ch計算機病毒及其防治

ch計算機病毒及其防治第1頁/共38頁27.1計算機病毒概述7.1.1.

計算機病毒的概念計算機病毒-----是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。第2頁/共38頁3計算機病毒的生命周期包含以下幾個階段：1、隱藏階段2、傳播階段3、觸發(fā)階段4、執(zhí)行階段第3頁/共38頁47.1.2.計算機病毒的產(chǎn)生病毒的產(chǎn)生可能有以下情況：開個玩笑，一個惡作劇產(chǎn)生于個別人的報復(fù)心理用于版權(quán)保護用于經(jīng)濟、軍事和政治目的第4頁/共38頁57.1.3.計算機病毒的特征破壞性傳染性隱蔽性潛伏性不可預(yù)見性衍生性針對性第5頁/共38頁67.1.4.計算機病毒的分類通常，計算機病毒可有下列分類方法：按破壞程度的強弱不同可分為良性病毒和惡性病毒；按傳染方式的不同，計算機病毒可分為文件型病毒、引導(dǎo)型病毒和混合型病毒；按連接方式的不同，計算機病毒可分為源碼型病毒、嵌入型病毒、操作系統(tǒng)型病毒和外殼型病毒。

第6頁/共38頁77.1.5．計算機病毒的傳播病毒傳播進入系統(tǒng)主要有以下三種途徑：網(wǎng)絡(luò)可移動的存儲設(shè)備(3)通信系統(tǒng)第7頁/共38頁87.1.6.計算機病毒的危害計算機病毒的主要危害有：攻擊系統(tǒng)數(shù)據(jù)區(qū)：攻擊文件：搶占系統(tǒng)資源：占用磁盤空間和對信息的破壞：干擾系統(tǒng)運行，使運行速度下降：攻擊CMOS：攻擊和破壞網(wǎng)絡(luò)系統(tǒng)：第8頁/共38頁97.2網(wǎng)絡(luò)病毒及其預(yù)防

7.2.1.網(wǎng)絡(luò)病毒概述

網(wǎng)絡(luò)病毒可以從兩方面理解:一是網(wǎng)絡(luò)病毒專門指在網(wǎng)絡(luò)上傳播、并對網(wǎng)絡(luò)進行破壞的病毒；二是網(wǎng)絡(luò)病毒是指與Internet有關(guān)的病毒，如HTML病毒、電子郵件病毒、Java病毒等。

第9頁/共38頁101、網(wǎng)絡(luò)病毒的傳播2、網(wǎng)絡(luò)病毒的特點傳播方式復(fù)雜傳播速度快傳染范圍廣清除難度大破壞危害大病毒變種多病毒功能多樣化難于控制第10頁/共38頁113、病毒的防治預(yù)防、檢測、清除防毒、查毒、解毒第11頁/共38頁127.2.2.網(wǎng)絡(luò)病毒的預(yù)防

1、嚴(yán)格的管理2、成熟的技術(shù)第12頁/共38頁137.2.3.網(wǎng)絡(luò)病毒的檢測(1)異常情況判斷(2)病毒檢測的主要目標(biāo)病毒檢測的主要目標(biāo)(病毒破壞的主要區(qū)域)：磁盤的主引導(dǎo)扇區(qū)、分區(qū)表。文件分配表、文件目錄區(qū)。中斷向量。可執(zhí)行文件。內(nèi)存空間。特征字符串（病毒的明顯特征）。第13頁/共38頁14(3)病毒的檢查方法檢測的原理主要是基于下列幾種方法：被檢測對象與原始備份的比較法，利用病毒特征代碼串的掃描法，病毒體內(nèi)特定位置的特征字識別法運用反匯編技術(shù)對被檢測對象的分析法和檢驗和法

。第14頁/共38頁15比較法：比較法是用原始備份與被檢測的引導(dǎo)扇區(qū)或被檢測的文件進行比較。該方法的優(yōu)點是簡單，方便，不需專用軟件；缺點是無法確定病毒類型。

第15頁/共38頁16掃描法掃描法是用每一種病毒體含有的特定字符串對被檢測的對象進行掃描。掃描程序由兩部分組成：病毒代碼庫和對該代碼庫進行掃描的程序。掃描法的優(yōu)點是檢測準(zhǔn)確、快速，可識別病毒名稱和類別，誤報警率低，容易對病毒進行清除處理；但缺點是不能檢測未知病毒，收集已知病毒的特征代碼的費用開銷大。第16頁/共38頁17特征字識別法計算機病毒特征字的識別法只需從病毒體內(nèi)抽取很少幾個關(guān)鍵的特征字來組成特征字庫。它是基于特征串掃描法發(fā)展起來的一種新方法。該方法優(yōu)點是由于要處理的字節(jié)很少，所以工作起來速度更快、誤報警更少，缺點和掃描法類似。第17頁/共38頁18分析法本方法是運用相應(yīng)技術(shù)分析被檢測對象，確認是否為病毒的。該方法的優(yōu)點是運用專業(yè)的分析技術(shù)，檢測準(zhǔn)確，能識別未知病毒，缺點是速度慢，需要專業(yè)知識。第18頁/共38頁19校驗和法對正常文件的內(nèi)容，計算其校驗和，將該校驗和寫入此文件或其它文件中保存，在文件使用過程中或使用之前，定期地檢查由現(xiàn)有內(nèi)容算出的校驗和與原來保存的校驗和是否一致，從而可以發(fā)現(xiàn)文件是否被感染，這種方法稱為校驗和法。使用校驗和法的優(yōu)點是方法簡單，能發(fā)現(xiàn)未知病毒，也能發(fā)現(xiàn)被查文件的細微變化；缺點是有誤報警、不能識別病毒類型和名稱、不能對付隱蔽型病毒。第19頁/共38頁207.2.4.網(wǎng)絡(luò)病毒的清除染毒后的緊急處理：系統(tǒng)感染病毒后可采取以下措施進行緊急處理：

