1、四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的起源與發(fā)展計(jì)算機(jī)病毒的定義與特征 計(jì)算機(jī)病毒的分類(lèi)計(jì)算機(jī)病毒的危害性計(jì)算機(jī)病毒分析 其他惡意程序四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的發(fā)展史 自第一個(gè)真正意義上的計(jì)算機(jī)病毒于自第一個(gè)真正意義上的計(jì)算機(jī)病毒于1983年走出實(shí)驗(yàn)室以來(lái)，人們對(duì)它的認(rèn)識(shí)經(jīng)歷年走出實(shí)驗(yàn)室以來(lái)，人們對(duì)它的認(rèn)識(shí)經(jīng)歷了了“不以為然不以為然談毒色變談毒色變口誅筆

2、伐，人口誅筆伐，人人喊打人喊打理性對(duì)待，泰然處之理性對(duì)待，泰然處之”四個(gè)階段四個(gè)階段 。四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒產(chǎn)生的歷史 1977年:出現(xiàn)在科幻小說(shuō)中 1983年： Fred Cohen：在計(jì)算機(jī)安全研討會(huì)上發(fā)布 1986年：巴基斯坦兩兄弟為追蹤非法拷貝其軟件的人制造了“巴基斯坦”病毒，成了世界上公認(rèn)的第一個(gè)傳染PC兼容機(jī)的病毒，并且很快在全球流行。 1987年10月：美國(guó)發(fā)現(xiàn)世界上第一例病毒(Brain)。 1988年：小球病毒傳入我國(guó)，在幾個(gè)月之內(nèi)迅速傳染了20 多個(gè)省、市，成為我國(guó)第一個(gè)病毒案例。 此后，如同打開(kāi)

3、的潘多拉的盒子，各種計(jì)算機(jī)病毒層出不窮！四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的發(fā)展階段萌芽階段 1 萌芽階段萌芽階段 1986年到1989年：計(jì)算機(jī)病毒的萌芽時(shí)期病毒清除相對(duì)比較容易 特點(diǎn)：攻擊目標(biāo)單一主要采取截取系統(tǒng)中斷向量的方式監(jiān)控系統(tǒng)的運(yùn)行狀態(tài)，并在一定的觸發(fā)條件下進(jìn)行傳播傳染后特征明顯 不具自我保護(hù)措施 四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的發(fā)展階段綜合發(fā)展階段2 綜合發(fā)展階段綜合發(fā)展階段1989年到1992年：由簡(jiǎn)單到復(fù)雜，由原始走向成熟 特點(diǎn)：攻擊目標(biāo)趨于混合

4、型采用更為隱蔽的方法駐留內(nèi)存感染目標(biāo)后沒(méi)有明顯的特征 開(kāi)始采用自我保護(hù)措施1.開(kāi)始出現(xiàn)變種四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的發(fā)展階段成熟發(fā)展階段3 成熟發(fā)展階段成熟發(fā)展階段 1992到1995年：病毒開(kāi)始具有多態(tài)多態(tài)性質(zhì)。病毒每次傳染目標(biāo)時(shí)，嵌入宿主程序中的病毒程序大部分可變種可變種，正由于這個(gè)特點(diǎn)，傳統(tǒng)的特征碼檢測(cè)病毒法開(kāi)始了新的探索研究 在這個(gè)階段，病毒的發(fā)展主要集中在病毒技術(shù)的提高上，病毒開(kāi)始向多維化方向發(fā)展，對(duì)反病毒廠商也提出了新的挑戰(zhàn)四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課

