《网络病毒防范》PPT课件

1、第三章网络病毒预防、徽标、主要内容、3.1计算机病毒概述、计算机程序中编写或插入的计算机功能破坏或数据损坏、影响计算机使用并可自我复制的计算机命令或程序代码集称为计算机病毒(计算机病毒)。具有破坏性、复制性和传染性。计算机病毒(ComputerVirus)在中华人民共和国计算机信息系统安全保护条例中明确定义，病毒是指“一组计算机命令或程序代码，通过破坏作者插入计算机程序中的计算机功能或破坏数据来影响计算机使用和自我复制”。在一般教科书和一般资料中，定义为计算机软件和硬件的缺陷、感染计算机内部发生的计算机数据损坏和影响计算机操作的指令集或程序代码集。电脑病毒是20世纪70年代大卫杰罗德科幻小说W

2、henH。A.R.L.I.E.wasOne的第一个科学定义是19183:的FredCohen(南加)博士论文“计算机病毒实验”，“可以将自己(或进化的)注入其他程序的计算机程序”，“启动区域病毒、宏(macro)生物病毒是把自己注入细胞。熊猫烧香病毒(nimya病毒变种)、3.2计算机病毒的特性和危险、计算机病毒具有以下几个特征：寄生计算机病毒寄生在其他程序中，运行程序时具有破坏性，在启动程序之前不容易被发现。传染性计算机病毒不仅本身具有破坏性，而且一旦病毒复制或变异，就很难以快速预防。传染性是病毒的基本特征。潜伏的部分病毒的特点是，像定时炸弹一样，预先设计为什么时候发作。例如黑色星期五病毒，

3、如果完全没有检测到预定的时间，具备条件，就会突然爆发，破坏系统。由于精密的计算机病毒程序进入系统几乎不会发作，病毒会在磁盘或磁带上静静地隐藏几天，甚至几年，到了适当的时候，再繁殖和扩散，继续伤害。潜伏性的第二个迹象是，计算机病毒内部通常有一个触发机制，当其触发条件不满足时，计算机病毒除了传播外没有任何损伤。满足触发条件后，屏幕将显示信息、图形或特殊标识，或者执行系统销毁操作，如格式化磁盘、删除磁盘文件、加密数据文件、阻止键盘和系统死锁。特征，隐藏的计算机病毒具有强大的隐蔽功能，有些可以通过病毒软件确认，有些完全不能发现，有些隐约发现，有些反复无常，这种病毒往往很难处理。破坏性的计算机中毒会导致

4、正常程序无法运行、计算机内的文件被删除或多种程度的损坏。通常表示为添加、删除、更改和移动。可发生性病毒因特定事件或数值的出现而导致感染或攻击的特性称为可发生性。为了隐藏自己，病毒必须隐藏，少行动。如果完全不动，继续隐藏，病毒就不能被感染或破坏，从而失去致死率。要想在病毒隐藏的情况下保持杀伤力，必须扣动扳机。病毒的触发机制用于控制感染和破坏动作的频率。病毒具有预定义的触发条件，可以是时间、日期、文件类型或特定数据等。病毒运行时，触发机制确定是否满足预定条件，如果满足，则启动感染或破坏动作，使病毒感染或攻击。如果不满意，病毒会继续潜伏。，危险，1。病毒对计算机数据信息的直接破坏效果大多数病毒在发生

5、时直接破坏计算机的重要信息数据，使用磁盘格式、复盖文件分配表和目录区域、删除重要文件或用无意义的“垃圾”数据复盖文件、破坏CMOS设置等措施。2.占据磁盘空间，信息破坏寄生在磁盘上的病毒总是非法占据磁盘空间的一部分。引导病毒的典型入侵方式是病毒本身占据磁盘引导扇区，将原始引导区域移动到其他扇区。也就是说，引导病毒复盖了一个磁盘扇区。重新定义的扇区数据永久丢失，无法恢复。基于文件的病毒通过检测磁盘上未使用的空间并将病毒的传播部分记录在磁盘未使用部分的DOS功能进行传播。在传播过程中，没有保留光盘的原始数据，而是非法侵犯了光盘空间。某些基于文件的病毒会迅速传播，在短时间内感染大量文件，如果每个文件

