今天打開U盤項目提出打開文件的擴展名安全問題1提出安全問題2提出有一天，小李在QQ聊天時，收到一位網友發來的信息，如圖4-1所示，出于好奇和對網友的信任，小李打開了網友提供的超鏈接，此時突然彈出一個無法關閉的窗口，提示系統即將在一分鐘以后關機，并進入一分鐘倒計時狀態，如圖4-2所示。小李驚呼上當受騙，那么小李的計算機究竟怎么了？我在網上下載一軟件，下載完成后出現如下圖提示，這是什么類型描述一的病毒？網絡安全技術安全問題3提出安全問題1分析：文件夾圖標類病毒是一類惡意病毒，它會將所有根目錄下和桌面上的文件夾全部隱藏，并將自己的副本命名為文件夾的名字。由于病毒的圖標就是文件夾圖標，如果沒有顯示擴展名的話很容易反復感染病毒。并且由于病毒的機理，會在硬盤上產生大量的病毒副本，即使副本被清理掉了，恢復隱藏的文件夾也是一件不容易的事情。1.開始--運行--gpedit.msc--用戶配置--管理模板--系統--關閉自動播放--啟用--關閉所有驅動器--確定2.重新啟動電腦,關閉自動播放的功能將奏效!安全問題2分析：沖擊波(Worm.Blaster)病毒小李的計算機中了沖擊波(Worm.Blaster)病毒。2002年8月12日，沖擊波病毒導致全球范圍內數以億計的計算機中毒，所帶來的直接經濟損失達數十億美金。病毒運行時會不停地利用IP掃描技術尋找網絡上系統為Windows2000或XP的計算機，找到后就利用RPC緩沖區漏洞攻擊該系統，一旦攻擊成功，病毒體將會被傳送到對方計算機中進行感染，使系統操作異常、不停重新啟動、甚至導致系統崩潰。另外，該病毒還會對Microsoft的一個升級網站進行拒絕服務攻擊，導致該網站堵塞，使用戶無法通過該網站升級系統。安全問題3分析：木馬病毒木馬全稱“特洛伊木馬”，英文名稱為TrojanHorse，據說這個名稱來源于希臘神話《木馬屠城記》。與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執行，向施種木馬者提供打開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。木馬病毒的產生嚴重危害著現代網絡的安全運行。能力CAPACITY要求了解什么是計算機病毒及其發展歷程。理解計算機病毒的特征。了解計算機病毒的分類。掌握典型計算機病毒的基本原理和查殺方法。病毒發展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發展趨勢一、計算機病毒的定義1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統安全保護條例》，在《條例》第二十八條中明確指出：“計算機病毒，指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。病毒：Virus病毒發展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發展趨勢二、計算機病毒的發展史01OPTION02OPTION03OPTION04OPTION計算機病毒的產生的思想基礎和病毒發展簡介實驗室中產生——病毒的祖先（磁芯大戰）計算機病毒的出現（1983年）我國計算機病毒的出現（1989年）二、計算機病毒的發展史病毒的產生原因（4）出于政治、戰爭的需要（3）出于某種報復目的或惡作劇而編寫病毒（1）編制人員出于一種炫耀和顯示自己能力的目的（2）某些軟件作者出于版權保護的目的而編制二、計算機病毒的發展史計算機病毒的發展歷程1.DOS引導階段3.伴隨階段5.生成器、變體機階段7.視窗階段9.郵件病毒階段8.宏病毒階段6.網絡、蠕蟲階段4.多形階段2.DOS可執行階段10.手持移動設備病毒階段時

間名

稱事

件1983.11.10

弗里德·科恩以測試計算機安全為目的編寫首個計算機病毒1986Brain巴基斯坦的兩兄弟為了防止自己辛苦編寫的DOS軟件被盜版制作的軟盤引導病毒1987.10黑色星期五病毒第一次大規模爆發1988.11蠕蟲病毒羅伯特·莫里斯寫的第一個蠕蟲病毒