5、件計(jì)算機(jī)病毒的發(fā)展階段網(wǎng)絡(luò)病毒階段 4 網(wǎng)絡(luò)病毒階段網(wǎng)絡(luò)病毒階段 1995年到2000年：隨著網(wǎng)絡(luò)的普及，大量的病毒開(kāi)始利用網(wǎng)絡(luò)傳播，蠕蟲(chóng)蠕蟲(chóng)開(kāi)始大規(guī)模的傳播。由于網(wǎng)絡(luò)的便利和信息的共享，很快又出現(xiàn)了通過(guò)通過(guò)E-mail傳播的病毒傳播的病毒。由于宏病毒宏病毒編寫(xiě)簡(jiǎn)單、破壞性強(qiáng)、清除復(fù)雜，加上微軟未對(duì)WORD文檔結(jié)構(gòu)公開(kāi)，給清除宏病毒帶來(lái)了不便 這一階段的病毒，主要是利用網(wǎng)絡(luò)來(lái)進(jìn)行傳播和破壞四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的發(fā)展階段迅速壯大的階段 5.迅速壯大的階段 2000年以后：成熟繁榮階段，計(jì)算機(jī)病毒的更新和傳播手段更加多樣

6、性，網(wǎng)絡(luò)病毒的目的性目的性也更強(qiáng) 出現(xiàn)了木馬，惡意軟件等特定目的特定目的的惡意程序 特點(diǎn)： 技術(shù)綜合利用，病毒變種速度大大加快 惡意軟件和病毒程序直接把矛頭對(duì)向了殺毒軟件 計(jì)算機(jī)病毒技術(shù)和反病毒技術(shù)的競(jìng)爭(zhēng)進(jìn)一步激化，反病毒技術(shù)也面臨著新的洗牌四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的起源與發(fā)展計(jì)算機(jī)病毒的定義與特征 計(jì)算機(jī)病毒的分類(lèi)計(jì)算機(jī)病毒的危害性計(jì)算機(jī)病毒分析 其他惡意程序四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的定義 狹義定義計(jì)算機(jī)病毒是一種靠修改其它程序來(lái)插入或進(jìn)行自身拷

7、貝，從而感染其它程序的一種程序。 Fred Cohen博士對(duì)計(jì)算機(jī)病毒的定義。 廣義定義能夠引起計(jì)算機(jī)故障，破壞計(jì)算機(jī)數(shù)據(jù)，影響計(jì)算機(jī)系統(tǒng)的正常使用的程序代碼。 我國(guó)定義 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例第二十八條：計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。”四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的特征基本特征基本特征傳染性自我復(fù)制，通過(guò)多種渠道傳播潛伏性感染后不一定立刻發(fā)作依附于其他文件、程序、介質(zhì)，不被發(fā)現(xiàn)可觸發(fā)性觸發(fā)條件：日期、時(shí)間、

8、文件類(lèi)型破壞性破壞數(shù)據(jù)的完整性和可用性破壞數(shù)據(jù)的保密性系統(tǒng)和資源的可用性1.非授權(quán)可執(zhí)行性四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的特征其它特征其它特征寄生性寄生于其它文件、程序隱蔽性程序隱蔽、傳染隱蔽；不易被發(fā)現(xiàn)針對(duì)性*針對(duì)特定的計(jì)算機(jī)、特定的操作系統(tǒng)多態(tài)性*每一次感染后改變形態(tài)，檢測(cè)更困難持久性*1.難于清除四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的起源與發(fā)展計(jì)算機(jī)病毒的定義與特征 計(jì)算機(jī)病毒的分類(lèi)計(jì)算機(jī)病毒的危害性計(jì)算機(jī)病毒分析 其他惡意程序四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)

9、算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的分類(lèi) 按宿主分類(lèi) 按危害分類(lèi) 按傳播媒介分類(lèi) 按攻擊平臺(tái)分類(lèi)四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的分類(lèi) 按宿主分類(lèi) 1)引導(dǎo)型病毒 主引導(dǎo)區(qū) 操作系統(tǒng)引導(dǎo)區(qū) 2)文件型病毒 操作系統(tǒng) 應(yīng)用程序 宏病毒3)復(fù)合型病毒 復(fù)合型病毒具有引導(dǎo)區(qū)型病毒和文件型病毒兩者的特征四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的分類(lèi) 按危害分類(lèi) 良性病毒 如：小球病毒 惡性病毒 如：CIH病毒四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒

