第十讲 计算机病毒与木马--new.ppt

网络与计算机应用 --计算机病毒与木马 河北师范大学网络中心 王方伟 计算机病毒与木马 计算机病毒概述 计算机病毒的危害及其表现 计算机病毒的检测与防范 木马病毒 木马的攻击防护技术 计算机病毒概述 计算机病毒是一个程序，一段可执行代码，从不同角度给出计算机病毒的定义。 通过磁盘、磁带和网络等作为媒介传播扩散，能“传染”其他程序的一种程序； 能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序； 是一种人为制造的程序，它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里，当某种条件或时机成熟时， 它会自生复制并传播， 使计算机的资源受到不同程序的破坏。 计算机病毒的起源 1、计算机病毒的几种起源说 （1）科学幻想起源说。美国作家写了一本名为《震荡波骑士》(Shock Wave Rider)的书，计算机作为正义和邪恶双方斗争的工具。 （2）恶作剧起源说。对计算机知识和技术非常感兴趣的人，热衷于哪些别人认为不可能做成的事情，向别人展示自己的才能。如美国网络蠕虫的编写者莫里斯。 （3）游戏程序起源说。计算机发展早期，美国贝尔实验室的程序员曾自娱自乐，编制了吃掉对方程序的程序，看谁先把对方的程序吃光。 1983年11月3日美国计算机专家弗莱德-科恩在美国国家计算机安全会议上，演示了自己研究的一种在运行过程中可以复制自身的破坏性程序，并在VAXII/750计算机系统上运行，这是世界上第一例被证实的计算机病毒。 计算机病毒的发展史 在病毒的发展史上，呈现一定的规律性，一般情况是新的病毒技术出现后，病毒会迅速发展，接着反病毒技术的发展会抑制其流传。操作系统升级后，病毒也会调整为新的方式，产生新的病毒技术。它可划分为： （1）DOS引导阶段 。1987年，软盘传播，在计算机通过软盘启动过程中取得控制权，减少系统内存，修改磁盘读写中断，影响系统工作效率。 （2）DOS可执行阶段 。1989年，利用DOS系统加载执行文件的机制，在系统执行文件时取得控制权，修改DOS中断，在系统调用时进行传染，并自我复制。代表病毒：耶路撒冷，星期天 （3）伴随、批次型阶段。1992年，利用DOS加载文件的优先顺序工作，不改变原来的文件内容和属性，受此感染的EXE文件会生成一个扩展名为COM的同名伴随文件。 （4）幽灵、多形阶段 （汇编语言） （5）生成器、变体机阶段 （汇编语言） （6）网络，蠕虫阶段 （7）视窗阶段。1996年，随着Windows视窗操作系统的日益普及，利用Windows进行工作的病毒开始发展，如典型的word宏病毒，利用word提供的宏语言编写病毒程序。 （8）爪哇(Java)、邮件炸弹阶段 。随着java技术在互联网上的普及，典型代表java snake和Mail-Bomb。 （9）互连网阶段。泛指通过互联网传播的病毒。 蠕虫 – 简介 蠕虫是一种常见的计算机病毒。最初的蠕虫定义是因为在DOS环境下，发作时会在屏幕上出现一条类似虫子的东西，胡乱吞吃屏幕上的字母并将其改形。 它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。 蠕虫是自包含的程序(或是一套程序)，它能传播自身功能的拷贝或自身（蠕虫）的某些部分到其他的计算机系统中(通常是经过网络连接)。 蠕虫病毒 – 特点 蠕虫主要具备以下特点: 1．较强的独立性。从某种意义上来讲，蠕虫病毒开辟了计算机病毒传播和破坏能力的新纪元,不依赖宿主程序,它是一段独立的程序或代码，因此也就避免了受宿主程序的牵制，可以不依赖于宿主程序而独立运行，从而主动地实施攻击。 2．利用漏洞主动攻击。蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。 “尼姆达”病毒利用了IE浏览器的漏洞，使感染了病毒的邮件附件在不被打开的情况下就能激活病毒； “红色代码”利用了微软IIS服务器软件的漏洞（idq.dll远程缓存区溢出）来传播； 蠕虫王病毒则是利用了微软数据库系统的一个漏洞进行攻击。 蠕虫病毒 – 特点 3．传播更快更广。它不仅仅感染本地计算机，而且会以本地计算机为基础，感染网络中所有的服务器和客户端。蠕虫病毒可以通过网络中的共享文件夹、电子邮件、恶意网页以及存在着大量漏洞的服务器等途径肆意传播，几乎所有的传播手段都被蠕虫病毒运用得淋漓尽致，因此，蠕虫病毒的传播速度可以是传统病毒的几百倍，甚至可以在几个小时内蔓延全球，造成难以估量的损失。 蠕虫病毒 – 特点 4．更好的伪装和隐藏方式。在通常情况下，在接收、查看电子邮件时，都采取双击打开邮件主题的方式浏览邮件内容，如果邮件中带有病毒，用户的计算机就会立刻被病毒感染。因此，通常的经验是：不运行邮件的附件就不会感染蠕虫病