隔離。報警。查毒源。采取應(yīng)對方法和對策。修復(fù)前備份數(shù)據(jù)。清除病毒。重啟和恢復(fù)。第20頁/共38頁21（2）病毒的查殺1、病毒掃描型這類軟件采用特征掃描法，根據(jù)病毒特征掃描可能的感染對象來發(fā)現(xiàn)病毒。2、完整性檢測型這類軟件采用比較法和校驗和法，監(jiān)視觀察對象的屬性和內(nèi)容是否發(fā)生變化。3、行為封鎖型這類軟件采用駐留內(nèi)存后臺工作的方式，監(jiān)視可能因病毒引起的異常行為。第21頁/共38頁22(3)網(wǎng)絡(luò)防病毒技術(shù)

實時監(jiān)視技術(shù)：實時監(jiān)視技術(shù)為計算機構(gòu)筑起一道動態(tài)、實時的防病毒防線，通過修改操作系統(tǒng)，使操作系統(tǒng)本身具備防病毒功能，拒病毒于計算機系統(tǒng)之外。全平臺防病毒技術(shù)：第22頁/共38頁237.3惡意代碼7.3.1．常見的惡意代碼1、普通病毒：2、木馬：3、蠕蟲：4、移動代碼：5、復(fù)合型病毒：第23頁/共38頁247.3.2.木馬1木馬病毒概述

木馬的傳播方式主要有三種：一種是通過E-mail第二種是軟件下載第三種是通過會話軟件（如QQ）的“傳送文件”進行傳播第24頁/共38頁252木馬的原理木馬的運行可有以下三種模式：潛伏在正常的程序應(yīng)用中，附帶執(zhí)行獨立的惡意操作；潛伏在正常的程序應(yīng)用中，但會修改正常的應(yīng)用進行惡意操作；完全覆蓋正常的程序應(yīng)用，執(zhí)行惡意操作。

第25頁/共38頁263木馬的危害國內(nèi)危害最嚴(yán)重的十種木馬是：QQ木馬、網(wǎng)銀木馬、MSN木馬、傳奇木馬、劍網(wǎng)木馬、BOT系列木馬、灰鴿子、蜜峰大盜、黑洞木馬、廣告木馬。第26頁/共38頁27根據(jù)木馬的特點及其危害范圍，木馬可分為以下五大類別：網(wǎng)游木馬網(wǎng)銀木馬即時通信木馬后門木馬廣告木馬第27頁/共38頁284木馬的檢測和清除查看開放端口查看和恢復(fù)win.ini和system.ini系統(tǒng)配置文件查看啟動程序并刪除可疑的啟動程序查看系統(tǒng)進程并停止可疑的系統(tǒng)進程查看和還原注冊表可使用殺毒軟件和木馬查殺工具檢測和清除木馬。第28頁/共38頁295木馬的預(yù)防不隨意下載來歷不明的軟件不隨意打開來歷不明的郵件，阻塞可疑郵件及時修補漏洞和關(guān)閉可疑的端口盡量少用共享文件夾運行實時監(jiān)控程序經(jīng)常升級系統(tǒng)和更新病毒庫限制使用不必要的具有傳輸能力的文件第29頁/共38頁307.3.3.蠕蟲蠕蟲病毒以計算機為載體，以網(wǎng)絡(luò)為攻擊對象。蠕蟲也是一種病毒。但是蠕蟲病毒和普通病毒有著很大的區(qū)別。

第30頁/共38頁31蠕蟲病毒與一般病毒的區(qū)別

普通病毒蠕蟲病毒存在形式寄存文件獨立程序傳染機制宿主程序運行主動攻擊傳染目標(biāo)本地文件網(wǎng)絡(luò)計算機第31頁/共38頁32蠕蟲的類別：根據(jù)使用者情況的不同蠕蟲可分為2類：面向企業(yè)用戶的蠕蟲和面向個人用戶的蠕蟲。按其傳播和攻擊特征蠕蟲可分為3類：漏洞蠕蟲、郵件蠕蟲和傳統(tǒng)蠕蟲。第32頁/共38頁33蠕蟲的基本結(jié)構(gòu)和傳播：蠕蟲的基本程序結(jié)構(gòu)包含三個功能模塊：傳播模塊隱藏模塊目的功能模塊蠕蟲程序的一般傳播過程：掃描攻擊復(fù)制第33頁/共38頁34蠕蟲的特點：傳播迅速，難以清除利用操作系統(tǒng)和應(yīng)用程序漏洞主動進行攻擊傳播方式多樣病毒制作技術(shù)與傳統(tǒng)的病毒不同與黑客技術(shù)相結(jié)合第34頁/共38頁35蠕蟲病毒的分析和防范（1）惡意蠕蟲病毒的分析（2）企業(yè)類蠕蟲病毒的防范：（3）個人用戶蠕蟲病毒的分析和防范第35頁/共38頁367.4計算機病毒的現(xiàn)狀和發(fā)展趨勢7.4.1計算機病毒的現(xiàn)狀7.4.2計算機病毒的發(fā)展趨勢病毒的網(wǎng)絡(luò)化病毒功能的綜合化傳播途徑的多樣化病毒的多平臺化7.4.3計算機病毒的防范對策第36頁/共38頁37

為了使現(xiàn)代防病毒技術(shù)跟上時代發(fā)展的步伐，保證網(wǎng)絡(luò)時代信息系統(tǒng)安全，這就要求對付新型計算機病毒的防病毒軟件必須能做到：1、全面地域Internet結(jié)合，不僅能夠進