《计算机网络安全课件》第六章计算机病毒的防治.ppt

1、第六章第六章 计算机病毒的防治计算机病毒的防治 什么是计算机病毒什么是计算机病毒 计算机病毒的传播计算机病毒的传播 计算机病毒的特点及破坏行为计算机病毒的特点及破坏行为 宏病毒及网络病毒宏病毒及网络病毒 病毒的预防、检查和清除病毒的预防、检查和清除 病毒防御解决方案病毒防御解决方案本资料由-校园大学生创业网-提供http:/ 6.1 什么是计算机病毒什么是计算机病毒计算机病毒是一种计算机病毒是一种“计算机程序计算机程序”，它不仅能破坏计算机系统，它不仅能破坏计算机系统，而且还能传播、感染到其他系统。它通常隐藏在其他看起来而且还能传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中，能生成自

2、身的复制并将其插入其他的程序中，无害的程序中，能生成自身的复制并将其插入其他的程序中，执行恶意的行动。执行恶意的行动。计算机病毒可分为下列几类计算机病毒可分为下列几类：P134P1341 1）文件病毒文件病毒：该病毒在操作系统招待文件时取得控制权并把：该病毒在操作系统招待文件时取得控制权并把自己依附在可执行文件上，然后利用这些指令来调用附在文自己依附在可执行文件上，然后利用这些指令来调用附在文件中某处的病毒代码。件中某处的病毒代码。2 2）引导扇区病毒）引导扇区病毒：它潜伏在软盘的引导扇区，或在硬盘的引：它潜伏在软盘的引导扇区，或在硬盘的引导扇区，或主引导记录。导扇区，或主引导记录。3 3）多

3、裂变病毒：）多裂变病毒：4 4）秘密病毒；）秘密病毒；5 5）异形病毒；）异形病毒；6 6）宏病毒。）宏病毒。本资料由-校园大学生创业网-提供http:/ 计算机病毒的传播计算机病毒的传播6.2.1 计算机病毒的由来计算机病毒的由来计算机病毒是由计算机黑客们编写的，这些人想证明他们能编计算机病毒是由计算机黑客们编写的，这些人想证明他们能编写出不但可以干扰和摧毁计算机而且能将破坏传播到其他写出不但可以干扰和摧毁计算机而且能将破坏传播到其他系统的程序。系统的程序。6.2.2 计算机病毒的传播计算机病毒的传播计算机病毒通过某个入侵点进入系统来感染系统。最明显的也计算机病毒通过某个入侵点进入系统来感染

4、系统。最明显的也是最常见的入侵点是从工作站传到工作站的软盘。在计算是最常见的入侵点是从工作站传到工作站的软盘。在计算机网络系统中，可能的入侵点还包括服务器、机网络系统中，可能的入侵点还包括服务器、E-mail附加部附加部分、分、BBS上下载的文件、上下载的文件、3W站点、站点、FTP文件下载、共享网文件下载、共享网络文件及常规的网络通信、盗版软件、示范软件、电脑实络文件及常规的网络通信、盗版软件、示范软件、电脑实验和其他共享设备。验和其他共享设备。病毒进入系统后的传播方式：病毒进入系统后的传播方式：1）通过磁盘的关键区域；）通过磁盘的关键区域；2）在可执行的文件中。）在可执行的文件中。本资料由

5、-校园大学生创业网-提供http:/ 计算机病毒的工作方式计算机病毒的工作方式病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。病毒所能表现出来的特性或功能有：的。病毒所能表现出来的特性或功能有：1）感染）感染引导扇区病毒：引导扇区病毒：对软盘和硬盘的引导扇区攻击；对软盘和硬盘的引导扇区攻击；文件型病毒：文件型病毒：攻击磁盘上的文件。有两种类型：驻留型、非驻留型。攻击磁盘上的文件。有两种类型：驻留型、非驻留型。P1382）变异（变异是病毒可以创建类似自己，但又不同于自身变异（变异是病毒可以创建类似自己，但又不同于自身“品品种种”的一

