《四年级信息技术上册 第11课 计算机病毒与网络安全课件2 冀教版[共61页]》由会员分享,可在线阅读,更多相关《四年级信息技术上册 第11课 计算机病毒与网络安全课件2 冀教版[共61页](61页珍藏版)》请在金锄头文库上搜索。
1、计算机病毒11.计算机病毒的起源与发展2.计算机病毒的定义与特征 3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 6.其他恶意程序2计算机病毒的发展史自自第第一一个个真真正正意意义义上上的的计计算算机机病病毒毒于于19831983年年走走出出实实验验室室以以来来,人人们们对对它它的的认认识识经经历历了了“不不以以为为然然谈谈毒毒色色变变口口诛诛笔笔伐伐,人人人人喊喊打打理理性性对待,泰然处之对待,泰然处之”四个阶段四个阶段 。3计算机病毒产生的历史1977年:出现在科幻小说中1983年: Fred Cohen:在计算机安全研讨会上发布1986年:巴基斯坦两兄弟为追踪非法拷贝其软件
2、的人制造了“巴基斯坦”病毒,成了世界上公认的第一个传染PC兼容机的病毒,并且很快在全球流行。1987年10月:美国发现世界上第一例病毒(Brain)。1988年:小球病毒传入我国,在几个月之内迅速传染了20 多个省、市,成为我国第一个病毒案例。此后,如同打开的潘多拉的盒子,各种计算机病毒层出不穷!4计算机病毒的发展阶段萌芽阶段 1 1 萌芽阶段萌芽阶段 1986年到1989年:计算机病毒的萌芽时期 病毒清除相对比较容易 特点:攻击目标单一主要采取截取系统中断向量的方式监控系统的运行状态,并在一定的触发条件下进行传播传染后特征明显不具自我保护措施 5计算机病毒的发展阶段综合发展阶段2 2 综合发
3、展阶段综合发展阶段 1989年到1992年:由简单到复杂,由原始走向成熟 特点:1.攻击目标趋于混合型2.采用更为隐蔽的方法驻留内存3.感染目标后没有明显的特征 4.开始采用自我保护措施5.开始出现变种6计算机病毒的发展阶段成熟发展阶段3 3 成熟发展阶段成熟发展阶段 1992到1995年:病毒开始具有多多态态性质。病毒每次传染目标时,嵌入宿主程序中的病毒程序大部分可变种可变种,正由于这个特点,传统的特征码检测病毒法开始了新的探索研究 在这个阶段,病毒的发展主要集中在病毒技术的提高上,病毒开始向多维化方向发展,对反病毒厂商也提出了新的挑战7计算机病毒的发展阶段网络病毒阶段 4 4 网络病毒阶段
4、网络病毒阶段 1995年到2000年:随着网络的普及,大量的病毒开始利用网络传播,蠕蠕虫虫开始大规模的传播。由于网络的便利和信息的共享,很快又出现了通通过过E-mailE-mail传传播播的的病病毒毒。由于宏宏病病毒毒编写简单、破坏性强、清除复杂,加上微软未对WORD文档结构公开,给清除宏病毒带来了不便 这一阶段的病毒,主要是利用网络来进行传播和破坏8计算机病毒的发展阶段迅速壮大的阶段 5.迅速壮大的阶段 2000年以后:成熟繁荣阶段,计算机病毒的更新和传播手段更加多样性,网络病毒的目的性目的性也更强 出现了木马,恶意软件等特定目的特定目的的恶意程序 特点:技术综合利用,病毒变种速度大大加快恶
5、意软件和病毒程序直接把矛头对向了杀毒软件计算机病毒技术和反病毒技术的竞争进一步激化,反病毒技术也面临着新的洗牌91.计算机病毒的起源与发展2.计算机病毒的定义与特征 3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 6.其他恶意程序10计算机病毒的定义狭义定义 计算机病毒是一种靠修改其它程序来插入或进行自身拷贝,从而感染其它程序的一种程序。 Fred Cohen博士对计算机病毒的定义。广义定义 能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序代码。我国定义 中华人民共和国计算机信息系统安全保护条例第二十八条:计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功
