第08章计算机病毒的防治课件

,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第8章 计算机病毒,主要内容：,1概述,2病毒原理,3病毒技术,4反病毒技术,5 常用反病毒软件,第8章 计算机病毒主要内容：,1,6.1 概述,6.1.1 定义,广义：凡能够引起计算机故障，破坏数据的程序。,权威定义：编制或者插入计算机程序中的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。中华人民共和国计算机信息安全保护条例,6.1 概述 6.1.1 定义,2,6.1.2 特征,寄生性（宿主程序）,传染性,隐蔽性,潜伏性,触发性,破坏性,6.1.2 特征,3,6.1.3 传播途径,通过不可移动的计算机硬件设备,通过可移动存储设备,通过计算机网络,通过无线通道,6.1.3 传播途径,4,6.1.4 分类,按攻击的,OS,按传播媒介,按危害程度,按寄生方式,从广义病毒定义,6.1.4 分类,5,按攻击的,OS：,攻击,DOS,攻击,WINDOWS,攻击,UNIX/LINUX,攻击嵌入式,OS,按攻击的OS：,6,按传播媒介,：,单机病毒：磁盘,网络病毒：网络，当今最多,按传播媒介：,7,按危害程度,：,良性病毒,恶性病毒,中性病毒,按危害程度：,8,按寄生方式,：,引导型,文件型（.,.bat.dll.vxd.sys）,混合型,按寄生方式：,9,从广义定义：,传统病毒,特洛伊木马,蠕虫,从广义定义：,10,特洛伊木马,定义：泛指那些内部包含有为完成特定任务而编制的程序，一种潜伏执行非授权功能的技术。本质上属于远程控制工具。,原理：,c/s,模式,传播途径,email,附件,用户间的文件交换,被其它恶意代码携带,互联网下载的文件,特洛伊木马,11,特征和行为,不自我复制；,被感染计算机变慢或出现异常行为；,多出一个或多个任务；,注册表或配置文件被修改,预防：,不执行来历不明的程序,必备杀毒软件,特征和行为,12,蠕虫,定义：通过网络来传播特定信息或错误，破坏网络信息或造成网络服务中断的病毒。,特点：,利用网络软件的缺陷，进行自我复制和主动传播。,蠕虫,13,6.2 病毒原理,3个功能模块：,引导模块,传染模块,破坏模块,6.2 病毒原理3个功能模块：,14,传统病毒（引导型、文件型）,引导型病毒工作流程,文件型病毒工作流程,传统病毒（引导型、文件型）,15,宏病毒,宏：一系列组合在一起的命令或指令，它们形成一个命令，以实现任务执行自动化。,宏病毒：存储于文档、模版中的病毒,特点：只感染微软数据文件,机制：用,VB,高级语言编写的病毒代码，直接混杂在文档中传播。当打开一个染毒文档或执行触发宏病毒的操作时，病毒激活，并存储在,normal.dot,在，以后保存的文档被自动感染。,工作流程,宏病毒,16,网络病毒,种类：蠕虫、木马,传播方式：,email、,网页、文件传输,如：,loveletter、happytime,网络病毒,17,6.3 病毒技术,寄生技术,驻留技术,加密变形技术,隐藏技术,6.3 病毒技术,18,寄生技术,将病毒代码加入正常程序中，原正常程序功能的部分或全部保留。,头寄生,尾寄生,插入寄生,文件型病毒使用最多,寄生技术,19,驻留技术,当染毒文件执行时，将病毒部分功能模块进入内存，即使程序结束，仍驻留内存。,如果杀毒软件只清除文件中病毒，而不清除内存中病毒，仍会感染。,驻留技术,20,加密变形技术,对不同传染实例呈现多样性。,传统病毒在代码中总有自身特点，反病毒软件厂商利用这些特点编制特征码，进行检测。,加密变形技术,21,隐藏技术,病毒在进入系统后，会采取种种方法隐藏行踪，使不易被发现。,隐藏技术,22,6.4 反病毒技术,6.4.1 发现病毒,系统运行迟钝,程序加载时间过长,简单操作，硬盘花费很长时间,异常错误信息出现,内存、磁盘空间忽然大量减少,程序文件大小、属性、内容改变,经常死机,出现不明常驻任务,异常声音、画面,6.4 反病毒技术6.4.1 发现病毒,23,6.4.2 检测技术,比较法：进行原始的或正常的特征与被检测对象特征进行比较,文件长度、内容、内存、中断向量,优点：简单、方便、不需专用软件,缺点：无法确认病毒种类、名称,6.4.2 检测技术,24,校验和法：计算正常文件的校验和，并保存，然后定期比较,优点：可侦测各式病毒，包括未知病毒,缺点：误判率高，无法确认病毒种类,校验和法：计算正常文件的校验和，并保存，然后定期比较,25,分析法：该法使用人员主要是反毒技术人员,搜索法：用病毒含有的特定字符串对被检测对象进行扫描。,特征字符串的选择好坏，起决定作用。,缺点：扫描时间长；不易选取合适特征串；病毒特征码未更新时，无法识别新病毒和并行病毒。,目前使用最普遍。,分析法：该法使用人员主要是反毒技术人员,26,6.4.3 清除,摘除染毒文件中的病毒代码，恢复正常。,专用杀毒软件或手工。,6.4.3 清除,27,6.4.4 免疫,原理：根据病毒签名实现，由于病毒在感染文件时，对已感染文件，不再感染,可人为在“健康程序”中加入病毒签名，起到免疫作用。,6.4.4 免疫,28,6.4.5 预防,经常备份数据,新购磁盘、软件等，先查毒,避免在无防毒软件或公用计算机上使用移动盘,对计算机的使用进行控制，禁止来历不明人进入系统,采用杀毒软件，实时监控、经常杀毒、及时升级,6.4.5 预防,29,6.5 常见杀毒软件,必备功能：,查、杀,对新病毒的反应能力,对文件备份、恢复,实时监控,界面友好，使用方便,对资源占有情况,国内外著名杀毒软件：,诺顿、,officeScan、,卡巴斯基、瑞星、江民、金山,6.5 常见杀毒软件必备功能：,30,习题与思考题,1什么是计算机病毒？,2计算病毒的基本特征是什么？,3简述计算机病毒攻击的对象及所造成的危害。,4病毒按寄生方式分为哪几类？,5计算机病毒一般由哪几部分构成，各部分的作用是什么？计算机病毒的预防有哪几方面？,6简述检测计算机病毒的常用方法。,7简述宏病毒的特征及其清除方法。,8什么是计算机病毒免疫？,9简述计算机病毒的防治措施。,10什么是网络病毒，防治网络病毒的要点是什么？,习题与思考题 1什么是计算机病毒？,31,