ch7計(jì)算機(jī)病毒及其防治

1、1第第7章章 計(jì)算機(jī)病毒防治計(jì)算機(jī)病毒防治2本章要求：本章要求： 了解計(jì)算機(jī)病毒的特征、類別、傳播途徑和危害； 連接計(jì)算機(jī)病毒的預(yù)防、檢測(cè)和清除； 了解木馬和蠕蟲病毒的原理分析、危害（破壞）、預(yù)防和清除措施； 了解現(xiàn)代計(jì)算機(jī)病毒的特征和發(fā)展趨勢(shì)。37.1 計(jì)算機(jī)病毒概述計(jì)算機(jī)病毒概述7.1.1. 計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒-是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù)，影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。4 計(jì)算機(jī)病毒的生命周期包含以下幾個(gè)階計(jì)算機(jī)病毒的生命周期包含以下幾個(gè)階段：段：1、隱藏階段2、傳播階段3、觸發(fā)階段4、執(zhí)行階段57.1.2

2、. 計(jì)算機(jī)病毒的產(chǎn)生計(jì)算機(jī)病毒的產(chǎn)生 病毒的產(chǎn)生可能有以下情況：1. 開個(gè)玩笑，一個(gè)惡作劇2. 產(chǎn)生于個(gè)別人的報(bào)復(fù)心理3. 用于版權(quán)保護(hù)4. 用于經(jīng)濟(jì)、軍事和政治目的67.1.3. 計(jì)算機(jī)病毒的特征計(jì)算機(jī)病毒的特征(1) 破壞性破壞性(2) 傳染性傳染性(3) 隱蔽性隱蔽性(4) 潛伏性潛伏性(5) 不可預(yù)見性不可預(yù)見性(6) 衍生性衍生性(7) 針對(duì)性針對(duì)性77.1.4. 計(jì)算機(jī)病毒的分類計(jì)算機(jī)病毒的分類 通常，計(jì)算機(jī)病毒可有下列分類方法： 按破壞程度的強(qiáng)弱不同可分為良性病毒和惡性病毒； 按傳染方式的不同，計(jì)算機(jī)病毒可分為文件型病毒、引導(dǎo)型病毒和混合型病毒； 按連接方式的不同，計(jì)算機(jī)病毒可分

3、為源碼型病毒、嵌入型病毒、操作系統(tǒng)型病毒和外殼型病毒。 87.1.5計(jì)算機(jī)病毒的傳播計(jì)算機(jī)病毒的傳播病毒傳播進(jìn)入系統(tǒng)主要有以下三種途徑：(1)網(wǎng)絡(luò)網(wǎng)絡(luò)(2)可移動(dòng)的存儲(chǔ)設(shè)備可移動(dòng)的存儲(chǔ)設(shè)備(3) 通信系統(tǒng)通信系統(tǒng)97.1.6. 計(jì)算機(jī)病毒的計(jì)算機(jī)病毒的危害危害計(jì)算機(jī)病毒的主要危害有：計(jì)算機(jī)病毒的主要危害有：1.攻擊系統(tǒng)數(shù)據(jù)區(qū)：2.攻擊文件：3.搶占系統(tǒng)資源：4.占用磁盤空間和對(duì)信息的破壞：5.干擾系統(tǒng)運(yùn)行，使運(yùn)行速度下降：6.攻擊cmos：7.攻擊和破壞網(wǎng)絡(luò)系統(tǒng)：107. .2 網(wǎng)絡(luò)病毒及其預(yù)防網(wǎng)絡(luò)病毒及其預(yù)防 7.2.1. 網(wǎng)絡(luò)病毒概述網(wǎng)絡(luò)病毒概述 網(wǎng)絡(luò)病毒可以從兩方面理解:一是網(wǎng)絡(luò)病毒專門

