《计算机病毒概述》由会员分享,可在线阅读,更多相关《计算机病毒概述(51页珍藏版)》请在金锄头文库上搜索。
1、 计算机病毒概述4.1计算机病毒的危害4.2计算机病毒的检测与防范4.3木马攻击与分析4.4木马的攻击防护技术4.5第4章 计算机病毒与木马4.1 计算机病毒概述4.1.1 计算机病毒的起源 计算机病毒的产生是一个历史问题,是计 算机科学技术高度发展与计算机文明迟迟 得不到完善这样一种不平衡发展的结果, 它充分暴露了计算机信息系统本身的脆弱 性和安全管理方面存在的问题。如何防范 计算机病毒的侵袭已成为国际上亟待解决 的重大课题。4.1 计算机病毒概述4.1.2 计算机病毒的定义 在中华人民共和国计算机信息系统安全 保护条例中明确定义,计算机病毒指“编 制或者在计算机程序中插入的破坏计算机 功能
2、或者破坏数据,影响计算机使用并且 能够自我复制的一组计算机指令或者程序 代码”。计算机病毒具有非法性、隐藏性、 潜伏性、可触发性、破坏性、传染性等特 性。4.1.3 计算机病毒的分类(1)按照计算机病毒攻击的系统分类。 攻击攻击DOSDOS系统的病毒系统的病毒这类病毒出现最早、数量最 多,变种也最多。 攻击攻击WindowsWindows系统的病毒系统的病毒由于Windows系统是 多用户、多任务的图形界面操作系统,深受用户的欢迎 , Windows系统正逐渐成为病毒攻击的主要对象。 攻击攻击UNIXUNIX系统的病毒系统的病毒当前,UNIX系统应用非 常广泛,并且许多大型的网络设备均采用 U
3、NIX作为其主 要的操作系统,所以UNIX病毒的出现,对人类的信息安 全是一个严重的威胁。4.1.3 计算机病毒的分类(2)按照计算机病毒的链接方式分类。 源码型病毒源码型病毒该病毒攻击高级语言编写的程序,该病毒在高级 语言所编写的程序编译前插入到源程序中,经编译成为合法程序的 一部分。 嵌入型病毒嵌入型病毒这种病毒是将自身嵌入到现有程序中,把计算机 病毒的主体程序与其攻击的对象以插入的方式链接。这种计算机病 毒是难以编写的,一旦侵入程序体后也较难消除。 外壳型病毒外壳型病毒将其自身包围在主程序的四周,对原来的程序不 作修改。这种病毒最为常见,易于编写,也易于发现,一般测试文 件的大小即可知道
4、。 操作系统型病毒操作系统型病毒这种病毒用它自己的程序意图加入或取代部 分操作系统的程序模块进行工作,具有很强的破坏力,可以导致整 个系统的瘫痪。圆点病毒和大麻病毒就是典型的操作系统型病毒。4.1.3 计算机病毒的分类(3)按照计算机病毒的破坏情况分类。 良性计算机病毒良性计算机病毒这类病毒为了表现其存在 ,只是不停地进行扩散,从一台计算机传染到 另一台,并不破坏计算机内的数据。它一般会 导致整个系统运行效率降低,给正常操作带来 麻烦。 恶性计算机病毒恶性计算机病毒指在其代码中包含有损 伤和破坏计算机系统的操作,在其传染或发作 时会对系统产生直接的破坏作用。4.1.3 计算机病毒的分类(4)根
5、据计算机病毒传染方式进行分类 磁盘引导区传染的计算机病毒磁盘引导区传染的计算机病毒磁盘引导区传染的 病毒主要是用病毒的全部或部分逻辑取代正常的引导记 录,而将正常的引导记录隐藏在磁盘的其他地方。例如 ,“大麻”和“小球”病毒就是这类病毒。 操作系统传染的计算机病毒操作系统传染的计算机病毒这类病毒作为操作系 统的一部分,只要计算机开始工作,病毒就处在随时被 触发的状态。 “黑色星期五”即为此类病毒。 可执行程序传染的计算机病毒可执行程序传染的计算机病毒可执行程序传染的 病毒通常寄生在可执行程序中,一旦程序被执行,病毒 就会被激活。4.1.3 计算机病毒的分类(5)按照计算机病毒激活的时间分类。
