Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,2020/11/4,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,计算机病毒防治TCSP认证第九讲计算机病毒概述,计算机病毒防治TCSP认证第九讲计算机病毒概述计算机病毒防治TCSP认证第九讲计算机病毒概述本章概要本章内容主要是计算机病毒的基础知识，包括：,计算机病毒概念,计算机病毒的生命周期,计算机病毒发展简史,计算机病毒不良特征及危害,计算机病毒分类,计算机病毒的命名原则,研究计算机病毒的基本准则,2,计算机病毒防治TCSP认证第九讲计算机病毒概述计算机病毒防治,本章概要,本章内容主要是计算机病毒的基础知识，包括：,计算机病毒概念,计算机病毒的生命周期,计算机病毒发展简史,计算机病毒不良特征及危害,计算机病毒分类,计算机病毒的命名原则,研究计算机病毒的基本准则,2,本章概要本章内容主要是计算机病毒的基础知识，包括：2,本章目标,通过本章学习，学员应该了解计算机病毒的基本概念、分类方法、病毒的特征、传播途径及研究病毒的基本准则等，为深入了解计算机病毒做好准备。,3,本章目标通过本章学习，学员应该了解计算机病毒的基本概念、,计算机病毒概念,2020/11/4,计算机病毒概念2020/11/4,什么是病毒,?,广义的病毒：,泛指所有恶意软件，即,Malware,。,Malware,是由两个英文单词融合而成，分别是,Malicious,（怀恶意的,恶毒的）和,Software,（软件）。,狭义的病毒：,狭义的病毒特指恶意软件中的一类,文件感染型病毒。这类恶意软件与其他恶意软件的不同之处在于它会感染其他可执行文件。关于这类恶意软件的详情可参考第十七章,文件感染型病毒,5,什么是病毒?广义的病毒：5,什么是病毒,?,狭义的病毒：,特指恶意软件中的一类,文件感染型病毒。,这类恶意软件与其他恶意软件的不同之处在于它会感染其他可执行文件。,6,什么是病毒?狭义的病毒：6,什么是计算机病毒,?,计算机病毒通常是指可以自我复制，以及向其他文件传播的程序。,7,什么是计算机病毒?计算机病毒通常是指可以自我复制，以及向其他,计算机病毒的生命周期,8,计算机病毒的生命周期8,计算机病毒简史,2020/11/4,计算机病毒简史2020/11/4,计算机病毒起源,计算机病毒的来源多种多样，有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的,有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚,10,计算机病毒起源计算机病毒的来源多种多样，有的是计算机工作人员,计算机病毒历史,1961,年，美国的三个程序员通过编写小程序破坏对方、复制自身等来获取游戏胜利；这是计算机病毒“雏形”,1971,年，世界上第一个病毒,CREEPER,（爬行者）出现；不久一个名为,Reaper,（收割机）的程序出现，这是病毒史上的第一个专杀工具,“,计算机病毒”这一概念是,1977,年由美国著名科普作家“雷恩”在一部科幻小说,P1,的青春,中提出,1983,年 美国计算机安全专家“考因”首次通过实验证明了病毒的可实现性,1989,年 全世界的计算机病毒攻击十分猖獗，其中,米开朗基罗,病毒给许多计算机用户造成极大损失。,11,计算机病毒历史1961年，美国的三个程序员通过编写小程序破坏,计算机病毒历史,1989,年 全世界的计算机病毒攻击十分猖獗，其中,米开朗基罗,病毒给许多计算机用户造成极大损失。,1991,年 在“海湾战争”中，美军第一次将计算机病毒用于实战,1992,年 出现针对杀毒软件的,幽灵,病毒，如,One-half,。,1996,年 首次出现针对微软公司,Office,的,宏病毒,。,1997,年 被公认为计算机反病毒界的“宏病毒”年。,1998,年 出现针对,Windows95/98,系统的病毒，如,CIH,（,1998,年被公认为计算机反病毒界的,CIH,病毒年）。,1999,年,Happy99,等完全通过,Internet,传播的病毒的出现标志着,Internet,病毒将成为病毒新的增长点。,12,计算机病毒历史1989年 全世界的计算机病毒攻击十分猖獗，其,计算机病毒发展,1,、,DOS,引导阶段,1987,年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。,当时的计算机硬件较少,功能简单,一般需要通过软盘启动后使用。引导型病毒利用软盘得启动原理工作,它们修改系统启动扇区,在计算机启动时首先取得控制权,减少系统内存,修改磁盘读写中断,影响系统工作效率,在系统存取磁盘时进行传播。,1989,年,引导型病毒发展为可以感染硬盘,典型的代表有,石头,2,。,13,计算机病毒发展1、DOS引导阶段13,计算机病毒发展,2,、,DOS,可执行阶段,1989,年,可执行文件型病毒出现,它们利用,DOS,系统加载执行文件的机制工作,代表为,耶路撒冷,星期天,病毒,病毒代码在系统执行文件时取得控制权,修改,DOS,中断,在系统调用时进行传染,并将自己附加在可执行文件中,使文件长度增加。,1990,年,发展为复合型病毒,可感染,COM,和,EXE,文件。,14,计算机病毒发展2、DOS可执行阶段 14,计算机病毒发展,3,、批处理型阶段,1992,年,伴随型病毒出现,它们利用,DOS,加载文件的优先顺序进行工作。它感染,EXE,文件时生成一个和,EXE,同名的扩展名为,COM,伴随体,;,它感染,COM,文件时,改为原来的,COM,文件为同名的,EXE,文件,在产生一个原名的伴随体,文件扩展名为,COM,。