《知识讲解:计算机病毒及其防治.ppt》由会员分享,可在线阅读,更多相关《知识讲解:计算机病毒及其防治.ppt(28页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、计算机病毒及其防治计算机病毒及其防治计算机病毒及其防治计算机病毒及其防治 和人类一样,计算机也会和人类一样,计算机也会“生病生病”,只不过它是人们恶意制造病毒,只不过它是人们恶意制造病毒引起的。那么:引起的。那么:v什么是计算机病毒?什么是计算机病毒?v病毒的特征和现象什么?病毒的特征和现象什么?v怎样预防计算机病毒?怎样预防计算机病毒?计算机病毒及其防治计算机病毒及其防治1.计算机病毒的产生和发展计算机病毒的产生和发展 举例一举例一:莫里斯的蠕虫病毒莫里斯的蠕虫病毒 1988年年11月月2日,美国重要的计算机网络日,美国重要的计算机网络Internet中约中约6000台电台电脑系统遭到了计算
2、机病毒的攻击,造成了整个网络的瘫痪,直接经脑系统遭到了计算机病毒的攻击,造成了整个网络的瘫痪,直接经济损失近亿美元。济损失近亿美元。计算机病毒及其防治计算机病毒及其防治 这次事件的病毒制造者是美国康奈尔大学研究生罗伯特这次事件的病毒制造者是美国康奈尔大学研究生罗伯特莫里斯,他莫里斯,他向互联网上传了一个向互联网上传了一个“蠕虫蠕虫”程序,其本意是要检验网络的安全状况。程序,其本意是要检验网络的安全状况。然而,由于程序中一个小小的错误,使然而,由于程序中一个小小的错误,使“蠕虫蠕虫”的运行失去了控制,上的运行失去了控制,上网后网后12个小时这只个小时这只“蠕虫蠕虫”迅速感染了迅速感染了6200多
3、个系统。在被感染的电脑多个系统。在被感染的电脑里,里,“蠕虫蠕虫”高速自我复制,高速挤占电脑系统里的硬盘空间和内存空高速自我复制,高速挤占电脑系统里的硬盘空间和内存空间,最终导致其不堪重负而瘫痪。由于它占用了大量的系统资源,实际间,最终导致其不堪重负而瘫痪。由于它占用了大量的系统资源,实际上使网络陷入瘫痪,大量的数据和资料毁于一旦。上使网络陷入瘫痪,大量的数据和资料毁于一旦。v罗伯特罗伯特莫里斯最后被捕了,并被联邦法院起诉。莫里斯最后被捕了,并被联邦法院起诉。1990年年5月月5日,纽约日,纽约州地方法院判处莫里斯三年缓刑、州地方法院判处莫里斯三年缓刑、1万美元罚金以及万美元罚金以及400个小
4、时的社区义个小时的社区义务服务。务服务。v莫里斯事件震惊了美国社会乃至整个世界。而比事件影响更大、更深远莫里斯事件震惊了美国社会乃至整个世界。而比事件影响更大、更深远的是:黑客从此真正变黑,黑客伦理失去约束,黑客传统开始中断。大的是:黑客从此真正变黑,黑客伦理失去约束,黑客传统开始中断。大众对黑客的印象永远不可能回复。而且,计算机病毒从此步入主流。众对黑客的印象永远不可能回复。而且,计算机病毒从此步入主流。计算机病毒及其防治计算机病毒及其防治计算机病毒及其防治v举例二:举例二:“熊猫烧香熊猫烧香”病毒病毒v“熊猫烧香熊猫烧香”是一个蠕虫病毒,会终止大量的反病毒软件和防火墙软件是一个蠕虫病毒,会
5、终止大量的反病毒软件和防火墙软件进程,病毒会删除系统备份文件,使用户无法使恢复操作系统。进程,病毒会删除系统备份文件,使用户无法使恢复操作系统。v“熊猫烧香熊猫烧香”感染系统的众多文件,添加病毒网址,导致用户一打开这感染系统的众多文件,添加病毒网址,导致用户一打开这些网页文件,些网页文件,IE就会自动连接到指定的病毒网址中下载病毒。就会自动连接到指定的病毒网址中下载病毒。计算机病毒及其防治计算机病毒及其防治 感染后的文件图标变成右边图片上面的感染后的文件图标变成右边图片上面的“熊猫烧香熊猫烧香”图案。图案。熊猫烧香,所有熊猫烧香,所有exe文文件变成熊猫烧香图标,件变成熊猫烧香图标,无限复制,
