病毒知识名师编辑PPT课件.ppt

《病毒知识名师编辑PPT课件.ppt》由会员分享，可在线阅读，更多相关《病毒知识名师编辑PPT课件.ppt（26页珍藏版）》请在第壹文秘上搜索。

1、病毒知识培训教程病毒知识培训教程 HUC-雪域雄鹰雪域雄鹰 2011年年4月月病毒教程背景病毒教程背景 这么多年来，从来没有在任何黑客论坛里发现有手工清除计算机病毒的教程。而计算机病毒也是网络上最吸引眼球的主角之一，然而要想成为合格的黑客战士，不仅要对攻击防护技术了如指掌，同时要对病毒知识有所学习，甚至在需要你们的时刻，能利用病毒为我所用。根据这么多年的工作经验，如果会手工清除计算机病毒，会让你在工作中很快的成为众人关注的焦点，同时也让公司的人对你刮目相看。所以，我将我所掌握的病毒方面的知识传授给红盟的战友们，一是能掌握一种技术，为你们的就业有所帮助；二是希望我的教程能激发起一部分人对病毒的研

2、究，将来能在这个领域内有所成就。本系列教程旨在引导青年一代，学习和了解计算机病毒的初级知识，以及手工清除计算机病毒的基本套路，常用辅助软件等。有些不足的地方请各位提出宝贵建议，涉及到的辅助软件和病毒样本均来自互联网，请各位小心使用，本作者不承担任何责任。希望所有讲师和技术高手们制作若干统一模板的培训教程，它将成为我们红盟最宝贵的财富和红盟文化的重要组成部分。前言前言 互联网高度发展的时代，随着网络的普及与广泛使用，计算机病毒也变得越来越让人及其讨厌和恐慌。不管买正版的还是下载免费的杀毒软件，都不能真正的防范于未然。因为杀毒软件总是针对已经有了的计算机病毒进行升级，更新的。杀毒软件病毒库的更新永

3、远滞后于计算机病毒的产生。每分钟都有新的计算机病毒产生，难道真的有那么多吃饱撑的没事干的人去开发计算机病毒吗？答案是：NO。制作计算机病毒已经形成了一条商业化的灰色产业链，不法分子通过计算机病毒来获取利益，再加上一些不道德的杀毒软件公司为了参与竞争将自己的杀毒软件销售出去，他们也成了计算机病毒的制造者。他们制造一些只有自己杀毒软件才能清除 的计算机病毒，然后在网络上宣传只有自己的杀毒软件才能最好的克制某种病毒，从而获取较大数量的计算机用户，取得商业利益。只有真正的了解病毒的历史，病毒的种类，传播途径，感染病毒的症状与危害，我们才能在日常工作学习中尽可能的避免病毒对我们造成更大的破坏。同时，通过

4、对计算机病毒知识的学习，也能使我们更深刻的认识计算机系统，掌握注册表，更重要的，您将学会了一种技能，也许在你找工作的会给你加分，从而增加就业机会。培训内容培训内容病毒发展简史病毒分类病毒传播途径感染病毒后的现象与危害病毒常用的技术计算机病毒的命名规则什么是计算机病毒什么是计算机病毒?计算机病毒其实是指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据，计算机病毒其实是指编制或者在计算机程序中插入破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒通过非授权入侵而隐藏在可执行程序和数据文件中，

5、然后通过磁盘和计算机病毒通过非授权入侵而隐藏在可执行程序和数据文件中，然后通过磁盘和网络等媒介进行传播，待适当的时机即被激活，采取反复的自我繁殖和扩散等方式从网络等媒介进行传播，待适当的时机即被激活，采取反复的自我繁殖和扩散等方式从而影响和破坏正常程序的执行和数据安全，危及计算机系统的正常工作，最终导致计而影响和破坏正常程序的执行和数据安全，危及计算机系统的正常工作，最终导致计算机发生故障甚至瘫痪。算机发生故障甚至瘫痪。计算机病毒简史计算机病毒简史计算机病毒的出现是有规律的，一种新的病毒技术出现后，病毒迅速发展，接着反病毒技术的发展会抑制其流传。操作系统升级后，病毒也会调整为新的方式，产生新的

