计算机病毒的概念.ppt

1、1、计算机病毒的概念、定义：计算机病毒是实现附着在其他程序上的自我繁殖的程序代码。 (海外)定义：所谓计算机病毒，是指可以破坏计算机的功能和数据，自我复制的程序。 (国内)病毒发展史： 1977年科幻小说TheAdolescenceofP-1是1983年FredAdleman首次描绘计算机病毒VAX11/在750试验病毒的1986年布莱恩病毒在世界范围内传播的1988年11月2日Cornell大学Morris制作的Worm病毒袭击了美国6000台计算机，在直接损失亿美元的80年代末，病毒开始传到我国取证很难，风险很小。 1 )寻求刺激：自我表现恶作剧2 )出于报复心理。 病毒特征：剥夺传染性、

2、寄生性、派生性、潜伏性、触发性控制权的破坏性和危害性，3、病毒分类：破坏性别：良性恶性。 活动时间：随机分为感染方式：引导型：系统引导时进入内存，控制系统的文件类型：病毒通常附着在可执行文件上的混合型：可以感染诱导区，也可以感染文件。 根据连接方式，操作系统类型：取代部分操作系统功能，危害较大的源代码类型：在编译源程序之前插入病毒代码的较少情况类型：在正常程序的开头或末尾附加的最常见入侵类型：代替特定程序的病毒类型4、根据病毒特有的算法，伴随型病毒：生成EXE文件的伴随体COM，即使病毒将自己写入COM文件，EXE文件也不变，在DOS加载文件的情况下，伴随体优先执行，伴随体将原来的EXE文件行

3、“蠕虫”病毒：只占用内存，在不改变文件的情况下通过网络搜索查找感染病毒。 寄生病毒：附带型和“蠕虫”型以外的病毒依赖于系统的引导扇区和文件。 变化型病毒(幽灵病毒):使用复杂的算法，每次传播内容和长度都不同。 一般的做法由混合了无关的指令的解码算法和变化了的病毒整体构成。 5、病毒构成：安装模块：提供潜伏机制传播模块：提供感染机制触发模块：提供触发机制其中，感染机制是病毒的本质特征，预防和检测和杀菌是病毒感染机制病毒症状：启动或执行速度显着慢的文件大小，日期变化慌乱增加不应该不知不觉地减少丢失文件的磁盘空间。没有理由自动生成有规则地出现异常信息的特殊文件，就会发生打印故障。 6、计算机病毒的传

4、播路径1 )通过不可移动设备的传播很少，但破坏性很强。 2 )通过移动存储设备传播的最广泛的传播路径3 )通过网络传播防病毒的新课题4 )通过点到点通信系统和无线信道传播，预计将来会成为两大传播路径，7、病毒破坏行为破坏网络资源，阻碍系统运行并降低速度，阻碍屏幕、键盘、扬声器和打印机。 病毒的发展趋势攻击对象倾向于变成混合型的逆跟踪技术提高了隐蔽性：避免修改中断向量值，不使用明显的感染标志来维持内存中要求合法id的宿主程序的外部特征，采用加密技术会使病毒的跟踪、判断更加困难，繁殖不同的变种8、2、病毒防治、网络环境下病毒防治的原则和对策重于治疗，预防管理：制度登记、权限、属性、服务器安全集中管

5、理警报。 综合防护：樽的原理防火墙与防病毒软件的最佳平衡原则：使用小网络资源管理和技术正确选择防病毒产品的多级防御：病毒检测、数据保护、实时监控病毒检测的可靠性：升级9、2、病毒的预防和预防、病毒对策：入侵的预防病毒的过滤、监视、隔离：病毒发现和跟踪统计、警报解毒：从感染对象中恢复清除病毒功能病毒检查的方法的直接观察法：从病毒的各种表现判断特征编码法：病毒10、校验和法：将根据文件内容计算的校验和与以前进行比较。 优点：可以判断文件的细微变化，发现未知的病毒。 缺点：如果软件升级、密码更改，则无法识别错误报告的病毒名称，对隐藏性病毒无效。 行为监测法：根据病毒异常行为的判断特征，可能发现很多未

