第13章计算机病毒PPT演示课件

第13章计算机病毒,1,第13章计算机病毒,13.1计算机病毒概述13.2病毒的预防13.3杀毒软件技术13.4杀毒软件的使用,2,13.1计算机病毒概述,1988年，计算机病毒（ComputerVirus）首次被人发现。从出现至今虽然只有二十年的历史，但其数量和种类已多得无法统计。尽管人们采取了各种各样的措施，但更隐蔽、更巧妙、危害更大的计算机病毒仍在不断出现，令人防不胜防。,3,1.计算机病毒的定义1994年2月，我国正式颁布实施了中华人民共和国计算机信息系统安全保护条例，在条例第二十八条中明确指出：“计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。”此定义具有法律性、权威性。,4,2.计算机病毒的特征一般正常的程序是由用户调用，再由系统分配资源，完成用户交给的任务，对用户来说其目的是可见的。而病毒具有正常程序的一切特性，它隐藏在正常程序中，当用户调用正常程序时窃取到系统的控制权，先于正常程序执行，病毒的动作、目的对用户是未知的，是未经用户允许的。计算机病毒与生物学的病毒有类似的特征，它的主要特点是传染性、隐蔽性、潜伏性和破坏性。,5,（1）传染性正常的计算机程序一般是不会将自身的代码强行连接到其它程序之上的。而病毒却能使自身的代码强行传染到一切符合其传染条件的未受到传染的程序之上。计算机病毒可通过各种可能的渠道，如软盘、计算机网络去传染其它的计算机。当你在一台机器上发现了病毒时，往往曾在这台计算机上用过的软盘已感染上了病毒，而与这台机器相联网的其它计算机也许也被该病毒侵染上了。是否具有传染性是判别一个程序是否为计算机病毒的最重要条件。,6,（2）隐蔽性病毒一般是具有很高编程技巧、短小精悍的程序。通常附在正常程序中或磁盘代码分析，病毒程序与正常程序是不容易区别开来的。一般在没有防护措施的情况下，计算机病毒程序取得系统控制权后，可以在很短的时间里传染大量程序。而且受到传染后，计算机系统通常仍能正常运行，使用户不会感到任何异常。,7,试想，如果病毒在传染到计算机上之后，机器马上无法正常运行，那么它本身便无法继续进行传染了。正是由于隐蔽性，计算机病毒得以在用户没有察觉的情况下扩散到上百万台计算机中。大部分的病毒的代码之所以设计得非常短小，也是为了隐藏。病毒一般只有几百或1k字节，而PC机对DOS文件的存取速度可达每秒几百KB以上，所以病毒转瞬之间便可将这短短的几百字节附着到正常程序之中，使人不易被察觉。,8,（3）潜伏性大部分的病毒感染系统之后一般不会马上发作，它可长期隐藏在系统中，只有在满足其特定条件时才启动其表现（破坏）模块。这样的状态可能保持几天、几个月甚至几年。,9,使计算机病毒发作的触发条件主要有：利用系统时钟提供的时间作为触发器，如“黑色星期五”病毒、CIH病毒等；利用病毒自带的计数器作为触发器，病毒利用计数器记录某种事件发生的次数，一旦计数器达到设定值，就执行破坏操作；利用计算机内执行的某些特定操作作为触发器，特定操作可以是用户按下某些特定键的组合。,10,（4）破坏性任何病毒只要侵入系统，都会对系统及应用程序产生程度不同的影响。一旦病毒发作，其破坏程度也随不同的病毒而表现得多种多样。以下是可能出现的破坏行为：对磁盘进行未加警告的格式化。破坏、覆盖、改写磁盘的引导扇区、目录区、文件分配表。破坏、覆盖、改写硬盘主引导扇区和分区表。,11,改写、破坏、删除、覆盖、添加文件。将磁盘上好的扇区(簇)标上“坏”标记，减少磁盘空间。病毒程序在内存中不断复制，使系统瘫痪。