1990.14096發現首例隱蔽型病毒，破壞數據1991.4米開朗基羅第一個格式化硬盤的開機型病毒1991GPI首例網絡病毒，突破了NOVELL公司的Netware網絡安全機制1995VCL（VirusCreationLaboratory）病毒生產工具在美國傳播1996宏病毒傳播方式增加（郵件等）1998CIH第一個破壞硬件的病毒，面向Windows的VxD技術編制的1999Mellisa、happy99郵件病毒2000紅色代碼黑客型病毒2000.6VBS.Timofonica世界上第一個手機病毒2001Nimda集中了當時所有蠕蟲傳播途徑，成為當時破壞性非常大的病毒2002SQLSPIDA.B第一個攻擊SQL服務器的病毒二、計算機病毒的發展史典型的計算機病毒事件二、計算機病毒的發展史典型的計算機病毒事件時

間名

稱事

件2003SQL_slammer利用SQLServer數據庫的漏洞2003.8沖擊波通過微軟的RPC緩沖區溢出漏洞進行傳播的蠕蟲病毒2004.5震蕩波類似于“沖擊波”病毒2005QQMyRun通過QQ傳播的蠕蟲病毒2006熊貓燒香破壞多種文件的蠕蟲病毒2007AV終結者專門破壞殺毒軟件的病毒2008.3磁碟機病毒近幾年來發現的病毒技術含量最高、破壞性最強的病毒，其破壞能力、自我保護和反殺毒軟件能力均10倍于“熊貓燒香”2009機器狗該病毒變種繁多，多表現為殺毒軟件無法正常運行2010廣告木馬2010年通過篡改網頁的廣告木馬最流行2011鬼影病毒特點基本為改寫硬盤主引導記錄（MBR）釋放驅動程序替換系統文件，干擾或阻止殺毒軟件運行，惡意修改主頁，下載多種盜號木馬2012鬼影病毒變種出現數個變種，包括鬼影5、鬼影6、鬼影6變種等2014蘋果大盜病毒該病毒爆發在“越獄”的apple手機上，目的盜取AppleID和密碼2015Xcodeghost病毒感染Apple手機，主要通過非官方下載的Xcode傳播，使編譯出的App被注入第三方的代碼，向指定網站上傳用戶數據二、計算機病毒的發展史計算機病毒的危害1、計算機病毒造成巨大的社會經濟損失2、影響政府職能部門正常工作的開展3、計算機病毒被賦予越來越多的政治意義4、利用計算機病毒犯罪現象越來越嚴重病毒發展史計算機病毒的定義計算機病毒命名與特點病毒分類病毒的防護計算機病毒的發展趨勢病毒的命名方式Worm.Sasser.c<病毒前綴>.<病毒名>.<病毒后綴>病毒前綴:表示病毒的類型木馬(Trojan) 蠕蟲病毒(Worm，net-worm)宏病毒(Macro:excel,word,powerpoint)后門病毒(Backdoor)腳本病毒(script:JV,VB)系統病毒(win32,PE,WIN95,W32)

