源，破坏电子邮件，发送垃圾信息，占用网络带宽、阻塞网络、造成拒绝服务等 中小学课件网历年重大病毒影响情况病毒名称出现时间造成的经济损失莫里斯蠕虫19886000台电脑停机，9600万美元美丽莎1999超过12亿美元爱虫2000100亿美元红色代码2001超过20亿美元求职信2001超过100亿美元SQL蠕虫王2003超过20亿美元 中小学课件网1.计算机病毒的起源与发展2.计算机病毒的定义和特征 ★3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 ★6.其他恶意程序 中小学课件网计算机病毒分析①计算机病毒的结构及工作机理②引导型病毒分析③文件型病毒分析④宏病毒分析⑤蠕虫病毒分析⑥特洛伊木马分析 中小学课件网①计算机病毒的结构及工作机理•计算机病毒的结构传染条件判断传染条件判断传染条件判断传染条件判断传染代码传染代码传染代码传染代码传染模块传染模块传染模块传染模块表现及破坏条件判断表现及破坏条件判断表现及破坏条件判断表现及破坏条件判断破坏代码破坏代码破坏代码破坏代码表现模块表现模块表现模块表现模块引导代码引导代码引导代码引导代码引导模块引导模块引导模块引导模块 中小学课件网①计算机病毒的结构及工作机理1.引导过程–也就是病毒的初始化部分，它随着宿主程序的执行而进入内存，为传染部分做准备2.传染过程–作用是将病毒代码复制到目标上去。

一般病毒在对目标进行传染前，要首先判断传染条件是否满足，判断病毒是否已经感染过该目标等，如CIH病毒只针对Windows 95/98操作系统3.表现过程–是病毒间差异最大的部分，前两部分是为这部分服务的它破坏被传染系统或者在被传染系统的设备上表现出特定的现象大部分病毒都是在一定条件下才会触发其表现部分的 中小学课件网②引导型病毒实例分析•引导型病毒–传染机理•利用系统启动的缺陷–传染目标•硬盘的主引导区和引导区•软盘的引导区–传染途径•通过软盘启动计算机–防治办法•从C盘启动•打开主板的方病毒功能–典型病毒•小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒 中小学课件网②引导型病毒分析•引导型病毒–引导扇区是大部分系统启动或引导指令所保存的地方，而且对所有的磁盘来讲，不管是否可以引导，都有一个引导扇区感染的主要方式就是发生在计算机通过已被感染的引导盘（常见的如一个软盘）引导时发生的 中小学课件网②引导型病毒分析•引导型病毒——主引导记录（MBR）主分区表主分区表主分区表主分区表(64(64字节）字节）字节）字节）结束标记结束标记结束标记结束标记（（（（2 2字节）字节）字节）字节）引导代码及引导代码及引导代码及引导代码及出错信息出错信息出错信息出错信息55AA55AA主引导程序主引导程序主引导程序主引导程序(446(446字节字节字节字节) )分区分区分区分区1(16 1(16 字节字节字节字节) )分区分区分区分区2(16 2(16 字节字节字节字节) )分区分区分区分区3(16 3(16 字节字节字节字节) )分区分区分区分区4(16 4(16 字节字节字节字节) )A 中小学课件网②引导型病毒分析•引导型病毒——系统引导过程Power OnPower OnCPU & ROM CPU & ROM BIOS InitializesBIOS InitializesPOST TestsPOST TestsLook for Look for boot deviceboot deviceMBR bootMBR bootPartition Table LoadPartition Table LoadDOS Boot DOS Boot Sector RunsSector RunsLoads IO.SYSLoads IO.SYSMSDOS.SYSMSDOS.SYSDOS LoadedDOS Loaded 中小学课件网。

