教学第08章计算机病毒的防治课件

第8章计算机病毒

主要内容： 1．概述 2．病毒原理 3．病毒技术 4．反病毒技术 5．常用反病毒软件第8章计算机病毒 主要内容：16.1概述6.1.1定义广义：凡能够引起计算机故障，破坏数据的程序。权威定义：编制或者插入计算机程序中的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。《中华人民共和国计算机信息安全保护条例》6.1概述6.1.1定义26.1.2特征寄生性（宿主程序）传染性隐蔽性潜伏性触发性破坏性6.1.2特征36.1.3传播途径通过不可移动的计算机硬件设备通过可移动存储设备通过计算机网络通过无线通道6.1.3传播途径46.1.4分类按攻击的OS按传播媒介按危害程度按寄生方式从广义病毒定义6.1.4分类5按攻击的OS：

攻击DOS

攻击WINDOWS

攻击UNIX/LINUX

攻击嵌入式OS按攻击的OS：6按传播媒介：

单机病毒：磁盘 网络病毒：网络，当今最多按传播媒介：7按危害程度：

良性病毒 恶性病毒 中性病毒按危害程度：8按寄生方式：

引导型 文件型（..bat.dll.vxd.sys）

混合型按寄生方式：9从广义定义：

传统病毒 特洛伊木马 蠕虫从广义定义：10特洛伊木马定义：泛指那些内部包含有为完成特定任务而编制的程序，一种潜伏执行非授权功能的技术。本质上属于远程控制工具。原理：

c/s模式传播途径

email附件 用户间的文件交换 被其它恶意代码携带 互联网下载的文件特洛伊木马11特征和行为 不自我复制； 被感染计算机变慢或出现异常行为； 多出一个或多个任务； 注册表或配置文件被修改预防： 不执行来历不明的程序 必备杀毒软件特征和行为12蠕虫定义：通过网络来传播特定信息或错误，破坏网络信息或造成网络服务中断的病毒。特点： 利用网络软件的缺陷，进行自我复制和主动传播。蠕虫136.2病毒原理3个功能模块：引导模块传染模块破坏模块6.2病毒原理3个功能模块：14传统病毒（引导型、文件型）引导型病毒工作流程文件型病毒工作流程传统病毒（引导型、文件型）15宏病毒宏：一系列组合在一起的命令或指令，它们形成一个命令，以实现任务执行自动化。宏病毒：存储于文档、模版中的病毒特点：只感染微软数据文件机制：用VB高级语言编写的病毒代码，直接混杂在文档中传播。当打开一个染毒文档或执行触发宏病毒的操作时，病毒激活，并存储在normal.dot在，以后保存的文档被自动感染。工作流程宏病毒16网络病毒种类：蠕虫、木马传播方式：email、网页、文件传输如：loveletter、happytime网络病毒176.3病毒技术寄生技术驻留技术加密变形技术隐藏技术6.3病毒技术18寄生技术 将病毒代码加入正常程序中，原正常程序功能的部分或全部保留。头寄生尾寄生插入寄生文件型病毒使用最多寄生技术19驻留技术 当染毒文件执行时，将病毒部分功能模块进入内存，即使程序结束，仍驻留内存。 如果杀毒软件只清除文件中病毒，而不清除内存中病毒，仍会感染。驻留技术20加密变形技术 对不同传染实例呈现多样性。 传统病毒在代码中总有自身特点，反病毒软件厂商利用这些特点编制特征码，进行检测。加密变形技术21隐藏技术 病毒在进入系统后，会采取种种方法隐藏行踪，使不易被发现。隐藏技术226.4反病毒技术6.4.1发现病毒 系统运行迟钝 程序加载时间过长 简单操作，硬盘花费很长时间