病毒后綴:一個病毒的變種特征，是用來區別具體某個家族病毒的某個變種的。一般都采用英文中的26個字母來表示舉個例卡巴斯基中國地區每周病毒報告三、計算機病毒的特點計算機病毒的特點傳染性破壞性潛伏性和可觸發性非授權性隱藏性不可預見性4.3.4宏病毒和蠕蟲病毒1.宏病毒宏(Macro)是Microsoft公司為其Office軟件包設計的一項特殊功能，Microsoft公司設計它的目的是讓人們在使用Office軟件進行工作時避免一再地重復相同的動作。利用簡單的語法，把常用的動作寫成宏，在工作時，可以直接利用事先編寫好的宏自動運行，完成某項特定的任務，而不必再重復相同的動作，讓用戶文檔中的一些任務自動化。使用Word軟件時，通用模板(Normal.dot)里面就包含了基本的宏，因此當使用該模板時，Word為用戶設定了很多基本的格式。宏病毒是用VisualBasic語言編寫的，這些宏病毒不是為了方便人們的工作而設計的，而是用來對系統進行破壞的。當含有這些宏病毒的文檔被打開時，里面的宏病毒就會被激活，并能通過DOC文檔及DOT模板進行自我復制及傳播。以往病毒只感染程序，不感染數據文件，而宏病毒專門感染數據文件，徹底改變了“數據文件不會傳播病毒”的錯誤認識。宏病毒會感染Office的文檔及其模板文件。Word可以識別的自動宏宏名運行條件AutoExec啟動Word時AutoNew每次新建文檔時AutoOpen每次打開已有文檔時AutoClose每次關閉文檔時AutoExit退出word時以上宏能獲得文檔（模板）操作控制權。有些宏病毒還通過FileNew，FileOpen，FileSave，FileSaveAs，FileExit等宏控制文件的操作。宏病毒演示---學生實訓在虛擬機中實現(物理）在WORD中建一個AUTOOPEN宏病毒:工具----宏-----錄制新宏-----宏名(AUTOOPEN)-----加到NORMAL模板中-----開始建制宏----做些破壞性的操作------打開宏進行編輯----寫個死循環的程序(1000次).i=100whilei>=1----WendAPI制作一個簡單的宏病毒(學生課后項目）①步驟1：在Word文檔中，選擇“插入”→“對象”命令，打開“對象”對話框，如圖4-24所示。步驟2：在“新建”選項卡中，選擇“包”選項后，單擊“確定”按鈕，打開“對象包裝程序”窗口，如圖4-25所示，選擇該窗口中的“編輯”→“命令行”命令，在打開的“命令行”對話框中輸入“C:\windows\system32\formatD:/q”(快速格式化D盤），單擊“確定”按鈕。命令行：C:\windows\system32\cmd.exe(修改為一個木馬程序）步驟3：然后在“對象包裝程序”窗口中單擊“插入圖標”按鈕，打開“更改圖標”對話框，如圖4-26所示，為該命令行選擇一個有誘惑力的圖標，然后關閉“對象包裝程序”窗口。步驟4：此時會在文檔的相關位置出現一個和相關命令關聯的圖標，還可以在圖標旁邊加注一些鼓動性的文字，如圖4-27所示，盡量使瀏覽者看到后想用鼠標單擊，這樣一個簡單的宏病毒就制作成功了。②宏病毒的防范步驟1：使用殺毒軟件查殺Office軟件的安裝目錄和相關Office文檔。步驟2：在Word2003軟件中，選擇“工具”→“宏”→“安全性”命令，打開“安全性”對話框，在“安全級”選項卡中，選中“高”單選按鈕，如圖4-29所示，表示只允許運行可靠來源簽署的宏，未經簽署的宏會自動取消。宏病毒防范措施①提高宏的安全級別。目前，高版本的Word軟件可以設置宏的安全級別，在不影響正常使用的情況下，應該選擇較高的安全級別。②刪除不知來路的宏定義。③將Normal.dot模板進行備份，當被病毒感染后，使用備份模板進行覆蓋。如果懷疑外來文件含有宏病毒，可以使用寫字板軟件打開該文件，然后將文本粘貼到Word文檔中，轉換后的文檔是不會含有宏病毒的。用專殺工具病毒發展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發展趨勢四、病毒分類依據不同的分類標準，計算機病毒可以做不同的歸類。常見的分類標準有：根據病毒的傳染途徑03根據病毒依附的操作系統01根據病毒的傳播媒介02四、病毒分類病毒依附的操作系統DOS01MicrosoftWindows02嵌入式系統（工業系統、手機操作系統）04Unix/Linux03四、病毒分類病毒的傳播媒介存儲介質網絡1、網絡下載2、網頁掛馬3、局域網(Funlove)4、遠程攻擊(Blaster)5、郵件(SoBig)四、病毒分類病毒的傳播媒介上網計算機光盤、軟盤網絡U盤、移動硬盤等移動存儲設備其他途徑Web瀏覽器下載軟件即時通信軟件其他網絡軟件IE火狐傲游Opera迅雷快車BT下載電驢QQMSN淘寶旺旺新浪UC電子郵件網上銀行網絡游戲其他四、病毒分類病毒的傳播和感染對象感染引導區感染文件可執行文件OFFICE宏網頁腳本（Java小程序和ActiveX控件）其他惡意程序破壞程序網絡木馬網絡蠕蟲病毒發展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發展趨勢CIH病毒五、計算機病毒的發展趨勢病毒演示CIH將硬盤

