资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第六章 计算机病毒的防治,什么是计算机病毒,计算机病毒的传播,计算机病毒的特点及破坏行为,宏病毒及网络病毒,病毒的预防、检查和清除,病毒防御解决方案,本资料由-,校园大学生创业网,-提供http:/ 计算机病毒的防治什么是计算机病毒本资料由-校园大学,6.1 什么是计算机病毒,计算机病毒是一种“计算机程序”,它不仅能破坏计算机系统,而且还能传播、感染到其他系统。它通常隐藏在其他看起来无害的程序中,能生成自身的复制并将其插入其他的程序中,执行恶意的行动。,计算机病毒可分为下列几类,:P134,1)文件病毒,:该病毒在操作系统招待文件时取得控制权并把自己依附在可执行文件上,然后利用这些指令来调用附在文件中某处的病毒代码。,2)引导扇区病毒,:它潜伏在软盘的引导扇区,或在硬盘的引导扇区,或主引导记录。,3,)多裂变病毒:,4)秘密病毒;,5)异形病毒;,6)宏病毒。,本资料由-,校园大学生创业网,-提供http:/ 什么是计算机病毒本资料由-校园大学生创业网-提供ht,6.2,计算机病毒的传播,6.2.1 计算机病毒的由来,计算机病毒是由计算机黑客们编写的,这些人想证明他们能编写出不但可以干扰和摧毁计算机而且能将破坏传播到其他系统的程序。,6.2.2 计算机病毒的传播,计算机病毒通过某个入侵点进入系统来感染系统。最明显的也是最常见的入侵点是从工作站传到工作站的软盘。在计算机网络系统中,可能的入侵点还包括服务器、E-mail附加部分、BBS上下载的文件、3W站点、FTP文件下载、共享网络文件及常规的网络通信、盗版软件、示范软件、电脑实验和其他共享设备。,病毒进入系统后的传播方式:,1)通过磁盘的关键区域;,2)在可执行的文件中。,本资料由-,校园大学生创业网,-提供http:/ 计算机病毒的传播6.2.1 计算机病毒的由来本资料,6.2.3 计算机病毒的工作方式,病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。病毒所能表现出来的特性或功能有:,1)感染,引导扇区病毒:,对软盘和硬盘的引导扇区攻击;,文件型病毒:,攻击磁盘上的文件。有两种类型:驻留型、非驻留型。P138,2)变异(变异是病毒可以创建类似自己,但又不同于自身“品种”的一种技术,它使病毒扫描程序难以检测。),3)触发,4)破坏(如:修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。),5)高级功能病毒(能逃避检测,有的甚至被设计成能够躲开病毒扫描软件和反病毒软件的程序。),6.2.3 计算机病毒的工作方式,6.3,计算机病毒的特点及破坏行为,6.3.1 计算机病毒的特点,1、刻意编写人为破坏,计算机病毒不是偶然自发产生的,而是人为编写的有意破坏、严谨精巧的程序段,它是严格组织的程序代码,与所在环境相互适应并紧密配合。P140,2、自我复制能力,再生机制是判断是不是计算机病毒的最重要依据。,3、夺取系统控制权,病毒将自身与系统软件挂起钩来,取得系统控制权,系统每执行一次操作,病毒就有机会执行它预先设计的操作,完成病毒代码的传播或进行破坏活动。,4、隐蔽性,不经过程序代码或计算机病毒代码扫描,病毒程序与正常程序不易区别开。,6.3 计算机病毒的特点及破坏行为6.3.1 计算机病毒的,5、潜伏性,大部分病毒在感染系统后一般不会马上发作,它可长期隐藏在系统中,除了传染外,不表现出破坏性,只有在满足其特定条件后才启动其表现模块,显示发作信息或进行系统破坏。,6、不可预见性,不同种类病毒的代码千差万别,病毒的制作技术也在不断地提高,病毒比反病毒软件永远是超前的。,5、潜伏性,6.3.2 计算机病毒的破坏行为,计算机病毒的破坏性表现为病毒的杀伤能力。