4、指在網(wǎng)絡(luò)上傳播、并對(duì)網(wǎng)絡(luò)進(jìn)行破壞的病毒；二是網(wǎng)絡(luò)病毒是指與internet有關(guān)的病毒，如html病毒、電子郵件病毒、java病毒等。 111、網(wǎng)絡(luò)病毒的傳播網(wǎng)絡(luò)病毒的傳播2 2、網(wǎng)絡(luò)病毒的特點(diǎn)、網(wǎng)絡(luò)病毒的特點(diǎn) 傳播方式復(fù)雜 傳播速度快 傳染范圍廣 清除難度大 破壞危害大 病毒變種多 病毒功能多樣化 難于控制123 3、病毒的防治、病毒的防治 預(yù)防、檢測(cè)、清除 防毒、查毒、解毒137.2.2. 網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒的預(yù)防的預(yù)防 1、嚴(yán)格的管理 2、成熟的技術(shù)147.2.3. 網(wǎng)絡(luò)病毒的檢測(cè)網(wǎng)絡(luò)病毒的檢測(cè)(1) 異常情況判斷異常情況判斷(2) 病毒檢測(cè)的主要目標(biāo)病毒檢測(cè)的主要目標(biāo)病毒檢測(cè)的主要目標(biāo)(病

5、毒破壞的主要區(qū)域)：磁盤的主引導(dǎo)扇區(qū)、分區(qū)表。文件分配表、文件目錄區(qū)。中斷向量?？蓤?zhí)行文件。內(nèi)存空間。特征字符串（病毒的明顯特征）。15(3) 病毒的檢查方法病毒的檢查方法檢測(cè)的原理主要是基于下列幾種方法： 被檢測(cè)對(duì)象與原始備份的比較法比較法， 利用病毒特征代碼串的掃描法掃描法， 病毒體內(nèi)特定位置的特征字識(shí)別法特征字識(shí)別法 運(yùn)用反匯編技術(shù)對(duì)被檢測(cè)對(duì)象的分析法分析法和檢檢驗(yàn)和法驗(yàn)和法 。 16 比較法：比較法：比較法是用原始備份與被檢測(cè)的引導(dǎo)扇區(qū)或被檢測(cè)的文件進(jìn)行比較。該方法的優(yōu)點(diǎn)是簡(jiǎn)單，方便，不需專用軟件；缺點(diǎn)是無(wú)法確定病毒類型。 17 掃描法掃描法 掃描法是用每一種病毒體含有的特定字符串對(duì)被

6、檢測(cè)的對(duì)象進(jìn)行掃描。 掃描程序由兩部分組成：病毒代碼庫(kù)和對(duì)該代碼庫(kù)進(jìn)行掃描的程序。 掃描法的優(yōu)點(diǎn)是檢測(cè)準(zhǔn)確、快速，可識(shí)別病毒名稱和類別，誤報(bào)警率低，容易對(duì)病毒進(jìn)行清除處理；但缺點(diǎn)是不能檢測(cè)未知病毒，收集已知病毒的特征代碼的費(fèi)用開銷大。18 特征字識(shí)別法特征字識(shí)別法 計(jì)算機(jī)病毒特征字的識(shí)別法只需從病毒體內(nèi)抽取很少幾個(gè)關(guān)鍵的特征字來(lái)組成特征字庫(kù)。它是基于特征串掃描法發(fā)展起來(lái)的一種新方法。 該方法優(yōu)點(diǎn)是由于要處理的字節(jié)很少，所以工作起來(lái)速度更快、誤報(bào)警更少，缺點(diǎn)和掃描法類似。19 分析法分析法 本方法是運(yùn)用相應(yīng)技術(shù)分析被檢測(cè)對(duì)象，確認(rèn)是否為病毒的。 該方法的優(yōu)點(diǎn)是運(yùn)用專業(yè)的分析技術(shù)，檢測(cè)準(zhǔn)確，能識(shí)別

7、未知病毒，缺點(diǎn)是速度慢，需要專業(yè)知識(shí)。20校驗(yàn)和法校驗(yàn)和法對(duì)正常文件的內(nèi)容，計(jì)算其校驗(yàn)和，將該校驗(yàn)和寫入此文件或其它文件中保存，在文件使用過(guò)程中或使用之前，定期地檢查由現(xiàn)有內(nèi)容算出的校驗(yàn)和與原來(lái)保存的校驗(yàn)和是否一致，從而可以發(fā)現(xiàn)文件是否被感染，這種方法稱為校驗(yàn)和法。使用校驗(yàn)和法的優(yōu)點(diǎn)是方法簡(jiǎn)單，能發(fā)現(xiàn)未知病毒，也能發(fā)現(xiàn)被查文件的細(xì)微變化；缺點(diǎn)是有誤報(bào)警、不能識(shí)別病毒類型和名稱、不能對(duì)付隱蔽型病毒。 217.2. 4. 網(wǎng)絡(luò)病毒的清除網(wǎng)絡(luò)病毒的清除(1) 染毒后的緊急處理：染毒后的緊急處理：系統(tǒng)感染病毒后可采取以下措施進(jìn)行緊急處理： 隔離。隔離。 報(bào)警。報(bào)警。 查毒源。查毒源。 采取應(yīng)對(duì)方法和對(duì)

