計算機病毒的防治

第六章計算機病毒的防治6.1計算機病毒概述6.2

計算機病毒的工作方式6.3

病毒的預(yù)防、檢測和清除6.4

防毒戰(zhàn)略和相關(guān)產(chǎn)品第一頁，共三十六頁。本章學(xué)習(xí)目標(biāo)（1）了解計算機病毒的定義和病毒的危害性（2）掌握計算機病毒的特征和種類（3）掌握計算機病毒的特征和種類（4）掌握如何預(yù)防、檢測和清除病毒（5）了解主要防毒產(chǎn)品的功能特點第二頁，共三十六頁。6.1計算機病毒概述計算機病毒的定義計算機病毒的發(fā)展過程計算機病毒的特征計算機病毒的組成計算機病毒的種類第三頁，共三十六頁。計算機病毒的定義在1994年我國頒布實施的《中華人民共和國計算機系統(tǒng)安全保護條例》中，對計算機病毒有如下定義：“計算機病毒是編制或在計算機程序中插入的破壞計算機功能或毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼”。第四頁，共三十六頁。計算機病毒的發(fā)展過程1．早期病毒的產(chǎn)生在20世紀(jì)60年代初，美國貝爾實驗室中3個年輕的程序員，道格拉斯·麥耀萊、維特·維索斯基和羅伯在工作之余編制了一個游戲“磁芯大戰(zhàn)”（CoreWar），這個游戲是通過不斷復(fù)制自身的方式來擺脫對方進程的控制，從而獲取最后的勝利?？梢哉f這個程序是病毒的先驅(qū)。第五頁，共三十六頁。2．DOS病毒階段3．Windows平臺階段4．網(wǎng)絡(luò)病毒階段5．病毒發(fā)展的未來趨勢

（1）網(wǎng)絡(luò)化（2）隱蔽化（3）多樣化（4）破壞性強（5）簡單化第六頁，共三十六頁。計算機病毒的特征（1）可執(zhí)行性。（2）傳染性。（3）潛伏性。（4）隱蔽性。（5）破壞性。（6）不可預(yù)見性。（7）奪取系統(tǒng)控制權(quán)第七頁，共三十六頁。計算機病毒的組成

計算機病毒程序一般由感染模塊、觸發(fā)模塊、破壞模塊和主控模塊組成，相應(yīng)為感染機制、觸發(fā)機制和破壞機制三種。但有些病毒并不具備所有的模塊，例如巴基斯坦智囊病毒就沒有破壞模塊。

1．感染模塊2．觸發(fā)模塊3．破壞模塊4．主控模塊

第八頁，共三十六頁。計算機病毒的種類計算機病毒的分類方法也有多種，一般按病毒對計算機破壞的程度和傳染方式、算法及鏈接方式來分。

1．按病毒的傳染方式2．按病毒的破壞程度3．按病毒的算法分類4．按病毒的鏈接方式第九頁，共三十六頁。6.2

計算機病毒的工作方式

引導(dǎo)型病毒的工作方式文件型病毒的工作方式6.2.3混合型病毒的工作方式6.2.4宏病毒的工作方式6.2.5Java病毒

6.2.6網(wǎng)絡(luò)病毒

6.2.7腳本病毒

6.2.8PE病毒

第十頁，共三十六頁。

引導(dǎo)型病毒的工作方式第十一頁，共三十六頁。文件型病毒的工作方式在目前已知的病毒中，大多數(shù)屬于文件型病毒。文件型病毒一般只傳染磁盤上的可執(zhí)行文件（COM、EXE）。在用戶調(diào)用染毒的可執(zhí)行文件時，病毒首先被運行，然后病毒駐留內(nèi)存伺機傳染其他文件或直接傳染其他文件。其常見的傳染方式是附著于正常程序文件，成為程序文件的一個外殼或部件。第十二頁，共三十六頁。第十三頁，共三十六頁。（a）引導(dǎo)型病毒（b）文件型病毒第十四頁，共三十六頁。混和型病毒工作方式混和型病毒在傳染方式上兼具引導(dǎo)型病毒和文件型病毒的特點。這種病毒的原始狀態(tài)是依附在可執(zhí)行文件上，以該文件為載體進行傳播。當(dāng)被感染文件執(zhí)行時，會感染硬盤的主引導(dǎo)記錄。以后用硬盤啟動系統(tǒng)時，就會實現(xiàn)從文件型病毒轉(zhuǎn)變?yōu)橐龑?dǎo)型病毒。例如BloodBound.A，該病毒也稱為Tchechen.3420，主要感染COM、EXE和MBR。它將自己附著在可執(zhí)行文件的尾部，將破壞性的代碼放入MBR中，然后清除硬盤中的文件。第十五頁，共三十六頁。宏病毒的工作方式宏病毒是利用宏語句編寫的。它們通常利用宏的自動化功能進行感染，當(dāng)一個感染的宏被運行時，它會將自己安裝在應(yīng)用的模板中，并感染應(yīng)用創(chuàng)建和打開的所有文檔。Office中的Word、Excel和PowerPoint都有宏。第十六頁，共三十六頁。

