《计算机病毒与防治.ppt》由会员分享,可在线阅读,更多相关《计算机病毒与防治.ppt(69页珍藏版)》请在三一文库上搜索。
1、1,计算机病毒与防治 Virus & Anti-Virus,2,信息数据面临的威胁,3,什么是计算机病毒?,中华人民共和国计算机信息系统安全保护条例,第二十八条中明确指出: “计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。” 此定义具有法律性、权威性。,4,病毒的特性,(1)传染性 (2)潜伏性 (3)破坏性 (4)变种性,5,计算机病毒的源代码 MyDoom A (蠕虫病毒),6,Several events of computer virus,1949: von Neumann gave the conce
2、pt for virus 1983 1st virus created in LAB 1986 1st real virus occurred in the world 1988 1st virus occurred in China 1996 1st Macro virus 1998 CIH virus 1999 1st email virus”Melissa” 2001 “Nimda” 2002 “Worm.Klez (Wantjob)” 2003 “Worm Blaster” 2004 1st cellphone virus-”Worm.Symbian.Cabir.a ” 2005 1s
3、t MMS virus-” CommWarrior.A ” 2006 2007 Trojan Proxy,7,病毒演示-CRASH virus,8,CIH病毒,CIH病毒的签名,CIH作者陈盈豪,9,10,恶性病毒,11,熊猫烧香电脑病毒案告破,北京时间:2007.02.12 新浪新闻头版头条,12,“熊猫烧香”病毒档案,追杀目标:Worm.WhBoy.h 中 文 名:“熊猫烧香” 病毒长度:可变 病毒类型:蠕虫 危害等级: 影响平台:Win 9X/ME/NT/2000/XP/2003,13,14,15,“QQ尾巴”和“QQ林妹妹”。,16,病毒演示- MSN 病毒,17,计算机病毒的历史,据
4、国际权威机构-国际计算机安全协会的统计分析表明,世界上每天产生十多种新计算机病毒,目前的计算机病毒总数已超过二万种(此处变形计算机病毒只记一次)。 计算机病毒以每年超过50的速度增长。而在中国国内,随着对外开放的进一步深入,各种正常进口和非法拷贝的计算机软件数量迅速增加,国际上各种计算机病毒大量涌入我国。而通过互联网传播的计算机病毒真正使计算机病毒没有了国界。我国约有90%的计算机遭受过计算机病毒的攻击。,当心啊!,18,2008十大病毒排名,19,病毒工作原理,计算机系统的内存是一个非常重要的资源,我们可以认为所有的工作都需要在内存中运行(相当于人的大脑),所以控制了内存就相当于控制了人的大
5、脑,病毒一般都是通过各种方式把自己植入内存,获取系统最高控制权,然后感染在内存中运行的程序。(注意,所有的程序都在内存中运行,也就是说,在感染了病毒后,你所有运行过的程序都有可能被传染上,感染哪些文件这由病毒的特性所决定),20,切记,病毒传染的前提就是,它必须把自己复制到内存中,硬盘中的带毒文件如果没有被读入内存,是不会传染的,这在杀毒中非常重要。 所以:病毒和杀毒软件斗争的焦点就在于争夺启动后的内存控制权。,21,病毒的危害和现象,22,当你的电脑出现,运行比平时慢了许多 防病毒程序被无端禁用,并且无法重新启动 QQ自动向好友发送带链接的信息 杀毒软件提示有病毒 exe文件打不开,提示选择
