目錄7.2病毒危害、中毒癥狀及后果27.3計算機病毒的構成與傳播37.4計算機病毒檢測清除與防范4

7.1計算機及手機病毒基礎1

7.5360安全衛士及殺毒軟件應用實驗57.6本章小結6國家十三五重點出版規劃項目上海高校精品課程/優秀教材獎目錄教學目標●理解計算機及手機病毒的概念、產生、特點及種類●掌握病毒的構成、傳播、觸發以及新型病毒實例●掌握病毒與木馬程序的檢測、清除與防范方法●熟悉360安全衛士殺毒軟件應用方法重點重點國家十三五重點出版規劃項目上海高校精品課程/優秀教材獎7.1計算機及手機病毒基礎7.1.1病毒的概念、發展及命名1.計算機及手機病毒的概念

計算機病毒（ComputerVirus）在《中華人民共和國計算機信息系統安全保護條例》中被明確定義為：是指編制者在計算機程序中插入的破壞系統功能或破壞數據，影響系統使用并能夠自我復制的一組指令或程序代碼。手機病毒是一種具有傳染性、破壞性等特征的手機程序，其實質上同計算機病毒基本一樣，以后統稱為網絡病毒。

海灣戰爭中首用網絡病毒攻擊的信息戰。1991年海灣戰爭。美國在伊拉克從第三國購買的打印機里植入可遠程控制的網絡病毒，開戰前使伊拉克整個雷達預警系統全部癱瘓，成為世界首次公開在實戰中用網絡病毒攻擊，同時為2003年的伊拉克戰爭奠定基礎。

案例7-1

計算機病毒產生和來源各異，主要目的分為個人行為和集團行為兩種。有的病毒還曾為用于研究或實驗而設計的“有用”程序，后來失控擴散或被利用。計算機病毒的產生原因主要有4個方面：7.1計算機及手機病毒基礎

計算機病毒的概念起源。1949年首次關于計算機病毒理論的學術工作，出現在計算機先驅馮·諾依曼（JohnVonNeumann）一篇論文中，概述病毒程序的概念。后來，美國著名的AT&T貝爾實驗室中，三個年輕人工作之余玩的一種“磁芯大戰”（Corewar）的游戲：編出能吃掉別人編碼的程序來互相攻擊。這種游戲，呈現了病毒程序的感染和破壞性。2.計算機及手機病毒的產生

計算機病毒發展主要經歷了五個重要階段。7.1計算機及手機病毒基礎3.計算機病毒的發展階段

4．計算機病毒的命名方式

命名方式由多個前綴與后綴組合，中間以點“?”分隔，一般格式為：

[前綴].[病毒名].[后綴]。如振蕩波蠕蟲病毒的變種“Worm.Sasser.c”，其中Worm指病毒的種類為蠕蟲，Sasser是病毒名，c指該病毒的變種。（1）病毒前綴-病毒種類（2）病毒名-病毒的名稱（3）病毒后綴-病毒變種特征

病毒名即病毒的名稱，如“病毒之母”CIH病毒及其變種的名稱一律為“CIH”，沖擊波蠕蟲的病毒名為“Blaster”。病毒名也有一些約定俗成方式，可按病毒發作的時間命名，如黑色星期五；也可按病毒發作癥狀命名，如小球；或按病毒自身包含的標志命名，如熊貓病毒；還可按病毒發現地命名，如耶路撒冷病毒；或按病毒的字節長度命名，如1575。7.1計算機及手機病毒基礎7.1.2計算機及手機病毒的特點

根據對病毒的產生、傳播和破壞行為的分析,可概括為6個主要特點。

1.傳播性

傳播性是病毒的基本特點。計算機病毒與生物病毒類似，也會通過各種途徑傳播擴散，在一定條件下造成被感染的系統工作失常甚至癱瘓。2.隱蔽性病毒程序很隱蔽與正常程序只有經過代碼分析才能區別3.潛伏性絕大部分的計算機病毒感染系統之后一般不會馬上發作，可長期隱藏在系統中，只有當滿足其特定條件時才啟動其破壞代碼，顯示發作信息或破壞系統。4.觸發及控制性

