计算机病毒与防治课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第3章计算机病毒及防治,本章主要内容：,1.什么是计算机病毒,2.计算机上病毒的传播,3.计算机病毒的特点及破坏行为,4.病毒的预防、检查和清除,3.1 什么是计算机病毒,计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中，能生成自身的复制并将其插入其它的程序中，执行恶意的行动。,通常，计算机病毒可分为下列几类。,（1）文件病毒。,（2）引导扇区病毒。,（3）多裂变病毒。,（4）秘密病毒。,（5）异形病毒。,（6）宏病毒。,计算机病毒的传染通过哪些途径?,计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种：,（1）通过盘(软盘)：通过使用外界被感染的盘,例如,不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的盘,使机器感染病毒发病,并传染给未被感染的“干净”的盘。大量的软盘交换,合法或非法的程序拷贝,不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。,（2）通过硬盘：通过硬盘传染也是重要的渠道,由于带有病毒机器移到其它地方使用、维修等,将干净的软盘传染并再扩散。,（3）通过光盘：因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。,（4）通过网络：这种传染扩散极快,能在很短时间内传遍网络上的机器。随着Internet的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。,病毒传播方式,被病毒感染的光盘,下载含病毒的程序,上传含病毒的程序,软件共享,未被感染的计算机,被感染的计算机,计算机网络,3.2 计算机病毒的工作方式,一般来说，病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。病毒能表现出的几种特性或功能有：感染、变异、触发、破坏以及高级功能（如隐身和多态）。,1感染,任何计算机病毒的一个重要特性或功能是对计算机系统的感染。,感染方法可用来区分两种主要类型的病毒：引导扇区病毒和文件感染病毒。,2变异,变异又称变种，这是病毒为逃避病毒扫描和其它反病毒软件的检测，以达到逃避检测的一种“功能”。,3触发,以时间、程序运行了次数和在文件病毒被复制到不同的系统上多少次之后作为触发条件。,4破坏,破坏的方式总的来说可以归纳如下列几种：修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。,5高级功能病毒,计算机病毒经过几代的发展，在功能方面日趋高级，它们尽可能地逃避检测，有的甚至被设计成能够躲开病毒扫描和反病毒软件。隐身病毒和多态病毒就属于这一类。,引导扇区病毒,1引导型病毒的清除,引导型病毒的一般清理办法是用Format命令格式化磁盘，但这种方法的缺点是在病毒被杀掉的同时有用的数据也被清除掉了。除了格式化的方法外，还可以用其他的方法进行恢复。,引导型病毒在不同的平台上清除方法有所不同，在Windows 95/98下，可以执行以下步骤：,（1）用Windows 95/98 的干净启动盘启动计算机。,（2）在命令行中键入下列命令：,fdisk/mbr（用来更新主引导记录，也称硬盘分区表）,Sys C:（恢复硬盘引导扇区）,（3）重启计算机。,在Windows 2000/XP平台下，可以用以下方法进行恢复：,（1）用Windows 2000/XP 安装光盘启动。,（2）在“欢迎安装”的界面中按R键进行修复，启动Windows的修复控制台。,（3）选择正确的要修复的机器的数量。,（4）键入管理员密码，如果没有密码，则直接回车。,（5）在命令行键入下面的命令：,FIXMBR 回车,FIXBOOT 回车,（6）键入EXIT，重启计算机。,文件感染病毒,覆盖型文件病毒 前依附型文件病毒 伴随型文件病毒,后依附型文件病毒,文件,病毒,文件,病毒,文件,病毒,文件,病毒,病毒,病毒,2文件型病毒的清除,（1）检查注册表,（2）检查win.ini文件,（3）检查system.ini文件,（4）重新启动计算机，然后根据文件名，在硬盘找到这个程序，将其删除。,3.3 计算机病毒的特点及破坏行为,3.3.1 计算机病毒的特点,根据对计算机病毒的产生、传染和破坏行为的分析，总结出病毒有以下几个主要特点。