10、與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的分類(lèi) 按傳播媒介分類(lèi) 單機(jī)病毒 DOS、Windows、Unix/Linux病毒等 網(wǎng)絡(luò)病毒 通過(guò)網(wǎng)絡(luò)或電子郵件傳播四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的分類(lèi) 按攻擊平臺(tái)分類(lèi) DOS病毒：MS-DOS及兼容操作系統(tǒng)上編寫(xiě)的病毒 Windows病毒：Win32上編寫(xiě)的純32位病毒程序 MAC病毒 Unix/Linux病毒四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的起源與發(fā)展計(jì)算機(jī)病毒的定義與特征 計(jì)算機(jī)病毒的分類(lèi)計(jì)算機(jī)病

11、毒的危害性計(jì)算機(jī)病毒分析 其他惡意程序四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的危害性攻擊系統(tǒng)數(shù)據(jù)區(qū)攻擊部位包括硬盤(pán)主引導(dǎo)扇區(qū)、Boot扇區(qū)、FAT表、文件目錄攻擊文件刪除、改名、替換內(nèi)容、丟失簇和對(duì)文件加密等攻擊內(nèi)存內(nèi)存是計(jì)算機(jī)的重要資源，也是病毒攻擊的重要目標(biāo)四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的危害性干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降如不執(zhí)行命令、打不開(kāi)文件干擾內(nèi)部命令的執(zhí)行、擾亂串并接口、虛假報(bào)警、強(qiáng)制游戲內(nèi)部棧溢出、重啟動(dòng)、死機(jī)病毒激活時(shí)，系統(tǒng)時(shí)間延遲程序啟動(dòng)，在時(shí)鐘中納

12、入循環(huán)計(jì)數(shù)，迫使計(jì)算機(jī)空轉(zhuǎn)，運(yùn)行速度明顯下降干擾鍵盤(pán)、喇叭或屏幕，適用戶無(wú)法正常操作響鈴、封鎖鍵盤(pán)、換字、抹掉緩存區(qū)字符、輸入紊亂等。許多病毒運(yùn)行時(shí)，會(huì)使計(jì)算機(jī)的喇叭發(fā)出響聲病毒擾亂顯示的方式很多，如字符跌落、倒置、顯示前一屏、打開(kāi)對(duì)話框、光標(biāo)下跌、滾屏、抖動(dòng)、亂寫(xiě)等 四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的危害性攻擊CMOS，破壞系統(tǒng)硬件有的病毒激活時(shí)，能夠?qū)MOS進(jìn)行寫(xiě)入動(dòng)作，破壞CMOS中的數(shù)據(jù)。例如CIH病毒破壞計(jì)算機(jī)硬件，亂寫(xiě)某些主板BIOS芯片，損壞硬盤(pán)干擾打印機(jī)如假報(bào)警、間斷性打印或更換字符干擾網(wǎng)絡(luò)正常運(yùn)行網(wǎng)絡(luò)病毒破壞

13、網(wǎng)絡(luò)系統(tǒng)，非法使用網(wǎng)絡(luò)資源，破壞電子郵件，發(fā)送垃圾信息，占用網(wǎng)絡(luò)帶寬、阻塞網(wǎng)絡(luò)、造成拒絕服務(wù)等四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件歷年重大病毒影響情況病毒名稱出現(xiàn)時(shí)間造成的經(jīng)濟(jì)損失莫里斯蠕蟲(chóng)19886000臺(tái)電腦停機(jī)，9600萬(wàn)美元美麗莎1999超過(guò)12億美元愛(ài)蟲(chóng)2000100億美元紅色代碼2001超過(guò)20億美元求職信2001超過(guò)100億美元SQL蠕蟲(chóng)王2003超過(guò)20億美元四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的起源與發(fā)展計(jì)算機(jī)病毒的定義和特征 計(jì)算機(jī)病毒的分類(lèi)計(jì)算機(jī)病毒的危害性計(jì)

14、算機(jī)病毒分析 其他惡意程序四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒分析計(jì)算機(jī)病毒的結(jié)構(gòu)及工作機(jī)理引導(dǎo)型病毒分析文件型病毒分析宏病毒分析蠕蟲(chóng)病毒分析特洛伊木馬分析四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的結(jié)構(gòu)及工作機(jī)理 計(jì)算機(jī)病毒的結(jié)構(gòu)四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的結(jié)構(gòu)及工作機(jī)理引導(dǎo)過(guò)程也就是病毒的初始化部分，它隨著宿主程序的執(zhí)行而進(jìn)入內(nèi)存，為傳染部分做準(zhǔn)備傳染過(guò)程作用是將病毒代碼復(fù)制到目標(biāo)上去。一般病毒在對(duì)目標(biāo)

