PAGEPAGE2課程教案(參考模板)教學(xué)層次：?本科□高職□技工□其他課程代碼：課程名稱(chēng)：惡意代碼開(kāi)課部門(mén)：智能制造學(xué)院授課教師：職稱(chēng)/學(xué)位：開(kāi)課時(shí)間：二○至二○學(xué)年第1學(xué)期教務(wù)處制年月課程基本信息課程代碼課程名稱(chēng)惡意代碼開(kāi)課部門(mén)智能制造學(xué)院授課班級(jí)/人數(shù)課程學(xué)分3考核方式及比例考試課堂表現(xiàn)×10%﹢課后作業(yè)×20%+自主學(xué)習(xí)×10%﹢期末成績(jī)×60%開(kāi)設(shè)情況?新開(kāi)課程□已有課程課程類(lèi)型□理論課程□實(shí)訓(xùn)課程?理實(shí)一體化課程課程類(lèi)別本科專(zhuān)業(yè)基礎(chǔ)課高職/技工□職業(yè)基礎(chǔ)課程□職業(yè)能力課程□職業(yè)拓展課程□職業(yè)技能實(shí)訓(xùn)課程□其他課程課程總學(xué)時(shí)48理論學(xué)時(shí)32實(shí)踐教學(xué)場(chǎng)地F2-102B實(shí)驗(yàn)學(xué)時(shí)16授課教師張新江職稱(chēng)副教授學(xué)歷/學(xué)位本科/碩士是否新教師□是?否來(lái)源?本校□外聘所在部門(mén)智能制造學(xué)院教輔人員職稱(chēng)學(xué)歷/學(xué)位是否新教師□是□否來(lái)源□本?！跬馄杆诓块T(mén)學(xué)生年齡特征和學(xué)習(xí)特點(diǎn)授課學(xué)生為大三學(xué)生，具有一定的獨(dú)立分析能力，知識(shí)結(jié)構(gòu)穩(wěn)定。教材類(lèi)型□統(tǒng)編教材□非統(tǒng)編教材□自編教材或講義□其他：使用教材名稱(chēng)作者出版社出版時(shí)間計(jì)算機(jī)病毒與惡意代碼原理、技術(shù)及防范》劉功申清華大學(xué)出版社2021.1教學(xué)參考用書(shū)惡意代碼調(diào)查技術(shù)于曉聰清華大學(xué)出版社2020.12

第1次課程教學(xué)方案?jìng)湔n時(shí)間年8月20日——年8月25日備課教師張新江教學(xué)時(shí)間年9月1日教學(xué)地點(diǎn)F2-102B周次1課時(shí)數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元第1章惡意代碼概述教學(xué)目標(biāo)和要求明確惡意代碼的基本概念了解惡意代碼的發(fā)展歷史熟悉惡意代碼的分類(lèi)熟悉惡意代碼的命名規(guī)則了解惡意代碼的未來(lái)發(fā)展趨勢(shì)教學(xué)重點(diǎn)1.惡意代碼的基本概念2.惡意代碼的發(fā)展歷史3.惡意代碼的分類(lèi)教學(xué)難點(diǎn)1.惡意代碼的命名規(guī)則2.惡意代碼的未來(lái)發(fā)展趨勢(shì)教學(xué)方法討論、自主學(xué)習(xí)、教師講授使用媒體資源?紙質(zhì)材料?多媒體課件?網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等虛擬機(jī)作業(yè)練習(xí)課后習(xí)題課后記（空白不夠可添加附頁(yè)）

教學(xué)內(nèi)容（板書(shū)）教學(xué)步驟、方法及學(xué)生活動(dòng)時(shí)間一、為什么提出惡意代碼的概念？計(jì)算機(jī)病毒的官方定義不能涵蓋新型惡意代碼《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》《計(jì)算機(jī)病毒防治管理辦法》傳統(tǒng)計(jì)算機(jī)病毒定義：是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。傳統(tǒng)計(jì)算機(jī)病毒定義的不足之處傳統(tǒng)定義強(qiáng)調(diào)：把破壞代碼插入正常程序中，而忽略把代碼直接復(fù)制到硬盤(pán)上的獨(dú)立惡意程序（例如，木馬），忽略惡意程序主動(dòng)侵入設(shè)備（例如，蠕蟲(chóng)）等。傳統(tǒng)定義沒(méi)有排除：具有惡意行為，但不是有意為之的行為，例如，不小心形成的惡意行為。這些不足帶來(lái)的法律問(wèn)題使用這個(gè)定義可能逃脫應(yīng)有的懲罰二、惡意代碼定義惡意代碼：在未被授權(quán)的情況下，以破壞軟硬件設(shè)備、竊取用戶(hù)信息、擾亂用戶(hù)心理、干擾用戶(hù)正常使用為目的而編制的軟件或代碼片段。這個(gè)定義涵蓋的范圍非常廣泛，它包含了所有敵意、插入、干擾、討厭的程序和源代碼。一個(gè)軟件被看作是惡意代碼主要是依據(jù)創(chuàng)作者的意圖，而不是惡意代碼本身的特征。惡意代碼的特征1.目的性目的性是惡意代碼的基本特征，是判別一個(gè)程序或代碼片段是否為惡意代碼的最重要的特征，也是法律上判斷惡意代碼的標(biāo)準(zhǔn)。2.傳播性傳播性是惡意代碼體現(xiàn)其生命力的重要手段。3.破壞性破壞性是惡意代碼的表現(xiàn)手段。惡意代碼產(chǎn)生的動(dòng)機(jī)(原因)：計(jì)算機(jī)系統(tǒng)的脆弱性(IBM病毒防護(hù)計(jì)劃)作為一種文化（hacker）病毒編制技術(shù)學(xué)習(xí)惡作劇\報(bào)復(fù)心理用于版權(quán)保護(hù)（xx公司）用于特殊目的（軍事、某些計(jì)算機(jī)防病毒公司）賺錢(qián)、賺錢(qián)、賺錢(qián)……三、惡意代碼簡(jiǎn)史在第一部商用電腦出現(xiàn)之前，馮·諾伊曼在他的論文《復(fù)雜自動(dòng)裝置的理論及組識(shí)的進(jìn)行》里，就已經(jīng)勾勒出了病毒程序的藍(lán)圖。70年代美國(guó)作家雷恩出版的《P1的青春－TheAdolescenceofP1》一書(shū)中作者構(gòu)思出了計(jì)算機(jī)病毒的概念。美國(guó)電話電報(bào)公司(AT&T)的貝爾實(shí)驗(yàn)室中，三個(gè)年輕程序員道格拉斯.麥耀萊、維特.維索斯基和羅伯.莫里斯在工作之余想出一種電子游戲叫做“磁芯大戰(zhàn)(corewar)”。1、萌芽階段博士論文的主題是計(jì)算機(jī)病毒1983年11月3日，F(xiàn)redCohen博士研制出第一個(gè)計(jì)算機(jī)病毒（Unix）。2、第一個(gè)真病毒3、Dos時(shí)代的病毒1986年初，巴基斯坦的拉合爾，巴錫特和阿姆杰德兩兄弟編寫(xiě)了Pakistan病毒，即Brain，其目的是為了防范盜版軟件。Dos–PC–引導(dǎo)區(qū)1987年世界各地的計(jì)算機(jī)用戶(hù)幾乎同時(shí)發(fā)現(xiàn)了形形色色的計(jì)算機(jī)病毒，如大麻、IBM圣誕樹(shù)、黑色星期五等等。視窗病毒1988年3月2日，一種蘋(píng)果機(jī)的病毒發(fā)作，這天受感染的蘋(píng)果機(jī)停止工作，只顯示“向所有蘋(píng)果電腦的使用者宣布和平的信息”。以慶祝蘋(píng)果機(jī)生日。肇事者-RobertT.Morris,美國(guó)康奈爾大學(xué)學(xué)生，其父是美國(guó)國(guó)家安全局安全專(zhuān)家。機(jī)理-利用sendmail,finger等服務(wù)的漏洞，消耗CPU資源，并導(dǎo)致拒絕服務(wù)。影響-Internet上大約6000臺(tái)計(jì)算機(jī)感染，占當(dāng)時(shí)Internet聯(lián)網(wǎng)主機(jī)總數(shù)的10%，造成9600萬(wàn)美元的損失。CERT/CC的誕生-DARPA成立CERT（ComputerEmergencyResponseTeam），以應(yīng)付類(lèi)似事件。莫里斯蠕蟲(chóng)（MorrisWorm）1988年1989年，全世界計(jì)算機(jī)病毒攻擊十分猖獗，其中“米開(kāi)朗基羅”病毒給許多計(jì)算機(jī)用戶(hù)（包括中國(guó)）造成了極大損失。全球流行DOS病毒4、用于軍事的惡意代碼在沙漠風(fēng)暴行動(dòng)的前幾周，一塊被植入病毒（AF/91（1991））的計(jì)算機(jī)芯片被安裝進(jìn)了伊拉克空軍防衛(wèi)系統(tǒng)中的一臺(tái)點(diǎn)陣打印機(jī)中。該打印機(jī)在法國(guó)組裝，取道約旦、阿曼運(yùn)到了伊拉克。病毒癱瘓了伊拉克空軍防衛(wèi)系統(tǒng)中的一些Windows系統(tǒng)主機(jī)以及大型計(jì)算機(jī)，據(jù)說(shuō)非常成功。5、傻瓜式惡意代碼——宏病毒1996年，出現(xiàn)針對(duì)微軟公司Office的“宏病毒”。1997年公認(rèn)為計(jì)算機(jī)反病毒界的“宏病毒年”。特點(diǎn)：書(shū)寫(xiě)簡(jiǎn)單，甚至有很多自動(dòng)制作工具6、燒毀硬件的惡意代碼CIH（1998-1999）1998年，首例破壞計(jì)算機(jī)硬件的CIH病毒出現(xiàn)，引起人們的恐慌。1999年4月26日，CIH病毒在我國(guó)大規(guī)模爆發(fā)，造成巨大損失。7、網(wǎng)絡(luò)惡意代碼時(shí)代：蠕蟲(chóng)1999年3月26日，出現(xiàn)一種通過(guò)因特網(wǎng)進(jìn)行傳播的美麗莎病毒。2001年7月中旬，一種名為“紅色代碼”的病毒在美國(guó)大面積蔓延，這個(gè)專(zhuān)門(mén)攻擊服務(wù)器的病毒攻擊了白宮網(wǎng)站，造成了全世界恐慌。2003年，“2003蠕蟲(chóng)王”病毒在亞洲、美洲、澳大利亞等地迅速傳播，造成了全球性的網(wǎng)絡(luò)災(zāi)害。記憶猶新的3年（2003-2005）2004年是蠕蟲(chóng)泛濫的一年，大流行病毒：網(wǎng)絡(luò)天空(Worm.Netsky)高波(Worm.Agobot)愛(ài)情后門(mén)(Worm.Lovgate)震蕩波(Worm.Sasser)SCO炸彈(Worm.Novarg)沖擊波(Worm.Blaster)惡鷹(Worm.Bbeagle)小郵差(Worm.Mimail)求職信(Worm.Klez)大無(wú)極(Worm.SoBig)2005年是木馬流行的一年，新木馬包括：8月9日，“閃盤(pán)竊密者（Trojan.UdiskThief）”病毒。該木馬病毒會(huì)判定電腦上移動(dòng)設(shè)備的類(lèi)型，自動(dòng)把U盤(pán)里所有的資料都復(fù)制到電腦C盤(pán)的“test”文件夾下，這樣可能造成某些公用電腦用戶(hù)的資料丟失。11月25日，“證券大盜”（Ｔｒｏｊａｎ／ＰＳＷ．Ｓｏｕｆａｎ）。該木馬病毒可盜取包括南方證券、國(guó)泰君安在內(nèi)多家證券交易系統(tǒng)的交易賬戶(hù)和密碼，被盜號(hào)的股民賬戶(hù)存在被人惡意操縱的可能。7月29日，“外掛陷阱”（troj.Lineage.hp）。此病毒可以盜取多個(gè)網(wǎng)絡(luò)游戲的用戶(hù)信息，如果用戶(hù)通過(guò)登陸某個(gè)網(wǎng)站，下載安裝所需外掛后，便會(huì)發(fā)現(xiàn)外掛實(shí)際上是經(jīng)過(guò)偽裝的病毒，這個(gè)時(shí)候病毒便會(huì)自動(dòng)安裝到用戶(hù)電腦中。9月28日，"我的照片"(Trojan.PSW.MyPhoto)病毒。該病毒試圖竊取《熱血江湖》、《傳奇》、《天堂Ⅱ》、《工商銀行》、《中國(guó)農(nóng)業(yè)銀行》等數(shù)十種網(wǎng)絡(luò)游戲及網(wǎng)絡(luò)銀行的賬號(hào)和密碼。該病毒發(fā)作時(shí)，會(huì)顯示一張照片使用戶(hù)對(duì)其放松警惕。8、木馬時(shí)代2006年木馬仍然是病毒主流，變種層出不窮2006年上半年，江民反病毒中心共截獲新病毒33358種，另?yè)?jù)江民病毒預(yù)警中心監(jiān)測(cè)的數(shù)據(jù)顯示，1至6月全國(guó)共有7322453臺(tái)計(jì)算機(jī)感染了病毒，其中感染木馬病毒電腦2384868臺(tái)，占病毒感染電腦總數(shù)的32.56%，感染廣告軟件電腦1253918臺(tái)，占病毒感染電腦總數(shù)的17.12%，感染后門(mén)程序電腦

