河大版-信息技术-四年级下册-《木马和病毒》课件

网民中，首选安装360安全卫士的已超过3.5亿。
上页 下页
功能：
压缩新秀WINZIP
一个强大并且易用的压缩实用程序，支持ZIP、CAB、TAR、 GZIP、MIME，以及更多格式的压缩文件，其特点是紧密地与 Windows资源管理器拖放集成，不用留开资源管理器而进行压缩/ 解压缩.
安装：
教师演示----安装过程 启动WinZip：
旨在攻击和摧毁计算机信息和计算机系统而制造的病毒； （二） 金山毒霸软件
大多数病毒主要是通过软盘传播，但是，随着因特网 的发展，现在的病毒正越来越多在通过因特网进行传播。
上页 下页
病毒产生的背景、来源和预防
1、产生的背景
写保护所有系统盘计和文算件；机犯罪的一种新的衍化形式。计算机软硬件产
旨在攻击和摧毁计算机信息和计算机系统而制造的病毒；
上页 下页
3、病毒的预防
首先应该谨慎使用公共和共享软件；其次应尽可能 不使用办公室以外带来的软盘；写保护所有系统盘和文 件；除非是原始盘，绝不用软件去引导硬盘；绝不执行 不知来源的程序。
4、病毒的症状
由于病毒程序把自己或操作系统的一部分用坏簇隐 起来，磁盘坏簇莫名其妙地增多；可执行程序容易变大； 丢失数据和程序；打印出现问题；死机现象增多；系统 出现异常动作；程序出现异常现象和不合理的结果等等。
2、病毒的来源 360安全卫士是一款由奇虎网推出的功能强、效果好、受用户欢迎的上网安全软件。
以及增加了的硬盘数据备份功能。 除非是原始盘，绝不用软件去引导硬盘； 其次应尽可能不使用办公室以外带来的软盘；
程序出现异常现象和计不合算理的机结果人等等员。和业余爱好者的恶作剧，一般为良性病 毒；软件公司及用户为保护自己的软件被非法复制而采 取的报复性惩罚措施；旨在攻击和摧毁计算机信息和计 算机系统而制造的病毒；用于研究目的而设计的程序， 由于某种原因失去控制或产生了意想不到的效果。

木马攻击与防范
二：实验原理—1.木马的特性
❖ 伪装性：伪装成合法程序。 ❖ 隐蔽性：在系统中采用隐藏手段，不让使用
者觉察到木马的存在。 ❖ 破坏性：对目标计算机的文件进行删除、修
改、远程运行，还可以进行诸如改变系统配 置等恶性破坏操作。 ❖ 窃密性：偷取被入侵计算机上的所有资料。
木马攻击与防范
二：实验原理—2.木马的入侵途径
一：实验目的
❖ 通过对木马的练习，理解和掌握木马传播和 运行机制；
❖ 通过手动删除木马，掌握检查木马和删除木 马的技巧，学会防御木马的相关知识，加深 对木马的安全防范意识。
木马攻击与防范
二：实验原理
❖ 木马的全称为特洛伊木马，来源于古希腊神 话。木马是具有远程控制、信息偷取、隐蔽 传输功能的恶意代码，它通过欺骗后者诱骗 的方式安装，并在用户计算机中隐藏以实现 控制用户计算机的目的。
网络通信； ❖ 通信隐藏：进行通信时，将目标端口设定为常用的
80、21等端口，可以躲过防火墙的过滤； ❖ 隐藏加载方式：通过各类脚本允许木马；修改设备
驱动程序或修改动态链接库(DLL)来加载木马。
木马攻击与防范
二：实验原理—5.木马的检测
❖ 木马的远程控制功能要实现，必须通过执行 一段代码来实现。为此，木马采用的技术再 新，也会在操作系统中留下痕迹。
木马对目标计算机进行控制。
木马攻击与防范
二：实验原理—3.木马的连接方式
❖ 一般木马都采用C/S运行模式，即客户端和服 务端木马程序。
❖ 黑客安装木马的客户端，同时诱骗用户安装 木马的服务端。
木马攻击与防范
木马攻击与防范Leabharlann 木马攻击与防范二：实验原理—4.木马的隐藏方式
❖ 任务栏隐藏：使程序不出现在任务栏； ❖ 进程隐藏：躲避任务管理器等进程管理工具； ❖ 端口隐藏：躲避嗅探工具，使用户无法发现隐蔽的

