清華大學(xué)出版社,網(wǎng)絡(luò)安全實(shí)用技術(shù),主編賈鐵軍副主編常艷俞小怡編著侯麗波宋少婷熊鵬,高等院校計(jì)算機(jī)與信息類規(guī)劃教材,第8章計(jì)算機(jī)病毒防治技術(shù),目錄,目錄,教學(xué)目標(biāo)掌握計(jì)算機(jī)病毒的概念、產(chǎn)生、特點(diǎn)及種類掌握計(jì)算機(jī)病毒的構(gòu)成、傳播、觸發(fā)以及新型病毒實(shí)例掌握計(jì)算機(jī)病毒與木馬程序的檢測、清除與防范方法了解惡意軟件的危害與清除方法了解瑞星云安全軟件2011的應(yīng)用,8.1計(jì)算機(jī)病毒概述,8.1.1計(jì)算機(jī)病毒的概念及產(chǎn)生1.計(jì)算機(jī)病毒的概念,計(jì)算機(jī)病毒（ComputerVirus），通常是指能夠破壞計(jì)算機(jī)正常工作的、人為編制的一組計(jì)算機(jī)指令或程序。根據(jù)中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，對計(jì)算機(jī)病毒的定義規(guī)定如下：“計(jì)算機(jī)病毒，是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼?！?.計(jì)算機(jī)病毒的產(chǎn)生1983年11月3日，就讀南加州大學(xué)的博士研究生弗雷德科恩（FredCohen），在UNIX系統(tǒng)下，編寫了一個(gè)會(huì)自動(dòng)復(fù)制，并且在計(jì)算機(jī)間進(jìn)行傳染從而引起系統(tǒng)死機(jī)的小程序。此后，科恩為了證明其理論而將這些程序以論文的形式發(fā)表在學(xué)術(shù)研討會(huì)上，引起轟動(dòng)。此前，雖然有不少計(jì)算機(jī)專家都發(fā)出過計(jì)算機(jī)病毒可能會(huì)出現(xiàn)的警告，但科恩才是真正通過實(shí)踐讓計(jì)算機(jī)病毒具備破壞性的概念具體成形的第一人。他的一位教授將他編寫的那段程序命名為“病毒（Virus）”。,8.1計(jì)算機(jī)病毒概述,8.1.2計(jì)算機(jī)病毒的特點(diǎn),8.1計(jì)算機(jī)病毒概述,案例8-1,計(jì)算機(jī)病毒種類樣本2010年上半年，據(jù)江民反病毒中心、江民全球病毒監(jiān)測預(yù)警系統(tǒng)、江民客戶服務(wù)中心聯(lián)合統(tǒng)計(jì)的數(shù)據(jù)，截止到2010年6月31日，共截獲新增各種計(jì)算機(jī)病毒（樣本）數(shù)總計(jì)（包括木馬、后門、廣告程序、間諜木馬、腳本病毒、漏洞病毒、蠕蟲病毒）7584737個(gè)，其中新增木馬（樣本）4454277個(gè)，新增后門（樣本）623791個(gè)，新增廣告程序（樣本）223639個(gè)，新增漏洞病毒（樣本）166359個(gè)，其它病毒（樣本）1063255個(gè)，各種新型病毒及變異還在不斷變化。,8.1計(jì)算機(jī)病毒概述,8.1.3計(jì)算機(jī)病毒的種類,1.根據(jù)病毒的破壞程度劃分,8.1計(jì)算機(jī)病毒概述,2.根據(jù)病毒侵入的操作系統(tǒng)劃分,3.根據(jù)病毒依附載體劃分,8.1計(jì)算機(jī)病毒概述,8.1.4計(jì)算機(jī)中毒的異常現(xiàn)象,表8-1計(jì)算機(jī)感染病毒常見現(xiàn)象,課堂討論1.什么是計(jì)算機(jī)病毒？2.計(jì)算機(jī)病毒具有什么典型特征？3.計(jì)算機(jī)感染病毒的異?，F(xiàn)象有哪些？