病毒程序不断复制自己以至于文件越来越长，直至占满整个磁盘空间。,12,改写COMS数据，使系统配置参数混乱，系统瘫痪。破坏快闪内存中的BIOS系统。封锁外部设备，如打印机、通讯工具等。,13,（5）不可预见性。从对病毒的检测方面来看，病毒还有不可预见性。不同种类的病毒，它们的代码千差万别，但有些操作是共有的（如驻内存，改中断）。有些人利用病毒的这种共性，制作了声称可查所有病毒的程序。,14,这种程序的确可查出一些新病毒，但由于目前的软件种类极其丰富，且某些正常程序也使用了类似病毒的操作甚至借鉴了某些病毒的技术。使用这种方法对病毒进行检测势必会造成较多的误报情况。而且病毒的制作技术也在不断的提高，病毒对反病毒软件永远是超前的。,15,13.2病毒的预防,1.病毒的主要来源病毒是人为制造的，虽然目的各不相同，但造成的结果却是一样的。（1）恶作剧（2）软件保护（3）蓄意破坏（4）其它原因,16,2.病毒流行的原因（1）计算机的广泛应用（2）Windows等系统的脆弱性（3）磁盘的脆弱性（4）网络的脆弱性,17,（1）计算机的广泛应用目前，计算机已渗透到包括家庭在内的各个领域，为病毒广泛流行提供了环境。一旦某种病毒流行以后是很难在世界范围内采取统一行动进行彻底的清除，一些病毒会隐藏在某些系统中几年都不被发现。,18,（2）Windows等系统的脆弱性DOS系统构成简单，属于开放型的系统，根本就没有考虑到自身安全性问题。一些本来不允许改动的系统程序仍然可以被修改，并且有些文件必须存在，这为病毒提供了固定攻击目标，病毒的广泛流行就是从它开始的。由DOS发展而来的Windows系统继承了它的弱点，除本身具有很多漏洞外，技术过于透明，在方便系统开发的同时也为病毒的产生提供了更加有利的环境，因此安全性极差。,19,（3）磁盘的脆弱性Windows/DOS环境下磁盘的三个重要组成部分：引导扇区、FAT表、目录区包含了磁盘及系统的重要信息，是磁盘能够正常使用的关键部分，除采用隐含外，没有自我防护机制，十分脆弱，容易被替换、修改和破坏，是病毒攻击的目标。,20,（4）网络的脆弱性现行网络系统在最初设计时，根本就没有想到它能发展到今天的地步，因此在安全方面考虑得不是很充分，网络的各组成部分、接口和界面、各层次之间的相互转换都存在不少漏洞和薄弱环节，使得病毒能够抓住漏洞在网络内部流传。,21,3.病毒的传播途经病毒作为程序，传播途径也就是正常程序的传播途径，只不过传播过程是在不知不觉中悄悄进行的。（1）通过移动存储设备病毒随软盘、光盘、USB存储器、移动硬盘等存储介质中的各种软件资源交流、共享而传播。可以说它们走到哪里，病毒就会出现在哪里。,22,（2）通过硬盘硬盘如同一个货物集散地，每一个带有病毒的存储介质都要向它实施传染，而被感染后的硬盘又作为一个新的感染源，每一个经过此系统的介质都难以幸免。（3）通过网络网络是病毒传播的主要渠道，目前80%以上的病毒是由网络传播的，特别是电子邮件。网络渠道传播速度快，病毒能在很短的时间内传遍网络的每一台计算机。,23,4.判断感染病毒的方法（1）病毒发作前病毒发作前可能表现为：计算机无故死机；计算机无法启动；Windows无法正常启动；计算机运行速度明显变慢；正常运行的软件报告内存容量不足；计算机打印和通讯发生异常；曾经正常运行的应用程序发生死机或者非法错误；系统文件的时间、日期、长度发生变化；Word文件另存时只能以模板方式保存；无意中要求对软盘进行写操作；磁盘空间迅速减少；网络数据卷无法调用；基本内存发生变化。,24,（2）病毒发作中病毒的发作，有的只按时间来确定，有的按重复感染的次数来确定，但更多数是随机发生。