6、种技术，它使病毒扫描程序难以检测。）的一种技术，它使病毒扫描程序难以检测。）3）触发）触发4）破坏（如：修改数据、破坏文件系统、删除系统上的文件、）破坏（如：修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。）视觉和听觉效果。）5）高级功能病毒（能逃避检测，有的甚至被设计成能够躲开病）高级功能病毒（能逃避检测，有的甚至被设计成能够躲开病毒扫描软件和反病毒软件的程序。）毒扫描软件和反病毒软件的程序。）6.36.3 计算机病毒的特点及破坏行为计算机病毒的特点及破坏行为6.3.1 6.3.1 计算机病毒的特点计算机病毒的特点1 1、刻意编写人为破坏、刻意编写人为破坏计算机病毒不是偶然自发产生

7、的，而是人为编写的有意破坏、严计算机病毒不是偶然自发产生的，而是人为编写的有意破坏、严谨精巧的程序段，它是严格组织的程序代码，与所在环境相互谨精巧的程序段，它是严格组织的程序代码，与所在环境相互适应并紧密配合。适应并紧密配合。P140P1402 2、自我复制能力自我复制能力再生机制是判断是不是计算机病毒的最重要依据。再生机制是判断是不是计算机病毒的最重要依据。3 3、夺取系统控制权、夺取系统控制权病毒将自身与系统软件挂起钩来，取得系统控制权，系统每执行病毒将自身与系统软件挂起钩来，取得系统控制权，系统每执行一次操作，病毒就有机会执行它预先设计的操作，完成病毒代一次操作，病毒就有机会执行它预先设

8、计的操作，完成病毒代码的传播或进行破坏活动。码的传播或进行破坏活动。4 4、隐蔽性、隐蔽性不经过程序代码或计算机病毒代码扫描，病毒程序与正常程序不不经过程序代码或计算机病毒代码扫描，病毒程序与正常程序不易区别开。易区别开。5、潜伏性、潜伏性大部分病毒在感染系统后一般不会马上发作，它可长期大部分病毒在感染系统后一般不会马上发作，它可长期隐藏在系统中，除了传染外，不表现出破坏性，只有隐藏在系统中，除了传染外，不表现出破坏性，只有在满足其特定条件后才启动其表现模块，显示发作信在满足其特定条件后才启动其表现模块，显示发作信息或进行系统破坏。息或进行系统破坏。6、不可预见性、不可预见性不同种类病毒的代码

9、千差万别，病毒的制作技术也在不不同种类病毒的代码千差万别，病毒的制作技术也在不断地提高，病毒比反病毒软件永远是超前的。断地提高，病毒比反病毒软件永远是超前的。6.3.2 计算机病毒的破坏行为计算机病毒的破坏行为计算机病毒的破坏性表现为病毒的杀伤能力。根据有关病毒资料计算机病毒的破坏性表现为病毒的杀伤能力。根据有关病毒资料可以把病毒的破坏目标和攻击部位归纳如下：可以把病毒的破坏目标和攻击部位归纳如下：1、攻击系统数据区、攻击系统数据区2、攻击文件、攻击文件3、攻击内存、攻击内存4、干扰系统运行、干扰系统运行5、干扰键盘、干扰键盘6、攻击、攻击CMOS7、干扰打印机干扰打印机8、网络病毒破坏网络系

10、统、网络病毒破坏网络系统6.46.4 宏病毒及网络病毒宏病毒及网络病毒6.4.1 宏病毒宏病毒宏宏-就是软件设计者为了在使用软件工作时，避免一再的重就是软件设计者为了在使用软件工作时，避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法，复相同的动作而设计出来的一种工具。它利用简单的语法，把常用的动作写成宏，当再工作时，就可以直接利用事先写把常用的动作写成宏，当再工作时，就可以直接利用事先写好的宏自动运行，去完成某项特定的任务，而不必再重复相好的宏自动运行，去完成某项特定的任务，而不必再重复相同的动作。同的动作。1、宏病毒的行为和特征、宏病毒的行为和特征宏病毒宏病毒-就是利用软件所支

11、持的宏命令编写成的具有复制、就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒，也是一传染能力的宏。宏病毒是一种新形态的计算机病毒，也是一种跨平台式计算机病毒，可以在种跨平台式计算机病毒，可以在Windows 9x、Windows NT、OS/2和和Macintosh System 7等操作系统上执行病毒。等操作系统上执行病毒。1）宏病毒行为机制（）宏病毒行为机制（P142）2）宏病毒特征（宏病毒特征（P143）2、宏病毒的防治和清除方法、宏病毒的防治和清除方法1）使用选项）使用选项“提示保存提示保存Normal”；2）通过通过Shift键来禁止运行自动宏

