计算机病毒的防治.ppt

1、第六章计算机病毒的防治,6.1计算机病毒概述 6.2计算机病毒的工作方式 6.3病毒的预防、检测和清除 6.4防毒战略和相关产品,本章学习目标,（1）了解计算机病毒的定义和病毒的危害性 （2）掌握计算机病毒的特征和种类 （3）掌握计算机病毒的特征和种类 （4）掌握如何预防、检测和清除病毒 （5）了解主要防毒产品的功能特点,6.1计算机病毒概述,6.1.1计算机病毒的定义 6.1.2计算机病毒的发展过程 6.1.3计算机病毒的特征 6.1.4计算机病毒的组成 6.1.5计算机病毒的种类,6.1.1计算机病毒的定义,在1994年我国颁布实施的中华人民共和国计算机系统安全保护条例中，对计算机病毒有如

2、下定义：“计算机病毒是编制或在计算机程序中插入的破坏计算机功能或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码”。,6.1.2计算机病毒的发展过程,1早期病毒的产生 在20世纪60年代初，美国贝尔实验室中3个年轻的程序员，道格拉斯麦耀莱、维特维索斯基和罗伯在工作之余编制了一个游戏“磁芯大战”（Core War），这个游戏是通过不断复制自身的方式来摆脱对方进程的控制，从而获取最后的胜利。可以说这个程序是病毒的先驱。,2DOS病毒阶段 3Windows平台阶段 4网络病毒阶段 5病毒发展的未来趋势 （1）网络化 （2）隐蔽化 （3）多样化 （4）破坏性强 （5）简单化,6.1.

3、3计算机病毒的特征,（1）可执行性。 （2）传染性。 （3）潜伏性。 （4）隐蔽性。 （5）破坏性。 （6）不可预见性。 （7）夺取系统控制权,6.1.4计算机病毒的组成,计算机病毒程序一般由感染模块、触发模块、破坏模块和主控模块组成，相应为感染机制、触发机制和破坏机制三种。但有些病毒并不具备所有的模块，例如巴基斯坦智囊病毒就没有破坏模块。 1感染模块 2触发模块 3破坏模块 4主控模块,6.1.5计算机病毒的种类,计算机病毒的分类方法也有多种，一般按病毒对计算机破坏的程度和传染方式、算法及链接方式来分 。 1按病毒的传染方式 2按病毒的破坏程度 3按病毒的算法分类 4按病毒的链接方式,6.2

4、计算机病毒的工作方式,6.2.1引导型病毒的工作方式 6.2.2文件型病毒的工作方式 6.2.3 混合型病毒的工作方式 6.2.4 宏病毒的工作方式 6.2.5 Java病毒 6.2.6 网络病毒 6.2.7 脚本病毒 6.2.8 PE病毒,6.2.1引导型病毒的工作方式,6.2.2文件型病毒的工作方式,在目前已知的病毒中，大多数属于文件型病毒。文件型病毒一般只传染磁盘上的可执行文件（COM、EXE）。在用户调用染毒的可执行文件时，病毒首先被运行，然后病毒驻留内存伺机传染其他文件或直接传染其他文件。其常见的传染方式是附着于正常程序文件，成为程序文件的一个外壳或部件。,（a）引导型病毒,（b）文

5、件型病毒,6.2.3混和型病毒工作方式,混和型病毒在传染方式上兼具引导型病毒和文件型病毒的特点。这种病毒的原始状态是依附在可执行文件上，以该文件为载体进行传播。当被感染文件执行时，会感染硬盘的主引导记录。以后用硬盘启动系统时，就会实现从文件型病毒转变为引导型病毒。例如BloodBound.A，该病毒也称为Tchechen.3420，主要感染COM、EXE和MBR。它将自己附着在可执行文件的尾部，将破坏性的代码放入MBR中，然后清除硬盘中的文件。,6.2.4宏病毒的工作方式,宏病毒是利用宏语句编写的。它们通常利用宏的自动化功能进行感染，当一个感染的宏被运行时，它会将自己安装在应用的模板中，并感染

6、应用创建和打开的所有文档。Office中的Word、Excel和PowerPoint都有宏。,6.2.5Java病毒,Java是由Sun公司创建的一种用于互联网环境中的编程语言。Java应用程序不会直接运行在操作系统中，而是运行在Java虚拟机（JVM）上。因此用Java编写的应用程序的移植性非常强，包括现在的手机中的一些程序也是用Java编写的。 Java Applet是一种内嵌在HTML网页中的可携式Java小程序。具有Java功能的浏览器可以运行这个小程序。Java Applet可供Web开发人员建立含有功能更丰富的交互式动态Web网页。它们会在使用者访问网页时被执行。黑客、病毒作者或其

