網(wǎng)絡(luò)安全技術(shù)資料第8章 計算機(jī)病毒防范

《網(wǎng)絡(luò)安全技術(shù)資料第8章 計算機(jī)病毒防范》由會員分享，可在線閱讀，更多相關(guān)《網(wǎng)絡(luò)安全技術(shù)資料第8章 計算機(jī)病毒防范（41頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、 8.2 8.2 計算機(jī)病毒的構(gòu)成與傳播計算機(jī)病毒的構(gòu)成與傳播28.3 8.3 計算機(jī)病毒的檢測清除與防范計算機(jī)病毒的檢測清除與防范38.4 8.4 惡意軟件的危害與清除惡意軟件的危害與清除 4 8.1 8.1 計算機(jī)病毒概述計算機(jī)病毒概述1 8.5 360 8.5 360安全衛(wèi)士及殺毒軟件應(yīng)用實驗安全衛(wèi)士及殺毒軟件應(yīng)用實驗 5 8.6 8.6 本章小結(jié)本章小結(jié)6目目 錄錄教學(xué)目標(biāo)教學(xué)目標(biāo) 了解計算機(jī)病毒發(fā)展的歷史和趨勢了解計算機(jī)病毒發(fā)展的歷史和趨勢 理解理解病毒的定義、分類、特征、結(jié)構(gòu)、傳病毒的定義、分類、特征、結(jié)構(gòu)、傳播方式和病毒產(chǎn)生播方式和病毒產(chǎn)生 掌握掌握病毒檢測、清除、防護(hù)、病毒和防

2、病病毒檢測、清除、防護(hù)、病毒和防病毒的發(fā)展趨勢毒的發(fā)展趨勢 掌握惡意軟件概念、分類、防護(hù)和清除掌握惡意軟件概念、分類、防護(hù)和清除 掌握掌握360360安全衛(wèi)士及殺毒軟件應(yīng)用實驗安全衛(wèi)士及殺毒軟件應(yīng)用實驗8.1 計算機(jī)病毒概述計算機(jī)病毒概述n 8.1.1 8.1.1 計算機(jī)病毒的概念及發(fā)展計算機(jī)病毒的概念及發(fā)展 n 1.1.計算機(jī)病毒的概念計算機(jī)病毒的概念 計算機(jī)病毒計算機(jī)病毒（Computer VirusComputer Virus）在）在中華人民共和國計算機(jī)信息系統(tǒng)中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例安全保護(hù)條例中被明確中被明確定義為定義為：是指編制者在計算機(jī)程序中插入的破壞：是指編制者

3、在計算機(jī)程序中插入的破壞計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算計算機(jī)功能或者破壞數(shù)據(jù)，影響計算機(jī)使用并且能夠自我復(fù)制的一組計算機(jī)指令或者程序代碼。機(jī)指令或者程序代碼。海灣戰(zhàn)爭中用網(wǎng)絡(luò)病毒攻擊取得重大戰(zhàn)果海灣戰(zhàn)爭中用網(wǎng)絡(luò)病毒攻擊取得重大戰(zhàn)果。據(jù)報。據(jù)報道，道，1991年的海灣戰(zhàn)爭是美軍主導(dǎo)參加的一場大規(guī)模局部戰(zhàn)年的海灣戰(zhàn)爭是美軍主導(dǎo)參加的一場大規(guī)模局部戰(zhàn)爭。美國在伊拉克從第三方國家購買的打印機(jī)里植入可遠(yuǎn)程爭。美國在伊拉克從第三方國家購買的打印機(jī)里植入可遠(yuǎn)程控制的網(wǎng)絡(luò)病毒，在開戰(zhàn)前，使伊拉克整個計算機(jī)網(wǎng)絡(luò)管理控制的網(wǎng)絡(luò)病毒，在開戰(zhàn)前，使伊拉克整個計算機(jī)網(wǎng)絡(luò)管理的雷達(dá)預(yù)警系

4、統(tǒng)全部癱瘓，并首次將大量的雷達(dá)預(yù)警系統(tǒng)全部癱瘓，并首次將大量高科技武器高科技武器投入實投入實戰(zhàn)，取得了壓倒性的制空、制電磁優(yōu)勢，也是世界首次公開戰(zhàn)，取得了壓倒性的制空、制電磁優(yōu)勢，也是世界首次公開在實戰(zhàn)中用網(wǎng)絡(luò)病毒攻擊取得的重大戰(zhàn)果，強(qiáng)化了美軍在該在實戰(zhàn)中用網(wǎng)絡(luò)病毒攻擊取得的重大戰(zhàn)果，強(qiáng)化了美軍在該地區(qū)的軍事存在，同時為地區(qū)的軍事存在，同時為2003年的伊拉克戰(zhàn)爭奠定基礎(chǔ)。年的伊拉克戰(zhàn)爭奠定基礎(chǔ)。案例案例8-18-1n 2.2.計算機(jī)病毒的發(fā)展計算機(jī)病毒的發(fā)展n 計算機(jī)病毒發(fā)展計算機(jī)病毒發(fā)展主要經(jīng)歷了主要經(jīng)歷了五個重要的階段五個重要的階段。計算機(jī)病毒的概念起源計算機(jī)病毒的概念起源。在第一部商用

5、計算機(jī)推出前，計算。在第一部商用計算機(jī)推出前，計算機(jī)先驅(qū)馮機(jī)先驅(qū)馮諾依曼（諾依曼（John Von NeumannJohn Von Neumann）在一篇論文中，曾初步概）在一篇論文中，曾初步概述了病毒程序的概念。美國著名的述了病毒程序的概念。美國著名的AT&T AT&T 貝爾實驗室中，三個年輕貝爾實驗室中，三個年輕人工作之余玩的一種人工作之余玩的一種“磁芯大戰(zhàn)磁芯大戰(zhàn)”（Core warCore war）的游戲：編出能吃）的游戲：編出能吃掉別人編碼的程序來互相攻擊。這種游戲，呈現(xiàn)了病毒程序的感染掉別人編碼的程序來互相攻擊。這種游戲，呈現(xiàn)了病毒程序的感染和破壞性。和破壞性。案例案例8-28-2

6、8.1 計算機(jī)病毒概述計算機(jī)病毒概述下載下載20122012，當(dāng)心兇猛病毒，當(dāng)心兇猛病毒.計算機(jī)反病毒機(jī)構(gòu)發(fā)布警示，隨著災(zāi)難大片計算機(jī)反病毒機(jī)構(gòu)發(fā)布警示，隨著災(zāi)難大片20122012的熱映，很多電影的熱映，很多電影下載網(wǎng)站均推出在線收看或下載服務(wù)，一種名為下載網(wǎng)站均推出在線收看或下載服務(wù)，一種名為“中華吸血鬼中華吸血鬼”變種病毒，變種病毒，被從一些掛馬的電影網(wǎng)站中截獲。被從一些掛馬的電影網(wǎng)站中截獲。n 3.3.計算機(jī)病毒的產(chǎn)生原因計算機(jī)病毒的產(chǎn)生原因 計算機(jī)病毒的起因和來源情況各異計算機(jī)病毒的起因和來源情況各異，有的是為了某種目的，分為個人行，有的是為了某種目的，分為個人行為和集團(tuán)行為兩種。有

7、的病毒還曾為用于研究或?qū)嶒灦O(shè)計的為和集團(tuán)行為兩種。有的病毒還曾為用于研究或?qū)嶒灦O(shè)計的“有用有用”程序，程序，后來失制擴(kuò)散或被利用。后來失制擴(kuò)散或被利用。計算機(jī)病毒的計算機(jī)病毒的產(chǎn)生原因產(chǎn)生原因主要有主要有4 4個方面：個方面：惡作劇型惡作劇型報復(fù)心理型報復(fù)心理型版權(quán)保護(hù)型版權(quán)保護(hù)型特殊目的型特殊目的型8.1 計算機(jī)病毒概述計算機(jī)病毒概述案例案例8-38-3n 4 4計算機(jī)病毒的命名方式計算機(jī)病毒的命名方式 命名方式由多個前綴與后綴組合，中間以點命名方式由多個前綴與后綴組合，中間以點“”分隔，分隔，一般格式一般格式為：為：前綴前綴.病毒名病毒名.后綴后綴。如振蕩波蠕蟲病毒的變種。如振蕩波蠕蟲

