計算機病毒概述計算機病毒概述國家信息中心聯(lián)合瑞星公司發(fā)布的《2022年中國網絡安全報告》中，截獲病毒樣本總量7355萬個，病毒感染次數(shù)1.24億

1994年2月18日，我國正式頒布實施了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，在《條例》第二十八條中明確指出：計算機病毒:指編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。病毒：Virus一、計算機病毒的定義1、計算機病毒的產生的思想基礎和病毒發(fā)展簡介2、實驗室中產生——病毒的祖先（磁芯大戰(zhàn)）3、計算機病毒的出現(xiàn)（1983年）4、我國計算機病毒的出現(xiàn)（1989年）二、計算機病毒的發(fā)展史（1）編制人員出于一種炫耀和顯示自己能力的目的（2）某些軟件作者出于版權保護的目的而編制（3）出于某種報復目的或惡作劇而編寫病毒（4）出于政治、戰(zhàn)爭的需要病毒的產生原因1.DOS引導階段2.DOS可執(zhí)行階段3.伴隨階段4.多形階段5.生成器、變體機階段6.網絡、蠕蟲階段7.視窗階段8.宏病毒階段9.郵件病毒階段10.移動設備病毒階段計算機病毒的發(fā)展歷程時間（年）名稱事件1987黑色星期五病毒第一次大規(guī)模爆發(fā)1988蠕蟲病毒羅伯特·莫里斯寫的第一個蠕蟲病毒19904096第一個隱蔽型病毒，會破壞數(shù)據1991米開朗基羅第一個格式化硬盤的開機型病毒1996Nuclear基于MicrosoftOffice的病毒1998CIH第一個破壞硬件的病毒1999Mellisa、happy99郵件病毒2000VBS.Timofonica第一個手機病毒2001Nimda集中了當時所有蠕蟲傳播途徑，成為當時破壞性非常大的病毒2003沖擊波通過微軟的RPC緩沖區(qū)溢出漏洞進行傳播的蠕蟲病毒2006熊貓燒香破壞多種文件的蠕蟲病毒2008磁碟機病毒其破壞、自我保護和反殺毒軟件能力均10倍于“熊貓燒香”病毒2014蘋果大盜病毒爆發(fā)在“越獄”的iPhone手機上，目的是盜取AppleID和密碼2017WannaCry勒索病毒至少150個國家的30萬名用戶中招，造成損失達80億美元（約518億元人民幣）2018GandCrab勒索病毒勒索病毒依然是2018年影響最大的病毒2020RagnarLocker勒索病毒RagnarLocker既是勒索軟件病毒，又是其背后的犯罪組織，主要針對全球關鍵基礎設施，包括最近對葡萄牙國家航空公司和以色列醫(yī)院的攻擊。2021SupermanMiner挖礦木馬挖礦病毒不僅給用戶帶來經濟損失，還會帶來巨大能源消耗2022adware.burden國內流氓軟件使用的流氓模塊，主要通過web下載和共享鄧方式傳播計算機病毒分類主講老師石淑華傳染性破壞性潛伏性可觸發(fā)性非授權性隱藏性不可預見性計算機病毒的特征依據不同的分類標準，計算機病毒可以做不同的歸類。常見的分類標準有：1.根據病毒依附的操作系統(tǒng)2.根據病毒的傳播媒介3.根據病毒的傳染途徑3.2計算機病毒分類DOSMicrosoftWindowsUnix(Linux)嵌入式操作系統(tǒng)移動設備操作系統(tǒng)（OS、Android）病毒攻擊的操作系統(tǒng)引導型病毒文件型病毒OFFICE宏病毒蠕蟲病毒按照病毒的宿主分類一般的病毒是需要的寄生的，它可以通過自己指令的執(zhí)行，將自己的指令代碼寫到其他程序的體內，而被感染的文件就被稱為”宿主”引導型病毒文件型病毒宏病毒宏病毒是一種寄存在文檔或模板的宏中的計算機病毒。一旦打開這樣的文檔，其中的宏就會被執(zhí)行，于是宏病毒就會被激活，轉移到計算機上，并駐留在Normal模板上。定義：宏病毒是利用系統(tǒng)的開放性專門制作的一個或多個具有病毒特點的宏的集合，這種病毒宏的集合影響到計算機的使用，并能通過文檔及模板進行自我復制及傳播。宏病毒的特點與共性隱蔽性強傳播迅速（當時）制作、變種方便破壞可能性極大多平臺交叉感染宏病毒的傳播