6、长度不同，就会严重浪费磁盘空间。危险，3。抢占系统资源除少数病毒(如VIENNA和CASPER)外，大多数其他病毒都是动态驻留内存，因此需要抢占部分系统资源。病毒占用的基本内存长度大体上与病毒本身的长度相似。病毒抢占内存减少内存后，某些软件无法运行。除了占用内存外，病毒还会抢占中断，妨碍系统运行。计算机操作系统的许多功能通过中断调用技术来实现。4.影响计算机运行速度进入病毒内存后，不仅影响系统运行，还影响计算机速度：(1)与计算机的正常运行相比，病毒总是监视计算机的运行状态，以确定传染条件，这是不必要的，是有害的。(2)某些病毒加密磁盘上的静态病毒，插入内存的动态病毒也加密，只要CPU对病毒寻

7、址，就运行解密程序，将加密的病毒解密并使用合法的CPU命令运行。病毒结束后，再一级程序重新加密病毒。CPU执行数千个和数万个附加命令。(3)病毒感染时也要插入非法的追加操作。特别是感染软盘时，计算机速度明显减慢，软盘的正常读写顺序混乱，发出刺耳的声音。危险，5。计算机病毒错误和不可预测的危险计算机病毒和其他计算机软件之间的巨大差异是病毒的不负责任性。要准备完整的计算机软件，需要耗费大量的人力和物力，经过长时间调试完成，才能发布软件。但是对病毒作者来说，没有必要，也没有可能。很多电脑病毒是别人在一台电脑上匆匆做好调试准备，然后扔出去的。电脑病毒错误的结果往往是不可预测的。杀毒工作人员详细指出了黑

8、色星期五病毒的存在9个错误，乒乓病毒的5个错误等。但是分析数万种病毒的错误并不需要很多时间。包含很多未知错误的病毒扩散，其结果难以预测。6.计算机病毒的兼容性对系统运行的影响兼容性是计算机软件的重要指标，兼容性好的软件可以在多种计算机环境下运行，相反，兼容性低的软件需要操作条件“挑库和精简选择”、模型和操作系统版本等。病毒作者通常不在各种计算机环境下测试病毒，因此病毒的兼容性很差，经常出现紧急情况。危险，7。计算机病毒对用户造成严重的心理压力相关计算机销售部门的统计显示，计算机销售后用户被怀疑“计算机有病毒”，咨询占销售后服务工作量的60%以上。被确认确实存在的病毒约有70%的其他30%只是用

9、户怀疑，实际上计算机没有病毒。那么，用户为什么怀疑病毒呢？主要发生计算机锁定、软件运行异常等现象。结论计算机病毒像“幽灵”一样席卷了广大计算机用户的心灵，给人们施加了巨大的心理压力，对现代计算机的使用效率产生了巨大影响，因此造成的无形损失是无法估量的。3.3根据计算机病毒的类型、病毒攻击的操作系统，DOS系统病毒windows系统病毒UNIX系统病毒、计算机病毒的类型、病毒特定的破坏能力无害：除了减少感染时磁盘上的可用空间外，对系统没有影响。无风险：这些病毒只是内存减少、图像显示、声音和等效音频。危险类型：这种病毒在计算机系统运行时会产生严重错误。非常危险的类型：此类型的病毒删除程序、数据损坏

10、、系统内存区域和操作系统删除重要信息。这种病毒对系统的危害不是对自身算法有危险的调用，而是在传播时会造成不可预测的、致命的伤害。病毒引起的其他程序中的错误也会破坏文件和扇区，这些病毒也根据它们引起的破坏能力分类。某些当前无害的病毒还可能损坏新版本的DOS、Windows和其他操作系统。例如，在早期的病毒中，Denzuk病毒在360K磁盘上运行得很好，但在后来的高密度软盘上可能会发生大量数据丢失。根据病毒的寄生方式，引导病毒感染引导扇区(Boot)和硬盘上的系统引导扇区(MBR)文件病毒感染计算机上的文件(如COM、EXE、DOC等)。复合病毒(例如多类型病毒(文件和引导类型)感染文件和引导扇区)这两个目标都有复杂的算法，通常使用非常规方法入侵系统。基于病毒传播的媒体独立网络，3.4计算机病毒预防策略和措施，计算机病毒预防和控制策略的11个计算机病毒和恶意代码，根据这些病毒的特点和病毒的未来发展趋势，国家计算机病毒紧急处理中心和计算机病毒预防产品检查中心制定了病毒控制策略，包括1、病毒预防和控制的规定，严格管理。2、病毒防治和应急系统建设；3、开展计算机安全教育，提高安全防范意识。4、系统风险评估；5、公安部认证病毒防治产品选择；6、正