8、病毒的變種“Worm.Sasser.c”Worm.Sasser.c”，其中其中WormWorm指病毒的種類為蠕蟲，指病毒的種類為蠕蟲，SasserSasser是病毒名，是病毒名，c c指該病毒的變種。指該病毒的變種。n（1 1）病毒前綴）病毒前綴n（2 2）病毒名）病毒名n（3 3）病毒后綴）病毒后綴 病毒名即病毒的名稱病毒名即病毒的名稱，如，如“病毒之母病毒之母”CIHCIH病毒及其變病毒及其變種的名稱一律為種的名稱一律為“CIH”CIH”，沖擊波蠕蟲的病毒名為，沖擊波蠕蟲的病毒名為“Blaster”Blaster”。病。病毒名也有一些約定俗成方式，可按病毒發(fā)作的時間命名，如黑色星毒名也有一

9、些約定俗成方式，可按病毒發(fā)作的時間命名，如黑色星期五；也可按病毒發(fā)作癥狀命名，如小球；或按病毒自身包含的標(biāo)期五；也可按病毒發(fā)作癥狀命名，如小球；或按病毒自身包含的標(biāo)志命名，如志命名，如CIHCIH；還可按病毒發(fā)現(xiàn)地命名，如耶路撒冷病毒；或按；還可按病毒發(fā)現(xiàn)地命名，如耶路撒冷病毒；或按病毒的字節(jié)長度命名，如病毒的字節(jié)長度命名，如15751575。案例案例8-48-48.1 計算機(jī)病毒概述計算機(jī)病毒概述n 8.1.2 8.1.2 計算機(jī)病毒的特點計算機(jī)病毒的特點 根據(jù)對病毒的產(chǎn)生、傳播和破壞行為的分析，可將病毒概括為以下根據(jù)對病毒的產(chǎn)生、傳播和破壞行為的分析，可將病毒概括為以下6 6 個個主要特點

10、。主要特點。n 1.1.傳播性傳播性 傳播性是病毒的基本特點。計算機(jī)病毒與生物病毒類似，也會通過各種傳播性是病毒的基本特點。計算機(jī)病毒與生物病毒類似，也會通過各種途徑傳播擴(kuò)散，在一定條件下造成被感染的計算機(jī)系統(tǒng)工作失常甚至癱瘓。途徑傳播擴(kuò)散，在一定條件下造成被感染的計算機(jī)系統(tǒng)工作失常甚至癱瘓。n 2.2.竊取系統(tǒng)控制權(quán)竊取系統(tǒng)控制權(quán) 當(dāng)用戶調(diào)用正常程序時竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒當(dāng)用戶調(diào)用正常程序時竊取到系統(tǒng)的控制權(quán)，先于正常程序執(zhí)行，病毒的動作、目的對用戶往往是未知的，未經(jīng)用戶允許。的動作、目的對用戶往往是未知的，未經(jīng)用戶允許。n 3.3.隱蔽性隱蔽性 病毒程序很隱蔽與正常程

11、序只有經(jīng)過代碼分析才能區(qū)別。病毒程序很隱蔽與正常程序只有經(jīng)過代碼分析才能區(qū)別。n 4.4.破壞性破壞性 侵入系統(tǒng)的任何病毒，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生影響。占用系統(tǒng)資源，侵入系統(tǒng)的任何病毒，都會對系統(tǒng)及應(yīng)用程序產(chǎn)生影響。占用系統(tǒng)資源，降低計算機(jī)工作效率，甚至可導(dǎo)致系統(tǒng)崩潰，其破壞性多種多樣。降低計算機(jī)工作效率，甚至可導(dǎo)致系統(tǒng)崩潰，其破壞性多種多樣。8.1 計算機(jī)病毒概述計算機(jī)病毒概述n 5.5.潛伏性潛伏性 絕大部分的計算機(jī)病毒感染系統(tǒng)之后一般不會馬上發(fā)作，可長期隱藏在絕大部分的計算機(jī)病毒感染系統(tǒng)之后一般不會馬上發(fā)作，可長期隱藏在系統(tǒng)中，只有當(dāng)滿足其特定條件時才啟動其破壞代碼，顯示發(fā)作信息或破壞

12、系統(tǒng)中，只有當(dāng)滿足其特定條件時才啟動其破壞代碼，顯示發(fā)作信息或破壞系統(tǒng)。系統(tǒng)。n 6.6.不可預(yù)見性不可預(yù)見性 不同種類的病毒代碼相差很大，但有些操作具有共性，如駐內(nèi)存、改中不同種類的病毒代碼相差很大，但有些操作具有共性，如駐內(nèi)存、改中斷等。利用這些共性已研發(fā)出查病毒程序，但由于軟件種類繁多、病毒變異斷等。利用這些共性已研發(fā)出查病毒程序，但由于軟件種類繁多、病毒變異難預(yù)見。難預(yù)見。n 8.1.3 8.1.3 計算機(jī)病毒的分類計算機(jī)病毒的分類n 1 1以以病毒攻擊的操作系統(tǒng)病毒攻擊的操作系統(tǒng)分類分類8.1 計算機(jī)病毒概述計算機(jī)病毒概述n 2 2以以病毒的攻擊機(jī)型病毒的攻擊機(jī)型分類分類n 3 3按

13、照病毒的鏈接方式分類按照病毒的鏈接方式分類 通常，計算機(jī)病毒所攻擊的對象是系統(tǒng)可執(zhí)行部分，按照通常，計算機(jī)病毒所攻擊的對象是系統(tǒng)可執(zhí)行部分，按照病毒鏈接方式病毒鏈接方式可分為可分為4 4種：種：8.1 計算機(jī)病毒概述計算機(jī)病毒概述n 4 4按照病毒的破壞能力分類按照病毒的破壞能力分類 根據(jù)根據(jù)病毒破壞的能力病毒破壞的能力可劃分為可劃分為4 4種：種：n 5 5按照傳播媒介不同分類按照傳播媒介不同分類 按照按照計算機(jī)病毒的傳播媒介計算機(jī)病毒的傳播媒介分類，可分為分類，可分為單機(jī)病毒單機(jī)病毒和和網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒。n 6 6按傳播方式不同分類按傳播方式不同分類 按照按照計算機(jī)病毒傳播方式計算機(jī)病毒傳

14、播方式可分為可分為引導(dǎo)型病毒引導(dǎo)型病毒、文件型病毒文件型病毒和和混合型病毒混合型病毒3 3種。種。8.1 計算機(jī)病毒概述計算機(jī)病毒概述n 7 7以病毒特有的算法不同分類以病毒特有的算法不同分類n 8.8.按照病毒的寄生部位或傳染對象分類按照病毒的寄生部位或傳染對象分類 傳染性是計算機(jī)病毒的本質(zhì)屬性傳染性是計算機(jī)病毒的本質(zhì)屬性，根據(jù)寄生部位或傳染對象分類，即，根據(jù)寄生部位或傳染對象分類，即根根據(jù)計算機(jī)病毒傳染方式進(jìn)行分類據(jù)計算機(jī)病毒傳染方式進(jìn)行分類，有以下，有以下3 3種：種：n 9.9.按照病毒激活的時間分類按照病毒激活的時間分類 按照按照病毒激活時間病毒激活時間可分為可分為定時的定時的和和隨

15、機(jī)的隨機(jī)的。8.1 計算機(jī)病毒概述計算機(jī)病毒概述n 8.1.4 8.1.4 計算機(jī)中毒的異常癥狀計算機(jī)中毒的異常癥狀n 病毒的存在、感染和發(fā)作的特征表現(xiàn)可分為三類：計算機(jī)病毒發(fā)作前、病毒的存在、感染和發(fā)作的特征表現(xiàn)可分為三類：計算機(jī)病毒發(fā)作前、發(fā)作時和發(fā)作后。通常病毒感染比系統(tǒng)故障現(xiàn)象更多些。發(fā)作時和發(fā)作后。通常病毒感染比系統(tǒng)故障現(xiàn)象更多些。n 1.1.計算機(jī)病毒發(fā)作前的情況計算機(jī)病毒發(fā)作前的情況 計算機(jī)病毒發(fā)作前計算機(jī)病毒發(fā)作前主要是以潛伏、傳播為主主要是以潛伏、傳播為主。其。其常見的現(xiàn)象常見的現(xiàn)象為：為：8.1 計算機(jī)病毒概述計算機(jī)病毒概述n 2.2.計算機(jī)病毒發(fā)作時的癥狀計算機(jī)病毒發(fā)作時