6、系统崩溃。无限复制,系统崩溃。计算机病毒及其防治v2007年年2月月4日、日、5日、日、7日被告人李俊、王磊、日被告人李俊、王磊、张顺、雷磊分别被仙桃张顺、雷磊分别被仙桃市公安局抓获归案。李市公安局抓获归案。李俊、王磊、张顺归案后俊、王磊、张顺归案后退出所得全部赃款。李退出所得全部赃款。李俊交出俊交出“熊猫烧香熊猫烧香”病病毒专杀工具。毒专杀工具。计算机病毒及其防治v后续报道:后续报道:v2007年年9月月24日,备受全国网友关注的日,备受全国网友关注的“熊猫烧香熊猫烧香”案在湖北省仙桃案在湖北省仙桃法院开庭审理。李俊、王磊、张顺、雷磊法院开庭审理。李俊、王磊、张顺、雷磊4人破坏计算机信息系统
7、罪人破坏计算机信息系统罪名成立,依法判处李俊名成立,依法判处李俊4年有期徒刑、王磊年有期徒刑、王磊2年半有期徒刑、张顺年半有期徒刑、张顺2年年有期徒刑、雷磊有期徒刑、雷磊1年有期徒刑。年有期徒刑。计算机病毒及其防治v2007:“U盘寄生虫盘寄生虫”成年度毒王成年度毒王 vVirus.Autorun(U盘寄生虫)病毒感染率居高不下,高居全年病毒排盘寄生虫)病毒感染率居高不下,高居全年病毒排行榜榜首,成为行榜榜首,成为2007年年度年年度“毒王毒王”。U盘寄生虫是一个利用盘寄生虫是一个利用U盘等移盘等移动设备进行传播的蠕虫,针对动设备进行传播的蠕虫,针对autorun.inf这样的自动播放文件。当
8、用这样的自动播放文件。当用户双击移动设备的时候,该文件就会利用户双击移动设备的时候,该文件就会利用Windows系统的自动播放系统的自动播放功能优先运行,立即执行所要加载的病毒程序,从而破坏用户计算机。功能优先运行,立即执行所要加载的病毒程序,从而破坏用户计算机。计算机病毒及其防治v 2月月3日,在一家大型门户网站工作的刘小姐,一回到家就习惯性地打开电日,在一家大型门户网站工作的刘小姐,一回到家就习惯性地打开电脑,浏览网页。突然,脑,浏览网页。突然,word文档自动打开,上面自动在书写着:文档自动打开,上面自动在书写着:“我看了你的我看了你的照片,你真的很漂亮!照片,你真的很漂亮!”v 职业的
9、敏感让刘小姐立即意识到电脑感染了木马程序,她立即关闭了电源。职业的敏感让刘小姐立即意识到电脑感染了木马程序,她立即关闭了电源。“没想到我自己的电脑也中了没想到我自己的电脑也中了灰鸽子灰鸽子,变成了,变成了肉鸡肉鸡。如果我不关闭电源,。如果我不关闭电源,黑客还控制着我的电脑并可能发出大大小小的数据包,那样我的电脑就没有任何黑客还控制着我的电脑并可能发出大大小小的数据包,那样我的电脑就没有任何机密可言了。机密可言了。”v据介绍,灰鸽子是最近几年最为疯狂的病毒之一,据介绍,灰鸽子是最近几年最为疯狂的病毒之一,2007年中国电脑病毒年中国电脑病毒疫情互联网安全报告疫情互联网安全报告把它列为把它列为20