,8.1計(jì)算機(jī)病毒概述,8.2計(jì)算機(jī)病毒的構(gòu)成與傳播,8.2.1計(jì)算機(jī)病毒的構(gòu)成,8.2.2計(jì)算機(jī)病毒的傳播,8.2計(jì)算機(jī)病毒的構(gòu)成與傳播,計(jì)算機(jī)病毒的傳染性是計(jì)算機(jī)病毒最危險(xiǎn)的特點(diǎn)之一。計(jì)算機(jī)病毒潛伏在系統(tǒng)內(nèi),用戶在不知情的情況下進(jìn)行相應(yīng)的操作激活觸發(fā)條件,使其得以由一個(gè)載體傳播至另一個(gè)載體，完成傳播過程。隨著計(jì)算機(jī)的廣泛普及應(yīng)用以及互聯(lián)網(wǎng)的飛速發(fā)展，計(jì)算機(jī)病毒的傳播也從傳統(tǒng)的常用交換媒介傳播，逐漸發(fā)展到通過互聯(lián)網(wǎng)進(jìn)行全球化的傳播。,1.移動(dòng)式存儲(chǔ)介質(zhì)移動(dòng)存儲(chǔ)介質(zhì)主要包括：軟盤、光盤、DVD、硬盤、閃存、U盤、CF卡、SD卡、記憶棒（MemoryStick）、移動(dòng)硬盤等。移動(dòng)存儲(chǔ)介質(zhì)以其便攜性和大容量存儲(chǔ)性為病毒的傳播帶來了極大的便利，這也是它成為目前主流病毒傳播途徑的重要原因。,8.2計(jì)算機(jī)病毒的構(gòu)成與傳播,8.2.2計(jì)算機(jī)病毒的傳播,8.2.3計(jì)算機(jī)病毒的觸發(fā)和生存,8.2計(jì)算機(jī)病毒的構(gòu)成與傳播,8.2.4特種及新型病毒實(shí)例,木馬木馬一詞源于古希臘傳說中的“特洛伊木馬”（Trojanhorse），引申至計(jì)算機(jī)領(lǐng)域，可以理解為一類惡意程序。木馬和病毒一樣，均是人為編寫的應(yīng)用程序，都屬于計(jì)算機(jī)病毒的范疇。相對于普通計(jì)算機(jī)病毒來說，木馬具有更快的傳播速度以及更加嚴(yán)重的危害性，但其最大的破壞性在于它通過修改圖標(biāo)、捆綁文件、仿制文件等方式進(jìn)行偽裝和隱藏自己，誤導(dǎo)用戶下載程序或打開文件，同時(shí)收集用戶計(jì)算機(jī)信息并將其泄露給黑客供其遠(yuǎn)程控制，甚至進(jìn)一步向計(jì)算機(jī)發(fā)動(dòng)攻擊。,8.2計(jì)算機(jī)病毒的構(gòu)成與傳播,案例8-2,金山安全2010木馬發(fā)展趨勢報(bào)告2010年以來，綁架型木馬增長迅猛，幾乎占據(jù)了互聯(lián)網(wǎng)新增木馬的主流。無論是木馬啟動(dòng)方式，還是對用戶電腦系統(tǒng)的破壞性，綁架型木馬均超出了傳統(tǒng)木馬以及感染型木馬。而且殺毒軟件對此類木馬的查殺技術(shù)也面臨著嚴(yán)峻的考驗(yàn)。2010年之前，綁架型木馬已經(jīng)出現(xiàn)，但并沒有大規(guī)模爆發(fā)。進(jìn)入2010年，綁架型木馬增長迅猛，僅2010年前9個(gè)月即新增綁架型木馬943862個(gè)，占據(jù)新增木馬的84.2%。,8.2計(jì)算機(jī)病毒的構(gòu)成與傳播,8.2計(jì)算機(jī)病毒的構(gòu)成與傳播,實(shí)例1冰河木馬,1.冰河木馬的主要功能,激活冰河木馬的服務(wù)端程序G-Server.exe后，它將在目標(biāo)計(jì)算機(jī)的C：Windowssystem目錄下自動(dòng)生成兩個(gè)可執(zhí)行文件，分別是Kernel32.exe和Sysexplr.exe。如果用戶只找到Kernel32.exe，并將其刪除，那么冰河木馬并未完全根除，只要打開任何一個(gè)文本文件或可執(zhí)行程序，Sysexplr.exe就會(huì)被激活而再次生成一個(gè)Kernel32.exe，這就是導(dǎo)致冰河木馬的屢刪無效，死灰復(fù)燃的原因。