网络安全技术与实训病毒攻防原理-杨文虎

宏病毒概述
➢ 宏病毒
概述
宏病毒从某种意义上来讲也是一种文件 型病毒，它是使用宏语言编写的程序， 主要伴随着微软Office办公软件的出现 而产生。 所谓宏，就是指一段类似于批处理命令 的多行代码的集合。宏可以记录命令和 过程，然后将这些命令和过程赋值到一 个组合键或工具栏的按钮上，当按下组 合键时，计算机就会重复所记录的操作。
脚本病毒
➢ 脚本病毒
定义
脚本病毒顾名思义就是用脚本编写 的病毒并且具有传播快、破坏力大 的特点。
脚本病毒-特点
➢ 脚本病毒
特点
➢ 编写简单 ➢ 破坏力大 ➢ 感染力强，病毒变种多 ➢ 病毒生产机实现容易
脚本病毒示例——爱虫病毒
脚本病毒示例——爱虫病毒
宏病毒
➢ 引导型病毒攻击原理 ➢ 脚本病毒攻击原理 ➢ 宏病毒攻击原理 ➢ 蠕虫病毒攻击原理 ➢ 病毒的防御
蠕虫的工作流程
蠕虫程序的工作流程可以分为漏洞扫描、攻击、传染、现场 处理四个阶段，如图所示。
随机生成IP地 址
探测地址
主机是否存 是 漏洞是否存
在？
在？
否
否
攻、传染和 现在处理
搜索更多主机
蠕虫的行为特征
➢ 蠕虫病毒
行为特征
➢ 自我繁殖 ➢ 利用软件漏洞 ➢ 造成网络拥塞 ➢ 消耗系统资源 ➢ 留下安全隐患
病毒的防御
➢ 引导型病毒攻击原理 ➢ 脚本病毒攻击原理 ➢ 宏病毒攻击原理 ➢ 蠕虫病毒攻击原理 ➢ 病毒的防御
病毒的防御
安装防病 毒软件
不要随便 打开不明 来源的邮 件附件
及时安装 最新的安 全补丁
安装完整 性检查软 件
建立一个 系统恢复 盘
定期升级 防病毒软 件
尽量减少 授权使用 你计算机 的人
➢ 红色代码病毒利用了一个Windows NT和Windows 2000自带的Web服务软 件IIS存在的缓存溢出漏洞进行快速的传播，在24小时内就可快速扩展 到全球范围。
➢ 红色代码之后的Nimda病毒更是集成了多种蠕虫的传播方式，成为近期 对全球造成损失最大的病毒之一。
蠕虫程序的功能结构
•复制传播流程 •更强的生存能 力和破坏能力
宏病毒的特性
➢ 宏病毒
特性
➢ 传播容易 ➢ 多平台交叉感染 ➢ 制作、变种方便 ➢ 破坏性大
宏病毒
宏病毒示例
蠕虫病毒
➢ 引导型病毒攻击原理 ➢ 脚本病毒攻击原理 ➢ 宏病毒攻击原理 ➢ 蠕虫病毒攻击原理 ➢ 病毒的防御
蠕虫病毒
➢ 蠕虫病毒
概述
蠕虫病毒是一种特殊病毒类型。传统的 病毒无论是感染文件还是感染引导区， 往其他计算机的传染都是被动的，需要 借助计算机用户的行为。 蠕虫病毒则不需要用户的操作，只要病 毒驻留内存，它就会主动向其他的计算 机进行传播。它与其他的病毒相比，具 有传染的主动性。
引导区病毒-感染机制
引导区病毒感染机制
引导区是病毒将自身代码写入引导扇区，覆盖系统原来 的引导内容。为了完成系统的正常引导，病毒在自身的 代码中包含了基本的引导程序。也就是说，在这种方式 下，系统的引导实际上是由病毒来完成的。
脚本病毒
➢ 引导型病毒攻击原理 ➢ 脚本病毒攻击原理 ➢ 宏病毒攻击原理 ➢ 蠕虫病毒攻击原理 ➢ 病毒的防御
蠕虫病毒历史
➢ 第一个不需要人为干涉就能在互联网上活动的蠕虫是在1988年被罗伯 特·莫里斯释放的莫里斯蠕虫。莫里斯蠕虫的出现开创了蠕虫病毒的时 代，在这之后诞生的各种蠕虫基本都是使用了和莫里斯蠕虫的相类似的 技术。
➢ 1999年，梅丽莎（Melissa）蠕虫病毒的出现改变了这一切。感染了梅 丽莎蠕虫病毒的文件在首次打开的时候，蠕虫会打开Outlook的地址薄， 然后将自身的副本发送到地址薄中的前50个邮件地址。为迷惑用户，病 毒邮件的标题是一个很多人都关心的话题。
新课导入
➢ 引导区病毒 ➢ 脚本病毒 ➢ 宏病毒 ➢ 蠕虫病毒 ➢ 病毒的防御措施
引导型病毒
➢ 引导型病毒攻击原理 ➢ 脚本病毒攻击原理 ➢ 宏病毒攻击原理 ➢ 蠕虫病毒攻击原理 ➢ 病毒的防御
引导区病毒-概述
引导型病毒
主引导区病毒 引导区病毒
引导区病毒-感染机制
主引导区病毒感染机制
引导区病毒是将系统的正常引导信息（原引导区的内容）转移 到磁盘中的某个空闲的位置保存起来，用病毒代码代替正常的 系统引导信息，这样，主引导区中实际已经不是正常的引导信 息，而是病毒代码。 当系统启动时，病毒代码先驻留到内存中，当病毒代码驻留内 存后，再跳转到保存系统正常引导信息的磁盘扇区去开始执行 真正的系统引导程序。通常，为了使保存正常引导信息的磁盘 空间不会被其他数据所覆盖，病毒会将引导信息保存在操作系 统不会访问的保留空间中。
从外部获 取数据前 先进行检 查
定期备份 你的文件