7、他恶意人士可能会用Java恶意程序代码当作武器攻击使用者的系统。,6.2.6网络病毒,随着互联网的高速发展，计算机病毒从原来的磁盘进行传播发展到现在的通过网络的漏洞进行传播。到如今，网络病毒已经成为计算机网络安全的最大威胁之一。网络病毒中又以蠕虫病毒出现最早，传播最为广泛，例如“冲击波”、“红色代码”病毒等。,6.2.7 脚本病毒,脚本病毒也是一种特殊的网络病毒。脚本是指从一个数据文档中执行一个任务的一组指令，它也是嵌入到一个文件中，常见的是嵌入到网页文件中。脚本病毒依赖于一些特殊的脚本语言（例如VBScript、JavaScript、Jscript、PerlScript、PHP、Flash等

8、）。有些脚本语言，例如VBScript（Visual Basic Script）以及JavaScript病毒，必须通过Microsoft的Windows Scripting Host（WSH）才能够激活执行以及感染其他文件。,6.2.8 PE病毒,PE病毒，是指感染Windows PE格式文件的病毒。PE病毒是目前影响力极大的一类病毒。PE病毒同时也是所有病毒中数量极多、破坏性极大、技巧性最强的一类病毒。如FunLove、“中国黑客”等病毒都属于这个范畴。,6.3病毒的预防、检测和清除,6.3.1计算机病毒的预防 6.3.2计算机病毒的检测方法 6.3.3计算机病毒的清除 6.3.4 病毒实例

9、,6.3.1计算机病毒的检测,（1）使用无毒的系统软件和应用软件。 （2）CMOS设置。 （3）使用最新的系统安全更新。 （4）禁用Windows Script Host（WSH）和FSO对象。 （6）启动防火墙 。 （7）启用宏病毒警告 。 （8）邮件附件的处理。 （9）安装杀毒软件。,6.3.2计算机病毒的检测方法,1特征代码法 2校验和法 3行为监测法 4软件模拟法 5启发式扫描技术,6.3.3计算机病毒的清除,1引导型病毒的清除 引导型病毒的一般清理办法是用Format命令格式化磁盘，但这种方法的缺点是在病毒被杀掉的同时有用的数据也被清除掉了。除了格式化的方法外，还可以用其他的方法进行

10、恢复。 引导型病毒在不同的平台上清除方法有所不同，在Windows 95/98下，可以执行以下步骤： （1）用Windows 95/98 的干净启动盘启动计算机。 （2）在命令行中键入下列命令： fdisk /mbr （用来更新主引导记录，也称硬盘分区表） Sys C: （恢复硬盘引导扇区） （3）重启计算机。 在Windows 2000/XP平台下，可以用以下方法进行恢复： （1）用Windows 2000/XP 安装光盘启动。 （2）在“欢迎安装”的界面中按R键进行修复，启动Windows的修复控制台。 （3）选择正确的要修复的机器的数量。 （4）键入管理员密码，如果没有密码，则直接回车。

11、 （5）在命令行键入下面的命令： FIXMBR 回车 FIXBOOT 回车 （6）键入EXIT，重启计算机。,2文件型病毒的清除 （1）检查注册表 （2）检查win.ini文件 （3）检查system.ini文件 （4）重新启动计算机，然后根据文件名，在硬盘找到这个程序，将其删除。,3宏病毒的清除 在Micrsoft Office应用程序中打开“工具” “宏”“Visual Basic编辑器”，早期的版本为宏管理器。进入到编辑器窗口，用户可以查看Normal模板，若发现有AutoOpen、AutoNew、AutoClose等自动宏以及FileSave、FileSaveAs、FileExit等文

12、件操作宏或一些怪名字的宏，如XXYY等，而自己又没有加载这类特殊模板，这就极可能是宏病毒在作祟，因为大多数Normal模板中是不包含上述宏的。确定是宏病毒后，可以在通用模板中删除被认为是病毒的宏。 还有一种方法更为简单，通过搜索系统文件，找到Autoexec.dot和Nomal.dot文件，直接删除即可。Office应用程序启动后会重新生成一个干净的模板文件。,4网络病毒的清除 （1）系统加固。 （2）建立病毒预警检测系统。 （3）在互联网接入口处安装防病毒网关，将病毒隔离在外部网络。,6.3.4病毒实例,1CIH病毒 2冲击波病毒 3爱虫病毒 4梅丽莎病毒 5红色代码病毒,6.4防毒战略和相关产品,6.4.1传统的防毒策略 6.4.2新防护策略 6.4.3防毒产品技术 6.4.4 防毒