16、的癥狀 8.1 計算機(jī)病毒概述計算機(jī)病毒概述n 3.3.計算機(jī)病毒發(fā)作的后果計算機(jī)病毒發(fā)作的后果 惡性計算機(jī)惡性計算機(jī)病毒發(fā)作后的病毒發(fā)作后的現(xiàn)象現(xiàn)象及造成的及造成的后果后果包括：包括：1 1）硬盤無法啟動，數(shù)據(jù)丟失。）硬盤無法啟動，數(shù)據(jù)丟失。2 2）文件丟失或被破壞。）文件丟失或被破壞。3 3）文件目錄混亂。）文件目錄混亂。4 4）BIOSBIOS程序混亂使主板遭破壞。程序混亂使主板遭破壞。5 5）部分文檔自動加密。）部分文檔自動加密。6 6）計算機(jī)重啟時格式化硬盤。）計算機(jī)重啟時格式化硬盤。7 7）網(wǎng)絡(luò)癱瘓，無法正常提供服務(wù)。）網(wǎng)絡(luò)癱瘓，無法正常提供服務(wù)。8.1 計算機(jī)病毒概述計算機(jī)病毒概

17、述 8.2 計算機(jī)病毒的構(gòu)成與傳播計算機(jī)病毒的構(gòu)成與傳播n 8.2.1 8.2.1 計算機(jī)病毒的構(gòu)成結(jié)構(gòu)計算機(jī)病毒的構(gòu)成結(jié)構(gòu)n 計算機(jī)病毒計算機(jī)病毒種類很多，都由種類很多，都由3 3個部分個部分構(gòu)成構(gòu)成：3)3)由兩個部分構(gòu)成，一是病毒的觸發(fā)條件由兩個部分構(gòu)成，一是病毒的觸發(fā)條件判斷部分，二是病毒的具體表現(xiàn)部分。判斷部分，二是病毒的具體表現(xiàn)部分。2)2)是病毒程序的是病毒程序的核心核心，主要功能是傳播病毒，一般由，主要功能是傳播病毒，一般由兩個部分構(gòu)成，一是傳播條件判斷部分；二是傳播部分。兩個部分構(gòu)成，一是傳播條件判斷部分；二是傳播部分。1)1)功能是將病毒功能是將病毒加載到內(nèi)存中，并其加載到

18、內(nèi)存中，并其存儲空間進(jìn)行保護(hù)，存儲空間進(jìn)行保護(hù)，以防被其他程序所覆以防被其他程序所覆蓋，同時修改一些中蓋，同時修改一些中斷及高端內(nèi)存、保存斷及高端內(nèi)存、保存原中斷向量等系統(tǒng)參原中斷向量等系統(tǒng)參數(shù)，為傳播部分做準(zhǔn)數(shù)，為傳播部分做準(zhǔn)備。它也稱潛伏機(jī)制備。它也稱潛伏機(jī)制模塊，具有初始化、模塊，具有初始化、隱藏和捕捉功能。隱藏和捕捉功能。我國網(wǎng)絡(luò)遭受攻擊近況我國網(wǎng)絡(luò)遭受攻擊近況。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT監(jiān)監(jiān)測和國家信息安全漏洞共享平臺測和國家信息安全漏洞共享平臺CNVD發(fā)布的數(shù)據(jù)，發(fā)布的數(shù)據(jù)，2014年年2月月10日日至至16日一周境內(nèi)被篡改網(wǎng)站數(shù)量為日一周境內(nèi)被篡改網(wǎng)站數(shù)

19、量為8965個，比上周增長個，比上周增長79.7%；境內(nèi)；境內(nèi)被植入后門的網(wǎng)站數(shù)量為被植入后門的網(wǎng)站數(shù)量為1168個；個；針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為針對境內(nèi)網(wǎng)站的仿冒頁面數(shù)量為181個。其中，政府網(wǎng)站被篡改個。其中，政府網(wǎng)站被篡改418個、個、植入后門的植入后門的35個。感染網(wǎng)絡(luò)病毒的個。感染網(wǎng)絡(luò)病毒的主機(jī)數(shù)量約為主機(jī)數(shù)量約為69萬個，新增信息安萬個，新增信息安全漏洞全漏洞280個。個。案例案例8-48-4n 8.2.2 8.2.2 計算機(jī)病毒的傳播計算機(jī)病毒的傳播n 1 1計算機(jī)病毒的傳播方式和途徑計算機(jī)病毒的傳播方式和途徑一、通過固定的計算機(jī)硬件設(shè)備進(jìn)行傳播，如用一、通過固定的計算機(jī)硬件

20、設(shè)備進(jìn)行傳播，如用ASICASIC芯片和硬盤傳播芯片和硬盤傳播;二、通過移動存儲設(shè)備傳播，其中二、通過移動存儲設(shè)備傳播，其中U U盤和移動硬盤是使用最廣泛、移盤和移動硬盤是使用最廣泛、移 動最頻繁的存儲介質(zhì)，也成了病毒寄生的動最頻繁的存儲介質(zhì)，也成了病毒寄生的“溫床溫床”；三、通過網(wǎng)絡(luò)進(jìn)行傳播，現(xiàn)在已成為病毒的第一傳播途徑；三、通過網(wǎng)絡(luò)進(jìn)行傳播，現(xiàn)在已成為病毒的第一傳播途徑；四、通過點對點通信系統(tǒng)和無線通道傳播。四、通過點對點通信系統(tǒng)和無線通道傳播。8.2 計算機(jī)病毒的構(gòu)成與傳播計算機(jī)病毒的構(gòu)成與傳播n 2 2計算機(jī)病毒的傳播過程計算機(jī)病毒的傳播過程n 病毒病毒被動傳播被動傳播的的過程過程是隨

21、著復(fù)制磁盤或文件工作進(jìn)行的；是隨著復(fù)制磁盤或文件工作進(jìn)行的；n 病毒病毒主動傳播主動傳播的的過程過程是在系統(tǒng)運行時，病毒通過病毒載體，由系統(tǒng)外存是在系統(tǒng)運行時，病毒通過病毒載體，由系統(tǒng)外存進(jìn)入內(nèi)存，并監(jiān)視系統(tǒng)運行，在病毒引導(dǎo)模塊將其傳播模塊駐留內(nèi)存過程中，進(jìn)入內(nèi)存，并監(jiān)視系統(tǒng)運行，在病毒引導(dǎo)模塊將其傳播模塊駐留內(nèi)存過程中，還將修改系統(tǒng)中數(shù)據(jù)向量入口地址。還將修改系統(tǒng)中數(shù)據(jù)向量入口地址。n 3 3系統(tǒng)型病毒傳播機(jī)理系統(tǒng)型病毒傳播機(jī)理n 系統(tǒng)型病毒系統(tǒng)型病毒利用在啟動引導(dǎo)時竊取利用在啟動引導(dǎo)時竊取int 13Hint 13H控制權(quán)，在整個計算機(jī)運行控制權(quán)，在整個計算機(jī)運行過程中實時監(jiān)視磁盤操作，當(dāng)

22、讀寫磁盤的時讀出磁盤引導(dǎo)區(qū)，判斷磁盤是否過程中實時監(jiān)視磁盤操作，當(dāng)讀寫磁盤的時讀出磁盤引導(dǎo)區(qū)，判斷磁盤是否中毒，如未中毒就按病毒的寄生方式將原引導(dǎo)區(qū)改寫到磁盤的另一位置，而中毒，如未中毒就按病毒的寄生方式將原引導(dǎo)區(qū)改寫到磁盤的另一位置，而將病毒寫入第一個扇區(qū)，完成對磁盤的傳播。將病毒寫入第一個扇區(qū)，完成對磁盤的傳播。int13H int13H或或int21H,int21H,可使可使數(shù)據(jù)向量指向病毒程序的傳播模塊數(shù)據(jù)向量指向病毒程序的傳播模塊。當(dāng)系統(tǒng)執(zhí)行磁盤讀寫操作或功能調(diào)用時，該模塊被激活，判斷傳播當(dāng)系統(tǒng)執(zhí)行磁盤讀寫操作或功能調(diào)用時，該模塊被激活，判斷傳播條件滿足后，利用系統(tǒng)條件滿足后，利用系