664589臺(tái)，占病毒感染電腦總數(shù)的9.03%，蠕蟲(chóng)病毒216228臺(tái)，占病毒感染電腦總數(shù)的2.95%，監(jiān)測(cè)發(fā)現(xiàn)漏洞攻擊代碼感染181769臺(tái)，占病毒感染電腦總數(shù)的2.48%，腳本病毒感染15152臺(tái)，占病毒感染電腦總數(shù)的2.06%。最前沿病毒2007年：流氓軟件——反流氓軟件技術(shù)對(duì)抗的階段。Cnnic3721–yahoo熊貓燒香2008年：木馬ARPPhishing（網(wǎng)絡(luò)釣魚(yú)）2009年惡意代碼產(chǎn)業(yè)化木馬是主流其他：瀏覽器劫持、下載捆綁、釣魚(yú)2010年新增惡意代碼750萬(wàn)（瑞星）；流行惡意代碼：快捷方式真假難分、木馬依舊猖獗，但更注重經(jīng)濟(jì)利益和特殊應(yīng)用。2011年隨著SNS等新型社交網(wǎng)絡(luò)的迅速崛起，惡意代碼制造者又有了新的病毒載體平臺(tái)。例如，新浪微波的移動(dòng)互聯(lián)網(wǎng)平臺(tái)惡意代碼。例如，手機(jī)病毒。2012年中國(guó)計(jì)算機(jī)病毒統(tǒng)計(jì)根據(jù)金山毒霸安全中心統(tǒng)計(jì)2012年共捕獲病毒樣本總量超過(guò)4200萬(wàn)個(gè)，比上一年增長(zhǎng)41.4%，月捕獲病毒樣本數(shù)在300萬(wàn)至450萬(wàn)個(gè)之間，日均超過(guò)11萬(wàn)個(gè)。鬼影病毒、AV終結(jié)者末日版、網(wǎng)購(gòu)木馬、456游戲木馬、連環(huán)木馬(后門(mén))、QQ粘蟲(chóng)木馬、新淘寶客病毒、瀏覽器劫持病毒、傳奇私-Fu劫持者、QQ群蠕蟲(chóng)病毒等病毒類(lèi)型對(duì)用戶(hù)危害最大。來(lái)源：/analysis/kaspersky-security-bulletin/58335/mobile-malware-evolution-2013/9、手機(jī)惡意代碼登場(chǎng)2015年移動(dòng)惡意代碼行為（Kaspasky）2015年,卡巴斯基實(shí)驗(yàn)室檢測(cè)到的內(nèi)容如下:?2,961,727個(gè)惡意安裝包?884,774個(gè)新的惡意移動(dòng)項(xiàng)目——數(shù)量較前一年增長(zhǎng)了三倍.?7,030個(gè)移動(dòng)銀行木馬ThenumberofattacksblockedbyKasperskyLabsolutions,2015ThenumberofusersprotectedbyKasperskyLabsolutions,2015Thegeographyofmobilethreatsbynumberofattackedusers,2015Distributionofnewmobilemalwarebytypein2014and20151.ConfickerConficker是一種針對(duì)微軟的Windows操作系統(tǒng)的計(jì)算機(jī)蠕蟲(chóng)病毒，最早的版本出現(xiàn)在2008年秋季。2.Sality通過(guò)僵尸網(wǎng)絡(luò)控制3.LockyLocky是勒索軟件家族新成員，出現(xiàn)于2016年年初，通過(guò)RSA-2048和AES-128算法對(duì)100多種文件類(lèi)型進(jìn)行加密。Locky通過(guò)漏洞工具包或包含JS、WSF、HTA或LNK文件的電子郵件傳播。4.Cutwail一款僵尸網(wǎng)絡(luò)，用于DDoS攻擊并發(fā)送垃圾郵件。5.ZeusZeus是幾年前出現(xiàn)的一款銀行木馬。6.Chanitor被稱(chēng)為Hancitor或H1N1,使用垃圾郵件來(lái)傳播木馬。7.Tinba–木馬8.CryptowallCryptowall是CryptoLocker勒索軟件的變種。9.Blackhole-一種惡意程序工具包，10.Nivdort-模塊化木馬。2018十大惡意軟件APT武器：持續(xù)升級(jí)的APT28工具系列白俄羅斯工控系統(tǒng)：繼Stuxnet之后最大威脅的Industroyer能夠直接控制變電中的電路開(kāi)關(guān)和繼電器物聯(lián)網(wǎng)：持續(xù)“擴(kuò)張”的Mirai家族2017年與Mirai相關(guān)的知名惡意軟件包括：Rowdy、IoTroops、Satori等。這些惡意軟件以mirai的源代碼為本體，經(jīng)過(guò)不斷的變異改進(jìn)，已經(jīng)從傳統(tǒng)的Linux平臺(tái)演變到了Windows平臺(tái)，利用的端口也在不斷變化，從傳統(tǒng)的弱口令攻擊轉(zhuǎn)變到了弱口令和漏洞利用的綜合攻擊方式，同時(shí)感染設(shè)備范圍由網(wǎng)絡(luò)攝像機(jī)、家庭路由，正向有線電視機(jī)頂盒等領(lǐng)域“擴(kuò)張”。銀行/金融：在線銷(xiāo)售的CutletMakerCutletMaker的軟件于2017年5月開(kāi)始在AlphaBay暗網(wǎng)市場(chǎng)上銷(xiāo)售，因?yàn)槊绹?guó)有關(guān)機(jī)構(gòu)在7月中旬關(guān)閉了AlphaBay，軟件經(jīng)營(yíng)方現(xiàn)新建了一個(gè)獨(dú)立網(wǎng)站專(zhuān)門(mén)銷(xiāo)售該軟件。犯罪勒索：占領(lǐng)半壁江山的WannaCry移動(dòng)終端：安卓終端排名第一的Rootnik劫持與廣告：造成史上最大規(guī)模感染的FireBallFireBall可以控制互聯(lián)網(wǎng)瀏覽器,監(jiān)視受害者的web使用,并可能竊取個(gè)人文件。FireBall與擁有3億客戶(hù)聲稱(chēng)提供數(shù)字營(yíng)銷(xiāo)和游戲應(yīng)用程序的中國(guó)公司Rafotech（卿燁科技/）相關(guān)。Windows&office：被濫用的NSA工具DoublePulsar惡意郵件：造成30億美元損失的尼日利亞釣魚(yú)無(wú)文件/腳本惡意軟件：被用于挖礦的NSA漏洞利用工具Zealot利用NSA漏洞大量入侵Linux和Windows服務(wù)器同時(shí)植入惡意軟件“Zealot”來(lái)挖掘Monero加密貨幣的攻擊2019年的新趨勢(shì)?勒索軟件的規(guī)模正在增長(zhǎng)。?基于物聯(lián)網(wǎng)平臺(tái)的僵尸網(wǎng)絡(luò)-〉DDOS攻擊總體趨勢(shì)總結(jié)網(wǎng)絡(luò)化發(fā)展專(zhuān)業(yè)化發(fā)展簡(jiǎn)單化發(fā)展多樣化發(fā)展自動(dòng)化發(fā)展犯罪化發(fā)展四、病毒人生（法律）1983年11月3日，弗雷德·科恩(FredCohen)博士研制出一種在運(yùn)行過(guò)程中可以復(fù)制自身的破壞性程序，倫·艾德勒曼(LenAdleman)將它命名為計(jì)算機(jī)病毒(computerviruses)，并在每周一次的計(jì)算機(jī)安全討論會(huì)上正式提出。1988年冬天，正在康乃爾大學(xué)攻讀的莫里斯，把一個(gè)被稱(chēng)為“蠕蟲(chóng)”的電腦病毒送進(jìn)了美國(guó)最大的電腦網(wǎng)絡(luò)——互聯(lián)網(wǎng)。1988年11月2日下午5點(diǎn)，互聯(lián)網(wǎng)的管理人員首次發(fā)現(xiàn)網(wǎng)絡(luò)有不明入侵者。當(dāng)晚，從美國(guó)東海岸到西海岸，互聯(lián)網(wǎng)用戶(hù)陷入一片恐慌。CIH病毒，又名“切爾諾貝利”，是一種可怕的電腦病毒。它是由臺(tái)灣大學(xué)生陳盈豪編制的，九八年五月間，陳盈豪還在大同工學(xué)院就讀時(shí)，完成以他的英文名字縮寫(xiě)“CIH”名的電腦病毒起初據(jù)稱(chēng)只是為了“想紀(jì)念一下1986的災(zāi)難”或“使反病毒軟件公司難堪”。年僅18歲的高中生杰弗里·李·帕森因?yàn)樯嫦邮恰皼_擊波”電腦病毒的制造者于2003年8月29日被捕。對(duì)此，他的鄰居們表示不敢相信。在他們的眼里，杰弗里·李·帕森是一個(gè)電腦天才，而決不是什么黑客，更不會(huì)去犯罪。李俊，大學(xué)本科畢業(yè)大于1000萬(wàn)用戶(hù)染毒損失數(shù)億元人民幣處罰：最高無(wú)期？五、惡意代碼的主要危害直接危害：1.病毒激發(fā)對(duì)計(jì)算機(jī)數(shù)據(jù)信息的直接破壞作用2.占用磁盤(pán)空間和對(duì)信息的破壞3.搶占系統(tǒng)資源4.影響計(jì)算機(jī)運(yùn)行速度5.計(jì)算機(jī)病毒錯(cuò)誤與不可預(yù)見(jiàn)的危害6.計(jì)算機(jī)病毒的兼容性對(duì)系統(tǒng)運(yùn)行的影響間接危害：1.計(jì)算機(jī)病毒給用戶(hù)造成嚴(yán)重的心理壓力2.造成業(yè)務(wù)上的損失3.法律上的問(wèn)題近幾年來(lái)的重大損失年份 攻擊行為發(fā)起者 受害PC數(shù)目 損失金額(美元) 2006 木馬和惡意軟件 —— —— 2005 木馬 —— —— 2004 Worm_Sasser(震蕩波) —— —— 2003 Worm_MSBLAST(沖擊波) 超過(guò)140萬(wàn)臺(tái) —— 2003 SQLSlammer 超過(guò)20萬(wàn)臺(tái) 9.5億至12億 2002 Klez 超過(guò)6百萬(wàn)臺(tái) 90億 2001 RedCode 超過(guò)1百萬(wàn)臺(tái) 26億 2001 NIMDA 超過(guò)8百萬(wàn)臺(tái) 60億 2000 LoveLetter —— 88億 1999 CIH 超過(guò)6千萬(wàn)臺(tái) 近100億 六、惡意代碼的分類(lèi)總體上分兩大類(lèi)第一大類(lèi)：傳統(tǒng)的計(jì)算機(jī)病毒感染操作系統(tǒng)引導(dǎo)程序感染可執(zhí)行文件（感染exe、com、elf文件）感染數(shù)據(jù)文件（宏病毒、Shell腳本惡意代碼）第二大類(lèi)：傳統(tǒng)計(jì)算機(jī)病毒之外的惡意代碼木馬、蠕蟲(chóng)、流氓軟件……后門(mén)、僵尸、移動(dòng)端惡意代碼……七、計(jì)算機(jī)病毒的傳播途徑1、軟盤(pán)軟盤(pán)作為最常用的交換媒介，在計(jì)算機(jī)應(yīng)用的早期對(duì)病毒的傳播發(fā)揮了巨大的作用，因那時(shí)計(jì)算機(jī)應(yīng)用比較簡(jiǎn)單，可執(zhí)行文件和數(shù)據(jù)文件系統(tǒng)都較小，許多執(zhí)行文件均通過(guò)軟盤(pán)相互拷貝、安裝，這樣病毒就能通過(guò)軟盤(pán)傳播文件型病毒；另外，在軟盤(pán)列目錄或引導(dǎo)機(jī)器時(shí)，引導(dǎo)區(qū)病毒會(huì)在軟盤(pán)與硬盤(pán)引導(dǎo)區(qū)內(nèi)互相感染。因此軟盤(pán)也成了計(jì)算機(jī)病毒的主要的寄生“溫床”。2、光盤(pán)光盤(pán)因?yàn)槿萘看?，存?chǔ)了大量的可執(zhí)行文件，大量的病毒就有可能藏身于光盤(pán)，對(duì)只讀式光盤(pán)，不能進(jìn)行寫(xiě)操作，因此光盤(pán)上的病毒不能清除。以謀利為目的非法盜版軟件的制作過(guò)程中，不可能為病毒防護(hù)擔(dān)負(fù)專(zhuān)門(mén)責(zé)任，也決不會(huì)有真正可靠的技術(shù)保障避免病毒的傳入、傳染、流行和擴(kuò)散。當(dāng)前，盜版光盤(pán)的泛濫給病毒的傳播帶來(lái)了極大的便利。甚至有些光盤(pán)上殺病毒軟件本身就帶有病毒，這就給本來(lái)“干凈”的計(jì)算機(jī)帶來(lái)了災(zāi)難。