6、定时型病毒定时病毒是在某一特定 时间发作的病毒,它是以时间为发作的触 发条件,如果时间不满足,此类病毒将不 会进行破坏活动。 随机型病毒与定时型病毒不同的是随 机型病毒,此类病毒不是通过时钟进行触 发的。4.1.3 计算机病毒的分类(6)按照传播媒介分类。 单机病毒单机病毒的载体是磁盘, 常见的是病毒从软盘传入硬盘,感染系统 ,然后再传染给其他软盘,软盘又传染给 其他系统。 网络病毒网络病毒的传播媒介不再 是移动式载体,而是网络通道,这种病毒 的传染能力更强,破坏力更大。4.1.4 计算机病毒的结构图图4.1 计计算机病毒的程序结结构图图1计算机病毒的程序结构引导模块的 作用:将病 毒加载到内
7、 存,使病毒 程序处于活 动状态。传染模块的 作用:将病 毒代码复制 到其它传染 目标上去。破坏模块的作 用:对触发条 件进行判断, 满足时就实行 破坏表现功能 。2计算机病毒的存储结构(1)病毒的磁盘存储结构系统型病毒是指专门传染操作系统的启动扇区,主 要是硬盘主引导区和DOS引导扇区的病毒。文件型病毒是指感染系统中可执行文件或者依赖于 可执行文件发作的病毒。 (2)病毒的内存驻留结构n 驻留在常规内存中n 驻留在高端内存中n 不用驻留内存4.2 计算机病毒的危害在计算机病毒出现的初期,说到计算机病毒的危害,往往注重于病毒对信息 系统的直接破坏作用,比如格式化硬盘、删除文件数据等,并以此来区
8、分恶 性病毒和良性病毒。其实这些只是病毒劣迹的一部分,随着计算机应用的发 展,人们深刻地认识到凡是病毒都可能对计算机信息系统造成严重的破坏。 计算机病毒的主要危害有:计算机病毒的主要危害有: 1病毒激发对计算机数据信息的直接破坏作用 2占用磁盘空间和对信息的破坏 3抢占系统资源 4影响计算机运行速度 5计算机病毒错误与不可预见的危害 6计算机病毒的兼容性对系统运行的影响 7计算机病毒给用户造成严重的心理压力 4.2.1 计算机病毒的表现 计算机运行速度的变化计算机运行速度的变化主要现象包括:计算机的反应速度比 平时迟钝很多;应用程序的载入比平时要多花费很长的时间。 计算机磁盘的变化计算机磁盘的
9、变化主要现象包括:对一个简单的磁盘存储操 作比预期时间长很多;当没有存取数据时,硬盘指示灯无缘无故地 亮了;磁盘的可用空间大量地减少;磁盘或者磁盘驱动器不能访问 。 计算机内存的变化计算机内存的变化主要现象包括:系统内存的容量突然间大 量地减少;内存中出现了不明的常驻程序。 计算机文件系统的变化计算机文件系统的变化主要现象包括:可执行程序的大小被 改变了;重要的文件奇怪地消失;文件被加入了一些奇怪的内容; 文件的名称、日期、扩展名等属性被更改;系统出现一些特殊的文 件;驱动程序被修改导致很多外部设备无法正常工作。 异常的提示信息和现象异常的提示信息和现象主要现象包括:出现不寻常的错误提 示信息
10、;计算机经常死机或者重新启动;启动应用程序时出现错误 提示信息对话框。计算机病毒的检测与防范n n资源管理器资源管理器n文件夹选项设置n文件浏览方式n n任务管理器任务管理器n进程选项卡n性能选项卡4.2.2 计算机故障与病毒特征区别 计算机硬件的配置计算机硬件的配置 硬件的正常使用硬件的正常使用 CMOSCMOS的设置的设置 丢失文件丢失文件 文件版本不匹配文件版本不匹配 资源耗尽资源耗尽 非法操作非法操作4.2.3 常见的计算机病毒1 1早期的早期的DOSDOS病毒病毒 2 2引导型病毒引导型病毒 3 3文件型病毒文件型病毒 4 4蠕虫病毒蠕虫病毒 5 5木马病毒木马病毒4.3 计算机病毒