23、統(tǒng)int 13Hint 13H讀寫磁盤中斷將病毒傳播給被讀寫的讀寫磁盤中斷將病毒傳播給被讀寫的磁盤或被加載的程序，再轉(zhuǎn)移到原數(shù)據(jù)服務(wù)程序執(zhí)行原有操作。磁盤或被加載的程序，再轉(zhuǎn)移到原數(shù)據(jù)服務(wù)程序執(zhí)行原有操作。案例案例8-58-5 8.2 計算機(jī)病毒的構(gòu)成與傳播計算機(jī)病毒的構(gòu)成與傳播n 4 4文件型病毒傳播機(jī)理文件型病毒傳播機(jī)理 病毒執(zhí)行被傳播的可執(zhí)行文件后進(jìn)駐內(nèi)存，并檢測系統(tǒng)的運行，當(dāng)發(fā)現(xiàn)被傳病毒執(zhí)行被傳播的可執(zhí)行文件后進(jìn)駐內(nèi)存，并檢測系統(tǒng)的運行，當(dāng)發(fā)現(xiàn)被傳播目標(biāo)時，先判斷是否中毒；當(dāng)條件滿足，將病毒鏈接到可執(zhí)行文件的首部或尾播目標(biāo)時，先判斷是否中毒；當(dāng)條件滿足，將病毒鏈接到可執(zhí)行文件的首部或尾

24、部，并存入磁盤；傳播后繼續(xù)監(jiān)視系統(tǒng)運行，并試圖尋找新目標(biāo)。部，并存入磁盤；傳播后繼續(xù)監(jiān)視系統(tǒng)運行，并試圖尋找新目標(biāo)。主要傳播途徑主要傳播途徑有以下有以下3 3種。種。1 1）加載執(zhí)行文件）加載執(zhí)行文件 2 2）列目錄過程）列目錄過程 3 3）新建文件過程）新建文件過程n 8.2.3 8.2.3 計算病毒的觸發(fā)與生存計算病毒的觸發(fā)與生存n 1 1計算機(jī)病機(jī)毒的觸發(fā)機(jī)制計算機(jī)病機(jī)毒的觸發(fā)機(jī)制 病毒的病毒的基本特性基本特性是感染、潛伏、可觸發(fā)、破壞。感染使病毒傳播，破壞性體是感染、潛伏、可觸發(fā)、破壞。感染使病毒傳播，破壞性體現(xiàn)其殺傷力。觸發(fā)性兼顧殺傷力和潛伏性，并可控制病毒感染和破壞的頻度。現(xiàn)其殺傷

25、力。觸發(fā)性兼顧殺傷力和潛伏性，并可控制病毒感染和破壞的頻度。病毒的病毒的觸發(fā)條件觸發(fā)條件主要有主要有7 7種種:時間觸發(fā)、鍵盤觸發(fā)、感染觸發(fā)、啟動觸發(fā)、時間觸發(fā)、鍵盤觸發(fā)、感染觸發(fā)、啟動觸發(fā)、訪問磁盤次數(shù)觸發(fā)、調(diào)用中斷功能觸發(fā)、訪問磁盤次數(shù)觸發(fā)、調(diào)用中斷功能觸發(fā)、CPUCPU型號型號/主板型號觸發(fā)。主板型號觸發(fā)。n 2.2.計算機(jī)病毒的生存周期計算機(jī)病毒的生存周期 計算機(jī)計算機(jī)病毒的病毒的產(chǎn)生過程產(chǎn)生過程分為程序設(shè)計分為程序設(shè)計傳播傳播潛伏潛伏觸發(fā)觸發(fā)運行運行實行攻擊。從實行攻擊。從產(chǎn)生到徹底根除，產(chǎn)生到徹底根除，病毒病毒擁有一個完整的擁有一個完整的生存周期生存周期。開發(fā)期、傳播期、潛伏期、發(fā)

26、作期、發(fā)現(xiàn)期、消化期、消亡期開發(fā)期、傳播期、潛伏期、發(fā)作期、發(fā)現(xiàn)期、消化期、消亡期 8.2 計算機(jī)病毒的構(gòu)成與傳播計算機(jī)病毒的構(gòu)成與傳播n 8.2.4 8.2.4 特種及新型病毒實例特種及新型病毒實例n 1 1特洛伊木馬特洛伊木馬n（1 1）特洛伊木馬的特性）特洛伊木馬的特性 特洛伊木馬特洛伊木馬（TrojanTrojan）病毒是一種具有攻擊系統(tǒng)、破壞文件、發(fā)送密碼）病毒是一種具有攻擊系統(tǒng)、破壞文件、發(fā)送密碼和記錄鍵盤等特殊功能的后門程序，其和記錄鍵盤等特殊功能的后門程序，其特性特性也已變異更新。也已變異更新。木馬病毒使網(wǎng)絡(luò)安全形勢異常嚴(yán)峻木馬病毒使網(wǎng)絡(luò)安全形勢異常嚴(yán)峻。一款名為一款名為“母馬

27、下載器母馬下載器”的惡性木馬病毒，集成了其他木馬和病毒，執(zhí)行后將生成數(shù)以千計的惡性木馬病毒，集成了其他木馬和病毒，執(zhí)行后將生成數(shù)以千計的的“子木馬子木馬”，憑借其超強(qiáng)的，憑借其超強(qiáng)的“穿透還原穿透還原”、“超快更新變異超快更新變異”和和“反殺反殺”能力，廣泛流行且使眾多查毒軟件難以處理。同一臺電腦，能力，廣泛流行且使眾多查毒軟件難以處理。同一臺電腦，中毒后也會隨機(jī)出現(xiàn)不同的癥狀。中毒后也會隨機(jī)出現(xiàn)不同的癥狀。案例案例8-68-6 8.2 計算機(jī)病毒的構(gòu)成與傳播計算機(jī)病毒的構(gòu)成與傳播n（2 2）特洛伊木馬的）特洛伊木馬的類型類型 破壞型、密碼發(fā)送型、遠(yuǎn)程訪問型、鍵盤記錄木馬、破壞型、密碼發(fā)送型、

28、遠(yuǎn)程訪問型、鍵盤記錄木馬、DoSDoS攻擊木馬、代攻擊木馬、代理木馬、理木馬、FTPFTP木馬、程序殺手木馬、反彈端口型木馬。木馬、程序殺手木馬、反彈端口型木馬。20132013年年發(fā)現(xiàn)發(fā)現(xiàn)手機(jī)木馬手機(jī)木馬Android.HeheAndroid.Hehe，可以阻止安卓設(shè)備上的來電和短信，可以阻止安卓設(shè)備上的來電和短信，并從受感染的設(shè)備上竊取信息。并從受感染的設(shè)備上竊取信息。n 2.2.蠕蟲病毒及新變種蠕蟲病毒及新變種 蠕蟲病毒蠕蟲病毒NimdaNimda是一種破壞力很強(qiáng)的惡意代碼，在網(wǎng)絡(luò)上傳播蔓延快。是一種破壞力很強(qiáng)的惡意代碼，在網(wǎng)絡(luò)上傳播蔓延快。中毒用戶郵件的正文為空，看似無附件，實際上郵件

29、中嵌入了病毒的執(zhí)行代中毒用戶郵件的正文為空，看似無附件，實際上郵件中嵌入了病毒的執(zhí)行代碼，用戶瀏覽時病毒被激活，復(fù)制到臨時目錄，并運行其副本。碼，用戶瀏覽時病毒被激活，復(fù)制到臨時目錄，并運行其副本。謹(jǐn)防新型盜號木馬。謹(jǐn)防新型盜號木馬。國家計算機(jī)病毒應(yīng)急處理中國家計算機(jī)病毒應(yīng)急處理中心心,2013年年12月通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)，近期出現(xiàn)惡意木馬程月通過對互聯(lián)網(wǎng)的監(jiān)測發(fā)現(xiàn)，近期出現(xiàn)惡意木馬程序新變種序新變種TrojanGeneric.OJX。運行后獲取系統(tǒng)路徑，判斷自。運行后獲取系統(tǒng)路徑，判斷自身是否在系統(tǒng)目錄下，如果不是則將自身拷貝到指定目錄下并重身是否在系統(tǒng)目錄下，如果不是則將自身拷貝到指定

