第12章--计算机病毒防范与治理.ppt

第12章 计算机病毒防范与治理 引言 计算机病毒是引起计算机软件故障的主要途径之一，因此了解计算机病毒的历史，熟悉常见的病毒，并且掌握其有效的防治方法是计算机的使用者必须拥有的知识。另外，目前计算机或者网络也频繁遭到黑客攻击攻击，那么什么是黑客，黑客主要攻击的手段是什么，只有充分的了解这些知识，我们才能采取适当的防范措施。 12.1 计算机病毒概述 自从1946年第一台冯-诺依曼型计算机ENIAC出世以来，计算机已被应用到人类社会的各个领域。然而，1988年发生在美国的“蠕虫病毒”事件，给计算机技术的发展罩上了一层阴影。蠕虫病毒是由美国CORNELL大学研究生莫里斯编写。 此病毒使得数千台连网的计算机停止运行，并造成巨额损失 。 在国内，最初引起人们注意的病毒是80年代末出现的“黑色星期五”，“米氏病毒”，“小球病毒”等。 最初对病毒理论的构思可追溯到科幻小说。在70年代美国作家雷恩出版的《P1的青春》一书中构思了一种能够自我复制，利用通信进行传播的计算机程序，并称之为计算机病毒。 12.1 计算机病毒概述 从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。依据此定义，诸如逻辑炸弹，蠕虫等均可称为计算机病毒。 直至1994年2月18日，我国正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》，在《条例》第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。 12.1 计算机病毒概述 那么究竟它是如何产生的呢？其过程可分为：程序设计--传播--潜伏--触发、运行--实行攻击。究其产生的原因不外乎以下几种： 开个玩笑，一个恶作剧。 产生于个别人的报复心理。 用于版权保护。 用于特殊目的。某组织或个人为达到特殊目的，对政府机构、单位的特殊系统进行宣传或破坏或用于军事目的。 12.2 计算机病毒的特点 传染性 ：通过各种渠道从已被感染的计算机扩散到未被感染的计算机。 隐蔽性 ：病毒通常附在正常程序中或磁盘较隐蔽的地方，也有个别的以隐含文件形式出现。 潜伏性 ：大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其破坏模块。 破坏性 ：任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。 不可预见性 12.3 计算机病毒的分类 从第一个病毒出世以来，究竟世界上有多少种病毒，说法不一。无论多少种，病毒的数量仍在不断增加。据国外统计，计算机病毒以10种/周的速度递增，另据我国公安部统计，国内以4种/月的速度递增。计算机病毒的分类的方法很多，主要有以下几种： （1）按破坏程度划分，可将病毒分为良性病毒和恶性病毒。 良性病毒是指不破坏系统、程序或数据的病毒，但它会干扰计算机的正常运行，可能只显示些画面或出点音乐、无聊的语句，或者根本没有任何破坏动作或将文件的长度增加以占用内存或磁盘空间。这类病毒较多，如：GENP、小球、W-BOOT等。　　 恶性病毒则有明确得目的，或破坏数据、删除文件或加密磁盘、格式化磁盘，有的对数据造成不可挽回的破坏。 （2）按入侵方式划分，可将病毒分为操作系统型病毒、外壳型病毒。 操作系统型病毒是将病毒加入操作系统程序文件，在系统启动运行时，病毒首先进入内存，使计算机系统带病毒工作，并伺机发作。 外壳型病毒是将病毒复制品或其变种放置在程序的前面或后面部分，一般不修改源程序。 （3）按入侵对象划分，可将病毒划分为系统型病毒、文件型病毒和混合型病毒。 ①系统型病毒主要攻击系统引导区域、文件分配表、目录区域等。 ②文件型病毒主要传染可执行文件，如以.com 和.exe为扩展名的可执行文件。 ③混合型病毒则是前两种病毒的混合体，既可以感染系统文件，又可以传染可执行文件。 2．常见的病毒介绍 病毒的发展可谓“日新月异”，历史上影响比较大的有我们介绍过的“震荡波”、“冲击波”、“求职信”、“蠕虫王”，近些年，还曾出现过像“熊猫烧香”、“灰鸽子 ”等等。 熊猫烧香 灰鸽子 　灰鸽子病毒的文件名由攻击者任意定制，病毒还可以注入正常程序的进程隐藏自己， Windows的任务管理器看不到病毒存在，需要借助第三方工具软件查看。中灰鸽子病毒后的电脑会被远程攻击者完全控制，黑客可以轻易的复制、删除、上传、下载保存在你电脑上的文件，还可以记录每一个点击键盘的操作，用户的QQ号、网络游戏帐号、网上银行帐号，可以被远程攻击者轻松获得。更有甚者，远程攻击者可以直接控制摄像头，远程攻击者在窃取资料后，还可以远程将病毒卸载，达到销毁证据的目的。灰鸽子自身并不具备传播性，一般通过捆绑的方式（包括：网页、邮件、IM聊