6、能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”11计算机病毒的特征基本特征基本特征1.传染性 自我复制,通过多种渠道传播2.潜伏性 感染后不一定立刻发作 依附于其他文件、程序、介质,不被发现3.可触发性 触发条件:日期、时间、文件类型4.破坏性 破坏数据的完整性和可用性 破坏数据的保密性 系统和资源的可用性5.非授权可执行性12计算机病毒的特征其它特征其它特征1.寄生性 寄生于其它文件、程序2.隐蔽性 程序隐蔽、传染隐蔽; 不易被发现3.针对性* 针对特定的计算机、特定的操作系统4.多态性* 每一次感染后改变形态,检测更困难5.持久性* 难于清除131.计算机病毒
7、的起源与发展2.计算机病毒的定义与特征 3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 6.其他恶意程序14计算机病毒的分类按宿主分类按危害分类按传播媒介分类按攻击平台分类15计算机病毒的分类按宿主分类 1)引导型病毒主引导区操作系统引导区 2)文件型病毒操作系统应用程序宏病毒 3)复合型病毒复合型病毒具有引导区型病毒和文件型病毒两者的特征16计算机病毒的分类按危害分类 良性病毒如:小球病毒 恶性病毒如:CIH病毒17计算机病毒的分类按传播媒介分类 单机病毒DOS、Windows、Unix/Linux病毒等 网络病毒通过网络或电子邮件传播18计算机病毒的分类按攻击平台分类 DOS
8、病毒:MS-DOS及兼容操作系统上编写的病毒 Windows病毒:Win32上编写的纯32位病毒程序 MAC病毒 Unix/Linux病毒191.计算机病毒的起源与发展2.计算机病毒的定义与特征 3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 6.其他恶意程序20计算机病毒的危害性1.攻击系统数据区 攻击部位包括硬盘主引导扇区、Boot扇区、FAT表、文件目录2.攻击文件 删除、改名、替换内容、丢失簇和对文件加密等3.攻击内存 内存是计算机的重要资源,也是病毒攻击的重要目标21计算机病毒的危害性4.干扰系统运行,使运行速度下降 如不执行命令、打不开文件 干扰内部命令的执行、扰乱串
9、并接口、虚假报警、强制游戏 内部栈溢出、重启动、死机 病毒激活时,系统时间延迟程序启动,在时钟中纳入循环计数,迫使计算机空转,运行速度明显下降5.干扰键盘、喇叭或屏幕,适用户无法正常操作 响铃、封锁键盘、换字、抹掉缓存区字符、输入紊乱等。 许多病毒运行时,会使计算机的喇叭发出响声 病毒扰乱显示的方式很多,如字符跌落、倒置、显示前一屏、打开对话框、光标下跌、滚屏、抖动、乱写等 22计算机病毒的危害性6.攻击CMOS,破坏系统硬件 有的病毒激活时,能够对CMOS进行写入动作,破坏CMOS中的数据。例如CIH病毒破坏计算机硬件,乱写某些主板BIOS芯片,损坏硬盘7.干扰打印机 如假报警、间断性打印或
10、更换字符8.干扰网络正常运行 网络病毒破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾信息,占用网络带宽、阻塞网络、造成拒绝服务等23历年重大病毒影响情况病毒名称出现时间造成的经济损失莫里斯蠕虫19886000台电脑停机,9600万美元美丽莎1999超过12亿美元爱虫2000100亿美元红色代码2001超过20亿美元求职信2001超过100亿美元SQL蠕虫王2003超过20亿美元241.计算机病毒的起源与发展2.计算机病毒的定义和特征 3.计算机病毒的分类4.计算机病毒的危害性5.计算机病毒分析 6.其他恶意程序25计算机病毒分析计算机病毒的结构及工作机理引导型病毒分析文件型病毒分析宏病