发作时可能表现为：提示一段话；发出动听的音乐；产生特定的图像；硬盘灯不断闪烁；进行游戏算法；Windows桌面图标发生变化等。,25,（3）病毒发作后恶性病毒发作后可能会导致下列情况之一：硬盘无法启动；数据丢失；系统文件丢失；文件目录发生混乱；部分文档丢失；部分文档自动加密码；丢失有关的数据；修改某些文件；增加Format一项，导致计算机重新启动时格式化硬盘上的所有数据；使部分可升级主板的BIOS程序混乱；引导型病毒一般侵占硬盘的引导区（即BOOT区），感染病毒后，引导记录会发生变化。,26,5.预防措施（1）抑制病毒的产生随着计算机的普及，具有较深计算机知识的人越来越多，制造、尤其是改造某种病毒对这些人来说并非难事。为此，应该从法律角度加以解决，使人们认识到，制造计算机病毒如同破坏他人财产、有意制造事故一样。一个小小的病毒有可能影响一个国家的经济发展、国家安危。所以必须建立、健全法律制度，使得对计算机病毒制造者的处理有法可依。,27,（2）切断病毒的传播途径采取一切堵塞计算机病毒传播途径的措施，可以有效地减少被感染的机会。及时更新、升级杀毒软件，建立定期检测、清毒制度，登记检测结果。谨慎地使用公用软件和共享软件。由于这些软件的使用者多而杂，带病毒的可能性比较大，在每次使用前要先清查病毒。,28,禁止使用未经检测的外来移动存储介质，严禁使用外来存储介质启动机器。及时运行最新公布的补丁程序，关闭或取消不必要的网络通讯协议。在网络中建好口令，并经常改动，以限制权限，不运行和浏览来路不明、未经检测的程序和信件。,29,对承担重要任务的计算机系统建立严格的登记制度，记录姓名、时间、操作内容、使用软件等详细内容。禁止用服务器等承担重要任务的计算机上网浏览。,30,（3）为减少损失应采取的必要措施备份硬盘主引导扇区,以便修复硬盘时使用。备份全套系统盘和各种应用软件。每次操作完毕后,备份数据文件,如工资、档案、科研数据等等。备份主板和显示卡的BIOS。,31,13.3杀毒软件技术,1.病毒扫描程序病毒扫描程序是在文件和引导记录中搜索病毒的程序。要想让病毒扫描程序检测出新病毒，反病毒软件开发者就要编写扫描程序来检测每一种新病毒。病毒扫描程序只能检测出已经知道的病毒，而对防止新病毒和未知的病毒感染几乎没有什么帮助。多数杀毒软件在它们的反病毒产品套件中提供某种类型的病毒扫描程序。,32,2.内存扫描程序内存扫描程序采用与上面提到的病毒扫描程序同样的原理进行工作。它只是扫描内存以搜索内存驻留文件和引导记录病毒。内存扫描程序必须频繁地更新，用户可以经常下载得到更新的病毒数据库文件，而用不着更新实际可执行的杀毒软件。,33,3.完整性检查器完整性检查器的工作原理是基于以下的假定：在正常的计算机操作期间，大多数程序文件和引导记录不会改变。因此，在计算机未被感染时，取得每个可执行文件和引导记录的信息指纹，并将这一信息存放在硬盘的数据库中，这些信息可以用于验证原来记录的完整性。验证时，如果发现文件中的指纹与数据库的指纹不同，则说明文件已被改变，而且极有可能是病毒感染。,34,4.行为监视程序行为监视程序是内存驻留程序，它作为系统服务提供者安装在内存中，这些程序静静地在后台工作，监视着病毒或其它恶意的损害活动。如果行为监视程序检测到这类活动，就会通知用户，并且让用户决定这种行为是否继续。,35,行为监视技术经过进一步完善就演变成为智能式探测器，它通过设计病毒行为判定知识库，应用人工智能技术，有效区分正常程序与病毒程序的行为。其局限性在于：单一的知识库无法覆盖所有的病毒行为，例如对那些不驻留内存的新病毒就会漏报。