版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
病毒防范技术2023/2/12病毒演示—彩带病毒病毒演示—千年老妖病毒演示—圣诞节病毒病毒演示—白雪公主2023/2/13红色代码1()
章节目录(一)计算机病毒概念1.计算机病毒定义2.计算机病毒产生和发展(二)计算机病毒原理(三)反病毒技术计算机病毒定义定义:计算机病毒是一段附着在其他程序上的可以实现自我繁殖的程序代码。(国外)1994年2月18日,国家正式颁布实施了《中华人民共和国计算机信息系统安全保护条例》,在第二十八条中明确指出:计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据影响计算机使用并能自我复制的一组计算机指令或者程序代码。(国内)病毒产生背景计算机病毒的产生是计算机技术和以计算机为核心的社会信息化进程发展到一定阶段的必然产物。它产生的背景是:计算机病毒是计算机犯罪的一种新的衍化形式计算机病毒是高技术犯罪,具有瞬时性、动态性和随机性。不易取证,风险小破坏大,从而刺激了犯罪意识和犯罪活动。是某些人恶作剧和报复心态在计算机应用领域的表现。计算机软硬件产品的危弱性是根本的技术原因数据从输入、存储、处理、输出等环节,易误入、篡改、丢失、作假和破坏;程序易被删除、改写;计算机软件设计的手工方式,效率低下且生产周期长;对使用程序的错误和缺陷没有预知性微机的普及应用是计算机病毒产生的必要环境病毒的来源搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒,例如象圆点一类的良性病毒。软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施。旨在攻击和摧毁计算机信息系统和计算机系统而制造的病毒----就是蓄意进行破坏。用于研究或有益目的而设计的程序,由于某种原因失去控制或产生了意想不到的效果。病毒发展简历电脑病毒的概念其实起源相当早,在第一部商用电脑出现之前好几年,电脑的先驱者冯·诺伊曼(JohnVonNeumann)在他的一篇论文《复杂自动装置的理论及组识的进行》里,已经勾勒出病毒程序的蓝图。1977年夏天,托马斯·捷·瑞安(Thomas.J.Ryan)的科幻小说《P-1的春天》(TheAdolescenceofP-1)成为美国的畅销书,作者在这本书中描写了一种可以在计算机中互相传染的病毒,病毒最后控制了7,000台计算机,造成了一场灾难。第一个病毒诞生:1983年11月3日,弗雷德·科恩(FredCohen)博士研制出一种在运行过程中可以复制自身的破坏性程序(该程序能够导致UNIX系统死机),伦·艾德勒曼(LenAdleman)将它命名为计算机病毒(computerviruses),并在每周一次的计算机安全讨论会上正式提出。“巴基斯坦”病毒:1986年初,在巴基斯坦的拉合尔(Lahore),巴锡特(Basit)和阿姆杰德(Amjad)两兄弟经营着一家IBM-PC机及其兼容机的小商店。他们编写了Pakistan病毒,即Brain。在一年内流传到了世界各地。
世界上公认的第一个在个人电脑上广泛流行的病毒通过软盘传播。“蠕虫-莫里斯”:1988年冬天,正在康乃尔大学攻读的莫里斯,把一个被称为“蠕虫”的电脑病毒送进了美国最大的电脑网络——互联网。1988年11月2日下午5点,互联网的管理人员首次发现网络有不明入侵者。当晚,从美国东海岸到西海岸,互联网用户陷入一片恐慌。CIH病毒,又名“切尔诺贝利”,是一种可怕的电脑病毒。它是由台湾大学生陈盈豪编制的,九八年五月间,陈盈豪还在大同工学院就读时,完成以他的英文名字缩写“CIH”名的电脑病毒起初据称只是为了“想纪念一下1986的灾难”或“使反病毒软件公司难堪”。2001年7月19日针对IIS服务的.ida漏洞产生的CodeRed冲击波:年仅18岁的高中生杰弗里·李·帕森因为涉嫌是“冲击波”电脑病毒的制造者于2003年8月29日被捕。对此,他的邻居们表示不敢相信。