8、策。采取應(yīng)對(duì)方法和對(duì)策。 修復(fù)前備份數(shù)據(jù)。修復(fù)前備份數(shù)據(jù)。 清除病毒。清除病毒。 重啟和恢復(fù)。重啟和恢復(fù)。22（2）病毒的查殺）病毒的查殺1、病毒掃描型、病毒掃描型這類軟件采用特征掃描法，根據(jù)病毒特征掃描可能的感染對(duì)象來(lái)發(fā)現(xiàn)病毒。2、完整性檢測(cè)型、完整性檢測(cè)型這類軟件采用比較法和校驗(yàn)和法，監(jiān)視觀察對(duì)象的屬性和內(nèi)容是否發(fā)生變化。3、行為封鎖型、行為封鎖型這類軟件采用駐留內(nèi)存后臺(tái)工作的方式，監(jiān)視可能因病毒引起的異常行為。23(3) 網(wǎng)絡(luò)防病毒技術(shù)網(wǎng)絡(luò)防病毒技術(shù) 實(shí)時(shí)監(jiān)視技術(shù)：實(shí)時(shí)監(jiān)視技術(shù)：實(shí)時(shí)監(jiān)視技術(shù)為計(jì)算機(jī)構(gòu)筑起一道動(dòng)態(tài)、實(shí)時(shí)的防病毒防線，通過(guò)修改操作系統(tǒng)，使操作系統(tǒng)本身具備防病毒功能，拒病毒于

9、計(jì)算機(jī)系統(tǒng)之外。 全平臺(tái)防病毒技術(shù)：全平臺(tái)防病毒技術(shù)：247.3 惡意代碼惡意代碼7.3.1常見的惡意代碼常見的惡意代碼1、普通病毒：2、木馬：3、蠕蟲：4、移動(dòng)代碼：5、復(fù)合型病毒：257.3.2. 木馬木馬1 木馬病毒概述木馬病毒概述 木馬的傳播方式主要有三種： 一種是通過(guò)e-mail 第二種是軟件下載 第三種是通過(guò)會(huì)話軟件（如qq）的“傳送文件”進(jìn)行傳播262 木馬的原理木馬的原理 木馬的運(yùn)行可有以下三種模式： 潛伏在正常的程序應(yīng)用中，附帶執(zhí)行獨(dú)立的惡意操作； 潛伏在正常的程序應(yīng)用中，但會(huì)修改正常的應(yīng)用進(jìn)行惡意操作； 完全覆蓋正常的程序應(yīng)用，執(zhí)行惡意操作。 273 木馬的危害木馬的危害

10、國(guó)內(nèi)危害最嚴(yán)重的十種木馬十種木馬是：qq木馬、網(wǎng)銀木馬、msn木馬、傳奇木馬、劍網(wǎng)木馬、bot系列木馬、灰鴿子、蜜峰大盜、黑洞木馬、廣告木馬。28根據(jù)木馬的特點(diǎn)及其危害范圍，木馬可分為以下五大類別：1. 網(wǎng)游木馬2. 網(wǎng)銀木馬3. 即時(shí)通信木馬4. 后門木馬5. 廣告木馬294 木馬的檢測(cè)和清除木馬的檢測(cè)和清除查看開放端口查看和恢復(fù)win.ini和system.ini系統(tǒng)配置文件查看啟動(dòng)程序并刪除可疑的啟動(dòng)程序查看系統(tǒng)進(jìn)程并停止可疑的系統(tǒng)進(jìn)程查看和還原注冊(cè)表 可使用殺毒軟件和木馬查殺工具檢測(cè)和清除木馬。305 木馬的預(yù)防木馬的預(yù)防 不隨意下載來(lái)歷不明的軟件 不隨意打開來(lái)歷不明的郵件，阻塞可疑郵