根据有关病毒资料可以把病毒的破坏目标和攻击部位归纳如下:,1、攻击系统数据区,2、攻击文件,3、攻击内存,4、干扰系统运行,5、干扰键盘,6、攻击CMOS,7、干扰打印机,8、网络病毒破坏网络系统,6.3.2 计算机病毒的破坏行为计算机病毒的破坏性表现为病,6.4,宏病毒及网络病毒,6.4.1 宏病毒,宏-就是软件设计者为了在使用软件工作时,避免一再的重复相同的动作而设计出来的一种工具。它利用简单的语法,把常用的动作写成宏,当再工作时,就可以直接利用事先写好的宏自动运行,去完成某项特定的任务,而不必再重复相同的动作。,1、宏病毒的行为和特征,宏病毒-就是利用软件所支持的宏命令编写成的具有复制、传染能力的宏。宏病毒是一种新形态的计算机病毒,也是一种跨平台式计算机病毒,可以在Windows 9x、Windows NT、OS/2和Macintosh System 7等操作系统上执行病毒。,1)宏病毒行为机制(P142),2)宏病毒特征(P143),6.4 宏病毒及网络病毒6.4.1 宏病毒,2、宏病毒的防治和清除方法,1)使用选项“提示保存Normal”;,2)通过Shift键来禁止运行自动宏;,3)查看宏代码;,4)使用DisableAutoMacros宏;,5)使用Word 97的报警设置;,6)设置Normal.dot的只读属性;,7)Normal.dot的保护。,2、宏病毒的防治和清除方法,6.4.2 网络病毒,1、网络病毒的特点,计算机网络的主要特点是资源共享。一旦共享资源感染病毒,网络各结点间信息的频繁传输会把病毒传染到所共享的机器上,从而形成多种共享资源的交叉感染。因此,网络环境下病毒的防治就显得更加重要。,2、病毒在网络上的传播与表现,用户在工作站上执行一个带毒操作文件,这种病毒就会感染网络上其他可执行文件。,3、专攻网络的GPI病毒(P146),GPI是“耶路撒冷”病毒的变种,并且被特别改写成专门突破Novell网络系统安全结构的病毒。它的威力在于“自上而下”的传播。,4、电子邮件病毒,邮件系统使用不同的格式存储文件和文档,传统的杀毒软件对检测此类格式的文件无能为力。,防毒方法:P146/(1)(3),6.4.2 网络病毒,6.5 病毒的预防、检查和清除,6.5.1,病毒的预防,通过采取技术上和管理上的措施,计算机病毒是完全可以防范的。,措施如下:,(1)对新购置的计算机系统用检测病毒软件检查已知病毒,用人工检测方法检查未知病毒,并经过实验,证实没有病毒传染和破坏迹象再使用。,(2)新购置的硬盘或出厂时已格式化好的软盘可能有病毒。对硬盘可以进行检测或进行低级格式化。,(3)新购置的计算机软件也要进行病毒检测。,(4)在保证硬盘无病毒的情况下,尽量用硬盘引导启动,不要用软盘启动。,(5)很多计算机可以通过设置CMOS参数,直接从硬盘引导启动,而根本不去读A盘。,(6)(20)P148,6.5 病毒的预防、检查和清除6.5.1 病毒的预防,另外,作为应急措施,网络系统管理员应牢记下列几点:,1)当出现病毒传染迹象时,应立即隔离被感染的系统和网络并进行处理。,2)及时发现异常情况,可防止病毒传染到整个磁盘和传染到相邻的计算机。,3)注意观察下列现象:P149/111,另外,作为应急措施,网络系统管理员应牢记下列几点:,6.5.2 病毒的检查,计算机病毒要进行传染,必然会留下痕迹。检测计算机病毒,就是要到病毒寄生场所去检查,发现异常情况,并进而验明计算机病毒的存在。,1、病毒的检查方法,1)比较法:用原始备份与被检测的引导扇区或被检测的文件进行比较。(优点:简单、方便、无需专用软件。),2)利用病毒特征代码串的搜索法:用每一种病毒体内含有的特定字符串对被检测的对象进行扫描。,3)计算机病毒特征字的识别法:只需从病毒体内抽取很少几个关键的特征字来组成特征字库,由于需要处理的字节很少,又不必进行串匹配,大大加快了识别速度。,4)分析法:运用反汇编技术分析被检测对象,确认是否为病毒代码。(使用分析法要求具有比较全面的有关PC机、DOS结构和功能调用及关于病毒方面的各种知识。