《計算機網絡安全技術》（第4版）工業和信息化“十三五”高職高專人才培養規劃教材第3章計算機病毒人民郵電出版社能力CAPACITY要求了解什么是計算機病毒及其發展歷程。理解計算機病毒的特征。了解計算機病毒的分類。掌握典型計算機病毒的基本原理和查殺方法。病毒發展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發展趨勢一、計算機病毒的定義1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統安全保護條例》，在《條例》第二十八條中明確指出：“計算機病毒，指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。病毒：Virus病毒發展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發展趨勢二、計算機病毒的發展史01OPTION02OPTION03OPTION04OPTION計算機病毒的產生的思想基礎和病毒發展簡介實驗室中產生——病毒的祖先（磁芯大戰）計算機病毒的出現（1983年）我國計算機病毒的出現（1989年）二、計算機病毒的發展史病毒的產生原因（4）出于政治、戰爭的需要（3）出于某種報復目的或惡作劇而編寫病毒（1）編制人員出于一種炫耀和顯示自己能力的目的（2）某些軟件作者出于版權保護的目的而編制二、計算機病毒的發展史計算機病毒的發展歷程1.DOS引導階段3.伴隨階段5.生成器、變體機階段7.視窗階段9.郵件病毒階段8.宏病毒階段6.網絡、蠕蟲階段4.多形階段2.DOS可執行階段10.手持移動設備病毒階段時

間名

稱事

件1983.11.10

弗里德·科恩以測試計算機安全為目的編寫首個計算機病毒1986Brain巴基斯坦的兩兄弟為了防止自己辛苦編寫的DOS軟件被盜版制作的軟盤引導病毒1987.10黑色星期五病毒第一次大規模爆發1988.11蠕蟲病毒羅伯特·莫里斯寫的第一個蠕蟲病毒

1990.14096發現首例隱蔽型病毒，破壞數據1991.4米開朗基羅第一個格式化硬盤的開機型病毒1991GPI首例網絡病毒，突破了NOVELL公司的Netware網絡安全機制1995VCL（VirusCreationLaboratory）病毒生產工具在美國傳播1996宏病毒傳播方式增加（郵件等）1998CIH第一個破壞硬件的病毒，面向Windows的VxD技術編制的1999Mellisa、happy99郵件病毒2000紅色代碼黑客型病毒2000.6VBS.Timofonica世界上第一個手機病毒2001Nimda集中了當時所有蠕蟲傳播途徑，成為當時破壞性非常大的病毒2002SQLSPIDA.B第一個攻擊SQL服務器的病毒二、計算機病毒的發展史典型的計算機病毒事件二、計算機病毒的發展史典型的計算機病毒事件時

間名

稱事

件2003SQL_slammer利用SQLServer數據庫的漏洞2003.8沖擊波通過微軟的RPC緩沖區溢出漏洞進行傳播的蠕蟲病毒2004.5震蕩波類似于“沖擊波”病毒2005QQMyRun通過QQ傳播的蠕蟲病毒2006熊貓燒香破壞多種文件的蠕蟲病毒2007AV終結者專門破壞殺毒軟件的病毒2008.3磁碟機病毒近幾年來發現的病毒技術含量最高、破壞性最強的病毒，其破壞能力、自我保護和反殺毒軟件能力均10倍于“熊貓燒香”2009機器狗該病毒變種繁多，多表現為殺毒軟件無法正常運行2010廣告木馬2010年通過篡改網頁的廣告木馬最流行2011鬼影病毒特點基本為改寫硬盤主引導記錄（MBR）釋放驅動程序替換系統文件，干擾或阻止殺毒軟件運行，惡意修改主頁，下載多種盜號木馬2012鬼影病毒變種出現數個變種，包括鬼影5、鬼影6、鬼影6變種等2014蘋果大盜病毒該病毒爆發在“越獄”的apple手機上，目的盜取AppleID和密碼2015Xcodeghost病毒感染Apple手機，主要通過非官方下載的Xcode傳播，使編譯出的App被注入第三方的代碼，向指定網站上傳用戶數據二、計算機病毒的發展史計算機病毒的危害1、計算機病毒造成巨大的社會經濟損失2、影響政府職能部門正常工作的開展3、計算機病毒被賦予越來越多的政治意義4、利用計算機病毒犯罪現象越來越嚴重病毒發展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發展趨勢三、計算機病毒的特點計算機病毒的特點傳染性破壞性潛伏性和可觸發性非授權性隱藏性不可預見性病毒發展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發展趨勢四、病毒分類依據不同的分類標準，計算機病毒可以做不同的歸類。常見的分類標準有：根據病毒的傳染途徑03根據病毒依附的操作系統01根據病毒的傳播媒介02四、病毒分類病毒依附的操作系統DOS01MicrosoftWindows02嵌入式系統（工業系統、手機操作系統）04Unix/Linux03四、病毒分類病毒的傳播媒介存儲介質網絡1、網絡下載2、網頁掛馬3、局域網(Funlove)4、遠程攻擊(Blaster)5、郵件(SoBig)四、病毒分類病毒的傳播媒介上網計算機光盤、軟盤網絡U盤、移動硬盤等移動存儲設備其他途徑Web瀏覽器下載軟件即時通信軟件其他網絡軟件IE火狐傲游Opera迅雷快車BT下載電驢QQMSN淘寶旺旺新浪UC電子郵件網上銀行網絡游戲其他四、病毒分類病毒的傳播和感染對象感染引導區感染文件可執行文件OFFICE宏網頁腳本（Java小程序和ActiveX控件）其他惡意程序破壞程序網絡木馬網絡蠕蟲病毒發展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發展趨勢CIH病毒五、計算機病毒的發展趨勢病毒演示CIH將硬盤

