第3章计算机病毒及防治课件.ppt

《第3章计算机病毒及防治课件.ppt》由会员分享，可在线阅读，更多相关《第3章计算机病毒及防治课件.ppt（37页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第第3章计算机病毒及防治章计算机病毒及防治第1页，此课件共37页哦3.1 计算机病毒概述计算机病毒概述计算机病毒的定义计算机病毒的定义 n n “计计计计算算算算机机机机病病病病毒毒毒毒”最最最最早早早早是是是是由由由由美美美美国国国国计计计计算算算算机机机机病病病病毒毒毒毒研研研研究究究究专专专专家家家家F.CohenF.Cohen博博博博士士士士提提提提出出出出的的的的。“计计计计算算算算机机机机病病病病毒毒毒毒”有有有有很很很很多多多多种种种种定定定定义义义义，国国国国外外外外最最最最流流流流行行行行的的的的定定定定义义义义为为为为：计计计计算算算算机机机机病病病病毒毒毒毒，是是是是一一

2、一一段段段段附附附附着着着着在在在在其其其其他他他他程程程程序序序序上上上上的的的的可可可可以以以以实实实实现现现现自自自自我我我我繁繁繁繁殖殖殖殖的的的的程程程程序序序序代代代代码码码码。在在在在中中中中华华华华人人人人民民民民共共共共和和和和国国国国计计计计算算算算机机机机信信信信息息息息系系系系统统统统安安安安全全全全保保保保护护护护条条条条例例例例中中中中的的的的定定定定义义义义为为为为：“计计计计算算算算机机机机病病病病毒毒毒毒是是是是指指指指编编编编制制制制或或或或者者者者在在在在计计计计算算算算机机机机程程程程序序序序中中中中插插插插入入入入的的的的破破破破坏坏坏坏计计计计算算算

3、算机机机机功功功功能能能能或或或或者者者者数数数数据据据据，影影影影响响响响计计计计算算算算机机机机使使使使用用用用并并并并且且且且能能能能够够够够自自自自我我我我复复复复制制制制的的的的一一一一组组组组计计计计算算算算机机机机指指指指令或者程序代码令或者程序代码令或者程序代码令或者程序代码”。返回本节第2页，此课件共37页哦计算机病毒的发展历史计算机病毒的发展历史n n19861986年年1月，首例病毒：巴基斯坦病毒月，首例病毒：巴基斯坦病毒(Pakistan或称或称或称或称BrainBrain病毒病毒病毒病毒)，1986-1995 1986-1995 年间主要通过软盘传播。年间主要通过软盘

4、传播。年间主要通过软盘传播。年间主要通过软盘传播。n n1989年春，在我国发现了首例计算机病毒年春，在我国发现了首例计算机病毒年春，在我国发现了首例计算机病毒年春，在我国发现了首例计算机病毒小球病毒小球病毒小球病毒小球病毒n n19991999年年email出现之前，利用微软出现之前，利用微软出现之前，利用微软出现之前，利用微软Word等程序的宏病毒等程序的宏病毒将散布时间从数周甚至数月缩短到了数天。将散布时间从数周甚至数月缩短到了数天。n n19981998年的年的CIHn n19981998年以后：红色代码、尼姆达、冲击波年以后：红色代码、尼姆达、冲击波年以后：红色代码、尼姆达、冲击波年

5、以后：红色代码、尼姆达、冲击波 n n19901990年，赛门铁克推出了年，赛门铁克推出了Norton AntivirusNorton Antivirus，这是由一，这是由一，这是由一，这是由一家重要软件公司开发出的第一个反病毒程序。家重要软件公司开发出的第一个反病毒程序。家重要软件公司开发出的第一个反病毒程序。家重要软件公司开发出的第一个反病毒程序。第3页，此课件共37页哦3.1.1 计算机病毒的概念和发展史计算机病毒的概念和发展史1萌芽阶段萌芽阶段2DOS平台阶段平台阶段3Windows平台阶段平台阶段4互联网阶段互联网阶段第4页，此课件共37页哦3.1.2 计算机病毒的特征计算机病毒的特

6、征计算机病毒的特征计算机病毒的特征计算机病毒一般具有以下几个特征。计算机病毒一般具有以下几个特征。计算机病毒一般具有以下几个特征。计算机病毒一般具有以下几个特征。1 1传染性传染性传染性传染性病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。病毒通过各种渠道从已被感染的计算机扩散到未被感染的计算机。2 2非授权性非授权性非授权性非授权性隐藏在正常文件中，窃取到系统的控制权，病毒的动作、目的队用隐藏在正常文件中，窃取到系统的控制权，病毒的动作、目的队用隐藏在正常文件中，窃取