用戶調用正常程序時并達到觸發條件時，竊取系統的控制權，并搶先于正常程序執行，病毒的動作、目的對用戶是未知的，未經用戶允許。

7.1計算機及手機病毒基礎5.影響破壞性

侵入系統的任何病毒,都會對系統及應用程序產生影響.占用系統資源,降低工作效率,甚至可導致系統崩潰,其破壞性多種多樣。

6.多態不可預見性不同種類的病毒代碼相差很大，但有些操作具有共性，如駐內存、改中斷等。利用這些共性已研發出查病毒程序，但由于軟件種類繁多、病毒變異難預見。7.1計算機及手機病毒基礎

計算機病毒傍熱映電影《2012》興風作浪。隨著災難大片《2012》熱映，很多電影網站推出在線收看或下載服務。一種潛伏在被掛馬的電影網站中的“中華吸血鬼”變種病毒，能感染多種軟件和壓縮文件，利用不同方式關閉殺毒軟件，以變形破壞功能與加密下載木馬病毒。具有一個生成器，可隨意定制下載地址和功能。案例7-37.1.3計算機及手機病毒的種類1．以病毒攻擊的操作系統分類2．以病毒的攻擊機型分類以病毒攻擊的操作系統分類攻擊DOS系統的病毒攻擊Windows系統的病毒攻擊UNIX系統的病毒OS/2系統的病毒攻擊NetWare系統的病毒7.1計算機及手機病毒基礎3．按照病毒的鏈接方式分類通常，計算機病毒所攻擊的對象是系統可執行部分，按照病毒鏈接方式可分為4種：7.1計算機及手機病毒基礎

據國外2016年7月有關媒體報道，互聯網安全公司CheckPoint日前指出，一款疑似來自中國某地一家名為Yingmob(微贏互動)的廣告公司開發的的惡意軟件HummingBad，在手機的Android設備上建立一個永久性的rootkit，已在全球范圍內感染了8500萬臺手機，借助虛假廣告和安裝額外欺詐性應用獲利。利用惡意軟件每季度至少100萬美元的廣告收入。

案例7-44．按照病毒的破壞能力分類根據病毒破壞的能力可劃分為4種：

5．按照傳播媒介不同分類按照計算機病毒的傳播媒介分類，可分為單機病毒和網絡病毒。6．按傳播方式不同分類按照病毒傳播方式分為引導型病毒、文件型病毒和混合型病毒3種。7.1計算機及手機病毒基礎輕度7．以病毒特有的算法不同分類8.按照病毒的寄生部位或傳染對象分類

傳染性是計算機病毒的本質屬性，根據寄生部位或傳染對象分類，即根據病毒傳染方式進行分類，有3種：

9.按照病毒激活的時間分類按照病毒激活時間可分為定時的和隨機的。根據病毒程序特有算法分類伴隨型病毒"蠕蟲"型病毒寄生型病毒練習型病毒詭秘型病毒變型病毒7.1計算機及手機病毒基礎/幽靈7.2.1計算機及手機病毒的危害計算機及手機病毒的主要危害包括：1）破壞系統、文件和數據2）竊取機密文件和信息3）造成網絡堵塞或癱瘓4）消耗內存、磁盤空間和系統資源5）電腦運行緩慢6）對用戶造成心理壓力7.2病毒危害、中毒癥狀及后果7.2.2病毒發作的癥狀及后果

在感染病毒后，根據中毒的情況會出現不同的癥狀：系統運行速度變慢、無法上網，無故自動彈出對話框或網頁，用戶名和密碼等用戶信息被篡改,甚至是死機,系統癱瘓等,還有以下癥狀。

7.2病毒危害、中毒癥狀及后果1.病毒發作時的其他癥狀

1）提示無關對話

2）發出聲響3）產生異常圖象

4）硬盤燈不斷閃爍

5）算法游戲6）桌面圖標發生變化

7）突然重啟

或死機8）自動發送郵件9）自動移動鼠標

2.病毒發作的異常后果

絕大部分計算機病毒都屬于惡性病毒，發作后的異常現象及造成的后果包括：

1）硬盤無法啟動，數據丟失。

2）文件丟失或被破壞。

3）文件目錄混亂。

4）BIOS程序混亂使主板破壞。

5）部分文檔自動加密。

6）計算機重啟時格式化硬盤。

7）網絡癱瘓，無法正常服務。討論思考：（1）什么是計算機病毒？計算機病毒的特點有哪些？（2）計算機病毒的種類具體有哪些？（3）計算機中毒后所出現的情況怎樣？7.2病毒危害、中毒癥狀及后果7.3計算機病毒的構成與傳播7.3.1計算機病毒的構成計算機病毒主要構成，有3個單元構成：引導單元傳染單元觸發單元