冒充为图像文件
将特洛伊木马说成为图像文件，比如说是照片
伪装成应用程序扩展组件
此类属于最难识别的特洛伊木马，黑客们将木马程序写成任何类型的文 件（例如dll ocx）等然后挂在一个十分出名的软件中，在打开如OICQ时， 有问题的文件即会同时执行。
此类入侵大多也是特洛伊木马编写者，只要稍加改动，就会派生出一支 新木马来，所以即使杀毒软件也拿它没有丝毫办法
下载的软件中找到源木马文件，根据大小去系统文件夹中找相同大小的文件，判 断下哪个是木马就行了，而此种木马我自我销毁功能。在没查杀木马的工具帮助 下，就很难删除木马了
木马采用的伪装方法
木马更名
为了伪装自己木马服务端程序命名跟系统文件名差不多的名字，对系统 文件不够了解，不敢删除（WINDOW .exe dl）
利用系统自动运行的程序
木马的种类
破坏型
惟一的功能就是破坏并且自动删除文件,(DLL、INI、EXE)
密码发送型
找到隐藏密码并把它们发送到指定的邮箱。
密码存在电脑中 密码记忆功能 黑客软件长期潜伏记录操作者键盘的操作，从中寻找有用的密码
远程访问型
最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户端知道服务端的IP 地址，就可以实现远程控制，实现观察“受害者”正在干什么，
11另一种鲜为人知的启动方式，是在开始—运行—执行Gpedit.msc，设置用户添 加的自动启动的程序，如果刚才添加的是木马程序，那么一个“隐形”木马 就这样诞生了。因为用这种方式添加的自启动程序在系统的“系统配置实用 程序”找不到，在注册表中也是找不到
12还有一种不需要通过启动项也能达到跟随系统启动的卑劣手法，那就是“系统 路径遍历优先级欺骗” 在系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则，它会 由系统所在盘符的根目录开始向系统目录深处递进查找，而不是精确定位。 这种手法常被用于“internat.exe”因为无论哪个windows版本的启动项里，它 都是没有设置路径的

通过提供软件下载的网站(Web/FTP/BBS)传播
木马程序一般非常小，只有是几K到几十K，如果把木马捆绑到 其它正常文件上，用户是很难发现的，所以，有一些网站被人 利用，提供的下载软件往往捆绑了木马文件，在用户执行这些 下载的文件的同时，也运行了木马
通过一般的病毒和蠕虫传播
通过带木马的磁盘和光盘进行传播
2．记录各种口令信息：包括开机口令、屏保口令、各种共享资源口令及绝大多数在对话框 中出现过的口令信息；
3．获取系统信息：包括计算机名、注册公司、当前用户、系统路径、操作系统版本、当前 显示分辨率、物理及逻辑磁盘信息等多项系统数据；
4．限制系统功能：包括远程关机、远程重启计算机、锁定鼠标、锁定系统热键及锁定注册 表等多项功能限制；
木马病毒的原理及特征分 析
08:47:32
1
特洛伊木马的定义
特洛伊木马(Trojan Horse)，简称木马，是一 种恶意程序，是一种基于远程控制的黑客工具， 一旦侵入用户的计算机，就悄悄地在宿主计算 机上运行，在用户毫无察觉的情况下，让攻击 者获得远程访问和控制系统的权限，进而在用 户的计算机中修改文件、修改注册表、控制鼠 标、监视/控制键盘，或窃取用户信息
08:47:32
18
特洛伊木马技术的发展
木马的发展及成熟，大致也经历了两个阶段 Unix阶段 Windows阶段
木马技术发展至今，已经经历了4代 第一代木马
只是进行简单的密码窃取、发送等，没有什么特别之处
第二代木马
在密码窃取、发送等技术上有了很大的进步，冰河可以说是国内木马 的典型代表之一
Infis作为内核模式驱动程序驻留内存，并且挂钩文件 操作，它能够在文件打开时立即感染该文件。
安装程序把病毒拷贝到系统内存中，并在系统注册表 中添加该病毒的注册项。该病毒把自己的可执行代码 连同自己的PE文件头一起追加到目标文件的末尾， 然后从自己代码中提取出一个名为INF.SYS的独立驱 动程序，把这个程序保存在%SystemRoot%\ system32 \drivers目录下，修改注册表，保证下一次 系统启动时病毒也能够进入运行状态。