7、到系统的控制权，病毒的动作、目的队用隐藏在正常文件中，窃取到系统的控制权，病毒的动作、目的队用户是未知的，未经用户许可的。户是未知的，未经用户许可的。户是未知的，未经用户许可的。户是未知的，未经用户许可的。3 3隐蔽性隐蔽性隐蔽性隐蔽性不经过代码分析，很难将病毒程序与正常程序区别开来。不经过代码分析，很难将病毒程序与正常程序区别开来。不经过代码分析，很难将病毒程序与正常程序区别开来。不经过代码分析，很难将病毒程序与正常程序区别开来。4 4潜伏性潜伏性潜伏性潜伏性一般不会马上发作，可能隐藏在合法程序中，默默进行传染扩散而不被人发一般不会马上发作，可能隐藏在合法程序中，默默进行传染扩散而不被人发一

8、般不会马上发作，可能隐藏在合法程序中，默默进行传染扩散而不被人发一般不会马上发作，可能隐藏在合法程序中，默默进行传染扩散而不被人发现。现。现。现。5 5破坏性破坏性破坏性破坏性一旦发作会造成系统或数据的损伤甚至毁灭。一旦发作会造成系统或数据的损伤甚至毁灭。一旦发作会造成系统或数据的损伤甚至毁灭。一旦发作会造成系统或数据的损伤甚至毁灭。6 6不可预见性不可预见性不可预见性不可预见性不同种类的病毒，它们的代码千差万别不同种类的病毒，它们的代码千差万别不同种类的病毒，它们的代码千差万别不同种类的病毒，它们的代码千差万别第5页，此课件共37页哦3.1.3 计算机病毒的种类计算机病毒的种类1按病毒的寄生

9、方式分类按病毒的寄生方式分类（1）文件型病毒）文件型病毒（2）引导型病毒）引导型病毒（3）混合型病毒）混合型病毒2按病毒的传染方法分类按病毒的传染方法分类（1）驻留型病毒）驻留型病毒（2）非驻留型病毒）非驻留型病毒第6页，此课件共37页哦3按病毒的破坏能力分类按病毒的破坏能力分类（1）无害性）无害性具有病毒的特征，传染时仅减少磁盘的可用空间，对系统没有其他影响。具有病毒的特征，传染时仅减少磁盘的可用空间，对系统没有其他影响。具有病毒的特征，传染时仅减少磁盘的可用空间，对系统没有其他影响。具有病毒的特征，传染时仅减少磁盘的可用空间，对系统没有其他影响。（2）无危害性）无危害性这类病毒对系统影响较

10、小，仅是减少内存，显示信息、图像或发出这类病毒对系统影响较小，仅是减少内存，显示信息、图像或发出这类病毒对系统影响较小，仅是减少内存，显示信息、图像或发出这类病毒对系统影响较小，仅是减少内存，显示信息、图像或发出声音等。声音等。声音等。声音等。（3）危险性）危险性这类病毒在计算机系统操作中造成严重的错误。这类病毒在计算机系统操作中造成严重的错误。这类病毒在计算机系统操作中造成严重的错误。这类病毒在计算机系统操作中造成严重的错误。（4）非常危险性）非常危险性这类病毒会删除程序，破坏数据，清除系统内存区和操作系统这类病毒会删除程序，破坏数据，清除系统内存区和操作系统这类病毒会删除程序，破坏数据，清

11、除系统内存区和操作系统这类病毒会删除程序，破坏数据，清除系统内存区和操作系统中重要的信息，甚至会破坏计算机硬件，对系统的危害是最大中重要的信息，甚至会破坏计算机硬件，对系统的危害是最大中重要的信息，甚至会破坏计算机硬件，对系统的危害是最大中重要的信息，甚至会破坏计算机硬件，对系统的危害是最大的。的。的。的。第7页，此课件共37页哦4按病毒特有的算法分类按病毒特有的算法分类（1）伴随型病毒）伴随型病毒（2）“蠕虫蠕虫”病毒病毒（3）寄生型病毒）寄生型病毒5按病毒的链接方式分类按病毒的链接方式分类（1）源码型病毒）源码型病毒（2）嵌入型病毒）嵌入型病毒（3）外壳病毒）外壳病毒（4）操作系统型病毒）