FORMAT!CIH將BIOS給毀了

!五、計算機病毒的發展趨勢病毒演示—彩帶病毒五、計算機病毒的發展趨勢病毒演示—女鬼病毒五、計算機病毒的發展趨勢病毒演示—千年老妖病毒演示—圣誕節病毒五、計算機病毒的發展趨勢病毒演示—白雪公主巨大的黑白螺旋占據了屏幕位置，使計算機使用者無法進行任何操作！五、計算機病毒的發展趨勢病毒演示—紅色代碼198.137.240.91()五、計算機病毒的發展趨勢病毒發作現象AIDS幻彩救護車Happy99KetapangKmpsd五、計算機病毒的發展趨勢通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征，如不利用文件寄生（有的只存在于內存中）,對網絡造成拒絕服務，以及和黑客技術相結合等等。蠕蟲病毒蠕蟲病毒與其他病毒的區別普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網絡計算機五、計算機病毒的發展趨勢蠕蟲病毒的特點傳染方式多一種是針對企業的局域網，主要通過系統漏洞；另外一種是針對個人用戶的,主要通過電子郵件,惡意網頁形式迅速傳播的蠕蟲病毒。傳播速度快清除難度大破壞性強五、計算機病毒的發展趨勢實例：2003蠕蟲王“熊貓燒香”病毒實例2006年底，“熊貓燒香”病毒在我國Internet上大規模爆發，由于該病毒傳播手段極為全面，并且變種頻繁更新，讓用戶和殺毒廠商防不勝防，被列為2006年10大病毒之首。“熊貓燒香”病毒是一種蠕蟲病毒(尼姆達)的變種，而且是經過多次變種而來的。由于中毒計算機的可執行文件會出現“熊貓燒香”圖案，所以被稱為“熊貓燒香”病毒。“熊貓燒香”病毒是用Delphi語言編寫的，這是一個有黑客性質感染型的蠕蟲病毒(即：蠕蟲＋木馬)。2007年2月，“熊貓燒香”病毒設計者李俊歸案，交出殺病毒軟件。2007年9月，湖北省仙桃市法院一審以破壞計算機信息系統罪判處李俊有期徒刑4年。2013年6月13日晚間消息，“熊貓燒香”病毒的2名制造者在麗水“出山”，設立網絡賭場，斂財數百萬元。張順、李俊被法院以開設賭場罪分別判處有期徒刑五年和三年，并分別處罰金20萬元和8萬元。①感染“熊貓燒香”病毒的癥狀關閉眾多殺毒軟件和安全工具。感染所有EXE、SCR、PIF、COM文件，并更改圖標為燒香熊貓，如圖4-4所示。循環遍歷磁盤，感染文件，對關鍵系統文件跳過，不感染Windows媒體播放器、MSN、IE等程序。在硬盤各個分區中生成文件autorun.inf和setup.exe。感染所有.htm、.html、.asp、.php、.jsp、.aspx文件，添加木馬惡意代碼，導致用戶一打開這些網頁文件，IE就會自動連接到指定的病毒網址中下載病毒。自動刪除*.gho文件，使用戶的系統備份文件丟失。計算機會出現藍屏、頻繁重新啟動。②“熊貓燒香”病毒的傳播途徑。通過U盤和移動硬盤進行傳播。通過局域網共享文件夾、系統弱口令等傳播，當病毒發現能成功連接攻擊目標的139或445端口后，將使用內置的一個用戶列表及密碼字典進行連接。(猜測被攻擊端的密碼)當成功的連接上以后，將自己復制過去并利用計劃任務啟動激活病毒。通過網頁傳播。③“熊貓燒香”病毒所造成的破壞。關閉眾多殺毒軟件。每隔1秒尋找桌面窗口，并關閉窗口標題中含有以下字符的程序：QQKav、QQAV、防火墻、進程、VirusScan、網鏢、殺毒、毒霸、瑞星、江民、超級兔子、優化大師、木馬克星、注冊表編輯器、卡巴斯基反病毒、SymantecAntiVirus、Duba……修改注冊表。修改注冊表，使得病毒能自啟動、刪除安全軟件在注冊表中的鍵值、不顯示隱藏文件、刪除相關安全服務等。下載病毒文件。每隔10秒，下載病毒制作者指定的文件，并用命令行檢查系統中是否存在共享，如果共享存在就運行netshare命令關閉admin$共享。572008年新病毒的實例—“磁碟機”病毒58“磁碟機”病毒現象進入安全模式時對局域網發起ARP攻擊，鏈接到病毒網站飛客蠕蟲(HackExploitWin32MS08-067)是一個利用微軟MS08-067漏洞發起攻擊的蠕蟲病毒。該病毒會對隨機生成的IP地址發起攻擊，攻擊成功后會下載一個木馬病毒，通過修改注冊表鍵值來使某免費安全工具功能失效。病毒會修改hosts文件，使用戶無法正常訪問安全廠商網站及服務器。