通常的病毒应急反应预案流程图
二、蠕虫防范 防病毒 蠕虫防范 木马防范 恶意网页防范 恶意代码的分析
蠕虫技术 蠕虫的特征 蠕虫的基本结构 蠕虫发作特点和趋势 蠕虫分析和防范
蠕虫的特征 定义：一段能不以其他程序为媒介，从一个电脑 体统复制到另一个电脑系统的程序
物理隔离网络中病毒的传播 系统漏洞传播； 存储介质传播； 邮件传播；
建立有效的病毒防范管理机制 建立防病毒管理机构 防病毒管理机制的制定和完善 制定防病毒管理制度 用技术手段保障管理的有效性 加强培训以保障管理机制执行
建立有效的病毒防范管理机制
建立有效的病毒应急机制 建立应急响应中心 病毒事件分级 制定应急响应处理预案 应急响应流程 应急响应的事后处理
木马防范
防病毒 蠕虫防范 木马防范 恶意网页防范 恶意代码的分析
木马 木马定义及生存方式 五代木马技术的发展 关键技术和检测方法 防范实例和方法
木马程序的生存方式 包含一个合法程序中，与合法程序绑定在一起， 在用户调用该合法程序时，木马程序也被启动； 在一个合法程序中加入此非法程序执行代码，该 代码在用户调用合法程序时被执行； 直接伪装成合法程序。
宏病毒

后门病毒

病毒种植程序

病毒的分类
破坏性程序病毒
破坏性程序病毒的前缀是：Harm 用好看的图标来诱惑用户点击 ，当点击这类病毒时，便会直接对计算机产生破坏。如格式化c 盘（harmformatcf） 玩笑病毒的前缀是：joke。也成恶作剧病毒。用好看的图标来诱 惑用户点击，但不对电脑进行破坏。如：女鬼（joke.grilghost） 病毒。 捆绑机病毒的前缀是:binder.用特定的捆绑程序将病毒与应用程序 如qq、ie捆绑起来，当运行这些捆绑病毒时，会表面上运行这些 应用程序，然后隐藏运行捆绑在一起的病毒。如：捆绑qq（ binder.qqpass.qqbin）

2003年8月19日爆发，以垃圾邮件为载体，该病毒为此前的Sobig变种，给全球带来50亿～100亿美元的损失。 第八名：贝革热（Bagle，2004年)
2004年1月18日在世界范围爆发，给全世界带来数千万美元的损失。 第九名：MyDoom (2004年)
2004年1月26日在世界范围内爆发，高峰时，导致网络加载时间慢50%以上。 第十名：Sasser (2004年)
防/治病毒
一般防范措施
谨慎使用公共和共享的软件 密切关注有关媒体发布的反病毒信息 写保护所有系统盘和文件 尽量用正版软件 备份 安装正版杀毒软件，定期查毒、杀毒，交叉杀毒可以确保
杀毒的效果，及时升级（绝对不能用破解的杀毒软件） 使用病毒防火墙 不把用户数据或程序写到系统盘上 不执行不知来源的程序
2004年4月30日爆发，给全球带来数千万美元的损失。
目的
自己实践
故意输入计算机病毒以及其他有害数据危害计 算机信息系统安全的，由公安机关处以警告或 者对个人处以5000元以下的罚款、对单位处以 15000元以下的罚款；有违法所得的，除予以 没收外，可以处以违法所得1至3倍的罚款。 （公安部，2006年2月）
病毒检测能力较弱 内存占用：45－50MB
Kaspersky
最优秀、最顶级的网络杀毒软件 查杀病毒性能远远高于同类产品 监控方面存在不足
内存占用：30—35MB
个人使用
BitDefender 9 Professional Plus
病毒类型
引导扇区 文件（exe,dll,com…） 混合（引导扇区&文件） 宏（80%）
个人认为比较恶心的是（dll文件病毒和宏 病毒）
破坏力最大的10种计算机病毒。