11、件 及時(shí)修補(bǔ)漏洞和關(guān)閉可疑的端口 盡量少用共享文件夾 運(yùn)行實(shí)時(shí)監(jiān)控程序 經(jīng)常升級(jí)系統(tǒng)和更新病毒庫(kù) 限制使用不必要的具有傳輸能力的文件 317.3.3. 蠕蟲蠕蟲 蠕蟲病毒以計(jì)算機(jī)為載體，以網(wǎng)絡(luò)為攻擊對(duì)象。 蠕蟲也是一種病毒。但是蠕蟲病毒和普通病毒有著很大的區(qū)別。 32蠕蟲病毒與一般病毒的區(qū)別 普通病毒 蠕蟲病毒 存在形式 寄存文件 獨(dú)立程序 傳染機(jī)制 宿主程序運(yùn)行 主動(dòng)攻擊 傳染目標(biāo) 本地文件 網(wǎng)絡(luò)計(jì)算機(jī)33 蠕蟲的類別：蠕蟲的類別： 根據(jù)使用者情況的不同蠕蟲可分為2類：面向企業(yè)用戶的蠕蟲和面向個(gè)人用戶的蠕蟲。 按其傳播和攻擊特征蠕蟲可分為3類：漏洞蠕蟲、郵件蠕蟲和傳統(tǒng)蠕蟲。34蠕蟲的基本結(jié)構(gòu)

12、和傳播：蠕蟲的基本結(jié)構(gòu)和傳播：蠕蟲的基本程序結(jié)構(gòu)包含三個(gè)功能模塊：1. 傳播模塊2. 隱藏模塊3. 目的功能模塊蠕蟲程序的一般傳播過(guò)程：1. 掃描2. 攻擊3. 復(fù)制35 蠕蟲的特點(diǎn)：蠕蟲的特點(diǎn)： 傳播迅速，難以清除 利用操作系統(tǒng)和應(yīng)用程序漏洞主動(dòng)進(jìn)行攻擊 傳播方式多樣 病毒制作技術(shù)與傳統(tǒng)的病毒不同 與黑客技術(shù)相結(jié)合36蠕蟲病毒的分析和防范蠕蟲病毒的分析和防范（1）惡意蠕蟲病毒的分析（2）企業(yè)類蠕蟲病毒的防范：（3）個(gè)人用戶蠕蟲病毒的分析和防范377.4 計(jì)算機(jī)病毒的現(xiàn)狀和發(fā)展趨勢(shì)計(jì)算機(jī)病毒的現(xiàn)狀和發(fā)展趨勢(shì)7.4.1 7.4.1 計(jì)算機(jī)病毒的現(xiàn)狀計(jì)算機(jī)病毒的現(xiàn)狀7.4.2 7.4.2 計(jì)算機(jī)病

13、毒的發(fā)展趨勢(shì)計(jì)算機(jī)病毒的發(fā)展趨勢(shì)1.病毒的網(wǎng)絡(luò)化2.病毒功能的綜合化3.傳播途徑的多樣化4.病毒的多平臺(tái)化7.4.3 7.4.3 計(jì)算機(jī)病毒的防范對(duì)策計(jì)算機(jī)病毒的防范對(duì)策38 為了使現(xiàn)代防病毒技術(shù)跟上時(shí)代發(fā)展的步伐，保證網(wǎng)為了使現(xiàn)代防病毒技術(shù)跟上時(shí)代發(fā)展的步伐，保證網(wǎng) 絡(luò)時(shí)代信息系統(tǒng)安全，這就要求對(duì)付新型計(jì)算機(jī)病毒的絡(luò)時(shí)代信息系統(tǒng)安全，這就要求對(duì)付新型計(jì)算機(jī)病毒的 防病毒軟件必須能做到：防病毒軟件必須能做到：1、全面地域、全面地域internet結(jié)合，不僅能夠進(jìn)行手動(dòng)查殺與文結(jié)合，不僅能夠進(jìn)行手動(dòng)查殺與文件監(jiān)控，還必須對(duì)網(wǎng)絡(luò)層、郵件客戶端進(jìn)行實(shí)時(shí)監(jiān)控，件監(jiān)控，還必須對(duì)網(wǎng)絡(luò)層、郵件客戶端進(jìn)行實(shí)時(shí)監(jiān)控，防止病毒入侵。防止病毒入侵。2、有快速反應(yīng)的病毒檢測(cè)網(wǎng)，在病毒爆發(fā)的第一時(shí)間即、有快速反應(yīng)的病毒檢測(cè)網(wǎng)，在病毒爆發(fā)的第一時(shí)間