五、計算機病毒的發展趨勢計算機病毒程序一般構成計算機病毒程序通常由三個單元和一個標志構成：引導模塊、感染模塊、破壞表現模塊和感染標志。感染模塊感染標志破壞模塊引導模塊五、計算機病毒的發展趨勢計算機病毒引起的異常情況123456異常情況計算機系統運行速度明顯降低系統容易死機文件改變、破壞磁盤空間迅速減少內存不足系統異常頻繁重啟動7頻繁產生錯誤信息五、計算機病毒的發展趨勢網絡化病毒的特點123456網絡化：傳播速度快、爆發速度快、面廣隱蔽化：具有欺騙性（加密）多平臺、多種語言新方式：與黑客、特洛伊木馬相結合多途徑攻擊反病毒軟件7變化快（變種）8清除難度大9破壞性強病毒發展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發展趨勢六、病毒的防護反病毒技術簡述計算機病毒診斷技術

｝啟發式掃描特征代碼法校驗和法行為監測法軟件模擬法01OPTION02OPTION03OPTION04OPTION六、病毒的防護1、采集已知病毒樣本2、打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數據庫中的病毒特征代碼（唯一性）。特征代碼法優點：

檢測準確快速、可識別病毒的名稱、誤報警率低、依據檢測結果，可做殺毒處理。缺點：不能檢測未知病毒、搜集已知病毒的特征代碼，費用開銷大、在網絡上效率低（在網絡服務器上，因長時間檢索會使整個網絡性能變壞）。

文件特征代碼內存特征代碼六、病毒的防護將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。針對多態病毒特點：能發現已知病毒，也能發現未知病毒，但是，它不能識別病毒類型和名稱。誤報率高校驗和法六、病毒的防護利用病毒的特有行為特征性來監測病毒的方法行為特征如下：

A、占有內存特殊位置

B、改DOS系統為數據區的內存總量

C、對COM、EXE文件做寫入動作

D、