计算机病毒及其防治

1、1计算机病毒及其防治计算机病毒及其防治2了解计算机病毒的概念了解计算机病毒的概念 掌握计算机病毒的特点掌握计算机病毒的特点掌握计算机病毒的防治掌握计算机病毒的防治学习目标学习目标讨论：什么是计算机病毒，它与生物病毒一讨论：什么是计算机病毒，它与生物病毒一样么（比如甲型样么（比如甲型HINI）？）？计算机病毒的概念计算机病毒的概念 计算机病毒计算机病毒 生物病毒生物病毒问题问题1一、计算机病毒名称的由来一、计算机病毒名称的由来 计算机病毒发作的情况类似于生物上所讲的病毒，所以人们引用生物中病毒的概念，把它称为计算机病毒。计算机病毒不能够独立存在，它就像生物病毒一样必须寄生在宿主细胞上，而计算机病

2、毒寄生的宿主就是程序、文件、电子邮件等等。计算机病毒的概念计算机病毒的概念二、计算机病毒的概念二、计算机病毒的概念 计算机病毒计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据、影响计算机使用，并能自我复制的一组计算机指令或者程序代码。计算机病毒的概念计算机病毒的概念三、计算机病毒的产生三、计算机病毒的产生计算机病毒存在的理论依据来自于冯诺依计算机病毒存在的理论依据来自于冯诺依曼结构及信息共享曼结构及信息共享计算机病毒产生的来源多种多样计算机病毒产生的来源多种多样归根结底，计算机病毒来源于计算机系统归根结底，计算机病毒来源于计算机系统本身所具有的动态修改和自我复制的能力本身所

3、具有的动态修改和自我复制的能力 计算机病毒的概念计算机病毒的概念6常见病毒常见病毒 计算机病毒的概念计算机病毒的概念案例案例“冲击波冲击波”（又称（又称“LovsanLovsan” ”或或“MSBlastMSBlast” ”）首先发起攻击。）首先发起攻击。病毒最早于病毒最早于20032003年年8 8月月1111日日被检测出来被检测出来并迅速并迅速传播传播，两天，两天之内就达到了攻击顶峰。病毒通过网络连接和网络流量之内就达到了攻击顶峰。病毒通过网络连接和网络流量传播，利用了传播，利用了Windows2000/XPWindows2000/XP的一个弱点进行攻击，被的一个弱点进行攻击，被激活激活以

4、后，它会向计算机用户展示一个恶意对话框，提以后，它会向计算机用户展示一个恶意对话框，提示系统将关闭。示系统将关闭。损失损失：2020亿亿100100亿美元亿美元, ,受到感染的计受到感染的计算机不计其数。算机不计其数。分析以上文字回答“冲击波”具有计算机病毒的哪些特性？计算机病毒的特点计算机病毒的特点计算机病毒的特点计算机病毒的特点破坏性破坏性传染性传染性隐蔽性隐蔽性潜伏性潜伏性讨论：讨论：计算机病毒通过什么途径进行传播计算机病毒通过什么途径进行传播计算机病毒的传播途径计算机病毒的传播途径可移动存储设备局域网因特网共享服务，网内数据传换光盘、U盘、移动硬盘等网页浏览、电子邮件、QQ、MSN问题

5、问题2全球十大计算机病毒全球十大计算机病毒1 CIH病毒 爆发年限:1998年6月损失估计：全球约5亿美元2 梅利莎(Melissa) 爆发年限:1999年3月损失估计：全球约3亿6亿美元3 爱虫(Iloveyou)” 爆发年限:2000年损失估计：全球超过100亿美元计算机病毒的危害计算机病毒的危害全球十大计算机病毒全球十大计算机病毒4红色代码(CodeRed) 爆发年限:2001年7月损失估计：全球约26亿美元5 冲击波(Blaster) 爆发年限:2003年夏季损失估计：数百亿美元6 巨无霸(Sobig) 爆发年限:2003年8月损失估计：50亿100亿美元计算机病毒的危害计算机病毒的危

6、害全球十大计算机病毒全球十大计算机病毒7 .MyDoom 爆发年限:2004年1月损失估计：百亿美元8. 震荡波(Sasser)” 爆发年限:2004年4月损失估计：5亿10亿美元9.熊猫烧香(Nimaya) 爆发年限:2006年损失估计：上亿美元10 .网游大盗 爆发年限:2007年损失估计：千万美元计算机病毒的危害计算机病毒的危害146.1 计算机病毒的概念计算机病毒的概念6.1.1 计算机病毒的产生 6.1.2 计算机病毒的特征6.1.3 计算机病毒的分类 15编制或者在计算机程编制或者在计算机程序中插入的破坏计算机功能或者破序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够坏