12、操作系统型病毒第8页，此课件共37页哦3.2 计算机病毒的工作机理计算机病毒的工作机理3.2.1 引导型病毒引导型病毒1引导区的结构引导区的结构2计算机的引导过程计算机的引导过程3引导型病毒的基本原理引导型病毒的基本原理n n覆盖型和转移型覆盖型和转移型覆盖型和转移型覆盖型和转移型第9页，此课件共37页哦图图3.1 转移型引导病毒的原理图转移型引导病毒的原理图第10页，此课件共37页哦3.2.2 文件型病毒文件型病毒（1）内存驻留的病毒首先检查系统内存，查内存驻留的病毒首先检查系统内存，查看内存是否已有此病毒存在，如果没有则将看内存是否已有此病毒存在，如果没有则将病毒代码装入内存进行感染。病毒

13、代码装入内存进行感染。（2）对于内存驻留病毒来说，驻留时还会把对于内存驻留病毒来说，驻留时还会把一些一些DOS或者基本输入输出系统（或者基本输入输出系统（BIOS）的）的中断指向病毒代码中断指向病毒代码（3）执行病毒的一些其他功能，如破坏功能，执行病毒的一些其他功能，如破坏功能，显示信息或者病毒精心制作的动画等。显示信息或者病毒精心制作的动画等。（4）这些工作后，病毒将控制权返回被感染这些工作后，病毒将控制权返回被感染程序，使正常程序执行。程序，使正常程序执行。第11页，此课件共37页哦（a）引导型病毒）引导型病毒 （b）文件型病毒）文件型病毒病毒的传播、破坏过程病毒的传播、破坏过程返回本节第

14、12页，此课件共37页哦3.2.3 混合型病毒混合型病毒混合型病毒顾名思义就是集引导型和混合型病毒顾名思义就是集引导型和文件型病毒特性为一体的病毒，它们可以文件型病毒特性为一体的病毒，它们可以感染可执行文件，也可以感染引导区，并感染可执行文件，也可以感染引导区，并使之相互感染，具有相当强的感染力。使之相互感染，具有相当强的感染力。第13页，此课件共37页哦3.2.4 宏病毒宏病毒宏病毒是计算机病毒历史上发展最快宏病毒是计算机病毒历史上发展最快的病毒，它也是传播最广泛，危害最大的的病毒，它也是传播最广泛，危害最大的一类病毒。据国际计算机安全协会一类病毒。据国际计算机安全协会（Internatio

15、nal Computer Security Association）的统计报道，在当前流行的）的统计报道，在当前流行的病毒中，宏病毒占全部病毒的病毒中，宏病毒占全部病毒的80%左右。左右。宏病毒是一类使用宏语言编写的程序，宏病毒是一类使用宏语言编写的程序，依赖于微软依赖于微软Office办公套件办公套件Word、Excel和和PowerPoint等应用程序传播。等应用程序传播。第14页，此课件共37页哦1宏病毒的特征宏病毒的特征（1）宏病毒与传统的文件型病毒有很大的不宏病毒与传统的文件型病毒有很大的不同。同。（2）宏病毒的感染必须通过宏语言的执行环宏病毒的感染必须通过宏语言的执行环境（如境（如

16、Word和和Excel程序）的功能，不能直程序）的功能，不能直接在二进制的数据文件中加入宏病毒代码。接在二进制的数据文件中加入宏病毒代码。（3）宏病毒是一种与平台无关的病毒，任何宏病毒是一种与平台无关的病毒，任何可以正确打开和理解可以正确打开和理解Word文件宏代码的平台文件宏代码的平台都可能感染宏病毒。都可能感染宏病毒。第15页，此课件共37页哦（4）此外宏病毒编写容易，破坏性强。它使用此外宏病毒编写容易，破坏性强。它使用此外宏病毒编写容易，破坏性强。它使用此外宏病毒编写容易，破坏性强。它使用Visual Basic For Applications（VBAVBA）这样的高级语言编写，）这样