3、硬盤(pán)（含移動(dòng)硬盤(pán)、USB）有時(shí)，帶病毒的硬盤(pán)在本地或移到其他地方使用甚至維修等，就會(huì)將干凈的軟盤(pán)傳染或者感染其他硬盤(pán)并擴(kuò)散。網(wǎng)絡(luò)——〉病毒的加速器網(wǎng)絡(luò)病毒技術(shù)社區(qū)集體攻擊病毒蠕蟲(chóng)病毒特洛伊木馬黑客技術(shù)腳本病毒郵件病毒病毒源碼發(fā)布4、有線網(wǎng)絡(luò)觸目驚心的計(jì)算——卿斯?jié)h如果：20分鐘產(chǎn)生一種新病毒，通過(guò)因特網(wǎng)傳播（30萬(wàn)公里/秒）。聯(lián)網(wǎng)電腦每20分鐘感染一次，每天開(kāi)機(jī)聯(lián)網(wǎng)2小時(shí)。結(jié)論：一年以?xún)?nèi)一臺(tái)聯(lián)網(wǎng)的電腦可能會(huì)被最新病毒感染2190次。另一個(gè)數(shù)字：75％的電腦被感染。網(wǎng)絡(luò)服務(wù)——〉傳播媒介網(wǎng)絡(luò)的快速發(fā)展促進(jìn)了以網(wǎng)絡(luò)為媒介的各種服務(wù)（FTP,WWW,BBS,EMAIL等）的快速普及。同時(shí)，這些服務(wù)也成為了新的病毒傳播方式。電子布告欄（BBS）：電子郵件（Email）：即時(shí)消息服務(wù)（QQ,ICQ,MSN等）：WEB服務(wù)：FTP服務(wù)：新聞組：5、無(wú)線通訊系統(tǒng)病毒對(duì)手機(jī)的攻擊有3個(gè)層次：攻擊WAP服務(wù)器，使手機(jī)無(wú)法訪問(wèn)服務(wù)器；攻擊網(wǎng)關(guān)，向手機(jī)用戶(hù)發(fā)送大量垃圾信息；直接對(duì)手機(jī)本身進(jìn)行攻擊，有針對(duì)性地對(duì)其操作系統(tǒng)和運(yùn)行程序進(jìn)行攻擊，使手機(jī)無(wú)法提供服務(wù)。八、染毒計(jì)算機(jī)的癥狀病毒表現(xiàn)現(xiàn)象：計(jì)算機(jī)病毒發(fā)作前的表現(xiàn)現(xiàn)象病毒發(fā)作時(shí)的表現(xiàn)現(xiàn)象病毒發(fā)作后的表現(xiàn)現(xiàn)象與病毒現(xiàn)象相似的硬件故障與病毒現(xiàn)象相似的軟件故障板書(shū)62:1、發(fā)作前的現(xiàn)象平時(shí)運(yùn)行正常的計(jì)算機(jī)突然經(jīng)常性無(wú)緣無(wú)故地死機(jī)操作系統(tǒng)無(wú)法正常啟動(dòng)運(yùn)行速度明顯變慢以前能正常運(yùn)行的軟件經(jīng)常發(fā)生內(nèi)存不足的錯(cuò)誤打印和通訊發(fā)生異常以前能正常運(yùn)行的應(yīng)用程序經(jīng)常發(fā)生死機(jī)或者非法錯(cuò)誤系統(tǒng)文件的時(shí)間、日期、大小發(fā)生變化運(yùn)行Word，打開(kāi)Word文檔后，該文件另存時(shí)只能以模板方式保存磁盤(pán)空間迅速減少網(wǎng)絡(luò)驅(qū)動(dòng)器卷或共享目錄無(wú)法調(diào)用基本內(nèi)存發(fā)生變化陌生人發(fā)來(lái)的電子郵件板書(shū)63:2、發(fā)作時(shí)的現(xiàn)象提示一些不相干的話發(fā)出一段的音樂(lè)產(chǎn)生特定的圖像硬盤(pán)燈不斷閃爍進(jìn)行游戲算法Windows桌面圖標(biāo)發(fā)生變化計(jì)算機(jī)突然死機(jī)或重啟自動(dòng)發(fā)送電子郵件鼠標(biāo)自己在動(dòng)板書(shū)64:3、發(fā)作后的現(xiàn)象硬盤(pán)無(wú)法啟動(dòng)，數(shù)據(jù)丟失系統(tǒng)文件丟失或被破壞文件目錄發(fā)生混亂部分文檔丟失或被破壞部分文檔自動(dòng)加密修改系統(tǒng)文件使部分可軟件升級(jí)主板的BIOS程序混亂，主板被破壞網(wǎng)絡(luò)癱瘓，無(wú)法提供正常的服務(wù)板書(shū)65:4、與病毒現(xiàn)象類(lèi)似的軟件故障出現(xiàn)“Invaliddrivespecification”(非法驅(qū)動(dòng)器號(hào))軟件程序已被破壞(非病毒)軟件與操作系統(tǒng)的兼容性引導(dǎo)過(guò)程故障用不同的編輯軟件程序板書(shū)66:5、與病毒現(xiàn)象類(lèi)似的硬件故障系統(tǒng)的硬件配置電源電壓不穩(wěn)定插件接觸不良軟驅(qū)故障關(guān)于CMOS的問(wèn)題板書(shū)67:九、計(jì)算機(jī)病毒的命名規(guī)則CARO命名規(guī)則，每一種病毒的命名包括五個(gè)部分：病毒家族名病毒組名大變種小變種修改者CARO規(guī)則的一些附加規(guī)則包括：不用地點(diǎn)命名不用公司或商標(biāo)命名如果已經(jīng)有了名字就不再另起別名變種病毒是原病毒的子類(lèi)板書(shū)68:精靈（Cunning）病毒是瀑布（Cascade）病毒的變種，它在發(fā)作時(shí)能奏樂(lè)，因此被命名為Cascade.1701.A。Cascade是家族名，1701是組名。因?yàn)镃ascade病毒的變種的大小不一（1701,1704,1621等），所以用大小來(lái)表示組名。A表示該病毒是某個(gè)組中的第一個(gè)變種。業(yè)界補(bǔ)充：反病毒軟件商們通常在CARO命名的前面加一個(gè)前綴來(lái)標(biāo)明病毒類(lèi)型。比如，WM表示MSWord宏病毒；Win32指32位Windows病毒；VBS指VB腳本病毒。這樣，梅麗莎病毒的一個(gè)變種的命名就成了W97M.Melissa.AA，Happy99蠕蟲(chóng)就被稱(chēng)為Win32.Happy99.Worm。板書(shū)69:VGrep是反病毒廠商的一種嘗試，這種方法將已知的病毒名稱(chēng)通過(guò)某種方法關(guān)聯(lián)起來(lái)，其目的是不管什么樣的掃描軟件都能按照可被識(shí)別的名稱(chēng)鏈進(jìn)行掃描。VGrep將病毒文件讀入并用不同的掃描器進(jìn)行掃描，掃描的結(jié)果和被識(shí)別出的信息放入數(shù)據(jù)庫(kù)中。每一個(gè)掃描器的掃描結(jié)果與別的掃描結(jié)果相比較并將結(jié)果用作病毒名交叉引用表。VGrep的參與者贊同為每一種病毒起一個(gè)最通用的名字最為代表名字。擁有成千上萬(wàn)掃描器的大型企業(yè)集團(tuán)要求殺毒軟件供應(yīng)商使用VGrep命名，這對(duì)于在世界范圍內(nèi)跟蹤多個(gè)病毒的一致性很有幫助。板書(shū)70:十、計(jì)算機(jī)病毒防治板書(shū)71:病毒防治的公理1、不存在這樣一種反病毒軟硬件，能夠防治未來(lái)產(chǎn)生的所有病毒。2、不存在這樣一種病毒程序，能夠讓未來(lái)的所有反病毒軟硬件都無(wú)法檢測(cè)。3、目前的反病毒軟件和硬件以及安全產(chǎn)品是都易耗品，必須經(jīng)常進(jìn)行更新、升級(jí)。4、病毒產(chǎn)生在前，反病毒手段滯后的現(xiàn)狀，將是一個(gè)長(zhǎng)期的過(guò)程。板書(shū)72:人類(lèi)為防治病毒所做出的努力立體防護(hù)網(wǎng)絡(luò)版單機(jī)版防病毒卡板書(shū)73:對(duì)計(jì)算機(jī)病毒應(yīng)持有的態(tài)度1.客觀承認(rèn)計(jì)算機(jī)病毒的存在，但不要懼怕病毒。3.樹(shù)立計(jì)算機(jī)病毒意識(shí)，積極采取預(yù)防（備份等）措施。4.掌握必要的計(jì)算機(jī)病毒知識(shí)和病毒防治技術(shù)，對(duì)用戶(hù)至關(guān)重要。5.發(fā)現(xiàn)病毒，冷靜處理。板書(shū)74:目前廣泛應(yīng)用的幾種防治技術(shù)：特征碼掃描法特征碼掃描法是分析出病毒的特征病毒碼并集中存放于病毒代碼庫(kù)文件中，在掃描時(shí)將掃描對(duì)象與特征代碼庫(kù)比較，如有吻合則判斷為染上病毒。該技術(shù)實(shí)現(xiàn)簡(jiǎn)單有效，安全徹底；但查殺病毒滯后，并且龐大的特征碼庫(kù)會(huì)造成查毒速度下降；板書(shū)75:虛擬執(zhí)行技術(shù)該技術(shù)通過(guò)虛擬執(zhí)行方法查殺病毒，可以對(duì)付加密、變形、異型及病毒生產(chǎn)機(jī)生產(chǎn)的病毒，具有如下特點(diǎn)：在查殺病毒時(shí)在機(jī)器虛擬內(nèi)存中模擬出一個(gè)“指令執(zhí)行虛擬機(jī)器”在虛擬機(jī)環(huán)境中虛擬執(zhí)行（不會(huì)被實(shí)際執(zhí)行）可疑帶毒文件在執(zhí)行過(guò)程中，從虛擬機(jī)環(huán)境內(nèi)截獲文件數(shù)據(jù)，如果含有可疑病毒代碼，則殺毒后將其還原到原文件中，從而實(shí)現(xiàn)對(duì)各類(lèi)可執(zhí)行文件內(nèi)病毒的查殺板書(shū)76:智能引擎技術(shù)智能引擎技術(shù)發(fā)展了特征碼掃描法的優(yōu)點(diǎn)，改進(jìn)了其弊端，使得病毒掃描速度不隨病毒庫(kù)的增大而減慢。剛剛面世的瑞星殺毒軟件2003版即采用了此項(xiàng)技術(shù)，使病毒掃描速度比2002版提高了一倍之多；板書(shū)77:計(jì)算機(jī)監(jiān)控技術(shù)文件實(shí)時(shí)監(jiān)控內(nèi)存實(shí)時(shí)監(jiān)控腳本實(shí)時(shí)監(jiān)控郵件實(shí)時(shí)監(jiān)控注冊(cè)表實(shí)時(shí)監(jiān)控參考：板書(shū)78:未知病毒查殺技術(shù)未知病毒技術(shù)是繼虛擬執(zhí)行技術(shù)后的又一大技術(shù)突破，它結(jié)合了虛擬技術(shù)和人工智能技術(shù)，實(shí)現(xiàn)了對(duì)未知病毒的準(zhǔn)確查殺。板書(shū)79:壓縮智能還原技術(shù)世界上的壓縮工具、打包工具、加“殼”工具多不勝數(shù)，病毒如果被這樣的工具處理后被層層包裹起來(lái)，對(duì)于防病毒軟件來(lái)說(shuō)，就是一個(gè)噩夢(mèng)。為了使用統(tǒng)一的方法來(lái)解決這個(gè)問(wèn)題，反病毒專(zhuān)家們發(fā)明了未知解壓技術(shù)，它可以對(duì)所有的這類(lèi)文件在內(nèi)存中還原，從而使得病毒完全暴露出來(lái)。板書(shū)80:多層防御，集中管理技術(shù)反病毒要以網(wǎng)為本，從網(wǎng)絡(luò)系統(tǒng)的角度設(shè)計(jì)反病毒解決方案，只有這樣才能有效地查殺網(wǎng)絡(luò)上的計(jì)算機(jī)病毒。在網(wǎng)絡(luò)上，軟件的安裝和管理方式是十分關(guān)鍵的，它不僅關(guān)系到網(wǎng)絡(luò)維護(hù)和管理的效率和質(zhì)量，而且涉及到網(wǎng)絡(luò)的安全性。好的殺毒軟件需要能在幾分鐘之內(nèi)便可輕松地安裝到組織里的每一個(gè)NT服務(wù)器上，并可下載和散布到所有的目的機(jī)器上，由網(wǎng)絡(luò)管理員集中設(shè)置和管理，它會(huì)與操作系統(tǒng)及其它安全措施緊密地結(jié)合在一起，成為網(wǎng)絡(luò)安全管理的一部分，并且自動(dòng)提供最佳的網(wǎng)絡(luò)病毒防御措施。板書(shū)81:病毒免疫技術(shù)病毒免疫技術(shù)一直是反病毒專(zhuān)家研究的熱點(diǎn)，它通過(guò)加強(qiáng)自主訪問(wèn)控制和設(shè)置磁盤(pán)禁寫(xiě)保護(hù)區(qū)來(lái)實(shí)現(xiàn)病毒免疫的基本構(gòu)想。實(shí)際上，最近出現(xiàn)的軟件安全認(rèn)證技術(shù)也應(yīng)屬于此技術(shù)的范疇，由于用戶(hù)應(yīng)用軟件的多樣性和環(huán)境的復(fù)雜性，病毒免疫技術(shù)到廣泛使用還有一段距離。板書(shū)82:病毒防治技術(shù)的趨勢(shì)前瞻加強(qiáng)對(duì)未知病毒的查殺能力加強(qiáng)對(duì)未知病毒的查殺能力是反病毒行業(yè)的持久課題，目前國(guó)內(nèi)外多家公司都宣布自己的產(chǎn)品可以對(duì)未知病毒進(jìn)行查殺，但據(jù)我們研究，國(guó)內(nèi)外的產(chǎn)品只有少數(shù)可以對(duì)同一家族的新病毒進(jìn)行預(yù)警，不能清除。目前有些公司已經(jīng)在這一領(lǐng)域取得了突破性的進(jìn)展，可以對(duì)未知DOS病毒、未知PE病毒、未知宏病毒進(jìn)行防范。其中對(duì)未知DOS病毒能查到90%以上，并能準(zhǔn)確清除其中的80%，未知PE病毒能查到70%以上、未知宏病毒能實(shí)現(xiàn)查殺90%.板書(shū)83:防殺針對(duì)掌上型移動(dòng)通訊工具和PDA的病毒隨著掌上型移動(dòng)通訊工具和PDA的廣泛使用，針對(duì)這類(lèi)系統(tǒng)的病毒已經(jīng)開(kāi)始出現(xiàn)，并且威脅將會(huì)越來(lái)越大，反病毒公司將投入更多的力量來(lái)加強(qiáng)此類(lèi)病毒的防范。板書(shū)84:兼容性病毒的防殺目前已經(jīng)發(fā)現(xiàn)可以同時(shí)在微軟WINDOWS和日益普及的LINUX兩種不同操作系統(tǒng)內(nèi)運(yùn)作的病毒，此類(lèi)病毒將會(huì)給人們帶來(lái)更多的麻煩，促使反病毒公司加強(qiáng)防殺此類(lèi)病毒。板書(shū)85:蠕蟲(chóng)病毒和腳本病毒的防殺不容忽視蠕蟲(chóng)病毒是一種能自我復(fù)制的程序，駐留內(nèi)存并通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)復(fù)制自己，它通過(guò)大量消耗系統(tǒng)資源，最后導(dǎo)致系統(tǒng)癱瘓。給人們帶來(lái)了巨大的危害，腳本病毒因?yàn)槠渚帉?xiě)相對(duì)容易正成為另一種趨勢(shì)，這兩類(lèi)病毒的危害性使人們絲毫不能忽視對(duì)其的防殺。板書(shū)86:十一、殺毒軟件及評(píng)價(jià)板書(shū)87:（一）殺毒軟件必備功能病毒查殺能力對(duì)新病毒的反應(yīng)能力對(duì)文件的備份和恢復(fù)能力實(shí)時(shí)監(jiān)控功能及時(shí)有效的升級(jí)功能智能安裝、遠(yuǎn)程識(shí)別功能界面友好、易于操作對(duì)現(xiàn)有資源的占用情況板書(shū)88:系統(tǒng)兼容性軟件的價(jià)格軟件商的實(shí)力板書(shū)89:（二）國(guó)內(nèi)外殺毒軟件及市場(chǎng)金山毒霸、瑞星殺毒、KV3000、PC-CillinVirusBuster、NortonAntiVirus、McafeeVirusScan、KasperskyAntivirus、F-SecureAntivirus,Nod32等。板書(shū)90:《電腦報(bào)》2008評(píng)測(cè)結(jié)果十二、解決方案和策略板書(shū)97:防病毒策略1、建立病毒防治的規(guī)章制度，嚴(yán)格管理；2、建立病毒防治和應(yīng)急體系；3、進(jìn)行計(jì)算機(jī)安全教育，提高安全防范意識(shí)；4、對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估；5、選擇經(jīng)過(guò)公安部認(rèn)證的病毒防治產(chǎn)品；6、正確配置，使用病毒防治產(chǎn)品；板書(shū)98:7、正確配置系統(tǒng)，減少病毒分侵害事件；8、定期檢查敏感文件；9、適時(shí)進(jìn)行安全評(píng)估，調(diào)整各種病毒防治策略；10、建立病毒事故分析制度；11、確保恢復(fù)，減少損失；板書(shū)99:十三、國(guó)內(nèi)外病毒產(chǎn)品的技術(shù)發(fā)展態(tài)勢(shì)板書(shū)100:國(guó)內(nèi)外反病毒公司在反病毒領(lǐng)域各有所長(zhǎng)國(guó)內(nèi)外產(chǎn)品競(jìng)爭(zhēng)激烈國(guó)內(nèi)反病毒企業(yè)發(fā)展勢(shì)頭強(qiáng)勁隨著中國(guó)信息化進(jìn)程的深入開(kāi)展，多家國(guó)際反病毒公司基本撤出了在中國(guó)的殺毒業(yè)務(wù)；國(guó)內(nèi)以360為代表，進(jìn)入了免費(fèi)時(shí)代板書(shū)101:反病毒服務(wù)是競(jìng)爭(zhēng)關(guān)鍵要推動(dòng)企業(yè)信息安全建設(shè)、并從根本上改變國(guó)內(nèi)信息安全現(xiàn)狀，建立健全的服務(wù)體系是關(guān)鍵。相信人類(lèi)受到惡意代碼侵害及由此帶來(lái)的損失將逐步減少，國(guó)內(nèi)反病毒行業(yè)在政府的規(guī)范和用戶(hù)的支持下將取得更好的成績(jī)！板書(shū)102:相關(guān)資源1.Wildlist國(guó)際組織該網(wǎng)站維護(hù)世界各地發(fā)現(xiàn)的病毒列表。網(wǎng)站負(fù)責(zé)維護(hù)這個(gè)列表，并且按月打包供用戶(hù)下載。此外，網(wǎng)站上還有一些計(jì)算機(jī)病毒方面的學(xué)術(shù)論文。2.病毒公告牌對(duì)于任何關(guān)心惡意代碼和垃圾信息防護(hù)、檢測(cè)和清除的人來(lái)說(shuō)，病毒公告在線雜志是一個(gè)必不可少的參考。逐日逐月地，病毒公告牌提供如下信息：1)來(lái)自于反惡意代碼業(yè)界的發(fā)人深省的新聞和觀點(diǎn)2)最新惡意代碼威脅的詳細(xì)分析3)探索反惡意代碼技術(shù)開(kāi)發(fā)的長(zhǎng)篇文檔4)反惡意代碼專(zhuān)家的會(huì)見(jiàn)5)對(duì)當(dāng)前反病毒產(chǎn)品的獨(dú)立評(píng)測(cè)6)覆蓋垃圾郵件和反垃圾郵件技術(shù)的月報(bào)板書(shū)103:3.卡飯論壇卡飯的意思是卡巴斯基的FANS（愛(ài)好者），取其諧音，即為卡飯?？堈搲畛跏且粋€(gè)以卡巴斯基愛(ài)好者為主體，以計(jì)算機(jī)安全軟件為主要內(nèi)容的論壇。隨著國(guó)產(chǎn)計(jì)算機(jī)安全軟件的興起，卡飯論壇對(duì)主流的計(jì)算機(jī)安全軟件均有不同程度的涉獵，迄今為止已發(fā)展成為最大的計(jì)算機(jī)安全論壇之一。論壇的開(kāi)放時(shí)間是2006年6月1日。4.亞洲反病毒研究者協(xié)會(huì)(AVAR)AVAR(亞洲反病毒研究者協(xié)會(huì))成立于1998年6月。協(xié)會(huì)的宗旨是預(yù)防計(jì)算機(jī)病毒的傳播和破壞，促進(jìn)亞洲的反病毒研究者間建立良好的合作關(guān)系。板書(shū)104:5.國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心網(wǎng)站主要內(nèi)容是病毒流行列表、病毒SOS求救、數(shù)據(jù)恢復(fù)等。6.病毒觀察網(wǎng)站主要內(nèi)容包括病毒預(yù)報(bào)、新聞、評(píng)論、相關(guān)法規(guī)、反病毒資料、安全漏洞、密碼知識(shí)、病毒百科在線檢索等。板書(shū)105:7.HACK80HACK80是集黑客技術(shù)交流、黑客工具分享的黑客論壇。與傳統(tǒng)黑客聯(lián)盟不同，該論壇在守法的前提下提倡自由的技術(shù)交流，力求成為一個(gè)氣氛優(yōu)秀的技術(shù)圈子。8.安全焦點(diǎn)安全焦點(diǎn)是中國(guó)目前頂級(jí)的網(wǎng)絡(luò)安全站點(diǎn)，那里集聚的一大批知名的黑客。網(wǎng)站內(nèi)容包括安全論文、安全工具、安全漏洞以及逆向技術(shù)等。板書(shū)106:9.看雪論壇/看雪論壇是致力于PC、移動(dòng)、物聯(lián)網(wǎng)安全研究及逆向工程相關(guān)的開(kāi)發(fā)者舍卻。網(wǎng)站主要內(nèi)容包括黑客頻道、防毒技巧、網(wǎng)絡(luò)安全新聞和病毒新聞等。10.國(guó)際計(jì)算機(jī)安全聯(lián)合會(huì)(ICSA-InterNationalComputerSecwrityAssociation)/如要對(duì)Internet的安全問(wèn)題感興趣,你可以訪問(wèn)國(guó)家計(jì)算機(jī)安全聯(lián)合會(huì)(NCSA)的站點(diǎn)。這里會(huì)看到很多關(guān)于國(guó)家計(jì)算機(jī)安全聯(lián)合會(huì)各種活動(dòng)的信息,包括會(huì)議,培訓(xùn)、產(chǎn)品認(rèn)證和安全警告等。在這里你可以了解到國(guó)際知名的病毒防治軟件登記請(qǐng)況。講授思政融入：網(wǎng)絡(luò)道德教育和法制教育融入到教學(xué)中，倡導(dǎo)網(wǎng)絡(luò)文明，采取多種方式培養(yǎng)學(xué)生判斷是非、美丑、善惡的能力，預(yù)防網(wǎng)絡(luò)陷阱，消除網(wǎng)絡(luò)造成的負(fù)面影響。加強(qiáng)大學(xué)生網(wǎng)絡(luò)道德素養(yǎng)和法律意識(shí)的培養(yǎng)，幫助他們樹(shù)立正確的網(wǎng)絡(luò)道德觀和法制觀念，規(guī)范自身的網(wǎng)絡(luò)行為，養(yǎng)成良好的網(wǎng)絡(luò)文明習(xí)慣，增強(qiáng)網(wǎng)絡(luò)安全法規(guī)意識(shí)和網(wǎng)絡(luò)道德意識(shí)，做到知法、懂法、守法，避免走上利用計(jì)算機(jī)進(jìn)行違法犯罪的道路。討論互動(dòng)案例講授：思政融入,人文精神討論：你如何理解十大病毒？互動(dòng)案例講授討論互動(dòng)案例講授：思政2018十大惡意軟件對(duì)我們的危害？討論互動(dòng)案例講授討論互動(dòng)案例講授討論互動(dòng)案例講授討論互動(dòng)案例講授討論互動(dòng)案例講授討論互動(dòng)案例講授討論互動(dòng)案例講授討論互動(dòng)案例講授討論互動(dòng)案例151515151515151515151515151515