7、数据，影响计算机使用并且能够自我复制的一组计算机指令或者程自我复制的一组计算机指令或者程序代码。序代码。 中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息系统安全保护条例 166.1.1 计算机病毒的产生计算机病毒存在的理论依据来自于冯诺依计算机病毒存在的理论依据来自于冯诺依曼结构及信息共享曼结构及信息共享计算机病毒产生的来源多种多样计算机病毒产生的来源多种多样归根结底，计算机病毒来源于计算机系统归根结底，计算机病毒来源于计算机系统本身所具有的动态修改和自我复制的能力本身所具有的动态修改和自我复制的能力 176.1.2 计算机病毒的特征破坏性大破坏性大 感染性强感染性强传播性强

8、传播性强 隐藏性好隐藏性好可激活性可激活性 有针对性有针对性非授权性非授权性 难于控制难于控制不可预见性不可预见性186.1.3 计算机病毒的分类按攻击的对象分类按攻击的对象分类按攻击的操作系统分类按攻击的操作系统分类按表现性质分类按表现性质分类196.1.3 计算机病毒的分类按寄生的方式分类按寄生的方式分类 可以分为覆盖式寄生病毒、代替式寄生病毒、链可以分为覆盖式寄生病毒、代替式寄生病毒、链接式寄生病毒、填充式寄生病毒和转储式寄生病接式寄生病毒、填充式寄生病毒和转储式寄生病毒毒5 5按感染的方式分类按感染的方式分类 可以分为引导扇区病毒、文件感染病毒、综合型可以分为引导扇区病毒、文件感染病毒

9、、综合型感染病毒感染病毒3 3种种按侵入途径分类按侵入途径分类 可以分为源码病毒、操作系统病毒、入侵病毒和可以分为源码病毒、操作系统病毒、入侵病毒和外壳病毒外壳病毒4 4种种206.2 计算机病毒的分析计算机病毒的分析6.2.1 计算机病毒的传播途径6.2.2 计算机病毒的破坏行为6.2.3 常见计算机病毒的发作症状 216.2.1 计算机病毒的传播途径常见的计算机病毒的传播途径有以下常见的计算机病毒的传播途径有以下4 4种：种： 通过不可移动的计算机硬件设备进行通过不可移动的计算机硬件设备进行传播传播通过移动存储设备来传播通过移动存储设备来传播通过计算机网络进行传播通过计算机网络进行传播通过

10、点对点通信系统和无线通道传播通过点对点通信系统和无线通道传播226.2.2 计算机病毒的破坏行为攻击系统数据区攻击系统数据区攻击文件攻击文件 攻击内存攻击内存干扰系统运行干扰系统运行速度下降速度下降攻击磁盘攻击磁盘扰乱屏幕显示扰乱屏幕显示键盘键盘喇叭喇叭攻击攻击CMOSCMOS干扰打印机干扰打印机236.2.3 常见计算机病毒的发作症状电脑运行比平常迟钝电脑运行比平常迟钝程序载入时间比平常久程序载入时间比平常久对一个简单的工作，磁盘似乎花了比预期长的时间对一个简单的工作，磁盘似乎花了比预期长的时间不寻常的错误信息出现不寻常的错误信息出现硬盘的指示灯无缘无故的亮了硬盘的指示灯无缘无故的亮了系统内

11、存容量忽然大量减少系统内存容量忽然大量减少磁盘可利用的空间突然减少磁盘可利用的空间突然减少可执行程序的大小改变了可执行程序的大小改变了坏轨增加坏轨增加程序同时存取多部磁盘程序同时存取多部磁盘内存内增加来路不明的常驻程序内存内增加来路不明的常驻程序文件奇怪的消失文件奇怪的消失文件的内容被加上一些奇怪的资料文件的内容被加上一些奇怪的资料文件名称、扩展名、日期、属性被更改过文件名称、扩展名、日期、属性被更改过246.3 计算机病毒的防范计算机病毒的防范6.3.1 提高计算机病毒的防范意识6.3.2 加强计算机病毒的防范管理6.3.3 规范计算机的使用方法 6.3.4 清除计算机病毒的原则 256.3