17、的高级语言编写，编写比较简单，功能比较强大，只要掌握一些基本的编写比较简单，功能比较强大，只要掌握一些基本的“宏宏”编写手段，即可编写出破坏力很大的宏病毒。编写手段，即可编写出破坏力很大的宏病毒。（5）宏病毒的传播速度极快。由于网络的普及，宏病毒的传播速度极快。由于网络的普及，EmailEmail和和FTP服务使人们更加方便快捷地获取信息，但服务使人们更加方便快捷地获取信息，但同时也为宏病毒的传播提供了便利条件。而且，随着同时也为宏病毒的传播提供了便利条件。而且，随着“无纸办公无纸办公”方式的使用，微软方式的使用，微软OfficeOffice软件已经成为办软件已经成为办公人员不可缺少的工具，这

18、也为宏病毒提供了广阔的公人员不可缺少的工具，这也为宏病毒提供了广阔的天地。天地。第16页，此课件共37页哦2宏病毒的感染机制宏病毒的感染机制3宏病毒的表现宏病毒的表现（1）有些宏病毒只进行自身的传播，并不）有些宏病毒只进行自身的传播，并不具破坏性。具破坏性。（2）这些宏病毒只对用户进行骚扰，但不）这些宏病毒只对用户进行骚扰，但不破坏系统。破坏系统。（3）有些宏病毒极具破坏性。）有些宏病毒极具破坏性。第17页，此课件共37页哦3.2.5 网络病毒网络病毒1蠕虫病毒的传播过程蠕虫病毒的传播过程蠕虫病毒的传播可以分为蠕虫病毒的传播可以分为蠕虫病毒的传播可以分为蠕虫病毒的传播可以分为3 3个基本模块：

19、个基本模块：个基本模块：个基本模块：（1）扫描）扫描由蠕虫病毒的扫描功能模块负责探测存在漏洞的主机。由蠕虫病毒的扫描功能模块负责探测存在漏洞的主机。由蠕虫病毒的扫描功能模块负责探测存在漏洞的主机。由蠕虫病毒的扫描功能模块负责探测存在漏洞的主机。（2）攻击）攻击攻击模块按漏洞攻击步骤自动攻击步骤（攻击模块按漏洞攻击步骤自动攻击步骤（攻击模块按漏洞攻击步骤自动攻击步骤（攻击模块按漏洞攻击步骤自动攻击步骤（1 1）中找到的对象，取得该）中找到的对象，取得该）中找到的对象，取得该）中找到的对象，取得该主机的权限（一般为管理员权限），获得一个主机的权限（一般为管理员权限），获得一个主机的权限（一般为管理

20、员权限），获得一个主机的权限（一般为管理员权限），获得一个shellshell。（3）复制）复制复制模块通过原主机和新主机的交互将蠕虫病毒程序复制到新主机并复制模块通过原主机和新主机的交互将蠕虫病毒程序复制到新主机并复制模块通过原主机和新主机的交互将蠕虫病毒程序复制到新主机并复制模块通过原主机和新主机的交互将蠕虫病毒程序复制到新主机并启动。启动。启动。启动。第18页，此课件共37页哦2蠕虫病毒的入侵过程蠕虫病毒的入侵过程手动入侵一般可分为以下三步。手动入侵一般可分为以下三步。（1）用各种方法收集目标主机的信息，找到用各种方法收集目标主机的信息，找到可利用的漏洞或弱点。可利用的漏洞或弱点。（2）

21、针对目标主机的漏洞或缺陷，采取相应针对目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权的技术攻击主机，直到获得主机的管理员权限。对搜集来的信息进行分析，找到可以有限。对搜集来的信息进行分析，找到可以有效利用的信息。效利用的信息。（3）利用获得的权限在主机上安装后门、跳利用获得的权限在主机上安装后门、跳板、控制端和监视器等，并清除日志。板、控制端和监视器等，并清除日志。第19页，此课件共37页哦（1）“扫描攻击复制扫描攻击复制”模式模式（2）蠕虫病毒传播的其他模式）蠕虫病毒传播的其他模式3蠕虫病毒的安全防御蠕虫病毒的安全防御第20页，此课件共37页哦3.3 计算机病毒实例计算

22、机病毒实例3.3.1 CIH病毒病毒CIH病毒是一种文件型病毒，又称病毒是一种文件型病毒，又称Win95.CIH、Win32.CIH以及以及PE_CIH，其，其宿主是宿主是Windows 95/98系统下的系统下的PE格式可格式可执行文件（执行文件（.EXE文件），在文件），在DOS平台和平台和Windows NT/2000平台中病毒不起作用。平台中病毒不起作用。第21页，此课件共37页哦CIHCIH病毒简介病毒简介1 1CIHCIH病毒分析病毒分析病毒分析病毒分析 CIHCIH病病病病毒毒毒毒是是是是迄迄迄迄今今今今为为为为止止止止发发发发现现现现的的的的最最最最阴阴阴阴险险险险、危危危危害

