课件：计算机病毒与防治.ppt

第3章 计算机病毒及防治,本章主要内容： 1.什么是计算机病毒 2.计算机上病毒的传播 3.计算机病毒的特点及破坏行为 4.病毒的预防、检查和清除,3.1 什么是计算机病毒,计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中，能生成自身的复制并将其插入其它的程序中，执行恶意的行动。 通常，计算机病毒可分为下列几类。 （1）文件病毒。 （2）引导扇区病毒。 （3）多裂变病毒。 （4）秘密病毒。 （5）异形病毒。 （6）宏病毒。,计算机病毒的传染通过哪些途径? 计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种： （1）通过盘 (软盘)：通过使用外界被感染的盘, 例如, 不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的盘, 使机器感染病毒发病, 并传染给未被感染的“干净”的盘。大量的软盘交换, 合法或非法的程序拷贝, 不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。 （2）通过硬盘：通过硬盘传染也是重要的渠道, 由于带有病毒机器移到其它地方使用、维修等, 将干净的软盘传染并再扩散。 （3）通过光盘：因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。 （4）通过网络：这种传染扩散极快, 能在很短时间内传遍网络上的机器。随着Internet的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。,病毒传播方式,3.2 计算机病毒的工作方式 一般来说，病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。病毒能表现出的几种特性或功能有：感染、变异、触发、破坏以及高级功能（如隐身和多态）。 1感染 任何计算机病毒的一个重要特性或功能是对计算机系统的感染。 感染方法可用来区分两种主要类型的病毒：引导扇区病毒和文件感染病毒。,2变异 变异又称变种，这是病毒为逃避病毒扫描和其它反病毒软件的检测，以达到逃避检测的一种“功能”。 3触发 以时间、程序运行了次数和在文件病毒被复制到不同的系统上多少次之后作为触发条件。 4破坏 破坏的方式总的来说可以归纳如下列几种：修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。 5高级功能病毒 计算机病毒经过几代的发展，在功能方面日趋高级，它们尽可能地逃避检测，有的甚至被设计成能够躲开病毒扫描和反病毒软件。隐身病毒和多态病毒就属于这一类。,引导扇区病毒,1引导型病毒的清除 引导型病毒的一般清理办法是用Format命令格式化磁盘，但这种方法的缺点是在病毒被杀掉的同时有用的数据也被清除掉了。除了格式化的方法外，还可以用其他的方法进行恢复。 引导型病毒在不同的平台上清除方法有所不同，在Windows 95/98下，可以执行以下步骤： （1）用Windows 95/98 的干净启动盘启动计算机。 （2）在命令行中键入下列命令： fdisk /mbr （用来更新主引导记录，也称硬盘分区表） Sys C: （恢复硬盘引导扇区） （3）重启计算机。 在Windows 2000/XP平台下，可以用以下方法进行恢复： （1）用Windows 2000/XP 安装光盘启动。 （2）在“欢迎安装”的界面中按R键进行修复，启动Windows的修复控制台。 （3）选择正确的要修复的机器的数量。 （4）键入管理员密码，如果没有密码，则直接回车。 （5）在命令行键入下面的命令： FIXMBR 回车 FIXBOOT 回车 （6）键入EXIT，重启计算机。,文件感染病毒,覆盖型文件病毒 前依附型文件病毒 伴随型文件病毒 后依附型文件病毒,文件,病毒,文件,病毒,文件,病毒,文件,病毒,病毒,病毒,2文件型病毒的清除 （1）检查注册表 （2）检查win.ini文件 （3）检查system.ini文件 （4）重新启动计算机，然后根据文件名，在硬盘找到这个程序，将其删除。