《计算机病毒防治技术.ppt》由会员分享,可在线阅读,更多相关《计算机病毒防治技术.ppt(36页珍藏版)》请在三一办公上搜索。
1、清华大学出版社,网络安全实用技术,主编贾铁军 副主编常艳 俞小怡编著 侯丽波 宋少婷 熊鹏,高等院校计算机与信息类规划教材,第8章 计算机病毒防治技术,目 录,目 录,教学目标 掌握计算机病毒的概念、产生、特点及种类 掌握计算机病毒的构成、传播、触发以及新型病毒实例 掌握计算机病毒与木马程序的检测、清除与防范方法 了解恶意软件的危害与清除方法 了解瑞星云安全软件2011的应用,8.1 计算机病毒概述,8.1.1 计算机病毒的概念及产生 1.计算机病毒的概念,计算机病毒(Computer Virus),通常是指能够破坏计算机正常工作的、人为编制的一组计算机指令或程序。根据中华人民共和国计算机信息
2、系统安全保护条例,对计算机病毒的定义规定如下:“计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。”2.计算机病毒的产生 1983年11月3日,就读南加州大学的博士研究生弗雷德科恩(Fred Cohen),在UNIX系统下,编写了一个会自动复制,并且在计算机间进行传染从而引起系统死机的小程序。此后,科恩为了证明其理论而将这些程序以论文的形式发表在学术研讨会上,引起轰动。此前,虽然有不少计算机专家都发出过计算机病毒可能会出现的警告,但科恩才是真正通过实践让计算机病毒具备破坏性的概念具体成形的第一人。他的一位教授将他编
3、写的那段程序命名为“病毒(Virus)”。,8.1 计算机病毒概述,8.1.2 计算机病毒的特点,8.1 计算机病毒概述,案例8-1,计算机病毒种类样本 2010年上半年,据江民反病毒中心、江民全球病毒监测预警系统、江民客户服务中心联合统计的数据,截止到2010年6月31日,共截获新增各种计算机病毒(样本)数总计(包括木马、后门、广告程序、间谍木马、脚本病毒、漏洞病毒、蠕虫病毒)7584737个,其中新增木马(样本)4454277个,新增后门(样本)623791个,新增广告程序(样本)223639个,新增漏洞病毒(样本)166359个,其它病毒(样本)1063255个,各种新型病毒及变异还在不
4、断变化。,8.1 计算机病毒概述,8.1.3 计算机病毒的种类,1.根据病毒的破坏程度划分,8.1 计算机病毒概述,2.根据病毒侵入的操作系统划分,3.根据病毒依附载体划分,8.1 计算机病毒概述,8.1.4 计算机中毒的异常现象,表8-1 计算机感染病毒常见现象,课堂讨论1.什么是计算机病毒?2.计算机病毒具有什么典型特征?3.计算机感染病毒的异常现象有哪些?,8.1 计算机病毒概述,8.2 计算机病毒的构成与传播,8.2.1 计算机病毒的构成,8.2.2 计算机病毒的传播,8.2 计算机病毒的构成与传播,计算机病毒的传染性是计算机病毒最危险的特点之一。计算机病毒潜伏在系统内,用户在不知情的
5、情况下进行相应的操作激活触发条件,使其得以由一个载体传播至另一个载体,完成传播过程。随着计算机的广泛普及应用以及互联网的飞速发展,计算机病毒的传播也从传统的常用交换媒介传播,逐渐发展到通过互联网进行全球化的传播。,1.移动式存储介质 移动存储介质主要包括:软盘、光盘、DVD、硬盘、闪存、U盘、CF卡、SD卡、记忆棒(Memory Stick)、移动硬盘等。移动存储介质以其便携性和大容量存储性为病毒的传播带来了极大的便利,这也是它成为目前主流病毒传播途径的重要原因。,8.2 计算机病毒的构成与传播,8.2.2 计算机病毒的传播,8.2.3 计算机病毒的触发和生存,8.2 计算机病毒的构成与传播,
6、8.2.4 特种及新型病毒实例,木 马木马一词源于古希腊传说中的“特洛伊木马”(Trojan horse),引申至计算机领域,可以理解为一类恶意程序。木马和病毒一样,均是人为编写的应用程序,都属于计算机病毒的范畴。相对于普通计算机病毒来说,木马具有更快的传播速度以及更加严重的危害性,但其最大的破坏性在于它通过修改图标、捆绑文件、仿制文件等方式进行伪装和隐藏自己,误导用户下载程序或打开文件,同时收集用户计算机信息并将其泄露给黑客供其远程控制,甚至进一步向计算机发动攻击。,8.2 计算机病毒的构成与传播,案例8-2,金山安全2010木马发展趋势报告 2010年以来,绑架型木马增长迅猛,几乎占据了互