,2.冰河木馬的原理,實(shí)例2蠕蟲,蠕蟲病毒是計(jì)算機(jī)病毒的一種，它具有計(jì)算機(jī)病毒的共性，如傳播性，隱蔽性，破壞性等，同時(shí)還具有一些個(gè)性特征，如它并不依賴宿主寄生，而是通過復(fù)制自身在網(wǎng)絡(luò)環(huán)境下進(jìn)行傳播。同時(shí)，蠕蟲病毒較普通病毒的破壞性更強(qiáng)，借助共享文件夾、電子郵件、惡意網(wǎng)頁、存在漏洞的服務(wù)器等伺機(jī)傳染整個(gè)網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)，破壞系統(tǒng)，并使系統(tǒng)癱瘓。,課堂討論1.計(jì)算機(jī)病毒的由幾部分構(gòu)成？2.計(jì)算機(jī)病毒的主要傳播途徑有哪些？3.試述電子郵件病毒的觸發(fā)方式？,8.2計(jì)算機(jī)病毒的構(gòu)成與傳播,8.3計(jì)算機(jī)病毒的檢測清除與防范,8.3.1計(jì)算機(jī)病毒的檢測,8.3.2常見病毒的清除方法,8.3計(jì)算機(jī)病毒的檢測清除與防范,（1）一般常見流行病毒,（2）系統(tǒng)文件破壞,此種情況對計(jì)算機(jī)危害較小，一般運(yùn)行殺毒軟件進(jìn)行查殺即可。若可執(zhí)行文件的病毒無法根除，可將其刪除后重新安裝,多數(shù)系統(tǒng)文件被破壞將導(dǎo)致系統(tǒng)無法正常運(yùn)行，破壞程序較大。若刪除文件重新安裝后仍未解決問題，則需請專業(yè)計(jì)算機(jī)人員進(jìn)行清除和數(shù)據(jù)恢復(fù)。在數(shù)據(jù)恢復(fù)前，要將重要的數(shù)據(jù)文件進(jìn)行備份，當(dāng)出現(xiàn)誤殺時(shí)方便進(jìn)行恢復(fù)。,8.3計(jì)算機(jī)病毒的檢測清除與防范,8.3.3計(jì)算機(jī)病毒的防范,殺毒不如搞好防毒，如果能夠采取全面的防護(hù)措施，則會(huì)更有效地避免病毒的危害。因此，計(jì)算機(jī)病毒的防范，應(yīng)該采取預(yù)防為主的策略。首先要在思想上有反病毒的警惕性，依靠使用反病毒技術(shù)和管理措施，這些病毒就無法逾越計(jì)算機(jī)安全保護(hù)屏障，從而不能廣泛傳播。個(gè)人用戶要及時(shí)升級可靠的反病毒產(chǎn)品，因?yàn)椴《疽悦咳?-6個(gè)的速度產(chǎn)生，反病毒產(chǎn)品必須適應(yīng)病毒的發(fā)展，不斷升級，才能識別和殺滅新病毒，為系統(tǒng)提供真正安全環(huán)境。每一位計(jì)算機(jī)使用者都要遵守病毒防治的法律和制度，做到不制造病毒，不傳播病毒。養(yǎng)成良好的上機(jī)習(xí)慣，如定期備份系統(tǒng)數(shù)據(jù)文件；外部存儲(chǔ)設(shè)備連接前先殺毒再使用；不訪問違法或不明網(wǎng)站，不下載傳播不良文件等。,8.3計(jì)算機(jī)病毒的檢測清除與防范,8.3.4木馬的檢測清除與防范,8.3計(jì)算機(jī)病毒的檢測清除與防范,8.3.5病毒和防病毒技術(shù)的發(fā)展趨勢,計(jì)算機(jī)病毒種類及數(shù)量不斷快速增加根據(jù)國家計(jì)算機(jī)病毒應(yīng)急處理中心病毒樣本庫的統(tǒng)計(jì)，2009年新增病毒樣本299萬個(gè)，是2008年新增病毒數(shù)的3.2倍，其中木馬程序巨量增加。截至2009年底，木馬樣本共330萬多個(gè)，占病毒木馬樣本總數(shù)的72.9%，而2008年這一比例只有54；2009年發(fā)現(xiàn)新增木馬246萬多個(gè)，是2008年新增木馬的5.5倍。