6、打开方式 自动发送包含可疑附件的电子邮件给朋友 硬盘灯忽然亮起来,硬盘异常运转 任务管理器中有可疑进程 蓝屏 ,你可能中毒了!,23,计算机病毒的分类,按病毒的传播载体 Email病毒 网页病毒 QQ病毒 MSN病毒 手机病毒 U盘病毒 。,24,计算机病毒的分类,DOS/Windows/UNIX/OS2病毒 PC机/小型机/工作站病毒 良性/恶性病毒 定时/随机 单机/网络病毒 引导型/文件型病毒,25,程序型病毒的传播,目前最多的一类病毒,主要感染.exe 和 .dll 等可执行文件和动态连接库文件 特点是针对目前INTERNET高速发展,主要在网络上传播,当它感染了一台计算机之后,可以自
7、动的把自己通过网络发送出去,比如发送给同一局域网的用户或者自动读取你的EMAIL列表,自动给你的朋友发EMAIL等等 感染了蠕虫病毒的机器一秒种可能会发送几百个包来探测起周围的机器。会造成网络资源的巨大浪费,26,举例子。,比如,我正在工作时,朋友拿来一个带病毒的U盘,比如,该病毒感染了硬盘里的A文件 那么这个病毒将如何在我的机器传播? 程序型病毒?引导型病毒?,27,引导型病毒的传播,工作原理:引导型病毒感染的不是文件,而是磁盘引导区,它把自己写入引导区,这样,只要磁盘被读写,病毒就首先被读取入内存 传播:在计算机启动时,必须读取硬盘主引导区获得分区信息,再读取C盘引导区获取操作系统信息,这
8、时候任何杀毒软件都无法控制,隐藏在引导区的病毒自然顺利入驻内存(?),28,病毒如何自动把自身装入内存,引导型病毒:在BIOS向操作系统交权之前也就是读取启动盘时截取内存 程序型病毒:它没有截取控制权的这个能力,BIOS会顺利的把控制权交给操作系统,这时,用户看到的就是开始启动WINXP,由于操作系统在启动时会读取大量的动态链接库文件,病毒就可以把自己放在一个合适的位置上,XP启动时把自己读入内存,这一步很好实现,29,目前的新技术使得Java和VB技术应用非常的快,一段镶嵌在网页内的代码足可以完成对系统毁灭性的打击。 用户浏览一个外部网页,该网页代码就将下载到本地的IE浏览器的临时目录 Te
9、mporary Internet Files,然后由浏览器根据页面代码进行解释执行。 如果网页带毒,则病毒代码也将下载到临时目录,由于用户需要观看该页面内容,因此防毒软件将禁止恶意代码的运行,但是不删除这些文件,这就造成了,每次扫描都会发现硬盘中存在类似这样的病毒 解决方法:这些都是被控制住的病毒体,没有危害性,定期清除IE脱机文件,或者当杀毒软件发现这样的病毒时选择删除文件即可,基于浏览器的病毒,30,与病毒相关的几个名词 some words related with virus,黑客Hacker 木马Trojan 蠕虫Worm 垃圾邮件Spam email 流氓软件Hooligan so
10、ftware 。,31,黑客Hacker,黑客(hacker),源于英语动词hack,意为“劈,砍”,引申为“干了一件非常漂亮的工作”。 “黑客”能使更多的网络趋于完善和安全,他们以保护网络为目的,而以不正当侵入为手段找出网络漏洞。一种入侵者是那些利用网络漏洞破坏网络的人。他们往往做一些重复的工作(如用暴力法破解口令),他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。这些群体成为“骇客”。,32,黑客、骇客、红客,黑客(hacker) :原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员 骇客(cracker) :泛指那些专门利用电脑搞破坏或恶作剧的家伙 红客 (Redh
11、acker/hongker) :红客是一种精神,是一种热爱祖国、坚持正义、开拓进取的精神。 http:/ 三者本质一样,33,木马(Trojan),这个名字来源于古希腊传说,它是指通过一段特定的程序(木马程序)来控制另一台计算机。 木马通常有两个可执行程序:一个是客户端,即控制端,另一个是服务端,即被控制端。 木马的设计者为了防止木马被发现,而采用多种手段隐藏木马。,34,木马(Trojan)的特点,不会自我繁殖,也不去感染其他文件 将自身伪装植入电脑中 木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,浏览、移动、复制、删除文件,修改注册表,更改计