第2次課程教學(xué)方案?jìng)湔n時(shí)間年8月20日——年8月25日備課教師張新江教學(xué)時(shí)間年9月8日教學(xué)地點(diǎn)F2-102B周次2課時(shí)數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元第2章計(jì)算機(jī)病毒理論模型教學(xué)目標(biāo)和要求掌握計(jì)算機(jī)病毒的抽象描述掌握基于圖靈機(jī)的計(jì)算機(jī)病毒模型掌握基于遞歸函數(shù)的計(jì)算機(jī)病毒模型掌握網(wǎng)絡(luò)蠕蟲(chóng)傳播模型掌握計(jì)算機(jī)病毒預(yù)防理論模型教學(xué)重點(diǎn)1.計(jì)算機(jī)病毒的抽象描述2.基于圖靈機(jī)的計(jì)算機(jī)病毒模型3.基于遞歸函數(shù)的計(jì)算機(jī)病毒模型教學(xué)難點(diǎn)1.網(wǎng)絡(luò)蠕蟲(chóng)傳播模型2.計(jì)算機(jī)病毒預(yù)防理論模型教學(xué)方法引導(dǎo)式、討論式、互動(dòng)使用媒體資源?紙質(zhì)材料?多媒體課件?網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等虛擬機(jī)作業(yè)練習(xí)課后習(xí)題課后記（空白不夠可添加附頁(yè)）

