计算机病毒与防治课件

第3章计算机病毒及防治

本章主要内容：1.什么是计算机病毒2.计算机上病毒的传播3.计算机病毒的特点及破坏行为4.病毒的预防、检查和清除3.1什么是计算机病毒 计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到其它系统。它通常隐藏在其它看起来无害的程序中，能生成自身的复制并将其插入其它的程序中，执行恶意的行动。 通常，计算机病毒可分为下列几类。（1）文件病毒。（2）引导扇区病毒。（3）多裂变病毒。（4）秘密病毒。（5）异形病毒。（6）宏病毒。计算机病毒的传染通过哪些途径?

计算机病毒之所以称之为病毒是因为其具有传染性的本质。传统渠道通常有以下几种：（1）通过Ｕ盘(软盘)：通过使用外界被感染的Ｕ盘,例如,不同渠道来的系统盘、来历不明的软件、游戏盘等是最普遍的传染途径。由于使用带有病毒的Ｕ盘,使机器感染病毒发病,并传染给未被感染的“干净”的Ｕ盘。大量的软盘交换,合法或非法的程序拷贝,不加控制地随便在机器上使用各种软件造成了病毒感染、泛滥蔓延的温床。（2）通过硬盘：通过硬盘传染也是重要的渠道,由于带有病毒机器移到其它地方使用、维修等,将干净的软盘传染并再扩散。（3）通过光盘：因为光盘容量大，存储了海量的可执行文件，大量的病毒就有可能藏身于光盘，对只读式光盘，不能进行写操作，因此光盘上的病毒不能清除。以谋利为目的非法盗版软件的制作过程中，不可能为病毒防护担负专门责任，也决不会有真正可靠可行的技术保障避免病毒的传入、传染、流行和扩散。当前，盗版光盘的泛滥给病毒的传播带来了极大的便利。（4）通过网络：这种传染扩散极快,能在很短时间内传遍网络上的机器。随着Internet的风靡，给病毒的传播又增加了新的途径，它的发展使病毒可能成为灾难，病毒的传播更迅速，反病毒的任务更加艰巨。Internet带来两种不同的安全威胁，一种威胁来自文件下载，这些被浏览的或是被下载的文件可能存在病毒。另一种威胁来自电子邮件。大多数Internet邮件系统提供了在网络间传送附带格式化文档邮件的功能，因此，遭受病毒的文档或文件就可能通过网关和邮件服务器涌入企业网络。网络使用的简易性和开放性使得这种威胁越来越严重。3.2计算机病毒的工作方式 一般来说，病毒的工作方式与病毒所能表现出来的特性或功能是紧密相关的。病毒能表现出的几种特性或功能有：感染、变异、触发、破坏以及高级功能（如隐身和多态）。 1．感染 任何计算机病毒的一个重要特性或功能是对计算机系统的感染。感染方法可用来区分两种主要类型的病毒：引导扇区病毒和文件感染病毒。

2．变异 变异又称变种，这是病毒为逃避病毒扫描和其它反病毒软件的检测，以达到逃避检测的一种“功能”。3．触发 以时间、程序运行了次数和在文件病毒被复制到不同的系统上多少次之后作为触发条件。4．破坏 破坏的方式总的来说可以归纳如下列几种：修改数据、破坏文件系统、删除系统上的文件、视觉和听觉效果。5．高级功能病毒 计算机病毒经过几代的发展，在功能方面日趋高级，它们尽可能地逃避检测，有的甚至被设计成能够躲开病毒扫描和反病毒软件。隐身病毒和多态病毒就属于这一类。引导扇区病毒

文件感染病毒覆盖型文件病毒前依附型文件病毒伴随型文件病毒后依附型文件病毒文件病毒文件病毒文件病毒文件病毒病毒病毒2．文件型病毒的清除（1）检查注册表（2）检查win.ini文件（3）检查system.ini文件（4）重新启动计算机，然后根据文件名，在硬盘找到这个程序，将其删除。3.3计算机病毒的特点及破坏行为3.3.1计算机病毒的特点 根据对计算机病毒的产生、传染和破坏行为的分析，总结出病毒有以下几个主要特点。 1．刻意编写人为破坏 2．自我复制能力 3．夺取系统控制权 4．隐蔽性 5．潜伏性 6．不可预见性9、电脑的存储容量异常减少10、无法正常调用汉字库11、电脑屏幕上出现异常显示12、部分文档自动加密13、电脑的蜂鸣器出现异常声响有些病毒会让电脑的蜂鸣器发出无规律的噪声，有些则会使软驱不断发出读盘的噪声。14、主板被破坏3.4计算机病毒的破坏行为（1）攻击系统数据区。（2）攻击文件。（3）攻击内存。（4）干扰系统运行，使运行速度下降。（5）干扰键盘、喇叭或屏幕。（6）攻击CMOS。（7）干扰打印机。（8）网络病毒破坏网络系统，非法使用网络资源。如何判断发现单机型病毒防病毒软件发现。计算机无法开机计算机突然变慢不能启动某些软件。方法：按ctrl+alt+del,打开任务管理器，再单击进程卡片，再单击卡片里的CPU项，会把占用CPU大小的进程从大到小排列，一般是SystemIdelProcess占用得最多，如果长期被其它进程占用第一，那它就是病毒3.5.1网络病毒