3)由兩個部分構成，一是觸發控制部分，二是二是影響破壞操作部分。

2)是病毒程序的核心，主要功能是傳播病毒，一般由三個部分構成，傳染控制模塊、傳染判斷模塊、傳染操作模塊。

1)也稱潛伏機制模塊，具有初始化、隱藏和捕捉功能。可將病毒加載到內存中，并保護其存儲，以防被其他程序覆蓋，同時修改一些中斷及高端內存、保存原中斷系統參數，為傳播做準備。圖7-1計算機病毒的主要構成7.3.2計算機病毒的傳播

傳播性是病毒最大威脅和隱患的特點之一。1．移動式存儲介質

數碼產品常用的移動存儲介質主要包括：軟盤、光盤、DVD、硬盤、閃存、U盤、CF卡、SD卡、記憶棒（MemoryStick）、移動硬盤等。移動存儲介質以其便攜性和大容量存儲性為病毒的傳播帶來了極大的便利，這也是其成為目前主流病毒傳播途徑的重要原因。例如，“U盤殺手”（Worm_Autorun）病毒2.各種網絡傳播（1）電子郵件（2）下載文件（3）瀏覽網頁（4）聊天通訊工具（5）移動通信終端7.3計算機病毒的構成與傳播7.3.3計算病毒的觸發與生存1．病毒的觸發條件及方式

病毒基本特性是感染、潛伏、觸發、破壞。感染使病毒傳播，破壞性體現其殺傷力。觸發性兼顧殺傷力和潛伏性，并可控制病毒感染和破壞頻度。

病毒觸發條件主要有7種:時間觸發、鍵盤觸發、感染觸發、啟動觸發、訪問磁盤次數觸發、調用中斷功能觸發、CPU型號/主板型號觸發。

2.病毒的寄生和生存方式

病毒產生過程分為程序設計—傳播—潛伏—觸發—運行—實行攻擊。從產生到徹底根除，病毒擁有一個完整的生存周期：開發期、傳播期、潛伏期、發作期、發現期、消化期、消亡期7.3計算機病毒的構成與傳播

電子郵件病毒觸發方式。“歡迎時光”病毒（VBS.Haptime.A@mm），作為電子郵件附件，利用郵件系統的缺陷自身傳播，可在無運行附件時運行。并可利用郵件系統的信紙功能，將自身復制在信紙模板上傳播。用戶收到含有病毒郵件，只要瀏覽內容，即達到了該病毒觸發條件，系統就會立刻感染病毒。案例7-5（1）病毒的寄生對象。一是磁盤引導區；二是可執行文件。（2）病毒的生存方式。替代磁盤引導區或可執行文件鏈接式生存方式7.3.4特種及新型病毒實例1．木馬病毒特洛伊木馬（Trojan）簡稱為木馬，其名源于古希臘傳說。是一種具有攻擊系統、破壞文件、發送密碼和記錄鍵盤等特殊功能的后門程序,其特性也已變異更新。

木馬病毒發展趨勢。2016年以來，盜號木馬、手機木馬、敲詐和廣告木馬快速增長，僅2016年前8個月新增新型木馬近百萬個，占各種木馬76.3%，且基本占據互聯網新增木馬的主流。新型木馬的啟動方式、破壞性均超出了傳統木馬和感染型木馬，且殺毒軟件對此類木馬查殺技術也面臨著嚴峻的考驗。案例7-67.3計算機病毒的構成與傳播（1）冰河木馬的主要功能1）連接功能2）控制功能3）口令的獲取4）屏幕抓取5）遠程文件操作6）冰河信使（2）冰河木馬的原理。激活的服務端程序+自動生成可執行文件2.蠕蟲病毒

