计算机病毒的防治.ppt

《计算机病毒的防治.ppt》由会员分享，可在线阅读，更多相关《计算机病毒的防治.ppt（31页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第8章章 计算机病毒计算机病毒主要内容：主要内容：1概述 2病毒原理 3病毒技术 4反病毒技术5 常用反病毒软件 6.1 概述概述 6.1.1 定义定义广义：凡能够引起计算机故障，破坏数据的程序。权威定义：编制或者插入计算机程序中的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。中华人民共和国计算机信息安全保护条例6.1.2 特征特征寄生性（宿主程序）寄生性（宿主程序）传染性传染性隐蔽性隐蔽性潜伏性潜伏性触发性触发性破坏性破坏性6.1.3 传播途径传播途径通过不可移动的计算机硬件设备通过不可移动的计算机硬件设备通过可移动存储设备通过可移动存储设备通过计算机

2、网络通过计算机网络通过无线通道通过无线通道6.1.4 分类分类按攻击的按攻击的OS按传播媒介按传播媒介按危害程度按危害程度按寄生方式按寄生方式从广义病毒定义从广义病毒定义v按攻击的按攻击的OS：攻击攻击DOS攻击攻击WINDOWS攻击攻击UNIX/LINUX攻击嵌入式攻击嵌入式OSv按按传播媒介传播媒介：单机病毒：磁盘单机病毒：磁盘网络病毒：网络，当今最多网络病毒：网络，当今最多v按按危害程度危害程度：良性病毒良性病毒恶性病毒恶性病毒中性病毒中性病毒v按按寄生方式寄生方式：引导型引导型文件型（文件型（.exe.bat.dll.vxd.sys）混合型混合型v从广义定义：从广义定义：传统病毒传统病

3、毒特洛伊木马特洛伊木马蠕虫蠕虫特洛伊木马特洛伊木马定义：泛指那些内部包含有为完成特定任务而编制的程定义：泛指那些内部包含有为完成特定任务而编制的程序，一种潜伏执行非授权功能的技术。本质上属于远程序，一种潜伏执行非授权功能的技术。本质上属于远程控制工具。控制工具。原理：原理：c/s模式模式传播途径传播途径email附件附件用户间的文件交换用户间的文件交换被其它恶意代码携带被其它恶意代码携带互联网下载的文件互联网下载的文件特征和行为特征和行为不自我复制；不自我复制；被感染计算机变慢或出现异常行为；被感染计算机变慢或出现异常行为；多出一个或多个任务；多出一个或多个任务；注册表或配置文件被修改注册表或

4、配置文件被修改预防：预防：不执行来历不明的程序不执行来历不明的程序必备杀毒软件必备杀毒软件蠕虫蠕虫定义：通过网络来传播特定信息或错误，破坏网络信息定义：通过网络来传播特定信息或错误，破坏网络信息或造成网络服务中断的病毒。或造成网络服务中断的病毒。特点：特点：利用网络软件的缺陷，进行自我复制和主动传播。利用网络软件的缺陷，进行自我复制和主动传播。6.2 病毒原理病毒原理3个功能模块：个功能模块：引导模块引导模块传染模块传染模块破坏模块破坏模块传统病毒（引导型、文件型）传统病毒（引导型、文件型）引导型病毒工作流程引导型病毒工作流程文件型病毒工作流程文件型病毒工作流程宏病毒宏病毒宏宏：一一系系列列组

5、组合合在在一一起起的的命命令令或或指指令令，它它们们形形成一个命令，以实现任务执行自动化。成一个命令，以实现任务执行自动化。宏病毒：存储于文档、模版中的病毒宏病毒：存储于文档、模版中的病毒特点：只感染微软数据文件特点：只感染微软数据文件机机制制：用用VB高高级级语语言言编编写写的的病病毒毒代代码码，直直接接混混杂杂在在文文档档中中传传播播。当当打打开开一一个个染染毒毒文文档档或或执执行行触触发发宏宏病病毒毒的的操操作作时时，病病毒毒激激活活，并并存存储储在在normal.dot在，以后保存的文档被自动感染。在，以后保存的文档被自动感染。工作流程工作流程网络病毒网络病毒种类：蠕虫、木马种类：蠕虫

6、、木马传播方式：传播方式：email、网页、文件传输网页、文件传输如：如：loveletter、happytime6.3 病毒技术病毒技术寄生技术寄生技术驻留技术驻留技术加密变形技术加密变形技术隐藏技术隐藏技术寄生技术寄生技术将将病病毒毒代代码码加加入入正正常常程程序序中中，原原正正常常程程序序功能的部分或全部保留。功能的部分或全部保留。头寄生头寄生尾寄生尾寄生插入寄生插入寄生文件型病毒使用最多文件型病毒使用最多驻留技术驻留技术当当染染毒毒文文件件执执行行时时，将将病病毒毒部部分分功功能能模模块块进入内存，即使程序结束，仍驻留内存。进入内存，即使程序结束，仍驻留内存。如如果果杀杀毒毒软软件件只