12、.1 提高计算机病毒的防范意识6.3.2 加强计算机病毒的防范管理尊重知识产权尊重知识产权采取必要的病毒检测、监控措施，制定完善的采取必要的病毒检测、监控措施，制定完善的管理规则管理规则建立计算机系统使用登记制度建立计算机系统使用登记制度, , 及时追查、清及时追查、清除病毒除病毒加强教育和宣传工作加强教育和宣传工作建立有效的计算机病毒防护体系建立有效的计算机病毒防护体系建立、完善各种法律制度，保障计算机系统的建立、完善各种法律制度，保障计算机系统的安全性安全性266.3.3 规范计算机的使用方法新购置的计算机的安全使用方法新购置的计算机的安全使用方法计算机启动的安全使用方法计算机启动的安全使

13、用方法防止或减少数据丢失的方法防止或减少数据丢失的方法网络管理员需要注意的问题网络管理员需要注意的问题276.3.4 清除计算机病毒的原则在清除计算机病毒前后，一般应遵循的在清除计算机病毒前后，一般应遵循的3 3条原则条原则在发现计算机病毒后，一般应遵循的在发现计算机病毒后，一般应遵循的5 5条杀毒原则条杀毒原则在清除病毒的过程中，一般应遵循的在清除病毒的过程中，一般应遵循的7 7条原则条原则286.4 网络病毒的防治网络病毒的防治6.4.1 计算机病毒的发展趋势6.4.2 网络病毒的特征 6.4.3 基于网络安全体系的防毒管理措施 6.4.4 基于工作站与服务器的防毒技术6.4.5 网络病毒

14、清除方法 296.4.1 计算机病毒的发展趋势网络成为计算机病毒传播的主要载体网络成为计算机病毒传播的主要载体网络蠕虫成为最主要和破坏力最大的病毒网络蠕虫成为最主要和破坏力最大的病毒类型类型恶意网页成为破坏的新类型恶意网页成为破坏的新类型出现带有明显病毒特征的木马或木马特征出现带有明显病毒特征的木马或木马特征的病毒的病毒306.4.1 计算机病毒的发展趋势技术的遗传与结合技术的遗传与结合传播方式多样化传播方式多样化跨操作系统的病毒跨操作系统的病毒出现手机病毒、信息家电病毒出现手机病毒、信息家电病毒316.4.2 网络病毒的特征传染方式多传染方式多传染速度快传染速度快清除难度大清除难度大破坏性更

15、强破坏性更强326.4.3 基于网络安全体系的防毒管理措施 有以下几点加以注意：有以下几点加以注意： 尽量多用无盘工作站尽量多用无盘工作站尽量少用有盘工作站尽量少用有盘工作站尽量少用超级用户登录尽量少用超级用户登录严格控制用户的网络使用权限严格控制用户的网络使用权限对某些频繁使用或非常重要的文件属性加以对某些频繁使用或非常重要的文件属性加以控制，以免被病毒传染控制，以免被病毒传染对远程工作站的登录权限严格限制对远程工作站的登录权限严格限制336.4.4 基于工作站与服务器的防毒技术基于工作站的基于工作站的DOSDOS防毒技术防毒技术工作站防毒主要有以下几种方法：工作站防毒主要有以下几种方法：

16、使用防毒杀毒软件使用防毒杀毒软件 安装防毒卡安装防毒卡 安装防毒芯片安装防毒芯片346.4.4 基于工作站与服务器的防毒技术基于服务器的基于服务器的NLMNLM防毒技术防毒技术 基于服务器的基于服务器的NLMNLM防毒技术一般具备防毒技术一般具备以下功能：以下功能：实时在线扫描实时在线扫描服务器扫描服务器扫描工作站扫描工作站扫描356.4.5 网络病毒清除方法立即使用立即使用BROADCASTBROADCAST命令，通知所有用户退网，命令，通知所有用户退网，关闭文件服务器。关闭文件服务器。用带有写保护的、用带有写保护的、“干净干净”的系统盘启动系统的系统盘启动系统管理员工作站，并立即清除本机病

17、毒。管理员工作站，并立即清除本机病毒。用带有写保护的、用带有写保护的、“干净干净”的系统盘启动文件的系统盘启动文件服务器，系统管理员登录后，使用服务器，系统管理员登录后，使用DISABLE DISABLE LOGINLOGIN命令禁止其他用户登录。命令禁止其他用户登录。将文件服务器的硬盘中的重要资料备份到将文件服务器的硬盘中的重要资料备份到“干干净的净的”软盘上。软盘上。用杀毒软件扫描服务器上所有卷的文件，恢复用杀毒软件扫描服务器上所有卷的文件，恢复或删除发现被病毒感染的文件，重新安装被删或删除发现被病毒感染的文件，重新安装被删文件。文件。用杀毒软件扫描并清除所有可能染上病毒的软用杀毒软件扫描