在他们的眼里,杰弗里·李·帕森是一个电脑天才,而决不是什么黑客,更不会去犯罪。章节目录(一)计算机病毒概念(二)计算机病毒原理1.计算机病毒特征2.计算机病毒的分类3.计算机病毒的传播途径4.病毒的表现形式5.计算机病毒的工作机制(三)反病毒技术计算机病毒特征1.破坏性:(体系设计者的意图)无论何种病毒一旦进入系统对OS的运行就会造成不同程度的影响,小到占用资源大到删除数据和使系统崩溃,使之无法恢复,造成补课挽回的损失。2.传染性:(最重要的特征)计算机病毒也会通过各种媒体从已被感染的计算机扩散到未被感染的计算机。病毒一旦进入计算机并得以执行,就会寻找符合感染条件的目标,将其感染,达到自我繁殖的目的。所谓感染,就是病毒将自身潜入到合法程序的指令序列中,致使执行合法程序的操作,会引发病毒程序的执行,或以病毒程序的执行取代正常程序的执行。只要一台计算机染上病毒,如不及时处理,那么病毒会在这台机子上迅速扩散,其中的大量文件(一般是可执行文件)就会被感染。而被感染的文件又成了新的传染源,在与其他机子进行数据交换或通过网络接触,病毒会继续传染。3.隐蔽性:病毒是一种具有很高编程技巧,短小精悍的可执行程序,他通常粘附在正常程序或磁盘引导扇区中,以及一些空闲概率比较大的扇区中,目的就是不让用户发现。计算机病毒不经过程序代码分析或计算机病毒代码扫描,病毒程序与正常程序是不容易区别开来的。4.潜伏性:计算机病毒潜伏性是指病毒具有依附其他媒体而寄生的能力。大部分病毒感染系统以后,一般不会马上发作,他可长期的隐藏,只有条件满足才会启动。因此,病毒可以在磁盘、光盘或其他介质上静静的呆上几天,甚至是几年。
5.可触发性:病毒的可触发性是指当病毒触发条件满足时,病毒才在感染了的计算机上开始发作,表现出一定的症状和破坏性。有的是在屏幕上显示信息图形或特殊标识有的则执行破坏系统的操作,如格式化磁盘、删除文件、加密数据、封锁键盘、毁坏系统等。6.不可预见性:从对病毒的检测来看,病毒具有不可预见性。病毒永远超前于反病毒软件。网络时期病毒的特点:在网络环境下,网络病毒除了具有上述共性外,还有一些新特点:破坏性强传播速度快触发条件多杀毒难度大扩散面广传播形式复杂多样,针对性强计算机病毒的分类1.按破坏性形式分类
分类
表现及影响良性病毒只是显示信息、凑乐、发出声响、自我复制。除了减少磁盘空间外,对系统没有其他影响恶性病毒封锁、干扰、中断输入输出、使用户无法打印,甚至终止计算机的运行,使系统造成严重的错误(Azsua、Typo—COM)极恶性病毒删除普通程序或系统文件,破坏系统配置,导致死机、崩溃等灾难性病毒破坏分区信息。主引导区信息、FAT,删除数据文件,甚至格式硬盘2.按连接方式分类源码型病毒:较少见,也难以编写。因为他要攻击高级语言编写的源程序,在源程序编译之前插入其中,并随源程序一起编译。连接成可执行文件。此时刚刚生成的可执行文件便已经带毒了。入侵型病毒:可用自身代替正常程序中的部分模块或堆栈区。因此这类病毒只攻击某些特定程序,针对性强,一般难以发现,清除也较困难。操作系统型病毒:可用其自身部分加入或替代操作系统的部分功能。由于其直接感染操作系统,这类病毒的危害性也较大。(小球,大麻)外壳型病毒:将自身依附在正常程序的开头或结尾,相当于给正常程序加了个外壳。大部分文件型病毒属于此类3.按病毒特有的算法分类伴随型病毒:这类病毒不改变文件本身,他根据算法产生EXE文件的伴随体,具有同样的名字和不同扩展名(COM)。蠕虫型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其他机器的内存,计算网络地址,将自身的病毒通过网络发送。他们在系统中存在,一般除了占用内存以外不会占用其他资源。寄生型病毒:除了伴随和蠕虫,其他的都可以成为寄生型病毒,他们依附在系统的引导区或文件,通过系统的功能进行传播练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒处于调试阶段变形病毒:这病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容与长度。