15、進(jìn)行傳染前，要首先判斷傳染條件是否滿足，判斷病毒是否已經(jīng)感染過(guò)該目標(biāo)等，如CIH病毒只針對(duì)Windows 95/98操作系統(tǒng)表現(xiàn)過(guò)程是病毒間差異最大的部分，前兩部分是為這部分服務(wù)的。它破壞被傳染系統(tǒng)或者在被傳染系統(tǒng)的設(shè)備上表現(xiàn)出特定的現(xiàn)象。大部分病毒都是在一定條件下才會(huì)觸發(fā)其表現(xiàn)部分的四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件引導(dǎo)型病毒實(shí)例分析 引導(dǎo)型病毒 傳染機(jī)理 利用系統(tǒng)啟動(dòng)的缺陷 傳染目標(biāo) 硬盤(pán)的主引導(dǎo)區(qū)和引導(dǎo)區(qū) 軟盤(pán)的引導(dǎo)區(qū) 傳染途徑 通過(guò)軟盤(pán)啟動(dòng)計(jì)算機(jī) 防治辦法 從C盤(pán)啟動(dòng) 打開(kāi)主板的方病毒功能 典型病毒 小球病毒、大麻病毒、火炬病毒、A

16、nti-CMOS病毒四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件引導(dǎo)型病毒分析 引導(dǎo)型病毒 引導(dǎo)扇區(qū)是大部分系統(tǒng)啟動(dòng)或引導(dǎo)指令所保存的地方，而且對(duì)所有的磁盤(pán)來(lái)講，不管是否可以引導(dǎo)，都有一個(gè)引導(dǎo)扇區(qū)。感染的主要方式就是發(fā)生在計(jì)算機(jī)通過(guò)已被感染的引導(dǎo)盤(pán)（常見(jiàn)的如一個(gè)軟盤(pán)）引導(dǎo)時(shí)發(fā)生的。四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件引導(dǎo)型病毒分析 引導(dǎo)型病毒主引導(dǎo)記錄（MBR）A四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件引導(dǎo)型病毒分析 引導(dǎo)型病毒系統(tǒng)引導(dǎo)過(guò)程Power

17、OnCPU & ROM BIOS InitializesPOST TestsLook for boot deviceMBR bootPartition Table LoadDOS Boot Sector RunsLoads IO.SYSMSDOS.SYSDOS Loaded四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件引導(dǎo)型病毒分析 引導(dǎo)型病毒感染與執(zhí)行過(guò)程病毒執(zhí)行病毒駐留帶毒執(zhí)行帶毒執(zhí)行。四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件文件型病毒分析 文件型病毒 傳染機(jī)理：利用系統(tǒng)加載執(zhí)行文件的缺陷 傳

18、染目標(biāo)：各種能夠獲得系統(tǒng)控制權(quán)執(zhí)行的文件 傳染途徑：各種存儲(chǔ)介質(zhì)、網(wǎng)絡(luò)、電子郵件 防治辦法 使用具有實(shí)時(shí)監(jiān)控功能的殺毒軟件 不要輕易打開(kāi)郵件附件 典型病毒 1575病毒、CIH病毒四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件文件型病毒分析 文件型病毒文件型病毒與引導(dǎo)扇區(qū)病毒區(qū)別是：它攻擊磁它攻擊磁盤(pán)上的文件盤(pán)上的文件四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件文件型病毒分析 文件型病毒傳染機(jī)理四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件宏病毒分析 宏病毒 定義：宏