P152),6.5.2 病毒的检查,2、病毒扫描程序,病毒扫描程序能在程序中寻找病毒特征。判别病毒扫描程序好坏的一个重要标志就是“误诊”率一定要低。,3、完整性检查程序,它通过识别文件和系统的改变来发现病毒,或病毒的影响。,缺点:只有当病毒正在工作并做些什么事情时,它才能起作用。,4、行为封锁软件,行为封锁软件的目的是防止病毒的破坏。这种软件试图在病毒马上就要开始工作时阻止它。,2、病毒扫描程序,6.5.3 计算机病毒的防治,计算机病毒的防治,就是通过一定的方法,使计算机自身具有防御计算机病毒感染的能力。措施如下:,1、建立程序的特征值档案(P153),这是对付病毒的最有效方法。,2、严格内存管理(P154),3、中断向量管理,病毒驻留内存时常会修改一些中断向量,因此,中断向量的检查和恢复是必要的。,6.5.4 计算机感染病毒后的恢复,1、防止和修复引导记录病毒,防止软引导记录、主引导记录和分区引导记录病毒的较好方法是改变计算机的磁盘引导顺序,避免从软盘引导。必须从软盘引导时,应该确认该软盘无毒。,1),修复感染的软盘;2)修复感染的主引导记录;3)利用反病毒软件修复。,2、防止和修复可执行文件病毒,修复感染的程序文件最有效的途径是用未感染的备份代替它。,6.5.3 计算机病毒的防治,6.5.5 计算机病毒的清除(P155),1、使用DOS命令处理病毒,依附在可执行文件上的病毒的一个办法是将其从磁盘上删除,然后复制一个“干净”的文件到磁盘上。,2、引导型病毒的处理,一般清理办法是用格式化磁盘的方法。,3、宏病毒清除方法,步骤:P157,4、杀毒程序,它在处理病毒时,必须知道某种特别的病毒的信息,然后才能按需要对磁盘进行杀毒。,6.5.5 计算机病毒的清除(P155),6.6 病毒防御解决方案,病毒检测一直是病毒防护的支柱,但是,病毒检测本身并不阻止病毒传播,也不保护数据,使之不受破坏。常规反病毒技术把注意力集中在已经感染了病毒的文件上,已经远远不能满足网络时代的要求。因此,任何一种反病毒的解决方案都应该具有稳健的病毒检测功能,又具有服务器/客户机数据保护的能力,即具有覆盖全网的多层次方法。,6.6.1 多层次病毒防御的意义(P158),6.6.2 Intel多层次病毒防御方案,Intel LANDdsk Vrus Protect是一个易于管理的多层次病毒防御解决方案,它把病毒的检测、数据的保护及集中式的全域控制组织在一起,从而保证了病毒的有效防御。,1、功能:,1)后台实时扫描;P158,2)完整性保护;P159,3)完整性检验。P159,6.6 病毒防御解决方案病毒检测一直是病毒防护的支柱,但是,2、集中式管理,计算机病毒防御解决方案的一个重要的原则是,病毒防御给计算机网络系统所带来的负担不应该超过病毒所造成的危害,否则病毒的防御便失去意义。,网络病毒防御的集中式的管理是一种最经济、最可靠的防病毒的方式,它易于升级、几乎不需要人工干预就能保护桌面系统和服务器。,3、服务器/客户机病毒防御的灵活选择,Intel多层的病毒防御方案能提供只适用于服务器或只适用于客户机的许可方式,从而可以满足任何一个部门或机构的需要。,本资料由-,校园大学生创业网,-提供http:/ KV3000杀病毒软件简介(P160164),1、功能简介,2、KV3000的功能和使用格式,3、保存和恢复正确的硬盘主引导信息,4、清除所有引导区型病毒,5、恢复当前硬盘的主引导信息,6、安装和使用实时监测病毒程序KVW3000.exe,7、Word宏病毒的清除,本资料由-,校园大学生创业网,-提供http:/ KV3000杀病毒软件简介(P160164),6.6.4 瑞星RISING99杀毒软件简介,1、简介,2、DOS版菜单工作方式及使用方法,3、命令行工作方式的使用方法,4、引导型病毒提取程序,5、Windows95/98/NT版的使用方法,6、实时监控“防火墙”,本资料由-,校园大学生创业网,-提供http:/ 瑞星RISING99杀毒软件简介1、简介本资料,
展开阅读全文