具有病毒的共性，同時還具有一些特性，不依賴宿主寄生，通過復制自身在網絡環境下進行傳播。

（1）I_WORM/EMANUEL網絡蠕蟲

通過微軟的OutlookEress自動傳播給受感染計算機的地址簿里的所有人，給每人發送一封帶有該附件的郵件。

（2）熊貓燒香病毒

熊貓燒香是一種經過多次變種的蠕蟲病毒。曾在2006-2007年間肆虐互聯網，被列為我國2006十大病毒之首，一度成為“毒王”。自爆發后，短時間內出現近百變種，上百萬臺機器中毒，并深受其害。7.3計算機病毒的構成與傳播討論思考：（1）病毒如何構成？病毒傳播方式有哪些？（2）計算機病毒的生存周期具體有哪些過程？（3）特洛伊木馬的特性和類型有哪些？7.4計算機病毒檢測清除與防范7.4.1計算機病毒的檢測

1.根據異常現象初步檢測1）系統運行異常：包括無法開機、開機變慢、系統運行速度慢、頻繁重啟、無故死機、自動關機等；2）屏幕顯示異常：包括計算機藍屏、彈出異常對話框、產生特定的圖像（如小球病毒）等；3）聲音播放異常：出現非系統正常聲音等，如“楊基”（Yangkee）病毒和“瀏陽河”病毒；4）文件/系統異常:無法找到硬盤分區、文件名等,相關屬性遭更改、硬盤存儲空間意外變小、無法打開/讀取/操作文件、數據丟失或損壞、CPU利用率或內存占用過高。5）外設異常。鼠標/打印機等外設異常無法正常使用等；6）網絡異常：不能正常上網、殺毒軟件無法升級、自動彈出網頁、主頁被篡改、自動發送電子郵件等異常現象。7.4計算機病毒檢測清除與防范

2.利用專業工具檢測查毒

由于病毒具有較強的隱蔽性，必須使用專業工具對系統進行查毒，主要是指針對包括特定的內存、文件、引導區、網絡在內的一系列屬性，能夠準確地查出病毒名稱。常見的殺毒軟件基本都含有查毒功能，例如360/瑞星免費在線查毒、金山毒霸查毒、卡巴斯基查毒等。

查毒軟件使用的最主要的病毒查殺方式為病毒標記法。此種方式首先將新病毒加以分析，編成病毒碼，加入資料庫中，然后通過檢測文件、扇區和內存，利用標記，也就是病毒常用代碼的特征，查找已知病毒與病毒資料庫中的數據并進行對比分析，即可判斷是否中毒。7.4.2常見病毒的清除方法系統意外中毒，需要及時采取措施,常用處理方法是清除病毒：先對系統被破壞的程度調查評估，并采取有效的清除對策和方法。

殺毒后重啟,再用查殺病毒軟件檢查系統,并確認完全恢復正常。7.4計算機病毒檢測清除與防范7.4計算機病毒檢測清除與防范7.4.3普通病毒的防范方法

查殺病毒不如預防,如果能夠采取全面的防護措施，則會更有效地避免病毒的危害。因此，計算機病毒的防范，應該采取預防為主的策略。

首先要在思想上有反病毒的警惕性，依靠使用反病毒技術和管理措施，這些病毒就無法逾越安全保護屏障，從而不能廣泛傳播。個人用戶要及時升級可靠的反病毒產品，因為病毒以每日4-6個的速度產生，反病毒產品必須適應病毒的發展，不斷升級，才能識別和查殺新病毒，為系統提供真正安全環境。每一位計算機使用者都要遵守病毒防治的法律和制度，做到不制造病毒，不傳播病毒。養成良好的上機習慣，如定期備份系統數據文件；外部存儲設備連接前先殺毒再使用；不訪問違法或不明網站，不下載傳播不良文件等。7.4.4木馬的檢測清除與防范1.木馬的檢測（1）檢測系統進程（2）檢查注冊表、ini文件和服務（3）檢測開放端口（4）監視網絡通訊2.木馬病毒的清除（1）手工刪除（2）殺毒軟件清除3.木馬病毒的防范（1）不點擊不明的網址或郵件（2）不下載沒有確認的軟件（3）及時漏洞修復-堵住可疑端口（4）使用實時監控程序7.4計算機病毒檢測清除與防范初始化-系統配置文件

木馬可在Win.ini和System.ini”run=”“load=”“shell=”后加載,若在其后加載程序很陌生,可能就是木馬.常將“Explorer”變為自身程序名,或將其中的字母”l”改為數字“1”,或將字母“o”改為數字“0”,不易發現。7.4.5病毒和防病毒技術的發展趨勢1.計算機病毒的發展趨勢