19、病毒是指利用軟件所支持的宏命令或語(yǔ)言書(shū)寫(xiě)的一段寄生在支持宏的文檔上的，具有復(fù)制、傳染能力的宏代碼 跨平臺(tái)式計(jì)算機(jī)病毒：可以在Windows 9X、Windows NT、OS/2和Unix、Mac等操作系統(tǒng)上執(zhí)行病毒行為 影響系統(tǒng)的性能以及對(duì)文檔的各種操作，如打開(kāi)、存儲(chǔ)、關(guān)閉或清除等 宏病毒對(duì)病毒而言是一次革命。現(xiàn)在通過(guò)E-mail、3W的互聯(lián)能力及宏語(yǔ)言的進(jìn)一步強(qiáng)化，極大地增強(qiáng)了它的傳播能力四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件宏病毒分析 宏病毒 傳染機(jī)理：利用處理的文件可以內(nèi)嵌宏的功能 傳染目標(biāo)：doc、dot、xls、ppt、mdb等文件（

20、Win） 傳染途徑：各種存儲(chǔ)介質(zhì)、網(wǎng)絡(luò)、電子郵件 防治辦法 使用具有實(shí)時(shí)監(jiān)控功能的殺毒軟件 打開(kāi)系統(tǒng)提供的宏保護(hù)功能 典型病毒 “七月殺手”病毒、“美麗莎”病毒四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件宏病毒分析 宏病毒工作機(jī)理寫(xiě)入四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件蠕蟲(chóng)病毒分析 蠕蟲(chóng)病毒 一個(gè)獨(dú)立的計(jì)算機(jī)程序，不需要宿主 自我復(fù)制，自主傳播（Mobile） 占用系統(tǒng)或網(wǎng)絡(luò)資源、破壞其他程序 不偽裝成其他程序，靠自主傳播 利用系統(tǒng)漏洞； 利用電子郵件（無(wú)需用戶參與）四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)

21、算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件蠕蟲(chóng)病毒分析 蠕蟲(chóng)病毒 傳染機(jī)理：利用系統(tǒng)或服務(wù)的漏洞 傳染目標(biāo)：操作系統(tǒng)或應(yīng)用服務(wù) 傳染途徑：網(wǎng)絡(luò)、電子郵件 防治辦法 使用具有實(shí)時(shí)監(jiān)控功能的殺毒軟件 不要輕易打開(kāi)郵件附件 打最新補(bǔ)丁，更新系統(tǒng) 典型病毒 RedCode，尼姆達(dá)、沖擊波等四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件蠕蟲(chóng)病毒分析 實(shí)例：莫爾斯蠕蟲(chóng)事件 發(fā)生于1988年，當(dāng)時(shí)導(dǎo)致大約3000臺(tái)機(jī)器癱瘓 主要的攻擊方法 Rsh，rexec：用戶的缺省認(rèn)證 Sendmail 的debug模式 Fingerd的緩沖區(qū)溢出 口令猜測(cè)四年級(jí)

22、信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件蠕蟲(chóng)病毒分析 實(shí)例RedCode 是一種結(jié)合了病毒、木馬、DDOS機(jī)制的蠕蟲(chóng) 2001年7月中旬，在美國(guó)等地大規(guī)模蔓延；2001年8月初，出現(xiàn)變種codered II，針對(duì)中文版windows系統(tǒng)，國(guó)內(nèi)大規(guī)模蔓延 特點(diǎn)： 通過(guò)80端口傳播 只存在于網(wǎng)絡(luò)服務(wù)器的內(nèi)存，不通過(guò)文件載體 利用IIS緩沖區(qū)溢出漏洞（2001年6月18日發(fā)布）四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件蠕蟲(chóng)病毒分析 實(shí)例RedCode I 主要影響Windows NT系統(tǒng)和Windows 2000

23、 主要影響國(guó)外網(wǎng)絡(luò) 據(jù)CERT統(tǒng)計(jì)，感染超過(guò)25萬(wàn)臺(tái) 主要行為 利用IIS 的Index服務(wù)的緩沖區(qū)溢出缺陷進(jìn)入系統(tǒng) 檢查c:notworm文件是否存在以判斷是否感染 中文保護(hù)（是中文windows就不修改主頁(yè)） 攻擊白宮！四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件特洛伊木馬分析 特洛伊木馬程序 名字來(lái)源：古希臘故事 通過(guò)偽裝成其他程序、有意隱藏自己惡意行為的程序，通常留下一個(gè)遠(yuǎn)程控制的后門(mén) 沒(méi)有自我復(fù)制的功能 非自主傳播 用戶主動(dòng)發(fā)送給其他人 放到網(wǎng)站上由用戶下載四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)