病毒病毒病毒病毒②引导型病毒分析•引导型病毒——感染与执行过程系统引导区系统引导区系统引导区系统引导区引导引导引导引导正常执行正常执行正常执行正常执行病毒病毒病毒病毒病毒执行病毒驻留带毒执行带毒执行引导系统引导系统引导系统引导系统病毒体病毒体病毒体病毒体 中小学课件网③文件型病毒分析•文件型病毒–传染机理：利用系统加载执行文件的缺陷–传染目标：各种能够获得系统控制权执行的文件–传染途径：各种存储介质、网络、电子邮件–防治办法•使用具有实时监控功能的杀毒软件•不要轻易打开邮件附件–典型病毒•1575病毒、CIH病毒 中小学课件网③文件型病毒分析•文件型病毒文件型病毒与引导扇区病毒区别是：它攻击磁它攻击磁盘上的文件盘上的文件 中小学课件网③文件型病毒分析•文件型病毒——传染机理正常正常正常正常程序程序程序程序正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头病毒程序头病毒程序头病毒程序头病毒程序头程序头程序头程序头程序头病毒程序头病毒程序头病毒程序头病毒程序头程序头程序头程序头程序头病毒程序头病毒程序头病毒程序头病毒程序头程序头程序头程序头程序头病毒程序头病毒程序头病毒程序头病毒程序头程序头程序头程序头程序头病毒程序头病毒程序头病毒程序头病毒程序头程序头程序头程序头程序头病毒程序头病毒程序头病毒程序头病毒程序头程序头程序头程序头程序头病毒程序病毒程序病毒程序病毒程序程序头程序头程序头程序头病毒程序病毒程序病毒程序病毒程序程序头程序头程序头程序头病毒程序病毒程序病毒程序病毒程序程序头程序头程序头程序头病毒程序病毒程序病毒程序病毒程序程序头程序头程序头程序头病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序病毒程序正常正常正常正常程序程序程序程序程序头程序头程序头程序头程序头程序头程序头程序头 中小学课件网④宏病毒分析•宏病毒–定义：宏病毒是指利用软件所支持的宏命令或语言书写的一段寄生在支持宏的文档上的，具有复制、传染能力的宏代码–跨平台式计算机病毒：可以在Windows 9X、Windows NT、OS/2和Unix、Mac等操作系统上执行病毒行为–影响系统的性能以及对文档的各种操作，如打开、存储、关闭或清除等–宏病毒对病毒而言是一次革命。

现在通过E-mail、3W的互联能力及宏语言的进一步强化，极大地增强了它的传播能力 中小学课件网④宏病毒分析•宏病毒–传染机理：利用处理的文件可以内嵌宏的功能–传染目标：doc、dot、xls、ppt、mdb等文件（Win）–传染途径：各种存储介质、网络、电子邮件–防治办法•使用具有实时监控功能的杀毒软件•打开系统提供的宏保护功能–典型病毒•“七月杀手”病毒、“美丽莎”病毒 中小学课件网④宏病毒分析•宏病毒——工作机理有毒文件有毒文件有毒文件有毒文件.doc.docNormal.dotNormal.dot激活激活激活激活autoopenautoopen宏宏宏宏写入无毒文件无毒文件无毒文件无毒文件.doc.docNormal.dotNormal.dot启动激活病毒激活病毒激活病毒激活病毒 中小学课件网⑤蠕虫病毒分析•蠕虫病毒–一个独立的计算机程序，不需要宿主–自我复制，自主传播（Mobile）–占用系统或网络资源、破坏其他程序–不伪装成其他程序，靠自主传播•利用系统漏洞；•利用电子邮件（无需用户参与） 中小学课件网⑤蠕虫病毒分析•蠕虫病毒–传染机理：利用系统或服务的漏洞–传染目标：操作系统或应用服务–传染途径：网络、电子邮件–防治办法•使用具有实时监控功能的杀毒软件•不要轻易打开邮件附件•打最新补丁，更新系统–典型病毒•RedCode，尼姆达、冲击波等 中小学课件网⑤蠕虫病毒分析•实例：莫尔斯蠕虫事件–发生于1988年，当时导致大约3000台机器瘫痪–主要的攻击方法•Rsh，rexec：用户的缺省认证•Sendmail 的debug模式•Fingerd的缓冲区溢出•口令猜测 中小学课件网⑤蠕虫病毒分析•实例——RedCode –是一种结合了病毒、木马、DDOS机制的蠕虫–2001年7月中旬，在美国等地大规模蔓延；2001年8月初，出现变种codered II，针对中文版windows系统，国内大规模蔓延–特点：•通过80端口传播•只存在于网络服务器的内存，不通过文件载体•利用IIS缓冲区溢出漏洞（2001年6月18日发布） 中小学课件网⑤蠕虫病毒分析•实例——RedCode I–主要影响Windows NT系统和Windows 2000•主要影响国外网络•据CERT统计，感染超过25万台–主要行为•利用IIS 的Index服务的缓冲区溢出缺陷进入系统•检查c:\notworm文件是否存在以判断是否感染•中文保护（是中文windows就不修改主页）•攻击白宫！ 