23、害害害最最最最大大大大的的的的病病病病毒毒毒毒之之之之一一一一。它它它它发发发发作作作作时时时时不不不不仅仅仅仅破破破破坏坏坏坏硬硬硬硬盘盘盘盘的的的的引引引引导导导导扇扇扇扇区区区区和和和和分分分分区区区区表表表表，而而而而且且且且破破破破坏坏坏坏计计计计算算算算机机机机系系系系统统统统FLASH BIOSFLASH BIOS芯片中的系统程序，导致主板损坏。芯片中的系统程序，导致主板损坏。芯片中的系统程序，导致主板损坏。芯片中的系统程序，导致主板损坏。2 2CIHCIH病毒发作时的现象病毒发作时的现象病毒发作时的现象病毒发作时的现象 CIHCIH病病病病毒毒毒毒发发发发作作作作时时时时，将将

24、将将用用用用凌凌凌凌乱乱乱乱的的的的信信信信息息息息覆覆覆覆盖盖盖盖硬硬硬硬盘盘盘盘主主主主引引引引导导导导区区区区和和和和系系系系统统统统BOOTBOOT区区区区，改改改改写写写写硬硬硬硬盘盘盘盘数数数数据据据据，破破破破坏坏坏坏FLASH FLASH BIOSBIOS，用用用用随随随随机机机机数数数数填填填填充充充充FLASHFLASH内内内内存存存存，导导导导致致致致机机机机器器器器无无无无法法法法运运运运行行行行。所所所所以以以以该该该该病病病病毒毒毒毒发发发发作作作作时时时时仅仅仅仅会会会会破坏可升级主板的破坏可升级主板的破坏可升级主板的破坏可升级主板的FLASH BIOSFLASH

25、 BIOS。第22页，此课件共37页哦1 1CIHCIH病毒的驻留（病毒的引导）病毒的驻留（病毒的引导）病毒的驻留（病毒的引导）病毒的驻留（病毒的引导）当运行带有当运行带有当运行带有当运行带有CIHCIH病毒的病毒的病毒的病毒的.exe.exe文件时，首先调入内存执行的文件时，首先调入内存执行的文件时，首先调入内存执行的文件时，首先调入内存执行的是病毒的驻留程序，驻留程序为是病毒的驻留程序，驻留程序为是病毒的驻留程序，驻留程序为是病毒的驻留程序，驻留程序为184184。2 2病毒的传染病毒的传染病毒的传染病毒的传染 病毒驻留在内存过程中调用病毒驻留在内存过程中调用病毒驻留在内存过程中调用病毒驻

26、留在内存过程中调用WindowsWindows内核底层函数。内核底层函数。内核底层函数。内核底层函数。CIHCIH不会重复感染不会重复感染不会重复感染不会重复感染PEPE格式文件。格式文件。格式文件。格式文件。3 3病毒的表现病毒的表现病毒的表现病毒的表现 1)1)病毒通过主板的病毒通过主板的病毒通过主板的病毒通过主板的BIOSBIOS端口地址端口地址端口地址端口地址0CFEH0CFEH和和和和0CFDH0CFDH向向向向BIOSBIOS引导块内各写一个字节的代码，造成主机无法启动。引导块内各写一个字节的代码，造成主机无法启动。引导块内各写一个字节的代码，造成主机无法启动。引导块内各写一个字节

27、的代码，造成主机无法启动。2)2)通过调用通过调用通过调用通过调用Vxd call IOS_SendCommandVxd call IOS_SendCommand直接对磁盘进行存直接对磁盘进行存直接对磁盘进行存直接对磁盘进行存取，将垃圾代码以取，将垃圾代码以取，将垃圾代码以取，将垃圾代码以20482048个扇区为单位，覆盖硬盘的数据个扇区为单位，覆盖硬盘的数据个扇区为单位，覆盖硬盘的数据个扇区为单位，覆盖硬盘的数据(含逻含逻含逻含逻辑片）辑片）辑片）辑片）第23页，此课件共37页哦3.3.2 红色代码病毒红色代码病毒 红色代码病毒是一种新型网络病毒红色代码病毒是一种新型网络病毒红色代码病毒是一