6、病毒技术。第一个病毒雏形的出现：1986年1月，巴基斯坦程序员巴西特艾尔维和阿姆贾德艾尔维兄弟，为防止他们新版的心脏监测软件被别人盗用，编写了一小段代码。他们把这段代码称之为“大脑”，它大致相当于一个个人电脑的“轮夹”。安装了他们的心脏监测程序和这段代码的电脑，将在一年后停止运行。到时候如果你能够证明你是一个合法用户，他们将会为你解除锁定。但这项新技术遇到了意外，“轮夹”不久就被一类计算机爱好者复制，这些人把它隐藏在人们希望打开的各类数字文档中向外发布。因为当时互联网远未普及，几乎所有的带毒文件都是通过软盘向外扩散，所以这种病毒的传播速度很慢。不过它们还是造成了一定程度的破坏，世界各地都有计算

7、机被锁的报道。这些计算机爱好者之所以这样做，要么是因为他们能够，或者说他们想炫耀一下他们能够这样做，要么是想看一下这样做到底会发生什么结果，要么就是他们纯粹是为了好玩。艾尔维兄弟保护自己的知识财产的一番良苦用心好似打开了一个魔瓶，从此，我们的计算机中便日甚一日地塞满了病毒、蠕虫和特洛伊木马。1987年，计算机病毒主要是引导型病毒，具有代表性的是“小球”和“石头”病毒。当时的计算机需要通过软盘启动后使用.引导型病毒利用软盘的启动原理工作。1989年,引导型病毒发展为可以感染硬盘,典型的代表有“石头2”；1989年,可执行文件型病毒出现,利用DOS系统加载执行文件的机制工作,代表为“耶路撒冷”,“

8、星期天”病毒,1990年,发展为复合型病毒,可感染COM和EXE文件。1992年,伴随型病毒出现,它们利用DOS加载文件的优先顺序进行工作，具有代表性的是“金蝉”病毒,它感染EXE文件时生成一个和EXE同名但扩展名为COM的伴随体。在非DOS操作系统中,一些伴随型病毒利用操作系统的描述语言进行工作,具有典型代表的是“海盗旗”病毒。1994年,随汇编语言的发展,实现同一功能可用不同方式进行完成,这些方式的组合使一段看似随机的代码产生相同的运算结果。幽灵病毒就是利用这个特点,每感染一次就产生不同的代码。病毒进入自己进化的时代1995年,蠕虫”出现,它不占用除内存以外的任何资源,不修改磁盘文件,利用

9、网络功能搜索网络地址,将自身向下一地址进行传播，有时也在网络服务器和启动文件中存在。1996年,Windows病毒大量出现和宏病毒成了主角 1997年,随着因特网的发展,各种病毒也开始利用因特网进行传播,一些携带病毒的数据包和邮件越来越多,如果不小心打开了这些邮件,机器就有可能中毒；爪哇(Java),邮件炸弹阶段 1998年，仅为796字节的CIH病毒问世，并被发现。同年蠕虫病毒也在美国大流行。1999年，4月26日CIH病毒正式发作，Happy99、美丽杀手（Melissa）等通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。其特点就是利用Internet的

10、优势，快速进行大规模的传播，从而使病毒在极短的时间内遍布全球。2000年，通过电子邮件传播的爱虫病毒迅速在世界各地蔓延，更大规模的发作，造成全世界空前的计算机系统破坏2001年9月18日出现的Nimda（尼姆达）病毒则是病毒演变过程中的另一个里程碑，它首次利用了系统中的漏洞对互联网发起攻击，具备了典型的黑客特征。它的出现意味着，混合着多种黑客手段的病毒从此诞生。同年，灰鸽子诞生2002年，求职信Klez病毒，邮件病毒，主要影响微软的Outlook Express用户。首次截获了一个传染能力极强的恶性QQ病毒“爱情森林”（Trojan.sckiss）2003年8月11日，冲击波席卷全球，利用微软

11、网络接口RPC漏洞进行传播，造成众多电脑中毒，机器不稳定，重启，死机，部分网络瘫痪，没打过补丁的WINDOWS操作系统很难逃出它的魔爪。2004年，震荡波：具有类似冲击波的表现形式，感染的系统重新启动计算机，原因是给蠕虫病毒导致系统文件lsess.Exe的崩溃。悲惨命运（MyDoom）、网络天空（NetSky）病毒也大行其道2005年8月12日，“狙击波”病毒主要通过MS05039漏洞进行传播。2006年以来熊猫烧香、灰鸽子游戏盗号病毒大量出现，网页病毒，图片病毒，钓鱼病毒，流氓软件，AV终结者，U盘寄生虫、网游大盗、ARP病毒等等就像风一样，刮的到处都是，例子举不完了，具体出现时间记不住了，