18、并清除所有可能染上病毒的软盘或备份文件中的病毒。盘或备份文件中的病毒。用杀毒软件扫描并清除所有的有盘工作站硬盘用杀毒软件扫描并清除所有的有盘工作站硬盘上的病毒。上的病毒。在确信病毒已经彻底清除后，重新启动网络和在确信病毒已经彻底清除后，重新启动网络和工作站。工作站。366.5 常用的防杀毒软件常用的防杀毒软件6.5.1 国际著名防杀毒软件 6.5.2 国内防杀毒软件 6.5.3 国内外防杀毒软件的比较 6.5.4 企业级的防病毒工作 6.5.5 权威病毒认证机构及其法规、标准 37表表6.1 常用防杀毒软件对照表常用防杀毒软件对照表防杀毒软件防杀毒软件 网网 址址 卡巴斯基Kaspersky

19、McAfee产品系列 诺顿Norton 江民 金山毒霸 瑞星 趋势 386.5.1 国际著名防杀毒软件卡巴斯基卡巴斯基KasperskyKaspersky McAfeeMcAfee公司产品公司产品诺顿诺顿NortonNorton 6.5.2 国内防杀毒软件江民江民 金山毒霸金山毒霸 瑞星瑞星 趋势趋势396.5.3 国内外防杀毒软件的比较国内外防杀毒软件总体上的差别有以下两点：国内外防杀毒软件总体上的差别有以下两点： 国外的防杀毒软件厂商主要集中在高端的信息国外的防杀毒软件厂商主要集中在高端的信息安全领域，而较底端的单机版才是国内厂商聚安全领域，而较底端的单机版才是国内厂商聚集的场所集的场所

20、国外的防杀毒软件具有强大的病毒前摄防御功国外的防杀毒软件具有强大的病毒前摄防御功能，而国内的防杀毒软件能够查杀到的病毒数能，而国内的防杀毒软件能够查杀到的病毒数量相对来讲更多，查杀的速度相对也更快量相对来讲更多，查杀的速度相对也更快 406.5.4 企业级的防病毒工作建立企业多层次的病毒防护体系建立企业多层次的病毒防护体系 这里的多层次病毒防护体系是指在企业的这里的多层次病毒防护体系是指在企业的每个台式机上安装台式机的反病毒软件，每个台式机上安装台式机的反病毒软件，在服务器上安装基于服务器的反病毒软件，在服务器上安装基于服务器的反病毒软件，在在InternetInternet网关上安装基于网关

21、上安装基于InternetInternet网关网关的反病毒软件。的反病毒软件。 企业在防病毒体系建设方面主要存在三方面的问题企业在防病毒体系建设方面主要存在三方面的问题防病毒系统建设简单化 对如何发挥个体主机自身防御能力考虑过少 对用户防病毒教育重视不够 416.5.4 企业级的防病毒工作建立企业多层次的病毒防护体系建立企业多层次的病毒防护体系 有效的防病毒方法应从以下五方面着手有效的防病毒方法应从以下五方面着手依据最小服务化原则，进行标准化配置，减依据最小服务化原则，进行标准化配置，减小攻击面小攻击面 建立补丁自动分发机制，及时进行漏洞修补，建立补丁自动分发机制，及时进行漏洞修补，保证应用安

22、全更新保证应用安全更新 启用基于主机的防火墙，完善信息隔离机制启用基于主机的防火墙，完善信息隔离机制 选择合适的防病毒系统，全面部署防病毒软选择合适的防病毒系统，全面部署防病毒软件件 强化安全教育，增强用户自我防护意识强化安全教育，增强用户自我防护意识 426.5.4 企业级的防病毒工作防病毒体系建设的注意问题防病毒体系建设的注意问题绝不能出现安装防病毒系统造成业务中断的情况绝不能出现安装防病毒系统造成业务中断的情况 要确保有人监控防病毒系统的运转情况要确保有人监控防病毒系统的运转情况 企业级防病毒软件产品的选择企业级防病毒软件产品的选择防病毒引擎的工作效率防病毒引擎的工作效率系统的易管理性系统的易管理性 对病毒的防护能力对病毒的防护能力(特别是病毒码的更新能