4、按寄生方式分类引导型病毒即磁盘引导型、引导扇区型、磁盘启动型、系统型病毒等定义:把自己的病毒程序放在软磁盘的引导区以及硬盘的主引导记录区或引导扇区,当作正常的引导程序,而将真正的引导程序搬到其他位置。破坏:改写主引导记录区、引导区、文件分配表、文件目录区、中断向量表等文件型病毒定义:指对所有通过操作系统的文件系统进行感染的病毒感染文件:可执行文件(.bat、.exe、.com、.dll.)、高级语言编写的源代码、编译过程中生成的中间文件。混合型病毒(又称综合型、复合型病毒)即有引导型病毒的特点,也有文件型病毒的特点。(a)引导型病毒(b)文件型病毒图:病毒的传播、破坏过程一个引导病毒传染的实例假定用硬盘启动,且该硬盘已染上了小球病毒,那么加电自检以后,小球病毒的引导模块就把全部病毒代码1024字节保护到了内存的最高段,即97C0:7C00处;然后修改INT13H的中断向量,使之指向病毒的传染模块。以后,一旦读写软磁盘的操作通过INT13H的作用,计算机病毒的传染块便率先取得控制权,它就进行如下操作:读入目标磁盘的自举扇区(BOOT扇区)。判断是否满足传染条件。如果满足传染条件(即目标盘BOOT区的01FCH偏移位置为5713H标志),则将病毒代码的前512字节写入BOOT引导程序,将其后512字节写入该簇,随后将该簇标以坏簇标志,以保护该簇不被重写。跳转到原INT13H的入口执行正常的磁盘系统操作。小球病毒:发作条件是当系统时钟处于半点或整点,而系统又在进行读盘操作。发作时屏幕出现一个活蹦乱跳的小圆点,作斜线运动,当碰到屏幕边沿或者文字就立刻反弹,碰到的文字,英文会被整个削去,中文会削去半个或整个削去,也可能留下制表符乱码。其规律是,ASCII码字符后3位为3(011)的,发生行反射;后3位为5(101)的,发生列反射,其它字符不改变小球运动方向。小球病毒后期经过一些好事者的改造,后期的变种运动的规律开始逐渐复杂化。一个文件病毒传染的实例假如VVV.COM(或.EXE)文件已染有耶路撒冷病毒,那么运行该文件后,耶路撒冷病毒的引导模块会修改INT21H的中断向量,使之指向病毒传染模块,并将病毒代码驻留内存,此后退回操作系统。以后再有任何加载执行文件的操作,病毒的传染模块将通过INT21H的调用率先获得控制权,并进行以下操作:读出该文件特定部分。判断是否传染。如果满足条件,则用某种方式将病毒代码与该可执行文件链接,再将链接后的文件重新写入磁盘。转回原INT21H入口,对该执行文件进行正常加载。宏病毒宏病毒的传播一般来说,一个宏病毒传播发生在被感染的宏指令覆盖、改写及增加全局宏指令表中的宏,由此进一步感染随后打开和存贮的所有Doc文档。当Word打开一个.doc文件时,先检查里面有没有模板/宏代码,如果有的话就认为这不是普通的doc文件,而是一个模版文件,并执行里面的auto类的宏(如果有的话)。一般染毒后的.doc被打开后,通过Auto宏或菜单、快捷键来激活,随后感染诸如Normal.dot或powerup.dot等全局模板文件得到系统"永久"控制权。夺权后,当系统有文档存储动作时,病毒就把自身复制入此文档并储存成一个后缀为.doc的模板文件;另外,当一定条件满足时,病毒就会干些小小的或者大大的破坏活动。
宏病毒特点传播极快可通过网络、mail等传播制作、变种方便宏病毒则是以人们容易阅读的源代码宏语言WordBasic形式出现,所以编写和修改宏病毒比以往病毒更容易。破坏可能性极大多平台交叉感染现代计算机病毒木马程序它不会自我繁殖,也不刻意的去感染其他文件。它通过将自身伪装吸引用户下载执行,向施种木马者打开电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。危害:偷窃个人账户、密码信息;远程控制;组建僵尸网络。目前流行的病毒绝大部分是木马程序。现代计算机病毒蠕虫蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等。同时也有自己的一些特征,如不利用文件寄生,有的只存在与内存中,对网络造成拒绝服务,以及和黑客技术相结合等。