1．网络病毒的特点 计算机网络的主要特点是资源共享。一旦共享资源感染病毒，网络各结点间信息的频繁传输会把病毒传染到所共享的机器上，从而形成多种共享资源的交叉感染。3.5网络病毒Internet2．病毒在网络上的传播与表现 文件病毒可以通过因特网毫无困难地发送，而可执行文件病毒不能通过因特网在远程站点感染文件。此时因特网是文件病毒的载体。 引导病毒在网络服务器上的表现：如果网络服务器计算机是从一个感染的U盘（软盘）上引导的，那么网络服务器就可能被引导病毒感染。网络病毒危害开启机器后门，盗取银行密码，QQ密码，私人资料。发送垃圾电子邮件，制造电子垃圾。被别人当作跳板，攻击其它网络上的计算机或者服务器（DOS攻击，分布式拒绝服务攻击）向其它计算机传播病毒或者后门。

发现网络型病毒其他用户发现你正在攻击其计算机。发现不寻常的网络连接发现上网速度（本地网络）突然减慢。发现网络病毒在没有其它网络连接的时候，打开DOS方式，打入下面命令（netstat-b）,现在电脑只使用了MSN上网，其他的如果进行网络连接就可能是后门清除网络型病毒一般情况下使用软件清除，或者知道程序路径自己清除。但有可能遇到软件及自动清除都不见效的下面情况：3.6病毒的预防、检查和清除3.6.1电脑病毒的防治1、电脑病毒的预防（1）安装杀毒软件并保证及时升级（2）从可靠渠道下载软件，并经过杀毒的检测才运行（3）对电子邮件加倍提高警惕（4）对新购置的电脑软硬件系统进行检测（5）定期备份文件2、一些预防病毒的简单措施（1）防止SYN洪水攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\ParametersDWORD值：SynAttackProtect3．宏病毒的清除在MicrsoftOffice应用程序中打开“工具”→“宏”→“VisualBasic编辑器”，早期的版本为宏管理器。进入到编辑器窗口，用户可以查看Normal模板，若发现有AutoOpen、AutoNew、AutoClose等自动宏以及、、等文件操作宏或一些怪名字的宏，如XXYY等，而自己又没有加载这类特殊模板，这就极可能是宏病毒在作祟，因为大多数Normal模板中是不包含上述宏的。确定是宏病毒后，可以在通用模板中删除被认为是病毒的宏。还有一种方法更为简单，通过搜索系统文件，找到Autoexec.dot和Nomal.dot文件，直接删除即可。Office应用程序启动后会重新生成一个干净的模板文件。使用Internet防火墙用处:阻挡90%的黑客、蠕虫病毒及消除系统漏洞引起的安全性问题WindowsXP或Windows2003系统自带防火墙,只要在网络中使用即可,方法:网络上邻居(右键)-属性-本地连接右键-属性-高级-Internet连接防火墙-打钩其它Windows操作系统(Win95,Win98,WinNT,Win2000)安全其它品牌个人防火墙（推荐：天网）WinXP使用防火墙网上邻居-属性-本地连接-属性-高级-设置使用防火墙并同时启动共享启动共享时的安全措施获得更新用处:把系统漏洞补住，如冲击波的RPC系统漏洞WindowsXP安装SP2及安装安全补丁Windows2000安装SP4及安装安全补丁Windows98网上安装安全补丁安装安全补丁方法:打开IE-工具菜单-WindowsUpdate上网更新方式上网更新方式使用最新的防病毒软件安装防病毒软件并定时更新病毒特征码。推荐：瑞星/norton如果安装了防病软件没有更新，几乎等于没有安装!!设置定时查找病毒及定时升级病毒特征码其他要注意的事项下载软件最好到知名的网站下载,如华军软件(),天空下载站,太平洋下载等.如果打开某个网页时发现要下载或者安装软件时,要特别注意,一般是按NO.安装软件时,如金山词霸,QQ等,最好选择手动设置,将多余并会影响正常使用的附件(如QQ工具栏)去除.对不明来历的光碟及软件,采用先杀毒再安装方式.收到带不明附件的邮件不要轻易打开.四、日常维护计划Ｃ：盘最好只安装系统，不存放数据，把Outlook的邮件和MyDocument的文件都放在D盘。（因为病毒最喜欢把C盘缺省目录的文件删除，而重装系统也会把C盘所有文件格式化掉）重要文件最好定期使用光碟刻录存放。做好系统备份工作，重装系统会变得很轻松（使用GHOST）定期做硬盘碎片整理及查杀病毒。用好Ghost使安装操作系统更松：新的机器(或者要重装机器),把数据全部备份.使用WindowsXP光碟重新启动到分区步骤.分四个区(以200G为例),C盘20G,D盘60G,E盘60G,F盘60G.使用NTFS格式化C盘安装系统.安装所有需要的软件,如office等.用NTFS格式化D盘、E盘,FAT32格式化F盘.把MyDocument及EMAIL等数据都放在D盘的目录中.(病毒最喜欢删C盘的MyDocument的数据)对C盘进行磁盘的碎片整理.把ghost.exe文件放到F盘,重启计算机,使用ghost盘（或win98启动盘)启动.这里原来的F盘变为C盘(NTFS分区对DOS不可见).运行ghost.exe,使用local-partition-toimage,把整个系统备份到一个文件.结束当系统完全崩溃或者被病毒已经破坏系统时：备份C盘数据(可能还有一些数据放在C盘)使用ghost盘（或win98启动盘）启动计算机.原来F盘变成了C盘.运行ghost.exe

使用local-partition-fromimage.选中备份的文件，确定.重启计算机这时系统已经变回原先干净的系统了.养成良好的上网习惯不要随便按yes不要上一些不良的网站不要暴露真实身份安装软件(特别是一些免费软件)时小心最好使用自定义安装安装软件中如”上网助手\中文域名\购物网站”等推荐安装的软件不要安装不要在陌生的计算机上输入自已的密码(包括QQ,刚刚上购物等)五、网络故障检测当遇到网络不通时，自己可