教學(xué)內(nèi)容（板書(shū)）教學(xué)步驟、方法及學(xué)生活動(dòng)時(shí)間板書(shū)1:第2章計(jì)算機(jī)病毒理論模型劉功申上海交通大學(xué)網(wǎng)絡(luò)空間安全學(xué)院板書(shū)2:本章學(xué)習(xí)目標(biāo)掌握計(jì)算機(jī)病毒的抽象描述掌握基于圖靈機(jī)的計(jì)算機(jī)病毒模型掌握基于遞歸函數(shù)的計(jì)算機(jī)病毒模型掌握網(wǎng)絡(luò)蠕蟲(chóng)傳播模型掌握計(jì)算機(jī)病毒預(yù)防理論模型板書(shū)3:虛擬案例一個(gè)文本編輯程序被病毒感染了。每當(dāng)使用文本編輯程序時(shí)，它總是先進(jìn)行感染工作并執(zhí)行編輯任務(wù)，其間，它將搜索合適文件以進(jìn)行感染。每一個(gè)新被感染的程序都將執(zhí)行原有的任務(wù)，并且也搜索合適的程序進(jìn)行感染。這種過(guò)程反復(fù)進(jìn)行。當(dāng)這些被感染的程序跨系統(tǒng)傳播，被銷(xiāo)售，或者送給其他人時(shí)，將產(chǎn)生病毒擴(kuò)散的新機(jī)會(huì)。最終，在1990年1月1日以后，被感染的程序終止了先前的活動(dòng)?，F(xiàn)在，每當(dāng)這樣的一個(gè)程序執(zhí)行時(shí)，它將刪除所有文件。板書(shū)4:計(jì)算機(jī)病毒偽代碼{main:= Callinjure; … Callsubmain; … Callinfect;}{injure:= Ifconditionthenwhateverdamageistobedoneandhalt;}{infect:= Ifconditiontheninfectfiles;}板書(shū)5:案例病毒的偽代碼{main:= Callinjure; Callsubmain; Callinfect;}{injure:= Ifdate>=Jan.1,1990then Whilefile!=0 File=get-random-file; Deletefile; Halt;}板書(shū)6:{infect:= Iftruethen File=get-random-executable-file; Renamemainroutinesubmain; Prependselftofile;}板書(shū)7:精簡(jiǎn)后的偽代碼(壓縮或變型){main:= Callinjure; Decompresscompressedpartofprogram; Callsubmain; Callinfect;}{injure:= Iffalsethenhalt;}板書(shū)8:{infect:=Ifexecutable!=0thenFile=get-random-executable-file;Renamemainroutinesubmain;Compressfile;Prependselftofile;}板書(shū)9:病毒偽代碼的共同性質(zhì)1．對(duì)于每個(gè)程序，都存在該程序相應(yīng)的感染形式。也就是，可以把病毒看作是一個(gè)程序到一個(gè)被感染程序的映射。2．每一個(gè)被感染程序在每個(gè)輸入（輸入是指可訪問(wèn)信息，例如，用戶(hù)輸入，系統(tǒng)時(shí)鐘，數(shù)據(jù)或程序文件等）上形成如下3個(gè)選擇：板書(shū)10:破壞(Injure)：不執(zhí)行原先的功能，而去完成其它功能。何種輸入導(dǎo)致破壞以及破壞的形式都與被感染的程序無(wú)關(guān)，而只與病毒本身有關(guān)。傳染(Infect)：執(zhí)行原先的功能，并且，如果程序能終止，則傳染程序。對(duì)于除程序以外的其它可訪問(wèn)信息（如時(shí)鐘、用戶(hù)/程序間的通信）的處理，同感染前的原程序一樣。另外，不管被感染的程序其原先功能如何（文本編輯或編譯器等），它傳染其它程序時(shí)，其結(jié)果是一樣的。也就是說(shuō)，一個(gè)程序被感染的形式與感染它的程序無(wú)關(guān)。模仿(Imitate)：既不破壞也不傳染，不加修改地執(zhí)行原先的功能。這也可看作是傳染的一個(gè)特例，其中被傳染的程序的個(gè)數(shù)為零。板書(shū)11:基于圖靈機(jī)的計(jì)算機(jī)病毒的計(jì)算模型基本圖靈機(jī)(TM)圖靈機(jī)的經(jīng)典問(wèn)題：圖靈機(jī)停機(jī)問(wèn)題圖靈機(jī)存在不可計(jì)算數(shù)板書(shū)12:隨機(jī)訪問(wèn)計(jì)算機(jī)（RandomAccessMachine——RAM）ENIAC板書(shū)13:隨機(jī)訪問(wèn)存儲(chǔ)程序計(jì)算機(jī)（RamdomAccessStoredProgramMachine,RASPM）板書(shū)14:附帶后臺(tái)存儲(chǔ)帶的隨機(jī)訪問(wèn)存儲(chǔ)程序計(jì)算機(jī)(TheRandomAccessStoredProgramMachinewithAttachedBackgroundStorage,RASPM_ABS)現(xiàn)在的計(jì)算機(jī)板書(shū)15:基于RASPM_ABS的病毒計(jì)算機(jī)病毒被定義成程序的一部分，該程序附著在某個(gè)程序上并能將自身鏈接到其他程序上。當(dāng)病毒所附著的程序被執(zhí)行時(shí)，計(jì)算機(jī)病毒的代碼也跟著被執(zhí)行。板書(shū)16:1.病毒的傳播模型如果病毒利用了計(jì)算機(jī)的一些典型特征或服務(wù)，那么病毒的這種傳播方式被稱(chēng)作專(zhuān)用計(jì)算機(jī)的傳播方式。如果病毒在傳播時(shí)沒(méi)有利用計(jì)算機(jī)的服務(wù)，那么此傳播方式被稱(chēng)為獨(dú)立于計(jì)算機(jī)的傳播方式。PC中，引導(dǎo)型病毒就具有專(zhuān)用計(jì)算機(jī)的傳播方式感染C源文件的病毒就是具有獨(dú)立計(jì)算機(jī)的傳播方式板書(shū)17:2.少態(tài)型病毒和多態(tài)型病毒當(dāng)有兩個(gè)程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順序相同時(shí)，這種傳播方式稱(chēng)為少形態(tài)的。當(dāng)有兩個(gè)程序被同樣的病毒以指定傳播方式感染，并且病毒程序的代碼順不同時(shí)，這種傳播方式稱(chēng)為多形態(tài)的。病毒代碼的全部或部分被使用不同的密鑰加密是多態(tài)的一種特殊形式。板書(shū)18:多態(tài)型病毒的實(shí)現(xiàn)要比少態(tài)型病毒的實(shí)現(xiàn)復(fù)雜得多，它們能改變自身的譯碼部分。兩種實(shí)現(xiàn)方式：1）通過(guò)從準(zhǔn)備好的集合中任意選取譯碼程序。2）通過(guò)在傳播期間隨機(jī)產(chǎn)生程序指令來(lái)完成。例如，可以通過(guò)如下的方法來(lái)實(shí)現(xiàn)：改變譯碼程序的順序；處理器能夠通過(guò)一個(gè)以上的指令（序列）來(lái)執(zhí)行同樣的操作；向譯碼程序中隨機(jī)地放入啞命令（DummyCommand）。板書(shū)19:3.病毒檢測(cè)的一般問(wèn)題如果存在著某一能夠解決病毒檢測(cè)問(wèn)題的算法，那么就能通過(guò)建立圖靈機(jī)來(lái)執(zhí)行相應(yīng)的算法。不幸的是，即使在最簡(jiǎn)單的情況下，我們也不可能制造出這樣的圖靈機(jī)。定理：不可能制造出一個(gè)圖靈機(jī)，利用該計(jì)算機(jī)，我們能夠判斷RASPM_ABS中的可執(zhí)行文件是否含有病毒。板書(shū)20:4.病毒檢測(cè)方法如果我們只涉及一些已知病毒的問(wèn)題，那么就可能簡(jiǎn)化病毒檢測(cè)問(wèn)題。在此情況下，可以將已知病毒用在檢測(cè)算法上。我們從每個(gè)已知病毒提取一系列代碼，當(dāng)病毒進(jìn)行傳播時(shí)，它們就會(huì)在每個(gè)被感染了的文件中顯示出來(lái)。我們將這一系列代碼成為序列。病毒檢測(cè)程序的任務(wù)就是在程序中搜尋這些序列。板書(shū)21:檢測(cè)多態(tài)型病毒的難點(diǎn)不能確定多態(tài)型病毒是否含有某些序列，能夠通過(guò)這些序列可以檢測(cè)病毒的所有變異。當(dāng)發(fā)現(xiàn)序列是隨機(jī)的時(shí)，不知道發(fā)生錯(cuò)誤報(bào)警的概率。發(fā)現(xiàn)任意序列的概率：N表示一個(gè)序列的長(zhǎng)度；M表示序列的總個(gè)數(shù)；用L(L>>N)表示被檢測(cè)文件的總長(zhǎng)度；n是字符集大?。▽?duì)應(yīng)二進(jìn)制代碼為16）該采用什么樣的費(fèi)用標(biāo)準(zhǔn)來(lái)衡量序列搜尋算法的實(shí)現(xiàn)。論文查重復(fù)？？？板書(shū)22:基于遞歸函數(shù)的計(jì)算機(jī)病毒的數(shù)學(xué)模型Adlemen給出的計(jì)算機(jī)病毒形式定義：（1）S表示所有自然數(shù)有窮序列的集合。（2）e表示一個(gè)從S╳S到N的可計(jì)算的入射函數(shù)，它具有可計(jì)算的逆函數(shù)。（3）對(duì)所有的s,t∈S,用<s,t>表示e（s,t）。（4）對(duì)所有部分函數(shù)f：N→N及所有s,t∈S,用f(s,t)表示f(<s,t>)。（5）e′表示一個(gè)從N╳N到N的可計(jì)算的入射函數(shù)，它具有可計(jì)算的逆函數(shù)，并且對(duì)所有i,j∈N，e′(i,j)≥i。板書(shū)23:（6）對(duì)所有i,j∈N，<i,j>表示e′(i,j)。（7）對(duì)所有部分函數(shù)f：N→N及所有i,j∈N,f(i,j)表示f(<i,j>)。（8）對(duì)所有部分函數(shù)f：N→N及所有n∈N,f(n)↓表示f(n)是有定義的。（9）對(duì)所有部分函數(shù)f：N→N及所有n∈N,f(n)↑表示f(n)是未定義的。板書(shū)24:Adlemen病毒模型有如下缺陷：⑴計(jì)算機(jī)病毒的面太廣。不具傳染性的也當(dāng)作病毒⑵定義并沒(méi)有反映出病毒的傳染特性。⑶定義不能體現(xiàn)出病毒傳染的傳遞特性。⑷“破壞”的定義不合適。原程序功能保留不明確板書(shū)25:Internet蠕蟲(chóng)傳播模型SI(Susceptible[易受感染的]-Infected)SIS(Susceptible-Infected-Susceptible)SIR(Susceptible-Infected-Removed)板書(shū)26:SIS模型和SI模型某種群中不存在流行病時(shí)，其種群（N）的生長(zhǎng)服從微分系統(tǒng)。其中表示t時(shí)刻該環(huán)境中總種群的個(gè)體數(shù)量，表示種群中單位個(gè)體的生育率，d表示單位個(gè)體的自然死亡率。 板書(shū)27:有疾病傳播時(shí)的模型S，I分別表示易感者類(lèi)和染病者類(lèi)β表示一個(gè)染病者所具有的最大傳染力r表示疾病的恢復(fù)力d表示自然死亡率a表示額外死亡率板書(shū)28:流行病的傳播服從雙線形傳染率的SIS模型總種群的生長(zhǎng)為：在SIS模型中，當(dāng)a=0時(shí)，該模型變?yōu)镾I模型。板書(shū)29:SIR模型兩個(gè)假設(shè)：已被病毒感染的文件（檔）具有免疫力。病毒的潛伏期很短，近似地認(rèn)為等于零。把系統(tǒng)中可執(zhí)行程序分為三種：被傳播對(duì)象，即尚未感染病毒的可執(zhí)行程序，用S(t)表示其數(shù)目。帶菌者，即已感染病毒的可執(zhí)行程序，用p(t)表示其數(shù)目。被感染后具有免疫力的可執(zhí)行程序，也包括被傳播后在一定時(shí)間內(nèi)不會(huì)運(yùn)行的可執(zhí)行程序（相當(dāng)患病者死去），用R(t)表示其數(shù)目。板書(shū)30:λ表示傳播（感染）速度；表示每個(gè)時(shí)間段接觸次數(shù)；ｕ表示第Ⅱ類(lèi)程序變成第Ⅲ類(lèi)程序的速度；公式的解釋?zhuān)孩臩(t)的變化率即經(jīng)第Ⅰ類(lèi)程序變成第Ⅱ類(lèi)程序的變化率，它與傳染者和被傳染者之間的接觸次數(shù)有關(guān)，并且正比于這兩類(lèi)文件的乘積。 ⑵R(t)的變化率即第Ⅱ類(lèi)程序變成第Ⅲ類(lèi)程序的變化率，與當(dāng)時(shí)第Ⅱ類(lèi)的可執(zhí)行程序數(shù)目成正比。⑶在考慮的時(shí)間間隔內(nèi)，系統(tǒng)內(nèi)可執(zhí)行程序的總數(shù)變化不大，并且假設(shè)它恒等于常數(shù)（即沒(méi)有文件被撤消，也沒(méi)有外面的新文件進(jìn)來(lái)），從而可執(zhí)行程序總數(shù)的變化率為零。板書(shū)31:板書(shū)32:預(yù)防理論模型Fred.Cohen”四模型”理論(1)基本隔離模型該模型的主要思想是取消信息共享，將系統(tǒng)隔離開(kāi)來(lái)，使得計(jì)算機(jī)病毒既不能從外部入侵進(jìn)來(lái)，也不可能把系統(tǒng)內(nèi)部的病毒擴(kuò)散出去。(2)分隔模型將用戶(hù)群分割為不可能互相傳遞信息的若干封閉子集。由于信息處理流的控制，使得這些子集可被看作是系統(tǒng)被分割成的相互獨(dú)立的子系統(tǒng)，使得計(jì)算機(jī)病毒只能感染整個(gè)系統(tǒng)中的某個(gè)子系統(tǒng)，而不會(huì)在子系統(tǒng)之間進(jìn)行相互傳播。板書(shū)33:(3)流模型對(duì)共享的信息流通過(guò)的距離設(shè)定一個(gè)閥值，使得一定量的信息處理只能在一定的區(qū)域內(nèi)流動(dòng)，若該信息的使用超過(guò)設(shè)定的閥值，則可能存在某種危險(xiǎn)。(4)限制解釋模型即限制兼容，采用固定的解釋模式，就有可能不被計(jì)算機(jī)病毒感染。板書(shū)34:類(lèi)IPM模型把計(jì)算機(jī)程序或磁盤(pán)文件類(lèi)比為不斷生長(zhǎng)變化的植物。把計(jì)算機(jī)系統(tǒng)比作一個(gè)由許多植物組成的田園。把計(jì)算機(jī)病毒看成是侵害植物的害蟲(chóng)。把計(jì)算機(jī)信息系統(tǒng)周?chē)沫h(huán)境看作農(nóng)業(yè)事物處理機(jī)構(gòu)。板書(shū)35:農(nóng)業(yè)上的IPM(IntegratedPestManagement)模型實(shí)質(zhì)上是一種綜合管理方法。它的基本思想是：一個(gè)害蟲(chóng)管理系統(tǒng)是與周?chē)鷫木澈秃οx(chóng)種類(lèi)的動(dòng)態(tài)變化有關(guān)的。它以盡可能溫和的方式利用所有適用技術(shù)和措施治理害蟲(chóng)，使它們的種類(lèi)維持在不足以引起經(jīng)濟(jì)損失的水平之下。板書(shū)36:計(jì)算機(jī)病毒的結(jié)構(gòu)和工作機(jī)制四大模塊：感染模塊觸發(fā)模塊破壞模塊（表現(xiàn)模塊）引導(dǎo)模塊（主控模塊）兩個(gè)狀態(tài)：靜態(tài)動(dòng)態(tài)板書(shū)37:工作機(jī)制板書(shū)38:引導(dǎo)模塊引導(dǎo)前——寄生寄生位置：引導(dǎo)區(qū)可執(zhí)行文件寄生手段：替代法（寄生在引導(dǎo)區(qū)中的病毒常用該法）鏈接法（寄生在文件中的病毒常用該法）板書(shū)39:引導(dǎo)過(guò)程駐留內(nèi)存竊取系統(tǒng)控制權(quán)恢復(fù)系統(tǒng)功能引導(dǎo)區(qū)病毒引導(dǎo)過(guò)程搬遷系統(tǒng)引導(dǎo)程序-〉替代為病毒引導(dǎo)程序啟動(dòng)時(shí)-〉病毒引導(dǎo)模塊-〉加載傳染、破壞和觸發(fā)模塊到內(nèi)存-〉使用常駐技術(shù)最后，轉(zhuǎn)向系統(tǒng)引導(dǎo)程序-〉引導(dǎo)系統(tǒng)板書(shū)40:文件型病毒引導(dǎo)過(guò)程修改入口指令-〉替代為跳轉(zhuǎn)到病毒模塊的指令執(zhí)行時(shí)-〉跳轉(zhuǎn)到病毒引導(dǎo)模塊-〉病毒引導(dǎo)模塊-〉加載傳染、破壞和觸發(fā)模塊到內(nèi)存-〉使用常駐技術(shù)最后，轉(zhuǎn)向程序的正常執(zhí)行指令-〉執(zhí)行程序板書(shū)41:感染模塊病毒傳染的條件被動(dòng)傳染（靜態(tài)時(shí)）用戶(hù)在進(jìn)行拷貝磁盤(pán)或文件時(shí)，把一個(gè)病毒由一個(gè)載體復(fù)制到另一個(gè)載體上。或者是通過(guò)網(wǎng)絡(luò)上的信息傳遞，把一個(gè)病毒程序從一方傳遞到另一方。這種傳染方式叫做計(jì)算機(jī)病毒的被動(dòng)傳染。主動(dòng)傳染（動(dòng)態(tài)時(shí)）以計(jì)算機(jī)系統(tǒng)的運(yùn)行以及病毒程序處于激活狀態(tài)為先決條件。在病毒處于激活的狀態(tài)下，只要傳染條件滿足，病毒程序能主動(dòng)地把病毒自身傳染給另一個(gè)載體或另一個(gè)系統(tǒng)。這種傳染方式叫做計(jì)算機(jī)病毒的主動(dòng)傳染。板書(shū)42:傳染過(guò)程系統(tǒng)（程序）運(yùn)行-〉各種模塊進(jìn)入內(nèi)存-〉按多種傳染方式傳染傳染方式立即傳染，即病毒在被執(zhí)行的瞬間，搶在宿主程序開(kāi)始執(zhí)行前，立即感染磁盤(pán)上的其他程序，然后再執(zhí)行宿主程序。駐留內(nèi)存并伺機(jī)傳染，內(nèi)存中的病毒檢查當(dāng)前系統(tǒng)環(huán)境，在執(zhí)行一個(gè)程序、瀏覽一個(gè)網(wǎng)頁(yè)時(shí)傳染磁盤(pán)上的程序，駐留在系統(tǒng)內(nèi)存中的病毒程序在宿主程序運(yùn)行結(jié)束后，仍可活動(dòng)，直至關(guān)閉計(jì)算機(jī)。板書(shū)43:文件型病毒傳染機(jī)理首先根據(jù)病毒自己的特定標(biāo)識(shí)來(lái)判斷該文件是否已感染了該病毒；當(dāng)條件滿足時(shí)，將病毒鏈接到文件的特定部位，并存入磁盤(pán)中；完成傳染后，繼續(xù)監(jiān)視系統(tǒng)的運(yùn)行，試圖尋找新的攻擊目標(biāo)。文件型病毒傳染途徑加載執(zhí)行文件瀏覽目錄過(guò)程創(chuàng)建文件過(guò)程板書(shū)44:破壞模塊破壞是Vxer的追求，病毒魅力的體現(xiàn)破壞模塊的功能破壞、破壞、還是破壞……破壞對(duì)象系統(tǒng)數(shù)據(jù)區(qū)、文件、內(nèi)存、系統(tǒng)運(yùn)行速度、磁盤(pán)、CMOS、主板和網(wǎng)絡(luò)等。破壞的程度板書(shū)45:觸發(fā)模塊觸發(fā)條件計(jì)算機(jī)病毒在傳染和發(fā)作之前，往往要判斷某些特定條件是否滿足，滿足則傳染或發(fā)作，否則不傳染或不發(fā)作或只傳染不發(fā)作，這個(gè)條件就是計(jì)算機(jī)病毒的觸發(fā)條件。觸發(fā)模塊的目的是調(diào)節(jié)病毒的攻擊性和潛伏性之間的平衡大范圍的感染行為、頻繁的破壞行為可能給用戶(hù)以重創(chuàng)，但是，它們總是使系統(tǒng)或多或少地出現(xiàn)異常，容易使病毒暴露。而不破壞、不感染又會(huì)使病毒失去其特性?？捎|發(fā)性是病毒的攻擊性和潛伏性之間的調(diào)整杠桿，可以控制病毒感染和破壞的頻度，兼顧殺傷力和潛伏性。板書(shū)46:病毒常用的觸發(fā)條件日期觸發(fā)時(shí)間觸發(fā)鍵盤(pán)觸發(fā)感染觸發(fā)例如，運(yùn)行感染文件個(gè)數(shù)觸發(fā)、感染序數(shù)觸發(fā)、感染磁盤(pán)數(shù)觸發(fā)、感染失敗觸發(fā)等。啟動(dòng)觸發(fā)訪問(wèn)磁盤(pán)次數(shù)觸發(fā)CPU型號(hào)/主板型號(hào)觸發(fā)板書(shū)47:常見(jiàn)計(jì)算機(jī)病毒的技術(shù)特征駐留內(nèi)存病毒變種EPO（EntryPointObscuring）技術(shù)抗分析技術(shù)（加密、反跟蹤）隱蔽性病毒技術(shù)多態(tài)性病毒技術(shù)插入型病毒技術(shù)超級(jí)病毒技術(shù)破壞性感染技術(shù)網(wǎng)絡(luò)病毒技術(shù)如果離開(kāi)這些技術(shù)，就只能是實(shí)驗(yàn)教學(xué)病毒，不具有實(shí)戰(zhàn)能力講授討論互動(dòng)案例講授討論互動(dòng)案例講授討論互動(dòng)案例講授討論互動(dòng)案例講授討論互動(dòng)案例講授討論互動(dòng)案例講授討論互動(dòng)案例講授討論互動(dòng)案例151515151515151515151515151515