,1刻意编写人为破坏,2自我复制能力,3夺取系统控制权,4隐蔽性,5潜伏性,6不可预见性,电脑感染病毒的初步判断,1、电脑系统出现异常死机或死机频繁,当电脑系统经常无故死机时，如果经检查不是由于CPU散热、显卡过热、内存单元损坏等硬件原因引起时，就可以初步判断电脑感染了病毒。,2、运行速度突然减慢,病毒会占用CPU、内存、文件系统和外设等资源，最终造成系统的运行速度减慢。,3、出现异常的重启现象,4、操作系统无故频繁报警或虚假报警,5、文件的长度、属性、日期等信息无故改变,6、磁盘坏簇无故增多,7、丢失文件或数据,8、磁盘出现特殊标签或系统无法正常引导磁盘,有些病毒会用一个自己的特殊标记把经自己感染的磁盘标记起来，而有的则会寄生在磁盘的引导区内，覆盖掉引导区的部分代码，导致系统不能正常启动。,9、电脑的存储容量异常减少,10、无法正常调用汉字库,11、电脑屏幕上出现异常显示,12、部分文档自动加密,13、电脑的蜂鸣器出现异常声响,有些病毒会让电脑的蜂鸣器发出无规律的噪声，有些则会使软驱不断发出读盘的噪声。,14、主板被破坏,3.4 计算机病毒的破坏行为,（1）攻击系统数据区。,（2）攻击文件。,（3）攻击内存。,（4）干扰系统运行，使运行速度下降。,（5）干扰键盘、喇叭或屏幕。,（6）攻击CMOS。,（7）干扰打印机。,（8）网络病毒破坏网络系统，非法使用网络资源。,如何判断发现单机型病毒,防病毒软件发现。,计算机无法开机,计算机突然变慢,不能启动某些软件。,方法：,按ctrl+alt+del,打开任务管理器，再单击进程卡片，再单击卡片里的CPU项，会把占用CPU大小的进程从大到小排列，一般是System Idel Process 占用得最多，如果长期被其它进程占用第一，那它就是病毒,如何发现单机型病毒,高级用户：查看每一个进程，看一下是否是你熟悉的服务或者软件，如果发现陌生的进程，就到网上查找是否是病毒。,3.5.1 网络病毒,1网络病毒的特点,计算机网络的主要特点是资源共享。一旦共享资源感染病毒，网络各结点间信息的频繁传输会把病毒传染到所共享的机器上，从而形成多种共享资源的交叉感染。,3.5 网络病毒,Internet,2病毒在网络上的传播与表现,文件病毒可以通过因特网毫无困难地发送，而可执行文件病毒不能通过因特网在远程站点感染文件。此时因特网是文件病毒的载体。,引导病毒在网络服务器上的表现：如果网络服务器计算机是从一个感染的U盘（软盘）上引导的，那么网络服务器就可能被引导病毒感染。,网络病毒危害,开启机器后门，盗取银行密码，QQ密码，私人资料。,发送垃圾电子邮件，制造电子垃圾。,被别人当作跳板，攻击其它网络上的计算机或者服务器（DOS攻击，分布式拒绝服务攻击）,向其它计算机传播病毒或者后门。,如何发现网络型病毒,网络型病毒分黑客后门病毒（特诺依木马Troian House）和蠕虫病毒等,杀毒程序报警,不断发送EMAIL,不时打开IE，或者打开IE时不断弹出新窗口,发现不寻常的网络流量（代表网络流量的图标一直在亮，而本机没有进行任何网络操作）,发现网络型病毒,其他用户发现你正在攻击其计算机。,发现不寻常的网络连接,发现上网速度（本地网络）突然减慢。,发现网络病毒,在没有其它网络连接的时候，打开DOS方式，打入下面命令（netstat-b）,现在电脑只使用了MSN上网，其他的如果进行网络连接就可能是后门,清除网络型病毒,一般情况下使用软件清除，或者知道程序路径自己清除。,但有可能遇到软件及自动清除都不见效的下面情况：,手工清除病毒,下载进程管理工具，如Process Explorer（,病毒的预防、检查和清除,3.6.1,电脑病毒,的防治,1、电脑病毒的预防,（1）安装杀毒软件并保证及时升级,（2）从可靠渠道下载软件，并经过杀毒的检测才运行,（3）对电子邮件加倍提高警惕,（4）对新购置的电脑软硬件系统进行检测,（5）定期备份文件,2、一些预防病毒的简单措施,（1）防止SYN洪水攻击,HKEY _ LOCAL _ MACHINESYSTEM CurrentControlSetServicesTcpipParameters,DWORD值：SynAttackProtect,（2）防御脚本病毒,（3）防止网页脚本病毒执行,（4）防止Word文档宏病毒,3宏病毒的清除,在Micrsoft Office应用程序中打开“工具”“宏”“Visual Basic编辑器”，早期的版本为宏管理器。进入到编辑器窗口，用户可以查看Normal模板，若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如XXYY等，而自己又没有加载这类特殊模板，这就极可能是宏病毒在作祟，因为大多数Normal模板中是不包含上述宏的。