30、目錄下并重命名，其文件名隨機(jī)生成。該變種會打開受感染操作系統(tǒng)中服務(wù)命名，其文件名隨機(jī)生成。該變種會打開受感染操作系統(tǒng)中服務(wù)控制管理器，創(chuàng)建服務(wù)進(jìn)程，啟動類型為自動。控制管理器，創(chuàng)建服務(wù)進(jìn)程，啟動類型為自動。案例案例8-78-7 8.2 計算機(jī)病毒的構(gòu)成與傳播計算機(jī)病毒的構(gòu)成與傳播 目前，全球感染量最大的目前，全球感染量最大的“飛客飛客”（ConfickerConficker）蠕蟲，）蠕蟲，20092009年下半年我年下半年我國境內(nèi)每月約有國境內(nèi)每月約有18001800余萬個主機(jī)余萬個主機(jī)IPIP受感染，占全球感染總量的受感染，占全球感染總量的3030，占各國，占各國感染比例的第一位。感染比例的

31、第一位。n 3.3.多重新型病毒多重新型病毒 CodeRedIICodeRedII是一種蠕蟲與木馬是一種蠕蟲與木馬雙型的病毒雙型的病毒。此新病毒極具危險，不僅可。此新病毒極具危險，不僅可修改主頁，而且可通過修改主頁，而且可通過IIS IIS 漏洞可對木馬上載和運行。先給自身建立一個環(huán)漏洞可對木馬上載和運行。先給自身建立一個環(huán)境并取得本地境并取得本地IPIP，用于分析為傳播的子網(wǎng)掩碼，判斷當(dāng)前操作系統(tǒng)，之后根，用于分析為傳播的子網(wǎng)掩碼，判斷當(dāng)前操作系統(tǒng)，之后根據(jù)判斷增加線程。據(jù)判斷增加線程。2009 2009年出現(xiàn)一種蠕蟲新變種年出現(xiàn)一種蠕蟲新變種Worm_Pijoyd.BWorm_Pijoyd

32、.B 可感染操作系統(tǒng)中可執(zhí)行文件、網(wǎng)頁文件和腳本文件等，變種運可感染操作系統(tǒng)中可執(zhí)行文件、網(wǎng)頁文件和腳本文件等，變種運行后生成一個動態(tài)鏈接庫文件，使受感染操作系統(tǒng)中的文件保護(hù)功能行后生成一個動態(tài)鏈接庫文件，使受感染操作系統(tǒng)中的文件保護(hù)功能失效，無法對變種自我復(fù)制的鏈接庫文件修改，躲避被查殺進(jìn)行自保失效，無法對變種自我復(fù)制的鏈接庫文件修改，躲避被查殺進(jìn)行自保護(hù)。然后，修改加載動態(tài)鏈接庫文件的時間，并啟動服務(wù)進(jìn)程。護(hù)。然后，修改加載動態(tài)鏈接庫文件的時間，并啟動服務(wù)進(jìn)程。案例案例8-88-8 8.2 計算機(jī)病毒的構(gòu)成與傳播計算機(jī)病毒的構(gòu)成與傳播n 4.CIH 4.CIH 病毒病毒 CIHCIH病毒病

33、毒屬屬文件型惡性病毒文件型惡性病毒，其別名為，其別名為Win95.CIHWin95.CIH、Win32.CIHWin32.CIH、PE_CIHPE_CIH，主要感染主要感染W(wǎng)indowsWindows可執(zhí)行文件?？蓤?zhí)行文件。CIHCIH經(jīng)歷了多個版本的發(fā)展變化，發(fā)作日期為經(jīng)歷了多個版本的發(fā)展變化，發(fā)作日期為每年的每年的4 4月月2626日或日或6 6月月2626日，而版本日，而版本CIH V1.4CIH V1.4的發(fā)作日期則被修改為每月的的發(fā)作日期則被修改為每月的2626日，改變后縮短了發(fā)作期限，增加了破壞性。當(dāng)發(fā)作條件成熟時，將破壞硬日，改變后縮短了發(fā)作期限，增加了破壞性。當(dāng)發(fā)作條件成熟時，

34、將破壞硬盤數(shù)據(jù)，并可破壞盤數(shù)據(jù)，并可破壞BIOSBIOS程序。程序。n 5.“U5.“U盤殺手盤殺手”新變種新變種 20092009年發(fā)現(xiàn)新的年發(fā)現(xiàn)新的“U U盤殺手盤殺手”新變種（新變種（Worm_ Autorun.LSKWorm_ Autorun.LSK），運行后），運行后在受感染操作系統(tǒng)的系統(tǒng)目錄下釋放惡意驅(qū)動程序，并將自身圖標(biāo)偽裝成在受感染操作系統(tǒng)的系統(tǒng)目錄下釋放惡意驅(qū)動程序，并將自身圖標(biāo)偽裝成WindowsWindows默認(rèn)文件夾。變種可將其自身復(fù)制、隱藏、自我命名、誘騙點擊運默認(rèn)文件夾。變種可將其自身復(fù)制、隱藏、自我命名、誘騙點擊運行變種文件行變種文件。瑞星瑞星“云安全云安全”系統(tǒng)

35、截系統(tǒng)截2014年初截獲了多種新型感染病毒，其特年初截獲了多種新型感染病毒，其特點為：病毒感染能力強(qiáng)、可釋放多個木馬程序、變異快、可逃脫很多殺毒軟點為：病毒感染能力強(qiáng)、可釋放多個木馬程序、變異快、可逃脫很多殺毒軟件的查殺與監(jiān)控。當(dāng)用戶從網(wǎng)上下載游戲、件的查殺與監(jiān)控。當(dāng)用戶從網(wǎng)上下載游戲、MP3、exe、flash等時，很可能等時，很可能帶有病毒，用戶運行后即可感染電腦中的其他文件。帶有病毒，用戶運行后即可感染電腦中的其他文件。Win32.virut、Win32.BMW和和Worm.Win32.viking是其中三個威力最強(qiáng)的感染型病毒是其中三個威力最強(qiáng)的感染型病毒 案例案例8-98-9 8.2

36、 計算機(jī)病毒的構(gòu)成與傳播計算機(jī)病毒的構(gòu)成與傳播 新型新型U U盤病毒瞄準(zhǔn)盤病毒瞄準(zhǔn)WIN7WIN7。金山云安全中心發(fā)布預(yù)警稱，金山云安全中心發(fā)布預(yù)警稱，新操作系統(tǒng)新操作系統(tǒng)Windows上市后，已發(fā)現(xiàn)針對上市后，已發(fā)現(xiàn)針對WIN7的病毒新變種。目前，的病毒新變種。目前，感染量最高的感染量最高的U盤病毒盤病毒“文件夾模仿者文件夾模仿者”系列，除了進(jìn)行免殺處理外，系列，除了進(jìn)行免殺處理外，還將所偽裝的文件夾圖標(biāo)采用了還將所偽裝的文件夾圖標(biāo)采用了WIN7的圖標(biāo)風(fēng)格。其新變種實質(zhì)上是廣的圖標(biāo)風(fēng)格。其新變種實質(zhì)上是廣告木馬。它通過隱藏盤中的真實文件、并替換其中文件夾圖標(biāo)為自己告木馬。它通過隱藏盤中的真實

37、文件、并替換其中文件夾圖標(biāo)為自己圖標(biāo)的方式，誘使用戶在每次查看文件時點擊木馬圖標(biāo)激活運行，彈出圖標(biāo)的方式，誘使用戶在每次查看文件時點擊木馬圖標(biāo)激活運行，彈出指向某些網(wǎng)站的指向某些網(wǎng)站的IE窗口，才允許用戶進(jìn)入文件夾內(nèi)。窗口，才允許用戶進(jìn)入文件夾內(nèi)。案例案例8-108-10 8.2 計算機(jī)病毒的構(gòu)成與傳播計算機(jī)病毒的構(gòu)成與傳播6.磁碟機(jī)病毒磁碟機(jī)病毒主要危害主要危害主要癥狀主要癥狀主要防范方法主要防范方法 8.3 計算機(jī)病毒檢測清除與防范計算機(jī)病毒檢測清除與防范n 8.3.1 8.3.1 計算機(jī)病毒的檢測計算機(jī)病毒的檢測n 1 1特征代碼法特征代碼法 特征代碼法特征代碼法是檢測已知病毒的最簡單、