12、算机配置等。 运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了!,35,36,蠕虫Worm,计算机蠕虫是自包含的程序(或是一套程序)。 它能传播它自身功能的拷贝或它的某些部分到其他的计算机系统中(通常是经过网络连接)。,请注意: 与病毒不同, 蠕虫不需要 将其自身附 着到宿主程 序。 有两种类型 的蠕虫- 主机蠕虫 网络蠕虫,37,垃圾邮件/垃圾短信Spam,一)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件; 二)收件人无法拒收的电子邮件; 三)隐藏发件人身份
13、、地址、标题等信息的电子邮件; 四)含有虚假的信息源、发件人、路由等信息的电子邮件。,38,流氓软件hooligan software,流氓软件”是介于病毒和正规软件之间的软件。既有一定的实用价值(下载、媒体播放等),也会给用户带来种种干扰(弹广告、开后门、浏览器劫持)。,39,流氓软件的特点:,1.未经用户许可强行潜伏到用户电脑中 2.此类程序无卸载程序,无法正常卸载和删除,强行删除后还会自动生成。 3.广告程序会强迫用户接受阅读广告信息,间谍软件搜集用敏感信息并向外发送,严重侵犯了用户的选择权和知情权。 4.杀毒软件无法查杀,40,为何杀毒软件不能清除流氓软件?,41,流氓 软件/木马/漏
14、洞查杀工具,超级兔子 完美卸载2006 360安全卫士 恶意软件清理助手 Windows流氓软件清理大师 流氓软件杀手 恶意网站清除,42,360安全卫士:,43,电脑病毒疫情新变化,病毒加壳 2007年,黑客利用加壳等技术手段“工业化生产病毒”成为趋势,任何具备基础电脑知识的人,只要从网上下载加壳工具,就可以自动生产出病毒。因此,2007年瑞星截获病毒样本数高达917839个,比去年增加70%。其中木马病毒580992个,后门病毒194581个,两者相约为77万,占总体病毒的84.5%,44,45,流氓网站,2007年,与流氓软件类似的“流氓网站”给用户带来极大安全隐患,他们利用网站注册、网
15、络交友等流程上的设计,以欺骗的手段获取用户隐私资料,强迫注册、骚扰用户及其好友,获取了大量有商业价值的用户隐私,成为近期发展最快的灰色网络行业。,46,技术对抗,黑客与反病毒厂商之间的技术对抗发展到新阶段,从原来单纯的逃避追杀,发展到利用加壳、变形、结束杀毒软件等技术手段进行全面的对抗。病毒数量的暴增就是这个对抗过程的表现之一,这也给厂商带来了比较大的压力。而且,有的黑客组织甚至开始进行“前瞻性的研究”,针对瑞星最新采用的“主动防御”来研究反杀毒软件措施。,47,新的漏洞王,以往漏洞最多的是Windows系统,但在2007年,百度搜霸、暴风影音、realplayer等流行软件的漏洞成为病毒利用
16、的新对象,本年度新出现的网页木马中,利用百度搜霸漏洞的占据总体比例的39%。未来的安全防护措施,已经不仅仅限于“打好windows补丁”,用户还要时刻注意常用软件的补丁更新。,48,U盘、ARP和网页挂马,2007年大多数病毒会同时利用多种方式传播,其中感染U盘、利用ARP方式感染局域网和网页挂马,成为其中最流行的三种途径。而且,这三者往往位于同一病毒的不同传播环节,有相互补充的作用,可以有效提高病毒的传播范围和能力。,49,50,信息安全防护,数据备份 数据不要放在系统区 Ghost 防御系统 杀毒软件+个人防火墙 系统快速重装 ghost 数据恢复 Easy recovery,51,注意,