28、种新型网络病毒红色代码病毒是一种新型网络病毒 从一台服务器内存传染到另一台服务器内存从一台服务器内存传染到另一台服务器内存从一台服务器内存传染到另一台服务器内存从一台服务器内存传染到另一台服务器内存 攻击装有攻击装有攻击装有攻击装有IISIIS服务的系统服务的系统服务的系统服务的系统 红色代码红色代码II：攻击任何语言的系统攻击任何语言的系统攻击任何语言的系统攻击任何语言的系统 在被攻击的系统上植入木马程序在被攻击的系统上植入木马程序在被攻击的系统上植入木马程序在被攻击的系统上植入木马程序 利用利用利用利用IISIIS服务程序的堆栈溢出漏洞服务程序的堆栈溢出漏洞服务程序的堆栈溢出漏洞服务程序的

29、堆栈溢出漏洞 病毒代码创建病毒代码创建病毒代码创建病毒代码创建300300个病毒线程（中文个病毒线程（中文个病毒线程（中文个病毒线程（中文600600个），向随机个），向随机个），向随机个），向随机地址的地址的地址的地址的8080端口发送病毒传染数据包端口发送病毒传染数据包端口发送病毒传染数据包端口发送病毒传染数据包 强行重启计算机强行重启计算机强行重启计算机强行重启计算机第24页，此课件共37页哦3.3.3 冲击波病毒冲击波病毒n n针对针对Windows操作系统操作系统(NT/2000/XP/2003)安全漏洞；安全漏洞；n n利用利用IP扫描技术寻找扫描技术寻找Windows操作系统的操

30、作系统的计算机计算机n n利用利用DCOM RPC缓冲区漏洞进行攻击缓冲区漏洞进行攻击第25页，此课件共37页哦冲击波病毒的清除冲击波病毒的清除冲击波病毒的清除方法如下。冲击波病毒的清除方法如下。（1）病毒通过微软的最新病毒通过微软的最新RPC漏洞进行传漏洞进行传播，因此用户可以先进入微软网站，下载播，因此用户可以先进入微软网站，下载相应的系统补丁，给系统打上补丁。相应的系统补丁，给系统打上补丁。（2）病毒运行时会建立一个名为病毒运行时会建立一个名为“BILLY”的互斥量，使病毒自身不重复进的互斥量，使病毒自身不重复进入内存，并且病毒在内存中建立一个名为入内存，并且病毒在内存中建立一个名为“m

31、sblast”的进程，用户可以用任务管理的进程，用户可以用任务管理器将该病毒进程终止。器将该病毒进程终止。第26页，此课件共37页哦（3）病毒运行时会将自身复制为病毒运行时会将自身复制为%systemdir%msblast.exe%systemdir%msblast.exe，用户可以手动删除该病毒文，用户可以手动删除该病毒文件。件。（4）病毒还会修改注册表的病毒还会修改注册表的病毒还会修改注册表的病毒还会修改注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun项，在其中加入项，在其中加入项，在其中加入项，在其中加入“w

32、indows auto update”=“msblast.exe”，进行自启动，用户可以手工清除，进行自启动，用户可以手工清除，进行自启动，用户可以手工清除，进行自启动，用户可以手工清除该键值。该键值。该键值。该键值。（5）病毒会用到病毒会用到135、44444444和和和和69等端口，用户可以使用等端口，用户可以使用等端口，用户可以使用等端口，用户可以使用防火墙软件将这些端口禁止或者使用防火墙软件将这些端口禁止或者使用防火墙软件将这些端口禁止或者使用防火墙软件将这些端口禁止或者使用“TCP/IP筛选筛选筛选筛选”功能功能功能功能来禁止这些端口。来禁止这些端口。来禁止这些端口。来禁止这些端口。

33、第27页，此课件共37页哦3.4 计算机病毒的检测和清除计算机病毒的检测和清除3.4.1 计算机病毒的检测计算机病毒的检测计算机病毒的检测技术是指通过一定的计算机病毒的检测技术是指通过一定的技术手段判定计算机病毒的一门技术。技术手段判定计算机病毒的一门技术。现在判定计算机病毒的手段主要有两种：一现在判定计算机病毒的手段主要有两种：一种是根据计算机病毒特征来进行判断，另一种是根据计算机病毒特征来进行判断，另一种是对文件或数据段进行校验和计算，保存种是对文件或数据段进行校验和计算，保存结果，定期和不定期地根据保存结果对该文结果，定期和不定期地根据保存结果对该文件或数据段进行校验来判定。件或数据段进