,案例8-3,8.3計(jì)算機(jī)病毒的檢測清除與防范,8.3.5病毒和防病毒技術(shù)的發(fā)展趨勢,“云安全（CloudSecurity）”計(jì)劃是網(wǎng)絡(luò)時(shí)代信息安全的最新體現(xiàn)，它融合了并行處理、網(wǎng)格計(jì)算、未知病毒行為判斷等新興技術(shù)和概念，通過網(wǎng)狀的大量客戶端對網(wǎng)絡(luò)中軟件行為的異常監(jiān)測，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，傳送到Server端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。病毒庫不再保存在本地，而是保存在官方服務(wù)器中，在掃描的時(shí)候和服務(wù)器交互后，做出判斷是否有病毒。依托“云安全”進(jìn)行殺毒能降低升級的頻率，降低查殺的占用率，減小本地病毒數(shù)據(jù)庫的容量。云安全技術(shù)應(yīng)用的最大優(yōu)勢就在于，識別和查殺病毒不再僅僅依靠本地硬盤中的病毒庫，而是依靠龐大的網(wǎng)絡(luò)服務(wù)，實(shí)時(shí)進(jìn)行采集、分析以及處理。整個(gè)互聯(lián)網(wǎng)就是一個(gè)巨大的“殺毒軟件”，參與者越多，每個(gè)參與者就越安全，整個(gè)互聯(lián)網(wǎng)就會(huì)更安全。,課堂討論1.計(jì)算機(jī)中毒常見的異?，F(xiàn)象有哪些？2.如何檢測、清除、防范計(jì)算機(jī)病毒？3.如何檢測、清除、防范木馬程序？,8.4惡意軟件的危害和清除,8.4.1惡意軟件概述,惡意軟件主要是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行，侵害用戶合法權(quán)益的軟件。根據(jù)中國互聯(lián)網(wǎng)協(xié)會(huì)頒布的“惡意軟件定義”細(xì)則，更加明確細(xì)化了惡意軟件的定義和范圍：滿足以下八種情況之一即可被認(rèn)定為是惡意軟件，分別為：強(qiáng)制安裝、難以卸載、瀏覽器劫持、廣告彈出、惡意收集用戶信息、惡意卸載、惡意捆綁以及其他侵犯用戶知情權(quán)和選擇權(quán)的惡意行為。惡意軟件通常難以清除，影響計(jì)算機(jī)用戶正常使用，無法正常卸載和刪除給用戶造成了巨大困擾，因此又獲別名“流氓軟件”。,8.4惡意軟件的危害和清除,8.4.2惡意軟件的危害與清除,課堂討論1.什么是惡意軟件？2.惡意軟件的危害有哪些？3.如何清除惡意軟件？,8.5瑞星云安全軟件2011應(yīng)用實(shí)驗(yàn),8.5.1實(shí)驗(yàn)?zāi)康?8.5.2實(shí)驗(yàn)內(nèi)容,（1）了解瑞星全功能安全軟件2011的主要功能及特點(diǎn)。（2）理解瑞星全功能安全軟件2011主要技術(shù)和應(yīng)用。（3）掌握瑞星全功能安全軟件2011操作界面、步驟和方法。,圖8-2瑞星2011三層安全架構(gòu)圖,1.瑞星2011的安全架構(gòu),8.5.2實(shí)驗(yàn)內(nèi)容,2.瑞星2011的主要功能及特點(diǎn),8.5瑞星云安全軟件2011應(yīng)用實(shí)驗(yàn),8.5.3操作步驟,8.5瑞星云安全軟件2011應(yīng)用實(shí)驗(yàn),1.操作界面,六大功能區(qū)域,圖8-3瑞星2011操作界面,8.5.3操作步驟,8.5瑞星云安全軟件2011應(yīng)用實(shí)驗(yàn),2.“智能云安全”技術(shù),3.