12、；键来禁止运行自动宏；3）查看宏代码；）查看宏代码；4）使用）使用DisableAutoMacros宏；宏；5）使用）使用Word 97的报警设置；的报警设置；6）设置）设置Normal.dot的只读属性；的只读属性；7）Normal.dot的保护。的保护。6.4.2 网络病毒网络病毒1、网络病毒的特点、网络病毒的特点计算机网络的主要特点是资源共享。一旦共享资源感染病毒，网络计算机网络的主要特点是资源共享。一旦共享资源感染病毒，网络各结点间信息的频繁传输会把病毒传染到所共享的机器上，从而各结点间信息的频繁传输会把病毒传染到所共享的机器上，从而形成多种共享资源的交叉感染。因此，网络环境下病毒的防

13、治就形成多种共享资源的交叉感染。因此，网络环境下病毒的防治就显得更加重要。显得更加重要。2、病毒在网络上的传播与表现、病毒在网络上的传播与表现用户在工作站上执行一个带毒操作文件，这种病毒就会感染网络上用户在工作站上执行一个带毒操作文件，这种病毒就会感染网络上其他可执行文件。其他可执行文件。3、专攻网络的、专攻网络的GPI病毒病毒（P146）GPI是是“耶路撒冷耶路撒冷”病毒的变种，并且被特别改写成专门突破病毒的变种，并且被特别改写成专门突破Novell网络系统安全结构的病毒。它的威力在于网络系统安全结构的病毒。它的威力在于“自上而下自上而下”的的传播。传播。4、电子邮件病毒电子邮件病毒邮件系统

14、使用不同的格式存储文件和文档，传统的杀毒软件对检测邮件系统使用不同的格式存储文件和文档，传统的杀毒软件对检测此类格式的文件无能为力。此类格式的文件无能为力。防毒方法：防毒方法：P146/（1）（3）6.5 病毒的预防、检查和清除病毒的预防、检查和清除6.5.16.5.1 病毒的预防病毒的预防通过采取技术上和管理上的措施，计算机病毒是完全可以防范的。通过采取技术上和管理上的措施，计算机病毒是完全可以防范的。措施如下：措施如下：（1）对新购置的计算机系统用检测病毒软件检查已知病毒，用人）对新购置的计算机系统用检测病毒软件检查已知病毒，用人工检测方法检查未知病毒，并经过实验，证实没有病毒传染和破工检

15、测方法检查未知病毒，并经过实验，证实没有病毒传染和破坏迹象再使用。坏迹象再使用。（2）新购置的硬盘或出厂时已格式化好的软盘可能有病毒。对硬）新购置的硬盘或出厂时已格式化好的软盘可能有病毒。对硬盘可以进行检测或进行低级格式化。盘可以进行检测或进行低级格式化。（3）新购置的计算机软件也要进行病毒检测。）新购置的计算机软件也要进行病毒检测。（4）在保证硬盘无病毒的情况下，尽量用硬盘引导启动，不要用）在保证硬盘无病毒的情况下，尽量用硬盘引导启动，不要用软盘启动。软盘启动。（5）很多计算机可以通过设置）很多计算机可以通过设置CMOS参数，直接从硬盘引导启动，参数，直接从硬盘引导启动，而根本不去读而根本不

16、去读A盘。盘。（6）（20）P148另外，作为应急措施，网络系统管理员应牢记下列几点：另外，作为应急措施，网络系统管理员应牢记下列几点：1）当出现病毒传染迹象时，应立即隔离被感染的系统和网络并进）当出现病毒传染迹象时，应立即隔离被感染的系统和网络并进行处理。行处理。2）及时发现异常情况，可防止病毒传染到整个磁盘和传染到相邻）及时发现异常情况，可防止病毒传染到整个磁盘和传染到相邻的计算机。的计算机。3）注意观察下列现象：）注意观察下列现象：P149/1116.5.2 病毒的检查病毒的检查计算机病毒要进行传染，必然会留下痕迹。检测计算机病毒，就是计算机病毒要进行传染，必然会留下痕迹。检测计算机病毒