24、課件特洛伊木馬分析 特洛伊木馬程序 傳播途徑 通過(guò)網(wǎng)絡(luò)下載、電子郵件 防治辦法 使用具有實(shí)時(shí)監(jiān)控功能的殺毒軟件 不要輕易打開(kāi)郵件附件 不要輕易運(yùn)行來(lái)路不明的文件 典型例子 BO、BO2k、Subseven、冰河、廣外女生等四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件病毒、蠕蟲(chóng)與木馬的比較需要不需要需要宿主留下后門(mén)，竊取信息侵占資源,造成拒絕服務(wù)破壞數(shù)據(jù)完整性、系統(tǒng)完整性主要危害慢 極快快傳播速度依靠用戶主動(dòng)傳播自主傳播依賴宿主文件或介質(zhì)傳播方式偽裝成其它文件獨(dú)立的文件一般不以文件形式存在表現(xiàn)形式木馬蠕蟲(chóng)病毒特性四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒

25、與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件計(jì)算機(jī)病毒的起源與發(fā)展計(jì)算機(jī)病毒的定義和特征 計(jì)算機(jī)病毒的分類(lèi)計(jì)算機(jī)病毒的危害性計(jì)算機(jī)病毒分析 其他惡意程序四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件其他惡意程序后門(mén)(Backdoor)一種能讓黑客未經(jīng)授權(quán)進(jìn)入和使用本系統(tǒng)的惡意程序僵尸(Bot)一種集后門(mén)與蠕蟲(chóng)一體的惡意程序. 通常使用IRC (Internet Relay Chat) 接受和執(zhí)行黑客命令廣告軟件/間諜軟件四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件后門(mén) 具有反偵測(cè)能力 隱藏文件, 進(jìn)程,

26、網(wǎng)絡(luò)端口和連接, 系統(tǒng)設(shè)置, 系統(tǒng)服務(wù) 可以在惡意程序之中, 例如 Berbew；也有獨(dú)立軟件, 例如 Hackder Defender 為控制者提供遠(yuǎn)程操作能力四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件僵尸 僵尸生態(tài)系統(tǒng) 僵尸 僵尸網(wǎng) 管理通道 看守者 從 MyDoom.A開(kāi)始進(jìn)入鼎盛期 打開(kāi)后門(mén) TCP port 3127 - 3198 下載和執(zhí)行程序 利用被感染的計(jì)算機(jī)散發(fā)電子郵件 數(shù)以百萬(wàn)計(jì)的感染計(jì)算機(jī)被出賣(mài)給了垃圾郵件的制造者四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件僵尸僵尸網(wǎng)發(fā)展趨勢(shì)1）源代碼可在網(wǎng)上免費(fèi)下載2）管理方式的變化:過(guò)去: 集中管理 一個(gè) IRC 服務(wù)器管理所有僵尸 關(guān)閉服務(wù)器就破壞了僵尸網(wǎng)現(xiàn)在: 提升 注冊(cè)多個(gè)IRC 服務(wù)器 通訊加密 (AES-128 或更強(qiáng))今后: 分布式 (P2P)管理 對(duì)照分析: Napster: 集中管理, 容易被關(guān)閉 eDonkey: 分布式管理, 不容易被關(guān)閉四年級(jí)信息技術(shù)上冊(cè) 第11課 計(jì)算機(jī)病毒與網(wǎng)絡(luò)安全課件1 冀教版-冀教級(jí)上冊(cè)信息技術(shù)課件廣告軟件/間諜軟件 廣告軟件 彈出窗口及橫幅形式向用戶提供廣告服務(wù) 通常經(jīng)過(guò)用戶授權(quán) 間諜軟件 未經(jīng)授權(quán)收集用戶信息 未經(jīng)授權(quán)上傳用戶信息 未經(jīng)授權(quán)改變系統(tǒng)外