7、只清清除除文文件件中中病病毒毒，而而不不清清除除内内存中病毒，仍会感染。存中病毒，仍会感染。加密变形技术加密变形技术对不同传染实例呈现多样性。对不同传染实例呈现多样性。传传统统病病毒毒在在代代码码中中总总有有自自身身特特点点，反反病病毒毒软件厂商利用这些特点编制特征码，进行检测。软件厂商利用这些特点编制特征码，进行检测。隐藏技术隐藏技术病病毒毒在在进进入入系系统统后后，会会采采取取种种种种方方法法隐隐藏藏行踪，使不易被发现。行踪，使不易被发现。6.4 反病毒技术反病毒技术6.4.1 发现病毒发现病毒系统运行迟钝系统运行迟钝程序加载时间过长程序加载时间过长简单操作，硬盘花费很长时间简单操作，硬盘

8、花费很长时间异常错误信息出现异常错误信息出现内存、磁盘空间忽然大量减少内存、磁盘空间忽然大量减少程序文件大小、属性、内容改变程序文件大小、属性、内容改变经常死机经常死机 出现不明常驻任务出现不明常驻任务异常声音、画面异常声音、画面6.4.2 检测技术检测技术比比较较法法：进进行行原原始始的的或或正正常常的的特特征征与与被被检检测测对对象特征进行比较象特征进行比较文件长度、内容、内存、中断向量文件长度、内容、内存、中断向量优点：简单、方便、不需专用软件优点：简单、方便、不需专用软件缺点：无法确认病毒种类、名称缺点：无法确认病毒种类、名称校校验验和和法法：计计算算正正常常文文件件的的校校验验和和，

9、并并保保存存，然后定期比较然后定期比较优点：可侦测各式病毒，包括未知病毒优点：可侦测各式病毒，包括未知病毒缺点：误判率高，无法确认病毒种类缺点：误判率高，无法确认病毒种类分析法：该法使用人员主要是反毒技术人员分析法：该法使用人员主要是反毒技术人员搜搜索索法法：用用病病毒毒含含有有的的特特定定字字符符串串对对被被检检测测对对象进行扫描。象进行扫描。特征字符串的选择好坏，起决定作用。特征字符串的选择好坏，起决定作用。缺缺点点：扫扫描描时时间间长长；不不易易选选取取合合适适特特征征串串；病病毒毒特特征征码码未未更更新新时时，无无法法识识别别新新病病毒毒和和并并行行病病毒。毒。目前使用最普遍。目前使用

10、最普遍。6.4.3 清除清除摘除染毒文件中的病毒代码，恢复正常。摘除染毒文件中的病毒代码，恢复正常。专用杀毒软件或手工。专用杀毒软件或手工。6.4.4 免疫免疫原原理理：根根据据病病毒毒签签名名实实现现，由由于于病病毒毒在在感感染染文文件时，对已感染文件，不再感染件时，对已感染文件，不再感染可可人人为为在在“健健康康程程序序”中中加加入入病病毒毒签签名名，起起到到免疫作用。免疫作用。6.4.5 预防预防经常备份数据经常备份数据新购磁盘、软件等，先查毒新购磁盘、软件等，先查毒避免在无防毒软件或公用计算机上使用移动盘避免在无防毒软件或公用计算机上使用移动盘对对计计算算机机的的使使用用进进行行控控制

11、制，禁禁止止来来历历不不明明人人进进入系统入系统采采用用杀杀毒毒软软件件，实实时时监监控控、经经常常杀杀毒毒、及及时时升升级级6.5 常见杀毒软件常见杀毒软件必备功能：必备功能：查、杀查、杀对新病毒的反应能力对新病毒的反应能力对文件备份、恢复对文件备份、恢复实时监控实时监控界面友好，使用方便界面友好，使用方便对资源占有情况对资源占有情况国内外著名杀毒软件：国内外著名杀毒软件：诺诺顿顿、officeScan、卡卡巴巴斯斯基基、瑞瑞星星、江江民、金山民、金山习题与思考题习题与思考题 1什么是计算机病毒？2计算病毒的基本特征是什么？3简述计算机病毒攻击的对象及所造成的危害。4病毒按寄生方式分为哪几类？5计算机病毒一般由哪几部分构成，各部分的作用是什么？计算机病毒的预防有哪几方面？6简述检测计算机病毒的常用方法。7简述宏病毒的特征及其清除方法。8什么是计算机病毒免疫？9简述计算机病毒的防治措施。10什么是网络病毒，防治网络病毒的要点是什么？