中小学课件网⑥特洛伊木马分析•特洛伊木马程序–名字来源：古希腊故事–通过伪装成其他程序、有意隐藏自己恶意行为的程序，通常留下一个远程控制的后门–没有自我复制的功能–非自主传播•用户主动发送给其他人•放到网站上由用户下载 中小学课件网⑥特洛伊木马分析•特洛伊木马程序–传播途径•通过网络下载、电子邮件–防治办法•使用具有实时监控功能的杀毒软件•不要轻易打开邮件附件•不要轻易运行来路不明的文件–典型例子•BO、BO2k、Subseven、冰河、广外女生等 中小学课件网病毒、蠕虫与木马的比较需要不需要需要宿主留下后门，窃取信息侵占资源,造成拒绝服务破坏数据完整性、系统完整性主要危害慢 极快快传播速度依靠用户主动传播自主传播依赖宿主文件或介质传播方式伪装成其它文件独立的文件一般不以文件形式存在表现形式木马蠕虫病毒特性 中小学课件网1.计算机病毒的起源与发展2.计算机病毒的定义和特征 ★3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 ★6.其他恶意程序 中小学课件网其他恶意程序①后门(Backdoor)–一种能让黑客未经授权进入和使用本系统的恶意程序②僵尸(Bot)–一种集后门与蠕虫一体的恶意程序. 通常使用IRC (Internet Relay Chat) 接受和执行黑客命令③广告软件/间谍软件 中小学课件网①后门•具有反侦测能力–隐藏文件, 进程, 网络端口和连接, 系统设置, 系统服务–可以在恶意程序之中, 例如 Berbew；也有独立软件, 例如 Hackder Defender•为控制者提供远程操作能力 中小学课件网②僵尸•僵尸生态系统–僵尸–僵尸网–管理通道–看守者•从 MyDoom.A开始进入鼎盛期–打开后门 TCP port 3127 - 3198–下载和执行程序–利用被感染的计算机散发电子邮件–数以百万计的感染计算机被出卖给了垃圾邮件的制造者 中小学课件网②僵尸——僵尸网发展趋势1）源代码可在网上免费下载2）管理方式的变化:•过去: 集中管理–一个 IRC 服务器管理所有僵尸–关闭服务器就破坏了僵尸网•现在: 提升–注册多个IRC 服务器–通讯加密 (AES-128 或更强)•今后: 分布式 (P2P)管理–对照分析: •Napster: 集中管理, 容易被关闭•eDonkey: 分布式管理, 不容易被关闭 中小学课件网③广告软件/间谍软件 •广告软件–弹出窗口及横幅形式向用户提供广告服务–通常经过用户授权•间谍软件–未经授权收集用户信息–未经授权上传用户信息–未经授权改变系统外表及行为 中小学课件网③广告软件/间谍软件——传播方式•社会工程（欺骗）方法 –非软件或硬件漏洞–电子邮件：附属可执行文件–电子邮件：隐蔽真实联接–弹出窗口–伪装网站–附属于其它免费或商业软件•利用浏览器瑕疵–自动下载及安装 中小学课件网手段一: 虚假安全警告 中小学课件网手段二: “取消”实际为“是” 中小学课件网手段三: 重复 中小学课件网手段四: 附加安装软件 中小学课件网手段五：利用浏览器缺陷•一些浏览器缺陷可被利用绕过安全检测和用户提示，直接启动恶意程序–例如，利用MS03-014缺陷自动下载及运行文件{u='http://www.not-real- data="&#'+109+';s-its:mhtml'+':'+'file://C:\\foo.mht!'+u+'::/1.htm"type="text/x-scriptlet">');} 中小学课件网恶意程序族谱间谍程序间谍程序Spyware 病病 毒毒Viruses木马程序木马程序Trojans后门程序后门程序BACKDOORS广告程序广告程序Adware 蠕蠕 虫虫 WORMSa.E-mailb.Networkc.IRC恶意程序恶意程序Malware“All Worms are Viruses” but “Not all Viruses are Worms” 中小学课件网恶意软件发展趋势•专业化–集病毒，蠕虫，木马，后门，广告，间谍，恶意核心程序于一体。

–只感染一小部分计算机, 以避免被发现–有自动更新功能•商业化–以前: 为制造轰动效应（上电台报纸）–现在: 钱 (有组织犯罪)•散发出垃圾邮件•发动中断服务袭击 中小学课件网。