病毒防范技术
2004年:“窃取账号病毒”、 网银大盗、证券大盗
2005~2008年:木马流行 如今,计算机病毒变得更加活跃,木马、蠕
虫、后门等层出不穷,甚至出现流氓软件。
第2章 病毒防范技术
5
• 主动性:病毒程序的目的就是侵害他人计算机系统或者网络系 统,在计算机运行程序的过程中,病毒始终以功能过程的主体 出现,而形式则可能是直接或间接的。
• 值得注意的是,可能有些木马会不允许执行.Exe 文件,这时就要先将regedit.exe改成系统能够运行 的形式,如改成。
• 破坏性:任何病毒只要侵入系统,都会对系统及应用程序产生 不同程度的影响。
第2章 病毒防范技术
6
1、依据病毒寄生的媒介分类 分为网络病毒、文件病毒和引导型病毒。
2、依据其破坏性分类 良性病毒和恶性病毒。
3、按其传染途径 驻留内存型病毒和非驻留内存型病毒。
4、按其不同算法分类 伴随型病毒、“蠕虫”型病毒、寄生型病毒、
能够避开计算机的安全控制,使远程计 潜伏 算机能够连接本地计算机的程序
逻辑炸弹
能够嵌入计算机程序、通过一定条件触 发破坏计算机的程序
潜伏、破坏
第2章 病毒防范技术
9
• 木马背景介绍
“木马”一词来自于“特洛伊木马”,英 文名称为“Trojan horse”。据说该名称来 源于古希腊传说
第2章 病毒防范技术
使用Windows本身自带的netstat命令。 使用Windows下的命令行工具fporto 使用图形化界面工具Active PortSo
第2章 病毒防范技术
14
2)查看和恢复Win.ini和System.ini系统配
置文件
查看Win.ini和System.ini文件是否有被修改的 地方。例如,有的木马通过修改Win.ini文件中 Windows节下的“load=file.exe,run=file.exe"语句进 行自动加载,还可能修改System.ini中的boot节,实 现木马加载。
• 80年代:真正的“计算机病毒”出现在1981年。该 病毒通过磁盘进行感染,但结果只是关掉显示器或 让显示的文本闪烁或显示一大堆无意义的信息。
第2章 病毒防范技术
4
❖计算机病毒的发展
20世纪90年代至21世纪初:几乎年年都会出现新的病 毒品种,其影响的范围越来越广,对计算机的硬件和 软件的破坏性也越来越严重。
第2章 病毒防范技术
13
1)查看开放端口
当前最为常见的木马通常是基于TCP/UDP协议进行客户端 与服务器端之间通信的,因此我们可以遁过查看在本机上开 放的端口,看是否有可疑的程序打开了某个可疑的端口。
假如查看到有可疑的程序在利用可疑端口进行连接,则 很有可能就是感染了木马。查看端口的方法通常有以下码
定义
特点
类型
在计算机程序中插入的破坏计算机功能 传 染 性 、 破
病毒 或数据,影响计算机使用,并能够自我复 坏性、潜伏性
制的计算机程序代码
蠕虫
能够通过计算机网络进行自我复制,消 扫描、攻击、
耗计算机资源和网络资源的程序
传播
木马 后门
能够与远程计算机建立连接,使远程计 欺骗、隐藏、 算机能够通过网络远程控制本地计算机的 窃取信息 程序
网络空间信息安全
第2章 病毒防范技术
本章主要内容
• 2.1 计算机病毒及病毒防范技术概述 • 2.2 恶意代码 • 2.3 典型计算机病毒的检测与清除 • 2.4 病毒现象与其他故障的判别
第2章 病毒防范技术
2
2.1 计算机病毒及病毒防范技术
• 病毒的起源
• 1、科幻起源说 • 2、恶作剧起源说 • 3、游戏程序起源说 • 4、软件商保护软件起源说
16
4)查看系统进程并停止可疑的系统进程
在对木马进行清除时,首先要停止木马程序的 系统进程。例如,Hack.Rbot病毒除了将自册表,以 便病毒可随时自启动。看到有木马程序在运行时, 需要马上停止系统进程,并进行下一步操作,修改 注册表和清除木马文件。
第2章 病毒防范技术
17
5)查看和还原注册表 • 木马一旦被加载,一般都会对注册表进行修改。
• 传染性:基本特征,病毒的设计者总是希望病毒能够在较大的 范围内实现蔓延和传播。
• 隐蔽性:计算机病毒都是一些可以直接或间接运行的具有较高 技巧的程序,它们可以隐藏在操作系统中,也可以隐藏在可执 行文件或数据文件中,目的是不让用户发现它的存在
• 表现性:病毒一旦被启动,就会立刻开始进行破坏活动。为了 能够在合适的时机开始工作,必须预先设置触发条件并且首先 将其设置为不触发状态。
第2章 病毒防范技术
15
3)查看启动程序并删除可疑的启动程序
如果木马自动加载的文件是直接通过在Windows 菜单中自定义添加的,一般都会放在主菜单的“开 始”→ “程序”→“启动”处,在Windows资源管 理器里的位置是
“C:\Windows\startmenu\programs\启动”处。
第2章 病毒防范技术
10
木马是一种可以驻留在对方服务器系统
中的一种程序。木马程序一般由服务器端程 序客户端程序两部分构成。
第2章 病毒防范技术
11
• 隐蔽性特点 • 非授权性特点
第2章 病毒防范技术
12
1)远程控制型 2)密码发送型 3)键盘记录型 4)DoS攻击型 5)代理木马 6)FTP木马 7)程序杀手木马 8)反弹端口型木马 9)破坏性质的木马
第2章 病毒防范技术
3
计算机病毒的发展
• 50年代:美国电报电话公司贝尔实验室的一些科学 家开始用一种称为“核心大战(Core War)”的计 算机代码游戏进行实验。——计算机病毒的雏形。
• 60年代:有人开发了一种称为“生存( Living)”的软 件,该软件可进行自我复制。——被认为是玩笑。
• 70年代:计算机黑客们对这类程序的研究有了很大 的进展,但仍未有真正的病毒攻击。
练习型病毒等
5、按传染对象不同分类 引导区型病毒、文件型病毒、混合型病毒、宏病毒
第2章 病毒防范技术
7
2.2 恶意代码
恶意代码(Malicious Codes)是一种用来实现某些 恶意功能的代码或程序。
通常,这些代码在不被用户察觉的情况下寄宿
到另一段程序中,从而达到破坏被感染计算机数据、 运行具有入侵性或破坏性的程序、破坏被感染的系 统数据的安全性和完整性的目的。