现代计算机病毒僵尸网络(Botnet)采用一种或多种传播手段,将大量主机感染僵尸程序,从而在控制者和被感染主机之间形成一个可一对多的网络。攻击者通过各种途径传播僵尸程序,感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。计算机病毒的传播途径1)通过不可移动的设备进行传播较少见,但破坏力很强。2)通过移动存储设备进行传播最广泛的传播途径3)通过网络进行传播反病毒所面临的新课题4)通过点对点通讯系统和无线通道传播预计将来会成为两大传播渠道2023/2/129病毒的表现形式病毒通过多种途径感染计算机,那么我们怎么看出已中毒?1)平时运行正常的计算机突然经常性无故死机。可能病毒修改了中断处理程序等。2)操作系统无法正常启动。关机后重启,操作系统报告缺少必要的启动文件或文件破坏,系统无法启动。可能病毒感染系统文件使文件结构发生变化。3)运行速度明显变慢。4)以前能正常运行的软件经常发生内存不足的错误,或使用程序中的某个功能时报说内存不足。可能病毒占用了内存。5)打印和通信发生错误。打印出来的是乱码,调制解调器不能拨号。可能是病毒驻留内存占用打印端口、串行通信端口的中断服务程序。6)无意中要求对软盘进行读写操作。如操作系统提示软驱中没有插软盘等。7)系统文件的时间、日期、大小发生变化。这是最明显计算机病毒迹象。8)运行Word,打开Word文档后,该文档另存为时只能以模板方式保存。无法存为另一DOC文档。中了宏病毒的缘故。9)磁盘空间迅速减少。10)陌生人发来的电子邮件。尤其是那些很具有诱惑力的,如笑话或情书等,又带有附件的邮件。11)自动链接到一些陌生的网站。计算机没有上网,但他自己拨号并连接到一个陌生的站点,有可能被远程控制了。12)提示一些不相干的话。宏病毒,在满足发作的条件就会弹出对话框显示某句话,并要求用户确定。13)发出一段美妙的音乐。“杨基”和“浏阳河”。14)产生特定的图像。“小球”15)进行游戏算法。“传奇病毒”16)Windows桌面图标发生变化。17)自动发送电子邮件。在某一特定的时刻向同一个服务器发送无用的信件。18)鼠标自己动。受到黑客的控制。病毒的工作机制从本质上来看,病毒程序可以执行其他程序所能执行的一切功能。与普通程序又不同的是病毒一般将自身附着在其他程序上。病毒程序所依附的其他程序称为宿主程序。当用户运行宿主程序时,病毒程序被激活,并开始执行。一旦病毒程序被执行,它就能执行一切意想不到的功能(如感染其他程序、删除文件等)。分析病毒的工作机制,有助于掌握病毒的本质,并积极做好病毒防治工作。计算机病毒的工作步骤分析从病毒程序的生命周期来看,它一般会经历4个阶段:潜伏阶段、传染阶段、触发阶段和发作阶段。该过程如图所示。
在潜伏阶段,病毒程序处于休眠状态,用户根本感觉不到病毒的存在,但并非所有病毒均会经历潜伏阶段。如果某些事件发生(如特定的日期、某个特定的程序被执行等),病毒就会被激活,并从而进入传染阶段。处于传染阶段的病毒,将感染其他程序----将自身程序复制到其他程序或者磁盘的某个区域上。经过传染阶段,病毒程序已经具备运行的条件,一旦病毒被激活,则进入触发阶段。在触发阶段,病毒执行某种特定功能从而达到既定的目标。病毒在触发条件成熟时即可发作。处于发作阶段的病毒将为了既定目的而运行(如破坏文件、感染其他程序等〉。病毒程序的功能模块:为了实现病毒生命周期的转换,病毒程序必须具有相应的功能模块。病毒程序的典型组成包括引导模块、传染模块和表现模块1.计算机病毒的引导模块
主要实现将计算机病毒程序引入计算机内存,并使得传染和表现模块处于活动状态。为了避免计算机病毒程序被清除(如杀毒程序的处理等),引导模块需要提供自保护功能,从而避免在内存中的自身代码不被覆盖或清除。一旦引导模块将计算机病毒程序引入内存后,它还将为传染模块和表现模块设置相应的启动条件,以便在适当的时候或者合适的条件下激活传染模块或者触发表现模块。
2.计算机病毒的感染模块