7、联网新增木马的主流。无论是木马启动方式,还是对用户电脑系统的破坏性,绑架型木马均超出了传统木马以及感染型木马。而且杀毒软件对此类木马的查杀技术也面临着严峻的考验。2010年之前,绑架型木马已经出现,但并没有大规模爆发。进入2010年,绑架型木马增长迅猛,仅2010年前9个月即新增绑架型木马943862个,占据新增木马的84.2%。,8.2 计算机病毒的构成与传播,8.2 计算机病毒的构成与传播,实例1 冰河木马,1.冰河木马的主要功能,激活冰河木马的服务端程序G-Server.exe后,它将在目标计算机的C:Windows system目录下自动生成两个可执行文件,分别是Kernel32.ex
8、e和Sysexplr.exe。如果用户只找到Kernel32.exe,并将其删除,那么冰河木马并未完全根除,只要打开任何一个文本文件或可执行程序,Sysexplr.exe就会被激活而再次生成一个Kernel32.exe,这就是导致冰河木马的屡删无效,死灰复燃的原因。,2.冰河木马的原理,实例2 蠕虫,蠕虫病毒是计算机病毒的一种,它具有计算机病毒的共性,如传播性,隐蔽性,破坏性等,同时还具有一些个性特征,如它并不依赖宿主寄生,而是通过复制自身在网络环境下进行传播。同时,蠕虫病毒较普通病毒的破坏性更强,借助共享文件夹、电子邮件、恶意网页、存在漏洞的服务器等伺机传染整个网络内的所有计算机,破坏系统,
9、并使系统瘫痪。,课堂讨论1.计算机病毒的由几部分构成?2.计算机病毒的主要传播途径有哪些?3.试述电子邮件病毒的触发方式?,8.2 计算机病毒的构成与传播,8.3 计算机病毒的检测清除与防范,8.3.1 计算机病毒的检测,8.3.2 常见病毒的清除方法,8.3 计算机病毒的检测清除与防范,(1)一般常见流行病毒,(2)系统文件破坏,此种情况对计算机危害较小,一般运行杀毒软件进行查杀即可。若可执行文件的病毒无法根除,可将其删除后重新安装,多数系统文件被破坏将导致系统无法正常运行,破坏程序较大。若删除文件重新安装后仍未解决问题,则需请专业计算机人员进行清除和数据恢复。在数据恢复前,要将重要的数据文
10、件进行备份,当出现误杀时方便进行恢复。,8.3 计算机病毒的检测清除与防范,8.3.3 计算机病毒的防范,杀毒不如搞好防毒,如果能够采取全面的防护措施,则会更有效地避免病毒的危害。因此,计算机病毒的防范,应该采取预防为主的策略。首先要在思想上有反病毒的警惕性,依靠使用反病毒技术和管理措施,这些病毒就无法逾越计算机安全保护屏障,从而不能广泛传播。个人用户要及时升级可靠的反病毒产品,因为病毒以每日4-6个的速度产生,反病毒产品必须适应病毒的发展,不断升级,才能识别和杀灭新病毒,为系统提供真正安全环境。每一位计算机使用者都要遵守病毒防治的法律和制度,做到不制造病毒,不传播病毒。养成良好的上机习惯,如
11、定期备份系统数据文件;外部存储设备连接前先杀毒再使用;不访问违法或不明网站,不下载传播不良文件等。,8.3 计算机病毒的检测清除与防范,8.3.4 木马的检测清除与防范,8.3 计算机病毒的检测清除与防范,8.3.5 病毒和防病毒技术的发展趋势,计算机病毒种类及数量不断快速增加根据国家计算机病毒应急处理中心病毒样本库的统计,2009年新增病毒样本299万个,是2008年新增病毒数的3.2倍,其中木马程序巨量增加。截至2009年底,木马样本共330万多个,占病毒木马样本总数的72.9%,而2008年这一比例只有54;2009年发现新增木马246万多个,是2008年新增木马的5.5倍。,案例8-3
12、,8.3 计算机病毒的检测清除与防范,8.3.5 病毒和防病毒技术的发展趋势,“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,传送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。病毒库不再保存在本地,而是保存在官方服务器中,在扫描的时候和服务器交互后,做出判断是否有病毒。依托“云安全”进行杀毒能降低升级的频率,降低查杀的占用率,减小本地病毒数据库的容量。云安全技术应用的最大优势就在于,识别
