計算機病毒的防治-2.ppt

第六章 計算機病毒的防治,6.1 計算機病毒概述 6.2 計算機病毒的工作方式 6.3 病毒的預防、檢測和清除 6.4 防毒戰(zhàn)略和相關(guān)產(chǎn)品,本章學習目標,（1）了解計算機病毒的定義和病毒的危害性 （2）掌握計算機病毒的特征和種類 （3）掌握計算機病毒的特征和種類 （4）掌握如何預防、檢測和清除病毒 （5）了解主要防毒產(chǎn)品的功能特點,6.1 計算機病毒概述,6.1.1 計算機病毒的定義 6.1.2 計算機病毒的發(fā)展過程 6.1.3 計算機病毒的特征 6.1.4 計算機病毒的組成 6.1.5 計算機病毒的種類,6.1.1 計算機病毒的定義,在1994年我國頒布實施的中華人民共和國計算機系統(tǒng)安全保護條例中，對計算機病毒有如下定義：“計算機病毒是編制或在計算機程序中插入的破壞計算機功能或毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼”。,6.1.2 計算機病毒的發(fā)展過程,1早期病毒的產(chǎn)生 在20世紀60年代初，美國貝爾實驗室中3個年輕的程序員，道格拉斯麥耀萊、維特維索斯基和羅伯在工作之余編制了一個游戲“磁芯大戰(zhàn)”（Core War），這個游戲是通過不斷復制自身的方式來擺脫對方進程的控制，從而獲取最后的勝利?？梢哉f這個程序是病毒的先驅(qū)。,2DOS病毒階段 3Windows平臺階段 4網(wǎng)絡病毒階段 5病毒發(fā)展的未來趨勢 （1）網(wǎng)絡化 （2）隱蔽化 （3）多樣化 （4）破壞性強 （5）簡單化,6.1.3 計算機病毒的特征,（1）可執(zhí)行性。 （2）傳染性。 （3）潛伏性。 （4）隱蔽性。 （5）破壞性。 （6）不可預見性。 （7）奪取系統(tǒng)控制權(quán),6.1.4 計算機病毒的組成,計算機病毒程序一般由感染模塊、觸發(fā)模塊、破壞模塊和主控模塊組成，相應為感染機制、觸發(fā)機制和破壞機制三種。但有些病毒并不具備所有的模塊，例如巴基斯坦智囊病毒就沒有破壞模塊。 1感染模塊 2觸發(fā)模塊 3破壞模塊 4主控模塊,6.1.5 計算機病毒的種類,計算機病毒的分類方法也有多種，一般按病毒對計算機破壞的程度和傳染方式、算法及鏈接方式來分 。 1按病毒的傳染方式 2按病毒的破壞程度 3按病毒的算法分類 4按病毒的鏈接方式,6.2 計算機病毒的工作方式,6.2.1 引導型病毒的工作方式 6.2.2 文件型病毒的工作方式 6.2.3 混合型病毒的工作方式 6.2.4 宏病毒的工作方式 6.2.5 Java病毒 6.2.6 網(wǎng)絡病毒 6.2.7 腳本病毒 6.2.8 PE病毒,6.2.1 引導型病毒的工作方式,6.2.2 文件型病毒的工作方式,在目前已知的病毒中，大多數(shù)屬于文件型病毒。文件型病毒一般只傳染磁盤上的可執(zhí)行文件（COM、EXE）。在用戶調(diào)用染毒的可執(zhí)行文件時，病毒首先被運行，然后病毒駐留內(nèi)存伺機傳染其他文件或直接傳染其他文件。其常見的傳染方式是附著于正常程序文件，成為程序文件的一個外殼或部件。,（a）引導型病毒,（b）文件型病毒,6.2.3 混和型病毒工作方式,混和型病毒在傳染方式上兼具引導型病毒和文件型病毒的特點。這種病毒的原始狀態(tài)是依附在可執(zhí)行文件上，以該文件為載體進行傳播。當被感染文件執(zhí)行時，會感染硬盤的主引導記錄。以后用硬盤啟動系統(tǒng)時，就會實現(xiàn)從文件型病毒轉(zhuǎn)變?yōu)橐龑筒《?。例如BloodBound.A，該病毒也稱為Tchechen.3420，主要感染COM、EXE和MBR。它將自己附著在可執(zhí)行文件的尾部，將破壞性的代碼放入MBR中，然后清除硬盤中的文件。,6.2.4 宏病毒的工作方式,宏病毒是利用宏語句編寫的。它們通常利用宏的自動化功能進行感染，當一個感染的宏被運行時，它會將自己安裝在應用的模板中，并感染應用創(chuàng)建和打開的所有文檔。Office中的Word、Excel和PowerPoint都有宏。,6.2.5 Java病毒,Java是由Sun公司創(chuàng)建的一種用于互聯(lián)網(wǎng)環(huán)境中的編程語言。Java應用程序不會直接運行在操作系統(tǒng)中，而是運行在Java虛擬機（JVM）上。因此用Java編寫的應用程序的移植性非常強，包括現(xiàn)在的手機中的一些程序也是用Java編寫的。 Java Applet是一種內(nèi)嵌在HTML網(wǎng)頁中的可攜式Java小程序。具有Java功能的瀏覽器可以運行這個小程序。Java Applet可供Web開發(fā)人員建立含有功能更豐富的交互式動態(tài)Web網(wǎng)頁。它們會在使用者訪問網(wǎng)頁時被執(zhí)行。黑客、病毒作者或其他惡意人士可能會用Java惡意程序代碼當作武器攻擊使用者的系統(tǒng)。