,36,有些防病毒卡就是采用这种方法设计病毒特征库（静态）、病毒行为知识库（动态）、受保护程序存取行为知识库（动态）等多个知识库及相应的可变推理机，通过调整推理机能够判断新出现的病毒，误报和漏报较少。这也是未来防病毒技术发展的方向。,37,5.常用反病毒软件国内主要的杀毒软件有：公安部（金振公司）开发的KILL系列；江民公司开发的KV系列；金山公司开发的毒霸系列；南京信源公司开发的VRV系列；豫能信息技术公司开发的AV系列；瑞星科技公司开发的瑞星系列；趋势科技公司开发的PC-Cilli64位n系列卡；来源于俄罗斯的Kaspersky(卡巴斯基)杀毒软件等。国外的主要产品有Norton系列、MacFeeVirusScan系列等。,38,卡巴斯基Kaspersky(卡巴斯基)杀毒软件来源于俄罗斯，Kaspersky杀毒软件具有超强的中心管理和杀毒能力，能真正实现带毒杀毒，提供了一个广泛的抗病毒解决方案。它支持所有的普通操作系统、E-mail通路和防火墙。Kaspersky控制所有可能的病毒进入端口，几乎所有的功能都是在后台模式下运行，但是该软件对计算机的硬件和软件要求相对较高。,39,13.4杀毒软件的使用,瑞星杀毒软件是北京瑞星计算机科技公司针对流行于国内的计算机病毒自主研制的反病毒安全工具。用于对已知病毒及黑客的查找，实时监控和清除、恢复被病毒感染的文件或系统，维护计算机的系统安全；能全面清除DOS/WINDOWS系统病毒以及各种黑客程序。,40,瑞星杀毒软件的主要特点是：启动抢先于系统程序，预杀式无毒安装，首创网络游戏防盗个人防火墙，针对冲击波病毒设计的漏洞扫描系统。瑞星杀毒软件的最大问题是占用的系统资源较大，对木马病毒查杀效果差。,41,瑞星杀毒软件的安装与使用1.瑞星杀毒软件的安装安装步骤：（1）下载瑞星杀毒软件最新版本，启动安装程序。（2）进入安装欢迎界面，选择“下一步”继续。（3）阅读“最终用户许可协议”，选择“我接受”可进入下一步。,42,（4）在“定制安装”窗口中，选择需要安装的组件，按“下一步”继续安装；也可以按“完成”按钮直接按照默认方式进行安装。（5）在“选择目标文件夹”窗口中，可自定义瑞星杀毒软件的安装目录，按“下一步”继续安装。（6）在“选择开始菜单文件夹”窗口中输入开始菜单文件夹名称，按“下一步”继续安装。,43,（7）在“安装信息”窗口中，显示了安装路径和所选程序组件等信息，请确认后按“下一步”开始复制文件。（8）如果在上一步选择了“安装之前执行内存病毒扫描”，则在“瑞星系统内存病毒扫描”窗口中将进行系统内存扫描。根据当前系统内存占用情况，此过程可能要占用几分钟；如果需要跳过此功能，请选择“跳过”继续安装。,44,（9）文件复制完成后，在“结束”窗口中可以选择“运行设置向导”、“运行瑞星杀毒软件主程序”、“运行监控中心”三项来启动相应程序，最后选择“完成”结束安装。如图13-1。（10）在弹出的“输入产品序列号和用户ID”窗口中输入已获得的产品序列号和用户ID，点击“确认”按钮，即可正常使用该杀毒产品。如图13-2。,45,图13-1瑞星杀毒软件运行窗口图13-2瑞星产品序列号和用户ID窗口,46,2.瑞星杀毒软件升级使用杀毒软件最重要的一点就是要定期升级。因为新的病毒层出不穷，必须对防病毒软件进行升级才能够防范。否则防病毒软件就好像没有新药的医生，对于新病毒还是无能为力。下面介绍升级操作方法。,47,（1）先进行网络配置。在瑞星杀毒软件主程序界面中，选择“设置”/“网络设置”，在弹出的“网络设置”窗口选择使用的上网方式。