1、3.1.2 计算机病毒的发展历史计算机病毒的发展历史 计算机病毒的发展经历了以下几个主要阶段:计算机病毒的发展经历了以下几个主要阶段:萌芽阶段(萌芽阶段(19861986年年19891989年)年)综合发展阶段(综合发展阶段(19891989年年19921992年)年)成熟发展阶段(成熟发展阶段(19921992年年19951995年)年)InternetInternet阶段(阶段(19951995年以后)年以后)3.2计算机病毒的分类计算机病毒的分类 3.2.1 按照计算机病毒攻击的系统分类按照计算机病毒攻击的系统分类 1 1攻击攻击DOSDOS系统的病毒系统的病毒2 2攻击攻击Window
2、sWindows系统的病毒系统的病毒3 3攻击攻击UNIX/LinuxUNIX/Linux系统的病毒系统的病毒4 4攻击攻击OS/2OS/2系统的病毒系统的病毒5 5攻击攻击MacintoshMacintosh系统的病毒系统的病毒6 6其他操作系统上的病毒其他操作系统上的病毒3.2.2 按照病毒的攻击机型分类按照病毒的攻击机型分类 1攻击微型计算机的病毒攻击微型计算机的病毒2攻击小型机的计算机病毒攻击小型机的计算机病毒3 3攻击工作站的计算机病毒攻击工作站的计算机病毒3.2.3 3.2.3 按照计算机病毒的链接方式分类按照计算机病毒的链接方式分类1 1源码型病毒源码型病毒2 2嵌入型病毒嵌入型
3、病毒3 3外壳型病毒外壳型病毒 4 4操作系统型病毒操作系统型病毒 3.2.4 3.2.4 按照计算机病毒的破坏情况分类按照计算机病毒的破坏情况分类 1良性计算机病毒良性计算机病毒 2 2恶性计算机病毒恶性计算机病毒 3.2.5 3.2.5 按照计算机病毒的寄生部位或传染对象分类按照计算机病毒的寄生部位或传染对象分类 1 1磁盘引导区传染的计算机病毒磁盘引导区传染的计算机病毒 2 2操作系统传染的计算机病毒操作系统传染的计算机病毒 3 3可执行程序传染的计算机病毒可执行程序传染的计算机病毒3.2.6 3.2.6 按照计算机病毒激活的时间分类按照计算机病毒激活的时间分类 1 1定时病毒定时病毒
4、2 2随机病毒随机病毒 3.2.7 3.2.7 按照计算机病毒传播的媒介分类按照计算机病毒传播的媒介分类 1 1单机病毒单机病毒 2 2网络病毒网络病毒 3.2.8 3.2.8 按照计算机病毒寄生方式和传染途径分类按照计算机病毒寄生方式和传染途径分类 1 1引导型病毒引导型病毒 2 2文件型病毒文件型病毒 3 3混合型病毒混合型病毒 3.2.9 3.2.9 按照计算机病毒特有的算法分类按照计算机病毒特有的算法分类 1伴随型病毒伴随型病毒 2“蠕虫蠕虫”型病毒型病毒 3寄生型病毒寄生型病毒 4练习型病毒练习型病毒 5诡秘型病毒诡秘型病毒 6变型病毒(又称幽灵病毒)变型病毒(又称幽灵病毒)3.2.