这样,在,DOS,加载文件时,病毒就取得控制权。,15,计算机病毒发展3、批处理型阶段 15,计算机病毒发展,4,、幽灵、多形阶段,1994,年,随着汇编语言的发展,实现同一功能可以用不同的方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。,16,计算机病毒发展4、幽灵、多形阶段 16,计算机病毒发展,5,、生成器阶段,1995,年,在汇编语言中,一些数据的运算放在不同的通用寄存器中,可运算出同样的结果,随机的插入一些空操作和无关指令,也不影响运算的结果,这样,一段解码算法就可以由生成器生成。当生成的是病毒时,这种复杂的称之为病毒生成器和变体机就产生了。具有典型代表的是,病毒制造机,VCL,17,计算机病毒发展5、生成器阶段 17,计算机病毒发展,6,、网络、蠕虫阶段,1995,年,随着网络的普及,病毒开始利用网络进行传播,它们只是以上几代病毒的改进。在非,DOS,操作系统中,蠕虫,是典型的代表,它不占用除内存以外的任何资源,不修改磁盘文件,利用网络功能搜索网络地址,将自身向下一地址进行传播,有时也在网络服务器和启动文件中存在。,18,计算机病毒发展6、网络、蠕虫阶段 18,计算机病毒发展,7,、,Windows,病毒阶段,1996,年,随着,Windows,和,Windows95,的日益普及,利用,Windows,进行工作的病毒开始发展,它们修改,(NE,PE),文件,典型的代表是,DS.3873,这类病毒的机制更为复杂,它们利用保护模式和,API,调用接口工作,清除方法也比较复杂。,19,计算机病毒发展7、Windows病毒阶段 19,计算机病毒发展,8,、宏病毒阶段,1996,年,随着,Windows Word,功能的增强,使用,Word,宏语言也可以编制病毒,这种病毒使用类,Basic,语言,编写容易,感染,Word,文档文件。在,Excel,和,AmiPro,出现的相同工作机制的病毒也归为此类。,20,计算机病毒发展8、宏病毒阶段 20,计算机病毒发展,9,、互连网阶段,1997,年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒。,21,计算机病毒发展9、互连网阶段 21,重大计算机病毒事件,1988,年,11,月,2,日，,Internet,前身,Arpanet,网络遭到蠕虫的攻击，导致瘫痪，其始作俑者为康奈尔大学计算机科学系研究生罗伯特,莫里斯,1998,年 出现的,CIH,病毒是一个全新的新型病毒。这种病毒与,DOS,下的传统病毒有很大不同，它使用面向,Windows,的,VXD,技术编制。该病毒是第一个直接攻击，导致硬件不能正常工作的计算机病毒。它主要感染,Windows95/98,的可执行程序，发作时破坏计算机,Flash BIOS,芯片中的系统程序，导致主板损坏，同时破坏硬盘中的数据。,22,重大计算机病毒事件1988年11月2日，Internet前,重大计算机病毒事件,1999,年,4,月 出现的梅丽莎病毒，是第一个通过电子邮件传播的病毒，短短,24,小时之内就使美国数万台服务器、数十万台工作站瘫痪，造成损失高达,10,亿美元。,23,重大计算机病毒事件1999年4月 出现的梅丽莎病毒，是第一个,重大计算机病毒事件,2003,年，冲击波病毒利用,Windows,操作系统的,RPC,漏洞大量传播，导致上百万台计算机被迫重启，损失不计其数。在其之后的震荡波病毒，同样应用了类似的漏洞，这使中国广大的计算机使用者，第一次面对“漏洞”这个名词的时候，不得不同时面对巨大的损失。,24,重大计算机病毒事件2003年，冲击波病毒利用Windows操,重大计算机病毒事件,2007,年所有人几乎“谈熊猫色变”，熊猫烧香在短短几个月时间里感染了几百万台电脑，。该病毒不仅感染可执行文件，还会感染网页文件，并通过局域网、,U,盘等渠道传播，而且该病毒还对主流杀毒软件进行攻击，并删除,gho,后缀名的文件，使中毒的计算机无法恢复。,2007,年,2,月,12,日抓获病毒作者李俊（男，,25,岁，武汉新洲区人），他编写的“熊猫烧香”病毒并在网上广泛传播，并且还以自己出售和由他人代卖的方式，在网络上将该病毒销售给,120,余人，非法获利,10,万余元,25,重大计算机病毒事件 2007年所有人几乎“谈熊猫色变”，,计算机病毒不良特征,26,计算机病毒不良特征26,计算机病毒的危害,窃取敏感信息，造成用户经济或精神损失；,破坏文件或数据，造成用户数据丢失或毁损；,占用系统资源，造成计算机运行缓慢；,占用系统网络资源，造成网络阻塞或系统瘫痪；,破坏操作系统等软件或计算机主板等硬件，造成计算机无法启动；,其他错误及不可预知的危害。,27,计算机病毒的危害 窃取敏感信息，造成用户经济或精神损失；27,根据感染平台分类,感染,Windows,系统病毒,感染,Unix/Linux,系统的病毒,感染其他操作系统,跨平台病毒,感染,DOS,系统病毒,28,根据感染平台分类 感染Windows系统病毒 感染Uni,根据宿主或感染对象分类,文件型病毒,复合型病毒,宏病毒,引导型病毒,29,根据宿主或感染对象分类 文件型病毒 复合型病毒 宏病毒 引导,根据文件类型分类,文本文件,其它,可执行文件,30,根据文件类型分类文本文件 其它可执行文件30,根据恶意行为分类,Threats,Spam,Malware,Grayware,Viruses,Trojans,Worms,Spyware,Phishing,Pharming,Bots,Adware,Trojan Spyware,Downloaders,Droppe