使用InternetExplorer的设置连接网络，通过局域网或直接连接访问网络，通过代理服务器访问网络。,48,（2）在如图13-3窗口中填写代理服务器的IP地址和端口号，可能还需要身份验证，点击“确定”保存设置。如果已经可以浏览网页，说明网络设置已经配置好了，这里直接使用默认值即可。,49,13-3服务器IP地址和端口号窗口,50,13-3服务器IP地址和端口号窗口（3）新功能：在“使用安全升级模式”选项前勾选，可以配合瑞星个人防火墙在升级期间阻止新的连接，保证计算机在升级时的安全。前提是必须安装了瑞星个人防火墙2007版本。（4）当计算机上没有安装拨号适配器的时候，网络设置窗口将没有”使用拨号连接”的相关内容。,51,（5）在程序中输入用户ID，在瑞星杀毒软件主程序界面中，选择“设置”/“用户ID设置”，弹出“用户ID”窗口。（6）如果已经有了用户ID，填入后按“确定”，在主程序界面中按“升级”按钮即可升级。然后点击主界面上的升级按钮进行智能升级，瑞星杀毒软件会自动完成整个升级过程。为了更为方便、快捷、自动化的完成升级，还可以设定成定时升级。,52,3.瑞星杀毒软件使用（1）在安装“结束”窗口中勾选“运行杀毒软件主程序”，则安装完成后自动运行杀毒软件主程序。快速启动瑞星杀毒软件主程序。选择“开始”/“所有程序”/“瑞星杀毒软件下载版”/“瑞星杀毒软件”。,53,（2）手动查杀病毒：启动瑞星杀毒软件，如图13-4。确定要扫描的文件夹或者其它目标，在“查杀目标”中勾选查杀目标，单击“杀毒”，则开始扫描相应目标，发现病毒立即清除。扫描过程中可随时点击“暂停”按钮来暂时停止扫描，按“继续”按钮则继续扫描，或点击“停止”按钮停止扫描。如图13-4。,54,图13-4查杀病毒,55,扫描中，带毒文件或系统的名称、所在文件夹、病毒名称将显示在查毒结果栏内，可以使用右键菜单对染毒文件进行处理。扫描结束后，扫描结果将自动保存到杀毒软件工作目录的指定文件中，可以通过历史记录来查看以往的扫描结果，如果您想继续扫描其他文件或磁盘，重复以上步骤即可。,56,（3）定时查杀病毒：定时扫描功能是在一定时刻，瑞星杀毒软件自动启动，对预先设置的扫描目标进行扫描病毒。此功能为用户提供了即使在无人值守的情况下，也能保证计算机防御病毒的安全。在瑞星杀毒软件主程序界面中，选择“设置”/“详细设置”/“定制任务”/“定时扫描”。如图13-5。另一种方法就是启动屏保杀毒功能，充分利用计算机的空闲时间。,57,图13-5查杀病毒的设置,58,(4)识别病毒类型：为了便于用户识别病毒类型，瑞星杀毒软件对每种病毒类型指定了不同的图标，在查杀病毒时若发现了病毒，则瑞星杀毒软件主程序在病毒列表中显示相应病毒类型的图标，如表13-1。在每个染毒文件名称前面有图标标明病毒类型，可在瑞星网站了解此病毒的详细信息。,59,表13-1病毒类型图,60,（5）文件粉碎。瑞星杀毒软件下载版新增加了文件粉碎功能，可以通过文件粉碎功能将废弃文件数据完全粉碎、清除，无法用常规手段恢复，保证用户隐秘资料的安全。,61,如图13-6所示。在准备粉碎的文件或文件夹上单击右键，选择“粉碎文件”之后，弹出“瑞星文件粉碎器”界面，粉碎列表中显示了已选择的准备粉碎的文件或文件夹。单击“添加”可以添加其它想要粉碎的文件到列表中。选中列表中某个文件或文件夹，单击“移除”按钮可以把已选择的文件或文件夹从列表中删除。单击“清空”按钮将把粉碎列表清空。确定准备粉碎的文件后，单击“开始”按钮，即对列表中的所有文件执行粉碎操作。,62,图13-6瑞星文件粉碎器窗口,63,4.打微软