11、的检测与防范4.3.1 文件型病毒 对文件型病毒的防范,一般采用以下一些方法。 安装最新版本、有实时监控文件系统功能的防病毒软 件。 及时更新病毒引擎,一般每月至少更新一次,最好每 周更新一次,并在有病毒突发事件时立即更新。 经常使用防毒软件对系统进行病毒检查。 对关键文件,如系统文件、重要数据等,在无毒环境 下经常备份。 常见的杀毒软件:诺顿、江民、瑞星、金山、卡巴斯基常见的杀毒软件:诺顿、江民、瑞星、金山、卡巴斯基 、PC-PC-CillinCillin、McAfee McAfee 、VirusVirus驱逐舰等驱逐舰等4.3.2 引导型病毒对引导型病毒的防范,一般采取如下措施。 尽量避免
12、使用软盘等移动设备保存和传递资料 ,如果需要使用,则应该先对软盘中的文件进行 病毒的查杀。 软盘用完后应该从软驱中取出。 避免在软驱中存有软盘的情况下开机或者启动 操作系统。4.3.3 宏病毒对宏病毒进行防范可以采取如下几项措施。 提高宏的安全级别。目前的高版本的Word软件可以设置宏的安全 级别,在不影响正常使用的情况下,应该选择较高的安全级别,如 图4.20所示。图图4.20 宏的安全性选项选项4.3.3 宏病毒 删除不知来路的宏定义。 将Normal.dot模板进行备份,当被病毒感染后 ,使用备份模板进行覆盖。如果怀疑外来文件含有宏病毒,可以使用写 字板打开该文件,然后将文本粘贴到Wor
13、d中, 转换后的文档是不会含有宏的。4.3.4 蠕虫病毒针对蠕虫病毒, 可以采用以下的 一些防范措施。 用户在网络中 共享的文件夹一 定要将权限设置 为只读只读,如图 4.22所示,而且 最好对于重要的 文件夹设置访问 账号和密码。 图图4.22 设设置文件夹夹的权权限4.3.4 蠕虫病毒 要定期检查自己的系统内是否具有可写权限的共享文件夹,如图 4.23所示,一旦发现这种文件夹,需要及时关闭该共享权限。图图4.23 检查检查 共享文件夹夹4.3.4 蠕虫病毒 要定期检查计算机中的账户,看看是否存在不明账户信息。一旦 发现,应该立即删除该账户,并且禁用Guest账号,如图4.24所示, 防止被
14、病毒利用。图图4.24 检查计检查计 算机中的用户账户户账户4.3.4 蠕虫病毒 给计算机的账户设置比较复杂的密码,防止被 蠕虫病毒破译。 购买主流的网络安全产品,并随时更新。 提高防杀病毒的意识,不要轻易单击陌生的站 点。 不要随意查看陌生邮件,尤其是带有附件的邮 件。 对于网络管理人员,尤其是邮件服务器的管理 人员,需要经常检测网络流量,一旦发现流量猛 增,有可能在网络中已经存在了蠕虫病毒4.4 木马攻击与分析很多网络用户认为,只要装了杀毒软 件,系统就安全了,这种想法是很危险的 !在现今的网络安全环境下,木马、病毒 肆虐,黑客攻击频繁,而各种流氓软软件 、间谍软件也行风作浪,只靠杀毒软件
15、已不 足以保证我们的系统安全。 4.4 木马攻击与分析4.4.1木马背景介绍特洛伊木马(以下简称木马),英文叫做“Trojan horse”,其名称取自希腊神话的特洛伊木马记。 古希腊传说,特洛伊王子帕里斯访问希腊,诱走了王后 海伦,希腊人因此远征特洛伊。围攻9年后,到第10年, 希腊将领奥德修斯献了一计,就是把一批勇士埋伏在一 匹巨大的木马腹内,放在城外后,佯作退兵。特洛伊人 以为敌兵已退,就把木马作为战利品搬入城中。到了夜 间,埋伏在木马中的勇士跳出来,打开了城门,希腊将 士一拥而入攻下了城池。后来,人们常用“特洛伊木马”这一典故,用来比 喻在敌方营垒里埋下伏兵里应外合的活动。 4.4 木马攻击与分析4.4.2 木马的概述 1特洛伊木马与病毒的区别一般地,木马是不会自行传播的,这与病 毒是不一样的;但是现在的病毒往往将木 马作为负载的一部分复制到目标上,用于 窃取数据或控制目标。4.4 木马攻击与分析4.4.2 木马的概述 2特洛伊木马的种植 首先远程连接到目标,可以在命令行提示符下 键入: C:net use 125.216.124.153ipc$ “/user:“ administrator“4.4 木马攻击与分析4.4.2 木马的概述 2特洛伊木马的种植 远程连接成功后,
