计算机病毒防范与免疫.ppt

Virus 计算机病毒与防治计算机病毒与防治 重庆电子工程职业学院 计算机病毒与防治课程小组 教学单元4-1 防范与免疫病毒 讨论日常防范病毒的常规做法 病毒的危害 系统地学习病毒防范技术 第一讲 如何做好病毒的防范与免疫 计算机病毒与防治课程小组 免疫知识简介 计算机病毒的免疫技术 讨论病毒的危害 哪位同学能给我们讲一讲自己经历过的 中病毒的经历，可以是计算机病毒，也 可以是U盘病毒等 越形象越生动越好哦！ 列举病毒的危害 p 比如熊猫烧香 p 震荡波 p QQ尾巴病毒 p SXS.exe病毒（可以盗取QQ账号和密码，获取聊天内容） 大家一起列举常见的计算机病毒以及它们的危害 总结病毒的危害 1.破坏计算机的重要信息数据，所采用的手段主要有格式化磁盘、改写文件分配 表和目录区、删除重要文件或者用无意义的“垃圾”数据改写文件、破坏CMOS设 置等。 2.占用磁盘空间和对信息的破坏，比如引导型病毒一般采用由病毒本身占据磁盘 的未用空间，把病毒的传染部分写到磁盘的未用部位。文件型病毒则利用一些 DOS功能进行传染，非法占用磁盘空间。 计算机病毒与防治课程小组 大家一起来总结计算机病毒的主要危害： 总结病毒的危害 3.抢占系统资源，病毒抢占内存，导致内存减少，一部分软件不能运行。除占用内 存外， 病毒还抢占中断，干扰系统运行。 4.影响计算机运行速度 5.破坏主板上BIOS内容，让计算机无法工作。 总结病毒的危害 6.破坏屏幕正常显示，干扰用户的操作 7.破坏键盘输入程序，使用户的输入出现错误 8.攻击喇叭，使机器发出噪音。 9.干扰打印机，假报警，间断性打印、更改字符等。 讨论日常生活中防范病毒的常规做法 安装杀毒软件，定时杀毒 安装防火墙 及时备份文件 及时打补丁，更新系统 不随便打开陌生网站 计算机病毒与防治课程小组 大家一起来讨论 病毒防范措施列举 计算机病毒与防治课程小组 1.安装防病毒产品并保证更新最新的病毒库。 2.不要用共享的软盘或闪存、移动硬盘等介质安装软件，或 者是复制共享的软盘或闪存、移动硬盘等。 3.对于多人共用一台计算机的环境，例如实验室这种情况，应建立 登记上机制度 。 4.用常识进行判断不明文件。 5.不要从任何不可靠的渠道下载软件 6.使用其它形式的文档 7.禁用Windows Scripting Host 8.使用基于客户端的防火墙或过滤措施 病毒防范措施列举 9.记住一些典型文件的长度 10.重要资料，必须备份 11.上网浏览时，要加强安全防范。 12.将应用软件升级到最新版本 病毒防范措施 计算机病毒与防治课程小组 13. 启动Novell网或其他网络的服务器时，一定要坚持用硬盘引导启 动 。 14.安装服务器时应保证没有病毒存在，即安装环境不能带病毒 15.网络系统管理员应将系统卷设置成对其他用户为只读状态 16.系统管理员对网络内的共享电子邮件系统、共享存储区域和用户卷 进行病毒扫描，发现异常情况应及时处理，不使其扩散。 计算机病毒免疫技术 u 什么是免疫？（让同学解答） u 大家都打过防疫针没有？为什么打防疫针？ u 防疫针的原理？ u 有没有一种类似防疫针的软件？(病毒疫苗)装到计算机上就像给计算机打了防疫针一 样就不会再感染病毒呢？我们先来看下计算机病毒传染的机制。 （分组讨论，让代表 回答，组内其他成员可以补充） 大家一起来讨论 计算机病毒免疫技术 什么叫病毒免疫？ 病毒免疫是指系统曾感染过病 毒，已经被清除，如果再有同 类病毒攻击，将不再受感染。 接下来请大家看 病毒传染的机理 计算机病毒免疫技术 计算机病毒的传染机制： 计算机病毒的传染由传染模块来完成。计算机病毒的 传染模块一般包括传染条件判断和实施传染两个部分。 计算机病毒与防治课程小组 接下来请大家看 病毒传染的过程 计算机病毒免疫技术 病毒传染过程： 在病毒被激活的状态下，病毒程序通过判断传染条件的满足与否，以决 定是否对目标对象进行传染。一般情况下，病毒程序在传染完一个对象后，都 要给被传染对象加上传染标识，传染条件的判断就是检测被攻击对象是否存在 这种标识，若存在这种标识，则病毒程序不对该对象进行传染；若不存在这种 标识，则病毒程序就对该对象实施传染。 思考： 能在正常对象中加上传 染标识，就可以不受病 毒的传染，起到免疫的 作用呢？ 计算机病毒免疫技术 计算机病毒与防治课程小组 根据病毒免疫的机制，仿照人类世界中的疫苗原理，人们发明了计 算机病毒疫苗，这种疫苗会在正常对象中加上病毒感染的标识，这样 当病毒准备传染某台机器时，发现标识就会以为该机器已经被感染而 不对它进行再次感染。 梅丽莎病毒免疫技术 梅丽莎病毒疫苗程序会修改Windows注册表项： HKEY_CURRENT_USERSoftwareMicrosoftOffiece，它将增加表项：Melissa ，并给其赋值为：by Kwyjibo，这是病毒避免进行重复感染的标识。如果在 一台没有感染梅丽莎病毒的机器上事先设立这项注册表值，那么当梅丽莎病 毒准备感染这台机器时，由于发现存在该键值会认为该机器已经被感染而不 对它进行再次感染。