10、07年第三大病毒,中毒后,电脑会被远程攻年第三大病毒,中毒后,电脑会被远程攻击者完全控制,黑客可轻易地复制、删除、下载电脑上的文件,还可以记录每个击者完全控制,黑客可轻易地复制、删除、下载电脑上的文件,还可以记录每个点击键盘的操作,用户的点击键盘的操作,用户的QQ号、网络游戏账号、网上银行账号,可被远程攻击号、网络游戏账号、网上银行账号,可被远程攻击者轻松获得。而中毒后任黑客宰割的电脑就叫者轻松获得。而中毒后任黑客宰割的电脑就叫“肉鸡肉鸡”。计算机病毒及其防治v2.定义定义v计算机病毒(计算机病毒(Computer Virus),是指能够破坏计算机系统,影响计算),是指能够破坏计算机系统,影响
11、计算机工作,能实现自我复制,并具有传播性质的一段程序或指令代码。机工作,能实现自我复制,并具有传播性质的一段程序或指令代码。v简单来说,计算机病毒就是具有破坏作用的计算机程序或一组计算机指简单来说,计算机病毒就是具有破坏作用的计算机程序或一组计算机指令令。计算机病毒及其防治v3.计算机病毒的特点计算机病毒的特点v(1)破坏性)破坏性v 这是绝大多数病毒最主要的特点,病毒的制作者一般将病毒作为破坏这是绝大多数病毒最主要的特点,病毒的制作者一般将病毒作为破坏他人计算机或计算机中存放的重要的数据和文件的一种工具或手段,在他人计算机或计算机中存放的重要的数据和文件的一种工具或手段,在网络时代则通过病毒
12、阻塞网络,导致网络服务中断甚至整个网络系统瘫网络时代则通过病毒阻塞网络,导致网络服务中断甚至整个网络系统瘫痪。痪。计算机病毒及其防治v(2)传染性)传染性v 计算机病毒的自我复制功能,并能将自身不断复制到其他文件内,达计算机病毒的自我复制功能,并能将自身不断复制到其他文件内,达到不断扩散的目的,尤其在网络时代,更是通过到不断扩散的目的,尤其在网络时代,更是通过Internet中网页的浏览中网页的浏览和电子邮件的收发而迅速传播。和电子邮件的收发而迅速传播。计算机病毒及其防治v(3)隐蔽性)隐蔽性v病毒程序在发作以前不容易被用户察觉,它们将自身附加在其他可执行病毒程序在发作以前不容易被用户察觉,它
13、们将自身附加在其他可执行的程序内,或者隐藏在磁盘中较隐蔽处,有的隐藏在压缩文件中,有些的程序内,或者隐藏在磁盘中较隐蔽处,有的隐藏在压缩文件中,有些病毒还会将自己改名为系统文件名,不通过专门的查杀毒软件一般很难病毒还会将自己改名为系统文件名,不通过专门的查杀毒软件一般很难发现它们。发现它们。v(4)潜伏性)潜伏性v有些病毒传入给合法的程序中和系统后,不是立即发作,而是等待一定有些病毒传入给合法的程序中和系统后,不是立即发作,而是等待一定的激发条件,如日期、时间、文件运行的次数等。的激发条件,如日期、时间、文件运行的次数等。计算机病毒及其防治计算机病毒及其防治v(5)可触发性)可触发性v计算机病
14、毒一般都有一个或者几个触发条件,发作之前潜伏在机器内并计算机病毒一般都有一个或者几个触发条件,发作之前潜伏在机器内并不断繁殖自身,当病毒的触发条件满足时病毒就开始其破坏行为,不同不断繁殖自身,当病毒的触发条件满足时病毒就开始其破坏行为,不同的病毒其触发的机制都不同,例如的病毒其触发的机制都不同,例如“黑色星期五黑色星期五”病毒就是每逢病毒就是每逢13日星日星期五这一天发作。期五这一天发作。计算机病毒及其防治v4.计算机病毒的分类计算机病毒的分类v传统病毒传统病毒(单机环境下)(单机环境下)引导型病毒:引导型病毒:就是用病毒的全部或部分就是用病毒的全部或部分逻辑逻辑取代正常的引取代正常的引导记录