38、開銷較小的方法。其檢測步驟為：是檢測已知病毒的最簡單、開銷較小的方法。其檢測步驟為：采集中毒樣本，并抽取特征代碼，打開被檢測文件，然后搜索檢查是否含病采集中毒樣本，并抽取特征代碼，打開被檢測文件，然后搜索檢查是否含病毒特征碼。毒特征碼。n 2 2校驗和法校驗和法 校驗和法校驗和法指在使用文件前或定期地檢查文件內(nèi)容前后的校驗和變化的方指在使用文件前或定期地檢查文件內(nèi)容前后的校驗和變化的方法。既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒，卻無法識別病毒類和病毒名。法。既可發(fā)現(xiàn)已知病毒又可發(fā)現(xiàn)未知病毒，卻無法識別病毒類和病毒名。n 3 3行為監(jiān)測法行為監(jiān)測法 行為監(jiān)測法行為監(jiān)測法是利用病毒的行為特征監(jiān)測病毒的一

39、種方法。病毒的一些行是利用病毒的行為特征監(jiān)測病毒的一種方法。病毒的一些行為特征比較特殊且具有其共性，監(jiān)視程序運行，可發(fā)現(xiàn)病毒并及時報警。為特征比較特殊且具有其共性，監(jiān)視程序運行，可發(fā)現(xiàn)病毒并及時報警。n 4 4軟件模擬法軟件模擬法 多態(tài)性病毒代碼密碼化，且每次激活的密鑰各異，對比染毒代碼也無法多態(tài)性病毒代碼密碼化，且每次激活的密鑰各異，對比染毒代碼也無法找出共性特征的穩(wěn)定代碼。目前，很多找出共性特征的穩(wěn)定代碼。目前，很多殺毒軟件殺毒軟件已具有實時監(jiān)測功能，在預(yù)已具有實時監(jiān)測功能，在預(yù)防病毒方面效果也很好。防病毒方面效果也很好。n 8.3.2 8.3.2 常見病毒的清除方法常見病毒的清除方法n

40、計算機(jī)系統(tǒng)意外中毒，需要及時采取措施，常用的處理方法是計算機(jī)系統(tǒng)意外中毒，需要及時采取措施，常用的處理方法是清除清除病毒病毒：先對系統(tǒng)被破壞的程度先對系統(tǒng)被破壞的程度調(diào)查評估調(diào)查評估，并采取有效的清除對策和方法。，并采取有效的清除對策和方法。n 殺毒后重啟計算機(jī)，再用防殺病毒軟件檢查系統(tǒng)，并確認(rèn)完全恢復(fù)正常。殺毒后重啟計算機(jī)，再用防殺病毒軟件檢查系統(tǒng)，并確認(rèn)完全恢復(fù)正常。8.3 計算機(jī)病毒檢測清除與防范計算機(jī)病毒檢測清除與防范 8.3 計算機(jī)病毒檢測清除與防范計算機(jī)病毒檢測清除與防范n 8.3.3 8.3.3 計算機(jī)病毒的防范計算機(jī)病毒的防范n 計算機(jī)病毒的計算機(jī)病毒的防范重于檢測和清除，這項

41、系統(tǒng)工程，需要全社會的共同防范重于檢測和清除，這項系統(tǒng)工程，需要全社會的共同努力。努力。國家依法打擊病毒的制造者和蓄意傳播者，并建立計算機(jī)病毒防治機(jī)國家依法打擊病毒的制造者和蓄意傳播者，并建立計算機(jī)病毒防治機(jī)構(gòu)及處理中心，從政策與技術(shù)上組織、協(xié)調(diào)和指導(dǎo)全國的計算機(jī)病毒防治。構(gòu)及處理中心，從政策與技術(shù)上組織、協(xié)調(diào)和指導(dǎo)全國的計算機(jī)病毒防治。通過建立計算機(jī)病毒防范體系和制度，實時檢測及時發(fā)現(xiàn)計算機(jī)病毒的侵入，通過建立計算機(jī)病毒防范體系和制度，實時檢測及時發(fā)現(xiàn)計算機(jī)病毒的侵入，有效遏制病毒的傳播和破壞，盡快恢復(fù)。有效遏制病毒的傳播和破壞，盡快恢復(fù)。n 企事業(yè)單位企事業(yè)單位應(yīng)樹立應(yīng)樹立“預(yù)防為主預(yù)防為

42、主”思想，制定出切實可行的管理措施，以思想，制定出切實可行的管理措施，以防止病毒傳播，定期專項培訓(xùn)，提高計算機(jī)使用人員防毒意識。防止病毒傳播，定期專項培訓(xùn)，提高計算機(jī)使用人員防毒意識。對于重要部對于重要部門，專機(jī)專用；對于具體用戶，門，專機(jī)專用；對于具體用戶，一定遵守有關(guān)規(guī)則和習(xí)慣一定遵守有關(guān)規(guī)則和習(xí)慣：配備殺毒軟件并：配備殺毒軟件并及時升級；留意安全信息，及時打好補(bǔ)?。唤?jīng)常備份文件并殺毒一次；對外及時升級；留意安全信息，及時打好補(bǔ)??；經(jīng)常備份文件并殺毒一次；對外來文件和存儲介質(zhì)都應(yīng)先查毒后使用；一旦遭到大規(guī)模的病毒攻擊，應(yīng)立即來文件和存儲介質(zhì)都應(yīng)先查毒后使用；一旦遭到大規(guī)模的病毒攻擊，應(yīng)立即

43、采取隔離措施，并向有關(guān)部門報告，再采取措施清除；不點擊不明網(wǎng)站及鏈采取隔離措施，并向有關(guān)部門報告，再采取措施清除；不點擊不明網(wǎng)站及鏈接；不使用盜版光盤；不下載不明文件和游戲等。接；不使用盜版光盤；不下載不明文件和游戲等。個人用戶個人用戶也要遵守病毒防也要遵守病毒防治的法紀(jì)和制度，不斷學(xué)習(xí)、積累防毒知識和經(jīng)驗，養(yǎng)成良好的防毒習(xí)慣，治的法紀(jì)和制度，不斷學(xué)習(xí)、積累防毒知識和經(jīng)驗，養(yǎng)成良好的防毒習(xí)慣，不造毒不傳毒。不造毒不傳毒。n 8.3.4 8.3.4 木馬的檢測清除與防范木馬的檢測清除與防范 木馬可在木馬可在Win.ini和和System.ini”run=”“l(fā)oad=”“shell=”后面加載后

44、面加載,若在這些選若在這些選項后的加載程序很陌生項后的加載程序很陌生,可能可能就是木馬就是木馬.通常將通常將“Explorer”變?yōu)樽陨沓绦蛎優(yōu)樽陨沓绦蛎?只需將其中只需將其中的字母的字母”l”改為數(shù)字改為數(shù)字“1”,或或?qū)⒆帜笇⒆帜浮皁”改為數(shù)字改為數(shù)字“0”,不不易被發(fā)現(xiàn)。易被發(fā)現(xiàn)。8.3 計算機(jī)病毒檢測清除與防范計算機(jī)病毒檢測清除與防范 上海市經(jīng)濟(jì)和信上海市經(jīng)濟(jì)和信息化委員會息化委員會2013年年8月月23發(fā)發(fā)布計算機(jī)病毒預(yù)報。布計算機(jī)病毒預(yù)報。案例案例8-128-12案例案例8-118-11n 8.3.5 8.3.5 病毒和反病毒技術(shù)的發(fā)展趨勢病毒和反病毒技術(shù)的發(fā)展趨勢n 1.1.計

