计算机病毒与防护课件

1计算机病毒概述 计算机病毒英文名字ComputerVirus简称CV 它是一种特殊的程序 由病毒引发的问题属于软件故障 这种程序能将自身传染给其它的程序 并能破坏计算机系统的正常工作 如系统不能正常引导 程序不能正确执行 文件莫明其妙地丢失 干扰打印机正常工作等 根据计算机病毒程序分析 总结了它们的共性 从而有这样一个概念 计算机的病毒是通过某种途径传染并寄生在磁盘特殊扇区或程序中 在系统启动或运行带毒的程序时伺机进入内存 当达到某种条件时被激活 可以对其它程序或磁盘特殊扇区进行自我传播 并可能对计算机系统进行干扰和破坏活动的一种程序 2计算机的病毒特性 病毒千奇百怪 不过万变不离其中 它们都有如下的特性 传染性传染性是所有病毒程序都具有的一大特性 通过传染 病毒就可以扩散 病毒程序通过修改磁盘扇区信息或文件内容并把自身嵌入到其中的方法达到病毒的传染和扩散 被嵌入的程序叫做宿主程序 破坏性大多计算机病毒在发作时候都具有不同程序的破坏性 有时干扰计算机系统的正常工作 例如 在屏幕上显示一个来回跳动的小球 干扰屏幕的正常显示 有的是用系统资源 例如 不断地复制自身 使文件长度加长 从而是用大量的磁盘咨询 有的则修改和删除磁盘数据或文件内容 隐蔽性计算机病毒的隐蔽性表现在两个方面 一是结果的隐蔽性 大多数病毒在进行传染时的速度极快 一般不只有外部表现 不易被人发现 二是病毒程序存在隐蔽性 一般的病毒程序都夹在正常程序中 很难被发现 而一旦病毒发作出来 往往已经给计算机系统造成了不同程序的破坏 寄生性病毒程序嵌入到宿主程序之中 依赖于宿主程序的执行而生存 这就是计算机病毒的寄生性 病毒程序在侵入到宿主程序中后 一般对宿主程序进行一定的修改 宿主程序一旦执行 病毒程序就被激活 从而可以进行自我复制和繁衍 潜伏性计算机病毒侵入系统后 一般不立即发作 而是具有一定的潜伏期 病毒不同其潜伏期的长短就不同 有的潜伏期为几个星期 又有的潜伏期为几年 在潜伏期中病毒程序只要在可能的条件下就会不断地进行自我复制繁衍和结果 一旦条件成熟 病毒就开始发作 发作的条件随病毒的不同而不同 这一条件是计算机病毒设计人员所设计的 病毒程序在运行时 每次都要检测发作条件 3计算机病毒存在方式 静态存在方式计算机病毒寄生于磁盘 光盘等存储介质中 或存在于内存RAM虚拟盘 外部RAM盘或ROM盘 处于这种方式的病毒是 静态 的 不会去主动传染其它程序 更不会发作 当关机时 除了在内存RAM虚拟盘的病毒会消失以外 计算机外部存储介质上的病毒都会继续存在 静态病毒并不可怕 可怕的是它变成动态病毒 动态存在方式计算机病毒已经被调入内存 已经或随时可以获得控制权 此时病毒可能马上传染或发作 即进入活跃态 也可能将自身驻留于计算机的内存之中 进入潜伏态 一旦被激活就会进行传染和发作 病毒这种寄生在内存中的动态存在方式对用户来说是十分危险的 它像是一颗炸弹 随时会爆炸 不过 只要一关机动态病毒就消失 因此 消除计算机病毒的关键还是清除静态病毒 不然就不会出现动态病毒 4计算机病毒的存储方式 计算机病毒的存储方式有两种 第一种是内存驻留方式 第二种是磁盘存储方式 驻留内存是计算机病毒能够发挥作用的必要条件 而磁盘存储是病毒存在的客观条件 我们只要破坏掉病毒存储方式中的任意一种 都可以使计算机病毒丢失其原有特性 从而保证了我们计算机系统免受计算机病毒的侵扰 4 1内存驻留方式病毒在内存中驻留的关键是选择存储空间 因而有以下几种内存驻留方式 