12、请网友们补充。史上破坏力最大的史上破坏力最大的10种病毒排名种病毒排名 1.CIH(1998年年)感染Windows 95/98中以EXE为后缀的可行性文件。可以重写BIOS使之无用使用户的计算机无法启动，唯一的解决方法是替换系统原有的芯片(chip)，还会破坏硬盘中的信息。CIH被公认为是有史以来最危险、破坏力最强的计算机病毒之一，在全球范围内造成了2000万-8000万美元的损失。2.梅利莎梅利莎(Melissa,1999年年)隐藏在一个Word97格式的文件里，通过电子邮件传播，侵袭装有Word97或Word2000的计算机。在发现Melissa病毒后短短的数小时内，通过因特网在全球传染

13、数百万台计算机和数万台服务器，因特网在许多地方瘫痪。给全球带来了3亿-6亿美元的损失。3.爱虫爱虫 I love you(2000年年)通过E-Mail散布，给全球带来100亿-150亿美元的损失。4.红色代码红色代码(Code Red，2001年年)迅速传播，并造成大范围的访问速度下降甚至阻断。首先攻击计算机网络的服务器，导致网站瘫痪。其造成的破坏主要是涂改网页，有修改文件的能力，给全球带来26亿美元损失。5.SQL Slammer(2003年年)该病毒利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞对其服务进行攻击。全球共有50万台服务器被攻击，但造成但经济损失较小。6

14、.冲击波冲击波(Blaster，2003年年)病毒运行时利用IP扫描技术寻找网络上系统为Win2K或XP的计算机，利用DCOM RPC缓冲区漏洞攻击系统，攻击成功，病毒体在计算机中进行感染，使系统操作异常、不停重启、甚至导致系统崩溃。2003年夏爆发，数十万台计算机被感染，给全球造成20亿-100亿美元损失。7.大无极大无极.F(Sobig.F，2003年年)Sobig.f利用互联网进行传播，将自己以电子邮件的形式发给它从被感染电脑中找到的所有邮件地址，给全球带来50亿-100亿美元损失。8.贝革热贝革热(Bagle，2004年年)通过电子邮件进行传播，运行后，在系统目录下生成自身的拷贝，修改

15、注册表键值。病毒同时具有后门能力。2004年1月18日爆发，给全球带来数千万美元损失。9.MyDoom(2004年年)通过电子邮件附件和P2P网络Kazaa传播,运行病毒程序后，病毒就会以用户信箱内的电子邮件地址为目标，伪造邮件的源地址，向外发送大量带有病毒附件的电子邮件，同时在主机上留下可以上载并执行任意代码的后门。在高峰时期，导致网络加载时间慢50%以上。10.Sasser(2004年)利用微软操作系统的Lsass缓冲区溢出漏洞(MS04-011漏洞信息)进行传播。由于该蠕虫在传播过程中会发起大量的扫描，因此网络运行造成很大的冲击。给全球带来数千万美元损失。计算机病毒来源计算机病毒来源 计

16、算机病毒的来源多种多样，有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的 有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚 有的是计算机爱好者的恶作剧与商业利益的互相勾结的产物 有的是计算机高手为了报复社会或显示自己技术而创造出来的 某些杀毒软件公司为了推销自己的杀毒软件所制造病毒病毒的特征病毒的特征计算机病毒作为一种特殊的程序具有以下特征：特征：（一）非授权可执行性（一）非授权可执行性，计算机病毒隐藏在合法的程序或数据中，当用户运行正常程序时，病毒伺机窃取到系统的控制权，得以抢先运行，然而此时用户还认为在执行正常程序；（二）隐蔽性（二）隐蔽性，计算机病毒是一种具有很高编程技巧、短小精悍的可执行程序，它通常总是想方设法隐藏自身，防止用户察觉；（三）传染性（三）传染性，传染性是计算机病毒最重要的一个特征，病毒程序一旦侵入计算机系统就通过自我复制迅速传播。（四）潜伏性（四）潜伏性，计算机病毒具有依附于其它媒体而寄生的能力，这种媒体我们称之为计算机病毒的宿主。依靠病毒的寄生能力，病毒可以悄悄隐藏起来，然后在用户不察觉的情况下进行传染。（五）表现性或破坏性（五）表现性或破