【正文】 2） 系統(tǒng)文件丟失或被破壞 （ 3） 文件目錄發(fā)生混亂 （ 4） 部分文檔丟失或被破壞 （ 5） 部分文檔自動加密碼 （ 6） 修改 ，導(dǎo)致計算機重新啟動時格式化硬盤 （ 7） 使部分可軟件升級主板的 BIOS程序混亂，主板被破壞 （ 8） 網(wǎng)絡(luò)癱瘓，無法提供正常的服務(wù) 19 傳統(tǒng)的計算機病毒 計算機病毒的基本機制 ? 分為三大模塊：傳染機制、破壞機制、觸發(fā)機制。 6. 不可預(yù)見性 12 計算機病毒特征 ? 網(wǎng)絡(luò)病毒又增加很多新的特點 ? 主動通過網(wǎng)絡(luò)和郵件系統(tǒng)傳播 ? 計算機的病毒種類呈爆炸式增長 ? 變種多，容易編寫，并且很容易被修改，生成很多病毒變種 ? 融合多種網(wǎng)絡(luò)技術(shù)，并被黑客所使用 13 ? 計算機病毒的組成結(jié)構(gòu) ? 計算機病毒的種類很多，但通過分析現(xiàn)有的計算機病毒，發(fā)現(xiàn)幾乎所有的計算機病毒都是由3 個部分組成即 : ? 引導(dǎo)模塊 ? 傳播模塊 ? 表現(xiàn)模塊 14 ? 病毒傳播可分為兩種方式： （ 1） 用戶在進行復(fù)制磁盤或文件時，把病毒由一個載體復(fù)制到另一個載體上，或者通過網(wǎng)絡(luò)把一個病毒程序從一方傳遞到另一方，這種傳播方式叫做 計算機病毒的被動傳播 ； （ 2） 計算機病毒以計算機系統(tǒng)的運行以及病毒程序處于激活狀態(tài)為先決條件，在病毒處于激活狀態(tài)下，只要傳播條件滿足，病毒程序能主動把病毒自身傳播給另一個載體或另一個系統(tǒng)，這種傳播方式叫做 計算機病毒的主動傳播 。 11 計算機病毒特征 ? 根據(jù)對計算機病毒的產(chǎn)生、傳播和破壞行為的分析，可以將計算機病毒概括為以下 6 個主要特點。 （ 1）病毒前綴 （ 2）病毒名 （ 3）病毒后綴 7 計算機病毒的分類（ 1） 1. 以病毒攻擊的操作系統(tǒng)分類 （ 1） 攻擊 DOS 系統(tǒng)的病毒 （ 2） 攻擊 Windows 系統(tǒng)的病毒 ? 用戶使用多，主要的攻擊對象 （ 3） 攻擊 UNIX 系統(tǒng)的病毒 （ 4） 攻擊 OS/2 系統(tǒng)的病毒 （ 5） 攻擊 NetWare 系統(tǒng)的病毒 2．以病毒的攻擊機型分類 （ 1） 攻擊微型計算機的病毒 （ 2） 攻擊小型機的計算機病毒 （ 3） 攻擊服務(wù)器的計算機病毒 8 計算機病毒的分類（ 2） 3．按照計算機病毒的鏈接方式分類 （ 1） 源碼型病毒 （ 2） 嵌入型病毒 ? 將計算機病毒的主體程序與其攻擊對象以插入方式進行鏈接，一旦進入程序中就難以清除。 ? 基于 Windows運行環(huán)境的病毒，隨著微軟 Office軟件的普及，出現(xiàn)了宏病毒，各種腳本病毒也日益增多著名病毒如 CIH病毒等 （ 5）主動攻擊型病毒階段（第五階段） ? 典型代表：沖擊波、震蕩波病毒和木馬等。 （ 2）混合型病毒階段（第二階段） ? 19891991，隨著計算機局域網(wǎng)的應(yīng)用與普及，給計算機病毒帶來了第一次流行高峰。 4 ? 計算機病毒的 計算機病毒伴隨計算機、網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展而日趨復(fù)雜多變，其破壞性和傳播能力也不斷增強。計算機病毒發(fā)展主要經(jīng)歷了五個重要的階段。主要特點：攻擊目標(biāo)趨于綜合，以更隱蔽的方法駐留在內(nèi)在和傳染目標(biāo)中，系統(tǒng)感染病毒后沒有明顯的特征，病毒程序具有自我保護功能，出現(xiàn)眾多病毒的變種 （ 3）多態(tài)性病毒階段（第三階段） ? 