这样就达到了对这台机器进行免疫的目的。 计算机病毒与防治课程小组 梅丽莎病毒免疫原理 计算机病毒免疫技术 类似于梅丽莎病毒的免疫方法对某些早期病毒是有效的，这 种方法多基于感染标志判定，或者采用以毒攻毒的方法，但并非 所有病毒都可以免疫。目前有的病毒采用强制感染，对系统和软 件进行重复感染。 从实现计算机病毒免疫的角度看病毒的传染，可以将病毒的 传染分成两种: 计算机病毒与防治课程小组 接下来请大家看 病毒的两种传染方式 计算机病毒免疫技术 v 一种是像香港病毒、1575病毒、梅丽莎病毒这样，在传染前先检查待传 染的扇区或程序里是否含有病毒代码，如果没有找到则进行传染，如果 找到了则不再进行传染。这种用作判断是否为病毒自身的病毒代码被称 作传染标志，或免疫标志。 v 第二种是在传染时不判断是否存在免疫标志，病毒只要找到一个可传染 对象就进行一次传染。就像黑色星期五那样，一个文件可能被黑色星期 五反复传染多次，滚雪球一样越滚越大。 常用的免疫方法 目前常用的免疫方法有两种： F第1种.针对某一种病毒进行的计算机病毒免疫 F第2种基于自我完整性检查的计算机病毒的免疫方法 常用的免疫方法较 第1种方法针对某一种病毒进行的计算机病毒免疫举例： 对小球病毒，在DOS引导扇区的1FCH处填上1357H,小球病毒一检查到这个标 志就不再对它进行传染了。 对于1575文件型病毒，免疫标志是文件尾的内容为0CH和0AH的两个字节， 1575病毒若发现文件尾含有这两个字节，则不进行传染。 梅丽莎病毒免疫也属于第一种种方式。 这种方法的优点是可以有效地防止某一种特定病毒的传染。但缺点也较 严重，主要有以下几点： 第1种方法的缺点 （1）对于不设有感染标识的病毒不能达到免疫的目的；有的病毒只要激活的状 态下，会无条件的把病毒传染给被攻击对象，而不论这种对象是否已经被感 染过或者是否具有某种标识。 （2）当出现这种病毒的变种不再使用这个免疫标志时，或出现新病毒时，免疫 标志发挥不了作用。 （3）某些病毒的免疫标志不容易仿制，非要加上这种标志不可，则对原来的文 件要做大的改动。例如对大麻病毒就不容易做免疫标志。 （4）由于病毒的种类较多，又由于技术上的原因，不可能对一个对象加上各种 病毒的免疫标识，这就使得该对象不能对所有的病毒具有免疫作用。 （5）这种方法能阻止传染，却不能阻止病毒的破坏行为，仍然放任病毒驻留在 内存中。目前使用这种免疫方法的商品化反病毒软件已不多见了。 第1种方法的应用sxs病毒免疫 sxs.exe病毒一般是通过U盘进行传播的，当U盘被插入至感染病毒的电脑后，病毒 会首先查找U盘的根目录里有没有sxs.exe和autorun.inf这两个文件，如果没 有，病毒会自动把sxs.exe和autorun.inf复制到U盘的根目录下；如果有，病 毒会设置sxs.exe的属性为只读且为系统文件，以达到隐藏自身的目的，并把 原有的autorun.inf删除，重新创建一个autorun.inf文件，并写入数据。 了解了病毒的传播方式，我们就可以有针对性地提出两种免疫方案： 第1种方法的应用sxs病毒免疫 v 第一种方案，通过在每一个盘符下放一个空白的sxs.exe文件，这 样，病毒就不会复制一个真正的sxs.exe病毒到硬盘上了。 v 第二种方案，新建一个文本文档，不用写入任何数据，重命名为： sxs.exe。把这个假的sxs.exe复制到U盘的根目录下去就可以了。 这样，就不会中真的sxs.exe了。 计算机病毒与防治课程小组 第2种免疫方法 第2种基于自我完整性检查的计算机病毒的免疫方法 目前这种方法只能用于文件而不能用于引导扇区。 这种方法的原理是，为可执行程序增加一个免疫外壳，同时在免疫外 壳中记录有关用于恢复自身的信息。免疫外壳占1KB至3KB。执行具有这种 免疫功能的程序时，免疫外壳首先得到运行，检查自身的程序大小、校验 和，生成日期和时间等情况，没有发现异常后，再转去执行受保护的程序 。 第2种免疫方法优点 优点： 不论什么原因使这些程序本身的特性受到改变或破坏，免疫 外壳都可以检查出来，并发出告警，可供用户选择的回答有自 毁、重新引导启动计算机、自我恢复到未受改变前的情况和继 续操作，而不理睬所发生的变化。 这种免疫方法可以看作是一种通用的自我完整性检验方法 。这种方法不只是针对病毒的，由于其他原因造成的文件变化 ，在大多数情况下免疫外壳程序都能使文件自身得到复原。 第2种免疫方法缺点 第2种方法仍存在一些缺点和不足: （1）每个受到保护的文件都要增加1KB至3KB，需要额外的存储空间。 （2）现在使用中的一些校验码算法不能满足防病毒的需要，被某些种类的病 毒感染的文件不能被检查出来。 （3）无法对付覆盖方式的文件型病毒。 （4）有些类型的文件不能使用外加免疫外壳的防护方法，这样将使那些文件 不能正常执行。 （5）当某些尚不能被病毒检测软件检查出来的病毒感染了一个文件，而该文 件又被免疫外壳包在里面时，这个病毒就象穿了“保护盔甲”，使查毒软件查 不到它，而它却能在得到运行机会