计算机病毒的防治课件

1、1 主要内容：主要内容： 1概述 2病毒原理 3病毒技术 4反病毒技术 5 常用反病毒软件 2 6.1.1 定义定义 广义：凡能够引起计算机故障，破坏数据的程序。 权威定义：编制或者插入计算机程序中的破坏计 算机功能或者毁坏数据，影响计算机使用，并 能自我复制的一组计算机指令或程序代码。 中华人民共和国计算机信息安全保护条例 3 6.1.2 特征特征 l寄生性（宿主程序）寄生性（宿主程序） l传染性传染性 l隐蔽性隐蔽性 l潜伏性潜伏性 l触发性触发性 l破坏性破坏性 4 6.1.3 传播途径传播途径 l通过不可移动的计算机硬件设备通过不可移动的计算机硬件设备 l通过可移动存储设备通过可移动存

2、储设备 l通过计算机网络通过计算机网络 l通过无线通道通过无线通道 5 6.1.4 分类分类 l按攻击的按攻击的OS l按传播媒介按传播媒介 l按危害程度按危害程度 l按寄生方式按寄生方式 l从广义病毒定义从广义病毒定义 6 v按攻击的按攻击的OS： 攻击攻击DOS 攻击攻击WINDOWS 攻击攻击UNIX/LINUX 攻击嵌入式攻击嵌入式OS 7 v按传播媒介按传播媒介： 单机病毒：磁盘单机病毒：磁盘 网络病毒：网络，当今最多网络病毒：网络，当今最多 8 v按危害程度按危害程度： 良性病毒良性病毒 恶性病毒恶性病毒 中性病毒中性病毒 9 v按寄生方式按寄生方式： 引导型引导型 文件型（文件型

3、（.bat.dll.vxd.sys） 混合型混合型 10 v从广义定义：从广义定义： 传统病毒传统病毒 特洛伊木马特洛伊木马 蠕虫蠕虫 11 特洛伊木马特洛伊木马 l定义：泛指那些内部包含有为完成特定任务而编制的定义：泛指那些内部包含有为完成特定任务而编制的 程序，一种潜伏执行非授权功能的技术。本质上属于程序，一种潜伏执行非授权功能的技术。本质上属于 远程控制工具。远程控制工具。 l原理：原理： c/s模式模式 传播途径传播途径 email附件附件 用户间的文件交换用户间的文件交换 被其它恶意代码携带被其它恶意代码携带 互联网下载的文件互联网下载的文件 12 特征和行为特征和行为 不自我复制；

4、不自我复制； 被感染计算机变慢或出现异常行为；被感染计算机变慢或出现异常行为； 多出一个或多个任务；多出一个或多个任务； 注册表或配置文件被修改注册表或配置文件被修改 预防：预防： 不执行来历不明的程序不执行来历不明的程序 必备杀毒软件必备杀毒软件 13 蠕虫蠕虫 定义：通过网络来传播特定信息或错误，破坏网络信定义：通过网络来传播特定信息或错误，破坏网络信 息或造成网络服务中断的病毒。息或造成网络服务中断的病毒。 特点：特点： 利用网络软件的缺陷，进行自我复制和主动传播。利用网络软件的缺陷，进行自我复制和主动传播。 14 3个功能模块：个功能模块： l引导模块引导模块 l传染模块传染模块 l破

5、坏模块破坏模块 15 传统病毒（引导型、文件型）传统病毒（引导型、文件型） 引导型病毒工作流程引导型病毒工作流程 文件型病毒工作流程文件型病毒工作流程 16 宏病毒宏病毒 宏：一系列组合在一起的命令或指令，它们形宏：一系列组合在一起的命令或指令，它们形 成一个命令，以实现任务执行自动化。成一个命令，以实现任务执行自动化。 宏病毒：存储于文档、模版中的病毒宏病毒：存储于文档、模版中的病毒 特点：只感染微软数据文件特点：只感染微软数据文件 机制：用机制：用VB高级语言编写的病毒代码，直接混高级语言编写的病毒代码，直接混 杂在文档中传播。当打开一个染毒文档或执行杂在文档中传播。当打开一个染毒文档或执

6、行 触发宏病毒的操作时，病毒激活，并存储在触发宏病毒的操作时，病毒激活，并存储在 normal.dot在，以后保存的文档被自动感染。在，以后保存的文档被自动感染。 工作流程工作流程 17 网络病毒网络病毒 种类：蠕虫、木马种类：蠕虫、木马 传播方式：传播方式：email、网页、文件传输网页、文件传输 如：如：loveletter、happytime 18 寄生技术寄生技术 驻留技术驻留技术 加密变形技术加密变形技术 隐藏技术隐藏技术 19 寄生技术寄生技术 将病毒代码加入正常程序中，原正常程序将病毒代码加入正常程序中，原正常程序 功能的部分或全部保留。功能的部分或全部保留。 头寄生头寄生 尾寄