5、10 3.2.10 按照计算机病毒破坏的能力分类按照计算机病毒破坏的能力分类 1无害型无害型 2无危险型无危险型 3危险型危险型 4非常危险型非常危险型 3.3计算机病毒的原理计算机病毒的原理 3.3.1 计算机病毒的工作原理计算机病毒的工作原理 计算机病毒的产生过程可分为:程序设计计算机病毒的产生过程可分为:程序设计-传播传播-潜伏潜伏-触发、触发、运行运行-实行攻击。计算机病毒从生成开始到完全根除结束也存在实行攻击。计算机病毒从生成开始到完全根除结束也存在一个生命周期。一个生命周期。开发期开发期 传染期传染期 潜伏期潜伏期 发作期发作期 发现期发现期 同化期同化期 消亡期消亡期 2计算机病
6、毒基本环节计算机病毒基本环节 计算机有病毒有自己的生命周期,实际上,计算机病计算机有病毒有自己的生命周期,实际上,计算机病毒要完成一次完整的传播破坏过程,必须经过毒要完成一次完整的传播破坏过程,必须经过“分发拷贝、分发拷贝、潜伏繁殖、破坏表现潜伏繁殖、破坏表现”几个环节,任何一个环节都可以抑几个环节,任何一个环节都可以抑制病毒的传播、蔓延,或者清除病毒。与这个环节相关的制病毒的传播、蔓延,或者清除病毒。与这个环节相关的概念为:概念为:(1 1)传染源)传染源 (2 2)传播途径)传播途径 (3 3)传染)传染 (4 4)病毒激活)病毒激活 (5 5)病毒触发)病毒触发 (6 6)病毒表现)病毒
7、表现 3 3计算机病毒的逻辑结构计算机病毒的逻辑结构 计算机病毒是以现代计算机网络为环境而存在并发展的,即计计算机病毒是以现代计算机网络为环境而存在并发展的,即计算机系统软、硬件环境决定了计算机病毒的结构,而这种结构是能算机系统软、硬件环境决定了计算机病毒的结构,而这种结构是能够充分利用系统资源进行活动的最合理体现。计算机病毒一般由感够充分利用系统资源进行活动的最合理体现。计算机病毒一般由感染标志(病毒签名)、引导模块、感染模块和破坏模块(表现模块)染标志(病毒签名)、引导模块、感染模块和破坏模块(表现模块)4 4个部分组成。个部分组成。4 4计算机病毒的工作原理计算机病毒的工作原理 (1 1
8、)DOSDOS病毒的原理病毒的原理 (2 2)WindowsWindows病毒的原理病毒的原理 PEPE病毒基本上需要具有重定位、截获病毒基本上需要具有重定位、截获APIAPI函数地址、函数地址、搜索感染目标文件、内存文件映射、实施感染等功能。搜索感染目标文件、内存文件映射、实施感染等功能。3.3.2 计算机病毒的特征计算机病毒的特征 1 1传染性传染性 2 2隐蔽性隐蔽性 3 3破坏性破坏性 4 4潜伏性潜伏性 5 5衍生性衍生性 6 6寄生性寄生性 7 7针对性针对性 8 8非授权性非授权性 9 9不可预见性不可预见性 1010可控性可控性 1111可执行性可执行性 1212攻击的主动性攻
9、击的主动性 1313欺骗性欺骗性 3.3.3 计算机病毒的破坏行为计算机病毒的破坏行为 (1 1)攻击系统数据区)攻击系统数据区(2 2)干扰系统运行,使运行速度下降。)干扰系统运行,使运行速度下降。(3 3)攻击文件)攻击文件(4 4)抢占系统资源)抢占系统资源(5 5)干扰)干扰I/OI/O设备,篡改预定设置以及扰乱运行设备,篡改预定设置以及扰乱运行(6 6)导致系统性能下降)导致系统性能下降(7 7)攻击存储器)攻击存储器(8 8)破坏)破坏CMOSCMOS中的数据中的数据(9 9)破坏网络系统,非法使用网络资源,破坏电子邮件,发送垃圾)破坏网络系统,非法使用网络资源,破坏电子邮件,发送