计算机病毒的发展史
在病毒的发展史上，呈现一定的规律性，一般情况是新的病 毒技术出现后，病毒会迅速发展，接着反病毒技术的发展会 抑制其流传。操作系统升级后，病毒也会调整为新的方式， 产生新的病毒技术。它可划分为： （1）DOS引导阶段 。1987年，软盘传播，在计算机通过软 盘启动过程中取得控制权，减少系统内存，修改磁盘读写中 断，影响系统工作效率。 （2）DOS可执行阶段 。1989年，利用DOS系统加载执行文 件的机制，在系统执行文件时取得控制权，修改DOS中断， 在系统调用时进行传染，并自我复制。代表病毒：耶路撒冷， 星期天 （3）伴随、批次型阶段。1992年，利用DOS加载文件的优 先顺序工作，不改变原来的文件内容和属性，受此感染的 EXE文件会生成一个扩展名为COM的同名伴随文件。
3.计算机病毒的特点
（6）攻击的主动性。无法彻底排除攻击 （7）病毒的针对性。针对特定操作系统，软件，硬 件等存在的漏洞。 （8）病毒的非授权性。 （9）病毒的隐蔽性。传染的隐藏性，存在的隐藏性。 （10）病毒的衍生性。产生各种变种，难以完全抵御 （11）病毒的寄生性(依附性) 。依赖于宿主程序 （12）病毒的持久性。从存在到被发现的周期很长， 及时被发现后的清除工作也很复杂。
4.1.4 计算机病毒的分类
1.按攻击对像分类 若按病毒攻击的对象来分类，可分为攻击微 型计算机、小型机和工作站的病毒，甚至安 全措施很好的大型机及计算机网络也是病毒 攻击的目标。这些攻击对象之中，以攻击微 型计算机的病毒最多，其中90％是攻击IBM PC机及其兼容饥的。其他还有攻击 Macintosh及Amiga计算机的。

4.1.2 计算机病毒的定义及特征
1.计算机病毒的定义：编制或者在计算机程序中插入的破坏计算机功 能湖综合破坏数据，影响计算机使用并且能够自我复制的一组计算 机指令或者程序代码。 2.计算机病毒的产生。展示才华、报复、好奇、为软件拿不到报酬预 留的陷阱，政治军事宗教、获取利益 3.计算机病毒的特点 （1）计算机病毒的程序性(可执行性)。寄生或单独 （2）计算机病毒的传染性。病毒程序一旦进入计算机并得以执行，就 会自动搜索其他符合其传染条件的程序或存储介质，确定目标后再 将自身代码插入其中，达到自我繁殖的目的。可通过U盘，网络等 手段进行传播。 （3）计算机病毒的潜伏性。表现（一）不通过专门杀毒软件无法检测 和识别，（二）不满足触发条件时，病毒除了传染不做破坏工作， 不易察觉。 （4）计算机病毒的可触发性。时间，日期，文件类型或某些特定数据。 （5）计算机病毒的破坏性。消耗资源，降低系统性能，毁掉数据，破 坏硬件，盗取敏感信息。