计算机病毒的传染模块有两个功能:依据引导模块设置的传染条件,判断当前系统环境是否满足传染条件;如果传染条件满足,则启动传染功能,将计算机病毒程序附加到其他宿主程序上。相应地,感染模块分为感染条件判断子模块和传染功能实现子模块两个部分。3.计算机病毒的表现模块
与计算机病毒传染模块相似,其表现模块功能也包括两个部分根据引导模块设置的触发条件,判断当前系统环境是否满足所需要的触发条件;一旦触发条件满足,则启动计算机病毒程序,按照预定的计划执行(如删除程序、盗取数据等)。因此,表现模块包含两个子模块:表现条件判断子模块和表现功能实现子模块。前者判断激活条件是否满足,则而后者则实现功能。需要说明的是,并非所有计算机病毒程序都需要上述3个模块,如引导型计算机病毒没有表现模块,而某些文件型计算机病毒则没有引导模块。计算机病毒的触发机制计算机病毒在传染和发作之前,往往要判断某些特定条件是否满足,满足则传染或发作,否则不传染或不发作或只传染不发作,这个条件就是计算机病毒的触发条件。过于苛刻的触发条件,可能使计算机病毒有好的潜伏性,但不易传播,只具低杀伤力;而过于宽松的触发条件将导致计算机病毒频繁感染与破坏,容易暴露,导致用户做反计算机病毒处理,也不能有大的杀伤力。
实际上计算机病毒采用的触发条件花样繁多,而且还在不断更新。1.日期触发许多计算机病毒采用日期作为触发条件。日期触发大体包括特定日期触发、月份触发和前半年后半年触发等。臭名昭著的“CIH”是4月26日发作。2.时间触发:包括特定的时间触发、染毒后累计工作时间触发和文件最后写入时间触发等。
3.键盘触发
有些计算机病毒监视用户的击键动作,当发现计算机病毒预定的键入时,计算机病毒被激活,进行某些特定操作。键盘触发包括击键次数触发、组合键触发和热启动触发等。
4.感染触发
许多计算机病毒的感染需要某些条件触发,而且相当数量的计算机病毒又将与感染有关的信息反过来作为破坏行为的触发条件,称为感染触发。它包括运行感染文件个数触发、感染序数触发、感染磁盘数触发和感染失败触发等。5.启动触发
计算机病毒对机器的启动次数计数,并将此值作为触发条件称为启动触发。
6.访问磁盘次数触发
计算机病毒对磁盘的访问的次数进行计数,以预定次数作为触发条件称为访问磁盘次数触发。7.调用中断功能触发
计算机病毒对中断调用次数计数,以预定次数作为触发条件称为调用中断功能触发。
8.CPU型号/主板型号触发
计算机病毒能识别运行环境的CPU型号/主板型号,以预定CPU型号/主板型号作为触发条件,不过这种计算机病毒的触发方式比较少见。章节目录(一)计算机病毒概念(二)计算机病毒原理(三)反病毒技术1.病毒检测技术2.计算机病毒清除3.计算机病毒预防病毒技术与反病毒技术存在着相互对立相互依存的关系,二者在彼此的较量中不断发展。总的来讲病毒技术落后于反病毒技术。计算机病毒的防治可分为:计算机病毒的检测计算机病毒的清除计算机病毒的预防病毒检测技术检测计算机病毒方法有:外观检测法比较法特征代码法行为监测法(实时监控法)校验和法感染实验法病毒分析法这些方法依据的原理不同,实现时所需开销不同,检测范围也不同,各有所长。外观检测法计算机病毒侵入计算机系统后,通常会使计算机系统的某些部分发生变化,进而引发一些异常现象,如屏幕显示异常、声音异常、文件系统异常、系统运行速度的异常、打印机并行端口的异常和通信串行口的异常等。这些异常虽然不能准确地判断系统感染了何种计算机病毒,但是可以根据这些异常现象来判断计算机病毒的存在,尽早地发现计算机病毒,便于及时有效地进行处理。外观检测法是计算机病毒防治过程中起着重要辅助作用的一个环节,可通过其初步判断计算机是否感染了计算机病毒。
比较法进行原始的或者正常的预备检验对象的特征比较由于病毒的感染会引起文件长度和内容、内存以及中断向量的变化,从这些特征的比较中可以发现异常,从而判断病毒的有无。优点:简单,方便,不用专用的软件。缺点:无法确认计算机病毒的种类和名称。特征代码法计算机病毒程序通常具有明显的特征代码,特征代码可能是计算机病毒的感染标记(由字母或数字组成串)
“快乐的星期天”计算机病毒代码中含有“TodayisSunday”,“1434”