6、知病毒，实施很难的软件模拟法：用软件分析器，用软件方法模拟和分析程序的运行。 特征：能应对多态性病毒。 11、防病毒软件的选择1 )扫描速度30秒可以扫描1000个以上的文件2 )分辨率3 ) 在杀毒测试中著名杀毒软件公司冠群金辰KILL瑞星RAV北京江民KV3000发信源LANvrvSymantecnortonantivirus时代先驱(行天98 )，12，抗病毒软件的工作原理1 ) 病毒扫描程序列扫描算法：与已知的病毒特征匹配的文件报头、末尾入口扫描算法：模拟跟踪程序的执行的一般解密方法：多态性、加密病毒2 )内存扫描程序：内存驻留文件和4 )行动监视器：内存常驻程序，监视病毒对可执行文件

7、的修改。 未知病毒，13，3，几种常见病毒，宏病毒宏(Macro ) :一系列旨在避免重复操作的命令。 打开文件时，首先运行宏，然后加载文件的内容。 因此，如果“宏”包含病毒，则在编辑文件时会自动加载病毒。 宏病毒症状：在Word或Excel中打开文件时，出现“文档打不开”、“内存不足”、“WordBasicErr=514”等2 )文件时，强制将文件保存为“. dot”类型，或指定的日期3 )宏病毒版本兼容性问题，14，一些宏病毒： AAAZAOMacro:Concept病毒， 第一款宏病毒TaiwanNO.1 :第一款中文word病毒RainbowMacro :格式化可改变桌面颜色的Form

8、atC驱动器，并调用第一款特洛伊木马病毒hotmacro:windowsapi 宏病毒分类：公共宏病毒：以Auto开头的宏附加在normal.dot和Personal.xls等模板中。 私人宏病毒：15，宏病毒的危害1 )传播快：文件交换频繁2 )制造和变种方便： WordBasic编程容易3 )危害大： WordBasic为WindowsAPI、DLL、DDE宏病毒除了防病毒软件之外，请尝试以下方法：1)按键启动Word，禁止自动运行宏2 )检查并删除工具宏，所有可能包含病毒的宏3 )使用3)disableautomacross宏4 ) 16，3，一些常见病毒，CIH病毒台湾陈盈豪写，一般每

9、月26日发作。 不仅会破坏硬盘的引导扇区和分区表，还会破坏系统闪存bios芯片的系统程序，损坏主板。 病毒长度为1KB，使用的是VXD技术，因此仅感染了32位Windows系统可执行文件的. PE格式文件。 修复硬盘分区表：源公司()的免费软件VRVFIX.EXE CIH疫苗：CIH作者Ant-CIHv1.0； 美国Symantec公司的Kill_CIH，17，4，网络病毒，意思1 :在网络上感染，破坏网络的病毒。 意思指HTML、电子邮件、Java等网络病毒。 例如：蠕虫、特洛伊木马程序等。 2001年9月18日，Nimdaworm在互联网上迅速传播。 该病毒感染了许多Windows系列计算

10、机系统，其传播速度、影响范围和破坏力都超过了先前发现的CodeRedII。 18、特点：网络蔓延，危害更大。1 )网络感染方式多，工作站、服务器交叉感染2 )混合特征：文件感染、蠕虫、特洛伊木马一体化3 )利用网络脆弱性、系统脆弱性4 )重视欺诈性5 )排除困难、破坏性。 防止网络病毒：具体的实现方法是在包括频繁扫描和监视网络服务器中的文件的工作站上使用防病毒芯片，或设置对网络目录和文件的访问权限。 19、对于单一病毒的防护，网络病毒的防治更难，网络病毒的防治必须与网络管理相结合。 管理功能是一个可以通过管理所有网络设备(包括集线器、交换机、服务器访问PC、软盘、lan上的信息交换和与互联网的

11、连接)来入侵病毒的地方。 为了实现计算机病毒的预防和治疗，可以在计算机网络系统上设置网络病毒预防服务器在内部网络服务器上安装网络杀毒软件独立环境的防病毒软件.具体实施方式。的方法服务器邮件系统网站数据库系统网关，20，LAN病毒防御系统1 )服务器网络防病毒模块监视各节点，动态警告以保护网络操作系统的安全，并为各节点发出病毒记录、审计和跟踪定位时间的病毒事件的技术支持，升级2 )客户端单机杀毒模块单机杀毒软件根据升级请求，21，安装网络杀毒软件的方案1 )。 2 )在工作站上安装杀毒软件的缺点：很难管理、协调和升级。 3 )如果在电子邮件服务器上安装杀毒软件，就只能防止邮件病毒的感染。 4 )在所有文件服务器上