15、导记录,而,而将正常的引将正常的引导记录隐导记录隐藏在磁藏在磁盘盘的其它地方,的其它地方,这样这样系系统统一启一启动动病毒就病毒就获获得了控制得了控制权权。“大麻大麻”病毒和病毒和“小球小球”病毒病毒。文件型病毒:文件型病毒:病毒寄生在病毒寄生在可执行程序可执行程序体内,只要程序被执行,病毒也体内,只要程序被执行,病毒也就被激活,病毒程序会首先被执行,并将自身驻留在内存,然后设就被激活,病毒程序会首先被执行,并将自身驻留在内存,然后设置触发条件,进行传染。如置触发条件,进行传染。如“CIH病毒病毒”。计算机病毒及其防治宏病毒:宏病毒:寄生于文档或模板宏中的计算机病毒,一旦打开带有宏病毒寄生于文
16、档或模板宏中的计算机病毒,一旦打开带有宏病毒的文档,病毒就会被激活,并驻留在的文档,病毒就会被激活,并驻留在NormalNormal模板上,所有自动保存模板上,所有自动保存的文档都会感染上这种宏病毒,的文档都会感染上这种宏病毒,如如“Taiwan NO.1”宏病毒宏病毒。混合型病毒:混合型病毒:既感染可执行文件又感染磁盘引导记录的病毒。混合型既感染可执行文件又感染磁盘引导记录的病毒。混合型病毒被依附在可执行文件上,当病毒文件执行时,首先感染硬盘的病毒被依附在可执行文件上,当病毒文件执行时,首先感染硬盘的主引导扇区,并驻留在系统内存中,又对系统中的可执行文件进行主引导扇区,并驻留在系统内存中,又
17、对系统中的可执行文件进行感染。就这样重复上述过程,导致病毒的传播。感染。就这样重复上述过程,导致病毒的传播。计算机病毒及其防治v现代病毒(网络环境下)现代病毒(网络环境下)蠕虫病毒:蠕虫病毒:以计算机为载体,以网络为攻击对象,利用网络的通信功以计算机为载体,以网络为攻击对象,利用网络的通信功能将自身不断地从一个结点发送到另一个结点,并且能够自动启动的程能将自身不断地从一个结点发送到另一个结点,并且能够自动启动的程序序,这样不仅消耗了大量的本机资源,而且大量占用了网络的带宽,导这样不仅消耗了大量的本机资源,而且大量占用了网络的带宽,导致网络堵塞而使网络服务拒绝,最终造成整个网络系统的瘫痪。例如致
18、网络堵塞而使网络服务拒绝,最终造成整个网络系统的瘫痪。例如20032003年年1 1月爆发的月爆发的“20032003蠕虫王蠕虫王”病毒,使全球病毒,使全球2 2万多个网络服务器瘫痪。万多个网络服务器瘫痪。如如计算机病毒及其防治 例如例如“冲击波冲击波”病毒病毒:利用利用Windows远程过程调用协议(远程过程调用协议(Remote Process Call,RPC)中存在的系统漏洞,向远端系统上的)中存在的系统漏洞,向远端系统上的RPC系统服系统服务所监听的端口发送攻击代码,从而达到传播的目的。感染该病毒的机务所监听的端口发送攻击代码,从而达到传播的目的。感染该病毒的机器会莫名其妙地死机或重
19、新启动计算机,器会莫名其妙地死机或重新启动计算机,IE浏览器不能正常地打开链接,浏览器不能正常地打开链接,不能进行复制粘贴操作,有时还会出现应用程序异常如不能进行复制粘贴操作,有时还会出现应用程序异常如Word无法正常使无法正常使用,上网速度变慢,在任务管理器中可以找到一个用,上网速度变慢,在任务管理器中可以找到一个“msblast.exe”的进的进程在运行。程在运行。计算机病毒及其防治 木马病毒:木马病毒:是指在正常访问的程序、邮件附件或网页中包含了可以是指在正常访问的程序、邮件附件或网页中包含了可以控制用户计算机的程序,这些隐藏的程序非法入侵并监控用户的计算机,控制用户计算机的程序,这些隐