宏病毒一般通過Normal模板傳播。通過AutoOpen，AutoClose，AutoNew和AutoExit等自動宏獲得控制權。病毒宏中必然含有對文檔讀寫操作的宏指令。Word宏病毒發(fā)現(xiàn)方法在Normal模板發(fā)現(xiàn)有AutoOpen等自動宏，F(xiàn)ileSave等標準宏或一些怪名字的宏，而自己又沒有加載特殊模板，這就有可能有病毒了。當打開一個文檔時，未經任何改動，立即就有存盤操作打開以DOC為后綴的文件在另存菜單中只能以模板方式存盤無法使用“另存為（SaveAs）”修改路徑不能再被轉存為其它格式的文件DOC文件具備與DOT文檔相一致的內部格式(盡管文件擴展名未改變)。預防宏病毒對于已染毒的模板文件（Normal.dot），應先把其中的自動宏清除（AutoOpen、AutoClose、AutoNew），然后將其置成只讀方式。對于其他已染毒的文件均應將自動宏清除，這樣就可以達到清除病毒的目的。平時使用時要加強預防。對來歷不明的宏最好刪除。先禁止所有自動執(zhí)行的宏。安裝反病毒軟件。蠕蟲（worm）病毒是自包含的程序（或是一套程序），它能傳播自身功能的拷貝或自身的某些部分到其他的計算機系統(tǒng)。利用網絡進行復制和傳播，傳染途徑是通過網絡和電子郵件。與一般病毒不同，蠕蟲不需要將其自身附著到宿主程序。蠕蟲病毒比較項目病毒類型傳統(tǒng)病毒蠕蟲病毒存在形式寄存文件獨立存在傳染機制宿主文件運行主動攻擊傳染目標文件網絡計算機病毒傳播途徑主講老師石淑華傳染性破壞性潛伏性可觸發(fā)性非授權性隱藏性不可預見性計算機病毒的特征計算機病毒的傳播途徑病毒PC端存儲介質軟盤移動硬盤網絡下載Web網頁電子郵件即時通信軟件局域網共享其他網絡應用移動端APP惡意鏈接硬件設備芯片物聯(lián)網設備計算機病毒實例主講老師石淑華WannaCry勒索病毒概述勒索病毒是一類利用各種手段拒絕用戶訪問其電腦或者電腦中數(shù)據，并以此要求用戶支付贖金的一類惡意軟件。2017年5月12日WannaCry勒索病毒橫掃全球，在全世界150多個國家數(shù)百萬臺計算機受到攻擊，有超過200個國家受到攻擊，數(shù)十萬臺計算機感染。永恒之藍介紹SMB是一個網絡協(xié)議，用于Web連接和客戶端與服務器之間的信息溝通。Windows系統(tǒng)為實現(xiàn)設備之間共享文件數(shù)據的目的，使用了更高版本的SMB協(xié)議，通過TCP端口445和139端口實現(xiàn)相鄰網絡中間的計算機中文件的共享功能永恒之藍是利用Windows系統(tǒng)的SMB協(xié)議的漏洞，可以獲取系統(tǒng)最高權限的工具。WannaCry病毒現(xiàn)象WannaCry病毒的運行流程WannaCry病毒的釋放的文件WannaCry與暗網聯(lián)系的端口WannaCry加密流程1、瀏覽網頁時提高警惕，不下載可疑文件，警惕偽裝為瀏覽器更新或者flash更新的病毒。2、安裝殺毒軟件，保持監(jiān)控開啟，及時升級病毒庫。3、安裝防勒索軟件，防御未知勒索病毒。4、不打開可疑郵件附件，不點擊可疑郵件中的鏈接。5、及時更新系統(tǒng)補丁，防止受到漏洞攻擊。6、備份重要文件，建議采用本地備份+脫機隔離備份+云端備份。勒索病毒的防御計算機病毒的防御主講老師石淑華感染病毒出現(xiàn)的異常現(xiàn)象