45、算機(jī)病毒的發(fā)展趨勢計算機(jī)病毒的發(fā)展趨勢 計算機(jī)病毒技術(shù)發(fā)展變化很快，而且造成的影響更為廣泛，從最計算機(jī)病毒技術(shù)發(fā)展變化很快，而且造成的影響更為廣泛，從最早的單片機(jī)到現(xiàn)在的聯(lián)網(wǎng)手機(jī)，并朝著網(wǎng)絡(luò)化、智能對抗反病毒手早的單片機(jī)到現(xiàn)在的聯(lián)網(wǎng)手機(jī)，并朝著網(wǎng)絡(luò)化、智能對抗反病毒手段和有目的方向發(fā)展。段和有目的方向發(fā)展。一些新病毒更加隱蔽，針對查毒軟件而設(shè)一些新病毒更加隱蔽，針對查毒軟件而設(shè)計的多形態(tài)病毒使查毒更難。計的多形態(tài)病毒使查毒更難。8.3 計算機(jī)病毒檢測清除與防范計算機(jī)病毒檢測清除與防范 據(jù)瑞星網(wǎng)站報道據(jù)瑞星網(wǎng)站報道2013年年1至至6月月，瑞星，瑞星“云安全云安全”系統(tǒng)共截獲新系統(tǒng)共截獲新增病毒

46、樣本增病毒樣本1,633萬余個，病毒總體數(shù)量比去年下半年增長萬余個，病毒總體數(shù)量比去年下半年增長93.01%，呈現(xiàn)，呈現(xiàn)出一個爆發(fā)式的增長態(tài)勢。其中木馬病毒出一個爆發(fā)式的增長態(tài)勢。其中木馬病毒1,172萬個，占總體病毒的萬個，占總體病毒的71.8%，和去年一樣是第一大種類病毒。新增病毒樣本包括蠕蟲病毒（和去年一樣是第一大種類病毒。新增病毒樣本包括蠕蟲病毒（Worm）198萬個，占總體數(shù)量的萬個，占總體數(shù)量的12.16%，成為第二大種類病毒。感染型（，成為第二大種類病毒。感染型（Win32）病毒病毒97萬個，占總體數(shù)量的萬個，占總體數(shù)量的5.99%，后門病毒（，后門病毒（Backdoor）66萬

47、個，占萬個，占總體數(shù)量的總體數(shù)量的4.05%，位列第三和第四。惡意廣告（，位列第三和第四。惡意廣告（Adware）、黑客程序）、黑客程序（Hack）、病毒釋放器（）、病毒釋放器（Dropper）、惡意驅(qū)動（）、惡意驅(qū)動（Rootkit）依次排列，）依次排列，比例分別為比例分別為1.91%、1.03%、0.62%和和0.35%。案例案例8-138-13n 2.2.病毒防范技術(shù)的發(fā)展趨勢病毒防范技術(shù)的發(fā)展趨勢n 病毒清除新技術(shù)和新發(fā)展主要體現(xiàn)在：病毒清除新技術(shù)和新發(fā)展主要體現(xiàn)在：主要包主要包括括 8.3 計算機(jī)病毒檢測清除與防范計算機(jī)病毒檢測清除與防范 8.4 惡意軟件的危害和清除惡意軟件的危害和

48、清除n 8.4.1 8.4.1 惡意軟件概述惡意軟件概述n 1 1惡意軟件的概念惡意軟件的概念n 2 2惡意軟件的分類惡意軟件的分類 按照按照惡意軟件惡意軟件的特征和危害可以的特征和危害可以分為分為6 6類類：（1 1）廣告軟件（）廣告軟件（AdwareAdware）（4 4）行為記錄軟件（）行為記錄軟件（Track WareTrack Ware）（2 2）間諜軟件（）間諜軟件（SpywareSpyware）（5 5）惡意共享軟件（）惡意共享軟件（malicious sharewaremalicious shareware）（3 3）瀏覽器劫持）瀏覽器劫持 （6 6）其它）其它“流氓軟件流氓軟

49、件”惡意軟件惡意軟件也稱也稱惡意代碼惡意代碼是擾亂系統(tǒng)正常運行和操作的程序。廣是擾亂系統(tǒng)正常運行和操作的程序。廣義上，計算機(jī)病毒也是惡意軟件的一種。狹義上惡意軟件是介于病義上，計算機(jī)病毒也是惡意軟件的一種。狹義上惡意軟件是介于病毒和正規(guī)軟件之間。一般同時具有下載、媒體播放等正常功能和自毒和正規(guī)軟件之間。一般同時具有下載、媒體播放等正常功能和自動彈出、開后門、難清除等惡意行為。其共同的特征是未經(jīng)用戶許動彈出、開后門、難清除等惡意行為。其共同的特征是未經(jīng)用戶許可強(qiáng)行潛入到電腦中，且無法正常卸載和刪除，或刪除后又自動生可強(qiáng)行潛入到電腦中，且無法正常卸載和刪除，或刪除后又自動生成，因此，也被稱為成，因

50、此，也被稱為“流氓軟件流氓軟件”。n 8.4.2 8.4.2 惡意軟件的危害與清除惡意軟件的危害與清除n 1.1.惡意軟件的危害惡意軟件的危害 （1 1）強(qiáng)制彈出廣告軟件）強(qiáng)制彈出廣告軟件 （2 2）劫持瀏覽器）劫持瀏覽器 （3 3）后臺記錄）后臺記錄 （4 4）強(qiáng)制改寫系統(tǒng)文件）強(qiáng)制改寫系統(tǒng)文件n 2.2.惡意軟件的清除惡意軟件的清除 利用利用惡意軟件清除工具惡意軟件清除工具進(jìn)行清理進(jìn)行清理,如超級巡警病毒分析工具如超級巡警病毒分析工具,惡意軟件清惡意軟件清理助手理助手,超級兔子超級兔子,Windows,Windows優(yōu)化大師優(yōu)化大師,金山清理專家等金山清理專家等,其使用方法較為簡單。其使用

51、方法較為簡單。Windows Windows 優(yōu)化大師優(yōu)化大師清除惡意軟件方法清除惡意軟件方法.WindowsWindows優(yōu)化大師是優(yōu)化大師是一款功能強(qiáng)大的系統(tǒng)工具軟件一款功能強(qiáng)大的系統(tǒng)工具軟件,提供了全面有效且簡便安全的提供了全面有效且簡便安全的系統(tǒng)檢測、優(yōu)化、清理、維護(hù)四大功能模塊和附加的工具軟件系統(tǒng)檢測、優(yōu)化、清理、維護(hù)四大功能模塊和附加的工具軟件。案例案例8-148-14 8.4 惡意軟件的危害和清除惡意軟件的危害和清除圖圖8-1 Windows優(yōu)化大師清理惡意軟件界面優(yōu)化大師清理惡意軟件界面9.5 360安全衛(wèi)士及殺毒軟件應(yīng)用實驗安全衛(wèi)士及殺毒軟件應(yīng)用實驗 9.5.1 9.5.1

52、實驗?zāi)康膶嶒災(zāi)康?.5.2 9.5.2 實驗內(nèi)容實驗內(nèi)容 1.主要實驗內(nèi)容主要實驗內(nèi)容 360安全衛(wèi)士及殺毒軟件的安全衛(wèi)士及殺毒軟件的實驗內(nèi)容實驗內(nèi)容：360安全衛(wèi)士及殺毒軟件的主要功能及特點。安全衛(wèi)士及殺毒軟件的主要功能及特點。360安全衛(wèi)士及殺毒軟件主要技術(shù)和應(yīng)用。安全衛(wèi)士及殺毒軟件主要技術(shù)和應(yīng)用。360安全衛(wèi)士及殺毒軟件主要操作界面和方法。安全衛(wèi)士及殺毒軟件主要操作界面和方法。實驗用時：實驗用時：2學(xué)時（學(xué)時（90-120分鐘）分鐘）2.360安全衛(wèi)士主要功能特點安全衛(wèi)士主要功能特點 360安全衛(wèi)士安全衛(wèi)士主要功能主要功能：電腦體檢。電腦體檢。查殺木馬。查殺木馬。修復(fù)漏洞。修復(fù)漏洞。系統(tǒng)

53、修復(fù)。系統(tǒng)修復(fù)。電腦清理。電腦清理。優(yōu)化加速。優(yōu)化加速。電腦門診。電腦門診。軟件管家。軟件管家。功能大全。功能大全。360安全衛(wèi)士及殺毒軟件的安全衛(wèi)士及殺毒軟件的實驗?zāi)康膶嶒災(zāi)康模毫私饬私?60安全衛(wèi)士及殺毒軟件的主要功能及特點。安全衛(wèi)士及殺毒軟件的主要功能及特點。理解理解360安全衛(wèi)士及殺毒軟件主要技術(shù)和應(yīng)用。安全衛(wèi)士及殺毒軟件主要技術(shù)和應(yīng)用。掌握掌握360安全衛(wèi)士及殺毒軟件主要操作界面和方法安全衛(wèi)士及殺毒軟件主要操作界面和方法 3.360殺毒軟件主要功能特點殺毒軟件主要功能特點 360殺毒軟件和殺毒軟件和360安全衛(wèi)士配合使用，是安全上網(wǎng)的黃金組合，安全衛(wèi)士配合使用，是安全上網(wǎng)的黃金組合，