隨著互聯網的高速發展，病毒也進入了愈加猖狂和泛濫的階段，目前計算機病毒的發展主要體現出在以下四個方面：

（1）病毒的種類和數量迅速增長7.4計算機病毒檢測清除與防范

據瑞星網站報道2016年1-6月，瑞星“云安全”系統共截獲新增病毒樣本1,633萬余個，病毒總體數量比去年下半年增長93.01%，呈現出爆發式增長態勢。其中木馬病毒1,172萬個，占總體病毒的71.8%，第一大種類病毒。新增病毒樣本包括蠕蟲病毒（Worm）198萬個，占總體數量的12.16%。感染型（Win32）病毒97萬個，占總體數量的5.99%，后門病毒（Backdoor）66萬個，占總體數量的4.05%。惡意廣告（Adware）、黑客程序（Hack）、病毒釋放器（Dropper）、惡意驅動（Rootkit）依次排列，比例分別為1.91%、1.03%、0.62%和0.35%。案例7-7（2）病毒傳播手段呈多樣化、復合化趨勢（4）病毒的危害日益增大（3）病毒制作技術水平不斷攀升2.防病毒技術的發展趨勢

隨著實時監控技術日益發展完善，能夠達到監控文件、郵件、網頁、即時通信、木馬修改注冊表、隱私信息維護的目的。但隨著病毒制造者的不斷推出新變種，防病毒技術也取得了一定的進步和突破，由被動防御向主動防御轉變勢在必行。若用戶不及時對網絡病毒庫更新，會滯后于病毒制造者及病毒發作時間，加之近年網絡新興病毒頻發，反病毒領域已經認識到必須由被動使用殺毒軟件向主動防御新型病毒轉變。所以，云概念、云計算、云安全、云殺毒等新技術應運而生。

云安全（CloudSecurity）是網絡安全的最新體現，融合了并行處理、網格計算、未知病毒特征辨識等新技術，通過網狀的大量客戶端對網絡中軟件行為的異常監測，獲取互聯網中病毒的新信息，傳送到Server端自動分析和處理，再把解決方案發到各客戶端。討論思考：（1）如何進行常見病毒的檢測、清除、防范？（2）如何進行木馬病毒的檢測、清除和防范？（3）計算機病毒和防病毒技術的發展趨勢是什么？7.4計算機病毒檢測清除與防范7.5實驗七360安全衛士殺毒軟件應用

7.5.1實驗目的7.5.2實驗內容

1.主要實驗內容360安全衛士及殺毒軟件的實驗內容：①360安全衛士殺毒軟件的主要功能及特點。②360安全衛士殺毒軟件主要技術和應用。③360安全衛士殺毒軟件主要操作界面和方法。實驗用時：2學時（90-120分鐘）2.360安全衛士主要功能特點360安全衛士主要功能：①電腦體檢。②查殺木馬。③修復漏洞。④系統修復。⑤電腦清理。⑥優化加速。⑦電腦門診。⑧軟件管家。⑨功能大全。360安全衛士及殺毒軟件的實驗目的：①理解360安全衛士殺毒軟件的主要功能及特點。②掌握360安全衛士殺毒軟件主要技術和應用。③熟悉360安全衛士殺毒軟件主要操作界面和方法

3.360殺毒軟件主要功能特點

360殺毒軟件和360安全衛士配合使用，是安全上網的黃金組合，可提供全時全面的病毒防護。360殺毒軟件主要功能特點：①360殺毒無縫整合國際知名的BitDefender病毒查殺引擎和安全中心領先云查殺引擎。②雙引擎智能調度，為電腦提供完善的病毒防護體系，不但查殺能力出色，而且能第一時間防御新出現的病毒木馬。③殺毒快、誤殺率低。以獨有的技術體系對系統資源占用少，殺毒快、誤殺率低。④快速升級和響應，病毒特征庫及時更新，確保對爆發性病毒的快速響應。⑤對感染型木馬強力查殺功能的反病毒引擎，以及實時保護技術強大的反病毒引擎，采用虛擬環境啟發式分析技術發現和阻止未知病毒。⑥超低系統資源占用，人性化免打擾設置，在用戶打開全屏程序或運行應用程序時自動進入“免打擾模式”。7.5360安全衛士及殺毒軟件應用實驗

7.5.3操作界面及步驟1.360安全衛士操作界面鑒