11、毒分析蠕虫病毒分析特洛伊木马分析26计算机病毒的结构及工作机理计算机病毒的结构传染条件判断传染条件判断传染条件判断传染条件判断传染代码传染代码传染代码传染代码传染模块传染模块传染模块传染模块表现及破坏条件判断表现及破坏条件判断表现及破坏条件判断表现及破坏条件判断破坏代码破坏代码破坏代码破坏代码表现模块表现模块表现模块表现模块引导代码引导代码引导代码引导代码引导模块引导模块引导模块引导模块27计算机病毒的结构及工作机理1.引导过程 也就是病毒的初始化部分,它随着宿主程序的执行而进入内存,为传染部分做准备2.传染过程 作用是将病毒代码复制到目标上去。一般病毒在对目标进行传染前,要首先判断传染条件是
12、否满足,判断病毒是否已经感染过该目标等,如CIH病毒只针对Windows 95/98操作系统3.表现过程 是病毒间差异最大的部分,前两部分是为这部分服务的。它破坏被传染系统或者在被传染系统的设备上表现出特定的现象。大部分病毒都是在一定条件下才会触发其表现部分的28引导型病毒实例分析引导型病毒 传染机理利用系统启动的缺陷 传染目标硬盘的主引导区和引导区软盘的引导区 传染途径通过软盘启动计算机 防治办法从C盘启动打开主板的方病毒功能 典型病毒小球病毒、大麻病毒、火炬病毒、Anti-CMOS病毒29引导型病毒分析引导型病毒 引导扇区是大部分系统启动或引导指令所保存的地方,而且对所有的磁盘来讲,不管是
13、否可以引导,都有一个引导扇区。感染的主要方式就是发生在计算机通过已被感染的引导盘(常见的如一个软盘)引导时发生的。30引导型病毒分析引导型病毒主引导记录(MBR)主分区表主分区表主分区表主分区表(64(64字节)字节)字节)字节)结束标记结束标记结束标记结束标记(2 2字节)字节)字节)字节)引导代码及引导代码及引导代码及引导代码及出错信息出错信息出错信息出错信息55AA55AA主引导程序主引导程序主引导程序主引导程序(446(446字节字节字节字节) )分区分区分区分区1(16 1(16 字节字节字节字节) )分区分区分区分区2(16 2(16 字节字节字节字节) )分区分区分区分区3(16
14、 3(16 字节字节字节字节) )分区分区分区分区4(16 4(16 字节字节字节字节) )A31引导型病毒分析引导型病毒系统引导过程Power OnPower OnCPU & ROM CPU & ROM BIOS InitializesBIOS InitializesPOST TestsPOST TestsLook for Look for boot deviceboot deviceMBR bootMBR bootPartition Table LoadPartition Table LoadDOS Boot DOS Boot Sector RunsSector RunsLoads IO.
15、SYSLoads IO.SYSMSDOS.SYSMSDOS.SYSDOS LoadedDOS Loaded32。病毒病毒病毒病毒引导型病毒分析引导型病毒感染与执行过程系统引导区系统引导区系统引导区系统引导区引导引导引导引导正常执行正常执行正常执行正常执行病毒病毒病毒病毒病毒执行病毒驻留带毒执行带毒执行。引导系统引导系统引导系统引导系统病毒体病毒体病毒体病毒体。33文件型病毒分析文件型病毒 传染机理:利用系统加载执行文件的缺陷 传染目标:各种能够获得系统控制权执行的文件 传染途径:各种存储介质、网络、电子邮件 防治办法使用具有实时监控功能的杀毒软件不要轻易打开邮件附件 典型病毒1575病毒、CI
16、H病毒34文件型病毒分析文件型病毒文件型病毒与引导扇区病毒区别是:它攻击磁盘上的文件它攻击磁盘上的文件35文件型病毒分析文件型病毒传染机理正常正常正常正常程序程序程序程序正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头正常正常正常正常程序程序程序程序程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头程序头