5
•
•
•
（4）幽灵、多形阶段 （汇编语言） （5）生成器、变体机阶段 （汇编语言） （6）网络，蠕虫阶段 （7）视窗阶段。1996年，随着Windows视窗操作系 统的日益普及，利用Windows进行工作的病毒开始 发展，如典型的word宏病毒，利用word提供的宏语 言编写病毒程序。 （8）爪哇(Java)、邮件炸弹阶段 。随着java技术在互 联网上的普及，典型代表java snake和Mail-Bomb。 （9）互连网阶段。泛蠕虫– 特点
5．技术更加先进。一些蠕虫病毒与网页的脚本相结 合，利用VB Script、Java、ActiveX等技术隐藏在 HTML页面里。当用户上网浏览含有病毒代码的网页 时，病毒会自动驻留内存并伺机触发。还有一些蠕虫 病毒与后门程序或木马程序相结合，比较典型的是" 红色代码病毒"，它会在被感染计算机Web目录下的 \scripts下将生成一个root.exe后门程序，病毒的传播 者可以通过这个程序远程控制该计算机。
22
按传染方式分类
• 传染磁盘引导区的病毒 • 传染可执行文件的病毒
传染操作系统文件的病毒 传染一般可执行文件的病毒 既传染文件又传染磁盘引导区的病毒
23
按病毒存在的媒体分类
• 可以分为网络病毒、文件病毒和引导型病毒。 • 网络病毒通过计算机网络传播感染网络中的可执行文件； • 文件病毒感染计算机中的文件（如：COM，EXE，DOC
19
计算机病毒的生命周期
（1）开发期。以前制作一个病毒需要有很好的编程基础，现 在有一点计算机编程知识的人都能制作病毒，通常是在一个 漏洞被公开后的一段时间内。 （2）传染期。复制和传播，通过感染热门论坛和站点使得病 毒迅速传播到互联网。 （3）潜伏期。触发条件不满足，发作前 （4）发作期。触发条件满足进行发作，有各种特征 （5）发现期。防病毒厂商和相关安全部门 （6）消化期。针对衍生病毒和由此引起新病毒的检测。 （7）消亡期。已感染的计算机成功清除，并打了补丁，安装 了防病毒软件。发现到消亡通常是一个长期的过程

常见的计算机病毒识别工具
03
防病毒软件
如360安全卫士、腾讯电脑管家等，能够 实时监控和扫描系统中的病毒。
在线病毒扫描工具
系统自带的安全中心
如Jotti的在线病毒扫描器等，可以上传可 疑文件进行在线检测。
Windows操作系统自带的安全中心也提 供基本的病毒防护和扫描功能。
04
计算机病毒的预防与清除
计算机病毒的危害与影响
对个人用户的危害
计算机病毒会破坏个人用户的文件和数据，导致重要信息的丢失或泄露。同时，病毒还可能占用系统资源，导致计算 机性能下降或崩溃。
对企业和组织的危害
对于企业和组织来说，计算机病毒的危害更加严重。病毒可能导致重要业务数据的丢失或泄露，造成巨大的经济损失 。此外，病毒还可能破坏企业的网络系统和信息安全体系，给企业带来严重的安全风险。
计算机病毒具有隐蔽性、传染性、潜伏性、可触发性和破坏性等特点 。它们通常附着在其他程序或文件中，通过复制自身或修改其他程序 来传播，对计算机系统造成不同程度的危害。
计算机病毒的历史与发展
早期病毒
早期的计算机病毒主要出现在DOS操作系统中，如1986年的“大脑”病毒和1987年的“ 黑色星期五”病毒。这些病毒主要通过感染文件来传播，造成系统崩溃或数据丢失。
程序异常
应用程序无法正常运行，出现 未知错误或崩溃。
弹出窗口和广告
频繁弹出未知窗口或广告，且 不易关闭。
如何识别计算机病毒
01
观察症状
注意计算机是否出现上述中毒 症状。
02
使用安全软件
安装并更新防病毒软件，定期 进行全面扫描。
03
检查任务管理器
查看是否有异常进程占用大量 资源。
04