20、藏的程序非法入侵并监控用户的计算机,窃取用户的账号和密码等机密信息。窃取用户的账号和密码等机密信息。例如例如“QQ木马木马”病毒:病毒:该病毒隐藏在用户的系统中,发作时寻找该病毒隐藏在用户的系统中,发作时寻找QQ窗口,给在线上的窗口,给在线上的QQ好友发送诸如好友发送诸如“快去看看,里面有快去看看,里面有好东西好东西”之之类的假消息,诱惑用户点击一个网站,如果有人信以为真点击类的假消息,诱惑用户点击一个网站,如果有人信以为真点击该该链接的链接的话,就会被病毒感染,然后成为毒源,继续传播。话,就会被病毒感染,然后成为毒源,继续传播。计算机病毒及其防治5.计算机病毒检测计算机病毒检测当发生了下列现
21、象时,应该想到计算机有可能感染了病毒:当发生了下列现象时,应该想到计算机有可能感染了病毒:v显示器上出现了莫名其妙的数据或图案;显示器上出现了莫名其妙的数据或图案;v数据或文件发生了丢失;数据或文件发生了丢失;v程序的长度发生了改变;程序的长度发生了改变;v程序运行发生异常;程序运行发生异常;计算机病毒及其防治v磁盘的空间发生了改变,明显缩小;磁盘的空间发生了改变,明显缩小;v系统运行速度明显减慢;系统运行速度明显减慢;v经常发生死机现象;经常发生死机现象;v访问外设时发生异常,如不能正确打印等。访问外设时发生异常,如不能正确打印等。如果发现计算机病毒感染的迹象,应及时用反病毒软件进行检测,及
22、时如果发现计算机病毒感染的迹象,应及时用反病毒软件进行检测,及时清除病毒。清除病毒。计算机病毒及其防治v6.日常防毒措施日常防毒措施v计算机一旦感染上病毒,轻者影响计算机系统运行速度、重者破坏系统计算机一旦感染上病毒,轻者影响计算机系统运行速度、重者破坏系统数据甚至硬件设备,造成整个计算机系统瘫痪。硬件有价,数据无价,数据甚至硬件设备,造成整个计算机系统瘫痪。硬件有价,数据无价,计算机病毒对计算机系统造成的损失很难用金钱估算。为了预防计算机计算机病毒对计算机系统造成的损失很难用金钱估算。为了预防计算机病毒的侵害,平时应注意以下几点:病毒的侵害,平时应注意以下几点:“预防为主,防治结合预防为主,
23、防治结合”计算机病毒及其防治v安安装装实实时时监监控控的的杀杀毒毒软软件件或或防防毒毒卡卡,定定期期更更新新病病毒毒库库;定定期期查查杀杀病病毒毒,以便查杀新出现的病毒。以便查杀新出现的病毒。v经常运行经常运行Windows UpdateWindows Update,安装操作系统的补丁程序;,安装操作系统的补丁程序;v安装防火墙工具,设置相应的访问规则,过滤不安全的站点访问;安装防火墙工具,设置相应的访问规则,过滤不安全的站点访问;v使用外来磁盘之前,要先用杀毒软件扫描,确认无毒后再使用。使用外来磁盘之前,要先用杀毒软件扫描,确认无毒后再使用。v不不随随意意打打开开来来历历不不明明的的电电子子
24、邮邮件件及及附附件件;以以防防其其中中带带有有病病毒毒程程序序而而感感染染计算机。计算机。计算机病毒及其防治v从从Internet下下载载软软件件时时,要要选选择择正正规规的的、有有名名气气的的下下载载站站点点下下载载,软软件件下载后要及时用杀毒软件进行查毒。下载后要及时用杀毒软件进行查毒。v不随意安装来历不明的插件程序;不随意安装来历不明的插件程序;v不随意打开陌生人传来的页面链接,谨防恶意网页中隐藏的木马程序;不随意打开陌生人传来的页面链接,谨防恶意网页中隐藏的木马程序;v不使用盗版的游戏软件;不使用盗版的游戏软件;v常用杀毒软件介绍常用杀毒软件介绍 金山毒霸金山毒霸 瑞星杀毒软件瑞星杀毒软件 诺顿防毒软件诺顿防毒软件 江民杀毒软件江民杀毒软件