第3次課程教學(xué)方案?jìng)湔n時(shí)間年9月10日——年9月12日備課教師張新江教學(xué)時(shí)間年9月22日教學(xué)地點(diǎn)F2-102B周次3課時(shí)數(shù)4教學(xué)內(nèi)容（章、節(jié)）模塊/單元第3章傳統(tǒng)計(jì)算機(jī)病毒教學(xué)目標(biāo)和要求了解COM、EXE、NE、PE可執(zhí)行文件格式掌握引導(dǎo)型病毒原理及實(shí)驗(yàn)了解BIOS和UEFI固件引導(dǎo)病毒掌握COM文件病毒原理及實(shí)驗(yàn)掌握PE文件型病毒及實(shí)驗(yàn)掌握面向doc的宏病毒原理及實(shí)驗(yàn)教學(xué)重點(diǎn)1.COM、EXE、NE、PE可執(zhí)行文件格式2.引導(dǎo)型病毒原理及實(shí)驗(yàn)3.BIOS和UEFI固件引導(dǎo)病毒教學(xué)難點(diǎn)1.COM文件病毒原理及實(shí)驗(yàn)2.PE文件型病毒及實(shí)驗(yàn)3.面向doc的宏病毒原理及實(shí)驗(yàn)教學(xué)方法引導(dǎo)式、討論式、互動(dòng)使用媒體資源?紙質(zhì)材料?多媒體課件?網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等虛擬機(jī)作業(yè)練習(xí)課后習(xí)題課后記（空白不夠可添加附頁(yè)）學(xué)生掌握基本知識(shí)，動(dòng)手能力提升，思想意識(shí)上對(duì)于惡意代碼的本章內(nèi)容有了人文精神與愛(ài)國(guó)情懷的融入。

