第08章计算机病毒的防治课件.ppt

1、主要内容：主要内容：1概述 2病毒原理 3病毒技术 4反病毒技术5 常用反病毒软件 6.1.1 定义定义广义：凡能够引起计算机故障，破坏数据的程序。权威定义：编制或者插入计算机程序中的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。中华人民共和国计算机信息安全保护条例6.1.2 特征特征寄生性（宿主程序）寄生性（宿主程序）传染性传染性隐蔽性隐蔽性潜伏性潜伏性触发性触发性破坏性破坏性6.1.3 传播途径传播途径通过不可移动的计算机硬件设备通过不可移动的计算机硬件设备通过可移动存储设备通过可移动存储设备通过计算机网络通过计算机网络通过无线通道通过无线通道6.1.

2、4 分类分类按攻击的按攻击的OS按传播媒介按传播媒介按危害程度按危害程度按寄生方式按寄生方式从广义病毒定义从广义病毒定义v按攻击的按攻击的OS：攻击攻击DOS攻击攻击WINDOWS攻击攻击UNIX/LINUX攻击嵌入式攻击嵌入式OSv按按传播媒介传播媒介：单机病毒：磁盘单机病毒：磁盘网络病毒：网络，当今最多网络病毒：网络，当今最多v按按危害程度危害程度：良性病毒良性病毒恶性病毒恶性病毒中性病毒中性病毒v按按寄生方式寄生方式：引导型引导型文件型（文件型（.bat.dll.vxd.sys）混合型混合型v从广义定义：从广义定义：传统病毒传统病毒特洛伊木马特洛伊木马蠕虫蠕虫特洛伊木马特洛伊木马定义：泛

3、指那些内部包含有为完成特定任务而编制的定义：泛指那些内部包含有为完成特定任务而编制的程序，一种潜伏执行非授权功能的技术。本质上属于程序，一种潜伏执行非授权功能的技术。本质上属于远程控制工具。远程控制工具。原理：原理：c/s模式模式传播途径传播途径email附件附件用户间的文件交换用户间的文件交换被其它恶意代码携带被其它恶意代码携带互联网下载的文件互联网下载的文件特征和行为特征和行为不自我复制；不自我复制；被感染计算机变慢或出现异常行为；被感染计算机变慢或出现异常行为；多出一个或多个任务；多出一个或多个任务；注册表或配置文件被修改注册表或配置文件被修改预防：预防：不执行来历不明的程序不执行来历不

4、明的程序必备杀毒软件必备杀毒软件蠕虫蠕虫定义：通过网络来传播特定信息或错误，破坏网络信定义：通过网络来传播特定信息或错误，破坏网络信息或造成网络服务中断的病毒。息或造成网络服务中断的病毒。特点：特点：利用网络软件的缺陷，进行自我复制和主动传播。利用网络软件的缺陷，进行自我复制和主动传播。3个功能模块：个功能模块：引导模块引导模块传染模块传染模块破坏模块破坏模块传统病毒（引导型、文件型）传统病毒（引导型、文件型）引导型病毒工作流程引导型病毒工作流程文件型病毒工作流程文件型病毒工作流程宏病毒宏病毒宏：一系列组合在一起的命令或指令，它们形宏：一系列组合在一起的命令或指令，它们形成一个命令，以实现任务

5、执行自动化。成一个命令，以实现任务执行自动化。宏病毒：存储于文档、模版中的病毒宏病毒：存储于文档、模版中的病毒特点：只感染微软数据文件特点：只感染微软数据文件机制：用机制：用VB高级语言编写的病毒代码，直接混高级语言编写的病毒代码，直接混杂在文档中传播。当打开一个染毒文档或执行杂在文档中传播。当打开一个染毒文档或执行触发宏病毒的操作时，病毒激活，并存储在触发宏病毒的操作时，病毒激活，并存储在normal.dot在，以后保存的文档被自动感染。在，以后保存的文档被自动感染。工作流程工作流程网络病毒网络病毒种类：蠕虫、木马种类：蠕虫、木马传播方式：传播方式：email、网页、文件传输网页、文件传输如

6、：如：loveletter、happytime寄生技术寄生技术驻留技术驻留技术加密变形技术加密变形技术隐藏技术隐藏技术寄生技术寄生技术将病毒代码加入正常程序中，原正常程序将病毒代码加入正常程序中，原正常程序功能的部分或全部保留。功能的部分或全部保留。头寄生头寄生尾寄生尾寄生插入寄生插入寄生文件型病毒使用最多文件型病毒使用最多驻留技术驻留技术当染毒文件执行时，将病毒部分功能模块当染毒文件执行时，将病毒部分功能模块进入内存，即使程序结束，仍驻留内存。进入内存，即使程序结束，仍驻留内存。如果杀毒软件只清除文件中病毒，而不清除内如果杀毒软件只清除文件中病毒，而不清除内存中病毒，仍会感染。存中病毒，仍会