异常错误信息出现 内存、磁盘空间忽然大量减少 程序文件大小、属性、内容改变 经常死机 出现不明常驻任务 异常声音、画面6.4反病毒技术6.4.1发现病毒236.4.2检测技术比较法：进行原始的或正常的特征与被检测对象特征进行比较 文件长度、内容、内存、中断向量 优点：简单、方便、不需专用软件 缺点：无法确认病毒种类、名称6.4.2检测技术24校验和法：计算正常文件的校验和，并保存，然后定期比较 优点：可侦测各式病毒，包括未知病毒 缺点：误判率高，无法确认病毒种类校验和法：计算正常文件的校验和，并保存，然后定期比较25分析法：该法使用人员主要是反毒技术人员搜索法：用病毒含有的特定字符串对被检测对象进行扫描。 特征字符串的选择好坏，起决定作用。 缺点：扫描时间长；不易选取合适特征串；病毒特征码未更新时，无法识别新病毒和并行病毒。 目前使用最普遍。分析法：该法使用人员主要是反毒技术人员266.4.3清除 摘除染毒文件中的病毒代码，恢复正常。 专用杀毒软件或手工。6.4.3清除276.4.4免疫 原理：根据病毒签名实现，由于病毒在感染文件时，对已感染文件，不再感染 可人为在“健康程序”中加入病毒签名，起到免疫作用。6.4.4免疫286.4.5预防 经常备份数据 新购磁盘、软件等，先查毒 避免在无防毒软件或公用计算机上使用移动盘 对计算机的使用进行控制，禁止来历不明人进入系统 采用杀毒软件，实时监控、经常杀毒、及时升级6.4.5预防296.5常见杀毒软件必备功能： 查、杀 对新病毒的反应能力 对文件备份、恢复 实时监控 界面友好，使用方便 对资源占有情况国内外著名杀毒软件： 诺顿、officeScan、卡巴斯基、瑞星、江民、金山6.5常见杀毒软件必备功能：30习题与思考题1．什么是计算机病毒？2．计算病毒的基本特征是什么？3．简述计算机病毒攻击的对象及所造成的危害。4．病毒按寄生方式分为哪几类？5．计算机病毒一般由哪几部分构成，各部分的作用是什么？计算机病毒的预防有哪几方面？6．简述检测计算机病毒的常用方法。7．简述宏病毒的特征及其清除方法。8．什么是计算机病毒免疫？9．简述计算机病毒的防治措施。10．什么是网络病毒，防治网络病毒的要点是什么？习题与思考题1．什么是计算机病毒？31第8章计算机病毒

主要内容： 1．概述 2．病毒原理 3．病毒技术 4．反病毒技术 5．常用反病毒软件第8章计算机病毒 主要内容：326.1概述6.1.1定义广义：凡能够引起计算机故障，破坏数据的程序。权威定义：编制或者插入计算机程序中的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或程序代码。《中华人民共和国计算机信息安全保护条例》6.1概述6.1.1定义336.1.2特征寄生性（宿主程序）传染性隐蔽性潜伏性触发性破坏性6.1.2特征346.1.3传播途径通过不可移动的计算机硬件设备通过可移动存储设备通过计算机网络通过无线通道6.1.3传播途径356.1.4分类按攻击的OS按传播媒介按危害程度按寄生方式从广义病毒定义6.1.4分类36按攻击的OS：

攻击DOS

攻击WINDOWS

攻击UNIX/LINUX

攻击嵌入式OS按攻击的OS：37按传播媒介：

单机病毒：磁盘 网络病毒：网络，当今最多按传播媒介：38按危害程度：

良性病毒 恶性病毒 中性病毒按危害程度：39按寄生方式：

引导型 文件型（..bat.dll.vxd.sys）

混合型按寄生方式：40从广义定义：

传统病毒 特洛伊木马 蠕虫从广义定义：41特洛伊木马定义：泛指那些内部包含有为完成特定任务而编制的程序，一种潜伏执行非授权功能的技术。本质上属于远程控制工具。原理：