17、不要登录不良网站。不要随便下载不熟悉的软件、慎用软件。 安装防病毒软件,经常更新病毒库,升级病毒软件,开启病毒监控程序定期查杀病毒。 浏览防病毒网站的病毒播报。 正确设置防火墙,去掉不使用的网络协议。 安装操作系统、浏览器和应用程序的更新组件或补丁程序。 定期做好数据备份。 永远保持警惕。 。,52,注意,1、有些毒杀不了,记住那些病毒在那个文件里,然后再重起开机时,按住F8,进入安全模式,然后找到那个病毒软件删除了它! 2、有些软件安装或使用,一些杀毒软件的监控系统会警告有病毒,其实不是的,只是那些软件某些程序与一些病毒的程序相似,这就看经验或访问防病毒网站来处理。 3. 有些病毒需借助专杀
18、工具,53,用户需要走出哪些误区?,第一,不存在这样一种反病毒软硬件,能够防治未来所有的病毒。 第二,不存在这样的病毒程序,能够让未来的所有反病毒软硬件都无法检测。 第三,目前的反病毒软件和硬件,必须要经常进行更新和升级,才能保护用户的系统安全。 第四,病毒产生在前,反病毒手段滞后将是长期的过程。 第五,安装了防病毒软件还需安装防火墙软件,54,Antivirus software,Norton 诺顿 Symantec赛门铁克 Kaspersky卡巴斯基杀毒软件 http:/ 趋势杀毒软件 趋势科技(Trend) Rising 瑞星 Rising Jiangmin 江民 KV2007
19、金山毒霸 金山公司 http:/,55,免费在线杀毒,友联在线杀毒 http:/ 趋势科技在线杀毒 http:/ 中国杀毒网 http:/ 金山毒霸http:/ 江民在线杀毒 http:/ 瑞星在线杀毒 http:/ 也可到国内软件下载网站去下载。 电脑之家:PCHome http:/ 建议使用360安全卫士: ,57,Internet防火墙,正常的上网情形,1. 送出要求讯息,2. 回应信息,Internet,我们的电脑,服务主机,58,黑客入侵的情形,直接送入的信息,Internet,我们的电脑,黑客的电脑,59,Internet,来源网址不在表格中 的讯息会立即丢弃,防火墙的工作原理是:
20、 1. 先建立一个表格; 2. 当我们有讯息送出时,目的网址记录在表格中; 3. 当讯息送来时,防火墙检查讯息来源网址是否在 表格中; 4. 若在表格中则通过,否则立刻将该讯息丢弃.,60,知识扩充:端口,运行了木马程序的“服务器”以后,被种者的电脑就会有一个或几个端口被打开,使黑客可以利用这些打开的端口进入电脑系统,安全和个人隐私也就全无保障了! 每一项服务都对应相应的端口 WWW服务的端口是80,smtp是25,ftp是21,Telnet端口23.139端口是NetBIOS Session端口,用来文件和打印共享 课后查询: 如何打开和关闭计算机端口? 课后阅读:计算机端口大全,61,瑞星
21、防火墙,配置防火墙的过滤规则,包括: 黑名单:在黑名单中的计算机禁止与本机通讯 白名单:在白名单中的计算机对本地具有完全的访问权限 端口开关:允许或禁止端口中的通讯,可简单开关本机与远程的端口 可信区:通过可信区的设置,可以把局域网和互联网区分对待 IP规则:在IP层过滤的规则 访问规则:本机中访问网络的程序的过滤规则,62,63,64,65,66,关于网络上的个人隐私,认识Cookie,Cookie:某些网站储存于用户计算机的一些小型文字文件,以辨识用户的身份,或是记录一些用户的数据与喜好.,Cookie在哪里? indows XP: C:Documents and SettingsUser_folderCookies,67,Cookies的作用,维持使用状态:当用户再次访问一个网站时,自动进入前一次使用的网页上 追踪用户的浏览行程:有助于网主了解消费者的习惯与爱好 网页功能的个人化服务,68,如何清除Cookie,IE/工具 /Internet选项,有些网站会坚持在使用者计算机上建立Cookie 以确认会员身份,所以若您封锁了Cookie, 会无法浏览该网站,刪除Cookie(I),69,写在后面,计算机发展日新月异 计算机病毒与时俱进 学习的步伐不会停止 与病毒的斗争不会停止,祝你好运!,