减少DOS系统可分配空间 利用系统的间隙 利用功能调用驻能 利用系统程序的使用空间 4 2磁盘存储方式要防治计算机病毒 就必须了解病毒在磁盘上可能的存储方式 一般情况下 计算机病毒存储在磁盘中的前提条件是病毒能够被系统复制载入内存 并且在条件成熟时 可获得对系统的控制权 目前较为流行的方式有文件驻入式和直接存取两种 文件驻入式 直接存取扇区 5计算机病毒传染原理 5 1计算机病毒的传染过程分析这里从Boot区传染病毒为例讨论计算机病毒在计算机系统完成一次传染的全过程 系统正常如下 1 开机后 由Boot时系统的基本设备进行检测 2 读入系统的逻辑第0扇区 即BOOT区 到内存的0000 7C00处 3 开始Boot 引导 4 判断A盘是否为系统盘 如果该盘不是系统盘 则提示 non systemdiskordiskerror Replaceandstrikeanykeywhenready 否则读入Bios并转达入Bios 5 然后系统正常运行 如系统绕带有病毒在执行过程中 首先读入是病毒程序的代码 1 将BOOT区中病毒的代码 或部分 读入内存的0000 7C00处 2 病毒将自身完整化 并将自身完整的病毒程序举向内存xxxx xxxx地址 如 小球病毒将自身举向内存的97C0 7C00处 3 修改中断向量INT13H的向量入口 使之指向病毒的控制的摸块从而病毒程序得到控制权 4 读入正常的BOOT区内容列内存的0000 7C00处进行正常的启动过程 5 此时病毒获得控制权并监视系统的运行 如在运行中 有受攻击的对象 病毒进行如下操作 1 读入目标的逻辑第0扇区 对于软盘 2 判断是否传染 3 如果满足传染条件 则将病毒的全部或部分写入Boot区将病毒的部分代码及正常的Boot引导程序或者仅正常的Boot引导程序写入磁盘的特定位置 4 对于这一特定的存储空间 或以坏簇标志FF7 或不标 5 返回病毒程序 由病毒程序引入正常的INT13H中断程序 此时这段病毒程序已完成了对目标盘的传染过程 目标盘中就含有了这种病毒的一个自身复制品 上面的1 2两个步骤完成了这种病毒的 繁殖 过程 已经驻入内存中的病毒仍然监视系统的运行 针对可执行文件传染的病毒 其传染原理与对Boot区传染的病毒原理一样 只是病毒是在被传染的文件执行的病毒驻入内存 其驻入内存的过程如下 有一受染文件HZG com并设其病毒x与其首链接 1 运行HZG com 2 系统对这一文件进行读操作 3 由于病毒在文件的首部 因而可直接执行病毒程序X 4 X读入内存并完成自身的完整化 5 获得中断向量并使之转向病毒程序 6 病毒获得对系统的控制权 并监视系统运行 7 读入正常的HZG COM文件并使之获得控制权 此时 病毒X驻入系统的内存 开始监视系统的运行 当它发现被传染的目标时 做如下工作 1 读入HZG COM前的特定地址信息 标识位 进行判断 2 满足条件 则利用中断INT13H 磁盘读 写 将病毒与HZG COM文件链接 并存入目标中 3 定成传染 继续监视系统的运行 对病毒与文件的尾部连接情况而言 则病毒正传染过程中在正常的目标前头设置一条或几条JMP指令 使程序开始运行 即指向病毒程序 使其正常文件运行前首先运行了病毒程序 其传染与其上类似 5 2计算机病毒传染方式 计算机不运行时不存在对磁盘的读写或数据共享 没有磁盘的读写 病毒不能传入磁性存储介质 而只能驻留于内存之中或驻留于存储设备之中 不能驻入内存 