FORMAT!CIH將BIOS給毀了

!五、計算機病毒的發展趨勢病毒演示—彩帶病毒五、計算機病毒的發展趨勢病毒演示—女鬼病毒五、計算機病毒的發展趨勢病毒演示—千年老妖病毒演示—圣誕節病毒五、計算機病毒的發展趨勢病毒演示—白雪公主巨大的黑白螺旋占據了屏幕位置，使計算機使用者無法進行任何操作！五、計算機病毒的發展趨勢病毒演示—紅色代碼1()五、計算機病毒的發展趨勢病毒發作現象AIDS幻彩救護車Happy99KetapangKmpsd五、計算機病毒的發展趨勢計算機病毒程序一般構成計算機病毒程序通常由三個單元和一個標志構成：引導模塊、感染模塊、破壞表現模塊和感染標志。感染模塊感染標志破壞模塊引導模塊五、計算機病毒的發展趨勢計算機病毒引起的異常情況123456異常情況計算機系統運行速度明顯降低系統容易死機文件改變、破壞磁盤空間迅速減少內存不足系統異常頻繁重啟動7頻繁產生錯誤信息五、計算機病毒的發展趨勢網絡化病毒的特點123456網絡化：傳播速度快、爆發速度快、面廣隱蔽化：具有欺騙性（加密）多平臺、多種語言新方式：與黑客、特洛伊木馬相結合多途徑攻擊反病毒軟件7變化快（變種）8清除難度大9破壞性強五、計算機病毒的發展趨勢通過網絡傳播的惡性病毒,它具有病毒的一些共性,如傳播性,隱蔽性,破壞性等等,同時具有自己的一些特征，如不利用文件寄生（有的只存在于內存中）,對網絡造成拒絕服務，以及和黑客技術相結合等等。蠕蟲病毒蠕蟲病毒與其他病毒的區別普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標本地文件網絡計算機五、計算機病毒的發展趨勢蠕蟲病毒的特點傳染方式多一種是針對企業的局域網，主要通過系統漏洞；另外一種是針對個人用戶的,主要通過電子郵件,惡意網頁形式迅速傳播的蠕蟲病毒。傳播速度快清除難度大破壞性強五、計算機病毒的發展趨勢實例：2003蠕蟲王病毒發展史計算機病毒的定義計算機病毒的特點病毒分類病毒的防護計算機病毒的發展趨勢六、病毒的防護反病毒技術簡述計算機病毒診斷技術

｝啟發式掃描特征代碼法校驗和法行為監測法軟件模擬法01OPTION02OPTION03OPTION04OPTION六、病毒的防護1、采集已知病毒樣本2、打開被檢測文件，在文件中搜索，檢查文件中是否含有病毒數據庫中的病毒特征代碼（唯一性）。特征代碼法優點：

檢測準確快速、可識別病毒的名稱、誤報警率低、依據檢測結果，可做殺毒處理。缺點：不能檢測未知病毒、搜集已知病毒的特征代碼，費用開銷大、在網絡上效率低（在網絡服務器上，因長時間檢索會使整個網絡性能變壞）。

文件特征代碼內存特征代碼六、病毒的防護將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。針對多態病毒特點：

能發現已知病毒，也能發現未知病毒，但是，它不能識別病毒類型和名稱。誤報率高校驗和法六、病毒的防護利用病毒的特有行為特征性來監測病毒的方法行為特征如下：

A、占有內存特殊位置

B、改DOS系統為數據區的內存總量

C、對COM、EXE文件做寫入動作

D、病毒程序與宿主程序的切換特點：

可發現未知病毒、可相當準確地預報未知的多數病毒

可能誤報警、不能識別病毒名稱、實現時有一定難度行為監測法六、病毒的防護為了檢測多態性病毒，可應用軟件模擬法。它是一種軟件分析器，用軟件方法來模擬和分析程序的運行。沙盤（沙盒）-Sandboxie軟件模擬法殺毒軟件是采取多種技術的結合：特征碼、啟發式、主動防御等。下面以瑞星產品為例講解主動防御技術殺毒軟件六、病毒的防護主動防御是一種阻止惡意程序執行的技術。可以在病毒發作時進行主動而有效的全面防范，從技術層面上有效應對未知病毒的肆虐。殺毒軟件主動防御（瑞星）殺毒軟件中的“主動防御功能六、病毒的防護病毒的預防措施安裝防病毒軟件定期升級防病毒軟件不隨便打開不明來源的郵件附件盡量減少其他人使用你的計算機及時打系統補丁綜合各種防病毒技術定期備份文件