34、行校验来判定。第28页，此课件共37页哦特征判定技术特征判定技术根据病毒程序的特征，如感染标记、特征程序段内容、根据病毒程序的特征，如感染标记、特征程序段内容、根据病毒程序的特征，如感染标记、特征程序段内容、根据病毒程序的特征，如感染标记、特征程序段内容、文件长度变化、文件校验和变化等，对病毒进行分类文件长度变化、文件校验和变化等，对病毒进行分类文件长度变化、文件校验和变化等，对病毒进行分类文件长度变化、文件校验和变化等，对病毒进行分类处理，而后凡是有类似特征点出现，则认定是病毒。处理，而后凡是有类似特征点出现，则认定是病毒。处理，而后凡是有类似特征点出现，则认定是病毒。处理，而后凡是有类似特

35、征点出现，则认定是病毒。行为判定技术行为判定技术以病毒机理为基础，对病毒的行为进行判断，不以病毒机理为基础，对病毒的行为进行判断，不仅识别现有病毒，而且识别出属于已知病毒机理仅识别现有病毒，而且识别出属于已知病毒机理的变种病毒和未知病毒。的变种病毒和未知病毒。第29页，此课件共37页哦1.特征判定技术特征判定技术（1 1）比较法比较法：将可能的感染对象与其原始备份进行比较。：将可能的感染对象与其原始备份进行比较。：将可能的感染对象与其原始备份进行比较。：将可能的感染对象与其原始备份进行比较。优点：简单易行；优点：简单易行；缺点：无法确认是否为病毒，且无法识别病毒种类。缺点：无法确认是否为病毒，

36、且无法识别病毒种类。第30页，此课件共37页哦特征判定技术特征判定技术（2 2）扫描法扫描法：用每一种病毒代码中含有的特定字符：用每一种病毒代码中含有的特定字符：用每一种病毒代码中含有的特定字符：用每一种病毒代码中含有的特定字符或字符串对被检测的对象进行扫描。或字符串对被检测的对象进行扫描。或字符串对被检测的对象进行扫描。或字符串对被检测的对象进行扫描。实现扫描的软件叫做特征扫描器。组成部分：实现扫描的软件叫做特征扫描器。组成部分：实现扫描的软件叫做特征扫描器。组成部分：实现扫描的软件叫做特征扫描器。组成部分：n n病毒特征库：包含各种病毒的特征字符或字符串；病毒特征库：包含各种病毒的特征字符

37、或字符串；n n扫描引擎：对检测对象进行匹配性扫描。扫描引擎：对检测对象进行匹配性扫描。优点：能准确查处病毒种类和名称；优点：能准确查处病毒种类和名称；缺点：只能查出病毒特征库中的已知病毒。缺点：只能查出病毒特征库中的已知病毒。缺点：只能查出病毒特征库中的已知病毒。缺点：只能查出病毒特征库中的已知病毒。第31页，此课件共37页哦特征判定技术特征判定技术（3）分析法分析法:针对未知新病毒采用的技术。针对未知新病毒采用的技术。针对未知新病毒采用的技术。针对未知新病毒采用的技术。工作过程如下：工作过程如下：工作过程如下：工作过程如下：n n确认被检查的磁盘引导扇区或计算机文件中是否含确认被检查的磁盘

38、引导扇区或计算机文件中是否含确认被检查的磁盘引导扇区或计算机文件中是否含确认被检查的磁盘引导扇区或计算机文件中是否含有病毒。有病毒。有病毒。有病毒。n n确认病毒的类型和种类，判断它是否为一种新病毒；确认病毒的类型和种类，判断它是否为一种新病毒；确认病毒的类型和种类，判断它是否为一种新病毒；确认病毒的类型和种类，判断它是否为一种新病毒；n n分析病毒程序的大致结构，提取识别用的特征字分析病毒程序的大致结构，提取识别用的特征字符或字符串，添加到病毒特征库中；符或字符串，添加到病毒特征库中；n n分析病毒程序的详细结构，为制定相应的反病分析病毒程序的详细结构，为制定相应的反病毒措施提供方案。毒措施