10、垃圾信息,占用网络信息,占用网络带宽等。带宽等。3.4计算机网络病毒计算机网络病毒 3.4.1 计算机网络病毒的定义计算机网络病毒的定义 从广义上来说,计算机网络病毒是指利用网络进行传播的一从广义上来说,计算机网络病毒是指利用网络进行传播的一类病毒的总称。网络在与人方便的同时,也成了传播病毒的最佳类病毒的总称。网络在与人方便的同时,也成了传播病毒的最佳渠道,它可使病毒迅速地从一台主机传染到另一台主机,瞬间就渠道,它可使病毒迅速地从一台主机传染到另一台主机,瞬间就会影响整个网络。一个网络只要有一个入口点,那么就很有可能会影响整个网络。一个网络只要有一个入口点,那么就很有可能感染上网络病毒,使病毒
11、在网络中传播扩散,甚至破坏整个系统。感染上网络病毒,使病毒在网络中传播扩散,甚至破坏整个系统。严格地说,通过网络传播的病毒并不一定是网络病毒。而严格地说,通过网络传播的病毒并不一定是网络病毒。而“蠕蠕虫虫”等以网络为平台,能在网络中传播、复制及破坏的病毒才是等以网络为平台,能在网络中传播、复制及破坏的病毒才是真正的网络病毒。网络病毒与单机计算机病毒是有较大的区别的,真正的网络病毒。网络病毒与单机计算机病毒是有较大的区别的,网络病毒使用网络协议进行传播,它们通常不修改系统文件或硬网络病毒使用网络协议进行传播,它们通常不修改系统文件或硬盘的引导区。计算机网络病毒感染客户机的内存,强制这些计算盘的引
12、导区。计算机网络病毒感染客户机的内存,强制这些计算机向网络中发送大量信息,因而可能导致网络速度下降甚至瘫痪。机向网络中发送大量信息,因而可能导致网络速度下降甚至瘫痪。由于网络病毒保留在内存中,因此传统的基于磁盘的文件由于网络病毒保留在内存中,因此传统的基于磁盘的文件I/O I/O 扫扫描方法通常无法检测到它们。描方法通常无法检测到它们。3.4.2 网络病毒的特点网络病毒的特点 1破坏性强破坏性强2传播性极强传播性极强3扩散面广扩散面广4传染速度快传染速度快5清除难度大清除难度大6传染方式多传染方式多3.4.3 网络病毒的分类网络病毒的分类 1按类型分类按类型分类 目前流行的网络病毒从类型上主要
13、分为木马病毒和蠕虫病毒:目前流行的网络病毒从类型上主要分为木马病毒和蠕虫病毒:(1 1)木马病毒实际上是一种后门程序,他常常潜伏在操作系统中监木马病毒实际上是一种后门程序,他常常潜伏在操作系统中监视用户的各种操作,窃取用户的隐私信息,如视用户的各种操作,窃取用户的隐私信息,如QQQQ、游戏账号,甚至网上、游戏账号,甚至网上银行的账号和密码等。银行的账号和密码等。(2 2)蠕虫病毒是一种典型的网络病毒,它可以通过多种方式进行传蠕虫病毒是一种典型的网络病毒,它可以通过多种方式进行传播,甚至是利用操作系统和应用程序的漏洞主动进行攻击,每种蠕虫都播,甚至是利用操作系统和应用程序的漏洞主动进行攻击,每种
14、蠕虫都包含一个扫描功能模块负责探测存在漏洞的主机,在网络中扫描到存在包含一个扫描功能模块负责探测存在漏洞的主机,在网络中扫描到存在该漏洞的计算机后就马上传播出去。该漏洞的计算机后就马上传播出去。这点也使得蠕虫病毒危害性非常大,可以说网络中一台计算机感染这点也使得蠕虫病毒危害性非常大,可以说网络中一台计算机感染了蠕虫病毒可以在一分钟内将网络中所有存在该漏洞的计算机进行感染。了蠕虫病毒可以在一分钟内将网络中所有存在该漏洞的计算机进行感染。由于蠕虫发送大量传播数据包,所以被蠕虫感染了的网络速度非常缓慢,由于蠕虫发送大量传播数据包,所以被蠕虫感染了的网络速度非常缓慢,被蠕虫感染了的计算机也会因为被蠕虫
15、感染了的计算机也会因为CPU和内存占用过高而接近死机状态。和内存占用过高而接近死机状态。2按传播途径分类按传播途径分类 网络病毒按照传播途径可分为邮件型病毒和漏洞型病毒:网络病毒按照传播途径可分为邮件型病毒和漏洞型病毒:(1 1)邮件病毒是通过电子邮件进行传播的,病毒将自身隐藏邮件病毒是通过电子邮件进行传播的,病毒将自身隐藏在邮件的附件中并伪造虚假信息欺骗用户打开该附件从而感染病在邮件的附件中并伪造虚假信息欺骗用户打开该附件从而感染病毒,当然有的邮件性病毒利用的是浏览器的漏洞来实现。毒,当然有的邮件性病毒利用的是浏览器的漏洞来实现。这时用这时用户即使没有打开邮件中的病毒附件而仅仅浏览了邮件内容