17、，就是要到病毒寄生场所去检查，发现异常情况，并进而验明计算机病要到病毒寄生场所去检查，发现异常情况，并进而验明计算机病毒的存在。毒的存在。1、病毒的检查方法、病毒的检查方法1）比较法：用原始备份与被检测的引导扇区或被检测的文件进行）比较法：用原始备份与被检测的引导扇区或被检测的文件进行比较。（优点：简单、方便、无需专用软件。）比较。（优点：简单、方便、无需专用软件。）2）利用病毒特征代码串的搜索法：用每一种病毒体内含有的特定）利用病毒特征代码串的搜索法：用每一种病毒体内含有的特定字符串对被检测的对象进行扫描。字符串对被检测的对象进行扫描。3）计算机病毒特征字的识别法：只需从病毒体内抽取很少几个

18、关）计算机病毒特征字的识别法：只需从病毒体内抽取很少几个关键的特征字来组成特征字库，由于需要处理的字节很少，又不必键的特征字来组成特征字库，由于需要处理的字节很少，又不必进行串匹配，大大加快了识别速度。进行串匹配，大大加快了识别速度。4）分析法：运用反汇编技术分析被检测对象，确认是否为病毒代）分析法：运用反汇编技术分析被检测对象，确认是否为病毒代码。（使用分析法要求具有比较全面的有关码。（使用分析法要求具有比较全面的有关PC机、机、DOS结构和结构和功能调用及关于病毒方面的各种知识。功能调用及关于病毒方面的各种知识。P152）2、病毒扫描程序、病毒扫描程序病毒扫描程序能在程序中寻找病毒特征。判

19、别病毒扫描程序好坏的病毒扫描程序能在程序中寻找病毒特征。判别病毒扫描程序好坏的一个重要标志就是一个重要标志就是“误诊误诊”率一定要低。率一定要低。3、完整性检查程序、完整性检查程序它通过识别文件和系统的改变来发现病毒，或病毒的影响。它通过识别文件和系统的改变来发现病毒，或病毒的影响。缺点：只有当病毒正在工作并做些什么事情时，它才能起作用。缺点：只有当病毒正在工作并做些什么事情时，它才能起作用。4、行为封锁软件、行为封锁软件行为封锁软件的目的是防止病毒的破坏。这种软件试图在病毒马上行为封锁软件的目的是防止病毒的破坏。这种软件试图在病毒马上就要开始工作时阻止它。就要开始工作时阻止它。6.5.3 计

20、算机病毒的防治计算机病毒的防治计算机病毒的防治，就是通过一定的方法，使计算机自身具有防御计算机病毒的防治，就是通过一定的方法，使计算机自身具有防御计算机病毒感染的能力。措施如下：计算机病毒感染的能力。措施如下：1、建立程序的特征值档案（、建立程序的特征值档案（P153）这是对付病毒的最有效方法。这是对付病毒的最有效方法。2、严格内存管理（、严格内存管理（P154）3、中断向量管理中断向量管理病毒驻留内存时常会修改一些中断向量，因此，中断向量的检查和恢复是必要的。病毒驻留内存时常会修改一些中断向量，因此，中断向量的检查和恢复是必要的。6.5.4 计算机感染病毒后的恢复计算机感染病毒后的恢复1、防

21、止和修复引导记录病毒、防止和修复引导记录病毒防止软引导记录、主引导记录和分区引导记录病毒的较好方法是改变计算机的磁防止软引导记录、主引导记录和分区引导记录病毒的较好方法是改变计算机的磁盘引导顺序，避免从软盘引导。必须从软盘引导时，应该确认该软盘无毒。盘引导顺序，避免从软盘引导。必须从软盘引导时，应该确认该软盘无毒。1）修复感染的软盘；修复感染的软盘；2）修复感染的主引导记录；）修复感染的主引导记录；3）利用反病毒软）利用反病毒软件修复。件修复。2、防止和修复可执行文件病毒、防止和修复可执行文件病毒修复感染的程序文件最有效的途径是用未感染的备份代替它。修复感染的程序文件最有效的途径是用未感染的备