1．運行速度緩慢，CPU使用率異常2．查找可疑進程3．藍屏4．瀏覽器出現(xiàn)異常5．應用程序圖標被篡改或為空白1． 特征代碼法2．校驗和法3．行為監(jiān)測法4．軟件模擬法 5.主動防御6.云查殺反病毒技術簡述｝啟發(fā)式掃描1.采集已知病毒樣本2．打開被檢測文件，檢查文件中是否含有病毒數(shù)據庫中的病毒特征代碼（唯一性）。優(yōu)點：

檢測準確快速、可識別病毒的名稱、誤報警率低、依據檢測結果，可做殺毒處理。缺點：

不能檢測未知病毒、搜集已知病毒的特征代碼，費用開銷大、在網絡上效率低（在網絡服務器上，因長時間檢索會使整個網絡性能變壞）。

特征代碼法文件特征代碼內存特征代碼將正常文件的內容，計算其校驗和，將該校驗和寫入文件中或寫入別的文件中保存。

主要針對多態(tài)病毒。特點：能發(fā)現(xiàn)已知病毒，也能發(fā)現(xiàn)未知病毒，但是，它不能識別病毒類型和名稱。誤報率高校驗和法利用病毒的特有行為特征性來監(jiān)測病毒的方法行為特征舉例：

A.占有內存特殊位置

B.改DOS系統(tǒng)為數(shù)據區(qū)的內存總量

C.對COM、EXE文件做寫入動作

D.病毒程序與宿主程序的切換特點：

可發(fā)現(xiàn)未知病毒、可相當準確地預報未知的多數(shù)病毒。

可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度。行為監(jiān)測法為了檢測多態(tài)性病毒，可應用軟件模擬法。它是一種軟件分析器，用軟件方法來模擬和分析程序的運行。沙盤（沙盒）-Sandboxie

軟件模擬法（虛擬家法）主動防御是一種阻止惡意程序執(zhí)行的技術?？梢栽诓《景l(fā)作時進行主動而有效的全面防范，從技術層面上有效應對未知病毒的傳播。主動防御（瑞星）殺毒軟件中的“主動防御功能安裝防病毒軟件定期升級防病毒軟件不隨便打開不明來源的郵件附件盡量減少其他人使用你的計算機及時打系統(tǒng)補丁從外面獲取數(shù)據先檢察建立系統(tǒng)恢復盤定期備份文件綜合各種防病毒技術五、病毒的預防措施反病毒軟件主講老師石淑華多引擎設置

多功能模塊

沙箱

立體化防御云查殺是指利用云計算技術來進行病毒檢測和殺毒操作的新型安全技術。云查殺深度學習能力：檢測引擎，使用深度學習技術，基于海量攻防樣本，智能識別未知威脅。云沙箱：在云端啟用沙箱，監(jiān)控惡意樣本攻擊行為，結合大數(shù)據分析、機器學習等技術，自動化檢測和發(fā)現(xiàn)未知威脅，提供有效的動態(tài)分析檢測能力。利用病毒的特有行為特征性來監(jiān)測病毒的方法行為特征舉例：

A.占有內存特殊位置

B.改DOS系統(tǒng)為數(shù)據區(qū)的內存總量

C.對COM、EXE文件做寫入動作

D.病毒程序與宿主程序的切換特點：

可發(fā)現(xiàn)未知病毒、可相當準確地預報未知的多數(shù)病毒。

可能誤報警、不能識別病毒名稱、實現(xiàn)時有一定難度。行為監(jiān)測法為了檢測多態(tài)性病毒，可應用軟件模擬法。它是一種軟件