计算机病毒代码中含有“Itismybirthday”在被计算机病毒感染的文件或计算机中,总能找到这些特征代码。将这些己知计算机病毒的特征代码串收集起来就构成了计算机病毒特征代码数据库,这样,我们就可以通过搜索、比较计算机系统(可能是文件、磁盘、内存等)中是否含有与特征代码数据库中特征代码匹配的特征代码,来确定被检计算机系统是否感染了计算机病毒,并确定感染了何种计算机病毒。特征代码法实现步骤特征代码法被广泛应用于很多著名计算机病毒检测工具中,是目前被公认为是检测己知计算机病毒的最简单、开销最小的方法。特征代码法的实现步骤如下:
(1)采集己知计算机病毒样本。(2)在计算机病毒样本中,抽取计算机病毒特征代码。(3)将特征代码纳入计算机病毒数据库。(4)检测文件。打开被检测文件,在文件中搜索,根据数据库中的计算机病毒特征代码,检查文件中是否含有这些特征代码,如果发现计算机病毒特征代码,由特征代码与计算机病毒一一对应,便可以断定,被查文件所感染的是何种计算机病毒。特征代码法优缺点特征代码法的优点如下:(1)检测准确,快速;(2)可识别计算机病毒的具体类型:(3)误报率低:(4)依据检测结果,针对具体计算机病毒类型,可做杀毒处理。特征代码法优缺点(1)由于相对于新计算机病毒的出现,发现特征代码的时间滞后,使得新计算机病毒就有可乘之机。(2)搜集己知计算机病毒的特征代码,研发开销大。(3)在网络上效率低,因为在网络服务器上,长时间搜索会使整个网络性能变坏。(4)不易识别变形计算机病毒。行为监测法(实时监控法)实时监控反计算机病毒技术一向为反计算机病毒界所看好,被认为是比较彻底的反计算机病毒的解决方案。通过对计算机病毒多年的观察研究,人们发现计算机病毒有一些行为是计算机病毒的共同行为,而且比较特殊。在正常程序中,这些行为比较罕见。当程序运行时,我们可以监视其行为,一旦出现了这些计算机病毒行为,立即报警。监测病毒的行为特征(1)占用INT13H。所有的引导型计算机病毒都攻击BOOT扇区或主引导扇区。系统启动时,当BOOT扇区或主引导扇区获得执行权时,系统就开始工作。一般引导型计算机病毒都会占用INT13H功能,在其中放置计算机病毒所需的代码。(2)修改DOS系统数据区的内存总量。计算机病毒常驻内存后,为了防止DOS系统将其覆盖,通常必须修改内存总量。我们平时把硬盘分成C、D、E等分区使用,我们用分区表去定义他们的参数:分区类型、分区起始扇区、分区大小等,这样分区表就完成了它的工作。要使硬盘能够正常使用,我们除了建立分区表以外,还有一项重要的工作要做,那就是格式化硬盘。分了区,如果没有格式化,该分区还是不能正常使用。硬盘格式化完成以后,有一些非常重要的参数生成并保存在该分区的起始扇区,这个扇区我们把它叫做该分区的BOOT扇区。每一个格式化成FAT或者NTFS格式的分区都在分区的起始位置保存一个BOOT扇区。(3)对.COM和.EXE文件做写入动作。计算机病毒要感染,必须要篡改.COM和.EXE文件。(4)计算机病毒程序与宿主程序的绑定和切换。染毒程序运行时,先运行计算机病毒,而后执行宿主程序。在两者切换时,也有许多特征行为。(5)格式化磁盘或某些磁道等破坏行为。(6)扫描、试探特定网络端口。(7)发送网络广播。(8)修改文件、文件夹属性,添加共享等。病毒防火墙实时监控法具有前导性,监控访问系统资源的一切操作,任何程序在调用之前都要被检查一遍。一旦发现可疑行为就报警,并自动清除计算机病毒代码,将计算机病毒拒之门外,做到防患于未然。Internet己经成为计算机病毒传播的主要途径,实时性是当前反计算机病毒阵营的迫切需要,计算机病毒防火墙的概念正是基于实时反计算机病毒技术之上提出来的,其宗旨就是对系统实施实时监控,对流入、流出系统的数据中可能含有的计算机病毒代码进行过滤。病毒防火墙的优越性①它对计算机病毒的过滤有着良好的实时性,也就是说计算机病毒一旦入侵系统或从系统向其他资源感染时,它就会自动检测到并加以清除,这就最大可能地避免了计算机病毒对资源的破坏。