,6.2.6 網(wǎng)絡病毒,隨著互聯(lián)網(wǎng)的高速發(fā)展，計算機病毒從原來的磁盤進行傳播發(fā)展到現(xiàn)在的通過網(wǎng)絡的漏洞進行傳播。到如今，網(wǎng)絡病毒已經(jīng)成為計算機網(wǎng)絡安全的最大威脅之一。網(wǎng)絡病毒中又以蠕蟲病毒出現(xiàn)最早，傳播最為廣泛，例如“沖擊波”、“紅色代碼”病毒等。,6.2.7 腳本病毒,腳本病毒也是一種特殊的網(wǎng)絡病毒。腳本是指從一個數(shù)據(jù)文檔中執(zhí)行一個任務的一組指令，它也是嵌入到一個文件中，常見的是嵌入到網(wǎng)頁文件中。腳本病毒依賴于一些特殊的腳本語言（例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等）。有些腳本語言，例如VBScript（Visual Basic Script）以及JavaScript病毒，必須通過Microsoft的Windows Scripting Host（WSH）才能夠激活執(zhí)行以及感染其他文件。,6.2.8 PE病毒,PE病毒，是指感染W(wǎng)indows PE格式文件的病毒。PE病毒是目前影響力極大的一類病毒。PE病毒同時也是所有病毒中數(shù)量極多、破壞性極大、技巧性最強的一類病毒。如FunLove、“中國黑客”等病毒都屬于這個范疇。,6.3 病毒的預防、檢測和清除,6.3.1 計算機病毒的預防 6.3.2 計算機病毒的檢測方法 6.3.3 計算機病毒的清除 6.3.4 病毒實例,6.3.1 計算機病毒的檢測,（1）使用無毒的系統(tǒng)軟件和應用軟件。 （2）CMOS設(shè)置。 （3）使用最新的系統(tǒng)安全更新。 （4）禁用Windows Script Host（WSH）和FSO對象。 （6）啟動防火墻 。 （7）啟用宏病毒警告 。 （8）郵件附件的處理。 （9）安裝殺毒軟件。,6.3.2 計算機病毒的檢測方法,1特征代碼法 2校驗和法 3行為監(jiān)測法 4軟件模擬法 5啟發(fā)式掃描技術(shù),6.3.3 計算機病毒的清除,1引導型病毒的清除 引導型病毒的一般清理辦法是用Format命令格式化磁盤，但這種方法的缺點是在病毒被殺掉的同時有用的數(shù)據(jù)也被清除掉了。除了格式化的方法外，還可以用其他的方法進行恢復。 引導型病毒在不同的平臺上清除方法有所不同，在Windows 95/98下，可以執(zhí)行以下步驟： （1）用Windows 95/98 的干凈啟動盤啟動計算機。 （2）在命令行中鍵入下列命令： fdisk /mbr （用來更新主引導記錄，也稱硬盤分區(qū)表） Sys C: （恢復硬盤引導扇區(qū)） （3）重啟計算機。 在Windows 2000/XP平臺下，可以用以下方法進行恢復： （1）用Windows 2000/XP 安裝光盤啟動。 （2）在“歡迎安裝”的界面中按R鍵進行修復，啟動Windows的修復控制臺。 （3）選擇正確的要修復的機器的數(shù)量。 （4）鍵入管理員密碼，如果沒有密碼，則直接回車。 （5）在命令行鍵入下面的命令： FIXMBR 回車 FIXBOOT 回車 （6）鍵入EXIT，重啟計算機。,2文件型病毒的清除 （1）檢查注冊表 （2）檢查win.ini文件 （3）檢查system.ini文件 （4）重新啟動計算機，然后根據(jù)文件名，在硬盤找到這個程序，將其刪除。,3宏病毒的清除 在Micrsoft Office應用程序中打開“工具” “宏”“Visual Basic編輯器”，早期的版本為宏管理器。進入到編輯器窗口，用戶可以查看Normal模板，若發(fā)現(xiàn)有AutoOpen、AutoNew、AutoClose等自動宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如XXYY等，而自己又沒有加載這類特殊模板，這就極可能是宏病毒在作祟，因為大多數(shù)Normal模板中是不包含上述宏的。確定是宏病毒后，可以在通用模板中刪除被認為是病毒的宏。 還有一種方法更為簡單，通過搜索系統(tǒng)文件，找到Autoexec.dot和Nomal.dot文件，直接刪除即可。Office應用程序啟動后會重新生成一個干凈的模板文件。,4網(wǎng)絡病毒的清除 （1）系統(tǒng)加固。 （2）建立病毒預警檢測系統(tǒng)。 （3）在互聯(lián)網(wǎng)接入口處安裝防病毒網(wǎng)關(guān)，將病毒隔離在外部網(wǎng)絡。,6.3.4 病毒實例,1CIH病毒 2沖擊波病毒 3愛蟲病毒 4梅麗莎病毒 5紅色代碼病毒,6.4 防毒戰(zhàn)略和相關(guān)產(chǎn)品,6.4.1 傳統(tǒng)的防毒策略 6.4.2 新防護策略 6.4.3 防毒產(chǎn)品技術(shù) 6.4.4 防毒產(chǎn)