教學(xué)內(nèi)容（板書(shū)）教學(xué)步驟、方法及學(xué)生活動(dòng)時(shí)間一、引導(dǎo)型病毒編制原理及實(shí)驗(yàn)PC引導(dǎo)流程加電CPU\BIOS初始化POST自檢引導(dǎo)區(qū)、分區(qū)表檢查發(fā)現(xiàn)操作系統(tǒng)執(zhí)行引導(dǎo)程序引導(dǎo)區(qū)病毒取得控制權(quán)的過(guò)程：MBR和分區(qū)表裝載——DOS引導(dǎo)區(qū)——運(yùn)行DOS——引導(dǎo)程序——加載IO.sys——MSDOS.sys——加載ＤＯＳ1正常的引導(dǎo)過(guò)程引導(dǎo)型病毒從軟盤(pán)加載到內(nèi)存尋找DOS引導(dǎo)區(qū)的位置將ＤＯＳ引導(dǎo)區(qū)移動(dòng)到別的位置病毒將自己寫(xiě)入原ＤＯＳ引導(dǎo)區(qū)的位置。２用被感染的軟盤(pán)啟動(dòng)MBR和分區(qū)表將病毒的引導(dǎo)程序加載入內(nèi)存運(yùn)行病毒引導(dǎo)程序病毒駐留內(nèi)存原ＤＯＳ引導(dǎo)程序執(zhí)行并加載ＤＯＳ系統(tǒng)３病毒在啟動(dòng)時(shí)獲得控制權(quán)引導(dǎo)區(qū)病毒實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹客ㄟ^(guò)實(shí)驗(yàn)，了解引導(dǎo)區(qū)病毒的感染對(duì)象和感染特征，重點(diǎn)學(xué)習(xí)引導(dǎo)病毒的感染機(jī)制和恢復(fù)感染染毒文件的方法，提高匯編語(yǔ)言的使用能力?！緦?shí)驗(yàn)內(nèi)容】本實(shí)驗(yàn)需要完成的內(nèi)容如下：引導(dǎo)階段病毒由軟盤(pán)感染硬盤(pán)實(shí)驗(yàn)。通過(guò)觸發(fā)病毒，觀察病毒發(fā)作的現(xiàn)象和步驟學(xué)習(xí)病毒的感染機(jī)制；閱讀和分析病毒的代碼。DOS運(yùn)行時(shí)病毒由硬盤(pán)感染軟盤(pán)的實(shí)現(xiàn)。通過(guò)觸發(fā)病毒，觀察病毒發(fā)作的現(xiàn)象和步驟學(xué)習(xí)病毒的感染機(jī)制；閱讀和分析病毒的代碼?！緦?shí)驗(yàn)環(huán)境】VMWareWorkstation5.5.3MS-DOS7.10【實(shí)驗(yàn)素材】附書(shū)資源experiment目錄下的bootvirus目錄。實(shí)驗(yàn)過(guò)程第一步：環(huán)境安裝安裝虛擬機(jī)VMWare，在虛擬機(jī)環(huán)境內(nèi)安裝MS-DOS7.10環(huán)境。安裝步驟參考附書(shū)資源。第二步：軟盤(pán)感染硬盤(pán)1、運(yùn)行虛擬機(jī)，檢查目前虛擬硬盤(pán)是否含有病毒。如圖表示沒(méi)有病毒正常啟動(dòng)硬盤(pán)的狀態(tài)。2、在附書(shū)資源中拷貝含有病毒的虛擬軟盤(pán)virus.img。3、將含有病毒的軟盤(pán)插入虛擬機(jī)引導(dǎo)，可以看到閃動(dòng)的字符*^_^*，如左圖4。按任意鍵進(jìn)入右圖畫(huà)面。第三步：驗(yàn)證硬盤(pán)已經(jīng)被感染1、取出虛擬軟盤(pán)，通過(guò)硬盤(pán)引導(dǎo)，再次出現(xiàn)了病毒的畫(huà)面。2、按任意鍵后正常引導(dǎo)了dos系統(tǒng)?？梢?jiàn)，硬盤(pán)已經(jīng)被感染。第四步：硬盤(pán)感染軟盤(pán)1、下載empty.img，并且將它插入虛擬機(jī)，啟動(dòng)電腦，由于該盤(pán)為空，如圖顯示。2、取出虛擬軟盤(pán)，從硬盤(pán)啟動(dòng)，通過(guò)命令formatA:/q快速格式化軟盤(pán)?？赡芴崾境鲥e(cuò)，這時(shí)只要按R即可。如圖所示。3、成功格式化后的結(jié)果如圖所示。4、不要取出虛擬軟盤(pán)，重新啟動(dòng)虛擬機(jī)，這時(shí)是從empty.img引導(dǎo)，可以看到病毒的畫(huà)面，如左圖所示。按任意鍵進(jìn)入如右圖畫(huà)面?？梢?jiàn)，病毒已經(jīng)成功由硬盤(pán)傳染給了軟盤(pán)。二、BIOS和UEFI固件引導(dǎo)病毒簡(jiǎn)介著名的情報(bào)組織“方程式”就具有其在硬盤(pán)控制芯片中植入惡意代碼的能力，并在我國(guó)多個(gè)重要部門(mén)陸續(xù)發(fā)現(xiàn)相關(guān)樣本。其它還可被植入惡意代碼的硬件還包括BIOS、網(wǎng)卡、顯卡、聲卡，甚至包括CPU、WIFI模塊都存在被植入惡意代碼的可能性。BIOS/UEFI加載最早固件病毒的特點(diǎn)：BIOS是開(kāi)機(jī)后執(zhí)行的第一段程序，比MBR更加底層，BIOS一旦被感染，即便是重裝系統(tǒng)，格式化硬盤(pán)也無(wú)濟(jì)于事，因此BIOS感染后的駐留能力是最強(qiáng)的，具有不易清除等特性，適用于長(zhǎng)期潛伏。斯諾登泄漏的材料顯示，美國(guó)國(guó)家安全局（NSA）核心部門(mén)TAO小組所使用的ANTPRODUCTS的清單中包括兩款對(duì)于BIOS進(jìn)行植入的工具：SWAP和DEITYBOUNCE。更新時(shí)間為2008年6月20日。DEITYBOUNCEDEITYBOUNCE利用主板的BIOS和利用系統(tǒng)管理模塊（SystemManagementMode）的漏洞駐留在Dell的PowerEdge服務(wù)器上。采用interdiction注入方式。MEBROMI［2011年］2011年安全公司360截獲到名叫MEBROMI的BIOS惡意代碼。MEBROMI是一個(gè)非常簡(jiǎn)陋的面向Award主板的BOOTKIT，MEBROMI通過(guò)BIOS感染硬盤(pán)的引導(dǎo)扇區(qū)MBR，再通過(guò)MBR感染W(wǎng)indows系統(tǒng)文件。MEBROMI運(yùn)行流程UEFIBOOTKIT[2015]2015年著名的黑客公司HackingTeam源代碼泄漏，其中也包括針對(duì)UEFI進(jìn)行攻擊的UEFIBOOTKIT的源代碼。植入有很多前提條件：需要物理控制目標(biāo)機(jī)器，植入過(guò)程需要插入移動(dòng)存儲(chǔ)設(shè)備機(jī)會(huì)，以及需要能重啟目標(biāo)機(jī)器進(jìn)入U(xiǎn)EFIShell模式。代碼分析請(qǐng)參考：/articles/system/72713.htmlInfectionofBiosRootkit在攻擊時(shí)，插入U(xiǎn)盤(pán)，進(jìn)行UEFI

Shell，Startup.nsh引導(dǎo)啟動(dòng)chipsec.efi，然后chipsec.efi把三個(gè).mod模塊寫(xiě)到Bios