②计算机病毒防火墙能有效地阻止计算机病毒从网络向本地计算机系统的入侵,而这一点恰恰是传统杀毒工具难以实现的,因为它们顶多能静态清除网络驱动器上己被感染文件中的计算机病毒,对计算机病毒在网络上的实时传播却无能为力,而"实时过滤性"技术就使杀除网络计算机病毒成了计算机病毒防火墙的"拿手好戏"。③计算机病毒防火墙的“双向过滤”功能保证了本地系统不会向远程(网络)资源传播机算机病毒。这一优点在使用电子邮件时体现得最为明显,因为它能在用户发出邮件前自动将其中可能含有的计算机病毒全都过滤掉,确保不会对他人造成无意的损害。④计算机病毒防火墙还具有操作更简便、更透明的优点。有了它自动、实时的保护,就无需不时停下正常工作而去费时费力地查毒、杀毒了。校验和法计算出正常文件的程序代码的校验和,并保存起来,可供被校验对象对照比较,以判断是否感染了病毒。优点:可侦测到各式计算机病毒,包括未知病毒。缺点:误判率高,无法确认计算机病毒的种类。感染实验法感染实验法是一种简单实用的检测计算机病毒方法。由于计算机病毒检测工具落后于计算机病毒的发展,当计算机病毒检测工具不能发现计算机病毒时,如果不会用感染实验法,便束手无策。如果会用感染实验法,就可以检测出计算机病毒检测工具不认识的新计算机病毒,可以摆脱对计算机病毒检测工具的依赖,自主地检测可疑新计算机病毒。利用了计算机病毒最重要的基本特征--感染特性。所有的计算机病毒都会进行感染,如果不会感染,就不称其为计算机病毒。如果系统中有异常行为,最新版的检测工具也查不出计算机病毒时,就可以做感染实验。运行可疑系统中的程序后,再运行一些确切知道不带毒的正常程序,然后观察这些正常程序的长度及校验和,如果发现有的程序增长,或者校验和发生变化,就可断言系统中有计算机病毒。病毒分析法一般使用病毒分析法的人不是普通用户,而是反计算机病毒技术人员。使用病毒分析法目的如下:(1)确认被观察的磁盘引导区和程序中是否含有计算机病毒。(2)确认计算机病毒的类型和种类,判定其是否是一种新计算机病毒。(3)搞清楚计算机病毒体的大致结构,提取特征识别用的字符串或特征字,用于增添到计算机病毒代码库以供计算机病毒扫描和识别程序用。(4)详细分析计算机病毒代码,为制定相应的反计算机病毒措施制定方案。计算机病毒清除病毒的清除:将病毒文件的病毒代码摘除,使之恢复为可正常执行的健全文件。病毒的清除可用专用的杀毒软件,或者手动清除。计算机病毒的手动清除:1.在进程表中手动清除察看系统进程表,将非正常进程清除。进程的概念:进程是指在系统中正在运行的一个应用程序,即活动的程序。进程分为系统进程和应用程序进程。系统进程就是正在运行的系统程序应用程序进程就是正在运行的应用程序2.在注册表中清除如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可疑的程序进行删除。一般情况下
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 二零二四年度医疗代理服务合同
- 二零二四年度美发店市场营销合同
- 药渣购销合同范本
- 北京工业大学耿丹学院《建筑设计》2022-2023学年第一学期期末试卷
- 2024年度货物买卖合同标的及付款方式
- 北京工业大学《军事训练》2023-2024学年第一学期期末试卷
- 2024年度知识产权许可合同:专利持有方与使用方之间的许可协议
- 北京工业大学《复变函数与积分变换》2022-2023学年第一学期期末试卷
- 二零二四年度资产收购合同:房地产资产收购协议
- 北京城市学院《概率论与数理统计》2021-2022学年第一学期期末试卷
- 公共营养师实操
- 中医治疗“石淋”医案66例
- 2023年考研考博-考博英语-河北工业大学考试历年真题摘选含答案解析
- 植物种群及其基本特征
- 第节向量组线性相关性(共36张PPT)
- 男性早泄的治疗专家讲座
- 激光在前列腺手术中的应用
- 精神障碍的早期识别
- 产权交易项目委托函公车出让
- 化学实验安全知识(中科大)中国大学MOOC慕课 章节测验 客观题答案
- 大学生劳动教育(高职版)智慧树知到答案章节测试2023年
评论
0/150
提交评论