第9章 计算机病毒原理及防治.ppt

第9章 计算机病毒原理及防治 我国计算机用户病毒感染情况 2009年被调查对象发生网络安全事件的比例为43％，比2008年下降了20％；感染计算机病毒的比例为70.5％，比2008年降低了15％。 两项比例均为调查活动开展九年来最低。 2009年上半年各类病毒统计比例 2009年4月间十大病毒排名 “U盘寄生虫” “江湖”变种ei “赛门斯”变种 “U盘寄生虫”变种bdh “代理木马”变种bwp 2009年十大病毒排名 IE主页篡改器 KIDO cfg等盗号器 第三方浏览器锁 宝马下载器 2009年病毒特点 2009年，金山毒霸共截获新增病毒和木，与5年前新增病毒数量相比，增长了近400倍。在新增病毒中，木马仍然排列首位，占所有病毒总量的73.6%。黑客后门和风险程序紧随其后，这三类病毒构成了黑色产业链的重要部分。 9.1.2 计算机病毒的特征 破坏性 病毒侵入后，轻者降低计算机性能和占用系统资源，重者破坏数据，导致系统崩溃。有些病毒为良性病毒；有些则为恶性病毒，它有明确的破坏目的，如破坏数据，删除文件、格式化磁盘等； 计算机病毒的特征 隐蔽性 病毒程序一般都设计得非常小巧，当它附带在文件中，隐藏在磁盘上或在传播过程中时，不易被人觉察； 计算机病毒的特征 计算机病毒的特征 计算机病毒的特征 计算机病毒的特征 9.1.3 计算机病毒的产生原因 操作系统漏洞统计 操作系统漏洞增长趋势 计算机病毒的产生原因 社会因素是产生计算机病毒的土壤。利用计算机病毒进行破坏时具有瞬时性、动态性和随机性，不易取证，风险小而破坏大，从而导致追求个人利益的犯罪意识和犯罪活动，也是某些人的好奇心、恶作剧、本能和报复心态在计算机应用领域的表现。 计算机病毒的产生原因 另一方面计算机病毒也成为个人、甚至有组织的机构出于政治、军事、经济等领域上破坏对方计算机安全的首选工具，成为信息战的一部分。 9.1.4 计算机病毒的传播途径 计算机病毒的传播途径 网络途径 网络途径 FTP文件下载：FTP的含义是文件传输协议。通过这一协议可以将文件放置到世界上任何一台计算机上这一过程为上载，或者从这些计算机中将文件复制到本地的计算机中，这一过程就称为下载。 网络途径 新闻组：通过这一服务，可以与任何人讨论某个话题，或选择接收感兴趣的有关新闻邮件。这些信息当中包含的附件就有可能使计算机感染上计算机病毒。 9.1.5 计算机病毒的分类 按破坏程度强弱分类：良性病毒和恶性病毒； 按传染方式分类：文件型病毒、引导型病毒和混合型病毒； 按连接方式分类：源码型病毒、嵌入型病毒、操作系统型病毒和外壳型病毒。 按破坏程度－良性病毒 只是为了表现自身，并不彻底破坏系统和数据，但会占用大量CPU时间，增加系统开销，降低系统工作效率的一类计算机病毒。该类病毒多为恶作剧者的产物，他们的目的不是为了破坏系统和数据，而是为了让使用染有病毒的计算机用户通过显示器看到或体会到病毒设计者的编程技术。 按破坏程度－恶性病毒 一旦发作，会破坏系统或数据，造成计算机系统瘫痪的一类病毒。该病毒危害极大，有些病毒发作后可能给用户造成不可挽回的损失。它们表现为封锁、干扰、中断输入输出，删除数据、破坏系统，用户无法正常使用，甚至使计算机系统瘫痪。 按传染方式分类 文件型病毒 主要是以感染COM、EXE、OVL等可执行文件为主，被感染的可执行文件在执行的同时，病毒被加载并向其他正常可执行文件传染。病毒以这些可执行文件为载体，当运行可执行文件时就可以激活病毒。文件型病毒大多数也是常驻内存的。 宏病毒 蠕虫病毒 不采用自身拷贝附加到其他程序的方式复制自己，即蠕虫病毒不需要将自身附着到宿主程序上。蠕虫病毒主要通过网络传播，有极强的自我复制能力、传播性和破坏性。同时蠕虫病毒一般使用脚本语言编写，相对简单容易，也使得更多的人参与病毒的制造，是目前威胁最大的病毒。 特洛伊木马型病毒 混合型病毒 兼有上述计算机病毒特点的病毒统称为混合型病毒，它的破坏性更大，传染的机会也更多，杀毒也更加困难。 网页病毒 一般使用脚本语言将有害代码直接写在网页上，当浏览网页时会立即破坏本地计算机系统，轻者修改或锁定主页，重者格式化硬盘。 网页病毒危害 默认主页被修改； 默认首页被修改； 默认的微软主页被修改； 主页设置被屏蔽锁定，且设置选项无效不可改回； 默认的IE搜索引擎被修改； IE标题栏被添加非法信息 OE标题栏被添加非法信息； 网页病毒危害 鼠标右键