13、和查杀病毒不再仅仅依靠本地硬盘中的病毒库,而是依靠庞大的网络服务,实时进行采集、分析以及处理。整个互联网就是一个巨大的“杀毒软件”,参与者越多,每个参与者就越安全,整个互联网就会更安全。,课堂讨论 1.计算机中毒常见的异常现象有哪些?2.如何检测、清除、防范计算机病毒?3.如何检测、清除、防范木马程序?,8.4 恶意软件的危害和清除,8.4.1 恶意软件概述,恶意软件主要是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件。根据中国互联网协会颁布的“恶意软件定义”细则,更加明确细化了恶意软件的定义和范围:满足以下八种情况之一即可被认定为是恶意软件
14、,分别为:强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑以及其他侵犯用户知情权和选择权的恶意行为。恶意软件通常难以清除,影响计算机用户正常使用,无法正常卸载和删除给用户造成了巨大困扰,因此又获别名“流氓软件”。,8.4 恶意软件的危害和清除,8.4.2 恶意软件的危害与清除,课堂讨论 1.什么是恶意软件?2.恶意软件的危害有哪些?3.如何清除恶意软件?,8.5 瑞星云安全软件2011应用实验,8.5.1 实验目的,8.5.2 实验内容,(1)了解瑞星全功能安全软件2011的主要功能及特点。(2)理解瑞星全功能安全软件2011主要技术和应用。(3)掌握瑞星全功能安
15、全软件2011操作界面、步骤和方法。,图8-2 瑞星2011三层安全架构图,1.瑞星2011的安全架构,8.5.2 实验内容,2.瑞星2011的主要功能及特点,8.5 瑞星云安全软件2011应用实验,8.5.3 操作步骤,8.5 瑞星云安全软件2011应用实验,1.操作界面,六大功能区域,图8-3 瑞星2011操作界面,8.5.3 操作步骤,8.5 瑞星云安全软件2011应用实验,2.“智能云安全”技术,3.杀毒方式多样化,8.5.3 操作步骤,瑞星2011提供快速查杀、全盘查杀、自定义查杀等三种查杀方式,用户可以自行选择查杀方式,应该一段时期后做一次全盘查杀,如果插入外部设备时,例如移动存储
16、设备U盘、移动硬盘等,可以采用自定义查杀方式进行选择。查杀结果如果出现可疑文件则自动上传给“云安全”服务器进行判断,如果确认为病毒,立即升级病毒库将该病毒删除。,图8-4 瑞星2011快速查杀界面,8.5 瑞星云安全软件2011应用实验,4.电脑防护,8.5.3 操作步骤,8.5 瑞星云安全软件2011应用实验,瑞星2011具有针对网络用户的普通电脑防护和网络特殊防护功能。针对常用的一些电脑操作(U盘使用、电子邮件、办公软件等)及网络使用(网页浏览、程序下载等)进行监控,防止恶意程序对操作系统进行破坏性活动,如挂马网站的攻击,被黑客控制沦为“肉鸡”攻击互联网等恶意行为,防御网络威胁的同时保证计
17、算机系统的信息安全。,图8-5 瑞星2011电脑基本防护界面,图8-6 瑞星2011电脑网络防护界面,5.连网程序,8.5.3 操作步骤,8.5 瑞星云安全软件2011应用实验,图8-7 瑞星2011连网程序界面,连网程序功能可以监控当前系统中程序的安全等级、访问网络总流量以及连接数,若某程序出现异常,可以从总流量数据以及连接数直观地反应给用户。,6.“云安全”计划,8.5.3 操作步骤,8.5 瑞星云安全软件2011应用实验,图8-8 瑞星2011“云安全”计划界面 图8-9 瑞星2011网站拦载界面,“云安全”计划通过用户唯一身份标识邮箱地址,将恶意网址上传至瑞星“云安全”服务器,然后服务
18、器将把这些信息上传到恶意网址库中,共享给防火墙等其他软件,并且实时监控这些恶意网站,及时地将这些网站下载的病毒加到病毒库中。,8.6 本章小结,计算机病毒的防范,应以预防为主,在各方面的共同配合来解决计算机病毒的问题。本章首先进行了计算机病毒概述,包括计算机病毒的概念及产生,计算机病毒的特点,计算机病毒的种类,计算机中毒的异常现象;介绍了计算机病毒的构成、计算机病毒的传播方式、计算机病毒的触发和生存条件、特种及新型病毒实例分析等;同时还具体地介绍 了计算机病毒的检测、清除与防范技术,木马的检测清除与防范技术,以及计算机病毒和防病毒技术的发展趋势;总结了恶意软件的类型、危害、清除方法和防范措施;最后,针对瑞星全功能安全软件2011的功能、特点、操作界面、常用工具,以及实际应用和具体的实验目的、内容进行了介绍,便于理解具体实验过程,掌握方法。,诚挚谢意!,