,3.3 计算机病毒的特点及破坏行为,3.3.1 计算机病毒的特点 根据对计算机病毒的产生、传染和破坏行为的分析，总结出病毒有以下几个主要特点。 1刻意编写人为破坏 2自我复制能力 3夺取系统控制权 4隐蔽性 5潜伏性 6不可预见性,3.4 计算机病毒的破坏行为 （1）攻击系统数据区。 （2）攻击文件。 （3）攻击内存。 （4）干扰系统运行，使运行速度下降。 （5）干扰键盘、喇叭或屏幕。 （6）攻击CMOS。 （7）干扰打印机。 （8）网络病毒破坏网络系统，非法使用网络资源。,如何判断发现单机型病毒,防病毒软件发现。 计算机无法开机 计算机突然变慢 不能启动某些软件。 方法： 按ctrl+alt+del,打开任务管理器，再单击进程卡片，再单击卡片里的CPU项，会把占用CPU大小的进程从大到小排列，一般是System Idel Process 占用得最多，如果长期被其它进程占用第一，那它就是病毒,如何发现单机型病毒,高级用户：查看每一个进程，看一下是否是你熟悉的服务或者软件，如果发现陌生的进程，就到网上查找是否是病毒。,3.5.1 网络病毒 1网络病毒的特点 计算机网络的主要特点是资源共享。一旦共享资源感染病毒，网络各结点间信息的频繁传输会把病毒传染到所共享的机器上，从而形成多种共享资源的交叉感染。,3.5 网络病毒,Internet,2病毒在网络上的传播与表现 文件病毒可以通过因特网毫无困难地发送，而可执行文件病毒不能通过因特网在远程站点感染文件。此时因特网是文件病毒的载体。 引导病毒在网络服务器上的表现：如果网络服务器计算机是从一个感染的U盘（软盘）上引导的，那么网络服务器就可能被引导病毒感染。,网络病毒危害,开启机器后门，盗取银行密码，QQ密码，私人资料。 发送垃圾电子邮件，制造电子垃圾。 被别人当作跳板，攻击其它网络上的计算机或者服务器（DOS攻击，分布式拒绝服务攻击） 向其它计算机传播病毒或者后门。,如何发现网络型病毒,网络型病毒分黑客后门病毒（特诺依木马Troian House）和蠕虫病毒等 杀毒程序报警 不断发送EMAIL 不时打开IE，或者打开IE时不断弹出新窗口 发现不寻常的网络流量（代表网络流量的图标一直在亮，而本机没有进行任何网络操作）,发现网络型病毒,其他用户发现你正在攻击其计算机。 发现不寻常的网络连接 发现上网速度（本地网络）突然减慢。,发现网络病毒,在没有其它网络连接的时候，打开DOS方式，打入下面命令（netstat -b）,现在电脑只使用了MSN上网，其他的如果进行网络连接就可能是后门,清除网络型病毒,一般情况下使用软件清除，或者知道程序路径自己清除。 但有可能遇到软件及自动清除都不见效的下面情况：,手工清除病毒,下载进程管理工具，如Process Explorer（/soft/19289.htm)在这里面查找刚才删不掉的程序启动的进程，即jv6.dll，找到了，再把该进程停止，然后再把这个文件删除即可,3.6 病毒的预防、检查和清除,2、一些预防病毒的简单措施,（1）防止SYN洪水攻击,HKEY _ LOCAL _ MACHINESYSTEM CurrentControlSetServicesTcpipParameters,DWORD值：SynAttackProtect,（2）防御脚本病毒,（3）防止网页脚本病毒执行,（4）防止Word文档宏病毒,3宏病毒的清除 在Micrsoft Office应用程序中打开“工具” “宏”“Visual Basic编辑器”，早期的版本为宏管理器。进入到编辑器窗口，用户可以查看Normal模板，若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文件操作宏或一些怪名字的宏，如XXYY等，而自己又没有加载这类特殊模板，这就极可能是宏病毒在作祟，因为大多数Normal模板中是不包含上述宏的。确定是宏病毒后，可以在通用模板中删除被认为是病毒的宏。 还有一种方法更为简单，通过搜索系统文件，找到Autoexec.dot和Nomal.dot文件，直接删除即可。