那么计算机运行就含有很频繁的磁盘读写工作 所以就容易得到病毒传染的先决条件 有了条件病毒是如何传染的呢 1 驻入内存 病毒要达到传染的目的必须驻留于内存之中 所以病毒传染的第一步是驻留内存 2 寻找传染机会 病毒驻入内存之后 首先寻找可进行攻击的对象 并判定这一对象是否可被传染 有些病毒的传染是无条件的 3 进行传染 当病毒寻找到传染的对象并判定可进行传染之后 通过INT13H这一磁盘中断服务程序达到传染磁盘的目的 并将其写入磁盘系统 一般病毒将在内存中申请一空间 以便常驻内存或为常驻内存程序 TSR 病毒为使自己不被发现 此时一般不覆盖其它数据的 通常病毒程序写给于内存高端 其传染方式如上病毒存储方式 6计算机病毒来源渠道主要从以下5个方面 盗版软件盗版软件在互相拷贝流传的过程中 根本无法保证不会被病毒所寄生 而且因为盗版是一种非法的行为 故制造病毒的人会专门利用盗版软件来传播他的作品 以避开法律责任 公开软件无论是完全公开的软件 或是半开放的公享软件 都是容许人们随便拷贝的 跟盗版软件一样 人们根本无法确认该公开软件是否有病毒寄生 但由于是合法的行为 故其带病毒的机率不如盗版软件高 电子公告栏在使用电子公告栏 BBS 时要注意 由于任何人都可随便地从公告上拦载或录下文件 所以根本无法保证录下来的程序是否有病毒寄生 通讯与网络与电子公告栏相似 我们无法保证传来的程序 或远程请求的程序有没有病毒寄生或感染 正版软件有些软件公司 为了避免被盗版使用 会在其产品中放入口令暗号检查的程序 这种程序可促动早已准备好的病毒并发 对盗版用户表示以惩戒 病毒分类 从第一个病毒出世以来 究竟世界上有多少种病毒 说法不一 无论多少种 病毒的数量仍在不断增加 据国外统计 计算机病毒以10种 周的速度递增 另据我国公安部统计 国内以4种 月的速度递增 如此多的种类 做一下分类可更好地了解它们 按传染方式分为 引导型病毒 文件型病毒和混合型病毒 文件型病毒一般只传染磁盘上的可执行文件 COM EXE 在用户调用染毒的可执行文件时 病毒首先被运行 然后病毒驻留内存伺机传染其他文件或直接传染其他文件 其特点是附着于正常程序文件 成为程序文件的一个外壳或部件 这是较为常见的传染方式 混合型病毒兼有以上两种病毒的特点 既染引导区又染文件 因此扩大了这种病毒的传染途径 如97年国内流行较广的 TPVO 3783 SPY 按连接方式分为 源码型病毒 入侵型病毒 操作系统型病毒 外壳型病毒 源码病毒较为少见 亦难以编写 因为它要攻击高级语言编写的源程序 在源程序编译之前插入其中 并随源程序一起编译 连接成可执行文件 此时刚刚生成的可执行文件便已经带毒了 入侵型病毒可用自身代替正常程序种的部分模块或堆栈区 因此这类病毒只攻击某些特定程序 针对性强 一般情况下也难以被发现 清除起来也较困难 操作系统病毒可用其自身部分加入或替代操作系统的部分功能 因其直接感染操作系统 这类病毒的危害性也较大 外壳病毒将自身附在正常程序的开头或结尾 相当于给正常程序加了个外壳 大部份的文件型病毒都属于这一类 按破坏性可分为 良性病毒 恶性病毒 前面已介绍过 新兴一族 宏病毒 宏病毒是近两年才出现的 如分类它可算做文件型 在此对其专门介绍 病毒命名对病毒命名 各个反毒软件亦不尽相同 有时对一种病毒不同的软件会报出不同的名称 如 SPY 病毒 KILL起名为SPY KV300则叫 TPVO 3783 给病毒起名的方法不外乎以下几种 按病毒出现的地点 如 ZHENJIANG