Java病毒

Java是由Sun公司創(chuàng)建的一種用于互聯(lián)網(wǎng)環(huán)境中的編程語言。Java應(yīng)用程序不會直接運行在操作系統(tǒng)中，而是運行在Java虛擬機（JVM）上。因此用Java編寫的應(yīng)用程序的移植性非常強，包括現(xiàn)在的手機中的一些程序也是用Java編寫的。JavaApplet是一種內(nèi)嵌在HTML網(wǎng)頁中的可攜式Java小程序。具有Java功能的瀏覽器可以運行這個小程序。JavaApplet可供Web開發(fā)人員建立含有功能更豐富的交互式動態(tài)Web網(wǎng)頁。它們會在使用者訪問網(wǎng)頁時被執(zhí)行。黑客、病毒作者或其他惡意人士可能會用Java惡意程序代碼當(dāng)作武器攻擊使用者的系統(tǒng)。第十七頁，共三十六頁。網(wǎng)絡(luò)病毒隨著互聯(lián)網(wǎng)的高速發(fā)展，計算機病毒從原來的磁盤進行傳播發(fā)展到現(xiàn)在的通過網(wǎng)絡(luò)的漏洞進行傳播。到如今，網(wǎng)絡(luò)病毒已經(jīng)成為計算機網(wǎng)絡(luò)安全的最大威脅之一。網(wǎng)絡(luò)病毒中又以蠕蟲病毒出現(xiàn)最早，傳播最為廣泛，例如“沖擊波”、“紅色代碼”病毒等。第十八頁，共三十六頁。第十九頁，共三十六頁。6.2.7腳本病毒

腳本病毒也是一種特殊的網(wǎng)絡(luò)病毒。腳本是指從一個數(shù)據(jù)文檔中執(zhí)行一個任務(wù)的一組指令，它也是嵌入到一個文件中，常見的是嵌入到網(wǎng)頁文件中。腳本病毒依賴于一些特殊的腳本語言（例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等）。有些腳本語言，例如VBScript（VisualBasicScript）以及JavaScript病毒，必須通過Microsoft的WindowsScriptingHost（WSH）才能夠激活執(zhí)行以及感染其他文件。第二十頁，共三十六頁。6.2.8PE病毒