Office应用程序启动后会重新生成一个干净的模板文件。,使用Internet防火墙,用处:阻挡90%的黑客、蠕虫病毒及消除系统漏洞引起的安全性问题 WindowsXP或Windows 2003 系统自带防火墙,只要在网络中使用即可,方法:网络上邻居(右键)-属性-本地连接右键-属性-高级-Internet连接防火墙-打钩 其它Windows操作系统(Win95,Win98,WinNT,Win2000) 安全其它品牌个人防火墙（推荐：天网）,Win XP使用防火墙,网上邻居-属性-本地连接-属性-高级-设置,使用防火墙并同时启动共享,启动共享时的安全措施,获得更新,用处:把系统漏洞补住，如冲击波的RPC系统漏洞 WindowsXP安装SP2及安装安全补丁 Windows 2000安装SP4及安装安全补丁 Windows98网上安装安全补丁 安装安全补丁方法:打开IE-工具菜单-Windows Update,上网更新方式,上网更新方式,使用最新的防病毒软件,安装防病毒软件并定时更新病毒特征码。 推荐：瑞星/norton 如果安装了防病软件没有更新，几乎等于没有安装! 设置定时查找病毒及定时升级病毒特征码,其他要注意的事项,下载软件最好到知名的网站下载,如华军软件(),天空下载站,太平洋下载等. 如果打开某个网页时发现要下载或者安装软件时,要特别注意,一般是按NO. 安装软件时,如金山词霸,QQ等,最好选择手动设置,将多余并会影响正常使用的附件(如QQ工具栏)去除. 对不明来历的光碟及软件,采用先杀毒再安装方式. 收到带不明附件的邮件不要轻易打开.,四、日常维护计划,：盘最好只安装系统，不存放数据，把Outlook的邮件和My Document的文件都放在D盘。（因为病毒最喜欢把C盘缺省目录的文件删除，而重装系统也会把C盘所有文件格式化掉） 重要文件最好定期使用光碟刻录存放。 做好系统备份工作，重装系统会变得很轻松（使用GHOST） 定期做硬盘碎片整理及查杀病毒。,用好Ghost使安装操作系统更松： 新的机器(或者要重装机器),把数据全部备份. 使用Windows XP光碟重新启动到分区步骤. 分四个区(以200G为例),C盘20G,D盘60G,E盘60G,F盘60G. 使用NTFS格式化C盘安装系统. 安装所有需要的软件,如office等. 用NTFS格式化D盘、 E盘,FAT32格式化F盘.,把My Document及EMAIL等数据都放在D盘的目录中.(病毒最喜欢删C盘的My Document的数据) 对C盘进行磁盘的碎片整理. 把ghost.exe文件放到F盘,重启计算机,使用ghost盘（或win98启动盘)启动. 这里原来的F 盘变为C盘(NTFS分区对DOS不可见). 运行ghost.exe,使用local-partition-to image,把整个系统备份到一个文件. 结束,当系统完全崩溃或者被病毒已经破坏系统时： 备份C盘数据(可能还有一些数据放在C盘) 使用ghost盘（或win98启动盘）启动计算机.原来F盘变成了C盘. 运行ghost.exe 使用local-partition-from image . 选中备份的文件，确定. 重启计算机 这时系统已经变回原先干净的系统了.,养成良好的上网习惯 不要随便按yes 不要上一些不良的网站 不要暴露真实身份 安装软件(特别是一些免费软件)时小心 最好使用自定义安装 安装软件中如”上网助手中文域名购物网站”等推荐安装的软件不要安装 不要在陌生的计算机上输入自已的密码(包括QQ,刚刚上购物等),五、网络故障检测,当遇到网络不通时，自己可使用下面方法检测 首先，要清楚自己网络参数，最重要是IP地址与网关，在DOS下使用IPCONFIG查询,网络检查,首先看一下物理连接是否通，方法：观看网卡灯是否亮，如果不亮，就看一下网线是否插好。如果都插好了，就知道可能是连接交换机掉电了。 其次是使用ping命令，测试网关是否通。方法如下：这种情况是通的,网络检测方法,如果下面情况就是网络不通,小 结,1计算机病毒 2计算机病毒的传播 3计算机病毒的特点及破坏行为 4宏病毒及网络病毒 5病毒的预防、检查和清除 相关链接 网虫病毒