7、感染。加密变形技术加密变形技术对不同传染实例呈现多样性。对不同传染实例呈现多样性。传统病毒在代码中总有自身特点，反病毒传统病毒在代码中总有自身特点，反病毒软件厂商利用这些特点编制特征码，进行检测。软件厂商利用这些特点编制特征码，进行检测。隐藏技术隐藏技术病毒在进入系统后，会采取种种方法隐藏病毒在进入系统后，会采取种种方法隐藏行踪，使不易被发现。行踪，使不易被发现。6.4.1 发现病毒发现病毒系统运行迟钝系统运行迟钝程序加载时间过长程序加载时间过长简单操作，硬盘花费很长时间简单操作，硬盘花费很长时间异常错误信息出现异常错误信息出现内存、磁盘空间忽然大量减少内存、磁盘空间忽然大量减少程序文件大小、

8、属性、内容改变程序文件大小、属性、内容改变经常死机经常死机 出现不明常驻任务出现不明常驻任务异常声音、画面异常声音、画面6.4.2 检测技术检测技术比较法：进行原始的或正常的特征与被检测对比较法：进行原始的或正常的特征与被检测对象特征进行比较象特征进行比较文件长度、内容、内存、中断向量文件长度、内容、内存、中断向量优点：简单、方便、不需专用软件优点：简单、方便、不需专用软件缺点：无法确认病毒种类、名称缺点：无法确认病毒种类、名称校验和法：计算正常文件的校验和，并保存，校验和法：计算正常文件的校验和，并保存，然后定期比较然后定期比较优点：可侦测各式病毒，包括未知病毒优点：可侦测各式病毒，包括未知

9、病毒缺点：误判率高，无法确认病毒种类缺点：误判率高，无法确认病毒种类分析法：该法使用人员主要是反毒技术人员分析法：该法使用人员主要是反毒技术人员搜索法：用病毒含有的特定字符串对被检测对搜索法：用病毒含有的特定字符串对被检测对象进行扫描。象进行扫描。特征字符串的选择好坏，起决定作用。特征字符串的选择好坏，起决定作用。缺点：扫描时间长；不易选取合适特征串；病缺点：扫描时间长；不易选取合适特征串；病毒特征码未更新时，无法识别新病毒和并行病毒特征码未更新时，无法识别新病毒和并行病毒。毒。目前使用最普遍。目前使用最普遍。6.4.3 清除清除摘除染毒文件中的病毒代码，恢复正常。摘除染毒文件中的病毒代码，恢

10、复正常。专用杀毒软件或手工。专用杀毒软件或手工。6.4.4 免疫免疫原理：根据病毒签名实现，由于病毒在感染文原理：根据病毒签名实现，由于病毒在感染文件时，对已感染文件，不再感染件时，对已感染文件，不再感染可人为在可人为在“健康程序健康程序”中加入病毒签名，起到中加入病毒签名，起到免疫作用。免疫作用。6.4.5 预防预防经常备份数据经常备份数据新购磁盘、软件等，先查毒新购磁盘、软件等，先查毒避免在无防毒软件或公用计算机上使用移动盘避免在无防毒软件或公用计算机上使用移动盘对计算机的使用进行控制，禁止来历不明人进对计算机的使用进行控制，禁止来历不明人进入系统入系统采用杀毒软件，实时监控、经常杀毒、及

11、时升采用杀毒软件，实时监控、经常杀毒、及时升级级必备功能：必备功能：查、杀查、杀对新病毒的反应能力对新病毒的反应能力对文件备份、恢复对文件备份、恢复实时监控实时监控界面友好，使用方便界面友好，使用方便对资源占有情况对资源占有情况国内外著名杀毒软件：国内外著名杀毒软件：诺顿、诺顿、officeScan、卡巴斯基、瑞星、江卡巴斯基、瑞星、江民、金山民、金山1什么是计算机病毒？2计算病毒的基本特征是什么？3简述计算机病毒攻击的对象及所造成的危害。4病毒按寄生方式分为哪几类？5计算机病毒一般由哪几部分构成，各部分的作用是什么？计算机病毒的预防有哪几方面？6简述检测计算机病毒的常用方法。7简述宏病毒的特征及其清除方法。8什么是计算机病毒免疫？9简述计算机病毒的防治措施。10什么是网络病毒，防治网络病毒的要点是什么？