39、提供方案。第32页，此课件共37页哦2.校验和判定技术校验和判定技术 计算正常文件内容的校验和，将校验和保存。检测计算正常文件内容的校验和，将校验和保存。检测计算正常文件内容的校验和，将校验和保存。检测计算正常文件内容的校验和，将校验和保存。检测时，检查文件当前内容的校验和与原来保存的校验和是时，检查文件当前内容的校验和与原来保存的校验和是时，检查文件当前内容的校验和与原来保存的校验和是时，检查文件当前内容的校验和与原来保存的校验和是否一致。否一致。否一致。否一致。优点：能发现未知病毒；优点：能发现未知病毒；缺点：无法识别病毒种类。缺点：无法识别病毒种类。第33页，此课件共37页哦 利用病毒的

40、特有行为特性进行监测，一利用病毒的特有行为特性进行监测，一旦发现病毒行为则立即报警。旦发现病毒行为则立即报警。病毒具有一些比较特殊的共同行为：病毒具有一些比较特殊的共同行为：（1）占有）占有INT 13H。所有的引导型病毒，。所有的引导型病毒，都攻击引导扇区或主引导扇区。都攻击引导扇区或主引导扇区。（2）改）改DOS系统为数据区的内存总量。系统为数据区的内存总量。（3）对）对.COM与与.EXE文件进行写入操作。文件进行写入操作。（4）病毒程序与宿主程序的切换。）病毒程序与宿主程序的切换。3.行为判定技术行为判定技术第34页，此课件共37页哦4软件模拟法软件模拟法 是一种软件分析器，用软件的方

41、法来模拟是一种软件分析器，用软件的方法来模拟和分析程序的运行。和分析程序的运行。5病毒指令码模拟法病毒指令码模拟法（Virus Instruction Code Emulation）采用专家系统知识库，利用软件工程模拟技采用专家系统知识库，利用软件工程模拟技术假执行新的病毒，来分析出新的病毒代码。术假执行新的病毒，来分析出新的病毒代码。第35页，此课件共37页哦3.4.2 计算机病毒的消除计算机病毒的消除1引导型病毒的清除引导型病毒的清除2文件型病毒的清除文件型病毒的清除3宏病毒的清除宏病毒的清除第36页，此课件共37页哦1.消除引导型病毒消除引导型病毒（引导型病毒的物理载体是磁盘，硬盘中（引

42、导型病毒的物理载体是磁盘，硬盘中（引导型病毒的物理载体是磁盘，硬盘中（引导型病毒的物理载体是磁盘，硬盘中OSOS的引导扇区包括第一物理扇区和第一逻辑的引导扇区包括第一物理扇区和第一逻辑的引导扇区包括第一物理扇区和第一逻辑的引导扇区包括第一物理扇区和第一逻辑扇区。第一物理扇区存放的是表明硬件类型和分区信息的主引导记录扇区。第一物理扇区存放的是表明硬件类型和分区信息的主引导记录扇区。第一物理扇区存放的是表明硬件类型和分区信息的主引导记录扇区。第一物理扇区存放的是表明硬件类型和分区信息的主引导记录(MBR)(MBR)，第，第，第，第一逻辑扇区存放的是分区引导记录。）一逻辑扇区存放的是分区引导记录。）

43、一逻辑扇区存放的是分区引导记录。）一逻辑扇区存放的是分区引导记录。）自动清除方法自动清除方法自动清除方法自动清除方法病毒软件自动检测和清除已知的引导型病毒，包括病毒软件自动检测和清除已知的引导型病毒，包括病毒软件自动检测和清除已知的引导型病毒，包括病毒软件自动检测和清除已知的引导型病毒，包括MBRMBR中的病毒，中的病毒，中的病毒，中的病毒，并修复被感染的引导扇区。并修复被感染的引导扇区。并修复被感染的引导扇区。并修复被感染的引导扇区。人工修复染毒的硬盘人工修复染毒的硬盘人工修复染毒的硬盘人工修复染毒的硬盘格式化硬盘可以清除分区引导记录中的病毒，但不能消除主引导记录中格式化硬盘可以清除分区引导记录中的病毒，但不能消除主引导记录中格式化硬盘可以清除分区引导记录中的病毒，但不能消除主引导记录中格式化硬盘可以清除分区引导记录中的病毒，但不能消除主引导记录中的病毒。用低级格式化工具如的病毒。用低级格式化工具如的病毒。用低级格式化工具如的病毒。用低级格式化工具如FDISKFDISK，输入，输入，输入，输入FDISK/MBRFDISK/MBR可以解决这可以解决这可以解决这可以解决这个问题。个问题。个问题。个问题。第37页，此课件共37页哦