金融损失
恶意软件可能导致财务损失，如盗取信用卡信 息、勒索财产。
系统瘫痪
恶意软件可导致系统崩溃，无法正常运行，影 响工作和生活。
影响声誉
遭受木马和病毒攻击可能损害个人或企业的声 誉。
4. 木马和病毒的攻击方式
1
社会工程
通过欺骗和诱导人们提供敏感信息，如钓鱼网站、钓鱼邮件。
2
恶意链接和附件
通过发送包含恶意代码的链接或附件，感染用户的计算机。
一种自我复制的恶意程序，通过感染其他文 件传播自身，对计算机系统造成损害。
2. 木马和病毒的特点及分类
特点
• 木马：隐藏、潜伏、隐蔽 • 病毒：自我复制、感染性、传播能力
分类
• 木马：远控木马、监视木马、金融木马 • 病毒：文件病毒、宏病毒、蠕虫病毒
3. 木马和病毒的危害和影响
个人隐私泄露
木马和病毒可能窃取用户敏感信息，如银行账 号和密码。
作用
监控和限制网络流量，防止未经授权的访问和 攻击。
配置
设置允许和阻止的规则，确保只有合法的数据 流通过防火墙。
7. 杀毒软件的选择和更新
选择
选择可信赖的杀毒软件，具备实时监测、 自动更新和病毒库更新功能。
更新
定期更新杀毒软件和病毒库，以检测和清 除最新的病毒。
8. 系统漏洞的修补和补丁更新
1 修补ห้องสมุดไป่ตู้
3
可执行文件感染
将恶意代码插入可执行文件，当用户运行时感染计算机。
5. 木马和病毒的防御技术
1 实时防护软件
2 定期系统更新
安装杀毒软件、防火墙等 实时监测和防御恶意软件。
及时安装系统补丁和更新 软件，修复已知漏洞。
3 网络安全意识培养

（3） 潜伏性 一个强大并且易用的压缩实用程序，支持ZIP、CAB、TAR、GZIP、MIME，以及更多格式的压缩文件，其特点是紧密地与Windows资源
管理器拖放集成，不用留开资源管理器而进行压缩/解压缩. 一个强大并且易用的压缩实用程序，支持ZIP、CAB、TAR、GZIP、MIME，以及更多格式的压缩文件，其特点是紧密地与Windows资源 管理器拖放集成，不用留开资源管理器而进行压缩/解压缩. 一个强大并且易用的压缩实用程序，支持ZIP、CAB、TAR、GZIP、MIME，以及更多格式的压缩文件，其特点是紧密地与Windows资源
上页 下页
压缩新秀WINZIP
功能：
一个强大并且易用的压缩实用程序，支持ZIP、CAB、TAR、GZIP、MIME，以 及更多格式的压缩文件，其特点是紧密地与Windows资源管理器拖放集成，不用 留开资源管理器而进行压缩/解压缩.
安装：
教师演示----安装过程
启动WinZip：
使用WinZip：
（3） 混合型病毒 管理器拖放集成，不用留开资源管理器而进行压缩/解压缩.
一个强大并且易用的压缩实用程序，支持ZIP、CAB、TAR、GZIP、MIME，以及更多格式的压缩文件，其特点是紧密地与Windows资源 管理器拖放集成，不用留开资源管理器而进行压缩/解压缩. 大多数病毒主要是通过软盘传播，但是，随着因特网的发展，现在的病毒正越来越多在通过因特网进行传播。 大多数病毒主要是通过软盘传播，但是，随着因特网的发展，现在的病毒正越来越多在通过因特网进行传播。 大多数病毒主要是通过软盘传播，但是，随着因特网的发展，现在的病毒正越来越多在通过因特网进行传播。
（1） 引导型病毒 管理器拖放集成，不用留开资源管理器而进行压缩/解压缩.