ROM上去，重啟電腦時(shí)，Bios

Rootkit就開(kāi)始工作了。三、16位COM可執(zhí)行文件病毒原理及實(shí)驗(yàn)COM格式最簡(jiǎn)單的可執(zhí)行文件就是DOS下的以COM(CopyOfMemory)文件。COM格式文件最大64KB，內(nèi)含16位程序的二進(jìn)制代碼映像，沒(méi)有重定位信息。COM文件包含程序二進(jìn)制代碼的一個(gè)絕對(duì)映像，也就是說(shuō)，為了運(yùn)行程序準(zhǔn)確的處理器指令和內(nèi)存中的數(shù)據(jù)，DOS通過(guò)直接把該映像從文件拷貝到內(nèi)存來(lái)加載COM程序，系統(tǒng)不需要作重定位工作。加載COM程序DOS嘗試分配內(nèi)存。因?yàn)镃OM程序必須位于一個(gè)64K的段中，所以COM文件的大小不能超過(guò)65,024（64K減去用于PSP的256字節(jié)和用于一個(gè)起始堆棧的至少256字節(jié)）。如果DOS不能為程序、一個(gè)PSP、一個(gè)起始堆棧分配足夠內(nèi)存，則分配嘗試失敗。否則，DOS分配盡可能多的內(nèi)存（直至所有保留內(nèi)存），即使COM程序本身不能大于64K。在試圖運(yùn)行另一個(gè)程序或分配另外的內(nèi)存之前，大部分COM程序釋放任何不需要的內(nèi)存。分配內(nèi)存后，DOS在該內(nèi)存的頭256字節(jié)建立一個(gè)PSP（ProgramSegmentPrefix：程序段前綴）。創(chuàng)建PSP后，DOS在PSP后立即開(kāi)始（偏移100H）加載COM文件，它置SS、DS和ES為PSP的段地址，接著創(chuàng)建一個(gè)堆棧。DOS通過(guò)把控制傳遞偏移100H處的指令而啟動(dòng)程序。程序設(shè)計(jì)者必須保證COM文件的第一條指令是程序的入口點(diǎn)。因?yàn)槌绦蚴窃谄?00H處加載，因此所有代碼和數(shù)據(jù)偏移也必須相對(duì)于100H。匯編語(yǔ)言程序設(shè)計(jì)者可通過(guò)置程序的初值為100H而保證這一點(diǎn)（例如，通過(guò)在源代碼的開(kāi)始使用語(yǔ)句org100H）。PSP結(jié)構(gòu)偏移大小

長(zhǎng)度（Byte）

說(shuō)明0000h

02

中斷20H0002h

02

以節(jié)計(jì)算的內(nèi)存大?。ɡ盟煽闯鍪欠窀腥疽龑?dǎo)型病毒）0004h

01

保留0005h

05

至DOS的長(zhǎng)調(diào)用000Ah

02

INT22H入口IP000Ch

02

INT22H入口CS000Eh

02

INT23H入口IP0010h

02

INT23H入口CS0012h

02

INT24H入口IP0014h

02

INT24H入口CS0016h

02

父進(jìn)程的PSP段值（可測(cè)知是否被跟蹤）0018h

14

存放20個(gè)SOFT號(hào)002Ch

02

環(huán)境塊段地址（從中可獲知執(zhí)行的程序名）002Eh

04

存放用戶(hù)棧地址指針0032h

1E

保留0050h

03

DOS調(diào)用（INT21H/RETF）0053h

02

保留0055h

07

擴(kuò)展的FCB頭005Ch

10

格式化的FCB1006Ch

10

格式化的FCB2007Ch

04

保留0080h

80

命令行參數(shù)長(zhǎng)度0081h

127

命令行參數(shù)MZ格式MZ格式：COM發(fā)展下去就是MZ格式的可執(zhí)行文件，這是DOS中具有重定位功能的可執(zhí)行文件格式。MZ可執(zhí)行文件內(nèi)含16位代碼，在這些代碼之前加了一個(gè)文件頭，文件頭中包括各種說(shuō)明數(shù)據(jù)，例如，第一句可執(zhí)行代碼執(zhí)行指令時(shí)所需要的文件入口點(diǎn)、堆棧的位置、重定位表等。裝載過(guò)程：操作系統(tǒng)根據(jù)文件頭的信息將代碼部分裝入內(nèi)存，然后根據(jù)重定位表修正代碼，最后在設(shè)置好堆棧后從文件頭中指定的入口開(kāi)始執(zhí)行。DOS可以把MZ格式的程序放在任何它想要的地方。MZ標(biāo)志 MZ文件頭 其它信息 重定位表的字節(jié)偏移量 重定位表 重定位表 可重定位程序映像 二進(jìn)制代碼 //MZ格式可執(zhí)行程序文件頭structHeadEXE{WORDwType;//00HMZ標(biāo)志W(wǎng)ORDwLastSecSize;//02H最后扇區(qū)被使用的大小WORDwFileSize;//04H文件大小WORDwRelocNum;//06H重定位項(xiàng)數(shù)WORDwHeadSize;//08H文件頭大小WORDwReqMin;//0AH最小所需內(nèi)存WORDwReqMax;//0CH最大所需內(nèi)存WORDwInitSS;//0EHSS初值WORDwInitSP;//10HSP初值WORDwChkSum;//12H校驗(yàn)和WORDwInitIP;//14HIP初值WORDwInitCS;//16HCS初值WORDwFirstReloc;//18H第一個(gè)重定位項(xiàng)位置WORDwOverlap;//1AH覆蓋WORDwReserved[0x20];//1CH保留WORDwNEOffset;//3CHNE頭位置};NE格式為了保持對(duì)DOS的兼容性并滿足Windows的需要，Win3.x中出現(xiàn)的NE格式的可執(zhí)行文件中保留了MZ格式的頭，同時(shí)NE文件又加了一個(gè)自己的頭，之后才是可執(zhí)行文件的可執(zhí)行代碼。NE類(lèi)型包括了EXE、DLL、DRV和FON四種類(lèi)型的文件。NE格式的關(guān)鍵特性是：它把程序代碼、數(shù)據(jù)、資源隔離在不同的可加載區(qū)中；藉由符號(hào)輸入和輸出，實(shí)現(xiàn)所謂的運(yùn)行時(shí)動(dòng)態(tài)鏈接。NE裝載16位的NE格式文件裝載程序（NELoader）讀取部分磁盤(pán)文件，并生成一個(gè)完全不同的數(shù)據(jù)結(jié)構(gòu)，在內(nèi)存中建立模塊。當(dāng)代碼或數(shù)據(jù)需要裝入時(shí)，裝載程序必須從全局內(nèi)存中分配出一塊，查找原始數(shù)據(jù)在文件的位置，找到位置后再讀取原始的數(shù)據(jù)，最后再進(jìn)行一些修正。每一個(gè)16位的模塊（Module）要負(fù)責(zé)記住現(xiàn)在使用的所有段選擇符，該選擇符表示該段是否已經(jīng)被拋棄等信息。MS-DOS頭 DOS文件頭 保留區(qū)域 Windows頭偏移 DOSStub程序 信息塊 NE文件頭 段表 資源表 駐留名表 模塊引用表 引入名字表 入口表 非駐留名表 代碼段和數(shù)據(jù)段 程序區(qū) 重定位表 3COM文件病毒原理感染過(guò)程：將開(kāi)始的3個(gè)字節(jié)保存在orgcode中．將這3個(gè)字節(jié)更改為0E9H和COM文件的實(shí)際大小的二進(jìn)制編碼。將病毒寫(xiě)入原COM文件的后邊。在病毒的返回部分，將3個(gè)字節(jié)改為0E9H和表達(dá)式（當(dāng)前地址－COM文件的實(shí)際大?。《敬a大?。┑亩M(jìn)制編碼，以便在執(zhí)行完病毒后轉(zhuǎn)向執(zhí)行原程序。****************************39:E9ｘｘｘｘＲｅｓｕｍｅ：Ｅ９ＸＸＸＸE9ＡＡＡＡＡＡＡＡＸＸＸＸ源代碼：jump源代碼示例講解演示COM病毒COM文件病毒實(shí)驗(yàn)（實(shí)驗(yàn)二）【實(shí)驗(yàn)?zāi)康摹空莆誄OM病毒的傳播原理?！緦?shí)驗(yàn)平臺(tái)】VMWareWorkstation5.5.3MS-DOS7.10MASM611****************************41:實(shí)驗(yàn)步驟(1)安裝虛擬機(jī)VMWare，安裝步驟參考網(wǎng)上下載的實(shí)驗(yàn)配套資料“解壓縮目錄\Application\MSDOS71\虛擬機(jī)上安裝MSDOS.doc”文檔。(2)在虛擬機(jī)環(huán)境內(nèi)安裝MS-DOS7.10環(huán)境。(3)在MS-DOSC:\MASM目錄下安裝MASM611，然后將binr目錄下的link.exe復(fù)制到bin目錄下。(4)從附書(shū)資源“experiment\com”下復(fù)制病毒程序Virus.asm及測(cè)試程序源代碼BeInfected.asm。(5)編譯鏈接BeInfected.asm，形成BeI測(cè)試程序。(6)編譯鏈接virus.asm，生成病毒程序virus.exe。(7)在C:\MASM\Bin目錄下建立del.txt文件，并且將BeI和病毒復(fù)制到此目錄下。(8)執(zhí)行BeI，觀察未感染前的運(yùn)行結(jié)果。(9)執(zhí)行virus.exe文件以感染BeI文件并且自動(dòng)刪除del.txt。(10)執(zhí)行BeI觀察感染后的結(jié)果?！境绦蛟创a】本實(shí)驗(yàn)以尾部感染COM文件的病毒為例子，其中待感染COM文件源代碼BeInfected.asm、病毒源文件源代碼virus.asm參見(jiàn)附書(shū)源代碼。四、32位操作系統(tǒng)病毒示例分析１P(pán)E文件結(jié)構(gòu)及其運(yùn)行原理２Win32文件型病毒編制技術(shù)３從ring3到ring0概述１P(pán)E文件結(jié)構(gòu)及其運(yùn)行原理(1)PE文件格式總體結(jié)構(gòu)PE（PortableExecutable：可移植的執(zhí)行體）是Win32環(huán)境自身所帶的可執(zhí)行文件格式。它的一些特性繼承自Unix的Coff(CommonObjectFileFormat)文件格式?？梢浦驳膱?zhí)行體意味著此文件格式是跨win32平臺(tái)的，即使Windows運(yùn)行在非Intel的CPU上，任何win32平臺(tái)的PE裝載器都能識(shí)別和使用該文件格式。當(dāng)然，移植到不同的CPU上PE執(zhí)行體必然得有一些改變。除VxD和16位的Dll外，所有win32執(zhí)行文件都使用PE文件格式。因此，研究PE文件格式是我們洞悉Windows結(jié)構(gòu)的良機(jī)。PE文件結(jié)構(gòu)總體層次分布DOSMZheader ‘MZ’格式頭 DOSstub Dos樁程序 PEheader PE文件頭 Sectiontable 節(jié)表 Section1 第1個(gè)節(jié) Section2 第2個(gè)節(jié) … … Sectionn 第n個(gè)節(jié) ２Win32文件型病毒編制技術(shù)Ring-3病毒的兼容性較好Ring-3病毒需要API的支持公開(kāi)的未公開(kāi)的技術(shù)包括：2.1病毒的重定技術(shù)為什么需要重定位？正常程序的變量和函數(shù)的相對(duì)地址都是預(yù)先計(jì)算好的。病毒是附加在宿主程序中的程序段，其問(wèn)題在于：病毒變量和病毒函數(shù)的相對(duì)地址很難計(jì)算。解決方法：動(dòng)態(tài)找一個(gè)參照點(diǎn)，然后再根據(jù)參照點(diǎn)的地址確定病毒函數(shù)和病毒變量的地址。calldeltadelta: popebp…leaeax,[ebp+(offsetvar1-offsetdelta)]參照量delta在內(nèi)存中的地址+變量var1與參考量之間的距離=變量var1在內(nèi)存中的真正地址舉例介紹dwVardd?call@F@@:popebxsubebx,offset@Bmoveax,[ebx+offs