22、份代替它。6.5.5 6.5.5 计算机病毒的清除（计算机病毒的清除（P155P155）1 1、使用使用DOSDOS命令处理病毒命令处理病毒依附在可执行文件上的病毒的一个办法是将其从磁盘上删除，然后依附在可执行文件上的病毒的一个办法是将其从磁盘上删除，然后复制一个复制一个“干净干净”的文件到磁盘上。的文件到磁盘上。2 2、引导型病毒的处理、引导型病毒的处理一般清理办法是用格式化磁盘的方法。一般清理办法是用格式化磁盘的方法。3 3、宏病毒清除方法、宏病毒清除方法步骤：步骤：P157P1574 4、杀毒程序杀毒程序它在处理病毒时，必须知道某种特别的病毒的信息，然后才能按需它在处理病毒时，必须知道某

23、种特别的病毒的信息，然后才能按需要对磁盘进行杀毒。要对磁盘进行杀毒。6.6 病毒防御解决方案病毒防御解决方案病毒检测一直是病毒防护的支柱，但是，病毒检测本身并不阻止病毒检测一直是病毒防护的支柱，但是，病毒检测本身并不阻止病毒传播，也不保护数据，使之不受破坏。常规反病毒技术把病毒传播，也不保护数据，使之不受破坏。常规反病毒技术把注意力集中在已经感染了病毒的文件上，已经远远不能满足网注意力集中在已经感染了病毒的文件上，已经远远不能满足网络时代的要求。因此，任何一种反病毒的解决方案都应该具有络时代的要求。因此，任何一种反病毒的解决方案都应该具有稳健的病毒检测功能，又具有服务器稳健的病毒检测功能，又具

24、有服务器/客户机数据保护的能力，客户机数据保护的能力，即具有覆盖全网的多层次方法。即具有覆盖全网的多层次方法。6.6.1 多层次病毒防御的意义（多层次病毒防御的意义（P158）6.6.2 Intel多层次病毒防御方案多层次病毒防御方案Intel LANDdsk Vrus Protect是一个易于管理的多层次病毒防御解是一个易于管理的多层次病毒防御解决方案，它把病毒的检测、数据的保护及集中式的全域控制组决方案，它把病毒的检测、数据的保护及集中式的全域控制组织在一起，从而保证了病毒的有效防御。织在一起，从而保证了病毒的有效防御。1、功能：、功能：1）后台实时扫描；）后台实时扫描；P1582）完整性

25、保护；完整性保护；P1593）完整性检验。完整性检验。P1592、集中式管理、集中式管理计算机病毒防御解决方案的一个重要的原则是，病毒防御给计算机计算机病毒防御解决方案的一个重要的原则是，病毒防御给计算机网络系统所带来的负担不应该超过病毒所造成的危害，否则病毒网络系统所带来的负担不应该超过病毒所造成的危害，否则病毒的防御便失去意义。的防御便失去意义。网络病毒防御的集中式的管理是一种最经济、最可靠的防病毒的方网络病毒防御的集中式的管理是一种最经济、最可靠的防病毒的方式，它易于升级、几乎不需要人工干预就能保护桌面系统和服务式，它易于升级、几乎不需要人工干预就能保护桌面系统和服务器。器。3、服务器、

26、服务器/客户机病毒防御的灵活选择客户机病毒防御的灵活选择Intel多层的病毒防御方案能提供只适用于服务器或只适用于客户机多层的病毒防御方案能提供只适用于服务器或只适用于客户机的许可方式的许可方式，从而可以满足任何一个部门或机构的需要。，从而可以满足任何一个部门或机构的需要。本资料由-校园大学生创业网-提供http:/ KV3000杀病毒软件简介（杀病毒软件简介（P160164）1、功能简介、功能简介2、KV3000的功能和使用格式的功能和使用格式3、保存和恢复正确的硬盘主引导信息、保存和恢复正确的硬盘主引导信息4、清除所有引导区型病毒、清除所有引导区型病毒5、恢复当前硬盘的主引导信息、恢复当前硬盘的主引导信息6、安装和使用实时监测病毒程序、安装和使用实时监测病毒程序KVW3000.exe7、Word宏病毒的清除宏病毒的清除本资料由-校园大学生创业网-提供http:/ 瑞星瑞星RISING99杀毒软件简介杀毒软件简介1、简介、简介2、DOS版菜单工作方式及使用方法版菜单工作方式及使用方法3、命令行工作方式的使用方法、命令行工作方式的使用方法4、引导型病毒提取程序、引导型病毒提取程序5、Windows95/98/NT版的使用方法版的使用方法6、实时监控、实时监控“防火墙防火墙”本资料由-校园大学生创业网-提供http:/