16、,由于户即使没有打开邮件中的病毒附件而仅仅浏览了邮件内容,由于浏览器存在漏洞也会让病毒趁虚而入。浏览器存在漏洞也会让病毒趁虚而入。(2 2)漏洞病毒。目前应用最广泛的)漏洞病毒。目前应用最广泛的WindowsWindows操作系统存在着操作系统存在着非常多的漏洞。这类病毒就利用了的系统漏洞进行传播和破坏活非常多的漏洞。这类病毒就利用了的系统漏洞进行传播和破坏活动,漏洞型病毒则更加可怕,即使用户没有运行非法软件、没有动,漏洞型病毒则更加可怕,即使用户没有运行非法软件、没有打开邮件浏览,只要连接到网络中,漏洞型病毒就会利用操作系打开邮件浏览,只要连接到网络中,漏洞型病毒就会利用操作系统的漏洞进入客
17、户机。如统的漏洞进入客户机。如2004年风靡的年风靡的“冲击波冲击波”和和“震荡波震荡波”病毒就是漏洞型病毒的一种,他们使全世界网络计算机的瘫痪,病毒就是漏洞型病毒的一种,他们使全世界网络计算机的瘫痪,造成了巨大的经济损失。造成了巨大的经济损失。3.5计算机病毒的检测与预防计算机病毒的检测与预防 3.5.1 计算机病毒的表现计算机病毒的表现 1计算机病毒发作前的表现计算机病毒发作前的表现 2计算机病毒发作时的表现计算机病毒发作时的表现 3计算机病毒发作后的表现计算机病毒发作后的表现 3.5.2 3.5.2 计算机病毒的检测技术计算机病毒的检测技术 1计算机病毒检测技术计算机病毒检测技术 计算机
18、病毒检测,从技术上可分为指令特征检测、功能特征检计算机病毒检测,从技术上可分为指令特征检测、功能特征检测和文件完整性检测三种。测和文件完整性检测三种。2反病毒软件常用技术反病毒软件常用技术(1 1)病毒码扫描法)病毒码扫描法(2 2)加总比对法()加总比对法(Check-sumCheck-sum)(3 3)人工智能陷阱)人工智能陷阱(4 4)软件模拟扫描法)软件模拟扫描法(5 5)VICEVICE(Virus Instruction Code EmulationVirus Instruction Code Emulation)先先知扫描法知扫描法(6 6)实时)实时I/OI/O扫描(扫描(Re
19、altime I/O ScanRealtime I/O Scan)3.5.3 计算机病毒的防范计算机病毒的防范 1 1计算机病毒的防治技术计算机病毒的防治技术 (1 1)计算机病毒的预防技术)计算机病毒的预防技术 (2 2)计算机病毒的检测技术)计算机病毒的检测技术 (3 3)计算机病毒的清除技术)计算机病毒的清除技术 (4 4)计算机病毒的免疫技术)计算机病毒的免疫技术 2 2计算机病毒的防范策略计算机病毒的防范策略 (1 1)提高防毒意识)提高防毒意识 (2 2)立足网络,以防为本)立足网络,以防为本 (3 3)多层防御)多层防御 (4 4)与网络管理集成)与网络管理集成 (5 5)在网关、服务器上防御)在网关、服务器上防御 精品课件精品课件!精品课件精品课件!3 3企业信息系统防病毒方案企业信息系统防病毒方案 (1 1)病毒查杀能力)病毒查杀能力(2 2)对新病毒的反应能力)对新病毒的反应能力(3 3)病毒实时监测能力)病毒实时监测能力(4 4)快速、方便的升级)快速、方便的升级(5 5)智能安装、远程识别)智能安装、远程识别(6 6)管理方便,易于操作)管理方便,易于操作(7 7)对现有资源的占用情况)对现有资源的占用情况(8 8)系统兼容性)系统兼容性(9 9)软件的价格)软件的价格(1010)软件商的企业实力)软件商的企业实力