JES 其样本最先来自镇江某用户 按病毒中出现的人名或特征字符 如 ZHANGFANG 1535 DISKKILLER 上海一号 按病毒发作时的症状命名 如 火炬 蠕虫 按病毒发作的时间 如 NOVEMBER9TH 在11月9日发作 有些名称包含病毒代码的长度 如 PIXEL xxx 系列 KO xxx 等 病毒初步分析计算机病毒的种类虽多 但对病毒代码进行分析 比较可看出 它们的主要结构是类似的 有其共同特点 整个病毒代码虽短小但也包含三部分 引导部分 传染部分 表现部分 引导部分的作用是将病毒主体加载到内存 为传染部分做准备 如驻留内存 修改中断 修改高端内存 保存原中断向量等操作 传染部分的作用是将病毒代码复制到传染目标上去 不同类型的病毒在传染方式 传染条件上各有不同 表现部分是病毒间差异最大的部分 前两个部分也是为这部分服务的 大部分的病毒都是有一定条件才会触发其表现部分的 如 以时钟 计数器作为触发条件的或用键盘输入特定字符来触发的 这一部分也是最为灵活的部分 这部分根据编制者的不同目的而千差万别 或者根本没有这部分 病毒的初步识别与预防想要知道自己的计算机中是否染有病毒 最简单的方法是实用较新的反病毒软件对磁盘进行全面的检测 但反病毒软件对于病毒来说总是致后的 如何及早地发现新病毒呢 用户可做以下简单判断 无论如何高明的病毒 在其侵入系统后总会留下一些 蛛丝马迹 首先应注意内存情况 绝大部分的病毒是要驻留内存的 对于DOS用户可用C盘启动机器 然后用 MEM 命令查看全部基本内存是否为640K 因为大多数引导型病毒驻留内存时会更改此数 如果有病毒可能会被改为638K 637K 有些机器在正常情况下639K亦是正常的 如某些COMPAQ机 还应注意被占用的内存数是否无故减少 其次应注意常用的可执行文件 如COMMAND COM 的字节数 绝大多数的病毒在对文件进行传染后会使文件的长度增加 在查看文件字节数时应首先用干净系统盘启动 对于软盘 则应注意是否无故出现坏块 有些病毒会在盘上做坏簇标记 以便将其自身部分隐藏其中 其他如出现软件运行速度变慢 磁盘读盘速度影响除外 输出端口异常等现象都有可能是病毒造成的 最准确的方法是查看中断向量及引导扇区是否被无故改变 当然这需要对系统及磁盘格式有一定的了解 当前计算机病毒防治策略 我国目前的病毒疫情呈现出两种趋势 一种趋势是国外流行的网络化病毒大肆侵袭我国的计算机网络 另一种趋势是出现大量本土病毒 并且传播能力和破坏性越来越强 针对目前日益增多的计算机病毒和恶意代码 我们根据所掌握的这些病毒的特点和病毒未来的发展趋势 制定了近期的病毒防治策略 供我国计算机用户参考 落实病毒防治的规章制度 我国在2000年由公安部颁布实施了 计算机病毒防治管理办法 应继续贯彻 结合各自单位的情况建立病毒防治制度和相应组织 将病毒防治工作落到实处 建立快速 有效的病毒应急体系 在网络病毒不断发展的今天 病毒疫情更加呈现出突发性强 涉及范围广和破坏力高的特点 为了有效降低病毒的危害性 提高我们对病毒的防治能力 每一个计算机用户都应积极参与到病毒防治工作上来 各单位应建立病毒应急体系 与当地公安机关建立的应急机构和国家的计算机病毒应急体系建立信息交流机制 无论谁发现病毒疫情应及时上报 同时 注意国家计算机病毒应急处理中心发布的病毒疫情 以便在爆发病毒疫情时 及时做好预防工作 减少病毒造成的危害 进一步加强计算机安全培训 急需建立一套安全培训课程 采用分级培训的方式 