54、可提供全時全面的病毒防護(hù)?？商峁┤珪r全面的病毒防護(hù)。360殺毒軟件主要功能特點殺毒軟件主要功能特點：360360殺毒無縫整合國際知名的殺毒無縫整合國際知名的BitDefenderBitDefender病毒查殺引擎和安全病毒查殺引擎和安全中心領(lǐng)先云查殺引擎。中心領(lǐng)先云查殺引擎。雙引擎智能調(diào)度，為電腦提供完善的病毒防護(hù)體系，不但查殺雙引擎智能調(diào)度，為電腦提供完善的病毒防護(hù)體系，不但查殺能力出色，而且能第一時間防御新出現(xiàn)的病毒木馬。能力出色，而且能第一時間防御新出現(xiàn)的病毒木馬。殺毒快、誤殺率低。以獨有的技術(shù)體系對系統(tǒng)資源占用少，殺殺毒快、誤殺率低。以獨有的技術(shù)體系對系統(tǒng)資源占用少，殺毒快、誤殺率低。

55、毒快、誤殺率低?？焖偕壓晚憫?yīng)，病毒特征庫及時更新，確保對爆發(fā)性病毒的快速升級和響應(yīng)，病毒特征庫及時更新，確保對爆發(fā)性病毒的快速響應(yīng)?？焖夙憫?yīng)。對感染型木馬強(qiáng)力查殺功能的反病毒引擎，以及實時保護(hù)技術(shù)對感染型木馬強(qiáng)力查殺功能的反病毒引擎，以及實時保護(hù)技術(shù)強(qiáng)大的反病毒引擎，采用虛擬環(huán)境啟發(fā)式分析技術(shù)發(fā)現(xiàn)和阻止未知病毒。強(qiáng)大的反病毒引擎，采用虛擬環(huán)境啟發(fā)式分析技術(shù)發(fā)現(xiàn)和阻止未知病毒。超低系統(tǒng)資源占用，人性化免打擾設(shè)置，在用戶打開全屏程序超低系統(tǒng)資源占用，人性化免打擾設(shè)置，在用戶打開全屏程序或運行應(yīng)用程序時自動進(jìn)入或運行應(yīng)用程序時自動進(jìn)入“免打擾模式免打擾模式”。9.5 360安全衛(wèi)士及殺毒軟件應(yīng)用實

56、驗安全衛(wèi)士及殺毒軟件應(yīng)用實驗 9.5.3 9.5.3 操作界面及步驟操作界面及步驟1.360安全衛(wèi)士操作界面 鑒于廣大用戶對360安全衛(wèi)士等軟件比較熟悉，且限于篇幅，在此只做概述。360安全衛(wèi)士最新9.6版主要操作界面，如圖9-5至9-10所示。圖圖9-5 安全衛(wèi)士主界面及電腦體驗界面安全衛(wèi)士主界面及電腦體驗界面 圖圖9-6 安全衛(wèi)士的木馬查殺界面安全衛(wèi)士的木馬查殺界面9.5 360安全衛(wèi)士及殺毒軟件應(yīng)用實驗安全衛(wèi)士及殺毒軟件應(yīng)用實驗 1.360安全衛(wèi)士操作界面安全衛(wèi)士操作界面9.5.3 9.5.3 操作界面及步驟操作界面及步驟9.5 360安全衛(wèi)士及殺毒軟件應(yīng)用實驗安全衛(wèi)士及殺毒軟件應(yīng)用實驗

57、 圖圖9-7安全衛(wèi)士系統(tǒng)修復(fù)界面安全衛(wèi)士系統(tǒng)修復(fù)界面 圖圖9-8 安全衛(wèi)士的電腦清理界面安全衛(wèi)士的電腦清理界面1.360安全衛(wèi)士操作界面安全衛(wèi)士操作界面9.5.3 9.5.3 操作界面及步驟操作界面及步驟9.5 360安全衛(wèi)士及殺毒軟件應(yīng)用實驗安全衛(wèi)士及殺毒軟件應(yīng)用實驗 圖圖9-9電腦救援操作界面電腦救援操作界面 圖圖9-10 360手機(jī)安全助手手機(jī)安全助手2.360殺毒軟件操作界面殺毒軟件操作界面 360殺毒軟件主要功能界面，如圖殺毒軟件主要功能界面，如圖9-11至至9-14所示。所示。9.5.3 9.5.3 操作界面及步驟操作界面及步驟9.5 360安全衛(wèi)士及殺毒軟件應(yīng)用實驗安全衛(wèi)士及殺毒

58、軟件應(yīng)用實驗 圖圖9-11 360殺毒軟件主界面殺毒軟件主界面 圖圖9-12 360殺毒軟件全面掃描界面殺毒軟件全面掃描界面2.360殺毒軟件操作界面殺毒軟件操作界面9.5.3 9.5.3 操作界面及步驟操作界面及步驟9.5 360安全衛(wèi)士及殺毒軟件應(yīng)用實驗安全衛(wèi)士及殺毒軟件應(yīng)用實驗 圖圖9-13快速掃描操作界面快速掃描操作界面 圖圖9-14 功能大全選項界面功能大全選項界面8.6 本章小結(jié)本章小結(jié) 計算機(jī)計算機(jī)病毒的防范重于對病毒的檢測和清除病毒的防范重于對病毒的檢測和清除，計算機(jī)，計算機(jī)病毒病毒防治是一項系統(tǒng)工程防治是一項系統(tǒng)工程，需要各方面密切配合綜合治理需要各方面密切配合綜合治理。本章

59、首。本章首先進(jìn)行了計算機(jī)病毒概述，包括：計算機(jī)病毒的概念及發(fā)展、先進(jìn)行了計算機(jī)病毒概述，包括：計算機(jī)病毒的概念及發(fā)展、計算機(jī)病毒的分類、計算機(jī)病毒的主要特點、計算機(jī)中毒初期、計算機(jī)病毒的分類、計算機(jī)病毒的主要特點、計算機(jī)中毒初期、中期和后期的異常表現(xiàn)、特洛伊木馬特性及變異；介紹了計算中期和后期的異常表現(xiàn)、特洛伊木馬特性及變異；介紹了計算機(jī)病毒的組成結(jié)構(gòu)、計算機(jī)病毒的各種傳播方式、計算機(jī)病毒機(jī)病毒的組成結(jié)構(gòu)、計算機(jī)病毒的各種傳播方式、計算機(jī)病毒的觸發(fā)條件與生存周期、近年出現(xiàn)的特種及新型計算機(jī)病毒實的觸發(fā)條件與生存周期、近年出現(xiàn)的特種及新型計算機(jī)病毒實例分析等；同時還具體地介紹了計算機(jī)病毒的檢測、

60、清除與防例分析等；同時還具體地介紹了計算機(jī)病毒的檢測、清除與防范技術(shù)和方法，包括常見的病毒清除方法和木馬的檢測清除與范技術(shù)和方法，包括常見的病毒清除方法和木馬的檢測清除與防范技術(shù)，以及計算機(jī)病毒和防病毒的發(fā)展趨勢及新技術(shù)方法；防范技術(shù)，以及計算機(jī)病毒和防病毒的發(fā)展趨勢及新技術(shù)方法；結(jié)合實際討論了惡意軟件的類型、危害、清除和防范方法；最結(jié)合實際討論了惡意軟件的類型、危害、清除和防范方法；最后，對后，對360360安全衛(wèi)士和殺毒軟件的功能、特點和操作界面，以安全衛(wèi)士和殺毒軟件的功能、特點和操作界面，以及實際應(yīng)用和具體的實驗?zāi)康摹?nèi)容等進(jìn)行了簡單介紹，便于及實際應(yīng)用和具體的實驗?zāi)康?、?nèi)容等進(jìn)行了簡單介紹，便于理解和掌握具體實驗過程及方法。理解和掌握具體實驗過程及方法。