确定是宏病毒后，可以在通用模板中删除被认为是病毒的宏。,还有一种方法更为简单，通过搜索系统文件，找到Autoexec.dot和Nomal.dot文件，直接删除即可。Office应用程序启动后会重新生成一个干净的模板文件。,使用Internet防火墙,用处:阻挡90%的黑客、蠕虫病毒及消除系统漏洞引起的安全性问题,WindowsXP或Windows 2003,系统自带防火墙,只要在网络中使用即可,方法:网络上邻居(右键)-属性-本地连接右键-属性-高级-Internet连接防火墙-打钩,其它Windows操作系统(Win95,Win98,WinNT,Win2000),安全其它品牌个人防火墙（推荐：天网）,Win XP使用防火墙,网上邻居-属性-本地连接-属性-高级-设置,使用防火墙并同时启动共享,启动共享时的安全措施,获得更新,用处:把系统漏洞补住，如冲击波的RPC系统漏洞,WindowsXP安装SP2及安装安全补丁,Windows 2000安装SP4及安装安全补丁,Windows98网上安装安全补丁,安装安全补丁方法:打开IE-工具菜单-Windows Update,上网更新方式,上网更新方式,使用最新的防病毒软件,安装防病毒软件并定时更新病毒特征码。,推荐：瑞星/norton,如果安装了防病软件没有更新，几乎等于没有安装!,设置定时查找病毒及定时升级病毒特征码,其他要注意的事项,下载软件最好到知名的网站下载,如华军软件(,),天空下载站,太平洋下载等.,如果打开某个网页时发现要下载或者安装软件时,要特别注意,一般是按NO.,安装软件时,如金山词霸,QQ等,最好选择手动设置,将多余并会影响正常使用的附件(如QQ工具栏)去除.,对不明来历的光碟及软件,采用先杀毒再安装方式.,收到带不明附件的邮件不要轻易打开.,四、,日常维护计划,：盘最好只安装系统，不存放数据，把Outlook的邮件和My Document的文件都放在D盘。（因为病毒最喜欢把C盘缺省目录的文件删除，而重装系统也会把C盘所有文件格式化掉）,重要文件最好定期使用光碟刻录存放。,做好系统备份工作，重装系统会变得很轻松（使用GHOST）,定期做硬盘碎片整理及查杀病毒。,用好Ghost使安装操作系统更松：,新的机器,(,或者要重装机器,),把数据全部备份,.,使用,Windows XP,光碟重新启动到分区步骤,.,分四个区,(,以,200G,为例,),C,盘,20G,D,盘,60G,E,盘,60G,F,盘,60G.,使用,NTFS,格式化,C,盘安装系统,.,安装所有需要的软件,如,office,等,.,用,NTFS,格式化,D,盘、,E,盘,FAT32,格式化,F,盘,.,把,My Document,及,EMAIL,等数据都放在,D,盘的目录中,.(,病毒最喜欢删,C,盘的,My Document,的数据,),对,C,盘进行磁盘的碎片整理,.,把,ghost.exe,文件放到,F,盘,重启计算机,使用,ghost,盘（或,win98,启动盘,),启动,.,这里原来的,F,盘变为,C,盘,(NTFS,分区对,DOS,不可见,).,运行,ghost.exe,使用,local-partition-to image,把整个系统备份到一个文件,.,结束,当系统完全崩溃或者被病毒已经破坏系统时：,备份,C,盘数据,(,可能还有一些数据放在,C,盘,),使用,ghost,盘（或,win98,启动盘）启动计算机,.,原来,F,盘变成了,C,盘,.,运行,ghost.exe,使用,local-partition-from image.,选中备份的文件，确定,.,重启计算机,这时系统已经变回原先干净的系统了,.,养成良好的上网习惯,不要随便按,yes,不要上一些不良的网站,不要暴露真实身份,安装软件,(,特别是一些免费软件,),时小心,最好使用自定义安装,安装软件中如,”,上网助手,中文域名,购物网站”等推荐安装的软件不要安装,不要在陌生的计算机上输入自已的密码,(,包括,QQ,刚刚上购物等,),五、网络故障检测,当遇到网络不通时，自己可使用下面方法检测,首先，要清楚自己网络参数，最重要是IP地址与网关，在DOS下使用IPCONFIG查询,网络检查,首先看一下物理连接是否通，方法：观看网卡灯是否亮，如果不亮，就看一下网线是否插好。如果都插好了，就知道可能是连接交换机掉电了。,其次是使用ping命令，测试网关是否通。方法如下：这种情况是通的,网络检测方法,如果下面情况就是网络不通,小 结,1计算机病毒,2计算机病毒的传播,3计算机病毒的特点及破坏行为,4宏病毒及网络病毒,5病毒的预防、检查和清除,相关链接,网虫病毒,网络安全,