PE病毒，是指感染W(wǎng)indowsPE格式文件的病毒。PE病毒是目前影響力極大的一類病毒。PE病毒同時也是所有病毒中數(shù)量極多、破壞性極大、技巧性最強的一類病毒。如FunLove、“中國黑客”等病毒都屬于這個范疇。第二十一頁，共三十六頁。6.3病毒的預(yù)防、檢測和清除計算機病毒的預(yù)防計算機病毒的檢測方法計算機病毒的清除6.3.4病毒實例第二十二頁，共三十六頁。計算機病毒的檢測（1）使用無毒的系統(tǒng)軟件和應(yīng)用軟件。（2）CMOS設(shè)置。（3）使用最新的系統(tǒng)安全更新。（4）禁用WindowsScriptHost（WSH）和FSO對象。（6）啟動防火墻。（7）啟用宏病毒警告。（8）郵件附件的處理。（9）安裝殺毒軟件。第二十三頁，共三十六頁。計算機病毒的檢測方法1．特征代碼法2．校驗和法3．行為監(jiān)測法4．軟件模擬法5．啟發(fā)式掃描技術(shù)第二十四頁，共三十六頁。計算機病毒的清除1．引導(dǎo)型病毒的清除引導(dǎo)型病毒的一般清理辦法是用Format命令格式化磁盤，但這種方法的缺點是在病毒被殺掉的同時有用的數(shù)據(jù)也被清除掉了。除了格式化的方法外，還可以用其他的方法進行恢復(fù)。引導(dǎo)型病毒在不同的平臺上清除方法有所不同，在Windows95/98下，可以執(zhí)行以下步驟：（1）用Windows95/98的干凈啟動盤啟動計算機。（2）在命令行中鍵入下列命令：fdisk/mbr（用來更新主引導(dǎo)記錄，也稱硬盤分區(qū)表）SysC:（恢復(fù)硬盤引導(dǎo)扇區(qū)）（3）重啟計算機。在Windows2000/XP平臺下，可以用以下方法進行恢復(fù)：（1）用Windows2000/XP安裝光盤啟動。（2）在“歡迎安裝”的界面中按R鍵進行修復(fù)，啟動Windows的修復(fù)控制臺。（3）選擇正確的要修復(fù)的機器的數(shù)量。（4）鍵入管理員密碼，如果沒有密碼，則直接回車。（5）在命令行鍵入下面的命令：FIXMBR 回車FIXBOOT 回車（6）鍵入EXIT，重啟計算機。第二十五頁，共三十六頁。2．文件型病毒的清除（1）檢查注冊表（2）檢查win.ini文件（3）檢查system.ini文件（4）重新啟動計算機，然后根據(jù)文件名，在硬盤找到這個程序，將其刪除。第二十六頁，共三十六頁。3．宏病毒的清除在MicrsoftOffice應(yīng)用程序中打開“工具”→“宏”→“VisualBasic編輯器”，早期的版本為宏管理器。進入到編輯器窗口，用戶可以查看Normal模板，若發(fā)現(xiàn)有AutoOpen、AutoNew、AutoClose等自動宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如XXYY等，而自己又沒有加載這類特殊模板，這就極可能是宏病毒在作祟，因為大多數(shù)Normal模板中是不包含上述宏的。確定是宏病毒后，可以在通用模板中刪除被認為是病毒的宏。還有一種方法更為簡單，通過搜索系統(tǒng)文件，找到Autoexec.dot和Nomal.dot文件，直接刪除即可。Office應(yīng)用程序啟動后會重新生成一個干凈的模板文件。第二十七頁，共三十六頁。4．網(wǎng)絡(luò)病毒的清除（1）系統(tǒng)加固。（2）建立病毒預(yù)警檢測系統(tǒng)。（3）在互聯(lián)網(wǎng)接入口處安裝防病毒網(wǎng)關(guān)，將病毒隔離在外部網(wǎng)絡(luò)。第二十八頁，共三十六頁。病毒實例1．CIH病毒

2．沖擊波病毒3．愛蟲病毒4．梅麗莎病毒5．紅色代碼病毒第二十九頁，共三十六頁。6.4防毒戰(zhàn)略和相關(guān)產(chǎn)品傳統(tǒng)的防毒策略新防護策略防毒產(chǎn)品技術(shù)6.4.4防毒產(chǎn)品介紹第三十頁，共三十六頁。傳統(tǒng)的防毒策略1．基于點的保護戰(zhàn)略2．被動式保護戰(zhàn)略第三十一頁，共三十六頁。新防護策略1．多層次保護策略2．集中式管理策略3．病毒爆發(fā)預(yù)防策略第三十二頁，共三十六頁。防毒產(chǎn)品技術(shù)1．實時監(jiān)視技術(shù)2．自動解壓縮技術(shù)3．全平臺反病毒技術(shù)第三十三頁，共三十六頁。防毒產(chǎn)品介紹1．趨勢防病毒軟件2．賽門鐵克3．金山毒霸4．瑞星第三十四頁，共三十六頁。THANKYOUVERYMUCH！本章到此結(jié)束，謝謝您的光臨！第三十五頁，共三十六頁。內(nèi)容梗概第六章計算機病毒的防治。（1）了解計算機病毒的定義和病毒的危害性。但有些病毒并不具備所有的模塊，例如巴基斯坦智囊病毒就沒有破壞模塊。計算機病毒的分類方法也有多種，一般按病毒對計算機破壞的程度和傳染方式、算法及鏈接方式來分。在目前已知的病毒中，大多數(shù)屬于文件型病毒。其常見的傳染方式是附著于正常程序文件，成為程序文件的一個外殼或部件。當(dāng)被感染文件執(zhí)行時，會感染硬盤的主引導(dǎo)記錄。以后用硬盤啟動系統(tǒng)時，就會實現(xiàn)從文件型病毒轉(zhuǎn)變?yōu)橐龑?dǎo)型病毒。Java是由Sun公司創(chuàng)建的一種用于互聯(lián)網(wǎng)環(huán)境中的編程語言。Java應(yīng)用程序不會直接運行在操作系統(tǒng)中，而是運行在Java虛擬機（JVM）上。因此用Java編寫的應(yīng)用程序的移植性非常強，包括現(xiàn)在的手機中的一些程