在每次傳染目標(biāo)時，放入宿主程序中的病毒程序大部分是可變的。 5 ? 計算機病毒的產(chǎn)生原因 ? 計算機病毒的產(chǎn)生原因主要有 4個方面： 1） 惡作劇型 2） 報復(fù)心理型 3） 版權(quán)保護型 4） 特殊目的型 6 ? 病毒的命名并無統(tǒng)一的規(guī)定，基本都是采用前后綴法來進行命名。 （ 3） 外殼型病毒 ? 將自身包圍在合法的主程序的周圍，對原來的程序并不作任何修改。 ? 指病毒具有把自身復(fù)制到其它程序中的特性 2. 取得系統(tǒng)控制權(quán) 3. 隱蔽性 ? 隱蔽性 。 15 ? 計算機病毒的傳播途徑： （ 1） 通過不可移動的計算機硬件設(shè)備進行傳播，即利用專用 ASIC 芯片和硬盤進行傳播； （ 2） 通過移動存儲設(shè)備來傳播，其中 U盤和移動硬盤是使用最廣泛、移動最頻繁的存儲介質(zhì)； （ 3） 通過計算機網(wǎng)絡(luò)進行傳播； （ 4） 通過點對點通信系統(tǒng)和無線通道傳播。 ? 計算機病毒的傳染機制 ? 指計算機病毒由一個宿主傳播到另一個宿主程序，由一個系統(tǒng)進入另一個系統(tǒng)的過程。 20 病毒分析 ? Windows環(huán)境下 ， 主要病毒有 文件型病毒 、引導(dǎo)性病毒和宏病毒 等 ? 文件型病毒 ? 文件型病毒主要感染可執(zhí)行文件， Windows環(huán)境下主要為 .EXE文件，為 PE格式文件 ? PE是 Win32環(huán)境自身所帶的執(zhí)行體文件格式。用戶很方便就可以看到這種宏病毒的全部面目。 ? 對關(guān)鍵文件，如系統(tǒng)文件、重要數(shù)據(jù)等，在無毒環(huán)境下備份。 ? 病毒源碼容易被獲取、變種多 ? 其源代碼可讀性非常強 29 腳本病毒概述 ? 感染力強。 ? 傳播范圍廣 ? 這類病毒通過 HTML文檔， Email附件或其它方式，可以在很短時間內(nèi)傳遍世界各地。 ? 通過網(wǎng)頁傳播的病毒需要 ActiveX的支持 ? 通過 Email傳播的病毒需要郵件軟件的自動發(fā)送功能支持。方法是： ? 打開 IE，點擊“工具” → “ Inter選項” → “安全” → “自定義級別”，在“安全設(shè)置”對話框中，將其中所有的 ActiveX插件和控件以及與 Java相關(guān)的組件全部禁止即可。 34 網(wǎng)絡(luò)蠕蟲概述 ? 網(wǎng)絡(luò)蠕蟲是一種智能化、自動化并綜合網(wǎng)絡(luò)攻擊、密碼學(xué)和計算機病毒技術(shù)，不要計算機使用者干預(yù)即可運行的攻擊程序或代碼。 ? 造成網(wǎng)絡(luò)擁塞 ? 在傳播的過程中，蠕蟲需要判斷其它計算機是否存活；判斷特定應(yīng)用服務(wù)是否存在；判斷漏洞是否存在等等，這將產(chǎn)生大量的網(wǎng)絡(luò)數(shù)據(jù)流量。 ? 行蹤隱蔽 ? 蠕蟲的傳播過程中，不需要用戶的輔助工作，其傳播的過程中用戶基本上不可察覺。如果目標(biāo)主機上有可以利用的漏洞則確定為一個可以攻擊的主機，否則放棄攻擊。 ? 隨機掃描 ? 隨機選取某一段 IP地址，然后對這一地址段上的主機掃描。 ? 選擇掃描 ? 選擇性隨機掃描將最有可能存在漏洞主機的地址集作為掃描的地址空間。 40 網(wǎng)絡(luò)蠕蟲掃描策略 (22) ? 順序掃描 ? 順序掃描是被感染主機上蠕蟲會隨機選擇一個 C類網(wǎng)絡(luò)地址進行傳播，根據(jù)本地優(yōu)先原則，網(wǎng)絡(luò)地址段順序遞增。 43 網(wǎng)絡(luò)蠕蟲防御和