可分为初级 中级和高级课程 初级课程面向普通计算机用户 通过安全培训一方面提高安全防范意识 另一方面掌握基本的病毒防治技术 中级课程面向中小企业网络管理人员 通过培训掌握对中小型网络系统的病毒防治技术 高级课程适用于大型网络的高级网络管理人员 通过培训全面了解掌握针对大型网络的病毒防治技术和管理方法 病毒破坏的情况 建立动态的系统风险评估措施 对使用的系统和业务需求特点 进行计算机病毒风险评估 通过评估了解自身系统主要面临的病毒威胁有哪些 有哪些风险必须防范 有哪些风险可以承受 确定所能承受的最大风险 以便制定相应的病毒防治策略和技术防范措施 并制定灾难恢复计划 同时 根据病毒出现的新变化 适时地对系统进行动态安全评估 了解当前面临的主要风险 评估病毒防护策略的有效性 及时发现问题 调整病毒防治的各项策略 建立病毒事故分析制度 对发生的病毒事故 要认真分析原因 找到病毒突破防护系统的原因 及时修改病毒防治策略 并对调整后的病毒防治策略进行重新评估 确保恢复 减少损失 一旦发生了病毒侵害事故 启动灾难恢复计划 尽量将病毒造成的损失减少到最低 并尽快恢复系统正常工作 建立我国的计算机病毒预警系统 在我国主干网络和电子政府 金融 证券 税务等专业网络建立病毒预警系统 通过这个系统监控整个网络的病毒传播情况 发现 捕获已有的病毒和新出现的计算机病毒 掌握我国计算机病毒的实时疫情 提高我们对病毒的发现和处理能力 降低病毒造成的破坏 国内邮件服务提供商提高自身的安全性 目前 很多计算机病毒利用电子邮件作为传播的主要渠道 尤其近两年 本土制造的病毒数量呈上升趋势 这些病毒常常利用国内邮件服务器的安全漏洞 将这些服务器作为传播病毒的跳板 因此 需要邮件服务提供商安装使用邮件防病毒系统 加强收发邮件的身份认证工作 与国家计算机病毒应急处理中心建立联系 发现利用邮件传播的计算机病毒 及时采取措施 从根本上阻断病毒的传播途径 加强技术防范措施 1 经常从软件供应商那边下载 安装安全补丁程序和升级杀毒软件 随着计算机病毒编制技术和黑客技术的逐步融合 下载 安装补丁程序和杀毒软件升级并举将成为防治病毒的有效手段 2 新购置的计算机和新安装的系统 一定要进行系统升级 保证修补所有已知的安全漏洞 3 使用高强度的口令 尽量选择难于猜测的口令 对不同的账号选用不同的口令 4 经常备份重要数据 要做到每天坚持备份 较大的单位要做到每周作完全备份 每天进行增量备份 并且每个月要对备份进行校验 5 选择 安装经过公安部认证的防病毒软件 定期对整个硬盘进行病毒检测 清除工作 6 可以在你的计算机和互联网之间安装使用防火墙 提高系统的安全性 7 当计算机不使用时 不要接入互联网 一定要断掉连接 8 重要的计算机系统和网络一定要严格与互联网物理隔离 这种隔离包括离线隔离 即在互联网中使用过的系统不能再用于内网 9 不要打开陌生人发来的电子邮件 无论它们有多么诱人的标题或者附件 同时也要小心处理来自于熟人的邮件附件 10 正确配置 使用病毒防治产品 一定要了解所选用产品的技术特点 正确配置使用 才能发挥产品的特点 保护自身系统的安全 11 正确配置系统 减少病毒侵害事件 充分利用系统提供的安全机制 提高系统防范病毒的能力 12 定期检查敏感文件 对系统的一些敏感文件定期进行检查 保证及时发现已感染的病毒和黑客程序 练习 计算机病毒与防治 1 计算机病毒英文名字ComputerVirus简称CV 它是一种特殊的程序 由病毒引发的问题属于软件故