殺毒方式多樣化,8.5.3操作步驟,瑞星2011提供快速查殺、全盤查殺、自定義查殺等三種查殺方式，用戶可以自行選擇查殺方式，應(yīng)該一段時(shí)期后做一次全盤查殺，如果插入外部設(shè)備時(shí)，例如移動(dòng)存儲(chǔ)設(shè)備U盤、移動(dòng)硬盤等，可以采用自定義查殺方式進(jìn)行選擇。查殺結(jié)果如果出現(xiàn)可疑文件則自動(dòng)上傳給“云安全”服務(wù)器進(jìn)行判斷，如果確認(rèn)為病毒，立即升級病毒庫將該病毒刪除。,圖8-4瑞星2011快速查殺界面,8.5瑞星云安全軟件2011應(yīng)用實(shí)驗(yàn),4.電腦防護(hù),8.5.3操作步驟,8.5瑞星云安全軟件2011應(yīng)用實(shí)驗(yàn),瑞星2011具有針對網(wǎng)絡(luò)用戶的普通電腦防護(hù)和網(wǎng)絡(luò)特殊防護(hù)功能。針對常用的一些電腦操作（U盤使用、電子郵件、辦公軟件等）及網(wǎng)絡(luò)使用（網(wǎng)頁瀏覽、程序下載等）進(jìn)行監(jiān)控，防止惡意程序?qū)Σ僮飨到y(tǒng)進(jìn)行破壞性活動(dòng)，如掛馬網(wǎng)站的攻擊，被黑客控制淪為“肉雞”攻擊互聯(lián)網(wǎng)等惡意行為，防御網(wǎng)絡(luò)威脅的同時(shí)保證計(jì)算機(jī)系統(tǒng)的信息安全。,圖8-5瑞星2011電腦基本防護(hù)界面,圖8-6瑞星2011電腦網(wǎng)絡(luò)防護(hù)界面,5.連網(wǎng)程序,8.5.3操作步驟,8.5瑞星云安全軟件2011應(yīng)用實(shí)驗(yàn),圖8-7瑞星2011連網(wǎng)程序界面,連網(wǎng)程序功能可以監(jiān)控當(dāng)前系統(tǒng)中程序的安全等級、訪問網(wǎng)絡(luò)總流量以及連接數(shù)，若某程序出現(xiàn)異常，可以從總流量數(shù)據(jù)以及連接數(shù)直觀地反應(yīng)給用戶。,6.“云安全”計(jì)劃,8.5.3操作步驟,8.5瑞星云安全軟件2011應(yīng)用實(shí)驗(yàn),圖8-8瑞星2011“云安全”計(jì)劃界面圖8-9瑞星2011網(wǎng)站攔載界面,“云安全”計(jì)劃通過用戶唯一身份標(biāo)識郵箱地址，將惡意網(wǎng)址上傳至瑞星“云安全”服務(wù)器，然后服務(wù)器將把這些信息上傳到惡意網(wǎng)址庫中，共享給防火墻等其他軟件，并且實(shí)時(shí)監(jiān)控這些惡意網(wǎng)站，及時(shí)地將這些網(wǎng)站下載的病毒加到病毒庫中。,8.6本章小結(jié),計(jì)算機(jī)病毒的防范，應(yīng)以預(yù)防為主，在各方面的共同配合來解決計(jì)算機(jī)病毒的問題。本章首先進(jìn)行了計(jì)算機(jī)病毒概述，包括計(jì)算機(jī)病毒的概念及產(chǎn)生，計(jì)算機(jī)病毒的特點(diǎn)，計(jì)算機(jī)病毒的種類，計(jì)算機(jī)中毒的異常現(xiàn)象；介紹了計(jì)算機(jī)病毒的構(gòu)成、計(jì)算機(jī)病毒的傳播方式、計(jì)算機(jī)病毒的觸發(fā)和生存條件、特種及新型病毒實(shí)例分析等；同時(shí)還具體地介紹了計(jì)算機(jī)病毒的檢測、清除與防范技術(shù)，木馬的檢測清除與防范技術(shù)，以及計(jì)算機(jī)病毒和防病毒技術(shù)的發(fā)展趨勢；總結(jié)了惡意軟件的類型、危害、清除方法和防范措施；最后，針對瑞星全功能安全軟件2011的功能、特點(diǎn)、操作界面、常用工具，以及實(shí)際應(yīng)用和具體的實(shí)驗(yàn)?zāi)康?、?nèi)容進(jìn)行了介紹，便于理解具體實(shí)驗(yàn)過程，掌握方法。,誠摯謝意！,