7、生尾寄生 插入寄生插入寄生 文件型病毒使用最多文件型病毒使用最多 20 驻留技术驻留技术 当染毒文件执行时，将病毒部分功能模块当染毒文件执行时，将病毒部分功能模块 进入内存，即使程序结束，仍驻留内存。进入内存，即使程序结束，仍驻留内存。 如果杀毒软件只清除文件中病毒，而不清除内如果杀毒软件只清除文件中病毒，而不清除内 存中病毒，仍会感染。存中病毒，仍会感染。 21 加密变形技术加密变形技术 对不同传染实例呈现多样性。对不同传染实例呈现多样性。 传统病毒在代码中总有自身特点，反病毒传统病毒在代码中总有自身特点，反病毒 软件厂商利用这些特点编制特征码，进行检测。软件厂商利用这些特点编制特征码，进行

8、检测。 22 隐藏技术隐藏技术 病毒在进入系统后，会采取种种方法隐藏病毒在进入系统后，会采取种种方法隐藏 行踪，使不易被发现。行踪，使不易被发现。 23 6.4.1 发现病毒发现病毒 系统运行迟钝系统运行迟钝 程序加载时间过长程序加载时间过长 简单操作，硬盘花费很长时间简单操作，硬盘花费很长时间 异常错误信息出现异常错误信息出现 内存、磁盘空间忽然大量减少内存、磁盘空间忽然大量减少 程序文件大小、属性、内容改变程序文件大小、属性、内容改变 经常死机经常死机 出现不明常驻任务出现不明常驻任务 异常声音、画面异常声音、画面 24 6.4.2 检测技术检测技术 比较法：进行原始的或正常的特征与被检测

9、对比较法：进行原始的或正常的特征与被检测对 象特征进行比较象特征进行比较 文件长度、内容、内存、中断向量文件长度、内容、内存、中断向量 优点：简单、方便、不需专用软件优点：简单、方便、不需专用软件 缺点：无法确认病毒种类、名称缺点：无法确认病毒种类、名称 25 校验和法：计算正常文件的校验和，并保存，校验和法：计算正常文件的校验和，并保存， 然后定期比较然后定期比较 优点：可侦测各式病毒，包括未知病毒优点：可侦测各式病毒，包括未知病毒 缺点：误判率高，无法确认病毒种类缺点：误判率高，无法确认病毒种类 26 分析法：该法使用人员主要是反毒技术人员分析法：该法使用人员主要是反毒技术人员 搜索法：用

10、病毒含有的特定字符串对被检测对搜索法：用病毒含有的特定字符串对被检测对 象进行扫描。象进行扫描。 特征字符串的选择好坏，起决定作用。特征字符串的选择好坏，起决定作用。 缺点：扫描时间长；不易选取合适特征串；病缺点：扫描时间长；不易选取合适特征串；病 毒特征码未更新时，无法识别新病毒和并行病毒特征码未更新时，无法识别新病毒和并行病 毒。毒。 目前使用最普遍。目前使用最普遍。 27 6.4.3 清除清除 摘除染毒文件中的病毒代码，恢复正常。摘除染毒文件中的病毒代码，恢复正常。 专用杀毒软件或手工。专用杀毒软件或手工。 28 6.4.4 免疫免疫 原理：根据病毒签名实现，由于病毒在感染文原理：根据病

11、毒签名实现，由于病毒在感染文 件时，对已感染文件，不再感染件时，对已感染文件，不再感染 可人为在可人为在“健康程序健康程序”中加入病毒签名，起到中加入病毒签名，起到 免疫作用。免疫作用。 29 6.4.5 预防预防 经常备份数据经常备份数据 新购磁盘、软件等，先查毒新购磁盘、软件等，先查毒 避免在无防毒软件或公用计算机上使用移动盘避免在无防毒软件或公用计算机上使用移动盘 对计算机的使用进行控制，禁止来历不明人进对计算机的使用进行控制，禁止来历不明人进 入系统入系统 采用杀毒软件，实时监控、经常杀毒、及时升采用杀毒软件，实时监控、经常杀毒、及时升 级级 30 必备功能：必备功能： 查、杀查、杀 对新病毒的反应能力对新病毒的反应能力 对文件备份、恢复对文件备份、恢复 实时监控实时监控 界面友好，使用方便界面友好，使用方便 对资源占有情况对资源占有情况 国内外著名杀毒软件：国内外著名杀毒软件： 诺顿、诺顿、officeScan、卡巴斯基、瑞星、江卡巴斯基、瑞星、江 民、金山民、金山 31 1什么是计算机病毒