c/s模式传播途径

email附件 用户间的文件交换 被其它恶意代码携带 互联网下载的文件特洛伊木马42特征和行为 不自我复制； 被感染计算机变慢或出现异常行为； 多出一个或多个任务； 注册表或配置文件被修改预防： 不执行来历不明的程序 必备杀毒软件特征和行为43蠕虫定义：通过网络来传播特定信息或错误，破坏网络信息或造成网络服务中断的病毒。特点： 利用网络软件的缺陷，进行自我复制和主动传播。蠕虫446.2病毒原理3个功能模块：引导模块传染模块破坏模块6.2病毒原理3个功能模块：45传统病毒（引导型、文件型）引导型病毒工作流程文件型病毒工作流程传统病毒（引导型、文件型）46宏病毒宏：一系列组合在一起的命令或指令，它们形成一个命令，以实现任务执行自动化。宏病毒：存储于文档、模版中的病毒特点：只感染微软数据文件机制：用VB高级语言编写的病毒代码，直接混杂在文档中传播。当打开一个染毒文档或执行触发宏病毒的操作时，病毒激活，并存储在normal.dot在，以后保存的文档被自动感染。工作流程宏病毒47网络病毒种类：蠕虫、木马传播方式：email、网页、文件传输如：loveletter、happytime网络病毒486.3病毒技术寄生技术驻留技术加密变形技术隐藏技术6.3病毒技术49寄生技术 将病毒代码加入正常程序中，原正常程序功能的部分或全部保留。头寄生尾寄生插入寄生文件型病毒使用最多寄生技术50驻留技术 当染毒文件执行时，将病毒部分功能模块进入内存，即使程序结束，仍驻留内存。 如果杀毒软件只清除文件中病毒，而不清除内存中病毒，仍会感染。驻留技术51加密变形技术 对不同传染实例呈现多样性。 传统病毒在代码中总有自身特点，反病毒软件厂商利用这些特点编制特征码，进行检测。加密变形技术52隐藏技术 病毒在进入系统后，会采取种种方法隐藏行踪，使不易被发现。隐藏技术536.4反病毒技术6.4.1发现病毒 系统运行迟钝 程序加载时间过长 简单操作，硬盘花费很长时间

异常错误信息出现 内存、磁盘空间忽然大量减少 程序文件大小、属性、内容改变 经常死机 出现不明常驻任务 异常声音、画面6.4反病毒技术6.4.1发现病毒546.4.2检测技术比较法：进行原始的或正常的特征与被检测对象特征进行比较 文件长度、内容、内存、中断向量 优点：简单、方便、不需专用软件 缺点：无法确认病毒种类、名称6.4.2检测技术55校验和法：计算正常文件的校验和，并保存，然后定期比较 优点：可侦测各式病毒，包括未知病毒 缺点：误判率高，无法确认病毒种类校验和法：计算正常文件的校验和，并保存，然后定期比较56分析法：该法使用人员主要是反毒技术人员搜索法：用病毒含有的特定字符串对被检测对象进行扫描。 特征字符串的选择好坏，起决定作用。 缺点：扫描时间长；不易选取合适特征串；病毒特征码未更新时，无法识别新病毒和并行病毒。 目前使用最普遍。分析法：该法使用人员主要是反毒技术人员576.4.3清除 摘除染毒文件中的病毒代码，恢复正常。 专用杀毒软件或手工。6.4.3清除586.4.4免疫 原理：根据病毒签名实现，由于病毒在感染文件时，对已感染文件，不再感染 可人为在“健康程序”中加入病毒签名，起到免疫作用。6.4.4免疫596.4.5预防 经常备份数据 新购磁盘、软件等，先查毒 避免在无防毒软件或公用计算机上使用移动盘 对计算机的使用进行控制，禁止来历不明人进入系统 采用杀毒软件，实时监控、经常杀毒、及时升级6.4.5预防606.5常见杀毒软件必备功能： 查、杀 对新病毒的反应能力 对文件备份、恢复 实时监控 界面友好，使用方便 对资源占有情况国内外著名杀毒软件： 诺顿、offi